Siirry esitykseen
HE 242/2018
Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä poliisitoimessa sekä eräiksi siihen liittyviksi laeiksi
HaVM 39/2018 vp HE 242/2018 vp
Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa. Samalla voimassa oleva samanniminen laki kumottaisiin. Esityksen tavoitteena on saattaa poliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyä koskeva lainsäädäntö vastaamaan Euroopan unionin tietosuojalainsäädännön vaatimuksia. Esityksessä huomioidaan myös poliisin toimintaympäristössä tapahtuneet muutokset ja niistä aiheutuneet tiedonkäsittelytarpeet, jotka koskevat erityisesti henkilötietojen käsittelyä rikosten ennalta estämiseksi. Tavoitteena on lisäksi selkeyttää ja yksinkertaistaa lain monimutkaiseksi muodostunut rakenne.
Ehdotettu laki täydentäisi Euroopan unionin yleistä tietosuoja-asetusta ja rikosasioiden tietosuojadirektiivin yleistä täytäntöönpanolainsäädäntöä. Voimassa olevan lain valtakunnallisia tietojärjestelmiä ja muita poliisin henkilörekistereitä koskeva sääntely ehdotetaan korvattavaksi säännöksillä poliisilaissa säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Lisäksi laki sisältäisi säännöksiä kansallisesta ja kansainvälisestä tiedonvaihdosta, tietojen poistamisesta ja arkistoinnista sekä rekisteröidyn tarkastusoikeuden toteuttamisesta ja eräistä rajoituksista rekisteröidyn oikeuksiin.
Lisäksi esitys sisältää ehdotukset kahdenkymmenenviiden muun lain muuttamiseksi. Lakeihin ehdotetaan pääosin lakiviittauksia koskevia teknisiä muutoksia.
Lait on tarkoitettu tulemaan voimaan mahdollisimman pian. Henkilötietojen poistaminen olisi toteutettava lain vaatimusten mukaisena neljän vuoden kuluessa lain voimaantulosta.
Esityksen tavoitteena on saattaa henkilötietojen käsittelyä poliisissa koskeva lainsäädäntö ajan tasalle. Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa. Laki korvaisi voimassa olevan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003, jäljempänä poliisin henkilötietolaki). Lisäksi ehdotetaan tarkistuksia eräisiin muihin lakeihin, joissa on henkilötietojen käsittelyä koskevia säännöksiä.
Perustuslakivaliokunta totesi poliisin henkilötietolain muuttamista koskevasta hallituksen esityksestä (HE 66/2012 vp) antamassaan lausunnossa PeVL 18/2012 vp, että poliisin henkilötietolaki on muun muassa siihen tehtyjen lukuisten muutosten johdosta muodostunut rakenteeltaan ja sisällöltään varsin monimutkaiseksi. Lakiin sisältyy myös tarpeettomia päällekkäisyyksiä yleislakien ja eräiden muiden lakien kanssa. Valiokunnan mielestä valtioneuvoston piirissä on syytä harkita poliisin henkilötietolain kokonaisuudistusta viimeistään siinä vaiheessa, kun Euroopan unionin valmisteilla olevan uuden tietosuojasääntelyn lopullinen sisältö on selvillä.
Eduskunnan vastauksessa (EV 216/2013 vp) hallituksen esitykseen laeiksi henkilötietojen käsittelystä poliisitoimessa annetun lain ja henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain sekä eräiden niihin liittyvien lakien muuttamisesta eduskunta edellytti, että hallitus käynnistää mahdollisimman pian poliisin henkilötietolain kokonaisuudistuksen ja että sen yhteydessä huomioidaan muiden seikkojen ohella Euroopan unionissa valmisteilla olevan uuden tietosuojalainsäädännön lopullinen sisältö ja vaatimukset kansalliselle lainsäädännölle sekä hallintovaliokunnan mietinnöstä (HaVM 26/2013 vp) ilmenevät lain rakennetta ja sisältöä koskevat huomautukset, mukaan lukien poliisin henkilötietolaissa tarkoitettujen rekisterien valvonnan kehittäminen. Samassa yhteydessä eduskunta edellytti myös rajavartiolaitoksen henkilötietolain säännösten tarkistamista.
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä tietosuojadirektiivi, annettiin 27 päivänä huhtikuuta 2016. Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018 ja tietosuojadirektiivin kansallisen täytäntöönpanon määräaika oli 6 päivä toukokuuta 2018.
Sisäministeriö asetti lainsäädäntöhankkeen poliisin henkilötietolain uudistamiseksi 28 päivänä tammikuuta 2016. Hankkeen keskeisimmäksi tavoitteeksi asetettiin uudistaa poliisin henkilötietolaki kokonaisuudessaan niin, että se vastaa uudistuvaa Euroopan unionin tietosuojalainsäädäntöä ottaen huomioon rikostorjunnan tarpeet ja myös perus- ja ihmisoikeuksien asettamat vaatimukset.
2.1.1 Yleistä
Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp). Yksityiselämän suojasta on perinteisesti johdettu valtiolle velvollisuus sekä itse pidättyä loukkaamasta kansalaisten yksityiselämää että myös aktiivisesti toimia yksityiselämän loukkauksia vastaan.
Henkilötietojen suojasta säädetään perustuslain 10 §:n 1 momentin mukaan tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kannalta kokonaisuudessaan. Perustuslakivaliokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on katsonut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (esimerkiksi PeVL 26/2018 vp, s. 4, PeVL 14/2018 vp, s. 7, PeVL 2/2018, s. 4—8). Euroopan unionin tietosuojauudistusta käsitellään tarkemmin jäljempänä.
Viranomaisten henkilötietojen käsittelyyn sovelletaan yleislakina myös viranomaisten toiminnan julkisuudesta annettuun lakia (621/1999, jäljempänä julkisuuslaki). Henkilötietojen käsittelyssä merkityksellisiä ovat erityisesti julkisuuslaissa olevat tietojen salassapitoa koskevat säännökset. Julkisuuslain nojalla määräytyy myös asianosaisen oikeus tiedonsaantiin.
Poliisin toimivallasta hankkia ja luovuttaa henkilötietoja säädetään samoissa säädöksissä kuin poliisin muista toimivaltuuksista. Poliisin toimivaltuuksista hankkia rikosten estämiseksi ja paljastamiseksi sekä vaaran torjumiseksi tarvittavaa tietoa säädetään poliisilaissa (872/2011). Toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään pakkokeinolaissa (806/2011) ja esitutkintalaissa (805/2011). Poliisin toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun poliisin tehtäviä koskevaan erityislainsäädäntöön.
2.1.2 Poliisin henkilötietolaki
Poliisin henkilötietolaki on erityislaki, jota sovelletaan henkilötietojen käsittelyä koskevien yleislakien ohella henkilötietojen käsittelyyn poliisitoimessa. Laissa säädetään poliisin tietojärjestelmiin talletettavien henkilötietojen sisällöstä ja tietojen käsittelyn periaatteista. Laki sisältää säännöksiä muun muassa poliisin tietojärjestelmien tietojen käyttämisestä, kansallisesta ja kansainvälisestä tiedonvaihdosta, tietojen poistamisesta ja arkistoinnista sekä rekisteröidyn tarkastusoikeuden toteuttamisesta ja eräistä rajoituksista rekisteröidyn oikeuksiin.
Yleiset säännökset (1 luku)
Luvussa säädetään lain soveltamisalasta. Lain soveltamisala kattaa poliisilain 1 luvun 1 §:ssä säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen automaattisen käsittelyn ja muun henkilötietojen käsittelyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Poliisilain 1 luvun 1 §:n 1 momentin mukaan poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa ja huolehtii tehtäviinsä kuuluvasta kansainvälisestä yhteistyöstä. Poliisilain 1 luvun 1 §:n 2 momentin mukaan poliisi suorittaa lisäksi lupahallintoon liittyvät ja muut sille laissa erikseen säädetyt tehtävät sekä antaa jokaiselle tehtäväpiiriinsä kuuluvaa apua. Jos on perusteltua syytä olettaa henkilön kadonneen tai joutuneen onnettomuuden uhriksi, poliisin on ryhdyttävä tarpeellisiin toimenpiteisiin henkilön löytämiseksi.
Poliisilain 1 luvun 1 §:n 3 momentti sisältää viittaukset esitutkintalakiin, jossa säädetään rikosten esitutkinnasta, sekä pakkokeinolakiin, jossa säädetään rikosten esitutkinnassa käytettävistä pakkokeinoista.
Poliisin henkilörekistereihin ja henkilötietojen automaattiseen käsittelyyn poliisissa sovelletaan toissijaisesti yleistä henkilötietolakia (523/1999) sekä julkisuuslakia. Poliisin henkilötietolain 1 § sisältää informatiivisen viittauksen molempien yleislakien toissijaiseen soveltamiseen. Pykälässä viitataan informatiivisuuden vuoksi myös Suomea sitoviin kansainvälisiin sopimuksiin. Tällaisia sopimuksia ovat muun muassa yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehty yleissopimus ja Schengenin yleissopimus.
Poliisin tietojärjestelmät (2 luku)
Yleistä
Lain 2 luvussa säädetään poliisin valtakunnallisista tietojärjestelmistä, poliisin muista henkilörekistereistä, rekisterinpitäjästä sekä poliisin henkilörekisterien perustamisesta. Lisäksi 9 § sisältää viittaussäännökset hätäkeskustoiminnasta annettuun lakiin (692/2010) sekä ulkomaalaisrekisteristä annettuun lakiin (1270/1997).
Poliisin käytössä on lukuisia henkilörekistereitä, joissa säilytetään arkaluonteisia tai salassa pidettäviä tietoja ja joiden turvaaminen on poliisin toiminnan ja kansalaisten oikeusturvan kannalta tärkeää. Poliisin käyttämät tietojärjestelmät ovat eri aikakausilta ja eri teknisillä ratkaisuilla toteutettu. Tietojärjestelmiä suojataan eri turvamekanismein, joita hallitaan kokonaisuutena tietoturvallisuuden eri osa-alueiden kautta. Turvaaminen on jatkuva prosessi, jonka hallinnan perustana toimivat yhtenäinen politiikka, tietoturvaperiaatteet sekä niihin pohjautuvat ohjeet.
Poliisin henkilötietolaissa säädetään myös poliisin kansainväliseen yhteistyöhön liittyvistä tietojärjestelmistä. Lisäksi monissa poliisin toimialan erityislaeissa säädetään poliisin yksittäisistä henkilörekistereistä tai velvollisuudesta ylläpitää henkilötietoja sisältäviä tiedostoja. Tällaisia rekisterikohtaisia säännöksiä ovat esimerkiksi rahanpesun selvittelykeskuksesta annetussa laissa (445/2017) tarkoitettu rahanpesurekisteri, todistajansuojeluohjelmasta annetussa laissa (88/2015) tarkoitettu todistajansuojelurekisteri, passilain (671/2006) passirekisteri sekä ampuma-aselain (1/1998) mukainen poliisin velvollisuus pitää tarpeellisia tiedostoja lupa- ja valvontatehtävien suorittamiseksi. Lisäksi poliisin, Tullin ja rajavartiolaitoksen yhteistoiminnasta annetussa laissa (687/2009, jäljempänä PTR-laki) säädetään tietojen käsittelystä niin sanotussa tilapäisessä rikosanalyysirekisterissä, jonka kukin näistä yhteistoimintaviranomaisista voi perustaa oman henkilötietojen käsittelyä koskevan erityislainsäädäntönsä nojalla.
Poliisiasiain tietojärjestelmä
Poliisiasiain tietojärjestelmä on poliisilain 1 luvun 1 §:n 1 momentissa poliisille säädettyjen tehtävien suorittamista varten perustettu valtakunnallinen tietojärjestelmä. Poliisiasiain tietojärjestelmästä säädetään poliisin henkilötietolain 2 §:ssä. Poliisiasiain tietojärjestelmään kuuluviin tutkinnan ja virka-avun tietoihin kirjataan muun muassa poliisille tehdyt ilmoitukset ja ilmoituksen johdosta suoritetut toimenpiteet. Kun esitutkintaviranomaiselle ilmoitetaan rikos tai tapahtuma, jota ilmoittaja epäilee rikokseksi, ilmoitus on viipymättä kirjattava. Jos ilmoitus on epäselvä tai puutteellinen, ilmoituksen tekijää on tarvittaessa kehotettava täsmentämään tai täydentämään sitä (esitutkintalaki, 3 luku 1 §). Rikosilmoitusten lisäksi järjestelmään kirjataan muun muassa virka-apu-, poliisitutkinta- ja ulkomaalaisasioita. Poliisitutkinnalla tarkoitetaan muuta poliisin toimitettavaksi säädettyä tutkintaa kuin rikoksen johdosta toimitettavaa esitutkintaa.
Poliisiasiain tietojärjestelmä muodostuu tietoryhmistä, joiden käyttöä varten on luotu useita erilaisia ryhmiä käyttäjien tarpeiden mukaisesti. Käyttöoikeudet muodostuvat useammasta käyttäjäroolista ja käyttöoikeudet ovat sitä laajemmat, mitä useampi rooli käyttäjällä on. Käyttäjille haetaan ja myönnetään oikeuksia työtehtävien perusteella, tarpeiden mukaisesti ja eri hakemuksesta. Lakiteknisesti järjestelmään talletettavat tietosisältöluettelot on laadittu eduskunnan valiokuntalausunnon ja mietinnön edellyttämällä tavalla tyhjentävästi (PeVL 18/2012 vp ja HaVM 26/2013 vp).
Vuonna 2014 voimaan tulleessa lainmuutoksessa tietojärjestelmään talletettavat tietosisällöt tarkistettiin eräiltä osin vastaamaan toiminnallisia tarpeita. Lisäksi merkittävänä muutoksena lakiin säädettiin uusi havaintotietojen tallettamista koskeva 2 §:n 3 momentin 11 kohta. Kohdan nojalla poliisiasiain tietojärjestelmään voidaan tallettaa poliisimiesten havaitsemia tai poliisille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi perustellusti arvioida liittyvän rikolliseen toimintaan. Näiden havaintotietojen tietojärjestelmään tallettamisedellytys on matalampi kuin jäljempänä nykytilan ongelmia -kohdassa selostetun epäiltyjen tietojärjestelmän tallettavien tietojen. Perustuslakivaliokunta katsoi lausunnossaan (PeVL 18/2012 vp), että tällä tavoin tietosisältöjen, käyttötarkoituksen ja säilytysajan osalta rajoitettuna sääntely ei valiokunnan mielestä muodostu henkilötietojen suojan kannalta ongelmalliseksi. Havaintotietojen luonteen vuoksi on kuitenkin tärkeää, että tietojen tallettamisen edellytyksiä tulkitaan suppeasti ja etenkin niin, että havaintotieto voidaan tallettaa vain, jos on olemassa epäilys rikollisesta toiminnasta. Lisäksi talletettavat tiedot on pyrittävä mahdollisuuksien mukaan tarkastamaan ja tietoihin on liitettävä arvio niiden luotettavuudesta ja oikeudellisuudesta aina kun se on mahdollista.
Poliisin toiminnanohjausjärjestelmän kokonaisuudistus, eli niin sanottu Vitja-hanke, yhtenäistää ja tehostaa poliisin ja muiden turvallisuus- ja oikeusviranomaisten operatiivisen tietojärjestelmäkokonaisuuden. Järjestelmän tavoitteena on yhdenmukaistaa esitutkintaviranomaisten työprosessit sekä uudistaa ja yhdistää poliisin nykyiset operatiiviset järjestelmät käyttäjän näkökulmasta yhtenäiseksi, tietoturvalliseksi järjestelmäkokonaisuudeksi. Myös rekisteröidyn oikeusturva tulee huomioiduksi yhtenäisen tallennusalustan myötä. Poliisin lisäksi uuden tietojärjestelmän käyttäjiä ovat muut Suomen esitutkintaviranomaiset (Tulli, Rajavartiolaitos ja Puolustusvoimat) sekä turvallisuusviranomaisena toimiva suojelupoliisi, jonka roolia esitutkinnoissa käsitellään myöhemmin tässä esityksessä. Näiden lisäksi on useita viranomaisia, jotka käyttävät järjestelmää kyselykäytössä. Tammikuussa 2014 otettiin käyttöön rekisteröidyn tuntomerkkitietojen käsittelyjärjestelmä. Poliisin tiedustelujärjestelmän, sisältäen havaintotietojen käsittelyn, käyttöönottoa valmistellaan. Myöhemmistä käyttöönottovaiheista päätetään erikseen.
Hallintoasiain tietojärjestelmä
Hallintoasiain tietojärjestelmä on poliisilain 1 luvun 1 §:n 2 momentissa poliisille säädettyjen tehtävien suorittamista varten perustettu valtakunnallinen henkilörekisteri, johon talletettavista tiedoista säädetään nykyisen poliisin henkilötietolain 3 §:ssä. Kuten poliisiasiain tietojärjestelmän, myös hallintoasiain tietojärjestelmän tietosisältö muodostuu eri tietoryhmistä. Järjestelmään talletettavat tiedot on lueteltu 3 §:ssä tyhjentävästi eduskunnan valiokuntalausunnon ja mietinnön (PeVL 18/2012 vp ja HaVM 26/2013 vp) edellyttämällä tavalla. Hallintoasiain tietojärjestelmän tietoja tallennetaan useisiin eri rekisterisovelluksiin, joihin myönnetään käyttöoikeuksia hakemuksesta työtehtävien perusteella. Useita hallintoasiain tietojärjestelmään kuuluvia rekisterisovelluksia on viime vuosina uudistettu. Parhaillaan on meneillään asetietojärjestelmän uudistus. Tavoitteena on, että järjestelmän ensimmäinen vaihe tulisi käyttöön vuonna 2020.
Hallintoasiain tietojärjestelmään talletettavien tietosisältöjen luetteloa on useaan otteeseen tarkistettu vastaamaan poliisin lupahallinnollisissa tehtävissä tapahtuneita muutoksia. Vuoden 2014 alussa voimaan tulleessa lainmuutoksessa järjestelmään talletettavien henkilöllisyyttä koskevien perustietojen luettelo päivitettiin ja 3 §:n 3 momentin 1 kohdan aselupatietojen luetteloon lisättiin uutena talletettavana tietona aseluvan soveltavuustestin suorittamisajankohta. Lisäksi 3 momenttiin säädettiin uusi rahankeräysten valvontatietojen tallettamista koskeva 8 kohta sekä arpajaislupatietojen tallettamista koskeva 9 kohta. Muina merkittävinä muutoksina voidaan mainita passin sormenjälkitietoja koskevan 4 kohdan lisääminen vuonna 2014, ampuma-aselain 114 §:ssä tarkoitetun ampuma-aseilmoituksen tietojen lisääminen aselupatietoihin vuonna 2015 sekä paikallispoliisin turvallisuusselvitystietojen tallettamista koskevan 5 kohdan kumoaminen vuonna 2015 uuden turvallisuusselvityslain (726/2014) säätämisen yhteydessä.
Turvallisuusselvitysten lisäksi myös ajolupa-asiat ja ulkomaalaislupa-asiat ovat siirtyneet muiden viranomaisten tehtäväksi poliisin keskittyessä yleisen järjestyksen ja turvallisuuden kannalta merkittävimpiin lupa-asioihin. Näillä muutoksilla ei kuitenkaan ole ollut vaikutusta poliisin henkilötietolakiin, koska kyseisiä lupia koskevia henkilötietoja ei ole talletettu poliisin hallintoasiain tietojärjestelmään.
Epäiltyjen tietojärjestelmä
Epäiltyjen tietojärjestelmästä säädetään voimassa olevan lain 4 §:ssä. Tietojärjestelmään voidaan tallettaa poliisilaissa säädettyjen tehtävien suorittamiseksi hankittuja rikostiedustelu-, tarkkailu- ja havaintotietoja henkilöistä, joiden on syytä epäillä syyllistyvän tai syyllistyneen rikokseen, josta saattaa seurata vankeutta tai myötävaikuttavan tai myötävaikuttaneen rikokseen, josta saattaa seurata enemmän kuin kuusi kuukautta vankeutta, tai huumausaineen käyttörikokseen. Tietojärjestelmää saavat käyttää teknisen käyttöyhteyden avulla vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt poliisin henkilöstöön kuuluvat sekä poliisin ulkomaille lähettämät yhdyshenkilöt. Lain 45 §:n 1 momentin nojalla rekisteröidyllä ei ole tarkastusoikeutta epäiltyjen tietojärjestelmän tietoihin. Epäiltyjen tietojärjestelmästä voidaan luovuttaa tietoja teknisen käyttöyhteyden avulla myös Rajavartiolaitokselle ja Tullille. Poliisihallitus on antanut poliisin hallinnosta annetun lain (110/1992) 4 §:n ja poliisin henkilötietolain nojalla ohjeen epäiltyjen tietojärjestelmää koskevien tietojen käsittelystä (POL-2016-18786). Ohje on julkinen ja se on voimassa 1.4.2017—31.3.2021.
Rajavartiolaitoksen käytössä on rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri, joka on toteutettu teknisesti epäiltyjen tietojärjestelmässä, sekä Tullissa vastaavasti tiedustelurekisteri.
Suojelupoliisin toiminnallinen tietojärjestelmä
Suojelupoliisin tehtävänä on poliisin hallinnosta annetun lain 10 §:n mukaan torjua sellaisia hankkeita ja rikoksia, jotka voivat vaarantaa valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta sekä suorittaa tällaisten rikosten tutkintaa. Sen tulee myös ylläpitää ja kehittää yleistä valmiutta valtakunnan turvallisuutta vaarantavan toiminnan estämiseksi.
Suojelupoliisin toiminnallisesta tietojärjestelmästä säädetään poliisin henkilötietolain 5 §:ssä. Suojelupoliisi tallentaa käsittelemänsä henkilötiedot tietojärjestelmään, mikäli tietojen tallentaminen täyttää säädetyt edellytykset. Tietojen on 5 §:n mukaan oltava tarpeen oikeus- ja yhteiskuntajärjestystä tai valtion turvallisuutta vaarantavien hankkeiden tai rikosten estämiseksi tai selvittämiseksi. Henkilön henkilöllisyyttä koskevat tiedot on lueteltu pykälässä tyhjentävästi eduskunnan valiokuntalausunnon ja mietinnön (PeVL 18/2012 vp ja HaVM 26/2013 vp) edellyttämällä tavalla.
Suojelupoliisin toiminnallisen tietojärjestelmän rekisterinpitäjä on suojelupoliisi. Suojelupoliisi toimii myös turvallisuusselvitysrekisterin rekisterinpitäjänä. Turvallisuusselvitysrekisteristä säädetään erikseen turvallisuusselvityslaissa.
Suojelupoliisi voi lain 10 §:n nojalla käsitellä tehtävänsä suorittamiseksi välttämättömiä arkaluonteisia tietoja. Tehtävien luonteen ja niiden hoitamisen kannalta merkityksellisiä tietoja saattavat olla tiedot henkilön yhteiskunnallisesta, poliittisesta tai uskonnollisesta vakaumuksesta.
Poliisin muut henkilörekisterit
Poliisin henkilötietolain 6 §:ssä säädetään poliisin muista henkilörekistereistä. Pykälän 1 momentin nojalla pysyvien automaattisten tietojenkäsittelyn avulla ylläpidettävien valtakunnallisten tietojärjestelmien lisäksi poliisin käytössä voi olla tilapäisiä tai manuaalisesti ylläpidettäviä henkilörekistereitä.
Pykälän 2 momentin nojalla voidaan myös yhden tai useamman poliisiyksikön käyttöön perustaa muitakin henkilörekistereitä. Pykälän 2 momentin 2 kohdan nojalla on muun muassa mahdollista perustaa sellaisen rikoksen tai sellaisten rikosten muodostaman rikoskokonaisuuden, josta saattaa seurata vankeutta estämiseksi, paljastamiseksi tai selvittämiseksi tarpeellista rikosanalyysia varten tilapäinen rekisteri, jossa saa yhdistää, tallettaa ja muuten käsitellä lain 2—4 §:ssä tarkoitettujen tietojärjestelmien tietoja, poliisin yksittäisen tehtävän suorittamisen yhteydessä saatuja rikostiedustelu-, tarkkailu- ja havaintotietoja sekä 14 §:n 1 momentin 2 ja 4 kohdassa tarkoitettuja tietoja. Lainkohtaa muutettiin vuoden 2014 alussa voimaan tulleella lainmuutoksella 1181/2013 siten, että siihen lisättiin mahdollisuus perustaa rikosanalyysia varten tilapäinen rekisteri yksittäisen rikoksen lisäksi myös rikosten muodostaman rikoskokonaisuuden estämiseksi, paljastamiseksi tai selvittämiseksi.
Henkilötietojen käsittelyn erityissäännöksiä (3 luku)
Lain 10 §:ssä säädetään poikkeuksesta henkilötietolain 11 §:n mukaiseen arkaluonteisten tietojen käsittelykieltoon. Henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturvasta säädetään 10 a §:ssä. Pykälä lisättiin lakiin passilain muutoksen yhteydessä, koska tällöin katsottiin, että biometristen tunnistetietojen (sormenjäljet) tallettaminen rekisteriin edellytti korostetusti tietoturvavaatimusten huomioimista sääntelyssä.
Salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä säädetään lain 11 §:ssä. Vuonna 2014 voimaan tulleella lain muutoksella täsmennettiin tietojen tallettamisen perusteita sekä säädettiin siitä, mihin rekistereihin tietoja voidaan tallettaa. Ylimääräisen tiedon käyttämisen osalta viitataan 11 §:n 2 momentissa poliisilain ja pakkokeinolain asianomaisiin pykäliin. Lakia soveltavan viranomaisen näkökulmasta on tärkeää, että tietojen tallettamisen perusteet ovat yhdenmukaiset riippumatta siitä, onko tiedot hankittu poliisi- vai pakkokeinolaissa säädetyin perustein tai mitä salaista tiedonhankintakeinoa soveltaen tieto on käytännössä hankittu.
Yksittäiseen tehtävään liittymättömien tietojen käsittelystä säädetään 12 §:ssä ja poliisin oikeudesta saada tietoja eräistä rekistereistä 13 §:ssä. Lainmuutosten vuoksi 13 §:n systematiikka on toteutettu osin lakiviittauksilla ja osin säätämällä siitä, mihin käyttötarkoituksiin poliisilla on oikeus saada tietoja.
Poliisin tietojärjestelmiä käyttävät poliisin lisäksi myös monet muut viranomaiset. Lain 14 §:ssä on säädetty eräiden muiden viranomaisten tietojen luovuttamisesta poliisille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten.
Tietojen käyttäminen ja luovuttaminen (4 luku)
Luvussa säädetään poliisin henkilörekisterien tietojen käyttämisestä ja luovuttamisesta. Tietojen käyttäminen on 15 §:n perusteella mahdollista tietojen keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen. Valtakunnalliset henkilörekisterit ovat kaikkien poliisiyksiköiden käytössä lukuun ottamatta Poliisiammattikorkeakoulua. Yksikkökohtainen rekisteri on vain niiden yksiköiden käytössä, joiden käyttöön se on perustettu.
Tietoja voidaan tietyin 16 §:ssä säädetyin edellytyksin käyttää myös muuhun kuin niiden keräämis- ja tallettamistarkoitukseen. Tietojen käyttämistä koskevassa sääntelyssä noudatetaan yleisen henkilötietolain 7 §:ssä säädettyä velvoittavaa henkilötietojen käyttötarkoitussidonnaisuuden periaatetta.
Passilain uudistamisen yhteydessä vuonna 2009 lakiin lisättiin erillissäännös passin sormenjälkitietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen (lain 16 a §). Sormenjälkitietoja saa käyttää muuhun kuin niiden keräämis- ja tallettamistarkoitukseen vain, jos se on välttämätöntä luonnononnettomuuden, suuronnettomuuden tai muun katastrofin taikka rikoksen kohteeksi joutuneen tai muuten tunnistamattomaksi jääneen uhrin tunnistamiseksi. Vuonna 2014 voimaan tulleella lain muutoksella 16 a § laajennettiin koskemaan myös ulkomaalaisten tunnistamistietoihin kuuluvia sormenjälkitietoja, joiden alkuperäisestä keräämis- ja tallettamistarkoituksesta säädetään ulkomaalaislain (301/2004) 131 §:ssä.
Lain 17 §:ssä säädetään yksikkökohtaisten henkilörekisterien tietojen luovuttamisesta toiselle poliisiyksikölle keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen ja 18 §:ssä tietojen luovuttamisesta toiselle poliisiyksikölle muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen. Lain 19 § sisältää säännökset tietojen luovuttamisesta muille viranomaisille. Kuten tietojen saamista koskeva 13 § myös tietojen luovuttamista koskeva 19 § on toteutettu osittain lakiviittauksilla ja osittain säätämällä käyttötarkoituksista, joihin tietoja voidaan luovuttaa.
Tietojen poistaminen ja arkistointi (5 luku)
Lain 22—26 §:ssä säädetään poliisin henkilörekistereiden tietojen poistamisesta ja arkistoinnista tietojärjestelmäkohtaisesti. Poistosäännökset vastaavat systematiikaltaan tietojen tallettamista koskevaa sääntelyä.
Vuoden 2013 lainmuutoksilla henkilötietojen poistamista koskevia säännöksiä muutettiin vastaamaan muuttunutta toimintaympäristöä. Poliisin tietojärjestelmien tiedot säilytettäisiin muutosten perusteluiden mukaan käyttötarpeen vaatimusten mukaisesti ottaen huomioon rekisteröidyn, muun asianosaisen ja poliisin henkilöstöön kuuluvan oikeusturvan vaatimukset (HE 66/2012 vp, s. 1). Vuoden 2014 alussa voimaan tulleita muutoksia ei suurten kustannusten vuoksi katsottu enää tarkoituksenmukaiseksi toteuttaa vanhassa poliisiasiain tietojärjestelmässä. Tästä syystä lain voimaantulosäännökseen sisällytettiin siirtymäsäännös, jonka mukaan laissa tarkoitettu tietojenkäsittely oli toteutettava neljän vuoden kuluessa lain voimaantulosta. Siirtymäaikaa jatkettiin voimassa olevan poliisiasiain tietojärjestelmän tietojen poistamista koskevan 22 §:n osalta kahdella vuodella 1 päivään tammikuuta 2020 saakka lainmuutoksella 1052/2017.
Poliisiasiain tietojärjestelmän havaintotietoja voidaan säilyttää kuusi kuukautta. Epäiltyjen tietojärjestelmästä tiedot poistetaan lain 24 §:n nojalla kymmenen vuoden kuluttua viimeisen epäiltyä rikosta koskevan merkinnän tekemisestä.
Lain 27 §:ssä säädetään virheelliseksi todetusta tiedosta. Henkilötietolain sääntelystä poiketen virheellisen tiedon säilyttäminen on mahdollista korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa. Lain 28 §:ssä säädetään tietojen arkistoinnista ja viitataan tältä osin arkistolakiin (831/1994).
Kansainväliseen poliisiyhteistyöhön liittyvän henkilötietojen käsittelyn erityissäännöksiä (6 luku)
Henkilötietojen käsittelyä kansainvälisessä poliisiyhteistyössä koskevien säännösten rakenne uudistettiin kokonaisuudessaan vuonna 2013 (HE 66/2012 vp). Säännöksiä muutettiin kansainvälisten säädösten edellyttämällä tavalla. Lakiin lisättiin myös uudet säännökset ulkomailta saatavien tietojen käsittelystä. Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettua lakia täsmennettiin vastaamaan poliisin henkilötietolain muutoksia.
Lain 6 luku sisältää erityissäännökset kansainväliseen poliisiyhteistyöhön liittyvästä tietojen käsittelystä. Tietojen luovuttaminen on 29 §:n nojalla mahdollista EU:n jäsenvaltioiden alueella ja tietyillä 30 §:ssä säädetyillä edellytyksillä myös EU:n ulkopuolisille valtioille. Lain 31 §:ssä säädetään toiselta valtiolta tai kansainväliseltä elimeltä saadun tiedon käsittelystä. Schengenin tietojärjestelmästä on erilliset säännökset lain 32—37 §:ssä. Lisäksi luku sisältää viittaussäännökset Europol-täytäntöönpanolakiin (38 §), Eurodac-asetukseen (39 §), Prümin sopimukseen ja Prüm-päätökseen perustuvaan tietojen käsittelyyn (40 §), Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettuun lakiin (26/2009) (41 §) sekä Euroopan unionin viisumitietojärjestelmää koskevaan Euroopan parlamentin ja neuvoston asetukseen (EY) N:o 767/2008 (VIS-asetus) (42 §).
Rekisteröidyn oikeudet (7 luku)
Lain 43 §:ssä säädetään poliisin yleisestä velvollisuudesta informoida tietojen käsittelystä. Poliisin velvollisuus henkilötietolain 24 §:n 1 momentissa tarkoitetun tiedonantovelvollisuuden toteuttamiseen on 43 §:ssä rajattu koskemaan tilanteita, joissa henkilötiedot on kerätty poliisilain 1 luvun 1 §:n 2 momentissa tarkoitettujen tehtävien suorittamiseksi. Vastaavaa tiedonantovelvollisuutta ei ole käsiteltäessä poliisilain 1 luvun 1 §:n 1 momentissa tarkoitettujen tehtävien kannalta tarpeellisia tietoja.
Lain 44 ja 47 §:ssä säädetään rekisteröidyn tarkastusoikeudesta. Tarkastusoikeuden toteuttamiseen sovelletaan 44 §:n mukaan henkilötietolain 26 ja 28 §:ää. Henkilötietolain vaatimuksista poiketen rekisteröidyn on kuitenkin esitettävä tarkastusoikeuden käyttöä esitettävä pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle tämän määräämälle poliisiyksikölle ja todistettava henkilöllisyytensä. Schengenin tietojärjestelmää koskeva tarkastuspyyntö voidaan esittää 47 §:n mukaisesti joko poliisilaitokselle tai tietosuojavaltuutetulle.
Tarkastusoikeuden rajoituksista säädetään 45 §:ssä. Tarkastusoikeuden rajoituksiin sovelletaan henkilötietolain 27 §:n mukaisia tarkastusoikeuden rajoitusperusteita. Lisäksi pykälän 1 momentissa luetellaan rekisterit ja tietoryhmät, joihin rekisteröidyllä ei ole lainkaan suoraa tarkastusoikeutta. Näihin tietoihin sovelletaan kuitenkin välillistä tarkastusoikeutta; tietosuojavaltuutettu voi tarkistaa tietojen lainmukaisuuden rekisteröidyn pyynnöstä.
Poliisihallitus on 23.1.2012 antanut ohjeen rekisteröidyn oikeuksien toteuttamisesta poliisissa (Rekisteröidyn oikeuksien toteuttaminen poliisissa: tarkastusoikeus, tiedon korjaaminen ja informointi, 2020/2012/66). Ohjeen mukaan rekisteröity voi esittää oikeuksiensa toteuttamista koskevan pyynnön joko rekisterinpitäjän luona tai millä tahansa poliisilaitoksella.
Erinäiset säännökset (8 luku)
Lain 47 a § koskee yksityisoikeuden alalla määrättyjä suojelutoimenpiteitä, joihin liittyvien henkilötietojen käsittelyyn sovelletaan säännöksen mukaan samoja poliisin henkilötietolain säännöksiä kuin lähestymiskieltoihin. Lain 48 §:ssä säädetään tarkempien säännösten ja ohjeiden antamisesta. Pykälässä tarkoitettuja valtioneuvoston asetuksia ei ole annettu. Lain 49 § on voimaantulosäännös.
