Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Laki korvaisi ulkomaalaisrekisteristä annetun lain, joka ehdotetaan kumottavaksi. Ehdotettavaan lakiin keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuton hallinnonalan muista laeista. Esitykseen liittyvät ehdotukset laeiksi kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain, säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain, kotoutumisen edistämisestä annetun lain, kansalaisuuslain, Maahanmuuttovirastosta annetun lain, turvallisuusselvityslain, Harmaan talouden selvitysyksiköstä annetun lain ja ulkomaalaislain muuttamisesta.

Tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, joka täydentää Euroopan unionin tietosuoja-asetusta, tietosuojalakia ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavaa lakia.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan mahdollisimman pian.

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Lakiin keskitettäisiin maahanmuuttohallinnon henkilötietojen käsittelyä koskevat säännökset maahanmuuttohallinnon laeista. Tavoitteena on, että henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä, nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, jolla varmistetaan henkilötietojen käsittelyn yhdenmukaisuus kaikissa niissä tilanteissa, joissa henkilötietoja maahanmuuttohallinnossa käsitellään. Tavoitteena on varmistaa, että perustuslain 10 §:n 1 momentin mukainen yksityiselämän suoja sekä vaatimus säätää henkilötietojen suojasta lailla täyttyy asianmukaisesti maahanmuuttohallinnossa. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön.

Laki korvaisi ulkomaalaisrekisteristä annetun lain (1270/1997), jäljempänä ulkomaalaisrekisterilaki. Ulkomaalaisrekisterilaki sisältää rekisterisäännökset ulkomaalaislain (301/2004), kansalaisuuslain (359/2003), lain kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten (907/2017), jäljempänä kausityölaki, lain kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä (908/2017), jäljempänä ICT-laki ja lain kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistyön perusteella (719 /2018), jäljempänä tutkija- ja opiskelijalaki, osalta. Ehdotettavaan lakiin keskitettäisiin rekisterisäännökset myös maahanmuuton hallinnonalan muusta lainsäädännöstä eli laista kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta (746/2011), jäljempänä vastaanottolaki ja laista säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä (116/2002), jäljempänä säilölaki. Tämän lisäksi ehdotettavaan lakiin sisällytettäisiin työ- ja elinkeinoministeriön hallinnonalalle kuuluvassa laissa kotoutumisen edistämisestä (1386/2010), jäljempänä kotoutumislaki, olevat rekisterisäännökset. Rekisterilähtöinen sääntelytapa korvattaisiin säätämällä henkilötietojen käsittelystä. Esitykseen liittyvät myös ehdotukset laeiksi kansalaisuuslain, Maahanmuuttovirastosta annetun lain, turvallisuusselvityslain, Harmaan talouden selvitysyksiköstä annetun lain ja ulkomaalaislain muuttamisesta.

Esitys liittyy Suomen tietosuojalainsäädännön kokonaisuudistukseen. Uudistuksen taustalla on Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, jäljempänä tietosuoja-asetus, sekä Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä tietosuojadirektiivi. Tietosuoja-asetuksen soveltaminen alkoi 25.5.2018. Kansallisesti tietosuoja-asetusta täsmentää ja täydentää jatkossa tietosuojalaki, jota koskevan hallituksen esityksen (HE 9/2018 vp) käsittely eduskunnassa on kesken. Tietosuojalaki korvaisi Suomessa vuodesta 1999 henkilötietojen käsittelyyn sovelletun lain henkilötietojen käsittelystä (523/1999), jäljempänä henkilötietolaki. Tietosuojadirektiivi täytäntöönpannaan lailla henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä, jäljempänärikosasioiden tietosuojalaki, jota koskevan hallituksen esityksen (HE 31/2018 vp) käsittely eduskunnassa on kesken. Tietosuoja-asetusta ja sitä täydentävää lainsäädäntöä sovelletaan silloin, kun kyse on henkilötietojen käsittelystä muulla kuin tietosuojadirektiivin ja sitä toimeenpanevan rikosasioiden tietosuojalain soveltamisalalla.

Maahanmuuttohallinnossa sovellettavaksi tulevat pääsääntöisesti tietosuoja-asetus ja tietosuojalaki. Laki henkilötietojen käsittelystä maahanmuuttohallinnossa täydentäisi ja täsmentäisi tietosuoja-asetusta ja tietosuojalakia siltä osin kuin se on jäsenvaltioiden lainsäätäjälle jätetyn kansallisen liikkumavaran puitteissa sallittua ja maahanmuuttohallinnon tarpeet huomioiden välttämätöntä henkilötietojen suojan toteuttamiseksi. Tietosuoja-asetusta, tietosuojalakia sekä sitä täydentävää erityislainsäädäntöä olisi tulkittava yhtenä kokonaisuutena. Rikosasioiden tietosuojalakia maahanmuuttohallinnossa sovellettaisiin silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa.

2.1.1 Johdanto

Perustuslain 2 §:n mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslain 10 §:ssä säädetään yksityiselämän suojasta. Pykälän 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Yksityiselämän suojasta on perinteisesti johdettu valtiolle velvollisuus niin itse pidättyä loukkaamasta kansalaisten yksityiselämää kuin myös aktiivisesti toimia yksityiselämän loukkauksia vastaan. Yksityiselämän suojan lähtökohtana on yksilön oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä.

Perustuslakiehdotuksessa lakiviittauksilla on paitsi pidätetty niissä tarkoitetut asiat lain alaan, myös viitattu siihen, että tällaista asiaa koskevan sääntelyn yksityiskohtainen sisältö määräytyy perustuslain ja tavallisen lain muodostaman kokonaisuuden pohjalta. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata nämä oikeudet tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Perustuslakivaliokunta on vakiintuneessa käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Henkilötietojen käsittelyä koskevan laintasoisen sääntelyn tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista (PeVL 14/2018 vp s. 2, PeVL 25/1998 vp s. 2). Perustuslakivaliokunta on myös aiemmin vakiintuneesti katsonut, että henkilötietojen suojaa koskeviin laintasoisiin sääntelykohteisiin kuuluu teknisestä käyttöyhteydestä säätäminen (PeVL 12/2002 vp s. 5). Perustuslakivaliokunnan lausuntokäytännön mukaan nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin.

Perustuslakivaliokunta on kuitenkin hiljattain tarkistanut käytäntöään henkilötietojen suojaa koskevasta sääntelystä (PeVL 14/2018 vp). Perustuslakivaliokunta on uudemmassa käytännössään katsonut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Perustuslakivaliokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Kansallinen erityislainsäädäntö tulisi varata vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. (PeVL 14/2018 vp s. 3—4, PeVL 2/2018 vp, s. 4—8).

Samalla perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Erityisesti perustuslakivaliokunta katsoo tällä seikalla olevan merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn laintasoisuutta koskevan käytännön pohjalta. Siinä arkaluonteisten tietojen käsittely on rajattu täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 14/2018 vp).

Henkilötietojen käsittelyyn maahanmuuttohallinnossa sovelletaan jatkossa yleislakina tietosuojalakia, joka täsmentää ja täydentää tietosuoja-asetusta. Hallituksen esityksen (HE 9/2018 vp) mukaan tietosuojalain 1 luku sisältäisi yleiset säännökset lain soveltamisalaan liittyen, jonka mukaan lakia sovellettaisiin tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti lisäksi tietyin poikkeuksin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan, jollei laissa toisin säädetä. Tietosuojalain 2 luvussa säädettäisiin käsittelyn oikeusperusteesta eräissä tapauksissa, kuten käsittelyn lainmukaisuudesta ja erityisiä henkilötietoryhmiä koskevasta käsittelystä. Tietosuojalain 3 luku sisältäisi säännökset valvontaviranomaisesta eli tietosuojavaltuutetusta ja tämän tehtävistä ja toimivaltuuksista sekä asiantuntijalautakunnasta. Tietosuojalain 4 luvussa säädettäisiin oikeusturvasta ja seuraamuksista, kuten oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, uhkasakosta ja hallinnollisesta seuraamusmaksusta. Tietosuojalain 5 luku sisältäisi tietojenkäsittelyn erityistilanteet, kuten henkilötietojen käsittelyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten, henkilötunnuksen käsittelyn sekä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet. Tietosuojalain 6 luku sisältäisi erinäisiä säännöksiä sekä voimaantulo- ja siirtymäsäännökset.

Tietosuoja-asetusta sovelletaan silloin, kun kyse on henkilötietojen käsittelystä muulla kuin tietosuojadirektiivin täytäntöönpanevan rikosasioiden tietosuojalain soveltamisalalla. Tässä esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain osalta rikosasioiden tietosuojalaki tulisi sovellettavaksi silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa. Rikosasioiden tietosuojalakia koskevan hallituksen esityksen (HE 31/2018 vp) mukaan 1 luku sisältäisi yleiset säännökset, 2 luku henkilötietojen käsittelyä koskevat periaatteet, 3 luku rekisterinpitäjää ja henkilötietojen käsittelijää koskevat säännökset, 4 luku rekisteröidyn oikeuksia koskeva säännökset, 5 luku tietoturvallisuutta koskevat säännökset, 6 luku tietosuojavastaavaa koskevat säännökset, 7 luku henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevat säännökset, 8 luku valvontaviranomaista koskeva säännökset, 9 luku oikeusturvaa koskevat säännökset, 10 luku erinäiset säännökset sekä 11 luku voimaantulo- ja siirtymäsäännökset.

Rikosasioiden tietosuojalakia koskevan hallituksen esityksen mukaan lakia soveltaisivat viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai niiden täytäntöönpanon. Tällaisia viranomaisia olisivat muun muassa poliisi, Rajavartiolaitos, Tulli, syyttäjät, tuomioistuimet ja Rikosseuraamuslaitos. Nämä viranomaiset soveltaisivat ehdotettua lakia kuitenkin vain, kun ne käsittelisivät henkilötietoja edellä mainitussa tarkoituksessa, eli esimerkiksi rikoksen selvittämisen yhteydessä tai käsiteltäessä rikosasiaa tuomioistuimessa. Lakia sovellettaisiin lisäksi toimivaltaisten viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Toimivaltaisia viranomaisia ovat tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin ehdotetun lain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta. Maahanmuuttovirastoa ei hallituksen esityksessä ole luokiteltu kansallista turvallisuutta suojaavaksi viranomaiseksi, joten tässä esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain kansallista turvallisuutta koskeva soveltamisala koskisi poliisia ja Rajavartiolaitosta.

Yleislainsäädännön rinnalla on voimassa runsaasti henkilötietojen käsittelyä sääntelevää erityislainsäädäntöä. Laki ulkomaalaisrekisteristä tuli voimaan vuonna 1998. Laki on säädetty ennen julkisuuslakia, henkilötietolakia ja perustuslakia. Lisäksi maahanmuuttohallinnon alalla rekisterisääntelyä sisältyy useisiin muihin lakeihin erillisinä lukuina.

Sekä maahanmuuttohallinnon toimintaympäristössä että henkilötietojen suojaa koskevassa sääntelytavassa on tapahtunut merkittäviä muutoksia, joiden johdosta ulkomaalaisrekisterilaki on osin vanhentunut eikä kaikilta osin vastaa enää tarkoitustaan. Tiettyihin maahanmuuttohallinnon lakeihin sijoitettu erillinen rekisterisääntely tekee kokonaisuudesta pirstaleisen. Henkilötietojen käsittelyn merkitys on kasvanut palveluiden ja tietojen sähköistämisen myötä. Siirtyminen digitaaliseen aikakauteen asettaa vaatimuksia myös henkilötietojen käsittelylle tilanteessa, jossa palvelutuotannossa on siirrytty asiakirjakeskeisestä tiedonhallinnasta asiakeskeiseen tiedonhallintatapaan. Keskiössä ei enää ole säätäminen rekistereistä, tietojärjestelmistä tai asiakirjoista, vaan siitä, millä perusteella ja miten henkilötietoja käsitellään niin, että tarvittava tieto on käytettävissä kuitenkin yksityisyyden suojaa kunnioittaen ja sen toteutuminen varmistaen. Sääntelyä ei arvioida yksinomaan perusoikeuksien, kuten henkilötietojen ja yksityiselämän suojan näkökulmasta, vaan viranomaisten sujuvan tiedonvaihdon yhteensovittaminen perusoikeuksien kanssa on keskeinen osa hyvän hallinnon toteuttamista, viranomaisten toimivaa yhteistyötä sekä norminpurkua. Tietoa jakamalla voidaan luoda uutta tietoa ja tietoa jalostamalla lisätä sen arvoa. Tiedon hyödyntäminen ei kuitenkaan ole ongelmatonta, vaan sen hyödyntäminen edellyttää laadukasta tiedonhallintaa, joka perustuu nykyaikaiseen lainsäädäntöön.

Maahanmuuttohallinnossa käsiteltävien asioiden määrä on kasvanut tasaisesti kahden viimeisen vuosikymmenen aikana. Vuonna 2016 ulkomaalaistaustaisia henkilöitä oli Suomessa lähes nelinkertainen määrä vuoteen 1997 verrattuna. Maahanmuuttohallinnon asiamäärien kasvu yhdessä monimuotoistuneen toimintakentän kanssa on edellyttänyt aiempaa tehokkaampaa sähköistä asianhallintaa.

2.1.2 Henkilötietojen käsittely maahanmuuttohallinnossa

Toimivaltaa luova lainsäädäntö

Maahanmuuttohallinnossa toimivien viranomaisten toimivalta perustuu useisiin lakeihin. Ulkomaalaisen maahantuloon, maastalähtöön sekä oleskeluun ja työntekoon Suomessa sovelletaan ulkomaalaislakia ja sen nojalla annettuja säännöksiä. Kansalaisuuslaissa säädetään niistä edellytyksistä, joiden nojalla henkilö saa, säilyttää tai menettää Suomen kansalaisuuden sekä menettelystä tällaista asiaa käsiteltäessä. Kausityölaki sisältää säännökset kolmansien maiden kansalaisten maahantulon edellytyksistä kausityöntekoa varten, kausityöntekijöille myönnettävistä luvista ja kausityöntekijöiden oikeuksista maassaolon aikana. ICT-laki sisältää säännökset kolmannesta maasta Euroopan unionin alueelle lähetettävien työntekijöiden maahantulon ehdoista, sisäisille siirtyjille myönnettävistä luvista ja oikeuksista maassaolon aikana. Tutkija- ja opiskelijalaki sisältää säännökset kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistyöskentelyn perusteella. Ulkomaalaisrekisterilaki sisältää edellä mainituista laeista johdettavien toimivaltuuksien ja tehtävien toteuttamiseksi ylläpidettäviä henkilörekistereitä koskevan sääntelyn.

Vastaanottolakia sovelletaan kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanottoon sekä ihmiskaupan uhrin auttamiseen. Säilölaki sisältää säännökset siitä, miten järjestetään ulkomaalaislain 121 ja 122 §:n nojalla säilöön otettujen ulkomaalaisten kohtelu erityisesti tähän tarkoitukseen varatussa säilöönottoyksikössä. Työ- ja elinkeinoministeriön hallinnonalalle kuuluvan kotoutumislain tarkoituksena on tukea ja edistää kotoutumista ja maahanmuuttajan mahdollisuutta osallistua aktiivisesti suomalaisen yhteiskunnan toimintaan. Laki sisältää kuntaan osoittamista koskevat rekisterisäännökset. Henkilötietojen käsittely kuntaan osoittamisen tarkoituksessa tullaan keskittämään Maahanmuuttoviraston ylläpitämään tietojärjestelmään. Edellä mainittujen lakien soveltamisalalla ylläpidettävistä henkilörekistereistä säädetään kyseisissä laeissa omina rekisterilukuinaan. Rekisterisääntelyä ei tältä osin ole keskitetty.

Maahanmuuttohallinnossa toimii lukuisia viranomaisia. Tämä on maahanmuuttohallinnon erityispiirre. Keskeisiä toimijoita maahanmuuttohallinnon alalla ovat muun muassa Maahanmuuttovirasto, poliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset (ELY-keskukset) sekä työ- ja elinkeinotoimistot (TE-toimistot). On huomioitava, että suuri osa viranomaisista, esimerkiksi poliisi sekä Rajavartiolaitos, toimivat maahanmuuttoviranomaisen roolin lisäksi myös omissa niin sanotuissa ydintehtävissään eli poliisiviranomaisen tai rajavartioviranomaisen roolissa. Tällöin näiden viranomaisten tehtävät ja toimivalta perustuvat Poliisilakiin (872/2011) ja Rajavartiolakiin (578/2005) ja henkilötietojen käsittely tapahtuu pääsääntöisesti uudistettavina olevien lain henkilötietojen käsittelystä poliisitoimessa (761/2003) ja lain henkilötietojen käsittelystä rajavartiolaitoksessa (579/2005) nojalla, ellei muualla toisin säädetä.

Rekisterisääntely

Henkilötietojen keräämisestä ja tallettamisesta ulkomaalaisrekisteriin sekä siihen talletettujen tietojen käyttämisestä ja luovuttamisesta säädetään ulkomaalaisrekisterilaissa. Ulkomaalaisrekisterilaki sisältää lisäksi säännökset lain soveltamisalan mukaisten tehtävien hoitamista varten saatujen tietojen ja asiakirjojen salassapidosta. Ulkomaalaisrekisterilaki on erityislaki suhteessa tietosuojalakiin ja julkisuuslakiin. Ulkomaalaisrekisterilaki sisältää seitsemäntoista pykälää.

Ulkomaalaisrekisterilain 1 luku sisältää yleiset säännökset. Lain 1 §:ssä säädetään lain soveltamisalasta. Pykälän mukaan ulkomaalaisrekisterilaissa säädetään henkilötietojen keräämisestä ja tallettamisesta ulkomaalaisrekisteriin sekä siihen talletettujen tietojen käyttämisestä ja luovuttamisesta. Pykälä sisältää viittauksen henkilötietojen suojaa koskevaan yleislakiin sekä Suomea sitoviin kansainvälisiin sopimuksiin. Ulkomaalaisrekisterilain 2 §:ssä säädetään rekisterin pidosta ja käyttötarkoituksesta. Pykälän mukaan ulkomaalaisrekisteri on automaattisen tietojenkäsittelyn avulla pidettävä henkilörekisteri. Ulkomaalaisrekisteriä pidetään ja käytetään ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten, valtion turvallisuuden suojaamiseksi sekä turvallisuusselvityslaissa (726/2014) tarkoitetun turvallisuusselvityksen tekemiseksi. Ulkomaalaisrekisteriä pidetään lisäksi Suomen kansalaisuuden saamista, säilyttämistä ja menettämistä sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyä ja päätöksentekoa varten. Ulkomaalaisrekisterin tietoja voidaan käyttää tilastojen kokoamiseen kansallisten ja kansainvälisten tarpeiden mukaan ottaen huomioon, mitä henkilötietolaissa säädetään henkilötietojen käsittelystä.

Ulkomaalaisrekisterilain 3 §:ssä säädetään rekisterinpitäjistä. Pykälän mukaan Maahanmuuttovirasto ja ulkoasiainministeriö ovat ulkomaalaisrekisterin päävastuullisia rekisterinpitäjiä. Päävastuullinen rekisterinpitäjyys on jaoteltu osapuolten välillä ulkomaalaisrekisterin kahdeksan osarekisterin perusteella niin, että ulkoasiainministeriö on vastuussa viisumiasioiden sekä maahantuloedellytysten osarekisteristä ja Maahanmuuttovirasto vastaa muista osarekistereistä. Lisäksi ulkomaalaisrekisteriä pitävät ja käyttävät myös poliisi, Rajavartiolaitos, Tulli, elinkeino-, liikenne- ja ympäristökeskukset, työ- ja elinkeinotoimistot (TE-toimistot), työsuojeluviranomaiset, vankeinhoitoviranomaiset, yhdenvertaisuusvaltuutettu sekä korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Rekisteriä pitävien ja käyttävien viranomaisten palveluksessa olevat ovat oikeutettuja näkemään ja käsittelemään teknisen käyttöyhteyden avulla ulkomaalaisrekisteriin talletettuja tietoja ainoastaan rekisterin käyttötarkoitukseen liittyvien toimivaltuuksiensa rajoissa.

Ulkomaalaisrekisterilain 3 a §:ssä säädetään muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietojen käytöstä. Muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisteriin talletetaan muukalaispassi- ja matkustusasiakirjahakemusta varten otetut sormenjäljet. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, Rajavartiolaitos ja Tulli, silloin kun se hoitaa rajatarkastusviranomaisen tehtäviä sekä ulkoasiainministeriö ja Suomen edustusto. Sormenjälkiä saa käyttää vain henkilöllisyyden varmistamiseksi ja muukalaispassin tai pakolaisen matkustusasiakirjan valmistamiseksi. Poliisilla on lisäksi oikeus käyttää sormenjälkitietoja siten, kuin henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 16 a §:ssä säädetään.

Ulkomaalaisrekisterilain 3 b §:ssä säädetään hakemusasioiden osarekisterin sormenjälkitietojen käytöstä ja vertaamisesta. Hakemusasioiden osarekisteriin talletetaan oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetut sormenjäljet. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, rajatarkastusviranomainen sekä Suomen edustusto. Rekisteriin talletettavia sormenjälkiä saa käyttää ainoastaan lain 2 §:n 2 momentissa säädettyyn tarkoitukseen liittyvien toimivaltuuksien rajoissa oleskelulupakortin aitouden toteamiseksi ja oleskeluluvan haltijan henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten sekä valtion turvallisuuden suojaamiseksi. Tietojen käyttöön oikeutetulla viranomaisella on oikeus verrata tietoja hakemusasioiden osarekisteriin jo talletettuihin sormenjälkiin sekä muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietoihin ja henkilötietojen käsittelystä poliisitoimessa annetun lain 3 §:ssä tarkoitettuun hallintoasiain tietojärjestelmään ulkomaalaislain (301/2004) 131 §:n perusteella talletettuihin sormenjälkiin. Lisäksi tietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 2 §:n 3 momentin 7 kohdassa tarkoitettuihin poliisiasiain tietojärjestelmän tuntomerkkitietojen sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta. Poliisilla on lisäksi oikeus käyttää hakemusasioiden osarekisteriin talletettuja sormenjälkitietoja siten kuin henkilötietojen käsittelystä poliisitoimessa annetun lain 16 a §:ssä säädetään.

Ulkomaalaisrekisterilain 4 §:n mukaan rekisterinpitäjä, joka tallettaa ulkomaalaisrekisteriin tietoja, vastaa rekisteriin itse tallettamiensa tietojen virheettömyydestä sekä tallettamisen ja käytön laillisuudesta omien tehtäviensä hoidossa.

Ulkomaalaisrekisterilain 4 a §:n mukaan rekisteröidyn oikeuksista poliisin pitämiin ulkomaalaisrekisterin tietoihin on voimassa, mitä henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003) säädetään.

Ulkomaalaisrekisterilain 4 b §:ssä säädetään henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tallettamisen ja muun käsittelyn tietoturvasta.

Ulkomaalaisrekisterilain 2 luku sisältää ulkomaalaisrekisterin tietosisältöä ja tietolähteitä koskevat säännökset. Lain 5 §:ssä säädetään ulkomaalaisrekisteriin kerättävien ja talletettavien tietojen henkilöllisestä ulottuvuudesta. Viisumia, oleskelulupaa, kansainvälistä suojelua, muukalaispassia tai pakolaisen matkustusasiakirjaa hakevien lisäksi tietoja saa tallettaa kansalaisuuteen liittyvistä asioista, kielitutkinnon suorittaneista, oleskeluoikeuden rekisteröivistä henkilöistä, joille on myönnetty ulkomaalaislain 52 b §:n mukainen harkinta-aika, luonnollisista ja oikeushenkilöistä, jotka ottavat palvelukseensa ulkomaalaisen työntekijän sekä henkilöistä, jotka ovat hakeneet Suomen kansalaisuutta tai Suomen kansalaisuuden säilyttämistä taikka vapautumista Suomen kansalaisuudesta tai tehneet ilmoituksen Suomen kansalaisuuden saamiseksi, menettäneet Suomen kansalaisuuden tai joiden kansalaisuusasema on määritetty taikka pyritty määrittämään. Lisäksi tietoja saa tallettaa edellä tarkoitettujen henkilöiden perheenjäsenistä, hänen kanssaan samassa taloudessa asuvista henkilöistä ja Suomessa olevista vastaanottajista silloin, kun se asian ratkaisemisen kannalta on tarpeen.

Arkaluonteisten henkilötietojen tallettamisesta on säädetty 6 §:ssä. Pykälä koskee käytännössä niin sanottuja rikostietoja ja henkilöllinen ulottuvuus on 5 §:ää tarkemmin rajattu. Rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot ovat henkilötietolain 11 §:n mukaan arkaluonteisia henkilötietoja. Lain 6 §:n 2 momentin mukaan muita henkilötietojen suojaa koskevassa lainsäädännössä tarkoitettuja arkaluonteisia henkilötietoja saa tallettaa vain, jos rekisteröity on antanut siihen suostumuksensa tai jos tiedon tallettaminen on asian käsittelyn kannalta välttämätöntä.

Ulkomaalaisrekisterilain 7 §:ssä on yksilöity rekisteriin talletettavat tiedot. Pykälässä luetellaan kaikki ne tiedot, joita 5 §:ssä ja 6 §:ssä tarkoitetuista henkilöistä saa tallettaa ulkomaalaisrekisteriin siltä osin kuin on tarpeen. Tiedot on käytännössä jaoteltu koskemaan henkilön tunnistetietoja ja asiakkuutta, käsiteltävää asiaa sekä asiaan liittyviä toimenpiteitä sekä perheenjäsenten ja samassa taloudessa asuvien henkilöiden ja vastaanottajien henkilö- ja yhteystietoja.

Ulkomaalaisrekisterilain 8 §:ssä säädetään ulkopuolisista tietolähteistä. Pykälän mukaan rekisterinpitäjällä on oikeus salassapitosäännösten estämättä saada ulkomaalaisrekisteriä varten sille laissa säädettyjen tehtävien suorittamiseksi välttämättömiä tietoja kyseisessä pykälässä yksilöidyissä tilanteissa. Tietojensaantioikeudet on käytännössä yksilöity tiettyihin nimettyihin viranomais- ja muihin tahoihin ja koskemaan tiettyjä yksilöityjä tietoja. Tietoja voidaan luovuttaa siten kuin rekisterinpitäjän kanssa sovitaan, myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla.

Ulkomaalaisrekisterilain 9 §:ssä säädetään tietojen säilyttämisajoista ja poistamisesta rekisteristä. Henkilön tiedot poistetaan ulkomaalaisrekisteristä kokonaan vuoden kuluttua siitä, kun hän on saanut Suomen kansalaisuuden tai kuollut. Asian tiedot poistetaan tietyin poikkeuksin viiden vuoden kuluttua viimeisestä tiedon merkitsemisestä, jos viisumin, oleskeluluvan, oleskeluoikeuden tai asiakirjan voimassaolo on päättynyt. Poistetut tiedot arkistoidaan. Virheelliseksi todetun tiedon saa tietyin edellytyksin säilyttää viiden vuoden ajan sen tallettamisesta.

Ulkomaalaisrekisterilain 3 luvussa säädetään tietojen luovutuksesta ja salassapidosta. Lain 10 § pykälä sisältää säännökset ulkomaalaisrekisteriin talletettujen tietojen säännönmukaisesta luovuttamisesta muille viranomaisille ja muille tahoille salassapitosäännösten estämättä ja siinä määrin kuin se on vastaanottavan viranomaisen lakisääteisten tehtävien suorittamiseksi välttämätöntä pykälässä tarkemmin yksilöidyissä tilanteissa. Tietoja voidaan luovuttaa myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla. Luovuttaminen ei kuitenkaan koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Rekisterinpitäjillä on hallituksen esityksen (HE 206/1997 vp) mukaan oikeus käyttää rekisteriin talletettuja tietoja lakiehdotuksessa yksilöityjä asioita hoitaessaan eikä erillistä luovutussääntöä rekisterinpitäjien välillä tapahtuvalle tiedonluovutukselle ole säädetty.

Ulkomaalaisrekisterilain 11 §:n mukaan käyttötarkoituksenmukaisten tehtävien hoitamista varten saadut tiedot ja asiakirjat on pidettävä salassa, jos niin lailla säädetään tai lain nojalla määrätään taikka jos ei ole ilmeistä, että tiedon antaminen ei aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai hänen läheiselleen. Sellaisten asiakirjojen salassapidosta, jotka koskevat pakolaista tai turvapaikan, oleskeluluvan tai viisumin hakijaa, säädetään tietyin edellytyksin julkisuuslain 24 §:n 1 momentin 24 alakohdassa.

Vastaanottolain 6 luvussa säädetään vastaanoton asiakasrekisteristä ja edustajarekisteristä. Vastaanoton asiakasrekisteri on automaattisen tietojenkäsittelyn avulla kansainvälistä suojelua hakevista, tilapäistä suojelua saavista ja ihmiskaupan uhreista pidettävä henkilörekisteri. Tosiasiassa osa käsittelystä tapahtuu automaattisen tietojenkäsittelyn avulla ja osa manuaalisesti. Vastaanoton asiakasrekisteriin kuuluvat valtakunnallinen osarekisteri ja vastaanotto- ja järjestelykeskusten osarekisterit. Valtakunnallista osarekisteriä pidetään vastaanoton sekä ihmiskaupan uhrien auttamisen ohjausta, suunnittelua ja seurantaa varten. Vastaanotto- ja järjestelykeskusten osarekistereitä pidetään vastaanottopalveluiden sekä ihmiskaupan uhreille tarkoitettujen auttamistoimien suunnittelua, järjestämistä, toteuttamista ja seurantaa varten. Maahanmuuttovirasto vastaa valtakunnallisten osarekisterien ylläpidosta ja vastaanotto- tai järjestelykeskus vastaa oman osarekisterinsä ylläpidosta. Rekisteriin saa henkilön tunnistetietojen lisäksi tallettaa tietoja, jotka koskevat esimerkiksi rekisteröidyn majoittumista, vastaanotto- tai käyttörahaa tai terveydentilaa tai tietoja, jotka ovat tarpeellisia vastaanottopalvelujen tai auttamistoimien suunnittelun, järjestämisen, toteuttamisen ja seurannan kannalta.

Edustajarekisteri on vastaanottolain 45 §:n 2 momentissa määritelty automaattisen tietojenkäsittelyn avulla pidettäväksi henkilörekisteriksi, joka sisältää tietoja ilman huoltajaa oleville lapsille 39 §:n mukaan määrätyistä edustajista. Edustajarekisteriin kuuluvat valtakunnallinen osarekisteri ja vastaanotto- ja järjestelykeskusten osarekisterit. Valtakunnallista osarekisteriä pidetään ilman huoltajaa olevien lasten edustajatoiminnan ohjausta, suunnittelua ja seurantaa varten. On huomioitava, että tätä toimivaltaa ei kuitenkaan ole kuvattu erikseen vastaanottolain säännöksissä, joissa viranomaisen toimivalta kuvataan. Vastaanotto- ja järjestelykeskusten osarekisteriä pidetään ilman huoltajaa olevien lasten edustajatoiminnan käytännön hallinnointia varten. Maahanmuuttovirasto vastaa valtakunnallisten osarekisterien ylläpidosta ja vastaanotto- tai järjestelykeskus vastaa oman osarekisterinsä ylläpidosta. Edustajarekisteriin saa tallettaa edustajan henkilöön ja määräämiseen liittyviä yksilöityjä tietoja. Tiedonsaantioikeudesta säädetään vastaanottolain 8 luvussa ja tiedonsaantioikeudesta rekisteristä erikseen 6 luvun 53 §:ssä. Lisäksi säädetään tietojen luovuttamisesta rekisteristä sekä tietojen poistamisesta ja säilyttämisestä.

Säilölain 5 a luku sisältää säännökset koskien säilöönoton asiakasrekisteriä ja säilöönottoyksikön vierailijarekisteriä. Säilöönoton asiakasrekisteri on säilöön otetuista ulkomaalaisista pidettävä henkilörekisteri, johon kuuluvat valtakunnallinen osarekisteri ja säilöönottoyksiköiden osarekisterit. Säilöönoton asiakasrekisterin valtakunnallista osarekisteriä pidetään säilöönottoyksiköiden käytännön toiminnan ohjausta, suunnittelua ja seurantaa varten. Säilöönottoyksiköiden osarekistereitä pidetään säilöön otettujen ulkomaalaisten säilöönoton järjestämisessä, suunnittelussa, toteuttamisessa ja seurannassa käytettävien asiakirjojen laatimiseen sekä niiden ja muun säilöönottoon liittyvän materiaalin säilyttämiseen sekä tilastointiin. Säilölain 32 d §:n mahdollistama tietosisältö ei kuitenkaan riitä täyttämään näitä käsittelytarpeita. Maahanmuuttovirasto toimii säilöönoton asiakasrekisterin valtakunnallisen osarekisterin rekisterinpitäjänä, säilöönottoyksikkö oman osarekisterinsä ja säilöönottoyksikön vierailijarekisterin rekisterinpitäjänä.

Säilöönottoyksikön vierailijarekisteri on säilöön otettuja ulkomaalaisia tapaamassa käyvistä ja muista säilöönottoyksikössä vierailevista henkilöistä pidettävä henkilörekisteri. Säilöönottoyksikön vierailijarekisteriä pidetään säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämiseksi. Säilöönottoyksikkö toimii vierailijarekisterin rekisterinpitäjänä. Rekistereihin saa tallettaa yksilöidyt henkilötiedot sekä tiettyjä muita tarpeellisia ja merkityksellisiä laissa tarkemmin yksilöityjä tietoja. Tiedonsaantioikeudesta säädetään lain 6 luvussa ja tiedonsaantioikeudesta rekisteristä 32 g §:ssä. Lisäksi säädetään tietojen luovuttamisesta rekisteristä sekä tietojen poistamisesta ja säilyttämisestä.

Kotoutumislain 8 luku sisältää rekisterisäännökset. Lain 60 §:ssä säädetään kuntaanosoitusrekisteristä, joka on henkilöiden kuntaan osoittamista varten pidettävä henkilörekisteri. Rekisteriin talletetaan tieto siitä, mihin kuntaan henkilö on osoitettu sekä henkilön tunnistetiedot. Kuntaanosoitusrekisteriä pitää elinkeino-, liikenne- ja ympäristökeskus. Lain 61 §:n mukaan elinkeino-, liikenne- ja ympäristökeskus saa luovuttaa kuntaanosoitusrekisteristä Maahanmuuttovirastolle, Kansaneläkelaitokselle, kunnan viranomaiselle ja työ- ja elinkeinotoimistolle tietoja, jotka ovat tarpeen niille tässä laissa, ulkomaalaislaissa tai muussa laissa säädettyjen maahanmuuttoon liittyvien tehtävien hoitamista varten. Tiedot voidaan luovuttaa myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla. Lain 62 §:n mukaan kuntaanosoitusrekisterissä olevat rekisteröityä koskevat tiedot poistetaan, kun niiden käyttötarvetta ei enää ole ja viimeistään viiden vuoden kuluttua viimeisestä rekisteröityä koskevasta merkinnästä. Kuntaanosoitusrekisterin ja siihen sisältyvien tietojen pysyvästä säilyttämisestä määrää arkistolaitos siten kuin arkistolaissa (831/1994) säädetään.

Tietojärjestelmät

Edellä kuvatuissa maahanmuuttohallinnon rekisterisäännöksissä on omaksuttu henkilötietolain 3 §:n mukainen loogisen rekisterin käsite. Rekisterillä tarkoitetaan silloin käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla. Rekisteriin voi siis kuulua niin tietojärjestelmään kirjattuja tietoja kuin manuaalisesti ylläpidettyjä tietoja, kunhan niillä on yhtenevä käyttötarkoitus.

Ulkomaalaisrekisterin tietosisältöön kuuluvia tietoja ylläpidetään automaattisen tietojenkäsittelyn avulla kolmessa tietojärjestelmässä: ulkomaalaisasioiden sähköisessä asiankäsittelyjärjestelmässä (UMA), henkilökortti- ja passitietojärjestelmässä (Heko-Passi) muukalaispassien ja pakolaisen matkustusasiakirjojen osalta sekä kansallisessa viisumitietojärjestelmässä Schengen-viisumeiden osalta.

Maahanmuuttovirasto ylläpitää ulkomaalaisasioiden sähköistä asiankäsittelyjärjestelmää sekä henkilökortti- ja passitietojärjestelmää muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Poliisi vastaa muilta osin henkilökortti- ja passitietojärjestelmän ylläpidosta. Ulkoasiainhallinto ylläpitää kansallista viisumitietojärjestelmää.

UMA-järjestelmä ja henkilökortti- ja passitietojärjestelmän muukalaispasseja ja pakolaisen matkustusasiakirjoja koskeva osa on teknisesti yhdistetty niin, että henkilökortti- ja passitietojärjestelmän tietosisältö on muukalaispassien ja pakolaisen matkustusasiakirjojen osalta luettavissa UMA-järjestelmän kautta. Tämän lisäksi Heko-Passin muukalaispasseja ja pakolaisen matkustusasiakirjoja koskevia tietoja voidaan käsitellä myös Heko-Passin käyttöliittymän kautta. UMA-järjestelmä ja kansallinen viisumitietojärjestelmä ovat erillisiä järjestelmiä, joita ei ole yhdistetty toisiinsa.

UMA-järjestelmän tietosisältö muodostuu tietoryhmistä, joiden käyttöä varten on luotu useita erilaisia ryhmiä käyttäjien tarpeiden mukaisesti. Käyttöoikeudet muodostuvat käyttäjärooleista ja käyttöoikeudet ovat sitä laajemmat, mitä useampi rooli käyttäjällä on. Käyttäjille myönnetään hakemuksesta oikeuksia tarpeen mukaan työtehtävien perusteella. Maahanmuuttovirasto järjestelmän ylläpitäjänä vastaa UMA-järjestelmän käyttövaltuushallinnasta, kehittämisestä ja kustannuksista.

UMA-järjestelmässä käsitellään ulkomaalaisrekisteriin kuuluvien tietojen lisäksi myös turvapaikanhakijoiden vastaanoton asiakasrekisteriin ja edustajarekisteriin kuuluvia tietoja. Rekisterinpitäjinä toimivat Maahanmuuttovirasto ja vastaanotto- ja järjestelykeskukset käsittelevät niin vastaanoton ja ihmiskaupan uhrien auttamisjärjestelmän asiakastietoja kuin ilman huoltajaa turvapaikkaa hakevien lasten edustajatoiminnan tietoja. Vastaanotto- ja järjestelykeskukset käsittelevät vastaanoton asiakastietoja sekä edustajatietoja myös muissa tietojärjestelmissä ja tiedostoissa. Vastaanottokeskuksilla on lisäksi oma erillinen tietojärjestelmänsä turvapaikanhakijoiden vastaanoton potilasrekisterin potilastietojen käsittelyä varten.

Maahanmuuttovirasto ja säilöönottoyksiköt käsittelevät UMA-järjestelmässä säilöönoton asiakasrekisteriin kuuluvia tietoja. Säilöönottoyksiköt ylläpitävät lisäksi vierailijarekisteriä.

Kuntaanosoitusrekisteriä ylläpitävät elinkeino-, liikenne- ja ympäristökeskukset. Kuntaanosoitustietojen keskittäminen UMA-järjestelmään on valmisteilla.

2.2.1 EU:n tietosuojauudistus

Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetulla Euroopan parlamentin ja neuvoston direktiivillä 95/46/EY, jäljempänä henkilötietodirektiivi, oli kaksi pääasiallista tavoitetta: turvata henkilötietojen suoja perusoikeutena ja varmistaa henkilötietojen vapaa liikkuvuus sisämarkkinoilla. Henkilötietodirektiiviä sovellettiin sekä viranomaisten että yritysten suorittamaan henkilötietojen käsittelyyn. Direktiiviä täydennettiin useilla erityissäädöksillä, mukaan lukien niin sanottu sähköisen viestinnän tietosuojadirektiivi, teletunnistetietojen säilyttämistä koskeva direktiivi ja neuvoston puitepäätös 2008/977/YOS, jota sovellettiin poliisiyhteistyössä ja rikosoikeudellisessa yhteistyössä, jäljempänä tietosuojapuitepäätös.

Euroopan komissio antoi 25 päivänä tammikuuta 2012 ehdotuksen Euroopan unionin uudeksi tietosuojalainsäädännöksi. Komissio antoi ehdotuksen tietosuoja-asetukseksi KOM (2012) 11 lopullinen osana pakettia, johon kuului myös ehdotus tietosuojadirektiiviksi KOM (2012) 10 lopullinen. Tietosuoja-asetuksella vahvistetaan Euroopan unionin yleinen tietosuojakehys sekä tietosuojadirektiivillä henkilötietojen suojaaminen tilanteissa, joissa niitä käsitellään rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Säädökset annettiin 27.4.2016. Tietosuoja-asetus julkaistiin 4.5.2016 ja se tuli voimaan 24.5.2016. Säädöksen soveltaminen alkoi kahden vuoden kuluttua asetuksen voimaantulosta 25.5.2018. Tietosuojadirektiivissä säädetyn mukaisesti jäsenvaltioiden oli annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Tietosuojauudistus korvasi henkilötietodirektiivin sekä tietosuojapuitepäätöksen.

Uusi Euroopan unionin tietosuojalainsäädäntö perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohtaan, joka on Lissabonin sopimuksella käyttöön otettu uusi oikeusperusta henkilötietojen käsittelyä koskevalle lainsäädännölle. Sen mukaan unioni voi antaa henkilötietojen käsittelyä koskevaa lainsäädäntöä unionin oikeuden soveltamisalaan kuuluvilla aloilla. Lainsäädäntöuudistuksen tavoitteena oli luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys, vahvistaa yksilön oikeuksia ja sisämarkkinaulottuvuutta, tarkistaa rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevia tietosuojasäännöksiä, huomioida tietosuojan globaali ulottuvuus erityisesti digitaalisissa palveluissa sekä tehostaa tietosuojasääntöjen täytäntöönpanon valvontaa.

