HaVM 40/2018 vp HE 241/2018 vp

Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Rajavartiolaitoksessa, joka korvaisi voimassa olevan samannimisen lain. Laki täydentäisi Euroopan unionin yleistä tietosuoja-asetusta ja rikosasioiden tietosuojadirektiivin yleistä täytäntöönpanolainsäädäntöä. Voimassa olevan lain sääntely Rajavartiolaitoksen henkilörekistereistä ehdotetaan korvattavaksi säännöksillä Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Lisäksi laki sisältäisi säännöksiä kansallisesta ja kansainvälisestä tiedonvaihdosta, tietojen poistamisesta, rekisteröidyn tarkastusoikeuden toteuttamisesta sekä eräistä rajoituksista rekisteröidyn oikeuksiin.

Esityksen tavoitteena on saattaa henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö ajan tasalle. Sääntelyssä huomioitaisiin Euroopan unionin uudistunut tietosuojalainsäädäntö sekä kansalliset muutostarpeet. Tavoitteena on erityisesti selkeyttää ja yksinkertaistaa voimassa olevaa sääntelyä.

Meripelastuslain henkilötietojen käsittelyä koskeviin säännöksiin tehtäisiin myös tarvittavat tarkistukset. Esityksessä ehdotetaan lisäksi muutettavaksi neljäätoista muuta lakia. Muutokset olisivat pääosin lakiteknisiä.

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

Esityksen tavoitteena on saattaa henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö ajan tasalle. Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Rajavartiolaitoksessa. Laki korvaisi voimassa olevan henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005, jäljempänä Rajavartiolaitoksen henkilötietolaki). Lisäksi ehdotetaan tarkistuksia meripelastuslain nojalla tapahtuvaan henkilötietojen käsittelyyn sekä eräisiin muihin lakeihin, joissa on henkilötietojen käsittelyä koskevia säännöksiä.

Rajavartiolaitoksen henkilötietolain rakenne ja sisältö ovat muodostuneet useiden osittaisuudistusten myötä monin osin vaikeaselkoisiksi. Laissa on myös tarpeetonta päällekkäistä sääntelyä yleislakien ja eräiden muiden lakien kanssa. Rajavartiolaitoksen henkilötietolaki pohjautuu rakenteeltaan ja monilta osin myös sisällöltään henkilötietojen käsittelystä poliisitoimessa annettuun lakiin (761/2003, jäljempänä poliisin henkilötietolaki). Eduskunta edellytti vuonna 2013 (EV 216/2013 vp), että hallitus käynnistää mahdollisimman pian poliisin henkilötietolain kokonaisuudistuksen ja että samassa yhteydessä tarkistetaan myös Rajavartiolaitoksen henkilötietolain säännökset. Tämän esityksen kanssa samanaikaisesti annettava hallituksen esitys poliisin henkilötietolain kokonaisuudistuksesta on otettu huomioon tätä esitystä laadittaessa.

Esitys liittyy myös Euroopan unionin tietosuojalainsäädännön uudistukseen. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä tietosuojadirektiivi, annettiin 27 päivänä huhtikuuta 2016. Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018 ja tietosuojadirektiivin kansallisen täytäntöönpanon määräaika oli 6 päivä toukokuuta 2018. Esityksen tavoitteena on saattaa Rajavartiolaitoksen henkilötietolainsäädäntö vastaamaan tietosuoja-asetuksen ja tietosuojadirektiivin vaatimuksia.

2.1.1 2.1.1Yleistä

Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp). Yksityiselämän suojasta on perinteisesti johdettu valtiolle velvollisuus sekä itse pidättyä loukkaamasta kansalaisten yksityiselämää että myös aktiivisesti toimia yksityiselämän loukkauksia vastaan.

Henkilötietojen suojasta säädetään perustuslain 10 §:n 1 momentin mukaan tarkemmin lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja sisältyy osittain samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee näin ollen turvata oikeus henkilötietojen suojaan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on todennut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimuksia voidaan täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Euroopan unionin tietosuojauudistusta käsitellään tarkemmin jäljempänä.

Viranomaisten henkilötietojen käsittelyyn sovelletaan yleislakina myös viranomaisten toiminnan julkisuudesta annettua lakia (621/1999, jäljempänä julkisuuslaki). Henkilötietojen käsittelyssä merkityksellisiä ovat erityisesti julkisuuslaissa olevat tietojen salassapitoa koskevat säännökset. Julkisuuslain nojalla määräytyy myös asianosaisen oikeus tiedonsaantiin.

2.1.2 Rajavartiolaitoksen henkilötietolaki

Rajavartiolaitoksen henkilötietolaki on erityislaki, jota sovelletaan henkilötietojen käsittelyä koskevien yleislakien ohella henkilötietojen käsittelyyn Rajavartiolaitoksessa. Rajavartiolaitoksen henkilötietolaki annettiin rajavartiolainsäädännön kokonaisuudistuksen yhteydessä vuonna 2005. Lakiin koottiin aiemmassa rajavartiolaissa (320/1999) olleet henkilötietojen käsittelyä koskevat säännökset. Henkilötietojen käsittelystä Rajavartiolaitoksessa säädetään myös eräissä muissa erityislaeissa, jotka on kuvattu jäljempänä.

Rajavartiolaitoksen henkilötietolain 1 luku sisältää yleisten säännösten lisäksi säännökset Rajavartiolaitoksen keskeisistä henkilörekistereistä. Lain 3 §:ssä säädetään Rajavartiolaitoksen toiminnallisesta tietojärjestelmästä, joka on Rajavartiolaitoksen käyttöön tarkoitettu pysyvä valtakunnallinen henkilörekisteri. Toiminnallisen tietojärjestelmän valtakunnalliseen käyttöön tarkoitettuja osarekistereitä ovat tutkinta- ja virka-apurekisteri (7 §), lupa-asioiden rekisteri (8 §), valvonta-asioiden rekisteri (9 §), rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri (11 §), turvallisuustietorekisteri (12 §), sotilasoikeudenhoidon rekisteri (13 a §) ja kurinpitoratkaisurekisteri (13 b §). Tämän lisäksi Rajavartiolaitoksessa voidaan perustaa tarpeellinen henkilörekisteri Rajavartiolaitoksen valtakunnalliseen käyttöön, hallintoyksikön tai hallintoyksiköiden käyttöön sekä Rajavartiolaitoksessa muodostetun työryhmän käyttöön (4 §).

Lain 6 §:ssä säädetään Rajavartiolaitokselle säädetyn tehtävän suunnittelussa ja toteuttamisessa tarpeellisista tiedoista. Mainitun pykälän perusteella on perustettu Rajavartiolaitoksen valtakunnallinen kenttäjohtamisen rekisteri. Lain 10 §:ään sisältyy informatiivinen säännös poliisin henkilörekisterien käyttämisestä Rajavartiolaitoksen tehtävissä.

Tutkinta- ja virka-apurekisteri on teknisesti toteutettu pääosin poliisin ylläpitämässä tietojärjestelmässä, mutta osia siitä on myös Rajavartiolaitoksen omassa tietojärjestelmässä. Rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri on kokonaisuudessaan toteutettu osana poliisin epäiltyjen tietojärjestelmää.

Lupa-asioiden rekisteri, valvonta-asioiden rekisteri, turvallisuustietorekisteri sekä Rajavartiolaitoksen valtakunnalliset ja hallintoyksikkökohtaiset henkilörekisterit ovat teknisesti Rajavartiolaitoksen ylläpitämissä tietojärjestelmissä tai sovelluksissa. Sotilasoikeudenhoidon rekisteriä ja kurinpitoratkaisurekisteriä ei ole toistaiseksi toteutettu sähköisesti.

Lain 2 luku sisältää säännökset arkaluonteisten tietojen käsittelystä (14 §), salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä (14 a §), yksittäiseen tehtävään liittymättömien tietojen käsittelystä (15 §), henkilön fyysisiin ominaisuuksiin perustuvasta sähköisestä tunnisteesta ja sen tietoturvasta (16 §), Rajavartiolaitoksen tiedonsaantioikeuksista viranomaisilta ja yksityisiltä tahoilta (17, 18, 22 ja 23 §) sekä liikenteenharjoittajan velvollisuuksista toimittaa matkustaja- ja miehistötietoja (19, 20, 20 a ja 21 §).

Lain 3 luvussa on tarkemmat säännökset tietojen käyttämisestä niiden keräämis- ja tallettamistarkoitukseen sekä muuhun kuin alkuperäiseen käsittelytarkoitukseen. Luku sisältää myös säännökset Rajavartiolaitoksen oikeudesta luovuttaa tietoja muille viranomaisille sekä säännökset henkilörekisterien ja niihin talletettujen tietojen käsittelyn valvonnasta.

Lain 4 luvussa säädetään henkilörekistereiden tietojen poistamisesta ja arkistoinnista rekisterikohtaisesti. Luku sisältää myös säännökset henkilötietojen käsittelystä Rajavartiolaitoksen kansainvälisessä yhteistyössä sekä rekisteröidyn oikeuksista. Lain 5 luvussa on eräitä täydentäviä säännöksiä ja lain 6 luvussa voimaantulo- ja siirtymäsäännökset.

2.1.3 Meripelastuslaki

Meripelastuslaissa (1145/2001) säädetään meripelastustoimintaan liittyvästä henkilötietojen käsittelystä. Rajavartiolaitos on johtava meripelastusviranomainen, joka vastaa meripelastustoimen järjestämisestä. Muita meripelastusviranomaisia ovat Hätäkeskuslaitos, Ilmatieteen laitos, alueen pelastustoimi, Liikenteen turvallisuusvirasto, Liikennevirasto, poliisi, Puolustusvoimat, sosiaali- ja terveysviranomaiset, Tulli ja ympäristöviranomaiset.

Meripelastusrekisteri on Rajavartiolaitoksen esikunnan pitämä valtakunnallinen henkilörekisteri, jota käytetään meripelastustoimen tehtävien tarkoituksenmukaiseksi hoitamiseksi sekä vaaratilannetta koskevien tapahtumien ja siihen liittyvien etsintä- ja pelastustoimenpiteiden jälkikäteiseksi selvittämiseksi (12 §). Meripelastusrekisteriin talletetaan tietoja vaaratilanteiden varalta laadituista toimintasuunnitelmista sekä vastaanotetuista hätäilmoituksista ja niiden perusteella suoritetuista toimenpiteistä. Lain 13 §:ssä säädetään tarkemmin meripelastusrekisterin tietosisällöstä ja 18 §:ssä henkilötietojen poistamisesta meripelastusrekisteristä.

Lain 19 §:n mukaan muut meripelastusviranomaiset voivat tallettaa tietoja meripelastusrekisteriin ja käyttää sen tietoja teknisen käyttöyhteyden avulla, jos se on meripelastustoimen tehtävän hoitamisen vuoksi tarpeellista. Sotilaallisen maanpuolustuksen toimintavalmiutta ja suorituskykyä koskevia tietoja eivät kuitenkaan saa käsitellä muut viranomaiset kuin Puolustusvoimat ja Rajavartiolaitos. Tietoja meripelastusrekisteriin tallettanut viranomainen vastaa tallettamiensa tietojen virheettömyydestä sekä tallettamisen ja käytön laillisuudesta omien tehtäviensä hoidossa.

Lain 14 §:ssä säädetään Rajavartiolaitoksen oikeudesta saada tietoja viranomaisilta meripelastustoimen valmiussuunnittelua varten ja vastaavasti vaaratilanteessa meripelastustoimen tehtävien suorittamista varten. Lain 15 §:ssä säädetään oikeudesta saada tietoja yksityisiltä yrityksiltä ja yhteisöiltä ja 16 §:ssä oikeudesta saada tietoja teleyrityksiltä.

Jollei meripelastuslaissa toisin säädetä, meripelastusrekisterin henkilötietojen käsittelyyn sovelletaan, mitä henkilötietolaissa säädetään (20 §). Meripelastusrekisterin henkilötietojen käsittelyssä noudatetaan lisäksi Suomea sitovia kansainvälisiä sopimuksia. Meripelastusrekisterin tietojen julkisuuteen sovelletaan, mitä viranomaisten asiakirjojen julkisuudesta säädetään.

2.1.4 Muu Rajavartiolaitosta koskeva henkilötietolainsäädäntö

Rajavartiolaitoksen henkilötietojen käsittelyä koskevaa sääntelyä on Rajavartiolaitoksen henkilötietolain ja meripelastuslain lisäksi useissa muissa laeissa. Niistä keskeisimpinä voidaan mainita seuraavat.

Rajavartiolaitoksen hallinnosta annetussa laissa (577/2005, jäljempänä Rajavartiolaitoksen hallintolaki) säädetään eräiden arkaluonteisten tietojen käsittelystä Raja- ja merivartiokoulussa (28 c §) sekä Rajavartiolaitoksen virkamiehen vaitiolovelvollisuudesta ja oikeudesta tietojen luovuttamiseen vaitiolovelvollisuuden estämättä (17 ja 17 a—17 d §). Henkilötietojen luovuttamisen osalta kyse on yksittäisen virkamiehen oikeudesta luovuttaa tietoja yksittäistapauksissa.

Poliisin henkilötietolaissa säädetään Rajavartiolaitoksen oikeudesta tallettaa suorakäyttöisesti poliisin henkilörekistereihin tietoja, joita on tarpeen käsitellä poliisilain 1 luvun 1 §:n 1 ja 2 momentissa tarkoitettujen sellaisten tehtävien suorittamiseksi, jotka laissa säädetään Rajavartiolaitokselle. Käytännössä poliisin rekisterinpitoon talletetaan henkilö- ja esinekuulutustietoja sekä henkilön tuntomerkkitietoja, kuten sormenjälkiä ja DNA-tunnisteita.

Poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009, jäljempänä PTR-laki) 6 §:n mukaan PTR-rikostiedusteluyksikössä edustettuna oleva PTR-viranomainen voi perustaa henkilörekisterin vakavaa tai laajamittaista rikollisuutta koskevaa yksittäistä rikostorjuntatehtävää varten sen mukaan kuin kunkin viranomaisen omassa henkilötietolaissa säädetään. Rajavartiolaitoksen perustaman henkilörekisterin tietojen käsittelyyn sovelletaan Rajavartiolaitoksen henkilötietolakia.

Ulkomaalaisrekisteristä annetun lain (1270/1997) 3 §:n mukaan Rajavartiolaitos on yksi ulkomaalaisrekisterin rekisterinpitäjistä. Rajavartiolaitos tallettaa ulkomaalaisrekisteriin tietoja ulkomaalaisten maahantuloa ja maastalähtöä koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten. Rajavartiolaitos tallettaa samat henkilötiedot pääsääntöisesti myös omiin henkilörekistereihinsä. Hallitus on antanut esityksen, jossa henkilötietojen käsittelysäännökset maahanmuuttohallinnossa koottaisiin yhteen lakiin (HE 224/2018 vp). Samassa yhteydessä tarkastellaan uudelleen myös rekisterinpitäjiä koskevat kysymykset.

Asevelvollisuuslain (1438/2007) 92 §:n mukaan asevelvollisrekisterin rekisterinpitäjiä ovat Pääesikunta, puolustushaaran esikunta ja aluetoimisto toimialueellaan sekä joukko-osasto sen palveluksessa olevien osalta. Rajavartiolaitoksen osalta tämä tarkoittaa sitä, että rekisterinpitäjiä ovat Rajavartiolaitoksen esikunta (puolustushaaran esikunta) ja Rajavartiolaitoksen hallintoyksiköt (joukko-osasto). Asevelvollisrekisteriä koskeva sääntely on siirtymässä henkilötietojen käsittelystä Puolustusvoimissa annettavaan uuteen lakiin (jäljempänä Puolustusvoimien henkilötietolaki), missä yhteydessä tarkastellaan uudelleen myös rekisterinpitäjiä koskevat kysymykset (HE 13/2018 vp).

Hätäkeskustoiminnasta annetun lain (692/2010) 16 §:n mukaan Rajavartiolaitoksella on oikeus käyttää hätäkeskustietojärjestelmää sekä tallettaa sinne omaa toimialaansa koskevia tietoja. Rajavartiolaitos ei ole rekisterinpitäjä tallettamiensa tietojen osalta, vaan rekisterinpidosta vastaa Hätäkeskuslaitos. Lain 18 §:n 2 momentin mukaan Rajavartiolaitos tallettaa hätäkeskustietojärjestelmään Rajavartiolaitoksen yksiköihin tai tahoihin liittyviä valmius- ja resurssitietoja sekä meripelastustoimen tehtäviin liittyviä ohjeita ja suunnitelmia. Rajavartiolaitos voi tallettaa hätäkeskustietojärjestelmään myös viranomaisten työturvallisuuteen liittyviä tietoja.

Aluevalvontalain (755/2000) 30 §:ssä säädetään Rajavartiolaitoksen oikeudesta suorittaa teknistä valvontaa osana aluevalvontaa sekä aluevalvontaan liittyvien rikosten ennalta estämiseksi, sanotuista rikoksista epäiltyjen tunnistamiseksi sekä erityisten valvontakohteiden vartioimiseksi. Pykälässä säädetään myös teknisen valvonnan tallenteiden käsittelystä. Aluevalvontalain mukaisessa teknisessä valvonnassa kertyvien henkilötietojen käsittelyyn Rajavartiolaitoksen henkilörekisterissä sovelletaan muilta osin Rajavartiolaitoksen henkilötietolakia.

Eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain (485/2004, jäljempänä merenkulun turvatoimilaki) 17 §:ssä säädetään Rajavartiolaitoksen oikeudesta suorittaa suomalaisen sataman alueella teknistä valvontaa merenkulun turvallisuuden toteuttamiseksi. Ääntä tai kuvaa saadaan tallentaa automaattisesti tekniselle laitteelle, jos se on tarpeen rikoslain (39/1889) 34 a luvussa tarkoitettujen rikosten estämiseksi taikka mainitussa luvussa tarkoitetuista rikoksista etsintäkuulutettujen tai näihin rikoksiin todennäköisin syin syylliseksi epäiltyjen tunnistamiseksi. Pykälän mukaan teknisten valvontalaitteiden avulla saatujen tietojen käsittelyyn sovelletaan Rajavartiolaitoksen henkilötietolakia.

Yhteisen kalastuspolitiikan seuraamusjärjestelmästä ja valvonnasta annetun lain (1188/2014) 38 §:n mukaan Rajavartiolaitos on yksi mainitussa laissa säädettyjen saalisrekisterin (30 §), ensiostajarekisterin (31 §), myynti-ilmoitusrekisterin (32 §), aluksen satelliittiseurantajärjestelmän (33 §), kalastuksen valvontaan liittyvän ilmoitus- ja luparekisterin (34 §) sekä valvontatapahtumarekisterin (35 §) rekisterinpitäjistä. Päävastuullinen rekisterinpitäjä on asianomainen elinkeino-, liikenne- ja ympäristökeskus, minkä lisäksi maa- ja metsätalousministeriö ohjaa tietojärjestelmän kehittämistä, rekisterien ylläpitoa ja rekisterien pitoa. Rajavartiolaitos vastaa kuitenkin tallettamiensa tietojen virheettömyydestä sekä tallettamisen ja käytön laillisuudesta omien tehtäviensä hoidossa.

2.2.1 EU:n tietosuojalainsäädäntö

Oikeus henkilötietojen suojaan on perusoikeus, joka vahvistetaan Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa sekä Euroopan unionin perusoikeuskirjan 8 artiklassa, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. Perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja. Artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Henkilötietojen suojalla on liittymäkohtia myös muihin EU:n perusoikeuskirjassa vahvistettuihin perusoikeuksiin.

Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

Tietosuoja-asetus

Tietosuoja-asetus on henkilötietojen käsittelyn yleissäädös, joka on jäsenvaltioissa suoraan sovellettavaa oikeutta. Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018. Tietosuoja-asetuksen soveltamisen ulkopuolelle on rajattu asetuksen 2 artiklan 2 kohdan a alakohdassa henkilötietojen käsittely, joka ei kuulu Euroopan unionin lainsäädännön soveltamisalaan. Tietosuoja-asetusta ei myöskään sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Henkilötietojen käsittelyyn mainittuihin tarkoituksiin sovelletaan tietosuojadirektiiviä.

Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Niitä ovat henkilötietojen käsittelyn lainmukaisuus-, kohtuullisuus- ja läpinäkyvyysvaatimus, käyttötarkoitussidonnaisuus, tietojen minimointi, henkilötietojen täsmällisyys ja henkilötietojen säilytyksen rajaaminen. Henkilötietojen käsittelyn lainmukaisuudesta säädetään tarkemmin asetuksen 6 artiklassa. Viranomaisten osalta keskeisimmät henkilötietojen käsittelyn perusteet ovat 6 artiklan 1 kohdan mukaisesti lakisääteisten velvoitteiden noudattaminen (c alakohta), yleistä etua koskevan tehtävän suorittaminen (e alakohta) ja rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen (e alakohta).

Tietosuoja-asetus sisältää jonkin verran kansallista liikkumavaraa. Kansallisella lailla voidaan täsmentää henkilötietojen käsittelyn oikeusperustaa ja käsittelyn sisältöä sekä esimerkiksi tiettyjen edellytysten vallitessa poiketa rekisteröidyn oikeuksista. Kansallista erityislainsäädäntöä arvioitaessa on ensimmäisessä vaiheessa varmistuttava siitä, että lainsäädäntö on ylipäänsä mahdollista tietosuoja-asetuksen kansallisen liikkumavaran puitteissa. Tässä arvioinnissa tulee kiinnittää erityisesti huomiota henkilötietojen käsittelyn oikeudelliseen perustaan. Toisessa vaiheessa tulee arvioida, onko kansallinen erityislainsäädäntö välttämätön asetuksen säännösten täydentämiseksi. Mikäli kansallinen erityislainsäädäntö on välttämätöntä, tulee kolmannessa vaiheessa vielä varmistua siitä, että kansallinen erityislainsäädäntö on myös muilta osin asetuksen mukainen.

Tietosuoja-asetuksen säännöksiä täydentää tietosuojalaki (HE 9/2018 vp). Laki sisältää säännöksiä muun muassa käsittelyn lainmukaisuudesta, erityisiä henkilötietoryhmiä koskevasta käsittelystä, valvontaviranomaisesta ja tämän tehtävistä ja toimivaltuuksista, oikeusturvasta ja seuraamuksista, henkilötunnuksen käsittelystä sekä henkilötietojen käsittelystä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten.

Tietosuojalakia sovelletaan tietosuoja-asetuksen soveltamisalasäännöksen mukaisesti. Tietosuojalain nojalla tietosuoja-asetusta sovelletaan sen eräitä säännöksiä lukuun ottamatta myös esimerkiksi sellaiseen henkilötietojen käsittelyyn, joka ei kuulu Euroopan unionin lainsäädännön soveltamisalaan, jollei muualla laissa toisin säädetä. Tietosuojalakia ei kuitenkaan sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa (HE 31/2018 vp, jäljempänä rikosasioiden tietosuojalaki).

Tietosuojadirektiivi

Tietosuojadirektiivi koskee henkilötietojen käsittelyä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Tietosuojadirektiivillä kumottiin neuvoston puitepäätös 2008/977/YOS rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (jäljempänä tietosuojapuitepäätös). Tietosuojadirektiivi on tietosuojapuitepäätöstä yksityiskohtaisempi, ja sitä sovelletaan myös jäsenvaltion sisällä tapahtuvaan henkilötietojen käsittelyyn. Myös tietosuojadirektiivin soveltamisalan ulkopuolelle on rajattu henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.

Direktiivin 4 artiklan mukaan jäsenvaltioiden on säädettävä muun muassa siitä, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Henkilötietojen on oltava asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietojen on lisäksi oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä.

Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Direktiivin 20 artikla sisältää säännökset sisäänrakennetusta tietosuojasta ja muun muassa tietojen minimoinnista.

Direktiivin 26 johdantokappaleen mukaan varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keräämisen yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia käsittelyn tarkoituksiin nähden. Sen vuoksi olisi nimenomaisesti varmistettava, että henkilötietoja ei kerätä liikaa ja että niitä säilytetään ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Tietosuojadirektiivi pannaan kansallisesti täytäntöön rikosasioiden tietosuojalailla. Lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on: 1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta; 2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta; 3) rikosasian käsittelemisestä tuomioistuimessa; 4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta; tai 5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä. Lisäksi lakia sovelletaan silloin, kun Puolustusvoimat, poliisi ja Rajavartiolaitos käsittelevät henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.

Laki sisältää yleisten säännösten (1 luku) lisäksi säännökset henkilötietojen käsittelyä koskevista periaatteista (2 luku), rekisterinpitäjästä ja henkilötietojen käsittelijästä (3 luku), rekisteröidyn oikeuksista (4 luku), tietoturvallisuudesta (5 luku), tietosuojavastaavasta (6 luku), henkilötietojen siirroista kolmansiin maihin ja kansainvälisille järjestöille (7 luku), valvontaviranomaisesta (8 luku) ja oikeusturvasta (9 luku), vahingonkorvauksesta, rangaistuksista ja vaitiolovelvollisuudesta (10 luku) sekä lain voimaantulosta ja lokitietoja koskevasta siirtymäajasta (11 luku). Yleislain soveltamisalalla on myös mahdollista antaa viranomaisia koskevaa erityislainsäädäntöä.

2.2.2 Euroopan unionin rajavalvontayhteistyö

Henkilöiden liikkumista rajojen yli koskevasta unionin säännöstöstä (Schengenin rajasäännöstö) annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/399 sisältää myös henkilötietojen käsittelyä koskevia säännöksiä. Asetuksen 8 artiklan mukaan rajatarkastuksen yhteydessä on varmistettava matkustusasiakirjojen aitous muun muassa tarkastamalla asiaankuuluvista tietokannoista varastettuja, kavallettuja, kadonneita ja mitätöityjä asiakirjoja koskevat tiedot. Lisäksi on varmistuttava siitä, että henkilö ei aiheuta vakavaa vaaraa jäsenvaltioiden sisäiselle turvallisuudelle, yleiselle järjestykselle tai kansainvälisille suhteille taikka merkitse uhkaa kansanterveydelle. Tässä tarkoituksessa on tehtävä tarpeelliset haut kansallisiin ja eurooppalaisiin tietokantoihin.

Euroopan raja- ja merivartiovirastolla on eurooppalaisesta raja- ja merivartiostosta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/1624 mukaan oikeus käsitellä rajoitetusti henkilötietoja. Asetuksen 46 artiklan mukaan virasto voi käsitellä henkilötietoja yhteisten operaatioiden, pilottihankkeiden ja nopeiden rajainterventioiden järjestämiseen ja koordinointiin sekä muuttoliikkeen hallinnan tukiryhmien toimintaan liittyvien viraston tehtävien hoitamiseksi, palautusoperaatioiden ja palautusinterventioiden järjestämiseen ja koordinointiin liittyvien viraston tehtävien hoitamiseksi, jäsenvaltioiden ja EU:n virastojen välisen tietojenvaihdon helpottamiseksi, riskianalyysien tekemiseksi, alusten tunnistamiseksi ja jäljittämiseksi sekä hallinnollisissa tehtävissä.

Asetuksen 46 artiklassa säädetään myös siitä, että virastolle henkilötietoja toimittavan jäsenvaltion on määritettävä artiklassa mainittu yksi tai useampi käsittelyn tarkoitus. Virasto voi käsitellä tällaisia henkilötietoja toiseen artiklassa mainittuun tarkoitukseen ainoastaan, jos tietojen toimittaja antaa siihen luvan. Jäsenvaltiot voivat henkilötietoja siirtäessään ilmoittaa tietoihin pääsyä tai niiden käyttöä koskevista yleisistä tai erityisistä rajoituksista, mukaan lukien tietojen siirron, poistamisen tai tuhoamisen osalta. Asetuksen 47—49 artiklassa täsmennetään, mitä henkilötietoja ja millä tavoin kyseisissä tarkoituksissa saa käsitellä.

Euroopan rajavalvontajärjestelmän (Eurosur) perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1052/2013 13 artikla mahdollistaa henkilötietojen käsittelyn kansallisessa tilannekuvassa siten kuin EU:n tietosuojalainsäädännössä säädetään. Euroopan tilannekuvassa ja rajan läheisen alueen yhteisessä tiedustelutilannekuvassa voidaan käsitellä henkilötietoina ainoastaan laivojen tunnistenumeroita. Artiklassa säädetään myös laivojen tunnistenumeroiden käsittelytarkoituksista sekä tietojen poistoajasta.

2.2.3 Euroopan neuvoston yleissopimukset

Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

Vaikka henkilötietojen suojaa ei erikseen mainita ihmisoikeussopimuksen 8 artiklassa, on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä henkilötietojen suoja katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa, ja toisaalta henkilötietojen suojalla on vaikutuksensa ihmisoikeussopimuksen 10 artiklassa tarkoitetun sananvapauden käyttämiseen. Ihmisoikeustuomioistuimen ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö.

Euroopan neuvoston puitteissa on tehty vuonna 1981 yleissopimus No 108 henkilötietojen suojasta, johon viitataan tietosuojadirektiivin johdanto-osan 68 kappaleessa. Euroopan neuvoston yleissopimus ja laki eräiden sen määräysten hyväksymisestä (269/1992) on saatettu Suomessa voimaan asetuksella (36/1992). Euroopan unionin jäsenvaltioiden välisissä tilanteissa sovelletaan ensisijaisesti EU:n tietosuojalainsäädäntöä, mutta kaikki EU:n jäsenvaltiot ovat ratifioineet yleissopimuksen No 108. Yhteensä yleissopimuksen on ratifioinut tähän mennessä 50 valtiota. Yleissopimukseen liittyy lisäpöytäkirja (No 181) rajat ylittävistä henkilötietojen siirroista. Yleissopimuksen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Henkilötietojen siirtojen tapauksessa Euroopan neuvoston yleissopimusta sovellettaisiin asetuksen ja direktiivin kolmansia maita koskevien säännösten lisäksi esimerkiksi niissä tilanteissa, joissa EU:n jäsenvaltion toimivaltainen viranomainen siirtää henkilötietoja kolmanteen maahan. Sovellettavaksi voisi tulla kuitenkin myös kyseessä olevan maan kanssa tehty kahdenvälinen sopimus, joka sisältää määräykset tietosuojasta tai määräykset, joissa viitataan kansalliseen lainsäädäntöön.

Euroopan neuvoston yleissopimus on parhaillaan uudistettavana ja uusi yleissopimus korvaa sopimuksen No 108, kun riittävä määrä Euroopan neuvoston jäsenvaltioita on ratifioinut sen. Yleissopimuksen määräysten soveltamisen rajoittaminen on mahdollista merkittävän yleisen edun vuoksi, esimerkiksi kansallisen turvallisuuden ja puolustuksen perusteella.

2.2.4 Muu kansainvälinen sääntely

Henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös eräisiin tietosuojadirektiivin soveltamisalaan kuuluviin EU-säädöksiin ja niiden täytäntöönpanolakeihin. Näitä säädöksiä ovat erityisesti:

Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä tehty neuvoston päätös 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1986/2006,

Euroopan unionin lainvalvontayhteistyövirastosta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/794 ja laki Euroopan unionin lainvalvontayhteistyövirastosta (214/2017),

Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013 Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä (Eurodac-asetus),

rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajat ylittävän rikollisuuden torjumiseksi tehty neuvoston päätös 2008/615/YOS ja sen täytäntöönpanopäätös 2008/616/YOS,

tietojen ja tiedustelutietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehty neuvoston puitepäätös 2006/960/YOS ja Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettu laki (26/2009).

Rajavartiolaitos soveltaa edellä mainittuja säädöksiä niiltä osin kuin se osallistuu Euroopan unionin lainvalvontaviranomaisten väliseen yhteistyöhön.

2.2.5 Ulkomaiden lainsäädäntö

EU:n jäsenvaltioiden henkilötietojen käsittelyä koskeva lainsäädäntö on EU:n tietosuojauudistuksen kansallisen täytäntöönpanon vuoksi parhaillaan muuttumassa. Tietosuoja-asetus ja -direktiivi asettavat varsin tarkkoja vaatimuksia kansalliselle lainsäädännölle.

Rajavartiolaitoksen hallinnonalalla ei katsota olevan erityistä tarvetta yhdenmukaistaa henkilötietojen käsittelyä koskevaa erityissääntelyä muiden EU-valtioiden kanssa. Tämä johtuu ensisijaisesti siitä, että Rajavartiolaitoksella on lukuisia lakisääteisiä tehtäviä, joiden hoitaminen voi toisessa EU-valtiossa kuulua toiselle viranomaiselle, kuten poliisille tai puolustusvoimille. Lisäksi Rajavartiolaitoksen päätehtävänä oleva rajaturvallisuuden ylläpitäminen perustuu keskeisiltä osiltaan EU-asetuksiin, joita sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Edellä mainitun vuoksi esityksessä ei ole katsottu tarkoituksenmukaiseksi arvioida muiden EU-valtioiden mahdollista erityislainsäädäntöä henkilötietojen käsittelystä Rajavartiolaitoksen hallinnonalalla.

2.3.1 EU:n tietosuojalainsäädäntö

Esityksessä olisi varmistettava, että henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva erityissääntely on kaikilta osin yhteensopivaa uuden yleisen tietosuojalainsäädännön kanssa. Rajavartiolaitoksen henkilötietojen käsittelyyn sovelletaan nykyään yleislakina henkilötietolakia. EU:n tietosuojalainsäädännön uudistus kuitenkin eriyttää säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa säädöstä. Rajavartiolaitoksen lakisääteiset tehtävät jakautuvat sekä tietosuoja-asetuksen että tietosuojadirektiivin soveltamisalaan, minkä lisäksi osa Rajavartiolaitoksen tehtävistä ei kuulu lainkaan Euroopan unionin oikeuden soveltamisalaan.

Tietosuoja-asetusta ja sitä täydentävää tietosuojalakia sovelletaan Rajavartiolaitoksessa esimerkiksi rajavalvontaan, useisiin Rajavartiolaitokselle säädettyihin valvontatehtäviin, tullitehtäviin ja pelastustehtäviin liittyvään henkilötietojen käsittelyyn.

Tietosuoja-asetus on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä. Tietosuoja-asetuksen 6 artiklan 2 kohta kuitenkin mahdollistaa yksityiskohtaisempien säännösten antamisen asetuksen säännösten mukauttamiseksi silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (6 artiklan 1 kohdan c alakohta) tai yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan e alakohta). Tietosuoja-asetuksen 6 artiklan 3 kohta edellyttää, että henkilötietojen käsittelyn perustasta säädetään näissä tilanteissa unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Tällainen lainsäädäntö voi sisältää säännöksiä muun muassa käsiteltävien tietojen tyypistä, rekisteröidyistä, tahoista joille ja tarkoituksista joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuudesta, säilytysajoista sekä käsittelytoimista ja -menettelyistä. Kun kyse on Rajavartiolaitokselle laissa säädetyistä tehtävistä, henkilötietoja käsitellään rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, mikä mahdollistaa tietosuoja-asetuksen täsmentämisen ja täydentämisen kansallisella lainsäädännöllä. Tietosuoja-asetuksen 9 artiklan nojalla voidaan antaa tarkempia säännöksiä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä.

Rajavartiolaitoksen henkilötietolainsäädännössä olisi tarpeen käyttää tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa ja antaa täsmentäviä säännöksiä erityisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä sekä rekisteröidyn oikeuksien käyttämisestä. Säännöksissä olisi varmistettava, että rekisteröidyn oikeuksien rajoitukset ovat välttämättömiä ja oikeasuhtaisia.

Tietosuojadirektiivin soveltamisalaan Rajavartiolaitoksessa kuuluvat rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen sekä näihin liittyvät toimenpiteet yleisen järjestyksen ja turvallisuuden ylläpitämiseksi.

Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Rajavartiolaitoksen henkilötietolain tulisi siten sisältää kyseiset säännökset Rajavartiolaitoksen tietosuojadirektiivin soveltamisalalla käsittelemistä henkilötiedoista. Sääntelyssä olisi kiinnitettävä huomiota siihen, että direktiivissä säädetty minimitaso tietosuojalle ei heikenny.

Kansallisen turvallisuuden ylläpitämiseen liittyvät tehtävät ja meripelastustoiminta eivät kuulu EU:n oikeuden soveltamisalaan, eivätkä siten myöskään tietosuoja-asetuksen tai tietosuojadirektiivin soveltamisalaan. Näissä tehtävissä käsiteltävien henkilötietojen osalta kyse on kansallisesta ratkaisusta.

Rikosasioiden tietosuojalakia, jolla tietosuojadirektiivi pannaan kansallisesti täytäntöön, sovelletaan sen 1 §:n 2 momentin 3 kohdan mukaan Rajavartiolaitoksen suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa rajavartiolain (578/2005) 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Kansallisen turvallisuuden käsitteen alle voidaan Rajavartiolaitoksessa katsoa kuuluvan etenkin aluevalvonta ja sotilaallinen maanpuolustus, mutta myös Rajavartiolaitoksen muussa toiminnassa voidaan käsitellä kansallisen turvallisuuden ylläpitämiseen liittyviä henkilötietoja.

Meripelastustoimintaan liittyvien henkilötietojen käsittelyn osalta on tehtävä kansallinen ratkaisu tässä esityksessä. Tältä osin on otettava huomioon, että tietosuojalain 2 §:n 1 momentin nojalla tietosuoja-asetusta sovelletaan sen 56 artiklaa ja VII lukua lukuun ottamatta myös toimintaan, joka ei kuulu EU:n toimivaltaan, jollei muualla laissa toisin säädetä.

Tietosuoja-asetuksen soveltamisalan osalta säännöksissä olisi varmistettava, että siihen liittyvällä henkilötietojen käsittelyllä on hyväksyttävä oikeusperusta ja rekisteröidyn oikeuksien rajoitukset ovat välttämättömiä ja oikeasuhtaisia.

2.3.2 Rajavartiolaitoksen henkilötietolain rakenne

Rajavartiolaitoksen henkilötietolakia on muutettu sen voimaantulon jälkeen 18 kertaa ja lakiin on myös parhaillaan vireillä muutoksia. Muutostarpeet ovat olleet monilta osin lakiteknisiä ja johtuneet lain yksityiskohtaisesta sääntelytavasta. Useiden osittaisuudistusten myötä lain rakenne ja sisältö ovat muodostuneet paikoin vaikeaselkoisiksi.

Voimassa oleva laki perustuu rekisteri- ja tietojärjestelmäkohtaiseen sääntelyyn. Sääntely on hyvin yksityiskohtaista ja tyhjentävää. Sääntelytapa on joustamaton, ja säännösten pitäminen ajan tasalla on haastavaa. Sääntely on useiden muutosten myötä muodostunut varsin vaikealukuiseksi, mikä on aiheuttanut käytännön soveltamistilanteissa epäselvyyttä. Myöskään sääntelyä Rajavartiolaitoksen toiminnallisesta tietojärjestelmästä ja sen osarekistereistä ei voida enää pitää tarkoituksenmukaisena, vaan keskeistä olisi säätää henkilötiedoista, joita Rajavartiolaitos voi käsitellä.

Voimassa oleva laki sisältää osin yleislakien kanssa päällekkäistä sääntelyä. Lisäksi laissa on sellaisia tiedonsaantioikeuksia ja tietojen luovuttamista koskevia säännöksiä, joista säädetään jo muualla laissa. Yleisen käytännön mukaan tietojen luovuttamista ja tiedonsaantioikeutta koskevat säännökset on sisällytetty sekä luovuttavan että vastaanottavan viranomaisen lainsäädäntöön. Tällainen sääntelytapa ei kuitenkaan ole ollut kattavaa, mikä on saattanut joissakin tilanteissa aiheuttaa lain soveltajalle tulkintaongelmia. Säännökset ovat myös tarpeettoman yksityiskohtaisia ja eri tahojen osalta epäyhdenmukaisia. Kaksinkertaista sääntelyä ei voida lähtökohtaisesti pitää tarpeellisena. Koska rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta, tiedon luovuttamista koskevien säännösten tulisi pääsääntöisesti olla rekisterinpitäjän lainsäädännössä, jollei muulle ratkaisulle ole perusteltua syytä.

Rajavartiolaitoksen henkilötietolaki pohjautuu rakenteeltaan ja monin osin myös sisällöltään poliisin henkilötietolakiin. Perustuslakivaliokunta on todennut lausunnossaan PeVL 18/2012 vp, että poliisin henkilötietolaki on muun muassa siihen tehtyjen lukuisten muutosten johdosta muodostunut rakenteeltaan ja sisällöltään varsin monimutkaiseksi. Siihen sisältyy myös tarpeettomia päällekkäisyyksiä henkilötietolain ja viranomaisen toiminnan julkisuudesta annetun lain kanssa.

Eduskunnan vastauksessa (EV 216/2013 vp) hallituksen esitykseen laeiksi henkilötietojen käsittelystä poliisitoimessa annetun lain ja henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain sekä eräiden niihin liittyvien lakien muuttamisesta eduskunta edellytti, että hallitus käynnistää mahdollisimman pian poliisin henkilötietolain kokonaisuudistuksen ja että sen yhteydessä huomioidaan muiden seikkojen ohella Euroopan unionissa valmisteilla olevan uuden tietosuojalainsäädännön lopullinen sisältö ja vaatimukset kansalliselle lainsäädännölle sekä hallintovaliokunnan mietinnöstä (HaVM 26/2013 vp) ilmenevät lain rakennetta ja sisältöä koskevat huomautukset. Samassa yhteydessä eduskunta edellytti myös Rajavartiolaitoksen henkilötietolain säännösten tarkistamista.

Voimassa olevassa Rajavartiolaitoksen henkilötietolaissa viitataan eräiden henkilötietojen poistamisen osalta siihen, mitä poliisin henkilötietolaissa tai rikostorjunnasta ja sotilaskurinpidossa puolustusvoimissa annetussa laissa (255/2014) säädetään. Myöskään tätä ei voida pitää lainsäädännön selkeyden kannalta toimivana ratkaisuna, vaan Rajavartiolaitoksen henkilötietolain mukaisesti käsiteltävien henkilötietojen poistoaikojen tulisi ilmetä samasta laista.

Samanaikaisesti tämän esityksen kanssa annetaan myös hallituksen esitys poliisin henkilötietolainsäädännön uudistamiseksi. Poliisin henkilötietolain rakennetta ja sisältöä ehdotetaan muutettavaksi merkittävästi. Koska Rajavartiolaitos käsittelee osin samantyyppisiä tietoja kuin poliisi, ja osa Rajavartiolaitoksen henkilötietojen käsittelystä toteutetaan teknisesti poliisin ylläpitämissä järjestelmissä, Rajavartiolaitoksen henkilötietolaki tulisi uudistaa etenkin tältä osin poliisin henkilötietolakia vastaavaksi.

2.3.3 Rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri

Kuten edellä on selostettu, rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri on teknisesti osa poliisin epäiltyjen tietojärjestelmää. Rekisteriin voidaan tallettaa tietoja samoilla edellytyksillä kuin poliisin vastaavaan rekisteriin. Jäljempänä selostetut eduskunnan valiokuntien kannanotot soveltuvat siten lähtökohtaisesti myös rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriin. On tosin huomattava, että Rajavartiolaitoksen toimivaltuudet rikosten ennalta estämisessä ja paljastamisessa ovat poliisia rajatummat.

Hallintovaliokunta on lausunnossaan kiinnittänyt huomiota puutteisiin, joita rikoksesta epäiltyjen henkilötietojen käsittelyyn liittyy (HaVL 40/2014 vp). Henkilöitä voidaan rekisteröidä vain epäiltyinä ja myötävaikuttajina. Hallintovaliokunta on todennut mietinnössään, että kun henkilöstä syötetään tietoja rekisteriin, tulee hänen osaltaan täyttyä perusteet, joiden nojalla henkilön voidaan epäillä syyllistyvän tai syyllistyneen rikokseen taikka myötävaikuttavan tai myötävaikuttaneen rikokseen (HaVM 16/2014 vp). Kynnys "syytä epäillä" on sama kuin esitutkintalaissa (805/2011) säädetyn rikoksen johdosta esitutkinnan toimittamisen kynnys.

Sääntelyn soveltamisen vaativuutta kuvaa hallintovaliokunnan näkemyksen mukaan se, että kysymys ei ole pelkästään epäillystä henkilön jo tapahtuneesta syyllistymisestä tai myötävaikuttamisesta, vaan epäillystä tulevaisuudessa tapahtuvasta syyllistymisestä tai myötävaikuttamisesta lainkohdassa tarkoitettuun rikokseen. Valiokunta on pitänyt selvänä, että epäilyn tulee tällöinkin perustua konkreettisiin havaintoihin, joista voidaan päätellä henkilön tuleva käyttäytyminen niin, että "syytä epäillä" -edellytys täyttyy hyväksyttävästi. Arvion tekeminen henkilön tulevasta käyttäytymisestä on sellaisen epävarman päättelyketjun varassa, että virhearvioinnin riski on varsin suuri.

Hallintovaliokunta on kiinnittänyt huomiota myös siihen, että täydentävään "selostusosaan" on lisäksi saattanut olla merkittynä esimerkiksi henkilö, johon epäillyn väkivallan uhka kohdistuu tai voi kohdistua (HaVL 40/2014 vp). Myös perustuslakivaliokunta on jo aiemmin kiinnittänyt huomiota siihen, että rekisteriin saadaan säännöksen perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Sitä, että uhrien nimien tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää perustuslakivaliokunnan tulkintakäytännössä edellytettynä tarkkarajaisena sääntelynä (PeVL 51/2002 vp).

Rikoksesta epäiltyjen rekisteriä koskevaa sääntelyä on pidetty myös Rajavartiolaitoksen toiminnan kannalta epätarkoituksenmukaisena ja puutteellisena. Pykälän sanamuodon perustana vaikuttaisi olevan henkilölähtöinen rikostiedustelu siten, että Rajavartiolaitoksella olisi oltava tiedossa konkreettinen yksittäiseen henkilöön kohdistuva rikosepäily, eikä sääntelyllä kateta laajemmin esimerkiksi järjestäytyneeseen rikollisuuteen tai rikollisryhmiin kohdistuvaa rikosanalyysiä. Rajavartiolaitos on poliisin tavoin kokenut ongelmaksi myös sen, ettei sääntely ole sanamuotonsa perusteella kattanut suoraan esimerkiksi rikosten todellisten tai potentiaalisten uhrien tallentamista rekisteriin, vaikka se on pykälän perusteluissa todettu.

Esityksen tavoitteena on saattaa henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö ajan tasalle. Tavoitteena on lisäksi eduskunnan edellyttämällä tavalla selkeyttää rakenteellisesti ja sisällöllisesti voimassa olevaa Rajavartiolaitoksen henkilötietolakia. Pyrkimyksenä on erityisesti vähentää perustuslain sallimissa rajoissa sääntelyn yksityiskohtaisuutta, jotta se ei muodostuisi tarpeettomasti esteeksi muuttuvassa toimintaympäristössä. Tavoitteena on myös luopua tarpeettomasta päällekkäisestä sääntelystä muun lainsäädännön kanssa. Esityksen tarkoituksena on lisäksi varmistaa, että henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö täyttää uuden tietosuojalainsäädännön vaatimukset.

3.2.1 Henkilötietojen käsittelyä koskevien säännösten kokoaminen yhteen lakiin

Eduskunnan vastauksen (EV 216/2013 vp) edellyttämällä tavalla Rajavartiolaitoksen henkilötietolain rakennetta ja sisältöä on selkiytettävä merkittävästi. Käytännössä tämä on mahdollista toteuttaa asianmukaisesti ainoastaan uudistamalla laki kokonaisuudessaan. Samanaikaisesti tämän esityksen kanssa annetaan myös hallituksen esitys poliisin henkilötietolain kokonaisuudistuksesta. Koska Rajavartiolaitos käsittelee osin samantyyppisiä tietoja kuin poliisi ja osa Rajavartiolaitoksen henkilötietojen käsittelystä toteutetaan teknisesti poliisin ylläpitämissä järjestelmissä, Rajavartiolaitoksen henkilötietolain rakenteen uudistaminen poliisin henkilötietolakia vastaavaksi on käytännön toiminnan ja viranomaisyhteistyön kannalta välttämätöntä.

Voimassa oleva Rajavartiolaitoksen henkilötietolaki sisältää säännökset keskeisimmistä Rajavartiolaitoksen henkilörekistereistä. Rajavartiolaitoksen rekisterinpidosta säädetään lisäksi meripelastuslaissa, ulkomaalaisrekisteristä annetussa laissa ja asevelvollisuuslaissa. Nykyiseen ulkomaalaisrekisteriin liittyvää sääntelyä käsitellään henkilötietojen käsittelyä maahanmuuttohallinnossa koskevassa hallituksen esityksessä (HE 224/2018 vp), joten asiaa ei ole käsitelty tässä esityksessä. Asevelvollisrekisterin osalta puolustusministeriö esittää sääntelyn siirtämistä asevelvollisuuslaista uuteen Puolustusvoimien henkilötietolakiin (HE 13/2018 vp), ja Rajavartiolaitoksen asema käsitellään samassa yhteydessä.