2.2.1 EU:n tietosuojalainsäädäntö
Oikeus henkilötietojen suojaan on perusoikeus, joka vahvistetaan Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa sekä Euroopan unionin perusoikeuskirjan 8 artiklassa, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. Perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja. Artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Henkilötietojen suojalla on liittymäkohtia myös muihin EU:n perusoikeuskirjassa vahvistettuihin perusoikeuksiin.
Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.
Euroopan komissio antoi 29 päivänä tammikuuta 2012 ehdotuksen tietosuojadirektiiviksi KOM (2012) 10 lopullinen ja tietosuoja-asetukseksi KOM (2012) 11 lopullinen. Uudistusehdotus sisälsi ehdotuksen direktiiviksi, jolla vahvistettaisiin säännöksiä henkilötietojen suojaamiseksi tilanteissa, joissa niitä käsitellään rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten (tietosuojadirektiivi) ja ehdotuksen asetukseksi, jolla vahvistettaisiin EU:n yleinen tietosuojakehys (tietosuoja-asetus). Säädökset annettiin 27 päivänä huhtikuuta 2016. Uusi EU:n tietosuojalainsäädäntö perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohtaan, joka on Lissabonin sopimuksella käyttöön otettu uusi oikeusperusta henkilötietojen käsittelyä koskevalle lainsäädännölle. Sen mukaan unioni voi antaa henkilötietojen käsittelyä koskevaa lainsäädäntöä unionin oikeuden soveltamisalaan kuuluvilla aloilla. Lainsäädäntöuudistuksen tavoitteena on ollut luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys, vahvistaa yksilön oikeuksia ja sisämarkkinaulottuvuutta, tarkistaa rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevia tietosuojasäännöksiä, huomioida tietosuojan globaali ulottuvuus erityisesti digitaalisissa palveluissa sekä tehostaa tietosuojasääntöjen täytäntöönpanon valvontaa.
Tietosuoja-asetuksen ja tietosuojadirektiivin säännökset, jotka koskevat yleisiä henkilötietojen käsittelyyn liittyviä periaatteita, rekisterinpitäjää ja henkilötietojen käsittelyä sekä tietosuojaviranomaisia, ovat pääosin toisiaan vastaavia. Tällä on tarkoitus varmistaa, että yleiset henkilötietojen käsittelyä koskevat vaatimukset ovat mahdollisimman yhdenmukaiset jäsenvaltiosta tai rekisterinpitäjästä riippumatta. Oleellisimmat säädösten erot liittyvät direktiivin soveltamisalaan kuuluvien viranomaisten suorittaman henkilötietojen käsittelyn erityisluonteeseen rikosasioina, erityisesti siltä osin kuin kyse on mahdollisuuksista rajoittaa rekisteröidyn oikeuksia direktiivin soveltamisalaan kuuluvissa tapauksissa.
Tietosuoja-asetus
Tietosuoja-asetus on henkilötietojen käsittelyn yleissäädös, joka on jäsenvaltioissa suoraan sovellettavaa oikeutta. Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018. Tietosuoja-asetuksen soveltamisen ulkopuolelle on rajattu asetuksen 2 artiklan 2 kohdan a alakohdassa henkilötietojen käsittely, joka ei kuulu Euroopan unionin lainsäädännön soveltamisalaan. Tietosuoja-asetusta ei myöskään sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Henkilötietojen käsittelyyn mainittuihin tarkoituksiin sovelletaan tietosuojadirektiiviä.
Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Niitä ovat henkilötietojen käsittelyn lainmukaisuus-, kohtuullisuus- ja läpinäkyvyysvaatimus, käyttötarkoitussidonnaisuus, tietojen minimointi, henkilötietojen täsmällisyys ja henkilötietojen säilytyksen rajaaminen. Henkilötietojen käsittelyn lainmukaisuudesta säädetään tarkemmin asetuksen 6 artiklassa. Viranomaisten osalta keskeisimmät henkilötietojen käsittelyn perusteet ovat 6 artiklan 1 kohdan mukaisesti lakisääteisten velvoitteiden noudattaminen (c alakohta), yleistä etua koskevan tehtävän suorittaminen (e alakohta) ja rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen (e alakohta).
Tietosuoja-asetus sisältää jonkin verran kansallista liikkumavaraa. Kansallisella lailla voidaan täsmentää henkilötietojen käsittelyn oikeusperustaa ja käsittelyn sisältöä sekä esimerkiksi tiettyjen edellytysten vallitessa poiketa rekisteröidyn oikeuksista. Kansallista erityislainsäädäntöä arvioitaessa on ensimmäisessä vaiheessa varmistuttava siitä, että lainsäädäntö on mahdollista tietosuoja-asetuksen kansallisen liikkumavaran puitteissa. Tässä arvioinnissa tulee kiinnittää erityisesti huomiota henkilötietojen käsittelyn oikeudelliseen perustaan. Toisessa vaiheessa tulee arvioida, onko kansallinen erityislainsäädäntö välttämätön asetuksen säännösten täydentämiseksi. Mikäli kansallinen erityislainsäädäntö on välttämätöntä, tulee kolmannessa vaiheessa vielä varmistua siitä, että kansallinen erityislainsäädäntö on myös muilta osin asetuksen mukainen.
Tietosuoja-asetuksen säännöksiä täydentää tietosuojalaki (HE 9/2018 vp). Laki sisältää säännöksiä muun muassa käsittelyn lainmukaisuudesta, erityisiä henkilötietoryhmiä koskevasta käsittelystä, valvontaviranomaisesta ja tämän tehtävistä ja toimivaltuuksista, oikeusturvasta ja seuraamuksista, henkilötunnuksen käsittelystä sekä henkilötietojen käsittelystä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten.
Tietosuojalakia sovelletaan tietosuoja-asetuksen soveltamisalasäännöksen mukaisesti. Tietosuojalain nojalla tietosuoja-asetusta sovelletaan sen eräitä säännöksiä lukuun ottamatta myös esimerkiksi sellaiseen henkilötietojen käsittelyyn, joka ei kuulu Euroopan unionin lainsäädännön soveltamisalaan, jollei muualla laissa toisin säädetä. Tietosuojalakia ei kuitenkaan sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädettäisiin laissa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (HE 31/2018 vp, jäljempänä rikosasioiden tietosuojalaki).
Tietosuojadirektiivi
Tietosuojadirektiivi koskee henkilötietojen käsittelyä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Tietosuojadirektiivillä kumottiin neuvoston puitepäätös 2008/977/YOS rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta (jäljempänä tietosuojapuitepäätös). Tietosuojadirektiivi on tietosuojapuitepäätöstä yksityiskohtaisempi, ja sitä sovelletaan myös jäsenvaltion sisällä tapahtuvaan henkilötietojen käsittelyyn. Myös tietosuojadirektiivin soveltamisalan ulkopuolelle on rajattu henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan.
Direktiivin 4 artiklan mukaan jäsenvaltioiden on säädettävä muun muassa siitä, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Henkilötietojen on oltava asianmukaisia ja olennaisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietojen on lisäksi oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä.
Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Direktiivin 20 artikla sisältää säännökset sisäänrakennetusta tietosuojasta ja muun muassa tietojen minimoinnista.
Direktiivin 26 johdantokappaleen mukaan varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keräämisen yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia käsittelyn tarkoituksiin nähden. Sen vuoksi olisi nimenomaisesti varmistettava, että henkilötietoja ei kerätä liikaa ja että niitä säilytetään ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.
Tietosuojadirektiivi pannaan kansallisesti täytäntöön rikosasioiden tietosuojalailla. Lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on: 1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta; 2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta; 3) rikosasian käsittelemisestä tuomioistuimessa; 4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta; tai 5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä. Lisäksi lakia sovelletaan silloin, kun Puolustusvoimat, poliisi ja Rajavartiolaitos käsittelevät henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.
Laki sisältää yleisten säännösten (1 luku) lisäksi säännökset henkilötietojen käsittelyä koskevista periaatteista (2 luku), rekisterinpitäjästä ja henkilötietojen käsittelijästä (3 luku), rekisteröidyn oikeuksista (4 luku), tietoturvallisuudesta (5 luku), tietosuojavastaavasta (6 luku), henkilötietojen siirroista kolmansiin maihin ja kansainvälisille järjestöille (7 luku), valvontaviranomaisesta (8 luku) ja oikeusturvasta (9 luku), vahingonkorvauksesta, rangaistuksista ja vaitiolovelvollisuudesta (10 luku) sekä lain voimaantulosta ja lokitietoja koskevasta siirtymäajasta (11 luku). Yleislakia on tarkoitus täydentää eri hallinnonalojen erityislainsäädännöllä, jossa tarvittavilta osin säädettäisiin tarkemmin esimerkiksi rekisteröitävistä henkilötiedoista, niiden käyttötarkoituksista, henkilötietojen luovuttamisesta ja tietojen säilytysajoista (HE 31/2018 vp, s. 75).
2.2.2 Euroopan neuvoston yleissopimukset
Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.
Vaikka henkilötietojen suojaa ei erikseen mainita ihmisoikeussopimuksen 8 artiklassa, on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä henkilötietojen suoja katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa, ja toisaalta henkilötietojen suojalla on vaikutuksensa ihmisoikeussopimuksen 10 artiklassa tarkoitetun sananvapauden käyttämiseen. Ihmisoikeustuomioistuimen ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö.
Euroopan neuvoston puitteissa on vuonna 1981 tehty yleissopimus No 108 henkilötietojen suojasta automaattisessa tietojenkäsittelyssä, johon viitataan tietosuojadirektiivin johdanto-osan 68 kappaleessa. Euroopan neuvoston yleissopimus ja laki eräiden sen määräysten hyväksymisestä (269/1992) on saatettu Suomessa voimaan asetuksella (36/1992). Euroopan unionin jäsenvaltioiden välisissä tilanteissa sovelletaan ensisijaisesti EU:n tietosuojalainsäädäntöä, mutta kaikki EU:n jäsenvaltiot ovat ratifioineet yleissopimuksen No 108. Yhteensä yleissopimuksen on ratifioinut tähän mennessä 50 valtiota. Yleissopimukseen liittyy lisäpöytäkirja (No 181) rajat ylittävistä henkilötietojen siirroista. Yleissopimuksen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Henkilötietojen siirtojen tapauksessa Euroopan neuvoston yleissopimusta sovellettaisiin asetuksen ja direktiivin kolmansia maita koskevien säännösten lisäksi esimerkiksi niissä tilanteissa, joissa EU:n jäsenvaltion toimivaltainen viranomainen siirtää henkilötietoja kolmanteen maahan. Sovellettavaksi voisi tulla kuitenkin myös kyseessä olevan maan kanssa tehty kahdenvälinen sopimus, joka sisältää määräykset tietosuojasta tai määräykset, joissa viitataan kansalliseen lainsäädäntöön.
Euroopan neuvoston yleissopimus on parhaillaan uudistettavana ja uusi yleissopimus korvaa sopimuksen No 108, kun riittävä määrä Euroopan neuvoston jäsenvaltioita on ratifioinut sen. Yleissopimuksen määräysten soveltamisen rajoittaminen on mahdollista merkittävän yleisen edun vuoksi, esimerkiksi kansallisen turvallisuuden ja puolustuksen perusteella.
Euroopan neuvostolla on myös eräitä muita yleissopimuksia, jotka sisältävät henkilötietojen käsittelyä koskevia säännöksiä. Poliisin toiminnan näkökulmasta merkitystä on erityisesti tietoverkkorikollisuuden torjuntaa koskevalla yleissopimuksella No 185 sekä sen lisäpöytäkirjalla No 189. Tietoverkkorikollisuutta koskevaa yleissopimusta sovellettaisiin muun muassa henkilötietojen jäädyttämiseen ennen oikeusapumenettelyä.
Euroopan neuvosto on lisäksi antanut suosituksen R(87)15 henkilötietojen käsittelystä poliisisektorilla. Euroopan neuvosto on viimeksi vuonna 2013 teettänyt selvityksen suosituksen täytäntöönpanosta Euroopan neuvoston jäsenvaltioissa. Selvityksen mukaan suositus on kokonaisuutena pantu melko laajalti täytäntöön eikä poliisisektorin osalta arvion mukaan ole tarvetta kiireellisiin lisätoimiin. Selvityksessä kuitenkin huomioidaan, että Euroopan neuvoston jäsenvaltioiden lainsäädäntö ei kaikilta osin ole sillä tasolla, mitä Euroopan komission ehdottama direktiivi EU:n osalta edellyttäisi. Selvityksessä suositetaan harkittavaksi oikeudellisesti sitovaa instrumenttia lainvalvontaviranomaisten henkilötietojen käsittelyä varten, kiinnittäen huomiota myös tiedusteluviranomaisten toimintaan ja kansalliseen turvallisuuteen. Selvityksen mukaan vaihtoehdot voisivat olla joko kattava yleissopimus, jonka soveltamisalaan kuuluisi myös poliisin henkilötietojen käsittely, tai erillinen lisäpöytäkirja joko tietosuojayleissopimukseen tai tietoverkkorikollisuutta koskevaan yleissopimukseen.
2.2.3 Muu henkilötietojen käsittelyä koskevia säännöksiä sisältävä EU-lainsäädäntö
Poliisin henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös eräisiin EU-säädöksiin ja niiden täytäntöönpanolakeihin, joita sovelletaan tietosuojadirektiivin soveltamisalasäännöksessä tarkoitettuihin tehtäviin liittyvään EU:n jäsenvaltioiden väliseen poliisiyhteistyöhön. Näitä säädöksiä ovat erityisesti
Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä tehty neuvoston päätös 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1986/2006,
Euroopan unionin lainvalvontayhteistyövirastosta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/794 (Europol-asetus) ja laki Euroopan unionin lainvalvontayhteistyövirastosta (214/2017),
Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013 Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä (Eurodac-asetus),
rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajat ylittävän rikollisuuden torjumiseksi tehty neuvoston päätös 2008/615/YOS ja sen täytäntöönpanopäätös 2008/616/YOS,
tietojen ja tiedustelutietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehty neuvoston puitepäätös 2006/960/YOS ja Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettu laki.
2.2.4 Ulkomaiden lainsäädäntö
EU:n jäsenvaltioiden henkilötietojen käsittelyä koskeva lainsäädäntö on uudistuneen tietosuojalainsäädännön kansallisen täytäntöönpanon vuoksi muuttumassa merkittävästi. Tulevaa kansallista lainsäädäntöä koskevat tietosuoja-asetuksen ja tietosuojadirektiivin yksityiskohtaiset vaatimukset, joiden yhtenä tavoitteena on jäsenvaltioiden tietosuojalainsäädännön yhdenmukaistaminen.
Tässä esityksessä ei ole arvioitu tarkoituksenmukaiseksi kuvata muiden maiden tietosuojalainsäädäntöä sellaisena kuin se on ennen EU:n tietosuojalainsäädännön täytäntöönpanoa. Uuden lainsäädännön valmistelu jäsenvaltioissa on esityksen valmistelun aikana ollut pitkälti vielä kesken, joten kattavaa kansainvälistä vertailua ei ole ollut mahdollista tehdä. Vertailua on kuitenkin eräiltä osin suoritettu kahden EU:n jäsenvaltion, Saksan ja Ruotsin, osalta. Näiden valtioiden täytäntöönpanolainsäädäntöä on tarkasteltu muiden näkökohtien tukena sen arvioimiseksi, tulisiko esityksessä ehdottaa henkilötietojen käsittelyä koskevan sääntelyn osalta rekisteriperusteista vai käsittelytarkoituksiin perustuvaa sääntelyratkaisua.
Ruotsi
Ruotsi esitti tietosuoja-asetuksen täytäntöönpanoa koskevassa mietinnössään (SOU 2017:39, Ny dataskyddslag – kompletterande bestämmelser till EU:s dataskyddsförordning), että Ruotsin henkilötietolaki (1998:204) ja henkilötietoasetus (1998:1191) kumottaisiin ja täydentävät, yleisluontoiset säädökset koottaisiin uuteen tietosuojaa koskevaan lakiin ja asetukseen. Mietinnön mukaan säädökset sisältäisivät määräyksiä, jotka täydentäisivät EU:n tietosuoja-asetuksen sisältöä ja ne koskisivat soveltuvin osin myös kansalliseen turvallisuuteen sekä EU:n yhteiseen ulko- ja turvallisuuspolitiikkaan kuluvaa henkilötietojen käsittelyä.
Uusi tietosuoja-asetusta täydentävä laki (Lag med kompletterande bestämmelser till EU:s dataskyddsförordning, SFS 2018:218) tuli voimaan Ruotsissa 25 päivänä toukokuuta 2018. Laki on yleislaki, ja toissijainen suhteessa erityissäännöksiä sisältävään lainsäädäntöön. Laissa selvennetään esimerkiksi henkilötietojen käsittelyn edellytyksiä ja se sisältää määräyksiä rekisteröityjen oikeuksien rajoittamisesta sekä valvontaviranomaisen päätöksestä aiheutuneista vahingoista ja valittamisesta.
Ruotsissa tuli 1 päivänä elokuuta 2018 voimaan uusi puitelaki brottsdatalagen (2018:1177), jolla pannaan täytäntöön EU:n tietosuojadirektiivin edellyttämät muutokset. Lailla on vastaava soveltamisala kuin tietosuojadirektiivin täytäntöönpanolainsäädännöllä Suomessa, ja laki sisältää vastaavan yleisen järjestyksen ja turvallisuuden ylläpitämisen käsitteen kuin Suomen poliisilaki. Laissa tehdään toisaalta ero rikostorjuntaan, lainvalvontaan, rangaistusten täytäntöönpanoon ja yleiseen järjestykseen ja turvallisuuteen liittyvän henkilötietojen käsittelyn välillä sekä toisaalta rikosasioita koskevan lakiehdotuksen soveltamisalaan ja yleisen tietosuoja-asetuksen soveltamisalaan liittyvän henkilötietojen käsittelyn välillä. Lain sisältö vastaa pitkälti tietosuojadirektiivin sisältöä. Lakia soveltavat useat viranomaiset, mutta ainoastaan siltä osin kuin niiden henkilötietojen käsittelyn tarkoitus vastaa lain soveltamisalaan kuuluvia käsittelytarkoituksia. Lain lisäksi Ruotsi on ehdottanut tietosuojadirektiivin täytäntöönpanoa koskevassa mietinnössään (SOU 2017:74, Brottsdatalag – kompletterande lagstiftning, Slutbetänkande av Utredningen om 2016 års dataskyddsdirektiv) sekä hallituksen esityksessä (Prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning) voimassa olevan sääntelyn tavoin erillistä henkilörekisterisääntelyä yksittäisten lain soveltamisalaan kuuluvien viranomaisten osalta.
Turvallisuuspoliisin osalta Ruotsi joutuu tekemään Suomen tavoin kansallisen ratkaisun. Kansalliseen turvallisuuteen liittyvä henkilötietojen käsittely ei kuulu EU-oikeuden soveltamisalaan, mutta turvallisuuspoliisin henkilötietojen käsittely kuuluu voimassa olevan poliisin henkilötietolain soveltamisalaan. Mietinnössä ehdotetaan turvallisuuspoliisin henkilötietojen käsittelyn osalta erillistä kansallista lakia (förslag till Säkerhetspolisens datalag). Rikosasioita koskevaan lakiehdotukseen on kuitenkin sisällytetty säännöksiä turvallisuuspoliisin henkilötietojen käsittelystä siltä osin kuin käsittely ei liity kansalliseen turvallisuuteen. Turvallisuuspoliisia koskevan lakiehdotuksen 9 lukua sisältävät yksityiskohtaiset säännökset muun muassa käsittelytarkoituksista, jotka tarkentavat kansalliseen turvallisuuteen liittyvää henkilötietojen käsittelyä, henkilötietojen säilytysajoista, rekisteröidyn oikeuksista, tietosuojaviranomaisesta ja henkilötietojen luovuttamisesta. Turvallisuuspoliisin osalta ehdotetaan lisäksi täydentävää asetusta, joka sisältäisi tarkemmat säännökset muun muassa turvallisuuspoliisin henkilörekisteristä.
Ruotsissa on voimassa olevan lainsäädännön osalta omaksuttu samantyyppinen sääntelyratkaisu kuin Suomessa siten, että poliisin (Polismyndigheten) henkilötietojen käsittelystä säädetään erityislaissa (polisdatalagen, 2010:361), joka koskee henkilötietojen käsittelyä rikosasioissa sekä turvallisuuspoliisin (Säkerhetspolisen) suorittamaa henkilötietojen käsittelyä. Laki koskee automatisoitua henkilötietojen käsittelyä tai rekisterin muodossa tapahtuvaa käsittelyä. Muuhun henkilötietojen käsittelyyn poliisi soveltaa yleistä henkilötietolakia, jollei asiasta ole erityissäännöksiä kuten ulkomaalaisasioissa. Ruotsissa poliisin henkilötietojen käsittelyyn sisältyy myös rahanpesun selvittelyyn liittyvä henkilötietojen käsittely. Laki sisältää viittauksia niihin henkilötietolain säännöksiin, joita sovelletaan myös poliisin rikoksentorjuntaan liittyvään henkilötietojen käsittelyyn, kuten henkilötietojen käsittelyn yleiset perusteet, määritelmät, rekisteröidyn oikeudet ja valvonta ja vahingonkorvaukset.
Poliisin henkilötietojen käsittelyä koskevassa laissa säädetään, mihin tarkoituksiin henkilötietoja saa käsitellä (2 luku). Luettelot ovat tyhjentäviä, mutta säännökset ovat melko yleisluontoisia. Nämä käsittelytarkoitukset jakaantuvat pääasiallisiin käsittelytarkoituksin ja toissijaisiin käsittelytarkoituksiin. Ensisijaiset käsittelytarkoitukset liittyvät henkilötietoihin, joita tarvitaan rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi taikka kansainvälisten velvoitteiden täyttämiseksi. Toissijaiset käsittelytarkoitukset liittyvät henkilötietojen luovuttamiseen muille viranomaisille joko näiden tarpeisiin tai muuta poliisin toimintaa varten. Toissijaiseen käsittelytarkoitukseen henkilötietoja saa luovuttaa, kun tiedot ovat tarpeen kyseessä olevan toisen viranomaisen rikoksentorjuntaa varten. Näitä viranomaisia ovat Säkerhetspolisen, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen ja Skatteverket, sekä toimivaltaiset ulkomaiset viranomaiset ja kansainväliset järjestöt. Poliisille voidaan luovuttaa henkilötietoja myös muuhun kuin alkuperäiseen käsittelytarkoitukseen, kun uusi käsittelytarkoitus on yhteensopiva alkuperäisen käsittelytarkoituksen kanssa.
Henkilötietoja saa käsitellä myös, jos se on tarpeen diaarin ylläpitämiseksi, poliisille tehdyn ilmoituksen käsittelemiseksi tai muutoin asian käsittelemiseksi. Laissa säädetään myös tilanteista, joissa henkilötietoja saa salassapitosäännösten estämättä luovuttaa muun muassa Interpolille ja Europolille, ulkomaiselle tiedusteluviranomaiselle tai muulle ulkomaiselle viranomaiselle taikka kansainväliselle järjestölle, sekä edellä mainituille Ruotsin viranomaisille.
Poliisin henkilötietolaissa säädetään lisäksi arkaluonteisten henkilötietojen käsittelystä, rikoslaboratorion henkilötietojen käsittelystä sekä eräistä rekistereistä (4 luku), joita ovat DNA-rekisteri, tutkintarekisteri, vihjerekisteri, sormenjälkirekisteri, tuntomerkkirekisteri, rahanpesurekisteri ja kansainvälisten asioiden rekisteri. Rekisterisäännökset ovat melko yksinkertaisia ja myös näiden rekisterien osalta säädetään henkilötietojen käsittelytarkoituksista. Rekisterisääntelyä täydentää kuitenkin poliisin henkilötietoasetus (polisdataförordningen, 2010:1155), jossa tarkennetaan, mitä henkilötietoja poliisin rekistereihin saa tallettaa ja mihin henkilötietoihin voidaan antaa pääsy hakujen avulla muille viranomaisille.
Ruotsin voimassa oleva poliisin henkilötietolaki (polisdatalagen) on yhdistelmä käsittelytarkoituksiin perustuvaa ja rekisterikohtaista sääntelyä, mutta pääpaino on käsittelytarkoituksiin perustuvalla sääntelyllä. Laissa säädetään myös turvallisuuspoliisin rikoksentorjuntaan liittyvästä henkilötietojen käsittelystä (6 luku). Samassa luvussa säädetään turvallisuuspoliisin tehtäviin liittyvistä käsittelytarkoituksista, jotka osin poikkeavat poliisin henkilötietojen käsittelytarkoituksista, sekä henkilötietojen säilytys- ja poistoajoista. Henkilötietojen luovuttamista koskevat pääosin samat säännökset kuin poliisia. Poliisin henkilötietolaki sisältää lisäksi säännökset lain suhteesta poliisiyhteistyöhön sovellettavaan EU-lainsäädäntöön, johon sisältyy henkilötietojen käsittelyä koskevia säännöksiä.
Hallituksen esitys (Prop. 2017/18:269) "Brottsdatalag - kompletterande lagstiftning" sisältää ehdotuksen uudeksi poliisin henkilötietolaiksi (lag om polisens behandling av personuppgifter inom brottsdatalagens område). Laki täydentäisi yleislakia (brottsdatalag) ja siinä säädettäisiin voimassa olevaa lakia vastaavasti käsittelytarkoituksista, jotka kuitenkin vastaisivat tietosuojadirektiivin mukaisia henkilötietojen käsittelytarkoituksia. Lisäksi laki sisältäisi edelleen säännökset eräistä henkilörekistereistä (kuten DNA- ja sormenjälkirekisteri) sekä henkilötietojen luovuttamisesta. Lakia sovellettaisiin soveltuvin osin myös Ruotsin talousrikosviraston (Ekobrottsmyndigheten) suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään rikostutkinnassa eikä kyse ole syyttäjän toiminnasta, sekä turvallisuuspoliisin tietosuojadirektiivin soveltamisalaan kuuluvaan henkilötietojen käsittelyyn, kun kyse ei ole kansallisen turvallisuuden suojaamisesta. Voimassa olevaa sääntelyä vastaavasti lakiehdotusta täydentäisi asetus, jonka sisältö vastaisi pääosin voimassa olevaa poliisin henkilötietoasetusta.
Saksa
Saksa on pannut täytäntöön liittovaltion tasolla uuden EU:n tietosuojadirektiivin. Tietosuojadirektiivin täytäntöönpanosäännökset sisältyvät liittovaltion tietosuojalakiin (Bundesdatenschutzgesetz, BDSG), joka sisältää myös tietosuoja-asetuksen soveltamisalaan kuuluvaa henkilötietojen käsittelyä koskevia säännöksiä. Tietosuojadirektiivin soveltamisalaan kuuluvaan henkilötietojen käsittelyyn sovellettaisiin lain 45—84 §:ää sekä 1 osaa, joka koskee kaikkia henkilötietojen käsittelytarkoituksia. Säännöksiä sovelletaan direktiivin soveltamisalasäännöksen mukaisesti henkilötietojen käsittelyyn, joka liittyy rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojeluun ja tällaisten uhkien ehkäisyyn. Säännökset koskevat Saksan viranomaisia siltä osin kuin ne suorittavat edellä mainittuja tehtäviä. Rikokseksi katsottaisiin teot, jotka Saksan rikoslain mukaan määritellään sellaiseksi.
Yleisesti sovellettavia säännöksiä täydentävät Saksassa ensinnäkin liittovaltion rikospoliisia koskevan lain säännökset ja toiseksi alueellisia poliisiviranomaisia koskeva lainsäädäntö. Liittovaltion rikospoliisia (Bundeskriminalamt, BKA) koskeva laki sisältää eräitä säännöksiä, joilla tarkennetaan tietosuojalain säännöksiä BKA:n käsittelytarkoituksiin. Näitä ovat ensinnäkin 2 osan säännökset tietojen hankinnasta sekä kansainvälisiä henkilötietojen luovutuksia koskevat säännökset (25—28 §), joissa säädetään erikseen kansallisista tiedonluovutuksista, EU:n jäsenvaltioihin tapahtuvista tiedonluovutuksista ja kansainvälisistä tiedonluovutuksista. Lisäksi henkilötietojen käsittelystä säädetään erityisesti lain 9 osassa, joka sisältää muun muassa säännökset siitä, mihin tarkoituksiin BKA saa käsitellä henkilötietoja.
Liittovaltion poliisista annetun lain säännökset tiedonhankinnasta ja siitä, mihin jälleenkäsittelytarkoituksiin hankittuja tietoja voi käsitellä, ovat yksityiskohtaiset. Liittovaltion poliisista annettuun lakiin sisältyvät säännökset liittovaltion poliisin tietojärjestelmästä (13 §), jonka tietosisältö perustuu liittovaltion poliisin tehtäviin. Säännös on melko yleisluontoinen, mutta linkittyy muuhun poliisin tehtäviä koskevaan EU- ja kansalliseen sääntelyyn sekä tiedonhankintaa koskeviin säännöksiin. Liittovaltion poliisia koskeva sääntely on siten yhdistelmä tietojärjestelmäkohtaista ja käsittelytarkoituksiin perustuvaa sääntelyä. Käsittelytarkoituksista ei säädetä yksityiskohtaisesti lukuun ottamatta eräitä henkilötietojen jälleenkäsittelytarkoituksia kuten tutkimus. Laissa säädetään yksityiskohtaisesti DNA-tietojen käsittelystä, mutta ei muiden arkaluonteisten henkilötietojen käsittelystä. Muiden arkaluonteisten henkilötietojen käsittelyä koskevat vaatimukset perustuvat suoraan tietosuojalakiin. Henkilöryhmät, joihin liittyviä henkilötietoja (kuten perustietoja) saa käsitellä, luetellaan yksityiskohtaisesti.
Saksan henkilötietojen käsittelyä koskeva lainsäädäntö jakaantuu poliisin osalta liittovaltion lainsäädäntöön ja alueelliseen (Länder) lainsäädäntöön. Edellä mainittu liittovaltion poliisin tietojärjestelmä on yksinomaan BKA:n hallinnoima järjestelmä, joka on kuitenkin yhteydessä laajempaan tietoverkkokokonaisuuteen (29 §), jota käyttävät lisäksi alueelliset poliisiviranomaiset sen mukaisesti kuin alueellisessa poliisilainsäädännössä säädetään. Valtakunnalliseen tietoverkkoon ei kuitenkaan talleteta kaikkia BKA:n tai alueellisten poliisiviranomaisten käsittelemiä henkilötietoja.
2.3.1 EU:n tietosuojalainsäädäntö
Poliisin henkilötietojen käsittelyyn sovelletaan nykyään yleislakina henkilötietolakia. EU:n tietosuojalainsäädännön uudistus kuitenkin eriyttää säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa säädöstä. Poliisin lakisääteiset tehtävät jakautuvat tietosuojadirektiivin ja tietosuoja-asetuksen soveltamisalaan, minkä lisäksi osa poliisin tehtävistä ei kuulu lainkaan Euroopan unionin oikeuden soveltamisalaan.
Tietosuojadirektiivin soveltamisalaan poliisissa kuuluvat rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen sekä näihin liittyvät toimenpiteet yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Poliisin henkilötietolain tulisi sisältää täydentävät säännökset tietosuojadirektiivin soveltamisalaan kuuluvasta henkilötietojen käsittelystä siltä osin kuin sääntely ei sisälly rikosasioiden tietosuojalakiin. Yleislakia on tarkoitus täydentää eri hallinnonalojen erityislainsäädännöllä, jossa tarvittavilta osin säädettäisiin tarkemmin esimerkiksi rekisteröitävistä henkilötiedoista, niiden käyttötarkoituksista, henkilötietojen luovuttamisesta ja tietojen säilytysajoista (HE 31/2018 vp, s. 75). Sääntelyssä olisi kiinnitettävä huomiota siihen, että direktiivissä säädetty minimitaso tietosuojalle ei heikenny.
Tietosuoja-asetusta ja sitä täydentävää tietosuojalakia sovelletaan poliisissa lupahallintoon liittyviin tehtäviin sekä sellaisiin poliisille säädettyihin valvontatehtäviin, joissa ei ole kyse rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta tai näihin liittyvistä toimenpiteistä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Tietosuoja-asetus on jäsenvaltioissa suoraan sovellettavaa lainsäädäntöä. Tietosuoja-asetuksen 6 artiklan 2 kohta kuitenkin mahdollistaa yksityiskohtaisempien säännösten antamisen asetuksen säännösten mukauttamiseksi silloin, kun henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (6 artiklan 1 kohdan c alakohta) tai yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan e alakohta). Tietosuoja-asetuksen 6 artiklan 3 kohta edellyttää, että henkilötietojen käsittelyn perustasta säädetään näissä tilanteissa unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Tällainen lainsäädäntö voi sisältää säännöksiä muun muassa käsiteltävien tietojen tyypistä, rekisteröidyistä, tahoista joille ja tarkoituksista joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuudesta, säilytysajoista sekä käsittelytoimista ja -menettelyistä. Kun kyse on poliisille laissa säädetyistä tehtävistä, henkilötietoja käsitellään rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, mikä mahdollistaa tietosuoja-asetuksen täsmentämisen ja täydentämisen kansallisella lainsäädännöllä. Tietosuoja-asetuksen 9 artiklan nojalla voidaan antaa tarkempia säännöksiä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä.
Poliisin henkilötietolainsäädännössä olisi tarpeen käyttää tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa ja antaa täsmentäviä säännöksiä erityisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä sekä rekisteröidyn oikeuksien käyttämisestä ja rajoituksista rekisteröidyn oikeuksiin. Säännöksissä olisi varmistettava, että rekisteröidyn oikeuksien rajoitukset ovat välttämättömiä ja oikeasuhtaisia.
Kansallisen turvallisuuden ylläpitämiseen liittyvät tehtävät eivät kuulu EU:n oikeuden soveltamisalaan, eivätkä siten myöskään tietosuoja-asetuksen tai tietosuojadirektiivin soveltamisalaan. Näissä tehtävissä käsiteltävien henkilötietojen osalta kyse on kansallisesta ratkaisusta. Rikosasioiden tietosuojalakia, jolla tietosuojadirektiivi on pantu kansallisesti täytäntöön, sovelletaan sen 1 §:n 2 momentin 2 kohdan mukaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Suojelupoliisin tehtävänä on poliisin hallinnosta annetun lain 10 §:n mukaan torjua sellaisia hankkeita ja rikoksia, jotka voivat vaarantaa valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta sekä suorittaa tällaisten rikosten tutkintaa. Rikosasioiden tietosuojalakia sovelletaan lisäksi myös muun poliisin yksikön suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.
Esityksessä olisi varmistettava, että henkilötietojen käsittelyä poliisissa koskeva erityissääntely on yhteensopivaa uuden yleisen tietosuojalainsäädännön kanssa. Lisäksi poliisin henkilötietolaista olisi pyrittävä poistamaan yleislainsäädännön kanssa päällekkäinen sääntely.
2.3.2 Poliisin henkilötietolaki
Perustuslakivaliokunta on todennut lausunnossaan PeVL 18/2012 vp, että poliisin henkilötietolaki on muun muassa siihen tehtyjen lukuisten muutosten johdosta muodostunut rakenteeltaan ja sisällöltään varsin monimutkaiseksi. Siihen sisältyy myös tarpeettomia päällekkäisyyksiä henkilötietolain ja julkisuuslain kanssa.
Eduskunnan vastauksessa (EV 216/2013 vp) hallituksen esitykseen laeiksi henkilötietojen käsittelystä poliisitoimessa annetun lain ja henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain sekä eräiden niihin liittyvien lakien muuttamisesta eduskunta edellytti, että hallitus käynnistää mahdollisimman pian poliisin henkilötietolain kokonaisuudistuksen ja että sen yhteydessä huomioidaan muiden seikkojen ohella Euroopan unionissa valmisteilla olevan uuden tietosuojalainsäädännön lopullinen sisältö ja vaatimukset kansalliselle lainsäädännölle sekä hallintovaliokunnan mietinnöstä (HaVM 26/2013 vp) ilmenevät lain rakennetta ja sisältöä koskevat huomautukset.