Oikeus henkilötietojen suojaan on perusoikeus, joka vahvistetaan Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa sekä Euroopan unionin perusoikeuskirjan, jäljempänä perusoikeuskirja, 8 artiklassa, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. Perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja. Artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 11 artiklan mukaan jokaisella on oikeus sananvapauteen. Tämä oikeus sisältää mielipiteenvapauden sekä vapauden vastaanottaa ja levittää tietoja tai ajatuksia viranomaisten siihen puuttumatta ja alueellisista rajoista riippumatta. Tiedotusvälineiden vapautta ja moniarvoisuutta kunnioitetaan. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

Euroopan unionin tuomioistuimen oikeuskäytännön mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa. Oikeuteen voidaan kohdistaa rajoituksia, jotka ovat oikeassa suhteessa tavoiteltuun päämäärään. Unionin tuomioistuimen oikeuskäytännöllä on ollut merkittävä rooli nyt jo kumotun henkilötietodirektiivin tulkinnassa ja soveltamisessa. EU:n tietosuojatyöryhmä WP 29 (WP29-työryhmä) puolestaan oli riippumaton EU:n työryhmä, joka käsitteli yksilöiden suojelua henkilötietojen käsittelyssä koskevia kysymyksiä tietosuoja-asetuksen soveltamisen aloittamiseen asti. Tietosuojaneuvosto jatkaa WP29-työryhmän toimintaa.

Tietosuoja-asetus sisältää 11 lukua, jotka käsittelevät yleisiä säännöksiä, periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia, yhteistyötä ja yhdenmukaisuutta, oikeussuojakeinoja, vastuuta ja seuraamuksia, tietojenkäsittelyyn liittyviä erityistilanteita, delegoituja säännöksiä ja täytäntöönpanosäännöksiä sekä loppusäännöksiä. Tietosuoja-asetus on suoraan sovellettavaa oikeutta ja sellaisenaan velvoittavaa lainsäädäntöä jäsenvaltioissa. Se ei edellytä erityistä täytäntöönpanoa. Tietosuoja-asetus tulee sovellettavaksi sekä julkisella että yksityisellä sektorilla. Vaikka tietosuoja-asetuksen tavoitteena on vahvistaa eurooppalaisen henkilötietojen suojaa koskevan lainsäädännön yhtenäisyyttä parantaen yksityisten henkilöiden oikeusturvaa ja tehostaen lainsäädännön täytäntöönpanoa, on kuitenkin pidetty välttämättömänä, että asetus jättää kohtuullisessa määrin liikkumavaraa kansalliselle lainsäätäjälle, jotta yhteiset säännökset voidaan sovittaa kansallisiin olosuhteisiin. Kansallinen lainsäädäntö on kuitenkin mahdollista ainoastaan asetuksen sen nimenomaan salliessa. Komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti, sillä kyse on asetuksesta, ei direktiivistä. Ministeriöiden hallinnonaloille kuuluvat säännökset on saatettava tietosuoja-asetuksen mukaiseksi vaikka normihierarkian näkökulmasta ristiriitatilanteiden ratkaiseminen asetuksen eduksi on selkeää. Ensimmäisessä vaiheessa on varmistuttava siitä, että kansallinen erityislainsäädäntö on mahdollista kansallisen liikkumavaran puitteissa. Tässä arvioinnissa tulee kiinnittää erityisesti huomiota henkilötietojen käsittelyn oikeudelliseen perustaan. Toisessa vaiheessa tulee arvioida, onko kansallinen erityislainsäädäntö välttämätöntä asetuksen säännösten täydentämiseksi. Mikäli kansallinen erityislainsäädäntö on välttämätöntä, tulee kolmannessa vaiheessa vielä varmistua siitä, että kansallinen erityislainsäädäntö on myös muilta osin asetuksen mukainen.

Tietosuojadirektiivissä on yhdeksän lukua. Luvut käsittelevät yleisiä säännöksiä, periaatteita, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia, yhteistyötä, oikeussuojakeinoja, vastuuta ja seuraamuksia, direktiivin täytäntöönpanoa sekä direktiivin loppusäännöksiä. Tietosuojadirektiivissä säädetyn mukaisesti jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lainsäädäntötoimenpiteet. Tietosuojadirektiivin täytäntöönpanolaki eli rikosasioiden tietosuojalaki on luonteeltaan rikosasioiden käsittelyssä tietosuojan osalta yleislakina noudatettava laki. Lakia soveltaisivat viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai niiden täytäntöönpanon. Tällaisia viranomaisia ovat muun muassa poliisi, Rajavartiolaitos, Tulli, syyttäjät, tuomioistuimet ja Rikosseuraamuslaitos. Nämä viranomaiset soveltaisivat ehdotettua lakia kuitenkin vain, kun ne käsittelevät henkilötietoja edellä mainitussa tarkoituksessa, eli esimerkiksi rikoksen selvittämisen yhteydessä tai käsiteltäessä rikosasiaa tuomioistuimessa. Lakia sovellettaisiin lisäksi toimivaltaisten viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Toimivaltaisia viranomaisia ovat tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin ehdotetun lain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta.

Asetuksen soveltamisalaan kuuluu lähtökohtaisesti kaikki viranomaisten suorittama henkilötietojen käsittely, jollei se kuulu direktiivin soveltamisalaan. Asetuksen ja direktiivin säännökset, jotka koskevat yleisiä henkilötietojen käsittelyyn liittyviä periaatteita, rekisterinpitäjää ja henkilötietojen käsittelyä sekä tietosuojaviranomaisia, ovat pääosin toisiaan vastaavia. Tällä on tarkoitus varmistaa, että yleiset henkilötietojen käsittelyä koskevat vaatimukset ovat mahdollisimman yhdenmukaiset jäsenvaltiosta tai rekisterinpitäjästä riippumatta. Oleellisimmat säädösten erot liittyvät direktiivin soveltamisalaan kuuluvien viranomaisten suorittaman henkilötietojen käsittelyn erityisluonteeseen rikosasioina, erityisesti siltä osin kuin kyse on mahdollisuuksista rajoittaa rekisteröidyn oikeuksia direktiivin soveltamisalaan kuuluvissa tapauksissa.

2.2.2 Maahanmuuttoa koskeva Euroopan unionin lainsäädäntö

Henkilötietojen käsittely sekä sen perustana olevat toimivaltasäännökset perustuvat kansallisen lainsäädännön lisäksi myös Euroopan unionin lainsäädäntöön. Useimmiten kyse on suoraan sovellettavasta oikeudesta, joka saa etusijan kansalliseen lainsäädäntöön nähden. Tarve henkilötietojen käsittelylle voi siten seurata suoraan unionin lainsäädännöstä ja henkilötietojen käsittely voi myös tapahtua suoraan unionin lainsäädännön nojalla. Sovellettavaksi voi vaihtoehtoisesti tulla ehdotettava maahanmuuttohallinnon henkilötietolaki.

Merkityksellistä sääntelyä sisältyy esimerkiksi seuraaviin instrumentteihin: Euroopan parlamentin ja neuvoston asetus (EU) N:o 604/2013, annettu 26 päivänä kesäkuuta 2013, kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta (jäljempänä vastuunmääritysasetus); Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, annettu 20 päivänä joulukuuta 2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä (jäljempänä SIS II-asetus); Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, annettu 26 päivänä kesäkuuta 2013, Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä sekä vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston perustamisesta annetun asetuksen (EU) N:o 1077/2011 muuttamisesta (uudelleenlaadittu) (jäljempänä Eurodac-asetus); Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, annettu 9 päivänä heinäkuuta 2008, viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta (jäljempänä VIS-asetus).

Komissio antoi kevään ja kesän 2016 aikana yhteensä seitsemän ehdotusta EU:n yhteisen turvapaikkapolitiikan uudistamiseksi (Common European Asylum System, jäljempänäCEAS). Ehdotuksilla pyritään vastaamaan vuonna 2015 kärjistyneeseen pakolaistilanteeseen ja tarpeeseen parantaa unionin alueelle suuntautuvan maahanmuuton hallintaa. Olemassa oleva sääntely ei ole ollut riittävää suurien hakijamäärien aiheuttamassa paineessa. Kaikki seitsemän ehdotusta ovat edelleen käsittelyssä EU:n toimielimissä. Toteutuessaan CEAS tulisi vaikuttamaan merkittävästi myös henkilötietojen käsittelyä koskevaan sääntelykokonaisuuteen.

Henkilötietojen käsittelyssä on noudatettava unionin henkilötietojen käsittelyä koskevia säännöksiä niissä tilanteissa, joissa unionin säännökset normihierarkian johdosta saavat etusijan. On mahdollista, että esimerkiksi tietojen käsittelytarkoituksia tai tietojen luovuttamista rajoitetaan unionin lainsäädännössä enemmän kuin nyt valmistelevana olevassa maahanmuuttohallinnon henkilötietolaissa. Esimerkiksi vastuunmäärittämisasetuksen 34 artiklan 7 kohdassa nimenomaisesti kielletään luovuttamasta vaihdettuja tietoja tietyn viranomaispiirin ulkopuolelle. Maahanmuuttohallinnon henkilötietolakia koskevan lakiehdotuksen 11 §:ssä säädettäisi ehdotettavan lain nojalla kerättyjen ja tallennettujen henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen, jolloin toimivaltaisten viranomaisten piiri voisi olla laajempi kuin 34 artiklassa. Lisäksi esimerkiksi kansainvälistä suojelua hakeneen henkilön asiaa koskevien tietojen poistamisesta on tällä hetkellä ehdotettu säädettäväksi menettelyasetusehdotuksessa ja uudelleensijoittamista koskevassa asetusehdotuksessa toisin kuin maahanmuuttohallinnon henkilötietolaissa. Näissä tapauksissa on kuitenkin kyse hyvin rajatuista poikkeuksista. Ehdotettavaan lakiin ei kuitenkaan informatiivisessa merkityksessä kirjattaisi poikkeuksia tai rajoituksia, joita unionin lainsäädäntö luo maahanmuuttohallinnon henkilötietolakiin. Valinta on perusteltu lainsäädännön säilyttämiseksi selkeänä ja ymmärrettävänä. Käytännössä on asiaa käsittelevän viranomaisen ammattitaidon ja riittävän ohjeistuksen varassa, että henkilötietojen käsittelyssä noudatetaan kaikkia asiaankuuluvia säännöksiä. Silloin, kun unionin lainsäädäntö ei sisällä henkilötietojen käsittelyä koskevaa sääntelyä, sovellettavaksi tulee kansallinen henkilötietojen käsittelyä sääntelevä normipohja, joka perustuu unionin tietosuojapakettiin.

2.2.3 Euroopan neuvoston yleissopimukset

Ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan neuvoston yleissopimuksen (SopS 18—19/1990), jäljempänä Euroopan ihmisoikeussopimus, 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

Vaikka henkilötietojen suojaa ei erikseen mainita Euroopan ihmisoikeussopimuksen 8 artiklassa, on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä henkilötietojen suoja katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa, ja toisaalta henkilötietojen suojalla on vaikutuksensa Euroopan ihmisoikeussopimuksen 10 artiklassa tarkoitetun sananvapauden käyttämiseen. Euroopan ihmisoikeustuomioistuimen ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (ks. esim. Euroopan ihmisoikeustuomioistuimen tuomio asiassa Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (ks. esim. S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 67, Leander v. Ruotsi, 26.3.1987, tuomion kohta 48).

Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä vuonna 1981 tehtyyn Euroopan neuvoston yleissopimukseen (ETS nro 108, SopS 36/1992), jäljempänä tietosuojasopimus, viitataan tietosuojadirektiivin johdanto-osan 68 kappaleessa. Euroopan unionin jäsenvaltioiden välisissä tilanteissa sovelletaan ensisijaisesti Euroopan unionin tietosuojalainsäädäntöä, mutta kaikki Euroopan unionin jäsenvaltiot ovat ratifioineet tietosuojasopimuksen. Yhteensä tietosuojasopimuksen on ratifioinut tähän mennessä 50 valtiota. Tietosuojasopimukseen liittyy lisäpöytäkirja (ETS nro 181) rajat ylittävistä henkilötietojen siirroista. Tietosuojasopimuksen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Henkilötietojen siirtojen tapauksessa tietosuojasopimusta sovellettaisiin tietosuoja-asetuksen ja tietosuojadirektiivin kolmansia maita koskevien säännösten lisäksi esimerkiksi niissä tilanteissa, joissa Euroopan unionin jäsenvaltion toimivaltainen viranomainen siirtää henkilötietoja kolmanteen maahan. Sovellettavaksi voisi tulla kuitenkin myös kyseessä olevan maan kanssa tehty kahdenvälinen sopimus, joka sisältää määräykset tietosuojasta tai määräykset, joissa viitataan kansalliseen lainsäädäntöön. Tietosuojasopimus on parhaillaan uudistettavana ja uusi yleissopimus korvaa nykyisen sopimuksen, kun riittävä määrä Euroopan neuvoston jäsenvaltioita on ratifioinut sen. Tietosuojasopimuksen määräysten soveltamisen rajoittaminen on mahdollista merkittävän yleisen edun vuoksi, esimerkiksi kansallisen turvallisuuden ja puolustuksen perusteella. Euroopan neuvostolla on myös eräitä muita yleissopimuksia, jotka sisältävät henkilötietojen käsittelyä koskevia säännöksiä.

2.2.4 Ulkomaiden lainsäädäntö

Euroopan unionin jäsenvaltioiden henkilötietojen käsittelyä koskeva lainsäädäntö on Euroopan unionin tietosuojauudistuksen kansallisen täytäntöönpanon vuoksi parhaillaan muuttumassa. Merkittävä osa kansallisesta erityislainsäädännöstä on sidottu tietosuoja-asetuksen asettamiin kattaviin ja yksityiskohtaisiin edellytyksiin. Tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran soveltamisessa on keskeistä valita kansallisiin erityispiirteisiin liittyviä sääntelytapoja. Tässä esityksessä on kuvattu ja vertailtu hyvin lyhyesti eräiden muiden Euroopan unionin jäsenvaltioiden tietosuojalainsäädäntöä sellaisena kun se on ennen tietosuojasääntelyn täytäntöönpanoa sekä niitä suunnitelmia, joita jäsenvaltiolla on maahanmuuttohallinnon näkökulmasta erityisen kiinnostavien sääntelykokonaisuuksien osalta.

Vertailumaista vain Ruotsissa ja Itävallassa on voimassa erillinen henkilötietolaki maahanmuuttohallinnossa. Muissa vertailumaissa henkilötietojen käsittelystä säädetään osana toimivaltaa luovaa lainsäädäntöä, useimmiten niin sanotussa ulkomaalaislaissa, joissain tapauksissa erillisenä itsenäisenä lukunaan. Yleisesti ottaen voidaan varovasti arvioida, että useimmissa vertailumaissa tietosuoja-asetus ei ole erityisen merkittävästi muuttanut tai tule muuttamaan lainsäädännön lähtökohtia. Rekisterinpitäjyyden osalta ei ole havaittavissa säännönmukaista sääntelymallia. Automaattista päätöksentekoa mahdollistavaa sääntelyä on vertailumaista voimassa vain Virossa, jossa automaattista päätöksentekoa hyödynnetään tehtyjä hallintopäätöksiä koskevien todistusten ja asiakirjojen myöntämiseen.

Ruotsissa on erillinen laki henkilötietojen käsittelystä maahanmuuttohallinnossa (Utlänningsdatalag [2016:27]). Laissa säädetään paikallisen maahanmuuttoviraston (Migrationsverket) ja muiden ulkomaalaisviranomaisten ja poliisiviranomaisten henkilötietojen käsittelystä ulkomaalais- ja kansalaisuuslain nojalla. Lain on arvioitu vastaavan sisällöltään melko hyvin tietosuoja-asetusta mutta lakia esitetään muutettavaksi niin, että jatkossa se vain täydentää tietosuoja-asetusta tarvittavilta osin. Muutosten suunniteltu voimaantuloajankohta on joulukuussa 2018. Maahanmuuttohallinnossa henkilötietoja käsitellään useissa tietojärjestelmissä ja rekistereissä. Rekisterinpitäjinä toimivat paikallinen maahanmuuttovirasto, ulkomaalaisviranomaiset sekä poliisiviranomaiset siltä osin kuin he käsittelevät henkilötietoja. Maahanmuuttovirasto vastaa ulkomaalaisviranomaisten automaattisesta henkilötietojen käsittelystä.

Norjassa maahanmuuttohallinnossa ei ole yhtä keskitettyä henkilötietolakia, vaan henkilötietojen käsittely sisältyy toimivaltaa luovaan lainsäädäntöön (The Immigration Act [Act of 15 May 2008 on the Entry of Foreign Nationals into the Kingdom of Norway and their Stay in the Realm]) sekä rekisteröitävän ulkomaalaisen suostumukseen. Maaliskuussa 2018 annettu hallituksen esitys tuo, mikäli se tulee hyväksytyksi, tiettyjä muutoksia, jotta henkilötietojen käsittely täyttäisi tietosuoja-asetuksen vaatimukset koskien erityisesti henkilötietojen käsittelyn tarpeellisuutta toimivaltalainsäädännön näkökulmasta ja tietojen minimointia. Tavoitteena on saattaa muutokset voimaan ennen kesää 2018. Norjassa on useita maahanmuuttohallinnon rekistereitä, joita käyttävät useat viranomaiset paikallisen maahanmuuttoviraston (The Directorate of Immigration) toimiessa rekisterinpitäjänä. Automaattisesta päätöksenteosta on säädettävä erikseen niiltä osin kuin se arvioidaan käyttöönotettavaksi.

Virossa henkilötietojen sääntelyä koskevassa yleislaissa (Personal Data Protection Act) säädetään yleiset edellytykset henkilötietojen käsittelylle. Maahanmuuttohallinnossa ei ole yhtä keskitettyä henkilötietolakia, vaan sääntely sisältyy useaan toimivaltaa maahanmuuttohallinnossa luovaan lakiin (Aliens Act [AA], Obligation to Leave and Prohibition on Entry Act [OLPEA] and Act on Granting International Protection to Aliens [AGIPA]). Henkilötietoja käsitellään useissa rekistereissä. Maahanmuuttohallinnossa on useita rekisterinpitäjiä, joiden välinen vastuu jakautuu rekisteripitäjien toimivallan nojalla. Virossa ei ole käytössä automaattista päätöksentekojärjestelmää asioissa, joihin liittyy harkintavallan käyttöä. Sen sijaan todistuksia voidaan tietyissä tilanteissa myöntää automaattista päätöksentekoa hyödyntäen silloin kun henkilölle on tehty hallintopäätös. Tietosuoja-asetuksen ei ole arvioitu merkittävästi muuttavan lainsäädännön lähtökohtia mutta se selkeyttää käsittelyn oikeusperustaa, tiedon suojaamista ja rekisteröidyn oikeuksia. Tietosuoja-asetuksesta seuranneet lainsäädäntömuutokset tulivat voimaan 25.5.2018.

Itävallassa on voimassa erillinen laki henkilötietojen käsittelystä maahanmuuttohallinnossa (Federal Act Laying Down General Stipulations Concerning Procedures Before the Federal Office for Immigration and Asylum in Relation to the Granting of International Protection, Residence Permits on Grounds Deserving of Consideration and Temporary Leave to Remain, the Imposition of Deportation Orders and Measures to Terminate Residence, and the Issuance of Austrian Documents to Aliens, so called BFA Procedures Act [BFA–VG]). Henkilötietoja käsitellään yhdessä rekisterissä. Tietosuoja-asetus ei tuo merkittävää muutosta lakiin. Henkilötietoja käsittelee usea viranomainen sisäministeriön toimiessa rekisterinpitäjänä. Itävallassa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

Hollannissa ei ole voimassa erillistä lakia henkilötietojen käsittelystä maahanmuuttohallinnossa vaan käsittely perustuu toimivaltaa luovaan lainsäädäntöön ja yleiseen henkilötietolakiin. Henkilötietolakia ollaan uudistamassa, mutta tietosuoja-asetus ei tuo erityisen merkittäviä muutoksia lainsäädäntöön. Henkilötietoja käsitellään useissa rekistereissä ja rekisterinpitäjinä toimivat oikeus- ja turvallisuusministeri (Minister of Justice and Security) sekä maahanmuuton hallinnonalalla toimivien organisaatioiden johtajat omien vastuualueidensa puitteissa. Hollannissa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

Belgiassa ei ole erillistä henkilötietolakia maahanmuuttohallinnon alalla, vaan sääntely sisältyy toimivaltaa luovaan lainsäädäntöön (Aliens Act 15/12/1980). Tietosuoja-asetuksen myötä lakia muutetaan niin, että siihen lisätään erillinen luku henkilötietojen käsittelystä maahanmuuton hallinnossa. Lainsäädäntöhankkeen aikataulu ei toistaiseksi ole selvillä. Henkilötietoja käsitellään useissa rekistereissä, joista vastaa yksi rekisterinpitäjä. Belgiassa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

Tietosuoja-asetus on sellaisenaan suoraan sovellettavaa oikeutta, joka ei edellytä erityistä täytäntöönpanoa lukuun ottamatta täydentävää sääntelyä siltä osin kuin tietosuoja-asetus sen kansallisen liikkumavaran nojalla nimenomaisesti mahdollistaa. Asetuksen tekstiä ei lähtökohtaisesti voi kansallisessa lainsäädännössä toistaa eikä asetusta myöskään selittää tai tulkita. Kansallista erityislainsäädäntöä tulee lukea yhdessä tietosuoja-asetuksen ja tietosuojalain kanssa. Muuttuneen säädösympäristön johdosta ja selkeän oikeustilan varmistamiseksi erityislainsäädäntöä on tarkistettava ja saatettava vastaamaan tietosuoja-asetusta ja tietosuojalakia, vaikka normihierarkian näkökulmasta ristiriitatilanteiden ratkaiseminen asetuksen eduksi on selkeää.

Tietosuoja-asetuksessa säädetään henkilötietojen käsittelystä. Ulkomaalaisrekisterilain sääntelytekniikka on rekisterilähtöinen, sillä siinä säädetään ulkomaalaisrekisteristä. Rekisterilähtöinen sääntelytapa on käytössä myös muussa maahanmuuttohallinnon lainsäädännössä. Sääntelytapa on ollut perusteltu ja tavanomainen erityisesti aikana ennen rekistereiden siirtymistä sähköiseen asianhallintaan. Viimeisten vuosikymmenien aikana tapahtunut tietojärjestelmien kehitys on kuitenkin mahdollistanut luopumisen henkilötietojen käsittelyalustoina toimivia rekistereitä koskevasta sääntelystä sekä keskittymisen säätämään henkilötietojen käsittelystä, yksityisyyden suojan ytimestä. Tämä lähtökohta omaksuttiin jo vuonna 1999 voimaan tulleessa henkilötietolaissa ja tietosuojalaki noudattaa samaa lähtökohtaa. Maahanmuuttohallinnossa tähän asti noudatettu rekisterilähtöinen sääntelytapa on vanhanaikainen sekä vaikeasti yhteensovitettavissa kansallisen yleis- ja erityislainsäädännön sekä tietosuoja-asetuksen kanssa. Maahanmuuttohallinnon rekisterisääntelyn pirstaloituneisuutta ulkomaalaisrekisterilain ja muun lainsäädännön välillä on myös pidettävä epätarkoituksenmukaisena kokonaisratkaisuna. Sekä lakia soveltavan viranomaisen, että rekisteröidyn oikeuksien näkökulmasta olisi tarkoituksenmukaista käsitellä tietyssä tarkoituksessa käsiteltävää henkilötietoa lähtökohtaisesti samojen säännösten nojalla riippumatta siitä, mihin hallinnonalan useista laeista viranomaisen toimivalta perustuu tai missä tietojärjestelmässä tietoa tosiasiallisesti hallinnoidaan. Käsittelytarkoituslähtöinen sääntelymalli olisi yhtenäinen EU:n tietosuojasääntelyn sekä myös kansallisen tietosuojaa koskevan yleislainsäädännön kanssa.

Ulkomaalaisrekisterilaki sisältää sääntelyä, josta tietosuoja-asetuksen sekä tietosuojalain lisäksi ei tule enää säätää erityislainsäädännössä. Tällaisia kokonaisuuksia ovat esimerkiksi rekisteröidyn oikeudet, henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturva ja henkilötietojen käsittely tilastointitarkoituksiin. Tietosuoja-asetuksen määritelmä rekisterinpitäjälle poikkeaa voimassaolevassa ulkomaalaisrekisterilaissa omaksutusta. Tietosuoja-asetuksesta seuraa tiettyjä sääntelytarpeita, joiden toteuttaminen edellyttää maahanmuuttohallinnon rekisterilainsäädännön tarkistamista. Tietosuoja-asetus edellyttää säädettävän esimerkiksi automaattisesta päätöksenteosta kansallisessa lainsäädännössä, mikäli tällaista menettelyä halutaan soveltaa.

Perustuslakivaliokunta on kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 2/2018 vp, s. 4—8, 11, PeVL 49/2017 vp, s. 3, PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Perustuslakivaliokunta on tietosuoja-asetuksen soveltamisen alkamisen johdosta katsonut olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista (PeVL 14/2018 vp). Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen tietosuojalain nojalla. Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Perustuslakivaliokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 14/2018 vp, s. 4—5, PeVL 31/2017 vp, s. 4, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa (PeVL 14/2018 vp, s. 5).

Ulkomaalaisrekisterilaissa on jossain määrin ylisääntelyn piirteitä siten, että se sisältää varsin yksityiskohtaista säätelyä tilanteissa, joissa se ei ole enää välttämätöntä, kuten tietosisällön tai henkilöllisen ulottuvuuden osalta. Yksityiskohtainen sääntely aiheuttaa jatkuvia lainmuutostarpeita. Lisäksi ulkomaalaisrekisterilaissa säädetään tiedonsaantioikeuksista ja tietojen luovuttamisesta silloinkin, kun niistä on jo säädetty muussa laissa. Säätämistapa on lain soveltajan kannalta ongelmallinen, koska tiedonvaihdon lainmukaisuus on tarkistettava vähintään kahdesta eri viranomaista koskevasta erityislaista. Lakiteknisesti tällainen kaksinkertainen sääntelytapa on kuitenkin omaksuttu yleisesti suomalaiseen oikeusjärjestelmään.

Perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Valiokunta on kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely, on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6). Maahanmuuttohallinnossa käsiteltävät tiedot koskevat usein arkaluonteisia henkilötietoja. Voimassa olevassa lainsäädännössä ei ole riittävästi huomioitu arkaluonteisten henkilötietojen erityisestä luonteesta seuraavaa tarvetta säätää näiden tietojen käsittelystä riittävän yksityiskohtaisesti. Yksilön oikeuksien toteuttamiseksi sekä oikeusturvanäkökulmasta on välttämätöntä säätää henkilötietojen käsittelystä maahanmuuttohallinnossa tietosuoja-asetusta ja tietosuojalakia täydentävästi. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön.

Perustuslakivaliokunta on lausunnossaan (PeVL 14/2018 vp, s. 4) kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Oikeusministeriön helmikuussa 2016 asettaman työryhmän (OM006:00/2016, TATTI-työryhmä) loppumietinnössä viitataan siihen, että tietosuoja-asetuksen johdanto-osan 45 kappaleen mukaan käsittelyllä tulisi joka tapauksessa olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tämä tarkoittaa, että viranomaisen tehtävä ja toimivaltuudet tulee kuvata lainsäädännössä niin, että henkilötietojen käsittelyn oikeusperusta ja tarkoitus voidaan perustellusti siitä johtaa toiminnan tavoite huomioon ottaen. Työryhmä viittaa kuitenkin myös siihen, että mainitussa johdanto-osan kappaleessa selvennetään, ettei tietosuoja-asetuksessa edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi siten olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi (TATTI-työryhmän mietintö s. 33). Perustuslakivaliokunnalla ei ole ollut huomauttamista tähän TATTI-työryhmän määrittelemään lähtökohtaan.

Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Niitä ovat henkilötietojen käsittelyn lainmukaisuus-, kohtuullisuus- ja läpinäkyvyysvaatimus, käyttötarkoitussidonnaisuus, tietojen minimointi, henkilötietojen täsmällisyys ja henkilötietojen säilytyksen rajaaminen. Koska asetus ei edellytä erityistä täytäntöönpanoa, periaatteiden osalta on asetuksen 6 artiklan 2 kohdan mukaisesti säädettävä täsmentävästi siltä osin kuin näillä erityisillä vaatimuksilla varmistetaan laillinen ja asianmukainen tietojenkäsittely.

Ulkomaalaisrekisterilakiin sisältyy yhteensä seitsemäntoista pykälää mutta se on useiden muutosten myötä muodostunut rakenteeltaan jossain määrin epäloogiseksi. Lain rakenteen uudelleenarviointi on edellytys perustuslakivaliokunnan edellyttämälle sääntelyn selkeydelle.

Rekisterilähtöisessä sääntelyssä lain soveltamisala on sidottu henkilötietojen keräämiseen ja tallentamiseen henkilörekisteriin sekä siihen tallennettujen tietojen käyttämiseen ja luovuttamiseen. Käyttötarkoitussidonnainen sääntelytapa puolestaan edellyttää lain soveltamisalan määrittämisen sen nojalla, missä tarkoituksessa henkilötietoja käsitellään. Lain soveltamisala olisi siten irrotettava rekistereistä ja tietojärjestelmistä. Koska henkilötietojen käsittely maahanmuuttohallinnossa olisi tarkoituksenmukaista keskittää yhteen lakiin, lain soveltamisala olisi laajennettava kattamaan voimassaolevan ulkomaalaisrekisterilain 2 §:ään sisältyvän rekisterinpitotarkoituksen lisäksi myös ne tarkoitukset, joissa vastaanottolain, säilölain ja kotoutumislain nojalla pidetään esityksessä aiemmin jaksossa 2.1.2 kuvattuja rekistereitä. Lain soveltajan näkökulmasta ja selkeyden vuoksi olisi perusteltua, että soveltamisala ei olisi päällekkäinen muiden henkilötietolakien soveltamisalojen kanssa.

Ulkomaalaisrekisterillä on laaja joukko rekisterinpitäjiä. Myös vastaanoton asiakasrekistereillä ja edustajarekisterillä sekä säilön asiakasrekistereillä ja vierailijarekisterillä on useita rekisterinpitäjiä. Tietosuoja-asetuksen 4 artiklan 7 alakohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka joko yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Edelleen todetaan, että jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjää tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

Siltä osin kuin kyseessä on viranomaistoimija, jonka toiminta perustuu lakisääteisiin tehtäviin, henkilötietojen käsittelyn tarkoitusten ja keinojen määrittäminen ei ole erityisen erottelukykyinen kriteeri, koska henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä. Tietosuoja-asetuksen 24 artiklassa rekisterinpitäjän vastuusta säädetään, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan asetusta. Teknisistä toimenpiteistä vastaa käytännössä tietojärjestelmän ylläpitäjä, mutta organisatoristen toimenpiteiden toteuttamista voidaan pitää yhtenä rekisterinpitäjyyttä määrittävänä osatekijänä. Lausunnossaan 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä, EU:n tietosuojatyöryhmä WP29-työryhmä on tuonut esiin rekisterinpitäjiä määrittävinä tekijöinä muun muassa kysymykset siitä, miksi henkilötietoja käsitellään ja kuka henkilötietojen käsittelyn on aloittanut. WP29-työryhmä on lausunnossaan korostanut, että vastuu jaetaan sinne, missä asiaan tosiasiallisesti vaikutetaan. Rekisterinpitäjän käsite on toiminnallinen käsite, jolla jaetaan vastuuta sinne, missä todellinen vaikutus on, ja joka näin ollen perustuu tosiasialliseen eikä niinkään muodolliseen analyysiin. Rekisterinpitäjän määrittelemiseen ei liity kansallista liikkumavaraa mutta rekisterinpitäjää määrittävien edellytysten tulkinta jää viime kädessä kansallisen tulkinnan varaan.

Esityksen valmistelussa on tulkittu, että viranomainen on rekisterinpitäjä, jos se käsittelee henkilötietoja omiin itsenäisiin tarkoituksiinsa omaten asiassa harkintavaltaa. Ulkomaalaisrekisterilaissa omaksuttu rekisterinpitäjän määrittely ei vastaa tietosuoja-asetuksen määrittämää rekisterinpitäjää. Ulkomaalaisrekisterilaissa mainitut rekisterinpitäjät eivät kaikki käsittele henkilötietoja sellaisessa roolissa, että he täyttäisivät tietosuoja-asetuksen rekisterinpitäjän määritelmän. Voimassaolevassa lainsäädännössä rekisterinpitäjien määrittämisessä merkitystä on annettu muun muassa mahdollisuudelle tallentaa tietoja ulkomaalaisrekisteriin. Tämän oikeuden antaminen on edellyttänyt kyseisen viranomaisen määrittämistä rekisterinpitäjäksi.

Tietosuoja-asetuksen johdanto-osan 79 kappaleen mukaan rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttävät, että asetuksessa säädetyt vastuualueet jaetaan selkeästi. Myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta. Rekisterinpitäjän yksilöinti lainsäädännössä on näin ollen tärkeää, koska tietosuoja-asetuksesta seuraa useita rekisterinpitäjälle kuuluvia velvoitteita, minkä vuoksi henkilötietojen käsittelyä koskevien erityissäännösten osalta tulee olla selvää, mikä taho vastaa rekisterinpitäjän velvoitteista.

Tietosuoja-asetuksen 26 artiklan mukaan rekisterinpitäjät ovat yhteisrekisterinpitäjiä, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Erityisesti järjestelyssä on määritettävä vastuut rekisteröityjen oikeuksien käytön sekä tietosuoja-asetuksen 13 ja 14 artiklan tietojen toimittamista koskevien velvollisuuksien osalta. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste. Järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien olisi oltava rekisteröidyn saatavilla. Maahanmuuttohallinnossa toimivista viranomaisista osa on tosiasiallisesti yhteisrekisterinpitäjiä.

Edelleen tietosuoja-asetuksen 26 artiklassa säädetään siitä, että yhteisrekisterinpitäjien keskinäisen järjestelyn ehdoista riippumatta rekisteröity voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan suhteessa kuhunkin yhteisrekisterinpitäjään ja kutakin yksittäistä yhteisrekisterinpitäjää vastaan. Yhteisrekisterinpitäjät eivät siis voi keskinäisellä järjestelyllään tehokkaasti ohjata rekisteröityä asioimaan vain tietyn yhteisrekisterinpitäjän kanssa. Tietosuoja-asetuksen johdanto-osan 79 kappaleessa on lisäksi tarkennettu, että rekisterinpitäjien velvollisuudet ja vastuut esimerkiksi valvontaviranomaisen suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttävät, että asetuksessa säädetyt vastuualueet jaetaan selkeästi myös silloin, kun kyse on yhteisrekisterinpitäjistä.

Tietosuoja-asetuksen 28 artiklassa säädetään henkilötietojen käsittelijästä. Tietosuoja-asetuksen 4 artiklan 8 alakohdan määritelmän mukaan ’henkilötietojen käsittelijällä’ tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Tämän esityksen 1. lakiehdotuksessa rekisterinpitäjiksi esitettävien viranomaisten roolia on tarkasteltu eri näkökulmista ja on selvää, että ne eivät ole henkilötietojen käsittelijöitä tietosuoja-asetuksen 28 ja 4 artiklassa säädetyssä tarkoituksessa. Monet vastaanottokeskusten, säilöönottoyksiköiden, ihmiskaupan uhrien auttamisjärjestelmän sekä Maahanmuuttoviraston palveluntarjoajat sen sijaan käsittelevät henkilötietoja tietosuoja-asetuksen mukaisessa henkilötietojen käsittelijän roolissa.

Henkilötietolain 6 luku sisältää säännökset rekisteröidyn oikeuksista. Ulkomaalaisrekisterilaissa ei ole säädetty erikseen rekisteröidyn oikeuksista lukuun ottamatta 4 a §:ssä poliisin ulkomaalaisrekisterissä pitämien tietojen osalta. Vastaanottolain 51 §:ssä viitataan puolestaan rekisteröidyn oikeuksien osalta henkilötietolain 6 lukuun. Rekisteröidyn oikeudet turvataan jatkossa tietosuoja-asetuksessa. Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia koskevassa luvussa on säännökset muun muassa rekisteröidyn informoinnista (12—14 artikla), rekisteröidyn oikeudesta saada pääsy tietoihin (15 artikla), oikeudesta tietojen oikaisemiseen (16 artikla), oikeudesta tietojen poistamiseen (17 artikla), oikeudesta käsittelyn rajoittamiseen (18 artikla), henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskevasta ilmoitusvelvollisuudesta (19 artikla), oikeudesta siirtää tiedot järjestelmästä toiseen (artikla 20) ja vastustamisoikeudesta (21 artikla) sekä automatisoiduista yksittäispäätöksistä (22 artikla). Rekisteröidyn oikeuksien turvaaminen toteutuu jatkossa lähtökohtaisesti suoraan tietosuoja-asetuksen nojalla.

Tietosuoja-asetuksen 23 artiklan nojalla rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12—22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata a) kansallinen turvallisuus; b) puolustus; c) yleinen turvallisuus; d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy; e) muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva; f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu; g) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano; h) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a—e ja g alakohdassa tarkoitetuissa tapauksissa; i) rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet; j) yksityisoikeudellisten kanteiden täytäntöönpano. Lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin a) käsittelytarkoitusta tai käsittelyn ryhmiä; b) henkilötietoryhmiä; c) käyttöön otettujen rajoitusten soveltamisalaa; d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen; e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä; f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja h) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.

Tietosuojalaissa on säädetty tietyistä tietosuoja-asetuksen mahdollistamista rajoituksista rekisteröidyn oikeuksiin. Tietyissä tarkasti rajatuissa tilanteissa rekisteröidyn oikeuksia on kuitenkin tarpeen rajoittaa erityislainsäädännössä edelleen rekisteröidyn yksityisyyden turvaamiseksi ja rekisteröidyn etua palvelevan käsittelyn joutuisuuden mahdollistamiseksi. Tarve rajoituksille liittyy tilanteisiin, joissa henkilön yksityisyyttä tulisi suojata rekisteröidyn tarkastusoikeutta käytettäessä varmistumalla henkilötietojen vastaanottajan henkilöllisyydestä tai joissa henkilön identiteettiä suojataan säätämällä yksilöidyistä tietojen poistoajoista tai virheellisen tiedon säilyttämisestä tai joissa yksilön etua suojataan varmistamalla niin rekisteröidyn kuin viranomaisen näkökulmasta sujuva päätöksenteko. Rekisteröidyn oikeudet turvataan näistä yksittäisistä rajoituksista huolimatta kattavasti tietosuoja-asetuksessa säädetyillä rekisteröidyn oikeuksilla.

Tietosuoja-asetuksen 9 artiklassa säädetään erityisten henkilötietoryhmien käsittelystä. Lähtökohtaisesti erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on kiellettyä. Tällaisina erityisinä henkilötietoryhminä pidetään 9 artiklan 1 kohdan mukaan henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Tämän lisäksi geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Tietosuoja-asetuksen 9 artiklan 2 kohdassa on säädetty tilanteista, joissa näitä tietoja on mahdollista käsitellä. Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan mukaan tietoja voidaan käsitellä, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Tietosuoja-asetuksen 10 artiklassa säädetään rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja ei voida suoraan rinnastaa tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Perustuslain säädöshierarkkisesta asemasta johtuen on selvää, että myöskään valiokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samastu henkilötietolain sääntelyyn. Perustuslakivaliokunta on johdonmukaisesti katsonut, että esimerkiksi biometriset tunnistetiedot rinnastuvat arkaluonteisiin tietoihin (ks. esim. PeVL 13/2016 vp, s. 4). Perustuslakivaliokunta on todennut, että sen käsityksen mukaan tietosuoja-asetuksen riskiperustaisesta lähestymistavasta seuraa, että kansallista yksityiskohtaista ja täsmällistä lainsäädäntöä voidaan säätää myös silloin, kun tietojen käsittely muodostaa erityisen riskin muulla kuin asetuksen 9 tai 10 artiklassa säädetyllä perusteella. Kansallisen sääntelyn tulee tällöinkin olla yhteensopivaa asetuksen 6 artiklan kanssa. Valiokunnan käsityksen mukaan valtiosääntöisesti arkaluonteisiksi arvioitavien henkilötietojen käsittelystä voidaan myös tietosuoja-asetuksen puitteissa säätää yksityiskohtaisesti. Perustuslakivaliokunta on kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (PeVL 15/2018 vp s. 38—39). Perustuslakivaliokunta on todennut, että vaikka on edelleen perusteltua kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi, EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp, s. 9).

Tietosuoja-asetus mahdollistaa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä säätämisen kansallisella lailla edellyttäen, että asetuksessa säädetyt erityiset edellytykset täyttyvät. Tietosuojalakia koskevan hallituksen esityksen 6 §:n 1 momentin 2 kohdassa on erikseen täsmennetty, että tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Tietosuojalakia kokevassa hallituksen esityksen 6 §:n 2 momentissa todetaan, että käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Momentti sisältää 11 kohdan listan toimenpiteistä, joihin kuuluvat esimerkiksi toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty, toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista sekä rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin.

Perustuslakivaliokunnan mielestä on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Siinä arkaluonteisten tietojen käsittely on rajattu täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 14/2018 vp).

Tietosuoja-asetuksen erityisiksi henkilötietoryhmiksi määrittelemiä henkilötietoja koskeva sääntely voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa ja säilölaissa ei sisällöltään kaikilta osin vastaa tietosuoja-asetuksen sääntelyä. Tietosuoja-asetuksen erityisiksi henkilötietoryhmiksi määrittelemien henkilötietojen sääntely edellyttää lisäksi yhteensovittamista kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavien tietojen kanssa. Kaiken kaikkiaan sääntely on lisäksi monimutkaista eikä tue riskiperusteista lähestymistapaa, joka korostaa erityisten henkilötietoryhmien käsittelyn edellyttämää erityistä huolellisuutta. Sääntelyn selkeyttämiseksi ja riskiperusteisen lähestymistavan toteuttamiseksi tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvia tietoja, tietosuoja-asetuksen 10 artiklan mukaisia erityisin edellytyksin käsiteltäviä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavia tietoja koskevaa sääntelyä tulee selkeyttää sekä tietyin osin merkittävästi täsmentää.