Meripelastustoimeen liittyvän henkilötietosääntelyn siirtäminen meripelastuslaista Rajavartiolaitoksen henkilötietolakiin on todettu valmistelun yhteydessä epätarkoituksenmukaiseksi. Vaikka Rajavartiolaitos on johtava meripelastusviranomainen ja ainoa rekisterinpitäjä, on perusteltua, että kaikki meripelastustoimintaa koskevat säännökset ovat yhdessä laissa. Meripelastuslaki sisältää myös eräitä tiedonsaanti- ja tiedonluovutussäännöksiä, joiden siirtäminen Rajavartiolaitoksen henkilötietolakiin ei olisi omiaan edesauttamaan sääntelyn selkeyttä. Henkilötietojen käsittelyä koskevien säännösten sisältymistä useampaan lakiin ei myöskään ole koettu käytännössä ongelmalliseksi.

3.2.2 Rekisteriperusteinen ja käsittelytarkoituksiin perustuva sääntely

Voimassa oleva Rajavartiolaitoksen henkilötietolaki ja meripelastuslaki perustuvat henkilörekisterikohtaiseen sääntelyyn. Rekisteriperusteisen sääntelyn etuna voidaan pitää sitä, että se on perustuslakivaliokunnan edellyttämällä tavalla selkeää, tarkkarajaista ja yksityiskohtaista. Voimassa olevan lain rekisterisäännöksistä ilmenee yksityiskohtaisesti, mitä tietoja kuhunkin henkilörekisteriin saa tallettaa. Yksityiskohtaista sääntelyä voidaan pitää myös lain soveltajan ja rekisteröidyn kannalta selkeänä ja ennakoitavana. Yksityiskohtaisia tietoluetteloita on toisaalta vaikeaa pitää ajan tasalla, koska kaikkia tiedonkäsittelytarpeita on mahdotonta ennakoida yksityiskohtaisesti lakia säädettäessä. Rekisteriperusteinen sääntely rajoittaa myös tarpeettomasti teknisiä ratkaisuja henkilötietojen käsittelyssä.

Valmistelun yhteydessä on arvioitu sitä, missä määrin lain säännöksiä olisi mahdollista yksinkertaistaa varmistaen kuitenkin samalla, että sääntely on riittävän tarkkarajaista. EU:n uusi tietosuojalainsäädäntö ei edellytä rekisteripohjaista sääntelyä, vaan sääntely voi olla käyttötarkoitusperusteista ja perustua lähtökohdiltaan viranomaisen toimivaltaan ja viranomaiselle säädettyihin tehtäviin.

Täsmällisyyden ja tarkkarajaisuuden osalta rekisteriperusteinen ja käyttötarkoitusperusteinen sääntely eivät tosiasiallisesti eroa merkittävästi toisistaan. Perustuslakivaliokunnan tulkintakäytännöstä ilmenevä henkilötietojen käsittelyä koskeviin säännöksiin liittyvät edellytykset arvioidaan mahdolliseksi toteuttaa sekä rekisteriperusteisella että käsittelytarkoituksiin perustuvalla sääntelyllä. Käsittelytarkoituksiin perustuva sääntely olisi kuitenkin luonteeltaan yksinkertaisempaa.

Käsittelytarkoituksiin perustuvan sääntelyn mahdollisena haittana voidaan pitää sitä, että lain säännökset jättäisivät lain soveltajan kannalta epäselväksi sen, mihin tietojärjestelmän osiin tai rekistereihin henkilötiedot olisi talletettava, mikä voisi lisätä virheiden riskiä. Uusi sääntely edellyttäisi rekisterinpitäjän antamaa ohjeistusta ja koulutusta, jota toisaalta tarvittaisiin lainsäädännön uudistuksen yhteydessä valitusta sääntelyratkaisusta riippumatta.

Poliisin henkilötietolain kokonaisuudistuksessa ehdotetaan siirtymistä rekisteriperusteisesta sääntelystä käsittelytarkoituksiin perustuvaan sääntelyyn. Koska Rajavartiolaitos käsittelee osin samantyyppisiä tietoja kuin poliisi ja osa Rajavartiolaitoksen henkilötietojen käsittelystä toteutetaan teknisesti poliisin ylläpitämissä järjestelmissä, Rajavartiolaitoksen henkilötietolaissa on perusteltua omaksua sama lakitekninen sääntelyratkaisu.

3.2.3 Yleiset tiedonsaantisäännökset

Voimassa oleva Rajavartiolaitoksen henkilötietolaki sisältää säännökset Rajavartiolaitoksen yleisestä tiedonsaantioikeudesta viranomaisilta ja julkista tehtävää hoitamaan asetetulta yhteisöltä ja henkilöltä (17 §) sekä yksityiseltä yhteisöltä tai henkilöltä (18 §). Säännökset ovat olleet Rajavartiolaitoksen henkilötietolaissa lain säätämisestä lähtien. Vastaavat säännökset ovat poliisin osalta poliisilaissa (872/2011) ja Tullin osalta rikostorjunnasta Tullissa annetussa laissa (623/2015). Puolustusvoimien henkilötietolainsäädännön uudistamisen yhteydessä ehdotetaan kyseisenlaista säännöstä puolustusvoimista annettuun lakiin (HE 13/2018 vp).

Valmistelun yhteydessä on arvioitu Rajavartiolaitoksen yleisten tiedonsaantisäännösten siirtämistä rajavartiolakiin. Vaihtoehdon etuna voidaan pitää yhdenmukaisuutta muiden viranomaisten vastaavien säännösten kanssa. Eräillä muilla hallinnonaloilla on katsottu, että kyseiset tiedonsaantisäännökset ovat lähempänä toimivaltuussääntelyä, jolloin niiden luonteva paikka lainsäädännössä on viranomaisen toimivaltuuksia koskeva laki. Rajavartiolaitoksen hallinnonalan lainsäädännössä kyseisten tiedonsaantioikeuksien on kuitenkin katsottu liittyvän läheisemmin henkilötietojen käsittelyyn, vaikka säännösten perusteella voidaankin pyytää myös muita kuin henkilötietoja. Sääntelytapa on katsottu perustelluksi myös siitä syystä, että henkilötietolainsäädäntö sisältää vastaavankaltaisia tiedonsaantioikeuksia sekä viranomaisilta että yksityisiltä tahoilta.

Valmistelun yhteydessä on arvioitu, että kumpikin lakitekninen ratkaisu on oikeudellisesti mahdollinen ja perusteltu. Koska kyseiset säännökset ovat vakiintuneesti olleet Rajavartiolaitoksen henkilötietolaissa ja koska ehdotettavassa uudessa laissa säännökset kytkettäisiin entistä tiiviimmin muihin henkilötietojen käsittelysäännöksiin, säännösten siirtämistä rajavartiolakiin ei pidetä tarkoituksenmukaisena.

Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Rajavartiolaitoksessa, joka korvaisi voimassa olevan Rajavartiolaitoksen henkilötietolain. Lain rakennetta ja sisältöä uudistettaisiin eduskunnan edellyttämällä tavalla sekä otettaisiin huomioon Euroopan unionin uusi tietosuojalainsäädäntö. Lain soveltamisala muuttuisi voimassa olevaan lakiin verrattuna siten, että se koskisi ainoastaan henkilötietojen käsittelyä Rajavartiolaitokselle nimenomaisesti säädettyjen tehtävien hoitamiseksi. Rajavartiolaitoksen hallintoon liittyvään henkilötietojen käsittelyyn sovellettaisiin suoraan tietosuoja-asetusta ja tietosuojalakia.

Esityksessä ehdotetaan tarkistuksia myös meripelastusrekisteriä koskevaan sääntelyyn sekä eräisiin muihin henkilötietojen käsittelyä Rajavartiolaitoksessa koskeviin lakeihin.

3.3.1 Käsittelytarkoituksiin perustuva sääntely

Voimassa olevan Rajavartiolaitoksen henkilötietolain rekisterikohtainen sääntely ehdotetaan korvattavaksi henkilötietojen käsittelytarkoituksia koskevalla sääntelyllä. Tietosuoja-asetus edellyttää täydentävää kansallista lainsäädäntöä silloin, kun henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteeseen tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Vastaavasti tietosuojadirektiivi edellyttää, että jäsenvaltion lainsäädännössä on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. EU:n tietosuojalainsäädännöstä ei kuitenkaan seuraa rajoitteita sen suhteen, valitaanko kansalliseen lainsäädäntöön rekisteripohjainen vai käsittelytarkoituksiin perustuva sääntely.

Rajavartiolaitoksen henkilötietolain rakenteen, selkeyden ja jatkuvien muutostarpeiden välttämiseksi yksityiskohtaiset luettelot käsiteltävistä henkilötiedoista korvattaisiin täsmällisellä sääntelyllä henkilötietojen rekisteröinnin tavoitteesta ja henkilötietojen käsittelyn tarkoituksista. Käsiteltävistä henkilön perustiedoista ja henkilöryhmistä säädettäisiin kuitenkin edelleen yksityiskohtaisemmin. Henkilön perustietojen käsittelystä säädettäisiin voimassa olevasta laista poiketen yhdessä pykälässä (4 §), joka koskisi kaikkia lain soveltamisalaan kuuluvia henkilötietojen alkuperäisiä käsittelytarkoituksia.

Meripelastustoimen osalta säilytettäisiin edelleen meripelastusrekisteriä koskeva rekisterikohtainen sääntely. Tämä on valmistelun aikana katsottu perustelluksi sen vuoksi, että meripelastusrekisteri on selkeä oma kokonaisuutensa, josta säädetään omassa erityislaissaan.

Ehdotetuissa säännöksissä on pyritty välttämään tarpeetonta päällekkäisyyttä yleisesti sovellettavan tietosuojalainsäädännön kanssa sekä tarpeetonta yksityiskohtaisuutta. Eräiltä osin on kuitenkin katsottu tarpeelliseksi tarkentaa henkilötietojen käsittelyyn liittyviä yleissäännöksiä. EU:n tietosuojalainsäädäntö edellyttää esimerkiksi erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyltä tarkentavaa lainsäädäntöä.

3.3.2 Rekisterinpidon keskittäminen Rajavartiolaitoksen esikunnalle

Voimassa olevan Rajavartiolaitoksen henkilötietolain mukaan rekisterinpitäjänä toimii joko Rajavartiolaitoksen esikunta tai Rajavartiolaitoksen hallintoyksikkö. Esityksessä ehdotetaan, että vastedes lain soveltamisalaan kuuluvien henkilötietojen rekisterinpitäjä olisi Rajavartiolaitoksen esikunta. Koska uusi laki perustuisi rekisterikohtaisen sääntelyn sijaan henkilötietojen käsittelytarkoituksiin, ei ole perusteltua, että samassa käsittelytarkoituksessa käsiteltävien henkilötietojen rekisterinpidossa olisi alueellisia eroja. Rekisterinpitäjän velvoitteiden keskittäminen Rajavartiolaitoksen esikuntaan siten oletettavasti parantaisi tietosuojan tasoa Rajavartiolaitoksessa.

Tältä osin on huomattava, että ehdotetun lain soveltamisala kattaa ainoastaan Rajavartiolaitokselle rajavartiolain 3 §:ssä säädetyt tehtävät. Siten esimerkiksi henkilöstöhallintoon ja yleishallintoon kuuluvien henkilötietojen rekisterinpitäjyys ratkaistaisiin tapauskohtaisesti soveltaen yleistä tietosuoja-asetusta.

3.3.3 Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi

Voimassa olevan Rajavartiolaitoksen henkilötietolain 11 §, jossa säädetään rikoksesta epäiltyjen Rajavartiolaitoksen rekisteristä, ehdotetaan korvattavaksi rikosten ennalta estämiseen ja paljastamiseen liittyvää henkilötietojen käsittelyä koskevalla käyttötarkoitussidonnaisella säännöksellä. Ehdotetun säännöksen muotoilu vastaisi poliisin henkilötietolakiin ehdotettavaa säännöstä ja siinä on kiinnitetty huomiota hallintovaliokunnan poliisin epäiltyjen tietojärjestelmää koskeviin huomautuksiin (HaVL 40/2014 vp ja HaVM 16/2014 vp). Tavoitteena on yhdenmukaistaa henkilötietojen käsittelyä rikosten ennalta estämiseksi ja paljastamiseksi.

Säännöksessä lueteltaisiin henkilöryhmät, joita koskevia tietoja saisi käsitellä. Kyseeseen tulisivat henkilöt, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, jotka ovat yhteydessä tällaiseen henkilöön tai jotka ovat Rajavartiolaitoksen rikostorjuntalaissa tarkoitetun tarkkailun kohteena. Kun kyse olisi rikoksen todistajista, uhreista tai asianomistajina esiintyvistä sekä rikoksen tai muun havainnon ilmoittajista, käsittely olisi mahdollista vain, jos se on rikosten ennalta estämiseksi tai paljastamiseksi välttämätöntä.

Voimassa olevan lain tavoin ehdotetaan myös säädettäväksi, että Rajavartiolaitoksella olisi oikeus tallettaa rajavartiomiesten havaitsemia tai Rajavartiolaitokselle ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi perustellusti arvioida liittyvän rikolliseen toimintaan (havaintotiedot). Havaintotietoja koskeva sääntely vastaisi kaikilta osin voimassa olevaa lakia.

Rekisteröidyllä ei ole nykyisen lain mukaan tarkastusoikeutta rikoksesta epäiltyjen Rajavartiolaitoksen rekisterin tietoihin ja havaintotietoihin. Tietosuojavaltuutettu voi kuitenkin rekisteröidyn pyynnöstä tarkastaa rekisteröityä koskevien tietojen lainmukaisuuden. Esityksen mukaan rekisteröidyllä olisi vastedes osittain suora tarkastusoikeus rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviin henkilötietoihin. Osittain rekisteröidyn tarkastusoikeus säilyisi välillisenä.

3.3.4 Tiedonluovutusta koskeva sääntely

Esityksessä karsittaisiin mahdollisuuksien mukaan niin sanottua kaksinkertaista tiedonluovutussääntelyä. Lähtökohtana on, saman tiedon luovuttamisesta ei ole tarpeen säätää sekä tietoja luovuttavan että tietoja vastaanottavan tahon laeissa. Pääsääntönä olisi, että henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona säädettäisiin ainoastaan luovuttavan tahon laissa. Oikeuteen luovuttaa ja saada yksittäisiä henkilötietoja sovellettaisiin sen sijaan muita säännöksiä, kuten Rajavartiolaitoksen hallintolain 17 a §:ää ja muiden viranomaisten tiedonsaantioikeussäännöksiä.

Rajavartiolaitoksen henkilötietolailla täydennettäisiin EU:n tietosuojalainsäädäntöä ja sen yleisesti sovellettavaa täytäntöönpanolainsäädäntöä. Suorat taloudelliset vaikutukset aiheutuisivat niistä tietosuoja-asetuksen ja tietosuojadirektiivin vaatimuksista, jotka on pakko toteuttaa, sekä eräistä Rajavartiolaitoksen henkilötietolakiin ehdotettavista uusista käsittelytarkoituksista ja henkilötietojen poistosäännösten muutoksista. Välillisinä taloudellisina vaikutuksina voidaan pitää tarpeita kehittää valvontaa ja tietojärjestelmiä muiltakin osin siten, että tietosuojan ja tietoturvallisuuden taso paranee.

Esityksen aiheuttamat lisämenot voidaan kattaa nykyisten valtiontalouden kehysten ja hyväksytyn valtion talousarvion puitteissa tarvittaessa määrärahoja uudelleen kohdentamalla. Tarkemmat kustannusvaikutukset on kuvattu jäljempänä.

4.1.1 Hallinnolliset velvoitteet

Tietosuoja-asetus ja rikosasioiden tietosuojalaki sisältävät monia uusia velvoitteita rekisterinpitäjille. Taloudellisten vaikutusten näkökulmasta keskeisimpinä hallinnollisina velvoitteina voidaan mainita tietosuojavastaavan nimeäminen ja henkilöstön koulutus. Muilla rekisterinpitäjän velvollisuuksilla, kuten ilmoittamis-, dokumentointi- ja selosteenlaatimisvelvollisuuksilla ei arvioida olevan välittömiä taloudellisia vaikutuksia.

Rajavartiolaitokseen nimetyn uuden tietosuojavastaavan vuosikustannukset ovat vuonna 2018 noin 50 000 euroa ja vuodesta 2019 alkaen noin 80 000 euroa vuodessa. Henkilöstön koulutuskustannukset ovat puolestaan noin 30 000 euroa. Koulutus sisältää kaikille pakollisen yleisen osion sekä henkilötietoja työssään säännöllisesti käsitteleville tarkoitetun syventävän osion.

Esityksen 1. lakiehdotuksen mukainen uudenlainen sääntely merkitsisi muutoksia myös kansallisena valvontaviranomaisena toimivan tietosuojavaltuutetun toimintaan. Ehdotetun lainsäädännön tehokkaan valvomisen arvioidaan aiheuttavan tietosuojavaltuutetulle noin 0,5 henkilötyövuoden lisäresurssitarpeen.

4.1.2 EU:n tietosuojauudistuksesta aiheutuvat tietojärjestelmävaikutukset

EU:n tietosuojalainsäädännöllä on suoria ja välillisiä vaikutuksia kansallisiin tietojärjestelmiin. Rajavartiolaitoksen toiminnallinen tietojärjestelmä on laajin Rajavartiolaitoksen vastuulla oleva valtakunnallisessa käytössä oleva tietojärjestelmä. Järjestelmässä käsitellään ainoastaan tietosuoja-asetuksen soveltamisalaan kuuluvia henkilötietoja, esimerkiksi rajavalvontaan ja Rajavartiolaitokselle säädettyihin muihin valvontatehtäviin liittyviä henkilötietoja. Tietojärjestelmä on toteutettu siten, että se täyttää pitkälti jo nykyisellään tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa sekä käsittelyn turvallisuutta koskevat vaatimukset. Kustannusvaikutuksia saattaa kuitenkin syntyä, mikäli valtionhallinnon yhteisten tietoturvaohjeita ja -vaatimusten päivittämisestä tai käsittelyn turvallisuuteen liittyvien uhka-arvioiden muuttumisesta seuraa muutostarpeita. Tietosuoja-asetuksen 35 artiklassa edellytetyt vaikutustenarvioinnit saattavat lisäksi aiheuttaa kustannuksia, mikäli ne johtavat tietojärjestelmien suojaustoimien kehittämiseen.

Rikosten ennalta estämiseen, paljastamiseen, selvittämiseen ja syyteharkintaan saattamiseen liittyvä Rajavartiolaitoksen henkilötietojen käsittely toteutettaisiin nykyiseen tapaan pääosin poliisin ylläpitämissä tietojärjestelmissä. Poliisin tietojärjestelmissä olevat Rajavartiolaitoksen henkilörekisterit olisivat teknisesti täysin poliisin rekistereitä vastaavia. Kyseisten tietojärjestelmien vaatimustenmukaisuudesta ja siihen liittyvistä kustannuksista vastaa poliisi. Tietojärjestelmävaikutukset on näiltä osin esitetty poliisin henkilötietolainsäädännön uudistamista koskevassa hallituksen esityksessä.

Sotilasoikeudenhoitoon liittyvä henkilötietojen käsittely on tällä hetkellä pääosin manuaalista. Lähivuosina myös näiden henkilötietojen käsittely muuttuu ensisijaisesti sähköiseksi. Tietojärjestelmä toteutetaan osana poliisin tietojärjestelmäuudistusta (Vitja) yhteistyössä Puolustusvoimien kanssa siten, että työssä huomioidaan uuden tietosuojalainsäädännön vaatimukset. Uuteen järjestelmään liittyvät kustannukset eivät johdu suoraan tästä esityksestä, joten niitä ei ole tässä yhteydessä tarpeen selostaa tarkemmin.

Meripelastustoimeen liittyviä henkilötietoja käsitellään tällä hetkellä teknisesti Rajavartiolaitoksen toiminnallisen tietojärjestelmän erillisessä meripelastussovelluksessa. Meripelastustoimen tietojärjestelmää ollaan parhaillaan uudistamassa kokonaisuudessaan, ja muutostyössä otetaan huomioon uuden tietosuojalainsäädännön vaatimukset. Järjestelmäuudistus ei kuitenkaan liity nyt käsillä olevaan esitykseen, ja hankkeen rahoitus on järjestetty erikseen.

Tämänhetkisen arvion mukaan tietosuojalainsäädännön uudistuksella on todennäköisesti vaikutuksia myös kaikkiin muihin Rajavartiolaitoksen vastuulla oleviin järjestelmiin tai teknisiin sovelluksiin tai vähintään järjestelmien tai sovellusten ja niiden sisältämien rekistereiden hallintaan liittyviin toimintatapoihin ja ohjeistuksiin. Näissä järjestelmissä tai sovelluksissa voidaan käsitellä sekä tietosuoja-asetuksen että tietosuojadirektiivin soveltamisalaan kuuluvia henkilötietoja.

Suoria ja välillisiä kustannusvaikutuksia järjestelmiin tai sovelluksiin on erityisesti tietosuojadirektiivin vaatimuksilla, jotka koskevat henkilöryhmien erottamista toisistaan, henkilökohtaiseen arvioon perustuvien henkilötietojen pitämistä mahdollisuuksien mukaan erillään varmoista henkilötiedoista, henkilötietojen käyttörajoitusmerkintöjä (muun viranomaisen tai toisen jäsenvaltion viranomaisen pyynnöstä), lokitietoja ja tietoturvallisuutta koskevia tarkennettuja vaatimuksia.

EU:n tietosuojalainsäädännöstä johtuvien tietojärjestelmämuutosten kustannukset ovat vuonna 2018 noin 250 000 euroa ja vuonna 2019 noin 250 000 euroa.

4.1.3 Kansallisesta sääntelystä johtuvat tietojärjestelmävaikutukset

Rajavartiolaitoksen henkilötietolakiin ehdottavista muutoksista suoria tietojärjestelmävaikutuksia olisi erityisesti rikosten ennalta estämiseksi ja paljastamiseksi tapahtuvalla henkilötietojen käsittelyllä. Ehdotetut säännökset laajentaisivat henkilötietojen käsittelyn alaa nykyiseen rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriin verrattuna. Lisäksi eräisiin poistosäännöksiin ehdotettavilla muutoksilla olisi tietojärjestelmävaikutuksia. Kuten edellä on todettu, henkilötietojen käsittely rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi toteutetaan pääosin poliisin ylläpitämissä tietojärjestelmissä. Näiltä osin tietojärjestelmiin kohdistuvia taloudellisia vaikutuksia on käsitelty poliisin henkilötietolainsäädännön uudistamista koskevassa hallituksen esityksessä.

Rajavartiolaitoksen ylläpitämissä sovelluksissa ja tietojärjestelmissä, kuten Rajavartiolaitoksen toiminnallisessa tietojärjestelmässä käsiteltävien henkilötietojen poistosäännöksiin ehdotettavat muutokset ovat melko vähäisiä, minkä vuoksi niistä ei aiheudu merkittäviä tietojärjestelmävaikutuksia tai kustannuksia. Nämä muutokset voidaan toteuttaa julkisen talouden suunnitelman ja hyväksytyn valtion talousarvion puitteissa.

4.1.4 Yritysvaikutukset

Esityksellä ei arvioida olevan merkittäviä yritysvaikutuksia. Siltä osin kuin on kyse Rajavartiolaitoksen tiedonsaantioikeudesta kotimaisilta yrityksiltä, esityksessä ehdotettavat säännökset vastaavat pääosin voimassa olevaa sääntelyä. Esityksen 1. lakiehdotuksen 19 §:ään ehdotetaan uutena säännöksenä mahdollisuutta asettaa yksityiselle taholle uhkasakko, jos se ei toimittaisi Rajavartiolaitoksen tutkittavan rikoksen estämiseksi tai selvittämiseksi tarpeellisia tietoja Rajavartiolaitoksen asettamassa kohtuullisessa ajassa. Kyseessä olisi viimesijainen keino, jolla pyrittäisiin ehkäisemään mahdollista niskoittelua. Ensisijaisesti tietojen toimittamistavasta ja -ajasta sovittaisiin nykyiseen tapaan yhteisymmärryksessä.

Tiedonhankintaan kolmansissa maissa olevilta yksityisiltä tahoilta sovelletaan rikosasioiden tietosuojalakia.

Tietosuoja-asetuksesta ja tietosuojadirektiivistä seuraavat uudenlaiset rekisterinpitäjän velvoitteet esimerkiksi rekisteröityjen oikeuksien toteuttamisessa ja nykyistä tiukemmat edellytykset tietojen luovuttamisessa kolmansille maille aiheuttavat hallinnollista taakkaa etenkin sääntelyn soveltamisen alkuvaiheessa. Hallinnollinen taakka konkretisoituu esimerkiksi henkilötietojen käsittelyyn liittyvien selosteiden laatimisena ja päivittämisenä sekä henkilötietojen käsittelyä koskevan ohjeistuksen laatimisena. Lisäksi tietosuojavastaavan nimeäminen ja tietosuoja-asioiden käsittelyn muu organisointi Rajavartiolaitoksessa edellyttävät hallinnollista työtä.

Toisaalta 1. lakiehdotuksen yhtenä tavoitteena on helpottaa Rajavartiolaitoksen rajat ylittävää yhteistyötä EU:n jäsenvaltioiden lainvalvontaviranomaisten kanssa. Se, että nämä rinnastuvat uuden tietosuojalainsäädännön mukaisesti lakiehdotuksessa suomalaisiin rekisterinpitäjiin, voi tarkoittaa aiempaa tehokkaampaa henkilötietojen vaihtoa.

Rekisterinpitäjän on uusien EU:n tietosuojasäännösten mukaisesti nimenomaisesti osoitettava, että se noudattaa henkilötietojen käsittelyä koskevaa sääntelyä. Rekisterinpitäjällä on uuden sääntelyn mukaan myös aiempaa yksityiskohtaisemmat kirjaamisvelvoitteet henkilötietojen käsittelystä, mukaan lukien tiedot siitä, minkä tyyppisiä henkilötietoja on luovutettu ja mille tahoille. Rekisterinpitäjän on laadittava tietosuojavaikutusten arviointi uusista henkilötietojen käsittelytoimenpiteistä, mitä ei nimenomaisena velvollisuutena sisälly voimassa olevaan sääntelyyn. Uudet säännökset asettavat lisäksi voimassa olevan sääntelyn tavoin velvollisuuden kuulla tietosuojavaltuutettua eräissä tilanteissa, mutta myös nämä säännökset ovat aiempaa yksityiskohtaisemmat. Sen lisäksi, että tietoturvaloukkauksesta olisi informoitava rekisteröityä, rekisterinpitäjällä on myös näistä tilanteista ilmoittamisvelvollisuus tietosuojavaltuutetulle.

Kansallisen sääntelytavan muutos, erityisesti yksinkertaistettu sääntely ja rekisteriperusteisen sääntelyn korvaaminen käsittelytarkoituksiin perustuvalla sääntelyllä aiheuttaisivat myös hallinnollista taakkaa sekä rekisterinpitäjälle että lakia soveltaville virkamiehille. Tämä konkretisoituisi esimerkiksi tarpeena päivittää rekisteröityjen informointiin käytettävät asiakirjat. Lisäksi olisi uusittava kaikki ne päätökset, joilla toiselle viranomaiselle on annettu tekninen käyttöyhteys Rajavartiolaitoksen henkilötietoihin. Sääntelytavan muutos ei kuitenkaan aiheuttaisi välittömiä muutoksia siihen, mihin järjestelmään tai tekniseen sovellukseen henkilötietoja talletetaan.

Aiempaa yksityiskohtaisemmat ja tiukemmat henkilötietojen käsittelyä koskevat yleiset vaatimukset, EU:n tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalojen erot ja muutokset kansallisessa Rajavartiolaitoksen henkilötietojen käsittelyä koskevassa sääntelyssä, kuten siirtyminen käsittelytarkoituksiin perustuvaan sääntelyyn, aiheuttaisivat väistämättä uudenlaista ohjeistusta ja koulutustarpeita. Kansalliset sääntelyratkaisut ja tietosuojasääntelyn kokonaisvaltainen uudistus tarkoittaisivat käytännössä koko henkilöstön perehdyttämistä uuteen sääntelyyn.

Rekisterinpitäjän ja Rajavartiolaitoksen sisäistä laillisuusvalvontaa harjoittavien olisi myös seurattava vaatimusten noudattamista, mistä aiheutuisi hallinnollista taakkaa. Sisäisestä laillisuusvalvonnasta Rajavartiolaitoksessa annetun määräyksen (RVLPAK A.22) mukaan laillisuusvalvonnassa tulee kiinnittää erityistä huomiota muun muassa henkilörekisterien käyttöön ja henkilörekisteröinnin toteuttamiseen.

Määräyksen mukaan hallintoyksikön päällikkö ja hänen alaisensa esimiehet vastaavat alaistensa virkamiesten päivittäisestä valvonnasta kiinnittäen erityisesti huomiota siihen, että henkilörekisterien käyttö liittyy virkatoimiin ja että niitä käytetään ainoastaan hyväksyttyihin käyttötarkoituksiin. Hallintoyksikön päällikkö vastaa siitä, että rekisterien käyttöön liittyvät käyttöoikeudet ovat ajan tasalla ja että niiden laajuus vastaa virkatehtävän edellyttämiä tarpeita. Esimiesten on viipymättä puututtava havaittuihin virheisiin, laiminlyönteihin, väärinkäytöksiin tai muihin epäkohtiin henkilötietojen käsittelyssä ja henkilörekisterien käytössä. Hallintoyksikön päällikkö vastaa siitä, ettei hallintoyksikössä pidetä henkilörekistereitä, joiden käyttötarkoitus tai sisältö ei ole tietosuojalainsäädännön mukainen.

Rajavartiolaitoksen esikunnan osastot ja yksiköt toimivat Rajavartiolaitoksen tietosuojavastaavan tukena oman toimialansa osalta huolehtien tarpeellisesta valvonnasta toimialallaan sekä tietojärjestelmien käytön ohjauksesta ja valvonnasta. Muissa hallintoyksiköissä nimetyt tietosuojan vastuuhenkilöt toimivat tietosuojaorganisaatiossa muiden tehtäviensä ohella ohjaten ja valvoen henkilötietojen käsittelyä hallintoyksikössä.

Rekisterien käyttöä voidaan valvoa myös lokitietojen avulla pistokokein tai yksittäiseen henkilöön tai asiaan liittyen. Mikäli rekisterien väärinkäytöksiä tai tietosuojaloukkauksia havaitaan, tieto tulee välittää hallintoyksikön tietosuojaorganisaatiolle ja sieltä edelleen viraston tietosuojavastaavalle. Tietosuojavastaava huolehtii asian vaatimista jatkotoimenpiteistä ja ilmoittamisesta valvontaviranomaiselle. Tietosuojavastaava huolehtii myös tiedon välittämisestä Rajavartiolaitoksen esikunnan oikeudellisen osaston laillisuusvalvontaa hoitavalle virkamiehelle.

Kansallisena valvontaviranomaisena toimivan tietosuojavaltuutetun on tietosuoja-asetuksen ja tietosuojalain sekä rikosasioiden tietosuojalain perusteella muun muassa tarkastettava käsittelyn lainmukaisuus, kun rekisteröidyn tarkastusoikeutta on rajoitettu, sekä tehtävä tutkimuksia, todentamisia ja tarkastuksia. Nämä velvollisuudet konkretisoituisivat lakiehdotusten soveltamisen myötä. Erityisesti esitetyt 1. lakiehdotuksen sääntelytekniikan muutokset kuten käsittelytarkoituksiin perustuva henkilötietojen käsittely ja muutokset henkilötietojen käsittelyssä rikosten ennalta estämiseksi ja paljastamiseksi tulisivat lain voimaantulon jälkeen edellyttämään edellä mainittuja valvontatoimenpiteitä. Myös 6 ja 8 §:ssä ehdotettu henkilötietojen käsittely niiden merkityksellisyyden arvioimiseksi lisäisi valvonnan ja ohjauksen tarvetta. Uudenlaisen lainsäädännön tehokkaan valvomisen arvioidaan aiheuttavan tietosuojavaltuutetulle noin 0,5 henkilötyövuoden lisäresurssitarpeen.

Rajavartiolaitoksen henkilötietolain säännösten yksinkertaistaminen edistäisi rekisteröidyn oikeusturvaa ja korjaisi osaltaan henkilötietojen käsittelyä koskevan sääntelyn epäselvyyttä, raskautta ja monimutkaisuutta perustuslakivaliokunnan edellyttämällä tavalla (esimerkiksi PeVL 31/2017 vp, PeVL 46/2016 vp, PeVL 71/2014 vp).

Esityksen arvioidaan varmistavan, että rekisteröidyn oikeudet varmistetaan Rajavartiolaitoksen toiminnassa aiempaa paremmin. Tähän vaikuttavat henkilötietojen käyttötarkoitussidonnaisuutta, erityisiin henkilötietoryhmiin kuuluvien tietojen korkeampaa käsittelykynnystä, rekisteröidyn informointivelvollisuutta ja suoraa tai välillistä tarkastusoikeutta koskevan sääntelyn lisäksi erityisesti rekisterinpidon valvontaa koskevat säännökset. Rekisterinpitäjän vastuun korostumisen voidaan arvioida parantavan henkilötietojen suojan tasoa ja helpottavan rekisteröidyn oikeuksien käyttöä. Rekisteröidyn oikeuksia turvaavat myös tietosuojaviranomaisten yhtenäiset ja laajat toimivaltuudet, jotka ovat osittain rajat ylittäviä valtuuksia, sekä EU:n tuomioistuimen toimivallan ulottuminen henkilötietojen käsittelyä koskevaan lainsäädäntöön.

Osana tietosuoja-asetuksen ja tietosuojadirektiivin täytäntöönpanoa 1. lakiehdotuksella on välillistä vaikutusta yhdenvertaisuuden toteutumiseen. Yhdenvertaisuuteen liittyvät aiempaa tarkemmat säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä. Lisäksi tietosuojadirektiivin 11 artiklassa säädetään niin sanotun etnisen profiloinnin kiellosta. Profilointi, jonka seurauksena luonnollisia henkilöitä syrjitään sellaisten henkilötietojen perusteella, jotka ovat luonteeltaan erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, olisi kiellettyä perusoikeussääntelyn mukaisesti. Esimerkiksi geneettisten tietojen käsittely ei saisi johtaa haavoittuvien ryhmien syrjintään yhteiskunnassa. Käytännössä säännökset vahvistavat ehdotonta syrjinnän kieltoa, joka on voimassa jo perusoikeussäännösten perusteella. Toisaalta säännöksellä ei kuitenkaan estettäisi Rajavartiolaitoksen suorittamaa rikollisesta toiminnasta epäiltyjen henkilöiden profilointia, vaan varmistettaisiin, että profilointi ei saa johtaa syrjintään.

Sekä tietosuoja-asetus että tietosuojadirektiivi asettavat rekisterinpitäjälle velvollisuuden informoida rekisteröityjä näiden oikeuksista selvällä kielellä huomioiden erityisesti haavoittuvat ryhmät kuten lapset. Tämä velvollisuus konkretisoituisi 1. lakiehdotusta sovellettaessa. Suomen lainsäädännön mukaisesti kyse olisi lähtökohtaisesti kaikista alle 18-vuotiaista henkilöistä. Rekisterinpitäjää koskevat velvollisuudet koskisivat myös Rajavartiolaitosta esimerkiksi silloin, kun rekisteröity on alaikäinen rikoksen uhri, rikolliseen tekoon syyllistynyt henkilö tai luvanhakija.

Esityksen 1. lakiehdotuksen 40 §:ssä, joka koskee rikosasiaan liittyvien henkilötietojen poistamista, on huomioitu alaikäiset rikolliseen tekoon syyllistyneet henkilöt voimassa olevan lain tavoin. Alaikäisen henkilön tietoja ei saisi säilyttää yhtä pitkään kuin täysi-ikäisten henkilötietoja. Tällä pyritään rajoittamaan rikokseen liittyvän henkilötietojen käsittelyn aiheuttamia lapsen elämään kohdistuvia kielteisiä vaikutuksia ja ottamaan huomioon lapsen edun periaate.

Hallituksen esitys on valmisteltu sisäministeriön rajavartio-osastolla virkatyönä. Valmistelun aikana on tehty tiivistä yhteistyötä sisäministeriön poliisiosaston ja maahanmuutto-osaston, puolustusministeriön, valtiovarainministeriön ja oikeusministeriön kanssa. Esitys on mahdollisuuksien mukaan sovitettu yhteen mainittujen hallinnonalojen vastaavien lainsäädäntöhankkeiden kanssa.

Hallituksen esityksestä pyydettiin lausunnot 48 viranomaiselta, organisaatiolta ja järjestöltä.

Lausunnon antoivat sisäministeriö, liikenne- ja viestintäministeriö, maa- ja metsätalousministeriö, oikeusministeriö, puolustusministeriö, sosiaali- ja terveysministeriö, ulkoministeriö, valtioneuvoston kanslia, valtiovarainministeriö, ympäristöministeriö, oikeuskanslerinvirasto, Hätäkeskuslaitos, Ilmatieteen laitos, keskusrikospoliisi, Liikennevirasto, Liikenteen turvallisuusvirasto Trafi, Oikeusrekisterikeskus, Poliisihallitus, Kainuun rajavartiosto, Lapin rajavartiosto, Länsi-Suomen merivartiosto, Raja- ja merivartiokoulu, Rikosseuraamuslaitos, tietosuojavaltuutetun toimisto, Tulli, Viestintävirasto, Väestörekisterikeskus, Air Navigation Services Finland Oy, Elinkeinoelämän keskusliitto, Julkisten ja hyvinvointialojen liitto, Päällystöliitto, Rajaturvallisuusunioni, Suomen asianajajaliitto, Suomen Kuntaliitto ja Suomen matkatoimistoalan liitto. Lausuntotiivistelmä on luettavissa valtioneuvoston hankesivuilla (SM057:00/2016).

Lausunnonantajat pitivät kannatettavina esityksen tavoitteita saattaa Rajavartiolaitosta koskeva henkilötietolainsäädäntö ajan tasalle, selkeyttää sääntelyä ja luopua tarpeettomasta kaksinkertaisesta sääntelystä.

Erityisesti oikeusministeriö ja tietosuojavaltuutettu katsoivat, että 1. lakiehdotuksessa tulisi selkeämmin tuoda esille, mikä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja mikä tietosuojadirektiivin soveltamisalaan. Myös sisäministeriön poliisiosasto ja Poliisihallitus kiinnittivät tässä tarkoituksessa huomiota rajaturvallisuuden ylläpitämisen käsitteeseen. Säännöksiä ja esityksen perusteluja on täsmennetty tältä osin.

Raja- ja merivartiokoulu ja Päällystöliitto katsoivat, että 1. lakiehdotusta tulisi soveltaa myös henkilöstöhallintoon ja yleishallintoon. Jatkovalmistelun aikana tämä todettiin kuitenkin epätarkoituksenmukaiseksi.

Käsittelytarkoitusperusteista sääntelyratkaisua puolsivat lausunnoissaan erityisesti sisäministeriön poliisiosasto ja maahanmuutto-osasto, valtiovarainministeriö, Poliisihallitus ja suojelupoliisi. Oikeusministeriön, tietosuojavaltuutetun ja oikeuskanslerin lausunnoissa korostettiin sitä, että sääntelytekniikan muutos ei saa johtaa tietosuojan tason oikeudelliseen tai tosiasialliseen heikentymiseen tai sääntelyn tarkkarajaisuuden ja täsmällisyyden heikkenemiseen.

Useissa lausunnoissa kiinnitettiin huomiota sääntelyn väljyyteen ja tulkinnanvaraisuuteen. Lausunnoissa nostettiin esiin tarve säännellä etenkin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä ehdotettua tarkemmin. Valmistelussa olisi myös huomioitava, voiko käsiteltäviin henkilötietoihin kuulua myös sellaisia arkaluonteisia henkilötietoja, jotka eivät kuulu EU:n tietosuojalainsäädännössä tarkoitettuihin erityisiin henkilötietoryhmiin. Oikeusministeriön lausunnon mukaan sääntelyn selkeys ja tarkkarajaisuus eivät kaikilta osin toteudu esityksessä. Oikeusministeriö ja tietosuojavaltuutettu nostivat lausunnoissaan esiin myös sen, että ehdotettu sääntelytapa edellyttää aiempaa tarkempaa ohjeistusta.

Oikeusministeriö kiinnitti huomiota myös liikkumavaran käyttöön, tavoitteeseen välttää yleislainsäädännön kanssa päällekkäistä sääntelyä, sääntelyn oikeasuhtaisuuteen sekä perusoikeuksien rajoitusten vaikutusten arviointiin. Myös oikeuskansleri katsoi, että esityksessä olisi tarpeen kuvata selkeämmin, miten esitys vastaa tietosuojadirektiivin ja tietosuoja-asetuksen vaatimuksia.

Jatkovalmistelussa on pyritty sovittamaan esitys yhteen tietosuojan yleislainsäädännön kanssa muun muassa poistamalla päällekkäistä sääntelyä. Lisäksi erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevia säännöksiä on tarkennettu sekä pykälätasolla että esityksen perusteluissa. Lisäksi säännösten perusteluja, ehdotusten suhdetta perustuslakiin ja vaikutusten arviointia on täsmennetty monilta osin.

Sisäministeriön poliisiosasto ja Poliisihallitus katsoivat, että nykyisin poliisin rekisterinpitoon talletettavien tietojen tulisi jatkossakin olla poliisin rekisterinpidossa. Tietojen sirpaloituminen eri rekistereihin vaikeuttaisi käytännön toimintaa ja saattaisi aiheuttaa muutoksia myös tietojärjestelmiin. Esityksen perusteluja on tältä osin tarkennettu.

Sisäministeriön poliisiosasto ja Poliisihallitus pitivät 1. lakiehdotukseen sisältyneitä tietojen merkityksellisyyden arviointia koskevia säännöksiä tärkeinä. Tietosuojavaltuutettu ja oikeuskansleri totesivat lausunnoissaan, että säännökset merkitsisivät huomattavaa laajennusta Rajavartiolaitoksen nykyiseen henkilötietojen käsittelyyn. Oikeusministeriö ja tietosuojavaltuutettu katsoivat, että Rajavartiolaitoksella ei ole toimivaltaa käsitellä ja rekisteröidä henkilötietoja ehdotetulla tavalla. Oikeusministeriön, tietosuojavaltuutetun ja oikeuskanslerin lausunnossa nostettiin esiin tarve arvioida jatkovalmistelussa säännöksen suhdetta tietosuojalainsäädännön, oikeuskäytännön ja perustuslakivaliokunnan tulkintakäytännön vaatimuksiin. Jatkovalmistelussa esityksen perusteluja on täsmennetty siten, että niistä käy selkeämmin ilmi ehdotetun säännöksen tarkoitus.

Lausunnoissa nostettiin esiin monia rikosten ennalta estämistä ja paljastamista koskevien ehdotusten puutteita ja kehitystarpeita. Ongelmallisena nähtiin muun muassa käsittelykynnyksiin ehdotetut muutokset, puutteet esitettyjen muutosten perusteluissa, säännösten yleisluontoisuus ja tulkinnanvaraisuus sekä se, ettei rikostiedustelun käsitettä ole määritelty lainsäädännössä eikä siihen liittyvistä toimivaltuuksista ole säädetty. Oikeuskanslerin mukaan sääntelyn tarkkarajaisuus ja täsmällisyys sekä tietojen käyttötarkoitussidonnaisuus näyttäisivät nykyiseen sääntelyyn nähden heikkenevän ongelmallisella tavalla. Tietosuojavaltuutetun lausunnon mukaan rikosten ennalta estämistä ja paljastamista varten tapahtuvan henkilötietojen käsittelyn tehokas valvonta saattaisi käytännössä olla lähes ylivoimaista, koska ehdotettu sääntely olisi väljää, tallentamiskynnys olisi matala ja jättäisi runsaasti tulkinnanvaraa lain soveltajille. Säännöksiä ja esityksen perusteluita on täsmennetty jatkovalmistelussa.

Oikeusministeriö piti eräitä tiedonvaihtosäännöksiä ongelmallisen väljinä. Ministeriön mukaan erityisen ongelmallisia ovat säännökset, joissa asetetaan velvollisuuksia yksityisille toimijoille. Elinkeinoelämän Keskusliitto katsoi, että yrityksille tulisi pääsääntöisesti korvata viranomaispyyntöjen käsittelystä ja tietojen toimittamisesta aiheutuvat kulut kustannuksia vastaavasti. Sääntelyn ei myöskään tulisi olla yksityisiä tahoja velvoittava, eikä ehdotettua uhkasakkoa voida pitää perusteltuna. Jatkovalmistelussa asiaa koskevia säännöksiä ja esityksen perusteluja on täsmennetty.

Oikeusministeriö ja tietosuojavaltuutettu korostivat, että henkilötietojen käsittelyä koskevalla sääntelyllä ei voida luoda uusia toimivaltuuksia. Oikeusministeriö katsoi, että raja henkilötietojen käsittelyä koskevan sääntelyn ja toimivaltuussääntelyn välillä on esityksessä jossain määrin hämärtynyt. Jatkovalmistelussa 1. lakiehdotuksen suhdetta toimivaltuussääntelyyn on tarkennettu esityksen perusteluissa.

Lausunnoissa esitettiin lisäksi huomioita muun muassa tietojen käsittelystä muihin kuin alkuperäiseen käsittelytarkoitukseen, viranomaisten välisen tiedonvaihdon sääntelystä, henkilötietojen poistamista koskevista säännösehdotuksista sekä tarkastusoikeuden rajoituksista. Lausunnoissa esitetyt näkökohdat ja muutosehdotukset on pyritty ottamaan huomioon esityksen jatkovalmistelussa.

Sisäministeriön poliisiosasto katsoi, että sotilasoikeudenhoidossa käsiteltävien henkilötietojen säilytysaikojen olisi tarkoituksenmukaista olla esitutkinnan osalta yhdenmukaisia poliisia koskevan sääntelyn kanssa. Muutosta ei voitu jatkovalmistelussa toteuttaa, koska ehdotetut säännökset liittyvät jo eduskunnan käsiteltävänä oleviin Puolustusvoimien henkilötietolain säännöksiin.

Keskusrikospoliisin ja Tullin lausuntojen perusteella esityksestä poistettiin ehdotus poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain muuttamisesta ja säännös Rajavartiolaitoksen oikeudesta saada ja käsitellä sisärajaliikenteen matkustaja- ja miehistötietoja PTR-yhteistyössä sisällytettiin 1. lakiehdotukseen.

Oikeusministeriön arvion mukaan yksinomaan käsittelytarkoituksiin perustuvan ja yksinkertaistetun sääntelyratkaisun aiheuttamaa hallinnollista taakkaa ei ollut vaikutusarvioinnissa tunnistettu kaikilta osin. Esitysluonnoksessa ei myöskään ollut arvioitu sen vaikutuksia tietosuojavaltuutettuun. Vaikutusten arviointia on jatkovalmistelussa täsmennetty näiltä osin. Tietosuojavaltuutetun lausunnon johdosta esityksessä on käsitelty myös henkilötietojen käsittelyn valvontaa Rajavartiolaitoksessa.

Liikenne- ja viestintäministeriö katsoi, että esityksessä tulisi arvioida myös sääntelyn vaikutuksia luottamuksellisen viestin salaisuuden suojaan. Tätä ei kuitenkaan pidetty tarkoituksenmukaisena, koska arvio on tehty luottamuksellisen viestin suojaan puuttuvien toimivaltuuksien säätämisen yhteydessä.

Sisäministeriö, valtiovarainministeriö, Poliisihallitus, keskusrikospoliisi, suojelupoliisi ja Tulli pitivät tärkeänä, että 1. lakiehdotus on yhdenmukainen erityisesti poliisin ja Tullin henkilötietolainsäädännön kanssa. Sisäministeriön maahanmuutto-osasto katsoi, että 1. lakiehdotuksen ja maahanmuuttohallinnon henkilötietolain soveltamisalojen suhde tulee myös selvittää. Jatkovalmistelussa on tehty tiivistä yhteistyötä eri hallinnonalojen henkilötietolainsäädäntöä koskevien esitysten yhteen sovittamiseksi.

Esityksellä ja erityisesti sen 1. lakiehdotuksella on yhteys useisiin eduskunnan käsiteltävänä oleviin tai käsiteltäväksi tuleviin tietosuojalainsäädäntöä koskeviin hallituksen esityksiin. Esitys sisältää viittauksia ehdotettuun lakiin henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (HE 31/2018 vp). Esityksen 1. lakiehdotus on myös keskeisiltä osiltaan lain rakenteen ja sisällön osalta yhteydessä poliisin henkilötietolain kokonaisuudistukseen. Viranomaisten välistä tiedonvaihtoa koskevat säännökset on pyritty sovittamaan yhteen myös henkilötietojen käsittelystä Puolustusvoimissa annettavan lain (HE 13/2018 vp) ja henkilötietojen käsittelystä Tullissa annettavan uuden lain kanssa (VM059:00/2016). Esityksellä on myös liityntä ehdotukseen uudeksi laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa (HE 224/2018 vp) sekä valtiovarainministeriön säädöshankkeeseen, jossa valmistellaan uutta lakia julkisen hallinnon tiedonhallinnasta (VM183:00/2017).