Voimassa oleva laki perustuu tietojärjestelmäkohtaiseen sääntelyyn. Sääntely on hyvin yksityiskohtaista etenkin tietojärjestelmiin talletettavien tietojen osalta. Sääntelytapa on joustamaton ja säännösten pitäminen ajan tasalla on haastavaa.
EU:n tietosuojauudistuksen ja voimassa olevan lain rakenteellisten ongelmien lisäksi poliisin henkilötietojen käsittelyä koskevan lainsäädännön muutostarpeisiin vaikuttavat poliisin toimintaympäristössä tapahtuneet muutokset. Poliisin perustehtävät ja henkilötietojen käsittelyn tarkoitukset eivät ole muuttuneet voimassa olevan poliisin henkilötietolain säätämisen jälkeen. Sen sijaan toimintaympäristössä ja poliisin toiminnan strategisissa painopisteissä on tapahtunut paljonkin muutoksia. Esimerkkeinä voidaan mainita terrorismin uhkan kasvaminen Euroopan laajuisesti, rajat ylittävän järjestäytyneen rikollisuuden ja pienempien liikkuvien rikollisryhmien lisääntyminen sekä tietoverkkorikollisuuden lisääntyminen.
Toimiva tiedonkulku on verkostoituneen ja riskienhallintaan pyrkivän yhteiskunnan keskeinen toimintaedellytys. Oikein kohdistetun viranomaistoiminnan perustana on oikea ja mahdollisimman reaaliaikainen tieto. Turvallisuusympäristön muutoksiin reagointi vaatii viranomaisilta yhä parempaa tilannetietoisuutta, ennakointikykyä ja tiiviimpää yhteistyötä. Yhteiskunnan lisääntyvän häiriöherkkyyden vuoksi on tärkeää, että muutoksiin kyetään reagoimaan nopeasti ja vaikuttavasti. Poliisin osalta turvallisuusympäristön muutokset koskevat yleistä järjestystä ja turvallisuutta sekä niihin liittyvinä rikollisuutta, rikosten ennalta estämistä, niiden selvittämistä ja syyteharkintaan saattamista.
Poliisiasiain tietojärjestelmä
Perustuslakivaliokunta ja hallintovaliokunta eivät ole pitäneet poliisiasiain tietojärjestelmää sisällöltään ongelmallisena. Tietojärjestelmää koskeva säännös on kuitenkin lukuisten muutosten seurauksena muodostunut liiankin yksityiskohtaiseksi ja vaikealukuiseksi, minkä lisäksi osa pykälän sisältämistä tietoryhmistä aiheuttaa epäselvyyttä suhteessa muihin lain säännöksiin. Esimerkiksi poliisiasiain tietojärjestelmään vuoden 2013 lainmuutoksella lisättyjen havaintotietojen suhde epäiltyjen tietojärjestelmää koskevassa pykälässä tarkoitettuihin havaintotietoihin on jäänyt osin epäselväksi. Epäselväksi on jäänyt myös se, missä määrin järjestelmään voidaan kirjata tietoja sellaisista poliisilain 1 luvun 1 §:n 1 momentin tehtäväpiiriin liittyvistä tehtävistä ja toimenpiteistä, joissa ei yksiselitteisesti ole vielä kyse esitutkinnasta, poliisitutkinnasta tai virka-apuasioista sekä tietoja, jotka talletetaan ensisijaisesti hätäkeskustoiminnasta annetussa laissa tarkoitettuun hätäkeskustietojärjestelmään. Säännöksissä ei ole huomioitu myöskään tarvetta käsitellä henkilötietoja tilannekuvan ylläpitämiseksi ja välittämiseksi, poliisin toiminnan suuntaamiseksi ja uhkien arvioimiseksi. Lisäksi epäselvyyttä on ollut myös siitä, voidaanko tietoja aina käyttää syyttömyyttä tukevana selvityksenä.
Poliisin henkilötietolain 2 § mukaan poliisiasiain tietojärjestelmä voi sisältää henkilöistä tietoja, joita on tarpeen käsitellä poliisilain 1 luvun 1 §:n 1 momentissa säädettyjen tehtävien suorittamiseksi. Säännöksen 3 momentin 3 kohdassa on säädetty kadonneeksi ilmoitettujen tietojen käsittelystä. Poliisin velvollisuudesta ryhtyä tarpeellisiin toimenpiteisiin sellaisen henkilön löytämiseksi, jonka on perusteltua syytä olettaa kadonneen tai joutuneen onnettomuuden uhriksi, säädetään kuitenkin poliisilain 1 luvun 1 §:n 2 momentissa. Poliisiasiain tietojärjestelmään kirjataan siten myös poliisilain 1 luvun 1 §:n 2 momentissa säädettyjen tehtävien suorittamiseksi tarpeellisia tietoja. Sama ongelma koskee muualla laissa erikseen poliisille säädettyjä tehtäviä, joista kuitenkin on tarve kirjata tietoja poliisiasiain tietojärjestelmään. Näissä tilanteissa on pääosin kyse poliisitutkintaan kuuluvista asioista.
Hallintoasiain tietojärjestelmä
Kuten poliisiasiain tietojärjestelmän, myös hallintoasiain tietojärjestelmän ongelmana on pidetty tietosisällön liian yksityiskohtaista sääntelyä. Hallintoasiain tietojärjestelmää koskevan 3 §:n 3 momentin yksityiskohtaiset tietoryhmäkohtaiset luettelot ovat aiheuttaneet tarpeen usein toistuviin lainmuutoksiin. Lupa-asioita koskevien tietoryhmien sisällön sääntely on lisäksi toistuvien muutosten seurauksena muodostunut epäyhtenäiseksi. Muutoin yksityiskohtaisesta tietosisällön sääntelystä huolimatta voimassa oleva 3 § ei kuitenkaan sisällä säännöksiä niistä rekisteröityjen ryhmistä, joiden tietoja hallintoasiain tietojärjestelmässä voidaan käsitellä.
Hallintoasiain tietojärjestelmää koskevaan 3 §:ään ei sisälly säännöksiä kaikesta poliisin lupahallinnollisten tehtävien ja tietosuoja-asetuksen soveltamisalaan kuuluvien valvontatehtävien suorittamiseksi tarpeellisesta henkilötietojen käsittelystä. Esimerkiksi löytötavaralaissa (778/1998) ja ampumaratalaissa (763/2015) säädettyjen tehtävien suorittamiseksi tarpeellisia tietoja ei voida käsitellä valtakunnallisesti hallintoasiain tietojärjestelmässä. Järjestelmään ei nykyisen lain mukaan talleteta myöskään tietoja lupahallintoon kiinteästi liittyvistä rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017, jäljempänä rahanpesulaki) mukaisista valvontatehtävistä tai arpajaislain (1047/2001) mukaisesta valvonnasta.
Hallintoasiain tietojärjestelmään talletetaan toisaalta nykyisen lain 3 §:n perusteella myös ulkomaalaislain 131 §:n perusteella talletettavat ulkomaalaisten tunnistamistiedot, joita kuitenkin käsitellään poliisin ulkomaalaisvalvonnan yhteydessä tietosuojadirektiivin soveltamisalaan kuuluvien tehtävien suorittamiseksi. Ulkomaalaisten tunnistamistietojen käsittelyssä ongelmalliseksi on osoittautunut erityisesti, että sormenjälkien käyttäminen muuhun kuin alkuperäiseen käsittelytarkoitukseen on voimassa olevan lain mukaan mahdollista vain samoin 16 a §:n mukaisin edellytyksin kuin passirekisterin sormenjälkitietojen käyttäminen. Tietojen hyödyntäminen rikostorjunnassa ei siten ole mahdollista edes silloin, kun tiedot olisivat välttämättömiä terrorismirikoksen tai muun vakavan rikoksen estämiseksi, paljastamiseksi tai selvittämiseksi.
Epäiltyjen tietojärjestelmä
Hallintovaliokunta on kiinnittänyt huomiota puutteisiin, joita epäiltyjen tietojärjestelmän henkilötietojen käsittelyyn liittyy (HaVL 40/2014 vp). Henkilöitä voidaan rekisteröidä vain epäiltyinä ja myötävaikuttajina. Hallintovaliokunta on todennut mietinnössään (HaVM 16/2014 vp), että kun henkilöstä syötetään tietoja epäiltyjen rekisteriin, tulee hänen osaltaan täyttyä perusteet, joiden nojalla henkilön voidaan epäillä syyllistyvän tai syyllistyneen rikokseen taikka myötävaikuttavan tai myötävaikuttaneen rikokseen. Kynnys "syytä epäillä" on sama kuin esitutkintalaissa säädetyn rikoksen johdosta esitutkinnan toimittamisen kynnys.
Sääntelyn soveltamisen vaativuutta kuvaa hallintovaliokunnan näkemyksen mukaan se, että kysymys ei ole pelkästään epäillystä henkilön jo tapahtuneesta syyllistymisestä tai myötävaikuttamisesta, vaan epäillystä tulevaisuudessa tapahtuvasta syyllistymisestä tai myötävaikuttamisesta lainkohdassa tarkoitettuun rikokseen. Valiokunta on pitänyt selvänä, että epäilyn tulee tällöinkin perustua konkreettisiin havaintoihin, joista voidaan päätellä henkilön tuleva käyttäytyminen niin, että "syytä epäillä" -edellytys täyttyy hyväksyttävästi. Arvion tekeminen henkilön tulevasta käyttäytymisestä on sellaisen epävarman päättelyketjun varassa, että virhearvioinnin riski on varsin suuri.
Hallintovaliokunta on kiinnittänyt huomiota myös siihen, että täydentävään "selostusosaan" on lisäksi saattanut olla merkittynä esimerkiksi henkilö, johon epäillyn väkivallan uhka kohdistuu tai voi kohdistua (HaVL 40/2014 vp). Myös perustuslakivaliokunta on jo aiemmin kiinnittänyt huomiota siihen, että epäiltyjen tietojärjestelmään saadaan perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Lakiehdotuksen 4 §:n sisältö ei kuitenkaan ulotu tähän tarkoitukseen asti. (PeVL 51/2002 vp.) Sitä, että uhrien tietojen tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää perustuslakivaliokunnan tulkintakäytännössä edellytettynä tarkkarajaisena sääntelynä.
Epäiltyjen tietojärjestelmää koskevaa sääntelyä on pidetty myös poliisin toiminnan kannalta epätarkoituksenmukaisena ja puutteellisena. Säännöstä koskevien hallituksen esityksen (HE 93/2002 vp) perusteluiden mukaan epäiltyjen rekisterin käyttötarkoituksesta johtuen rikoksen yksilöinnillä ei voitaisi edellyttää kovin suurta täsmällisyyttä. Tämä koskisi esimerkiksi tunnetun rikollisryhmän jäsenten toimintaa. Pykälän sanamuodon perustana vaikuttaisi kuitenkin olevan henkilölähtöinen rikostiedustelu siten, että poliisilla olisi oltava tiedossa konkreettinen yksittäiseen henkilöön kohdistuva rikosepäily, eikä sääntelyllä kateta laajemmin esimerkiksi järjestäytyneeseen rikollisuuteen tai rikollisryhmiin kohdistuvaa tehtävälähtöistä rikosanalyysiä.
Myös mahdollisuudet epäiltyjen tietojärjestelmän tietojen käsittelyyn muussa kuin alkuperäisessä käsittelytarkoituksessa ovat osoittautuneet eräiltä osin riittämättömiksi. Tietojen käyttäminen lupaharkinnassa ja -valvonnassa ei ole voimassa olevan lain mukaan mahdollista. Esimerkiksi epäiltyjen tietojärjestelmään sisältyviä tietoja järjestäytyneeseen rikollisuuteen liittyvistä henkilöistä ei siten voida hyödyntää esimerkiksi aselupiin liittyvässä harkinnassa.
Suojelupoliisin toiminnallinen tietojärjestelmä
Suojelupoliisissa on käynnissä hanke, jonka tarkoituksena on ensisijaisesti kehittää ja tehostaa suojelupoliisin toimintaa ja sen yksi keskeisimmistä tavoitteista on uudistaa suojelupoliisin toiminnallinen tietojärjestelmä. Hankkeen toimikausi päättyy vuoden 2019 lopussa. Suojelupoliisin tehtäviin liittyvää henkilötietojen käsittelyä koskevissa säännöksissä ei ole havaittu suuria muutostarpeita. Suojelupoliisin toiminnallista tietojärjestelmää koskevien tietojen käsittelystä säädetään voimassa olevassa laissa samassa yhteydessä kuin muiden poliisin henkilörekisterien tietojen käytöstä. Kansallisesta turvallisuudesta vastaavana viranomaisena suojelupoliisi on kuitenkin eri asemassa suhteessa rikosasioiden tietosuojadirektiiviin kuin muu poliisi. Suojelupoliisin henkilötietojen käsittelyä koskeva sääntely ei myöskään ole kaikilta osin yhdenmukaista sotilastiedusteluun liittyvää henkilötietojen käsittelyä koskevien säännösehdotusten (HE 13/2018 vp) kanssa.
Poliisin muut henkilörekisterit
Voimassa olevan poliisin muita henkilörekistereitä koskevan sääntelyn mukaan poliisin valtakunnallisessa käytössä voi olla poliisiasiain, hallintoasiain ja epäiltyjen tietojärjestelmän sekä Schengenin tietojärjestelmän kansallisen järjestelmän lisäksi tilapäisiä tai manuaalisesti ylläpidettäviä henkilörekistereitä. Yhden tai useamman poliisiyksikön käyttöön voidaan perustaa myös muu poliisin henkilörekisteri kuin edellä mainitut tietojärjestelmät tai suojelupoliisin toiminnallinen tietojärjestelmä. Hallintovaliokunta on todennut Tullin henkilötietolakia (HE 351/2014 vp) koskevassa mietinnössään, ettei Tullin erityislainsäädäntöön voida ottaa sellaista henkilörekisteriä, josta puuttuu henkilörekisterin käyttötarkoitus ja tietosisältö. Tällainen sääntely ei myöskään ole asianmukainen poliisin henkilötietolainsäädännössä, vaan sääntelyä on tältä osin pikimmiten täsmennettävä tai säännös on poistettava lainsäädännöstä. (HaVM 54/2014 vp, s. 7.)
Lisäksi poliisin muita henkilörekistereitä koskevan 6 §:n 2 momentin 2 kohdassa säädetään tilapäisistä rikosanalyysirekistereistä. Lainkohtaa muutettiin vuoden 2014 alussa voimaan tulleella lailla siten, että siihen lisättiin mahdollisuus perustaa rikosanalyysia varten tilapäinen rekisteri yksittäisen rikoksen lisäksi myös rikosten muodostaman rikoskokonaisuuden estämiseksi, paljastamiseksi tai selvittämiseksi. Tämä lisäys on parantanut paikallisten vakavien rikosten ja erityisesti laajojen rikossarjojen selvittämistä. Rikosanalyysirekisterien ongelmana toiminnalliselta kannalta on kuitenkin se, että niihin sisältyvät tiedot eivät ole käytettävissä valtakunnallisesti. Säännös myös ohjaa analyysitoimintaa ja siitä muodostuvaa tilannekuvan muodostumista yksittäisten rikosten tai rikoskokonaisuuksien suuntaan, eikä niinkään tietoon rikollisuuden kokonaistilanteesta tai toimintaympäristössä tapahtuvista muutoksista.
Tietojen luovuttaminen ja tiedonsaantioikeudet
Vuoden 2013 lainmuutosten (HE 66/2012 vp) yhteydessä poliisin oikeutta saada tietoja eräistä rekistereistä teknisen käyttöyhteyden avulla tai tietojoukkona muutettiin vastaamaan tiedot luovuttavan tahon tiedon luovutusoikeutta. Säännös muutettiin kattamaan myös majoitus- ja ravitsemistoimintaan liittyvät matkustajatiedot, rajavartiolaitoksen ja tullilaitoksen henkilörekistereiden tiedot, vesikulkuneuvorekisterin tiedot, virka-apuun liittyvät tiedot virka-apua pyytäneeltä viranomaiselta sekä puolustusvoimien asevelvollisrekisterin tiedot. Voimassa olevan lain 13 §:ää täsmennettiin myös käyttötarkoituksen ja tietosisällön osalta.
Poliisin henkilötietolakiin sisältyy tiedonsaantioikeuksia ja tietojen luovuttamista koskevia säännöksiä, joista säädetään jo muualla laissa. Tiedonsaantioikeuksien laajempi uudistaminen olisi edellyttänyt viranomaisten välistä tiedonvaihtoa koskevaa tarkastelua ja sääntelytekniikan arviointia, jota ei ollut mahdollista toteuttaa osittaisuudistuksen yhteydessä. Tästä syystä lakia päädyttiin muuttamaan, vaikka se on osin johtanut tietojen saanti- ja luovutusoikeuden kaksinkertaiseen sääntelyyn. Uudistuksen tarpeeseen on kiinnittänyt huomiota myös eduskunnan hallintovaliokunta, joka on todennut tarpeen ottaa voimassa olevan 13 §:n rakenne tarkasteluun ja arvioitavaksi poliisin henkilötietolain kokonaisuudistuksen yhteydessä (HaVM 36/2014 vp, s. 2).
Yleisen käytännön mukaan tietojen luovuttamista ja tiedonsaantioikeutta koskevat säännökset on sisällytetty sekä luovuttavan että vastaanottavan viranomaisen lainsäädäntöön. Tällainen sääntelytapa ei kuitenkaan ole ollut kattavaa, mikä saattaa joissakin tilanteissa aiheuttaa lain soveltajalle tulkintaongelmia. Kaksinkertaisen sääntelyn lisäksi tiedonvaihtoa on säännelty erityislainsäädännössä myös siten, että tiedonsaantioikeudesta säädetään vain tiedon luovuttajaa koskevissa säädöksissä sekä siten, että tiedonsaantioikeudet sisältyvät vain vastaanottajaa koskevaan lainsäädäntöön. Kaikilta osin poliisin henkilötietolain mukaista tiedonsaantioikeutta vastaavaa luovutussäännöstä ei olisi mahdollista sijoittaa mihinkään voimassa olevaan erityislakiin. Tiedonvaihtoon liittyvien tarpeiden huomioimiseksi poliisin henkilötietolakiin olisi siten jatkossakin sisällytettävä sekä tiedonluovutusta että tiedonsaantia koskevia säännöksiä riippuen siitä, millainen sääntelyratkaisu tiedonvaihdon toista osapuolta koskevassa lainsäädännössä on omaksuttu. Poliisin henkilötietolakiin sisältyvän kaksinkertaisen sääntelyn poistaminen ei näin ollen selkeyttäisi tilannetta merkittävästi. Osa tiedonsaantioikeuksista olisi kuitenkin mahdollista poistaa myöhemmissä hankkeissa, mikäli sääntelyä olisi tarkasteltava uudelleen esimerkiksi julkisen hallinnon tiedonhallinnan sääntelyyn ehdotettavien laajempien muutosten toteuttamiseksi (hanke VM183:00/2017).
2.3.3 Henkilötietojen käsittelyn valvonta
Hallintovaliokunta totesi mietinnössään HaVM 26/2013 vp, että lakiin ehdotetut uudet tietoryhmät, kuten myös tietojen sisällön tarkempi määritteleminen tarpeellisuusharkinnan perusteella, edellyttävät lisäpanostusta henkilötietojen käsittelyn valvontaan. Henkilötietojen käsittelyn valvonta sekä tietojen sisällön että tietojen käytön osalta on välttämätöntä. Myös valvonnan tulosten raportointia tulisi tehostaa.
Poliisin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää (PeVL 42/2014 vp, PeVL 18/2012 vp). Perustuslakivaliokunta on myös kiinnittänyt huomiota siihen, että lakiin aiemmin lisättyjen säännösten myötä tietosisältöjen määrä on edelleen kasvanut. Tällaisessa tilanteessa tietojen käytön valvontaan on kiinnitettävä korostettua huomiota. (PeVL 42/2014 vp.)
Tietosuoja-asetus ja rikosasioiden tietosuojalaki sisältävät yksityiskohtaiset säännökset rekisterinpitäjän velvollisuuksista, tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta. Uuden tietosuojasääntelyn ja sen noudattamiseen kohdistuvan jäljempänä tässä luvussa kuvatun sisäisen ja ulkoisen laillisuusvalvonnan arvioidaan vastaavan eduskunnan esiin nostamiin kehittämistarpeisiin.
Sisäinen laillisuusvalvonta
Poliisin hallinnosta annetun lain 1 §:n 1 momentin mukaan sisäministeriö vastaa poliisin toimialan ohjauksesta ja valvonnasta. Sisäministeriön työjärjestyksestä annetun sisäministeriön asetuksen (1078/2013) 13 §:n 2 momentin mukaan ministeriön poliisiosasto käsittelee poliisin laillisuusvalvontaan kuuluvat asiat. Poliisiosasto toteuttaa laillisuusvalvontaansa sisäministeriön ja sen hallinnonalan laillisuusvalvontaohjeen (SMDno-2016-329) mukaisesti. Poliisiosaston suorittama laillisuusvalvonta tarkoittaa esimerkiksi hallintokantelujen ja kansalaispalautteen käsittelyä, henkilötietojen käsittelyn valvontaa, tarkastustoimintaa sekä lausuntojen antamista erityisesti ylimmille laillisuusvalvojille.
Poliisiosasto ja muut sisäministeriön osastot suunnittelevat vuosittain toimialallaan suoritettavat laillisuusvalvontatarkastukset. Tarkastuksista laaditaan tarkastuskertomus, johon voi sisältyä myös toimenpidesuosituksia. Poliisiosasto toimittaa oman hallinnonalansa laillisuusvalvontaraportin sekä sen johdosta tekemänsä havainnot ja muut mahdolliset lausumat tiedoksi hallinto- ja kehittämisosastolle, joka laatii vuosittain sisäministeriön ja hallinnonalan laillisuusvalvontakertomuksen.
Sisäministeriön hallinnonalan virastojen ja laitosten johto on vastuussa siitä, että henkilötietojen käsittely ja henkilörekisterin käytön valvonta on järjestetty lainmukaisesti ja tarkoituksenmukaisella ja tehokkaalla tavalla. Virastoissa on oltava riittävä ohjeistus tietoturva- ja tietosuojarikkomusten havaitsemiseksi ja selvittämiseksi. Rekisteritietojen käyttötarkoitukseen ja tietojen oikeellisuuteen on päivittäisessä työssä kiinnitettävä erityistä huomiota. Havaittuihin virheisiin, laiminlyönteihin, väärinkäytöksiin tai muihin epäkohtiin henkilörekistereiden käytössä ja henkilötietojen käsittelyssä on puututtava viipymättä.
Poliisin sisäisessä laillisuusvalvonnassa korostuu yksiköiden päälliköiden, päällystön sekä lähiesimiesten toiminta sekä henkilötietojen käsittelyä koskevan ohjeistuksen merkitys. Henkilötietojen käsittelyn valvonta perustuu päivittäisen esimiesvalvonnan lisäksi käyttöoikeuskäytäntöihin ja lokiseurantaan sekä erilaisiin tarkastuksiin. Käyttöoikeuksien myöntämiskäytännöillä voidaan vaikuttaa siihen, että henkilötietoja käsittelevät ainoastaan sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely kuuluu ja jotka täyttävät lakisääteiset edellytykset käyttöoikeuksien saamiselle. Poliisihallitus suorittaa lisäksi pistokoeluontoisia tarkastuksia poliisin ylläpitämien rekistereiden käyttölokitietoihin poliisin tietojärjestelmien ja henkilötietojen käytön valvomiseksi. Tarkastuksia tehdään suunnitelmallisesti ja aina kun siihen ilmenee aihetta. Myös poliisiyksiköt voivat suorittaa lokitietojen tarkastuksia.
Poliisiyksikön päällikkö vastaa laillisuusvalvonnan järjestämisestä ja sen resursoinnista yksikössään. Poliisiyksiköt tekevät vuosittain laillisuustarkastussuunnitelman, joissa on painotettava toimintoja, joissa puututaan henkilöiden perus- ja ihmisoikeuksiin. Tarkastustoiminnoissa tulee kiinnittää erityistä huomiota muun muassa henkilötietojen käsittelyyn ja valvontaan. Poliisiyksikön päällikön on huolehdittava siitä, että tarkastushavaintojen johdosta tehtävät tarpeelliset toimenpiteet suoritetaan ja dokumentoidaan. Merkittävistä puitteista, virheistä tai havainnosta on ilmoitettava Poliisihallitukselle. Laillisuusvalvonnassa tai muutoin havaittuihin laiminlyönteihin ja virheisiin tulee puuttua viipymättä.
Tietojärjestelmien käytön ja henkilötietojen käsittelyn valvonnassa on kiinnitettävä erityistä huomiota käsiteltävien tietojen oikeellisuuteen ja tarpeellisuuteen, tietojen asianmukaiseen käyttöön, käyttöoikeuksien oikeellisuuteen ja ajantasaisuuteen sekä tietojen käsittelyyn salassa pidettävien tietoaineistojen luokitusvaatimusten mukaisesti. Valvontaa ohjeistetaan tarkemmin Poliisihallituksen määräyksissä lokitietojen hallinnasta poliisissa, poliisin tietojärjestelmien käytöstä ja ylläpidosta sekä käyttövaltuuksien hallinnasta poliisissa.
Poliisiyksiköissä toimivilla oikeusyksiköillä on ollut viime vuosina merkittävää vaikutusta poliisissa suoritettavan laillisuusvalvonnan järjestämiseen ja organisointiin sekä rekisterien käytön valvontaan poliisiyksiköissä. Poliisin tietosuojaorganisaatiossa poliisiyksikön tietosuojavastaavan tehtäviä hoitavat henkilöt ovat pääosin oikeusyksiköiden edustajia.
Poliisihallitus antaa poliisiyksiköiden edellisen vuoden laillisuusvalvontakertomuksista kootun, koko poliisihallintoa koskevan kertomuksen sisäministeriölle ja toimittaa sen tiedoksi valtioneuvoston oikeuskanslerille ja eduskunnan oikeusasiamiehelle. Kertomuksissa käsitellään muun muassa lokitarkastuksia, niiden tuloksia ja tarkastuksen johdosta vaadittuja ja suoritettuja toimenpiteitä sekä muita henkilötietojen käsittelyn valvontaan liittyviä toimenpiteitä.
Keskeinen keino toiminnan lainmukaisuuden osoittamisessa on lisäksi tietotilinpäätös. Poliisin tietotilinpäätös on organisaation sisäisen tarkastelun tuloksena syntyvä raportti, jonka tavoitteena on arvioida tietosuojan toteutumisen tasoa ja organisaation henkilötietojen käsittelyprosessien ja tiedonhallinnan tilaa sekä toimia yhtenä tietosuojalainsäädännön mukaisen osoitusvelvollisuuden ja rekisteröityjen informointivelvollisuuden toteuttamisen välineenä.
Suojelupoliisin sisällä suojelupoliisin päällikkö vastaa laillisuusvalvonnan järjestämisestä, sen resursoinnista ja kehittämisestä. Suojelupoliisin päällikön tulee valvoa, että suojelupoliisissa tehdään säännönmukaisia laillisuustarkastuksia ja muuta laillisuusvalvontaa sisäministeriön laillisuusvalvontaohjeen ja suojelupoliisin oman ohjeistuksen mukaisesti (Suojelupoliisin sisäinen laillisuusvalvonta, määräys, Dnro 20/2017). Suojelupoliisi tekee säännönmukaisia vuosittaiseen suunnitelmaan perustuvia sisäisiä laillisuusvalvontatarkastuksia. Suojelupoliisi laatii vuosittain suojelupoliisin päällikön vahvistaman tarkastussuunnitelman, joka toimitetaan tiedoksi sisäministeriön poliisiosastolle. Laillisuusvalvontatarkastuksesta laaditaan tarkastuskertomus. Kertomus käsitellään sillä tasolla, jolla on myös toimivalta päättää tarkastuksen aiheuttamista toimenpiteistä. Merkittävistä virheistä ja puutteista sekä lainvastaisesta toiminnasta on ilmoitettava viipymättä suojelupoliisin päällikölle. Tarkastushavaintojen käsittely, määrättävät toimenpiteet ja toimenpiteiden toteutuksen seuranta on dokumentoitava. Suojelupoliisin sisäisessä laillisuusvalvonnassa kiinnitetään erityistä huomiota salaisiin pakkokeinoihin ja salaisiin tiedonhankintakeinoihin sekä henkilötietojen ja asiakirjojen käsittelyyn.
Suojelupoliisi soveltaa henkilötietojen käsittelyn valvonnassa sisäministeriön laillisuusvalvontaohjeen lisäksi Poliisihallituksen laillisuusvalvontaohjetta (Sisäinen laillisuusvalvonta ja eräät muut oikeudelliset asiat poliisissa, POL-2016-17212). Ohjeistuksessa on edellytetty rekisterinpidon ja henkilötietojen käsittelyn valvonnan järjestämistä. Valvontaa suorittavilta edellytetään riittävää osaamista tietojärjestelmien käytöstä ja henkilötietojen käsittelystä ja riittäviä käyttöoikeuksia valvonnan suorittamiseksi.
Ulkoinen laillisuusvalvonta
Tietosuoja-asetuksessa säädetään valvontaviranomaisesta ja valvontaviranomaisen toimivaltuuksista. Valvontaviranomaisen riippumatonta asemaa, toimivaltaa, tehtäviä, valtuuksia, yhteistyötä ja yhdenmukaisuutta koskevat säännökset sisältyvät yleisen tietosuoja-asetuksen VI—VII lukuun. Jäsenvaltioiden on säädettävä tietosuoja-asetusta täydentävästi muun muassa valvontaviranomaisen perustamisesta sekä valvontaviranomaisen pätevyydestä ja kelpoisuusvaatimuksista. Yleistä tietosuoja-asetusta täydentävät valvontaviranomaista koskevat säännökset annetaan tietosuojalaissa (HE 9/2018 vp), jonka säännöksistä suuri osa koskee juuri valvontaviranomaista. Tietosuoja-asetuksen mukaiset viranomaistehtävät on keskitetty tietosuojavaltuutetulle.
Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana viranomaisena. Tietosuojavaltuutettu valvoo lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon (HE 31/2018 vp, s. 22—23).
Myös eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat henkilötietojen käsittelyä koskevan lainsäädännön noudattamista osana yleistä viranomaisten ja virkamiesten toiminnan laillisuusvalvontaa. Molemmat tahot tekevät säännönmukaisia tarkastuksia Poliisihallituksen toiminnan laillisuuden ja henkilötietojen käsittelyn tarkastamiseksi. Eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat lisäksi tietosuojavaltuutetun toiminnan lainmukaisuutta.
Esityksen 1. lakiehdotus täydentäisi tietosuojadirektiivin yleisesti sovellettavaa täytäntöönpanolainsäädäntöä sekä EU:n tietosuoja-asetusta ja sitä täydentävää tietosuojalakia siltä osin kuin tarvittavat täytäntöönpanosäännökset eivät sisälly mainittuihin säädöksiin. Esityksen keskeisin tavoite on, että uusi poliisin henkilötietolaki täyttäisi EU:n tietosuojalainsäädännön vaatimukset, ottaen huomioon rikostorjunnan tarpeet ja perus- ja ihmisoikeuksien suojaa koskevat vaatimukset.
Esityksen tavoitteena on toisaalta selkeyttää ja yksinkertaistaa poliisin henkilötietojen käsittelyä koskeva sääntelyä ottaen huomioon hallintovaliokunnan mietinnöstä (HaVM 26/2013) ilmenevät, voimassa olevan lain rakennetta ja sisältöä koskevat huomautukset. Voimassa olevan lain rakenteelliset ongelmat ovat aiheutuneet pitkälti siitä, että lakia on muutettu useaan otteeseen ilman, että muutosten säädösteknisiä vaikutuksia on pystytty arvioimaan kokonaisuuden kannalta perusteellisesti. Lakia on myös pidetty sitä soveltavien poliisin yksiköiden kannalta osin monimutkaisena ja vaikeasti tulkittavana. Esityksessä ehdotettu suurin muutos koskee sääntelytekniikan muutosta, jonka tarkoituksena on tehdä laista helpommin sovellettava. Toisaalta esityksen tavoitteena on noudattaa perustuslain ja ihmisoikeussopimusten tulkintakäytännössä esitettyjä vaatimuksia lainsäädännön yksityiskohtaisuudesta ja tarkkarajaisuudesta.
Esityksen 1. lakiehdotuksessa otettaisiin edellä mainitut vaatimukset huomioon ja samalla saatettaisiin lainsäädäntö vastaamaan toimintaympäristön muutoksista johtuvia keskeisiä ja tärkeitä henkilötietojen käsittelyn ja tietosuojan tarpeita. Poliisin perustehtävät ja henkilötietojen käsittelyn tarkoitukset eivät ole muuttuneet voimassa olevan poliisin henkilötietolain säätämisen jälkeen, eikä myöskään poliisin henkilötietolain soveltamisala muuttuisi. Toimintaympäristön muutosten ja yleisen tietosuojalainsäädännön uudistumisen seurauksena on kuitenkin lisääntynyt tarve varmistaa erityisesti tiedonvaihdon, rikostiedustelun ja avoimiin lähteisiin perustuvan tiedonhankinnan perusteella saatavien henkilötietojen asianmukainen käsittely.
3.2.1 Rekisteriperusteinen sääntely ja käsittelytarkoituksiin perustuva sääntely
Voimassa oleva poliisin henkilötietolaki perustuu tietojärjestelmien ja niihin talletettavien tietojen sääntelyyn. Käytännössä poliisin valtakunnallisten tietojärjestelmien tietoja käsitellään useissa eri teknisissä sovelluksissa. Lain 2 luvun mukaiset tietojärjestelmät muodostavat kukin erillisen henkilörekisterin eli sääntelyratkaisu on rekisteriperusteinen.
Rekisteriperusteisen sääntelyn etuna voidaan pitää sitä, että yhdistettynä yksityiskohtaisiin tietosisältöluetteloihin sääntely on perustuslakivaliokunnan edellyttämällä tavalla selkeää, tarkkarajaista ja yksityiskohtaista. Voimassa olevan lain tietojärjestelmiä koskevista säännöksistä ilmenee yksityiskohtaisesti, mitä tietoja kuhunkin tietojärjestelmään saa tallettaa. Yksityiskohtaista sääntelyä voidaan pitää myös lain soveltajan ja rekisteröidyn kannalta selkeänä ja ennakoitavana. Käsittelytarkoituksiin perustuvan sääntelyn mahdollisena haittana voidaan pitää sitä, että lain säännökset jättäisivät loppukäyttäjän kannalta epäselväksi, mihin tietojärjestelmän osiin tai rekistereihin henkilötiedot olisi talletettava, mikä voisi lisätä virheiden riskiä. Uusi sääntely edellyttäisi rekisterinpitäjän antamaa ohjeistusta ja koulutusta, jota toisaalta tarvittaisiin lainsäädännön uudistuksen yhteydessä valitusta sääntelyratkaisusta riippumatta.
Rekisteriperusteinen ja ehdotettu uudentyyppinen käyttötarkoitusperusteinen sääntely eivät toisaalta tosiasiallisesti eroa merkittävästi toisistaan, vaan kyse on lähinnä erilaisesta säännösten kirjoitustavasta. Henkilörekisteri ei itsessään viittaa tiettyyn tekniseen tietojärjestelmään, vaan yksi henkilörekisteri voi toimia useassa erillisessä tietojärjestelmässä ja toisaalta samassa tietojärjestelmässä voi olla usean eri henkilörekisterin tietoja. Erilliset henkilörekisterit muodostuvat tietojen käyttötarkoituksen perusteella.