Normien purkaminen on yksi pääministeri Juha Sipilän hallituksen kärkihankkeista. Hankkeen tavoitteena on helpottaa yritysten toimintaa ja kansalaisten arkea sääntelyä keventämällä ja uudistamalla. Tällä tuetaan Suomen kasvua, vahvistetaan kilpailukykyä ja edistetään digitalisaatiota. Maahanmuuttovirasto on osana UMA-järjestelmän kehittämistä kehittänyt valmiutta automaattiseen päätöksentekoon. Automaattisen päätöksenteon keskeisenä tavoitteena on päätöksenteon tehostaminen. Maahanmuuttoviraston toimivaltaan kuuluu asiakokonaisuuksia, joissa automaattinen päätöksenteko mahdollistaisi osaltaan hallituksen kärkihankkeen saavuttamisen. Tietosuoja-asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi paitsi jos tämä on hyväksytty jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Automaattiseen käsittelyyn perustuvaa päätöksentekoa Maahanmuuttovirastossa ei ole mahdollistettu kansallisessa lainsäädännössä.

Esityksen tavoite on säätää uusi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Laki korvaisi ulkomaalaisrekisterilain sekä rekisterisäännökset vastaanottolaissa, säilölaissa ja kotoutumislaissa. Tavoitteena on henkilötietolaki, joka vastaa toimintaympäristössä tapahtuneisiin muutoksiin ja nykyaikaisen henkilötietojen suojan vaatimuksiin.

Esityksen keskeinen tavoite on, että uusi henkilötietolaki täyttää EU:n tietosuojalainsäädännön vaatimukset. Tietosuoja-asetus on maahanmuuttohallinnossa käsiteltävien henkilötietojen ensisijainen säädös. Tietosuoja-asetusta täydentää jatkossa kansallinen tietosuojalaki, joka on henkilötietojen käsittelyyn sovellettava yleislaki. Rikosasioiden tietosuojalaki tulee jatkossa yleislakina sovellettavaksi silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa poliisin tai Rajavartiolaitoksen toimesta. Tätä kokonaisuutta täydentävä ja täsmentävä uusi maahanmuuttohallinnon henkilötietolaki ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta vaan sitä sovellettaisiin yhdessä edellä mainittujen säädösten kanssa.

Ehdotettavalla henkilötietolailla varmistettaisiin maahanmuuttohallinnon säännösten yhteensopivuus tietosuoja-asetuksen kanssa niin, että tietosuoja-asetuksen tarkentamat edellytykset henkilötietojen käsittelylle voidaan täyttää viranomaisten toiminnassa. Tietosuoja-asetusta ja kansallista tietosuojalakia täydennettäisiin nyt ehdotettavalla erityislainsäädännöllä vain siltä osin kuin se on välttämätöntä. Vastaavasti huomioitaisiin rikosasioiden tietosuojalain säännökset siltä osin, kuin ehdotettava laki sisältää sen soveltamisalaan kuuluvaa sääntelyä. Sääntelyssä huomioitaisiin myös perustuslakivaliokunnan vaatimukset sääntelyn yksityiskohtaisuuden tasosta ja lainsäädännön selkeydestä (PeVL 14/2018 vp). Tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin kootusti yhdessä, nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa.

Hallittu maahanmuutto on tärkeä yhteiskunnallinen tavoite, jonka toteutumiseen osaltaan vaikutetaan toimivalla ja nykyaikaisella henkilötietojen käsittelyn sääntelyllä. Esitys on välttämätön siksi, että henkilötietojen käsittely lain soveltamisalan piirissä on edellytys sille, että viranomaiset voivat toteuttaa niille asetettuja lakisääteisiä tehtäviä. Tämän lisäksi esitys on välttämätön siksi, että tavoitteena on suojata rekisteröitävien henkilöiden yksityisyyttä. Perustuslain 10 §:n mukainen yksityiselämän suoja edellyttää, että maahanmuuttohallinnossa käsiteltävien henkilötietojen suojasta on säädettävä nimenomaan lailla.

Maahanmuuttohallinnon henkilötietolakia sovellettaisiin varsin laajaan joukkoon pääasiassa ulkomaalaisia henkilöitä, joiden osalta tulee hyvin laajasti käsiteltäväksi henkilöiden yksityiselämään kuuluvia ja usein myös arkaluonteisia tietoja. Tietosuoja-asetuksen edellyttämä riskiperusteinen lähestymistapa puoltaa valittua sääntelytapaa, jossa otetaan huomioon sekä valtion että yksittäisen rekisteröidyn suojattavat edut. Näitä tavoitteita toteuttava lainsäädäntö myös lisää luottamusta suomalaiseen viranomaistoimintaan.

Esityksen keskeinen tavoite on, että laki henkilötietojen käsittelystä maahanmuuttohallinnossa perustuisi viranomaisten toimivaltaa koskeviin säännöksiin. Ehdotettava maahanmuuttohallinnon henkilötietolaki ei lähtökohtaisesti perustaisi toimivaltaa viranomaisille vaan viranomaisten toimivalta perustuisi muuhun hallinnonalan lainsäädäntöön. Henkilötietojen käsittelyä koskevalla säännöksellä ei voida säätää toimivallasta. Maahanmuuttohallinnon henkilötietolaissa ei säädettäisi asioista, joista toimivaltasäännöksissä on kertaalleen säädetty.

4.2.1 Rekisteri-, käyttötarkoitus- tai tietojärjestelmäperusteinen sääntely

Valmistelussa on tunnistettu käsittelytarkoituksiin sidotun lähtökohdan osalta tiettyjä haasteita liittyen maahanmuuttohallinnossa toimiviin jopa poikkeuksellisen lukuisiin viranomaisiin, jotka käsittelevät henkilötietoja useissa erilaisissa rooleissa ja varsin erilaisissa käsittelytarkoituksissa. Valmistelussa on tunnistettu haasteita myös useiden käytettävien tietojärjestelmien kokonaisuuteen sekä useiden henkilötietolakien osittain päällekkäisiin soveltamisaloihin liittyen. Kun henkilötietolakien soveltamisalat eivät ole sidoksissa helposti tunnistettaviin tietojärjestelmiin tai rekistereihin, vaan henkilötietojen käsittelytarkoituksiin, sovellettavan henkilötietolain tunnistaminen yksittäistapauksessa voi olla tulkinnanvaraista, jos on kyse usean viranomaisen henkilötietolain soveltamisalan piiriin kuuluvasta henkilötiedon käsittelytarkoituksesta. Tällainen tilanne on esimerkiksi henkilötiedon käsitteleminen kansallisen turvallisuuden suojaamisen tarkoituksessa.

Valmistelussa on arvioitu mahdollisuutta pitäytyä rekisteri- tai tietojärjestelmäpohjaisessa sääntelyssä käsittelytarkoituksiin sidotun sääntelyn sijaan. Käsittelytarkoituslähtöisyyden omaksumista puoltaa se, että se on lähtökohta sekä tietosuoja-asetuksessa, tietosuojalaissa että pääsääntöisesti muussa kansallisessa erityislainsäädännössä erityisesti sisäministeriön hallinnonalalla. Henkilötietolainsäädännössä ei tulisi säätää teknisistä ratkaisuista, vaan henkilötietojen käsittelyä koskevista säännöistä ja periaatteista, jotka ohjaavat käsittelyn mahdollistavia ja käsittelyä tukevia teknisiä ratkaisuja.

Koska tietosuoja-asetuksen lähtökohta on, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla, henkilötietojen käsittelyn sitominen tiettyyn rekisteriin tai osarekisteriin ei välttämättä toteuta käyttötarkoitussidonnaisuutta. Koska tietosuoja-asetuksen käsittelytarkoituslähtöisyys velvoittaa suoraan sovellettavana joka tapauksessa, henkilötietojen käsittelyn sitominen tiettyyn alustaan olisi tietojen käsittelyn näkökulmasta merkityksetöntä. On kuitenkin huomioitava, että rekisteriperusteinen ja käsittelytarkoituslähtöinen sääntely eivät käytännössä tosiasiallisesti välttämättä eroa merkittävästi toisistaan, vaan kyse on lähinnä erilaisesta säännösten kirjoitustavasta.

4.2.2 Keskitetty tai hajautettu henkilötietojen sääntely

Maahanmuuttohallinnolla ei ole ollut keskitettyä henkilötietolakia, vaan henkilötietojen käsittelyä koskeva sääntely on hajautettu eri lakeihin. Ulkomaalaisrekisterilakiin on keskitetty tietyt säännökset, mutta osittain sääntely sisältyy muihin lakeihin. Hankkeessa on arvioitu mahdollisuutta pitäytyä jaottelussa, jossa henkilötietojen käsittelyä koskeva sääntely toteutettaisiin nykyistä jaottelua vastaavasti osittain nyt ehdotettavassa maahanmuuttohallinnon henkilötietolaissa ja osittain muussa lainsäädännössä. Tällöin maahanmuuttohallinnon uuden henkilötietolain soveltamisala olisi tässä esityksessä esitettyä rajatumpi. Muualle lainsäädäntöön jäävät säännökset olisi kuitenkin joka tapauksessa uudistettava paitsi kansallisista tarpeista niin myös EU:n tietosuojauudistuksen johdosta. Lisäksi voimassaolevan jaottelun on arvioitu perustuvan käytännössä enemmän historialliseen kehitykseen kuin perusteltuun ratkaisuun. On pidetty perusteltuna, että henkilötietoja käsitellään maahanmuuttohallinnon alalla jatkossa samojen säännösten nojalla riippumatta siitä, minkä lain mukaisesta käsittelytarkoituksesta on kyse. Keskitettyä sääntelytapaa puoltaa myös se, että henkilötietoja käytännössä käsitellään suurelta osin Maahanmuuttoviraston ylläpitämässä UMA-järjestelmässä. On tarkoituksenmukaista, että samassa tietojärjestelmässä olevia henkilötietoja käsitellään samojen säännösten nojalla huomioiden kuitenkin tarvittavat käsittelyn erityispiirteet riittävän kattavasti.

4.2.3 Lain soveltamisala

Valmistelussa on arvioitu vaihtoehtoa, että maahanmuuttohallinnon henkilötietolain soveltamisalan ulkopuolelle jäisi kansallisen turvallisuuden suojaamisen tarkoituksessa toteutettu henkilötietojen käsittely silloin, kun henkilötietoja ei käsitellä osana maahanmuuttoprosessia. Tällöin henkilötietojen käsittely tapahtuisi kyseisen virnaomaisen oman, esimerkiksi poliisin henkilötietolain, nojalla. Maahanmuuttohallinnon henkilötietolain nojalla kerättyjen henkilötietojen käyttäminen kansallisen turvallisuuden suojaamisen tarkoituksessa toteutettaisiin joko tiedonluovutussäännöksellä tai säätämällä henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa. Tämä vaihtoehto sulkisi pois myös soveltamisalan kiinnittymisen rikosasioiden tietosuojalakiin, jota olisi lain selkeyden näkökulmasta pidettävä tarkoituksenmukaisena. Koska henkilötietojen käsittely maahanmuuttohallinnossa on keskeinen osa sisäisen turvallisuuden toteuttamista ja koska on välttämätöntä varmistaa maahanmuuttohallinnossa kerättyjen henkilötietojen käsittely kansallisen turvallisuuden suojaamisen tarkoituksessa nykytilaa vastaavasti, ehdotuksessa esitettävä lain soveltamisala kattaisi henkilötietojen käsittelyn myös kansallisen turvallisuuden suojaamisen tarkoituksessa.

4.2.4 Rekisterinpitäjät

Maahanmuuttohallinnon alalla toimii poikkeuksellisen suuri määrä viranomaisia tehtävissä, joissa he käsittelevät henkilötietoja ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä. Lisäksi julkista hallintotehtävää hoitavat usein esimerkiksi yksityiset vastaanottokeskukset. Valmistelussa on arvioitu näiden roolia maahanmuuttohallinnon henkilötietolain näkökulmasta.

Tietosuoja-asetus ei tarjoa erityisen selkeitä kriteereitä rekisterinpitäjän määrittämiseksi tilanteessa, jossa toimivalta perustuu lainsäädäntöön. Tietosuoja-asetuksen 26 artiklan mukaan rekisterinpitäjä määrittää käsittelyn tarkoituksen ja keinot, mutta silloin kun tarkoitukset ja keinot on määritelty lainsäädännössä, tämä kriteeri ei ole erityisen erottelukykyinen. Lausunnossaan 1/2010 rekisterinpitäjän ja henkilötietojen käsittelijän käsitteistä, EU:n tietosuojatyöryhmä WP29-työryhmä on tuonut esiin rekisterinpitäjiä määrittävinä tekijöinä muun muassa sen, miksi henkilötietoja käsitellään, kenen tarkoituksiin henkilötietoja käsitellään, kuka henkilötietojen käsittelyn on aloittanut, onko tehtäviä mahdollista hoitaa ilman henkilötietojen käsittelyä sekä kenellä asiassa on harkinta- ja päätösvaltaa. Vaikka lausunto on melko vanha, sen peruslinjaukset ovat edelleen hyväksyttyjä EU-oikeudessa. EU:n tietosuojaryhmä WP29-työryhmä on lausunnossaan korostanut, että vastuuta jaetaan sinne, missä asiaan tosiasiallisesti vaikutetaan. Valmistelussa on tarkasteltu maahanmuuttohallinnossa toimivien viranomaisten lakisääteisiä tehtäviä sekä pyritty tunnistamaan tapahtuuko henkilötietojen käsittely määritellyllä tavoin itsenäisesti, harkintavaltaa käyttäen ja omien lakisääteisten tehtävien toteuttamiseksi.

Vaihtoehtona on arvioitu mallia, jossa rekisterinpitäjänä UMA-järjestelmässä toimisi vain Maahanmuuttovirasto ja kansallisessa viisumitietojärjestelmässä vain ulkoministeriö. Tämä edellyttäisi henkilötietoja maahanmuuttohallinnon alalla käsittelevien tahojen määrittelemistä henkilötietojen käsittelijöiksi sekä erillistä sopimista siitä, miltä osin nämä tahot käsittelevät henkilötietoja sekä toteuttavat rekisteröidyn oikeuksia, kuten informointivelvollisuutta, jota rekisterinpitäjän ei käytännössä olisi mahdollista toteuttaa. Tietosuoja-asetuksen 28 artiklan mukaisesti henkilötietojen käsittelijä toimisi Maahanmuuttoviraston tai ulkoministeriön lukuun. Tällöin olisi kuitenkin säädettävä erikseen kaikista niistä vastuista, joita kyseisillä henkilötietojen käsittelijöillä olisi sen periaatteen mukaisesti, että vastuun on kohdistuttava sinne, missä se tosiasiallisesti on. Valmisteluvaiheessa perusteena tälle ratkaisuvaihtoehdolle on esitetty, että tiettyjen viranomaisten osuus maahanmuuttohallinnon alalla käsiteltävistä henkilötiedoista on melko pieni ja tietoja käsitellään myös osana muiden viranomaisten prosesseja.

Valmistelussa on kuitenkin todettu, että vaikka usean yhteisrekisterinpitäjän sääntelymalli ei ole erityisen selkeä, niin se kuvaa maahanmuuttohallinnon tosiasiallista tilannetta, jossa usea viranomainen käsittelee henkilötietoja omien lakisääteisten tehtäviensä toteuttamiseksi ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä. Tietyiltä osin yhteisrekisterinpitäjien vastuuta on kuitenkin keskitetty järjestelmien ylläpitäjille sekä toisaalta sellaisille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat henkilötietojen sisältöön. Oikeusturvan toteutumisen kannalta on pidetty merkittävänä periaateratkaisuna, että kaikissa tilanteissa vastuu henkilötietojen käsittelystä on sillä viranomaisella, jolle vastuu tosiasiallisesti kuuluu. Tämä on myös tietosuoja-asetuksen lähtökohta.

4.2.5 Henkilötietojen tiedonsaantioikeutta koskeva sääntely

Tiedonsaantioikeus on toimivaltaa viranomaiselle luova oikeus. Tämän johdosta tiedonsaantioikeuksien sijoittaminen toimivaltaa viranomaisille luovaan lainsäädäntöön olisi sekä perusteltu että esityksen kokonaisuuden mukainen ratkaisu. Maahanmuuttohallinnossa on kuitenkin suuri määrä viranomaisille toimivaltaa luovia lakeja. Toimivaltaa luovien lakien lukumäärä vaikuttaisi tulevaisuudessa todennäköisesti ennemmin kasvavan kuin vähenevän. Tiedonsaantioikeuksien sijoittaminen toimivaltaa luovaan lainsäädäntöön tarkoittaisi varsin samantyyppisten säännösten monistamista useisiin lakeihin. Tästä syystä esityksessä on päädytty ehdottamaan Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden lain soveltamisalan piiriin kuuluvien tiedonsaantioikeuksien keskittämistä ehdotettavaan maahanmuuttohallinnon henkilötietolakiin. Lisäksi ehdotuksessa säädettäisiin ELY-keskusten ja TE-toimistojen tiedonsaantioikeuksista. Valinta on perusteltu kokonaisuuden selkeyden näkökulmasta. Muiden toimijoiden tiedonsaantioikeudet on jätetty nykytilaa vastaavasti toimivaltaa luoviin lakeihin.

4.2.6 Automatisoidut yksittäispäätökset

Valmistelussa on arvioitu mahdollisuutta rajata automaattisen päätöksenteon kohteena olevia päätöstyyppejä esimerkiksi pelkästään myönteisiin päätöksiin. Valmistelussa on kuitenkin tunnistettu sellaisia Maahanmuuttoviraston tekemiä kielteisiä päätöksiä, joihin olisi tarkoituksenmukaista tehdä automatisoituja yksittäispäätöksiä erityisesti niihin liittyvän harkintavallan puuttumisen vuoksi. Tällaisia päätöksiä ovat esimerkiksi TE-toimistojen tekemistä kielteisistä osapäätöksistä lain mukaan seuraavat kielteiset oleskelulupapäätökset. Maahanmuuttovirastolla ei ole kyseisissä päätöksissä harkintavaltaa.

Valmistelussa on myös arvioitu automaattisen päätöksenteon rajaamista lasta koskevassa asiassa. Valmistelussa on kuitenkin todettu, että tietyissä tilanteissa voi olla lapsen edun mukaista tehdä asiassa nopea automaattinen päätös. Täysin automatisoituja yksittäispäätöksiä, jotka kohdistuvat lapseen, voisi olla lapsen edun mukaista tehdä esimerkiksi jatkolupahakemuksiin, jolloin edellytykset, joiden perusteella edellinen oleskelulupa on myönnetty, ovat edelleen olemassa. Mikäli automaattista päätöstä ei kohdistettaisi lapsiin, joutuisivat esimerkiksi lapsiperheet yllä kuvatuissa jatkolupahakemustilanteissa odottamaan, että luonnollinen henkilö käsittelisi asian. Vaikka Maahanmuuttoviraston käytännön toiminnassa pyritään asettamaan lapset ja lapsiperheet etusijalle, olisi käsittely kuitenkin tällaisessa tapauksessa hitaampaa kuin automaattisessa päätöksenteossa. Tämä asettaisi lapset systemaattisesti muita huonompaan asemaan.

Valmistelussa on myös arvioitu sitä, antaako tietosuoja-asetus rekisteröidylle oikeuden vaatia luonnollisen henkilön osallistumista käsittelyyn. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla automatisoitu yksittäispäätös voidaan tehdä, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan tällaisessa käsittelyssä olisi sovellettava aina asianmukaisia suojatoimia, joihin olisi kuuluttava oikeus vaatia luonnollisen henkilön osallistumista tietojen käsittelemiseen.

Valmistelussa on arvioitu asettaako kyseinen kappale velvollisuuden säätää rekisteröidylle oikeuden vaatia luonnollisen henkilön osallistumista tietojensa käsittelyyn. Johdanto-osalla ei ole sitovaa oikeusvaikutusta mutta ne on otettava huomioon tulkittaessa artikloja. Oikeudellisesti sitovat säännökset sisältyvät säädöksen artikloihin. Vaikka johdanto-osalla ei ole sitovaa oikeusvaikutusta, johdanto-osan kappaleilla voi kuitenkin olla oikeudellisia vaikutuksia. Tietyissä olosuhteissa johdanto-osan kappaleet voivat antaa yksittäisille henkilöille aihetta oikeutettuihin odotuksiin, tai ne voivat rajoittaa tällaisia odotuksia (Euroopan unionin neuvoston säädöskäsikirja 2002, s. 83). Valmistelussa onkin harkittu voiko rekisteröity perustellusti odottaa, että hänellä olisi oikeus vaatia luonnollisen henkilön osallistumista tietojen käsittelemiseen, kun kyseessä on 22 artiklan 2 kohdan b alakohdan mukainen tilanne. Tietosuoja-asetuksen 22 artiklan 3 kohdan mukaan suojatoimiin kuuluu oikeus vaatia, että luonnollinen henkilö käsittelee henkilötietoja vain 2 kohdan a ja c alakohdissa tarkoitetuissa tapauksissa, eikä kyseessä olevan alakohdan b mukaisissa tilanteissa. Mikäli lainsäätäjä olisi halunnut nimenomaisesti myöntää tällaisen oikeuden myös alakohdan b mukaisiin tilanteisiin, olisi perusteltua odottaa, että myös alakohdan b mukaisista tilanteista olisi säädetty 22 artiklan 3 kohdassa. Nyt 3 kohta kattaa muut tilanteet, joissa automaattinen päätöksenteko mahdollistetaan paitsi kyseessä olevan b alakohdan. Valmistelussa on todettu, että rekisteröity ei voi perustellusti odottaa, että hänellä olisi oikeus vaatia luonnollisen henkilön osallistumista henkilötietojensa käsittelemiseen.

4.2.7 Säätäminen kansallisesti Euroopan unionin asetuksesta seuraavasta velvoitteesta tallentaa henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin

Valmistelussa on arvioitu tarvetta säätää kansallisesti Euroopan unionin asetuksesta seuraavasta velvoitteesta tallentaa henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin ottaen huomioon tietosuoja-asetuksen 6 artiklan 3 alakohdan mukainen edellytys, jonka mukaan lakisääteisen velvoitteen noudattamiseksi tarpeellisen henkilötietojen käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Voimassa olevassa poliisin henkilötietolain 36 §:ssä on säädetty Maahanmuuttoviraston, poliisin ja Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä Schengenin tietojärjestelmään toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskevan Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1987/2006 mukaisia henkilötietoja. Myös poliisin henkilötietolakia ollaan parhaillaan uudistamassa ja tässä yhteydessä nykyistä säännöstä ollaan kaventamassa koskemaan vain poliisia. Rajavartiolaitos on arvioinut tarpeelliseksi säätää tietojen luovutuksesta Schengenin tietojärjestelmään jatkossa Rajavartiolaitoksen henkilötietolaissa. Valmistelussa on huomioitu myös, että Schengenin tietojärjestelmän lisäksi Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuja Euroopan unionin yhteisiä tietojärjestelmiä on useita. Tällaisia ovat Eurodac-järjestelmä, viisumitietojärjestelmä (VIS), Rajanylitystietojärjestelmä (EES) sekä EU:n matkustustieto- ja -lupajärjestelmä (ETIAS). Näiden tietojärjestelmien säädöspohjan muodostavat Eurodac-järjestelmää koskeva Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, viisumitietojärjestelmää (VIS) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, rajanylitystietojärjestelmää (EES) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226 sekä EU:n matkustustieto- ja -lupajärjestelmää (ETIAS) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240.

Valmistelussa on arvioitu, että kaikista näistä asetuksista seuraa asetuksessa täsmällisesti yksilöityjä velvoitteita kansallisille viranomaisille henkilötietojen käsittelyyn. Se voi tarkoittaa tiettyjen kussakin asetuksessa nimettyjen henkilötietojen, myös arkaluoteisten tietojen kuten sormenjälkien, tallentamista tai päivittämistä yhteiseen eurooppalaiseen tietojärjestelmään tai yhteiseen tietojärjestelmään kerättyjen henkilötietojen käyttämistä kansallisen viranomaisen omassa toiminnassa. Valmistelussa on todettu, ettei tällaisesta suoraan asetuksesta seuraavasta tietojen käsittelyn velvoitteesta ole välttämätöntä säätää erikseen johtuen asetuksen suorasta sovellettavuudesta, ja siitä, että käsiteltävien henkilötietojen sisältö on määritelty tyhjentävästi asetuksissa. Asetuksissa ei ole määritelty henkilötietojen käsittelyyn oikeutettua viranomaista, mutta asetus velvoittaa jäsenvaltion notifioimaan tällaiset viranomaiset erikseen komissiolle, joten henkilötietojen käsittelyyn oikeutettujen viranomaisten piiriä on tältä osin rajattu. Hallinnonalan muiden viranomaisten kanssa yhdenmukaisen ratkaisun saavuttamiseksi sekä selkeyden näkökulmasta on kuitenkin päädytty säätämään henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

4.3.1 Maahanmuuttohallinnossa käsiteltävien henkilötietojen sääntelyn keskittäminen

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Laki korvaisi ulkomaalaisrekisteristä annetun lain, joka ehdotetaan kumottavaksi. Ehdotettavaan lakiin keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuton hallinnonalan muista laeista. Esitykseen liittyvät ehdotukset laeiksi kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain, säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain, kotoutumisen edistämisestä annetun lain, kansalaisuuslain, Maahanmuuttovirastosta annetun lain, turvallisuusselvityslain, Harmaan talouden selvitysyksiköstä annetun lain, viranomaisten toiminnan julkisuudesta annetun lain ja ulkomaalaislain muuttamisesta. Tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, joka täydentää tietosuoja-asetusta, tietosuojalakia ja kansallisen turvallisuuden suojaamisen osalta rikosasioiden tietosuojalakia ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavaa lakia.

4.3.2 Henkilötietojen käsittelyn oikeusperusta

Tietosuoja-asetusta täydentävä tai täsmentävä kansallinen lainsäädäntö on mahdollista ainoastaan silloin, kun se tietosuoja-asetuksessa nimenomaisesti sallitaan. Kansallinen liikkumavara perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtiin sekä erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin. Lisäksi asetuksessa on useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta.

Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Rekisterinpitäjillä on siten oltava toimivaltansa puitteissa lakisääteisiä tehtäviä, joiden toteuttamiseksi henkilötietojen käsittely on tarpeen. Pelkästään henkilötietojen käsittelyä koskevan säännöksen perusteella ei voi käsitellä henkilötietoja eikä sitä voi tehdä laajemmin kuin mitä on perusteltua tehtävä- ja toimivaltasäännöksen kannalta. Koska viranomaisten toimesta tapahtuva henkilötietojen käsittely maahanmuuttohallinnossa on lakisääteistä, sovellettava oikeusperusta on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetus edellyttää täydentävää sääntelyä silloin, kun henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteeseen. Henkilötietojen käsittelyä maahanmuuttohallinnossa ei voi tarkoituksenmukaisesti toteuttaa ilman tietosuoja-asetusta täsmentävää kansallisen liikkumavaran puitteissa toteutettua sääntelyä tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdassa tarkoitetulla tavalla. Tämän esityksen henkilötietojen käsittelyn oikeusperusta on siten tietosuoja-asetuksen mukainen.

Kun henkilötietojen käsittelystä säädetään kansallisessa laissa asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperuste voi sisältää 6 artiklan 2 ja 3 kohdan mukaan erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Kansallinen lainsäädäntö voi koskea yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä, asianomaisia rekisteröityjä, yhteisöjä, joille ja tarkoituksia, joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4.3.3 Henkilötietojen käsittelyn tavoite

Maahanmuuttohallinnon henkilötietolain tavoitteena on turvata rekisteröidyn perustuslaissa turvattu yksityisyyden suoja parhaalla mahdollisella tavalla. Tavoitteena on varmistaa henkilötietojen käsittelyn lainmukaisuus sekä yleinen järjestys ja turvallisuus mahdollistamalla viranomaisten toimivaltaan kuuluvien lakisääteisten tehtävien hoitaminen.

Henkilötietojen käsittelyyn liittyvää lainsäädäntöä maahanmuuttohallinnossa on kuvattu edellä jaksossa 2.1.2. Viranomaisille näissä laeissa säädettyjä tehtäviä ei ole mahdollista toteuttaa ilman henkilötietojen käsittelyä, koska tehtävät liittyvät henkilöille myönnettäviin oikeuksiin, palveluihin ja velvoitteisiin. Henkilöiden yksilöiminen on paitsi välttämätöntä, myös henkilöiden itsensä edun mukaista.

Henkilötietoja käsiteltäessä lähtökohtana ovat tietosuoja-asetuksen sisältämät henkilötietojen käsittelyä koskevat periaatteet. Tietosuoja-asetus edellyttää, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

4.3.4 Käsittelytarkoituksiin perustuva henkilötietojen käsittely ja lain soveltamisala

Euroopan unionin tietosuojalainsäädännöstä ei seuraa rajoitteita sen suhteen, valitaanko kansalliseen lainsäädäntöön rekisteripohjainen vai käsittelytarkoituksiin perustuva sääntelyratkaisu. Ulkomaalaisrekisterilaissa omaksuttu rekisterilähtöinen sääntely ehdotetaan korvattavaksi henkilötietojen käsittelytarkoituksia koskevalla sääntelyllä. Sääntelytapa olisi yhdenmukainen tietosuoja-asetuksen, tietosuojalain, rikosasioiden tietosuojalain sekä sisäministeriön hallinnonalan muussa erityislainsäädännössä omaksutun lähtökohdan kanssa. Tietosuoja-asetus edellyttää, että käsittelyn tarkoitukset ilmenevät riittävän täsmällisesti käsittelytarkoituksia koskevista säännöksistä. Esityksessä ehdotetaan säädettävän henkilötietojen käsittelytarkoituksista pääperiaatteiltaan nykyistä ulkomaalaisrekisterilain sisältöä vastaavasti mutta laajentamalla henkilötietojen käsittelytarkoitukset kattamaan lisäksi voimassaolevan vastaanottolain, säilölain sekä kotoutumislain rekisterisäännösten sisältämät henkilötietojenkäsittelytarkoitukset. Henkilötietojen käsittely perustuisi kullekin rekisterinpitäjälle toimivaltaa luovaan lainsäädäntöön.

Lakiehdotuksessa henkilötietojen käsittelytarkoitukset muodostaisivat ehdotettavan lain soveltamisalan. Maahanmuuttohallinnon henkilötietolakia sovellettaisiin silloin, kun henkilötietoja käsitellään lain 1 §:ssä ehdotetuissa tarkoituksissa.

Tietosuojalakia koskevan hallituksen esityksen mukaan tietosuoja-asetus tulisi sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetuksen soveltamisalan laajentaminen ei koske tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty. Esityksessä ei ehdoteta säädettäväksi asiasta toisin.

Käsittelytarkoituksiin perustuva sääntelytekniikka tarkoittaa, että nykymuotoisesta rekistereihin ja tietojärjestelmiin sidotusta henkilötietojen sääntelystä irtaudutaan. Tietojärjestelmät toimisivat teknisinä käsittelyalustoina henkilötietojen käsittelylle mutta niistä ei olisi enää tarpeen säätää erikseen. Jatkossa lain soveltamisala olisi siis sidottu henkilötietojen käsittelytarkoituksiin riippumatta siitä, missä yksittäisessä tietojärjestelmässä henkilötietoja käsitellään. Valittu sääntelytekniikka edellyttää toimiakseen, että maahanmuuttohallinnon henkilötietolain ja muiden henkilötietolakien soveltamisalojen päällekkäisyydet pyritään minimoimaan.

Vaikka käsittelytarkoituslähtöisessä sääntelytekniikassa lain soveltamisala ei olisi sidottu henkilötietojen tekniseen käsittelyalustaan, yksittäisen henkilötietolain perusteella kerättävien henkilötietojen käsittelyn keskittäminen tiettyyn tai tiettyihin tietojärjestelmiin voi käytännössä selkeyttää kokonaisuutta. Lisäksi säädettäisiin erikseen Maahanmuuttoviraston ja ulkoasiainhallinnon toimivallasta ylläpitää ja kehittää omia tietojärjestelmiään vastuun selkeyttämiseksi yhteisrekisterinpitäjien kesken. Vastuun määrittäminen tietojärjestelmän ylläpidon ja kehittämisen osalta ei kuitenkaan vaikuttaisi henkilötietojen käsittelyyn sovellettavan lain valintaan.

Ehdotettavassa laissa säädettäisiin käsiteltävistä henkilötiedoista, käsittelyn edellytyksistä ja menettelystä sekä rekisteröidyn oikeusturvasta, silloin kun henkilötietoja käsitellään niissä tarkoituksissa, joihin ehdotettavan lain soveltamisala on sidottu.

4.3.5 Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa ja tietosuojalaissa, joita ehdotettava maahanmuuttohallinnon henkilötietolaki erityislakina täydentäisi ja täsmentäisi.

Rikosasioiden tietosuojalakia sovellettaisiin sitä koskevan hallituksen esityksen (HE 31/2018 vp) mukaan tietosuoja-asetuksen ja tietosuojalain sijaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovellettaisiin kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Maahanmuuttohallinnon henkilötietolain soveltamisalaan kuuluvista käsittelytarkoituksista kansallisen turvallisuuden suojaaminen kuuluisi rikosasioiden tietosuojalain soveltamisalan piiriin. Koska esityksessä ehdotettavan lain soveltamisala laajenisi, laajenisivat myös ne tarkoitukset, joissa kerättyjä henkilötietoja voidaan käsitellä kansallisen turvallisuuden suojaamisen tarkoituksessa.

Maahanmuuttohallinnon alalla tulevat sovellettavaksi myös laki henkilötietojen käsittelystä poliisitoimessa (761/2003), jäljempänä poliisin henkilötietolaki sekä laki henkilötietojen käsittelystä rajavartiolaitoksessa (579/2005), jäljempänä rajavartiolaitoksen henkilötietolaki, joita ollaan parhaillaan uudistamassa. Ehdotetun lain soveltamisalan suhde edellä mainittuihin henkilötietojen käsittelyä koskeviin erityislakeihin olisi nykytilaa vastaavasti osittain päällekkäinen esimerkiksi kansallisen turvallisuuden suojaamisen, ulkomaalaisvalvonnan ja maasta poistamisen osalta.

Jollei ehdotettavassa laissa toisin säädetä, sovellettaisiin henkilötietojen salassapitoon ja luovuttamiseen julkisuuslakia. Ehdotettavassa laissa säädettäisiin salassa pidettävien henkilötietojen luovuttamisesta. Lisäksi ehdotettavassa laissa säädetään julkisuuslakia täydentävästi henkilötietojen salassapidosta.

4.3.6 Yhteisrekisterinpitäjät

Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Tietosuoja-asetuksen lähtökohtana on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Lähtökohta on, että vastuu henkilötietojen käsittelystä kohdentuu sille viranomaiselle, jolle vastuu tosiasiallisesti kuuluu. Viranomainen, joka käsittelee henkilötietoja tarkoituksessa, joka kuuluu ehdotettavan lain soveltamisalan piiriin ja tekee sen laissa sille määrättyjen tehtävien hoitamiseksi omiin itsenäisiin tarkoituksiinsa, toimisi rekisterinpitäjänä. Koska useat viranomaiset käsittelevät henkilötietoja lain soveltamisalan piirissä rekisterinpitäjänä, he toimisivat kaikki yhteisrekisterinpitäjinä tietosuoja-asetuksen 26 artiklan nojalla. Yksittäisestä yhteisrekisterinpitäjästä käytetään esityksessä muotoilua rekisterinpitäjä.

Rekisterinpitäjien keskinäiset vastuut ja velvollisuudet rajautuisivat kolmen eri edellytyksen nojalla: 1) Tunnistamalla toimivaltaa luovasta lainsäädännöstä seuraavat tehtävät, joita toteuttaessaan kyseinen viranomainen käsittelee henkilötietoja rekisterinpitäjänä. Yhteisrekisterinpitäjien aineellisoikeudellinen työnjako kullekin rekisterinpitäjälle kuuluvien lakisääteisten tehtävien osalta perustuisi toimivaltaa luovaan lainsäädäntöön. Rekisterinpitäjien keskinäiset aineellisoikeudelliset vastuut on siten määritelty selkeästi ja tarkkarajaisesti lain tasolla; 2) Keskittämällä tietyt rekisterinpitäjälle kuuluvat vastuut tietojärjestelmien ylläpitäjille eli Maahanmuuttovirastolle sekä ulkoasiainhallinnolle. Koska ei olisi tarkoituksenmukaista, että jokainen rekisterinpitäjä vastaisi tietojärjestelmän ylläpidosta ja kehittämisestä, tämä vastuu olisi tarkoituksenmukaista ja välttämätöntä keskittää voimassaolevaa nykytilaa vastaavasti. Samat viranomaiset toimisivat myös rekisteröityjen yhteyspisteinä. Rekisteröity voisi kuitenkin tietosuoja-asetuksen mukaisesti käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. Lisäksi tietojärjestelmän ylläpitäjille keskitettäisiin tietyt tietojärjestelmään sidotut henkilötietojen käsittelytavat, kuten henkilötietojen muu kuin yksittäistapauksellinen poistaminen ja luovuttaminen; 3) Keskittämällä tietyt vastuut vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Vastuu tiedon oikeellisuudesta, tiedon korjaamisesta päättämisestä, yksittäisen tiedon luovuttamisesta sekä rekisteröidyn oikeuksien toteuttamisesta kuuluisi tiedon sisältöön vaikuttaneelle, käytännössä tiedon tallentaneelle, viranomaiselle. Kukin yhteisrekisterinpitäjä vastaisi kuitenkin aina henkilötietojen kaiken käsittelyn lainmukaisuudesta omassa toiminnassaan.

Sääntely muuttaisi voimassaolevaa oikeustilaa niin, että ulkomaalaisrekisterilaissa rekisteriä pitäviksi ja käyttäviksi viranomaisiksi säädetyt tahot eivät kaikki jatkossa toimisi rekisterinpitäjinä. Jatkossa osa nykyisistä rekisteriä pitävistä ja käyttävistä tahoista käsittelisi henkilötietoja tiedonluovutussäännösten nojalla.

Maahanmuuttohallinnon alalla toimii poikkeuksellisen suuri määrä viranomaisia tehtävissä, joissa he käsittelevät henkilötietoja ehdotettavan uuden maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä. Lisäksi perustuslain 124 §:n mukaisesti vastaanottolain 10 §:ssä säädetyn sopimuksen nojalla julkista hallintotehtävää hoitavat esimerkiksi yksityiset vastaanottokeskukset. Selkeyden vuoksi esityksessä käytetään termiä viranomainen myös silloin, kun viranomaistehtäviä toteuttaa muu taho kuin viranomainen.

Lisäksi useat vastaanottokeskusten, säilöönottoyksiköiden, ihmiskaupan uhrien auttamisjärjestelmän sekä Maahanmuuttoviraston palveluntarjoajat puolestaan käsittelevät henkilötietoja tietosuoja-asetuksen 28 artiklassa ja 4 artiklan 8 alakohdassa säädetyssä henkilötietojen käsittelijän roolissa.

4.3.7 Yhteensopiva henkilötietojen käsittely

Tietosuoja-asetus edellyttää, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla (käyttötarkoitussidonnaisuus). Tietosuoja-asetuksen johdanto-osan 50 kappaleen mukaan henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena.

Tietosuoja-asetuksen 6 artiklan 4 kohdan mukaan rekisterinpitäjän on, mikäli käsittely ei perustu esimerkiksi jäsenvaltion lainsäädäntöön, otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin a) henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet; b) henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta; c) henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti; d) aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille ja e) asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo. Lakiehdotuksessa ei säädettäisi erikseen siitä, minkälaista henkilötietojen käsittelyä olisi pidettävä yhteensopivana. Käsittelytarkoituksen yhteensopivuuden arviointi alkuperäisen käsittelytarkoituksen kanssa perustuisi rekisterinpitäjän arvioon asiassa.

Tietosuoja-asetuksen johdanto-osan 50 kappaleessa todetaan, että jotta voidaan varmistua myöhemmän käsittelyn tarkoituksen yhdenmukaisuudesta, rekisterinpitäjän olisi otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

Yhteensopivana käsittelynä voitaisiin useissa tilanteissa pitää esityksessä ehdotettavan lain 1 §:n mukaisen soveltamisalan kohtien 1 ja 2 käyttämistä ristiin. Yhteensopivaa olisi todennäköisesti esimerkiksi viisumitietojen käyttäminen oleskelulupaprosessissa ja toisinpäin, koska kummassakin tapauksessa on kyse tietojen käyttämisestä maahantuloon liittyen. Samoin olisi huomioitava tietyt erityistilanteet, kuten vastaanottodirektiiviin sisältyvä viranomaisen velvollisuus ottaa huomioon tietyt hakijan erityistarpeet. Henkilön tiettyjen tunnistetietojen päivittäminen olisi todennäköisesti yhteensopivaa silloinkin, kun liikutaan lain 1 §:n soveltamisalan eri alakohtien välillä: jos henkilön tunnistetiedot päivitetään esimerkiksi lupaprosessin yhteydessä, tiedot tulisi päivittää käytännössä myös vastaanottoprosessin sekä henkilön säilöön ottamista koskevan prosessin puolella.

Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohta edellyttää henkilötietojen käsittelyssä täsmällisyyttä eli henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä: on toteutettava kaikki mahdolliset ja kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä.