Kaikkiin edellä mainittuihin esityksiin sisältyvien lakiehdotusten osalta olisi varmistettava säädös- ja pykäläviittausten sekä tarvittavin osin terminologian yhteensovittaminen eduskuntakäsittelyn aikana. Lisäksi esityksiin sisältyy samojen lakien muuttamista koskevia lakiehdotuksia.

Eduskunnan käsiteltävänä on hallituksen esitys laeiksi rajavartiolain ja ulkomaalaislain muuttamisesta sekä eräiksi niihin liittyviksi laeiksi (HE 201/2017 vp), jossa ehdotetaan muutoksia Rajavartiolaitoksen henkilötietolain 19, 20 ja 20 a §:ään ja poliisilain 2 luvun 21 §:ään. Ehdotetut muutokset on otettu huomioon tässä esityksessä.

Eduskunta on hyväksynyt Liikenne- ja viestintäviraston perustamiseen (HE 61/2018 vp) liittyvät lait Rajavartiolaitoksen henkilötietolain 13 ja 28 §:n muuttamisesta sekä meripelastuslain muuttamisesta. Lakien voimaantulosta säädetään erikseen lailla. Hyväksytyt muutokset on otettu huomioon tässä esityksessä. Myös eduskunnan käsiteltävänä olevassa hallituksen esityksessä laiksi liikenteen palveluista annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi (HE 157/2018 vp) ehdotetaan muutettavaksi Rajavartiolaitoksen henkilötietolain 28 §:ää. Ehdotetut muutokset on otettu huomioon tässä esityksessä.

Eduskunnan käsiteltävänä on hallituksen esitys eduskunnalle laiksi lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa sekä eräiksi siihen liittyviksi laeiksi (HE 55/2018 vp). Tällä esityksellä on liityntä mainitun hallituksen esityksen 1. lakiehdotuksen 7 §:ään.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1 luku Yleiset säännökset

1 §. Soveltamisala. Lakia sovellettaisiin henkilötietojen käsittelyyn Rajavartiolaitokselle laissa säädettyjen tehtävien hoitamiseksi, jollei muualla laissa toisin säädetä. Lakia sovellettaisiin vain henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista ja muuhun henkilötietojen käsittelyyn, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Rajavartiolaitoksen tehtävistä säädetään rajavartiolain 3 §:ssä. Pykälän mukaan Rajavartiolaitoksen tehtävänä on rajaturvallisuuden ylläpitäminen. Rajavartiolaitos suorittaa myös erikseen säädettyjä valvontatehtäviä sekä toimenpiteitä rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi yhteistyössä muiden viranomaisten kanssa. Rajavartiolaitos suorittaa lisäksi poliisi- ja tullitehtäviä, etsintä-, pelastus- ja ensihoitotehtäviä sekä osallistuu sotilaalliseen maanpuolustukseen. Rajavartiolaitoksen tehtävistä meripelastustoimen alalla säädetään meripelastuslaissa.

Säännöksen soveltamisala poikkeaisi voimassa olevan lain 1 §:stä, jonka mukaan kaikkeen henkilötietojen käsittelyyn Rajavartiolaitoksessa sovelletaan erityislakina Rajavartiolaitoksen henkilötietolakia lukuun ottamatta eräitä henkilörekistereitä, joista nimenomaisesti säädetään muussa laissa. Lain soveltamisalan piiriin on siten kuulunut myös esimerkiksi henkilöstöhallinto ja muu yleishallinto. Tältä osin ei kuitenkaan enää katsota olevan tarvetta yleissääntelystä poikkeavalle sääntelylle. Ehdotettavaa uutta lakia sovellettaisiin siten henkilötietojen käsittelyyn ainoastaan Rajavartiolaitokselle nimenomaisesti säädetyissä tehtävissä. Esimerkiksi henkilöstöhallinnossa ja yleishallinnossa käsiteltäviin henkilötietoihin sovellettaisiin suoraan tietosuoja-asetusta, tietosuojalakia ja muuta mahdollista erityislainsäädäntöä, kuten yksityisyyden suojasta työelämässä annettua lakia (759/2004).

Mikäli Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi tarpeellisesta henkilötietojen käsittelystä säädetään muualla laissa Rajavartiolaitoksen henkilötietolaista poikkeavasti, sovellettaisiin muun lain säännöksiä tämän lain asemasta. Keskeisin tällainen laki on meripelastuslaki, jossa säädetään meripelastusrekisteristä sekä Rajavartiolaitoksen tiedonsaantioikeuksista meripelastustoimessa. Muuta Rajavartiolaitosta koskevaa henkilötietolainsäädäntöä on selostettu tarkemmin esityksen kohdassa 2.1.4. Rajavartiolaitoksen henkilötietolakia sovellettaisiin kuitenkin täydentävästi kaikkeen Rajavartiolaitoksen tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn siltä osin, kuin erityislainsäädäntöön ei sisälly Rajavartiolaitoksen henkilötietolaista poikkeavia säännöksiä.

Rajavartiolaitoksen henkilötietolaki on vakiintuneesti sisältänyt säännöksiä myös Rajavartiolaitoksen oikeudesta saada tietoa viranomaisilta sekä yksityisiltä yhteisöiltä ja henkilöiltä. Säännökset täydentävät muualla laissa olevia Rajavartiolaitoksen tiedonsaantisäännöksiä, ja ne koskevat myös muita tietoja kuin henkilötietoja. Pykälän 2 momentti sisältäisi asiaa koskevan täsmentävän säännöksen.

Rajavartiolaitoksen toimivaltuuksista hankkia tässä laissa tarkoitettuja henkilötietoja säädetään kuitenkin erikseen. Rajavartiolaitoksen toimivaltuuksista hankkia rikosten estämiseksi tarvittavaa tietoa säädetään rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018, jäljempänä Rajavartiolaitoksen rikostorjuntalaki). Toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään Rajavartiolaitoksen rikostorjuntalain lisäksi pakkokeinolaissa (806/2011) ja esitutkintalaissa (805/2011). Rajavartiolaitoksen toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun Rajavartiolaitoksen tehtäviä koskevaan erityislainsäädäntöön. Rajavartiolaitos saa lisäksi tehtäviensä yhteydessä henkilötietoja myös tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten tehdessään havaintoja lakisääteisen toiminnan yhteydessä ja sellaisen yleisessä tietoverkossa tapahtuvan valvonnan kautta, joka ei kohdistu tiettyyn henkilöön.

2 §. Suhde muuhun lainsäädäntöön. Pykälässä tarkennettaisiin, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin laissa tarkoitettuun henkilötietojen käsittelyyn. Valtaosaan Rajavartiolaitoksen henkilötietojen käsittelystä sovellettaisiin yleissäädöksenä tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. Osaan käsittelystä sovellettaisiin kuitenkin rikosasioiden tietosuojalakia, jolla on pantu täytäntöön tietosuojadirektiivi. Ehdotettu Rajavartiolaitoksen henkilötietolaki olisi mainittuja yleissäädöksiä täydentävä erityislaki. Rajavartiolaitoksen lakisääteisten tehtävien jakaantumista eri yleissäädösten soveltamisalaan käsitellään tarkemmin yleisperustelujen kohdassa 2.3.1.

Tietosuoja-asetuksen ja tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 5 ja pääosin 13 §:ssä säädetyt käsittelytarkoitukset. Mainittujen käsittelytarkoituksia ja käsiteltävien tietojen tyyppiä täsmentävien pykälien lisäksi lakiehdotukseen sisältyy myös muita tietosuoja-asetuksen 6 artiklassa tarkoitettuja erityisiä säännöksiä, joilla mukautettaisiin tietosuoja-asetuksen säännösten soveltamista. Nämä säännökset koskisivat henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, luovuttamista, säilytysaikaa, rekisteröidyn oikeuksien toteuttamista ja rajoituksia rekisteröidyn oikeuksiin.

Rikosasioiden tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 6, 8, 10 ja 11 §:ssä sekä osin 13 §:ssä säädetyt käsittelytarkoitukset.

Jos henkilötietoja käsitellään muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen (lakiehdotuksen 14 ja 15 §), sovellettava yleissäädös määräytyisi sen mukaisesti, mihin tarkoitukseen henkilötietoja on tarkoitus käsitellä.

Pykälän 2 momentti sisältäisi informatiivisen viittauksen viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999, jäljempänä julkisuuslaki). Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset tai julkis- tai yksityisoikeudelliset yhteisöt voivat luovuttaa viranomaisten tai yhteisöjen hallussa yleisen edun vuoksi toteutetun tehtävän suorittamiseksi olevien virallisten asiakirjojen sisältämiä henkilötietoja sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jota viranomaiseen tai yhteisöön sovelletaan, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja oikeus henkilötietojen suojaan. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään.

Pykälän 2 momentissa viitattaisiin myös Rajavartiolaitoksen hallintolakiin, jossa säädetään julkisuuslakia täydentävästi vaitiolovelvollisuudesta ja tietojen antamisesta vaitiolovelvollisuuden estämättä. Sääntelyä sovellettaisiin yksittäisten henkilötietojen luovuttamiseen. Ehdotettu Rajavartiolaitoksen henkilötietolaki sisältäisi säännökset henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona sekä tarvittavat yleislainsäädäntöä täydentävät säännökset henkilötietojen luovuttamisesta ulkomaille.

3 §. Määritelmät. Pykälä sisältäisi voimassa olevaa lakia vastaavasti määritelmät rajaturvallisuuden ylläpitämisestä ja Schengenin rajasäännöstöstä. Rajaturvallisuuden ylläpitämisen määritelmä poikkeaisi kuitenkin rajavartiolain vastaavasta määritelmästä niin, että siihen ei kuuluisi rikosten estämiseen tai yleisen järjestyksen ja turvallisuuden ylläpitämiseen liittyviä toimenpiteitä. Tämä on tarkoituksenmukaista henkilötietojen käsittelyn näkökulmasta, jotta voidaan selkeästi erottaa toisistaan tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalaan kuuluvat käsittelytarkoitukset.

Lakiin lisättäisiin määritelmät Schengenin tietojärjestelmän säädöspohjasta ja Europol-asetuksesta ehdotettavan 35 §:n vuoksi.

Tässä laissa tarkoitettujen määritelmien ohella sovellettaisiin tietosuoja-asetuksen ja rikosasioiden tietosuojalain määritelmiä.

2 luku Henkilötietojen käsittely

Lain 2 luvussa täsmennettäisiin ne käsittelytarkoitukset, joihin Rajavartiolaitos saisi käsitellä henkilötietoja tehtäviensä suorittamiseksi sekä kunkin käyttötarkoituksen osalta sallitut tietosisällöt. Käsiteltäviä tietosisältöjä koskevat säännökset eivät sisältäisi voimassa olevan Rajavartiolaitoksen henkilötietolain tapaan yksityiskohtaisia tietoluetteloita, vaan säännöksissä säädettäisiin käsiteltävistä tietoluokista. Tietoluokkien tarkempi sisältö määräytyisi käsittelytarkoituksen perusteella. Sääntelytekniikka olisi tältä osin nykyistä joustavampi. Käsittelytarkoituksia ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eivätkä säännökset mahdollistaisi tarkoituksen kannalta tarpeettomien henkilötietojen käsittelyä.

Voimassa olevan Rajavartiolaitoksen henkilötietolain 14 a §:n säännökset salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä sekä 15 §:n säännökset yksittäiseen tehtävään liittymättömien tietojen käsittelystä poistettaisiin sääntelytekniikan muutoksen myötä tarpeettomina. Mainituissa pykälissä tarkoitettuja tietoja saataisiin käsitellä ehdotetussa 2 luvussa, Rajavartiolaitoksen rikostorjuntalaissa ja pakkokeinolaissa säädettyjen käsittelyedellytysten täyttyessä. Voimassa olevan lain 4 §:n Rajavartiolaitoksen muita henkilörekistereitä koskeva sääntely poistettaisiin vastaavasti tarpeettomana.

Poikkeuksena yleispiirteisemmästä sääntelytekniikasta olisivat erityisiin henkilötietoryhmiin kuuluvat tiedot, joiden käsittelystä säädettäisiin muita henkilötietoja täsmällisemmin. Erityisiin henkilötietoryhmiin kuuluvat tietosuoja-asetuksen ja tietosuojadirektiivin mukaan henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys sekä luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut geneettiset tiedot ja biometriset tiedot tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot.

Tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. Asetuksen 9 artiklan 2 kohdassa luetellaan tyhjentävästi poikkeukset, joiden nojalla käsittely on kuitenkin sallittua. Rajavartiolaitoksen kannalta keskeisin näistä on 2 kohdan g kohta, jonka mukaan käsittely on sallittua, jos se on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Rikosasioiden tietosuojalain 11 §:n mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sallittua vain, jos se on välttämätöntä ja jos käsittelystä esimerkiksi säädetään laissa.

Erityisiin henkilötietoryhmiin kuuluvia tietoja käsitellään Rajavartiolaitoksessa sekä tietosuoja-asetuksen että tietosuojadirektiivin soveltamisalaan kuuluvissa Rajavartiolaitoksen tehtävissä. Tietoja saisi käsitellä vain, jos niiden käsittely on käsittelytarkoituksen kannalta välttämätöntä.

Ehdotettu 2 luku sisältäisi myös säännökset henkilötietojen käsittelystä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen (14 ja 15 §). Näillä säännöksillä korvattaisiin voimassa olevan lain 25 §:n säännökset tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen.

4 §. Henkilön perustietojen käsittely. Pykälä sisältäisi yksityiskohtaisen luettelon henkilön perustiedoista, joiden käsittely olisi tarvittavin osin sallittua 5, 6, 8, 10, 11 ja 13 §:ssä säädettyihin tarkoituksiin. Perustietojen luetteloa sovellettaisiin siten kaikkiin 2 luvun mukaisiin alkuperäisiin henkilötietojen käsittelytarkoituksiin.

Luettelossa mainitut perustiedot vastaisivat sisällöltään pääosin voimassa olevan lain mukaisiin Rajavartiolaitoksen henkilörekistereihin talletettavia henkilöllisyyttä koskevia tietoja. Luetteloon ehdotetaan lisättäväksi uusina kohtina asiointikieli, koulutus, asevelvollisuutta ja asepalvelusta koskevat tiedot, sotilaskoulutus ja sotilasarvo, henkilöllisyyden toteamiseksi tarvittavat tiedota asiakirjoista sekä edunvalvontaa, konkurssiin asettamista tai liiketoimintakieltoon määräämistä koskeva tieto. Mainittuja tietoja on voimassa olevan lain mukaisesti voinut käsitellä asiaan liittyvinä muina tietoina, mutta selvyyden vuoksi niistä säädettäisiin jatkossa henkilön perustietojen käsittelyä koskevassa säännöksessä. Pykälässä tarkoitettuja perustietoja saisi käsitellä kaikista henkilöryhmistä silloin, kun tiedot ovat käsittelytarkoituksen kannalta tarpeellisia.

Henkilötietojen alkuperäisiä käsittelytarkoituksia koskevissa 5—13 §:ssä säädettäisiin tarkemmat edellytykset perustietojen sekä niiden lisäksi käsiteltävien muiden tarpeellisten henkilötietojen käsittelylle.

5 §. Henkilötietojen käsittely rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi. Pykälässä säädettäisiin tietosuoja-asetuksen ja tietosuojalain mukaisesta henkilötietojen käsittelystä rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi.

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi, rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi sekä rajavartiolain 27 §:ssä tarkoitetun tutkinnan suorittamiseksi. Sääntely korvaisi voimassa olevan lain 8 §:n mukaisen lupa-asioiden rekisterin, 9 §:n mukaisen valvonta-asioiden rekisterin sekä 12 §:n mukaisen turvallisuustietorekisterin sisältämät tiedot siltä osin kuin kyse on rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Säännös kattaisi myös käännyttämistä, pääsyn epäämistä ja maahantulokiellon määräämistä koskeviin hallinnollisiin päätöksiin liittyvien henkilötietojen käsittelyn.

Pykälän 2 momentissa säädettäisiin tarkemmin henkilötiedoista, joita Rajavartiolaitos saisi käsitellä 4 §:ssä tarkoitettujen perustietojen lisäksi. Momentin 1 kohdassa säädettäisiin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvien tarpeellisten yksilöintien, kuvausten ja luokitusten käsittelystä. Kohta sisältäisi esimerkiksi voimassa olevan lain 9 §:n 3 momentin 7 kohdan mukaiset rajatarkastustoimenpidettä koskevat tiedot. Momentin 2 kohdassa säädettäisiin voimassa olevan lain 9 §:n 3 momentin 8 kohtaa vastaavasti nimenomaisesti Schengenin rajasäännöstön II liitteessä tarkoitettujen tietojen käsittelystä.

Momentin 3 kohdassa säädettäisiin voimassa olevasta laista poiketen nimenomaisesti rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteista. Tallenteiden katsotaan nykyisin sisältyvän voimassa olevan lain 9 §:n 3 momentin 4 kohdan mukaisiin maa- ja merirajan valvontatietoihin, joita vastaavasta käsittelytarkoituksesta säädettäisiin momentin 4 kohdassa. Momentin 4 kohta sisältäisi myös voimassa olevan 9 §:n 3 momentin 5 kohtaa vastaavat tiedot matkustajista ja miehistöstä rajat ylittävässä henkilöliikenteessä. Säännös kattaisi myös sisärajan ylittävän liikenteen siltä osin, kuin Rajavartiolaitoksella on oikeus käsitellä sisärajaliikenteen henkilötietoja. Momentin 5 kohdassa säädettäisiin voimassa olevan 9 §:n 3 momentin 5 kohtaan sisältyvistä tiedoista liikenteenharjoittajan seuraamusmaksun määräämiseksi.

Momentin 6 ja 7 kohdat korvaisivat voimassa olevan lain 8 §:n mukaisen lupa-asioiden rekisterin tietoluokat. Kyseessä olisivat henkilötiedot, joita on tarpeen käsitellä rajavartiolaissa tarkoitettua rajavyöhykelupaa ja rajanylityslupaa koskevan asian käsittelemiseksi sekä näihin lupiin liittyvien Rajavartiolaitokselle tehtävien ilmoitusten, kuten rajavyöhykeilmoitusten käsittelemiseksi. Rajavyöhykeluvasta ja rajavyöhykeilmoituksista säädetään tarkemmin rajavartiolain 7 luvussa. Rajanylityslupahakemuksessa ilmoitettavista tiedoista säädetään puolestaan rajanylityspaikoista sekä rajatarkastustehtävien jakamisesta niillä annetun valtioneuvoston asetuksen (901/2006) 4 §:ssä.

Momentin 8 kohta sisältäisi voimassa olevan lain 12 §:n 3 momentin 3, 4 ja 6 kohtien mukaisesti turvallisuustietorekisteriin talletettavat tiedot muiden valtioiden rajavalvontaviranomaisten toiminnasta ja kokoonpanosta sekä rajatilanteesta Suomessa ja Euroopan unionissa. Kyseinen säännös liittyy erityisesti Euroopan unionin rajavalvontajärjestelmään (Eurosur), josta säädetään Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 1052/2013.

Momentin 9 kohdan mukaan Rajavartiolaitos saisi käsitellä henkilöllisyyden toteamiseksi tarpeellisia tuntomerkkitietoja. Niihin kuuluisivat myös rajavalvonnan yhteydessä automaattisesti käsiteltävät valokuvat. Kyse voisi olla myös tietosuoja-asetuksen 51 johdantokappaleen tarkoittamalla tavalla biometristen tietojen käsittelyksi katsottavasta valokuvien käsittelystä. Valokuvien käsittely perustuu rajavartiolain 28 §:n 1 momentin 10 kohtaan, jonka mukaan rajavartiomiehellä on Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi oikeus ilman rikosepäilyä ottaa henkilöstä kuva.

Momentin 10 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Rajavartiolaitos saisi käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.

Pykälän soveltamisalaan kuuluisi myös voimassa olevan lain 6 §:n mukaisesti perustettu Rajavartiolaitoksen kenttäjohtamisen rekisteri. Kyse on ensisijaisesti rajavalvonnan ja rajaturvallisuuden ylläpitämisen suunnittelussa ja toteuttamisessa tarpeellisista tiedoista, kuten ilmoituksista, käskyistä ja määräyksistä, tehtävää tai toimenpidettä koskevista tiedoista sekä tehtävän suorittamiseen osallistuvista henkilöistä.

Rajavartiolaitos saisi osana pykälässä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Niitä saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti momentin 3 kohdassa tarkoitettuihin teknisen valvonnan tallenteisiin, 9 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin sekä 10 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa tietosuoja-asetuksen 9 artiklassa tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta. Henkilön fyysisiin ominaisuuksiin perustuvan matkustusasiakirjaan liitetyn sähköisen tunnisteen käsittelystä säädettäisiin tarkemmin 51 §:ssä.

Erityisten henkilötietoryhmien käsittely perustuisi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Näitä asianmukaisia ja erityisiä toimenpiteitä olisivat tietosuoja-asetuksessa ja tietosuojalaissa määriteltyjen suojatoimien lisäksi muun muassa henkilötietojen käsittelylle 4 ja 5 §:ssä asetetut edellytykset, 14 ja 15 §:ssä asetetut edellytykset tietojen käsittelylle muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, 4 luvussa säädetyt edellytykset tietojen luovuttamiselle sekä 5 luvussa säädetyt säilytysajat.

6 §. Henkilötietojen käsittely rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä rikosten selvittämiseksi tai syyteharkintaan saattamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten selvittämisen yhteydessä. Sääntely sisältäisi myös mainittuihin tehtäviin liittyvän virka-avun.

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän suorittamiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Rajavartiolaitos on esitutkintalaissa tarkoitettu esitutkintaviranomainen. Pykälä kattaisi kuitenkin henkilötietojen käsittelyn myös esitutkintaa edeltävässä selvittämisessä. Rajavartiolaitos suorittaa lisäksi yleisen järjestyksen ja turvallisuuden ylläpitotehtäviä sekä itsenäisesti että poliisin pyynnöstä tai tukena siten kuin siitä rajavartiolaissa säädetään.

Tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen. Yleisen järjestyksen ja turvallisuuden ylläpitotehtäviin liittyvä henkilötietojen käsittely kuuluisi pykälän soveltamisalaan silloin, kun sillä on tietosuojadirektiivissä ja rikosasioiden tietosuojalain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen.

Säännös korvaisi voimassa olevan lain säännökset, jotka koskevat rikoksesta epäillyn tai esitutkinnan, Rajavartiolaitoksen toimenpiteen taikka pakkokeinon kohteena olevan henkilön, ilmoittajan, todistajan tai asianomistajana esiintyvän tai muutoin asiaan liittyvän henkilön tietojen tallettamista Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin. Pykälä korvaisi myös sellaiset voimassa olevan lain 4 §:n mukaisesti perustetut tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden selvittäminen. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin alkuperäiseen käsittelytarkoitukseen koskevat 14 ja 15 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja saataisiin hyödyntää tässä pykälässä tarkoitettuihin käsittelytarkoituksiin.

Pykälän 2 momentissa täsmennettäisiin henkilöryhmät, joita koskevia tietoja 1 momentin mukaisiin tarkoituksiin saisi käsitellä. Alle 15-vuotiaat rikolliseen tekoon syyllistyneet henkilöt huomioitaisiin voimassa olevan lain sääntelystä poiketen erikseen. Lisäksi muutoin 1 momentissa tarkoitettuihin tehtäviin liittyvät henkilöt mainittaisiin luettelossa omana ryhmänään. Tällaisina pidettäisiin esimerkiksi henkilöitä, joiden henkilötietoja Rajavartiolaitoksen on käsiteltävä tehtävien yhteydessä kirjattavien lastensuojeluilmoitusten käsittelyä varten. Kohdan nojalla saataisiin tarvittaessa tallettaa myös esimerkiksi sellaisen yhteyshenkilön tiedot, jota tarvitaan tehtävään liittyvään tilaan pääsemiseksi. Muutoin tehtävään liittyvä henkilö voisi olla myös asiantuntijan roolissa toimiva henkilö taikka mahdollinen lisätietojen antaja, joka ei kuitenkaan olisi todistajan asemassa.

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

Pykälän 3 momentti olisi uusi säännös. Ehdotettu merkityksellisyyden arviointia koskeva säännös on kytköksissä käsittelytarkoitusperusteiseen sääntelytekniikkaan, jolla korvattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain rekisteriperusteinen sääntely. Rajavartiolaitoksen henkilötietolaissa säädettäisiin jatkossa kaikesta Rajavartiolaitoksen tehtävien suorittamiseksi tapahtuvasta henkilötietojen käsittelystä sen sijaan, että säädettäisiin vain tietojen tallettamisesta laissa nimettyihin henkilörekistereihin ja nimettyjen henkilörekisterien sisältämien tietojen käyttämisestä.

Momentissa olisi kyse Rajavartiolaitoksen tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa on alkuvaiheessa epäselvää, liittyvätkö kaikki saadut tiedot suoraan käsillä olevaan yksittäiseen tehtävään. Säännöksen yhtenä tavoitteena on selventää nykytilaa niiden tilanteiden osalta, joissa Rajavartiolaitoksen tehtävien suorittamisen yhteydessä saatuja henkilötietoja on käsiteltävä automaattisen tietojenkäsittelyn avulla niiden sisällön ja merkityksellisyyden arvioimiseksi.

Tietosuojadirektiivin johdanto-osan 18 kappaleen mukaan vakavan väärinkäytösten riskin ennalta estämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.

Henkilötietojen automaattista käsittelyä ovat voimassa olevassa Rajavartiolaitoksen henkilötietolaissa säänneltyjen henkilötietojen tallettamisen, käyttämisen ja luovuttamisen lisäksi myös ne käsittelytoimet, joita suoritetaan ennen tietojen tallettamista Rajavartiolaitoksen tietojärjestelmiin. Voimassa oleva laki ei sisällä tätä henkilötietojen käsittelyn vaihetta koskevia säännöksiä, jolloin esimerkiksi henkilötietojen enimmäissäilytysaika jää rekisterinpitäjän tapauskohtaisesti arvioitavaksi. Merkityksellisyyden arviointia koskeva säännös toisi henkilötietojen tarpeellisuuden arvioinnin osaksi lain soveltamisalaa. Samalla merkityksellisyyden arvioimiseksi käsiteltäville henkilötiedoille ehdotetaan säädettäväksi yhdenmukainen kuuden kuukauden enimmäissäilytysaika.

Nykytilan selventämisen lisäksi 3 momentti merkitsisi myös laajennusta Rajavartiolaitoksen nykyiseen henkilötietojen käsittelyyn. Säännös mahdollistaisi voimassa olevasta laista poiketen nimenomaisesti henkilötietojen tallettamisen erilliseen henkilörekisteriin sen selvittämiseksi, täyttyvätkö 6 ja 7 §:ssä säädetyt edellytykset tietojen käsittelylle. Henkilötietoja ei saisi käsitellä rikosten selvittämiseksi tai yleisen järjestyksen ja turvallisuuden ylläpitämiseksi, jos on epäselvää, täyttyvätkö 6 ja 7 §:ssä säädetyt kriteerit henkilötietojen käsittelylle. Rajavartiolaitoksen tehtävien kannalta selvästi merkityksettömät henkilötiedot olisi hävitettävä välittömästi, eikä niitä voitaisi tallettaa tai muuten käsitellä 3 momentin nojalla.

Rajavartiolaitoksen toimintaympäristö on merkittävästi muuttunut voimassa olevan Rajavartiolaitoksen henkilötietolain säätämisen jälkeen. Tavat, joilla Rajavartiolaitos on perinteisesti arvioinut tietojen merkityksellisyyttä, eivät tarjoa riittäviä mahdollisuuksia rikosanalyysissa tarvittavien tietojen käsittelyyn nykyisessä digitaalisessa toimintaympäristössä. Analyysitoiminnan systemaattinen kehittäminen edellyttää mahdollisuuksia tietojen merkityksen arvioimiseen nykyaikaisen tekniikan keinoin. Momentin perusteella käsiteltävät tiedot voisivat olla myös julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä peräisin olevaa kuvamateriaalia tai tekstiä, johon voi sisältyä suuriakin määriä tietoja henkilöistä, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä.

Tietoja saataisiin 3 momentin nojalla myös verrata Rajavartiolaitoksessa jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö 6 ja 7 §:ssä säädetyt kriteerit tietojen käsittelylle. Edellytyksenä käsittelylle olisi kuitenkin se, että tiedot on hankittu tai muutoin saatu Rajavartiolaitoksen tehtävien yhteydessä muualta laista tulevien toimivaltuuksien nojalla. Kyse voisi olla esimerkiksi pakkokeinolain 8 luvussa tarkoitetun laite-etsinnän avulla saadun tietoaineiston käsittelystä, kuten tietokoneen tai matkapuhelimen sisältämien tietojen käsittelystä. Rajavartiolaitos ei saisi 3 momentin nojalla hankkia sellaisia tietoja, joita sillä ei olisi käytettävissään muualta laista tulevien tiedonhankintavaltuuksien nojalla.

Tietosuojalainsäädäntö edellyttää, että henkilötietoja ei käsitellä tarpeettomasti. Pykälän 3 momentissa säädettäisiin siitä, miten tehtävien yhteydessä saatujen tietojen tarpeellisuutta voidaan arvioida ja varmistaa tietojen merkityksellisyys ennen niiden pidempiaikaista käsittelyä. Rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömiksi. Momentin viimeisessä virkkeessä korostettaisiin rikosasioiden tietosuojalain 6 §:n mukaista vaatimusta tarpeettomien tietojen poistamisesta ilman aiheetonta viivytystä. Vaatimusta täydentäisi kuuden kuukauden aikarajoitus, jonka kuluessa henkilötietojen merkityksellisyys olisi viimeistään arvioitava.

Pääsy 3 momentissa tarkoitettuihin tietoihin rajattaisiin Rajavartiolaitoksen käyttöoikeushallinnan kautta vain niille henkilöille, joiden tehtäviin momentissa tarkoitettu merkityksellisyyden arviointi kuuluisi. Tietojen käsittely olisi muita käsittelytarkoituksia vastaavasti henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piirissä. Käsittelyä koskisivat kaikki rekisterinpitäjälle laissa asetetut velvoitteet, kuten velvoite varmistaa erityisiin henkilötietoryhmiin kuuluvien tietojen tietoturva niiltä osin kuin käsiteltävään aineistoon sisältyisi tällaisia tietoja. Rekisterinpitäjän olisi myös säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain 19 §:n vaatimusten mukaisesti. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja voidaan käyttää käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

Rekisteröidyllä ei olisi tarkastusoikeutta 3 momentissa tarkoitettuihin tietoihin, mutta rekisteröity voisi pyytää tietosuojavaltuutettua tarkastamaan tietojen käsittelyn lainmukaisuuden 49 §:n 2 momentin mukaisesti.

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

7 §. Rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen sisältö. Pykälän 1 momentissa täsmennettäisiin henkilötiedot, joita 6 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Sisällöllisesti tiedot vastaisivat pääosin voimassa olevan Rajavartiolaitoksen henkilötietolain 7 §:n mukaisesti tutkinta- ja virka-apurekisteriin talletettavia henkilötietoja sekä niitä henkilö-, ajoneuvo- ja omaisuuskuulutustietoja, turvallisuustietoja ja tuntomerkkitietoja, jotka Rajavartiolaitos tallettaa poliisin rekisterinpitoon voimassa olevan poliisin henkilötietolain 2 §:n ja 14 §:n 1 momentin 4 kohdan mukaisesti.

Momentin 1 kohdan mukaan käsitellä saisi Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyviä tarpeellisia yksilöintejä, kuvauksia ja luokituksia. Tapahtuma on Rajavartiolaitokselle säädettyjen tehtävien piiriin kuuluva asiakokonaisuus, josta voi seurata viranomaiselle velvoitteita, kuten selonottovelvoite tai toimintavelvoite. Tapahtuma voi olla myös Rajavartiolaitoksen oma-aloitteisen toiminnan aikaansaama. Tehtävä on edellä tarkoitettuun tapahtumaan kuuluva suorite, esimerkiksi esitutkinta tai yleisen järjestyksen ja turvallisuuden ylläpitäminen. Tapahtumaan voi liittyä useita tehtäviä. Toimenpide on tehtävän osa, jolla on kohde. Kohde voi olla luonnollinen henkilö, oikeushenkilö, esine, aine tai omaisuus. Yksittäiseen tehtävään voi liittyä useita toimenpiteitä ja eriasteista julkisen vallan käyttöä, kuten henkilöön kohdistuva pakkokeinotehtävä (kiinniottaminen, pidättäminen, matkustuskielto, vangitseminen) tai henkilö-, ajoneuvo- ja omaisuuskuulutus.

Momentin 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti 1) rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen tiedot, 2) Rajavartiolaitokselle laissa säädettyjen yleisen järjestyksen ja turvallisuuden ylläpitämisen tehtävien tiedot, 3) tiedot pakkokeinoista, Rajavartiolaitoksen toimenpiteistä sekä esitutkinnan vaiheista, 4) tekijän, tapauksen tai teon luokittelua kuvaavat tiedot sekä rikosten sarjoittamiseen ja tekniseen tutkintaan tarvittavat tiedot, 5) tekotavat ja keinot, joita on käytetty tai voidaan käyttää rikosten valmistelussa ja tekemisessä, 6) asiaa käsittelevät viranomaiset ja niiden käyttämät asioiden tunnisteet sekä 7) henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Rajavartiolaitos saisi momentin 1 kohdan nojalla käsitellä myös tietoa henkilöllisyyttä väärinkäyttäneen ja henkilöllisyyden väärinkäytön kohteeksi joutuneen henkilön oikeasta henkilöllisyydestä.

Momentin 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin kuuluisivat poliisin rekisterinpitoon talletettavat 1) henkilökuulutustiedot, joita ovat valokuva, sormenjäljet sekä muuttumattomat fyysiset erityistuntomerkit muun muassa etsintäkuulutettujen tavoittamiseksi; 2) tunnistettavien tiedot, joita ovat esimerkiksi valokuvat, sormenjäljet ja DNA-tunnisteet kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomana löytyneiden vainajien tunnistamiseksi; sekä 3) tuntomerkkitiedot, joita ovat valokuva, sormen-, käden- ja jalanjäljet sekä käsiala-, ääni- ja hajunäyte sekä DNA-tunnisteet rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi. Rajavartiolaitoksen toimivaltuudesta kerätä kohdassa tarkoitettuja tietoja säädetään muualla lainsäädännössä, esimerkiksi rajavartiolaissa, pakkokeinolaissa ja ulkomaalaislaissa (301/2004). Sääntely ei siten oikeuttaisi käsittelemään tietoja toimivaltuussääntelyä laajemmin.

Biometrisilla tiedoilla tarkoitettaisiin tietosuojadirektiivin 3 artiklan 13 kohtaa ja rikosasioiden tietosuojalain 3 §:n 13 kohtaa vastaavasti luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Esimerkiksi kasvokuvat kuuluisivat siten biometrisiin tietoihin vain silloin, kun ne on saatu henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisen käsittelyn avulla.

Tietosuojadirektiivissä on kiinnitetty erityistä huomiota tarpeeseen rajoittaa geneettisten henkilötietojen käsittelyä (direktiivin johdanto-osan 23 kappale), joka voisi paljastaa arkaluonteista tietoa muun muassa henkilön terveydentilasta. DNA-näytteestä määritettävä DNA-tunniste on kuitenkin Rajavartiolaitokselle rikoksen selvittämisessä oleellinen tuntomerkkitieto, jonka avulla henkilö voidaan tunnistaa luotettavasti silloin, kun esimerkiksi sormenjälkiä ei ole käytettävissä.

Rajavartiolaitos tallettaisi voimassa olevaa käytäntöä noudattaen tuntomerkkitiedot, erityisesti sormenjäljet ja DNA-tunnisteet poliisin rekisterinpitoon. Laissa olisi kuitenkin säädettävä siitä, että Rajavartiolaitos voi hetkellisesti käsitellä mainittuja tietoja ennen niiden siirtämistä poliisin rekisteriin.

Momentin 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Sääntely säilyisi asiasisällöllisesti muuttumattomana. Rajavartiolaitos saisi käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.

Momentin 4 kohdassa huomioitaisiin voimassa olevaa lakia vastaavasti tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, onko syyte hylätty taikka jätetty tutkimatta tai sillensä ja tieto ratkaisun lainvoimaisuudesta.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti 1 momentin 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 3 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa rikosasioiden tietosuojalain 11 §:ssä tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta.

8 §. Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä rikosten ennalta estämiseksi tai paljastamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten ennalta estämisen ja paljastamisen yhteydessä. Sääntely sisältäisi myös mainittuihin tehtäviin liittyvän virka-avun.

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi. Pykälällä korvattaisiin voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskeva säännös, joka ei nykymuodossaan palvele kokonaisvaltaisesti Rajavartiolaitoksen ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä toimintaan johtavan päätöksenteon kaikilla tasoilla.

Pykälä korvaisi myös sellaiset voimassa olevan lain 4 §:n nojalla rikosanalyysia varten perustetut hallintoyksikkökohtaiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Säännös mahdollistaisi tietojen valtakunnallisen käsittelyn.

Rajavartiolaitoksen rikostorjuntalain 2 §:n 2 kohdan mukaan rikoksen estämisellä tarkoitetaan toimenpiteitä, joiden tavoitteena on estää rikos, sen yritys tai valmistelu, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan perustellusti olettaa hänen syyllistyvän rikokseen, taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Rikoksen estämisestä on kysymys silloin, kun teko kyettäisiin estämään ennen kuin tunnusmerkistön mukaiseen täytäntöönpanotoimeen on ryhdytty.

Rajavartiolain 3 §:n 2 momentissa tarkoitettu rikosten ennalta estäminen on kuitenkin käsitteenä laaja-alaisempi kuin rikoksen estäminen. Myös rikosten ennalta estäminen liittyy rikostorjunnan yläkäsitteeseen, joka kattaa rikosten paljastamisen, selvittämisen ja syyteharkintaan saattamisen, mutta myös sellaiset määreet kuten turvallisuus ja turvallisuuden tunne.

Rikosten ennalta estämiseksi suoritettava rikosanalyysi edellyttää pohjakseen tietoa. Erilaisten uhkien tunnistamien jo hiljaisista signaaleista ja mahdollisesti eri lähteistä tulleiden tietojen yhdistämisen kautta parantaa Rajavartiolaitoksen toiminnan tehokkuutta sekä Rajavartiolaitoksen mahdollisuuksia torjua rikoksia ja rikollisuutta mahdollisimman aikaisessa vaiheessa. Ennen rikoksen estämistä tarkka tunnusmerkistö tai rikosnimike ei aina ole tiedossa.

Rikoksen paljastamisella tarkoitetaan Rajavartiolaitoksen rikostorjuntalain 2 §:n 3 kohdan mukaan toimenpiteitä, joiden tavoitteena on selvittää, onko rikoksen esitutkinnan aloittamiselle esitutkintalain 3 luvun 3 §:n 1 momentissa tarkoitettua perustetta, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan olettaa, että rikos on tehty. Rikoksen estämisen ja paljastamisen määritelmillä on vaikutusta siihen, mitä tiedonhankintakeinoja Rajavartiolaitos saa käyttää rikoksiin liittyen eri vaiheissa sekä millä edellytyksissä eri tiedonhankintakeinoilla hankittuja tietoja saisi käsitellä ja tallettaa.

Rikosten ennalta estämiseksi ja paljastamiseksi tapahtuvan tietojen käsittelyn intressi on tiedustelullinen. Tietoja käsiteltäisiin Rajavartiolaitoksen toiminnan suuntaamiseksi, mutta myös laaja-alaisesti turvallisuusympäristössä tapahtuvien muutosten havainnoimiseksi, pyrkimyksenä ennalta estävyys ja turvallisuuden ylläpitäminen. Tiedustelullisen tiedonintressin keskeisenä tavoitteena on paremman ymmärryksen saaminen turvallisuus- ja toimintaympäristöön liittyvien tilannetekijöiden hallinnoimiseksi. Tiedustelutoiminnassa tiedonintressi kohdistuu ensisijaisesti toiminnan suuntaamiseen, kun vastaavasti tutkinnassa tiedonintressin painopiste on tiedon rikosprosessuaalisessa käyttötarkoituksessa (todistelu- ja näyttötarkoitus yksittäisen rikosprosessin turvaamiseksi).

Tapahtumainkulun ennakoimiseksi, tilannetietoisuuden ylläpitämiseksi ja heikkojen signaalien ja ilmiöiden tunnistamiseksi välttämätön analyysitoiminta edellyttää monipuolista tietovarantojen hyödyntämistä sekä useista lähteistä saatavan tiedon yhdistelemistä ja jalostamista. Toimintaympäristöön liittyvät haasteet ja kasvavat datamäärät edellyttävät myös sitä, että tietojen käsittelyä kyetään automatisoimaan nykyistä enemmän muun muassa analytiikkasovelluksia hyödyntämällä. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen koskevat 14 ja 15 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja saataisiin hyödyntää tässä pykälässä tarkoitettuihin käsittelytarkoituksiin.

Tietosuojadirektiivin johdanto-osan 27 kappaleessa on huomioitu, että rikosten ennalta estäminen, tutkiminen ja niistä syyttäminen edellyttävät, että toimivaltaiset viranomaiset voivat käsitellä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollista toimintaa ja havaitakseen yhteyksiä selvitettävien rikosten välillä. Rikosten ennalta estävässä ja paljastavassa tarkoituksessa tapahtuvan henkilötietojen käsittelyn osalta olisi huomioitava myös käyttötarkoitussidonnaisuuden periaate sekä muut direktiivissä ja rikosasioiden tietosuojalaissa asetetut käsittelyn lainmukaisuutta ja oikeasuhtaisuutta koskevat vaatimukset.

Pykälän 2 momentissa säädettäisiin henkilöryhmistä, joita koskevia henkilötietoja 1 momentissa säädettyyn käsittelytarkoitukseen saisi pääasiassa käsitellä. Ehdotetun pykälän muotoilussa on kiinnitetty huomiota hallintovaliokunnan poliisin epäiltyjen tietojärjestelmää koskeviin huomautuksiin. Henkilöryhmät, joita pykälän mukaisiin tarkoituksiin saisi käsitellä, lueteltaisiin pykälässä tyhjentävästi. Rekisteriin tallettamiselle ja muulle näihin henkilöryhmiin liittyvälle henkilötietojen käsittelylle asetettaisiin erityiset käsittelykriteerit. Silloin, kun kyse olisi muista kuin varsinaisesta rikolliseen toimintaan oletettavasti kytkeytyvistä henkilöistä, henkilötietoja saataisiin käsitellä vain, kun se on välttämätöntä tehtävän suorittamiseksi.

Voimassa olevassa laissa ei säädetä henkilöryhmistä, joiden tietoja 4 §:n mukaisesti perustettaviin hallintoyksikkökohtaisiin henkilörekistereihin voidaan tallettaa. Tältä osin 2 momentti selventäisi nykytilaa ja täsmentäisi rikosanalyysitarkoituksiin käsiteltäviä henkilöryhmiä.

Momentissa ehdotetaan käsittelykynnyksen kytkemistä ilmaisuun "voidaan perustellusti olettaa". Ilmaisu kuvaa rikostiedustelutoiminnan kannalta tarkoituksenmukaisesti käsittelykynnystä, joka on alempi kuin esitutkinnan käynnistämiskynnys. Ilmaisulla "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän" viitataan tilanteeseen, jossa on saatu vihjeitä rikoksen jo tapahtuneen, mutta esitutkinnan käynnistämiskynnyksen "syytä epäillä" -tasoa ei ole vielä saavutettu, eli suunnitteilla ja tekeillä olevaan rikokseen, jonka estämiseksi rikostiedustelua tehdään. Momentissa tarkoitettaisiin henkilöitä, joiden osalta on yhteys oletettuun rikolliseen toimintaan, mutta kaikkien asiaan liittyvien henkilöiden rooli ei välttämättä ole selvä.

Momentin 1 kohdassa tarkoitettuun henkilöryhmään kuuluisivat oletettujen rikoksentekijöiden lisäksi myös rikosoikeuden osallisuusopin mukaiset osalliset eli avunantajat, yllyttäjät ja rikoskumppanit.

Momenttiin ehdotetaan sisällytettäväksi voimassa olevaan lakiin nähden uutena henkilöryhmänä rikokseen osallisia henkilöitä täydentävä säännös rikokseen liittyvistä henkilöistä. Momentin 2 kohdassa säädettäisiin henkilöistä, jotka ovat toistuvasti yhteydessä 1 kohdassa tarkoitettuun henkilöön tai tavataan toistuvasti tämän seurassa ja yhteydenpidolla tai tapaamisella oletetaan olevan yhteys rikokseen. Tietosuojadirektiivin 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen tai rikoksesta tuomittuihin henkilöihin.

Rikokseen syyllistyvään henkilöön toistuvasti yhteydessä olevan henkilön suhteen merkitys tulisi jo arvioitavaksi silloin, kun rikosanalyysissa löydetään useampia kontakteja henkilöiden välillä, joista toinen on 1 kohdan mukainen henkilö ja toinen ei. Tällaisen suhteen olemassaololle voi olla luonnollinen selitys, esimerkiksi asiakassuhde. Momentin 2 kohdassa tarkoitettaisiin henkilöitä, joiden kautta voitaisiin saada 1 kohdan mukaisista henkilöistä ja analyysin kannalta merkityksellisiä tietoja. Säännöksessä kuitenkin edellytettäisiin, että tälläkin henkilöryhmällä on yhteys oletettuun rikokseen, ottaen huomioon rikostiedustelun mahdolliset vaikutukset kyseessä olevien henkilöiden asemaan ja oikeusturvaan. Näin ollen pelkkä olettamus tai tapaamisten toistuvuus ei riittäisi ylittämään rekisteriin tallettamiskynnystä.

Momentin 3 kohdassa säädettäisiin henkilöistä, jotka ovat Rajavartiolaitoksen rikostorjuntalain 21 §:ssä tarkoitetun tarkkailun kohteena rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Tarkkailulla tarkoitetaan Rajavartiolaitoksen rikostorjuntalain 21 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa.

Pykälän 3 momentissa säädettäisiin sellaisista henkilöryhmistä, jotka eivät olisi Rajavartiolaitoksen rikostiedustelun ensisijaisia kohdehenkilöitä. Näitä henkilöryhmiä olisivat rikoksen uhrit tai asianomistajana esiintyvät henkilöt, rikoksen ilmoittajat ja rikoksen todistajat. Todistajalla ei tässä momentissa tarkoitettaisi välttämättä henkilöitä, jotka on jo nimetty todistajiksi rikosprosessissa. Henkilötietojen käsittelylle asetettaisiin näiden ryhmien osalta erityiset suojatakeet. Näitä henkilöryhmiä koskevien henkilötietojen käsittely ei saisi mennä pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi, kuten rikoksen ennalta estämiseksi. Näiden henkilöryhmien tietojen käsittely voisi olla välttämätöntä esimerkiksi siinä tilanteessa, kun jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva rikos pyritään estämään ennalta. Rajavartiolaitoksen tutkittavien rikosten osalta kyse voisi olla esimerkiksi laittoman maahantulon järjestämiseen tai ihmiskauppaan liittyvistä tilanteista.

Voimassa olevassa lainsäädännössä ei säädetä rikostiedustelusta tai rikostiedustelun aloittamisesta. Käytännössä rikostiedustelu voidaan käynnistää, jos henkilön voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen. Vastaavalla tavoin sellainen rikosasia, jossa epäiltyä ei ole vielä tunnistettu, voi olla peruste rikostiedustelun aloittamiselle ja siihen liittyvälle henkilötietojen käsittelylle. Henkilötietoja käsitellään lähtökohtaisesti vastaavalla tavoin kuin rikoksen selvittämisen yhteydessä. Koska kyse on kuitenkin Rajavartiolaitoksen resurssien käyttämisestä, rikostiedustelun aloittamisesta saa päättää vain pidättämiseen oikeutettu virkamies tai muu esimiesasemassa oleva rajavartiomies. Rikostiedustelun aloittamisesta tehtäisiin Rajavartiolaitoksen henkilörekisteriin rikosasian tutkintailmoitusta vastaava tiedusteluasian ilmoitus.

Pykälän 4 momentissa säädettäisiin rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta. Rikosanalyysillä tarkoitetaan suunnitelmallista ja järjestelmällistä tiedonhankintakeinoilla hankitun tai muusta tietolähteestä saadun tiedon käsittelyä rikosten tai rikosilmiöiden samankaltaisuuksien ja erilaisuuksien havaitsemiseksi tarkoituksena ennustaa ja estää rikoksia tulevaisuudessa. Tehokas rikosanalyysitoiminta on välttämätön edellytys suunnitelmalliselle ja järjestelmälliselle rikostorjunnalle. Momentissa tarkoitetun päätöksen voisi tehdä rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu hallintoyksikkö. Päätös olisi tehtävä kirjallisesti. Lähtökohtaisesti henkilötietojen käsittelystä päättää rekisterinpitäjä. Valtakunnallisten pysyvien analyysikantojen muodostamisesta päättäisi jatkossa Rajavartiolaitoksen esikunta rekisterinpitäjänä.