Rekisteriperusteinen ja käyttötarkoitusperusteinen sääntely eivät eroa merkittävästi toisistaan myöskään täsmällisyyden ja tarkkarajaisuuden osalta. Perustuslakivaliokunnan tulkintakäytännöstä ilmenevä vaatimus henkilötietojen käsittelyä koskevan sääntelyn yksityiskohtaisuudesta ja tarkkarajaisuudesta arvioidaan mahdolliseksi toteuttaa sekä rekisteriperusteisella että käsittelytarkoituksiin perustuvalla sääntelyllä. Käsittelytarkoituksiin perustuva sääntely yhdistettynä tietosisältöluetteloiden korvaamiseen yleisemmillä tietoluokilla olisi kuitenkin luonteeltaan nykyistä rekisterisääntelyä yksinkertaisempaa. Valmistelun yhteydessä on arvioitu, missä määrin sääntelyä olisi mahdollista yksinkertaistaa varmistaen kuitenkin samalla, että sääntely on riittävän tarkkarajaista.
Yksityiskohtaisia tietoluetteloita on vaikeaa pitää ajan tasalla, koska kaikkia tiedonkäsittelytarpeita on mahdotonta ennakoida yksityiskohtaisesti lakia säädettäessä. Käsittelytarkoituksiin ja tietoluokkiin perustuvan sääntelyn etuna on pidetty sitä, että sillä vältettäisiin tarvetta muuttaa lainsäädäntöä aina, kun ilmenee tarve käsitellä uutta tietosisältöä. Joustavuuden tarve korostuu erityisesti nopeasti muuttuvassa toimintaympäristössä, jossa on tärkeää, että poliisilla on koko ajan sen tehtävien hoitamisen kannalta riittävät oikeudet käsitellä henkilötietoja. Lisäksi olisi huomioitava, että EU:n tietosuojalainsäädäntö edellyttää, että sen vaatimusten on koskettava kaikkea henkilötietojen käsittelyä käytetystä käsittelytekniikasta ja teknologiasta riippumatta.
Käsittelytarkoitussidonnaiseen henkilötietojen käsittelyyn perustuvan sääntelyn arvioidaan myös selkiyttävän tietosuoja-asetukseen ja tietosuojadirektiiviin perustuvaa henkilötietojen käsittelytarkoitusten jakamista alkuperäisiin käsittelytarkoituksiin ja niiden kanssa yhteensopivaan henkilötietojen käsittelyyn. Se myös tarkentaisi sääntelyn suhdetta toisaalta tietosuoja-asetukseen ja toisaalta tietosuojadirektiiviin, joiden soveltamisalat perustuvat käsittelytarkoituksiin. Tietosuojadirektiivi edellyttää, että jäsenvaltion lainsäädännössä on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Myös tietosuoja-asetus edellyttää täydentävää kansallista lainsäädäntöä silloin, kun henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteeseen tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. EU:n tietosuojalainsäädännöstä ei kuitenkaan seuraa rajoitteita sen suhteen, valitaanko kansalliseen lainsäädäntöön rekisteripohjainen vai käyttötarkoituksiin perustuva sääntelyratkaisu.
Käsittelytarkoituksiin perustuvissa säännöksissä olisi kuitenkin huomioitava edellä mainittu perustuslakivaliokunnan tulkintakäytännöstä ilmenevä yksityiskohtaisuuden ja tarkkarajaisuuden vaatimus. Yksinkertaistettu sääntely lisäisi rekisterinpitäjän ohjeistuksen tarvetta. Sääntelyn tarkkarajaisuutta koskevan vaatimuksen näkökulmasta on syytä kiinnittää huomiota siihen, että ohjeistuksella ei saisi täydentää rekisterien tietosisältöä, vaan tarkentaa, millä tavalla säännöksiä olisi tulkittava. Käsittelytarkoituksiin perustuvaan sääntelyyn siirtyminen liittyy kiinteästi myös henkilötietojen luovuttamista, henkilötietojen poistoaikoja ja rekisteröidyn oikeuksia koskevien säännösten uudelleen arvioimiseen, jonka yhteydessä säännökset on linkitettävä käsittelytarkoituksiin riittävällä tarkkuudella.
3.2.2 Suojelupoliisia koskeva sääntely
Suojelupoliisin käsitellessä henkilötietoja tehtävänsä suorittamiseksi eli kansallisen turvallisuuden suojaamiseksi, sen henkilötietojen käsittely ei kuulu EU:n oikeuden alaan. Kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista olisi säädettävä kansallisella lainsäädännöllä. Suojelupoliisin kansallisen turvallisuuden suojaamiseen liittyvään henkilötietojen käsittelyyn sovellettaisiin kansallisen ratkaisun pohjalta yleislakina rikosasioiden tietosuojalakia lukuun ottamatta lain 10 §:n 2 momenttia, 54 §:ää ja 7 lukua.
Suojelupoliisin osalta on tarkasteltu toisaalta voimassa olevan lain mukaisen sääntelyratkaisun säilyttämistä 1. lakiehdotuksessa, jolloin suojelupoliisia koskevat säännökset olisivat osana muita poliisin henkilötietojen käsittelytarkoituksia, ja toisaalta säännösten sisällyttämistä erilliseen lukuun. Tavoitteena on ollut huomioida suojelupoliisin muuttunut asema sisäministeriön alaisena poliisiyksikkönä siten, että samalla varmistetaan suojelupoliisin oikeus saada tehtäviensä suorittamiseksi tarpeelliset henkilötiedot myös siltä osin kuin kyse on Poliisihallituksen rekisterinpitoon kuuluvista tiedoista. Kansallisen turvallisuuden riittävän tehokkaan suojaamisen näkökulmasta on ensiarvoisen tärkeää, että suojelupoliisilla on pääsyoikeus myös muun poliisin käsittelemiin henkilötietoihin, mikä tukisi suojelupoliisia koskevan sääntelyn sijoittamista muiden poliisin käsittelytarkoituksia koskevien säännösten yhteyteen. Toisaalta olisi huomioitava, että suojelupoliisi on poliisin hallinnosta annetun lain muutoksella 860/2015 siirretty vuoden 2016 alusta lukien Poliisihallituksen alaisesta valtakunnallisesta poliisiyksiköstä sisäministeriön alaiseksi valtakunnalliseksi poliisiyksiköksi. Suojelupoliisin henkilötietojen käsittely ei siten enää tapahdu Poliisihallituksen ohjauksessa ja valvonnassa.
Valmistelun yhteydessä on arvioitu myös siviilitiedustelulainsäädäntöä koskevan esityksen (HE 202/2017 vp) vaikutuksia suojelupoliisin henkilötietojen käsittelyä koskeviin säännöksiin. Siviilitiedustelulainsäädäntöä koskevan esityksen keskeisenä tavoitteena on parantaa suomalaisen yhteiskunnan mahdollisuuksia suojautua kansalliseen turvallisuuteen kohdistuvilta vakavilta uhkilta, kuten terrorismilta, vieraiden valtioiden Suomeen kohdistamalta vakoilulta, joukkotuhoaseilta ja yhteiskunnan elintärkeisiin toimintoihin kohdistuvilta uhkilta. Mikäli suojelupoliisi saa siviilitiedustelulainsäädännön myötä uusia toimivaltuuksia, on uusilla toimivaltuuksilla hankittuihin tietoihin liittyvät henkilötiedot tallennettava suojelupoliisin toiminnalliseen tietojärjestelmään vastaavasti kuin jo käytettävissä olevilla toimivaltuuksilla hankittuihin tietoihin liittyvät henkilötiedot. Näin ollen uusia toimivaltuuksia koskevasta henkilötietojen tallentamisesta ja niiden käsittelystä tulisi säätää samassa yhteydessä kuin muistakin suojelupoliisin henkilötietojen käsittelystä ja tallettamisesta.
Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa. Laki korvaisi voimassa olevan poliisin henkilötietolain. Lain rakennetta ja sisältöä uudistettaisiin eduskunnan edellyttämällä tavalla sekä otettaisiin huomioon Euroopan unionin uusi tietosuojalainsäädäntö.
3.3.1 Lain rakenne ja käsittelytarkoituksiin perustuva henkilötietojen käsittely
Lain rakenne ja sisältö ehdotetaan uudistettavaksi kokonaisuudessaan. Laissa ei enää säädettäisi erikseen tietojen tallettamisesta ja käyttämisestä, vaan henkilötietojen käsittelytarkoituksista. Käsittelytarkoitukset kytkettäisiin poliisin lakisääteisiin tehtäviin. Samalla laista esitetään poistettavaksi päällekkäinen ja tarpeeton sääntely suhteessa yleiseen henkilötietojen käsittelyä koskevaan sääntelyyn sekä säännösten jatkuvia muutostarpeita aiheuttava yksityiskohtaisuus.
Rekisteröitävien henkilöryhmien sekä käsiteltävien henkilöllisyyttä koskevien perustietojen ja muiden henkilötietojen olisi ilmettävä myös käyttötarkoitussidonnaisesta sääntelystä riittävän yksityiskohtaisesti. Voimassa olevasta laista poiketen käsiteltävistä henkilön perustiedoista ehdotetaan säädettäväksi yhdessä pykälässä (4 §), joka koskisi kaikkia 2 luvun mukaisia alkuperäisiä käsittelytarkoituksia. Perustietojen luettelo olisi muotoiltu voimassa olevaa lakia vastaavasti tyhjentäväksi luetteloksi.
Muiden käsiteltävien henkilötietojen osalta esitetään lain rakenteen ja selkeyden parantamiseksi sekä jatkuvien muutostarpeiden välttämiseksi luopumista yksityiskohtaisista tietosisältöluetteloista. Käsiteltävät tietosisällöt ehdotetaan kirjoitettavan tyhjentävästi, mutta samalla nykyistä joustavammin. Laissa ei siten enää säädettäisi, mitä yksittäisiä henkilötietoja kuhunkin henkilörekisteriin saa tallettaa, vaan tietoluokista, joihin kuuluvia henkilötietoja poliisi saisi käsitellä tehtäviensä suorittamiseksi. Tietoluokkien yksityiskohtaisempi sisältö määräytyisi käyttötarkoituksen perusteella. Henkilötietojen käsittelyn tulisi aina olla rekisterin käyttötarkoituksen kannalta tarpeellista ja erityisiin henkilötietoryhmiin kuuluvien tietojen osalta välttämätöntä. Käsittelytarkoituksia koskevissa säännöksissä säädettäisiin lisäksi edelleen henkilöryhmistä lukuun ottamatta tietosuoja-asetuksen soveltamisalaan kuuluvaa henkilötietojen käsittelyä, johon liittyvien henkilöryhmien arvioidaan ilmenevän riittävällä tarkkuudella muusta poliisin tehtäviä koskevasta lainsäädännöstä.
Käsittelytarkoituksiin perustuva sääntely mahdollistaisi rakenteen selkeyttämisen myös siten, että eräät voimassa olevan lain säännökset kävisivät tarpeettomiksi. Yksittäiseen tehtävään liittymättömien tietojen käsittelystä ei enää olisi tarvetta säätää voimassa olevan poliisin henkilötietolain 12 §:ää vastaavasti, koska tietojen käsittelyn edellytykset määräytyisivät myös näiden tietojen osalta suoraan 2 luvun käsittelytarkoituksia koskevien pykälien mukaisesti. Myöskään salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä säätäminen voimassa olevan lain 11 §:ää vastaavasti ei enää olisi tarpeen, koska poliisin käsittelemien henkilötietojen tallettamisesta tiettyihin nimettyihin tietojärjestelmiin ei enää säädettäisi lain tasolla. Ylimääräisen tiedon käyttämisen edellytyksistä säädetään poliisilain 5 luvun 54 §:ssä ja salaisilla pakkokeinoilla saadun ylimääräisen tiedon käyttämisestä pakkokeinolain 10 luvun 56 §:ssä.
Lakiehdotukseen ei sisälly myöskään säännöksiä tietojen käyttämisestä tietojen keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen (voimassa olevan lain 15 §), koska laissa ei enää säädettäisi erikseen tietojen tallettamisesta ja muusta käsittelystä. Vastaavasti poliisiyksiköiden välisistä tietoluovutuksista ei enää säädettäisi (voimassa olevan lain 17 ja 18 §), koska laissa tarkoitetut henkilötiedot olisivat valtakunnallisesti Poliisihallituksen rekisterinpidossa lukuun ottamatta suojelupoliisin 7 luvun nojalla käsittelemiä henkilötietoja. Poliisihallituksen ja suojelupoliisin välisen tiedonvaihdon osalta ehdotettu sääntely kuvataan jäljempänä suojelupoliisin henkilötietojen käsittelyä koskevassa jaksossa 3.3.4.
Ehdotetuissa säännöksissä on lisäksi pyritty välttämään tarpeetonta päällekkäisyyttä yleisesti sovellettavan tietosuojalainsäädännön kanssa. Esityksen 1. lakiehdotuksesta poistettaisiin sellaiset säännökset, jotka sisältyisivät tietosuoja-asetukseen tai rikosasioiden tietosuojalakiin. Esimerkiksi voimassa olevan lain säännökset henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturvasta (10 a §) ehdotetaan poistettavaksi yleislainsäädännön kanssa päällekkäisenä.
Uuden sääntelyratkaisun seurauksena laki koskisi poliisin henkilötietojen käsittelyä myös ennen tietojen pidempiaikaista tallettamista poliisin tietojärjestelmiin. Tämä tietojen esikäsittelyvaihe huomioitaisiin tietojen merkityksellisyyden arviointia koskevilla säännöksillä, joissa säädettäisiin poliisin mahdollisuudesta käsitellä henkilötietoja niiden tarpeellisuuden arvioimiseksi.
3.3.2 Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi
Voimassa olevan lain 4 §, joka koskee epäiltyjen tietojärjestelmää, ehdotetaan korvattavaksi rikosten ennalta estämiseksi ja paljastamiseksi suoritettavaa henkilötietojen käsittelyä koskevalla käyttötarkoitussidonnaisella säännöksellä. Rikosten ennalta estämiseksi ja paljastamiseksi suoritettavaa henkilötietojen käsittelyä koskevien pykälien muotoilussa on kiinnitetty huomiota edellä selostettuihin hallintovaliokunnan epäiltyjen tietojärjestelmää koskeviin huomautuksiin (HaVL 40/2014 vp ja HaVM 16/2014 vp).
Henkilöryhmät, joita tietojärjestelmään saisi tallettaa, lueteltaisiin pykälässä tyhjentävästi. Rekisteriin tallettamiselle ja muulle näihin henkilöryhmiin liittyvälle henkilötietojen käsittelylle asetettaisiin erityiset käsittelykriteerit. Kyseeseen tulisivat henkilöt, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, jotka ovat yhteydessä tällaiseen henkilöön tai jotka ovat poliisilain 5 luvun 13 §:ssä tarkoitetun tarkkailun kohteena. Kun kyse olisi muista henkilöistä, käsittely olisi mahdollista vain, jos se on käsittelytarkoituksen kannalta välttämätöntä.
Rikosten ennalta estämiseksi ja paljastamiseksi voitaisiin käsitellä myös voimassa olevan lain 6 §:ssä tarkoitetuissa tilapäisissä rikosanalyysirekistereissä käsiteltäviä henkilötietoja ehdotetussa 7 ja 8 §:ssä säädetyin edellytyksin. Voimassa olevan havaintotietoja koskevan sääntelyn tavoin rikosten ennalta estämiseen ja paljastamiseen liittyviä henkilötietoja koskevien pykäläehdotusten tavoitteena on tuoda tietojen käsittely yksikkökohtaisista rekistereistä valtakunnallisen rekisterinpidon piiriin. Tietojen hajanainen tallentaminen on valvonnan kannalta ongelmallista. Henkilötietojen käsittelyn ohjaus, valvonta ja tietojen suojaaminen helpottuvat, kun rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja käsitellään yhtenäisten valtakunnallisten prosessien mukaisesti. Tämän arvioidaan parantavan myös rekisteröidyn oikeusturvaa.
Voimassa olevan lain tavoin ehdotetaan myös säädettäväksi, että poliisilla olisi oikeus tallettaa poliisimiesten havaitsemia tai poliisille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rikolliseen toimintaan (havaintotiedot). Voimassa olevan lain muotoilu "henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi" yksinkertaistettaisiin muotoon "henkilön käyttäytymisen vuoksi", koska henkilön esittämien uhkausten voidaan katsoa olevan osa henkilön käyttäytymistä. Havaintotietoja koskeva sääntely siirrettäisiin lisäksi muiden rikosten ennalta estämistä ja paljastamista koskevien säännösten yhteyteen (8 §). Asiallisesti kohdan sisältö vastaisi voimassa olevan lain havaintotietoja koskevaa 2 §:n 3 momentin 11 kohtaa.
Rekisteröidyllä ei ole nykyisen lain mukaan tarkastusoikeutta epäiltyjen tietojärjestelmän tietoihin tai havaintotietoihin. Tietosuojavaltuutettu voi kuitenkin rekisteröidyn pyynnöstä tarkastaa rekisteröityä koskevien tietojen lainmukaisuuden. Esityksen mukaan rekisteröidyllä olisi vastedes osittain suora tarkastusoikeus rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviin henkilötietoihin. Suoran tarkastusoikeuden ulkopuolelle jäisivät poliisin taktisia ja teknisiä menetelmiä koskevat tiedot, havainto- tai tietolähdetiedot, tekniseen tutkintaan käytettävät tiedot sekä merkityksellisyyden arvioimiseksi käsiteltävät henkilötiedot. Rekisteröidyllä olisi näihin tietoihin rikosasioiden tietosuojalain 29 §:ssä tarkoitettu välillinen tarkastusoikeus tietosuojavaltuutetun kautta.
3.3.3 Henkilötietojen käsittely muuhun kuin alkuperäiseen käsittelytarkoitukseen
EU:n uusi tietosuojalainsäädäntö edellyttää, että henkilötietoja käsitellään pääsääntöisesti vain siihen laissa säädettyyn tarkoitukseen, jota varten ne on kerätty. Tietosuojalainsäädäntö mahdollistaa kuitenkin henkilötietojen käsittelyn myös muuhun tarkoitukseen, jos siitä säädetään laissa, ja käsittely on tarpeellista ja oikeasuhteista. Yhteensopivaa henkilötietojen käsittelyä koskevaa periaatetta on tietosuojadirektiivissä kuitenkin jossain määrin tiukennettu suhteessa aiempaan EU-sääntelyyn, ja myös yhteensopiva henkilötietojen käsittely sidotaan melko tiukasti direktiivin soveltamisalaan. Ottaen huomioon perustuslakivaliokunnan tulkintakäytännön, sääntelyn olisi myös oltava riittävän yksityiskohtaista ja tarkkarajaista.
Muuhun kuin alkuperäiseen käsittelytarkoitukseen tapahtuvaa henkilötietojen käsittelyä koskevat pykälät vastaisivat pääosin voimassa olevan lain 16 ja 16 a §:n säännöksiä, mutta säännöksiä laajennettaisiin ja tarkennettaisiin eräiltä osin. Säännöksissä huomioitaisiin myös poliisin tarve vertailla eri rekistereihin talletettuja samaa henkilöä koskevia tietoja tietyin edellytyksin. Säännökset jaettaisiin selkeyden vuoksi kolmeen eri pykälään (13—15 §) muun muassa erityisiin henkilötietoryhmiin kuuluvien tietojen erityisaseman huomioimiseksi.
Ehdotetuista laajennuksista keskeisin olisi 14 §:n 4 momentti, joka koskisi ulkomaalaislain 131 §:n nojalla talletettujen sormenjälkitietojen käyttöä muuhun kuin niiden alkuperäiseen käsittelytarkoituksen. Nykyisin poliisin rekisteriin ulkomaalaislain nojalla talletettuja sormenjälkitietoja saa käyttää muuhun kuin alkuperäiseen käsittelytarkoitukseen samoin edellytyksin kuin passisormenjälkiä. Ulkomaalaislain 131 §:n nojalla perusteella rekisteröityjen sormenjälkien käyttöä ehdotetaan laajennettavaksi siten, että sormenjälkien käyttö olisi mahdollista passin sormenjälkiä koskevien yhteensopivien käsittelytarkoitusten lisäksi Eurodac-asetuksessa (EU) N:o 603/2013 tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi. Tietojen käyttämisen edellytyksenä olisi, että sormenjälkitietojen käyttäminen on välttämätöntä henkilön tunnistamiseksi.
Merkittävä laajennus olisi myös 15 §:n 2 momentti, jonka mukaan keskusrikospoliisi voisi tietyissä tilanteissa tehdä luvan myöntämisen tai voimassaolon edellytysten arvioimiseksi ilmoituksen, joka perustuisi rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviin henkilötietoihin. Ilmoitus voisi perustua ainoastaan 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietoihin ja ilmoituksen tekemiselle asetettaisiin tiukat edellytykset.
3.3.4 Suojelupoliisin henkilötietojen käsittely
Lakiteknisesti tarkoituksenmukaisimmaksi ratkaisuksi on arvioitu suojelupoliisin henkilötietojen käsittelyä koskevien säännösten sisällyttäminen erilliseen lukuun. Näin olisi mahdollista erotella selkeästi suojelupoliisin rekisterinpitoon kuuluvat tiedot, joiden käsittelystä säädettäisiin 1. lakiehdotuksen 7 luvussa, sekä Poliisihallituksen rekisterinpitoon kuuluvat tiedot, joiden käsittelystä säädettäisiin 1. lakiehdotuksen 1—5 ja 8 luvussa. Suojelupoliisin ja muun poliisin välisestä tiedonvaihdosta säädettäisiin lakiehdotuksen tiedonluovutus- ja tiedonsaantioikeuksia koskevissa säännöksissä, minkä arvioidaan varmistavan henkilötietojen käsittelyyn liittyvien vastuiden kohdentumisen oikealle taholle.
Lakiehdotuksessa olisi huomioitava myös suojelupoliisin muuttunut asema sisäministeriön alaisena valtakunnallisena poliisiyksikkönä. Suojelupoliisin henkilötietojen käsittely ei enää tapahdu Poliisihallituksen ohjauksessa ja valvonnassa. Suojelupoliisin muuttuneen aseman huomioimiseksi laissa ehdotetaan säädettäväksi henkilötietojen luovuttamisesta suojelupoliisin ja muiden poliisiyksiköiden välillä. Poliisihallituksen rekisterinpitoon kuuluvien henkilötietojen luovuttamisesta suojelupoliisille säädettäisiin lain 4 luvussa ja suojelupoliisin tietojen luovuttamisesta muille poliisiyksiköille lain 7 luvussa. Suojelupoliisia koskevassa 7 luvussa säädettäisiin lisäksi suojelupoliisin tiedonsaantioikeuksista myös Poliisihallituksen rekisterinpidossa olevien henkilötietojen osalta. Lain 3 luvussa ja 7 luvussa huomioitaisiin myös suojelupoliisin mahdollisuus luovuttaa henkilötietoja poliisin henkilörekistereihin suorakäyttöisesti tallettamalla tai tietojoukkona.
Lukuun ottamatta säännösten siirtämistä erilliseen lukuun ja suojelupoliisin ja muiden poliisiyksiköiden välisiä tietoluovutuksia koskevaa sääntelyä suojelupoliisin henkilötietojen käsittelyyn ei ehdotettaisi suuria periaatteellisia muutoksia voimassa olevaan sääntelyyn verrattuna. Henkilötietoja voitaisiin käsitellä tehtävän edellyttämällä tavalla kuten nykyisinkin. Lisäksi tietojen luovuttamisesta säädettäisiin erillisessä pykälässä.
Suojelupoliisin henkilötietojen käsittelyä koskevassa sääntelyssä olisi huomioitava lisäksi siviili- ja sotilastiedustelulainsäädäntöehdotukset (HE 202/2017 vp ja HE 203/2017 vp.). Suojelupoliisille ja Puolustusvoimille ehdotetut uudet tiedustelumenetelmät on yhteen sovitettu ja tästä syystä myös suojelupoliisin ja sotilastiedustelun henkilötietojen käsittelyä koskevan sääntelyn tulisi olla perusteiltaan mahdollisimman yhdenmukaista. Tästä syystä esitykseen sisältyy myös vastaava säännös henkilötietojen käsittelystä niiden merkityksellisyyden arvioimiseksi kuin ehdotettuun lakiin henkilötietojen käsittelystä Puolustusvoimissa (HE 13/2018 vp).
Tietojen säilytysaikaan ja rekisteröidyn tarkastusoikeuden rajoittamiseen ei ehdoteta muutoksia suhteessa voimassa olevaan lakiin. Esityksen 1. lakiehdotuksen 54 §:ään sisältyisi kuitenkin uusi säännös, jossa säädettäisiin henkilötietojen päivittämisestä korkean tietoturvallisuuden tason järjestelmässä, joka sisältää kansallisen turvallisuuden suojaamista varten käsiteltäviä tietoja ja johon siten kohdistuu erityisiä tietoturva- ja tietosuojariskejä. Ehdotetun säännöksen tarkoituksena olisi antaa suojelupoliisille oikeus päivittää tietojärjestelmäänsä siten, ettei alemman tietosuojan järjestelmään siirry kyselyn yhteydessä korkeamman tietosuojatason järjestelmästä tietoa. Säännös on arvioitu tarpeelliseksi, jotta suojelupoliisi ei vaaranna tiedonhankintansa kohteiden turvallisuutta.
Poliisin henkilötietolaki täydentäisi EU:n tietosuojalainsäädäntöä ja sen yleisesti sovellettavaa täytäntöönpanolainsäädäntöä. Tietosuoja-asetuksen, tietosuojadirektiivin ja rikosasioiden tietosuojalain pakollisten vaatimusten toteuttaminen aiheuttaa suoria taloudellisia vaikutuksia esimerkiksi tietojärjestelmämuutosten muodossa. Kustannusten ei kuitenkaan tältä osin voida katsoa aiheutuvan poliisin henkilötietolain uudistuksesta, vaan EU:n tietosuoja-uudistukseen liittyvä kustannuksia aiheuttava sääntely sisältyy yleislainsäädäntöön.
Esitys sisältää lisäksi kansallista sääntelyä, jonka merkittävimmät suorat taloudelliset vaikutukset aiheutuisivat poliisin henkilötietolain 2 lukuun ehdotetuista käsittelytarkoituksia koskevista säännöksistä sekä 5 luvun tietojen poistamista koskevista säännöksistä, jotka edellyttäisivät eräiltä osin tietojärjestelmämuutoksia.
Esityksen välillisinä taloudellisina vaikutuksina voidaan pitää tarpeita kehittää valvontaa ja tietojärjestelmiä muiltakin osin siten, että tietosuojan ja tietoturvallisuuden taso paranee. Lisääntynyt valvonta ja tietoturvan tason kehittäminen aiheutuvat osin yleisestä tietosuojalainsäädännöstä, mutta osin tarvetta korostuneelle valvonnalle ja tietoturvalle aiheuttaisivat myös kansallisista tarpeista johtuvat muutokset kuten rikosten ennalta estämiseen ja paljastamiseen liittyvien tietojen laajempi valtakunnallinen käsittely sekä tietojen käsittely niiden merkityksellisyyden arvioimiseksi. Eduskunta on lisäksi edellyttänyt henkilötietolaissa tarkoitettujen rekisterien valvonnan kehittämistä (EV 216/2013 vp).
Sekä EU-sääntelyn mukaiset henkilötietojen käsittelyyn liittyvät velvoitteet että muut esityksen aiheuttamat lisämenot katetaan nykyisten valtiontalouden kehysten ja hyväksytyn valtion talousarvion puitteissa tarvittaessa määrärahoja uudelleenkohdentamalla. Tarkemmat kustannusvaikutukset on kuvattu jäljempänä.
4.1.1 EU:n tietosuojauudistuksesta aiheutuvat tietojärjestelmävaikutukset
Tietosuoja-asetuksella ja tietosuojadirektiivillä on suoria ja välillisiä vaikutuksia poliisin tietojärjestelmiin. Osa tietosuojalainsäädännön mukaisista pakollisista velvoitteista toteutuu jo poliisin tietojärjestelmissä, mutta osa toteutetaan meneillään olevien ja tulevien tietojärjestelmähankkeiden puitteissa.
Poliisi uudistaa parhaillaan keskeisiä toiminnanohjausjärjestelmiään (Vitja-hanke). Vitja-toiminnanohjausjärjestelmällä korvattaisiin muun muassa nykyinen poliisiasiain tietojärjestelmä (Patja) soveltuvin osin voimassa olevan poliisin henkilötietolain 2 luvun 2 §:n tarkoittamassa laajuudessa sekä epäiltyjen tietojärjestelmä (Epri). Poliisihallitus vahvistaa vuosittain ajalle 1.10.2017—31.12.2020 asetetun Vitja-hankkeen rahoituskehyksen. EU:n tietosuojauudistuksesta Vitja-hankkeelle aiheutuvat kustannukset katetaan olemassa olevalla rahoituksella, eikä niitä siksi arvioida tässä yhteydessä tarkemmin.
Kustannusvaikutuksia muihin poliisin järjestelmiin on erityisesti pakollisilla vaatimuksilla, jotka koskevat henkilötietojen käyttörajoitusmerkintöjä rekisteröidyn taikka muun viranomaisen tai toisen jäsenvaltion viranomaisen pyynnöstä ja henkilötietojen käsittelyn rajoittamista teknisin keinoin. Näistä arvioidaan aiheutuvan vuosille 2019—2020 yhteensä n. 850 000 euron ylläpitokustannukset.
Tietosuoja-asetuksen soveltamisalalla käsiteltäviä henkilötietoja sisältävät poliisin tietojärjestelmät on toteutettu siten, että ne täyttävät pitkälti jo nykyisellään tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa sekä käsittelyn turvallisuutta koskevat vaatimukset. Tietosuoja-asetuksen suurimmat suorat kustannusvaikutukset poliisin järjestelmiin aiheutuisivat rekisteröidylle asetuksen 18 artiklassa säädetystä oikeudesta vaatia henkilötietojensa käsittelyn rajoittamista sekä rekisterinpitäjälle 19 artiklassa säädetystä velvollisuudesta ilmoittaa henkilötietojen oikaisuista, poistoista ja rajoituksista jokaiselle vastaanottajalle, mikäli tämä ei osoittaudu mahdottomaksi tai vaadi kohtuutonta vaivaa. Erityisesti tietosuoja-asetuksen 18 artiklan mukaisen rajoitusmenettelyn tekninen toteuttaminen edellyttäisi tietojärjestelmiin muutostarpeita, joiden toteuttamiskustannuksia ei ole ollut mahdollista arvioida tarkemmin valmistelun aikana. Esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi poikkeuksesta rekisteröidyn tietosuoja-asetuksen 18 artiklan mukaiseen rajoitusoikeuteen. Ehdotettu poikkeus säästäisi kustannuksia, jotka aiheutuisivat käyttörajoitusmerkinnät mahdollistavan toiminnallisuuden lisäämisestä tietosuoja-asetuksen soveltamisalalla käsiteltäviä henkilötietoja sisältäviin poliisin järjestelmiin. Poikkeuksella olisi siis kertaluonteinen hyötyvaikutus poliisin toimintamenoihin.
Kustannuksia aiheutuisi myös rekisteröidyn mahdollisuudesta esittää oikeuksien käyttöä koskevat pyynnöt sähköisesti sekä oikeudesta pyydettyjen tietojen saamiseen yleisesti käytetyssä sähköisessä muodossa. EU-lainsäädäntö ei ehdottomasti edellytä sähköisten asiointipalveluiden toteuttamista rekisteröidyn oikeuksien käyttämiseksi. Sääntely kuitenkin ohjaa rekisterinpitäjää mahdollisuuksien rajoissa toteuttamaan sähköisen asioinnin. Käytännössä mahdollisimman pitkälle viedyn automatisoinnin on myös arvioitu olevan paras keino poliisin suoriutua rekisteröidyn oikeuksien toteuttamisesta asianmukaisesti. Rekisteröidyn oikeuksien käytön lisääntyminen on oletettavissa tietosuojasääntelyn uudistumisen myötä. Työn automatisoinnin avulla voidaan pienentää erityisesti tarkastusoikeuden toteuttamisen edellyttämän henkilötyömäärän merkittävää kasvua. Automatisointi aiheuttaisi kehitysvaiheessa asiointipalvelun rakentamisen ja lähdejärjestelmien muutostarpeiden vuoksi yhteensä noin 500 000 euron kustannukset vuosina 2019—2020.
4.1.2 Kansallisista sääntelyratkaisuista johtuvat tietojärjestelmävaikutukset
Kansallisista sääntelyratkaisuista merkittävimmät suorat vaikutukset tietojärjestelmiin seuraisivat poliisin henkilötietolain 2 luvussa esitetyistä laajennuksista nykyiseen henkilötietojen käsittelyyn. Suurin muutos tietojärjestelmätasolla liittyisi 2 lukuun sisältyvään ehdotukseen nykyistä laajemmasta valtakunnallisesta henkilötietojen käsittelystä rikosten ennalta estämiseksi ja paljastamiseksi. Muutosehdotuksen aiheuttamat järjestelmäkustannukset katettaisiin tältä osin Vitja-hankerahoituksella, joten niitä ei arvioida tässä yhteydessä tarkemmin.
Tietojärjestelmävaikutuksia olisi myös 2 lukuun ehdotetulla säännöksellä tietojen käsittelystä muihin kuin rikosasioiden tietosuojalain mukaisiin tarkoituksiin. Säännös mahdollistaisi nykyistä laajemman tietojen valtakunnallisen käsittelyn esimerkiksi löytötavaratoiminnassa. Mahdollisen uuden tietojärjestelmän perustamisesta aiheutuisi kustannuksia, joiden ei voida kuitenkaan katsoa seuraavan suoraan poliisin henkilötietolain tai muun tietosuojalainsäädännön muuttumisesta. Ehdotetun 2 luvun lisäksi merkittäviä tietojärjestelmävaikutuksia olisi lisäksi poistosäännöksiin ehdotetuilla muutoksilla. Esityksessä ehdotetaan säädettäväksi neljän vuoden siirtymäajasta, jonka kuluessa kansallisten sääntelyratkaisujen edellyttämät muutokset tietojen säilytysaikoihin voitaisiin toteuttaa poliisin tietojärjestelmähankkeiden puitteissa.
Esityksen 1. lakiehdotuksen 2 luvun säännösten tavoitteena on teknologianeutraali henkilötietojen käsittelyä koskeva sääntely. Näin tietojärjestelmiä voidaan kehittää siten, että sillä on poliisin manuaalista työtä vähentävää vaikutusta. Pitkällä aikavälillä sääntelyllä voisi olla myönteisiä vaikutuksia valtion menoihin alentavasti.
4.1.3 Suojelupoliisin henkilötietojen käsittely
Suojelupoliisin henkilötietojen käsittelyä säätelevänä yleislakina tulisi sovellettavaksi rikosasioiden henkilötietolaki. Viittaus tietosuojadirektiivin perusteella laadittuun lakiin asettaa suojelupoliisin tietojen käsittelylle pitkälti samat vaatimukset kuin muille direktiivin soveltamisalaan kuuluville viranomaisille. Suoritettujen ja meneillään olevien tietojärjestelmähankkeiden seurauksena suojelupoliisin tietojärjestelmien arvioidaan kuitenkin jo vastaavan uuden tietosuojalainsäädännön vaatimuksia. Järjestelmiin ei siten kohdistu merkittäviä muutostarpeita. Lakihankkeiden asettamat vaatimukset huomioidaan järjestelmähankkeiden rahoituksen ja aikataulun puitteissa.