4.3.8 Henkilötietojen käsittely muuhun kuin alkuperäiseen käsittelytarkoitukseen

Henkilötietojen käsittelystä muuhun kuin alkuperäiseen tai alkuperäisen tarkoituksen kanssa yhteensopivaan käsittelytarkoitukseen säädettäisiin erikseen. Sääntelymalli olisi uusi suhteessa voimassaolevaan ulkomaalaisrekisterilakiin. Säätäminen henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen olisi tarpeen, koska esityksessä ehdotettavan lain soveltamisala laajenisi kattamaan erilaisiin käsittelytarkoituksiin kerättäviä tietoja, joiden käyttäminen myös muuhun kuin alkuperäiseen tarkoitukseen olisi tietyissä tilanteissa tarpeen. Sääntely pohjautuisi siihen, mitä voimassa olevassa ulkomaalaisrekisterilaissa, vastaanottolaissa sekä säilölaissa on säädetty tietojen luovuttamisesta sellaisiin tarkoituksiin, jotka tässä esityksessä ehdotetaan koottavaksi maahanmuuttohallinnon henkilötietolakiin. Silloin, kun kyse olisi lain soveltamisalan piirissä tapahtuvasta henkilötietojen käsittelystä joko tiedot alun perin keränneen ja tallentaneen viranomaisen tai toisen rekisterinpitäjän toimesta, kyse ei olisi enää tiedonluovutuksesta, vaan henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen.

4.3.9 Käsiteltävät henkilötiedot

Tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Käsiteltäviä henkilötietoja ja erityisiä henkilötietoryhmiä koskevat pykälät kattaisivat kaikki ne henkilötiedot, joita esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisala huomioiden olisi mahdollista käsitellä. Yksittäisen henkilötiedon tulisi kuitenkin nykytilaa vastaavasti olla tarpeellinen yksittäisen lakisääteisen tehtävän toteuttamiseksi.

Tietosisältöä koskeva sääntelytapa olisi yleisluontoinen suhteessa voimassaolevaan sääntelyyn. Pykälä sisältäisi tiedon henkilötiedoista sekä henkilötietoryhmistä, joihin kuuluvia tietoja lain soveltamisalan piirissä on mahdollista käsitellä. Pykälä loisi ulkoreunat käsiteltävien henkilötietojen piirille. Pykälässä ei säädettäisi siitä, mitä henkilötietoja yksittäisessä tilanteessa on mahdollista käsitellä. Pykälä ei siis loisi toimivaltaa henkilötiedon käsittelylle. Toimivallan yksittäisen henkilötiedon käsittelylle tietyssä tarkoituksessa tulisi aina perustua erilliseen toimivaltasäännökseen.

Tietosisältöpykälä laajenisi sisältämään voimassaolevien vastaanotto-, säilö- ja kotoutumislakien rekisterisäännösten tietosisällön. Tältä osin muutokset ovat teknisiä eikä tarkoitus ole muuttaa nykytilaa. Kuitenkin voimassaolevien vastaanotto-, säilö-, ja kotoutumislakien tallennettavia tietoja koskeviin pykäliin sisältyneet kuvaukset tarkoituksista, joissa tiettyjä henkilötietoja voidaan käsitellä, korvattaisiin ehdotettavassa pykälässä yleisellä tarpeellisuusvaatimuksella. Koska henkilötiedon käsittelyn tulisi aina olla tarpeen tietyn lakisääteisen tehtävän toteuttamiseksi, nykytilaa ei tältä osin ole tosiasiallisesti tarkoitus muuttaa.

Esitys mahdollistaisi aiemmasta poiketen huomiotietojen käsittelyn. Rekisterinpitäjällä olisi oikeus tallentaa havaitsemiaan tai sille ilmoitettuja tietoja henkilöistä, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa tai rekisterinpitäjän velvollisuuteen turvata palveluksessaan olevien työturvallisuus. Huomiotietojen oikeudellinen asema on ollut epäselvä, koska näitä tietoja koskevaa sääntelyä ei ole ollut. Tosiasiallinen toimivalta huomiotiedoiksi nyt luokiteltavien havaintojen käsittelyyn on ollut jo olemassa. Luonteensa vuoksi huomiotietoihin olisi liitettävä arvio tietojen antajan tai tietolähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Lisäksi huomiotietojen käsittelyä rajattaisiin perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 s. 4).

Tietojen poistamisesta säädettäisiin tarkentavasti tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Henkilötietojen poistamista koskevat määräajat määrittyisivät rekisterinpitäjän tehtävien hoidon tarpeen sekä rekisteröidyn oikeuksien perusteella. Henkilötietoja säilytettäisiin niin kauan kuin se on tarpeellista rekisterinpitäjän tai rekisteröidyn etujen, oikeuksien tai velvollisuuksien määrittelemiseksi tai toteuttamiseksi. Maahanmuuttohallinnossa on leimallista, että aiemmin vireillä olleet asiat voivat olla merkityksellisiä myöhemmissä prosesseissa. Henkilötietojen poistamista koskevat määräajat perustuisivat viranomaisen tarpeeseen käsitellä henkilöön ja tämän asiaan liittyviä tietoja vielä yksittäisen asian käsittelyn päättymisen jälkeen esimerkiksi uutta oleskelulupaa haettaessa, myöhemmin vireille tulevassa perheenjäsenen oleskelulupa-asiassa, kansalaisuuden myöntämistä koskevassa asiassa tai kansalaisuuden menettämisasian yhteydessä.

Voimassaolevaan lakiin verrattuna tietojen poistamiseen liittyvät säännökset muuttuisivat niin, että henkilön tiettyjen perustietojen poistamista koskeva määräaika pidennettäisiin vuodesta kymmeneen vuoteen siitä, kun henkilö on saanut kansalaisuuden, kuollut tai häneen liittyvien asioiden tiedot on poistettu. Nykytilasta poiketen henkilöä koskevien asioiden tiedot poistettaisiin samalla kertaa eikä yksitellen, koska aiemman asian tiedot voivat vaikuttaa myöhemmän asian käsittelyyn. Näin ollen asian poistamista koskevat määräajat pitenisivät nykyisestä. Henkilötietojen poistoa koskevassa säännöksessä eriteltäisiin lisäksi muut henkilötiedot ja erityisiin henkilötietoryhmiin kuuluvat tiedot. Erityisiin henkilötietoryhmiin kuuluvat tiedot tulisi poistaa heti kun ne ovat käyneet tarpeettomiksi.

Myös huomiotietojen osalta säädettäisiin huomattavasti lyhyemmästä säilytysajasta. Virheelliseksi todetun tiedon poistamisesta säädettäisiin erikseen. Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista olisi voimassa, mitä siitä erikseen säädetään tai määrätään.

4.3.10 Erityisiä henkilötietoryhmiä koskeva käsittely

Esityksessä ehdotetaan säädettävän erikseen erityisistä henkilötietoryhmistä. Tällaisia henkilötietoja olisivat tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvat tiedot, tietosuoja-asetuksen 10 artiklan mukaiset erityisin edellytyksin käsiteltävät rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavat tiedot. Näitä jälkimmäisiä tietoja olisivat perustuslakivaliokunnan kannan mukaisesti (ks. PeVL 14/2018 vp ja PeVL 15/2018 vp) tietosuoja-asetuksen erityisten henkilötietoryhmien ulkopuolelle jäävät kansallisen valtiosääntöperinteen mukaan arkaluonteisiksi katsotut tiedot, kuten sosiaalipalveluita koskevat tiedot. Tämä korostaisi näiden tietojen käsittelyn edellyttämää erityistä huolellisuutta. Ehdotetun henkilötietolain pykälä olisi nimetty käyttäen tietosuoja-asetuksen näistä tiedoista käyttämää erityisten henkilötietoryhmien -nimitystä, vaikka sen alaan edellä mainituin tavoin kuuluisi myös muita erityisin edellytyksin käsiteltäviä henkilötietoja.

Sääntely olisi tarpeen, koska tietosuoja-asetuksen 9 artiklan nojalla tällaisten henkilötietoryhmien käsittely on kielletty. Käsittely on kuitenkin sallittu 9 artiklan 2 kohdan g alakohdan nojalla, mikäli käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuojalakiesityksen 6 §:n mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä.

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen tietosisällöstä, käsittelystä, käyttämisestä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä luovuttamisesta ja poistamisesta säädettäisiin erikseen rajaamalla käsittely-, luovutus- ja poistamisedellytyksiä tarkemmin kuin muiden henkilötietojen osalta. Tämän lisäksi sormenjälkien käsittelemisestä säädettäisiin voimassaolevaa ulkomaalaisrekisterilakia vastaavasti vielä erikseen. Henkilötietojen käsittelemistä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä henkilötietojen luovuttamista koskevat yleiset säännökset eivät koskisi sormenjälkitietoja. Sormenjälkiä koskeva sääntely vastaisi tältä osin asiallisesti nykytilaa. Erikseen säädettäisiin henkilötietojen, mukaan lukien sormenjälkitietojen, luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

4.3.11 Henkilötietojen luovuttamista ja tiedonsaantia koskeva sääntely

Henkilötietojen luovuttamista ja tiedonsaantia koskeva sääntely koskisi salassa pidettäväksi julkisuuslain tai erityislainsäädännön nojalla säädettyä tietoa. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty.

Henkilötietojen käsittelyä koskevaan kansalliseen erityislainsäädäntöön on perinteisesti sisältynyt sekä henkilötietojen luovuttamista että tiedonsaantia koskevaa sääntelyä. Vaikka sääntelytekniikkaa ei ole pidetty valtiosääntöoikeudellisesti ongelmallisena, säätämistapa on lain soveltajan kannalta ongelmallinen, koska tiedonvaihdon lainmukaisuus on tarkistettava vähintään kahdesta eri viranomaista koskevasta erityislaista, jotka eivät aina ole vastanneet toisiaan. Kaksinkertaisen sääntelyn välttämiseksi tarkoituksenmukaista olisi säätää samasta asiasta vain toisen viranomaisen lainsäädännössä. Esityksessä on omaksuttu lähtökohta, jonka mukaan tiedonsaantioikeudesta säädettäisiin tiedonsaajan päässä, koska on kyse tämän oikeudesta saada henkilötietoja. Ehdotuksessa valittua tiedonsaantioikeuteen sidottua lähtökohtaa puoltaisi lisäksi se, että se on valittu lähtökohdaksi myös yleislain tasolla, sillä valtiovarainministeriön ehdottaman tiedonhallintalain teknistä rajapintaa koskevat säännökset pohjautuisivat vastaanottajan laissa säädettyyn tiedonsaantioikeuteen. Laajempi kaksinkertaisen tietojen luovutusta koskevan sääntelyn purkaminen edellyttäisi kautta linjan valtionhallinnossa omaksuttua yhtenäistä linjaa siitä, onko tiedonluovuttamisesta tarkoituksenmukaista säätää tiedon luovuttajan vai vastaanottajan lainsäädännössä.

Maahanmuuttoviraston, vastaanotto- ja järjestelykeskuksen, säilöönottoyksikön elinkeino- liikenne- ja ympäristökeskuksen sekä työ- ja elinkeinotoimiston tiedonsaantioikeus olisi sidottu siihen, että niillä on toimivaltaa luovassa lainsäädännössään lakisääteisiä tehtäviä, joiden toteuttaminen edellyttää henkilötiedon käsittelyä. Henkilötiedon käsittelyn edellytyksenä on siis julkisuuslain 29 §:n mukaisesti laissa säädetty tiedonsaantioikeus. Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen. Näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla.

Esityksessä ehdotetaan muutettavaksi velvoitteidenhoitoselvityksen käyttötarkoitusta niin, että jatkossa velvoitteidenhoitoselvitys laadittaisiin tukemaan myös kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten annetussa laissa (907/2017) ja kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetussa laissa (908/2017) säädettyjen ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.

Esityksessä ehdotettava tiedonluovutussäännös olisi yleinen, koska tiedonsaajan tiedonsaantioikeus olisi sidottu siihen, mitä sen oikeudesta saada tietoa on erikseen säädetty. Tiedonsaajan tulisi tietoa tai tietoja tai järjestelmään pääsyä pyytäessään perustella tiedon käyttötarkoitus sekä se, mihin lakiin sen oikeus saada kyseistä tietoa perustuu.

Erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamisesta säädettäisiin erikseen. Samoin erikseen säädettäisiin henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

Nykytilasta poiketen jatkossa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Valtiovarainministeriössä valmisteilla olevassa julkisen hallinnon tiedonhallintalaissa säänneltäisiin yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään. Luovutettavia tietoja koskeva teknisen suojaamisen vaatimus seuraa puolestaan suoraan tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan mukaisesta käsittelyn turvallisuudesta. Tietosuoja-asetus edellyttää korkeaa tietosuojan ja tietoturvallisuuden tasoa.

4.3.12 Rekisteröidyn oikeudet ja niiden rajoittaminen

Esitys sisältää rekisteröidyn oikeuksia rajoittavaa sääntelyä koskien tiettyjä menettelyllisiä säännöksiä, kuten rekisteröidyn tarkastusoikeuden toteuttamista pyydettyjen henkilötietojen vastaanottajan henkilöllisyyden varmistamiseksi (12 ja 15 artiklat), rekisteröidyn oikeutta rajoittaa käsittelyä (18 artikla) sekä automaattisen päätöksenteon mahdollistamista (22 artikla). Lisäksi rekisteröidyn oikeuksia on rajoitettu tietosuoja-asetuksen mahdollistamalla tavalla säätämällä erikseen tietojen poistoajoista ja virheellisen tiedon säilyttämisestä sen oikaisemisen jälkeen.

4.3.13 Automatisoidut yksittäispäätökset

Esityksessä ehdotetaan säädettäväksi, että Maahanmuuttoviraston ulkomaalaisasioiden asiankäsittelyjärjestelmässä tehtävä päätös olisi mahdollista tehdä menettelyssä, joka perustuu pelkästään automaattiseen käsittelyyn. Tietosuoja-asetuksen 22 artiklan nojalla rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, paitsi jos siihen annetaan nimenomaisesti lupa rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Maahanmuuttoviraston automaattiseen käsittelyyn perustuvasta päätöksenteosta ei ole säädetty ulkomaalaisrekisterilaissa. Maahanmuuttovirasto on osana UMA-järjestelmän kehittämistä kehittänyt valmiutta automaattiseen päätöksentekoon. Automaattisen päätöksenteon keskeisenä tavoitteena on päätöksenteon tehostaminen.

Maahanmuuttoviraston ulkomaalaisasioiden asiankäsittelyjärjestelmässä tehtävät automatisoidut yksittäispäätökset perustuisivat siihen, että päätöksentekoon tarvittavaa tietoa on saatavilla rakenteisessa muodossa, jolloin sitä voidaan prosessoida digitaalisesti. UMA-järjestelmään voidaan syöttää teknisiä sääntöjä, jonka avulla dataa prosessoidaan. Teknisissä säännöissä lainsäädäntö muutetaan koneellisesti käsiteltäviksi numeraalisiksi operaatioiksi, jotka perustuvat datan prosessointiin loogisten ehtojen avulla. Luonnolliset henkilöt laativat nämä säännöt. Teknisissä säännöissä on otettu huomioon läpinäkyvyys. Ulkomaalaisasioiden asiankäsittelyjärjestelmän käyttöliittymässä näkyy ihmiselle ymmärrettävällä kielellä sääntö ja mitä tietoja kyseiseen sääntöön on käytetty.

Automatisoitujen yksittäispäätösten käytön edellytyksenä on, että hallintolain mukaiset hyvän hallinnon vaatimukset toteutuvat ja asiakkaalle turvataan mahdollisuus saada neuvontaa ja tieto päätöksenteon sisällöstä. Automaattinen päätöksenteko tulee toteuttaa siten, että perustuslain 118 §:ssä tarkoitettu virkavastuu päätöksenteosta ja hallinnon toiminnasta toteutuvat. Maahanmuuttovirasto rekisterinpitäjänä vastaa järjestelmään kirjattavista päätöksentekosäännöistä ja järjestelmän toimivuudesta virkavastuulla.

Tavoitteena on, että päätöksenteon automatisointi edistäisi yksilön perusoikeuksia edistämällä asiankäsittelyn nopeaa etenemistä ja hallinnon tehokkuutta. Päätöksenteon automatisointi myös yhdenmukaistaisi viranomaisten toimintaa. Luonnollisten henkilöiden tekemissä päätöksissä on aina virheen mahdollisuus, mutta automaattisessa käsittelyssä inhimillisen virheen riski poistuu lähes kokonaan. Päätöksentekoprosessit tulisivat automatisoinnin myötä tehokkaammiksi, yhdenmukaisemmiksi ja lopputulokset ennustettavammiksi. Tämän voidaan nähdä edistävän yhdenvertaisuusperiaatetta sekä luottamuksensuojaperiaatetta. Automaattinen käsittely vapauttaisi resursseja harkintavaltaa sisältävien tapausten käsittelyyn, kun rutiiniluontoiset ja runsaasti henkilöresursseja sitovat tehtävät automatisoitaisiin. Rekisteröidyn näkökulmasta automatisointi sekä nopeuttaa asiankäsittelyä että luo puitteet yhdenmukaiselle ja yhdenvertaiselle käsittelylle.

Tässä luvussa on arvioitu esityksen vaikutuksia yhdessä tietosuoja-asetuksen suorien vaikutusten kanssa. Ratkaisu on perusteltu, koska esitystä on luettava yhdessä tietosuoja-asetuksen sekä myös kansallisen tietosuojalain ja rikosasioiden tietosuojalain kanssa. Vaikutusten arvioinnin rajaaminen vain esitykseen antaisi epätäsmällisen kuvan tietosuojauudistuksen vaikutuksista, jossa vain osa vaikutuksista seuraa puhtaasti tästä esityksestä.

Maahanmuuttohallinnon henkilötietolain sekä EU:n tietosuojauudistuksesta seuraavan yleislainsäädännön vaikutukset kohdistuisivat pääosin yksityishenkilöihin, ottaen huomioon, että henkilötietojen käsittely liittyy oleellisesti perusoikeussääntelyyn ja erityisesti yksityisyyden suojaan.

Lakiehdotuksen taloudelliset vaikutukset kohdistuisivat kuitenkin pääosin viranomaisiin, joita ovat rekisterinpitäjien lisäksi kaikki henkilötietoja luovutussäännösten nojalla käsittelevät viranomaiset sekä mahdolliset muut tahot, jotka käsittelevät henkilötietoja. Euroopan komission alkuperäinen vaikutusten arviointi ja tietosuojalainsäädännön täytäntöönpanoa valmistelevien työryhmien arviot poikkeavat toisistaan. Esimerkiksi tietosuoja-asetuksen täytäntöönpanoa valmistelevan TATTI-työryhmän mietinnössä (s. 133) on todettu, että tietosuoja-asetuksen säännökset aiheuttavat moninaisia kustannuksia sekä valvontaviranomaisille että rekisterinpitäjille ja henkilötietojen käsittelijöille niin yksityisellä kuin julkisella sektorilla. Sen sijaan Euroopan komission laatimassa Euroopan unionin tietosuojalainsäädännön vaikutustenarvioinnissa on alun perin arvioitu, että uudella aiempaa yhtenäisemmällä sääntelyllä ei olisi merkittäviä taloudellisia vaikutuksia, eikä ole viitteitä siitä, että uusi sääntely vaatisi lisäresursseja. Tietosuoja-asetuksen taloudellisten vaikutusten arvioinnin hankaluudesta riippumatta voidaan kuitenkin arvioida, että esityksellä ei ole ainakaan erityisen merkittäviä taloudellisia vaikutuksia. On arvioitavissa, että uudistuksen edellyttämä valtion rahoitus voitaisiin hoitaa valtiontalouden kehysten puitteissa tarvittaessa kohdentamalla määrärahoja uudelleen.

Lainsäädännön edellyttämät muutokset aiheuttaisivat joitain kustannuksia tietojärjestelmien muutoksina ja henkilöstön koulutuksena sekä pysyviä kustannuksia tietosuojavastaavan palkkana. Välillisinä taloudellisina vaikutuksina voidaan pitää tarpeita kehittää valvontaa ja tietojärjestelmiä muiltakin osin siten, että tietosuojan ja tietoturvallisuuden taso paranee.

Olemassa oleva ulkomaalaisasioiden asiankäsittelyjärjestelmä sekä kansallinen viisumitietojärjestelmä on toteutettu siten, että ne täyttävät pitkälti jo nykyisellään tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa sekä käsittelyn turvallisuutta koskevat vaatimukset. Tietojärjestelmävaikutuksia aiheutuisi kuitenkin esimerkiksi rekisterinpitäjiä koskevien muutosten johdosta tehtävistä muutoksista tietojärjestelmien käyttöoikeuksiin ja käyttövaltuushallintaan. Lisäksi tietojärjestelmävaikutuksia aiheutuisi uusista käsittelytarkoituksista ja tietosisältöä koskevista lisäyksistä, kuten mahdollisuudesta tallentaa jatkossa niin sanottuja huomiotietoja sekä uusien toimintojen luomisesta, kuten tietojen luovuttamisesta Euroopan unionin tietojärjestelmiin.

Joitain suoria taloudellisia vaikutuksia seuraisi myös Maahanmuuttoviraston säätämisestä rekisteröityjen yhteyspisteeksi ulkomaalaisasioiden asiankäsittelyjärjestelmän osalta ja ulkoasiainhallinnon puolestaan kansallisen viisumitietojärjestelmän osalta. Vaikutukset seuraisivat uudesta roolista ennakoidusta yhteydenottojen määrän kasvusta sekä jossain määrin myös tarpeesta saattaa asiaa koskevaa tietoa laajasti saataville yhteydenottojen kohdistamiseksi oikealle taholle.

Nykyistä joustavamman tiedon liikkumisen mahdollistava sääntely henkilötietojen luovuttamisen ja tiedonsaannin osalta sekä automaattisen päätöksenteon mahdollistaminen puolestaan edistäisi hallituksen viranomaistoiminnan tehostamisen ja normien purkamisen tavoitteita. Näiden voidaan arvioida aiheuttavan myönteisiä taloudellisia vaikutuksia.

Suurelta osin esitykseen sisältyvä sääntely on luonteeltaan mahdollistavaa siinä merkityksessä, että se edistäisi esimerkiksi UMA-järjestelmän laajempaa käyttöä ehdotettavan uuden maahanmuuttohallinnon henkilötietolain aiempaa laajemman soveltamisalan myötä tai automaattisen päätöksenteon muodossa siihen kuitenkaan suoraan velvoittamatta.

Esityksellä on eri viranomaisiin kohdistuvia vaikutuksia, jotka perustuvat osittain välillisesti tietosuoja-asetuksen vaatimuksiin ja osittain valittuihin kansallisiin sääntelyratkaisuihin.

Maahanmuuttohallintoa koskevan henkilötietosääntelyn kokoamisella yhteen lakiin pyritään ensisijaisesti yhtenäistämään sääntelyä ja luomaan siitä selkeä ja helposti sovellettava kokonaisuus. Esityksessä pyritään helpottamaan viranomaisten välistä tiedonvaihtoa. Lisäksi esityksessä pyritään varmistamaan, että maahanmuuttohallinnossa on riittävät oikeudet käsitellä henkilötietoja tarpeen mukaan myös muuhun kuin tietojen alkuperäiseen keräämis- ja tallentamistarkoitukseen. Näillä ehkäistään tarvetta kysyä samoja tietoja useaan otteeseen ja puretaan tarpeettomia tiedonvaihdon lainsäädännöllisiä esteitä. Kaikkien edellä mainittujen muutosten voidaan arvioida sujuvoittavan lainsäädännön soveltamista ja parantavan maahanmuuttohallinnon mahdollisuuksia toimintansa kannalta tarpeellisten tietojen käsittelyyn.

Esityksen lähtökodaksi valittu käyttötarkoitussidonnainen lähtökohta, jossa sovellettava laki ei ole sidottu tiettyyn rekisteriin tai tietojärjestelmään, asettaa erityisiä vaatimuksia rekisterinpitäjän antaman ohjeistuksen ja valvonnan riittävyydelle. Henkilötietojen käsittelyyn sovellettavan lain sekä toisaalta käsittelyn näkökulmasta oikean tietojärjestelmän tunnistaminen edellyttää riittävää ohjeistusta ja koulutusta. On huomioitava, että ohjeistuksella ei kuitenkaan saa täydentää sääntelyä vaan ainoastaan tarkentaa, millä tavalla säännöksiä olisi tulkittava.

Automatisoitujen yksittäispäätösten tekeminen mahdollistaisi viranomaistoiminnan keskittymisen erityisesti niihin tehtäviin, joissa viranomaistoimijoiden rooli on merkityksellinen.

Maahanmuuttoviraston käsitellessä henkilötietoja ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisissa käyttötarkoituksissa sen velvollisuutena on huolehtia asianmukaisista teknisistä ja organisatorisista käsittelyn valvonnan toimenpiteistä. Työntekijöiden perehdytyksessä ja koulutuksessa painotetaan, että henkilötietoja saa käsitellä vain virkatehtävien hoitamiseksi. Samalla korostetaan käsiteltävien henkilötietojen luonnetta arkaluonteisina ja lähtökohtaisesti salassa pidettävinä tietoina. Esimiehet huolehtivat alaistensa neuvomisesta, ohjaamisesta ja valvonnasta henkilötietojen käsittelyyn liittyvissä asioissa. Ulkomaalaisasioiden asiankäsittelyjärjestelmässä henkilötietojen käsittelyä ohjataan käyttövaltuushallinnalla. Henkilötietojen käsittelijälle myönnetään järjestelmään vain sen laajuiset käyttöoikeudet kuin hän tarvitsee virkatehtäviensä hoitamiseksi. Maahanmuuttovirasto kerää ulkomaalaisasioiden asiankäsittelyjärjestelmässä tapahtuvasta henkilötietojen käsittelystä kattavasti lokitietoja, joiden avulla henkilötietojen käsittelyn asianmukaisuus käyttäjätasolla voidaan jälkikäteen selvittää. Maahanmuuttovirasto toteuttaa säännönmukaista sisäistä laillisuusvalvontaa, joka kohdistuu myös henkilötietojen käsittelyyn. Kansalaisuus-, oleskelulupa- ja turvapaikkapäätöksiä valmistelevien ja ratkaisevien virkamiesten tekemää asiakkaiden henkilötietojen käsittelyä tarkastetaan käsittelyjärjestelmään kohdistuvin pistokokein. Henkilötietojen käsittelyn asianmukaisuutta valvotaan myös lokitarkastuksilla, oma-aloitteisilla kohdennetuilla laillisuusvalvontatarkastuksilla sekä selvityspyyntöjen yhteydessä ja osana kanteluiden tutkimista.

Sääntelyn kokoaminen yhteen lakiin johtaisi siihen, että rekisteröidyn olisi nykyistä helpompi muodostaa kokonaiskuva siitä, mihin tarkoituksiin maahanmuuttohallinto hänen tietojaan käsittelee, mihin tietoja luovutetaan ja kuinka kauan niitä säilytetään. Rekisteröidyn yhteyspisteistä säätäminen edistäisi myös rekisteröidyn oikeuksien toteutumista.

Päätöksenteon automatisointi soveltuvin osin lyhentäisi paitsi automatisoitujen päätösten käsittelyaikoja niin myös muiden päätösten käsittelyaikoja viranomaisten voidessa keskittyä niihin. Tämä todennäköisesti näkyisi kaikille asiakkaille lupahakemusten edullisempana hintana. Automatisoidut päätökset olisivat todennäköisesti tasalaatuisempia. Toisaalta automatisoidun päätöksenteon hyödyntäminen edellyttäisi käytännössä hakijalta hakemusten täyttämistä oikein asiaankuuluvine liitteineen ja siltä osin kuin automaattinen käsittely ei olisi mahdollista, käsittelyajat vaihtelisivat merkittävästi suhteessa automaattisesti tehtyihin päätöksiin.

Esityksellä ei arvioida olevan suoria vaikutuksia yhdenvertaisuuteen, lapsiin tai sukupuolten tasa-arvoon.

Esitys on valmisteltu sisäasiainministeriössä virkatyönä. Valmistelutyötä tekemään perustettiin työryhmä, jossa olivat mukana edustajat sisäministeriön maahanmuutto-osastolta, poliisiosastolta ja rajavartio-osastolta, ulkoministeriöstä, työ- ja elinkeinoministeriöstä, Maahanmuuttovirastosta ja Poliisihallituksesta. Työryhmä kuuli työn edetessä suojelupoliisia. Työryhmän toimikausi on 24.10.2016—31.12.2018. Työryhmä kokoontui virallisesti 24 kertaa. Epävirallisia valmistelukokouksia järjestettiin lukuisia. Valmistelun aikana on tehty erityisen tiivistä yhteistyötä sisäministeriön poliisiosaston ja Rajavartiolaitoksen esikunnan sekä Maahanmuuttoviraston kanssa.

Sisäministeriö pyysi 16.5.2018 päivätyllä kirjeellään lausuntoa valmistelemastaan hallituksen esityksestä, joka sisälsi ehdotuksen laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi. Lausuntoa pyydettiin yhteensä 53 viranomais-, organisaatio- ja kansalaisjärjestötaholta. Lausuntoaika oli esityksen kiireellisyydestä johtuen 4,5 viikkoa, lausuntoaika päättyi 15.6.2018. Sisäministeriön maahanmuutto-osasto sai hallituksen esitysluonnoksesta yhteensä 32 lausuntoa. Yksittäiset lausunnot löytyvät valtioneuvoston hankerekisteristä (HARE), asianumerolla SM055:00/2016. Hankerekisteristä myös löytyy lausunnoista laadittu lausuntoyhteenveto.

Lausunnon antoivat oikeusministeriö, ulkoministeriö, työ- ja elinkeinoministeriö, valtiovarainministeriö, opetus- ja kulttuuriministeriö, sosiaali- ja terveysministeriö, sisäministeriön poliisiosasto ja hallinto- ja kehittämisosasto, Eduskunnan oikeusasiamiehen kanslia, Valtioneuvoston oikeuskanslerinvirasto, Tietosuojavaltuutetun toimisto, Maahanmuuttovirasto, Poliisihallitus, suojelupoliisi, Rajavartiolaitos, Uudenmaan elinkeino-, liikenne- ja ympäristökeskus, Etelä-Suomen aluehallintovirasto, Helsingin hallinto-oikeus, Kansaneläkelaitos, korkein hallinto-oikeus, Uudenmaan maistraatti, Oikeusrekisterikeskus, Opetushallitus, Rikosseuraamuslaitos, Sosiaali- ja terveysalan lupa- ja valvontavirasto, Tulli, Verohallinto, Verohallinnon harmaan talouden selvitysyksikkö, Väestörekisterikeskus, Eläketurvakeskus, Suomen asianajajaliitto ja Suomen Punainen Risti.

Useat lausunnonantajat pitivät maahanmuuttohallinnon henkilötietosääntelyn keskittämistä kannatettavana ratkaisuna sääntelyn selkeyden ja rekisteröidyn oikeusturvan kannalta. Myös valittua käsittelytarkoitusperusteista sääntelytapaa pidettiin tarkoituksenmukaisena. Lausuntojen mukaan lakiluonnoksessa on huomioitu hyvin maahanmuuttohallinnon sääntelyn selkeyttämisen ja yksinkertaistamisen sekä ajantasaistamisen tavoitteet. Useat lausunnot sisälsivät muutos- tai tarkennusehdotuksia yksityiskohtiin sekä toiveita jatkovalmistelussa huomioon otettavista asioista. Huomiot liittyvät lähinnä soveltamisalaa, yhteisrekisterinpitäjiä ja näiden välistä toimivallanjakoa, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä ja tiedonsaantioikeutta koskeviin täsmennystarpeisiin. Useimmat lausunnonantajat keskittyivät kuitenkin lausunnossaan johonkin esityksen yksittäiseen kohtaan.

Lausunnonantajia pyydettiin kiinnittämään lausunnoissaan erityistä huomiota ehdotettavasta maahanmuuttohallinnon henkilötietolaista seuraaviin muutoksiin koskien tiedonsaantioikeuksia tilanteissa, joissa oikeus on aiemmin perustunut rekisterinpitäjän oikeuteen, mutta oikeus lakkaa rekisterinpitäjiä koskevien muutosesitysten johdosta. Tahoista, jotka eivät enää ehdotettavassa maahanmuuttohallinnon henkilötietolaissa olisi rekisterinpitäjiä, Tulli, Rikosseuraamuslaitos ja Helsingin hallinto-oikeus arvioivat lausunnoissaan tiedonsaantioikeuksiaan muuttuvan asemansa myötä. Nämä tahot lausuivat tiedonsaantioikeuksiensa olevan jatkossakin pääosin riittävät.

Lisäksi lausunnonantajia pyydettiin kiinnittämään huomiota ehdotettavan maahanmuuttohallinnon henkilötietolain tiedonluovutusta koskevasta yleisestä sääntelytavasta seuraavaan tarpeeseen tarkistaa lausunnonantajien omien tiedonsaantioikeuksien kattavuus maahanmuuttohallinnolta. Myös tältä osin asiasta lausuneet pitivät tiedonsaantioikeuksiaan riittävinä. Ehdotetun sääntelyn ei nähty rajoittavan nykyisiä tiedonsaantioikeuksia, vaan paremminkin ehdotetun muutoksen nähtiin selkeyttävän tiedonsaantioikeutta maahanmuuttohallinnolta.

Jatkovalmistelussa täsmennettiin maahanmuuttohallinnon henkilötietolain suhdetta rikosasioiden tietosuojalakiin. Tämän lisäksi eri yhteisrekisterinpitäjien välistä toimivallanjakoa sekä täsmennettiin säädöstekstissä että avattiin kattavammin perusteluissa. Järjestelmiä koskevien pykälien sanamuodoissa huomioitiin ehdotettavan tiedonhallintalain vaikutukset sääntelyyn. Käsiteltävistä henkilötiedoista siirrettiin erilliseen erityisiä henkilötietoryhmiä koskevaan pykälään biometriset tiedot ja rikostiedot. Myös huomiotietojen sisältöä täsmennettiin ja niiden käsittelyä sekä säilytysaikaa rajattiin.

Suurimmat sisällölliset ja rakenteelliset muutokset tehtiin 8 §:n erityisiä henkilötietoryhmiä koskevan käsittelyn osalta. Pykälän tietosisältöä täsmennettiin ja tiedon käyttö rajattiin niin välttämättömyysedellytykseen kuin lain soveltamisalan yksilöityihin käyttötarkoituksiin. Lisäksi näiden erityisiin henkilötietoryhmiin kuuluvien tietojen säilytysaikaa rajattiin samalla kun muitakin poistosäännöksiä täsmennettiin ja säilytysaikoja lyhennettiin aiemmin ehdotetusta. Välttämättömyys asetettiin edellytykseksi myös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelylle muuhun kuin alkuperäiseen käyttötarkoitukseen. Tiedonluovutus puolestaan sidottiin erityisten henkilötietoryhmien osalta vastaanottajan välttämättömään tiedonsaantioikeuteen. Perusteluissa selkeytettiin yhteyttä tietosuoja-asetukseen ja perustuslakivaliokunnan käytäntöön sekä lisättiin esimerkkejä erilaisista erityisiin henkilötietoryhmiin kuuluvien tietojen käyttötilanteista.

Tiedonsaantioikeutta koskevaa pykälää täsmennettiin rajaamalla tiedonsaantiin oikeutettuja tahoja, yksilöimällä tarpeellisten tietojen tietosisältöä ja niiden käyttötarkoituksia sekä avaamalla perusteluihin laajemmin tarpeellisten tietojen kontekstia. Lisäksi jatkovalmistelussa tarkennettiin yksittäisiä pykälien sanamuotoja ja perusteluita.

Esitystä täydennettiin ELY-keskusten ja TE-toimistojen oleskelulupatehtäviin liittyvän henkilötietojen käsittelyn osalta.

Lausuntokierroksen jälkeen maahanmuuttohallinnon henkilötietolakia koskevaan lakiehdotukseen lisättiin lisäksi uudet pykälät tietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin ja rajoituksesta rekisteröidyn oikeuteen rajoittaa henkilötietojen käsittelyä. Lakiehdotukseen lisättiin myös siirtymäsäännös.

Jatkovalmistelussa päätettiin yhteistyössä oikeusministeriön kanssa sisällyttää ulkomaalaisrekisterilain 11 §:ssä säädettyä salassapitosäännöstä sisällöllisesti vastaava salassapitosäännös ehdotettavaan maahanmuuttohallinnon henkilötietolakiin ja toteuttaa salassapitosääntelyn keskittäminen julkisuuslakiin erillisenä hankkeena.

Esitys perustuu osittain Euroopan unionin tietosuojauudistukseen. Esityksellä on siten yhteys hallituksen esitykseen eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi tietosuojalaiksi (HE 9/2018 vp). Esityksellä on lisäksi yhteys hallituksen esitykseen eduskunnalle laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä sekä eräiksi siihen liittyviksi laeiksi (HE 31/2018 vp). Esitys on yhteensovitettu edellä mainittuihin hallituksen esityksiin, mutta eduskuntakäsittelyn aikana on tarpeen varmistaa terminologinen ja sisällöllinen vastaavuus.

Esitys liittyy sisäministeriön säädöshankkeeseen (SM064:00/2015), jossa tehtävänä on valmistella uusi poliisin henkilötietolaki, joka täydentäisi tietosuojadirektiivin yleistä täytäntöönpanolainsäädäntöä sekä tietosuoja-asetusta ja tietosuojalakia. Hallituksen esitys on tavoitteena antaa eduskunnalle syysistuntokaudella 2018 viikolla 44 samaan aikaan tämän hallituksen esityksen kanssa. Esitys liittyy lisäksi toiseen sisäministeriön säädöshankkeeseen (SM057:00/2016), jossa valmistellaan hallituksen esitys henkilötietojen käsittelyä Rajavartiolaitoksessa koskevan lainsäädännön tarkistamiseksi. Hankkeessa valmistellaan muutokset henkilötietojen käsittelystä Rajavartiolaitoksessa annettuun lakiin siltä osin kuin tarvittavat säännökset eivät sisälly tietosuojadirektiivin kansalliseen täytäntöönpanolakiin. Mainittua lainsäädäntöä koskeva hallituksen esitys on tarkoitus antaa eduskunnalle samanaikaisesti poliisin uutta henkilötietolakia koskevan esityksen kanssa. Nyt esitettävä hallituksen esitys on tarkoitus antaa eduskunnalle siten, että se käsiteltäisiin mahdollisimman samanaikaisesti sisäministeriön hallinnonalan muiden henkilötietojen käsittelyä koskevien lakiehdotusten kanssa.

Kaikkiin edellä mainittuihin esityksiin sisältyvien lakiehdotusten osalta olisi varmistettava säädös- ja pykäläviittausten sekä tarvittavin osin terminologian yhteensovittaminen eduskuntakäsittelyn aikana. Lisäksi esityksiin sisältyy samojen lakien muuttamista koskevia lakiehdotuksia.

Esitys liittyy lisäksi sisäministeriön säädöshankkeeseen (SMDno-2018-179), jossa valmistellaan hallituksen esitys, joka koskee kansalaisuuslain muuttamista. Hankkeessa esitetään säädettäväksi Suomen kansalaisuuden menettämisestä tiettyihin rikoksiin syyllistyneiltä kaksoiskansalaisilta. Hallituksen esitys sisältää muutosehdotuksen useisiin ulkomaalaisrekisterilain pykäliin. Hallituksen esitys annetaan eduskunnalle syysistuntokaudella 2018.

Esitys liittyy lisäksi työ- ja elinkeinoministeriön hallinnonalaan kuuluvaan säädöshankkeeseen (TEM033:00/2017). Hankkeessa valmistellaan uusi laki kotoutumisen edistämistä, joka korvaa kotoutumisen edistämisestä annetun lain (1386/2010). Tämän esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi jatkossa kuntaan osoittamista koskevasta henkilötietojen käsittelystä kotoutumisen edistämistä koskevan lain sijaan. Esityksiin sisältyy samojen lakien muuttamista koskevia lakiehdotuksia.

Esitys liittyy lisäksi valtiovarainministeriön säädöshankkeeseen (VM183:00/2017), jossa valmistellaan hallituksen esitys julkisen hallinnon tiedonhallintalaista. Laissa tultaisiin säätämään yleislain tasolla julkisen hallinnon tiedonhallinnan järjestämisestä ja siihen kuuluvista velvollisuuksista. Tiedonhallintalakiin koottaisiin sääntelyä julkisuuslaista, arkistolaista ja tietohallintolaista. Jatkossa muun muassa tietojen luovuttamisesta teknisten rajapintojen ja katseluyhteyksien avulla viranomaisten välillä säädettäisiin erityislainsäädännön sijaan ehdotettavassa yleislaissa. Hallituksen esitys on tavoitteena antaa eduskunnalle syysistuntokaudella 2018. Esitys on yhteensovitettu edellä mainittuun hallituksen esitykseen, mutta eduskuntakäsittelyn aikana on tarpeen varmistaa terminologinen ja sisällöllinen vastaavuus.

Esitys liittyy lisäksi valtiovarainministeriön säädöshankkeeseen (VM082:00/2018), jossa valmistellaan hallituksen esitys Digi- ja väestötietovirastoa koskevaksi lainsäädännöksi sekä laeiksi eräiden rekisterihallintoa koskevien lakien muuttamisesta. Hankkeessa esitetään muutettavaksi ulkomaalaisrekisterilain 10 §:ään sisältyviä tiedonluovutusta koskevia säännöksiä.