Pykälän 5 momentissa säädettäisiin havaintotietojen käsittelystä. Säännös vastaisi sisällöltään voimassa olevan lain 7 §:n 3 momentin 3 kohtaa. Havaintotiedot voisivat sisältää rajavartiomiesten havaitsemia tai Rajavartiolaitokselle ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi arvioida liittyvän rikolliseen toimintaan. Kyse olisi tiedoista, joita rajavartiomies saa havainnoidessaan toimintaympäristöään tai tiedoista, jotka sivullinen on saattanut Rajavartiolaitoksen tietoon. Rajavartiolaitos voisi saada esimerkiksi nimettömän vihjeen epäilyttävästi käyttäytyvistä henkilöistä tai epäilyttävästä toiminnasta, joka ei sellaisenaan välttämättä olisi lainvastaista toimintaa. Yhdistettynä muihin tekijöihin tai olosuhteisiin havaintotiedot voisivat kuitenkin viitata rikolliseen toimintaan.

Pelkkä havaintotiedon kirjaaminen ei mahdollistaisi sellaista henkilötietojen käsittelyä, josta säädettäisiin 1—3 momentissa. Havaintotiedon kirjaaminen mahdollistaisi kuitenkin sellaisen rikostiedustelun, jossa pyrittäisiin selvittämään, voidaanko asiassa perustellusti olettaa rikoksen tapahtuneen tai tapahtuvan. Toiminnan aloittamisesta päätettäisiin kuten muunkin rikostiedustelun aloittamisesta.

Pykälän 6 momentissa säädettäisiin 6 §:n 3 momenttia vastaavasti Rajavartiolaitoksen oikeudesta käsitellä henkilötietoja sen arvioimiseksi, ovatko tiedot tarpeellisia 8 §:n mukaisiin käsittelytarkoituksiin.

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

Voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskevan 11 §:n 3 momentti sisältää rajoitussäännöksen, jonka mukaan rekisteriä saavat käyttää vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt rajavartiomiehet. Ehdotetulla pykälällä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Pykälään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Tietoturvallisuudesta säädetään rikosasioiden tietosuojalain 32 §:ssä. Kyseisen pykälän 5 kohdan mukaan rekisterinpitäjällä on velvollisuus varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet Rajavartiolaitoksen tietojärjestelmiin myönnetään työtehtävien perusteella.

9 §. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen sisältö. Pykälän 1 momentissa täsmennettäisiin henkilötiedot, joita 8 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi.

Momentin 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti tiedustelutehtävien ja ennalta estävän toiminnan tehtävien tiedot, tiedot käytetyistä tiedonhankintakeinoista, Rajavartiolaitoksen toimenpiteistä sekä asian käsittelyn vaiheista, henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin.

Tämän kaltainen sääntely on ennalta estävän ja paljastavan toiminnan osalta aiemmin osittain sisältynyt voimassa olevan lain 7 §:ään. Sääntelyn tulkinnanvaraisuus on kuitenkin johtanut jossain määrin epäselvään oikeustilaan. Kohdan tarkoituksena olisi selventää nykyistä oikeustilaa. Tapahtumien riittävä kuvaus ja niihin liittyvien tehtävien ja toimenpiteiden yksilöinti ovat kuitenkin tärkeitä Rajavartiolaitoksen toiminnallisten tarpeiden lisäksi myös laillisuusvalvontaa varten ja rekisteröidyn oikeuksien valvomiseksi. Toiminnan kirjaamisella varmistettaisiin sekä kohteen oikeusturva että Rajavartiolaitoksen kyky tehtäviensä suorittamiseen. Kirjattua tietoa saataisiin myös hyödyntää Rajavartiolaitoksen toiminnan suuntaamiseen tarkoituksenmukaisella tavalla ehdotetun 14 §:n 1 momentin 12 kohdan mukaisesti.

Momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja, ja sen nojalla Rajavartiolaitos saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin ne ovat tarpeellisia rikosten ennalta estämisen ja paljastamisen kannalta.

Momentin 3 kohdassa tarkoitetut tuntomerkkitiedot käsittäisivät muun muassa henkilön pituuden, painon ja silmien värin. Tuntomerkkitiedot kattaisivat myös muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit, kuten arvet ja syntymämerkit. Lisäksi kohdalla katettaisiin biometriset tiedot, kuten sormen-, käden- ja jalanjäljet, kasvokuva, ääni-, haju- ja käsialanäyte sekä fyysinen DNA-näyte ja siitä määritetty digitaalinen tai muu DNA-tunniste. Erityisiin henkilötietoryhmiin kuuluvien biometristen tietojen käsittely olisi rajoitettu 7 §:n 1 momentin 2 kohtaa vastaavasti vain välttämättömien tietojen käsittelyyn. Rajavartiolaitoksen ja rekisteröitävän oikeusturvan kannalta on välttämätöntä, että Rajavartiolaitos pystyy varmistamaan rekisteröitävän henkilöllisyyden luotettavasti. Henkilön tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita henkilön yksilöimis- ja tunnistetietoja. Esimerkiksi henkilön kuva on usein luotettavampi tunnistetieto kuin henkilön käyttämä nimi. Ehdotus ei muuttaisi voimassa olevaa oikeustilaa, vaan sisältäisi lähinnä EU:n muuttuvan tietosuojaviitekehyksen edellyttämät tarkennukset. Rajavartiolaitos tallettaisi lähtökohtaisesti tuntomerkkitiedot, erityisesti sormenjälki- ja DNA-tiedot voimassa olevan käytännön mukaisesti jatkossakin poliisin rekisterinpitoon.

Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5 ja 7 §:ssä.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti 1 momentin 3 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 4 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa rikosasioiden tietosuojalain 11 §:ssä tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta.

Pykälän 2 momentissa säädettäisiin velvollisuudesta liittää henkilötietoihin arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Käytännössä kyse olisi vakiintuneesta menettelystä, jossa Rajavartiolaitos arvioi tietojen luotettavuuden astetta. Säännöksellä huomioitaisiin tietosuojadirektiivin 7 artiklan 1 kohdan vaatimus siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista. Säännöksellä myös tuettaisiin direktiivin artiklan 2 kohdan vaatimusta siitä, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei luovuteta eikä aseteta saataville.

10 §. Tietolähdetietojen käsittely. Rajavartiolaitoksen rikostorjuntalain 36 §:ssä säädetään Rajavartiolaitoksen tietolähdetoiminnasta. Pykälän 1 momentin mukaan tietolähdetoiminnalla tarkoitetaan muuta kuin satunnaista luottamuksellista, Rajavartiolaitokselle laissa tutkittavaksi säädettyjen rikosten estämiseen ja selvittämiseen liittyvien tehtävien hoitamiseksi merkityksellisten tietojen vastaanottamista rajavartio- ja muun esitutkintaviranomaisen ulkopuoliselta henkilöltä. Mainitun pykälän 2 momentin mukaan tietolähdetoimintaa koskevat tiedot voidaan tallettaa henkilörekisteriin. Voimassa olevan Rajavartiolaitoksen henkilötietolain 7 §:n 3 momentin 4 kohdassa säädetään tietolähdetietojen tallettamisesta Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin.

Pykälässä selkiytettäisiin myös tietolähteen antamien tietojen asemaa tietolähdetietoina. Säännös mahdollistaisi myös tietolähteen käytön ja valvonnan kannalta tarpeellisten lähteen antamien tietojen varmistamiseen liittyvien tietojen käsittelyn. Näihin tietoihin voisivat kuulua esimerkiksi eri järjestelmien sisältämät tiedot, joita käsiteltäisiin lähteen ilmoittaman henkilön henkilöllisyyden varmistamiseksi.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Tietolähteen rekisteröinnistä ja kirjaamisesta säädetään lisäksi esitutkinnasta, pakkokeinoista ja salaisesta tiedonhankinnasta annetun valtioneuvoston asetuksen (122/2014) 3 luvun 13 §:n 2 momentissa ja 14 §:ssä.

11 §. Henkilötietojen käsittely sotilasoikeudenhoidossa. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä sotilasoikeudenhoidossa. Pykälä korvaisi voimassa olevan lain säännökset sotilasoikeudenhoidon rekisteristä ja kurinpitoratkaisurekisteristä. Sääntely ehdotetaan yhdistettäväksi, jotta sotilaskurinpitoa ja sotilasrikosten selvittämistä koskevat asiat voitaisiin käsitellä koko elinkaarensa ajan yhdessä henkilörekisterissä. Sääntely vastaisi asiasisällöllisesti Puolustusvoimien henkilötietolain sääntelyä.

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja Rajavartiolaitoksen hallintolain 31 §:n 3 momentissa tarkoitettuun esitutkintaan ja sotilaskurinpitomenettelyyn liittyvän tehtävän suorittamiseksi. Säännöksen sanamuoto kattaisi sekä sotilasrikosten esitutkintaan että ratkaisujen tallettamiseen liittyvät käsittelytarpeet. Näihin kuuluisivat muun muassa sotilaslakimiehen kurinpitolausunnon laatiminen sekä sotilasrikosasioissa annettavien ratkaisujen tekeminen, tallettaminen, täytäntöönpano ja valvonta. Käsittelytarkoitukset koskisivat sekä sotilaskurinpitomenettelyssä määrättäviä ratkaisuja että tuomioistuimen sotilasoikeudenkäyntiasiana käsiteltävissä asioissa annettuja ratkaisuja.

Pykälän 2 momentin mukaan edellytyksenä olisi, että sotilasoikeudenhoidossa käsiteltävät henkilötiedot liittyvät esitutkinnan tai pakkokeinon kohteena olevaan tai olleeseen taikka ilmoittajana, todistajana, asianomistajana tai muuna kuultavana esiintyvään henkilöön. Käsite muu kuultava kattaisi henkilöt, joita kuullaan esitutkinnassa, mutta joiden asema siinä ei ole vielä kuulemisvaiheessa selvillä. Muilta osin henkilöryhmät vastaisivat voimassa olevan lainsäädännön mukaan sotilasoikeudenhoidon rekisterissä ja kurinpitoratkaisurekisterissä käsiteltäviä henkilöryhmiä.

Pykälästä ehdotetaan voimassa olevaan säännökseen verrattuna poistettavaksi itsenäisenä henkilötietojen käsittelytarkoituksena rikos- ja seuraamustilastojen ylläpitäminen. Pelkkiä tilastointitarpeita ei voida pitää hyväksyttävänä syynä henkilötietojen käsittelylle, vaan tietojen käsittelylle tulee aina olla varsinaisiin esitutkintatehtäviin tai sotilasrikosasioiden ratkaisujen käsittelyyn liittyvä tarve. Pykälässä mainittuihin tarkoituksiin käsiteltävien henkilötietojen myöhemmästä käsittelystä tilastointitarkoituksiin säädetään rikosasioiden tietosuojalain 5 §:n 3 momentissa.

12 §. Sotilasoikeudenhoidossa käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin henkilötiedot, joita 11 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Pykälä vastaisi asiasisällöllisesti pääasiassa voimassa olevan lain sääntelyä.

Pykälän 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen numero, tapahtuma-aika ja -paikka, ilmoitusaika, rikosnimikkeet ja muut nimikkeet, törkeimmän rikoksen syyteoikeuden vanhentumisaika, tutkiva hallintoyksikkö, tutkijat, tutkinnan tila, tutkinnanjohtaja, sotilaslakimies, kurinpitoesimies, asian päättämiseksi tehdyt päätökset sekä asian ratkaisutieto, tiedot pakkokeinoista, esitutkinnan vaiheista ja sotilaslakimiehen lausunnosta sekä tietoja rikoksella menetetystä tai haltuun otetusta omaisuudesta omaisuuden löytämiseksi ja omistajalleen tai haltijalleen palauttamiseksi.

Pykälän 2 kohdan säännös olisi uusi voimassa olevaan lakiin verrattuna. Sen mukaan Rajavartiolaitos saisi käsitellä henkilöllisyyden toteamiseksi tarpeellisia tuntomerkkitietoja, mukaan lukien ääninäyte ja kasvokuva. Rikoksen esitutkinnassa voi olla tarpeellista käsitellä muun muassa tietoja henkilön pituudesta ja painosta taikka henkilön kuvia, ja ne on tällöin voitava myös tallettaa esitutkintaa koskevina tietoina. Tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita käytettävissä olevia henkilön yksilöimis- ja tunnistetietoja. Koska sotilasoikeudenhoidossa käsitellään ensisijaisesti sellaisten henkilöiden tietoja, jotka ovat Rajavartiolaitoksen palveluksessa, biometristen tietojen käsittely tuntomerkkitietoina ei useimmiten ole tarpeen.

Uuden säännöksen lisäämisellä ei ole tarkoitus muuttaa poliisin ja Rajavartiolaitoksen toimintatapoja, vaan pääsääntönä olisi edelleen, että henkilön tunnistetiedot kirjattaisiin poliisin rekistereihin. Laissa olisi kuitenkin tarpeen säätää Rajavartiolaitoksen oikeudesta käsitellä tällaisia tietoja.

Pykälän 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5, 7 ja 9 §:ssä.

Pykälän 4 kohdan mukaan Rajavartiolaitos saisi käsitellä ratkaisutietoja kurinpitopäätöksistä sekä syyttäjän ja tuomioistuimen sotilasoikeudenkäyntiasiana käsittelemistä asioista, päätöksen tai tuomion tiedoksiantoa ja muutoksenhakua koskevia tietoja sekä seuraamuksen täytäntöönpanoa koskevia tietoja. Pykälän 5 kohta puolestaan mahdollistaisi sotilaskurinpitomenettelyn valvontaa koskevien tietojen käsittelyn.

13 §. Henkilötietojen käsittely Rajavartiolaitoksen muissa lakisääteisissä tehtävissä. Pykälässä säädettäisiin henkilötietojen käsittelystä niissä Rajavartiolaitoksen lakisääteisissä tehtävissä, joista ei olisi muualla 2 luvussa erillisiä säännöksiä. Kyseessä olisi henkilötietojen käsittely, johon sovelletaan käsittelytarkoituksesta riippuen joko tietosuoja-asetusta ja tietosuojalakia tai rikosasioiden tietosuojalakia.

Pykälän 1 momentissa täsmennettäisiin, että Rajavartiolaitos saisi käsitellä henkilötietoja sille säädettyjen valvontatehtävien, tullitehtävien sekä etsintä-, pelastus- ja ensihoitotehtävien sekä muiden Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi. Tehtävät kuuluisivat pääosin tietosuoja-asetuksen soveltamisalaan. Pykälän nojalla saataisiin kuitenkin käsitellä henkilötietoja myös esimerkiksi aluevalvonnassa, johon sovelletaan rikosasioiden tietosuojalakia sen 1 §:n 2 momentin nojalla.

Pykälän 2 momentissa täsmennettäisiin henkilötiedot, joita 1 momentin mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Momentin 1 kohdan mukaiset Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset voisivat pitää sisällään esimerkiksi säilöön otettujen ulkomaalaisten tietoja (voimassa olevan lain 9 §:n 3 momentin 6 kohta), talousvyöhykkeen valvontatietoja (voimassa olevan lain 9 §:n 3 momentin 3 kohta), merenkulun turvatoimitietoja (voimassa olevan lain 12 §:n 3 momentin 1 kohta), terrorismin torjuntatietoja (voimassa olevan lain 12 §:n 3 momentin 2 kohta) sekä muuta Rajavartiolaitoksen annettavaa lupaa kuin rajavalvontaan ja rajaturvallisuuden ylläpitämiseen liittyvää lupaa koskevan asian käsittelytietoja. Tämän pykälän mukaisiin lupatietoihin kuuluisivat esimerkiksi meripelastuslain 25 §:ssä tarkoitetut hätämerkkiluvat.

Momentin 2 kohdassa säädettäisiin nimenomaisesti meriliikennettä ja vesikulkuneuvojen sijaintia koskevista tiedoista (voimassa olevan lain 9 §:n 3 momentin 3 kohta).

Momentin 3 kohdassa katettaisiin Rajavartiolaitoksen määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeelliset tiedot. Momentissa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat esimerkiksi merenkulun ympäristönsuojelulain (1672/2009) 3 luvussa tarkoitettu öljypäästömaksu sekä tieliikennelain (729/2018) 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu.

Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5, 7, 9 ja 12 §:ssä.

Rajavartiolaitos saisi osana pykälässä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Niitä saisi sisältyä kaikkiin 2 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti momentin 4 kohdassa tarkoitettuihin turvallisuustietoihin.

Erityisten henkilötietoryhmien käsittely perustuisi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Näitä asianmukaisia ja erityisiä toimenpiteitä olisivat tietosuoja-asetuksessa ja tietosuojalaissa määriteltyjen suojatoimien lisäksi muun muassa henkilötietojen käsittelylle 4 ja 13 §:ssä asetetut edellytykset, 14 ja 15 §:ssä asetetut edellytykset tietojen käsittelylle muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, 4 luvussa säädetyt edellytykset tietojen luovuttamiselle sekä 5 luvussa säädetyt säilytysajat.

Voimassa olevan lain 13 § sisältää rajoitussäännöksen, jonka mukaan turvallisuustietorekisteriä saavat käyttää vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt rajavartiomiehet sekä tilanteenseuranta- ja riskianalyysitehtävissä toimivat rajavartiomiehet. Esityksessä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Pykälään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Käyttöoikeudet Rajavartiolaitoksen tietojärjestelmiin myönnetään työtehtävien perusteella.

14 §. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. EU:n tietosuojalainsäädäntö edellyttää, että henkilötietoja käsitellään pääsääntöisesti vain siihen laissa säädettyyn tarkoitukseen, jota varten ne on kerätty. Tietosuojalainsäädäntö mahdollistaa kuitenkin henkilötietojen käsittelyn myös muuhun tarkoitukseen, jos siitä säädetään laissa, ja käsittely on tarpeellista ja oikeasuhtaista. Pykälä vastaisi pääosin voimassa olevan lain 25 §:n säännöksiä, mutta säännöksiä laajennettaisiin ja tarkennettaisiin eräiltä osin.

Pykälän 1 momentissa lueteltaisiin muut kuin henkilötietojen alkuperäiset käsittelytarkoitukset, joihin Rajavartiolaitos saisi käsitellä tietoja. Momentin säännöksiä sovellettaisiin, jollei muualla laissa säädettäisi tiukempia edellytyksiä jonkin tiedon käsittelylle. Tällä tarkoitettaisiin esimerkiksi Rajavartiolaitoksen rikostorjuntalain 48 §:n ja pakkokeinolain 10 luvun 56 §:n mukaisia edellytyksiä tietyillä toimenpiteillä saatujen ylimääräisten tietojen käyttämisestä.

Momentin 1 kohdan mukaan Rajavartiolaitos saisi käsitellä tietoja rikoksen ennalta estämiseksi ja paljastamiseksi. Kohdassa huomioitaisiin voimassa olevan lain 25 §:ään nähden uutena käsittelyn tarkoituksena rikosten paljastaminen, josta säädetään Rajavartiolaitoksen rikostorjuntalaissa. Tietojen käsittely rikoksen ennalta estämiseksi on sallittua myös voimassa olevan 25 §:n 1 momentin mukaan, mutta käsittely on voimassa olevassa laissa rajoitettu ehdotetusta 1 kohdasta poiketen vankeusuhkaisen rikoksen estämiseen.

Momentin 2 kohta vastaisi asiallisesti voimassa olevaa lakia. Tietojen käsittely rikoksen selvittämiseksi olisi 2 kohdan mukaan mahdollista voimassa olevan 25 §:n 1 momentin 3 kohtaa vastaavasti ainoastaan kun kyse on sellaisen rikoksen selvittämisestä, josta saattaa seurata vankeutta.

Momentin 3 ja 4 kohdat olisivat voimassa olevaan lakiin nähden uusia. Momentin 3 kohdassa säädettäisiin henkilötietojen käsittelystä etsintäkuulutetun tavoittamiseksi. Etsintäkuulutuksen määritelmästä ei ole säädetty laissa. Etsintäkuulutuksella tarkoitetaan asianomaisen viranomaisen päätökseen perustuvaa ilmoitusta, joka henkilörekisterin avulla saatetaan viranomaisten tiedoksi ja jossa pyydetään tietyn henkilön tavoittamiseksi tarpeellisia tietoja. Kuulutuksen tarkoituksena on saada etsittyyn henkilöön tai hänen hallussaan olevaan omaisuuteen kohdistetuksi kuulutuksessa yksilöity virkatoimi. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen on tarpeellista etsintäkuulutetun tavoittamiseksi esimerkiksi tilanteissa, joissa etsintäkuulutetun tavoittamisen tarve liittyy asiakirjojen tiedoksi saattamiseen. Etsintäkuulutus tulee voida saattaa kaikkien niiden tahojen tietoon, jotka ovat mahdollisesti tekemisissä etsintäkuulutetun kanssa.

Momentin 5 kohta vastaisi sisällöltään osittain voimassa olevan 25 §:n 1 momentin 2 kohtaa, mutta kohdassa säädettäisiin välittömän ja vakavan yleistä turvallisuutta uhkaavan vaaran torjumisen sijaan hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran estämisestä. Kohta sisältäisi aiemmasta poiketen käsittelyn perusteena myös huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämisen.

Momentin 6 kohta vastaisi sisällöllisesti voimassa olevan 25 §:n 1 momentin 1 kohtaa, mutta kohdan sanamuotoa muutettaisiin vastaamaan rikosasioiden tietosuojalaissa sekä muualla lainsäädännössä omaksuttua terminologiaa.

Momentin 7 kohta olisi voimassa olevaan lakiin nähden uusi, mutta asiasisällöllisesti säännös ei merkitsisi muutosta nykytilaan. Schengenin rajasäännöstön 8 artiklan mukaan rajatarkastuksen yhteydessä on tehtävä hakuja kansallisiin ja eurooppalaisiin tietokantoihin muun muassa sen varmistamiseksi, että henkilö ei muodosta uhkaa minkään jäsenvaltion yleiselle järjestykselle, sisäiselle turvallisuudelle, kansanterveydelle tai kansainvälisille suhteille. Voimassa olevan lain 7 ja 8 § mahdollistavat mainittujen pykälien nojalla käsiteltävien henkilötietojen käyttämisen myös rajavalvonnan suorittamiseksi.

Momentin 8—10 kohdat olisivat voimassa olevaan lakiin nähden uusia. Säännökset mahdollistaisivat Rajavartiolaitoksen käsittelemien henkilötietojen käyttämisen myös palveluskelpoisuuden määrittämistä sekä palveluksen suunnittelua ja järjestämistä varten, poikkeusolojen tehtäviin sijoittamista tai varautumista varten sekä sotilasarvossa ylentämistä tai palkitsemista varten. Sääntely liittyy Rajavartiolaitoksen sotilaallisen maanpuolustuksen tehtäviin sekä muuhun kansallisen turvallisuuden suojaamiseen liittyviin tehtäviin. Näissä käsittelytarkoituksissa olisi tarpeen käsitellä ensisijaisesti 6 §:ssä tarkoitettuja rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltäviä henkilötietoja sekä 7 §:ssä tarkoitettuja rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja.

Momentin 11 kohdalla korvattaisiin voimassa olevan 25 §:n 1 momentin 4 kohta. Momentin 12 kohta olisi uusi säännös, jolla mahdollistettaisiin henkilötietojen käsittely Rajavartiolaitoksen toiminnan suuntaamiseksi.

Ehdotettujen 1, 4, 5 ja 12 kohtien mukaiset käsittelytarkoitukset vastaisivat sisällöltään Rajavartiolaitoksen rikostorjuntalain 48 §:n 4 ja 5 momentin ja pakkokeinolain 10 luvun 56 §:n 4 ja 5 momentin mukaisia säännöksiä salaisilla tiedonhankinta- ja pakkokeinoilla saatujen ylimääräisten tietojen käsittelystä. Ylimääräistä tietoa saa mainittujen lakien mukaan käyttää aina rikoksen estämiseksi ja Rajavartiolaitoksen toiminnan suuntaamiseksi (pakkokeinolaki) tai Rajavartiolaitoksen tutkittavaksi kuuluvan rikoksen estämiseksi ja Rajavartiolaitoksen rikostorjunnan toiminnan suuntaamiseksi (Rajavartiolaitoksen rikostorjuntalaki). Ylimääräistä tietoa saa käyttää myös syyttömyyttä tukevana selvityksenä sekä hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi.

Tiedon käytöllä Rajavartiolaitoksen toiminnan suuntaamiseksi tarkoitettaisiin ehdotetussa 12 kohdassa myös tiedon välillistä hyödyntämistä niin, että tietoa ei käytetä näyttönä tai tiedonhankintakeinon käytön perusteena. Tiedon hyödyntäminen Rajavartiolaitoksen toiminnan suuntaamiseksi voi liittyä esimerkiksi rikoksen estämiseen, paljastamiseen, analyysitoimintaan, esitutkinnan aloittamiskynnyksen selvittämiseen tai esitutkinnan suuntaamiseen.

Pykälän 2 momentissa huomioitaisiin rikosasioiden tietosuojalain 5 §:n 3 momenttiin verrattavissa olevat Rajavartiolaitoksen tarpeet käsitellä henkilötietoja laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi. Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 25 §:n 2 momenttia.

Voimassa olevan lain 25 §:n 2 momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella siten, että henkilörekisteriin sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa Rajavartiolaitoksen henkilörekisterien asianmukaista valvontaa. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi uutena kohtana analyysitoiminta, joka on luonteeltaan samankaltaista kuin voimassa olevassa 25 §:n 2 momentissa tarkoitettu suunnittelu- ja kehittämistoiminta. Analyysitoiminnalla tarkoitettaisiin erityisesti rikollisuuden tilannekuvan ylläpitämiseksi ja rikollisuuden uhkakuvien ennakoimiseksi suoritettavaa strategista analyysia, joka edellyttää mahdollisuuksia myös Rajavartiolaitoksen hallussa olevien henkilötietojen hyödyntämiseen. Momentissa tarkoitetuissa käsittelytarkoituksissa ei olisi kyse Rajavartiolaitoksen yksittäisen tehtävän suorittamisesta, vaan yleisemmästä tarpeesta käsitellä henkilötietoja tiettyihin tarkoituksiin.

Pykälän 3 momentti sisältäisi informatiivisen säännöksen erityisiin henkilötietoryhmiin kuuluvia tietoja koskevasta tiukemmasta käsittelykynnyksestä.

15 §. Henkilötietojen käsittely lupaharkinnassa. Pykälässä säädettäisiin edellytyksistä, joilla Rajavartiolaitos saisi käsitellä 5—7 ja 11—13 §:ssä tarkoitettuja tietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lupahallintoon liittyvien tehtävien suorittamiseksi. Tietoja saisi säännöksen mukaan käyttää päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.

Luvan myöntämisen ja voimassaolon edellytyksistä säädetään muualla lainsäädännössä. Ehdotetun säännöksen kannalta merkityksellisiä ovat erityisesti rajavyöhykeluvan myöntämiselle ja voimassaololle säädetyt edellytykset, joista säädetään rajavartiolain 52—55 §:ssä. Edellä 8 ja 9 §:ssä tarkoitetut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot rajattaisiin tällaisen käsittelyn ulkopuolelle. Säännös vastaisi asiallisesti voimassa olevan lain 25 §:n 1 momentin 5 kohtaa.

16 §. Rekisterinpitäjä. Pykälän mukaan tässä laissa tarkoitettujen tietojen rekisterinpitäjä olisi Rajavartiolaitoksen esikunta. Säännös merkitsisi muutosta nykytilaan, jonka mukaan rekisterinpitäjänä toimii joko Rajavartiolaitoksen esikunta (valtakunnalliset henkilörekisterit) tai hallintoyksikkö (paikalliset rekisterit). Koska uuden lain soveltamisala ehdotetaan rajattavaksi ainoastaan henkilötietojen käsittelyyn Rajavartiolaitokselle laissa säädettyjen tehtävien suorittamiseksi ja koska laissa säädettäisiin nimettyjen rekisterien sijaan yleisemmin henkilötietojen käsittelytarkoituksista, on perusteltua, että henkilötiedoilla on vain yksi vastuullinen rekisterinpitäjä. Sääntely myös varmistaisi nykyistä paremmin sen, että Rajavartiolaitoksen lakisääteisiin tehtäviin liittyviä henkilötietoja käsitellään yhdenmukaisesti koko Rajavartiolaitoksessa.

Rajavartiolaitoksen hallintoyksiköt olisivat edelleen rekisterinpitäjiä siltä osin kuin ne käsittelevät henkilötietoja suoraan tietosuoja-asetuksen ja tietosuojalain nojalla.

3 luku Oikeus tietojen saamiseen

17 §. Tietojen saanti viranomaiselta. Pykälä vastaisi asiallisesti voimassa olevan lain 17 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä ja henkilöltä virkatehtävän suorittamiseksi tarpeelliset tiedot ja asiakirjat salassapitovelvollisuuden estämättä, jollei sellaisen tiedon tai asiakirjan antamista Rajavartiolaitokselle tai tietojen käyttöä todisteena ole laissa kielletty tai rajoitettu. Voimassa olevasta säännöksestä poiketen oikeus tietojen saamisesta maksutta sisältyisi jatkossa tietojen toimittamista Rajavartiolaitokselle koskevaan 27 §:ään.

Pykälän 2 momentin mukaan päätöksen salassa pidettävien tietojen hankkimisesta tekisi pidättämiseen oikeutettu virkamies, jollei tietojen luovuttajan kanssa toisin sovittaisi. Päätöksentekotaso on katsottu lähtökohtaisesti edelleen tarkoituksenmukaiseksi silloin, kun tietoja pyydetään yksittäistapauksissa. Poliisilain 4 luvun 2 §:n mukaan vastaavien tietojen pyytämisestä päättää päällystöön kuuluva poliisimies. Momentti mahdollistaisi kuitenkin, että pyynnön esittäjä voisi olla muukin Rajavartiolaitoksen virkamies, jos niin olisi sovittu toisin tiedon luovuttajan kanssa. Tämä olisi tarkoituksenmukaista erityisesti silloin, kun tietoja luovutetaan Rajavartiolaitokselle teknisen käyttöyhteyden avulla tai tietojoukkona.

18 §. Tietojen saanti yksityiseltä yhteisöltä ja henkilöltä. Pykälä vastaisi pääosin voimassa olevan lain 18 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi voimassa olevasta laista poiketen oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä tietoja yksityiseltä yhteisöltä ja henkilöltä myös rikosten paljastamiseksi. Tämä olisi tarkoituksenmukaista, koska Rajavartiolaitos käsittelisi henkilötietoja myös muutoin tässä tarkoituksessa ehdotettavien 8 ja 9 §:n perusteella. Lisäksi voimassa olevasta säännöksestä poiketen oikeus tietojen saamisesta maksutta sisältyisi jatkossa tietojen toimittamista Rajavartiolaitokselle koskevaan 27 §:ään.

Yrityksillä on runsaasti yrityssalaisuuden piiriin kuuluvia omalle elinkeinotoiminnalleen merkityksellisiä tietoja kuten tuotekehitystietoja. Säännöksen perusteella yrityksellä ei olisi suoranaista velvollisuutta luovuttaa omalle yritystoiminnalleen tai sopimuskumppanilleen merkityksellisiä yrityssalaisuuden ytimeen kuuluvia tietoja. Tietopyynnöissä olisi yleisimmin kyse asiakas-, työntekijä- tai muussa taloudellisessa suhteessa olevien tahojen yksilöivistä tiedoista. Säännös mahdollistaisi yksityiselle taholle tiedon luovuttamisen ilman, että tämä syyllistyisi rangaistavaksi säädettyyn tekoon. Yritys-, pankki- ja vakuutussalaisuuden alaisen tiedon luovuttaja voisi luovuttaessaan tiedon Rajavartiolaitokselle olla vakuuttunut, että hän toimisi sallitulla tavalla. Tiedot luovutettaisiin luovuttajan omien sisäisten toimintaprosessien mukaisesti.

Pykälän 2 momentissa säädettäisiin voimassa olevaa lakia vastaavasti Rajavartiolaitoksen oikeudesta saada yksittäistapauksessa tietoja teleyrityksiltä ja yhteisötilaajalta sekä postitoimintaa harjoittavalta yhteisöltä.

Pykälän 3 momentissa säädettäisiin voimassa olevaa lakia vastaavasti Rajavartiolaitoksen oikeudesta saada tietoja lupahallintoa varten yksityiseltä yhteisöltä ja henkilöltä noudattaen, mitä 17 §:ssä säädetään.

19 §. Uhkasakko. Pykälä olisi uusi voimassa olevaan lakiin verrattuna. Pykälän mukaan Rajavartiolaitos voisi velvoittaa yksityistä yhteisöä tai henkilöä antamaan 18 §:ssä tarkoitetut tiedot kohtuullisessa määräajassa, jos tiedot ovat tarpeen Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi tai selvittämiseksi. Rajavartiolaitos voisi myös asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä olisi noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saisi asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto liittyy rikosepäilyn kohteena olevaan asiaan. Muilta osin uhkasakosta olisi voimassa, mitä uhkasakkolaissa (1113/1990) säädetään.

Säännöksen tavoitteena olisi tehostaa tarpeellisten tietojen saamista yksittäistapauksissa sekä ehkäistä tietojen luovutukseen liittyvää mahdollista tahallista tai tarkoituksellista niskoittelua. Säännös olisi omiaan kannustamaan Rajavartiolaitosta ja tietoja luovuttavia toimijoita sopimaan jo ennalta kummankin osapuolen kannalta vähiten muita toimintoja haittaavista tavoista tietojenvaihtoon. Säännös vastaisi rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 14 §:n 5 momenttia. Tietopyynnöissä ja uhkasakon asettamisessa noudatettaisiin rajavartiolain 2 luvun mukaisia periaatteita, erityisesti suhteellisuusperiaatetta (7 §), vähimmän haitan periaatetta (7 a §), tarkoitussidonnaisuuden periaatetta (7 b §) ja esitutkintatehtävässä noudatettavia periaatteita (10 §).

20 §. Tietojen saanti eräistä rekistereistä ja tietojärjestelmistä. Pykälä täydentäisi ehdotettuja 17—19 §:ää sekä muualla lainsäädännössä olevia säännöksiä viranomaisten oikeudesta luovuttaa henkilörekistereistään tietoa Rajavartiolaitokselle, eikä se siten olisi luonteeltaan tyhjentävä. Ehdotetusta pykälästä on karsittu voimassa olevan lain 22 §:ään verrattuna tarpeetonta kaksinkertaista sääntelyä. Lähtökohtana on, että Rajavartiolaitoksen tiedonsaantioikeudesta ei olisi tarpeen säätää, jos tiedon luovuttavan tahon lainsäädäntö mahdollistaa tietojen luovuttamisen Rajavartiolaitokselle.

Henkilötietojen luovuttamisesta Rajavartiolaitokselle säädetään esimerkiksi poliisin henkilötietolaissa, henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015), henkilötietojen käsittelystä Puolustusvoimissa annettavassa laissa, henkilötietojen käsittelystä maahanmuuttohallinnossa annettavassa laissa, henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa (1069/2015) ja liikenteen palveluista annetussa laissa (320/2017). Lisäksi usea laki oikeuttaa luovuttamaan henkilötietoja viranomaisen lakisääteisen tehtävän suorittamiseksi.

Rajavartiolaitoksella olisi oikeus saada pykälän 1 momentissa tarkoitetut tiedot salassapitosäännösten estämättä. Tietojen saannin maksuttomuudesta säädettäisiin 27 §:ssä.

Momentin 1 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada merenkulkuviranomaisilta ja alusliikennepalvelun tarjoajalta tietoja meriliikenteestä, sen valvonnasta ja vesikulkuneuvojen sijainnista merivalvonnan tietojärjestelmistä, alusten ilmoittautumisjärjestelmästä, laivaliikenteen ohjaus- ja informaatiopalvelun tietojärjestelmistä, alusten ohjaus- ja tukipalvelun tietojärjestelmistä, satamaliikenteen tietojärjestelmistä sekä muista alusliikennepalvelun tietojärjestelmistä Rajavartiolaitoksen merellä suoritettavaksi säädettyä valvontatehtävää varten. Säännös korvaisi voimassa olevan lain 22 §:n 1 momentin 4 ja 11 kohdat. Säännös täydentäisi myös aluevalvontalain 30 a §:n 1 momenttia (HE 34/2018 vp), jonka mukaan Rajavartiolaitoksella on oikeus tilannekuvaa varten saada korvauksetta alusliikennepalvelun tarjoajalta tietoja meriliikenteestä sekä muita aluevalvonnan kannalta merkityksellisiä tietoja.

Momentin 2 kohdan mukaan Rajavartiolaitoksella olisi oikeus saada ilmailu-, kalastus-, merenkulku-, ympäristö- ja pelastusviranomaisilta sekä poliisilta, Tullilta ja Puolustusvoimilta tietoja kulkuneuvoista, liikenteestä, viranomaisten toimintavalmiudesta ja hälyttämisestä rajaturvallisuuden ylläpitämistä, pelastustehtävää sekä merellä tai maarajalla Rajavartiolaitoksen suoritettavaksi säädettyä valvontatehtävää varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 8 kohtaa.

Momentin 3 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada hätäkeskustietojärjestelmästä henkilön oman turvallisuuden tai Rajavartiolaitoksen virkamiehen työturvallisuuden kannalta tarpeellisia tietoja Rajavartiolaitoksen lakisääteisen tehtävän suorittamista varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 22 kohtaa.

Sakon täytäntöönpanosta annetun lain (672/2002) 50 §:n 2 momentin mukaan Oikeusrekisterikeskus saa salassapitovelvollisuuden estämättä pyynnöstä luovuttaa tietoja niille, joiden oikeudesta mainittujen tietojen saamiseen säädetään erikseen lailla. Momentin 4 kohta sisältäisi tätä tarkoittavat tiedonsaantisäännökset. Momentin 5 kohdassa säädettäisiin tiedonsaantioikeuksista muilta oikeushallinnon viranomaisilta.

Momentin 6 kohdan mukaan Rajavartiolaitoksella olisi oikeus saada ulkoministeriön tietojärjestelmistä tietoja Suomessa lähettäjävaltiota edustavan diplomaatti- tai konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen tai muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista sekä heidän perheenjäsenistään ja yksityisessä palveluksessaan olevista henkilöistä rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa sekä Rajavartiolaitokselle ulkomaalaislaissa säädetyn tehtävän suorittamista varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 17 kohtaa.

Momentin 7 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada tietoja yhteisen kalastuspolitiikan seuraamusjärjestelmästä ja valvonnasta annetun lain (1188/2014) 29 §:ssä tarkoitetusta valvonnan tietojärjestelmästä kalastuksenvalvontaa, vesiliikenteen valvontaa, rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa, pelastustehtävää, merenkulun turvatoimilaissa tarkoitettua tehtävää sekä liikenteenharjoittajan seuraamusmaksun määräämistä varten. Valvonnan tietojärjestelmä muodostuu mainitun lain mukaisesta saalisrekisteristä (30 §), ensiostajarekisteristä (31 §), myynti-ilmoitusrekisteristä (32 §), aluksen satelliittiseurantajärjestelmästä (33 §), kalastuksen valvontaan liittyvästä ilmoitus- ja luparekisteristä (34 §), valvontatapahtumarekisteristä (35 §), saalistodistusrekisteristä (36 §) ja rikkomusrekisteristä (64 §), merellä toimivien kalastus- ja vesiviljelyalusten rekisteröinnistä annetussa laissa (690/2010) tarkoitetusta kalastusalusrekisteristä sekä Euroopan unionin yhteisen kalastuspolitiikan kansallisesta täytäntöönpanosta annetussa laissa (1048/2016) tarkoitetuista sisävesien kalastusalusrekisteristä ja siirrettävien käyttöoikeuksien ja toimijakohtaisten kalastuskiintiöiden rekistereistä.

Voimassa olevan lain vastaava säännös viittaa jo kumottuun Euroopan yhteisön yhteisen kalastuspolitiikan täytäntöönpanosta annettuun lakiin (1139/1994). Euroopan unionin kalastuspolitiikkaa koskeva sääntely on sittemmin jakaantunut useaan eri lakiin, ja siihen liittyvien rekisterien määrä on lisääntynyt. Rajavartiolaitos on nimetty laissa eräiden edellä mainittujen rekisterien käyttäjäksi, mutta sääntely ei ole tältä osin kattavaa. Ehdotettu säännös täydentäisi siten Rajavartiolaitoksen oikeutta saada tietoa rekistereistä, jotka ovat tarpeen sen lakisääteisten tehtävien suorittamiseksi.

Momentin 8 kohta sisältäisi voimassa olevan lain 22 §:n 1 momentin 20 kohtaa vastaavan säännöksen tietojen saamisesta virka-apua pyytäneeltä viranomaiselta.

Momentin 9kohta olisi uusi voimassa olevaan lakiin verrattuna. Siinä säädettäisiin Rajavartiolaitoksen oikeudesta saada yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevia tietoja PTR-laissa tarkoitetussa yhteistoiminnassa suoritettavaa tehtävää varten. Säännös ei edellyttäisi sitä, että matkustaja- ja miehistötietoja käsittelevä rajavartiomies olisi organisatorisesti sijoitettu PTR-rakenteeseen. Tietojen käsittelyoikeus olisi kuitenkin sidottu yksinomaan PTR-lain mukaiseen yhteistoimintaan, eikä tietoja siten saisi käsitellä ehdotettavan säännöksen nojalla muissa Rajavartiolaitoksen lakisääteisissä tehtävissä. Säännöksen nojalla Rajavartiolaitos saisi käsitellä myös suorakäyttöisesti liikenteenharjoittajien tietojärjestelmissä, kuten varausjärjestelmissä olevia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Lisäksi Rajavartiolaitos saisi säännöksen perusteella käsitellä tietoja, jotka liikenteenharjoittaja on jo toimittanut toiselle viranomaiselle. Tällä varmistettaisiin se, ettei liikenteenharjoittajan tarvitse toimittaa samoja tietoja useaan kertaan eri viranomaisille.

21 §. Muiden viranomaisten tietojen luovuttaminen Rajavartiolaitokselle suorakäyttöisesti tallettamalla. Pykälässä säädettäisiin Rajavartiolaitoksen mahdollisuudesta antaa toiselle viranomaiselle oikeus tallettaa tietoja suoraan Rajavartiolaitoksen henkilörekistereihin. Pykälä vastaisi asiasisällöllisesti pääasiassa voimassa olevan lain 23 §:ää.

Pykälän 1 momentin 1 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden oikeushallintoviranomaisille, Rikosseuraamuslaitokselle ja Oikeusrekisterikeskukselle. Nämä saisivat tallettaa Rajavartiolaitoksen henkilörekistereihin esimerkiksi etsintäkuuluttamiaan henkilöitä koskevia tietoja ja Rikosseuraamuslaitos myös tuntomerkkitietoja vapauteen kohdistuvaa rangaistusta suorittavista tai suorittaneista henkilöistä.

Momentin 2 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden poliisille, Tullille ja Puolustusvoimille. Poliisilla tarkoitettaisiin myös suojelupoliisia. Mainitut viranomaiset tallettaisivat Rajavartiolaitoksen henkilörekisteriin voimassa olevan käytännön mukaisesti esimerkiksi etsintäkuuluttamiaan henkilöitä sekä poliisi ja Tulli myös suorittamiinsa rajatarkastuksiin liittyviä tietoja.

Momentin 3 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden myös ulkoasiainhallinnolle. Sen sijaan pykälässä ei enää säädettäisi voimassa olevan lain tavoin työ- ja elinkeinoministeriön oikeudesta tallettaa tietoja, koska säännökselle ei ole ollut käytännön tarvetta.

Suorakäyttöinen tallettamisoikeus koskisi kaikkia laissa säädettyjä henkilötietojen käsittelytarkoituksia ja perustuisi tietoja tallettavan viranomaisen lakisääteisiin tehtäviin. Säännös ei velvoittaisi Rajavartiolaitosta, vaan ainoastaan mahdollistaisi luvan antamisen. Tietojen tallettamisen yksityiskohdista ja vastuukysymyksistä tulisi sopia rekisterinpitäjän ja tietoja tallettavan tahon välillä erikseen. Säännös ei vaikuttaisi rekisterinpitäjän vastuuseen, vaan rekisterinpitäjä vastaisi suhteessa rekisteröityyn täysimääräisesti myös tiedoista, jotka toinen viranomainen on rekisteriin tallettanut. Pykälän tarkoituksena on ensisijaisesti vähentää turhaa kaksinkertaista työtä, joka aiheutuisi siitä, että tiedot ensin erikseen luovutettaisiin Rajavartiolaitokselle, joka kirjaisi ne itse henkilörekisteriinsä. Osapuolten olisi kuitenkin aina varmistettava tietosuojan toteutuminen ja erityisesti kirjattujen tietojen oikeellisuus ja eheys.

22 §. Tiedot ulkorajan ylittävässä kulkuneuvossa olevista henkilöistä. Pykälä vastaisi pääosin voimassa olevan lain 19 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi salassapitosäännösten estämättä oikeus saada ja käsitellä yhteisöjen ja yhtymien matkustajia ja kulkuneuvojen henkilökuntaa koskevia tarpeellisia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Voimassa olevaan lakiin verrattuna säännöksestä poistettaisiin ehdotetun 18 §:n kanssa päällekkäisenä oikeus tietojen saantiin rikosten estämiseksi, selvittämiseksi ja syytteeseen saattamiseksi.

Tiedonsaanti- ja käsittelyoikeus koskisi pykälän otsikon mukaisesti ainoastaan ulkorajaliikenteen matkustaja- ja miehistötietoja. Oikeus ei kuitenkaan ulottuisi PNR-direktiivin mukaisiin lisätietoihin, josta säädettäisiin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa annettavassa laissa (HE 55/2018 vp). Säännöksen nojalla Rajavartiolaitos saisi käsitellä myös suorakäyttöisesti liikenteenharjoittajien tietojärjestelmissä, kuten varausjärjestelmissä olevia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Lisäksi Rajavartiolaitos saisi säännöksen perusteella käsitellä tietoja, jotka liikenteenharjoittaja on jo toimittanut toiselle viranomaiselle. Tällä varmistettaisiin se, ettei liikenteenharjoittajan tarvitse toimittaa samoja tietoja useaan kertaan eri viranomaisille.

Pykälän 2momentissa säädettäisiin maahan saapuvan ja maasta lähtevän ulkorajan ylittävän ajoneuvon kuljettajan velvollisuudesta toimittaa maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle tiedot ajoneuvossa olevista henkilöistä. Vastaavasti säädettäisiin aluksen tai ilma-aluksen päällikön, junan tai muun liikennevälineen omistajan tai haltijan taikka näiden edustajan velvollisuudesta antaa maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle matkustaja- ja miehistöluettelo tai muutoin tiedot liikennevälineen henkilökunnasta, matkustajista ja muista liikennevälineessä olevista henkilöistä, jollei tietoja jo ole toimitettu 23 tai 24 §:n perusteella.

Pykälän 3 momentissa säädettäisiin tarkemmin, mitä tietoja matkustaja- ja miehistöluettelosta tulee käydä ilmi.

Pykälän 4 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä.

23 §. Lentoliikenteen matkustajatiedot. Pykälä vastaisi voimassa olevan lain 20 §:ää sekä hallituksen esityksessä HE 201/2017 vp pykälään ehdotettavia muutoksia. Voimassa olevan lain vastaavalla pykälällä on pantu kansallisesti täytäntöön neuvoston direktiivi 2004/82/EY liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (jäljempänä API-direktiivi).

Pykälän 1 momentissa säädettäisiin lentoliikenteen harjoittajan velvollisuudesta toimittaa rajatarkastusviranomaiselle tämän pyynnöstä lentoliikenteen matkustajatiedot ulkorajaliikenteessä.

Pykälän 2 momentti sisältäisi API-direktiivin mukaiset edellytykset siitä, mitä tietoja matkustajatietoihin on sisällyttävä. Tiedot olisi luovutettava nykyiseen tapaan sähköisesti, tai jos se ei ole mahdollista, muulla asianmukaisella tavalla. Voimassa olevan lain säännös siitä, mihin tarkoituksiin lentoliikenteen matkustajatietoja ja 22 §:ssä tarkoitettuja tietoja saa käyttää, siirrettäisiin ehdotettavaan uuteen 25 §:ään. Vastaavasti lentoliikenteen matkustajatietojen poistamista koskevat säännökset siirrettäisiin ehdotettavaan uuteen 39 §:ään.

Pykälän 3 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä.

24 §. Matkustajia ja miehistöä koskevat tiedot alus- ja junaliikenteessä. Pykälä vastaisi voimassa olevan lain 20 a §:ää sekä hallituksen esityksessä HE 201/2017 vp pykälään ehdotettavia muutoksia.

Pykälän 1 momentin mukaan ammattimaisesti henkilöiden tai tavaroiden kuljetusta vesiteitse tai rautateitse harjoittavan luonnollisen henkilön tai oikeushenkilön olisi toimitettava rajatarkastusviranomaiselle 22 §:n 2 ja 3 momentissa tarkoitetut matkustaja- ja miehistötiedot ennen rajatarkastukseen saapumista.