Suojelupoliisin toiminnallisen tietojärjestelmään kohdistuu poikkeuksellisen vakava laittoman tiedonhankinnan intressi. Oletetun ja sisäänrakennetun tietoturvallisuuden osalta suojelupoliisin tietojärjestelmät on toteutettu siten, että niiden arvioidaan täyttävän niille asetetut erityiset vaatimukset, jotka liittyvät tietoturvauhkiin ja niihin varautumiseen. On kuitenkin oletettavissa, että muihin tietojärjestelmiin joudutaan tekemään jonkin verran muutoksia. Tämän johdosta arvioidaan, että integraatioiden ylläpitäminen edellyttää arvioilta 150 000 euron liityntä- ja laitekustannukset sekä merkittävissä määrin henkilötyötä. Vaadittavista muutostöistä riippuen henkilötyöpanokseksi arvioidaan 75 000—300 000 euroa vuodessa.
4.1.4 Vaikutukset yrityksiin
Euroopan komissio on omassa EU-tason vaikutustenarvioinnissaan kiinnittänyt huomiota siihen, että aiempaa yhtenäisempi ja yksityiskohtaisempi rikosasioihin liittyvää henkilötietojen käsittelyä koskeva sääntely EU:n laajuisesti selkiyttää oikeustilaa ja parantaa yritysten luottamusta poliisin henkilötietojen käsittelyyn. Tällä komissio on arvioinut olevan merkitystä erityisesti niissä tilanteissa, joissa lainvalvontaviranomainen on suoraan yhteydessä EU:n alueella toimiviin yrityksiin saadakseen tai luovuttaakseen henkilötietoja rajat ylittävien palvelujen tarjonnan tilanteisiin liittyen. Vastaavasti yleisesti sovellettava tietosuoja-asetus lisää viranomaisten luottamusta yritysten suorittamaan henkilötietojen käsittelyyn.
Siltä osin kuin on kyse tiedonhankinnasta kotimaisilta yrityksiltä, 1. lakiehdotuksen säännökset vastaavat pääosin voimassa olevaa sääntelyä, eikä lakiehdotuksella arvioida olevan siltä osin merkittäviä vaikutuksia yritysten toimintaan. Ehdotuksessa huomioidaan myös poliisin käsittelemien henkilötietojen siirtäminen yrityksille tietyissä tilanteissa. Nämä käsittelytilanteet liittyvät erityisesti lupa-asiakirjojen valmistamiseen ja toimittamiseen yksityishenkilöille yrityksen välityksellä. Lakiehdotuksen tavoitteena on varmistaa, että henkilötietoja käsitellään näissä tilanteissa asianmukaisesti sekä poliisissa että tietoja käsittelevässä yrityksessä. Palvelun tuottamiseen liittyvä henkilötietojen asianmukainen käsittely aiheuttaa jossain määrin kustannusvaikutuksia myös yrityksille. Yritysten olisi huomioitava erityisesti biometrisesti käsiteltävien kasvokuvien ja sormenjälkien luonne erityisiin henkilötietoryhmiin kuuluvina tietoina, joiden käsittelyä koskevat korkeammat tietosuojavaatimukset kuin muita henkilötietoja. Esityksen 1. lakiehdotuksella ei kuitenkaan olisi merkittäviä itsenäisiä vaikutuksia yritysten tietosuojavaatimuksiin, vaan yritysvaikutukset aiheutuisivat pääosin EU:n tietosuojalainsäädännön noudattamisesta.
Ensimmäisen lakiehdotuksen 24 § tarkoittaisi poliisin lupahallinnolle nykyistä laajempia mahdollisuuksia luovuttaa henkilötietoja yhteisöille ja elinkeinonharjoittajille sähköisen asioinnin välityksellä. Luovutustilanteet liittyisivät esimerkiksi aselupatietojen tarkistamiseen aseita myyvissä yrityksissä sekä lupa-asiakirjojen voimassaolon tarkistamisen esimerkiksi pankeissa ja muissa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) mukaisissa tunnistuspalvelua tarjoavissa organisaatioissa. Luovutuksensaajat rajautuisivat muualla lainsäädännössä säädettyjen tehtävien perusteella. Näin ollen myös yritysvaikutukset tarkentuisivat muun yksityisten yhteisöjen ja elinkeinonharjoittajien tehtäviä koskevan lainsäädännön myötä, eivätkä seuraisi suoraan 1. lakiehdotuksesta. Säännöksellä voidaan kuitenkin arvioida olevan myönteisiä vaikutuksia yritystoimintaan, kun mahdollisuudet henkilön luotettavaan tunnistamiseen paranevat ja nykyistä laajempi mahdollisuus sähköisten palveluiden toteuttamiseen sujuvoittaa asiointia.
Esityksen 1. lakiehdotuksen voimassa olevasta laista poikkeavilla säännöksillä olisi eri viranomaisiin kohdistuvia vaikutuksia, jotka perustuvat osittain välillisesti tietosuoja-asetuksen ja tietosuojadirektiivin vaatimuksiin ja osittain kansallisiin sääntelyratkaisuihin.
EU:n tietosuojalainsäädäntö edellyttää, että kullakin rekisterinpitäjällä on tietosuojavastaava. Tietosuojalainsäädännön uudistuksesta aiheutuu poliisille suoria kustannuksia myös muiden rekisterinpitäjän velvoitteiden hoitamiseksi tarvittavien henkilöresurssien kautta. Välillisenä taloudellisena vaikutuksena voidaan pitää myös tarvetta kouluttaa poliisin henkilöstö paitsi tietosuojalainsäädännön noudattamiseen yleisesti, myös noudattamaan sääntelyrakenteeltaan aiemmasta poikkeavaa ja sisällöltään muuttunutta poliisin henkilötietolakia.
Esityksen 1. lakiehdotus laajentaisi erityisesti rikosten ennalta estämiseen liittyvää henkilötietojen valtakunnallista käsittelyä. Käsiteltävien henkilötietojen sisältö jäisi sääntelyn yksinkertaistamisen myötä nykyistä avoimemmaksi. Ehdotettu uusi sääntely yhdistettynä rekisterinpitäjää koskevan vastuun korostumiseen uudessa EU:n tietosuojalainsäädännössä asettaa erityisiä vaatimuksia sille, että rekisterinpitäjät kiinnittävät erityistä huomiota rekisterien valvontaan. Uusi käyttötarkoitusperusteinen sääntely tulee edellyttämään entistä kattavampaa ohjeistamista.
EU:n tietosuojalainsäädännön ja sen täytäntöönpanosäännösten sekä esityksen 1. lakiehdotuksen huomattavimmat vaikutukset kohdistuisivat Poliisihallitukseen, joka vastaa rekisterinpitäjänä poliisin henkilötietolain soveltamisalaan kuuluvasta henkilötietojen käsittelystä 7 luvussa tarkoitettua suojelupoliisin henkilötietojen käsittelyä lukuun ottamatta. Vaikutuksia kohdistuisi jossain määrin myös 7 luvussa tarkoitettujen tietojen rekisterinpitäjänä toimivalla suojelupoliisille, Poliisihallituksen alaisille poliisin yksiköille, tietosuojavaltuutetun toimistolle sekä muille viranomaisille, jotka luovuttavat poliisille henkilötietoja tai vastaanottavat tietoja poliisilta.
4.2.1 Poliisihallitus ja sen alaiset poliisiyksiköt
Tietosuoja-asetuksesta ja tietosuojadirektiivistä sekä niiden yleisestä täytäntöönpanolainsäädännöstä seuraavat uudenlaiset rekisterinpitäjän velvoitteet esimerkiksi rekisteröityjen oikeuksien toteuttamisessa ja nykyistä tiukemmat edellytykset tietojen luovuttamisessa kolmansille maille aiheuttavat hallinnollista taakkaa etenkin sääntelyn soveltamisen alkuvaiheessa. Hallinnollista taakkaa aiheutuu esimerkiksi velvollisuudesta informoida rekisteröityjä henkilötietojen käsittelystä uudella tavalla sekä velvollisuudesta informoida rekisteröityjä tietoturvaloukkauksista. Hallinnollinen taakka konkretisoituu esimerkiksi henkilötietojen käsittelyyn liittyvien selosteiden laatimisena ja päivittämisenä sekä ohjeistuksen laatimisena.
Rekisterinpitäjän on uusien EU:n tietosuojasäännösten mukaisesti nimenomaisesti osoitettava, että se noudattaa henkilötietojen käsittelyä koskevaa sääntelyä. Rekisterinpitäjällä on uuden sääntelyn mukaan myös aiempaa yksityiskohtaisemmat kirjaamisvelvoitteet henkilötietojen käsittelystä, mukaan lukien tiedot siitä, minkä tyyppisiä henkilötietoja on luovutettu ja mille tahoille. Rekisterinpitäjän on laadittava tietosuojavaikutusten arviointi uusista henkilötietojen käsittelytoimenpiteistä, mitä ei nimenomaisena velvollisuutena sisälly voimassa olevaan sääntelyyn. Uudet säännökset asettavat lisäksi voimassa olevan sääntelyn tavoin velvollisuuden kuulla tietosuojavaltuutettua eräissä tilanteissa, mutta myös nämä säännökset ovat aiempaa yksityiskohtaisemmat. Sen lisäksi, että tietoturvaloukkauksesta olisi informoitava rekisteröityä, rekisterinpitäjällä on myös näistä tilanteista ilmoittamisvelvollisuus tietosuojavaltuutetulle.
Merkittävää hallinnollista taakkaa arvioidaan aiheutuvan myös siitä, että tietosuojasääntelyä koskevan tietoisuuden lisääntymisen ja aiempaa vahvempien valvontaviranomaisten toimivaltuuksien myötä rekisteröidyt henkilöt käyttäisivät oikeuksiaan aiempaa aktiivisemmin. Tietoisuuden kasvun lisäämän kysynnän lisäksi myös rekisteröidyn oikeuksien laajeneminen (esimeriksi oikeus rajoittaa käsittelyä) sekä lisääntyvä perusteluvelvollisuus (esimerkiksi oikeus periä rekisteröidyltä maksuja tarkastusoikeuden käytöstä vain, jos rekisterinpitäjä pystyy osoittamaan pyynnön ilmeisen perusteettomuuden tai kohtuuttomuuden) kasvattaa hallinnollista taakkaa tarkastusoikeuden mahdollisimman pitkälle viedystä automatisoinnista huolimatta.
Rekisterinpitäjälle aiheutuisi hallinnollista taakkaa myös henkilötietojen käsittelijöiden sitouttamisesta uusiin vaatimuksiin sopimuksia uusimalla. EU:n tietosuojalainsäädännössä huomioidaan aiempaa yksityiskohtaisemmin rekisterinpitäjän ja henkilötietojen käsittelijöiden suhde ja keskinäiset velvollisuudet. Tämän lisäksi rekisterinpitäjän olisi käytettävä resursseja henkilöstön osaamisen kehittämiseen. Aiempaa yksityiskohtaisemmat ja tiukemmat henkilötietojen käsittelyä koskevat yleiset vaatimukset, tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalojen erot ja muutokset kansallisessa poliisin henkilötietojen käsittelyä koskevassa sääntelyssä, kuten siirtyminen käsittelytarkoituksiin perustuvaan sääntelyyn, aiheuttaisivat väistämättä uudenlaista ohjeistusta ja koulutustarpeita. Kansalliset sääntelyratkaisut ja tietosuojasääntelyn kokonaisvaltainen uudistus tarkoittaisivat käytännössä koko henkilöstön perehdyttämistä uuteen sääntelyyn. Rekisterinpitäjän ja poliisin sisäistä laillisuusvalvontaa harjoittavien olisi myös seurattava vaatimusten noudattamista, mistä aiheutuisi hallinnollista taakkaa. Lisäksi olisi uusittava kaikki ne päätökset, joilla toiselle viranomaiselle on annettu tekninen käyttöyhteys poliisin henkilötietoihin.
Esityksen 1. lakiehdotuksen vaikutukset kohdistuisivat myös Poliisihallituksen alaisiin poliisi-yksiköihin ja niiden henkilökuntaan. EU:n tietosuojalainsäädännön vaikutukset poliisilaitoksiin olisivat vähäisempiä kuin rekisterinpitäjiin kohdistuvat vaikutukset. EU:n tietosuojalainsäädäntö merkitsee kuitenkin myös aiempaa yksityiskohtaisempaa sääntelyä ja suurempaa vastuuta henkilötietojen käsittelystä jokapäiväisessä poliisin työssä, mikä korostaa rekisterien käytön valvonnan ja koulutuksen merkitystä, mukaan lukien lähiesimiesten valvontavastuu. Henkilötietoja käsitteleville poliiseille haasteita aiheutuisi myös siitä, että voimassa olevan yleisesti sovellettavan henkilötietolain sijasta poliisin henkilötietolakia täydentäisi kolme yleisesti sovellettavaa säädöstä, lupa-asioihin ja niihin liittyviin valvonta-asioihin sovellettava tietosuoja-asetus ja tietosuojalaki sekä erillinen rikosasioiden tietosuojalaki. Aiemmasta poikkeavan sääntelykehyksen soveltamisen lisäksi näiden säädösten soveltamisaloihin liittyisi rajanvetotilanteita. Toisaalta 1. lakiehdotusten nykyistä joustavampaan muotoon kirjoitettujen säännösten arvioidaan sujuvoittavan lainsäädännön soveltamista ja parantavan mahdollisuuksia poliisin toiminnan kannalta tarpeellisten tietojen käsittelyyn. Eri säädösten soveltamistilanteet konkretisoituisivat voimakkaimmin poliisiyksiköiden suorittamassa henkilötietojen käsittelyssä.
Osaan uuden tietosuojasääntelyn vaatimuksista on varauduttu jo ennakoivasti. Poliisissa on jo ennen EU:n uuden tietosuojalainsäädännön voimaantuloa kehitetty rekisterien käytön valvontaa. Rekistereiden valvontaa ja siihen käytettäviä resursseja on tehostettu ja keskitetty poliisin ylijohdossa. Uusista vaatimuksista aiheutuva hallinnollinen taakka kevenee sen myötä, että toteutus jakautuu pidemmälle ajanjaksolle. Poliisihallituksella on myös jo aiemmin nimetty tietosuojavastaava. Tietosuojavastaavan tehtävien sisältöä on jo ennakoivasti tarkennettu siten, että ne käytännössä vastaavat tietosuojalainsäädännön vaikutuksia.
Poliisihallitus vastaa ainoana poliisin rekisterinpitäjänä tietosuoja-asetuksen soveltamisalaan kuuluvan, poliisilain 1 luvun 1 §:n mukaisia tehtäviä varten ylläpidettävän tietojärjestelmän rekisterinpidosta, mikä tarkoittaa tietosuojavastaavalle asetettavia korkeampia vaatimuksia. Samat henkilöt toimisivat tietosuojavastaavina myös tietosuojadirektiivin soveltamisalaan kuuluvan henkilötietojen käsittelyn osalta.
Uudistuneiden säännösten myötä kasvavat kehittämis-, dokumentointi-, seuranta- ja raportointivaatimukset kasvattavat hallinnollista taakkaa kaikissa Poliisihallituksen alaisissa yksiköissä. EU:n tietosuojauudistuksesta aiheutuvien vaikutusten ei kuitenkaan voida katsoa seuraavan 1. lakiehdotuksesta, vaan suoraan EU:n tietosuojasääntelystä ja sen yleisestä täytäntöönpanolainsäädännöstä.
4.2.2 Suojelupoliisi
Suojelupoliisi vastaisi tulevaisuudessa nykyiseen tapaan suojelupoliisin toiminnallisen tietojärjestelmän rekisterinpidosta. Tämän lisäksi suojelupoliisi olisi rekisterinpitäjänä turvallisuusselvityslain mukaisessa turvallisuusselvitysrekisterissä. Suojelupoliisin henkilötietojen käsittely ei kuulu EU:n tietosuojalainsäädännön soveltamisalaan, mutta henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalakia tietyin rajoituksin. Poliisin henkilötietolain uudistus ei aiheuttaisi merkittäviä muutoksia henkilötietojen käsittelyyn suojelupoliisissa.
Suojelupoliisille aiheutuisi vastaavat vaikutukset kuin Poliisihallitukselle siltä osin kuin kyse on rekisterinpitäjän vastuusta aiheutuvasta hallinnollisesta taakasta. Suojelupoliisin toiminnallisen tietojärjestelmän osalta suojelupoliisilla on nimetty tietosuojavastaava, eikä uusi tietosuojalainsäädäntö aiheuttaisi siltä osin resurssilisäystarpeita. Tietosuojavastaavan tehtävät kuitenkin olisivat muiden poliisin yksiköiden vastaavien henkilöiden tehtävien tapaan aiempaa yksityiskohtaisemmat ja riippumattomuus suhteessa operatiiviseen toimintaan myös korostuisi aiempaa voimakkaammin. Turvallisuusselvitysrekisterin osalta tulisi erikseen nimettäväksi tietosuojavastaava, mistä aiheutuisi hallinnollista taakkaa. Tietosuojavastaavalle asetettavat vaatimukset vastaisivat tietosuojadirektiivissä määritettyjä vaatimuksia. Suojelupoliisille aiheutuisi myös vastaavanlaisia vaikutukset kuin muulle poliisille uusien säännösten ja vaatimusten kouluttamisesta ja valvomisesta.
4.2.3 Tietosuojavaltuutetun toimisto
Esityksen taloudelliset vaikutukset tietosuojavaltuutetun toimintaan kohdistuisivat henkilöresurssien tarpeeseen. Kansallisena valvontaviranomaisena toimivan tietosuojavaltuutetun olisi tietosuoja-asetuksen ja tietosuojalain sekä rikosasioiden tietosuojalain perusteella muun muassa tarkastettava käsittelyn lainmukaisuus, kun rekisteröidyn tarkastusoikeutta on rajoitettu, sekä tehtävä tutkimuksia, todentamisia ja tarkastuksia. Nämä velvollisuudet konkretisoituisivat esityksen 1. lakiehdotuksen soveltamisen myötä. Erityisesti esitetyt sääntelytekniikan muutokset kuten käsittelytarkoituksiin perustuva henkilötietojen käsittely ja muutokset henkilötietojen käsittelyssä rikosten ennalta estämiseksi ja paljastamiseksi tulisivat lain voimaantulon jälkeen edellyttämään edellä mainittuja valvontatoimenpiteitä. Myös ehdotettu henkilötietojen käsittely niiden merkityksellisyyden arvioimiseksi tarkoittaisi aiempaa laajempaa henkilötietojen käsittelyä ja näin ollen lisäisi valvonnan ja ohjauksen tarvetta. Poliisin henkilötietolain uudistuksesta arvioidaan aiheutuvan tietosuojavaltuutetun toimistolle hallinnollista taakkaa noin 1,5 henkilötyövuoden verran.
4.2.4 Muut viranomaiset
Ehdotetun 4 luvun säännöksillä, joissa muutettaisiin sääntelytekniikkaa suhteessa voimassa olevaan lakiin, olisi jossain määrin hallinnollista taakkaa lisäävää vaikutusta poliisin lisäksi myös muihin viranomaisiin. Siltä osin kuin on kyse henkilötietojen luovuttamisesta lainvalvontaviranomaisille ja muille tietosuojadirektiivissä tarkoitetuille viranomaisille, tietojen luovutustilanteet säilyisivät sääntelytekniikan muutoksesta huolimatta kuitenkin pääosin ennallaan. Tietoja voisi myös luovuttaa nykyiseen tapaan tietojoukkona tai teknisen käyttöyhteyden välityksellä. Ehdotettujen uusien säännösten soveltaminen ei siten aiheuttaisi merkittäviä muutoksia hallinnolliseen taakkaan. Myöskään EU:n tietosuojalainsäädäntö ei toisi merkittäviä muutoksia henkilötietojen luovuttamiseen kun on kyse rikosasioista.
Ehdotetun 4 luvun säännökset eivät myöskään poikkea sisällöltään merkittävästi voimassa olevasta laista siltä osin kuin on kyse henkilötietojen luovuttamisesta muille viranomaisille kuin tietosuojadirektiivissä tarkoitetuille viranomaisille. Säännökset mahdollistaisivat nykyiseen tapaan myös näissä tilanteissa sen, että henkilötietojen luovuttaminen voisi tietyin edellytyksin tapahtua tietojoukkona tai teknisen käyttöyhteyden kautta. Tietojen luovutustilanteisiin ehdotetaan kuitenkin joitain muutoksia suhteessa voimassa olevaan lakiin. Näistä aiheutuisi mahdollisia kustannusvaikutuksia lähinnä henkilötietoja vastaanottavalle viranomaiselle erityisesti siinä tapauksessa, että luovuttaminen edellyttäisi uusien käyttöyhteyksien avaamista tai kyselyrajapintojen rakentamista. Lisäksi kustannusvaikutuksia ja hallinnollista taakkaa aiheutuisi tietosuojalainsäädännön vaatimusten huomioimisesta erityisesti henkilötietojen suojaamisen osalta. Näistä vaikutuksista osa kohdistuisi myös poliisiin edellä selostetulla tavalla.
Esityksen 1. lakiehdotuksen 54 §:llä annettaisiin suojelupoliisille oikeus päivittää oma tieto-järjestelmänsä vertaamalla sen sisältämiä tietoja muiden viranomaisten henkilörekistereihin. Ehdotetulla säännöksellä olisi vaikutusta niihin viranomaisiin, joiden järjestelmistä suojelupoliisi päivittäisi oman tietojärjestelmänsä henkilötiedot. Ensinnäkin suojelupoliisilla olisi oikeus saada tiedot maksutta. Tietojen poimiminen tietojärjestelmistä tarkastettavaksi ja siihen liittyvä mahdollinen yhdistelytyö voivat aiheuttaa kustannuksia ja lisätyötä rekisterinpitäjälle. Tämä pyrittäisiin kuitenkin ottamaan huomioon aineistoa koskevissa tietopyynnöissä ja niiden rajauksissa. Käytännössä tietopyynnöstä aiheutuisi jossain määrin hallinnollista taakkaa pyynnön vastaanottajalle.
4.3.1 Vaikutukset kansalaisten asemaan yhteiskunnassa ja kansalaisyhteiskunnan toimintaan
Tietosuojasääntely liittyy oleellisesti kansalaisen asemaan yhteiskunnassa ja sen tarkoituksena on varmistaa kansalaisen oikeuksien käyttö silloin, kun kyse on henkilötietojen käsittelystä. Rekisteröidyn oikeuksien aiempaa voimakkaammalla korostumisella EU:n tietosuojalainsäädännössä ja rikosasioiden tietosuojalaissa voidaan arvioida olevan tietoisuutta parantavaa vaikutusta siten, että rekisteröidyt voivat käyttää oikeuksiaan tosiasiallisesti suhteessa poliisin käsittelemiin henkilötietoihin. Lakiehdotuksessa on ehdotettu rajoituksia rekisteröidyn tarkastusoikeuteen eräiden tietosuojadirektiivin soveltamisalaan kuuluvien käsittelytarkoitusten osalta, mikä merkitsisi eräiltä osin aiempaa pidemmälle menevän yksityisyyden suojan rajoittamista. Näiden henkilötietojen osalta rekisteröity voisi kuitenkin käyttää välillistä tarkastusoikeutta tietosuojavaltuutetun välityksellä. Lisäksi lakiehdotuksessa esitetään rajoitusta tietosuoja-asetuksen 18 artiklan soveltamiseen, kun kyse on henkilötietojen käsittelystä poliisin lakisääteisten tehtävien suorittamiseksi. Ehdotettujen rajoitusten vaikutuksia perustuslain mukaisten perusoikeuksien toteutumiseen arvioidaan tarkemmin esityksen suhdetta perustuslakiin ja säätämisjärjestystä koskevassa luvussa.
Myös rekisterinpitäjän vastuun korostumisella voidaan arvioida olevan myönteisiä vaikutuksia siihen, millä tavalla yksityisyyden suoja ja yksilöiden oikeudet toteutuvat poliisin henkilötietojen käsittelyssä. Lisäksi rekisterinpitäjällä olisi pääsääntöisesti velvollisuus ilmoittaa rekisteröidylle tietoturvaloukkauksista, mikä vahvistaa rekisteröidyn asemaa.
EU:n tietosuojalainsäädännön yhtenä tavoitteena on helpottaa poliisin rajat ylittävää yhteistyötä muiden jäsenvaltioiden lainvalvontaviranomaisten kanssa, jotka rinnastuvat uudessa sääntelyssä suomalaisiin rekisterinpitäjiin. Tehokkaampi henkilötietojen vaihto EU:n jäsenvaltioiden toimivaltaisten viranomaisten välillä ja etenkin henkilötietojen siirtäminen EU:n ulkopuolelle voivat vaikeuttaa henkilöiden mahdollisuuksia käyttää tietosuojaan liittyviä oikeuksiaan ja erityisesti suojata henkilötietojaan laittomalta käytöltä tai luovuttamiselta. Myös suomalaisen rekisterinpitäjän mahdollisuudet valvoa tietojen käyttöä näissä tilanteissa ovat heikommat aiempaa tiukemmasta sääntelystä riippumatta. EU:n tietosuojalainsäädännössä on kiinnitetty huomiota tarpeeseen edistää tietosuoja- ja valvontaviranomaisten tiiviimpää yhteistyötä, jotta nämä voivat tarvittaessa vaihtaa tietoja ulkomaisten kumppaniensa kanssa. Tällä voidaan jossain määrin edistää rekisteröidyn oikeuksien toteutumista. Rekisteröidyn oikeuksia pyritään varmistamaan myös asettamalla tiukemmat kriteerit henkilötietojen siirroille kolmansiin maihin.
Poliisilla olisi 1. lakiehdotuksen 2 luvun perusteella oikeus käsitellä voimassa olevaa lakia vastaavasti poliisin tekemiin havaintoihin perustuvia tietoja sekä yleisöltä saatuja vihjetietoja. Tällaisia henkilötietoja käsiteltäisiin havaintotietoina. Tietoja voitaisiin havaintotietoja koskevan 7 §:n 5 momentin nojalla jatkossakin käsitellä, mikäli tietojen voitaisiin perustellusti arvioida liittyvän rikolliseen toimintaan. Esityksen 1. lakiehdotuksen 4 luvussa mahdollistettaisiin lisäksi nimenomaisin säännöksin henkilötietojen luovuttaminen yleisölle. Säännösten tarkoitus on voimassa olevan poliisin henkilötietolain säännöksiä vastaavasti mahdollistaa niin sanotut julkiset etsintäkuulutukset, jolloin yleisön apua käytettäisiin etsintäkuulutettujen henkilöiden tavoittamiseen. Näitä mahdollisuuksia on pyritty käyttämään jo aiemmin yhä enenevässä määrin ja ne ovat usein osoittautuneet tehokkaiksi. Esityksen 1. lakiehdotuksen 4 lukuun ehdotetaan myös säännöstä, jonka nojalla poliisin verkkosivuilla voitaisiin luovuttaa esimerkiksi tietoja siitä, onko tietty omaisuus ilmoitettu anastetuksi. Anastetun omaisuuden tarkastusmahdollisuus palvelisi kansalaisia ja estäisi näin anastetun omaisuuden myyntiä, millä arvioidaan olevan myös rikollisuutta ennalta ehkäisevää vaikutusta.
Havaintotietojen käsittelyyn ja yleisen tietoverkon kautta tapahtuvaan tietojen luovuttamiseen liittyvät säännökset lisäävät kansalaisyhteiskunnan roolia poliisin työtä tukevana elementtinä. Toisaalta nopean ja laajan henkilötietojen luovuttamisen mahdollistavilla säännöksillä on merkitystä myös henkilötietojen käsittelyn kohteena olevan henkilön yksityisyyden suojaa kaventavasti, minkä takia yleisen tietoverkon kautta luovutettavien henkilötietojen sisältö olisi rajoitettava mahdollisimman suppeaksi.
Kansalaisten kannalta merkitystä on myös sillä, että EU:n tietosuojalainsäädännössä ja sen täytäntöönpanosäännöksissä on kiinnitetty erityistä huomiota henkilötietojen käsittelyn valvontaan. Säännökset ovat voimassa olevan yleisen henkilötietolain ja poliisin henkilötietolain säännöksiä yksityiskohtaisempia. Näiden muutosten arvioidaan parantavan poliisin henkilötietojen käsittelyyn kohdistuvaa luottamusta. Sillä, että rikoksen ilmiantaja tai todistaja taikka muu rikokseen liittyvä henkilö voisi myös itse tulla tallennetuksi poliisin henkilörekisteriin, kun se on välttämätöntä rikosten ennalta estämiseksi tai paljastamiseksi, olisi kuitenkin vaikutusta näiden henkilöiden asemaan. Rikosten ilmiantajien ja muiden rikokseen liittyvien henkilötietojen tiukemmilla käsittelykriteereillä ja henkilötietojen käsittelyn valvonnalla on erityistä merkitystä sen varmistamiseksi, että kansalaiset uskaltavat ilmiantaa rikoksia poliisille.
4.3.2 Vaikutukset yhdenvertaisuuteen, lapsiin ja sukupuolten tasa-arvoon
Vaikutukset yhdenvertaisuuteen
Osana tietosuoja-asetuksen ja tietosuojadirektiivin täytäntöönpanoa 1. lakiehdotuksella on välillistä vaikutusta yhdenvertaisuuden toteutumiseen. Yhdenvertaisuuteen liittyvät aiempaa tarkemmat säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä. Lisäksi tietosuojadirektiivin 11 artiklassa säädetään niin sanotun etnisen profiloinnin kiellosta. Profilointi, jonka seurauksena luonnollisia henkilöitä syrjitään sellaisten henkilötietojen perusteella, jotka ovat luonteeltaan erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, olisi kiellettyä perusoikeussääntelyn mukaisesti. Esimerkiksi geneettisten tietojen käsittely ei saisi johtaa haavoittuvien ryhmien syrjintään yhteiskunnassa. Käytännössä säännökset vahvistavat ehdotonta syrjinnän kieltoa, joka on voimassa jo perusoikeussäännösten perusteella. Toisaalta säännöksellä ei kuitenkaan estettäisi poliisin suorittamaa rikollisesta toiminnasta epäiltyjen henkilöiden profilointia, vaan varmistettaisiin, että profilointi ei saa johtaa syrjintään.
Yhdenvertaisuuden toteutumiseen vaikuttavat lisäksi välillisesti uuden tietosuojasääntelyn sisältämät vaatimukset henkilötietojen käsittelyyn liittyvien riskien arvioinnista, joka konkretisoituisi 1. lakiehdotuksen myötä. Suurimpia riskejä liittyy henkilötietojen käsittelyyn, joka voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja, sekä käsittelyyn, joka saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, maineen vahingoittumiseen, salassapitovelvollisuuden alaisten tietojen luottamuksellisuuden menetykseen tai pseudonymisoinnin luvattomaan kumoutumiseen, tai joka voisi aiheuttaa muuta merkittävää taloudellista tai sosiaalista vahinkoa. Erityisiin henkilötietoryhmiin kuuluvien tai muiden arkaluonteisten henkilötietojen käsittelyn lisäksi erityisiä riskejä voisi liittyä esimerkiksi heikommassa asemassa olevien luonnollisten henkilöiden tietoihin, erityisesti lasten henkilötietoihin, tai laajamittaiseen henkilötietojen käsittelyyn, joka koskee suurta rekisteröityjen määrää. Tällaista käsittelyä olisivat esimerkiksi mahdolliset 1. lakiehdotuksen soveltamiseen liittyvät rekisterien väliset vertailut. Rekisterinpitäjän olisi EU:n uuden tietosuojalainsäädännön ja rikosasioiden tietosuojalain mukaisesti laadittava tietosuojavaikutustenarviointi uusista henkilötietojen käsittelytoimenpiteistä, mikä ei nimenomaisena velvollisuutena sisälly aiempaan sääntelyyn.
Yhdenvertaisuuden kannalta merkittävä on myös 1. lakiehdotuksen 2 lukuun ehdotettu säännös ulkomaalaislain 131 §:n nojalla käsiteltävien tunnistamistietojen rajoitetusta käsittelystä rikostorjuntaan. Tietojen käsittely on kuitenkin ehdotetussa säännöksessä rajattu vain tilanteisiin, joissa se on välttämätöntä tiettyjen vakavien rikosten estämiseksi, paljastamiseksi tai selvittämiseksi. Myös tätä säännöstä sovellettaessa olisi huomioitava, että se ei saa johtaa syrjintään.
Yhdenvertaisuuden toteutumista edistää toisaalta yleisemmin EU:n laajuinen harmonisoitu sääntely, jonka ansiosta rekisteröidyt ovat EU:n alueella yhdenvertaisessa asemassa rekisteröidyn oikeuksien käyttämisen suhteen. Uuden sääntelyn myötä kaikissa EU:n jäsenvaltioissa olisi voimassa samantasoiset vaatimukset rekisteröidyn tarkastusoikeudesta ja siihen liittyvästä tietosuojaviranomaisten suorittamasta valvonnasta. Oikeuksia tehostaisivat myös tietosuojalainsäädännön säännökset hallinnollisista seuraamuksista, joita voisi aiheutua muun muassa siitä, että rekisteröidyiltä evätään oikeus valvoa omien henkilötietojensa käsittelyä.
Vaikutukset lapsiin
Lapsia pidetään erityisen alttiina tietoverkossa tapahtuville rikoksille. Toisaalta myös alaikäiset ja nuoret rikoksentekijät tekevät nykyisin suuren osan rikoksista tietoverkossa. Esimerkiksi erilainen kiusaaminen ja häirintä sekä kunnianloukkaukset ovat yhä useammin tietoverkon välityksellä tapahtuvaa toimintaa. Lakiehdotuksessa on huomioitu myös henkilötietojen käsittelyn tarpeet sellaisissa tilanteissa, joissa nuorten rikoksen uusijoiden tilanteeseen pyritään puuttumaan muilla kuin rikosoikeudellisilla keinoilla, pyrkien siten ennalta estämään uusia rikoksia. Poliisin paremmilla mahdollisuuksilla käsitellä ennalta estävään toimintaan liittyviä henkilötietoja arvioidaan olevan lapsen asemaa parantavaa vaikutusta.
Sekä tietosuoja-asetus että tietosuojadirektiivi asettavat rekisterinpitäjälle velvollisuuden informoida rekisteröityjä näiden oikeuksista selvällä kielellä huomioiden erityisesti haavoittuvat ryhmät kuten lapset. Tämä velvollisuus konkretisoituisi 1. lakiehdotusta sovellettaessa. Suomen lainsäädännön mukaisesti kyse olisi lähtökohtaisesti kaikista alle 18-vuotiaista henkilöistä. Rekisterinpitäjää koskevat velvollisuudet koskisivat myös poliisia silloin, kun rekisteröity on esimerkiksi alaikäinen rikoksen uhri, rikolliseen tekoon syyllistynyt henkilö tai luvanhakija.
Esityksen 1. lakiehdotuksen 5 luvun henkilötietojen poistamista koskevissa säännöksissä on huomioitu erikseen alaikäiset rikollisesta teosta epäillyt henkilöt. Alaikäisen henkilön tietoja ei saisi säilyttää yhtä pitkään kuin täysi-ikäisten henkilötietoja. Tällä pyritään rajoittamaan rikokseen liittyvän henkilötietojen käsittelyn aiheuttamia lapsen elämään kohdistuvia kielteisiä vaikutuksia lapsen edun periaatteen mukaisesti.
Perusoikeusvaikutuksia arvioidaan muilta osin esityksen suhdetta perustuslakiin ja säätämisjärjestystä koskevassa luvussa. Vaikutuksia kohdistuisi erityisesti yksityiselämän suojaan, mutta myös yhdenvertaisuuteen ja oikeusturvaan.