Esitys liittyy lisäksi eduskunnassa käsiteltävänä olevaan lakiehdotukseen (HE 14/2018 vp) maakuntauudistuksen täytäntöönpanosta sekä valtion lupa-, ohjaus- ja valvontatehtävien uudelleenorganisoinnista. Hallituksen esityksessä (HE 14/2018 vp) ehdotetaan elinkeino-, liikenne- ja ympäristökeskusten tehtävien siirtoa hallituksen esityksellä maakuntien perustamiseksi ja sosiaali- ja terveydenhuollon järjestämisen uudistusta koskevaksi lainsäädännöksi sekä Euroopan paikallisen itsehallinnon peruskirjan 12 ja 13 artiklan mukaisen ilmoituksen antamiseksi (HE 15/2017 vp) perustettaville maakunnille. Edellä mainittuihin esityksiin sisältyvien lakiehdotusten osalta olisi varmistettava tarvittavin osin terminologian yhteensovittaminen eduskuntakäsittelyn aikana. Tämä tarkoittaisi käytännössä elinkeino-, liikenne- ja ympäristökeskus -termin korvaamista maakunta-termillä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1 §. Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus. Lakia sovellettaisiin, jollei muualla laissa toisin säädetä, henkilötietojen kokonaan tai osittain automatisoituun käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa ja henkilötietoja käsitellään seuraavissa tarkoituksissa: 1) ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta; 2) Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittely ja päätöksenteko; 3) kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotto, ihmiskaupan uhrien auttaminen sekä ilman huoltajaa olevan lapsen edustajatoiminta osana vastaanottotoimintaa sekä näiden ohjaus, suunnittelu ja valvonta; 4) ulkomaalaisen sijoittaminen säilöönottoyksikköön, ulkomaalaisen kohtelu säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitäminen; 5) kuntaan osoittaminen; sekä 6) kansallisen turvallisuuden suojaaminen.

Lakiehdotuksen soveltamisala olisi sidottu henkilötietojen käsittelytarkoitukseen: lakia sovellettaisiin silloin, kun henkilötietoja käsitellään pykälässä säädetyissä tarkoituksissa. Lain soveltamisala ei olisi sidottu mihinkään rekisteriin tai tietojärjestelmään.

Toimivalta henkilötietojen käsittelylle perustuu useisiin eri lakeihin. Näitä ovat ulkomaalaislaki, kansalaisuuslaki, kausityölaki, ICT-laki, opiskelijalaki, vastaanottolaki, säilölaki ja kotoutumislaki. Lakeihin viittaamisen sijaan lain soveltamisala määritettäisiin säätämällä niistä tarkoituksista, joissa henkilötietoja on käsiteltävä toimivaltaa luovissa laeissa säädettyjen tehtävien toteuttamiseksi. Henkilötietojen käsittelytarkoitukset perustuisivat toimivaltaa luovien lakien luomiin henkilötietojen käsittelytarpeisiin. Sääntelytekniikka on perusteltu, koska lukuisiin lakeihin ja niiden yksittäisiin pykäliin viittaaminen tekisi sääntelystä tarpeettoman raskaan, yksityiskohtaisen ja vaikeasti tulkittavan. Sääntelytekniikka myös mahdollistaa tulevaisuudessa mahdollisesti säädettäviin uusiin erillislakeihin ja EU-sääntelyyn perustuvan henkilötietojen käsittelyn nyt ehdotettavan henkilötietolain nojalla, jos henkilötietoja käsitellään tarkoituksissa, jotka kuuluvat ehdotettavan henkilölain soveltamisalan piiriin.

Pykälän 1 momentin 1 kohdassa säädettävällä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyllä sekä niitä koskevalla päätöksenteolla ja valvonnalla tarkoitettaisiin ulkomaalaislain, kausityölain, ICT-lain ja opiskelijalain perusteella tarpeellista henkilötietojen käsittelyä esimerkiksi oleskelulupaprosessissa tai turvapaikkamenettelyssä prosessin koko ajallinen kaari huomioiden. Soveltamisalaan katsottaisiin kuuluviksi myös sellaiset erityistilanteet, joissa ei selkeästi ole kyse maahantulosta, maastalähdöstä tai oleskelusta, kuten pakolaisaseman lakkauttaminen ulkomailla olevalta tai Suomessa pysyvällä luvalla olevalta henkilöltä. Alakohdassa ei voimassaolevan ulkomaalaisrekisterilain 2 §:stä poiketen mainittaisi erikseen työntekoa, koska se katsotaan osaksi maassa oleskelua samoin kuin esimerkiksi opiskelu. Tämä muutos olisi tekninen eikä nykytilaa olisi tältä osin tarkoitus muuttaa.

Pykälän 1 momentin 2 kohdassa säädettävällä Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyllä ja päätöksenteolla tarkoitettaisiin kansalaisuuslaissa säädettyjen tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.

Pykälän 1 momentin 3 kohdassa säädetyllä kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotolla, ihmiskaupan uhrien tunnistamisella ja auttamisella sekä ilman huoltajaa olevan lapsen edustajatoiminnalla osana vastaanottotoimintaa sekä näiden ohjauksella, suunnittelulla ja valvonnalla tarkoitettaisiin vastaanottolaissa säädettyjen huolenpidon, toimeentulon ja asianmukaisen suojan ja palveluiden turvaamisen sekä edustajan määräämisen ja edustajan tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.

Pykälän 1 momentin 4 kohdassa säädetyllä ulkomaalaisen sijoittamisella säilöönottoyksikköön, ulkomaalaisen kohtelulla säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisellä tarkoitettaisiin säilölaissa säädettyjen toimenpiteiden toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä. Näitä toimenpiteitä ovat säilöönotetun ulkomaalaisen oikeudenmukainen ja ihmisarvoa kunnioittava kohtelu, oikeuksien rajoittaminen, oikeus ottaa vastaan vieraita ja pitää yhteyttä sekä esimerkiksi puhelimen ja muiden sähköisten viestintä- ja tallennelaitteiden käytön toteuttaminen.

Pykälän 1 momentin 5 kohdassa säädettävällä kuntaan osoittamisella tarkoitettaisiin kotoutumislaissa tarkoitettua kuntaan osoittamista eli kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamiseksi tarpeellista henkilötietojen käsittelyä. Henkilötietojen käsittelyn tavoite kuntaan osoittamisen tarkoituksessa on varmistaa kotoutumislain mukaiset vastaanottoon ja kotoutumisen edistämiseen liittyvät viranomaisten velvoitteet, kuten rekisteröidyn ohjaaminen oikeaan kuntaan.

Pykälän 1 momentin 6 kohdassa säädetyllä kansallisen turvallisuuden suojaamisella tarkoitettaisiin paitsi suojelupoliisin velvoitetta suojata valtakunnallista turvallisuutta myös yleisempää viranomaisten velvoitetta varmistaa kansallisen turvallisuuden toteutuminen osana lakisääteisiä tehtäviään. Sisältö vastaisi voimassaolevan ulkomaalaisrekisterilain 2 §:n 2 momentissa säädettyä valtion turvallisuuden suojaamista mutta sanamuoto muutettaisiin vastaamaan tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa käytettyä käsitettä kansallinen turvallisuus. Voimassaolevaan ulkomaalaisrekisterilakiin nähden ehdotettavan lain soveltamisala laajentuisi kattamaan henkilötietojen käsittelyn myös vastaanotto-, säilö- ja kotoutumislakien nojalla. Tämän johdosta laajenisivat myös ne tarkoitukset, joissa kerättyjä henkilötietoja voidaan käsitellä kansallisen turvallisuuden suojaamisen tarkoituksessa.

Voimassaolevasta ulkomaalaisrekisterilaista poiketen turvallisuusselvityksen tekeminen ei enää kuuluisi ehdotettavan lain soveltamisalaan, koska turvallisuusselvityksen tekeminen ei olisi henkilötietojen alkuperäinen käsittelytarkoitus. Koska henkilötietoja on jatkossakin tarpeen käyttää turvallisuusselvityksen tekemiseksi nykytilaa vastaavasti, ehdotettavan lain perusteella kerättävien henkilötietojen käyttäminen turvallisuusselvityksen tekemiseksi perustuisi jatkossa henkilötietojen luovuttamiseen suojelupoliisille.

Tietosuojalakiehdotuksen mukaan tietosuoja-asetus tulee sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetuksen soveltamisalan laajentaminen ei koske tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty. Esityksessä ei ehdoteta säädettäväksi asiasta toisin. Näin ollen tietosuoja-asetus soveltuisi lain soveltamisalan piirissä tapahtuvaan henkilötietojen käsittelyyn myös silloin, kun kyse on asiasta, joka ei kuulu unionin lainsäädännön soveltamisalaan. Tällaisia ovat esimerkiksi kansalaisuusasiat.

Lakia ei sovellettaisi Suomessa oleviin diplomaattisiin edustajiin. Pykälän 2 momentissa tarkoitettu immuniteetti ja koskemattomuusasema on määritelty diplomaattisia suhteita koskevassa Wienin yleissopimuksessa (SopS 4/1970) ja konsulisuhteita koskevassa Wienin yleissopimuksessa (SopS 50/1980) sekä kansainvälisten järjestöjen perustamis- ja päämajasopimuksissa. Lakia ei sovellettaisi myöskään kansainvälisten järjestöjen virkamiehiin, joiden asemasta määrätään Suomea sitovissa kansainvälisissä sopimuksissa. Momentin sanamuotoa on täsmennetty suhteessa voimassaolevan ulkomaalaisrekisterilain 1 §:n 2 momenttiin vastaamaan kansainvälisissä sopimuksissa käytettyä muotoilua. Tosiasiallista nykytilaa ei tältä osin ole tarkoitus muuttaa.

2 §. Suhde muuhun lainsäädäntöön. Pykälässä säädettäisiin siitä, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin lakiehdotuksen tarkoittamaan henkilötietojen käsittelyyn, jollei tässä laissa toisin säädetä.

Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa sekä sitä täydentävässä kansallisessa tietosuojalaissa.

Rikosasioiden tietosuojalakia sovellettaisiin sitä koskevan hallituksen esityksen (HE 31/2018 vp) mukaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovellettaisiin kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Rikosasioiden tietosuojalain soveltamisalaan kuuluvia käsittelytarkoituksia liittyy 1 §:n 1 momentin 6 kohdan mukaiseen kansallisen turvallisuuden suojaamiseen. Sekä Poliisihallituksen alaiset poliisiyksiköt, suojelupoliisi että Rajavartiolaitos suorittavat ehdotettavan lain soveltamisalalla henkilötietojen käsittelyä, johon sovelletaan yleislakina rikosasioiden tietosuojalakia.

Maahanmuuttohallinnossa sovellettavaksi tulevat myös poliisin henkilötietolaki sekä rajavartiolaitoksen henkilötietolaki. Ehdotetun lain soveltamisalan suhde edellä mainittuihin henkilötietojen käsittelyä koskeviin erityislakeihin olisi nykytilaa vastaavasti osittain päällekkäinen. Henkilötietojen käsittelystä säädetään osittain näissä toisissa henkilötietolaeissa esimerkiksi kansallisen turvallisuuden suojaamisen, ulkomaalaisvalvonnan sekä maasta poistamisen osalta. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa.

Jollei ehdotettavassa laissa toisin säädetä, sovellettaisiin henkilötietojen salassapitoon ja luovuttamiseen julkisuuslakia. Ehdotettavassa laissa säädettäisiin salassa pidettävien henkilötietojen luovuttamisesta. Lisäksi ehdotettavassa laissa säädetään julkisuuslakia täydentävästi henkilötietojen salassapidosta.

Sen lisäksi, mitä laissa säädetään, noudatettaisiin Suomea sitovia kansainvälisiä velvoitteita.

3 §. Yhteisrekisterinpitäjät. Rekisterinpitäjinä toimisivat ne viranomaiset, jotka ehdotettavan lain soveltamisalaan kuuluvissa käsittelytarkoituksissa käsittelevät henkilötietoja niille toimivaltaa luovassa lainsäädännössä säädettyjen tehtävien toteuttamiseksi omiin itsenäisiin tarkoituksiinsa. Nämä viranomaiset käyttävät näiden lakisääteisten tehtäviensä hoitamisessa harkinta- ja päätösvaltaa. Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Nämä rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan tarkoittamia yhteisrekisterinpitäjiä. Yksittäisestä yhteisrekisterinpitäjästä käytetään esityksessä muotoilua rekisterinpitäjä.

Kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuisi kyseisen viranomaisen toimivaltaa koskeviin säännöksiin. Koska tarkoitukset, joissa rekisterinpitäjät käsittelevät henkilötietoja perustuisivat rekisterinpitäjien lakisääteisiin tehtäviin, kunkin rekisterinpitäjän aineellisoikeudellinen vastuualue olisi laissa säädetty ja siten yksityiskohtaisesti ja tarkkarajaisesti määritetty.

Maahanmuuttovirasto toimisi rekisterinpitäjänä silloin, kun se käsittelee ja ratkaisee asioita, jotka lailla tai valtioneuvoston asetuksella on säädetty sen tehtäviksi. Tällaisia ovat maahantuloon, maassa oleskeluun, pakolaisuuteen sekä Suomen kansalaisuuteen liittyvien asioiden käsitteleminen ja ratkaiseminen. Lisäksi maahanmuuttovirasto vastaa kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanoton käytännön toiminnan ohjauksesta, suunnittelusta ja valvonnasta, säilöönottoyksiköiden käytännön toiminnan ohjauksesta ja valvonnasta, valtion vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden ylläpidosta, ihmiskaupan uhrien auttamisen toimeenpanon ohjauksesta sekä ilman huoltajaa olevien lasten edustajatoiminnan ohjauksesta, suunnittelusta ja seurannasta. Lisäksi Maahanmuuttovirasto hallinnoi muukalaispassi- ja pakolaisen matkustusasiakirjatietoja eli käytännössä myöntää, peruuttaa ja rauettaa niitä sekä mitätöi ja kumoaa viisumeita (esimerkiksi rikosperusteinen käännyttäminen).

Poliisihallitus toimisi rekisterinpitäjänä silloin, kun Poliisihallituksen alaiset poliisiyksiköt toimivaltansa puitteissa ottavat vastaan ja rekisteröivät kansainvälistä suojelua koskevia hakemuksia, osallistuvat turvapaikkapuhutteluun, antavat tiedoksi kielteisiä turvapaikkapäätöksiä, tekevät, antavat tiedoksi ja täytäntöönpanevat maastapoistamispäätöksiä sekä tekevät esityksiä Maahanmuuttovirastolle henkilön maasta poistamiseksi, määräävät maahantulokieltoja, tekevät ulkomaalaisvalvontaa, suojaavat kansallista turvallisuutta sekä lausuvat kansalaisuushakemuksista. Lisäksi Poliisihallitus toimisi rekisterinpitäjänä poliisin jatkaessa, mitätöidessä tai kumotessa viisumeita sekä kun poliisi päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla. Suojelupoliisi toimisi rekisterinpitäjänä silloin, kun se suojaa kansallista turvallisuutta.

Rajavartiolaitos toimisi rekisterinpitäjänä silloin, kun se rekisteröi turvapaikkahakemuksia, tekee pääsyn epäämis- tai käännyttämispäätöksiä, tekee tai täytäntöönpanee maastapoistamispäätöksiä sisältäen maahantulokiellot tai suorittaa ulkomaalaisvalvontaa. Rajavartiolaitos toimisi rekisterinpitäjänä myös myöntäessään viisumeita sekä niitä mitätöidessään tai kumotessaan sekä kun rajatarkastusviranomainen päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla.

Maahanmuuttovirasto, poliisi ja Rajavartiolaitos valvovat ulkomaalaislain ja sen nojalla annettujen säännösten noudattamista.

Vastaanotto- ja järjestelykeskukset vastaisivat rekisterinpitäjinä asiakkaaksi rekisteröidyn kansainvälistä suojelua hakevan tai tilapäistä suojelua saavan vastaanottopalveluiden sekä ihmiskaupan uhreille tarkoitettujen auttamistoimien suunnittelusta, järjestämisestä, toteuttamisesta ja seurannasta. Vastaanottopalveluihin kuuluvat muun muassa majoitus, vastaanotto- ja käyttöraha, sosiaalipalvelut, terveydenhuoltopalvelut, tulkki- ja käännöspalvelut sekä työ- ja opintotoiminta. Vastaanottokeskuksille kuuluisi rekisterinpitäjän vastuu myös ilman huoltajaa olevan lapsen edustajatoiminnan käytännön hallinnoinnista sekä hakemuksen tekemisestä edustajan määräämiseksi ilman huoltajaa olevalle lapselle. Joutsenon vastaanottokeskus ylläpitää ihmiskaupan uhreille tarkoitettua auttamisjärjestelmää.

Järjestelykeskus toimisi rekisterinpitäjänä, kun se vastaa maahantulijoiden rekisteröinnistä tilanteessa, jossa maahantulijoiden määrä on poikkeuksellisesti niin suuri, ettei maahantulon edellytysten selvittäminen ja maahantulijoiden rekisteröinti tavallisessa menettelyssä ole mahdollista.

Säilöönottoyksiköt toimisivat rekisterinpitäjinä, kun ne käsittelevät henkilötietoja kyseisessä säilöönottoyksikössä olevien henkilöiden säilöönoton järjestämiseen, suunnitteluun, toteuttamiseen ja seurantaan liittyen sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämiseksi.

Ulkoasiainhallintolain (204/2000) 2 §:n 1 momentin mukaan ulkoasiainhallinnon muodostavat ulkoasiainministeriö ja ulkomaanedustukseen kuuluvat edustustot. Ulkoasiainhallinto toimisi rekisterinpitäjänä viisumeihin liittyvän henkilötietojen käsittelyn osalta. Viisumit myönnetään kansallisessa viisumitietojärjestelmässä. Vaikka rekisterinpitäjyys ei olisi sidottu tietojärjestelmään, niin käytännössä ulkoasiainhallinto toimisi rekisterinpitäjänä kansallisessa viisumitietojärjestelmässä. Edustustojen ohella myös muut viranomaistahot kuten poliisi, Rajavartiolaitos ja Tulli myöntävät viisumeita kyseisessä järjestelmässä. Ulkoasiainhallinto toimisi rekisterinpitäjänä myös silloin, kun se käsittelee henkilötietoja vireyttäessään ulkomailla Suomen edustustolle jätettyjä ensimmäistä oleskelulupaa koskevia hakemuksia, kun edustustot keräävät biometrisia tunnisteita henkilöllisyyden varmistamiseksi, kun edustustot antavat päätöksiä tiedoksi ulkomailla ja myöntävät niin sanottuja protokollalupia tai laissez-passer -lupia. Lisäksi ulkoasiainhallinto toimisi rekisterinpitäjänä, kun edustustot päättävät Maahanmuuttovirastoa kuultuaan muukalaispassin myöntämisestä ulkomailla olevalle ulkomaalaiselle tai tekevät Emergency Travel Document (ETD) -päätöksiä.

Elinkeino-, liikenne- ja ympäristökeskukset toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja osoittaessaan henkilön kuntaan ja tehdessään osapäätöksen yrittäjän oleskelulupahakemukseen.

Työ- ja elinkeinotoimistot toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja tehdessään osapäätöksen työntekijän oleskelulupahakemukseen ja päättäessään ulkomaalaislain 187 §:ssä säädetystä työntekijän oleskeluluvan myöntämisestä pidättäytymisestä.

Tietosuoja-asetuksen 5 artiklan periaatteiden sekä 25 artiklan sisäänrakennetun ja oletusarvoisen tietosuojan mukaisesti kukin yhteisrekisterinpitäjä vastaisi henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan.

Erikseen säädettäisiin Maahanmuuttoviraston vastuusta ulkomaalaisasioiden asiankäsittelyjärjestelmässä sekä ulkoasiainhallinnon vastuusta kansallisessa viisumitietojärjestelmässä. Koska ei olisi tarkoituksenmukaista, että jokainen yhteisrekisterinpitäjä vastaisi tietojen käsittelyn hallinnoinnista, tietojärjestelmien ylläpitäjille keskitettäisiin nykytilaa vastaavasti tietojärjestelmien ylläpito- ja kehittämisvastuu. Lisäksi tietojärjestelmien ylläpitäjille keskitettäisiin tietyt tietojärjestelmiin sidotut henkilötietojen käsittelytavat. Tietojärjestelmien ylläpitäjille keskitetyistä vastuista säädettäisiin erikseen tämän lain 4 ja 5 §:ssä. Lain 6 §:ssä säädettäisiin erikseen myös järjestelmän ylläpitäjän roolista rekisteröidyn yhteyspisteenä.

On perusteltua, että tietyt rekisterinpitäjän vastuut kohdentuvat vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Tallentaminen on vain yksi tietosuoja-asetuksen 4 artiklan mukaisista tiedonkäsittelytavoista, mutta henkilötiedon tallentaminen edellyttää ensin muita henkilötiedon käsittelytoimenpiteitä, kuten muokkaamista, muuttamista tai poistamista. Valmistelussa on tunnistettu, että lähes kaikki tietosuoja-asetuksen 4 artiklan mukaiset tiedonkäsittelytavat edellyttävät tiedon tallentamista. Poikkeuksen muodostavat henkilötiedon kysely tai haku, joihin rinnastuu myös artiklassa mainitsematon henkilötiedon katselu. Kukin yhteisrekisterinpitäjä vastaisi tallentamistaan henkilötiedoista. Kukin yhteisrekisterinpitäjä vastaisi esimerkiksi tallentamiensa henkilötietojen virheettömyydestä ja siten myös tietojen viranomaisaloitteisesta korjaamisesta päättämisestä. Lisäksi kukin yhteisrekisterinpitäjä vastaisi tallentamiensa tietojen osalta rekisteröidyn oikeuksien toteuttamisesta. Vastuu yksittäisen tiedon luovuttamisesta ja poistamisesta kuuluisi toimivaltansa perusteella henkilötiedon käsittelyyn oikeutetulle rekisterinpitäjälle. Tiettyjen toimintojen tekninen toteutus on kuitenkin keskitetty järjestelmän ylläpitäjälle. Tällaisia teknisiä toimenpiteitä ovat henkilötiedon poistaminen, korjaaminen tai omien tietojen tarkastuspyynnön toteuttaminen.

Perustuslain 124 §:n mukaa julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Vastaanottolain 10 §:n nojalla Maahanmuuttovirasto sopii kunnan, kuntayhtymän, muun julkisoikeudellisen yhteisön taikka yksityisen yhteisön tai säätiön kanssa vastaanotto- tai järjestelykeskuksen perustamisesta, lakkauttamisesta ja toimipaikasta. Rekisterinpitäjänä toimisi tällöin muu kuin viranomainen, esimerkiksi yksityinen vastaanottokeskus sen toteuttaessa perustuslain 124 §:n nojalla laissa säädettyjä tehtäviään. Käytännössä vastaanottokeskuksia on valtion ja kuntien lisäksi ylläpitänyt lähinnä Suomen Punainen Risti, jolla on pitkä kokemus vastaanottotoiminnan järjestämisestä Suomessa. Selkeyden vuoksi esityksessä käytetään termiä viranomainen myös silloin, kun viranomaistehtäviä toteuttaa muu taho kuin viranomainen. Tilanteet ovat harvinaisia.

Ulkomaalaisrekisterilain 3 §:n 3 momentista poiketen rekisterinpitäjiä eivät jatkossa enää olisi Tulli, työ- ja elinkeinotoimistot, vankeinhoitoviranomaiset, yhdenvertaisuusvaltuutettu, korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Näiden viranomaisten tiedonsaantioikeus perustuisi jatkossa viranomaisten omiin tiedonsaantioikeuksiin yhdessä tämän lain 13 §:ssä säädettävään tiedon luovuttamista koskevaan sääntelyyn.

4 §. Ulkomaalaisasioiden asiankäsittelyjärjestelmä. Ulkomaalaisasioiden asiankäsittelyjärjestelmään lukeutuu varsinaisen UMA-järjestelmän lisäksi henkilökortti- ja passitietojärjestelmä muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Maahanmuuttovirasto on henkilökortti- ja passitietojärjestelmän muukalaispasseja ja pakolaisen matkustusasiakirjoja koskevalta osalta yksinomainen rekisterinpitäjä, joten sen osalta ei välttämättä olisi tarpeen säätää erikseen järjestelmän ylläpitovastuusta. Koska muukalaispasseja ja pakolaisen matkustusasiakirjoja sisältävä järjestelmä on osa poliisin tietojärjestelmää, on selkeyden näkökulmasta pidetty tarpeellisena säätää Maahanmuuttoviraston vastuuroolista koko ulkomaalaisasioiden asiankäsittelyjärjestelmässä.

Maahanmuuttovirastolla olisi ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämis- ja ylläpitovastuu. Vastuun keskittäminen tietojärjestelmien ylläpito- ja kehittämisvastuun osalta olisi välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmien kehittämis- ja ylläpitovastuu edellyttäisi, että niistä vastaa tietty viranomainen sen sijaan, että vastuu niissä hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista nykytilaa vastaavasti. Tietojärjestelmien kehittämis- ja ylläpitovastuu olisi Maahanmuuttovirastolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- tai muista ratkaisuista. Maahanmuuttovirasto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.

Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti rekisterinpitäjille kuuluvien henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisi esimerkiksi omien tietojen tarkastuspyynnön tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.

Ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä Maahanmuuttovirasto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Maahanmuuttovirasto vastaisi muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Ehdotettava tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta sekä katseluyhteyden avaamisesta järjestelmään.

Ulkomaalaisasioiden asiankäsittelyjärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.

5 §. Kansallinen viisumitietojärjestelmä. Ulkoasiainhallinnolla on kansallisen viisumitietojärjestelmän kehittämis- ja ylläpitovastuu. Vastuun keskittäminen on välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmän kehittämis- ja ylläpitovastuu edellyttää, että siitä vastaa yksi viranomainen sen sijaan, että vastuu sen osalta hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Ulkoasiainhallinto viisumitietojärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista. Järjestelmän kehittämis- ja ylläpitovastuu on ulkoasiainhallinnolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- ja muista ratkaisuista. Ulkoasiainhallinto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.

Ulkoasiainhallinto kansallisen viisumitietojärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisivat esimerkiksi omien tietojen tarkastuspyynnön tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.

Kansallisen viisumitietojärjestelmän ylläpitäjänä ulkoasiainhallinto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Ulkoasiainhallinto vastaisi muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Ehdotettava tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta sekä katseluyhteyden avaamisesta järjestelmään.

Viisumitietojärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.

6 §. Rekisteröidyn yhteyspisteet. Rekisteröidyn oikeuksien toteutumisen varmistamiseksi säädettäisiin erikseen rekisteröidyn yhteyspisteistä. Maahanmuuttovirasto toimisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä rekisteröidyn yhteyspisteenä. Ulkoasiainhallinto toimisi kansallisessa viisumitietojärjestelmässä rekisteröidyn yhteyspisteenä.

Rekisteröidyn yhteyspiste toteuttaa rekisteröidyn oikeuksia, erityisesti pääsyä henkilötietoihin vastaamalla tarkastusoikeuden nojalla pyydetyn tiedon toimittamisesta rekisteröidylle sekä pyyntöön liittyvästä prosessista kokonaisuudessaan. Tilanteessa, jossa toimii useita yhteisrekisterinpitäjiä toimivaltuuksiensa puitteissa, on perusteltua edistää rekisteröidyn oikeuksien toteutumista säätämällä rekisteröidyn yhteyspisteistä. Rekisteröidyn yhteyspiste olisi rekisteröidyn ensisijainen kontakti myös suhteessa asiaa käsittelevään tai asian ratkaisseeseen rekisterinpitäjään.

Rekisteröidyn yhteyspisteen nimeäminen ei tietosuoja-asetuksen 26 artiklan 3 kohdan mukaan estä rekisteröityä käyttämästä oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan eli esittämästä tarkastusoikeutta koskevia pyyntöjä myös muille rekisterinpitäjille. Rekisterinpitäjille osoitetut omien tietojen tarkastuspyynnöt tulisi ohjata asian laadusta riippuen Maahanmuuttovirastolle tai ulkoasiainhallinnolle tarvittavia toimenpiteitä varten. Toimintamalli vastaisi hallintolain (434/2003) 21 §:n mukaista viranomaisen velvollisuutta siirtää toimivaltaan kuulumaton asiakirja toimivaltaiseksi katsomalleen viranomaiselle. Asiassa toimivaltainen rekisterinpitäjä voisi niin halutessaan itse toteuttaa rekisteröidyn tarkastusoikeutta, mutta tarkastuspyynnön tekninen toteutus kuuluisi järjestelmän ylläpitäjälle. Tavoitteena on, että riittävän tiedottamisen ja viestinnän johdosta tarkastuspyynnöt kohdistuisivat suoraan rekisteröidyn yhteyspisteille tilanteissa, joissa rekisteröity ei tietoisesti valitse kohdistaa tarkastuspyyntöään asiassa toimivaltaiselle rekisterinpitäjälle tai niin halutessaan myös jollekin toiselle rekisterinpitäjälle.

Yhteyspiste pyytäisi tarvittaessa käsittelystä vastaavalta tai vastanneelta viranomaiselta tämän arviota, jos esimerkiksi rekisteröidyn tarkastusoikeuden sisältö tai laajuus on epäselvä.

7 §. Käsiteltävät henkilötiedot. Pykälässä säädettäisiin henkilötiedoista sekä henkilötietoryhmistä, joihin kuuluvia henkilötietoja lain soveltamisalan piirissä olisi mahdollista käsitellä. Pykälä loisi ulkoreunat käsiteltävien henkilötietojen piirille. Pykälässä ei säädettäisi siitä, mitä henkilötietoja yksittäisessä tilanteessa olisi mahdollista käsitellä. Pykälä ei siten loisi toimivaltaa henkilötiedon käsittelylle. Toimivalta yksittäisen henkilötiedon käsittelylle perustuisi aina erilliseen toimivaltasäännökseen.

Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Käsiteltävien henkilötietojen tarpeellisuus olisi aina arvioitava suhteessa käyttötarkoitukseen. Yksittäisen käsiteltävän henkilötiedon tulisi aina olla tarpeellinen suhteessa käyttötarkoitukseen eli lakisääteisen tehtävän toteuttamiseksi. Jokaisen yksittäisen henkilötiedon tarpeellisuus tulisi arvioida tilannekohtaisesti. Käyttövaltuushallinnalla ja erilaisilla käyttäjäprofiileilla rajattaisiin yksittäisen käsittelijän pääsyä käsittelyn näkökulmasta tarpeellisiin tietoryhmiin. Lokitietojen avulla olisi jälkeenpäin mahdollista varmentaa ja todentaa kenen toimesta henkilötietoja on käsitelty. Käsittelijät toimivat aina virkavastuulla.

Tietosisältöä koskeva sääntelytapa olisi yleisluontoinen suhteessa ulkomaalaisrekisterilain voimassaolevaan sääntelyyn. Tietosuoja-asetuksessa omaksutun ja myös perustuslakivaliokunnan painottaman riskiperustaisen lähestymistavan mukaisesti sääntely kohdennettaisiin riskiperustaisesti tarkempaa sääntelyä edellyttäviin tilanteisiin, jolloin yksityiskohtaista sääntelyä purettaisiin nyt esitetyn kaltaisissa tilanteissa, joissa kattava ja yksityiskohtainen sääntely ei ole välttämätöntä. Yleisluontoisempi sääntelyratkaisu olisi lakiteknisesti perusteltu tietosisällön laajuuden vuoksi sekä siksi, että sääntelyssä käytettäisiin henkilötietoja kuvaavia yläkäsitteitä, joiden sisältöä voidaan pitää melko vakiintuneena. Sääntelytekniikka, jossa tietosisältö on kuvattu vakiintuneita henkilötietojen jaotteluperusteita käyttäen, olisi tarkoituksenmukainen myös siitä näkökulmasta, että se mahdollistaisi tietyin edellytyksin toimivaltaa luovissa laeissa toteutettavien muutosten johdosta käsiteltävien henkilötietojen sisältöön liittyvät yksittäiset muutostarpeet ilman jatkuvia lainsäädäntömuutoksia. Yleismuotoisempi ryhmittelytapa mahdollistaisi aiempaa laajemman tietosisällön käsittelyn, mutta vain sillä edellytyksellä, että tiedon käsittely on tarpeen ja sillä on oikeusperusta. Erityisistä henkilötietoryhmistä säädettäisiin erikseen esityksen 1. lakiehdotuksen 8 §:ssä.

Ehdotettavan lain soveltamisalan laajennus suhteessa voimassaolevaan ulkomaalaisrekisterilakiin huomioiden pykälään keskitettäisiin voimassaolevan ulkomaalaisrekisterilain 7 §:n tietosisällön lisäksi voimassaolevien vastaanottolain 48 §:ssä, säilölain 32 d §:ssä ja kotoutumislain 60 §:n 2 momentissa säädetty tietosisältö.

Pykälä jakautuisi neljään momenttiin. Pykälän 1 momentissa säädettäisiin henkilöön liittyvistä tiedoista, 2 momentissa henkilön asiaan liittyvistä tiedoista, 3 momentissa huomiotietojen erityisestä käsittelystä ja 4 momentissa henkilöön tai asiaan liittyviin muihin henkilöihin liittyvistä tiedoista.

Pykälän 1 momentissa säädettäisiin henkilön yksilöintitiedoista, perhesuhdetiedoista, edustajuustiedoista, osaamista kuvaavista tiedoista ja yhteystiedoista sekä matkustusasiakirjoja koskevista tiedoista ja ulkomaalaislain 96 §:n mukaisen hakemusasian vireilläoloa osoittavaa korttia koskevasta käsittelystä.

Pykälän 2 momentin 1 ja 2 kohdissa säädettäisiin hakemuksesta, esityksestä, pyynnöstä tai ilmoituksesta taikka näiden vuoksi tehdystä tiedustelusta tai kuulemisesta ilmenevistä tiedoista sekä asian käsittely-, selvitys- ja päätöstiedoista. Päätöstiedoilla tarkoitettaisiin myös viranomaisaloitteisia asioita koskevia päätöstietoja. Ulkomaalaisrekisterilain 7 §:n 2 momentin 2 kohdasta poiketen 2 kohdassa ei erikseen mainittaisi asiakirjoja, koska ehdotettava laki kattaisi henkilötietojen käsittelyn riippumatta siitä, missä muodossa tietoja käsitellään.

Pykälän 2 momentin 3 kohdassa säädettäisiin tiedoista, jotka koskevat vastaanottopalveluita ja muuta vastaanottoon kuuluvaa toimintaa sekä ilman huoltajaa olevan lapsen vastaanottotoimintaan liittyvän edustajan tietoja ja edustajatoiminnan ohjauksessa, suunnittelussa ja valvonnassa tarvittavia tietoja. Edustajuustiedoilla tarkoitettaisiin tietoja, jotka kuvaavat huoltajuus-, edunvalvonta-, edustaja-, avustaja- tai asiamiessuhdetta. Pykälän 2 momentin 4 kohdassa säädettäisiin tiedoista, jotka koskevat ulkomaalaisen sijoittamista säilöönottoyksikköön. Pykälän 2 momentin 5 kohdassa säädettäisiin kuntaan osoittamista koskevan tiedon käsittelystä. Kuntaan osoittamisella tarkoitetaan kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamista.

Edellä ehdotettavat muutokset ovat pääosin teknisluontoisia eivätkä lähtökohtaisesti muuttaisi käsiteltävien henkilötietojen nykytilaa suhteessa ulkomaalaisrekisterilaissa, vastanottolaissa, säilölaissa ja kotoutumislaissa säädettyjen talletettavien tietojen osalta tiettyjä erikseen kuvattuja poikkeuksia lukuun ottamatta: vastaanottolain 48 §:ään sekä säilölain 32 d §:ään sisältyneet kuvaukset tarkoituksista, joissa tiettyjä henkilötietoja voidaan käsitellä, korvattaisiin yleisellä tarpeellisuusvaatimuksella. Käsittelyn edellytyksiä koskevaa nykytilaa ei ole tarkoitus muuttaa, vaikka käsittelytarkoituksesta ei jatkossa säädettäisi tietosisältöpykälässä: tiedon olisi jatkossakin oltava tarpeellinen lakisääteiseen käsittelytarkoitukseen nähden. Pykälän 2 momentin 4 kohtaan sisältyvä säilöönottoon liittyvä tietosisältö laajenisi kattamaan tietoja säilöönoton järjestämisen, suunnittelun, toteuttamisen, seurannan ja säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 7 §:n mukaan tietosisältö kattaa tältä osin vain tiedot, jotka koskeva puhelimen ja muiden viestintälaitteiden hallussapitoa ja käyttöä tai tarkastuksia ja rajoituksia. Sääntely ei kuitenkaan vastaa tosiasiallisia tarpeita. Tarkoituksenmukaista olisi, että tallennettava tietosisältö kattaisi laajemmin säilöönoton järjestämisen, suunnittelun, toteuttamisen ja seurannan sekä säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi tarpeelliset tiedot. Säännöksen muuttaminen olisi tarpeen säilölaista ilmenevien toiminnallisten tarpeiden näkökulmasta. Säilölain 11 §:ssä säädettyjen majoituksen, ylläpidon ja muiden välttämättömien perustarpeiden turvaaminen edellyttää mahdollisuutta käsitellä näihin liittyviä henkilötietoja. Myös säilölain 12 ja 14 §:n mukaisten käyttörahan ja toimintakyvyn tukemiseen liittyvien palvelujen tarjoaminen edellyttää näihin liittyvien henkilötietojen käsittelymahdollisuutta. Ylipäätään olisi tarpeen käsitellä asiakaskertomukseksi katsottavia tietoja esimerkiksi henkilön osallistumisesta toimintaan, tehdyistä asiakastoimenpiteistä tai erityisruokavaliosta. Tietoja tulisi voida kirjata myös esimerkiksi asiakkaan käyttäytymisestä, jolla voi olla vaikutusta asiakkaan, muiden säilön asiakkaiden tai henkilökunnan turvallisuuteen esimerkiksi henkilökunnan vuorojen vaihtuessa.

Rekisterinpitäjällä olisi nykytilasta poiketen oikeus käsitellä 6 kohdan nojalla havaitsemiaan tai sille ilmoitettuja huomiotietoja henkilöistä, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa tai rekisterinpitäjän palveluksessa olevien työturvallisuuteen. Kyseessä olisi uusi tietosisältösäännös, joka mahdollistaisi sellaisten henkilötietojen käsittelyn, joiden toimivalta perustuu olemassa olevaan lainsäädäntöön. Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, jotka ovat luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyn rajaaminen perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp, s. 4 ja PeVL 71/2014 vp, s. 2) on välttämätöntä.

Huomiotietojen käsittelyä koskee viranomaistoiminnan tarkoitussidonnaisuuden periaate. Huomiotietojen käsittely rajattaisiin ensiksi rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa. Ulkomaalaislain voimassaolevien 129 a §:n sekä 212 §:n nojalla viranomaiset suorittavat ulkomaalaisvalvontaa sekä ulkomaalaislain nojalla annettujen säännösten noudattamista. Esimerkiksi hallituksen esityksessä (HE 169/2014 vp) todetaan, että ulkomaalaisvalvonnan taustalla on aina oltava joku oleskeluluvan myöntöperusteeseen liittyvä tieto tai epäily, jonka perusteella Maahanmuuttovirastolla on perustellusti syytä tarkistaa jälkikäteen, vastaako henkilön maassa oleskelu edelleen oleskelun edellytyksiä. Työturvallisuuslain (738/2002) 8 §:n mukaan työnantaja on tarpeellisilla toimenpiteillä velvollinen huolehtimaan työntekijöiden turvallisuudesta ja terveydestä työssä. Tässä tarkoituksessa työnantajan on otettava huomioon työhön, työolosuhteisiin ja muuhun työympäristöön samoin kuin työntekijän henkilökohtaisiin edellytyksiin liittyvät seikat. Työnantajan on suunniteltava, valittava, mitoitettava ja toteutettava työolosuhteiden parantamiseksi tarvittavat toimenpiteet. Tällöin on mahdollisuuksien mukaan noudatettava esimerkiksi periaatetta, jonka mukaan vaara- ja haittatekijöiden syntyminen estetään.

Käytännössä huomiotiedot olisivat peruste aloittaa viranomaisten toimivaltaan kuuluviin tehtäviin vaikuttavien olosuhteiden tarkempi selvittäminen. Viranomaisella olisi toimivaltuuksiensa puitteissa mahdollisuus tallentaa huomiotietoja vaikka tiedot eivät liity mihinkään vireillä olevaan asiaan. Huomiotietoja ei saisi käyttää päätöksenteon perusteena. Huomiotietojen luonnetta ei olisi rajattu. Huomiotiedot voisivat koskea esimerkiksi olosuhteita tai tapahtumia, kuten perhesuhteita tai toimeentuloa, jotka voivat olla merkityksellisiä lupaharkinnassa tai arvioitaessa sitä, vastaako henkilön maassa oleskelu edelleen oleskeluluvan edellytyksiä. Huomiotiedot voisivat olla myös työturvallisuuteen vaikuttavia tietoja, kuten tietoja henkilön käyttäytymisestä, jotka voisivat olla merkityksellisiä esimerkiksi turvapaikkapuhuttelun järjestämisen näkökulmasta tai muita turvallisuuden varmistamiseen liittyviä toimenpiteitä ajatellen. Huomiotietojen tulisi täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet eli niiden tulisi aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Pykälän 3 momentin mukaan huomiotietoihin olisi liitettävä arvio tietojen antajan tai tietolähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Huomiotietoihin kohdistuisivat ehdotetun tietosuojalain 34 §:ssä säädetyt yleiset rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Huomiotietojen poistamisesta säädettäisiin erikseen. Luonteensa vuoksi huomiotietojen käsittelyn edellytyksiä tulisi tulkita suppeasti edellä mainituissa rajoissa.

Pykäläehdotuksen 4 momentin nojalla rekisterinpitäjä saisi, siltä osin kuin on tarpeen, käsitellä perheenjäsenten, heidän kanssaan samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötietoja sekä ulkomaalaisen työntekijän palvelukseensa ottavan henkilön henkilötietoja.

8 §. Käsiteltävät erityiset henkilötietoryhmät. Pykälä sisältäisi säännökset erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Erillinen sääntely olisi tarpeen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen arkaluontoisuuden johdosta huomioiden tietosuoja-asetuksessa omaksuttu ja myös perustuslakivaliokunnan painottama riskiperustainen lähestymistapa. Tietosuoja-asetuksen 9 artiklan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kielletty. Tietosuojalakiehdotuksen 6 §:n mukaan arkaluonteisten tietojen käsittelykieltoa ei kansallisen liikkumavaran nojalla sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle säädetystä tehtävästä. On huomioitava, että maahanmuuttohallinnon henkilötietolaki ei loisi toimivaltaa henkilötietojen eikä siten myöskään erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle.