Pykälän 2 momentin mukaan junaliikenteessä tiedot olisi toimitettava viimeistään junan lähdettyä viimeiseltä asemalta, jolta se on ottanut matkustajia. Alusliikenteen tietojen ennakkotoimitusvelvollisuuteen sovellettaisiin, mitä Schengenin rajasäännöstössä ja muualla säädetään tai määrätään.

Pykälän 3 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä.

25 §. Matkustaja- ja miehistötietojen käsittely. Pykälä olisi uusi voimassa olevaan lakiin verrattuna, mutta ehdotettu sääntely vastaisi asiallisesti voimassa olevan lain 20 §:n 2 momentin viimeistä virkettä. Pykälän 1 momentin mukaan 22—24 §:ssä tarkoitettuja matkustajia ja miehistöä koskevia tietoja saisi ensinnäkin käsitellä rajatarkastusten helpottamiseksi sekä laittoman maahantulon ja laittoman maahanmuuton torjumiseksi. Säännös ilmaisisi matkustaja- ja miehistötietojen ensisijaisen käyttötarkoituksen. Lentoliikenteen matkustajatietojen osalta API-direktiivi kuitenkin mahdollistaa sen, että kansallisessa laissa säädetään matkustajatietojen käyttämisestä myös muissa tarkoituksissa. Tämän vuoksi säädettäisiin voimassa olevan lain tavoin, että tietoja saisi käsitellä Rajavartiolaitokselle, poliisille tai Tullille säädetyssä muussa tehtävässä. Muiden liikennemuotojen sekä miehistötietojen osalta sääntely perustuisi kansalliseen tarpeeseen. Sääntely ei asiasisällöllisesti käytännössä muuttuisi nykyisestä.

Pykälän 2 momentin säännös olisi uusi. Se vahvistaisi lain tasolla jo voimassa olevan käytännön, jossa matkustajia ja miehistöä koskevia tietoja vertaillaan automaattisesti 1 momentissa tarkoitetun käsittelyn kannalta tarpeellisiin rekistereihin ja tietokantoihin. Vertailu tapahtuisi käytännössä pian matkustaja- ja miehistötietojen saamisen jälkeen.

26 §. Seuraamukset. Pykälä sisältäisi informatiiviset viittaukset ulkomaalaislainseuraamussäännöksiin. Ulkomaalaislain 179 §:ssä säädetään liikenteenharjoittajan seuraamusmaksusta, joka määrätään muun muassa Rajavartiolaitoksen henkilötietolain 23 ja 24 §:ssä (aiemmin 20 ja 20 a §) tarkoitetun liikenteenharjoittajan tiedonantovelvollisuuden laiminlyönnistä. Lisäksi lain 185 §:n mukaan ulkomaalaisrikkomuksesta tuomitaan se, joka tahallaan tai törkeästä huolimattomuudesta laiminlyö Rajavartiolaitoksen henkilötietolain 22 §:ssä (aiemmin 19 §) säädetyn velvollisuutensa.

27 §. Tietojen toimittaminen Rajavartiolaitokselle. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus saada tässä luvussa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä. Säännös olisi lakiteknisesti uusi, mutta oikeus tietojen saamiseen maksutta sisältyy jo voimassa olevan lain 17 ja 18 §:n yleisiin tiedonsaantisäännöksiin. Sääntely kuitenkin selkeyttäisi sitä, että oikeus tietojen saamiseen maksutta käsittäisi yksittäisten tiedonluovutusten lisäksi myös tietojen saamisen teknisen käyttöyhteyden avulla.

Pykälän 1 momentti sisältäisi myös voimassa olevan lain 43 §:ää vastaavan säännöksen siitä, että Rajavartiolaitoksella olisi oikeus saada tässä luvussa tarkoitetut tiedot myös teknisen käyttöyhteyden avulla tai tietojoukkona siten kuin siitä rekisterinpitäjän kanssa sovitaan. Sopimisella tarkoitettaisiin niitä käytännön menettelyjä, joita teknisen käyttöyhteyden avaaminen toisen viranomaisen henkilörekisteriin edellyttää.

Pykälän 2 momentin mukaan Rajavartiolaitoksen olisi pyynnöstä annettava henkilötietoja luovuttaneelle rekisterinpitäjälle tietoja teknisen käyttöyhteyden avulla, tietojoukkona tai suorakäyttöisen tallettamisen kautta saamiensa henkilötietojen käsittelystä. Vastaava säännös sisältyy voimassa olevan lain 22 §:n 2 momenttiin ja 23 §:n 2 momenttiin. Momenttiin ei kuitenkaan sisältyisi voimassa olevassa laissa Rajavartiolaitokselle asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.

28 §. Euroopan unionin viisumitietojärjestelmä. Pykälässä säädettäisiin Rajavartiolaitoksen oikeudesta saada teknisen käyttöyhteyden avulla tietoja Euroopan unionin viisumitietojärjestelmästä. Pykälän 1 momentti koskisi henkilötietojen vastaanottamista Rajavartiolaitokselle säädetyn tehtävän suorittamiseksi. Pykälän 2 momentissa säädettäisiin oikeudesta saada tietoja terrorismirikosten ja muiden vakavien rikosten selvittämiseksi. Säännökset vastaisivat asiasisällöltään voimassa olevan lain 39 b §:ää.

29 §. Kansainvälisessä yhteistyössä saatujen tietojen käsittely. Säännös vastaisi sisällöltään osittain voimassaolevan lain 39 d §:ää. Voimassa olevan 39 d §:n 3 ja 4 momentit ehdotetaan kuitenkin poistettavaksi tarpeettomina, koska niiden vaatimukset sisältyvät rikosasioiden tietosuojalakiin. Ehdotettu pykälä koskisi vain kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyä.

Pykälän 1 momentissa säädettäisiin voimassa olevaa sääntelyä vastaavasti salassapito- ja vaitiolovelvollisuudesta sekä velvollisuudesta noudattaa henkilötietojen luovuttajan asettamia rajoituksia henkilötietojen käytölle. Momentti sisältäisi pääsäännön, jonka tarkoituksena olisi varmistaa luottamuksen suoja kansainvälisessä yhteistyössä.

Pykälän 2 momentissa säädettäisiin mahdollisuudesta käyttää vastaanotettuja henkilötietoja muuhun kuin niiden alkuperäiseen tarkoitukseen silloin, kun 1 momentissa tarkoitettuja rajoituksia ei ole asetettu. Voimassa olevan lain 39 d §:n 2 momentin tiukempi säännös tietojen käyttämisestä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen perustui kumottuun EU:n tietosuojapuitepäätökseen ja koski kaikkien toiselta valtiolta tai kansainväliseltä elimeltä saatujen henkilötietojen, myös toiselta EU-maalta saatujen henkilötietojen käsittelyä. Momenttia ehdotetaan tarkistettavaksi siten, että kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatuja henkilötietoja saataisiin käsitellä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen ehdotetun 14 §:n 1 momentin mukaisin edellytyksin. Toiselta EU-jäsenvaltiolta saatujen henkilötietojen käsittelyyn voimassa olevan lain 39 d §:n 2 momentissa tarkoitetuissa tilanteissa sovellettaisiin jatkossa rikosasioiden tietosuojalakia.

4 luku Henkilötietojen luovuttaminen

Luvussa säädettäisiin teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuvasta henkilötietojen luovuttamisesta muille viranomaisille sekä tietojen luovuttamisesta yleisen tietoverkon avulla. Luku sisältäisi myös kansainväliseen tiedonvaihtoon liittyviä säännöksiä.

Siltä osin kuin kyse on tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta käsittelystä, henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin yleissäädöksenä rikosasioiden tietosuojalain 7 lukua. Ehdotettu 4 luku sisältäisi tarvittavat täydentävät säännökset tietojen luovuttamisesta kolmansiin maihin ja kansainvälisille järjestöille. Luvussa säädettäisiin myös tietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisille. Lisäksi luvussa huomioitaisiin voimassa olevan lain tavoin myös lainvalvontaviranomaisten käytössä olevat EU:n laajuiset tietojärjestelmät. Kansainväliseen yhteistyöhön liittyvää henkilötietojen luovuttamista koskeviin säännöksiin ei ehdoteta merkittäviä sisällöllisiä muutoksia verrattuna voimassa olevan lain säännöksiin.

Ehdotettu 4 luku sisältäisi myös säännöksiä yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen luovuttamisesta. Tältä osin sääntelyssä olisi kyse asetuksen 6 artiklassa tarkoitetuista erityisistä säännöksistä, joilla mukautetaan asetuksen sääntöjen soveltamista. Erityiset säännökset voivat 6 artiklan mukaan koskea myös henkilötietojen luovuttamista.

Henkilötietoja saataisiin 4 luvun säännösten mukaan luovuttaa salassapitosäännösten estämättä. Tietoja luovutettaessa olisi kuitenkin kaikissa tilanteissa huomioitava henkilötietojen suojaa koskevat säännökset. Henkilötietojen luovuttamiseen yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin nykyistä vastaavasti Rajavartiolaitoksen hallintolain vaitiolovelvollisuussääntelyä sekä täydentävästi henkilötietolainsäädäntöä silloin, kun kyse on henkilötietojen luovuttamisesta kolmanteen maahan tai kansainväliselle järjestölle.

30 §. Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle. Pykälässä säädettäisiin henkilötietojen luovuttamisesta rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, jotka kuuluvat mainitun lain soveltamisalaan. Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.

Puolustusvoimille saataisiin luovuttaa tietoja tämän pykälän nojalla erityisesti asevelvollisen koulutukseen ja tehtävään määräämistä sekä palveluksen järjestämistä varten, kriisinhallintatehtävään määräämistä ja kriisinhallintapalveluksen järjestämistä varten, aluevalvontatehtävien ja sotilastiedustelutehtävien hoitamiseksi, sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain 9 luvussa tarkoitettua rikosten ennalta estämis- ja paljastamistehtävää varten ja mainitun lain 5 luvussa tarkoitetun esitutkintatehtävän hoitamiseksi sekä sotilasarvossa ylentämistä ja palkitsemista varten.

Henkilötiedot saisi luovuttaa pykälässä tarkoitetuille viranomaisille teknisen käyttöyhteyden avulla tai tietojoukkona. Pykälässä tarkoitetuissa tilanteissa teknisen käyttöyhteyden avulla luovuttaminen olisi käytännössä pääsääntö. Säännös olisi uusi ja voimassa olevaa lakia yleispiirteisempi, mutta se ei käytännössä merkitsisi muutosta nykytilaan.

Rikosasioiden tietosuojalain 11 §:n mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa vain, jos se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.

31 §. Henkilötietojen muu luovuttaminen viranomaisille. Pykälässä säädettäisiin henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona muihin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin käsittelytarkoituksiin. Pykälä sisältäisi säännökset henkilötietojen luovuttamisesta myös rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, joihin ei sovelleta mainittua lakia. Pykälässä on otettu huomioon hallituksen esityksen HE 61/2018 vp yhteydessä hyväksytyt muutokset sekä esityksessä HE 157/2018 vp ehdotetut muutokset.

Pykälän 1 momentissa lueteltaisiin viranomaiset, joille Rajavartiolaitos saisi luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Momentissa säädettäisiin myös niistä henkilötietojen käsittelytarkoituksista, joihin henkilötietoja saisi luovuttaa. Säännökset vastaisivat sisällöltään pääosin voimassa olevan lain 28 §:ää eräitä tarkennuksia lukuun ottamatta.

Ehdotetun 1 momentin luettelo ei olisi tyhjentävä eikä rajoittaisi muualla laissa olevien tiedon luovuttamista tai tiedonsaantia koskevien säännösten soveltamista. Oikeus luovuttaa tietoja pykälän mukaisesti ei toisaalta myöskään edellyttäisi, että vastaanottavan viranomaisen lainsäädännössä säädetään vastaavasta tiedonsaantioikeudesta, vaan tietojen luovuttaminen olisi mahdollista ehdotetun pykälän nojalla myös ilman vastaanottajalle muualla laissa säädettyä tiedonsaantioikeutta. Rajavartiolaitoksen käsittelemien henkilötietojen luovuttamisesta tai tiedonsaannista teknisen käyttöyhteyden avulla olisi kuitenkin perustuslakivaliokunnan kannanottojen mukaisesti aina säädettävä laissa. Tietoja luovutettaessa olisi aina arvioitava, mitkä tiedot ovat tarpeen vastaanottajan lakisääteisen tehtävän hoitamiseksi ja kohdistuuko luovutettaviin tietoihin mahdollisesti muualla laissa säädettyjä käsittelyrajoituksia. Pykälä ei siten mahdollistaisi kaikkien Rajavartiolaitoksen käsittelemien henkilötietojen rajoittamatonta luovutusta mihin tahansa pykälässä mainittuun käsittelytarkoitukseen.

Henkilötietojen luovuttamiseen muille viranomaisille yksittäistapauksissa sovellettaisiin jatkossakin Rajavartiolaitoksen hallintolain 17 ja 17 a—17 d §:n säännöksiä salassa pidettävän tiedon antamisesta viranomaiselle tai julkista tehtävää hoitavalle yhteisölle. Mainitun sääntelyn perusteella voidaan luovuttaa tietoja myös oma-aloitteisesti. Lisäksi julkisia tietoja saataisiin luovuttaa muille viranomaisille tietojoukkona muissakin kuin pykälän 1 momentin mukaisissa tapauksissa. Myös näissä luovutustilanteissa olisi kuitenkin huomioitava henkilötietojen suojaa koskevat säännökset.

Pykälän 2 momentti sisältäisi voimassa olevasta laista poiketen säännöksen, jonka mukaan Rajavartiolaitos saisi 1 momentissa säädetyn lisäksi perustellusta syystä luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona viranomaiselle henkilötietoja, jotka ovat välttämättömiä viranomaisen laissa säädetyn tehtävän suorittamiseksi. Tällä mahdollistettaisiin viranomaisen lakisääteisen tehtävän kannalta välttämättömien tietojen luovuttaminen siltä osin kuin luovutusoikeudesta ei olisi säännöksiä 1 momentissa.

Pykälän 3 momentissa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamista koskevasta korkeammasta kynnyksestä. Säännös vastaisi sitä, millä edellytyksillä kyseisiä tietoja voidaan Rajavartiolaitoksessa ylipäänsä käsitellä.

32 §. Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Pykälä olisi uusi voimassa olevaan lakiin verrattuna. Pykälässä säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa henkilötietoja yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi. Säännöksen tarkoituksena on mahdollistaa rajaturvallisuuden ylläpitämistä tai rikostorjuntaa koskeva tiedotus Rajavartiolaitoksen internetsivuilla. Yleisen tietoverkon välityksellä saisi luovuttaa ainoastaan voimassa olevan lain 7 §:n 3 momentin 2 kohdassa tarkoitettuja tiedotustietoja vastaavia henkilötietoja, joista olisi asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, rajaturvallisuuden ylläpitämisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Yleiseen tietoverkkoon luovutettavien henkilötietojen määrä olisi rajoitettava mahdollisimman suppeaksi.

33 §. Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle. Pykälän 1 momentissa huomioitaisiin niin sanottu tietojen saatavuusperiaate, jonka mukaan henkilötietojen ja muiden tietojen tulisi olla toisen EU:n jäsenvaltion lainvalvontaviranomaisen saatavilla samoin edellytyksin kuin ne ovat Rajavartiolaitoksen käytettävissä rikoksen ennalta estämiseen, paljastamiseen ja selvittämiseen.

Säännös vastaisi sisällöllisesti pääosin voimassa olevan lain 38 §:ää. Voimassa olevassa laissa tietojen luovuttamista Euroopan unionin jäsenvaltion lainvalvontaviranomaisille on kuitenkin tietyiltä osin rajattu tiukemmin kuin Rajavartiolaitoksen mahdollisuuksia käsitellä henkilötietoja muuhun kuin alkuperäiseen käsittelytarkoitukseen. Tietoja saisi siten ehdotetun säännöksen nojalla tietyissä tilanteissa luovuttaa voimassa olevaa sääntelyä laajemmin.

Laajennus koskisi esimerkiksi lupahallinnollisten tehtävien suorittamiseksi kerättyjen henkilötietojen luovuttamista. Laajempaa mahdollisuutta tietojen luovuttamiseen merkitsisivät tietojen saatavuusperiaatteen vuoksi myös Rajavartiolaitokselle 14 ja 15 §:ssä ehdotetut laajemmat mahdollisuudet käsitellä henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. EU:n jäsenvaltioiden lainvalvontaviranomaiset käyttävät tiedonvaihtoon suojattua kanavaa.

Pykälän 2 momentissa säädettäisiin henkilötietojen luovuttamisesta vakavan rikollisuuden torjunnan tehostamiseksi perustetulle Eurojust-yksikölle ja muille Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perustetuille toimielimille. Momentissa tarkoitettuihin toimielimiin kuuluisi Eurojust-yksikön lisäksi esimerkiksi Euroopan petostentorjuntavirasto.

Pykälän 3 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona.

Pykälän 4 momentti sisältäsi informatiivisen viittauksen Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettuun lakiin (26/2009) sen varmistamiseksi, että puitepäätös on asianmukaisesti pantu täytäntöön henkilötietojen luovuttamisen osalta. Puitepäätöksen täytäntöönpanolaki olisi erityissäädös suhteessa lakiehdotukseen.

34 §. Henkilötietojen luovuttaminen Euroopan unionin rajavalvontayhteistyössä. Pykälä olisi uusi voimassa olevaan lakiin verrattuna, mutta asiallisesti säännös ei merkitsisi muutosta nykytilaan. Sääntely oikeuttaisi Rajavartiolaitoksen luovuttamaan 5—9 ja 13 §:ssä tarkoitettuja henkilötietoja salassapitosäännösten estämättä.

Pykälän 1 momentin 1 kohdan mukaan Rajavartiolaitos saisi luovuttaa henkilötietoja toisen Euroopan unionin jäsenvaltion ja Schengenin rajasäännöstöä soveltavan muun valtion rajavalvonnasta vastaavalle viranomaiselle rajavalvonnan suorittamista varten. Säännös vastaisi asiallisesti voimassa olevan lain 39 §:n 1 momentin 1 kohtaa. Rajavalvontaan kuuluvat Schengenin rajasäännöstön mukaisesti rajatarkastukset ja rajojen valvonta.

Momentin 2 kohdan mukaan Rajavartiolaitos saisi luovuttaa henkilötietoja Euroopan raja- ja merivartiovirastolle, viraston yhteyshenkilölle sekä viraston koordinoimaan operaatioon tai pilottihankkeeseen Suomessa osallistuvalle jäsenvaltion virkamiehelle noudattaen, mitä viraston perustamista koskevassa EU-asetuksessa säädetään. Kuten edellä yleisperustelujen 2.2.2 kohdassa todetaan, Euroopan raja- ja merivartioviraston oikeus käsitellä henkilötietoja on rajoitettu vain tiettyihin tilanteisiin. Säännökset vastaisivat voimassa olevan lain 39 §:n 1 momentin 3 kohtaa. Säännös mahdollistaisi yhdessä ehdotetun 1 kohdan kanssa myös tietojen luovuttamisen Euroopan rajavalvontajärjestelmään (Eurosur) järjestelmän perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1052/2013 mukaisesti.

Momentin 3 kohta sisältäisi voimassa olevan lain 39 §:n 1 momentin 8 kohtaa vastaavan säännöksen henkilötietojen luovuttamisesta rajavartiolain 15 d §:n 1 momentissa tarkoitettua rajaturvallisuusapua antavalle Euroopan unionin jäsenvaltion virkamiehelle Suomen esittämän avunpyynnön edellyttämien toimenpiteiden suorittamista varten.

Pykälän 2 momentin mukaan pykälässä tarkoitetut tiedot saataisiin luovuttaa myös tietojoukkona. EU-valtioiden välillä on käytössä sähköinen suojattu tiedonvaihtokanava.

35 §. Eräät kansainväliset tietojärjestelmät. Pykälän 1 momentissa säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Schengenin tietojärjestelmään talletettaviksi. Lisätiedot olisi luovutettava keskusrikospoliisin välityksellä. Tiedot saataisiin luovuttaa myös tietojoukkona. Sääntely vastaisi asiasisällöllisesti voimassa olevaa lainsäädäntöä, mutta aineellinen säännös oikeudesta luovuttaa järjestelmään Rajavartiolaitoksen henkilötietoja siirtyisi poliisin henkilötietolaista Rajavartiolaitoksen henkilötietolakiin.

Pykälän 2 momentissa säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Euroopan unionin lainvalvontayhteistyövirastolle noudattaen, mitä Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/794 ja sitä täydentävässä laissa (214/2017) säädetään.

36 §. Tietojen muu luovuttaminen ulkomaille. Henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin kaikilta osin tietosuoja-asetuksen V luvun sekä rikosasioiden tietosuojalain 7 luvun säännöksiä. Pykälä sisältäisi kuitenkin eräitä tarkentavia säännöksiä tältä osin. Sääntely vastaisi asiasisällöllisesti pääosin voimassa olevan lain 39 §:ää.

Pykälän 1 momentti sisältäisi rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen osalta säännöksen, joka oikeuttaisi Rajavartiolaitoksen luovuttamaan tietoja salassapitosäännösten estämättä.

Pykälän 2 momentin 1 kohta sisältäisi voimassa olevan lain 39 §:n 1 momentin 5 kohtaa vastaavan säännöksen henkilötietojen luovuttamisesta Suomen ja Venäjän rajajärjestyssopimuksessa (SopS 32/1960) tarkoitetulle viranomaiselle sopimuksessa tarkoitettuja tehtäviä varten.

Momentin 2 kohta korvaisi voimassa olevan lain 39 §:n 1 momentin 6 ja 7 kohdat ja oikeuttaisi Rajavartiolaitoksen luovuttamaan henkilötietoja salassapitosäännösten estämättä toisen valtion rajavalvonnasta vastaavalle viranomaiselle, jos tiedot ovat välttämättömiä rajavalvonnan suorittamista varten.

Momentin 3 kohdassa säädettäisiin voimassa olevan lain 39 §:n 1 momentin 4 kohdan tavoin henkilötietojen luovuttamisesta laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamista koskevissa kansainvälisissä velvoitteissa tarkoitetuille toimivaltaisille viranomaisille kyseisissä kansainvälisissä velvoitteissa tarkoitettuja tehtäviä varten. Kohtaan lisättäisiin myös maininta muista takaisinottamista koskevista järjestelyistä niitä tilanteita varten, joissa henkilö palautetaan valtioon, jonka kanssa Suomella ei ole takaisinottosopimusta.

Pykälän 2 momentti sisältäisi voimassa olevan lain 39 §:n 3 momenttia vastaavan säännöksen henkilötietojen luovuttamisesta ampuma-aseiden, aseen osien, patruunoiden ja erityisen vaarallisten ammusten hankkimista, hallussapitoa, siirtoa, tuontia ja vientiä koskevia henkilötietoja muun valtion asevalvonnasta vastaavalle viranomaiselle, jos tietojen luovuttaminen on asevalvonnan kannalta välttämätöntä. Säännös koskisi myös tietojen luovuttamista EU-jäsenvaltioiden viranomaisille. Säännöksellä katettaisiin myös aseiden hankinnan ja hallussapidon valvonnasta annetun neuvoston direktiivin 91/477/ETY muuttamisesta toukokuun 17 päivänä 2017 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/853 (jäljempänä asedirektiivi) 13 artiklan 4 kohdassa tarkoitettu tiedonvaihto. Asedirektiivin 13 artiklan 4 kohdan mukaan jäsenvaltioiden toimivaltaisten viranomaisten on vaihdettava sähköisesti tietoja luvista, joita on myönnetty ampuma-aseiden siirtämiseksi toiseen jäsenvaltioon, ja tietoja lupien epäämisestä 6 ja 7 artiklassa säädetyn mukaisesti turvallisuuteen tai asianomaisen henkilön luotettavuuteen liittyvistä syistä.

Pykälän 3 momentin mukaan pykälässä tarkoitetut tiedot saataisiin luovuttaa myös tietojoukkona.

37 §. Tietojen luovuttamista koskeva menettely. Pykälässä säädettäisiin päätöksenteosta, joka koskisi oikeutta luovuttaa Rajavartiolaitoksen henkilörekisterin tietoja, jos luovuttaminen tapahtuu teknisen käyttöyhteyden avulla tai tietojoukkona tai jos kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille (1 momentti). Yksittäisten henkilötietojen luovuttamiseen sovellettaisiin jatkossakin Rajavartiolaitoksen hallintolain 17 ja 17 a—17 d §:ää.

Kun tietoja luovutetaan teknisen käyttöyhteyden avulla, rekisterinpitäjän on vaikeampi valvoa henkilötietojen suojaamista ja käyttöä. Teknisen käyttöyhteyden avulla tapahtuvasta tietojen luovuttamisesta sovittaisiin nykyistä vastaavasti aina erikseen rekisterinpitäjän ja tietojen luovuttajan tai vastaanottajan välillä. Ehdotetun 4 luvun säännökset eivät siten itsessään loisi esimerkiksi vastaanottajille oikeutta saada Rajavartiolaitoksen käsittelemiä henkilötietoja teknisen käyttöyhteyden avulla ilman erillistä päätöstä. Päätöksen tietojen luovuttamisesta tekisi rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu hallintoyksikkö. Rekisterinpitäjä voisi kussakin tapauksessa erikseen arvioida, onko teknisen käyttöyhteyden avaaminen perusteltua.

Pykälän 2 momentin mukaan luovuttamisesta päätettäessä olisi voimassa olevan lain 29 §:n 2 momenttia vastaavasti otettava huomioon luovutettavien tietojen laatu. Momentissa säädettäisiin myös henkilötietojen vastaanottajalle velvollisuus esittää rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta ennen kuin henkilötietoja luovutetaan.

Pykälän 3 momentin mukaan luovutettavien tietojen laatu olisi varmennettava ja niihin olisi mahdollisuuksien mukaan lisättävä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Virheellisten tai lainvastaisesti luovutettujen tietojen luovuttamisesta olisi myös viipymättä ilmoitettava vastaanottajalle. Säännös vastaisi voimassa olevan lain 28 §:n 4 momenttia. Vaatimuksilla pyrittäisiin takaamaan sekä rekisterinpitäjän että tiedon vastaanottajien mahdollisuudet varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjän olisi myös huomioitava luovutustilanteissa henkilötietojen käsittelyä koskevat erityiset edellytykset, jotka perustuvat tietosuoja-asetukseen tai rikosasioiden tietosuojalakiin. Näitä olisivat muun muassa toiselta viranomaiselta tai toiselta valtiolta vastaanotettuihin henkilötietoihin liittyvät käyttörajoitukset, joista olisi tehtävä merkintä.

5 luku Henkilötietojen poistaminen ja arkistointi

Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja tietosuojadirektiivin 4 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten. Luvussa säädettäisiin henkilötietojen enimmäissäilytysajoista. Luvun säännökset eivät rajoittaisi muualla laissa olevien tietojen poistamista tai tarpeellisuuden arviointia koskevien säännösten soveltamista, vaan luvussa mainittuja poistoaikoja olisi noudatettava, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin.

Voimassa olevassa laissa viitataan poliisin ylläpitämiin tietojärjestelmiin talletettavien henkilötietojen osalta poliisin henkilötietolain poistosäännöksiin ja sotilasoikeudenhoidossa käsiteltävien henkilötietojen osalta rikostorjunnasta ja sotilaskurinpidossa puolustusvoimissa annetun lain poistosäännöksiin. Tätä ei voida pitää lainsäädännön selkeyden kannalta toimivana ratkaisuna, vaan Rajavartiolaitoksen henkilötietolain mukaisesti käsiteltävien henkilötietojen poistoaikojen tulisi ilmetä samasta laista. Siltä osin kuin kyse on poliisin ylläpitämissä järjestelmissä käsiteltävistä henkilötiedoista ja sotilasoikeudenhoidossa käsiteltävistä henkilötiedoista, ehdotetut poistosäännökset vastaisivat sitä, mitä poliisin henkilötietolaissa ja uudessa Puolustusvoimien henkilötietolaissa kyseisten tietojen osalta ehdotetaan.

38 §. Rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävien henkilötietojen poistaminen. Pääsäännön mukaan rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävät henkilötiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisimmän tiedon merkitsemisestä. Säännös vastaisi voimassa olevan lain 32 §:n 2 momenttia. Säännöksen perusteella poistettaisiin Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset, Schengenin rajasäännöstön II liitteessä tarkoitetut tiedot, tiedot henkilöiden ja kulkuneuvojen liikkeistä ja sijainnista rajan läheisyydessä sekä henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot.

Viiden vuoden poistosäännös koskisi myös voimassa olevan lain 6 §:n nojalla perustetun Rajavartiolaitoksen kenttäjohtamisen rekisterin tietoja. Tältä osin säännös merkitsisi muutosta voimassa olevaan sääntelyyn, jonka mukaan mainitut tiedot poistetaan viimeistään kahden vuoden kuluttua tallettamisesta, jolleivät tiedot ole edelleen tarpeellisia toiminnan suunnittelussa, toteutuksessa ja valvomisessa (voimassa olevan lain 30 §). Säilytysajan pidentäminen yhdenmukaistaisi rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävien henkilötietojen käsittelyä tilanteessa, jossa luovuttaisiin rekisterikohtaisesta sääntelystä.

Pykälän 2 momentti sisältäisi pääsäännöstä poikkeavat poistoajat. Lupatiedot poistettaisiin kymmenen vuoden kuluttua luvan voimassaolon päättymisestä (1 kohta) ja ilmoitustiedot poistettaisiin kymmenen vuoden kuluttua tiedon rekisteriin merkitsemisestä (2 kohta). Sääntely vastaisi tältä osin voimassa olevaa sääntelyä eräitä lakiteknisiä tarkistuksia lukuun ottamatta.

Momentin 3 kohta olisi uusi voimassa olevaan lakiin verrattuna. Kohdassa säädettäisiin nimenomaisesti rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteiden poistamisesta. Voimassa olevan lain mukaan teknisen valvonnan tallenteiden on katsottu olevan osa valvonta-asioiden rekisterin maa- ja merirajan valvontatietoja, joiden poistoaika on viisi vuotta. Viiden vuoden poistoaika on kuitenkin teknisen valvonnan tallenteille tarpeettoman pitkä, ja käytännössä tallenteita on säilytetty huomattavasti lyhyemmän ajan, korkeintaan muutamia kuukausia. Ehdotetun 3 kohdan mukaan teknisen valvonnan tallenteet olisi poistettava viimeistään kuuden kuukauden kuluttua tallenteen syntymisestä. Tätä voidaan pitää operatiivisesti riittävänä säilytysaikana sekä kohtuullisena myös yksityisyyden suojan näkökulmasta.

Momentin 4 kohdan mukaan liikenteenharjoittajan seuraamusmaksun määräämistä koskevat tiedot poistettaisiin kymmenen vuoden kuluttua rekisteriin merkitsemisestä. Sääntely vastaisi voimassa olevaa lakia. Momentin 5 kohta sisältäisi voimassa olevaan lakiin verrattuna uuden säännöksen maahantulokieltoja koskevien tietojen poistamisesta. Säännös vastaisi sitä, mitä poliisin henkilötietolaissa ehdotetaan maahantulokieltojen poistamisesta.

Momentin 6 kohdassa säädettäisiin muiden rajavalvontaviranomaisten toimintaa ja kokoonpanoa sekä rajatilannetta Suomessa ja Euroopan unionissa koskevien tietojen poistamisesta. Säilytysaika olisi voimassa olevan lain 34 §:ää vastaavasti 25 vuotta viimeisen tiedon merkitsemisestä. Pitkä säilytysaika on tarkoituksenmukainen, koska tiedoilla on merkitystä myös kansallisen turvallisuuden suojaamisessa.

Momentin 7 kohdassa säädettäisiin poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi.

Pykälän 3 momentin mukaan kaikki 1 ja 2 momentissa tarkoitetut tiedot saataisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Momentissa säädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi. Säännös vastaisi 40—42 ja 45 §:ään ehdotettavaa sääntelyä.

39 §. Lentoliikenteen matkustajatietojen poistaminen.Pykälän 1 momentin mukaan 23 §:ssä tarkoitetut matkustajatiedot poistettaisiin viimeistään 24 tunnin kuluttua niiden toimittamisesta rajatarkastusviranomaiselle matkustajien saavuttua maahan tai lähdettyä maasta, jollei tietoja tarvita Rajavartiolaitoksen, poliisin tai Tullin muussa lakisääteisessä tehtävässä. Sääntely vastaisi tältä osin voimassa olevassa lain 20 §:n 3 momenttia, joka perustuu API-direktiiviin. Muita liikennemuotoja koskevat matkustaja- ja miehistötiedot poistettaisiin sen 2 luvussa säädetyn käsittelytarkoituksen poistosäännösten mukaisesti, jossa niitä käsitellään.

Pykälän 1 momentti sisältäisi uutena asiana informatiivisen viittauksen siitä, miten ehdotettavassa 23 §:ssä tarkoitettuja lentoliikenteen matkustajatietoja (API-tiedot) käsiteltäisiin niin sanotun PNR-direktiivin soveltamisalalla (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten). Direktiivin I liitteen mukaisesti PNR-tietoihin kuuluvat myös API-tiedot, jos sellaisia on kerätty. Tältä osin API-tietojen käsittelyyn sovellettaisiin 24 tunnin jälkeen myös, mitä lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa säädetään. Käytännössä tämä tarkoittaisi sitä, että API-tiedot poistettaisiin Rajavartiolaitoksen henkilörekisteristä, ellei yksittäisen tiedon säilyttämiseen ole 1 momentissa tarkoitettua perustetta. Tiedot siirrettäisiin tietojoukkona poliisin rekisterinpitoon, minkä jälkeen niitä käsiteltäisiin mainitun lain mukaisesti.

Pykälän 2 momentissa olisi voimassa olevan lain 20 §:n 3 momenttia vastaava säännös siitä, että jollei muuta säädetä, lentoliikenteen matkustajatietojen luovuttajan olisi hävitettävä hankkimansa ja rajatarkastusviranomaisille toimittamansa henkilötiedot viimeistään 24 tunnin kuluttua kuljetuksessa käytetyn liikennevälineen saapumisesta määränpäähänsä.

40 §. Rikosasiaan liittyvien henkilötietojen poistaminen. Voimassa olevan lain 31 §:ssä viitataan rikosasiaan liittyvien tietojen poistamisen osalta poliisin henkilötietolain 22 §:ään. Ehdotetussa pykälässä säännökset kirjoitettaisiin auki ja niihin tehtäisiin poliisin henkilötietolakiin ehdotettavat sisällölliset tarkistukset. Henkilötietojen säilytysaikoihin ei esitetä suuria muutoksia.

Kyse olisi rikosilmoitustietojen, rikosten esitutkintaan liittyvien tietojen, tuntomerkkitietojen ja muiden rikosasiaan liittyvien henkilötietojen poistamisesta. Rikosasiaan liittyvillä henkilötiedoilla tarkoitettaisiin kaikkia esitutkintatarkoituksiin kerättyjä henkilötietoja, joiden poistamisajat on tarkoituksenmukaista yhdenmukaistaa rikosilmoitusta koskevien tietojen poistamisaikojen kanssa. Esimerkiksi tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot sekä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tai tutkintaa suorittavien viranomaisten valvonnan suuntaamiseksi käsiteltävät tiedotustiedot poistettaisiin jatkossa noudattaen sen rikosasian säilytysaikaa, johon tiedot liittyisivät. Säilytysajat olisivat edelleen porrastettuja sen mukaan, miten törkeästä teosta on kysymys. Lisäksi säännöksessä huomioitaisiin alaikäisten rikolliseen tekoon syyllistyneiden henkilöiden haavoittuvampi asema.

Pykälän 1 momentin mukaisesti rikosasian tiedot poistettaisiin viiden vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus, kymmenen vuoden kuluttua, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata enintään viiden vuoden vankeusrangaistus ja kahdenkymmenen vuoden kuluttua, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta. Esitetyillä säilytysajoilla varmistettaisiin voimassa olevaa sääntelyä vastaavasti, että tiedot säilyvät Rajavartiolaitoksen henkilörekisterissä vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Säilytysaikaa lyhennettäisiin kymmenestä vuodesta viiteen vuoteen niiden syyttäjälle siirrettyjen rikosasioiden osalta, joissa törkeimmästä epäillystä rikoksesta voi seurata enintään vuoden vankeusrangaistus. Lyhyemmän säilytysajan arvioidaan riittävän turvaamaan tietojen säilyminen lainvoimaisen ratkaisun saamiseen saakka.

Edellä 1 momentissa tarkoitetut tiedot poistettaisiin 2 momentin mukaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.

Muun rikosasian tiedot poistettaisiin 3 momentin mukaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta. Vähintään viiden vuoden säilytysaika vastaisi virkarikosten syyteoikeuden vanhentumisaikaa ja olisi tarpeen sekä asianomistajan että Rajavartiolaitoksen virkamiehen oikeusturvan takaamiseksi.

Pykälän 4 momentissa säädettäisiin rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi talletettujen tuntomerkkitietojen poistamisesta. Tiedot poistettaisiin viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistettaisiin kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta. Esitetyillä muutoksilla lyhennettäisiin voimassa olevan lain mukaisia poistoaikoja huomattavasti lievempien rikosasioiden osalta. Tunnistamattomiksi jääneiden rikokseen liittyvän tuntemattoman tekijän taltioitujen jälkien poistamisesta ei enää säädettäisi erikseen, vaan tiedot poistettaisiin 2 momentin mukaista muun rikosasian poistoaikaa noudattaen vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.

Pykälän 5 momentissa huomioitaisiin alaikäiset rikollisesta teosta epäillyt. Momentin tarkoituksena on varmistaa lapsen edun huomioon ottaminen lapsen oikeuksien yleissopimuksen mukaisesti. Voimassa olevan sääntelyn mukaan rekisteröidyn, joka oli rikoksen tekohetkellä alle 15-vuotias, tiedot poistetaan hänen täytettyään 18 vuotta, ellei hän 15 vuotta täytettyään ole syyllistynyt rikokseen. Tietoja ei kuitenkaan tällä perusteella poisteta, jos ilmoitukseen liittyy muita syylliseksi epäiltyjä, joiden tietoja ei vielä poisteta tai jokin merkinnöistä koskee rikollista tekoa, josta on seuraamukseksi säädetty ainoastaan vankeutta. Mainitun säännöksen asianmukainen toteuttaminen on kuitenkin osoittautunut ongelmalliseksi. Voimassa olevan poistosäännön merkitys rekisteröidyn yksityisyyden suojan kannalta jäisi myös pieneksi sen takia, että alle 15-vuotiaita koskevissa rikosilmoituksissa on useissa tapauksissa muitakin kirjattuja henkilöitä, minkä takia poistosääntö johtaisi käytännössä tietojen poistamiseen vain vähäisellä osalla alle 15-vuotiaana rekisteröidyistä.

Ehdotetun 5 momentin mukaan alle 15-vuotiaiden rekisteröityjen tuntomerkkitiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, jollei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta. Muutoin alle 15-vuotiaiden rekisteröityjen tiedot poistettaisiin noudattaen pykälän ehdotettuja yleisiä säännöksiä. Esimerkiksi rikosilmoitus, jossa kirjattuna on ainoastaan alle 15-vuotias henkilö, poistettaisiin 2 momentin mukaisesti viiden vuoden kuluttua rikosasian kirjaamisesta, koska rikosasiaa ei siirrettäisi syyttäjälle.

Pykälän 6 momentissa säädettäisiin rekisteröidyn yksityisyyden suojan takaamiseksi poikkeussäännöstä, jonka mukaan henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistettaisiin viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta.

Pykälän 7 momentin mukaan kaikki edellä 1—5 momentissa tarkoitetut tiedot saataisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Myös esimerkiksi ajoneuvoja koskevien kuulutusten voimassaoloaikaa voi olla tarve jatkaa omaisuuden omistajalleen palauttamisen mahdollistamiseksi.

Ehdotetun 7 momentin mukaan tietojen säilyttäminen olisi nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Muu perusteltu syy tietojen säilyttämiseen voisi olla esimerkiksi tarve jatkaa kateissa olevaa ampuma-asetta koskevan kuulutuksen voimassaolo-aikaa, vaikka asian tutkinta on jo päättynyt. Momentissa säädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tarpeellisuuden arvioinnille asetettu viiden vuoden määräaika vastaisi rikosasioiden tietosuojalain 6 §:ssä arvioinnille säädettyä määräaikaa. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi. Säännös vastaisi 38, 41, 42 ja 45 §:ään ehdotettavaa sääntelyä.

41 §. Rikosten selvittämisessä käsiteltävien muiden henkilötietojen sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen poistaminen. Voimassa olevan lain 31 §:ssä viitataan pykälässä tarkoitettujen henkilötietojen poistamisen osalta poliisin henkilötietolain 22 §:ään. Ehdotetussa pykälässä säännökset kirjoitettaisiin auki ja niihin tehtäisiin poliisin henkilötietolakiin ehdotettavat sisällölliset tarkistukset. Säännöksellä katettaisiin ne 6 ja 7 §:n mukaisiin tarkoituksiin käsiteltävät henkilötiedot, jotka eivät liittyisi esitutkintaan. Pykälän nojalla poistettaisiin siten erityisesti yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävät henkilötiedot. Kyse olisi esimerkiksi mainittuihin tehtäviin liittyvien ilmoitusten tietojen poistamisesta sekä eräiden henkilökuulutustietojen ja turvallisuustietojen poistamisesta.

Pykälän 1 momentin mukaisesti muihin kuin esitutkintatarkoituksiin käsiteltävät henkilötiedot säilytettäisiin viiden vuoden ajan ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan.

Pykälän 2 momentin 1 kohdassa säädettäisiin muiden henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävien etsintäkuulutusta ja matkustuskieltoa koskevien tietojen poistamisesta. Mainittujen tietojen säilytysajat perustuisivat 1 momentin pääsäännöstä poiketen kuulutuksen tai kiellon määräämiseen, peruuttamiseen tai päättymiseen. Ilmoituksen tai asian kirjaamiseen perustuva säilytysaika voisi johtaa tilanteisiin, joissa asiaan liittyvät henkilötiedot olisi poistettava kuulutuksen tai kiellon ollessa vielä voimassa tai välittömästi voimassaolon päätyttyä. Maahantulokieltojen poistamisesta säädettäisiin 38 §:ssä.

Etsittävien ajoneuvojen tiedoille ja omaisuustiedoille ei voimassa olevista säännöksistä poiketen ehdotettaisi erillistä poistosäännöstä, vaan tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot poistettaisiin noudattaen sen ilmoituksen tai asian säilytysaikaa, johon kuulutustiedot liittyisivät. Tiedot poistettaisiin, kun ne eivät ole enää tarpeen asian käsittelemiseksi, tehtävän suorittamiseksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi.

Momentin 2 kohdassa säädettäisiin voimassa olevaa lakia vastaavasta poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi.

Pykälän 3 momentissa säädettäisiin poikkeuksesta, joka koskisi kaikkia 1 ja 2 momentissa tarkoitettuja tietoja. Tiedot saataisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen taikka Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Tietojen säilyttäminen olisi nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Momentissa säädettäisiin myös 38, 40, 42 ja 45 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein.

Edellä 6 §:n 3 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 6 §:n 3 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 6 ja 7 §:ssä säädetyt käsittelyedellytykset, poistettaisiin noudattaen 6 ja 7 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.

42 §. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen poistaminen. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot olisi ehdotetun 1 momentin mukaan poistettava viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan merkinnän tekemisestä. Ehdotettu pääsääntö vastaisi pääosin voimassa olevan lain 33 §:n säännöstä rikoksesta epäiltyjen Rajavartiolaitoksen rekisterin tietojen poistamisesta, mutta säännös koskisi jatkossa kaikkia 8 ja 9 §:n nojalla rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja.

Havaintotietoja koskisi nykyistä vastaava lyhyempi säilytysaika. Tiedot olisi poistettava kuuden kuukauden kuluttua merkinnän tekemisestä. Tällä huomioitaisiin se, että havaintotiedot ovat luonteeltaan epävarmoja eikä niitä tulisi säilyttää pidempään kuin on välttämätöntä.

Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät turvallisuustiedot olisi poistettava 38 ja 41 §:ssä tarkoitettuja turvallisuustietoja vastaavasti viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi.

Ehdotetun pykälän mukaisesti poistettaisiin esimerkiksi rikosten ennalta estämiseksi tai paljastamiseksi suoritettavaan rikosanalyysiin liittyvät henkilötiedot, joita käsitellään nykyisin voimassa olevan lain 4 §:n nojalla perustetuissa hallintoyksikkö- tai työryhmäkohtaisissa henkilörekistereissä. Voimassa olevan lain 35 §:n mukaan tiedot poistetaan yhden tai useamman hallintoyksikön tai työryhmän käyttöön perustetuista henkilörekistereistä kymmenen vuoden kuluttua rekisteröinnin aiheuttaneen teon, toimenpiteen tai tapahtuman merkitsemisestä, jollei tietojen edelleen säilyttäminen ole tutkinnallisen tai valvonnallisen syyn vuoksi tarpeen. Voimassa olevan lain mukaan henkilötietoja ei kuitenkaan poisteta, jos henkilön tietoihin on liitetty henkilöä koskevia, hänen omaan turvallisuuteensa tai Rajavartiolaitoksen työturvallisuuteen liittyviä tietoja.

Kaikkien 8 ja 9 §:n mukaisesti rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen tuominen samojen systemaattisten säilytysaikojen piiriin selkeyttäisi ja yksinkertaistaisi tietojen poistamista sekä järjestelmien toteutuksen että rekisteröidyn oikeusturvan kannalta. Samalla varmistettaisiin mahdollisuudet uhkapotentiaaliltaan suurimpien ja vakavimpien rikosten ennalta estämiseen ja paljastamiseen.

Pykälän ehdotettu 2 momentti sisältäisi 38 §:n 3 momenttia, 40 §:n 7 momenttia ja 41 §:n 3 momenttia vastaavan säännöksen, jonka mukaan henkilötiedot saataisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava 38, 40, 41 ja 45 §:ää vastaavasti vähintään viiden vuoden välein. Yksityisyyden suojan takeena toimisivat myös rikosasioiden tietosuojalain 6 §:n yleisesti sovellettavat säännökset henkilötietojen käsittelyn tarpeellisuudesta.

Edellä 8 §:n 6 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 8 §:n 6 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 8 ja 9 §:ssä säädetyt käsittelyedellytykset, poistettaisiin noudattaen 8 ja 9 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.

Sääntely vastaisi poliisin henkilötietolakiin ehdotettavaa sääntelyä.

43 §. Tietolähdetietojen poistaminen. Tietolähdetietojen poistamisesta ehdotetaan säädettäväksi erillisessä pykälässä. Ehdotus vastaisi lain 2 lukuun ehdotettuja muutoksia, joilla tietolähdetietojen käsittelyä koskevat säännökset siirrettäisiin erilliseen 10 §:ään. Voimassa olevan lain mukaan tietolähdetiedot ovat osa tutkinta- ja virka-apurekisteriä, ja niiden poistamiseen sovelletaan voimassa olevan poliisin henkilötietolain 22 §:n 1 momentin 9 kohtaa. Voimassa olevan säännöksen mukaan tietolähdetiedot poistetaan kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Sääntelyä ehdotetaan muutettavaksi siten, että tiedoille säädettäisiin kymmenen vuoden enimmäissäilytysaika. Muutoksella huomioitaisiin, että tiedot olisi voitava poistaa myös aiemmin kuin kymmenen vuoden kuluttua esimerkiksi silloin, jos tiedot eivät enää olisi käsittelytarkoituksen kannalta tarpeellisia.

44 §. Sotilasoikeudenhoidossa käsiteltävien henkilötietojen poistaminen. Voimassa olevassa laissa säädetään sotilasoikeudenhoidossa käsiteltävien henkilötietojen poistamisesta viittaamalla sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annettuun lakiin. Sääntelyn selkeyttämiseksi poistosäännökset kirjoitettaisiin auki. Sääntely vastaisi Puolustusvoimien henkilötietolakiin ehdotettavaa sääntelyä. Ehdotetut poistoajat eroaisivat esitutkintaa koskevien tietojen osalta jossakin määrin ehdotetun 40 §:n säännöksistä.

Pykälän 1 momentissa säädettäisiin muistutusta, ylimääräistä palvelusta, poistumiskieltoa, kurinpitosakkoa ja arestia koskevien tietojen säilytysajoista. Ehdotetut säilytysajat olisivat samat kuin nykyisen kurinpitoratkaisurekisterin tietojen säilytysajat, eli oikeustila pysyisi tältä osin ennallaan.

Pykälän 2 momentissa säädettäisiin tuomioistuimen sotilasoikeudenkäyntimenettelyssä määräämien rangaistusten säilytysajoista. Momentti kattaisi muut kuin 1 momentissa tarkoitetut seuraamukset. Säännös olisi luonteeltaan viittaus, eli säilytysajat määräytyisivät momentissa tarkoitetussa tilanteessa rikosrekisterilain (770/1993) ja sakon täytäntöönpanosta annetun lain (672/2002) mukaisesti. Nykyinen sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annettu laki ei sisällä vastaavaa viittaussäännöstä, mutta tosiasiallisesti sakko- ja vankeusrangaistusten osalta lainsäädäntöä on vakiintuneesti tulkittu ehdotetun säännöksen mukaisesti. Oikeustila ei siten ehdotuksessa muuttuisi, mutta se kirjoitettaisiin yksiselitteisesti lakiin.