4.3.3 Vaikutukset rikoksentorjuntaan ja turvallisuuteen
Tietosuoja-asetuksen ja tietosuojadirektiivin säännöksillä ja niiden täytäntöönpanolainsäädännöllä pyritään helpottamaan poliisin työtä huomioimalla muuttuneeseen toimintaympäristöön ja turvallisuustilanteeseen liittyvät aiempaa laajemmat henkilötietojen käsittelytarpeet. Lisäksi uudella sääntelyllä pyritään vaikuttamaan tietoturvallisuuteen ja tietojärjestelmien turvallisuuteen kokonaisuutena siten, että näihin kohdistuvia rikoksia voidaan estää ennalta. Tällaiset rikokset ovat yleistyneet ja niistä voi aiheutua merkittävää haittaa ja vahinkoja.
Euroopan komissio on kiinnittänyt tietosuojalainsäädännön vaikutustenarvioinnissa (SEC(2012) 72 final) huomiota siihen, että tietoverkossa toiminta altistaa yksilöt, myös lapset, muun muassa maineelle aiheutuvalle haitalle, taloudellisille vahingoille ja jopa fyysisille vahingoille, joita voi aiheutua muun muassa terveydentilaan liittyvien tietojen julkaisemisesta ilman asianomaisen henkilön suostumusta taikka tietoverkossa tapahtuvasta häirinnästä. Identiteettivarkauksista aiheutuneiden taloudellisten vahinkojen on arvioitu EU-tasolla olevan vuosittain yhteensä 700 miljoonaa euroa. Viime vuosina on esiintynyt myös yhä vakavampia henkilötietojen käsittelyyn liittyviä tietoturvaloukkauksia. Myös Suomessa on kiinnitetty huomiota aiempaa monimuotoisempiin tietotekniikkaan kohdistuviin ja tietotekniikkaa hyödyntäen tehtyihin rikoksiin (Lähde: Kriminologian ja oikeuspolitiikan instituutti, Katsauksia 22/2017 - Rikollisuustilanne 2016). Aiempaa tiukemman tietosuojasääntelyn voidaan arvioida tukevan tietoverkossa esiintyvien rikosten ja henkilötietojen tietoturvaloukkausten ennalta estämistä, mikä palvelee myös poliisin tavoitteita.
Kansalaiset toimivat yhä aktiivisemmin tietoverkossa. Sekä yritykset että palveluiden käyttäjät käsittelevät henkilötietoja tietoverkkopalveluissa laajamittaisesti. Samalla myös rikollisuus on siirtymässä enenevässä määrin tietoverkkoon. Esityksen 1. lakiehdotuksen 2 lukuun on sisällytetty säännökset, joiden arvioidaan tukevan tehokasta rikostiedustelua osana tietoverkossa tapahtuvien rikosten ennalta estämistä, paljastamista ja selvittämistä. Myös riittävillä viranomaisten välisillä henkilötietojen luovutusoikeuksilla lisätään suoraan rikoksen paljastamisen ja selvittämisen mahdollisuuksia ja rikoksentekijän kiinnijäämisen riskiä.
Rikollisuutta ennalta estävien ja rikosten selvittämiseen liittyvien vaikutusten arvioidaan seuraavan selvemmin poliisin toimivaltuuksia koskevasta lainsäädännöstä, mistä syystä rikostiedusteluun liittyvää henkilötietojen käsittelyä koskevien ehdotettujen uusien säännösten tosiasiallista vaikutusta on mahdotonta arvioida. Säännösten arvioidaan kuitenkin parantavan poliisin mahdollisuuksia saada tietoa sekä tietoverkossa tapahtuvista että muista rikoksista. Ehdotettujen säännösten tavoitteena on osaltaan tarjota tehokkaita välineitä rikoksentekijöiden kiinni saamiseksi ja näiden toiminnan selvittämiseksi sekä toisaalta rikosten estämiseksi ja mahdollisten uhkatilanteiden ennakoimiseksi aiempaa paremmin. Tavoitteena on, että tehokkaammat mahdollisuudet henkilötietojen käsittelyyn vaikuttaisivat rikosten paljastumiseen ja rikoksentekijöiden kiinnijäämisen riskiin. Toisaalta pyritään myös varmistamaan rikoksen ilmoittajien ja muiden asiaan liittyvien sivullisten tietosuoja ja oikeusturva siten, että rikoksen ilmoittamisalttius ei kärsisi, ehdottamalla näiden henkilöryhmien osalta korkeampaa käsittelykynnystä rikosten ennalta estämiseen ja paljastamiseen liittyvässä henkilötietojen käsittelyssä.
Europolin rajat ylittävää ja vakavaa rikollisuutta koskevan uhka-arvion 2017 valossa yksi suurimmista uhkakuvista EU:n laajuisesti on erilainen tietoverkossa esiintyvä rikollisuus. Esityksen 4 luvun säännöksiä henkilötietojen luovuttamisesta on tarkistettu sen varmistamiseksi, että säännökset vastaavat rikollisuuden uhkakuvien ja tilastojen valossa nykyisiä poliisin tarpeita. Riittävillä viranomaisten välisillä henkilötietojen luovutusoikeuksilla lisätään suoraan rikoksen paljastamisen ja selvittämisen mahdollisuuksia ja rikoksentekijän kiinnijäämisen riskiä.
Sisäministeriö asetti 28 päivänä tammikuuta 2016 lainsäädäntöhankkeen poliisin henkilötietolain uudistamiseksi (SM064:00/2015). Hankkeen työryhmän tehtävänä oli laatia ehdotus hallituksen esitykseksi henkilötietojen käsittelystä poliisitoiminnassa sekä eräiksi siihen liittyviksi laeiksi. Hankkeen keskeisimmäksi tavoitteeksi asetettiin uudistaa poliisin henkilötietolaki kokonaisuudessaan niin, että se vastaa uudistuvaa Euroopan unionin tietosuojalainsäädäntöä ottaen huomioon rikostorjunnan tarpeet ja myös perus- ja ihmisoikeuksien asettamat vaatimukset. Työryhmässä oli edustettuina jäsenet sisäministeriön poliisiosastolta, sisäministeriön rajavartio-osastolta, Poliisihallituksesta, suojelupoliisista, oikeusministeriöstä, Rikosseuraamuslaitoksesta, puolustusministeriöstä, pääesikunnasta, valtiovarainministeriöstä sekä Tullista. Lisäksi tietosuojavaltuutetun toimisto, keskusrikospoliisi ja Oikeusrekisterikeskus nimesivät työryhmään pysyvät asiantuntijansa.
Hankkeen toimikautta jatkettiin 23 päivänä toukokuuta 2017 kestämään 28 päivään helmikuuta 2018 saakka. Samalla asettamispäätöstä tarkistettiin sen huomioimiseksi, että oikeusministeriö oli asettanut työryhmän valmistelemaan ehdotuksen tarpeelliseksi yleiseksi lainsäädännöksi Euroopan unionin tietosuojadirektiivin täytäntöön panemiseksi.
Hankkeen työryhmä ei jättänyt asiasta erillistä mietintöä, vaan tuotti toimeksiantonsa mukaisesti hallituksen esitysluonnoksen, joka viimeisteltiin ennen lausuntokierrosta virkatyönä sisäministeriön poliisiosastolla. Esitysluonnokseen sisältyi toimeksiannon mukaisesti myös lakiehdotus, jolla pantaisiin täytäntöön tarvittavin osin Euroopan ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten, jäljempänä PNR-direktiivi.
Hankkeen toimikautta jatkettiin 10 päivänä tammikuuta 2018 tehdyllä asettamispäätöksen tarkistuksella kestämään vuoden 2018 loppuun saakka. Esityksen jatkovalmistelu on toteutettu asettamispäätöksen tarkistuksen mukaisesti virkatyönä sisäministeriössä. PNR-direktiivin täytäntöönpanoa koskevan toisen lakiehdotuksen jatkovalmistelu siirrettiin samalla päätöksellä erilliseen hankkeeseen.
Nyt annettavat lakiehdotukset ovat olleet lausuntokierroksella 21.12.2017—26.1.2018. Ahvenanmaan maakunnan hallituksen osalta lausuntoaika päättyi 9 päivänä maaliskuuta 2018. Lausunnot pyydettiin yhteensä 29 viranomaiselta, organisaatiolta ja järjestöltä. Lausuntopyyntöaineisto toimitettiin suoraan lausuntopyynnön jakelussa mainituille tahoille, minkä lisäksi lausuntopyyntöaineisto oli nähtävillä valtioneuvoston hankesivuilla.
Lausuntopyynnön vastaanottajista lausunnon antoivat Ahvenanmaan maakunnan hallitus, eduskunnan oikeusasiamiehen kanslia, Electronic Frontier Finland – EFFi ry, valtioneuvoston oikeuskansleri, sisäministeriön maahanmuutto-osasto, pelastusosasto ja rajavartio-osasto, liikenne- ja viestintäministeriö, maa- ja metsätalousministeriö, oikeusministeriö, Oikeusrekisterikeskus, puolustusministeriö, sosiaali- ja terveysministeriö, valtiovarainministeriö, pääesikunta, Poliisihallitus, Rikosseuraamuslaitos, suojelupoliisi, keskusrikospoliisi, Finnair Oy, Liikenteen turvallisuusvirasto, Norwegian Air Shuttle (DY) and Norwegian Air International LTD, Scandinavian Airlines System, TUI, Suomen asianajajaliitto, Suomen matkatoimistoalan liitto SMAL ry, rahanpesun selvittelykeskus, tietosuojavaltuutetun toimisto, TUI sekä Tulli. Lisäksi lausunnon antoivat Suomen Isännöintiliitto ry, Suomen Kiinteistöliitto ry, Suomen Vuokranantajat ry, Vuokralaiset VKL ry sekä RAKLI ry. Lausunnoista on laadittu lausuntoyhteenveto, joka on nähtävillä valtioneuvoston hankesivuilla (SM064:00/2015).
Lausunnolle lähetettyyn esitykseen sisältyi myös lakiehdotus, jolla pantaisiin täytäntöön tarvittavin osin PNR-direktiivi. PNR-direktiivin täytäntöönpanolain jatkovalmistelu erotettiin lausuntokierroksen aikana omaksi hankkeekseen. PNR-direktiivin täytäntöönpanoa koskeva lausuntopalaute on käsitelty osana kyseistä hanketta (SM001:00/2018).
Poliisin henkilötietojen käsittelyä koskevan lainsäädännön uudistamista ja hankkeen tavoitteita pidettiin lausunnoissa yleisesti ottaen perusteltuina. Erityisesti valtioneuvoston oikeuskanslerin, eduskunnan apulaisoikeusasiamiehen ja tietosuojavaltuutetun toimiston lausunnoissa nostettiin kuitenkin esiin henkilötietojen käsittelyä koskevan sisäisen ja ulkoisen valvonnan tarve sekä tarve tarkentaa käsittelyyn sisältyvien riskien arviointia. Useissa lausunnoissa kiinnitettiin huomiota myös siihen, että poliisitoimessa sovellettava lainsäädäntökokonaisuus muodostuu EU:n tietosuojauudistuksen ja kansallisesti valittujen lainsäädäntöratkaisujen seurauksena monimutkaiseksi. Lausunnoissa nostettiin esiin tarve varmistaa lainsäädäntökokonaisuuden ymmärrettävyys ja johdonmukaisuus, jotta 1. lakiehdotuksen suhde sekä yleiseen tietosuoja-asetukseen ja kansallisiin yleislakeihin että muussa lainsäädännössä oleviin poliisin henkilörekistereitä koskeviin säännöksiin muodostuu soveltajan kannalta riittävän selväksi. Jatkovalmistelussa on pyritty sovittamaan esitys yhteen tietosuojan yleislainsäädännön kanssa muun muassa poistamalla päällekkäistä sääntelyä.
Käsittelytarkoitusperusteista sääntelyratkaisua puolsivat lausunnoissaan erityisesti Poliisihallitus sekä sisäministeriön rajavartio-osasto ja maahanmuutto-osasto. Muun muassa eduskunnan apulaisoikeusmies ja tietosuojavaltuutetun toimisto nostavat lausunnoissaan esiin, että ehdotettu sääntelytapa edellyttää tarkempaa ohjeistusta, jolla ei kuitenkaan tule säädellä lainsäädännön alaan kuuluvista asioista. Useissa lausunnoissa kiinnitetään huomiota myös ehdotuksen yleisyyden tasoon sekä tietosisällön sääntelyn väljyyteen ja tulkinnanvaraisuuteen. Lausunnoissa nostetaan esiin tarve säännellä varsinkin erityisiin henkilötietoryhmiin kuuluvien tietojen, kuten biometristen tietojen, sekä teknisen valvonnan avulla saatujen henkilötietojen käsittelyä ehdotettua tarkemmin. Suojelupoliisin näkemyksen mukaan käyttötarkoitussidonnainen sääntelytapa on omiaan hankaloittamaan käytännön soveltamista. Lausunnoissa nousivat esiin myös ehdotetun sääntelyn suhde toimivaltasäännöksiin sekä tarve varmistaa viranomaisten välisen tiedonvaihdon toimivuus. Lausuntokierroksen jälkeen erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevia säännöksiä sekä esityksen suhdetta toimivaltuussääntelyyn on tarkennettu sekä pykälätasolla että esityksen perusteluissa.
Lakiluonnokseen sisältyneen yleisen järjestyksen ja turvallisuuden ylläpitämiseksi tapahtuvaa henkilötietojen käsittelyä koskevan säännösehdotuksen suhdetta tutkintatarkoituksiin tapahtuvaan käsittelyyn pidettiin monissa lausunnoissa epäselvänä. Rajanvedon täsmentämisen lisäksi lausunnoissa nostettiin esiin tarve selventää poliisin toimivaltaa henkilötietojen käsittelyyn tietyissä tilanteissa sekä tarve arvioida, voidaanko kaikkien poliisin lakisääteisten valvontatehtävien katsoa kuuluvan yleisen järjestyksen ja turvallisuuden ylläpitämiseen. Jatkovalmistelussa yleisen järjestyksen ja turvallisuuden ylläpitämiseksi tapahtuvaa henkilötietojen käsittelyä koskevat säännökset on yhdistetty tutkintatehtäviä koskevien säännösten kanssa. Poliisin muiden lakisääteisten tehtävien suorittamiseksi tapahtuvaa käsittelyä koskevissa säännöksissä on huomioitu ne poliisille säädetyt valvontatehtävät, jotka eivät kuulu tietosuojadirektiivin soveltamisalaan.
Erityisesti Poliisihallitus ja keskusrikospoliisi korostavat tarvetta muuttaa voimassa olevaa lainsäädäntöä rikostiedusteluun liittyvän henkilötietojen käsittelyn osalta. Rikostiedusteluun liittyvät muutosehdotukset saivat yleisellä tasolla kannatusta myös muissa lausunnoissa. Lausunnoissa nostettiin kuitenkin esiin myös monia lakiluonnokseen sisältyneiden rikostiedustelua koskevien ehdotusten puutteita ja kehitystarpeita. Ongelmallisena nähtiin mm. käsittelykynnyksiin ehdotetut muutokset (kuten siirtyminen "syytä epäillä" kynnyksestä muotoiluun "voidaan olettaa"), puutteet esitettyjen muutosten perusteluissa, säännösten yleisluontoisuus ja tulkinnanvaraisuus sekä se, ettei rikostiedustelun käsitettä ole määritelty lainsäädännössä. Myös strategisen ja aihekohtaisen analyysin käsitteiden tarkempi merkitys jäi eräiden lausuntojen mukaan esityksessä epäselväksi. Lisäksi tarkennuksia esitettiin havaintotietoja koskevaan sääntelyyn. Jatkovalmistelussa rikostiedusteluun liittyvää henkilötietojen käsittelyä koskevat säännösehdotukset on muokattu kattamaan kaikki rikosten ennalta estämiseksi ja paljastamiseksi suoritettava henkilötietojen käsittely. Säännöksiä on myös täsmennetty sekä henkilöryhmien että käsiteltävän tietosisällön osalta.
Poliisihallitus ja keskusrikospoliisi pitivät lakiluonnokseen sisältynyttä tietojen merkityksellisyyden arviointia koskevaa säännöstä tärkeänä. Valtioneuvoston oikeuskansleri toteaa lausunnossaan, että ehdotus laajentaisi merkittävästi poliisin oikeuksia käsitellä yksittäiseen tehtävään liittymättömiä henkilötietoja. Erityisesti oikeusministeriön ja tietosuojavaltuutetun toimiston lausunnossa nostettiin esiin tarve arvioida jatkovalmistelussa säännöksen suhdetta tietosuojalainsäädännön, oikeuskäytännön ja perustuslakivaliokunnan tulkintakäytännön vaatimuksiin. Tietosuojavaltuutettu nostaa esiin, että esitetty säännös on perusteiltaan kestämätön, koska poliisilla ei ole toimivaltaa käsitellä ja rekisteröidä henkilötietoja ehdotetulla tavalla. Oikeusministeriön mukaan olisi syytä selvittää, olisiko sääntely mahdollista toteuttaa tarkkarajaisemmin tai muutoin henkilötietojen suojaan vähemmän kajoavalla tavalla. Jatkovalmistelussa merkityksellisyyden arviointia koskevat säännökset on selvyyden vuoksi siirretty momentiksi käsittelytarkoitusten yhteyteen. Lisäksi esityksen suhdetta poliisin tiedonhankintatoimivaltuuksiin on selvennetty.
Lausunnoissa nousi esiin myös tarve täsmentää esitetyn 7 luvun soveltamisalaa sekä sitä, mitkä lakiehdotuksen säännökset koskisivat henkilötietojen käsittelyä suojelupoliisissa. Suojelupoliisin ja Poliisihallituksen lausunnoissa käsiteltiin lisäksi suojelupoliisin muuttunutta asemaa sisäministeriön alaisena valtakunnallisena yksikkönä. Lain soveltamisalaa on lausuntokierroksen jälkeen täsmennetty ja suojelupoliisin ja muiden poliisiyksiköiden välinen tiedonvaihto huomioitu luovutus- ja tiedonsaantioikeuksia koskevilla säännöksillä.
Suomen vuokranantajat ry, Vuokralaiset VKL ry ja RAKLI ry, Suomen Kiinteistöliitto ry ja Suomen Isännöintiliitto ry ehdottavat lausunnoissaan mahdollisuutta luovuttaa tietoja myös asunto- ja kiinteistöosakeyhtiöille sekä vuokranantajille tilanteissa, joissa se on tarpeen kiinteistössä asuvien kotirauhan turvaamiseksi tai omaisuudesta huolehtimiseksi. Lausuntokierroksen jälkeen 1. lakiehdotusta on kuitenkin muokattu siten, että henkilötietojen luovuttamiseen yksittäistapauksissa sovellettaisiin edelleenkin poliisilain 4 luvun säännöksiä. Vuokranantajien ja asunto- tai kiinteistöosakeyhtiön tarvetta tiedonsaantiin ei siten ole mahdollista toteuttaa poliisin henkilötietolakihankkeen puitteissa.
Ahvenanmaan maakunnan hallituksen lausunnon mukaan 1. lakiehdotus on hyväksyttävä ja sitä tulisi soveltaa Ahvenanmaalla nykyistä vastaavasti blankettilainsäädännön kautta.
Liikenne- ja viestintäministeriö katsoi, että esityksessä tulisi arvioida myös sääntelyn vaikutuksia luottamuksellisen viestin salaisuuden suojaan. Tätä ei kuitenkaan pidetty tarkoituksenmukaisena, koska arvio on tehty luottamuksellisen viestin suojaan puuttuvien toimivaltuuksien säätämisen yhteydessä.
Useissa lausunnoissa esitettiin lisäksi huomioita muun muassa tietojen käsittelystä muihin kuin alkuperäiseen käsittelytarkoitukseen, viranomaisten välisen tiedonvaihdon sääntelystä, henkilötietojen poistamista koskevista säännösehdotuksista sekä tarkastusoikeuden rajoituksista Lausunnoissa esitetyt näkökohdat ja muutosehdotukset on pyritty ottamaan huomioon esityksen jatkovalmistelussa ja esitykseen tehdyissä muutoksissa erityisesti siltä osin kuin ne koskevat lakiehdotuksen suhdetta EU:n tietosuojasääntelyyn sekä ehdotettuja rikosten ennalta estämiseen ja paljastamiseen liittyvän tietojenkäsittelyn laajennuksia.
Esityksellä ja erityisesti sen 1. lakiehdotuksella on yhteys useisiin eduskunnan käsiteltävänä oleviin tai käsiteltäväksi tuleviin tietosuojalainsäädäntöä koskeviin hallituksen esityksiin. Esityksen lakiehdotukset sisältävät viittauksia rikosasioiden tietosuojalakiin (HE 31/2018 vp). Esityksellä on yhteys myös esitykseen yleistä tietosuoja-asetusta täydentävään kansalliseen lainsäädäntöön (HE 9/2018 vp).
Esityksellä on yhteys hallituksen esitykseen eduskunnalle laiksi lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa sekä eräiksi siihen liittyviksi laeiksi (HE 55/2018 vp). Ehdotettu laki lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa sisältää viittauksia voimassa olevaan poliisin henkilötietolakiin. Ehdotus olisi sovitettava eduskuntakäsittelyn aikana yhteen tämän esityksen kanssa.
Eduskunnan käsiteltävänä on hallituksen esitys siviilitiedustelua koskevaksi lainsäädännöksi (HE 202/2017 vp). Esityksen vaikutukset poliisin henkilötietolakiin ja henkilötietojen käsittelyä koskeva lausuntopalaute on huomioitu tämän esityksen valmistelussa. Eräät siviilitiedustelua koskevassa esityksessä ehdotetut muutokset olisi kuitenkin sovitettava eduskuntakäsittelyn aikana yhteen tämän esityksen kanssa. Esityksessä ehdotetaan muutettavaksi voimassa olevan poliisin henkilötietolain 5 ja 13 §:ää. Ehdotetut muutokset on otettu huomioon tämän esityksen 1. lakiehdotuksen 7 luvussa. Esityksessä ehdotetaan lisäksi, että rikosten selvittäminen poistettaisiin suojelupoliisin tehtävistä. Muutoksen toteutuessa rikosten selvittäminen olisi poistettava myös tämän esityksen 1. lakiehdotuksen 48 §:n mukaisista käsittelytarkoituksista.
Esitys liittyy lisäksi sisäministeriön säädöshankkeeseen (SM057:00/2016), jossa valmistellaan hallituksen esitys henkilötietojen käsittelyä Rajavartiolaitoksessa koskevan lainsäädännön tarkistamiseksi. Mainittua lainsäädäntöä koskeva hallituksen esitys on tarkoitus antaa eduskunnalle mahdollisimman samanaikaisesti tämän esityksen kanssa.
Esityksellä on yhteys myös valtiovarainministeriön asettamassa hankkeessa (VM059:00/2016) valmisteltuun hallituksen esitykseen laiksi henkilötietojen käsittelystä Tullissa sekä eräiksi siihen liittyviksi laeiksi. Mainittua lainsäädäntöä koskeva hallituksen esitys on tarkoitus antaa eduskunnalle mahdollisimman samanaikaisesti tämän esityksen kanssa. Lisäksi tässä esityksessä ehdotetaan muutettavaksi rahanpesun selvittelykeskuksesta annettua lakia, jota muutettaisiin myös eduskunnan käsiteltävänä olevalla hallituksen esityksellä laiksi pankki- ja maksutilien valvontajärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 167/2018 vp). Esityksellä on yhteys myös valtiovarainministeriön säädöshankkeeseen, jossa valmistellaan uutta lakia julkisen hallinnon tiedonhallinnasta (VM183:00/2017).
Esityksellä on yhteys myös henkilötietojen käsittelyä puolustushallinnossa koskevan lainsäädännön kokonaisuudistukseen, jota koskeva hallituksen esitys on annettu eduskunnalle keväällä 2018 (HE 13/2018 vp).
Esityksellä on yhteys myös sisäministeriössä valmisteltuun esitykseen uudeksi laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa (HE 224/2018 vp). Lakiehdotuksella korvattaisiin voimassa oleva laki ulkomaalaisrekisteristä (1270/1997), jota muutettaisiin myös tällä esityksellä. Lisäksi ehdotettu maahanmuuttohallinnon henkilötietolaki sisältää viittauksia tämän esityksen 1. lakiehdotukseen. Myös eduskunnan käsiteltävänä olevaan hallituksen esitykseen laeiksi ampuma-aselain, vapaaehtoisesta maanpuolustuksesta annetun lain sekä asevelvollisuuslain 97 a §:n muuttamisesta (HE 179/2018 vp) sekä hallituksen esitykseen rahankeräyslaiksi ja eräiksi siihen liittyviksi laeiksi (HE 214/2018 vp) sisältyvät lakiehdotukset sisältävät viittauksia poliisin henkilötietolakiin.
Esityksen 1. lakiehdotuksessa ehdotetaan lisättäväksi poliisille tiedonsaantioikeus huoneistotietojärjestelmään, jotka koskeva hallituksen esitys (HE 127/2018 vp) on parhaillaan eduskunnan käsiteltävänä.
Eduskunnan käsiteltävänä on lisäksi hallituksen esitys laiksi liikenteen palveluista annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi (HE 157/2018 vp), jossa ehdotetaan muutettavaksi poliisin henkilötietolain 19 §:ää.
Kaikkiin edellä mainittuihin esityksiin sisältyvien lakiehdotusten osalta olisi varmistettava säädös- ja pykäläviittausten yhteensovittaminen eduskuntakäsittelyn aikana. Lisäksi esityksiin sisältyy samojen lakien muuttamista koskevia lakiehdotuksia.
Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:
1 luku Yleiset säännökset
1 §. Soveltamisala. Pykälässä säädettäisiin lain soveltamisalasta. Lakia sovellettaisiin 1 momentin mukaan poliisilain 1 luvun 1 §:ssä tarkoitettujen poliisille kuuluvien tehtävien suorittamiseksi tarpeellisten henkilötietojen kokonaan tai osittain automaattiseen käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Lain soveltamisala rajautuisi henkilötietojen käsittelytarkoituksen perusteella. Säännös vastaisi tältä osin voimassa olevan poliisin henkilötietolain soveltamisalasäännöstä. Poliisin henkilötietolakia sovellettaisiin nykyistä vastaavasti ainoastaan poliisin käsitellessä henkilötietoja poliisilaissa säädettyjen tehtävien suorittamiseksi. Lakia ei siten sovellettaisi esimerkiksi henkilöstö- ja taloushallintoon liittyvään henkilötietojen käsittelyyn.
Mikäli poliisilaissa tarkoitettujen poliisin tehtävien suorittamiseksi tarpeellisesta henkilö-tietojen käsittelystä säädetään muualla laissa poliisin henkilötietolaista poikkeavasti, sovellettaisiin muun lain säännöksiä tämän lain asemasta. Poliisin tehtäviin liittyvää henkilötietojen käsittelyä koskevia säännöksiä sisältyy muun muassa rahanpesulakiin, rahanpesun selvittelykeskuksesta annettuun lakiin, todistajansuojeluohjelmasta annettuun lakiin sekä ehdotettuun lakiin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa. Erikseen säädetään myös henkilötietojen käsittelystä ulkomaalaisrekisterissä (ulkomaalaisrekisteristä annettu laki ja sen korvaava ehdotettu maahanmuuttohallinnon henkilötietolaki) sekä hätäkeskustietojärjestelmässä (hätäkeskustoiminnasta annettu laki). Poliisin henkilötietolakia sovellettaisiin kuitenkin täydentävästi poliisin tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn siltä osin kuin erityislainsäädäntöön ei sisälly poliisin henkilötietolaista poikkeavia säännöksiä.
Pykälän 2 momentissa huomioitaisiin suojelupoliisin nykyinen asema sisäministeriön alaisena poliisiyksikkönä. Suojelupoliisi toimi vuoden 2016 alkuun asti poliisin hallinnosta annetun lain 1 §:n mukaisesti poliisin ylijohtona toimivan Poliisihallituksen alaisena yksikkönä. Poliisin hallinnosta annetun lain muutoksella 860/2015 suojelupoliisi muutettiin sisäministeriön alaiseksi valtakunnalliseksi yksiköksi. Koska suojelupoliisi ei enää toimi 2 luvussa tarkoitettujen tietojen rekisterinpitäjäksi ehdotetun Poliisihallituksen alaisuudessa, perustuisi tiedonvaihto suojelupoliisin ja muiden poliisiyksiköiden välillä jatkossa tietojen luovuttamista ja tiedonsaantioikeuksia koskeviin säännöksiin. Muutosta vastaavasti suojelupoliisin henkilötietojen käsittelyyn sovellettavat säännökset koottaisiin erilliseen 7 lukuun. Muita ensimmäisen lakiehdotuksen lukuja ei sovellettaisi suojelupoliisin henkilötietojen käsittelyyn.
2 §. Suhde muuhun lainsäädäntöön. Pykälän 1 ja 2 momentissa tarkennettaisiin, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin lakiehdotuksessa tarkoitettuun henkilötietojen käsittelyyn ja miten lakiehdotuksessa tarkoitettu henkilötietojen käsittely jakautuu suhteessa näiden yleissäädösten soveltamisalaan.
Poliisin henkilötietojen käsittelyyn sovelletaan nykyään yleislakina henkilötietolakia. EU:n tietosuojapaketin voimaantulo kuitenkin eriyttää säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa säädöstä. Osaan poliisin henkilötietojen käsittelyä sovellettaisiin yleissäädöksenä tietosuoja-asetusta ja sitä täydentävää kansallista tietosuojalakia (HE 9/2018 vp). Suurimpaan osaan lakiehdotuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä sovellettaisiin kuitenkin yleislakina rikosasioiden tietosuojalakia, jolla pannaan täytäntöön tietosuojadirektiivi. Ehdotettu poliisin henkilötietolaki olisi mainittuja yleissäädöksiä täydentävä erityislaki.
Rikosasioiden tietosuojalakia sovellettaisiin kyseisessä laissa määriteltyjen toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä.
Poliisin henkilötietolain säännökset, jotka kuuluvat tietosuojadirektiivin täytäntöönpano-lainsäädännön soveltamisalaan, ehdotetaan rajattavaksi direktiivin johdanto-osan 12 kappaleen perustelujen mukaisesti. Kyseisen perustelukappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua vallan käyttö toteuttamalla pakkokeinoja, kuten mielenosoituksissa, suurissa urheilutapahtumissa ja mellakoissa toteutetut poliisin toimet. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu poliisiviranomaisten tai muiden lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen.
Lakiehdotuksen 2 luvun säännöksistä rikosasioiden tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 5—8 §:ssä ja 10 §:ssä säädetyt käsittelytarkoitukset sekä 9 §:ssä tarkoitettujen tietolähdetietojen käsittely silloin kun se kohdistuu 5—8 §:ssä säädettyihin käsittelytarkoituksiin.
Tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalasta on rajattu pois henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan. Unionin oikeuden ulkopuolelle jää muun muassa henkilötietojen käsittely, jota suoritetaan kansallisen turvallisuuden varmistamiseen liittyvien tehtävien yhteydessä. Rikosasioiden tietosuojalakia sovellettaisiin esityksen HE 31/2018 vp perusteella kuitenkin toimivaltaisten viranomaisten henkilötietojen käsittelyyn, jota suoritetaan kansallisen turvallisuuden ylläpitämisen yhteydessä. Toimivaltaisia viranomaisia ovat esityksen mukaan tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin rikosasioiden tietosuojalain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta. Tietosuojadirektiivi mahdollistaa direktiivin mukaisen sääntelyn ulottamisen kansallisesti myös henkilötietojen käsittelyyn kansalliseen turvallisuuden ja puolustuksen alalla. Rikosasioiden tietosuojalakia sovellettaisiin suojelupoliisin lisäksi myös muiden poliisiyksiköiden suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.
Pykälän 1 momentin 2 kohta sisältäisi viittaussäännöksen julkisuuslakiin. Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Tietosuoja-asetuksen 86 artiklan mukaisesti viranomaiset tai julkis- tai yksityisoikeudelliset yhteisöt voivat luovuttaa viranomaisten tai yhteisöjen hallussa yleisen edun vuoksi toteutetun tehtävän suorittamiseksi olevien virallisten asiakirjojen sisältämiä henkilötietoja sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jota viranomaiseen tai yhteisöön sovelletaan, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja oikeus henkilötietojen suojaan. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään.
Poliisin henkilöstöön kuuluvan virkamiehen vaitiolovelvollisuudesta ja vaitiolo-oikeudesta säädetään julkisuuslain lisäksi poliisilain 7 luvussa. Poliisilain 7 luvun säännöksiä sovellettaisiin jatkossakin yksittäisten henkilötietojen luovuttamiseen poliisin henkilörekistereistä. Ehdotettu poliisin henkilötietolaki sisältäisi säännökset henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona sekä tarvittavat yleislainsäädäntöä täydentävät säännökset henkilötietojen luovuttamisesta ulkomaille.
Direktiivin johdanto-osan 12 kappaleen mukaan jäsenvaltiot voivat antaa toimivaltaisille viranomaisille muita tehtäviä, joita ei välttämättä suoriteta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten eikä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Siltä osin kuin näitä muita tarkoituksia varten suoritettava henkilötietojen käsittely kuuluu unionin oikeuden soveltamisalaan, se kuuluu tietosuoja-asetuksen soveltamisalaan.
Pykälän 2 momentti sisältäisi viittauksen tietosuoja-asetukseen, joka on poliisiin suoraan sovellettavaa lainsäädäntöä. Kun kyse on poliisilain 1 luvun 1 §:ssä säädetyistä poliisin tehtävistä, henkilötietoja käsitellään rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, mikä mahdollistaa tietosuoja-asetuksen täsmentämisen ja täydentämisen kansallisella lainsäädännöllä. Tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa on mahdollista käyttää tietosuojalain lisäksi myös erityislainsäädännössä. Poliisin tehtäviin liittyvää, tietosuoja-asetuksen soveltamisalaan kuuluvaa henkilötietojen käsittelyä koskeva sääntely muodostuisi jatkossa tietosuoja-asetuksesta, sitä täydentävästä yleisestä tietosuojalaista, ehdotetusta poliisin henkilötietolaista sekä muusta poliisin tehtäviä koskevasta erityislainsäädännöstä, joka sisältää henkilötietojen käsittelyn oikeusperusteita koskevaa sääntelyä.
Ensimmäisen lakiehdotuksen 2 luvun säännöksistä tietosuoja-asetuksen soveltamisalaan kuuluisivat 11 §:ssä säädetyt käsittelytarkoitukset sekä 9 §:ssä tarkoitettujen tietolähdetietojen käsittely silloin kun se kohdistuu 11 §:ssä säädettyihin käsittelytarkoituksiin. Käsittelytarkoituksia, käsiteltäviä henkilöryhmiä ja käsiteltävien tietojen tyyppiä täsmentävien 11 ja 12 §:n lisäksi lakiehdotukseen sisältyy myös muita 6 artiklassa tarkoitettuja erityisiä säännöksiä, joilla mukautettaisiin tietosuoja-asetuksen sääntöjen soveltamista. Nämä säännökset koskevat henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, luovuttamista, säilytysaikaa, rekisteröidyn oikeuksien toteuttamista ja rajoituksia rekisteröidyn oikeuksiin.
Muuhun kuin alkuperäiseen käyttötarkoitukseen tapahtuvan henkilötietojen käsittelyn (lakiehdotuksen 13—15 §) osalta sovellettava yleissäädös määräytyisi sen mukaisesti, mihin alkuperäisestä käsittelytarkoituksesta poikkeavaan tarkoitukseen henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen kuuluisi tietosuojadirektiivin täytäntöönpanolainsäädännön soveltamisalaan silloin, kun kyse on tietojen käsittelystä rikosasioiden tietosuojalain 1 §:ssä säädettyihin tarkoituksiin.