Sormenjälkien käsittelystä säädettäisiin täsmentävästi erikseen 1. lakiehdotuksen 9 ja 10 §:ssä ulkomaalaisrekisterilaissa säädettyä nykytilaa vastaavasti.

Pykälään keskitettäisiin julkisuuslain 24 §:n mukaan salassa pidettävät tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvat tiedot, tietosuoja-asetuksen 10 artiklan mukaiset erityisin edellytyksin käsiteltävät rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavat tiedot. Näitä jälkimmäisiä tietoja olisivat perustuslakivaliokunnan kannan mukaisesti (ks. PeVL 14/2018 vp ja PeVL 15/2018 vp) tietosuoja-asetuksen erityisten henkilötietoryhmien ulkopuolelle jäävät valtiosääntöoikeudellisesti arkaluonteisiksi katsotut tiedot, kuten sosiaalipalveluita koskevat tiedot. Nykyisin näistä salassa pidettävistä tietosisällöistä on säädetty osin niin voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa kuin säilölaissa. Sääntelyn selkeyden ja ymmärrettävyyden vuoksi näistä eri perusteella erityisiksi tai arkaluonteisiksi luettavista tiedoista olisi syytä säätää keskitetysti yhdessä pykälässä. Tämä myös korostaisi näiden tietojen käsittelyn edellyttämää erityistä huolellisuutta ja niiden suojaamista oikeudettomalta käytöltä. Pykälä olisi nimetty käyttäen tietosuoja-asetuksen näistä tiedoista käyttämää erityisten henkilötietoryhmien -nimitystä, vaikka sen alaan edellä mainituin tavoin kuuluisi myös muita erityisin edellytyksin käsiteltäviä henkilötietoja. Jatkossa pykälän sisältämiin tietoihin viitataan selkeyden vuoksi erityisinä henkilötietoryhminä pykälän otsikkoa vastaavasti.

Kullakin rekisterinpitäjällä olisi oikeus käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja vain toimivaltansa puitteissa. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn edellytyksenä olisi välttämättömyys tietyn tarkoituksen kannalta, mikä myös vastaisi voimassaolevan ulkomaalaisrekisterilain ja säilölain sääntelyä. Tämän lisäksi näiden henkilötietojen käyttöala täsmennettäisiin - toisin kuin sellaisten henkilötietojen, jotka eivät kuulu erityisiin henkilötietoryhmiin - rajaamalla niiden käsittelytarkoituksia, jotta voidaan minimoida tietoturvaan ja näiden tietojen väärinkäyttöön liittyviä vakavia riskejä henkilön perusoikeuksille ja -vapauksille (PeVL 15/2018 vp, s. 37).

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyllä puututaan henkilön yksityisyyden suojan ytimeen, joten niiden käytön oikeasuhtaisuutta tulee arvioida suhteessa siihen turvaako puuttuminen kuitenkin henkilön muita oikeuksia ja muodostavatko nämä muut oikeudet niin painavan perusteen, että henkilön yksityisyyden suojaa voidaan niiden turvaamiseksi rajoittaa. Maahanmuuttohallinnossa erityisten henkilötietoryhmien käsittely olisi tarpeen rekisteröidyn identiteetin suojaamiseksi, oikeusturvan varmistamiseksi, edun turvaamiseksi tai terveys- tai sosiaalipalvelujen saamiseksi. Erityisten henkilötietoryhmien käsittely olisi siis tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämällä tavalla oikeasuhteinen toimenpide rajoituksella tavoiteltaviin oikeushyviin nähden.

Erityisten henkilötietoryhmien käyttöalan rajoitusten lisäksi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämät asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi toteutuisivat tietosuojalakiehdotuksen 6 §:n 2 momentissa säädetyillä suojatoimilla. Tällaisia suojatoimia olisivat muun muassa henkilöstön osaamisen ja erilaisten valvontakeinojen toteuttaminen sekä teknisten järjestelmien toimivuuden takaaminen. Myös erityislainsäädäntö itsessään muodostaisi yhden tietosuoja-asetuksen edellyttämän suojatoimen. Lisäksi erityisiä henkilötietoryhmiä koskevien tietojen poistamisesta säädettäisiin erikseen.

Maahanmuuttohallinnossa käsiteltävien tilanteiden moninaisuuden vuoksi erityisten henkilötietoryhmien käsittelysäännöksiä ei ole mahdollista määritellä täysin yksityiskohtaisesti ilman, että viranomaisten toimivaltuudet kuvataan tehtäväkohtaisesti. Tällaista sääntelytapaa ei kuitenkaan ole pidettävä tarkoituksenmukaisena. On tunnistettavissa tilanteita, joissa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on erityisen usein tarpeen sekä sellaisia tilanteita, joissa tarvetta käsittelylle ei ole. Usein on kuitenkin kyse tilanteista, joissa tietyn erityiseen henkilötietoryhmään kuuluvan henkilötiedon käsittely saattaa toisinaan olla välttämätöntä ja toisinaan ei. Tiedon käsittelemisen välttämättömyys on arvioitava aina tilannekohtaisesti. Erityisen henkilötietoryhmän käsittely edellyttää aina tapauskohtaista arviointia.

Henkilötietoja, joista ilmenee luonnollisen henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai seksuaalinen käyttäytyminen ja suuntautuminen, voi olla välttämätöntä käsitellä erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi, mutta myös turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseksi, jotta voidaan varmistaa rekisteröidyn turvallisuus.

Ammattiliiton jäsenyyttä koskevan henkilötiedon käsittely voi olla välttämätöntä kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi sekä ihmiskaupan uhrien auttamiseksi.

Geneettisiä tai biometrisiä henkilötietoja voi olla välttämätöntä käsitellä henkilön yksiselitteistä tunnistamista varten otettaessa oleskelulupahakemuksen tai kansainvälistä suojelua koskevan hakemuksen jättämisen yhteydessä hakijalta sormenjäljet ja hakijan liittämä kasvokuva oleskelulupakorttia varten ulkomaalaislain 60 d §:n perusteella, perhesiteen selvittämiseksi dna-tutkimuksen avulla ulkomaalaislain 65 §:n perusteella sekä oikeuslääketieteellisen tutkimuksen tekemiseksi oleskelulupaa Suomessa hakevan ulkomaalaisen tai perheenkokoajan iän selvittämiseksi ulkomaalaislain 6 a §:n nojalla. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa. Biometrisiin tunnisteisiin kuuluvien sormenjälkien käytöstä säädettäisiin täsmentävästi 9 ja 10 §:ssä.

Geneettisillä tiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 13 alakohdassa tarkoitettuja henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla. Biometrisillä tiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 14 alakohdassa tarkoitettuja kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa.

Terveyttä koskevat tiedot voivat olla välttämättömiä kaikissa lain soveltamisalaan kuuluvissa tilanteissa. Tällaisia ovat esimerkiksi kansainvälistä suojelua koskevan hakemuksen perusteiden arvioiminen, oleskeluluvan myöntämisen edellytysten arvioiminen sekä turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttaminen rekisteröidyn terveydentilan huomioimiseksi.

Terveyttä koskevilla tiedoilla tarkoitetaan terveydentilaa ja terveydenhuoltopalveluita koskevia tietoja sekä potilastietoja. Terveydentilaa ja terveydenhuoltopalveluita koskevia tietoja olisivat esimerkiksi tarvittavat tiedot asiakkaan rokotuksista, mahdollisista tarttuvista taudeista, mahdollisesta asiakkaan itsensä vahingoittamisen riskistä ja asiakkaalle järjestettävien palvelujen käytännön järjestelyistä. Nämä ovat tietoja, joita muutkin kuin terveydenhuoltopalvelujen työntekijät vastaanottokeskuksissa, ihmiskaupan uhrien auttamisjärjestelmässä ja säilöönottoyksiköissä tarvitsevat työtehtäviensä hoitamiseksi. Potilastiedoilla tarkoitetaan muun muassa potilaskäyntien tekstejä, diagnooseja, toimenpiteitä, riskitietoja, lääkitystietoja ja reseptitietoja. Potilastietoja voisivat käyttää vain terveydenhuoltopalveluiden työntekijät lukuun ottamatta tietoja, joita muiden kuin terveydenhuoltopalveluiden työntekijöiden on välttämätöntä käsitellä työtehtäviensä hoitamiseksi.

Sosiaalipalveluita koskevien tietojen välttämättömät käsittelytarpeet liittyvät erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseen, mutta myös turvapaikanhakijoiden vastaanottoon ja säilöönottoon sekä kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseksi.

Rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot voivat olla välttämättömiä kaikissa lain soveltamisalan piirissä käsiteltävissä tilanteissa. Rikostuomioilla ja rikkomuksilla voi olla merkitystä maahantuloa tai maastalähtöä koskevissa asioissa, kansalaisuutta koskevissa kysymyksissä erityisesti kansalaisuutta myönnettäessä, mutta myös vastaanoton ja säilöönoton käytännön järjestämisessä sekä kuntaan osoittamisessa.

Kaikki erityisiin henkilötietoryhmiin kuuluvat henkilötiedot voivat olla välttämättömiä kansallisen turvallisuuden suojaamiseksi.

9 §. Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset muukalaispassien ja pakolaisen matkustusasiakirjojen hakijoilta otettujen sormenjälkien käsittelystä. Pykälä vastaisi sisällöllisesti voimassaolevaa ulkomaalaisrekisterilain 3 a §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset, koska käsittelytarkoituslähtöisyyden seurauksena ei enää säädettäisi rekistereistä ja osarekistereistä. Tämän johdosta pykälässä myös todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Tarkoitus ei ole muuttaa nykytilaa. Sormenjälkiä käyttämään oikeutetuista viranomaisista ulkoasiainministeriö ja Suomen edustusto korvattaisiin termillä ulkoasiainhallinto. Muutos olisi tekninen ja vastaisi tässä esityksessä yleisesti käytettävää terminologiaa.

10 §. Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkien käytöstä. Pykälä vastaisi sisällöllisesti ulkomaalaisrekisterilain 3 b §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän muutosehdotuksen vuoksi, jossa käsittelytarkoituslähtöisyyden seurauksena luovuttaisiin säätämästä rekistereistä ja osarekistereistä. Tämän johdosta pykälässä todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Käsittelyperusteisesta lähestymistavasta johtuen viittaukset hakemusasioiden osarekisteriin korvattaisiin viittauksella kyseisessä pykälässä tarkoitettuihin jo tallennettuihin tietoihin. Valtion turvallisuus korvattaisiin termillä kansallinen turvallisuus vastaamaan tiedustelulainsäädäntökokonaisuudessa ehdotettua käsitettä. Valtion turvallisuuden ja kansallisen turvallisuuden katsotaan tarkoittavan samaa asiaa. Pykälän 2 momentissa säädetyt sormenjälkitiedot korvattaisiin sanalla sormenjäljet. Tarkoitus ei ole muuttaa nykytilaa.

11 §. Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa. Pykälässä säänneltäisiin niistä tilanteista, joissa lain soveltamisalan piirissä henkilötietoja olisi mahdollista käsitellä muussa kuin alkuperäisessä käsittelytarkoituksessa. Tämä olisi mahdollista, jos käsittely olisi välttämätöntä 1 momentissa säädetyllä tavalla rekisterinpitäjän lakisääteisten tehtävien suorittamiseksi tai tarpeen 1 momentin kohdissa tarkemmin yksilöidyllä tavalla. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa säädettäisiin erikseen pykälän 2 ja 3 momentissa.

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta eli henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen jatkokäsittelystä voidaan 6 artiklan 4 kohdan mukaan säätää jäsenvaltion lainsäädännössä, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi. Näitä 23 artiklassa säädettyjä tavoitteita ovat muun muassa yleiseen etuun liittyvät tärkeät tavoitteet sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Lisäksi käsittelylle on oltava 6 artiklan 1 kohdan mukainen peruste ja erityisten henkilötietoryhmien tietojen käsittelyyn 9 artiklan 2 kohdan mukainen peruste.

Oikeusperustan käsittelylle muuhun kuin alkuperäiseen käsittelytarkoitukseen lain soveltamisalan piirissä loisivat rekisterinpitäjän sellaiset lakisääteiset tehtävät, joiden toteuttamiseksi henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa on erikseen säädettävä. Kun on kyse lain soveltamisalan piirissä tapahtuvasta rekisterinpitäjän toteuttamasta henkilötietojen käsittelystä, erillistä luovutussäännöstä viranomaisten välillä ei olisi tarpeen säätää. Kun on kyse sellaisesta henkilötietojen käsittelystä, joka ei kuulu lain soveltamisalan piiriin, asiasta säädetään tiedonluovutussäännöksin silloinkin, kun kyse on rekisterinpitäjän suorittamasta käsittelystä.

Henkilötietojen käsittelyn yhteensopivuus on tapauskohtaisesti arvioitava tietosuoja-asetuksen sisältämien yhteensopivaa käyttöä määrittävien edellytysten valossa. Henkilötietojen käsittelyn yhteensopivuus maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentissa säädetyn soveltamisalan käsittelytarkoituskohdissa 1—6 olisi mahdollista tulkita yhteensopivaksi kunkin kohdan soveltamisalan sisällä. Näin ollen kunkin kohdan nojalla kerättyjen tietojen käyttäminen kyseisen kohdan tarkoituksiin olisi usein yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Tietojen käsitteleminen eri kohtien välillä voisi käytännössä harvemmin olla yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Näin ollen 1§:n soveltamisalan kohtien välillä tapahtuvasta henkilötietojen käsittelystä tulee lähtökohtaisesti säätää erikseen. Kuitenkin soveltamisalan 1 ja 2 kohtien välillä käsittely voisi usein olla yhteensopivaa, koska kansalaisuusasian yhteydessä käsiteltävät tiedot kuuluvat myös maassaoleskelun perusteella käsiteltävien henkilötietojen piiriin.

Huomioiden ehdotettavan maahanmuuttohallinnon henkilötietolain aiempaa laajempi soveltamisala suhteessa ulkomaalaisrekisterilakiin, henkilötietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa tulisi mahdollistaa niissä tilanteissa, joista voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa, säilölaissa ja kotoutumislaissa on säädetty tiedonluovutuksena viranomaisten välillä. Tältä osin muutoksia voidaan pitää sikäli lähtökohtaisesti teknisinä, että voimassaolevaa oikeustilaa ei tältä osin ole tarkoitus muuttaa. Muutos nykytilaan olisi kuitenkin käsittelykynnyksen muuttaminen niin, että tietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa olisi mahdollista tarpeellisuusedellytyksen nojalla pykälässä yksilöidyissä tarkoituksissa ja yksilöityjen rekisterinpitäjien toimesta. Voimassaolevassa lainsäädännössä on pääasiassa sovellettu välttämättömyysedellytystä tiedonluovutuksen nojalla tapahtuneen käsittelyn edellytyksenä. Kotoutumislaissa tiedonsaantioikeuden edellytyksenä on ollut tarpeellisuusvaatimus ilman tarkempaa yksilöintiä. Perustuslakivaliokunnan tiedonluovutusta koskevan vakiintuneen kannan mukaan sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta silloin, kun tietosisältöjä ei ole luetteloitu tyhjentävästi (ks. esim. PeVL 15/2018 vp s. 39). Tähän kantaan on tukeuduttu ehdotettavassa pykälässä.

Pykälän 1 momentin 1 kohdan nojalla lain soveltamisalan piirissä kerättyjä tietoja olisi mahdollista käsitellä muussa kuin niiden alkuperäisessä käsittelytarkoituksessa, mikäli tiedot ovat tarpeen henkilöllisyyden selvittämiseksi.

Pykälän 1 momentin 2 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai elinkeino-, liikenne- ja ympäristökeskukselle kansainvälistä suojelua hakeviin, tilapäistä suojelua saaviin tai ihmiskaupan uhreihin liittyvien tehtävien hoitamista varten taikka ulkomaalaisen Suomessa oleskelua varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 52 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Lisäksi kohdassa olisi kyse voimassaolevan vastaanottolain 58 §:n 1 momentin nojalla Maahanmuuttovirastolle luovutettavien tietojen käsittelemisestä. Vastaanottotietoja, kuten majoitustietoja, tarvittaisiin esimerkiksi oleskelulupaprosessissa sekä maastapoistamisprosessissa, jonka johdosta käsittely olisi mahdollista myös ulkomaalaisen Suomessa oleskelua tai maahantuloon liittyvien tehtävien hoitamista varten. Tällainen voisi koskea esimerkiksi perheenjäsenen maahantuloa koskevaa tilannetta. Maasta poistamisasian yhteydessä majoitustietoja tarvittaisiin sen selvittämiseksi, onko henkilö, esimerkiksi maasta poistettavaksi esitetyn perheenjäsen, edelleen Suomessa. Perheenyhdistämisasioissa majoitustiedot voisivat olla tarpeen, kun selvitetään asuvatko puolisot yhdessä vastaanottokeskuksessa tai yksityismajoituksessa. Tällaisia tietoja tarvittaisiin useimmiten silloin kun hakija on Suomessa mutta tietoja voitaisiin tarvita myös tilanteissa, joissa hakija on ulkomailla. Koska käsittelytarkoitukset olisi yksilöity, käsittely tapahtuisi voimassaolevasta oikeustilasta poiketen tarpeellisuusedellytyksen nojalla. Kohdan sääntely olisi osittain päällekkäinen ulkomaalaislain 105 a §:n 1 momenttiin sisältyvän tiedonsaantioikeuden kanssa, mutta säännökset eivät olisi ristiriidassa keskenään.

Pykälän 1 momentin 3 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai vastaanotto- tai järjestelykeskukselle 1 §:n 1 momentin 3 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 53 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Viranomaisia, jotka keräävät tietoja 1 §:n 1 momentin 1 kohdan nojalla ovat Maahanmuuttovirasto, poliisi ja Rajavartiolaitos. Voimassaolevasta sääntelystä poiketen elinkeino-, liikenne- ja ympäristökeskukset eivät esitettävän soveltamisalan uuden jaottelun mukaisesti keräisi henkilötietoja 1 §:n 1 momentin 1 kohdan nojalla, vaan 1 §:n 1 momentin 5 kohdan nojalla. Tilanteet, joissa Maahanmuuttovirastolla tai vastaanotto- tai järjestelykeskuksella on tiedontarve elinkeino-, liikenne- ja ympäristökeskukselta, liittyvät käytännössä kuntaan osoittamiseen ja olisivat siten henkilötietojen käsittelyä alkuperäiseen käsittelytarkoitukseen tai sen kanssa yhteensopivaa käsittelyä.

Pykälän 1 momentin 4 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 4 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, vastaanotto- ja järjestelykeskuksille, poliisille tai Rajavartiolaitokselle ulkomaalaisen Suomessa oleskeluun ja maasta poistamiseen, kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanottoon tai ihmiskaupan uhrien auttamiseen liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 f §:ään nykyisin sisältyvistä tiedonsaanti- ja luovutusoikeuksista. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Pykälän 1 momentin 5 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai säilöönottoyksikölle 1 §:n 1 momentin 4 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 g §:n nojalla luovutettavien tietojen käsittelemisestä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Pykälän 1 momentin 6 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 5 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle maahanmuuttoon liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 61 §:ään sisältyvistä tiedonluovutussäännöksistä.

Pykälän 1 momentin 7 kohdassa säädettäisiin tietojen käyttämisestä muuhun kun alkuperäiseen käsittelytarkoitukseen, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen elinkeino-, liikenne- ja ympäristökeskukselle 1 §:n 1 momentin 5 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 87 §:n mukaisista säännöksistä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Pykälän 2 momentin mukaan erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä muuhun kuin alkuperäiseen käsittelytarkoitukseen 1 momentin 1—7 kohdassa säädetyissä tarkoituksissa vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Välttämättömyysedellytys korostaisi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen korkeampaa suojaamistarvetta. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Pykälän 3 momentin mukaan se mitä pykälässä säädetään, ei kuitenkaan koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen ehdotettavan maahanmuuttohallinnon henkilötietolain 9 ja 10 §:ssä.

12 §. Tiedonsaantioikeus. Pykälän tarkoituksena on luoda oikeus tiedonsaantiin Maahanmuuttovirastolle, vastaanotto- ja järjestelykeskukselle, säilöönottoyksikölle, elinkeino-, liikenne- ja ympäristökeskukselle sekä työ- sekä elinkeinotoimistolle. Ehdotettu säännös oikeuttaisi mainitut tahot saamaan henkilötietoja maksutta ja salassapitovelvollisuuden estämättä. Salassa pidettävän tiedon antaminen ei edellyttäisi suostumusta siltä, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty. Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten sekä työ- sekä elinkeinotoimistojen tiedonsaantioikeudet perustuisivat niille toimivaltaa luovaan lainsäädäntöön. Koska tiedonsaantioikeus sijoitettaisiin henkilötietolakiin, se koskisi vain henkilötietoja. Koska henkilötietolain soveltamisala ehdotetaan sidottavaksi rekisterinpitotarkoitukseen, tiedonsaantioikeus koskisi vain henkilötietoja, joita käsitellään rekisterinpitotarkoituksessa. Tiedonsaantioikeus voisi koskea myös tietoja, jotka saadaan ulkomailta, esimerkiksi kansainvälisten sopimusten nojalla. Tiedonsaantioikeus kohdistuisi julkisuuslain 4 §:ssä säädettyihin tahoihin.

Perustuslakivaliokunta on jo aiemmassa lausuntokäytännössään kiinnittänyt huomiota henkilön yksityiselämän suojan piiriin liittyvien henkilötietojen käsittelyn aiheuttamiin riskeihin, kuten kerättävien henkilötietojen tietoturvaan ja tietojen väärinkäyttöön, jotka voivat muodostua uhaksi henkilön identiteetille (PeVL 14/2009 vp, s. 3). Myös tietosuoja-asetuksessa on omaksuttu riskiperusteinen lähestymistapa. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtainen sääntely. Erityisesti tällä on merkitystä arkaluonteisten tietojen osalta. (PeVL 14/2018 vp, s. 5—6 ja PeVL 15/2018 vp, s. 36—37). Perustuslakivaliokunnan vakiintuneen kannan mukaan tilanteissa joissa tietosisältöjä ei ole luetteloitu tyhjentävästi, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta. Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 15/2018 vp, s 41, PeVL, 17/2016 vp, s. 56, PeVL 71/2014 vp, s. 3, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (PeVL 15/2018 vp, s. 39).

Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen ja näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla. Silloin kun tiedonsaantioikeus olisi sidottu välttämättömyyteen, sitä täsmennettäisiin sitomalla se ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Tällöin lakiehdotuksessa ei täsmennettäisi tietosisältöä. Siltä osin kuin tiedonsaantioikeus olisi sidottu tarpeellisuusvaatimukseen, käsittelytarkoitusten lisäksi täsmennettäisiin tietosisältö. Tämän lisäksi säädettäisiin täsmällisemmin niistä viranomais- ja muista tahoista, joilta tietoja voi saada.

Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten sekä työ- ja elinkeinotoimistoiden tiedonsaantioikeutta ei niiden käsittelemien asioiden moninaisuuden vuoksi ole tarkoituksenmukaista säännellä niin, että säännöksessä lueteltaisiin tyhjentävästi kaikki viranomaiset ja henkilötiedot, jotka kuuluvat tiedonsaantioikeuden piiriin. Tämän takia tiedonsaantioikeus rajattaisiin pykälän 1 momentissa perustuslakivaliokunnan edellyttämällä tavalla välttämättömiin tietoihin. Tiedonsaantioikeus kytkettäisiin ehdotettavassa laissa toimivaltaa luovaan lainsäädäntöön, jossa tiedontarpeet, tehtävät ja toimivaltarajat on yksilöity. Sääntely olisi näin täsmällistä ja tarkkarajaista. Sääntelytapa selkeyttää kokonaisuudessaan tiedonsaantioikeutta maahanmuuttohallinnossa.

Tieto, joka olisi ratkaiseva Maahanmuuttoviraston, vastaanotto- tai järjestelykeskuksen, säilöönottoyksikön, elinkeino-, liikenne- ja ympäristökeskuksen tai työ- ja elinkeinotoimiston lakisääteisen tehtävän suorittamiseksi, olisi välttämätön ja tällainen tieto voisi esimerkiksi johtaa oleskeluluvan myöntämättä jättämiseen. Tieto olisi välttämätön, jos ratkaisua ei voitaisi tehdä ilman sitä. Välttämättömyyteen sidottu sääntelytapa perustuu luovuttajan arvioon välttämättömyyskynnyksen täyttymisestä. Tietojen välttämättömyys tulisi niitä pyydettäessä perustella.

Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksilla sekä säilöönottoyksiköillä olisi oikeus saada sellaisia tietoja, jotka ovat välttämättömiä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyssä sekä niitä koskevassa päätöksenteossa ja valvonnassa, Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyssä ja päätöksenteossa, kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotossa, ihmiskaupan uhrien auttamisessa ja ilman huoltajaa olevan lapsen edustajatoiminnassa osana vastaanottotoimintaa sekä näiden ohjauksessa, suunnittelussa ja valvonnassa, ulkomaalaisen sijoittamisessa säilöönottoyksikköön, ulkomaalaisen kohtelussa säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisessä sekä kuntaan osoittamisessa. Lisäksi elinkeino-, liikenne- ja ympäristökeskuksilla sekä työ- ja elinkeinotoimistolla olisi oikeus saada esimerkiksi sellaisia tietoja, jotka ovat välttämättömiä yrittäjän tai työntekijän oleskelulupahakemuksen osapäätöksen tekemiselle. Tiedonsaantioikeus rajattaisiin siis edellä esitetyllä tavalla tietoihin, jotka Maahanmuuttovirasto, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot välttämättä tarvitsevat niiden lakisääteisten tehtävien suorittamiseksi. Lainsäädännön selkeyden vuoksi pykälässä ei lueteltaisi edellä mainittuja tarkoituksia, vaan pykälässä viitattaisiin lain 1 §:ssä säädettyihin käsittelytarkoituksiin.

Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada välttämättömiä tietoja oikeusrekisterikeskuksen pitämästä sakkorekisteristä. Sakkorekisteri sisältää seuraamuksen kohteena olevan henkilön henkilötiedot, tiedot seuraamuksen laadusta ja määrästä, suoritetuista täytäntöönpanotoimenpiteistä ja niiden ajasta, kertyneistä rahamääristä sekä täytäntöönpanon esteistä. Sakkorekisterin tiedot ovat välttämättömiä Maahanmuuttoviraston lakisääteisten tehtävien suorittamiseksi, kuten kansalaistamiseen liittyvän nuhteettomuusedellytyksen selvittämiseksi, kansainvälistä suojelua koskevan hakemuksen käsittelemiseksi, pakolaisaseman ja toissijaisen suojelun lakkauttamisen ja peruuttamisen selvittämiseksi, ulkomaalaisen maasta karkottamisen perusteiden selvittämiseksi, kausityöntekijän työnantajan velvoitteiden ja laiminlyöntien selvittämiseksi sekä sen selvittämiseksi onko ulkomaalainen uhka yleiselle järjestykselle ja turvallisuudelle. Käsittelyn tarkoitukset on yksilöity kansalaisuuslaissa, ulkomaalaislaissa sekä kausityölaissa.

Maahanmuuttovirastolla olisi myös esimerkiksi oikeus saada välttämättömät tiedot veroviranomaisilta Suomen kansalaisuuden saamisen, säilyttämisen, menettämisen ja siitä vapautumisen edellytysten selvittämiseksi sekä kansalaisuusaseman määrittämiseksi, ulkomaalaisen oleskeluluvan edellytysten selvittämiseksi, oleskelukortin myöntämisen tai peruuttamisen tai oleskeluoikeuden rekisteröinnin edellytysten selvittämiseksi, työnantajavelvoitteiden suorittamisen tarkistamiseksi ja valvomiseksi, ulkomaalaisen ilmoittaman työnantajan työnantajasuorituksista ja niiden ilmoittamisesta, verojen maksuun liittyvästä maksujärjestelystä sekä työnantajan tosiasiallisesta taloudellisesta toiminnasta. Tiedonsaantioikeus työnantajavelvoitteiden noudattamisesta olisi myös työ- ja elinkeinotoimistoilla niiden harkitessa osapäätöstä kausityöoleskelulupahakemukseen.

Välttämättömät tiedot eivät poikkeuksetta koske hakijaa itseään, vaan tiedot voisivat koskea myös henkilöä jonka toiminnasta hakija tai hänen perheenjäsenensä ilmoittaa saavan tulonsa. Esimerkiksi velvoitteidenhoitoselvitystä käytettäisiin arvioitaessa ulkomaalaisen työnantajan kykyä selvitä laissa säädetyistä velvoitteistaan, määrättäessä ulkomaalaisen työnantajaan kohdistettavia seuraamuksia ja arvioitaessa henkilön kykyä huolehtia omasta tai perheenjäsenensä toimeentulosta Suomessa. Oleskelulupaa koskeva hakemus voidaan hylätä, jos on aihetta epäillä työnantajan kykyä tai halua maksaa ulkomaalaiselle hakemuksessa ilmoitetun suuruista palkkaa tai suoriutua muista työnantajavelvoitteistaan. Jatkolupaa koskeva hakemus voidaan evätä tai voimassaoleva lupa peruuttaa, jos työnantaja on laiminlyönyt noudattaa laissa säädettyjä velvoitteitaan. Velvoitteidenhoitoselvityksestä ilmeneviä tietoja voitaisiin myös käyttää perusteena päätökselle, jossa pidättäydyttäisiin myöntämästä lupia laissa säädettyjä velvoitteitaan laiminlyöneen työnantajan palvelukseen. Hakijan antamien tietojen tarkistaminen velvoitteidenhoitoselvityksellä olisi välttämätöntä myös tilanteissa, joissa tämä palkallaan, yritystoiminnasta tai muista lähteistä peräisin olevilla tuloillaan ilmoittaa täyttävänsä laissa säädetyn itseään tai perhettään koskevan toimeentuloedellytyksen Suomessa oleskelun aikana. Esitetyt säännökset koskisivat työnantajaa vain silloin, kun tämä olisi luonnollinen henkilö. Velvoitteidenhoitoselvityksestä oikeushenkilön osalta säädettäisiin erikseen.

Tiedonsaantioikeus sidottaisiin nykytilasta poiketen tarpeellisuusvaatimukseen siltä osin kuin tiedot eivät olisi lakisääteisten tehtävien suorittamiseksi välttämättömiä. Tarpeellisia tietoja olisivat sellaiset tiedot, jotka tukevat Maahanmuuttovirastoa, vastaanotto- tai järjestelykeskusta tai säilöönottoyksikköä sen lakisääteisten tehtävien suorittamisessa. Tarpeellinen tieto voi siis olla tärkeä osa kokonaisharkintaa, mutta ratkaisua ei voi perustaa yksin sen varaan. Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada esimerkiksi oikeusrekisterikeskuksen pitämästä sakkorekisteristä tiedot henkilötiedoista, ratkaisutiedoista, täytäntöönpanoasiatiedoista, muuntorangaistusasioista ja tapahtumatiedoista, silloin kun tiedot ovat tarpeellisia muiden kuin oleskelulupaa hakevien henkilöiden rekisteritiedoista kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Sikäli kuin tietojensaantioikeus on sidottu tarpeellisuusvaatimukseen, tarkoitetut tietosisällöt on lueteltu laissa tyhjentävästi perustuslakivaliokunnan vakiintuneen kannan mukaisesti (PeVL 17/2016 vp, s. 5—6).

Laissa säädettäisiin oikeudesta saada tarpeellisia tietoja kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä muiden kuin oleskelulupaa hakevien henkilöiden tiedoista, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Kyse on vastuunmäärittämisasetuksen ("Dublin-asetus", 604/2013/EU) 8 artiklan 2 kohdan (alaikäiset turvapaikanhakijat) ja 16 artiklan 1 kohdan (riippuvuussuhteessa olevat henkilöt) mukaisen harkinnan suorittamiseksi tarvittavista tiedoista. Asetuksen mukaisen harkinnan tulee perustua siihen onko henkilö, jonka olisi tarkoitus huolehtia alaikäisestä tai riippuvuussuhteessa olevasta, kykenevä huolehtimiseen. Komissio ei ole avannut edellytysten sisältöä. Komission täytäntöönpanoasetuksella 118/2014/EU annettiin kuitenkin vakiolomakkeet helpottamaan tällaisten henkilöiden tunnistamista (liitteet VII ja VIII). Näillä lomakkeilla tietoa antavan valtion on ilmoitettava onko alustavaa näyttöä muun muassa henkilön kyvystä ja aineellisista valmiuksista huolehtia alaikäisestä tai riippuvuussuhteessa olevasta. Kyseisissä tiedoissa on kyse Suomessa oleskelevasta henkilöstä, joka voi olla myös Suomen kansalainen. Kykyä ja aineellista valmiutta arvioitaisiin esimerkiksi rikostietojen sekä tulo- ja varallisuustietojen perusteella. Maahanmuuttoviraston olisi tarpeellista saada kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä tiedot tämän huolehtimiskykyä koskevan harkinnan suorittamiseksi. Suoritettavalla harkinnalla voisi olla merkitystä erityisesti lapsen edun kannalta. Henkilön yksityisyyden suojaan puuttuminen on näin ollen oikeasuhtaista, koska tavoitteena on heikommassa asemassa olevien lasten ja läheisiinsä erityisessä riippuvuussuhteessa olevien suojaaminen.

Esimerkiksi oikeusrekisterikeskukselta Maahanmuuttovirasto tarvitsisi henkilön Dublin-asetuksen mukaisen huolehtimiskyvyn selvittämiseksi tiedot rangaistuksista ja niiden laadusta, sillä esimerkiksi ehdoton vankeusrangaistus vaikuttaa suoraan henkilön kykyyn huolehtia toisesta henkilöstä. Tämän lisäksi tarvitaan Rikosseuraamuslaitokselta tieto vapautumisajankohdasta ja vapautumiseen liittyvistä ehdoista, kuten ehdonalaiseen vapauteen liittyvästä valvonnasta, joilla on myös merkitystä henkilön huolehtimiskyvyn kannalta.

Esimerkiksi Maahanmuuttovirastolla olisi oikeus saada ulkoasiainhallinnolta tieto asiakirjojen laillistamisesta. Laillistamisen tarkoituksena on edustustossa varmentaa asiakirjan antaneen viranomaisen toimivalta antaa kyseinen asiakirja kyseisessä vieraassa valtiossa. Edustustoissa suoritetuista notaaritoimituksista pidetään ns. notaaritoimitusten luetteloa. Maahanmuuttovirastossa kansalaisuusasioissa tieto siitä, miksi asiakirjaa ei ole laillistettu, on tarpeellinen.

Tiedon saamisesta teknisen käyttöyhteyden avulla ei olisi enää tarpeen säätää erikseen, koska perustuslakivaliokunta ei ole enää viimeaikaisessa lausuntokäytännössään nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Muutoinkin tietojen siirtämisen teknisistä edellytyksistä tulisi säätää vain tiedon luovuttajan osalta, koska tämä taho vastaa hallussaan olevista tiedoista. Tiedon luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta on valmisteilla yleislaki.

13 §. Henkilötietojen luovuttaminen. Pykälän 1 momentissa säädettäisiin, että sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin, kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi. Pykälän nojalla henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla. Henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin säädetään erikseen.

Raskaan sääntelyrakenteen synnyttävän ja tulkintaongelmia luovan kaksinkertaisen sääntelyn purkamiseksi henkilötietojen luovuttamista koskevaa sääntelyä yksinkertaistettaisiin voimassaolevaan lainsäädäntöön nähden siirtymällä sääntelymalliin, jossa tiedonluovutus olisi sidottu vastaanottavan viranomaisen lakisääteisiin tehtäviin perustuviin tiedonsaantioikeuksiin. Tiedonluovutuksen luova käsittelytarkoitus, tietosisältö ja luovutuksen kohde olisi sidottu tietojen pyytäjän lainsäädäntöön sisältyviin tiedonsaantioikeuksiin. Lähtökohta olisi, että tiedonsaantioikeus loisi vastanottajalle yksilöidyn oikeuden saada tietoa. Tiedonluovutuksesta olisi kuitenkin edelleen tarpeen säätää ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu. Koska tiedonsaantioikeudesta säätämine olisi lähtökohta säänneltäessä tiedon liikkumista, tiedonluovutuksen osalta olisi mahdollista siirtyä yleisluontoisempaan sääntelymalliin. Voimassaolevaan ulkomaalaisrekisterilain 10 §:ään verrattuna muuttuneella muotoilulla ei ole tarkoitus muuttaa tiedonsaajien oikeutta saada tietoja. Valmistelussa on varmistuttu voimassaolevan ulkomaalaisrekisterilain 10 §:n mukaisten tiedonsaajien tiedonsaantioikeuksien riittävyydestä pyytämällä näitä tahoja huomioimaan lausunnoissaan mahdolliset puutteet tiedonsaantioikeuksissaan. Nyt esitettävä muotoilu mahdollistaisi tiedonluovutuksen jatkossa myös sellaisissa tilanteissa, joissa tiedonsaanti perustuu vastanottajan tiedonsaantioikeuksiin, mutta tiedonluovutuksesta ei nykyään ole erikseen säädetty ulkomaalaisrekisterilaissa.

Rekisterinpitäjät päättäisivät itsenäisesti tietojen luovuttamisesta rekisterinpitäjän vastuun nojalla. Yhteisrekisterinpitäjyys ei loisi oikeutta luovuttaa kaikkia lain soveltamisalan piiriin kuuluvia tietoja, vaan kukin rekisterinpitäjä voisi luovuttaa ainoastaan sellaisia tietoja, joita kyseinen viranomainen on toimivaltainen käsittelemään ja joista se rekisterinpitäjänä vastaa.

Tietoja luovuttavan tahon tulisi arvioida tiedonsaantia koskeva pyyntö luovuttamisen laillisten edellytysten kannalta. Rekisterinpitäjän vastuu sisältää velvollisuuden arvioida, mitä tietoa se luovuttaa vastaanottavan viranomaisen tiedonsaantioikeuden nojalla. Käyttötarkoitussidonnaisuuden toteutumisen varmistamiseksi tiedonsaajan tulisi tietoa tai tietoja tai järjestelmään pääsyä pyytäessään perustella se, mihin sen oikeus saada kyseistä tietoa perustuu, tiedon käsittelytarkoitus sekä tarvittavat tiedot. Rekisterinpitäjä arvioisi tiedonpyytäjän pyynnön perusteella tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan henkilötietojen minimointia koskeva periaatteen huomioiden luovutettavien henkilötietojen tietosisällön sekä sen, missä muodossa tiedot luovutetaan. Tietoa luovuttavan viranomaisen tulisi luovutuksen edellytyksiä arvioidessaan huomioida muun muassa tiedon tarve eli mihin tarkoitukseen henkilötietoa pyydetään, onko pyydetty tieto yksilöity riittävällä tavalla käyttötarkoitus huomioiden, onko tieto sekä tietoa pyytävä viranomainen yksilöity riittävällä tarkkuudella, onko tieto saatavissa muusta tietolähteestä tai esimerkiksi hakijalta itseltään ja mikäli näin on, puoltaako esimerkiksi tiedon luotettavuusvaatimus (tiedon nojalla tehdään henkilöä velvoittava päätös) tiedon saamista juuri luovuttavalta taholta sekä onko intressin ja riskin välillä riittävä tasapaino erityisesti, jos kyseessä on pääsyoikeuden avaaminen tietojärjestelmään. Arvioinnin ei tarvitsisi olla tiukan tapauskohtaista tilanteissa, joissa tietoa luovutetaan säännönmukaisesti tietylle viranomaiselle tiettyä käyttötarkoitusta varten.

Laissa ei eriteltäisi tilanteita sen mukaan, onko kyse tiedon yksittäistapauksellisesta luovutuksesta vai muiden kuin yksittäisten tietojen luovuttamisesta. Laissa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Valtiovarainministeriössä on lisäksi valmisteilla julkisen hallinnon tiedonhallintalaki, jossa säänneltäisiin yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään. Ulkomaalaisasioiden asiankäsittelyjärjestelmän osalta Maahanmuuttovirasto ja kansallisen viisumijärjestelmän osalta ulkoasiainhallinto toimisi järjestelmän ylläpitäjänä, joka päättäisi tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluyhteyden avaamisesta järjestelmään. Luovutettavia tietoja koskeva teknisen suojaamisen vaatimus seuraa puolestaan suoraan tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan mukaisesta käsittelyn turvallisuudesta. Tietosuoja-asetus edellyttää korkeaa tietosuojan ja tietoturvallisuuden tasoa.

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Luovuttamisen edellytyksiä arvioitaessa tulisi erityistä painoarvoa antaa sille, että kyseessä on erityisiin henkilötietoryhmiin kuuluva henkilötieto. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis-ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Tämä edellyttäisi suppeaa luovutussäännösten tulkintaa.

Tietojen luovuttaminen ei koskisi oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen lain 9 ja 10 §:ssä.

14 §. Henkilötietojen luovuttaminen Euroopan unionin yhteisiin tietojärjestelmiin. Pykälässä säädettäisiin Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin kulloinkin kyseessä olevan perustamisasetuksen mukaisia henkilötietoja. Toimivalta luovuttaa henkilötietoja asetuksella perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin seuraa suoraan kustakin perustamisasetuksesta.

Euroopan unionin yhteisiä tietojärjestelmiä on useita, joista osa on vasta valmisteilla. Tällaisia ovat toisen sukupolven Schengenin tietojärjestelmä (SIS II), Eurodac-järjestelmä, viisumitietojärjestelmä (VIS), Rajanylitystietojärjestelmä (EES) sekä EU:n matkustustieto- ja -lupajärjestelmä (ETIAS).