Rikosrekisterilain 10 §:n 1 momentin 1 kohdan mukaan rikosrekisteristä poistetaan tieto ehdollisesta vankeudesta, ehdollisen vankeuden ohessa tuomitusta sakosta, yhdyskuntapalvelusta tai valvonnasta, nuorisorangaistuksesta, nuorisorangaistuksen sijasta tuomitusta sakosta, viraltapanosta ja yhteisösakosta viiden vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Momentin 2 kohdan mukaan rikosrekisteristä poistetaan tieto ehdottomasta, enintään kahden vuoden vankeusrangaistuksesta, valvontarangaistuksesta ja yhdyskuntapalvelusta kymmenen vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Momentin 3 kohdan mukaan rikosrekisteristä poistetaan tieto ehdottomasta, yli kahden ja enintään viiden vuoden vankeusrangaistuksesta sekä rikoslain 3 luvun 4 §:n 1 ja 2 momentin nojalla rangaistukseen tuomitsematta jättämisestä kahdenkymmenen vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Pykälän 2 momentin mukaan yksittäistä rangaistusta koskevaa tietoa ei kuitenkaan poisteta, jos henkilöstä on rikosrekisterissä sellainen tieto, jota 1 momentin nojalla ei vielä voida poistaa. Kaikki henkilöä koskevat tiedot poistetaan kuitenkin rikosrekisteristä silloin, kun asianomainen henkilö on kuollut tai hänen syntymästään on kulunut 90 vuotta. Armahduspäätös ei vaikuta rikosrekisterimerkintöjen poistamiseen.

Sakon täytäntöönpanosta annetun lain 52 §:n mukaan sakkorekisterin sisältämät tiedot poistetaan viiden vuoden kuluttua siitä, kun niitä koskevan kyseisessä laissa tarkoitetun seuraamuksen täytäntöönpano on päättynyt.

Pykälän 3 momentin mukaan jos henkilöä on rangaistu tuomioistuimen päätöksellä tai kurinpitomenettelyssä useammin kuin kerran, tiedot poistettaisiin sotilasoikeudenhoitorekisteristä viiden vuoden kuluttua viimeisestä kurinpitorangaistuksesta. Säännös vastaisi voimassa olevaa sääntelyä.

Pykälän 4 momentissa säädettäisiin esitutkintatietojen säilyttämisestä. Ehdotetut säilytysajat vastaisivat 5 kohtaa lukuun ottamatta voimassa olevaa sääntelyä. Momentin 5 kohtaa ehdotetaan muutettavaksi siten, että käsite ”rekisteröity” muutettaisiin muotoon ”rikoksesta epäilty”. Sotilasoikeudenhoitorekisteriin rekisteröity henkilö voi olla rikoksesta epäillyn lisäksi myös esimerkiksi rikoksen asianomistaja tai todistaja. Voimassa oleva säännös edellyttää henkilötietojen poistamista rekisteristä myös esimerkiksi asianomistajan kuollessa, mikä on selvästi ongelmallista rikoksen selvittämisen kannalta. Muun asianosaisen kuolema ei yleensä johda asian käsittelyn päättymiseen, eikä tällaisen muun asianosaisen kuolema siten voi myöskään johtaa velvollisuuteen poistaa häntä koskevat henkilötiedot rekisteristä. Momentin 6 kohdassa tarkoitettu tietojen säilyttäminen kymmenen vuoden ajan viimeisen tiedon merkitsemisestä olisi viimesijainen vaihtoehto tilanteisiin, joissa mikään momentin 1—5 kohdista ei täyty.

Pykälän 5 momentin mukaan turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi.

45 §. Muiden henkilötietojen poistaminen. Pykälässä säädettäisiin 13 §:ssä tarkoitettujen, Rajavartiolaitoksen muissa lakisääteisissä tehtävissä käsiteltävien henkilötietojen poistamisesta. Pykälän 1 momentin mukaan henkilötiedot poistettaisiin viiden vuoden kuluttua tietojen rekisteriin merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asian-osaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Momentissa säädettäisiin myös 38 ja 40—42 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein.

Pykälän 2 momentin mukaan säilöön otettujen ulkomaalaisten tiedot poistettaisiin kuitenkin viiden vuoden kuluttua henkilöä koskevan viimeisen tiedon merkitsemisestä, liiketoimintakieltoa koskevat tiedot viiden vuoden kuluttua liiketoimintakiellon päättymisestä ja 13 §:n 2 momentin 4 kohdassa tarkoitetut turvallisuustiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Turvallisuustietoja koskevalla poistosäännöksellä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi.

Pykälä korvaisi voimassa olevan lain 32 §:n 2 momentin säännökset valvonta-asioiden rekisteriin talletettavien meriliikenteen ja talousvyöhykkeen valvontatietojen ja säilöön otettavien ulkomaalaisten tietojen poistoajoista sekä 34 §:n säännökset tietojen poistamisesta turvallisuustietorekisteristä. Poistoajat eivät muuttuisi nykyisestä.

46 §. Virheelliseksi todettu tieto.Pykälä vastaisi sisällöltään voimassa olevan lain 36 §:ää. Ehdotetulla säännöksellä mahdollistettaisiin rekisterissä olevan virheellisen tiedon säilyttäminen korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi (1 momentti). Virheellisiä tietoja ei saisi käyttää muuhun tarkoitukseen. Pykälän 2 momentin mukaan virheelliseksi todettu tieto olisi poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei ole enää tarpeen.

Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ehdotettu säännös täydentäisi 5 ja 13 §:ssä säädettyjen käsittelytarkoitusten osalta rekisteröidylle tietosuoja-asetuksen 16 artiklassa säädettyä oikeutta tietojen oikaisemiseen. Säännös ei rajoittaisi mainittua oikeutta, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä.

Rikosasioiden tietosuojalain 7 §:ssä säädetään, että käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Mainitun lain 25 §:n 1 momentin mukaan rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto. Pykälä ei korvaisi rikosasioiden tietosuojalain 25 § 2 momentin vaatimusta henkilötietojen käsittelyn rajoittamisesta, vaan pykälän säilyttämisellä ennallaan varmistettaisiin ongelmaton siirtyminen uuden lain mukaiseen sääntelyyn.

47 §. Tietojen arkistointi. Pykälä sisältäisi voimassa olevan lain 37 §:ää vastaavan informatiivisen säännöksen arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavasta lainsäädännöstä.

6 luku Rekisteröidyn oikeudet

Rekisteröidyn oikeuksia koskevat säännökset sisältyisivät pääosin tietosuoja-asetuksen III lukuun ja rikosasioiden tietosuojalain 4 lukuun. Tässä luvussa tarkennettaisiin kyseisiä säännöksiä rekisteröidyn tarkastusoikeuden toteuttamisen ja rekisteröidyn oikeuksiin kohdistuvien rajoitusten osalta.

Henkilötietojen käsittelyyn sovellettavat rekisteröidyn oikeudet määräytyvät tietosuoja-asetuksessa osittain säädetyn oikeusperustan mukaan. Asetuksen 17 artiklan mukaista oikeutta tietojen poistamiseen ei sovelleta, kun henkilötietoja käsitellään rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Asetuksen 20 artiklassa säädettyä oikeutta siirtää tiedot järjestelmästä toiseen puolestaan sovelletaan vain käsittelyyn, joka perustuu suostumukseen tai sopimukseen. Lisäksi 21 artiklan mukainen oikeus vastustaa tietojen käsittelyä kattaa ainoastaan käsittelyn, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen oikeutetun edun toteuttamiseen. Koska tässä laissa tarkoitettu henkilötietojen käsittely tapahtuisi Rajavartiolaitoksen lakisääteisten tehtävien suorittamiseksi, siihen ei sovellettaisi asetuksen 17, 20 tai 21 artiklaa.

48 §. Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 1 momentissa täsmennettäisiin, että rekisterinpitäjä vastaisi tarvittavien henkilötietojen ja muiden tietojen antamisesta tarkastamista varten, kun kyse on tietosuoja-asetuksen 15 artiklassa tarkoitetusta rekisteröidyn tietoon pääsystä ja rikosasioiden tietosuojalain 23 §:ssä tarkoitetusta tarkastusoikeudesta. Rekisterinpitäjä voisi myös määrätä tehtävän muun viranomaisen, esimerkiksi Rajavartiolaitoksen toisen hallintoyksikön hoidettavaksi.

Rikosasioiden tietosuojalain 23 §:ssä säädetään, että rekisteröity voi esittää tarkastusoikeuden toteuttamista koskevan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Tietosuoja-asetuksen 15 artiklassa ei säädetä nimenomaisesti tarkastusoikeuden toteuttamistavoista, mutta artiklan mukaan tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity esittää pyynnön sähköisesti eikä pyydä toisenlaista toimitusta.

Pyynnön esittäminen omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla ei kuitenkaan riittäisi varmistamaan pyynnön esittäjän henkilöllisyyttä Rajavartiolaitoksen käsittelemien henkilötietojen kannalta riittävän luotettavalla tavalla. Tämän vuoksi pykälän 2 momentissa säädettäisiin rikosasioiden tietosuojalaista poiketen, että rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle viranomaiselle ja todistettava henkilöllisyytensä. Pyyntö voitaisiin vaihtoehtoisesti esittää myös rekisterinpitäjän tarjoaman sähköisen palvelun avulla käyttämällä varmennetulla tavalla luotettavaa sähköistä tunnistautumista. Tunnistautumisessa noudatettaisiin sähköistä asiointia viranomaistoiminnassa koskevan lainsäädännön mukaisia vaatimuksia. Sähköisen palvelun tarjoamisella helpotettaisiin rekisteröidyn mahdollisuuksia tarkastusoikeuden käyttämiseen tietosuoja-asetuksen ja rikosasioiden tietosuojalain edellyttämällä tavalla. Säännöksessä huomioitaisiin kuitenkin, että sähköinen palvelu ei välttämättä ole käytössä välittömästi lain voimaantullessa, vaan palvelu toteutettaisiin mahdollisuuksien mukaan rekisterinpitäjän tarkemmin määrittelemänä ajankohtana.

Rekisteröidyn henkilöllisyyden vahvistamiseksi pyydettyjä lisätietoja voitaisiin direktiivin johdanto-osan 41 kappaleen mukaisesti käsitellä ainoastaan tätä erityistarkoitusta varten, eikä niitä saisi säilyttää kauempaa kuin kyseisen erityistarkoituksen edellyttämän ajan.

49 §. Tarkastusoikeuden rajoitukset. Rekisteröidyn tarkastusoikeuden rajoittamisesta yksittäistapauksissa säädetään rikosasioiden tietosuojalain 24 ja 28 §:ssä. Ehdotetussa pykälässä säädettäisiin mainittuja säännöksiä täydentävästi Rajavartiolaitoksen henkilötietojen käsittelyä koskevista yleisistä poikkeuksista rikosasioiden tietosuojalain 23 §:n mukaiseen rekisteröidyn tarkastusoikeuteen. Tietosuoja-asetuksen soveltamisalaan kuuluvien henkilötietojen tarkastusoikeuden rajoituksista on voimassa, mitä tietosuoja-asetuksessa ja tietosuojalain 34 §:ssä säädetään.

Pykälän 1 momentin 1 kohdan mukaan rekisteröidyllä ei olisi tarkastusoikeutta 6 §:n 3 momentissa ja 8 §:n 6 momentissa tarkoitettuihin tietoihin, joiden merkityksellisyys Rajavartiolaitoksen tehtävien kannalta ei ole vielä selvillä, eikä 10 §:ssä tarkoitettuihin tietolähdetietoihin. joihin kohdistuvaa tarkastusoikeutta on rajoitettu myös voimassa olevan lain 42 §:n 1 momentin 4 kohdassa.

Momentin 3 kohdass a rajattaisiin pois tarkastusoikeus 6—9 §:ssä tarkoitettuihin henkilötietoihin sisältyviin Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin. Kohta korvaisi ja pitäisi sisällään aikaisemmassa laajuudessa voimassa olevan 42 §:n 1 momentin 1 ja 4 kohdat, mutta säännös muotoiltaisiin uudelleen 2 lukuun esitettyjen muutosten huomioimiseksi. Samalla muotoilua yhdenmukaistettaisiin julkisuuslain 24 §:n 1 momentin 5 kohdan kanssa, jossa säädetään poliisin, Rajavartiolaitoksen ja Tullin sekä vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävien asiakirjojen salassapidosta, sekä Rajavartiolaitoksen hallintolain 17 b §:n kanssa, jonka mukaan Rajavartiolaitoksen henkilöstöön kuuluva ei ole velvollinen ilmaisemaan salassa pidettäviä taktisia ja teknisinä menetelmiä.

Myös asianosaisen tiedonsaantioikeutta on edellä mainittujen tietojen osalta rajoitettu julkisuuslain 11 §:n 2 momentin 1 kohdan mukaisen erittäin tärkeän yleisen edun vuoksi. Näiden tietojen paljastuminen johtaisi vaaratilanteisiin tai luottamussuhteiden menettämiseen tai menetelmien paljastumiseen, sekä haittaisi rikosten estämistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden ylläpitämistä.

Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskeviin tietoihin kuuluisivat myös tiedot salaisten tiedonhankintamenetelmien käyttämisestä ja itse menetelmistä. Näiden tiedonhankintamenetelmien erityisluonteeseen kuuluu, että niitä koskeva asian käsittely, päätöksenteko ja toteuttaminen tapahtuvat kohdehenkilön tietämättä tuomioistuimen päätöksellä ja kohdehenkilön informoimisesta on säädetty erikseen. Näihin menetelmien käytön valvomiseksi on toteutettu erillinen valvontamenettely. Salaisen pakkokeinon kohdehenkilölle voidaan kuitenkin luovuttaa häntä itseään koskevia tietoja noudattaen, mitä esitutkintalaissa ja julkisuuslaissa säädetään.

Momentin 3 kohta rajaisi taktisena tietona tarkastusoikeuden ulkopuolelle voimassa olevaa lakia vastaavasti henkilöä koskevat, hänen omaan turvallisuuteensa tai Rajavartiolaitoksen työturvallisuuteen vaikuttavat tiedot, etsintäkuulutustietoihin talletetut henkilön tarkkailemiseksi tehdyt kuulutustiedot, etsittävien moottoriajoneuvojen tietoihin talletetut moottoriajoneuvoilla liikkuvien tarkkailtavien henkilöiden kuulutustiedot, pidätettyjen tietoihin talletetut kohdehenkilön säilytysturvallisuuteen liittyvät tiedot, tekotapatiedot, sekä tuntomerkkitiedoista esimerkiksi asiasanat, erityistuntomerkit ja valokuvat.

Rekisteröidyllä olisi 2 momentin mukaisesti oikeus pyytää tietosuojavaltuutettua tarkastamaan 1 momentissa tarkoitettujen henkilötietojen käsittelyn lainmukaisuus rikosasioiden tietosuojalain 29 §:ssä säädetyllä tavalla. Rekisteröidyn olisi jätettävä oikeuksien käyttämistä koskeva pyyntö tietosuojavaltuutetulle, rekisterinpitäjälle tai 48 §:n 1 momentissa tarkoitetulle muulle viranomaiselle 48 §:n 2 momentissa säädetyllä tavalla. Rekisterinpitäjän tai muun viranomaisen olisi toimitettava pyyntö viipymättä tietosuojavaltuutetulle. Ehdotettu säännös vastaisi nykyistä käytäntöä, jonka mukaan tietosuojavaltuutetulle tarkoitetut pyynnöt voidaan jättää Rajavartiolaitokselle. Rajavartiolaitos voi tällöin varmistaa pyytäjän henkilöllisyyden ja tarkastaa pyytäjän henkilötietojen oikeellisuuden. Edellä 48 §:ssä tarkoitetun tarkastusoikeuden toteuttamista koskevan pyynnön lisäksi myös tietosuojavaltuutetulle toimitettavan välillisen tarkastusoikeuden käyttöä koskevan pyynnön esittäjän henkilöllisyyden varmistaminen on tarpeellista, koska pyynnön käsitteleminen edellyttää usein laajamittaistakin henkilötietojen käsittelyä.

50 §. Rekisteröidyn oikeus käsittelyn rajoittamiseen. Pykälässä rajoitettaisiin rekisteröidylle tietosuoja-asetuksen 18 artiklan nojalla kuuluvaa oikeutta rajoittaa henkilötietojensa käsittelyä. Rajoitus perustuisi tietosuoja-asetuksen 23 artiklassa jäsenvaltioille mahdollistettuun liikkumavaraan.

Rekisteröidyllä on tietosuoja-asetuksen 18 artiklan nojalla oikeus vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojen paikkansapitävyyden tai katsoo henkilötietojen käsittelyn olevan lainvastaista. Jos käsittelyä on rajoitettu, henkilötietoja saa käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Tietosuoja-asetuksen johdanto-osan 67 kappaleen mukaan henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.

Rekisteröidyn 18 artiklan mukaisen rajoittamisoikeuden toteuttamisella olisi merkittäviä vaikutuksia henkilötietojen käsittelyyn rajavalvonnassa ja rajaturvallisuuden ylläpitämiseksi sekä Rajavartiolaitokselle säädetyissä muissa valvontatehtävissä. Esimerkiksi rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseen liittyvien tehtävien kannalta voidaan pitää ongelmallisena, jos rekisteröity voisi rajoittaa rajavartiomiehen tekemien havaintojen taikka rajatarkastuksen yhteydessä kirjattujen tietojen käsittelyä. Rajavartiolaitoksen myöntämien lupien kannalta ongelmallisia olisivat erityisesti tilanteet, joissa rekisteröity kiistäisi luvan myöntämisen tai voimassaolon estettä koskevan tiedon paikkansapitävyyden, eikä mainittu lupaharkinnan kannalta mahdollisesti olennainen tieto siten olisi käytettävissä lupahallintoon liittyvässä päätöksenteossa. Rajavartiolaitoksella ei näin ollen olisi mahdollisuutta kattavasti hyödyntää lupapäätösten tekemiseksi tarpeellisia rekisteritietoja tai seurata luvan voimassaolon edellytyksiä. Käsittelyn rajoittamiseen vaadittavien toiminnallisuuksien automatisointi aiheuttaisi lisäksi merkittäviä muutostarpeita Rajavartiolaitoksen tietojärjestelmiin.

Ehdotetulla säännöksellä ei rajoitettaisi rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimisivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoisi, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä olisi mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voisi myös saattaa hallintolain nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Viimeksi mainitussa tilanteessa rekisterinpitäjän olisi ratkaistava asia hallintolain menettelysäännöksiä noudattaen.

7 luku Erinäiset säännökset

51 §. Henkilön fyysisiin ominaisuuksiin perustuva sähköinen tunniste. Pykälä vastaisi asiallisesti voimassa olevan lain 16 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus ottaa vastaan henkilön fyysisiin ominaisuuksiin perustuva matkustusasiakirjaan liitetty sähköinen tunniste henkilön tunnistamista ja asiakirjan aitouden varmistamista varten, jollei muuta säädetä.

Pykälän 2 momentin mukaan Rajavartiolaitoksella olisi oikeus verrata asiakirjassa olevaa tunnistetta henkilöön. Sähköistä tunnistetta ei kuitenkaan saisi tallettaa, jollei muuta säädetä. Pykälä ei sisältäisi voimassa olevan lain 16 §:n mukaista säännöstä siitä, että sähköisessä muodossa olevia henkilön fyysisiin ominaisuuksiin perustuvia tunnistetietoja käsiteltäessä tulee erityisesti huolehtia tietoturvasta. Erityisten henkilötietoryhmien tietoturvasta säädetään tarkemmin tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa.

52 §. Voimaantulo. Laki ehdotetaan tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 15 päivänä heinäkuuta 2005 annettu laki (579/2005) henkilötietojen käsittelystä rajavartiolaitoksessa. Pykälän 3 momentti sisältäisi siirtymäsäännöksen, joka koskisi henkilötietojen poistamisaikoja. Tietojen poistamiseen saataisiin soveltaa tämän lain voimaan tullessa voimassa olleita säännöksiä neljän vuoden ajan lain voimaantulosta.

Mainitun neljän vuoden aikana 6 ja 7 §:ssä tarkoitettujen henkilötietojen poistamiseen sovellettaisiin kuitenkin, mitä uuden poliisin henkilötietolain 61 §:n 3 momentissa säädettäisiin mainitun lain 5 ja 6 §:ssä tarkoitettujen henkilötietojen poistamisesta. Siirtymäaikaa edellyttäisivät erityisesti 6 ja 7 §:ssä tarkoitettujen henkilötietojen sekä voimassa olevan lain 4 §:n mukaisesti perustettujen henkilörekisterien tietojen poistaminen. Voimassa olevassa laissa viitataan 6 ja 7 §:ssä tarkoitettujen henkilötietojen poistamisen osalta poliisin henkilötietolakiin, koska kyseiset tiedot ovat pääosin poliisin teknisesti ylläpitämässä tietojärjestelmässä. Tämän vuoksi siirtymäsäännöksessä olisi otettava huomioon, mitä uudessa poliisin henkilötietolaissa säädettäisiin poliisin käsittelemien vastaavien henkilötietojen poistamisesta.

12 §. Meripelastusrekisteri. Voimassa olevan pykälän mukaan Rajavartiolaitoksen esikunta pitää meripelastusrekisteriä vaaratilanteiden varalta laatimistaan toimintasuunnitelmista sekä vastaanottamistaan hätäilmoituksista ja niiden perusteella suoritetuista toimenpiteistä. Säännöksen sanamuotoa tarkistettaisiin niin, että Rajavartiolaitoksen esikunta mainittaisiin ainoastaan meripelastusrekisterin rekisterinpitäjänä. Tietojen tallettaminen meripelastusrekisteriin tapahtuu lähtökohtaisesti muualla kuin Rajavartiolaitoksen esikunnassa. Esimerkiksi hätäilmoitusten vastaanottajina toimivat meripelastuksen johtokeskukset.

14 §. Oikeus tietojen saamiseen viranomaisilta sekä alus- ja ilmaliikennepalvelujen tarjoajilta. Pykälässä säädetään Rajavartiolaitoksen oikeudesta saada tietoja meripelastustoimen valmiussuunnittelua ja vaaratilanteessa meripelastustoimen tehtävien suorittamista varten. Pykälässä on otettu huomioon hallituksen esityksen HE 61/2018 vp yhteydessä hyväksytyt muutokset, joiden voimaantulosta säädetään erikseen lailla.

Pykälän mukaisiin tiedonsaantioikeuksiin tehtäisiin pääsääntöisesti vastaava kaksinkertaisen sääntelyn purku kuin mitä 1. lakiehdotuksen 20 §:ssä ehdotetaan. Pykälässä säädettäisiin siten vain niistä tiedonsaantioikeuksista, joista ei säädetä tiedot luovuttavaa tahoa koskevassa lainsäädännössä. Pykälän ohella sovellettaisiin täydentävästi 1. lakiehdotuksen 3 luvun mukaisia tiedonsaantisäännöksiä. Asiasisällöllisesti tiedonsaantioikeudet säilyisivät ennallaan.

Kaksinkertaisen tiedonluovutussääntelyn välttämiseksi pykälästä poistettaisiin muun muassa oikeus saada Väestörekisterikeskukselta väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 13—17 §:ssä tarkoitettuja tietoja. Mainittu laki mahdollistaa kyseisten tietojen luovuttamisen viranomaiselle, minkä lisäksi hallinnonalan lainsäädäntö on muutoinkin parhaillaan uudistettavana. Lisäksi poistettaisiin säännökset turvallisuustietojen saamisesta poliisin ja Tullin henkilörekistereistä, koska Rajavartiolaitoksen tiedonsaantioikeuksista säädettäisiin kattavasti mainittujen viranomaisten omassa henkilötietolainsäädännössä. Pykälään tehtäisiin myös eräitä lakiteknisiä muutoksia.

Voimassa olevan pykälän 3 momentin mukaan Rajavartiolaitoksen toiminnallisen tietojärjestelmän tietoja voidaan vaaratilanteessa tarvittaessa käyttää etsintä- ja pelastustoimenpiteiden järjestämiseksi. Pykälän sanamuotoa tarkennettaisiin 1. lakiehdotuksen mukaiseksi. Lisäksi viitattaisiin aluevalvontalain (755/2000) 30 §:ssä tarkoitetun teknisen valvonnan tallenteisiin Rajavartiolaitoksessa.

15 §. Oikeus tietojen saamiseen yksityisiltä yrityksiltä ja yhteisöiltä. Pykälään lisättäisiin uusi 2 momentti, joka sisältäisi informatiivisen viittauksen sähköisen viestinnän palveluista annetun lain (917/2014) 321 §:ään. Kyseisessä pykälässä säädetään teleyritysten velvollisuudesta luovuttaa tietoja meripelastuskeskukselle ja meripelastuslohkokeskukselle. Muutoksen johdosta lain 16 § esitetään kumottavaksi.

16 §. Oikeus tietojen saamiseen teleyrityksiltä. Pykälä kumottaisiin 15 §:ään esitettävän muutoksen johdosta sekä kaksinkertaisen tiedonluovutussääntelyn välttämiseksi. Teleyritysten velvollisuudesta tietojen luovuttamiseen meripelastuskeskukselle ja meripelastuslohkokeskukselle säädetään sähköisen viestinnän palveluista annetun lain 321 §:ssä.

17 §. Tietojen luovutustapa. Pykälään tehtäisiin lakitekninen muutos 16 §:n kumoamisen vuoksi.

20 §. Meripelastusrekisterin henkilötietojen käsittelyä ja tietojen julkisuutta koskevat säännökset ja määräykset. Meripelastus ei kuulu Euroopan unionin oikeuden soveltamisalaan, joten kansallisesti on tarpeen säätää siitä, mitä tietosuojasääntelyä henkilötietojen käsittelyyn meripelastustoimessa sovelletaan. Sääntelyn pohjaksi on tarkoituksenmukaisinta valita tietosuoja-asetus, jotta tietosuojasäännökset olisivat mahdollisimman yhteneväisiä muun pelastustoiminnan sääntelyn kanssa. Tietosuoja-asetusta täydentävän tietosuojalain mukaan tietosuoja-asetusta sovelletaan myös Euroopan unionin oikeuden soveltamisalan ulkopuolelle jäävään toimintaan, jollei muuta säädetä. Meripelastustoimen osalta on kuitenkin tarpeen erikseen lainsäädännössä korostaa sitä, että tietosuoja-asetuksen soveltaminen on harkittu valinta. Vastaavaa periaatetta noudatetaan niin ikään Euroopan unionin toimivallan ulkopuolelle jäävään kansallisen turvallisuuden ylläpitämiseen, jonka osalta on nimenomaisesti valittu tietosuojadirektiivin soveltaminen.

Edellä mainitun johdosta pykälässä olisi aineellinen viittaussäännös siitä, että meripelastusrekisterin henkilötietojen käsittelyyn sovellettaisiin tietosuoja-asetusta sen 56 artiklaa ja VII lukua lukuun ottamatta sekä tietosuojalakia, jollei meripelastuslaissa toisin säädettäisi. Tietosuoja-asetuksen 56 artiklassa ja VII luvussa säädetään niin sanotuista yhdenluukunmekanismista ja yhdenmukaisuusmekanismista. Ne koskevat tilanteita, joissa rekisterinpitäjä käsittelee henkilötietoja useamman jäsenvaltion alueella ja tavoitteena on tietosuoja-asetuksen yhdenmukainen soveltaminen Euroopan unionin alueella. Koska meripelastustoimi ei kuulu Euroopan unionin oikeuden soveltamisalaan, kyseiset säännökset eivät ole tarpeen.

Henkilötietojen käsittelyyn meripelastustoimessa sovellettaisiin lisäksi täydentävästi 1. lakiehdotusta. Tältä osin kyseeseen tulisivat esimerkiksi rekisteröidyn oikeuksia koskevat säännökset, kuten oikeus omien tietojen tarkastamiseen ja henkilötietojen käsittelyn rajoittamiseen sekä Rajavartiolaitoksen tiedonsaantioikeussäännökset siltä osin kuin niistä ei säädetä meripelastuslaissa.

Pykälässä säilyisivät voimassa olevan pykälän viittaukset julkisuuslakiin ja meripelastustoimessa sovellettaviin kansainvälisiin sopimuksiin.

18 §. Viittaus tietojen luovuttamista koskeviin säännöksiin. Pykälä olisi uusi ja se täydentäisi voimassa olevan lain 17 a §:ää Rajavartiolaitoksen virkamiehen oikeudesta luovuttaa tietoja vaitiolovelvollisuuden estämättä yksittäistapauksissa. Oikeus tietojen luovuttamiseen 17 a §:n nojalla koskee myös henkilötietoja. Ehdotettavan uuden pykälän mukaan Rajavartiolaitoksen henkilörekisteriin talletettujen tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona ja ulkomaille säädettäisiin kuitenkin Rajavartiolaitoksen henkilötietolaissa.

Rajavartiolaitoksen henkilötietolakiin ehdotettavan 37 §:n mukaan rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä hallintoyksikkö päättäisi henkilötietojen luovuttamisesta, jos luovuttaminen tapahtuu teknisen käyttöyhteyden avulla tai tietojoukkona tai jos kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille. Rajavartiolaitoksen hallintolain 17 a §:ää sovellettaisiin siten edelleen yksittäisten tietojen luovuttamiseen sekä kotimaassa että ulkomaille. Ehdotettavan uuden pykälän mukaan henkilötietojen luovuttamisessa ulkomaille olisi kuitenkin noudatettava Rajavartiolaitoksen henkilötietolaissa ja tietosuojaa koskevassa yleislainsäädännössä säädettyjä edellytyksiä. Sääntely vastaisi poliisilain 7 luvun 6 §:ää.

28 c §. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. Pykälän 1 momentissa oleva viittaus henkilötietolain 11 §:n 3 ja 4 kohdassa tarkoitettujen arkaluonteisten tietojen käsittelyyn muutettaisiin säännökseksi opiskelijan ja opiskelijaksi pyrkivän terveydentilaa koskevien ja rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä. Säännöksen asiasisältö säilyisi ennallaan. Pykälän otsikko muutettaisiin vastaamaan tietosuoja-asetuksen terminologiaa, ja 2 ja 3 momenttiin tehtäisiin lakiteknisiä tarkistuksia.

31 a §. Sotilaskurinpitoratkaisujen tarkastukset. Voimassa olevan pykälän mukaan Rajavartiolaitoksen esikunta tarkastaa hallintoyksiköiden kurinpitorekisterit vähintään kerran vuodessa. Käytännössä säännös tarkoittaa kurinpitoratkaisujen sisällön lainmukaisuuden valvontaa, ei niinkään henkilörekisterin pitämiseen liittyvää valvontaa. Pykälän sanamuotoa tarkennettaisiin tätä vastaavasti.

1 §. Soveltamisala. Pykälän 2 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen.

28 §. Rajavalvontaa koskevat toimivaltuudet. Pykälän 1 momentin 11 kohtaan tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos.

28 a §. Henkilöntarkastus rajavalvonnassa. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 9 §:n mukaiseen valvonta-asioiden rekisteriin korvattaisiin yleisemmällä säännöksellä henkilöntarkastustietojen merkitsemistä Rajavartiolaitoksen henkilörekisteriin.

31 §. Rajanylityspaikan teknisessä valvonnassa kertyvän kuvan ja äänen käyttäminen. Voimassa olevan pykälän mukaan Rajavartiolaitoksella on oikeus käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi. Teknistä valvontaa koskevan 29 §:n mukaan teknisen valvonnan tietojen tallettamisesta henkilörekisteriin säädetään henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa. Pykälä kumottaisiin tarpeettomana, koska teknisen valvonnan tietojen käsittelystä säädettäisiin nimenomaisesti 1. lakiehdotuksessa.

Esityksen 1. lakiehdotuksen 5 ja 38 § sisältäisivät säännökset teknisen valvonnan tallenteiden käsittelystä ja tallenteiden poistoajasta. Sääntely laajenisi voimassa olevaan rajavartiolain 31 §:n verrattuna siten, että henkilöiden reaaliaikainen tunnistaminen teknisen valvonnan tallenteista olisi mahdollista myös rajanylityspaikkojen ulkopuolella. Rajavartiolain 29 § asettaisi kuitenkin edelleen rajoitukset sille, missä rajavalvontaan liittyvää teknistä valvontaa saa ylipäänsä suorittaa. Lisäksi 1. lakiehdotuksen 14 §:ssä säädettäisiin tietojen käsittelystä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Yhtenä käsittelytarkoituksena olisi 14 §:n 1 momentin 3 kohdan mukaisesti etsintäkuulutettujen tavoittaminen. Sääntely koskisi myös teknisen valvonnan tallenteita. Schengenin rajasäännöstö edellyttää, että rajatarkastuksissa tehdään tarvittavat tarkastukset kansallisiin ja kansainvälisiin rekistereihin muun muassa mahdollisten etsintäkuulutusten havaitsemiseksi. Teknisen valvonnan kuvan avulla on mahdollista tunnistaa etsintäkuulutettuja, joiden nimi ei ole tiedossa. Tunnistaminen onnistuu myös silloin, kun etsintäkuulutettu on muuttanut henkilötietojaan.

35 f §. Rajaturvallisuusapua antavan Euroopan unionin jäsenvaltion virkamiehen muut oikeudet ja velvollisuudet. Pykälän 4 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos.

1 §. Soveltamisala. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen.

6 §. Rajavartiomiehen tehtävät ja toimivaltuudet rikostorjunnassa. Pykälän 1 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos.

49 §. Tietojen hävittäminen. Pykälän 2 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos. Jos ylimääräinen tieto on talletettu Rajavartiolaitoksen henkilörekisteriin, sen poistamisessa noudatetaan Rajavartiolaitoksen henkilötietolain säännöksiä.

54 §. Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa. Pykälän 1 momenttia muutettaisiin siten, että siinä viitattaisiin henkilötietolain ja voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan rikosasioiden tietosuojalakiin, jota sovellettaisiin rekisteröidyn tarkastusoikeuteen.

174 §. Ajoneuvon kuljettajan ja liikenteenharjoittajan ilmoitus- ja valvontavelvollisuus. Pykälän 2 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

179 §. Liikenteenharjoittajan seuraamusmaksu. Pykälän 1 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

181 §. Liikenteenharjoittajan seuraamusmaksun määrääminen. Pykälän 1 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

182 §. Liikenteenharjoittajan seuraamusmaksun poistaminen. Pykälän 2 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

185 §. Ulkomaalaisrikkomus. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain säännökseen muutettaisiin viittaukseksi 1. lakiehdotuksen säännökseen. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

11 luku Erinäiset säännökset

8 §. Tietojen saaminen viranomaiselta sekä yksityiseltä yhteisöltä tai henkilöltä. Pykälän viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

10 §. Henkilötietojen luovuttaminen Eurojustille. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 38 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 33 §:ään, jota sovellettaisiin Rajavartiolaitoksen henkilörekisterien tietojen luovuttamiseen Eurojustille.

3 §. Tiedon ja tiedustelutiedon määritelmä. Pykälän viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia.

5 §. Tietojen ja tiedustelutietojen luovuttaminen pyynnöstä. Pykälän 2 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta.

6 §. Oma-aloitteinen tietojen ja tiedustelutietojen luovuttaminen. Pykälän 2 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta.

12 §. Henkilötietojen käsittely ja tarkastusoikeus. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 42 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 49 §:ään, joka sisältäisi rekisteröidyn tarkastusoikeuden rajoituksia koskevat säännökset.

19 §. Tiedonsaantioikeus rekistereistä. Pykälän 1 momentin 12 kohdan viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 28 §:n 1 momentin 2 kohtaan korvattaisiin viittauksella 1. lakiehdotuksen 31 §:n 1 momentin 4 kohtaan. Asiallisesti säännös vastaisi voimassa olevaa lakia.

20 §. Tietojen luovuttaminen. Pykälän 4 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 22 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 20 §:ään. Asiallisesti säännös vastaisi voimassa olevaa lakia.

10 luku Salaiset pakkokeinot

57 §. Tietojen hävittäminen. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen.

2 luku Yleiset toimivaltuudet

21 §. Rajatarkastus ja tullitoimenpiteet. Voimassa olevan pykälän 1 momentin mukaan poliisilla on sama toimivalta käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä kuin Rajavartiolaitoksella on rajavartiolain 31 §:n nojalla. Koska rajavartiolain 31 § ehdotetaan kumottavaksi, kyseinen säännös poistettaisiin. Teknisen valvonnan tietojen käsittely määräytyy henkilötietolainsäädännön perusteella. Poliisin oikeus käyttää rajanylityspaikan teknisen valvonnan tallenteita ei käytännössä muuttuisi.

Kuten edellä rajavartiolain 31 §:n yhteydessä on kuvattu, rajanylityspaikan teknisen valvonnan tallenteiden käyttäminen henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi olisi 1. lakiehdotuksen 14 §:n 1 momentin 3 kohdan mukaan sallittu muu käsittelytarkoitus. Siltä osin kuin kyse on Rajavartiolaitoksen teknisen valvonnan tallenteiden käyttämisestä poliisin toiminnassa, asiasta säädettäisiin 1. lakiehdotuksen 30 ja 31 §:ssä.

322 §. Eräiden muiden viranomaisten tiedonsaantioikeus. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen.

31 §. Rajatarkastus. Voimassa olevan pykälän 1 momentin mukaan Tulli voi käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä siten kuin siitä rajavartiolain 31 §:ssä Rajavartiolaitoksen osalta säädetään. Koska rajavartiolain 31 § ehdotetaan kumottavaksi, kyseinen säännös poistettaisiin. Teknisen valvonnan tietojen käsittely määräytyy henkilötietolainsäädännön perusteella. Tullin oikeus käyttää rajanylityspaikan teknisen valvonnan tallenteita ei käytännössä muuttuisi.

Kuten edellä rajavartiolain 31 §:n yhteydessä on kuvattu, rajanylityspaikan teknisen valvonnan tallenteiden käyttäminen henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi olisi 1. lakiehdotuksen 14 §:n 1 momentin 3 kohdan mukaan sallittu muu käsittelytarkoitus. Siltä osin kuin kyse on Rajavartiolaitoksen teknisen valvonnan tallenteiden käyttämisestä Tullin toiminnassa, asiasta säädettäisiin 1. lakiehdotuksen 30 ja 31 §:ssä.

Pykälän ruotsinkieliseen versioon tehtäisiin lisäksi kielellinen tarkistus.

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälän 1 momentin 6 kohdan viittaus Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin, lupa-asioiden rekisteriin ja valvonta-asioiden rekisteriin korvattaisiin viittauksella 1. lakiehdotuksen säännöksiin. Perusmuotoinen turvallisuusselvitys voisi perustua tietoihin, jotka sisältyvät 1. lakiehdotuksen 5 §:ssä, 6 §:n 1 ja 2 momentissa ja 7, 11 ja 12 §:ssä tarkoitettuja tietoja sekä 13 §:ssä tarkoitettuja valvontatehtävien suorittamiseksi käsiteltäviä tietoja sisältävään Rajavartiolaitoksen henkilörekisteriin.

Asiallisesti kohta vastaisi pääosin voimassa olevaa lakia. Ensimmäisen lakiehdotuksen 5 §:ssä tarkoitetut tiedot sisältyvät pääosin nykyiseen valvonta-asioiden rekisteriin ja lupa-asioiden rekisteriin. Uutena sisältönä 5 §:ssä olisivat Rajavartiolaitoksen kenttäjohtamisen rekisterin tiedot (voimassa olevan lain 6 §) sekä nykyisin turvallisuustietorekisteriin talletettavat tiedot muiden valtioiden rajavalvontaviranomaisten toiminnasta ja kokoonpanosta sekä rajatilannetta Suomessa ja Euroopan unionissa (5 §:n 2 momentin 8 kohta). Kenttäjohtamisen rekisteriin talletetaan rajavalvonnan ja rajaturvallisuuden ylläpitämisen suunnittelussa ja toteuttamisessa tarpeellisia tietoja, joista turvallisuusselvitysten laatimisen kannalta olennaisia olisivat esimerkiksi Rajavartiolaitokselle tehtyihin ilmoituksiin ja niiden perusteella tehtäviin toimenpiteisiin liittyvien henkilöiden henkilöllisyyttä koskevat perustiedot ja muut henkilön yksilöintitiedot sekä tehtävään tai toimenpiteeseen liittyvät tapahtuma- ja toimenpidekuvaukset. Muiden valtioiden rajaviranomaisten tiedot tai rajatilannetiedot eivät useimmiten olisi ensisijaisia tietolähteitä turvallisuusselvitysten laadinnassa.

Ensimmäisen lakiehdotuksen 6 ja 7 §:ssä tarkoitetut tiedot ovat pääosin nykyisessä tutkinta- ja virka-apurekisterissä. Lisäksi vastaavia rikosten selvittämiseen tai syyteharkintaan saattamiseen liittyviä tietoja on voimassa olevan lain 4 §:n mukaisesti perustetuissa tilapäisissä tai hallintoyksikkökohtaisissa henkilörekistereissä. Perusmuotoinen henkilöturvallisuusselvitys ei kuitenkaan voisi perustua tietoihin, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi 6 §:n 3 momentin nojalla eikä tietoihin, joiden käsittelyä on muualla lainsäädännössä rajoitettu. Tällaisia rajoituksia liittyy esimerkiksi Rajavartiolaitoksen rikostorjuntalain tai pakkokeinolain nojalla saadun ylimääräisen tiedon käsittelyyn.

Ensimmäisen lakiehdotuksen 13 §:ssä tarkoitetut valvontatehtävien suorittamiseksi käsiteltävät tiedot olisivat sellaisia tietoja, joita voimassa olevan lain perusteella voidaan tallettaa valvonta-asioiden rekisteriin. Muilta osin 13 §:ssä tarkoitetut, Rajavartiolaitoksen muiden lakisääteisten tehtävien suorittamiseksi käsiteltävät henkilötiedot jäisivät edelleen turvallisuusselvitysten ulkopuolelle.

Rajavartiolaitoksen 5 §:n, 6 §:n 1 ja 2 momenttien sekä 7 ja 13 §:n nojalla käsittelemien henkilöryhmien ja tietosisällön muutokset voimassa olevaan lakiin verrattuna on kuvattu tarkemmin 1. lakiehdotuksen yksityiskohtaisissa perusteluissa.

Perusmuotoisen henkilöturvallisuusselvityksen tietolähteisiin lisättäisiin 1. lakiehdotuksen 11 ja 12 §:ssä tarkoitetut, sotilasoikeudenhoidossa käsiteltävät henkilötiedot. Asiallisesti kyse ei olisi suuresta muutoksesta, koska kyseiset tiedot voivat jo nykyisin tulla osittain turvallisuusselvitysten piiriin, mikäli sotilasrikosten tutkinnasta vastaa poliisi. Voimassa olevan 25 §:n 1 momentin 5 kohdan mukaan perusmuotoisessa turvallisuusselvityksessä voidaan käyttää tietolähteenä Puolustusvoimien käsittelemiä vastaavia henkilötietoja. Rajavartiolaitoksen käsittelemien sotilasoikeudenhoidon tietojen lisääminen perusmuotoisen turvallisuusselvityksen tietolähteisiin olisi perusteltua sotilasvirassa olevien henkilöiden yhdenvertaisen kohtelun varmistamiseksi.

Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018 ja tietosuojadirektiivin kansallisen täytäntöönpanon määräaika oli 6 päivä toukokuuta 2018. Tähän esitykseen sisältyvät lait ehdotetaan tuleviksi voimaan mahdollisimman pian yleislakien voimaantulon jälkeen.

Esityksen 1. lakiehdotukseen sisältyy henkilötietojen poistoaikoja koskeva siirtymäsäännös. Henkilötietojen poistaminen olisi toteutettava ehdotetun lain mukaisena neljän vuoden kuluessa lain voimaantulosta.

Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa lisäksi se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan lukien tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (esimerkiksi PeVL 31/2017 vp, PeVL 13/2016 vp). Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Lailla on säädettävä lisäksi mahdollisuudesta yhdistää rekisteritietoja (PeVL 17/2007 vp ja PeVL 30/2005 vp). Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista.

Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (esimerkiksi Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (esimerkiksi S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, kohta 67 ja Leander v. Ruotsi, 26.3.1987, kohta 48). Jotta yksityisyyden suojan rajoittaminen olisi sallittua, sen tulee perustua lakiin, olla välttämätöntä demokraattisessa yhteiskunnassa ja olla oikeassa suhteessa tavoiteltuun päämäärään. Esimerkiksi kansallisen turvallisuuden ylläpitoa on oikeuskäytännössä yleisesti pidetty hyväksyttävänä perusteena yksityisyyden suojan rajoituksille (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, kohdat 87 ja 88).

Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on todennut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimuksia voidaan täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp ja siinä mainitut lausunnot). Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Henkilötietojen suojan toteuttaminen tulisi valiokunnan mukaan jatkossa ensisijaisesti taata tietosuoja-asetuksen ja tietosuojalain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PevL 14/2018 vp, PeVL 2/2018 vp).

Sen sijaan tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvan henkilötietojen käsittelyn osalta on siten edelleen otettava huomioon yllä mainittu perustuslakivaliokunnan lausuntokäytäntö. Perustuslakivaliokunnan mielestä henkilötietoja koskevan lainsäädännön selvyys kuitenkin edellyttää, että erityislainsäädäntöön ei sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella rikosasioiden tietosuojalaissa.

Perustuslakivaliokunta on lausunnossaan (PeVL 14/2018 vp) kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn.

Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla (PeVL 14/2018 vp).

Perustuslakivaliokunta on kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (esimerkiksi PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 49/2017 vp, PeVL 31/2017 vp ja PeVL 71/2014 vp). Voimassa olevassa Rajavartiolaitoksen henkilötietolaissa on jossain määrin ylisääntelyn piirteitä. Laki sisältää varsin yksityiskohtaista sääntelyä tilanteissa, joissa se ei ole välttämätöntä, ja lisäksi laissa säädetään tiedonsaantioikeuksista silloinkin, kun niistä on jo säädetty muussa laissa. Rajavartiolaitoksessa käsiteltävät henkilötietoihin liittyy kuitenkin usein myös erityisiin henkilötietoryhmiin kuuluvia tietoja. Yksilön oikeuksien toteuttamiseksi sekä oikeusturvanäkökulmasta on välttämätöntä säätää henkilötietojen käsittelystä Rajavartiolaitoksessa tietosuoja-asetusta ja tietosuojalakia täydentävästi. Esitys sisältää myös säännöksiä tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta henkilötietojen käsittelystä. Tältä osin käsittelyn oikeusperustaa ja henkilötietojen käsittelyn tietosisältöä on välttämätöntä tarkentaa erityislainsäädännössä.

Perustuslakivaliokunta on pitänyt riittävän tarkkarajaisena sääntelyä, jossa henkilörekistereihin talletettavat tiedot on yksilöity riittävän tarkasti (PeVL 51/2002 vp ja PeVL 18/2012 vp). Sen sijaan perustuslakivaliokunta on pitänyt ongelmallisena sitä, jos säännöksen muotoilu jättää rekisteröitävien henkilötietojen sisällön viime kädessä paljolti viranomaisen omin toimin määriteltäväksi (PeVL 18/2012 vp). Perustuslakivaliokunta on katsonut, että laissa olevan sääntelyn tulee kaiken kaikkiaan olla siinä määrin täsmällistä, että sääntelyllä annetaan riittävä ennustettavuus viranomaistoimista (PeVL 15/1996 vp). Rajavartiolaitoksen henkilötietolain 2 luvussa säädettäisiin voimassa olevan lain tavoin alkuperäisistä henkilötietojen käsittelytarkoituksista sekä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen. Rekisteröitävistä henkilötiedoista säädettäisiin kattavasti ja yksityiskohtaisesti, mutta sääntelytekniikka poikkeaisi voimassa olevasta laista. Sääntelyn voidaan katsoa täyttävän perustuslakivaliokunnan asettamat edellytykset. Meripelastuslaissa säilytettäisiin voimassa olevan lain mukainen rekisterikohtainen sääntely.

Voimassa olevan lainsäädännön tavoin myös henkilötietojen säilytysajoista säädettäisiin yksityiskohtaisesti kunkin käsittelytarkoituksen osalta. Euroopan ihmisoikeustuomioistuin on kiinnittänyt huomiota siihen, että myös säilytysaikojen tulisi olla oikeasuhtaisia henkilötietojen käsittelyn tarkoitukseen nähden, ja että säilytysaikoja olisi rajoitettava (S. ja Marper v. Yhdistynyt Kuningaskunta, tuomion kohdat 107 ja 108). Myös perustuslakivaliokunta on katsonut, että säilytysaikaa koskevan sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista ja että säilytysaikaa koskeviin säännöksiin tulee sisällyttää aikamääre (esimerkiksi PeVL 20/2006 vp). Esityksen 1. lakiehdotuksen säilytysaikoja koskevissa säännöksissä on huomioitu tarve säilyttää asian tiedot riittävän ajan sekä rekisteröidyn että Rajavartiolaitoksen oikeusturvan takaamiseksi.