Pykälän 3 momentti sisältäisi informatiivisen viittauksen, jonka mukaan poliisin tiedon-hankinnasta ja siihen liittyvistä toimivaltuuksista säädetään erikseen. Poliisin toimivaltuuksista hankkia rikosten estämiseksi ja paljastamiseksi sekä vaaran torjumiseksi tarvittavaa tietoa säädetään poliisilaissa ja toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään pakkokeino- ja esitutkintalaeissa. Poliisin toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun poliisin tehtäviä koskevaan erityislainsäädäntöön. Poliisi saa lisäksi tehtäviensä yhteydessä henkilötietoja myös tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten tehdessään havaintoja kenttätoiminnan yhteydessä ja sellaisen yleisessä tietoverkossa tapahtuvan valvonnan kautta, joka ei kohdistu tiettyyn henkilöön.
Lakiehdotuksen 3 luku sisältää myös poliisin tiedonsaantioikeuksia koskevaa sääntelyä. Nämä 3 luvun säännökset täsmentävät poliisilain 4 luvussa säädettyjä tiedonsaantioikeuksia siltä osin kuin kyse on tietojen saamisesta teknisen käyttöyhteyden välityksellä tai tietojoukkona.
3 §. Määritelmät. Pykälä vastaisi pääosin voimassa olevan lain sääntelyä ja sisältäisi Schengen- ja Europol-yhteistyöhön liittyvät kansalliset määritelmät sekä Eurodac-asetuksen määritelmän. Muilta osin lakiehdotuksen mukaiseen henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalain ja tietosuoja-asetuksen sisältämiä määritelmiä.
2 luku Henkilötietojen käsittely
Lain 2 luvussa täsmennettäisiin ne käsittelytarkoitukset, joihin poliisi saisi käsitellä henkilö-tietoja tehtäviensä suorittamiseksi sekä kunkin käyttötarkoituksen osalta sallitut tietosisällöt. Käsiteltäviä tietosisältöjä koskevat säännökset eivät sisältäisi voimassa olevan poliisin henkilötietolain valtakunnallisten tietojärjestelmien tietosisältöä koskevia säännöksiä vastaavia yksityiskohtaisia tietoluetteloita, vaan säännöksissä säädettäisiin käsiteltävistä tietoluokista. Tietoluokkien tarkempi sisältö määräytyisi käsittelytarkoituksen perusteella. Sääntelytekniikka olisi tältä osin nykyistä joustavampi. Käsittelytarkoituksia ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eivätkä säännökset mahdollistaisi tarkoituksen kannalta tarpeettomien henkilötietojen käsittelyä.
Voimassa olevan poliisin henkilötietolain 11 §:n säännökset salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä sekä 12 §:n säännökset yksittäiseen tehtävään liittymättömien tietojen käsittelystä poistettaisiin sääntelytekniikan muutoksen myötä tarpeettomina. Mainituissa pykälissä tarkoitettuja tietoja voitaisiin käsitellä ehdotetussa 2 luvussa, poliisilaissa ja pakkokeinolaissa säädettyjen käsittelyedellytysten täyttyessä. Voimassa olevan lain 6 §:n poliisin muita henkilörekistereitä koskeva sääntely poistettaisiin vastaavasti tarpeettomana. Voimassa olevan lain 10 §:n sääntely arkaluonteisten tietojen käsittelystä korvattaisiin käsittelytarkoituskohtaisiin tietosisältösäännöksiin sisältyvillä erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyedellytyksiä koskevalla sääntelyllä.
Ehdotettu 2 luku sisältäisi myös säännökset henkilötietojen käsittelystä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen (13—15 §). Näillä säännöksillä korvattaisiin voimassa olevan lain 4 luvun 16 ja 16 a §:n säännökset tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen.
4 §. Henkilön perustietojen käsittely. Pykälä sisältäisi yksityiskohtaisen luettelon henkilön perustiedoista, joiden käsittely olisi tarvittavin osin sallittua 5, 7, 9 ja 11 §:ssä säädettyihin tarkoituksiin. Perustietojen luetteloa sovellettaisiin kaikkiin 2 luvun mukaisiin alkuperäisiin henkilötietojen käsittelytarkoituksiin lukuun ottamatta 10 §:ssä tarkoitettua DNA-näytteiden laadun varmistamiseksi suoritettavaa henkilötietojen käsittelyä, johon sovellettaisiin 10 §:n mukaista suppeampaa henkilötietoluetteloa.
Luettelon mukaiset perustiedot vastaisivat sisällöltään pääosin poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja epäiltyjen tietojärjestelmään voimassa olevan lain 2, 3 ja 4 §:n perusteella talletettavia henkilöllisyyttä koskevia tietoja. Luetteloon ehdotetaan lisättäväksi uusina kohtina asiointikieli sekä edunvalvontaa, konkurssiin asettamista tai liiketoimintakieltoon määräämistä koskeva tieto ja tieto asevelvollisuuden suorittamisesta. Mainittuja tietoja on voimassa olevan lain mukaisesti voinut käsitellä asiaan liittyvinä muina tietoina, mutta selvyyden vuoksi niistä säädettäisiin jatkossa henkilön perustietojen käsittelyä koskevassa säännöksessä. Pykälässä tarkoitettuja perustietoja saisi käsitellä kaikista 5, 7, 9 ja 11 §:ssä tarkoitetuista henkilöryhmistä silloin, kun tiedot ovat käsittelytarkoituksen kannalta tarpeellisia.
Henkilötietojen alkuperäisiä käsittelytarkoituksia koskevissa 5—9, 11 ja 12 §:ssä säädettäisiin tarkemmat kriteerit sekä perustietojen että niiden lisäksi käsiteltävien muiden tarpeellisten henkilötietojen käsittelylle.
5 §. Henkilötietojen käsittely tutkinta- ja valvontatehtävissä. Pykälässä tarkoitettaisiin rikosasioiden tietosuojalain mukaista henkilötietojen käsittelyä rikosten selvittämiseksi tai syyteharkintaan saattamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten selvittämisen yhteydessä.
Pykälän 1 momentissa täsmennettäisiin tarkoitukset, joihin poliisi voisi käsitellä tutkinta- ja valvontatehtävien suorittamiseksi tarpeellisia henkilötietoja. Säännöksellä katettaisiin kaikenlainen poliisin suorittama tutkinta ja selvittäminen, mukaan lukien esitutkintaa edeltävä selvittäminen sekä muu poliisin toimitettavaksi laissa säädetty tutkinta kuin rikoksen johdosta toimitettava esitutkinta (poliisitutkinta). Myös esitutkintaan tai poliisitutkintaan sisältyvä tekninen tutkinta kuuluisi säännöksen soveltamisalaan. Säännös korvaisi voimassa olevan lain säännökset, jotka koskevat rikoksesta epäillyn tai esitutkinnan, poliisitutkinnan, poliisin toimenpiteen taikka pakkokeinon kohteena olevan henkilön, ilmoittajan, todistajan tai asianomistajana esiintyvän tai muutoin asiaan liittyvän henkilön tietojen tallettamista poliisiasiain tietojärjestelmään.
Pykälää sovellettaisiin lisäksi henkilötietojen käsittelyyn, joka liittyy yleisen järjestyksen ja turvallisuuden ylläpitämiseen. Tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua poliisilaissa tai muualla lainsäädännössä poliisille säädettyjen toimivaltuuksien käyttäminen esimerkiksi mielenosoitusten, suurten urheilutapahtumien ja mellakoiden yhteydessä. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu poliisiviranomaisten tai muiden lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen. Pykälän soveltamisalaan kuuluisivat erityisesti kenttätoiminnan yhteydessä ja hälytystietoina käsiteltävät henkilötiedot sekä virka-aputehtäviin ja poliisille säädettyihin valvontatehtäviin liittyvä henkilötietojen käsittely silloin kun näillä tehtävillä on tietosuojadirektiivissä ja sen täytäntöönpanolain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälällä korvattaisiin myös sellaiset voimassa olevan lain 6 §:ssä tarkoitetut rikosanalyysia varten perustetut tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden selvittäminen. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen koskevat 13 ja 14 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja voitaisiin hyödyntää 5 §:ssä tarkoitettuihin käsittelytarkoituksiin. Rikoksen tai rikoskokonaisuuden estämiseksi tai paljastamiseksi perustettuja tilapäisiä analyysirekistereitä koskeva voimassa olevan lain 6 §:n sääntely sisältyisi jatkossa ehdotettuun 7 ja 8 §:ään.
Pykälän 2 momentissa täsmennettäisiin henkilöryhmät, joita koskevia tietoja 1 momentin mukaisiin tarkoituksiin saisi käsitellä. Alle 15-vuotiaat rikollisesta teosta epäillyt henkilöt huomioitaisiin voimassa olevan lain 2 §:stä poiketen erikseen. Lisäksi poliisin kenttätehtäviin ja laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyvät henkilöt mainittaisiin luettelossa omana ryhmänään. Tehtäviin välittömästi liittyvinä pidettäisiin esimerkiksi henkilöitä, joiden henkilötietoja poliisin on käsiteltävä kenttätehtävien yhteydessä kirjattavien lastensuojeluilmoitusten käsittelyä varten. Kohdan nojalla voitaisiin tarvittaessa tallettaa myös esimerkiksi sellaisen yhteyshenkilön tiedot, jota tarvitaan kenttä- tai valvontatehtävään liittyvään tilaan pääsemiseksi. Muutoin asiaan liittyvä henkilö voisi olla erityisesti mahdollinen lisätietojen antaja, joka kuitenkaan ei olisi todistajan asemassa. Muutoin asiaan liittyvät henkilöt kattaisivat myös esimerkiksi asiantuntijan roolissa toimivat henkilöt ja sellaiset henkilöt, jotka liittyvät muuhun tutkintaan kuin esitutkintaan.
Pykälän 3 momentti olisi uusi säännös. Ehdotettu merkityksellisyyden arviointia koskeva säännös on kytköksissä käsittelytarkoitusperusteiseen sääntelytekniikkaan, jolla korvattaisiin voimassa olevan poliisin henkilötietolain rekisteriperusteinen sääntely. Poliisin henkilötieto-laissa säädettäisiin jatkossa kaikesta poliisin tehtävien suorittamiseksi tapahtuvasta henkilö-tietojen käsittelystä sen sijaan, että säädettäisiin vain tietojen tallettamisesta laissa nimettyihin tietojärjestelmiin ja nimettyjen tietojärjestelmien sisältämien tietojen käyttämisestä.
Momentissa olisi kyse poliisin tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Säännöksen yhtenä tavoitteena on selventää nykytilaa niiden tilanteiden osalta, joissa poliisin tehtävien suorittamisen yhteydessä saatuja henkilötietoja on käsiteltävä automaattisen tietojenkäsittelyn avulla niiden sisällön ja merkityksellisyyden arvioimiseksi.
Tietosuojadirektiivin johdanto-osan 18 kappaleen mukaan vakavan väärinkäytösten riskin ennalta estämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
Henkilötietojen automaattista käsittelyä ovat voimassa olevassa poliisin henkilötietolaissa säänneltyjen henkilötietojen tallettamisen, käyttämisen ja luovuttamisen lisäksi myös ne käsittelytoimet, joita suoritetaan ennen tietojen tallettamista poliisin valtakunnallisiin tietojärjestelmiin. Voimassa oleva poliisin henkilötietolaki ei sisällä tätä henkilötietojen käsittelyn vaihetta koskevia säännöksiä, jolloin esimerkiksi henkilötietojen enimmäissäilytysaika jää rekisterinpitäjän tapauskohtaisesti arvioitavaksi. Merkityksellisyyden arviointia koskeva säännös toisi henkilötietojen tarpeellisuuden arvioinnin osaksi poliisin henkilötietolain soveltamisalaa. Samalla merkityksellisyyden arvioimiseksi käsiteltäville henkilötiedoille ehdotetaan säädettäväksi yhdenmukainen kuuden kuukauden enimmäissäilytysaika.
Esimerkiksi poliisilain 4 luvun 2 §:ssä tarkoitetun teknisen valvonnan tietojen osalta säännös selventäisi merkittävästi nykytilannetta, jossa tietojen poistamiselle ei ole säädetty yhdenmukaista määräaikaa. Kuuden kuukauden enimmäissäilytysaika määrittyisi teknisen valvonnan aineiston osalta tietojen alkuperäisen tallennusajankohdan mukaisesti siten, että tiedot olisi poistettava viimeistään kuuden kuukauden kuluttua niiden alkuperäisestä keräämishetkestä.
Nykytilan selventämisen lisäksi 3 momentti merkitsisi myös laajennusta poliisin nykyiseen henkilötietojen käsittelyyn. Säännös mahdollistaisi voimassa olevasta laista poiketen nimenomaisesti henkilötietojen tallettamisen erilliseen henkilörekisteriin sen selvittämiseksi, täyttyvätkö 5 ja 6 §:ssä säädetyt edellytykset tietojen käsittelylle. Henkilötietoja ei saisi käsitellä tutkinta- ja valvontatarkoituksiin, jos on epäselvää täyttyvätkö 5 ja 6 §:ssä säädetyt kriteerit henkilötietojen käsittelylle. Poliisin tehtävien yhteydessä saatuja henkilötietoja voitaisiin kuitenkin käsitellä niiden merkityksellisyyden arvioimiseksi korkeintaan kuuden kuukauden ajan, jos tiedoilla voi olla merkitystä 5 §:ssä säädettyjen tarkoitusten kannalta. Poliisin tehtävien kannalta selvästi merkityksettömät henkilötiedot olisi hävitettävä välittömästi, eikä niitä voitaisi tallettaa tai muuten käsitellä 3 momentin nojalla.
Poliisin toimintaympäristö on merkittävästi muuttunut voimassa olevan poliisin henkilötietolain säätämisen jälkeen. Tavat, joilla poliisi on perinteisesti arvioinut tietojen merkityksellisyyttä, eivät tarjoa riittäviä mahdollisuuksia rikosanalyysissa tarvittavien tietojen käsittelyyn nykyisessä digitaalisessa toimintaympäristössä. Analyysitoiminnan systemaattinen kehittäminen edellyttää mahdollisuuksia tietojen merkityksen arvioimiseen nykyaikaisen tekniikan keinoin. Momentin perusteella käsiteltävät tiedot voisivat olla myös julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä, peräisin olevaa kuvamateriaalia tai tekstiä, johon voi sisältyä suuriakin määriä tietoja henkilöistä, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä.
Tietoja voitaisiin 3 momentin nojalla myös verrata poliisin tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö 5 ja 6 §:ssä säädetyt kriteerit tietojen käsittelylle. Edellytyksenä käsittelylle olisi kuitenkin se, että tiedot on hankittu tai muutoin saatu poliisin tehtävien yhteydessä muualta laista tulevien toimivaltuuksien nojalla. Poliisi ei siten voisi 3 momentin nojalla hankkia sellaisia tietoja, joita sillä ei olisi käytettävissään muualta laista tulevien tiedonhankintavaltuuksien nojalla.
Tietosuojalainsäädäntö edellyttää, että henkilötietoja ei käsitellä tarpeettomasti. Pykälän 3 momentissa säädettäisiin siitä, miten tehtävien yhteydessä saatujen tietojen tarpeellisuutta voidaan arvioida ja varmistaa tietojen merkityksellisyys ennen niiden pidempiaikaista käsittelyä. Momentin viimeisessä virkkeessä korostettaisiin rikosasioiden tietosuojalain 6 §:n mukaista vaatimusta tarpeettomien tietojen poistamisesta ilman aiheetonta viivytystä. Vaatimusta täydentäisi kuuden kuukauden aikarajoitus, jonka kuluessa henkilötietojen merkityksellisyys olisi viimeistään arvioitava.
Pääsy momentissa tarkoitettuihin henkilötietoihin rajattaisiin yleislainsäädännön vaatimusten mukaisesti poliisin käyttöoikeushallinnan kautta vain niille henkilöille, joiden tehtäviin säännöksissä tarkoitettu merkityksellisyyden arviointi kuuluisi. Tietojen käsittely olisi muita käsittelytarkoituksia vastaavasti henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piirissä. Käsittelyä koskisivat kaikki rekisterinpitäjälle laissa asetetut velvoitteet, kuten velvoite varmistaa erityisiin henkilötietoryhmiin kuuluvien tietojen tietoturva niiltä osin kuin käsiteltävään aineistoon sisältyisi tällaisia tietoja. Rekisterinpitäjän olisi myös säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain 19 §:n vaatimusten mukaisesti. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja voidaan käyttää käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.
Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.
6 §. Tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin henkilötiedot, joita 5 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Sisällöllisesti tiedot vastaisivat pääosin voimassa olevan poliisin henkilötietolain 2 §:n mukaan poliisiasiain tietojärjestelmään talletettavia henkilötietoja.
Pykälän 1 kohdan mukaan käsitellä saisi poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviä tarpeellisia yksilöintejä, kuvauksia ja luokituksia. Tapahtumalla tarkoitettaisiin poliisilain 1 luvun 1 §:n mukaiseen poliisin tehtäväpiiriin kuuluvaa asiakokonaisuutta, josta voi seurata viranomaiselle velvoitteita, kuten selonottovelvoite (esimerkiksi uhkaan liittyvän uhka-arvion tekeminen) tai toimintavelvoite (esimerkiksi velvoite esitutkinnan suorittamiseen). Tapahtuma voi olla myös poliisin oma-aloitteisen toiminnan aikaansaama (esimerkiksi valvontatapahtumat ja niihin liittyvät valvontasuunnitelmat). Tehtävällä tarkoitettaisiin poliisilain 1 luvun 1 §:n mukaiseen poliisin tehtäväpiiriin liittyvään tapahtumaan kuuluvaa suoritetta (esimerkiksi hälytystehtävä, valvontatehtävä, esitutkinta tai poliisitutkinta). Yhteen tapahtumaan voi liittyä useita tehtäviä. Toimenpide on tehtävän osa, jolla on tietty kohde, kuten luonnollinen henkilö, oikeushenkilö, esine, aine tai omaisuus. Yksittäiseen tehtävään voi liittyä useita toimenpiteitä ja eriasteista julkisen vallan käyttöä, kuten henkilöön kohdistuva pakkokeinotehtävä (kiinniottaminen, pidättäminen, matkustuskielto, vangitseminen) tai henkilö-, ajoneuvo- tai omaisuuskuulutus.
Pykälän 1 kohdassa tarkoitettuihin poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti 1) rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen tiedot, 2) lähestymiskieltoa tai todistajansuojelua koskevat tiedot, 3) kenttätehtävien ja laissa erikseen säädettyjen valvontatehtävien tiedot, 4) tiedot pakkokeinoista, poliisin toimenpiteistä sekä esitutkinnan ja poliisitutkinnan vaiheista, 5) tekijän, tapauksen tai teon luokittelua kuvaavat tiedot sekä rikosten sarjoittamiseen ja tekniseen tutkintaan tarvittavat tiedot, 6) tekotavat ja keinot, joita on käytetty tai voidaan käyttää rikosten valmistelussa ja tekemisessä, 7) asiaa käsittelevät viranomaiset ja niiden käyttämät asioiden tunnisteet, ja 8) henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Poliisi voisi 1 kohdan nojalla käsitellä voimassa olevan lain 2 §:n 3 momentin 2 kohtaa vastaavasti myös tietoa henkilöllisyyttä väärinkäyttäneen ja henkilöllisyyden väärinkäytön kohteeksi joutuneen henkilön oikeasta henkilöllisyydestä. Pykälän 1 kohdassa tarkoitettuihin tietoihin sisältyisivät lisäksi yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetun lain (227/2015) 4 §:n nojalla määrättyjä suojelutoimenpiteitä koskevat tiedot, joihin sovelletaan voimassa olevan lain 47 a §:n mukaan poliisin henkilötietolain lähestymiskieltoa koskevia säännöksiä.
Pykälän 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkki-tietoihin kuuluisivat nykyisin poliisiasiain tietojärjestelmään talletettavat 1) henkilökuulutustiedot, joita ovat valokuva, sormenjäljet sekä muuttumattomat fyysiset erityistuntomerkit mm. etsintäkuulutettujen, kansalliseen maahantulokieltoon määrättyjen, valvottua koevapautta suorittavien tai lähestymiskiellolla suojattavien henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi; 2) tunnistettavien tiedot, joita ovat valokuvat, sormenjäljet, hammaskaaviot ja DNA-tunnisteet kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomana löytyneiden vainajien tunnistamiseksi; sekä 3) tuntomerkkitiedot, joita ovat valokuva, sormen-, käden- ja jalanjäljet sekä käsiala-, ääni- ja hajunäyte sekä DNA-tunnisteet rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi. Poliisi voisi nykyistä vastaavasti käsitellä myös henkilön jalkineenjälkiä. Poliisin toimivaltuudesta kerätä kohdassa tarkoitettuja tietoja säädetään muualla lainsäädännössä. Sääntely ei oikeuttaisi käsittelemään tietoja toimivaltuussääntelyä laajemmin.
Rikosasioiden tietosuojalain 11 §:ssä tarkoitettujen erityisiin henkilötietoryhmiin kuuluvien biometristen ja geneettisten tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikos-asioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Biometrisilla tiedoilla tarkoitettaisiin tietosuojadirektiivin 3 artiklan 13 kohtaa ja rikosasioiden tietosuojalain 3 §:n 13 kohtaa vastaavasti luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Esimerkiksi kasvokuvat kuuluisivat siten biometrisiin tietoihin vain silloin, kun ne on saatu henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisen käsittelyn avulla.
Tietosuojadirektiivissä on kiinnitetty erityistä huomiota tarpeeseen rajoittaa geneettisten henkilötietojen käsittelyä (direktiivin johdanto-osan 23 kappale), joka voisi paljastaa arkaluonteista tietoa muun muassa henkilön terveydentilasta. DNA-näytteestä määritettävä DNA-tunniste on kuitenkin poliisille rikoksen selvittämisessä oleellinen tuntomerkkitieto, jonka avulla henkilö voidaan tunnistaa luotettavasti silloin, kun esimerkiksi sormenjälkiä ei ole käytettävissä. Pakkokeinolain 9 luvun 4 §:ssä tarkoitettujen DNA-tunnisteiden lisäksi poliisi käsittelee DNA-tunnisteita myös kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi. Tunnistamiseksi tarpeellisten lähisukulaisten tietojen käsittely edellyttäisi pykälän 2 kohdan mukaan voimassa olevaa lakia vastaavasti asianomaisen henkilön suostumusta.
Pykälän 2 kohdassa tarkoitettuihin tietoihin kuuluisivat myös ulkomaalaisen tunnistamis-tiedot, joihin sisältyvät ulkomaalaislain 131 §:ssä tarkoitetut sormenjäljet, valokuva sekä muut henkilötuntomerkit. Tunnistamistietoja voitaisiin nykyistä vastaavasti käsitellä ulkomaalaislain 131 §:ssä poliisille säädettyjen tehtävien suorittamiseksi eli henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten ja valtion turvallisuuden suojaamiseksi. Tunnistamistietoja voitaisiin käsitellä vain ulkomaalaislain 131 §:ssä tarkoitetuista henkilöryhmistä.
Ulkomaalaisen tunnistamistiedoista säädetään voimassa olevassa laissa osana hallintoasiain tietojärjestelmää. Poliisille ulkomaalaislaissa 131 §:ssä säädetyt tehtävät eivät kuitenkaan rinnastu lakiehdotuksen 11 §:ssä tarkoitettuihin lupahallinto- ja valvontatehtäviin, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyteharkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen. Tunnistamistietoja käsitellään osana poliisille ulkomaalaislaissa erikseen säädettyä valvontatehtävää, ulkomaalaisvalvontaa. Poliisi suorittaa ulkomaalaisvalvontaa joko erillisenä toimenpiteenä tai osana muuta poliisitoimintaa, kuten liikenteenvalvonnan, rikostutkinnan, hälytystehtävien taikka yleiseen järjestykseen tai turvallisuuteen liittyvien tehtävien yhteydessä (HE 169/2014 vp, s. 22). Yhtenä ulkomaalaisvalvonnan tavoitteena on ennalta ehkäistä haavoittavassa asemassa olevien ulkomaalaisten joutumista rikollisten tai rikollisryhmien hyväksikäyttämäksi. Ulkomaalaisvalvonnalla on tietosuojadirektiivissä ja sen täytäntöönpanolain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Kun ulkomaalaisvalvontaa suoritettaisiin muuten kuin tietosuojadirektiivin soveltamisalaan kuuluvissa käsittelytarkoituksissa, sovellettaisiin henkilötietojen käsittelyyn ulkomaalaisrekisteristä annettua lakia sekä sen korvaavaa maahanmuuttohallinnon henkilötietolakia.
Pykälän 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Säännös vastaisi asiallisesti voimassa olevan lain 2 §:n 3 momentin 6 kohtaa. Erityisiin henkilötieto-ryhmiin kuuluvia turvallisuustietoja, kuten terveyteen liittyviä tietoja, voitaisiin käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Poliisi voisi lisäksi voimassa olevaa lakia vastaavasti käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.
Pykälän 4 kohdassa huomioitaisiin erikseen tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, syyte hylätty, jätetty tutkimatta tai sillensä, sekä tieto ratkaisun lainvoimaisuudesta. Kohta korvaisi voimassa olevan lain 2 §:n 3 momentin 1 kohdan a alakohdan.
Rikosasioiden tietosuojalain 11 §:ssä säädetään tietosuojadirektiivin vaatimusten mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevasta tiukemmasta käsittelykynnyksestä. Pykälän 1—4 kohdissa tarkoitettuihin tietoihin sisältyviä erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvia tietoja voisi sisältyä kaikkiin pykälässä tarkoitettuihin tietoluokkiin, mutta erityisesti sisältyisi 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 3 kohdassa tarkoitettuihin turvallisuustietoihin.
7 §. Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi. Pykälässä tarkoitettaisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaista henkilötietojen käsittelyä rikosten ennalta estämiseksi tai paljastamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten ennalta estämisen ja paljastamisen yhteydessä.
Pykälän 1 momentin mukaan poliisi voisi käsitellä rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi tarpeellisia henkilötietoja. Pykälällä korvattaisiin voimassa olevan lain epäiltyjen tietojärjestelmää koskeva säännös, joka ei nykymuodossaan palvele kokonaisvaltaisesti poliisin ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä toimintaan johtavan päätöksenteon kaikilla tasoilla. Pykälä korvaisi myös sellaiset voimassa olevan lain 6 §:ssä tarkoitetut rikosanalyysia varten perustetut poliisiyksikkökohtaiset tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Säännös mahdollistaisi tietojen valtakunnallisen käsittelyn.
Rikoksen estämisen määritelmä lisättiin poliisilain 5 luvun 1 §:n 2 momenttiin vuoden 2014 alussa voimaan tulleessa kokonaisuudistuksessa. Rikoksen estämisellä tarkoitetaan toimenpiteitä, joiden tavoitteena on estää rikos, sen yritys tai valmistelu, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan perustellusti olettaa hänen syyllistyvän rikokseen, taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Rikoksen estämisestä on kysymys silloin, kun teko kyettäisiin estämään ennen kuin tunnusmerkistön mukaiseen täytäntöönpanotoimeen on ryhdytty (HE 224/2010 vp, s. 89).
Poliisilain 1 luvun 1 §:ssä tarkoitettu rikosten ennalta estäminen on kuitenkin käsitteenä laaja-alaisempi kuin rikoksen estäminen. Myös rikosten ennalta estäminen liittyy rikostorjunnan yläkäsitteeseen, joka kattaa rikosten paljastamisen, selvittämisen ja syyteharkintaan saattamisen, mutta myös sellaiset määreet kuten turvallisuus ja turvallisuuden tunne. Poliisilain esitöissä todetaan yleisesti, että rikoksiin liittyvien toimenpiteiden katsotaan kuuluvan oikeus- ja yhteiskuntajärjestyksen turvaamisen yläkäsitteen piiriin (HE 224/2010, s. 70). Rikosten ennalta estäminen on osa poliisin ennalta estävää toimintaa, joka pyritään toteuttamaan kokonaisvaltaisesti kaikessa poliisitoiminnassa. Näin ollen käsite kytkeytyy läheisesti myös yleiseen järjestyksen ja turvallisuuden ylläpitämiseen.
Vuonna 1995 voimaan tulleen poliisilain perusteluiden mukaan rikostorjunta on poliisille kuuluva tehtäväkokonaisuus, jossa rikosten ennalta estämiseen ja selvittämiseen kuuluvia toimenpiteitä ei ole mahdollista erottaa toisistaan (HE 57/1994 vp, s. 59). Maininnassa korostuu poliisin tehtäväkentän monimutkaisuus ja laaja-alaisuus. Rikosten ennalta estämisellä tavoitellaan ensisijaisesti preventiivisyyttä, jossa potentiaalisiin rikoksentekijöihin vaikutetaan jo ennen kuin rikosta on tapahtunut. Poliisin moniviranomaisyhteistyönä toteuttama Ankkuri-toimintamalli on esimerkki tällaisesta varhaisen vaiheen turvallisuustyöstä.
Rikoksentorjuntaneuvosto jaottelee rikostorjunnan viitekehykseen liittyen rikosten ennalta estämisen kahteen kategoriaan; sosiaaliseen ehkäisemiseen ja rikosten tilannetorjuntaan. Sosiaalisessa ehkäisemisessä pyritään vaikuttamaan ihmisten itsekontrolliin ja sitoutumiseen normaaliin yhteiskuntaan, muun muassa kohdentamalla toimenpiteitä syrjäytymisvaarassa oleviin nuoriin tai rikoksenuusijoihin. Rikollisuuden tilannetorjuntaan liittyy rikoksenteon vaikeuttaminen, rikoksenteon riskien lisääminen ja rikoksesta saatavan hyödyn vähentäminen. (Rikoksentorjuntaneuvosto, 2013). Molemmissa ulottuvuuksissa poliisilla on oma roolinsa yhdessä muiden viranomaisten kanssa.
Rikosten ennalta estämiseksi suoritettava rikosanalyysi edellyttää pohjakseen tietoa. Erilaisten uhkien tunnistamien jo hiljaisista signaaleista ja mahdollisesti eri lähteistä tulleiden tietojen yhdistämisen kautta parantaa poliisitoiminnan tehokkuutta sekä poliisin mahdollisuuksia torjua rikoksia ja rikollisuutta mahdollisimman aikaisessa vaiheessa. Ennen rikoksen estämistä tarkka tunnusmerkistö tai rikosnimike ei aina ole tiedossa. Kyse voi olla esimerkiksi siitä, että poliisille tulleen tiedon mukaan henkilö on velkaantunut ja suunnittelee omaisuusrikoksen tekemistä. Toisena esimerkkinä voidaan mainita tilanne, jossa henkilö on vapautunut vankilasta suoritettuaan pitkän tuomion väkivaltarikoksista. Poliisin saamien rikostiedustelutietojen mukaan henkilön käyttäytyminen on edelleen väkivaltaista erityisesti päihteiden käytön yhteydessä. On syytä olettaa että henkilö tulee syyllistymään tulevaisuudessa väkivaltarikokseen, jonka tarkempi rikosnimike ei ole tiedossa. Tällaisen tiedon käsittely mahdollistaa arvioinnin oletettavissa olevan uhkan tasosta sekä mahdollisten toimenpiteiden käynnistämisestä. Toimenpiteet voivat pitää sisällään mm. pyrkimyksen päihdekierteen katkaisemiseen ja erilaiset tukitoimenpiteet yhteistyössä muiden viranomaisten kanssa.
Rikosten paljastaminen lisättiin poliisilain 1 luvussa 1 §:n 1 momentissa lueteltuihin poliisin tehtäviin vuoden 2014 alussa voimaan tulleen poliisilain kokonaisuudistuksen yhteydessä. Ennen poliisilain kokonaisuudistusta rikosten paljastamisen käsitettä oli jo käytetty poliisin tiedonhankintatoimivaltuuksia koskevissa säädöksissä, joissa määriteltiin tiedonhankinta-keinojen käyttöalan ulottuvan rikosten estämisen ja selvittämisen ohella myös niiden paljastamiseen. Rikosten estämisen ja paljastamisen välinen ero oli kuitenkin aikaisemmassa lainsäädännössä tulkinnallisesti häilyvä. Ennen vuoden 2014 poliisilain uudistusta käytännön poliisitoiminnassa käytettiinkin yleisesti estämisen tai selvittämisen oheen paljastamisen käsitettä tilanteissa, joissa hyödynnettiin aktiivisesti poliisilain mukaisia salaisia tiedonhankintakeinoja rikoksen "estämiseksi", kun esitutkintakynnyksen ei vielä ollut arvioitu ylittyneen, tai vastaavasti kun toiminta oli jo ylittänyt esitutkinnan syytä epäillä -kynnyksen. Tätä tulkinnallista epäselvyyttä täsmennettiin lisäämällä poliisilain salaisia tiedonhankintakeinoja käsittelevään uuteen 5 lukuun rikoksen estämisen ja paljastamisen yksilöidyt määritelmät poliisilain vuoden 2014 kokonaisuudistuksen yhteydessä.
Rikoksen paljastamisella tarkoitetaan poliisilain 5 luvun 1 §:n 3 momentin määritelmän mukaan toimenpiteitä, joiden tavoitteena on selvittää, onko esitutkinnan aloittamiselle esitutkintalain 3 luvun 3 §:n 1 momentissa tarkoitettua perustetta, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan olettaa, että rikos on tehty. Rikoksen estämisen ja paljastamisen määritelmillä on vaikutusta siihen, mitä tiedonhankintakeinoja poliisi saa käyttää rikoksiin liittyen eri vaiheissa sekä millä edellytyksissä eri tiedonhankintakeinoilla hankittuja tietoja saisi käsitellä ja tallentaa.
Esimerkiksi huumausainerikollisuus on tyypillistä piilorikollisuutta, jossa varsinkin maahantuonti- ja välittäjäportaassa tavoitellaan suurta taloudellista hyötyä. Toiminnalla on usein kytkentä tunnettuihin järjestäytyneisiin rikollisryhmiin ja se täyttää myös rikoslain 6 luvun 5 § 2 momentin määritelmän siitä, mitä järjestäytyneellä rikollisryhmällä tarkoitetaan. Tyypillisesti poliisin saadessa tietoa huumausaineiden välittämisestä rikollista toimintaa on saattanut tapahtua jo pidempiä aikoja, mutta esitutkintakynnys ei ole vielä ylittynyt. Tällöin kyseeseen tulevat rikoksen paljastamiseen liittyvät elementit, jolloin poliisilla on tarvetta käsitellä sellaisten henkilöiden tietoja, joiden voidaan olettaa syyllistyneen huumausainerikokseen tai törkeään huumausainerikokseen ja jatkavan kyseistä toimintaa edelleen. Voimassa oleva poliisilaki mahdollistaa 5 luvun salaisten tiedonhankintakeinojen käytön rikoksen paljastamiseksi ainoastaan 3 § mukaisissa rikoksissa, joihin eivät kuulu esimerkiksi rikoslain 50 luvussa määritellyt huumausainerikokset tai vakavatkaan väkivaltarikokset ilman rikoslain 34 a luvussa tarkoitettua terroristista tarkoitusta. Poliisilla on kuitenkin mahdollisuus suorittaa muita toimenpiteitä kyseisten rikosten paljastamiseksi. Erityisen tärkeäksi näissä tapauksissa nousee käytettävissä olevien tietojen käsittely ja yhdistely eli analysointi, joka edellyttää käsittelykynnyksen ylittäneiden tietojen tallettamista asianmukaiseen tietojärjestelmään.