Näiden tietojärjestelmien säädöspohjan muodostavat toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, joka on tarkoitus korvata SIS-poliisiyhteistyöasetuksella ja SIS-rajatarkastusasetuksella sekä niitä täydentävällä SIS-palautusasetuksella, Eurodac-järjestelmää koskeva Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, viisumitietojärjestelmää (VIS) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, rajanylitystietojärjestelmää (EES) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226 sekä EU:n matkustustieto- ja -lupajärjestelmää (ETIAS) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240.

Schengen tietojärjestelmän osalta säännös vastaisi voimassa olevan poliisin henkilötietolain 36 §:n mukaista säännöstä. Säännös on tarkoituksenmukaista sisällyttää maahanmuuttohallinnon henkilötietolakiin, koska valmisteilla olevan poliisin henkilötietolain kokonaisuudistuksessa voimassaolevaa säännöstä on tarkoitus kaventaa koskemaan vain poliisia. Tarkoituksena on tuoda näkyväksi Maahanmuuttoviraston oikeus luovuttaa tietoa Schengenin tietojärjestelmään nykytilaa vastaavasti. Myös Rajavartiolaitos on arvioinut tarpeelliseksi säätää tietojen luovutuksesta Rajavartiolaitoksen henkilötietolaissa. Velvoite tietojen luovuttamiselle seuraa toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annetusta Euroopan parlamentin ja neuvoston asetuksesta (EY) N:o 1987/2006. Valmistelussa on arvioitu, että vaikka velvoite seuraa suoraan asetuksesta, luovutuksesta olisi tarpeen säätää erikseen, koska esimerkiksi biometristen tietojen, kuten sormenjälkien, luovutus koskisi tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovutusta. Myös perustuslakivaliokunta on aiemmassa lausuntokäytännössään rinnastanut biometriset tiedot arkaluonteisiin tietoihin, joiden asianmukaiseksi suojaamiseksi niiden luovuttamisesta tulee säätää erikseen (PeVL 14/2009 vp, s. 3 ja PeVL 47/2010 vp, s. 3). Tiedonluovutuksesta olisi tarpeen säätää myös ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu.

15 §. Tietojen poistaminen. Tietosuoja-asetuksen 6 artiklan 3 kohdassa mahdollistetaan tietojen säilytysajoista säätäminen kansallisessa lainsäädännössä. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan tietojen minimointia ja 5 artiklan 1 kohdan e alakohdan säilytyksen rajoittamista koskevan lähtökohdan mukaisesti henkilötietojen poistamista koskevat määräajat perustuisivat tarpeeseen säilyttää tietoa vain ajan, joka on rekisterinpitäjän lainmukaisten tehtävien suorittamiseksi ja lakien noudattamisen valvomiseksi tarpeen sekä henkilön oikeusturvan kannalta perusteltua.

Perustuslakivaliokunta on käytännössään korostanut arkaluonteisten tietojen käsittelyn rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (PeVL 13/2017 vp, s. 6), kun taas muun tyyppisten henkilötietojen kohdalla valiokunta on suhtautunut sallivammin pidempiin säilytysaikoihin (PeVL 2/2018 vp, s. 6). Henkilötietojen säilyttämiseen liittyvien riskien ja niiden säilyttämisellä tavoiteltujen oikeusturvan varmistamisen ja identiteetin suojaamisen välillä on tehty punnintaa varsinkin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta.

Säännöksen johtolauseessa olisi informatiivinen säännös, jolla pyrittäisiin huomioimaan Euroopan unionin lainsäädännöstä mahdollisesti seuraavat poikkeavat henkilötietojen poistoajat. Unionissa on tällä hetkellä valmisteltavana menettelyasetus ja uudelleensijoittamista koskeva asetus, joissa säädetään kansainvälistä suojelua hakeneen henkilön asiaa koskevien tietojen poistamisesta.

Tietojen poistamista koskeva aika pitenisi tietyissä tilanteissa. Voimassaolevaan lakiin verrattuna tietojen poistamiseen liittyvät säännökset pitenisivät, kun 1 kohdan mukaan henkilön tunnistetiedoista asiakasnumero, nimi, syntymäaika, henkilötunnus, ulkomainen henkilönumero, muu ulkomainen henkilön yksilöimiseksi annettu tunnus, kansalaisuus sekä henkilön perhesuhdetiedot poistettaisiin kymmenen vuoden kuluttua siitä, kun hän on kuollut tai saanut Suomen kansalaisuuden tai häneen liittyvien asioiden tiedot on poistettu.

Maahanmuuttohallinnolle on leimallista, että aiemmin vireillä olleet asiat voivat olla merkityksellisiä myöhemmissä asioissa, esimerkiksi uutta oleskelulupaa haettaessa, myöhemmin vireille tulevassa perheenjäsenen oleskelulupa-asiassa, kansalaisuuden myöntämistä koskevassa asiassa tai kansalaisuuden menettämisasian yhteydessä. Rekisteröidyn oikeuksien turvaamiseksi on tärkeää, että merkitykselliset perustiedot säilytetään riittävän pitkään. Henkilön perustietojen riittävän pitkää säilyttämisaikaa puoltaa lisäksi väärinkäytöstilanteiden ennalta ehkäiseminen esimerkiksi estämällä useamman päällekkäisen henkilöllisyyden luominen. Ilman riittävän pitkää perustietojen säilytysaikaa usean henkilöllisyyden luominen on mahdollista tilanteissa, joissa henkilö on ensin esimerkiksi opiskellut Suomessa ja palaa maahan myöhemmin esimerkiksi työntekijänä. Usean eri henkilöllisyyden tilanteet aiheuttavat hankalia heijastusvaikutuksia myös muiden viranomaisten rekisterimerkintöihin. Tällaisten päällekkäisyyksien välttäminen on myös hakijan edun mukaista. Riittävän pitkä määräaika olisi perusteltu myös kansalaisuuden menettämistä koskevan asian vireille tulemisen näkökulmasta. Päätöstä kansalaisuuden menettämisestä ei voida tehdä, jos kansalaisuushakemuksen tai -ilmoituksen ratkaisusta on kulunut yli viisi vuotta. Jos kansalaisuuden menettämistä koskeva asia on tullut vireille ennen kuin viisi vuotta on kulunut kansalaisuuspäätöksen tekemisestä, päätös voidaan kuitenkin tehdä vielä tämän jälkeen. Määräaika on perusteltu myös siksi, että perheenjäsenen oleskelulupa-asian vireille tuleminen on mahdollista vielä pitkään esimerkiksi henkilön kuoleman jälkeen.

Tietosuoja-asetuksen johdanto-osan 27 kappaleen mukaan tietosuoja-asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin, mutta niistä voidaan säätää kansallisessa lainsäädännössä. Maahanmuuttohallinnon alalla henkilötietojen säilyttämisestä olisi edellä esitetyn johdosta tarpeellista säätää vielä henkilön kuoleman jälkeen.

Pykälän 2 kohdan mukaan muut henkilötiedot poistettaisiin viimeistään, kun oleskeluoikeuden päättymisestä tai viimeisimmän vireillä olleen asian viimeisestä tiedon merkitsemisestä on kulunut viisi vuotta. Myös henkilöön liittyvien asioiden tiedot poistettaisiin samalla.

Tietojen poistamista koskevat määräajat kaikkien vireillä olleiden asioiden osalta laskettaisiin viimeisimmän vireillä olleen asian päättymisestä. Tämä olisi muutos nykytilaan verrattuna. Tämä pidentäisi osa henkilötiedoista säilytysaikaa. Kaikkien asioiden samanaikainen poistaminen olisi kuitenkin perusteltua sen välttämiseksi, että henkilön asiaa koskevissa tiedoissa olisi ajallisia aukkoja, jota ei voida pitää perusteltuna rekisteröidyn oikeusturvankaan näkökulmasta.

Pykälän 3 kohdan mukaan perustuslakivaliokunnan edellä esitetyn kannan mukaisesti erityisiin henkilötietoryhmiin kuuluvat tiedot poistettaisiin kuitenkin heti kun ne olisivat käyneet tarpeettomiksi. Erityisiin henkilötietoryhmiin kuuluvan henkilötiedon käsittelyn edellytyksenä on välttämättömyys jonkin tarkoituksen kannalta. Näin ollen erityisiin henkilötietoryhmiin kuuluva henkilötieto olisi tarpeeton silloin, kun se ei enää ole käsittelyn näkökulmasta välttämätön.

Luonteensa vuoksi myös huomiotiedot poistettaisiin erillisen määräajan puitteissa kuuden kuukauden kuluttua tiedon merkitsemisestä. Huomiotietojen, kuten muidenkin tietojen osalta, olisi huomioitava tietojen minimointia koskeva lähtökohta, jonka mukaan tietojen on oltava rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Esityksessä omaksutun käyttötarkoitussidonnaisen lähtökohdan mukaisesti henkilötietojen poistaminen ei olisi sidottu mihinkään järjestelmään, vaan henkilötiedot poistettaisiin niistä järjestelmistä, joissa niitä käsitellään. Lakisääteisen säilytysajan päätyttyä henkilötiedot tulisi poistaa joko hävittämällä ne tai siirtämällä ne arkistoon sen mukaan mitä Arkistolaitos määrää asiakirjojen tai asiakirjoihin sisältyvien tietojen säilyttämisestä pysyvästi. Poistetut tiedot arkistoitaisiin siis siten kuin siitä erikseen säädetään tai määrätään. Virheelliseksi todetun tiedon poistamisesta säädettäisiin erikseen.

Tietojen poistamisesta vastaavasta viranomaisesta säädettäisiin 4 ja 5 §:ssä.

16 §. Virheelliseksi todettu henkilötieto. Sen estämättä mitä tietosuoja-asetuksessa säädetään virheellisen tiedon poistamisesta, virheelliseksi todetun henkilötiedon saisi säilyttää korjatun henkilötiedon yhteydessä, jos se olisi tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista henkilötietoa saisi käyttää vain mainitussa tarkoituksessa.

Tietosuoja-asetuksen 5 artiklan 1 kohdan d kohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä. Tietosuoja-asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Tietosuoja-asetuksen 17 artiklassa säädetään tietojen poistamisesta erikseen luetelluissa tilanteissa, mutta tietojen virheellisyyttä ei ole artiklassa luettu poistamisen perusteeksi. Tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan mukaan 5 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa voidaan rajoittaa lainsäädännössä, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, kunhan rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällaisista rajoituksista säätäminen edellyttää tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan myös erityisiä säännöksiä muun muassa suojatoimista ja tietojen säilytysajoista. Suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa. Virheelliseksi todetun tiedon säilyttäminen on välttämätön ja oikeasuhtainen toimenpide rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien ja vapauksien turvaamiseksi.

Pykälä ei rajoittaisi oikeutta tietojen oikaisemiseen, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä. Pykälässä säädettäisiin virheelliseksi todetun tiedon säilyttämisestä tilanteissa, joissa se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 9 §:n 2 momenttiin verrattuna oikeustila muuttuisi niin, että merkityksellistä olisi myös muun asianosaisen oikeuksien turvaaminen esimerkiksi perheenjäsenen oleskelulupaa koskevissa tilanteissa.

Virheelliseksi todettu tieto, jota säilytetään, olisi poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää olisi tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta. Viiden vuoden määräajan alkamistapa muuttuisi, kun määräaika laskettaisiin virheellisen henkilötiedon tallentamisen sijaan virheen havaitsemisesta. Virheellisen tiedon viiden vuoden säilyttämisaika on perusteltu esimerkiksi tilanteissa, joissa on kyse virheellisen tiedon tallentaneen virkamiehen oikeusturvasta virkavastuuta koskevassa asiassa.

17 §. Tietojen arkistointi. Pykälä sisältäisi informatiivisen säännöksen, jossa todettaisiin, että arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään ja määrätään erikseen. Tällä hetkellä muotoilulla tarkoitettaisiin sitä, mitä voimassa olevassa arkistolaissa (831/1994) tai sen nojalla säädetään. Muotoilu ottaisi kuitenkin huomioon sen, että arkistolaki suunnitellaan korvattavaksi julkisen hallinnon tiedonhallintalailla.

Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa yleisen edun mukaista arkistokäyttötarkoitusta ei pidetä yhteensopimattomana alkuperäisen käyttötarkoituksen kanssa. Tällä perusteella henkilötietoja sisältäviä tietoaineistoja voidaan arkistoida, jos se on yleisen edun mukaista.

18 §. Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälässä säädettäisiin menettelystä omien tietojen tarkastusoikeuden toteuttamiseksi. Tarkastusoikeuden toteuttamisen kohteena olevissa henkilötiedoissa on useimmiten kyse arkaluonteisista tai salassa pidettävistä tiedoista. Tämän johdosta on oltava varmuus siitä, että henkilö, jolle tarkastusoikeuden kohteena olevat tiedot luovutetaan, on tosiasiassa se henkilö, jota koskevista henkilötiedoista on kyse. Rekisteröidyn oikeuksien toteutumisen edistämiseksi säädettäisiin 6 §:ssä rekisteröidyn yhteyspisteistä, joita olisivat Maahanmuuttovirasto ja ulkoasiainhallinto. Rekisteröidyn yhteyspisteen nimeäminen ei kuitenkaan estä rekisteröityä esittämästä tarkastusoikeutta koskevia pyyntöjä myös muille rekisterinpitäjille.

Tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada pääsy omiin tietoihinsa. Tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan nojalla on mahdollisuus kansallisella lainsäädäntötoimenpiteellä rajoittaa myös artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu. Tällöin lainsäädäntötoimenpiteissä on huomioitava 23 artiklan 2 kohdan mukaiset erityiset säännökset. Näistä suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa. Rekisteröidyn tarkastusoikeuden toteuttamista koskevat yksityiskohtaiset menettelysäännökset olisivat välttämättömiä ja oikeasuhteisia rekisteröidyn yksityisyyden suojaamiseksi ja laissa säädetyn salassapidon toteutumiseksi viranomaistoiminnassa.

Rekisteröidyn olisi tarkastusoikeutta toteuttaessaan esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava ennen henkilötietojen luovuttamista henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.

Tarkastusoikeuden toteuttaminen edellyttäisi aina pyynnön esittämistä rekisterinpitäjälle kirjallisesti. Pyyntö voisi tapahtua esimerkiksi sähköpostilla tai postilla lähetettävällä pyynnöllä tai henkilökohtaisen käynnin yhteydessä esimerkiksi lomakkeella. Pyynnön voisi esittää rekisteröidyn puolesta myös muu henkilö, esimerkiksi edustaja tai avustaja.

Tarkastusoikeuttaan käyttävän rekisteröidyn henkilöllisyydestä tulisi varmistua ennen tarkastusoikeuden toteutumista eli viimeistään tarkastusoikeuden kohteena olevien henkilötietojen luovuttamisen yhteydessä. Rekisteröity voisi todistaa henkilöllisyytensä luotettavana pidetyillä asiakirjoilla rekisterinpitäjän luona tai esimerkiksi niin, että tarkastusoikeuden kohteena olevat pyydetyt tiedot toimitettaisiin rekisteröidylle kirjatulla kirjeellä, jolloin rekisteröidyn henkilöllisyyden todentaminen voisi tapahtua kirjattua kirjettä koskevaa normaalia luovutusmenettelyä noudattaen. Maahanmuuttoviraston palveluverkoston harvalukuisuuden johdosta olisi perusteltua, että omien tietojen tarkastusoikeuden toteuttaminen ei edellyttäisi henkilökohtaista käyntiä Maahanmuuttoviraston palvelupisteessä, mikäli henkilöllä on luotettavana pidetty asiakirja. Luotettavana pidettyjä asiakirjoja ovat ainakin voimassa oleva henkilöllisyyden osoittava asiakirja sekä voimassa oleva passi. Rekisteröidyillä, erityisesti turvapaikanhakijoina maahan tulleilla, ei aina ole luotettavana pidettäviä asiakirjoja. Näissä tilanteissa rekisteröity olisi mahdollista tunnistaa henkilökohtaisen käynnin yhteydessä rekisterinpitäjän luona esimerkiksi tietojärjestelmään tallennetuista tiedoista, kuten turvapaikkahakemuksen yhteydessä otettuun valokuvaan vertaamalla. Rekisteröidyn olisi myös mahdollista käyttää vahvaa sähköistä tunnistamista.

Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamisesta poliisille olisi voimassa mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 44 §:ssä säädetään. Rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti poliisille ja todistettava henkilöllisyytensä. Pyynnön voisi esittää myös käyttämällä varmennetulla tavalla luotettavaa sähköistä tunnistamista, jos tällainen palvelu on käytössä. Tarkastusoikeuden toteuttamista koskeva erilainen menettelytapa poliisille osoitettujen tarkastuspyyntöjen osalta olisi perusteltua yhtenäisen prosessin varmistamiseksi poliisin toiminnassa. Tilanteissa, joissa rekisteröidyn yhteyspiste, esimerkiksi Maahanmuuttovirasto, toteuttaisi rekisteröidyn tarkastusoikeutta poliisin tietojen osalta, rekisteröidyn yhteyspiste vastaisi siitä, että henkilöllisyys tulee todennetuksi muussa prosessin vaiheessa ja tiedot luovutetaan oikealle henkilölle.

19 §. Rekisteröidyn oikeus käsittelyn rajoittamiseen. Tietosuoja-asetuksen 18 artiklan mukaan rekisteröidyllä on oikeus rajoittaa henkilötietojensa käsittelyä. Rekisteröidyn oikeutta rajoittaa rekisterinpitäjän toteuttamaa henkilötietojen käsittelyä ei kuitenkaan sovellettaisi tässä laissa säädettyyn henkilötietojen käsittelyyn. Rekisteröidyn oikeutta voidaan rajoittaa tietosuoja-asetuksen 23 artiklan jäsenvaltioille jättämän liikkumavaran puitteissa. Tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan nojalla on mahdollisuus kansallisella lainsäädäntötoimenpiteellä rajoittaa myös artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata niin julkisen vallan käyttöön liittyvä valvonta-, tarkastus- ja sääntelytehtävä kuin rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällöin lainsäädäntötoimenpiteissä on huomioitava 23 artiklan 2 kohdan mukaiset erityiset säännökset. Näistä suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa.

Maahanmuuttohallinnossa rekisteröidyn rajoituspyynnön perusteena olisi todennäköisesti aina tietojen paikkansapitämättömyys. Jos henkilötiedon käsittely rajoitettaisiin rekisteröidyn pyynnön perusteella automaattisesti siihen saakka kunnes rekisterinpitäjä on voinut varmistaa tiedon paikkansapitävyyden, olisi tiedosta riippuen mahdollista, että päätöksenteko sekä maahanmuuttohallinnossa että maahanmuuttohallinnon tietoja päätöksenteossaan käyttävässä viranomaisessa pysähtyisi varmistamismenettelyn ajaksi. Maahanmuuttohallinnon päätöksenteko perustuu lakiin. Päätöksenteossa käytettävän tiedon oikeellisuudesta varmistuminen on ratkaisevaa oikean päätöksen ja siten henkilön oikeusturvan varmistamiseksi. Maahanmuuttohallinnon menettelyille asetetut muut lakiin perustuvat vaatimukset sekä rekisteröidyn mahdollisuus käyttää muita oikeuksiaan tietojensa oikeellisuuden varmistamiseen täyttävät tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan edellyttämät välttämättömyyden ja oikeasuhtaisuuden vaatimukset rekisterinpitäjän lakisääteisten tehtävien toteuttamiseksi, mikä osaltaan suojaa rekisteröityä.

20 §. Automatisoidut yksittäispäätökset. Pykälässä säädettäisiin siitä, että Maahanmuuttovirasto voisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä tehdä päätöksen täysin automatisoidusti, jolloin tietojärjestelmä suorittaisi kaikki asiankäsittelyn ja päätöksenteon vaiheet ilman, että kukaan luonnollinen henkilö käsittelee asiaa. Pykälä mahdollistaisi tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetun automaattisen käsittelyn Maahanmuuttoviraston lakisääteisen tehtävän toimeenpanossa. Artiklassa automaattisella päätöksellä tarkoitetaan sellaista päätöstä, joka perustuu pelkästään automaattisen käsittelyyn ja jolla on rekisteröityä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

Automaattiset päätökset perustuvat teknisiin sääntöihin, joiden avulla tietoa prosessoidaan. Teknisissä säännöissä lainsäädäntö muutetaan koneellisesti käsiteltäviksi numeraalisiksi operaatioiksi, jotka perustuvat tiedon prosessointiin loogisten ehtojen avulla.

Automaattisen päätöksenteon avulla parannetaan tehokkuutta esimerkiksi siten, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Luonnollisten henkilöiden tekemissä päätöksissä on olemassa virheen mahdollisuus, kun taas automaattisissa päätöksissä inhimillisten virheiden mahdollisuus minimoidaan. Automaattisessa päätöksenteossa harkintavaltaa ei ole mahdollista käyttää väärin, sillä lain säännöksiä ei voi jättää soveltamatta eikä ratkaisun kannalta merkityksellisiä säännöksiä ohittaa. Asiantuntijat, jotka päättävät automaattisen päätöksen käsittelyn säännöistä ja joilla on tosiasiallinen valta ja kompetenssi muuttaa tiettyyn päätökseen johtanutta sääntöä, toimivat viranomaisessa virkavastuulla. Rekisterinpitäjä toimii aina vastuuasemassa velvollisena noudattamaan tietosuoja-asetuksen 25 artiklan mukaista sisäänrakennettua ja oletusarvoista tietosuojaa.

Päätöksenteon perustuminen automaattiseen käsittelyyn ei olisi mahdollista, mikäli asian laatu tai laajuus, yhdenmukainen kohtelu, lapsen etu taikka muu erityinen syy niin edellyttäisi. Pykälässä ei säädettäisi yksityiskohtaisesti siitä, missä tilanteissa tai mihin asiaryhmiin liittyviä päätöksiä olisi mahdollista käsitellä täysin automaattisesti. Automatisoitujen päätösten tekeminen edellyttäisi, että tosiseikasto ja oikeudelliset edellytykset ovat riittävän yksiselitteisiä, jotta tekniset säännöt, joiden avulla tietoa prosessoitaisiin, pystytään luomaan. Automatisoidun päätöksenteon mahdollisuudet muuttuvat jatkuvasti lainsäädännön, menettelyjen ja menetelmien kehittyessä. Automatisoitu päätöksenteko voi tulevaisuudessa olla mahdollista myös sellaisissa tilanteissa, joissa automaattinen päätöksenteko nykytekniikalla tai lainsäädännön nojalla ei ole vielä mahdollista.

Automaattisia päätöksiä voisi tehdä niissä asiaryhmissä, joissa automaattinen päätöksenteko on mahdollista ottaen huomioon asian laadun ja laajuuden sekä hyvän hallinnon vaatimukset. Automaattinen päätöksenteko voisi tulla sovellettavaksi esimerkiksi kansalaisuutta koskevissa vapautumis-, määrittämis- ja menettämisasioissa ja liikkuvuusilmoituksissa sekä kausityötodistuspyynnöissä. Myös hakemuksia koskevia raukeamispäätöksiä esimerkiksi hakemuksen peruuttamisen tai kansalaisuuden saamisen johdosta olisi mahdollista tehdä automaattisessa menettelyssä. Sellaisia Maahanmuuttoviraston päätöksiä, joihin liittyy laajaa harkintavaltaa, ei asian laadun ja laajuuden johdosta käytännössä olisi mahdollista tehdä käsittelyssä, joka perustuu automaattiseen käsittelyyn. Tällainen tilanne saattaisi olla esimerkiksi silloin, kun toiselta viranomaiselta saatava tieto edellyttää kyseisen tiedon arviointia harkintavaltaa käyttäen.

Maahanmuuttoviraston toimivaltaan kuuluvista asioista erityisesti myönteisiä päätöksiä voisi tehdä menettelyssä, joka perustuu automaattiseen käsittelyyn. Myös kielteisiä päätöksiä olisi mahdollista tehdä automaattisessa käsittelyssä silloin, kun päätös ei sisältäisi harkintavaltaa. Tällaisia ovat esimerkiksi päätökset, joissa toisen viranomaisen esimerkiksi TE-toimiston tekemästä kielteisestä osapäätöksestä seuraa lain mukaan kielteinen oleskelulupapäätös.

Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan automaattiseen päätöksentekoon perustuvaa toimenpidettä ei saisi kohdistaa lapseen. Johdantokappaleen sanamuotoa ei ole saatettu itse artiklatekstiin, eivätkä johdantokappaleet muodosta velvoittavaa sääntöä. Tietosuoja-asetuksen artikloissa lasta koskevasta automaattisesta päätöksenteosta ei säädetä erikseen. Koska kaikessa viranomaisen toiminnassa tulee huomioida lapsen etu, pykälässä säädettäisiin, että päätöstä ei tulisi tehdä automaattisesti, jos lapsen etu niin edellyttää. Lapsen etu arvioidaan aina tapauskohtaisesti yksilöllisten olosuhteiden pohjalta, eikä yleisesti voida määritellä mikä on lapsen etu kussakin yksittäistapauksessa. Ehdottomasti ei voida todeta, että automaattinen päätöksenteko olisi aina lapsen edun vastaista tai, että automatisoitua päätöstä ei koskaan tulisi tehdä tilanteessa, jossa päätös vaikuttaa lapseen. Automaattisen päätöksenteon voitaisiin katsoa olevan lapsen edun mukaista esimerkiksi ottaen huomioon hakemuksen käsittelyn nopeus ja asiassa tehdyn päätöksen myönteinen lopputulos. Automaattisia päätöksiä, jotka kohdistuvat lapseen, voitaisiin tehdä esimerkiksi jatkolupahakemuksiin, jolloin edellytykset, joiden perusteella edellinen oleskelulupa on myönnetty, ovat edelleen olemassa. Maahanmuuttovirasto ottaa lapsen erityisaseman huomioon ja harkitsee lapsen etua kokonaisuudessaan ja ottaa huomioon lapsen yksilölliset tarpeet, toivomukset ja mielipiteet, yhdenvertaisuuden sekä selvittää mikä ratkaisu juuri kyseisessä tapauksessa on lapsen edun mukainen. Lapsen etu määrittyy harvoin yhden, muut ohittavan tekijän kautta

Päätöstä ei tulisi tehdä automaattisesti, jos erityiset syyt niin edellyttäisivät. Tällainen erityinen syy voisi olla esimerkiksi automaattisen päätöksenteon kohdistaminen henkilöön, joka on erityisen haavoittuvassa asemassa.

Tietosuoja-asetuksen mukaan jäsenvaltion lainsäädännössä tulee vahvistaa asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi sikäli kuin rekisteröity voi joutua sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia. Maahanmuuttoviraston käsittelemässä asiassa on kyse julkisen hallintotehtävän hoitamisesta, jolloin Maahanmuuttoviraston on otettava huomioon hyvän hallinnon vaatimukset ja erityislainsäädännössä olevat menettelysäännökset.

Hyvän hallinnon takeena viranomaisen on annettava asiakkailleen hallintoasian hoitamiseen liittyvää neuvontaa ja huolehdittava siitä, että asiakkaalla on selkeä käsitys menettelyllisten oikeuksiensa käyttämisestä. Hyvän hallinnon takeisiin kuuluu myös asianosaisen oikeus tulla kuulluksi asian käsittelyn edetessä ja tarvittaessa hakea muutosta tehtyyn päätökseen. Hyvän hallinnon takeiden mukaisesti Maahanmuuttoviraston tulee ilmoittaa rekisteröidylle, että tiedot käsitellään täysin automaattisesti, eikä päätöstä tulisi tehdä ennen yleistä informointia. Tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdan mukaan automaattisen yksittäispäätöksen kohteena olevalle olisi kerrottava tieto suoritettavasta automaattisesta päätöksenteosta, merkitykselliset tiedot käsittelyyn liittyvästä logiikasta sekä käsittelyn merkittävyys ja mahdolliset seuraukset. Tällainen tieto tulee antaa selvällä ja yksinkertaisella tavalla ja helposti ymmärrettävässä muodossa. Annetun tiedon tulisi olla merkityksellistä rekisteröidylle.

Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan rekisteröidyllä on oikeus saada selvitys tehdystä päätöksestä, joka perustuu henkilötietojen automaattiseen käsittelyyn luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi. Kyseistä oikeutta ei ole artiklatekstissä, vaan oikeus selvitykseen on nimenomaisesti mainittu ainoastaan johdanto-osassa. Asetuksen tekstistä ei käy ilmi tarkoitetaanko tällä oikeudella oikeutta saada selvitys yksittäisestä, nimenomaisesti rekisteröidylle tehdystä automaattisesta päätöksestä vai oikeudesta saada yleisesti tietoja käsittelyn logiikasta ja käsittelyn merkittävyydestä ja seurauksista. Sanamuoto jättää myös epäselväksi, missä vaiheessa päätöksentekoa kyseinen selvitys tulisi antaa. Ehdotettavan lain 20 §:n 2 momentissa säädettäisiin rekisteröidyn oikeudesta saada selvitys automaattisessa käsittelyssä tehdystä yksittäispäätöksestä. Kyseessä olisi tietosuoja-asetuksen edellyttämä suojatoimi. Maahanmuuttoviraston tulisi selvityksessä esittää rekisteröidylle perusteet ja syyt sille, miksi rekisteröidylle tehtiin automaattinen päätös. Käytännössä tämä tarkoittaisi selvitystä siitä, miksi rekisteröidyn päätöstä ei käsitellyt luonnollinen henkilö. Tällaisella selvityksellä varmistettaisiin lisäksi tietosuoja-asetuksen 5 artiklan mukainen läpinäkyvyys myös automaattisessa päätöksenteossa.

Rekisteröidyn oikeuksia suojataan myös muutoksenhakuoikeudella. Hallintolainkäyttölain (586/1996) 4 §:n nojalla hallintoasiassa tehdystä päätöksestä saa valittaa ja kyseisen lain 5 §:n nojalla päätöksellä, josta saa valittaa, tarkoitetaan toimenpidettä, jolla asia on ratkaistu tai jätetty tutkimatta. Maahanmuuttoviraston olisi rekisteröidyn oikeuksien suojaamiseksi tarkistettava tekniset säännöt säännöllisesti, jotta voidaan varmistua siitä, että automaattinen päätöksentekoprosessi toimii, kuten on tarkoitettu.

21 §. Salassapito. Pykälässä säädetäisiin, että lain 1 §:n 1, 2 ja 6 kohdassa säädettyä käsittelytarkoitusta varten saadut tiedot ja asiakirjat ovat salassa pidettäviä, jos muualla laissa niin säädetään taikka, jollei ole ilmeistä ettei tiedon antaminen niistä aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai hänen läheiselleen. Pykälä vastaisi asiallisesti voimassaolevaa ulkomaalaisrekisterilain 11 §:ää. Pykälään tehtäisiin tekniset muutokset niin, että se vastaisi tässä laissa omaksuttua käsittelytarkoitussidonnaista lähestymistapaa. Turvallisuusselvityksen laatimista varten tarvittavien tietojen salassapidosta säädetään turvallisuusselvityslaissa.

Edellä 1 §:n 1, 2 ja 6 kohdassa säädettyä käsittelytarkoitusta varten saadut tiedot ja asiakirjat ovat salassa pidettäviä, jos muualla laissa niin säädetään taikka, jollei ole ilmeistä, ettei tiedon antaminen niistä aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai hänen läheiselleen.

22 §. Voimaantulo. Pykälässä säädettäisiin lain voimaantulosta. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 1 päivänä tammikuuta 1998 annettu laki (1270/1997) ulkomaalaisrekisteristä.

23 §. Siirtymäsäännös. Pykälässä säädettäisiin siirtymäsäännöksestä lain 15 §:n osalta, jotta sen mukaiset tekniset poistosäännökset ehditään toteuttaa ulkomaalaisasioiden asiankäsittelyjärjestelmään ja kansalliseen viisumitietojärjestelmään. Pykälän mukaan kyseiset tietojärjestelmät on saatettava maahanmuuttohallinnon henkilötietolain 15 §:n mukaisiksi vuoden kuluessa lain voimaantulosta. Siirtymäaikana sovelletaan maahanmuuttohallinnon henkilötietolain voimaan tullessa voimassa olleita henkilötietojen poistamista koskevia säännöksiä. Tällaisia ovat ulkomaalaisrekisterilain 9 §:n, vastaanottolain 54 §:n 1 momentin, säilölain 32 h §:n 1 momentin, kotoutumislain 62 §:n 1 momentin säännökset.

6 Luku Rekisterit. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin tämän esityksen 1. lakiehdotuksessa, johon keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuttohallinnossa.

39 §. Edustajan määrääminen. Pykälään lisättäisiin uusi 4 momentti. Momentissa säädettäisiin, että edustajatoiminnan ohjaus, suunnittelu ja valvonta kuuluvat Maahanmuuttovirastolle ja että vastaanotto- tai järjestelykeskus, jonka asiakkaaksi lapsi on rekisteröity, vastaa edustajatoiminnan käytännön hallinnoinnista. Lisäys seuraa tarpeesta varmistaa viranomaisille riittävät toimivaltasäännökset myös jatkossa. Asiasta on säädetty vain voimassa olevan vastanottolain 46 §:n 2 momentissa rekisterinpitotarkoituksena. Kyseinen momentti esitetään kumottavaksi osana 6 lukua eikä rekisterisäännöksiä sisällytetä tämän esityksen 1. lakiehdotukseen, koska rekisteristä säätämisestä luovutaan osana käyttötarkoitussidonnaista sääntelytekniikkaa. Selkeyden vuoksi toimivaltasäännöksistä tulisikin säätää toimivaltaa luovassa lainsäädännössä. Muutoksella on käytännössä tarkoitus säilyttää voimassa oleva tosiasiallinen nykytila. Sanamuotoa muutettaisiin kuitenkin niin, että seuranta-sana korvattaisiin valvonta-sanalla. Tämä mahdollistaisi esimerkiksi kanteluiden tutkimisen.

58 §. Tiedonsaantioikeus. Pykälän 1 momenttiin tehtäisiin tiedonsaantioikeuksia koskevat tarpeelliset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän sääntelyn johdosta. Maahanmuuttoviraston sekä vastaanotto- ja järjestelykeskuksen tiedonsaantioikeudesta säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 12 §:ssä osana esitettävässä 1. lakiehdotuksessa säädettävien rekisterinpitäjien tiedonsaantioikeuksia koskevaa systematiikkaa. Maahanmuuttoviraston oikeudesta käyttää 1 momentissa säädettyjä tietoja säädettäisiin jatkossa esitettävän 1. lakiehdotuksen 11 §:n 1 momentin 2 kohdassa. Vastaanotto- ja järjestelykeskusten oikeus käyttää momentissa säädettyjä tietoja olisi tietojen käsittelemistä niiden keräämistarkoitukseen tai tämän tarkoituksen kanssa yhteensopivaa käsittelyä, joka perustuu suoraan tietosuoja-asetukseen.

Pykälän 3 momenttia muutettaisiin lisäämällä Kansaneläkelaitos tietoja luovuttavaksi viranomaistahoksi, jotta ilman huoltajaa olevalle lapselle määrätyllä edustajalla olisi oikeus suoraan lainsäädännön nojalla saada salassa pidettäviä alaikäisen tulotietoja tehtävänsä hoitamiseksi.

5 a Luku. Rekisterit. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksessa, johon keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuttohallinnossa.

34 §. Salassapitovelvollisuus. Pykälän 1 momentti poistettaisiin tarpeettomana, koska momentissa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 12 §:ssä. Pykälän 2 momentin sanamuotoa muutettaisiin mutta muutos olisi tekninen. Pykälän otsikko muutettaisiin vastaamaan pykälän muuttunutta sisältöä.

8 Luku. Rekisterisäännökset. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksessa, johon sisällytettäisiin henkilötietojen käsittelyä kuntaan osoittamista koskevassa tarkoituksessa koskeva sääntely.

87 §. Tiedonsaantioikeus. Pykälän 3 momenttia muutettaisiin lisäämällä Kansaneläkelaitos tietoja luovuttavaksi viranomaistahoksi, jotta ilman huoltajaa olevalle lapselle määrätyllä edustajalla olisi oikeus suoraan lainsäädännön nojalla saada salassa pidettäviä alaikäisen tulotietoja tehtävänsä hoitamiseksi.

48 §. Tiedonsaantioikeus rekistereistä. Pykälä kumottaisiin, koska pykälässä säädetyistä tiedonsaantioikeuksista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 12 §:ssä.

1 §. Maahanmuuttovirasto. Pykälässä säädettäisiin, että sisäministeriön hallinnonalalla toimii Maahanmuuttovirasto. Muutos olisi nimenmuutoksen osalta tekninen, koska ministeriön nimi muuttui 1.1.2014. Myöskään muilta osin ei ole tarkoitus muuttaa nykytilaa, vaan kuvata maahanmuuttoviraston asemaa aiempaa selkeämmin.

2 §. Tehtävät. Momentista kumottaisiin ensimmäinen virke, jonka mukaan Maahanmuuttovirasto pitää ulkomaalaisrekisteriä, vastaanoton asiakasrekisteriä ja edustajarekisteriä. Kumoamisen perusteena on esityksen 1. lakiehdotus, jossa säädettäisiin Maahanmuuttoviraston ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuusta. Rekistereistä ei säädettäisi erikseen. Pykälän 3 momentissa säädettäisiin, että Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuu ja että Maahanmuuttovirasto tuottaa toimialaansa koskevissa asioissa tietopalveluita sisäministeriölle ja muille viranomaisille sekä kansainvälisille järjestöille. Muutos ei käytännössä muuttaisi nykytilaa.

3 § Muutoksenhaku. Pykälässä säädettäisiin, että muutoksenhausta Maahanmuuttoviraston päätökseen säädetään erikseen. Pykälässä ei nykytilasta poiketen kuvattaisi keja, joissa muutoksenhausta säädetään. Tällä hetkellä muutoksenhausta säädetään ulkomaalaislaissa, kansalaisuuslaissa, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella.

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälän 1 momentin 10 kohdan viittaus voimassaolevaan ulkomaalaisrekisteriin ja viisumirekisteriin korvattaisiin viittauksella tämän esityksen 1. lakiehdotuksen 7 §:n 1 momenttiin tai 2 momentin 1 ja 2 kohtaan ja 8 §:ään. Asiallisesti kohta vastaisi voimassa olevaa lakia. Voimassa olevassa ulkomaalaisrekisterilain 6 tai 7 §:ssä ei kuitenkaan ole erikseen säädetty kaikista erityisiin henkilötietoryhmiin kuuluvista tiedoista, jotka ovat asian käsittelytietoina muodostaneet osan käytettävissä olevasta tietosisällöstä.

37 §. Yritysturvallisuusselvityksessä käytettävät tietolähteet. Pykälän 1 momentin 7 kohdan viittaus voimassaolevaan ulkomaalaisrekisteriin korvattaisiin viittauksella tämän esityksen 1. lakiehdotuksen 7 §:n 1 momenttiin tai 2 momentin 1 ja 2 kohtaan. Turvallisuusselvityslain 37 §:n 2 momentin mukaan yrityksen vastuuhenkilöitä koskevien henkilöturvallisuusselvitysten laadinnassa käytettävistä tietolähteistä noudatetaan 4 luvun säännöksiä henkilöturvallisuusselvityksestä. Yritysturvallisuusselvitystä laadittaessa voidaan 37 §:n 1 momentin 1 kohdan mukaan käyttää tietoja myös sen omistajista ja näiden kansalaisuudesta, jos tällainen tieto on saatavissa. Yritysselvityksen laatiminen saattaa edellyttää myös muihin henkilöihin liittyvien henkilötietojen käsittelyä. Asiallisesti kohta vastaisi voimassa olevaa lakia.

6 §. Velvoitteidenhoitoselvityksen käyttötarkoitus. Pykälän 1 momentin 24 kohtaan tehtäisiin tekninen tarkistus sen johdosta, että momenttiin ehdotetaan lisättäväksi uusi 25 kohta.

Ehdotetun 25 kohdan mukaan velvoitteidenhoitoselvitys laadittaisiin tukemaan ulkomaalaisen maahantuloa, maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.

Hakemus kausityöhön oikeuttavasta luvasta voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijänä työskentelyä varten annetun lain 7 §:n mukaan hylätä tai 14 §:n mukaan peruuttaa muun muassa, jos työnantaja ei ole noudattanut lakiin tai työehtosopimukseen perustuvia sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin, työoloihin tai työehtoihin liittyviä velvoitteitaan tai jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Lain 8 §:n mukaan työnantajan on annettava vakuutus, että työsuhteen ehdot ovat voimassaolevien säännösten ja työehtosopimusten mukaisia.

Maahanmuuttovirasto voi lain 20 §:n perusteella päättää, että kausityöhön oikeuttavia lupia ei myönnetä sellaisen työnantajan palveluksessa työskentelemiseksi, joka vakavasti laiminlyö kausityölaissa tai ulkomaalaislaissa säädetyt velvoitteensa. Säännöksen soveltaminen edellyttää, että ulkomaalaislaissa säädettyjen velvoitteiden noudattaminen voidaan tarkastaa Maahanmuuttovirastossa, vaikka ulkomaalaisen työnantajavelvoitteiden noudattamista koskevan ulkomaalaislain 73 §:ssä tarkoitetun osapäätöksen olisi tehnyt TE-toimisto työnantajalta ulkomaalaislain 72 § 1 momentin 3 kohdan perusteella pyydetyn selvityksen perusteella.

Hakemus yrityksen sisäisen siirron yhteydessä myönnettävän ICT-oleskeluluvan myöntämisestä voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetun lain 8 §:n mukaisin perustein hylätä tai voimassaoleva lupa 9 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos työnantaja tai vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työoloihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä tai peruuttaa, jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Vastaavat säännökset sisältyvät lain 25 §:ssä säädettyihin liikkuvan ICT-oleskeluluvan hylkäämisperusteisiin.