Esityksen 1. lakiehdotukseen ehdotetaan uutta sääntelyä, jonka mukaan Rajavartiolaitos saisi käsitellä henkilötietoja myös ennen niiden merkityksellisyyden varmistamista (6 §:n 3 momentti ja 8 §:n 6 momentti). Rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömiksi. Kyseessä olisi yksityisyyden suojaa rajoittava toimenpide. Rekisteröidyn oikeusturvaa parantaisi kuitenkin se, että tietoja saisi säilyttää korkeintaan kuuden kuukauden ajan ja tarpeettomiksi arvioidut tiedot olisi poistettava viipymättä jo ennen kuuden kuukauden määräajan täyttymistä. Yleisen tietosuojalainsäädännön vaatimusten mukaan tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä. Ehdotetulla kuuden kuukauden säilytysajalla täsmennettäisiin tätä yleislainsäädännön vaatimusta ja varmistettaisiin, että henkilötietojen välttämätön esikäsittelyvaihe kestäisi vain rajoitetun ajan. Tältä osin ehdotuksen voidaan katsoa osaltaan myös parantavan yksityisyyden suojaa verrattuna nykytilaan, jossa esikäsittelyvaiheen kestosta ei nimenomaisesti säädetä.

Tietosuoja-asetus ja tietosuojadirektiivi sisältävät erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevat säännökset, joissa asetetaan aiempaa tiukemmat vaatimukset näiden tietojen käsittelylle, mukaan lukien henkilötietojen suojaamista koskevat vaatimukset. Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että arkaluonteisten tietojen käsitteleminen koskettaa yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä vuoksi tällaisien tietojen käsittelyn sallivien säännösten on oltava täsmällisiä (PeVL 25/1998 vp, PeVL 51/2002 vp). Perustuslakivaliokunta on myös katsonut poliisin henkilötietojen käsittelyn osalta, että arkaluonteisten tietojen käsittelyä tarkoittavasta toimivallasta on säädettävä lailla täsmällisesti, sillä yleislainsäädäntö ei luo tällaista toimivaltaa (PeVL 51/2002 vp).

Perustuslakivaliokunta on lausunnossaan PeVL 15/2018 vp kiinnittänyt huomiota siihen, että henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja ei voida suoraan rinnastaa tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Myöskään perustuslakivaliokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samaistu henkilötietolain sääntelyyn. Perustuslakivaliokunta on katsonut, että esimerkiksi biometriset tunnistetiedot rinnastuvat arkaluonteisiin tietoihin (esimerkiksi PeVL 13/2016 vp). EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (PeVL 15/2018 vp, PeVL 14/2018 vp). Valiokunta pitää kuitenkin edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi. Myös tietosuoja-asetuksen johdantokappaleessa 51 painotetaan erityisten henkilötietoryhmien erityistä arkaluonteisuutta.

Arkaluonteisia henkilötietoja käsitellään Rajavartiolaitoksessa sekä direktiivin että asetuksen soveltamisalaan kuuluvia Rajavartiolaitoksen tehtäviä varten. Tietosuoja-asetus ja tietosuojadirektiivi sisältävät erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevat säännökset, joissa asetetaan aiempaa tiukemmat vaatimukset näiden tietojen käsittelylle, mukaan lukien henkilötietojen suojaamista koskevat vaatimukset. Yleisen tietosuojalainsäädännön aiempaa tiukemmat säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä parantavat rekisteröidyn oikeuksia. Tällä on merkitystä erityisesti silloin, kun käsittely kohdistuu biometrisiin ja geneettisiin tietoihin, joita voisi tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalalla käsitellä ainoastaan kun se on välttämätöntä. Arkaluonteisten henkilötietojen käsittelyedellytykset tiukentuisivat myös asetuksen soveltamisalalla. Asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on pääsääntöisesti kielletty. Asetuksen 9 artiklan 1 kohdassa luetellaan tyhjentävästi poikkeukset, joiden nojalla käsittely on sallittua. Arkaluonteisten henkilötietojen suojalle asetettaisiin myös erityisiä vaatimuksia kummankin tietosuojasäädöksen soveltamisalalla.

Rajavartiolaitoksen tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen 1. lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi biometrisiä tietoja käsitellään rajavalvonnassa ja rajaturvallisuuden ylläpitämisessä sekä rikosasioissa. Lisäksi Rajavartiolaitos käsittelee tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja tai henkilön etnistä alkuperää kuvaavia tietoja. Myös 2. lakiehdotuksen mukaisessa meripelastusrekisterissä saataisiin käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja.

Erityisten henkilötietoryhmien käsittely 1. ja 2. lakiehdotuksessa perustuisi tietosuoja-asetuksen soveltamisalaan kuuluvien käsittelytarkoitusten osalta asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Rikosasioiden tietosuojalain soveltamisalaan kuuluvien käsittelytarkoitusten osalta sääntely täydentäisi mainitun lain 11 §:ää. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi 1. ja 2. lakiehdotuksessa sidottu Rajavartiolaitoksen lakisääteisiin tehtäviin ja välttämättömyyteen. Yleislainsäädännössä määriteltyjen suojatoimien lisäksi erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä täsmentäisivät muun muassa henkilötietojen käsittelylle asetetut kriteerit, edellytykset tietojen luovuttamiselle sekä tietojen säilytysajat.

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely rikosasioissa olisi rajoitettava EU:n tietosuojalainsäädäntö, perusoikeussääntely ja perustuslakivaliokunnan kannanotot huomioiden siihen, mikä on käsittelytarkoituksen kannalta välttämätöntä. Välttämättömyyskriteeristä säädetään rikosasioiden tietosuojalaissa.

Voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskeva säännös ehdotetaan korvattavaksi säännöksellä henkilötietojen käsittelystä rikosten ennalta estämiseksi ja paljastamiseksi. Ehdotetut 8 ja 9 § merkitsisivät henkilötietojen käsittelyn laajenemista sekä tietosisällön että käsiteltävien henkilöryhmien osalta. Myös tämän säännöksen soveltamisen kannalta olisi kiinnitettävä huomiota oikeasuhteisuuden ja käyttötarkoitussidonnaisuuden vaatimuksiin, joiden mukaan rekisteröidyn yksityiselämän suojaa saisi rajoittaa ainoastaan siinä määrin kuin se on välttämätöntä ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Säännöksessä ehdotetaan tarkennettavaksi henkilöryhmiä, joita koskevia tietoja kyseiseen käsittelytarkoitukseen saisi tallettaa ja käsitellä. Lisäksi säädettäisiin tietoryhmistä, joita kyseisessä käsittelytarkoituksessa saisi käsitellä. Käsiteltäviin tietoihin olisi liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.

Ehdotetussa rikosten ennalta estämiseksi tai paljastamiseksi tapahtuvaa henkilötietojen käsittelyä koskevassa säännöksessä on kiinnitetty erityistä huomiota eri henkilöryhmiä koskeviin tallettamis- ja käsittelykriteereihin. Säännökseen ehdotetaan alempaa tallettamis- ja käsittelykynnystä siltä osin kuin on kyse varsinaisesti rikolliseen toimintaan liittyvistä henkilöistä. Säännöksellä mahdollistettaisiin laajasti eri tavoin rikolliseen toimintaan kytkeytyvien henkilöiden tietojen käsittely esimerkiksi näiden välisten yhteyksien selvittämiseksi.

Perustuslakivaliokunta on aiemmin kiinnittänyt huomiota siihen, että rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä asiasisällöllisesti vastaavaan poliisin epäiltyjen tietojärjestelmään saataisiin perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Voimassa olevien säännösten sanamuoto ei kuitenkaan ulotu tähän tarkoitukseen asti (PeVL 51/2002 vp). Sitä, että uhrien nimien tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää tarkkarajaisena sääntelynä perustuslakivaliokunnan tulkintakäytännöstä ilmenevällä tavalla.

Rajavartiolaitoksen on tietyissä tilanteissa tarpeen käsitellä myös sellaisten henkilöiden tietoja, joihin epäillyn väkivallan uhka kohdistuu tai voi kohdistua. Tietojen käsittely voi olla välttämätöntä sen takaamiseksi, että Rajavartiolaitos kykenee antamaan tarvittaessa suojaa asianomistajaksi, uhriksi tai todistajaksi katsottavalle henkilölle. Näitä henkilöitä koskisi kuitenkin ehdotetun pykälän mukaan korotettu henkilötietojen käsittelykynnys. Korkeammalla käsittelykynnyksellä varmistettaisiin, että yksityiselämän suojaa rajoitettaisiin ainoastaan siinä määrin kuin se on välttämätöntä oletetun rikollisen toiminnan estämiseksi, paljastamiseksi tai selvittämiseksi. Näiden henkilöryhmien osalta olisi myös kiinnitettävä erityistä huomioita oikeusturvan takeisiin. Rekisterinpitäjän olisi rekisteröidyn oikeusturvan takaamiseksi muun muassa erotettava tietosuojadirektiivin ja rikosasioiden tietosuojalain vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

Havaintotietojen osalta ei ehdoteta muutosta suhteessa voimassa olevaan sääntelyyn. Perustuslakivaliokunta on todennut havaintotietojen osalta, että kysymys on potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta (PeVL 18/2012 vp). Lisäksi havaintotiedot ovat usein luonteeltaan epävarmoja ja niiden käyttämiseen sisältyy leimautumisen riski. Perustuslakivaliokunta on tämän luonteisten tietojen käsittelyssä kiinnittänyt edellä mainittujen yleisten seikkojen lisäksi huomiota tarpeeseen varmistaa tietojen virheettömyys ja luotettavuus (PeVL 27/2006 vp) ja liittää tietoon arviot tietojenantajan luotettavuudesta ja tietojen oikeellisuudesta (PeVL 51/2002 vp). Lisäksi havaintotietojen säilytysaika olisi lyhyt, jolloin luonteeltaan varmentamattomien tai merkityksen osalta epävarmojen henkilötietojen käsittely rajoittaisi yksityiselämän suojaa ainoastaan siinä määrin kuin se on välttämätöntä Rajavartiolaitoksen tehtävän suorittamiseksi. Perustuslakivaliokunta ei ole pitänyt sääntelyä tällä tavoin tietosisältöjen, käyttötarkoituksen ja säilytysajan osalta rajoitettuna henkilötietojen suojan kannalta ongelmallisena. Perustuslakivaliokunta on kuitenkin katsonut havaintotietojen luonteen vuoksi olevan tärkeää, että tietojen tallettamisen edellytyksiä tulkitaan suppeasti ja etenkin niin, että havaintotieto voidaan tallettaa vain, jos on olemassa epäilys rikollisesta toiminnasta (PeVL 18/2012 vp).

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta. Sen mukaan henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Asetuksen johdanto-osan 50 kappaleen mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille sekä asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.

Kun henkilötietojen käsittely perustuu asetuksen 6 artiklan 1 kohdan c tai e alakohtiin voidaan kansallisen liikkumavaran puitteissa asetuksen 6 artiklaa 3 kohdan mukaisesti säätää niistä tahoista ja tarkoituksista, joihin henkilötietoja voidaan luovuttaa. Mikäli katsotaan, että tietojen käyttötarkoitus muuttuu luovutuksen seurauksena, on luovutuksen edellytyksiä arvioitava käyttötarkoitussidonnaisuuden periaatetta vasten siten kuten tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään. Luovutussäännöksen on oltava välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi.

Jäsenvaltioiden on tietosuojadirektiivin 4 artiklan mukaan säädettävä muun muassa siitä, että henkilötietoja käsitellään lainmukaisesti ja että niitä kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Saman tai toisen rekisterinpitäjän suorittama käsittely muuta kuin alkuperäistä tarkoitusta varten on kuitenkin sallittua, jos käsittelystä säädetään laissa ja käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhtaista. Käsittelyn lainmukaisuuden vaatimusta täsmennetään direktiivin 8 artiklassa, jonka mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi direktiivin soveltamisalalla ja jos se perustuu lakiin.

Käyttötarkoitussidonnaisuudesta säädetään rikosasioiden tietosuojalain 5 §:ssä. Mainitun pykälän 1 momentin mukaan rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla. Mainitun pykälän 2 momentin mukaan rikosasioiden tietosuojalain 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saisi käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa.

Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (PeVL 20/2016 vp, PeVL 13/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 25/2009 vp). Esityksen 1. lakiehdotuksessa määriteltäisiin ja täsmennettäisiin ne tehtävät ja tarkoitukset, joita varten henkilötietojen myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Säännöksiä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen laajennettaisiin eräiltä osin. Säännöksillä pyritään varmistamaan Rajavartiolaitoksen toimintaedellytykset esimerkiksi sellaisissa tilanteissa, joissa on vaikeaa määrittää etukäteen, onko kyse yleisen järjestyksen ja turvallisuuden varmistamisesta vai rikoksen ennalta estämisestä, paljastamisesta ja selvittämisestä, sekä tilanteissa, joissa tehokas rikoksen ennalta estäminen, paljastaminen ja selvittäminen edellyttää henkilötietojen tarkistamista useammasta henkilörekisteristä. Sääntelyssä on huomioitu myös tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisiin käsittelytarkoituksiin alun perin kerättyjen ja talletettujen tietojen käyttäminen luvan myöntämisen tai voimassaolon edellytysten selvittämisessä. Säännökset varmistaisivat voimassa olevan lain tavoin myös Schengenin rajasäännöstössä säädetyn rajavalvonnan vuoksi tarpeelliset rekisterikyselyt.

Perustuslakivaliokunta on erityisesti biometristen tunnistetietojen käsittelyn kansallisen sääntelyn arvioinnin yhteydessä korostanut, että tietojen käyttämiseen alkuperäisen käsittelytarkoituksen ulkopuolisiin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta on valiokunnan mielestä voitu tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käsittelytarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (esimerkiksi PeVL 47/2010 vp). Rajavartiolaitoksella olisi 1. lakiehdotuksen mukaan oikeus käsitellä myös biometrisiä tunnisteita. Käytännössä Rajavartiolaitoksen tietojärjestelmiin talletettaisiin lähinnä henkilön valokuvia, sillä sormenjäljet ja DNA-tunnisteet talletettaisiin jatkossakin poliisin rekisterinpitoon. Rajavartiolaitoksella olisi voimassa olevan lainsäädännön tavoin oikeus ottaa vastaan henkilön fyysisiin ominaisuuksiin perustuva matkustusasiakirjaan liitetty sähköinen tunniste henkilön tunnistamista ja asiakirjan aitouden varmistamista varten, mutta tunnistetta ei saisi tallettaa (1. lakiehdotuksen 51 §). Rajavartiolaitoksen käsittelemiä biometrisiä tunnisteita ei siten käytännössä käytettäisi tai luovutettaisi laajamittaisesti muihin käsittelytarkoituksiin.

Perustuslakivaliokunta on lausuntokäytännössään kiinnittänyt huomiota siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta tarpeellisiin tietoihin, jos tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on valiokunnan mukaan pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta (esimerkiksi PeVL 31/2017 sekä PeVL 17/2016 vp ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojen-saantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esimerkiksi PevL 71/2014 vp, PeVL 62/2010 vp, ja PeVL 59/2010 vp). Valiokunta on käytännössään arvioinut myös arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (esimerkiksi PeVL 38/2016 vp).

Esityksen 1. ja 2. lakiehdotuksiin sisällytettäisiin voimassa olevien lakien tavoin yksityiskohtaiset säännökset siitä, mille viranomaisille ja mihin käsittelytarkoituksiin henkilötietoja saataisiin luovuttaa. Erityisiin henkilötietoryhmiin kuuluvia tietoja saataisiin luovuttaa ainoastaan, kun se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä. Perustuslakivaliokunnan käytännön mukaan lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Ehdotettu sääntely koskisi voimassa olevan lainsäädännön tavoin nimenomaisesti henkilötietojen luovuttamista teknisen käyttöyhteyden avulla tai tietojoukkona. Perustuslakivaliokunta on myös katsonut, että on tarpeellista asettaa tietoja pyytävälle etukäteen vaatimus esittää selvitys siitä, että tietojen suojauksesta huolehditaan asianmukaisesti ennen teknisen käyttöyhteyden avaamista (PeVL 12/2002 vp). Ensimmäiseen lakiehdotukseen sisältyisi tätä tarkoittava säännös. Rekisterinpitäjän valvontavastuun toteuttamiseksi rekisterinpitäjän olisi jatkossakin erikseen arvioitava, millä edellytyksillä tekninen käyttöyhteys voitaisiin avata.

Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö mahdollistaa kansallista sääntelyä, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 31/2017 vp ja PeVL 25/2005 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 14/2018 vp, PeVL 31/2017 vp, PeVL 26/2017 vp, PeVL 2/2017 vp ja PeVL 44/2016 vp).

Tietosuoja-asetuksen 23 artiklan mukaan kansallisella lailla on tiettyjen edellytysten täyttyessä mahdollista rajoittaa rekisteröityjen oikeuksia. Kansallisella lailla voidaan säätää rajoituksista muun muassa asetuksen 12—22 artiklaan. Tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, että poikkeuksen sisältävät lainsäädäntötoimenpiteet sisältävät tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin käsittelytarkoitusta tai käsittelyn ryhmiä, henkilötietoryhmiä, käyttöön otettujen rajoitusten soveltamisalaa, suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen, rekisterinpitäjän ja rekisterinpitäjien ryhmien määrittämistä, tietojen säilytysaikoja ja sovellettavia suojatoimia, rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä sekä rekisteröidyn oikeutta saada tietoa rajoituksesta. Myös rikosasioiden tietosuojalaki mahdollistaa rekisteröidyn oikeuksista poikkeamisen erityislainsäädännössä.

Rekisteröidyn tarkastusoikeus

Rekisteröidyn tarkastusoikeuden osalta pääsäännöt sisältyisivät rikosasioiden tietosuojalakiin sekä tietosuoja-asetukseen ja sitä täydentävään tietosuojalakiin. Esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi rekisteröidyn tarkastusoikeutta koskevista rajoituksista siltä osin kuin kyse on rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen käsittelystä. Tietosuoja-asetuksen soveltamisalaan kuuluvissa tilanteissa rekisteröidyn tarkastusoikeuden rajoittamiseen sovellettaisiin tietosuojalain yleissääntelyä.

Tarkastusoikeuden rajoituksia ehdotetaan tarkennettavaksi nykyisestä siten, että rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävistä henkilötiedoista suoran tarkastusoikeuden ulkopuolelle jäisivät Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskevat tiedot, havainto- tai tietolähdetiedot sekä tekniseen tutkintaan käytettävät tiedot. Rekisteröidyllä olisi näihin tietoihin rikosasioiden tietosuojalain 29 §:ssä tarkoitettu välillinen tarkastusoikeus tietosuojavaltuutetun kautta. Muut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät tiedot olisivat rekisteröidyn tarkastusoikeuden piirissä.

Lisäksi esityksen 1. lakiehdotuksen 6 §:n 3 momentin ja8 §:n 6 momentin nojalla käsiteltävät henkilötiedot olisivat ehdotuksen mukaan välillisen tarkastusoikeuden piirissä. Näiden tietojen osalta suoraa tarkastusoikeutta olisi rajoitettava, koska tietoihin sisältyisi tyypillisesti Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskevia tietoja. Kun tietojen merkityksellisyys Rajavartiolaitoksen tehtävien kannalta olisi arvioitu, tarkastusoikeuden rajoituksiin sovellettaisiin samoja säännöksiä kuin muihin 6—9 §:ssä tarkoitettuihin tietoihin.

Yksityiselämän suojan rajoituksella tulisi olla hyväksyttävä yhteiskunnallinen intressi ja rajoituksen tulisi olla oikeassa suhteessa tavoiteltuun päämäärään. Tämä merkitsee, että rajoitusten tulee olla välttämättömiä hyväksyttävän tarkoituksen saavuttamiseksi. Perusoikeuden rajoittaminen on sallittua ainoastaan, jos tavoite ei ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoitus ei saa mennä pidemmälle kuin on perusteltua ottaen huomioon rajoituksen taustalla olevan yhteiskunnallisen intressin painavuus suhteessa rajoitettavaan oikeushyvään (PeVM 25/1994 vp ja esimerkiksi PeVL 56/2014 vp ja PeVL 18/2013 vp).

Rajoitukset 1. lakiehdotuksessa liittyisivät rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Tätä on vakiintuneesti Euroopan ihmisoikeustuomioistuimen ja EU:n tuomioistuimen sekä korkeimman oikeuden oikeuskäytännössä pidetty sellaisena painavana yhteiskunnallisena intressinä, jonka osalta tavoitteet eivät olisi saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoituksista säädettäisiin täsmällisesti ja tarkkarajaisesti, minkä lisäksi rekisteröity voisi aina käyttää oikeuksiaan valvontaviranomaisen välityksellä. Rekisteröidyltä ei siten kokonaan evättäisi mahdollisuutta valvoa henkilötietojensa käsittelyä, vaan rajoitustilanteissakin tämä voisi käyttää oikeuttaan välillisesti tietosuojavaltuutetun välityksellä. Rajoitukset eivät menisi pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi.

Tietosuoja-asetuksen 18 artikla

Esityksessä ehdotetaan säädettäväksi poikkeus myös tietosuoja-asetuksen18 artiklaan, jonka mukaan rekisteröity voi vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojensa paikkansapitävyyden. Säännös on perusteltu erityisesti rajavalvontaan ja rajaturvallisuuden ylläpitoon liittyvien henkilötietojen käsittelyssä.

Säännöksellä ei rajoitettaisi rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimisivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoisi, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä olisi mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voisi myös saattaa hallintolain nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Viimeksi mainitussa tilanteessa rekisterinpitäjän olisi ratkaistava asia hallintolain menettelysäännöksiä noudattaen. Ehdotettua poikkeusta voidaan siten pitää rekisteröidyn oikeusturvan kannalta vähäisenä, kun otetaan huomioon se, miten muutoin turvataan hyvä hallinto ja oikeusturva rekisterinpitäjän suorittamassa henkilötietojen käsittelyssä.

Oikeussuojakeinot

Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla.

Tietosuoja-asetuksessa on henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Asetuksen VIII luvussa säädetään oikeussuojakeinoista, vastuusta ja seuraamuksista. Luvussa säädetään oikeudesta tehokkaisiin oikeussuojakeinoihin niin valvontaviranomaista kuin rekisterinpitäjää tai henkilötietojen käsittelijääkin vastaan. Asetuksen 82 artiklassa säädetään rekisterinpitäjän vastuusta vahingosta ja rekisteröidyn oikeudesta korvaukseen ja 84 artiklassa asetetaan jäsenvaltioille velvollisuus vahvistaa säännöt asetuksen rikkomisen vuoksi määrättäviä seuraamuksia varten.

Tietosuojadirektiivin VIII luvussa säädetään rekisteröidyn oikeussuojakeinoista, rekisterinpitäjän vastuusta ja direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista. Rekisteröidyllä on oltava oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan direktiivin nojalla annettuja säännöksiä. Mikäli valvontaviranomainen, jolle valitus on tehty, ei ole toimivaltainen, tulee viranomaisen omatoimisesti siirtää valitus toimivaltaiselle viranomaiselle. Niin luonnollisella henkilöllä kuin oikeushenkilölläkin tulee olla oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan. Jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.

Tietosuoja-asetuksen säännöksiä täydennetään tietosuojalailla, jossa säädetään oikeusturvasta ja seuraamuksista. Tietosuojalaissa säädetään muun muassa rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Lisäksi lakiin sisältyvät säännökset tietosuojavaltuutetun oikeudesta asettaa uhkasakko tiettyjen päätösten ja tiedonsaantioikeuksien tehosteeksi. Laissa säädetään myös muutoksenhausta tietosuojavaltuutetun päätökseen. Päätöksen valituskelpoisuus määräytyy hallintolainkäyttölain mukaan. Tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa nykyistä henkilötietolakia vastaavasti hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Tietosuojavaltuutetun päätöksessä voidaan määrätä, että sen päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistetaan, että tietosuojavaltuutetulla on mahdollisuus puuttua tehokkaasti lainvastaiseen henkilötietojen käsittelyyn.

Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana viranomaisena. Tietosuojavaltuutettu valvoo lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi myös asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon.

Tietosuojalaissa säädetään, että tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja ei voida määrätä valtion viranomaisille, kuten Rajavartiolaitokselle. Sääntelyssä on kyse kansallisen liikkumavaran käytöstä. Myöskään rikosasioiden tietosuojalaissa ei säädetä hallinnollisesta seuraamusmaksusta laissa tarkoitetuille toimivaltaisille viranomaisille. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. Perustuslakivaliokunnalla ei ole ollut huomauttamista edellä mainittuihin tietosuojalakia koskevassa hallituksen esityksessä mainittuihin perusteluihin (PeVL 14/2018 vp).

Perustuslain 6 §:ssä ilmaistaan yleinen yhdenvertaisuuslauseke, jonka mukaan ihmiset ovat yhdenvertaisia lain edessä. Ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Yleistä yhdenvertaisuuslauseketta täydentää syrjinnän kielto.

Yleinen yhdenvertaisuuslauseke kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa ihmisiä tai ihmisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. Lausekkeella ei kuitenkaan edellytetä kaikkien ihmisten kaikissa suhteissa samanlaista kohtelua, jos asiaan vaikuttavat olosuhteet eivät ole samanlaisia. Perustuslakivaliokunta onkin vakiintuneesti todennut, ettei yleisestä yhdenvertaisuusperiaatteesta johdu tiukkoja rajoja lainsäätäjän harkinnalle pyrittäessä kulloisenkin yhteiskuntakehityksen vaatimaan sääntelyyn (esimerkiksi PeVL 11/2012 vp, PeVL 2/2011 vp, PeVL 64/2010 vp ja PeVL 35/2010 vp). Keskeistä on, voidaanko kulloisetkin erottelut perustella perusoikeusjärjestelmän kannalta hyväksyttävällä tavalla (PeVL 46/2006 vp, PeVL 16/2006 vp ja PeVL 73/2002 vp). Valiokunta on eri yhteyksissä johtanut perustuslain yhdenvertaisuussäännöksistä vaatimuksen, että erottelut eivät saa olla mielivaltaisia eivätkä ne saa muodostua kohtuuttomiksi (esimerkiksi PeVL 11/2012 vp, PeVL 37/2010 vp, PeVM 11/2009 vp ja PeVL 18/2006 vp).

Perustuslain 6 §:n 2 momentissa on luettelo eräistä kielletyistä erotteluperusteista. Luettelo ei kuitenkaan ole tyhjentävä. Erikseen mainittuihin kiellettyihin erotteluperusteisiin rinnastetaan muut henkilöön liittyvät syyt. Perustuslakivaliokunnan käytännössä on erottelun hyväksyttävyyden lisäksi kiinnitetty huomiota valitun keinon oikeasuhtaisuuteen (PeVL 38/2006 vp ja PeVL 23/2012 vp).

Erityisesti erityisiin henkilötietoryhmiin kuuluvien tietojen keräämistä koskevilla säännöksillä on merkitystä arvioitaessa yhdenvertaisuusperiaatteen toteutumista. Rajavartiolaitos voi joutua käsittelemään rikoksen ennalta estämiseksi, paljastamiseksi ja selvittämiseksi laajastikin arkaluonteisia henkilötietoja, kuten tietoja rikoksesta epäillyn kansallisuudesta tai etnisestä alkuperästä, terveydentilaa koskevia tietoja taikka geneettisiä tietoja (DNA-jäljet) ja sormenjälkitietoja. Rajavartiolaitoksen henkilötietojen käsittelyä koskevat toimenpiteet eivät saa johtaa syrjivään kohteluun. Tämä on pyritty esityksessä varmistamaan sillä, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi kytketty käsittelyn välttämättömyyteen.

Esityksessä on otettu huomioon henkilötietojen käsittelyä koskevan lainsäädännön asettamat yleiset edellytykset sekä perustuslain 10 §:n 1 momentin tulkintaa ohjaava perustuslakivaliokunnan lausuntokäytäntö.

Hallituksen käsityksen mukaan lakiehdotukset voidaan säätää tavallisen lain säätämisjärjestyksessä. Koska esitys kuitenkin sisältää perusoikeuksien toteutumisen kannalta merkityksellisiä muutoksia voimassa olevaan lainsäädäntöön, hallitus pitää perusteltuna, että esityksestä pyydettäisiin perustuslakivaliokunnan lausunto.

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Soveltamisala

Tätä lakia sovelletaan, jollei muualla laissa toisin säädetä, henkilötietojen käsittelyyn Rajavartiolaitokselle laissa säädettyjen tehtävien suorittamiseksi, jos:

1) käsittely on kokonaan tai osittain automaattista; tai

2) henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Sen lisäksi, mitä muualla laissa säädetään, tässä laissa säädetään myös Rajavartiolaitoksen oikeudesta saada tietoja viranomaisilta sekä yksityisiltä yhteisöiltä ja henkilöiltä.

2 §
Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, sekä tietosuojalaissa ( / ).

Jollei tässä laissa toisin säädetä:

1) henkilötietojen käsittelyyn rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi ja tällaisten uhkien ehkäisemiseksi, kansallisen turvallisuuden suojaamiseksi sekä sotilasoikeudenhoidossa sovelletaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ), jäljempänä rikosasioiden tietosuojalaki;

2) henkilötietojen salassapitoon ja vaitiolovelvollisuuteen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) ja rajavartiolaitoksen hallinnosta annettua lakia (577/2005).

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) rajaturvallisuuden ylläpitämisellä niitä kotimaassa ja ulkomailla suoritettavia toimenpiteitä, joilla pyritään estämään valtakunnanrajan ja ulkorajan ylittämisestä annettujen säännösten rikkominen;

2) rajajärjestyksen ylläpitämisellä valtakunnanrajaa ja rajanylityspaikkoja koskevien säännösten samoin kuin rajaviranomaisten kansainvälistä yhteistoimintaa koskevien säännösten ja määräysten täytäntöönpanoa ja niiden noudattamisen valvontaa;

3) Schengenin rajasäännöstöllä henkilöiden liikkumisesta rajojen yli koskevasta unionin säännöstöstä (Schengenin rajasäännöstö) annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/399;

4) Schengenin tietojärjestelmän säädöspohjalla toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä tehtyä neuvoston päätöstä 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1986/2006;

5) Europol-asetuksella Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794.

2 luku

Henkilötietojen käsittely

4 §
Henkilön perustietojen käsittely

Rajavartiolaitos saa käsitellä 5, 6, 8, 10, 11 ja 13 §:ssä säädettyihin tarkoituksiin seuraavia tarpeellisia henkilön perustietoja:

1) nimet;

2) henkilötunnus;

3) sukupuoli;

4) syntymäaika ja -paikka

5) kansalaisuus tai kansalaisuudettomuus ja kansallisuus;

6) äidinkieli;

7) asiointikieli;

8) siviilisääty;

9) koti- ja asuinpaikka;

10) ammatti ja koulutus;

11) asevelvollisuus ja asepalvelus;

12) sotilaskoulutus ja sotilasarvo;

13) yhteystiedot;

14) henkilöllisyyden toteamiseksi tarvittavat tiedot asiakirjoista;

15) viranomaisen antama asiakasnumero;

16) matkustusasiakirjan tiedot sekä muut rajanylittämiseen liittyvät tarpeelliset tiedot;

17) ulkomaalaisen henkilön vanhempien nimet, kansalaisuus, kansallisuus ja yhteystiedot;

18) tieto kuolemasta tai kuolleeksi julistamisesta;

19) tieto edunvalvonnasta, konkurssiin asettamisesta tai liiketoimintakieltoon määräämisestä.

5 §
Henkilötietojen käsittely rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi

Rajavartiolaitos saa käsitellä henkilötietoja Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi, rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi sekä rajavartiolain (578/2005) 27 §:ssä tarkoitetun tutkinnan suorittamiseksi.

Rajavartiolaitos saa käsitellä 1 momentissa tarkoitetussa tehtävässä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:

1) Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;

2) Schengenin rajasäännöstön II liitteessä tarkoitetut tiedot;

3) rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteet;

4) tarpeelliset tiedot henkilöiden ja kulkuneuvojen liikkeistä ja sijainnista rajan läheisyydessä sekä matkustajista ja miehistöstä rajat ylittävässä henkilöliikenteessä;

5) liikenteenharjoittajan seuraamusmaksun määräämiseksi tarpeelliset tiedot;

6) rajavartiolaissa tarkoitettua rajavyöhykelupaa ja rajanylityslupaa koskevan asian käsittelemiseksi tarpeelliset tiedot;

7) Rajavartiolaitokselle tehdyt rajavyöhykeilmoitukset ja muut ilmoitukset;

8) tarpeelliset tiedot muiden valtioiden rajavalvontaviranomaisten toiminnasta ja kokoonpanosta sekä rajatilanteesta Suomessa ja Euroopan unionissa;

9) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot mukaan lukien kasvokuva;

10) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot.

6 §
Henkilötietojen käsittely rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi

Rajavartiolaitos saa käsitellä henkilötietoja rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän suorittamiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi.

Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat:

1) rikoksesta tai rikokseen osallisuudesta epäiltyjä;

2) alle 15-vuotiaita rikollisesta teosta epäiltyjä;

3) esitutkinnan tai Rajavartiolaitoksen toimenpiteen kohteena;

4) rikoksen ilmoittajia tai asianomistajina esiintyviä henkilöitä;

5) todistajia;

6) uhreja;

7) muutoin kuin 1—6 kohdassa tarkoitetulla tavalla 1 momentissa tarkoitettuun tehtävään liittyviä.

Rajavartiolaitos saa käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta.

7 §
Rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen sisältö

Rajavartiolaitos saa käsitellä 6 §:ssä tarkoitetuista henkilöistä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:

1) Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;

2) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot mukaan lukien sormen-, käden- ja jalanjäljet, käsiala-, ääni- ja hajunäyte, DNA-tunniste, kasvokuva ja muut biometriset tiedot;

3) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot;

4) tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, onko syyte hylätty taikka jätetty tutkimatta tai sillensä ja tieto ratkaisun lainvoimaisuudesta.

8 §
Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi

Rajavartiolaitos saa käsitellä henkilötietoja rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi.

Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin:

1) joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen;

2) jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen; tai

3) jotka ovat rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) 21 §:ssä tarkoitetun tarkkailun kohteena.

Rajavartiolaitos saa käsitellä 1 momentissa tarkoitettuja tietoja myös rikoksen todistajista, uhreista ja asianomistajina esiintyvistä ja rikoksen tai muun havainnon ilmoittajista, jos se on rikoksen ennalta estämiseksi tai paljastamiseksi välttämätöntä.

Rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta päättää rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu hallintoyksikkö.

Rajavartiolaitos saa lisäksi käsitellä rajavartiomiesten havaitsemia ja Rajavartiolaitokselle ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rikolliseen toimintaan.

Rajavartiolaitos saa käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta.

9 §
Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen sisältö

Rajavartiolaitos saa käsitellä 8 §:ssä tarkoitetuista henkilöistä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:

1) Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;

2) henkilön toimintaa ja käyttäytymistä koskevat tarpeelliset tiedot;

3) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot mukaan lukien ääninäyte, kasvokuva ja muut biometriset tiedot;

4) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot mukaan lukien henkilön terveydentilan ja sen seurannan taikka hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot.

Henkilötietoihin on liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.

10 §
Tietolähdetietojen käsittely

Rajavartiolaitos saa käsitellä tietoja rikostorjunnasta Rajavartiolaitoksessa annetun lain 36 §:ssä tarkoitetusta tietolähteestä, tietolähteen käytöstä ja valvonnasta sekä tietolähteen antamien tietojen pääasiallisesta sisällöstä.

11 §
Henkilötietojen käsittely sotilasoikeudenhoidossa

Rajavartiolaitos saa käsitellä henkilötietoja rajavartiolaitoksen hallinnosta annetun lain 31 §:n 3 momentissa tarkoitettuun esitutkintaan ja sotilaskurinpitomenettelyyn (sotilasoikeudenhoito) liittyvän tehtävän suorittamiseksi.

Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät esitutkinnan tai pakkokeinon kohteena olevaan tai olleeseen taikka ilmoittajana, todistajana, asianomistajana tai muuna kuultavana esiintyvään henkilöön.

12 §
Sotilasoikeudenhoidossa käsiteltävien henkilötietojen sisältö

Rajavartiolaitos saa käsitellä 11 §:ssä tarkoitetuista henkilöistä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:

1) Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;

2) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot, mukaan lukien ääninäyte ja kasvokuva;

3) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot;

4) ratkaisutiedot kurinpitopäätöksistä sekä syyttäjän ja tuomioistuimen sotilasoikeudenkäyntiasiana käsittelemistä asioista, päätöksen tai tuomion tiedoksiantoa ja muutoksenhakua koskevat tiedot sekä seuraamuksen täytäntöönpanoa koskevat tiedot;

5) sotilaskurinpitomenettelyn valvontaa koskevat tiedot.

13 §
Henkilötietojen käsittely Rajavartiolaitoksen muissa lakisääteisissä tehtävissä

Rajavartiolaitos saa käsitellä henkilötietoja sille säädettyjen valvontatehtävien, tullitehtävien, etsintä-, pelastus- ja ensihoitotehtävien sekä muiden Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi.

Rajavartiolaitos saa käsitellä 1 momentissa tarkoitetussa tehtävässä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:

1) Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;

2) tarpeelliset tiedot meriliikenteestä ja vesikulkuneuvojen sijainnista;

3) hallinnollisia seuraamuksia koskevat tiedot;

4) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot.

14 §
Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen

Jollei muualla laissa toisin säädetä, Rajavartiolaitos saa käsitellä 5—7 ja 11—13 §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, jos se on tarpeen:

1) rikoksen ennalta estämiseksi tai paljastamiseksi;

2) sellaisen rikoksen selvittämiseksi, josta voi seurata vankeusrangaistus;

3) etsintäkuulutetun tavoittamiseksi;

4) syyttömyyttä tukevana selvityksenä;

5) hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi;

6) kansallisen turvallisuuden suojaamiseksi;

7) Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi;

8) palveluskelpoisuuden määrittämistä sekä palveluksen suunnittelua ja järjestämistä varten;

9) poikkeusolojen tehtäviin sijoittamista tai varautumista varten;

10) sotilasarvossa ylentämistä tai palkitsemista varten;

11) henkilöllisyyden selvittämiseksi suoritettaessa sellaista Rajavartiolaitoksen toimenpidettä, joka välttämättä edellyttää henkilöllisyyden varmistamista;

12) Rajavartiolaitoksen toiminnan suuntaamiseksi.

Rajavartiolaitoksen henkilörekisterin tietoja saa käsitellä salassapitosäännösten estämättä myös laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Tietoja saa lisäksi käyttää koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen on sallittua vain, jos käsittely on käsittelytarkoituksen kannalta välttämätöntä.

15 §
Henkilötietojen käsittely lupaharkinnassa

Jollei muualla laissa toisin säädetä, Rajavartiolaitos saa käsitellä 5—13 §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen silloin, kun se on tarpeen päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.

16 §
Rekisterinpitäjä

Tässä laissa tarkoitettujen henkilötietojen rekisterinpitäjä on Rajavartiolaitoksen esikunta.

3 luku

Oikeus tietojen saamiseen

17 §
Tietojen saanti viranomaiselta

Rajavartiolaitoksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä ja henkilöltä virkatehtävän suorittamiseksi tarpeelliset tiedot ja asiakirjat salassapitovelvollisuuden estämättä, jollei sellaisen tiedon tai asiakirjan antamista Rajavartiolaitokselle tai tietojen käyttöä todisteena ole laissa kielletty tai rajoitettu.

Päätöksen salassa pidettävien tietojen hankkimisesta tekee pidättämiseen oikeutettu virkamies, jollei tietojen luovuttajan kanssa toisin sovita.

18 §
Tietojen saanti yksityiseltä yhteisöltä ja henkilöltä

Rajavartiolaitoksella on oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi, paljastamiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Rajavartiolaitoksella on sama oikeus saada rajavartiolain 27 §:ssä tarkoitetussa tutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii.

Rajavartiolaitoksella on oikeus yksittäistapauksessa pidättämiseen oikeutetun virkamiehen pyynnöstä saada teleyritykseltä ja yhteisötilaajalta yhteystiedot sellaisesta teleosoitteesta, jota ei mainita julkisessa luettelossa, ja teleosoitteen tai telepäätelaitteen yksilöivät tiedot, jos tiedot ovat tarpeen Rajavartiolaitokselle kuuluvan tehtävän suorittamiseksi. Rajavartiolaitoksella on vastaava oikeus saada postitoimintaa harjoittavalta yhteisöltä jakeluosoitetietoja.

Rajavartiolaitoksella on oikeus saada tietoja lupahallintoa varten yksityiseltä yhteisöltä ja henkilöltä noudattaen, mitä 17 §:ssä säädetään.

19 §
Uhkasakko

Rajavartiolaitos voi velvoittaa antamaan 18 §:ssä tarkoitetut tiedot kohtuullisessa määräajassa, jos tiedot ovat tarpeen Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi tai selvittämiseksi. Rajavartiolaitos voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saa asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto liittyy rikosepäilyn kohteena olevaan asiaan. Muilta osin uhkasakosta säädetään uhkasakkolaissa (1113/1990).

20 §
Tietojen saanti eräistä rekistereistä ja tietojärjestelmistä

Rajavartiolaitoksella on sen lisäksi, mitä muualla laissa säädetään, oikeus saada tehtäviensä suorittamista varten salassapitosäännösten estämättä tarpeellisia tietoja seuraavasti:

1) merenkulkuviranomaisilta ja alusliikennepalvelun tarjoajalta tietoja meriliikenteestä, sen valvonnasta ja vesikulkuneuvojen sijainnista merivalvonnan tietojärjestelmistä, alusten ilmoittautumisjärjestelmästä, satamaliikenteen tietojärjestelmistä sekä muista alusliikenteen tietojärjestelmistä Rajavartiolaitoksen merellä suoritettavaksi säädettyä valvontatehtävää varten;

2) ilmailu-, kalastus-, merenkulku-, ympäristö- ja pelastusviranomaisilta sekä poliisilta, Tullilta ja Puolustusvoimilta tietoja kulkuneuvoista, liikenteestä, viranomaisten toimintavalmiudesta ja hälyttämisestä rajaturvallisuuden ylläpitämistä, pelastustehtävää sekä merellä tai maarajalla Rajavartiolaitoksen suoritettavaksi säädettyä valvontatehtävää varten;

3) hätäkeskustietojärjestelmästä henkilön oman turvallisuuden tai Rajavartiolaitoksen virkamiehen työturvallisuuden kannalta tarpeellisia tietoja Rajavartiolaitoksen lakisääteisen tehtävän suorittamista varten;

4) sakon täytäntöönpanosta annetussa laissa (672/2002) tarkoitetusta sakkorekisteristä rikokseen ja rikosoikeudelliseen seuraamukseen liittyviä tietoja rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa, pelastustehtävää, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetussa laissa (485/2004) tarkoitettua tehtävää sekä liikenteenharjoittajan seuraamusmaksun ja öljypäästömaksun määräämistä varten;

5) oikeushallinnon viranomaisilta tieto niiden etsintäkuuluttamista henkilöistä, oikeushallinnon valtakunnallisesta tietojärjestelmästä annetussa laissa (372/2010) tarkoitetusta ratkaisu- ja päätösilmoitusjärjestelmästä tietoja rikosasioissa annetuista ratkaisuista ja niiden lainvoimaisuudesta sekä diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä tietoja syyttäjäviranomaisessa tai tuomioistuimessa vireillä olevista tai olleista rikosasioista;

6) ulkoministeriön tietojärjestelmistä tietoja Suomessa lähettäjävaltiota edustavan diplomaatti- tai konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen tai muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista sekä heidän perheenjäsenistään ja yksityisessä palveluksessaan olevista henkilöistä rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa sekä Rajavartiolaitokselle ulkomaalaislaissa (301/2004) säädetyn tehtävän suorittamista varten;

7) yhteisen kalastuspolitiikan seuraamusjärjestelmästä ja valvonnasta annetun lain (1188/2014) 29 §:ssä tarkoitetusta valvonnan tietojärjestelmästä tietoja kalastuksenvalvontaa, vesiliikenteen valvontaa, rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa, pelastustehtävää, eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetussa laissa tarkoitettua tehtävää sekä liikenteenharjoittajan seuraamusmaksun määräämistä varten;

8) virka-apua pyytäneeltä viranomaiselta tietoja virka-avun antamiseksi;

9) yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevia tietoja poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetussa laissa (687/2009) tarkoitetussa yhteistoiminnassa suoritettavaa tehtävää varten.

21 §
Muiden viranomaisten tietojen luovuttaminen Rajavartiolaitokselle suorakäyttöisesti tallettamalla

Rajavartiolaitos saa antaa oikeuden luovuttaa henkilörekisteriinsä tietoja suorakäyttöisesti tallettamalla:

1) oikeushallintoviranomaisille, Rikosseuraamuslaitokselle ja Oikeusrekisterikeskukselle;

2) poliisille, Tullille ja Puolustusvoimille;

3) ulkoasiainhallinnolle.

22 §
Tiedot ulkorajan ylittävässä kulkuneuvossa olevista henkilöistä

Rajavartiolaitoksella on salassapitosäännösten estämättä oikeus saada ja käsitellä yhteisöjen ja yhtymien matkustajia ja kulkuneuvojen henkilökuntaa koskevia tarpeellisia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi.

Maahan saapuvan ja maasta lähtevän ulkorajan ylittävän ajoneuvon kuljettajan on toimitettava maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle tiedot ajoneuvossa olevista henkilöistä. Aluksen tai ilma-aluksen päällikön, junan tai muun liikennevälineen omistajan tai haltijan taikka näiden edustajan on annettava maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle matkustaja- ja miehistöluettelo tai muutoin tiedot liikennevälineen henkilökunnasta, matkustajista ja muista liikennevälineessä olevista henkilöistä, jollei tietoja jo ole toimitettu 23 tai 24 §:n perusteella.

Matkustaja- ja miehistöluettelosta tulee käydä ilmi jokaisen siihen merkityn henkilön suku- ja etunimi, syntymäaika, sukupuoli ja kansalaisuus sekä liikennevälineen kansallisuus- ja rekisteritieto sekä saapumis- ja lähtöpaikka.

Edellä 2 ja 3 momentissa tarkoitetut tiedot on toimitettava myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti.

23 §
Lentoliikenteen matkustajatiedot

Sen lisäksi, mitä 22 §:ssä säädetään, ammattimaisesti henkilöiden kuljetusta ilmateitse harjoittavan luonnollisen henkilön ja oikeushenkilön on toimitettava rajatarkastusviranomaiselle tämän pyynnöstä tässä pykälässä tarkoitetut tiedot matkustajista, jotka tämä kuljettaa viralliselle rajanylityspaikalle, jonka kautta kyseiset henkilöt saapuvat Euroopan unionin jäsenvaltioiden alueelle tai lähtevät jäsenvaltioiden alueelta (lentoliikenteen matkustajatiedot).

Lentoliikenteen matkustajatietoihin on sisällyttävä matkustajan käyttämän matkustusasiakirjan numero ja tyyppi, matkustajan kansalaisuus tai kansalaisuudettomuus, koko nimi, syntymäaika, rajanylityspaikka, jonka kautta matkustaja saapuu Euroopan unionin jäsenvaltioiden alueelle tai lähtee sieltä, kuljetuksen koodi, kuljetuksen lähtö- ja saapumisaika, asianomaisella kuljetuksella kuljetettujen henkilöiden kokonaismäärä sekä alkuperäinen lähtöpaikka. Tiedot on toimitettava välittömästi lähtöselvityksen päätyttyä. Tiedot on luovutettava sähköisesti tai, jos se ei ole mahdollista, muulla asianmukaisella tavalla.

Tätä pykälää sovelletaan myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti.

24 §
Matkustajia ja miehistöä koskevat tiedot alus- ja junaliikenteessä

Ammattimaisesti henkilöiden tai tavaroiden kuljetusta vesiteitse tai rautateitse harjoittavan luonnollisen henkilön ja oikeushenkilön on toimitettava rajatarkastusviranomaiselle 22 §:n 2 ja 3 momentissa tarkoitetut matkustaja- ja miehistötiedot ennen rajatarkastukseen saapumista.

Junaliikenteessä tiedot on toimitettava viimeistään junan lähdettyä viimeiseltä asemalta, jolta se on ottanut matkustajia. Alusliikenteen tietojen ennakkotoimitusvelvollisuuteen sovelletaan, mitä Schengenin rajasäännöstössä ja muualla säädetään tai määrätään.

Tätä pykälää sovelletaan myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti.

25 §
Matkustaja- ja miehistötietojen käsittely

Edellä 22—24 §:ssä tarkoitettuja matkustajia ja miehistöä koskevia tietoja saadaan käsitellä rajatarkastusten helpottamiseksi sekä laittoman maahantulon ja laittoman maahanmuuton torjumiseksi. Lisäksi tietoja saadaan käsitellä Rajavartiolaitokselle, poliisille tai Tullille säädetyssä muussa tehtävässä.

Matkustajia ja miehistöä koskevia tietoja saa 1 momentissa tarkoitetun käsittelyn yhteydessä verrata käsittelyn kannalta tarpeellisiin rekistereihin ja tietokantoihin.

26 §
Seuraamukset

Edellä 23 ja 24 §:ssä liikenteenharjoittajalle säädetyn velvollisuuden rikkomisesta määrättävästä seuraamusmaksusta säädetään ulkomaalaislain 179 §:ssä.

Ulkomaalaisrikkomuksesta säädetään ulkomaalaislain 185 §:ssä.

27 §
Tietojen toimittaminen Rajavartiolaitokselle

Rajavartiolaitoksella on oikeus saada tässä luvussa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä. Tiedot on oikeus saada myös teknisen käyttöyhteyden avulla tai tietojoukkona siten kuin siitä rekisterinpitäjän kanssa sovitaan.

Rajavartiolaitoksen on pyynnöstä annettava henkilötietoja luovuttaneelle rekisterinpitäjälle tietoja teknisen käyttöyhteyden avulla, tietojoukkona tai suorakäyttöisen tallettamisen kautta saamiensa henkilötietojen käsittelystä.

28 §
Euroopan unionin viisumitietojärjestelmä

Rajavartiolaitoksen oikeudesta saada tietoja Euroopan unionin viisumitietojärjestelmästä säädetään viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta annetussa Euroopan parlamentin ja neuvoston asetuksessa (VIS-asetus) (EY) N:o 767/2008.

Rajavartiolaitoksen oikeudesta saada Euroopan unionin viisumitietojärjestelmästä tietoja rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (1286/2003) 3 §:n 2 momentissa tarkoitettujen, Rajavartiolaitoksen tutkittavaksi kuuluvien rikosten ennalta ehkäisemiseksi ja selvittämiseksi säädetään jäsenvaltioiden nimeämien viranomaisten ja Europolin pääsystä tekemään hakuja viisumitietojärjestelmästä (VIS) terrorismirikosten ja muiden vakavien rikosten torjumiseksi, havaitsemiseksi ja tutkimiseksi tehdyssä neuvoston päätöksessä 2008/633/YOS. Tiedot on pyydettävä Rajavartiolaitoksen esikunnan välityksellä.

29 §
Kansainvälisessä yhteistyössä saatujen tietojen käsittely

Kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatujen tietojen käsittelyssä on noudatettava, mitä tietojen luovuttajan asettamissa ehdoissa määrätään salassapidosta, vaitiolovelvollisuudesta, tietojen käytön rajoituksista, tietojen edelleen luovutuksesta ja luovutetun aineiston palauttamisesta.

Jollei 1 momentista muuta johdu, Rajavartiolaitos saa käsitellä sille luovutettuja tietoja muuhun tarkoitukseen kuin mihin tiedot on luovutettu noudattaen, mitä 14 §:n 1 momentissa säädetään.

4 luku

Henkilötietojen luovuttaminen

30 §
Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona 5—13 §:ssä tarkoitettuja henkilötietoja poliisille, Tullille, Puolustusvoimille, syyttäjälle, tuomioistuimille, Oikeusrekisterikeskukselle, Rikosseuraamuslaitokselle ja muulle viranomaiselle rikosasioiden tietosuojalain 1 §:ssä tarkoitettua viranomaisen laissa säädettyä tehtävää varten.

31 §
Henkilötietojen muu luovuttaminen viranomaisille

Sen lisäksi, mitä muualla laissa säädetään, Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona 5—13 §:ssä tarkoitettuja henkilötietoja, jotka ovat tarpeen viranomaisen laissa säädetyn tehtävän suorittamiseksi, seuraavasti:

1) poliisille rajatarkastuksen suorittamista varten, henkilötietojen alkuperäistä käsittelytarkoitusta vastaaviin tarkoituksiin sekä muuhun tarkoitukseen henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 13 §:ssä ja 15 §:n 1 momentissa tarkoitetuissa tapauksissa;

2) Tullille tullivalvontaa, verovalvontaa, rajatarkastuksen suorittamista sekä haasteen ja muun tiedoksiannon suorittamista varten, henkilötietojen alkuperäistä käsittelytarkoitusta vastaaviin tarkoituksiin sekä muuhun tarkoitukseen henkilötietojen käsittelystä Tullissa annetun lain ( / ) 13 §:ssä tarkoitetuissa tapauksissa;

3) pelastusviranomaisille pelastustoimintaa varten;

4) Hätäkeskuslaitokselle hätäkeskustoiminnasta annetussa laissa (692/2010) säädettyjen tehtävien suorittamiseksi, alkutoimenpiteiden tai työturvallisuuden varmistamiseksi ja asianomaisen yksikön tukemiseksi ottaen huomioon, mitä tietojen saamista koskevan oikeuden rajoittamisesta mainitussa laissa säädetään;

5) Liikenne- ja viestintävirastolle liikenteen palveluista annetun lain (320/2017) 197 ja 217 §:n mukaisesti tietoja, jotka ovat välttämättömiä sen laissa säädettyjen tehtävien hoitamista varten;

6) Väylävirastolle meriliikenteen ohjausta varten;

7) ympäristöviranomaisille aluksista aiheutuvan vesien pilaantumisen ehkäisemistä ja merensuojelun valvontaa koskevia tehtäviä varten;

8) Maahanmuuttovirastolle ulkomaalaisia ja Suomen kansalaisuutta koskevien sellaisten asioiden käsittelemistä ja ratkaisemista varten, jotka lailla tai asetuksella on säädetty Maahanmuuttoviraston tehtäviksi;

9) ulkoministeriölle ja Suomen edustustolle niiden toimivaltaan kuuluvan passia tai muuta matkustusasiakirjaa, viisumia tai työntekijän oleskelulupaa, elinkeinoharjoittajan oleskelulupaa tai muuta oleskelulupaa koskevan asian käsittelemistä varten;

10) työ- ja elinkeinoviranomaiselle työntekijän tai elinkeinonharjoittajan oleskelulupaan liittyvän osapäätöksen tai ennakkotietopäätöksen tai työntekijän oleskeluluvan myöntämisestä pidättymispäätöksen käsittelyä varten;

11) sosiaaliviranomaisille ulkomaalaisen toimeentulon selvittämistä tai sosiaalihuollon tai terveydenhuollon järjestämistä varten;

12) ulosottomiehelle ulosottokaaren (705/2007) 3 luvun 67 §:n mukaisesti ulosottoasioiden täytäntöönpanoa varten;

13) Metsähallituksen erätarkastajalle tämän toimivaltaan kuuluvaa erävalvontaa varten.

Sen lisäksi, mitä 1 momentissa säädetään, Rajavartiolaitos saa perustellusta syystä luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona viranomaiselle henkilötietoja, jotka ovat välttämättömiä viranomaisen laissa säädetyn tehtävän suorittamiseksi.

Erityisiin henkilötietoryhmiin kuuluvia tietoja saadaan luovuttaa 1 momentissa säädettyihin tarkoituksiin vain, jos se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.

32 §
Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä

Rajavartiolaitos saa salassapitosäännösten estämättä luovuttaa yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi henkilötietoja, joista on asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen, rajaturvallisuuden ylläpitämisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Henkilötiedot saadaan luovuttaa vain, jos se on olennaisen tärkeää Rajavartiolaitokselle säädetyn tehtävän suorittamiseksi, eikä tietojen luovuttaminen ole vastoin rekisteröidyn oikeutettua etua. Toiselta viranomaiselta saatuja henkilötietoja saa luovuttaa vain tiedot luovuttaneen viranomaisen suostumuksella.

33 §
Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä 5—13 §:ssä tarkoitettuja henkilötietoja toisen Euroopan unionin jäsenvaltion ja Euroopan talousalueeseen kuuluvan valtion toimivaltaiselle viranomaiselle, joka käsittelee henkilötietoja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 1 artiklan 1 kohdassa säädettyyn tarkoitukseen, samoin edellytyksin kuin se saa itse käsitellä kyseisiä henkilötietoja.

Rajavartiolaitos saa lisäksi luovuttaa salassapitosäännösten estämättä 5—13 §:ssä tarkoitettuja henkilötietoja Eurojustille ja muulle Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perustetulle toimielimelle, jonka tehtäviin kuuluu oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen, jos tiedot ovat tarpeellisia kyseisten tehtävien suorittamiseksi. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa kuitenkin luovuttaa vain, jos tiedot ovat välttämättömiä kyseisten tehtävien suorittamiseksi.

Edellä 1 ja 2 momentissa tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona.

Sen lisäksi, mitä tässä laissa ja rikosasioiden tietosuojalaissa säädetään, henkilötietojen luovuttamisesta Euroopan unionin jäsenvaltion lainvalvontaviranomaiselle säädetään Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetussa laissa (26/2009).

34 §
Henkilötietojen luovuttaminen Euroopan unionin rajavalvontayhteistyössä

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä 5—9 ja 13 §:ssä tarkoitettuja henkilötietoja:

1) toisen Euroopan unionin jäsenvaltion ja Schengenin rajasäännöstöä soveltavan muun valtion rajavalvonnasta vastaavalle viranomaiselle rajavalvonnan suorittamista varten;

2) Euroopan raja- ja merivartiovirastolle, viraston yhteyshenkilölle sekä viraston koordinoimaan operaatioon tai pilottihankkeeseen Suomessa osallistuvalle jäsenvaltion virkamiehelle noudattaen, mitä eurooppalaisesta raja- ja merivartiostosta ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/399 muuttamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 863/2007, neuvoston asetuksen (EY) N:o 2007/2004 ja neuvoston päätöksen 2005/267/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/1624 säädetään;

3) rajavartiolain 15 d §:n 1 momentissa tarkoitettua rajaturvallisuusapua antavalle Euroopan unionin jäsenvaltion virkamiehelle Suomen esittämän avunpyynnön edellyttämien toimenpiteiden suorittamista varten.

Tässä pykälässä tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona.

35 §
Eräät kansainväliset tietojärjestelmät

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä Schengenin tietojärjestelmään talletettaviksi henkilötietoja, jotka ovat tarpeen Schengenin tietojärjestelmän säädöspohjassa säädettyihin tarkoituksiin. Schengenin tietojärjestelmän säädöspohjassa tarkoitetut lisätiedot on luovutettava keskusrikospoliisin välityksellä. Tiedot saadaan luovuttaa myös tietojoukkona.

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä henkilötietoja Euroopan unionin lainvalvontayhteistyövirastolle noudattaen, mitä Europol-asetuksessa ja Euroopan unionin lainvalvontayhteistyövirastosta annetussa laissa (214/2017) säädetään.

36 §
Tietojen muu luovuttaminen ulkomaille

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä henkilötietoja noudattaen, mitä rikosasioiden tietosuojalain 7 luvussa säädetään.

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä 5—9 ja 13 §:ssä tarkoitettuja henkilötietoja:

1) Suomen ja Neuvostoliiton välisellä valtakunnanrajalla noudatettavasta järjestyksestä ja rajatapahtumain selvittämisjärjestyksestä tehdyssä sopimuksessa (SopS 32/1960) tarkoitetulle viranomaiselle sopimuksessa tarkoitettuja tehtäviä varten;

2) toisen valtion rajavalvonnasta vastaavalle viranomaiselle, jos tiedot ovat välttämättömiä rajavalvonnan suorittamista varten;

3) laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamista koskevissa kansainvälisissä velvoitteissa tai järjestelyissä tarkoitetuille toimivaltaisille viranomaisille kyseisissä kansainvälisissä velvoitteissa tai järjestelyissä tarkoitettuja tehtäviä varten.

Rajavartiolaitos saa luovuttaa salassapitosäännösten estämättä ampuma-aseiden, aseen osien, patruunoiden ja erityisen vaarallisten ammusten hankkimista, hallussapitoa, siirtoa, tuontia ja vientiä koskevia henkilötietoja muun valtion asevalvonnasta vastaavalle viranomaiselle, jos tietojen luovuttaminen on asevalvonnan kannalta välttämätöntä.

Tässä pykälässä tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona.

37 §
Tietojen luovuttamista koskeva menettely

Rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä hallintoyksikkö päättää tässä laissa tarkoitettujen henkilötietojen luovuttamisesta, jos luovuttaminen tapahtuu teknisen käyttöyhteyden avulla tai tietojoukkona tai jos kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille.

Luovuttamisesta päätettäessä on rekisteröidyn tietosuojan ja tietoturvan varmistamiseksi otettava huomioon luovutettavien tietojen laatu. Ennen henkilötietojen luovuttamista teknisen käyttöyhteyden avulla tai tietojoukkona niiden vastaanottajan on esitettävä rekisterinpitäjälle luotettava selvitys tietojen asianmukaisesta suojaamisesta.

Luovutettavien tietojen laatu on varmennettava ja niihin on mahdollisuuksien mukaan lisättävä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Jos ilmenee, että on luovutettu virheellisiä tietoja tai että tietoja on luovutettu lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle.

5 luku

Henkilötietojen poistaminen ja arkistointi

38 §
Rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävien henkilötietojen poistaminen

Rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävät henkilötiedot poistetaan viimeistään viiden vuoden kuluttua viimeisimmän tiedon merkitsemisestä.

Edellä 1 momentissa säädetystä poiketen poistetaan:

1) lupatiedot kymmenen vuoden kuluttua luvan voimassaolon päättymisestä;

2) ilmoitustiedot kymmenen vuoden kuluttua tiedon rekisteriin merkitsemisestä;

3) rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteet viimeistään kuuden kuukauden kuluttua tallenteen syntymisestä;

4) liikenteenharjoittajan seuraamusmaksun määräämistä koskevat tiedot kymmenen vuoden kuluttua rekisteriin merkitsemisestä;

5) maahantulokieltoa koskevat tiedot kolmen vuoden kuluttua kiellon peruuttamisesta tai päättymisestä;

6) 5 §:n 2 momentin 8 kohdassa tarkoitetut tiedot 25 vuoden kuluttua viimeisen tiedon merkitsemisestä;

7) 5 §:n 2 momentin 10 kohdassa tarkoitetut tiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.

Edellä 1 ja 2 momentissa tarkoitetut tiedot voidaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.

39 §
Lentoliikenteen matkustajatietojen poistaminen

Edellä 23 §:ssä tarkoitetut lentoliikenteen matkustajatiedot poistetaan viimeistään 24 tunnin kuluttua niiden toimittamisesta rajatarkastusviranomaiselle matkustajien saavuttua maahan tai lähdettyä maasta, jollei tietoja tarvita Rajavartiolaitoksen, poliisin tai Tullin muussa lakisääteisessä tehtävässä. Lentoliikenteen matkustajatietojen käsittelyyn 24 tunnin jälkeen sovelletaan lisäksi, mitä lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa ( / ) säädetään.

Jollei muuta säädetä, 23 §:ssä tarkoitettujen lentoliikenteen matkustajatietojen luovuttajan on hävitettävä hankkimansa ja rajatarkastusviranomaisille toimittamansa henkilötiedot viimeistään 24 tunnin kuluttua kuljetuksessa käytetyn liikennevälineen saapumisesta määränpäähänsä.

40 §
Rikosasiaan liittyvien henkilötietojen poistaminen

Syyttäjälle ratkaistavaksi siirretyn rikosasian tiedot poistetaan:

1) viiden vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus;

2) kymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli vuoden ja enintään viiden vuoden vankeusrangaistus;

3) kahdenkymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta.

Edellä 1 momentissa tarkoitetut tiedot poistetaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.

Muun kuin 1 momentissa tarkoitetun rikosasian tiedot poistetaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta.

Henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistetaan kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta.

Rikoksen tekohetkellä alle 15-vuotiaan tuntomerkkitiedot poistetaan kuitenkin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, jollei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta.

Edellä 4 ja 5 momentissa tarkoitetut tiedot poistetaan viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta.

Edellä 1—5 momentissa tarkoitetut rikosasiaan liittyvät henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.

41 §
Rikosten selvittämisessä käsiteltävien muiden henkilötietojen sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen poistaminen

Rikosten selvittämisessä käsiteltävät muut henkilötiedot kuin 40 §:ssä tarkoitetut tiedot sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävät henkilötiedot poistetaan viiden vuoden kuluttua ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan.

Edellä 1 momentissa säädetystä poiketen poistetaan:

1) henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi tai suojaamiseksi käsiteltävät etsintäkuulutusta tai matkustuskieltoa koskevat tiedot kolmen vuoden kuluttua kuulutuksen tai kiellon peruuttamisesta tai päättymisestä;

2) 7 §:n 1 momentin 3 kohdassa tarkoitetut tiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.

Edellä 1 ja 2 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.

42 §
Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen poistaminen

Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan tiedon merkitsemisestä. Edellä 8 §:n 5 momentissa tarkoitetut tiedot poistetaan kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä ja 9 §:n 1 momentin 4 kohdassa tarkoitetut tiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.

Edellä 1 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.

43 §
Tietolähdetietojen poistaminen

Tietolähdetiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä.

44 §
Sotilasoikeudenhoidossa käsiteltävien henkilötietojen poistaminen

Sotilasoikeudenhoidossa käsiteltävistä henkilötiedoista poistetaan tieto:

1) muistutuksesta, ylimääräisestä palveluksesta ja enintään kymmenen vuorokauden poistumiskiellosta kolmen vuoden kuluttua kurinpitorangaistuksen tuomitsemisesta tai määräämisestä, jollei asianomaista tänä aikana ole tuomioistuimen päätöksellä tai kurinpitomenettelyssä rangaistu;

2) varoituksesta, yli kymmenen vuorokauden poistumiskiellosta, kurinpitosakosta ja arestista viiden vuoden kuluttua kurinpitorangaistuksen tuomitsemisesta tai määräämisestä, jollei asianomaista tänä aikana ole tuomioistuimen päätöksellä tai kurinpitomenettelyssä rangaistu.

Tieto tuomioistuimen sotilasoikeudenkäyntimenettelyssä määräämästä rangaistuksesta poistetaan noudattaen rikosrekisterilain (770/1993) 10 §:ää ja sakon täytäntöönpanosta annetun lain 52 §:ää.

Jos henkilöä on rangaistu tuomioistuimen päätöksellä tai kurinpitomenettelyssä useammin kuin kerran, tiedot poistetaan viiden vuoden kuluttua viimeisestä kurinpitorangaistuksesta.

Esitutkintaa koskevat sotilasoikeudenhoidossa käsiteltävät henkilötiedot poistetaan viimeistään:

1) vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta, jos rikoksen syyteoikeuden vanhentumisaika on yli kymmenen vuotta;

2) vuoden kuluttua siitä, kun rekisterinpitäjä on saanut tiedon syyttäjän tekemästä päätöksestä jättää ryhtymättä toimenpiteisiin rikokseen syyllisen saattamiseksi syytteeseen taikka syyttäjän tekemästä päätöksestä, jonka mukaan asiassa ei ole kyseessä rikos tai näyttöä rikoksesta;

3) vuoden kuluttua siitä, kun rekisterinpitäjä on saanut tiedon syyttäjän päätöksestä, että rikos on vanhentunut;

4) vuoden kuluttua siitä, kun rekisterinpitäjä on saanut tiedon, että syyte on lainvoimaisesti hylätty tai nostettu syyte syyteoikeuden vanhentumisen vuoksi hylätty;

5) vuoden kuluttua rikoksesta epäillyn kuolemasta;

6) kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä.

Edellä 12 §:n 1 momentin 3 kohdassa tarkoitetut sotilasoikeudenhoidossa käsiteltävät tiedot poistetaan viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.

45 §
Muiden henkilötietojen poistaminen

Edellä 13 §:ssä tarkoitetut henkilötiedot poistetaan viiden vuoden kuluttua tietojen rekisteriin merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.

Edellä 1 momentissa säädetystä poiketen poistetaan:

1) säilöön otettujen ulkomaalaisten tiedot viiden vuoden kuluttua henkilöä koskevan viimeisen tiedon merkitsemisestä;

2) liiketoimintakieltoa koskevat tiedot viiden vuoden kuluttua liiketoimintakiellon päättymisestä;

3) 13 §:n 2 momentin 4 kohdassa tarkoitetut tiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.

46 §
Virheelliseksi todettu tieto

Sen estämättä, mitä tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa säädetään rekisterissä olevan virheellisen tiedon korjaamisesta, virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa.

Virheelliseksi todettu tieto, jota 1 momentin nojalla säilytetään, on poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen.

47 §
Tietojen arkistointi

Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen.

6 luku

Rekisteröidyn oikeudet

48 §
Rekisteröidyn tarkastusoikeuden toteuttaminen

Tietosuoja-asetuksen 15 artiklassa tarkoitetun rekisteröidyn tietoon pääsyn ja rikosasioiden tietosuojalain 23 §:ssä tarkoitetun rekisteröidyn tarkastusoikeuden toteuttamiseksi rekisterinpitäjä tai sen määräämä muu viranomainen antaa tiedot tarkastamista varten.

Rekisteröidyn on tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai 1 momentissa tarkoitetulle muulle viranomaiselle ja todistettava henkilöllisyytensä. Pyyntö voidaan esittää myös käyttämällä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitettua vahvaa sähköistä tunnistamista, jos tällainen palvelu on käytössä.

49 §
Tarkastusoikeuden rajoitukset

Rikosasioiden tietosuojalain 23 §:ssä säädetystä poiketen ja mainitun lain 28 §:ssä säädetyn lisäksi rekisteröidyllä ei ole tarkastusoikeutta:

1) 6 §:n 3 momentissa, 8 §:n 6 momentissa ja 10 §:ssä tarkoitettuihin henkilötietoihin;

2) 6—9 §:ssä tarkoitettuihin henkilötietoihin sisältyviin Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin.

Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle, rekisterinpitäjälle tai tämän lain 48 §:n 1 momentissa tarkoitetulle muulle viranomaiselle mainitun pykälän 2 momentissa säädetyllä tavalla. Rekisterinpitäjälle tai muulle viranomaiselle esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.

50 §
Rekisteröidyn oikeus käsittelyn rajoittamiseen

Tietosuoja-asetuksen 18 artiklaa rekisteröidyn oikeudesta käsittelyn rajoittamiseen ei sovelleta tässä laissa tarkoitettuun henkilötietojen käsittelyyn.

7 luku

Erinäiset säännökset

51 §
Henkilön fyysisiin ominaisuuksiin perustuva sähköinen tunniste

Rajavartiolaitoksella on oikeus ottaa vastaan henkilön fyysisiin ominaisuuksiin perustuva matkustusasiakirjaan liitetty sähköinen tunniste henkilön tunnistamista ja asiakirjan aitouden varmistamista varten, jollei muuta säädetä.

Rajavartiolaitoksella on oikeus verrata asiakirjassa olevaa tunnistetta henkilöön. Sähköistä tunnistetta ei saa tallettaa, jollei muuta säädetä.

52 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

Tällä lailla kumotaan henkilötietojen käsittelystä rajavartiolaitoksessa annettu laki (579/2005).

Tässä laissa tarkoitettujen henkilötietojen poistamiseen saadaan soveltaa tämän lain voimaan tullessa voimassa olleita säännöksiä neljän vuoden ajan tämän lain voimaantulosta. Edellä mainittuna aikana tämän lain 6 ja 7 §:ssä tarkoitettujen henkilötietojen poistamiseen sovelletaan kuitenkin, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 61 §:n 3 momentissa säädetään mainitun lain 5 ja 6 §:ssä tarkoitettujen henkilötietojen poistamisesta.

---

2.

Eduskunnan päätöksen mukaisesti

kumotaan meripelastuslain (1145/2001) 16 §, sellaisena kuin se on laissa 521/2004,

muutetaan 12, 14, 17 ja 20 §, sellaisena kuin niistä on 14 § laissa / , sekä

lisätään 15 §:ään, sellaisena kuin se on laissa 1660/2009, uusi 2 momentti seuraavasti:

12 §
Meripelastusrekisteri

Meripelastustoimen tehtävien tarkoituksenmukaiseksi hoitamiseksi sekä vaaratilannetta koskevien tapahtumien ja siihen liittyvien etsintä- ja pelastustoimenpiteiden jälkikäteiseksi selvittämiseksi Rajavartiolaitoksen esikunta pitää valtakunnallista meripelastusrekisteriä vaaratilanteiden varalta laadituista toimintasuunnitelmista sekä vastaanotetuista hätäilmoituksista ja niiden perusteella suoritetuista toimenpiteistä.

14 §
Oikeus tietojen saamiseen viranomaisilta sekä alus- ja ilmaliikennepalvelujen tarjoajilta

Rajavartiolaitoksella on oikeus saada salassapitosäännösten estämättä maksutta muulta meripelastusviranomaiselta meripelastustoimen suunnittelussa tarvittavat kyseisen viranomaisen toimintavalmiutta ja sijoittautumista koskevat tiedot sekä henkilöstön valmius-, tunniste- ja yhteystiedot. Rajavartiolaitoksella on oikeus saada vastaavat tiedot alus- ja ilmaliikennepalvelujen tarjoajilta sekä oikeus luovuttaa tietoja alus- ja ilmaliikennepalvelujen tarjoajille.

Sen lisäksi, mitä muualla laissa säädetään, Rajavartiolaitoksella on oikeus saada salassapitosäännösten estämättä korvauksetta tietoja, jotka ovat tarpeen meripelastustoimen valmiussuunnittelua ja vaaratilanteessa meripelastustoimen tehtävien suorittamista varten seuraavasti:

1) Liikenne- ja viestintävirastolta liikenneasioiden rekisteristä ajoneuvoa, venettä, alusta ja ilma-alusta sekä niiden omistajia ja haltijoita koskevia tietoja, radioluparekisteristä radiolaitetta sekä sen omistajaa ja haltijaa koskevia tietoja, tietoja radiolaitteen sijainnista, ilmailun hätäpaikannuslähetinrekisteristä ilma-alusta sekä ilma-aluksen omistajaa ja haltijaa koskevia tietoja sekä ajantasaista meritilannekuvaa alusliikenteestä;

2) kalastusviranomaisilta kalastusalusta, aluksen omistajaa ja haltijaa sekä aluksen toimintaa

koskevia tietoja;

3) kunnan satamalaitokselta aluksia sekä alus- ja tavaraliikennettä koskevia tietoja;

4) alusliikennepalvelun tarjoajalta alusliikennettä koskevia tietoja ja ilmaliikennepalvelun tarjoajalta ilma-alusliikennettä koskevia tietoja;

5) Puolustusvoimilta merialueen valvontaa koskevia tietoja;

6) hätäkeskustietojärjestelmästä, poliisin tehtäväilmoitusrekisteri mukaan lukien, hätäilmoitusta ja vaaratilannetta koskevia tietoja, henkilön oman turvallisuuden tai työturvallisuuden kannalta tarpeellisia tietoja sekä merellä toimivien viranomaisten yksiköiden valmius- ja paikkatietoja;

7) Ahvenanmaan maakunnan rekisteriviranomaiselta ajoneuvoa, alusta ja huvivenettä sekä niiden omistajaa ja haltijaa koskevia tietoja.

Henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 5—7 ja 13 §:ssä ja aluevalvontalain (755/2000) 30 §:ssä tarkoitettuja henkilötietoja voidaan vaaratilanteessa tarvittaessa käyttää etsintä- ja pelastustoimenpiteiden järjestämiseksi.

15 §
Oikeus tietojen saamiseen yksityisiltä yrityksiltä ja yhteisöiltä

---

Oikeudesta tietojen saamiseen teleyritykseltä säädetään sähköisen viestinnän palveluista annetun lain (917/2014) 321 §:ssä.

17 §
Tietojen luovutustapa

Rajavartiolaitoksella on oikeus saada 14 ja 15 §:ssä tarkoitetut tiedot teknisen käyttöyhteyden avulla siten kuin siitä erikseen sovitaan tai muulla tavalla.

20 §
Meripelastusrekisterin henkilötietojen käsittelyä ja tietojen julkisuutta koskevat säännökset ja määräykset

Jollei tässä laissa toisin säädetä, meripelastusrekisterin henkilötietojen käsittelyyn sovelletaan luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) sen 56 artiklaa ja VII lukua lukuun ottamatta, tietosuojalakia ( / ) sekä henkilötietojen käsittelystä Rajavartiolaitoksessa annettua lakia. Meripelastusrekisterin henkilötietojen käsittelystä määrätään lisäksi Suomea sitovissa kansainvälisissä sopimuksissa.

Meripelastusrekisterin tietojen julkisuuteen sovelletaan, mitä viranomaisten asiakirjojen julkisuudesta säädetään.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan rajavartiolaitoksen hallinnosta annetun lain (577/2005) 28 c ja 31 a §, sellaisina kuin ne ovat, 28 c § laissa 1229/2013 ja 31 a § laissa 750/2014, sekä

lisätään lakiin siitä lailla 877/2011 kumotun 18 §:n tilalle uusi 18 § seuraavasti:

18 §
Viittaus tietojen luovuttamista koskeviin säännöksiin

Rajavartiolaitoksen henkilörekisteriin talletettujen tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona ja ulkomaille säädetään henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ).

28 c §
Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely

Opiskelijan ja opiskelijaksi pyrkivän terveydentilaa koskevia ja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja saavat Raja- ja merivartiokoulussa käsitellä vain ne henkilöt, jotka valmistelevat taikka tekevät päätöksen opiskelijavalinnasta, opiskelun keskeyttämisestä tai opiskeluoikeuden menettämisestä taikka jotka antavat lausuntoja mainituista asioista.

Raja- ja merivartiokoulun on säilytettävä 1 momentissa tarkoitetut tiedot erillään muista keräämistään henkilötiedoista.

Edellä 1 momentissa tarkoitetut tiedot tulee poistaa rekisteristä välittömästi, kun niiden säilyttämiselle ei ole enää lakisääteisten tehtävien edellyttämää perustetta, kuitenkin viimeistään kolmen vuoden kuluttua tietojen merkitsemisestä rekisteriin.

31 a §
Sotilaskurinpitoratkaisujen tarkastukset

Rajavartiolaitoksen esikunta tarkastaa hallintoyksiköiden sotilaskurinpitoratkaisut vähintään kerran vuodessa.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

4.

Eduskunnan päätöksen mukaisesti

kumotaan rajavartiolain (578/2005) 31 §, sellaisena kuin se on laissa 749/2014, ja

muutetaan 1 §:n 2 momentti, 28 §:n 1 momentin 11 kohta, 28 a § ja 35 f §:n 4 momentti,

sellaisina kuin ne ovat, 1 §:n 2 momentti laissa 109/2018, 28 §:n 1 momentin 11 kohta ja 28 a § laissa 749/2014 ja 35 f §:n 4 momentti laissa 425/2017, seuraavasti:

1 §
Soveltamisala

---

Rajavartiolaitoksen hallinnon, koulutuksen ja tutkimustoiminnan järjestämisestä sekä Rajavartiolaitoksen viroista ja sen virkamiesten erityisistä oikeuksista ja velvollisuuksista säädetään rajavartiolaitoksen hallinnosta annetussa laissa (577/2005), jäljempänä Rajavartiolaitoksen hallintolaki. Henkilötietojen käsittelystä sekä oikeudesta tietojen saamiseen ja luovuttamiseen Rajavartiolaitoksen tehtävissä säädetään tässä laissa, henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ), meripelastuslaissa (1145/2001) sekä muualla laissa. Rajavartiolaitoksen tehtävistä rikostorjunnassa säädetään rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018). Poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta säädetään myös poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetussa laissa (687/2009).

---

28 §
Rajavalvontaa koskevat toimivaltuudet

Sen lisäksi, mitä tässä laissa ja muualla säädetään, rajavartiomiehellä on Schengenin rajasäännöstössä tarkoitetun rajavalvonnan suorittamiseksi oikeus ilman rikosepäilyä:

---

11) tallettaa rajavalvonnan suorittamisen yhteydessä saadut tiedot noudattaen, mitä henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa säädetään.

---

28 a §
Henkilöntarkastus rajavalvonnassa

Edellä 28 §:n 1 momentin 9 kohdassa tarkoitetusta henkilöntarkastuksesta päättää rajanylityspaikan esimiehenä toimiva rajavartiomies tai vähintään luutnantin arvoinen rajavartiomies. Rajatarkastusta suorittava rajavartiomies voi kuitenkin päättää henkilöntarkastuksesta, joka kohdistetaan henkilön päällysvaatteisiin tai mukana oleviin matkatavaroihin taikka joka suoritetaan käsin tunnustelemalla tai teknistä laitetta käyttäen.

Henkilöntarkastuksesta on tehtävä merkintä Rajavartiolaitoksen henkilörekisteriin. Rajanylityspaikan esimiehenä toimivan rajavartiomiehen tai vähintään luutnantin arvoisen rajavartiomiehen toimivaltuuksin tehdystä henkilöntarkastuksesta on lisäksi laadittava pöytäkirja, jossa toimituksen kulku selostetaan riittävällä tarkkuudella. Pöytäkirjasta on pyynnöstä annettava tarkastettavalle jäljennös.

35 f §
Rajaturvallisuusapua antavan Euroopan unionin jäsenvaltion virkamiehen muut oikeudet ja velvollisuudet

---

Virkamiehen oikeudesta käyttää Rajavartiolaitoksen henkilörekistereitä säädetään henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

5.

Eduskunnan päätöksen mukaisesti

muutetaan rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) 1, 6 ja 49 § sekä 54 §:n 1 momentti seuraavasti:

1 §
Soveltamisala

Tätä lakia sovelletaan, sen lisäksi mitä rajavartiolaissa (578/2005), rajavartiolaitoksen hallinnosta annetussa laissa (577/2005) ja henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ) säädetään, Rajavartiolaitoksen tehtävänä oleviin toimiin rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi.

Siltä osin kuin tässä laissa ei toisin säädetä, Rajavartiolaitoksen tehtävänä olevassa rikosasian esitutkinnassa noudatetaan, mitä esitutkintalaissa (805/2011) ja pakkokeinolaissa (806/2011) sekä muualla laissa säädetään esitutkinnasta ja pakkokeinoista.

6 §
Rajavartiomiehen tehtävät ja toimivaltuudet rikostorjunnassa

Sen lisäksi, mitä tässä laissa säädetään, rajavartiomiehen tehtävistä, toimivaltuuksista, oikeuksista ja velvollisuuksista säädetään rajavartiolaissa, rajavartiolaitoksen hallinnosta annetussa laissa, henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ja muualla laissa.

Rajavartiomiehellä on Rajavartiolaitoksen suorittamassa esitutkinnassa sama oikeus ryhtyä esitutkintalain mukaisiin tutkintatoimenpiteisiin ja käyttää pakkokeinolain mukaisia pakkokeinoja kuin poliisimiehellä poliisiviranomaisen suorittamassa esitutkinnassa, jollei tässä laissa tai muussa laissa toisin säädetä.

49 §
Tietojen hävittäminen

Salaisella tiedonhankintakeinolla saatu tieto on hävitettävä viipymättä sen jälkeen, kun on käynyt ilmi, ettei tietoa tarvita rikoksen estämiseksi tai selvittämiseksi taikka vaaran torjumiseksi.

Ylimääräinen tieto voidaan kuitenkin säilyttää ja tallettaa henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa tarkoitetussa käsittelytarkoituksessa, jos tieto koskee 48 §:n 1 tai 2 momentissa tarkoitettua rikosta tai jos tieto on tarpeen rikoslain 15 luvun 10 §:ssä tarkoitetun rikoksen estämiseksi. Tieto, jota ei ole talletettu tai liitetty esitutkinta-aineistoon, on hävitettävä ilman aiheetonta viivytystä sen jälkeen, kun on käynyt ilmeiseksi, ettei tietoa voida käyttää tai sitä ei enää tarvita rikoksen estämisessä tai selvittämisessä.

Tukiasematiedot on hävitettävä, kun on käynyt ilmi, ettei tietoa tarvita rikoksen estämiseksi tai selvittämiseksi taikka vaaran torjumiseksi.

54 §
Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa

Poiketen siitä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 11 §:ssä säädetään, henkilöllä, jonka oikeutta tai velvollisuutta asia koskee, ei ole oikeutta saada tietoa tässä luvussa tarkoitetun tiedonhankintakeinon käytöstä ennen kuin 52 §:ssä tarkoitettu ilmoitus on tehty. Hänellä ei ole myöskään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ) tarkoitettua rekisteröidyn tarkastusoikeutta.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

6.

Eduskunnan päätöksen mukaisesti

muutetaan ulkomaalaislain (301/2004) 174 §:n 2 momentti, 179 §:n 1 ja 3 momentti, 181 §:n 1 momentti, 182 §:n 2 momentti ja 185 §:n 2 momentti, sellaisina kuin ne ovat laissa 755/2014, seuraavasti:

174 §
Ajoneuvon kuljettajan ja liikenteenharjoittajan ilmoitus- ja valvontavelvollisuus

---

Ajoneuvon kuljettajan ja liikenteenharjoittajan ilmoitusvelvollisuudesta säädetään henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 22—24 §:ssä.

179 §
Liikenteenharjoittajan seuraamusmaksu

Liikenteenharjoittajalle, joka rikkoo 173 §:ssä säädetyn tarkastusvelvollisuuden tai henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 23 tai 24 §:ssä säädetyn tietojenantovelvollisuuden, määrätään seuraamusmaksu (liikenteenharjoittajan seuraamusmaksu). Maksun suuruus 173 §:n rikkomisesta on 3 000 euroa kuljetettua henkilöä kohden. Maksun suuruus henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 23 ja 24 §:n rikkomisesta on 3 000 euroa kutakin sellaista matkaa kohden, jolta ei ole ilmoitettu matkustajatietoja tai ne on ilmoitettu puutteellisesti tai virheellisesti.

---

Edellä 2 momentin 1 kohtaa ei sovelleta määrättäessä maksua henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 23 tai 24 §:n rikkomisesta.

---

181 §
Liikenteenharjoittajan seuraamusmaksun määrääminen

Liikenteenharjoittajan seuraamusmaksun määrää rajatarkastuksen yhteydessä sen rajavartioston tai merivartioston komentaja, apulaiskomentaja taikka raja- tai meritoimiston päällikkö, jonka toimialueella 173 §:n tai henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 23 tai 24 §:n rikkominen on havaittu. Jos rajatarkastusviranomaisena on toiminut poliisi, liikenteenharjoittajan seuraamusmaksun määrää poliisilaitoksen päällystöön kuuluva poliisimies. Jos rajatarkastusviranomaisena on toiminut Tulli, liikenteenharjoittajan seuraamusmaksun määrää tehtävään määrätty Tullin vastuuyksikön toimintayksikön esimiestehtävässä toimiva tullimies.

---

182 §
Liikenteenharjoittajan seuraamusmaksun poistaminen

---

Mitä 1 momentin 1 kohdassa säädetään, ei koske seuraamusmaksua, joka määrätään henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 23 tai 24 §:n rikkomisesta.

185 §
Ulkomaalaisrikkomus

---

Ulkomaalaisrikkomuksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta laiminlyö 174 tai 175 §:ssä taikka henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 22 §:ssä säädetyn velvollisuutensa.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

7.

Eduskunnan päätöksen mukaisesti

muutetaan esitutkintalain (805/2011) 11 luvun 8 §, sellaisena kuin se on laissa 113/2018, seuraavasti:

11 luku

Erinäiset säännökset

8 §
Tietojen saaminen viranomaiselta sekä yksityiseltä yhteisöltä tai henkilöltä

Rikoksen selvittämiseksi tarvittavien tietojen saamisesta viranomaiselta sekä yksityiseltä yhteisöltä tai henkilöltä säädetään poliisilain 4 luvun 2 ja 3 §:ssä, rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:ssä ja henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 17—19 §:ssä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

8.

Eduskunnan päätöksen mukaisesti

muutetaan Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta annetun lain (742/2010) 10 §:n 2 momentti, sellaisena kuin se on laissa 648/2015, seuraavasti:

10 §
Henkilötietojen luovuttaminen Eurojustille

---

Tietojen luovuttamiseen Eurojustille poliisin, Rajavartiolaitoksen ja Tullin henkilörekistereistä sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 29 §:ää, henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 33 §:ää, henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 26 §:ää sekä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 30 §:ää.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

9.

Eduskunnan päätöksen mukaisesti

muutetaan Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetun lain (26/2009) 3 §:n 3 ja 4 kohta, 5 §:n 2 ja 3 momentti sekä 6 §:n 2 ja 3 momentti,

sellaisina kuin ne ovat, 3 §:n 3 kohta laissa 1180/2013, 3 §:n 4 kohta, 5 §:n 3 momentti ja 6 §:n 3 momentti laissa 649/2015 sekä 5 §:n 2 momentti ja 6 §:n 2 momentti laissa 312/2016, seuraavasti:

3 §
Tiedon ja tiedustelutiedon määritelmä

Tässä laissa tarkoitetaan tiedoilla ja tiedustelutiedoilla:

---

3) henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 2 luvussa tarkoitettuja tietoja; sekä

4) tietoja, jotka ovat muutoin poliisin, Tullin tai Rajavartiolaitoksen hallussa taikka pakkokeinoja käyttämättä saatavilla poliisilain (872/2011) 4 luvun 2 ja 3 §:n sekä 5 luvun 40–42 §:n, henkilötietojen käsittelystä poliisitoimessa annetun lain 13 §:n, rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 14 §:n, rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) 36 §:n, henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 17, 18 ja 20 §:n taikka muun lain tai sopimuksen perusteella.

5 §
Tietojen ja tiedustelutietojen luovuttaminen pyynnöstä

---

Tiedot ja tiedustelutiedot luovutetaan henkilötietojen käsittelystä poliisitoimessa annetun lain 17—19 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 17 §:ssä sekä henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 33 §:ssä säädetyin edellytyksin.

Tietojen ja tiedustelutietojen luovuttamista koskevaan päätöksentekoon sovelletaan, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 20 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 18 §:ssä, henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 37 §:ssä sekä muualla laissa säädetään.

6 §
Oma-aloitteinen tietojen ja tiedustelutietojen luovuttaminen

---

Tiedot ja tiedustelutiedot luovutetaan henkilötietojen käsittelystä poliisitoimessa annetun lain 17—19 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 17 §:ssä sekä henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 33 §:ssä säädetyin edellytyksin.

Tietojen ja tiedustelutietojen luovuttamista koskevaan päätöksentekoon sovelletaan, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 20 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 18 §:ssä, henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 37 §:ssä sekä muualla laissa säädetään.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

10.

Eduskunnan päätöksen mukaisesti

muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 12 §:n 2 momentti, sellaisena kuin se on laissa 645/2015, seuraavasti:

12 §
Henkilötietojen käsittely ja tarkastusoikeus

---

Rekisteröidyllä ei ole kuitenkaan tarkastusoikeutta henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 45 §:ssä ja henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 49 §:ssä tarkoitettuihin tietoihin eikä henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 29 §:ssä mainituissa rekistereissä oleviin tietoihin.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

11.

Eduskunnan päätöksen mukaisesti

muutetaan hätäkeskustoiminnasta annetun lain (692/2010) 19 §:n 1 momentin 12 kohta ja 20 §:n 4 momentti, sellaisina kuin ne ovat laissa 1172/2016, seuraavasti:

19 §
Tiedonsaantioikeus rekistereistä

Hätäkeskuslaitoksella ja sen henkilöstöön kuuluvalla on Hätäkeskuslaitokselle laissa säädettyjen tehtävien suorittamiseksi oikeus salassapitosäännösten estämättä saada tehtävän alkutoimenpiteiden tai työturvallisuuden varmistamiseksi taikka asianomaisen tehtävää hoitavan viranomaisen tai yksikön tukemiseksi tarpeellisia tietoja maksutta asianomaisen rekisterinpitäjän kanssa sovitulla tavalla. Tässä tarkoituksessa Hätäkeskuslaitoksella ja sen henkilöstöön kuuluvalla on oikeus saada:

---

12) henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 31 §:n 1 momentin 4 kohdassa tarkoitettuja tietoja;

---

20 §
Tietojen luovuttaminen

---

Rajavartiolaitoksen oikeudesta saada tietoja hätäkeskustietojärjestelmästä säädetään tämän lain lisäksi meripelastuslain 14 §:ssä ja henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 20 §:ssä.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

12.

Eduskunnan päätöksen mukaisesti

muutetaan pakkokeinolain (806/2011) 10 luvun 57 §, sellaisena kuin se on laissa 112/2018, seuraavasti:

10 luku

Salaiset pakkokeinot

57 §
Tietojen hävittäminen

Ylimääräinen tieto on hävitettävä sen jälkeen, kun asia on lainvoimaisesti ratkaistu tai jätetty sillensä. Ylimääräinen tieto voidaan kuitenkin säilyttää ja tallettaa henkilötietojen käsittelystä poliisitoimessa annetussa laissa tarkoitettuun rekisteriin, henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015) tarkoitettuun rekisteriin tai henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ) tarkoitetussa käsittelytarkoituksessa, jos tieto koskee tämän luvun 56 §:n 1 tai 2 momentissa tarkoitettua rikosta taikka jos tieto on tarpeen rikoslain 15 luvun 10 §:ssä tarkoitetun rikoksen estämiseksi. Tiedot, joita ei ole hävitettävä, on säilytettävä viiden vuoden ajan siitä, kun asia on lainvoimaisesti ratkaistu tai jätetty sillensä.

Edellä 10 §:ssä tarkoitetut tukiasematiedot on hävitettävä, kun asia on lainvoimaisesti ratkaistu tai jätetty sillensä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

13.

Eduskunnan päätöksen mukaisesti

muutetaan poliisilain (872/2011) 2 luvun 21 §:n 1 momentti, sellaisena kuin se on laissa  / , seuraavasti:

2 luku

Yleiset toimivaltuudet

21 §
Rajatarkastus ja tullitoimenpiteet

Poliisimiehellä on oikeus rajatarkastuksen toimittamiseen rajavartiolain 28 ja 28 a §:ssä rajavartiomiehelle säädetyin toimivaltuuksin. Poliisimiehellä on lisäksi oikeus ohjata ja rajoittaa liikkumista rajanylityspaikalla siten kuin siitä mainitun lain 30 a §:ssä rajanylityspaikan esimiehenä toimivan rajavartiomiehen ja vähintään luutnantin arvoisen rajavartiomiehen osalta säädetään.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

14.

Eduskunnan päätöksen mukaisesti

muutetaan sähköisen viestinnän palveluista annetun lain (917/2014) 322 §, sellaisena kuin se on laissa 118/2018, seuraavasti:

322 §
Eräiden muiden viranomaisten tiedonsaantioikeus

Viranomaisten oikeudesta saada välitystietoja rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi säädetään poliisilaissa, rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018), henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ), henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015) ja pakkokeinolaissa.

Edellä 157 §:n perusteella säilytettäviä tietoja voivat saada säilytysvelvollisilta yrityksiltä ainoastaan ne viranomaiset, joilla on lain perusteella oikeus saada tiedot.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

15.

Eduskunnan päätöksen mukaisesti

muutetaan tullilain (304/2016) 31 § seuraavasti:

31 §
Rajatarkastus

Tullimiehellä on oikeus rajatarkastuksen toimittamiseen rajavartiolain 28, 28 a, 36 ja 38 §:ssä rajavartiomiehelle säädetyin toimivaltuuksin. Tullitoimipaikan esimiehenä toimivalla tullimiehellä on lisäksi oikeus ohjata ja rajoittaa liikkumista rajanylityspaikalla siten kuin siitä rajavartiolain 30 a §:ssä rajanylityspaikan esimiehenä toimivan rajavartiomiehen ja vähintään luutnantin arvoisen rajavartiomiehen osalta säädetään.

Rajavartiolain 28 §:n 1 momentin 1 ja 2 kohdassa tarkoitetusta poistumisen estämisestä sekä tavaroiden ja kulkuneuvon tilapäisestä haltuun ottamisesta rajatarkastuksen toimittamisen ajaksi päättää tullitoimipaikan esimiehenä toimiva tullimies tai tehtävään määrätty tullirikostorjunnan tai tullivalvonnan esimiehenä toimiva tullimies. Kiireellisessä tapauksessa poistumisen estää ja haltuunoton suorittaa rajatarkastusta suorittava tullimies, jonka on viivytyksettä saatettava asia tullitoimipaikan esimiehenä toimivan tullimiehen tai tullirikostorjunnan tai tullivalvonnan esimiehenä toimivan tullimiehen ratkaistavaksi.

Rajavartiolain 28 §:n 1 momentin 9 kohdassa tarkoitetusta henkilöntarkastuksesta päättää tehtävään määrätty tullirikostorjunnan tai tullivalvonnan esimiehenä toimiva tullimies. Rajatarkastusta suorittava tullimies voi kuitenkin päättää henkilöntarkastuksesta, joka kohdistetaan henkilön vaatteisiin tai mukana oleviin tavaroihin.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

16.

Eduskunnan päätöksen mukaisesti

muutetaan turvallisuusselvityslain (726/2014) 25 §:n 1 momentin 6 kohta, sellaisena kuin se on laissa 931/2016, seuraavasti:

25 §
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:

---

6) henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 5 §:ssä, 6 §:n 1 ja 2 momentissa ja 7, 11 ja 12 §:ssä tarkoitettuja tietoja sekä 13 §:ssä tarkoitettuja valvontatehtävien suorittamiseksi käsiteltäviä tietoja sisältävään Rajavartiolaitoksen henkilörekisteriin;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 22 päivänä marraskuuta 2018

Pääministeri
Juha Sipilä

Sisäministeri
Kai Mykkänen