212 a §. Tiedonsaantioikeus Verohallinnolta. Ulkomaalaisrekisterilain kumoamisen myötä sen 8 §:n 1 momentin 9 kohtaan sisältyvät säännökset korvattaisiin tämän esityksen 1. lakiehdotukseen sisältyvillä säännöksillä mutta vain henkilötietojen osalta. Oikeushenkilöitä koskevan säännöksen lisääminen ulkomaalaislakiin on tämän vuoksi välttämätöntä. Säännöstä täsmennettäisiin lain soveltamiskäytäntöä vastaavalla lisäyksellä, jonka mukaan tietoja on oikeus saada myös työnantajaan kohdistuvien seuraamusten määräämiseksi.

Lait ehdotetaan tulemaan voimaan mahdollisimman pian. Tietosuoja-asetusta sovelletaan 25 päivästä toukokuuta 2018.

Hallituksen esitys on valtiosääntöoikeudellisesti merkityksellinen erityisesti perustuslain 10 §:ssä turvatun henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa lisäksi se, että henkilötietojen suoja osittain sisältyy samassa säännöksessä turvatun yksityiselämän suojan piiriin (esim. PeVL 71/2014 vp, s. 2). Perustuslakivaliokunta on vakiintuneesti katsonut, että lainsäätäjän on turvattava henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (esim. PeVL 18/2012 vp, s.2 ja PeVL 71/2012, s. 2). Perustuslakivaliokunta on myös vakiintuneesti katsonut, että erityisesti rekisteröinnin tavoitteista, rekisteröitävien henkilötietojen sisällöstä, henkilötietojen sallituista käyttötarkoituksista, henkilötietojen luovutettavuudesta ja erityisesti teknisellä käyttöyhteydellä luovuttamisesta, henkilötietojen säilytysajoista sekä rekisteröidyn oikeusturvasta tulee säätää lain tasolla kattavasti ja yksityiskohtaisesti (esim. PeVL 12/2002 vp, s. 5, 19/2012 vp, s. 2 ja PeVL 71/2014 vp, s. 2). Nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin (ks. esim. PeVL 29/2016 vp, PeVL 13/2016 vp, s. 3—4, PeVL 14/2009 vp, s. 2, PeVL 11/2008 vp, s. 3/I ja PeVL 51/2002 vp, s. 1—2).

Perustuslakivaliokunta on hiljattain tarkistanut käytäntöään henkilötietojen suojaa koskevasta sääntelystä. Perustuslakivaliokunta on uudemmassa käytännössään pitänyt lähtökohtaisesti riittävänä perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää tietosuoja-asetuksessa asetetut vaatimukset (ks. PeVL 14/ 2018 vp, s. 3—5, PeVL 15/2018 vp, PeVL 2/2018 vp). Perustuslakivaliokunta on todennut, että henkilötietojen suojan toteuttaminen tulisi jatkossa ensisijaisesti taata tietosuoja-asetuksen ja säädettävän kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp, s. 5). Perustuslakivaliokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa (PeVL 14/ 2018 vp, s. 3—5).

Perustuslakivaliokunta on kuitenkin todennut, että on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Perustuslakivaliokunnan mukaan tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös tietosuoja-asetuksen johdantokappaleessa 51 painotetaan, että asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6).

Ehdotetun henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain (1. lakiehdotus) tavoitteena on varmistaa, että perustuslain 10 §:n 1 momentin mukainen vaatimus säätää henkilötietojen suojasta lailla täyttyy asianmukaisesti maahanmuuttohallinnossa. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön. Ehdotetussa henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa yksityiskohtaista sääntelyä purettaisiin silloin, kun kattava ja yksityiskohtainen sääntely ei ole enää yksityisyyden suojan kannalta välttämätöntä. Samalla yksityiskohtaisempaa sääntelyä kohdennettaisiin riskiperusteisesti sitä edellyttäviin sääntelykohteisiin. Koska maahanmuuttohallinnon alalla suuri osa käsiteltävistä henkilötiedoista on luonteeltaan arkaluonteista, on niiden osalta edelleen noudatettava perustuslakivaliokunnan aiempaa sääntelyn laintasoisuutta koskevaa käytäntöä.

Esityksen 1. lakiehdotuksen 1 §:ssä säädettäisiin niistä tarkoituksista, joissa henkilötietoja voi käsitellä. Henkilötietojen käsittely perustuisi kullekin rekisterinpitäjälle toimivaltaa luovaan lainsäädäntöön, jossa kustakin käsittelytarkoituksesta on säädetty tyhjentävästi. Selkeän ja ymmärrettävän lainsäädännön edellytys tukee valintaa olla toistamatta lainsäädännössä toisaalla jo erikseen säädettyä. Henkilötietojen käsittelyn tarkoitus olisi mahdollistaa toimivaltaa luovassa laissa rekisterinpitäjälle säädettyjen lakisääteisten tehtävien toteuttaminen. Lakiehdotuksessa henkilötietojen käsittelytarkoitukset muodostaisivat ehdotettavan lain soveltamisalan.

Esityksen 1. lakiehdotuksen 7 §:ssä säädettäisiin käsiteltävien henkilötietojen tietosisällöstä. Tietosisällöt perustuisivat viranomaiselle toimivaltaa luovaan lainsäädäntöön. Tietosisällöistä ei pääosin säädettäisi yksittäisten henkilötietojen tasolla, vaan laissa säädettäisiin ylätason tietoluokista, joihin kuuluvia henkilötietoja saisi käsitellä. Aiempaa yleisluonteisempi sääntelytapa olisi perusteltu huomioiden perustuslakivaliokunnan kanta kansallisen erityislainsäädännön varaamisesta henkilötietojen suojan toteuttamiseksi vain välttämättömään. Uutena henkilötietoryhmänä säädettäisiin niin sanottujen huomiotietojen käsittelystä. Myös huomiotietojen tulisi täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet eli niiden tulisi aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, jotka ovat luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyn rajaaminen perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp s. 4 ja PeVL 71/2014 vp, s. 2) on välttämätöntä. Huomiotietoihin olisi liitettävä arvio tietojen antajan tai tietolähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Huomiotietojen poistamisesta säädettäisiin erikseen. Luonteensa vuoksi huomiotietojen käsittelyn edellytyksiä tulisi tulkita suppeasti edellä mainituissa rajoissa.

Esityksen 1. lakiehdotuksen 8 §:ssä säädettäisiin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Selkeän ja ymmärrettävän lainsäädännön luomiseksi käytettäisiin ilmaisua "erityiset henkilötietoryhmät" kattamaan eri perustein erityisen riskialttiiksi arvioitavat henkilötiedot. Perustuslakivaliokunnan riskiperusteisuuden takia edellyttämä laintasoinen sääntely on välttämätöntä erityisiin henkilötietoryhmiin kuuluvien henkilötietojen suojaamiseksi. Koska näiden tietojen käsittely voi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille, niitä on suojattava erityisen tarkasti. Tämän takia niiden käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja tiettyihin ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen tietosisällöstä, käsittelystä, käyttämisestä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä luovuttamisesta ja poistamisesta säädettäisiin erikseen rajaamalla käsittely-, luovutus- ja poistamisedellytyksiä tarkemmin kuin muiden henkilötietojen osalta. Tämän lisäksi sormenjälkien käsittelemisestä säädettäisiin voimassaolevaa ulkomaalaisrekisterilakia vastaavasti erikseen ehdotetun maahanmuuttohallinnon henkilötietolain 9 ja 10 §:ssä. Henkilötietojen käsittelemistä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä henkilötietojen luovuttamista koskevat yleiset säännökset eivät koskisi sormenjälkitietoja. Sormenjälkiä koskeva sääntely vastaisi tältä osin asiallisesti nykytilaa. Erikseen säädettäisiin henkilötietojen, mukaan lukien sormenjälkitietojen, luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

Henkilötietojen käsittelyä koskevaan kansalliseen erityislainsäädäntöön on perinteisesti sisältynyt sekä henkilötietojen luovuttamista että tiedonsaantia koskevaa sääntelyä. Vaikka sääntelytekniikkaa ei ole pidetty valtiosääntöoikeudellisesti ongelmallisena, säätämistapa on lain soveltajan kannalta ongelmallinen. Kaksinkertaisen sääntelyn välttämiseksi on tarkoituksenmukaista säätää samasta asiasta vain toisen viranomaisen lainsäädännössä. Esityksessä on omaksuttu lähtökohta, jonka mukaan tiedonsaantioikeudesta säädettäisiin tiedonsaajan päässä, koska on kyse tämän oikeudesta saada henkilötietoja. Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksikön sekä elinkeino-, liikenne- ja ympäristökeskuksen ja työ- ja elinkeinotoimiston oikeudesta saada tietoja säädettäisiin esityksen 1. lakiehdotuksen 12 §:ssä. Rekisterinpitäjien tiedonsaantioikeudet perustuisivat laissa säädettyjen tehtävien toteuttamiseen. Tiedonsaantioikeuden perusteesta säädettäisiin siten laissa.

Perustuslakivaliokunnan vakiintuneen kannan mukaan tilanteissa joissa tietosisältöjä ei ole luetteloitu tyhjentävästi, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta. Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 15/2018 vp, s. 41, PeVL, 17/2016 vp, s. 5—6, PeVL 71/2014 vp, s. 3, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). Esityksessä yksilöitäisiin ne rekisterinpitäjät, joiden tiedonsaantioikeudesta olisi kyse. Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen ja näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla. Silloin kun tiedonsaantioikeus olisi sidottu välttämättömyyteen, sitä täsmennettäisiin sitomalla se ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Tällöin lakiehdotuksessa ei täsmennettäisi tietosisältöä. Siltä osin kuin tiedonsaantioikeus olisi sidottu tarpeellisuusvaatimukseen, käsittelytarkoitusten lisäksi täsmennettäisiin tietosisältö. Tämän lisäksi säädettäisiin niistä viranomais- ja muista tahoista, joilta tietoja voi saada.

Esityksen 1. lakiehdotuksen 11§:ssä säädettäisiin henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp).

Esityksen 1. lakiehdotuksen 13 §:ssä säädettäisiin tietojen luovuttamisesta. Tiedon luovuttamista koskeva säännös viittaisi tiedonsaajan lainsäädännössä säädettyyn tiedonsaantioikeuteen. Tiedonluovutuksesta olisi kuitenkin edelleen tarpeen säätää ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen ja sormenjälkien luovuttamisesta säädettäisiin rajoittavasti erikseen. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Sormenjälkiä koskeva sääntely keskitettäisiin 1. lakiesityksen 9 ja 10:§:ään.

Lisäksi esityksen 1. lakiehdotuksen 14 §:ssä säädettäisiin Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin. Osa tämän säännöksen nojalla luovutettavista tiedoista olisi arkaluonteisiin henkilötietoihin rinnastuvia biometrisiä tietoja, kuten sormenjälkiä, joten niiden asianmukaiseksi suojaamiseksi niiden luovuttamisesta tulee säätää, jotta henkilön yksityisyyttä voidaan suojata.

Ehdotettavassa maahanmuuttohallinnon henkilötietolaissa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Valtiovarainministeriössä valmisteilla olevassa julkisen hallinnon tiedonhallintalaissa säänneltäisiin yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään.

Henkilötietojen poistamisesta säädettäisiin esityksen 1. lakiehdotuksen 15 ja 16 §:ssä. Perustuslakivaliokunnan vakiintuneen lausuntokäytännön mukaan perustuslain 10 §:ssä säädetyn henkilötietojen suojaa koskevan lakiviittauksen johdosta lailla säätämisen tärkeisiin sääntelykohteisiin kuuluu tietojen säilytysaika henkilörekisterissä. Lisäksi perustuslakivaliokunta on edellyttänyt sääntelyn kattavuutta ja yksityiskohtaisuutta lain tasolla. Tästä syystä säilytysaikaa koskevissa säännöksissä on oltava aikamääre (PeVL 20/2006 vp, s. 3). Henkilötietojen poistamista koskevat määräajat perustuisivat viranomaisen tarpeeseen käsitellä henkilöön ja tämän asiaan liittyviä tietoja vielä yksittäisen asian käsittelyn päättymisen jälkeen esimerkiksi kyseisen hakijan muun asian vireille tulon yhteydessä. Tällä tavoiteltaisiin niin hakijan oikeusturvan toteutumista, yksityisyyden suojaamista kuin maahantulosäännösten noudattamisen valvontaa. Henkilötietojen poistamista koskevat määräajat jakautuisivat niin, että henkilön tiettyjen perustietojen säilytysaika olisi muita pidempi. Erityisiin henkilötietoryhmiin kuuluvien tietojen, huomiotietojen sekä virheelliseksi todettujen tietojen poistamisesta säädettäisiin erikseen riskiperustaisen lähestymistavan johdosta.

Automatisoiduista yksittäispäätöksistä säädettäisiin 1. lakiehdotuksen 20 §:ssä. Automaattista päätöksentekoa koskeva sääntely vastaa EU:n yleisen tietosuoja-asetuksen vaatimuksia sekä turvaa hyvän hallinnon toteutumisen.

Henkilötietojen käsittelyn yleisistä periaatteista ja rekisteröidyn oikeusturvasta säädetään tietosuoja-asetuksessa sekä valmisteilla olevassa tietosuojalaissa.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Tästä huolimatta pidetään suotavana, että hallituksen esityksestä hankitaan perustuslakivaliokunnan lausunto.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti säädetään:

1 §
Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus

Tätä lakia sovelletaan, jollei muualla laissa toisin säädetä, henkilötietojen kokonaan tai osittain automatisoituun käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa ja henkilötietoja käsitellään seuraavissa tarkoituksissa:

1) ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta;

2) Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittely ja päätöksenteko;

3) kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotto, ihmiskaupan uhrien auttaminen sekä ilman huoltajaa olevan lapsen edustajatoiminta osana vastaanottotoimintaa sekä näiden ohjaus, suunnittelu ja valvonta;

4) ulkomaalaisen sijoittaminen säilöönottoyksikköön, ulkomaalaisen kohtelu säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitäminen;

5) kuntaan osoittaminen; sekä

6) kansallisen turvallisuuden suojaaminen.

Tätä lakia ei sovelleta Suomessa oleviin diplomaattisiin edustajiin eikä niihin kansainvälisten järjestöjen virkamiehiin, joiden asemasta määrätään Suomea sitovissa kansainvälisissä sopimuksissa.

2 §
Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa ( / ).

Jollei tässä laissa toisin säädetä, sovelletaan:

1) henkilötietojen käsittelyyn kansallisen turvallisuuden suojaamisen tarkoituksessa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / );

2) henkilötietojen salassapitoon ja luovuttamiseen viranomaisten toiminnan julkisuudesta annettua lakia (621/1999).

3 §
Yhteisrekisterinpitäjät

Käsiteltäessä henkilötietoja tämän lain nojalla yhteisrekisterinpitäjiä ovat:

1) Maahanmuuttovirasto;

2) Poliisihallitus ja suojelupoliisi;

3) Rajavartiolaitos;

4) vastaanotto- ja järjestelykeskukset;

5) säilöönottoyksiköt;

6) ulkoasiainhallinto;

7) elinkeino-, liikenne- ja ympäristökeskukset; sekä

8) työ- ja elinkeinotoimistot.

Kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuu kyseisen viranomaisen toimivaltaa koskeviin säännöksiin.

Kukin rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan. Kukin rekisterinpitäjä vastaa tallentamistaan henkilötiedoista.

4 §
Ulkomaalaisasioiden asiankäsittelyjärjestelmä

Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämis- ja ylläpitovastuu.

Maahanmuuttovirasto vastaa muiden kuin yksittäisten henkilötietojen poistamisesta ja luovuttamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmästä sekä katseluyhteyden avaamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmään.

5 §
Kansallinen viisumitietojärjestelmä

Ulkoasiainhallinnolla on kansallisen viisumitietojärjestelmän kehittämis- ja ylläpitovastuu.

Ulkoasiainhallinto vastaa muiden kuin yksittäisten henkilötietojen poistamisesta ja luovuttamisesta kansallisesta viisumitietojärjestelmästä sekä katseluyhteyden avaamisesta kansalliseen viisumitietojärjestelmään.

6 §
Rekisteröidyn yhteyspisteet

Maahanmuuttovirasto toimii ulkomaalaisasioiden asiankäsittelyjärjestelmässä rekisteröidyn yhteyspisteenä.

Ulkoasiainhallinto toimii kansallisessa viisumitietojärjestelmässä rekisteröidyn yhteyspisteenä.

7 §
Käsiteltävät henkilötiedot

Rekisterinpitäjä saa käsitellä 1 §:ssä säädetyissä tarkoituksissa, siltä osin kuin on tarpeen, henkilön yksilöintitietoja, perhesuhdetietoja, edustajuustietoja, osaamista kuvaavia tietoja ja yhteystietoja sekä tietoja matkustusasiakirjoista ja ulkomaalaislain (301/2004) 96 §:n mukaisesta hakemusasian vireilläoloa osoittavasta kortista.

Sen lisäksi, mitä 1 momentissa säädetään, rekisterinpitäjä saa käsitellä henkilöstä, siltä osin kuin on tarpeen:

1) hakemuksesta, esityksestä, pyynnöstä tai ilmoituksesta taikka näiden vuoksi tehdystä tiedustelusta tai kuulemisesta ilmeneviä tietoja;

2) asian käsittely-, selvitys- ja päätöstietoja;

3) tietoja, jotka koskevat vastaanottopalveluita ja muuta vastaanottoon kuuluvaa toimintaa, edustajan yksilöinti- ja yhteystietoja sekä tietoja, jotka koskevat edustajaksi määräämistä, edustajan vapauttamista tehtävästään ja edustajantehtävän lakkaamista sekä edustajatoiminnan ohjauksessa, suunnittelussa ja valvonnassa tarvittavia tietoja;

4) tietoja siitä, milloin ulkomaalainen on sijoitettu säilöönottoyksikköön ja milloin hän on poistunut sieltä, tietoja säilöönoton järjestämisen, suunnittelun, toteuttamisen, seurannan ja säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi sekä tietoja säilöön otettua ulkomaalaista tapaamassa käyvistä ja muista säilöönottoyksikössä vierailevista henkilöistä ja muita tapaamiseen tai vierailuun liittyviä tietoja;

5) tietoa siitä, mihin kuntaan henkilö on osoitettu; sekä

6) rekisterinpitäjän havaitsemia tai sille ilmoitettuja huomiotietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassa oleskelua koskevien edellytysten olemassaoloa tai rekisterinpitäjän palveluksessa olevien työturvallisuuteen.

Edellä 2 momentin 6 kohdassa tarkoitettuihin huomiotietoihin on liitettävä arvio tietojen antajan tai tietolähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.

Sen lisäksi, mitä 1—3 momentissa säädetään, rekisterinpitäjä saa, siltä osin kuin on tarpeen, käsitellä perheenjäsenten, heidän kanssaan samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötietoja sekä ulkomaalaisen työntekijän palvelukseensa ottavan henkilön henkilötietoja.

8 §
Käsiteltävät erityiset henkilötietoryhmät

Rekisterinpitäjä saa, siltä osin kuin se on välttämätöntä, käsitellä:

1) 1 §:n 1 momentin 1ja 3—6 kohdassa säädetyissä tarkoituksissa sellaisia henkilötietoja, joista ilmenee rotu tai etninen alkuperä;

2) 1 §:n 1 momentin 1ja 3—6 kohdassa säädetyissä tarkoituksissa henkilötietoja, joista ilmenee poliittisia mielipiteitä tai uskonnollinen tai filosofinen vakaumus;

3) 1 §:n 1 momentin 1, 3 ja 6 kohdassa säädetyissä tarkoituksissa henkilötietoja, joista ilmenee ammattiliiton jäsenyys;

4) 1 §:n 1 momentin 1 ja 6 kohdassa säädetyissä tarkoituksissa henkilön yksiselitteistä tunnistamista varten geneettisiä tai biometrisiä henkilötietoja;

5) 1 §:n 1 momentin 1—6 kohdassa säädetyissä tarkoituksissa terveyttä koskevia tietoja;

6) 1 §:n 1 momentin 1 ja 3—6 kohdassa säädetyissä tarkoituksissa sosiaalipalveluita koskevia tietoja;

7) 1 §:n 1 momentin 1ja 3—6 kohdassa säädetyissä tarkoituksissa luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja; sekä

8) 1 §:n 1 momentin 1—6 kohdassa säädetyissä tarkoituksissa rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.

9 §
Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely

Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten kerätyt sormenjäljet tallennetaan. Sormenjälkiä saavat käyttää Maahanmuuttovirasto, poliisi, Rajavartiolaitos ja Tulli silloin kun se hoitaa rajatarkastusviranomaisen tehtäviä sekä ulkoasiainhallinto.

Oikeus sormenjälkitietojen käyttöön on vain sillä, jonka työtehtävien hoitaminen sitä välttämättä edellyttää. Sormenjälkiä saa käyttää vain henkilöllisyyden varmistamiseksi ja muukalaispassin tai pakolaisen matkustusasiakirjan valmistamiseksi. Poliisin oikeudesta käyttää sormenjälkitietoja säädetään lisäksi henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 16 a §:ssä. Tietojen käyttöön oikeutetulla on oikeus ottaa rekisteröidyltä sormenjäljet ja verrata niitä rekisteröityihin sormenjälkiin. Vertailua varten otettuja tietoja saadaan käyttää vain vertaamisen ajan, ja ne on hävitettävä välittömästi vertailun jälkeen.

10 §
Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely

Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetut sormenjäljet tallennetaan. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, rajatarkastusviranomainen sekä Suomen edustusto.

Sormenjälkiä saa käyttää ainoastaan 1 §:n 1 momentin 1 ja 6 kohdassa sekä turvallisuusselvityslaissa (726/2014) tarkoitetun turvallisuusselvityksen tekemiseksi säädettyyn tarkoitukseen liittyvien toimivaltuuksien rajoissa oleskelulupakortin aitouden toteamiseksi ja oleskeluluvan haltijan henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä ja niitä koskevaa päätöksentekoa ja valvontaa varten sekä kansallisen turvallisuuden suojaamiseksi. Tietojen käyttöön oikeutetulla viranomaisella on oikeus verrata tietoja tässä pykälässä tarkoitettuihin jo tallennettuihin sormenjälkiin sekä muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettuihin sormenjälkiin sekä henkilötietojen käsittelystä poliisitoimessa annetun lain 3 §:ssä tarkoitettuun hallintoasiain tietojärjestelmään ulkomaalaislain (301/2004) 131 §:n perusteella tallennettuihin sormenjälkiin. Lisäksi tietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 2 §:n 3 momentin 7 kohdassa tarkoitettuihin poliisiasiain tietojärjestelmän tuntomerkkitietojen sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta.

Poliisin oikeudesta käyttää tässä pykälässä tarkoitettuja jo tallennettuja sormenjälkitietoja säädetään lisäksi henkilötietojen käsittelystä poliisitoimessa annetun lain 16 a §:ssä.

Vertailua varten otettuja tietoja saadaan käyttää vain vertailun ajan, jonka jälkeen ne on välittömästi hävitettävä.

Maahanmuuttovirastolla on lisäksi oikeus käyttää tässä pykälässä tarkoitettuja jo tallennettuja sormenjälkitietoja asianomaisen henkilön suostumuksella oleskelulupakortin sekä unionin kansalaisen perheenjäsenen oleskelukortin valmistamista varten.

11 §
Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa

Rekisterinpitäjä saa käsitellä tämän lain nojalla kerättyjä ja tallennettuja muita kuin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja muussa kuin alkuperäisessä käsittelytarkoituksessa, jos se on välttämätöntä rekisterinpitäjän lakisääteisten tehtävien suorittamiseksi tai:

1) tiedot ovat tarpeen henkilöllisyyden selvittämiseksi;

2) 1 §:n 1 momentin 3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai elinkeino-, liikenne- ja ympäristökeskukselle kansainvälistä suojelua hakeviin, tilapäistä suojelua saaviin tai ihmiskaupan uhreihin liittyvien tehtävien hoitamista taikka ulkomaalaisen Suomessa oleskelua tai maahantuloon liittyvien tehtävien hoitamista varten;

3) 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai vastaanotto- tai järjestelykeskukselle 1 §:n 1 momentin 3 kohdan mukaisten tehtävien hoitamista varten;

4) 1 §:n 1 momentin 4 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, vastaanotto- ja järjestelykeskuksille, poliisille tai Rajavartiolaitokselle ulkomaalaisen Suomessa oleskeluun ja maasta poistamiseen, kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanottoon tai ihmiskaupan uhrien auttamiseen liittyvien tehtävien hoitamista varten;

5) 1 §:n 1 momentin 1—3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai säilöönottoyksikölle 1 §:n 1 momentin 4 kohdan mukaisten tehtävien hoitamista varten;

6) 1 §:n 1 momentin 5 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle maahanmuuttoon liittyvien tehtävien hoitamista varten; tai

7) 1 §:n 1 momentin 1—3 kohdan nojalla kerätyt tiedot ovat tarpeen elinkeino-, liikenne- ja ympäristökeskukselle 1 §:n 1 momentin 5 kohdan mukaisten tehtävien hoitamista varten.

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa käsitellä muuhun kuin alkuperäiseen käsittelytarkoitukseen 1 momentin 1—7 kohdassa säädetyissä tarkoituksissa vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi.

Mitä tässä pykälässä säädetään, ei koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä.

12 §
Tiedonsaantioikeus

Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksilla ja säilöönottoyksiköillä on niille 1 §:n 1 momentin 1—5 kohdan sekä elinkeino- liikenne- ja ympäristökeskuksella ja työ- ja elinkeinotoimistolla niille 1 §:n 1 momentin 1 kohdan käsittelytarkoitusten mukaisten tehtävien suorittamiseksi oikeus salassapitosäännösten estämättä saada maksutta välttämättömiä tietoja viranomaisten toiminnan julkisuudesta annetun lain 4 §:n mukaisilta tahoilta.

Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksilla sekä säilöönottoyksiköillä on lisäksi oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä suorittamista varten tarpeellisia tietoja seuraavasti:

1) Oikeusrekisterikeskukselta sakkorekisteristä muiden kuin oleskelulupaa hakevien henkilötiedot, ratkaisutiedot, täytäntöönpanoasiatiedot, muuntorangaistusasiat ja tapahtumatiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

2) Oikeusrekisterikeskukselta oikeushallinnon valtakunnallisesta tietojärjestelmästä ja sen osajärjestelmistä tiedot syyttäjäviranomaisessa tai tuomioistuimessa vireillä olevista tai olleista perheenkokoajan tekemiksi epäillyistä rikoksista, elatusvelvollisuudesta perhesiteen perusteella myönnettävän oleskeluluvan tai oleskelukortin tai oleskeluoikeuden rekisteröinnin edellytysten tutkimiseksi, elatusvelvollisuudesta toimeentuloedellytyksen tutkimiseksi, tuomioistuimessa vireillä olevista asioista ja tehdyistä päätöksistä, jotka koskevat Maahanmuuttoviraston ratkaisua tai toimivaltaa tai joilla on merkitystä Maahanmuuttovirastossa vireillä olevan asian käsittelylle, vireilletuloasiakirjoista, ratkaisun perusteena olleista asiakirjoista ja käsittelyasiakirjoista lapsen edun ja oleskeluluvan yleisten myöntämisedellytysten arvioimiseksi sekä muiden kuin oleskelulupaa hakevien henkilöiden tiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

3) esitutkintaviranomaiselta tiedot perheenkokoajan rikosepäilystä lapsen edun, yhteiselämän mahdollisuuksien tai toimeentuloedellytyksen arvioimiseksi tehtäessä kokonaisharkintaa oleskeluluvan ja oleskeluoikeuden edellytysten selvittämiseksi sekä tiedot rikosten esitutkinnasta ja vireillä olevista tai vireillä olleista rikosilmoituksista ihmiskaupan uhrien auttamisjärjestelmään ottamista koskevaa päätösharkintaa varten;

4) poliisilta muiden kuin oleskelulupaa hakevien henkilöiden tiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

5) Kansaneläkelaitokselta tulo-, etuus- ja perhesuhdetiedot ristiriitaisiksi epäiltyjen tietojen selvittämiseksi sekä työ- ja perhesuhteiden aitouden selvittämiseksi;

6) kunnan sosiaaliviranomaiselta tiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi sekä tiedot ihmiskaupan uhrien auttamisjärjestelmään esitetyn henkilön taustoista ja tilanteesta, hänen saamistaan sosiaali- ja terveydenhuoltopalveluista sekä tiedot lastensuojelun tarpeen selvittämisestä ja lastensuojeluasiakkuudesta auttamistoimien tarpeen selvittämiseksi;

7) Verohallinnolta muiden kuin oleskelulupaa hakevien henkilöiden varallisuus- ja tulotiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi sekä varallisuus- ja tulotiedot ristiriitaisiksi epäiltyjen tietojen selvittämiseksi ja työ- ja perhesuhteiden aitouden selvittämiseksi;

8) Opetushallitukselta tiedot ulkomaalaisten opiskelupaikkojen vastaanottamisista ja oppilaitoksiin ilmoittautumisista, heidän kirjoilla olostaan, erottamisistaan sekä opintosuorituksistaan ja tutkinnoistaan tehtäessä kokonaisharkintaa oleskeluluvan tai oleskeluoikeuden edellytysten selvittämiseksi;

9) oppilaitoksilta tiedot ulkomaalaisten opiskelupaikkojen vastaanottamisista ja oppilaitoksiin ilmoittautumisista, heidän kirjoilla olostaan, erottamisistaan, lukukausimaksujensa suuruuksista ja suorittamisista, oppilaitosten antamista stipendeistä ja eduista sekä heidän opintosuorituksistaan ja tutkinnoistaan tehtäessä kokonaisharkintaa oleskeluluvan tai oleskeluoikeuden edellytysten selvittämiseksi;

10) Rikosseuraamuslaitokselta vankilasta vapautuvien ja suoraan säilöönottoyksikköön tai vastaanottokeskukseen tulevien potilastiedot sekä muiden kuin oleskelulupaa hakevien yhteystiedot, olinpaikka ja vapautumispäivä, jos niillä on merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

11) ulkoasiainhallinnolta tiedot kielteisestä asiakirjan laillistamispäätöksestä;

12) ulosottoviranomaiselta tiedot ulkomaalaisen, tämän perheenjäsenen ja ulkomaalaisen työnantajan tuloista, veloista, saatavista ja ulosottotiedoista, päätöksistä sekä päätösten perusteena olevista asiakirjoista;

13) Liikenteen turvallisuusvirastolta tiedot ulkomaalaisen ja tämän perheenjäsenen oikeudesta harjoittaa tiettyä ammattia, jolla toimeentulo on tarkoitus turvata tai jonka perusteella haetaan oleskelulupaa, -oikeutta tai -korttia;

14) Sosiaali- ja terveysalan lupa- ja valvontavirastolta tiedot ulkomaalaisen ja tämän perheenjäsenen oikeudesta harjoittaa tiettyä ammattia, jolla toimeentulo on tarkoitus turvata tai jonka perusteella haetaan oleskelulupaa, -oikeutta tai -korttia.

13 §
Henkilötietojen luovuttaminen

Sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin, kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi.

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi.

Mitä tässä pykälässä säädetään, ei koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä.

14 §
Henkilötietojen luovuttaminen Euroopan unionin yhteisiin tietojärjestelmiin

Maahanmuuttovirasto saa salassapitosäännösten estämättä luovuttaa Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin kulloinkin kyseessä olevan perustamisasetuksen mukaisia henkilötietoja.

15 §
Tietojen poistaminen

Jollei kansainvälisestä velvoitteesta tai laista muuta johdu, tämän lain perusteella käsitellyt henkilötiedot poistetaan seuraavasti:

1) henkilön tunnistetiedoista asiakasnumero, nimi, syntymäaika, henkilötunnus, ulkomainen henkilönumero, muu ulkomainen henkilön yksilöimiseksi annettu tunnus, kansalaisuus sekä henkilön perhesuhdetiedot poistetaan kymmenen vuoden kuluttua siitä, kun hän on kuollut tai saanut Suomen kansalaisuuden tai häneen liittyvien asioiden tiedot on poistettu;

2) muut kuin 1 kohdassa tarkoitetut henkilötiedot ja henkilöön liittyvien asioiden tiedot poistetaan viimeistään, kun oleskeluoikeuden päättymisestä tai viimeisimmän vireillä olleen asian viimeisestä tiedon merkitsemisestä on kulunut viisi vuotta;

3) erityisiin henkilötietoryhmiin kuuluvat henkilötiedot poistetaan heti kun ne ovat käyneet tarpeettomiksi;

4) huomiotiedot poistetaan, kun tiedon merkitsemisestä on kulunut kuusi kuukautta.

16 §
Virheelliseksi todettu henkilötieto

Virheelliseksi todettu henkilötieto saadaan säilyttää korjatun henkilötiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saa käyttää vain mainitussa tarkoituksessa.

Virheelliseksi todettu henkilötieto on poistettava heti, kun henkilötiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta.

17 §
Tietojen arkistointi

Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään ja määrätään erikseen.

18 §
Rekisteröidyn tarkastusoikeuden toteuttaminen

Rekisteröidyn on tarkastusoikeutta toteuttaessaan esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.

Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamisesta poliisille säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain 44 §:ssä.

19 §
Rekisteröidyn oikeus käsittelyn rajoittamiseen

Rekisteröidyn oikeutta rajoittaa rekisterinpitäjän toteuttamaa henkilötietojen käsittelyä ei sovelleta tässä laissa säädettyyn henkilötietojen käsittelyyn.

20 §
Automatisoidut yksittäispäätökset

Päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voidaan tehdä menettelyssä, joka perustuu pelkästään automaattiseen käsittelyyn, ellei asian laatu tai laajuus, yhdenmukainen kohtelu, lapsen etu taikka muu erityinen syy muuta edellytä.

Rekisteröidyllä on oikeus saada selvitys hänelle automaattisessa käsittelyssä tehdystä yksittäispäätöksestä.

21 §
Salassapito

Edellä 1 §:n 1, 2 ja 6 kohdassa säädettyä käsittelytarkoitusta varten saadut tiedot ja asiakirjat ovat salassa pidettäviä, jos muualla laissa niin säädetään taikka, jollei ole ilmeistä, ettei tiedon antaminen niistä aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai hänen läheiselleen.

22 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

Tällä lailla kumotaan ulkomaalaisrekisteristä annettu laki (1270/1997).

23 §
Siirtymäsäännös

Ulkomaalaisasioiden asiankäsittelyjärjestelmä ja kansallinen viisumitietojärjestelmä on saatettava 15 §:n mukaisiksi vuoden kuluessa tämän lain voimaantulosta. Siirtymäaikana sovelletaan tämän lain voimaan tullessa voimassa olleita tietojen poistamista koskevia säännöksiä.

---

2.

Eduskunnan päätöksen mukaisesti

kumotaan kansainvälistä suojelua hakevan vastaanotosta sekä ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain (746/2011) 6 luku,

muutetaan 58 §, sellaisena kuin se on laissa 388/2015, ja

lisätään 39 §:ään uusi 4 momentti seuraavasti:

39 §
Edustajan määrääminen

---

Edustajatoiminnan ohjaus, suunnittelu ja valvonta kuuluvat Maahanmuuttovirastolle. Vastaanotto- tai järjestelykeskus, jonka asiakkaaksi lapsi on rekisteröity, vastaa edustajatoiminnan käytännön hallinnoinnista.

58  §
Tiedonsaantioikeus

Sisäministeriöllä, esitutkintaviranomaisella ja kunnan viranomaisella on oikeus saada maksutta ja salassapitosäännösten estämättä 3 ja 4 luvun mukaisten tehtävien suorittamiseksi välttämättömät tiedot toisiltaan, Maahanmuuttovirastolta, vastaanotto- ja järjestelykeskukselta, 3 ja 4 luvun mukaisia palveluja tuottavalta julkiselta tai yksityiseltä palvelujen tuottajalta ja ilman huoltajaa olevalle lapselle määrätyltä edustajalta.

Edellä 3 ja 4 luvun mukaisia palveluja tuottavalla julkisella tai yksityisellä palvelujen tuottajalla, jonka asiakas turvapaikanhakija, tilapäistä suojelua saava tai ihmiskaupan uhri on, on oikeus saada maksutta ja salassapitosäännösten estämättä Maahanmuuttovirastolta ja vastaanotto- ja järjestelykeskukselta palvelujen tuottamisen kannalta välttämättömät tiedot.

Ilman huoltajaa olevalle lapselle määrätyllä edustajalla on oikeus saada maksutta ja salassapitosäännösten estämättä 41 §:ssä tarkoitettujen tehtävien hoitamiseksi välttämättömät tiedot Maahanmuuttovirastolta, vastaanotto- ja järjestelykeskukselta, kunnan viranomaiselta, Kansaneläkelaitokselta sekä 3 ja 4 luvun mukaisia palveluja tuottavalta julkiselta tai yksityiseltä palvelujen tuottajalta.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

3.

Eduskunnan päätöksen mukaisesti

kumotaan säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain (116/2002) 5 a luku, sellaisena kuin se on laissa 814/2015, ja

muutetaan 34 §, sellaisena kuin se on laissa 748/2011, seuraavasti:

34 §
Salassapitovelvollisuus

Salassapitovelvollisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

4.

Eduskunnan päätöksen mukaisesti

kumotaan kotoutumisen edistämisestä annetun lain (1386/2010) 8 luku ja

muutetaan 87 §:n 3 momentti seuraavasti:

87 §
Tiedonsaantioikeus

---

Ilman huoltajaa olevalle lapselle määrätyllä edustajalla on oikeus saada maksutta ja salassapitosäännösten estämättä 57 §:ssä tarkoitettujen tehtävien hoitamiseksi välttämättömät tiedot työ- ja elinkeinotoimistolta, kunnan viranomaiselta, Kansaneläkelaitokselta, Maahanmuuttovirastolta sekä vastaanotto- ja järjestelykeskukselta.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

5.

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan kansalaisuuslain (359/2003) 48 §, sellaisena kuin se on laissa 974/2007.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .

---

6.

Eduskunnan päätöksen mukaisesti

muutetaan Maahanmuuttovirastosta annetun lain (156/1995) 1—3 §,

sellaisina kuin ne ovat, 1 ja 3 § laissa 975/2007 sekä 2 § laissa 1160/2016, seuraavasti:

1 §
Maahanmuuttovirasto

Sisäministeriön hallinnonalalla toimii Maahanmuuttovirasto.

2 §
Tehtävät

Maahanmuuttovirasto käsittelee ja ratkaisee ne ulkomaalaisia ja Suomen kansalaisuutta koskevat asiat, jotka lailla tai valtioneuvoston asetuksella on säädetty sen tehtäviksi.

Maahanmuuttovirasto vastaa:

1) kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanoton käytännön toiminnan ohjauksesta, suunnittelusta ja valvonnasta;

2) säilöönottoyksiköiden käytännön toiminnan ohjauksesta ja valvonnasta;

3) valtion vastaanotto- ja järjestelykeskusten sekä valtion säilöönottoyksiköiden ylläpidosta;

4) ihmiskaupan uhrien auttamisen toimeenpanon ohjauksesta.

Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuu. Maahanmuuttovirasto tuottaa toimialaansa koskevissa asioissa tietopalveluita sisäministeriölle ja muille viranomaisille sekä kansainvälisille järjestöille.

3 §
Muutoksenhaku

Muutoksenhausta Maahanmuuttoviraston päätökseen säädetään erikseen.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

7.

Eduskunnan päätöksen mukaisesti

muutetaan turvallisuusselvityslain (726/2014) 25 §:n 1 momentin 10 kohta sekä 37 §:n 1 momentin 7 kohta seuraavasti:

25 §
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:

---

10) ulkomaalaisasioiden asiankäsittelyjärjestelmään tai kansalliseen viisumitietojärjestelmään, joiden tiedoista säädetään henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain ( / ) 7 §:n 1 momentissa tai 2 momentin 1 ja 2 kohdassa ja 8 §:ssä;

---

37 §
Yritysturvallisuusselvityksessä käytettävät tietolähteet

Yritysturvallisuusselvitystä laadittaessa voidaan käyttää:

---

7) ulkomaalaisasioiden asiankäsittelyjärjestelmästä ja kansallisesta viisumitietojärjestelmästä saatavia tietoja, joista säädetään henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain 7 §:n 1 momentissa tai 2 momentin 1 ja 2 kohdassa;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

8.

Eduskunnan päätöksen mukaisesti

muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 6 §:n 1 momentin 24 kohta, sellaisena kuin se on laissa 404/2018, ja

lisätään 6 §:n 1 momenttiin, sellaisena kuin se on laeissa 308/2016, 1159/2016, 1413/2016, 1419/2016, 324/2017, 454/2017, 923/2017, 1112/2017, 404/2018 ja 414/2018, uusi 25 kohta seuraavasti:

6 §
Velvoitteidenhoitoselvityksen käyttötarkoitus

Velvoitteidenhoitoselvitys laaditaan tukemaan:

---

24) Finanssivalvonnasta annetun lain (878/2008) 20 b §:ssä säädettyjen tehtävien suorittamista;

25) kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten annetussa laissa (907/2017) ja kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetussa laissa (908/2017) säädettyjen ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

9.

Eduskunnan päätöksen mukaisesti

lisätään ulkomaalaislakiin (301/2004) uusi 212 a § seuraavasti:

212 a §
Tiedonsaantioikeus Verohallinnolta

Maahanmuuttovirastolla on oikeus salassapitosäännösten estämättä saada sille laissa säädettyjen tehtävien suorittamiseksi Verohallinnolta välttämättömiä oikeushenkilön tuloja ja varallisuutta koskevia tietoja sekä muita verotustietoja oleskeluluvan toimeentuloedellytyksen selvittämiseksi sekä ulkomaalaisen oleskeluluvan harkintaa varten sekä ulkomaalaisen työnantajaan kohdistuvien seuraamusten määräämiseksi tietoja ulkomaalaisen ilmoittaman työnantajan työnantajasuorituksista ja niiden ilmoittamisesta sekä verojen maksuun liittyvästä maksujärjestelystä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 8 päivänä marraskuuta 2018

Pääministeri
Juha Sipilä

Sisäministeri
Kai Mykkänen