Rikosten ennalta estämiseksi ja paljastamiseksi tapahtuvan tietojen käsittelyn intressi on tiedustelullinen. Tietoja käsiteltäisiin poliisitoiminnan suuntaamiseksi, mutta myös laaja-alaisesti turvallisuusympäristössä tapahtuvien muutosten havainnoimiseksi, pyrkimyksenä ennalta estävyys ja turvallisuuden ylläpitäminen. Tiedustelullisen tiedonintressin keskeisenä tavoitteena on paremman ymmärryksen saaminen turvallisuus- ja toimintaympäristöön liittyvien tilannetekijöiden hallinnoimiseksi. Rikostiedustelutoiminnassa tiedonintressi kohdistuu ensisijaisesti toiminnan suuntaamiseen, kun vastaavasti tutkinnassa tiedonintressin painopiste on tiedon rikosprosessuaalisessa käyttötarkoituksessa (todistelu- ja näyttötarkoitus yksittäisen rikosprosessin turvaamiseksi).
Tapahtumainkulun ennakoimiseksi, tilannetietoisuuden ylläpitämiseksi ja heikkojen signaalien ja ilmiöiden tunnistamiseksi välttämätön analyysitoiminta edellyttää monipuolista tietovarantojen hyödyntämistä sekä useista lähteistä saatavan tiedon yhdistelemistä ja jalostamista. Toimintaympäristöön liittyvät haasteet ja kasvavat datamäärät edellyttävät myös sitä, että tietojen käsittelyä kyetään automatisoimaan nykyistä enemmän muun muassa analytiikkasovelluksia hyödyntämällä. Säännöstä täydentäisivät tältä osin henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen koskevat 13 ja 14 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja voitaisiin hyödyntää 7 §:ssä tarkoitettuihin käsittelytarkoituksiin.
Tietosuojadirektiivin johdanto-osan 27 kappaleessa on huomioitu, että rikosten ennalta estäminen, tutkiminen ja niistä syyttäminen edellyttävät, että toimivaltaiset viranomaiset voivat käsitellä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollista toimintaa ja havaitakseen yhteyksiä selvitettävien rikosten välillä. Rikosten ennalta estävässä ja paljastavassa tarkoituksessa tapahtuvan henkilötietojen käsittelyn osalta olisi huomioitava myös käyttötarkoitussidonnaisuuden periaate sekä muut direktiivissä ja rikosasioiden tietosuojalaissa asetetut käsittelyn lainmukaisuutta ja oikeasuhtaisuutta koskevat vaatimukset.
Pykälän 2 momentissa säädettäisiin henkilöryhmistä, joita koskevia henkilötietoja 1 momentissa säädettyyn käsittelytarkoitukseen saisi pääasiassa käsitellä. Ehdotetun pykälän muotoilussa on kiinnitetty huomiota hallintovaliokunnan epäiltyjen tietojärjestelmää koskeviin huomautuksiin. Henkilöryhmät, joita pykälän mukaisiin tarkoituksiin saisi käsitellä, lueteltaisiin pykälässä tyhjentävästi. Rekisteriin tallettamiselle ja muulle näihin henkilöryhmiin liittyvälle henkilötietojen käsittelylle asetettaisiin erityiset käsittelykriteerit. Silloin, kun kyse olisi muista kuin varsinaiseen rikolliseen toimintaan oletettavasti kytkeytyvistä henkilöistä, henkilötietoja voitaisiin käsitellä vain kun se on välttämätöntä tehtävän suorittamiseksi.
Ehdotettu 7 § korvaisi epäiltyjen tietojärjestelmän lisäksi voimassa olevan lain 6 §:n nojalla rikosanalyysia varten perustetut poliisiyksikkökohtaiset tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Voimassa olevassa poliisin henkilötietolaissa ei säädetä henkilöryhmistä, joiden tietoja tilapäisiin rikosanalyysirekistereihin voidaan tallettaa. Tältä osin 2 momentti selventäisi nykytilaa ja täsmentäisi rikosanalyysitarkoituksiin käsiteltäviä henkilöryhmiä.
Momentissa ehdotetaan käsittelykynnyksen kytkemistä ilmaisuun "voidaan perustellusti olettaa". Ilmaisu kuvaa rikostiedustelutoiminnan kannalta tarkoituksenmukaisesti käsittelykynnystä, joka on alempi kuin esitutkinnan käynnistämiskynnys. Ilmaisulla "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän" viitataan tilanteeseen, jossa on saatu vihjeitä rikoksesta, mutta esitutkinnan käynnistämiskynnyksen "syytä epäillä" tasoa ei ole vielä saavutettu eli suunnitteilla ja tekeillä olevaan rikokseen, jonka estämiseksi rikostiedustelua tehdään. Momentissa tarkoitettaisiin henkilöitä, joiden osalta on yhteys oletettuun rikolliseen toimintaan, mutta kaikkien asiaan liittyvien henkilöiden rooli ei välttämättä ole selvä.
Momentin 1 kohdassa tarkoitettuun henkilöryhmään kuuluisivat oletettujen rikoksentekijöiden lisäksi myös rikosoikeuden osallisuusopin mukaiset osalliset eli avunantajat, yllyttäjät ja rikoskumppanit.
Momenttiin ehdotetaan sisällytettäväksi voimassa olevaan lakiin nähden uutena henkilö-ryhmänä rikokseen osallisia ja rikosta edistäviä henkilöitä täydentävä säännös rikokseen liittyvistä henkilöistä. Momentin 2 kohdassa säädettäisiin henkilöistä, jotka ovat yhteydessä 1 tarkoitettuun henkilöön tai tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen. Tietosuojadirektiivin 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen tai rikoksesta tuomittuihin henkilöihin.
Rikokseen syyllistyvään henkilöön yhteydessä olevan henkilön suhteen merkitys tulisi jo arvioitavaksi silloin, kun rikosanalyysissa löydetään useampia kontakteja henkilöiden välillä, joista toinen on 1 kohdan mukainen henkilö ja toinen ei. Tällaisen suhteen olemassaololle voi olla luonnollinen selitys, esimerkiksi asiakassuhde. Momentin 2 kohdassa tarkoitettaisiin henkilöitä, joiden kautta voitaisiin saada 1 kohdan mukaisista henkilöistä ja analyysin kannalta merkityksellisiä tietoja. Säännöksessä kuitenkin edellytettäisiin, että tälläkin henkilöryhmällä on yhteys oletettuun rikokseen, ottaen huomioon rikostiedustelun mahdolliset vaikutukset kyseessä olevien henkilöiden asemaan ja oikeusturvaan. Näin ollen pelkkä olettamus tai tapaamisten toistuvuus ei riittäisi ylittämään rekisteriin tallettamiskynnystä.
Momentin 3 kohdassa tarkoitettaisiin henkilöitä, jotka ovat poliisilain 5 luvun 13 §:n mukaisen tarkkailun kohteena rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Tarkkailulla tarkoitetaan poliisilain 5 luvun 13 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa. Kohdassa tarkoitettuihin henkilöihin kuuluisivat sellaiset tarkkailun kohteena olevat henkilöt, joiden tietojen käsittely ei ole mahdollista momentin 1 ja 2 kohdan nojalla.
Pykälän 3 momentissa säädettäisiin sellaisista henkilöryhmistä, jotka eivät olisi poliisin rikostiedustelun ensisijaisia kohdehenkilöitä. Näitä henkilöryhmiä olisivat rikoksen uhrit tai asianomistajana esiintyvät henkilöt, rikoksen ilmoittajat ja rikoksen todistajat. Todistajalla ei tässä momentissa tarkoitettaisi välttämättä henkilöitä, jotka on jo nimetty todistajiksi rikosprosessissa. Henkilötietojen käsittelylle asetettaisiin näiden ryhmien osalta erityiset suojatakeet. Näitä henkilöryhmiä koskevien henkilötietojen käsittely ei saisi mennä pidemmälle kuin on välttämätöntä tavoitteen kuten saavuttamiseksi, kuten rikoksen ennalta estämiseksi. Näiden henkilöryhmien tietojen käsittely voisi olla välttämätöntä esimerkiksi siinä tilanteessa, kun jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva rikos pyritään estämään ennalta, esimerkiksi uhka-asiassa, jossa suunniteltu teko kohdistuu johonkin yksilöityyn henkilöön. Tällainen tilanne voi olla esimerkiksi kidnappauksen suunnittelu tai järjestäytyneen rikollisryhmän kostotoimenpide toisen rikollisryhmän henkilöä kohtaan.
Pykälän 4 momentissa säädettäisiin rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta. Rikosanalyysillä tarkoitetaan suunnitelmallista ja järjestelmällistä tiedonhankintakeinoilla hankitun tai muusta tietolähteestä saadun tiedon käsittelyä rikosten tai rikosilmiöiden samankaltaisuuksien ja erilaisuuksien havaitsemiseksi tarkoituksena ennustaa ja estää rikoksia tulevaisuudessa. Tehokas rikosanalyysitoiminta on välttämätön edellytys suunnitelmalliselle ja järjestelmälliselle rikostorjunnalle. Momentissa tarkoitetun päätöksen voisi tehdä rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö. Päätös olisi tehtävä kirjallisesti. Lähtökohtaisesti henkilötietojen käsittelystä päättää rekisterinpitäjä. Valtakunnallisten pysyvien analyysikantojen muodostamisesta päättäisi jatkossa Poliisihallitus rekisterinpitäjänä.
Voimassa olevan lain 8 §:n mukaan tilapäisten analyysirekistereiden perustamisesta päättää toiminnasta vastaava poliisiyksikkö. Voimassa olevaan lakiin ei sisälly säännöksiä tiedustelumuistion muodossa käsiteltävien henkilötietojen käsittelyn aloittamisesta, joka ei johda henkilörekisterin muodostumiseen. Tältä osin säännös ei lähtökohtaisesti toisi muutosta voimassa olevaan oikeustilaan.
Poliisihallitus voisi ehdotetun 4 momentin mukaan edelleen määrätä päätösvallasta esimerkiksi siten, että poliisiyksikkö voisi edelleen päättää tilapäisestä toimintaansa varten tarpeellisesta rikosanalyysistä.
Pykälän 5 momentissa säädettäisiin havaintotietojen käsittelystä. Säännös vastaisi sisällöltään voimassa olevan lain 2 §:n 2 momentin 11 kohtaa. Havaintotiedot voisivat sisältää poliisi-miesten havaitsemia tai poliisille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi arvioida liittyvän rikolliseen toimintaan. Kyse olisi tiedoista, joita poliisi saa havainnoidessaan toimintaympäristöään tai tiedoista, jotka sivullinen on saattanut poliisin tietoon. Poliisi voisi saada esimerkiksi nimettömän vihjeen epäilyttävästi käyttäytyvistä henkilöistä tai epäilyttävästä toiminnasta, joka ei sellaisenaan välttämättä olisi lainvastaista toimintaa. Yhdistettynä muihin tekijöihin tai olosuhteisiin havaintotiedot voisivat kuitenkin viitata rikolliseen toimintaan.
Poliisi saa myös sivullisilta henkilöiltä havaintotietoja esimerkiksi nettivinkkijärjestelmän välityksellä. Saapuneista vihjeistä välitetään poliisin yksiköille jatkotoimenpiteitä varten sellaiset, joiden osalta on harkittava, kuuluuko asia poliisin hoidettavaksi tai onko asiassa syytä epäillä rikosta. Tietoja analysoimalla pyritään estämään, paljastamaan ja selvittämään rikoksia ja rikoksia koskevia suunnitelmia, tunnistamaan tekijät sekä kohdistamaan heihin mahdollisia rikoksen estämistä tukevia lupavalvontatoimenpiteitä.
Pykälän 6 momentissa säädettäisiin 5 §:n 3 momenttia vastaavasti poliisin oikeudesta käsitellä henkilötietoja sen arvioimiseksi, ovatko tiedot tarpeellisia 7 §:n mukaisiin käsittelytarkoituksiin.
Voimassa olevan lain epäiltyjen tietojärjestelmää koskeva 4 §:n 4 momentti sisältää rajoitus-säännöksen, jonka mukaan epäiltyjen tietojärjestelmää saavat käyttää teknisen käyttöyhteyden avulla vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt poliisin henkilöstöön kuuluvat sekä poliisin ulkomaille lähettämät yhdyshenkilöt. Ehdotetulla pykälällä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Esityksen 1. lakiehdotuksen 4 §:ään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Tietoturvallisuudesta säädetään rikosasioiden tietosuojalain 32 §:ssä. Kyseisen pykälän 5 kohdan mukaan rekisterinpitäjällä olisi velvollisuus varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet poliisin tietojärjestelmiin myönnetään työtehtävien perusteella.
Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.
8 §. Rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisältö. Pykälän1 momentissa täsmennettäisiin henkilötiedot, joita 7 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi.
Momentin 1 kohdassa tarkoitettuihin poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti rikostiedustelutehtävien ja ennalta estävän toiminnan tehtävien tiedot, tiedot käytetyistä tiedonhankintakeinoista, poliisin toimenpiteistä sekä asian käsittelyn vaiheista sekä henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Tämän kaltainen sääntely on ennalta estävän ja paljastavan toiminnan osalta aiemmin osittain sisältynyt voimassa olevan poliisin henkilötietolain 2 §:ään. Sääntelyn tulkinnanvaraisuus on kuitenkin johtanut jossain määrin epäselvään oikeustilaan. Kohdan tarkoituksena olisi selventää nykyistä oikeustilaa. Tapahtumien riittävä kuvaus ja niihin liittyvien tehtävien ja toimenpiteiden yksilöinti ovat tärkeitä poliisin toiminnallisten tarpeiden lisäksi myös laillisuusvalvontaa varten ja rekisteröidyn oikeuksien valvomiseksi. Toiminnan kirjaamisella varmistettaisiin sekä kohteen oikeusturva että poliisin kyky tehtäviensä suorittamiseen. Kirjattua tietoa voitaisiin myös hyödyntää poliisin toiminnan suuntaamiseen tarkoituksenmukaisella tavalla ehdotetun 13 §:n 1 momentin 8 kohdan mukaisesti.
Momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja ja sen nojalla poliisi saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin tiedot ovat tarpeellisia rikosten ennalta estämisen ja selvittämisen kannalta.
Momentin 3 kohdassa tarkoitetut tuntomerkkitiedot käsittäisivät muun muassa henkilön pituuden, painon ja silmien värin. Tuntomerkkitiedot kattaisivat myös muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit, kuten arvet ja syntymämerkit. Lisäksi kohdalla katettaisiin myös biometriset tiedot, kuten sormen-, käden- ja jalanjäljet, kasvokuva, ääni-, haju- ja käsialanäyte sekä fyysinen DNA-näyte ja siitä määritetty digitaalinen tai muu DNA-tunniste. Erityisiin henkilötietoryhmiin kuuluvien biometristen tietojen käsittely olisi rajoitettu vain välttämättömien tietojen käsittelyyn. Poliisin ja rekisteröitävän oikeusturvan kannalta on välttämätöntä, että poliisi pystyy varmistamaan rekisteröitävän henkilöllisyyden luotettavasti. Henkilön tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita henkilön yksilöimis- ja tunnistetietoja. Esimerkiksi henkilön kuva on usein luotettavampi tunnistetieto kuin henkilön käyttämä nimi. Ehdotus ei muuttaisi voimassa olevaa oikeustilaa, vaan sisältäisi lähinnä EU:n muuttuvan tietosuojaviitekehyksen edellyttämät tarkennukset.
Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 6 §:n 1 momentin 3 kohdassa.
Rikosasioiden tietosuojalain 11 §:ssä säädetään tietosuojadirektiivin vaatimusten mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevasta tiukemmasta käsittelykynnyksestä. Pykälän 1—4 kohdissa tarkoitettuihin tietoihin sisältyviä erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvia tietoja sisältyisi 1 momentin 3 kohdassa tarkoitettujen henkilöllisyyden toteamiseksi tarpeellisten tuntomerkkitietojen lisäksi erityisesti 4 kohdassa tarkoitettuihin turvallisuustietoihin.
Pykälän 2 momentissa säädettäisiin velvollisuudesta liittää henkilötietoihin arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Käytännössä kyse olisi vakiintuneesta menettelystä, jolla poliisi arvioi tietojen luotettavuuden astetta. Säännöksellä huomioitaisiin tietosuojadirektiivin 7 artiklan 1 kohdan vaatimus siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista. Säännöksellä myös tuettaisiin artiklan 2 kohdan vaatimusta siitä, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei luovuteta eikä aseteta saataville. Poliisin olisi myös varmennettava mahdollisuuksien mukaan henkilötietojen laatu ennen niiden luovuttamista tai saataville asettamista.
9 §. Tietolähdetietojen käsittely. Pykälässä ehdotetaan säädettäväksi tietolähdetietojen käsittelystä. Voimassa olevan poliisin henkilötietolain 2 §:n 3 momentin 9 kohdassa säädetään rikoksen estämiseksi, paljastamiseksi tai selvittämiseksi tietolähteenä käytetyn poliisilain 5 luvun 40 §:ssä tarkoitetun henkilön tietojen sekä tietolähteen käyttöä ja valvontaa koskevien tietojen tallettamisesta poliisiasiain tietojärjestelmään. Tietolähdetoiminta ja tietolähteen ohjattu käyttö eroavat kuitenkin useimmista poliisilain 5 luvun tiedonhankintasäännöksistä siinä suhteessa, että hankitut tiedot voivat olla merkityksellisiä kaikentyyppisten poliisilain 1 luvun 1 §:n tarkoitettujen tehtävien hoitamiseksi.
Poliisilain 5 luvun 40 §:n 1 momentin mukaan tietolähdetoiminnalla tarkoitetaan muuta kuin satunnaista luottamuksellista, 1 luvun 1 §:ssä tarkoitettujen tehtävien hoitamiseksi merkityksellisten tietojen vastaanottamista poliisin ja muun esitutkintaviranomaisen ulkopuoliselta henkilöltä. Mainitun pykälän 2 momentin mukaan poliisi saa pyytää tähän tarkoitukseen hyväksyttyä, henkilökohtaisilta ominaisuuksilta sopivaa, rekisteröityä ja tiedonhankintaan suostunutta tietolähdettä hankkimaan 1 momentissa tarkoitettuja tietoja.
Poliisi voisi ehdotetun 10 §:n nojalla käsitellä poliisilain 5 luvun 40 §:ssä tarkoitettujen henkilöiden tietoja 5, 7 ja 11 §:ssä säädettyjä tarkoituksia varten eli kaikkiin poliisilain 1 luvun 1 §:ssä tarkoitettujen tehtävien suorittamiseen liittyviin alkuperäisiin käsittelytarkoituksiin. Esimerkkinä muusta kuin rikostorjunnasta voidaan mainita tilanne, jossa tietolähteeltä saadaan aseharrastajan terveydentilaa koskeva tieto, joka johtaisi viranomaisen taholta esimerkiksi lääkärintodistuksen pyytämiseen ja edelleen ampuma-aseluvan peruuttamiseen (HE 224/2010 vp, s. 124).
Pykälässä selvennettäisiin lisäksi tietolähteen antamien tietojen asemaa tietolähdetietoina. Säännös mahdollistaisi myös tietolähteen käytön ja valvonnan kannalta tarpeellisten lähteen antamien tietojen varmistamiseen liittyvien tietojen käsittelyn. Näihin tietoihin voisivat kuulua esimerkiksi eri järjestelmien sisältämät tiedot, joita käsiteltäisiin lähteen ilmoittaman henkilön henkilöllisyyden varmistamiseksi.
Pykälään ehdotetaan lisättäväksi viittaus myös pakkokeinolakiin, jonka 10 luvun 39 §:ssä säädetään rikoksen selvittämiseen liittyvästä tietolähdetoiminnasta. Tietolähteen rekisteröinnistä ja kirjaamisesta säädetään lisäksi esitutkinnasta, pakkokeinoista ja salaisesta tiedonhankinnasta annetun valtioneuvoston asetuksen (122/2014) 13 §:n 2 momentissa ja 14 §:ssä.
Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä.
10 §. DNA-näytteiden laadun varmistamiseen liittyvä henkilötietojen käsittely. DNA-analytiikkaan liittyvät menetelmät ovat kehittyneet ja herkistyneet merkittävästi viime vuosina. Nykyisten menetelmien herkkyys toisaalta mahdollistaa rikosten tehokkaan tutkinnan, toisaalta myös paljastaa muusta lähteestä peräisin olevan DNA:n. DNA-eliminaationäytteistä määritettyjen DNA-tunnisteiden avulla on mahdollista todeta mahdollinen rikospaikan tai rikospaikkanäytteen saastuminen ja suunnata tutkintaa poissuljennan avulla. Lisäksi näiden tunnisteiden määrittämisen avulla ja havaittaessa saastumisia on mahdollista ohjata henkilöstöä laadukkaaseen työhön ja saada selville ne käsittelyvaiheet, joihin erityisesti liittyy saastumisen riski.
DNA-näytteiden laadun varmistamiseen liittyvän henkilötietojen käsittelyn tarkoituksena on poliisin teknisessä tutkinnassa taltioitujen DNA-näytteiden (rikospaikkanäytteet) mahdollisen saastumisen eli kontaminaation selvittäminen, saastumiseen johtaneiden tekijöiden tunnistaminen, korjaaminen ja ennaltaehkäisy. Lisäksi tarkoituksena on erilaisten laadunvarmistustekijöiden, kuten poliisilaitosten rikosteknisten yksiköiden työskentelytilojen puhtauden tutkiminen (monitorointinäytteet). Ensisijaisesti pyritään tallettamaan poliisin henkilöstöstä sellaisten henkilöiden DNA-tunnisteet, jotka osallistuvat rikospaikalta kerättyjen näytteiden käsittelyyn.
DNA-eliminaationäytteen antaminen perustuu vapaaehtoisuuteen. Tutkinnallisista syistä tutkinnanjohtajilla on tarve lähettää esimerkiksi rikospaikalle vain sellaisia henkilöitä, joiden DNA-laadunvarmistusnäyte on talletettu. Mahdollisessa DNA-osumassa saadun kontaminaatiotiedon avulla tutkinnanjohtajan on mahdollista suunnata tutkimuksia tai mahdollisuus pois sulkea mahdollinen vieras DNA-tunniste rikospaikalta taltioidusta näytteestä.
11 §. Henkilötietojen käsittely poliisin muissa lakisääteisissä tehtävissä. Pykälässä tarkoitettujen tehtävien suorittamiseksi tapahtuva henkilötietojen käsittely kuuluisi tietosuoja-asetuksen ja sitä täydentävän kansallisen tietosuojalain soveltamisalaan. Pykälällä korvattaisiin voimassa olevan lain 3 §:n säännökset, jotka koskevat henkilötietojen tallettamista hallintoasiain tietojärjestelmään ampuma-aselaissa, henkilökorttilaissa (663/2016), passilaissa, yksityisistä turvallisuuspalveluista annetussa laissa (1085/2015), rahankeräyslaissa (255/2006), arpajaislaissa ja räjähteiden lähtöaineiden markkinoille saattamisesta ja käytöstä annetussa laissa (653/2014) säädettyjen tehtävien suorittamiseksi. Voimassa olevan lain 3 §:n 3 momentin 7 kohdassa tarkoitettujen ulkomaalaislain 131 §:ssä säädettyjen tehtävien suorittamiseksi käsiteltävien tunnistamistietojen käsittelyyn sovellettaisiin 5 ja 6 §:ää.
Pykälässä ei voimassa olevan lain 3 §:stä poiketen lueteltaisi niitä säädöksiä, joissa säädetään poliisin lupahallintoon liittyvistä tehtävistä. Ehdotettu nykyistä joustavampi sääntelytekniikka mahdollistaisi poliisilain 1 luvun 1 §:n 2 momentissa tarkoitettujen tehtävien suorittamiseksi tarpeellisten henkilötietojen valtakunnallisen käsittelyn voimassa olevaa lakia laajemmin.
Poliisille on lupahallinnollisten tehtävien lisäksi säädetty erikseen sellaisia valvontatehtäviä, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyte-harkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen. Pykälää sovellettaisiin lupahallinnollisten tehtävien lisäksi myös näiden tehtävien suorittamiseksi tarpeelliseen henkilötietojen käsittelyyn.
Kaikki poliisilain 1 luvun 1 §:n 2 momentin mukaiset tehtävät eivät kuitenkaan kuuluisi pykälän soveltamisalaan. Esimerkiksi kadonneiden henkilöiden löytämiseksi tapahtuva henkilötietojen käsittely kuuluisi tyypillisesti tietosuojadirektiivin ja sen täytäntöönpanolain soveltamisalaan. Lupahallintoon liittyvien tehtävien osalta lupaharkinta kuuluisi 11 ja 12 §:n soveltamisalaan, mutta lupavalvontaan sovellettaisiin toiminnan tarkemmasta luonteesta riippuen 11 ja 12 §:ää tai 5 ja 6 §:ää. Kun lupavalvontaa suoritettaisiin poliisin kenttätehtävien yhteydessä, henkilötietojen käsittely tapahtuisi 5 ja 6 §:n nojalla ja siihen sovellettaisiin yleis-säädöksinä tietosuojadirektiiviä ja rikosasioiden tietosuojalakia.
Esimerkiksi löytötavaralain mukaisessa löytötavaratoiminnassa käsiteltävät henkilötiedot siirtyisivät ehdotetun 11 §:n mukaisesti poliisin valtakunnalliseen rekisterinpitoon voimassa olevan lain 6 §:n nojalla perustetuista yksikkökohtaisista henkilörekistereistä, joihin tiedot on tähän asti talletettu. Ehdotus mahdollistaisi myös ampumaratalaissa poliisille säädettyihin tehtäviin liittyvien henkilötietojen käsittelyn poliisin valtakunnallisissa tietojärjestelmissä. Lisäksi poliisi voisi pykälän nojalla käsitellä muun muassa ajokorttilaissa (386/2011), tieliikennelaissa (729/2018) sekä rahanpesulaissa säädettyjen tehtävien suorittamiseksi tarpeellisia henkilötietoja.
Pykälän mukaisiin tarkoituksiin käsiteltävät henkilöryhmät määräytyisivät poliisin tehtäviä koskevan erityislainsäädännön perusteella. Poliisi käsittelee pykälässä tarkoitettujen laki-sääteisten tehtäviensä suorittamiseksi erityisesti seuraavien henkilöryhmien tietoja: 1) poliisin lupahallinnollisia tehtäviä koskevien lakien mukaisten lupien, hyväksymispäätösten ja hyväksyntien hakijat ja saajat sekä hakemusten kohteet ja ilmoitusten tekijät, sisältäen myös passien ja henkilökorttien hakijat ja haltijat; 2) lupahallinnollisten tehtävien suorittamiseksi käsiteltävät yhteisön asiamiehet, yhteisön hallintoelinten jäsenet sekä ampumaratalain mukaiset aseratavastaavat; 3) ampuma-aselain 114 §:n mukaisten ampuma-aseilmoitusten kohteena olevat henkilöt ja ilmoituksen tehneet terveydenhuollon ammattihenkilöt; 4) rahankeräysten ja arpajaisten yhteys- ja vastuuhenkilöt sekä käytännön toimeenpanijat; sekä 5) poliisin valvottavaksi säädetyn elinkeinonharjoittajan tai yhteisön palveluksessa olevat henkilöt.
Pykälän nojalla voitaisiin käsitellä myös muiden poliisille säädettyjen lupahallinto- ja valvontatehtävien sekä löytötavaratoimintaan liittyvien tehtävien suorittamiseksi tarpeellisia henkilöryhmien tietoja. Näihin henkilöryhmiin kuuluisivat erimerkiksi asiakirjan toimitustietoihin liittyvät henkilöt, konkurssi- tai kuolinpesän hoitajat ja kuolinpesän osakkaat, lausunnonantajat, löytötavaralain perusteella rekisteröitävät henkilöt, rahankeräys- ja arpajaislain mukaan määrätyt toimitsijat, valokuvaajat, jotka tallettavat kuvia lupa-asiakirjoja varten, sekä ampuma-aseen tai muun ampuma-aselain perusteella rekisteröidyn esineen luovuttajat ja aseen omistajat, joiden tiedot talletettaisiin asetietojärjestelmään aselainsäädännön edellyttämän aseen elinkaaren seurannan mahdollistamiseksi. Lisäksi pykälä kattaisi henkilöt, joiden tietoja olisi käsiteltävä tieliikennelain ja rahanpesulain mukaisten hallinnollisten seuraamusten käsittelemiseksi sekä muut pykälässä tarkoitettuihin valvontatehtäviin liittyvät henkilöt, joiden tietojen käsittely on tarpeen poliisin lakisääteisten tehtävien suorittamiseksi.
12 §. Poliisin muiden lakisääteisten tehtävien suorittamiseksi käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin tietoluokat, joihin kuuluvia henkilötietoja poliisi voisi käsitellä 11 §:n mukaisiin tarkoituksiin 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Luvalla tarkoitettaisiin kaikkia niitä lupia, mukaan lukien hyväksynnät ja matkustusasiakirjat, joiden myöntämiseen ja valvontaan liittyviä tehtäviä poliisille on säädetty.
Pykälän 1 momentin 1 kohdassa tarkoitettuihin hakemusta, lupaa, lausuntoa, ilmoitusta ja päätöstä koskeviin tietoihin sisältyisivät myös luvan peruuttamista sekä lupa-asiakirjan katoamista tai anastamista koskevat tiedot sekä rahankeräyslain ja arpajaislain mukaisia tilityksiä ja loppuilmoituksia koskevat tiedot. Momentin 2 kohdassa tarkoitetut luvan myöntämisen tai voimassaolon estettä koskevat tiedot sekä luvan myöntämisen tai voimassaolon edellytysten selvittämiseksi tarvittavat tiedot sisältäisivät esimerkiksi luvanhaltijan tai -hakijan toimittamat tai muilta viranomaisilta, oppilaitoksilta ja terveydenhuollon ammattihenkilöiltä saadut todistukset ja tiedot sekä ampuma-aselain 114 §:n mukaisen ampuma-aseilmoituksen tiedot. Momentin 3 kohdan nojalla voitaisiin käsitellä muun muassa tietoja viranomaisen suorittamista tarkastuksista, varoituksista ja huomautuksista sekä kieltoihin ja uhkasakkomenettelyyn liittyvistä toimenpiteistä. Poliisin toimenpiteiden lisäksi lupahallinnollisten asioiden yhteyteen tallennetaan tietoja myös esimerkiksi Maahanmuuttoviraston ja Suomen edustustojen toimenpiteistä.
Momentin 4 kohdassa säädettäisiin henkilön valokuvan ja nimikirjoitusnäytteen käsittelystä, jotka henkilö on luovuttanut poliisille, ulkoministeriölle tai ulkoasiainhallinnon viran-omaiselle hakiessaan sellaista lupaa tai päätöstä, jonka valmistamiseen henkilön valokuva ja nimikirjoitusnäyte ovat tarpeen. Tietosuoja-asetuksen johdanto-osan 51 kappaleen mukaan valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen biometrisiin tietoihin. Momentin 4 kohdassa tarkoitettu valokuva ei kuuluisi tietosuoja-asetuksen 4 artiklan määritelmän mukaisiin biometrisiin tietoihin. Henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi tarpeellisesta kasvokuvan ja sormenjälkien biometrisesta käsittelystä säädettäisiin biometristen tietojen erityisaseman vuoksi erikseen momentin 5 kohdassa.
Momentin 6 kohdassa säädettäisiin toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeellisten tietojen käsittelystä. Voimassa olevan lain 3 § ei sisällä säännöksiä niin sanottujen turvallisuustietojen tallettamisesta hallintoasiain tietojärjestelmään. Erityisesti kohteen tai henkilön vaarallisuutta tai arvaamattomuutta koskevien tietojen käsittely voi kuitenkin olla henkilön turvallisuuden tai viranomaisen työturvallisuuden takaamiseksi tarpeellista myös tilanteissa, joissa tietoja käsitellään 11 §:ssä tarkoitettujen poliisin lakisääteisten tehtävien suorittamiseksi.
Momentin 7 kohdassa katettaisiin poliisin määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeelliset tiedot. Kohdassa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat tieliikennelain 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu sekä rahanpesulain 8 luvussa tarkoitetut hallinnolliset seuraamukset.
Poliisi voisi osana 12 §:ssä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Näitä olisivat 1 momentin 2 kohdassa tarkoitetut terveyttä koskevat tiedot ja muut tarpeelliset erityisiin henkilötietoryhmiin kuuluvat tiedot, 5 kohdassa tarkoitetut henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi henkilökortin tai passin hakijalta hakutilanteessa otetut biometriset sormenjälkitiedot ja kasvokuva sekä 6 kohdassa tarkoitettuihin tietoihin sisältyvät välttämättömät erityisiin henkilötietoryhmiin kuuluvat tiedot, kuten henkilön terveydentilaa koskevat tiedot.
Poliisi käsittelee osana arpajaislain 11 §:ssä mainitun rahapeliyhtiön valvontaa myös sen asiakkaiden asiakasrekisteriin ja peliaineistoon sisältyviä henkilötietoja. Näiden henkilötietojen käsittelyn osalta ehdotetaan erillistä 2 momenttia. Rahapeliyhtiön asiakas- ja pelaajatietojen käsittely olisi rajoitettava siihen, mikä on tarpeellista rahapeliyhtiön valvonnan suorittamiseksi, koska kyseessä olevien henkilötietojen alkuperäinen käsittelytarkoitus on rahapeliyhtiön asiakastietojen käsittely. Poliisi voisi käsitellä pelaajatietoja myös rahanpesulain mukaiseen valvontaan, joka kohdistuu rahapeliyhteisöön ja elinkeinonharjoittajiin ja yhteisöihin, jotka välittävät rahapeleihin liittyviä osallistumisilmoituksia ja -maksuja, esimerkiksi sen selvittämiseksi, onko rahapeliyhtiö tai sen asiamies suorittanut asiakkaan tuntemistoimet lain edellyttämällä tavalla. Asiakkaan henkilötietoja tarvitaan lisäksi pelaajien oikeusturvan takaamiseksi suoritettavassa pelaajien pelitapahtumien todentamisessa.
Pelaajatietojen osalta poliisi voisi käsitellä erityisesti seuraavia henkilötietoja: pelaajatunniste, syntymäaika, sukupuoli, yhteystiedot, kuolinpäivä, peliyhtiön antama asiakasnumero, pelaajan tilinumero, rekisteröitymispäivä, pelitilin sulkemispäivä, pelaajan asettamat pelirajat, rahansiirrot pelitilille, pelitilille siirrettäviä varoja koskevat rahansiirtorajat, pelitapahtumien tiedot, peliestot ja pelikiellot. Luettelo ei kuitenkaan olisi tyhjentävä. Käsiteltävistä tiedoista osa on suoraan yhdistettävissä yksittäiseen pelaajaan (esimerkiksi pelaajatunniste tai pelaajan tilinumero) ja henkilö on siten tunnistettavissa tämän tiedon perusteella. Osa käsiteltävistä tiedoista on puolestaan sellaisia henkilötietoihin liitettäviä tietoja (esimerkiksi pelirajat, peliestot tai pelikiellot), joiden perusteella yksittäistä pelaajaa ei voida suoraan tunnistaa, vaan tunnistaminen edellyttää myös jonkin muun henkilön yksilöivän tiedon yhdistämistä kyseessä olevaan tietoon. Pelaajia koskevia tietoja ei olisi kuitenkaan mahdollista yhdistää yksittäiseen luonnolliseen henkilöön pelkästään rahapeliyhtiön poliisille tietojoukkona siirtämien tietojen perusteella, vaan poliisi saisi tiedon yksittäisen pelaajan henkilöllisyydestä ainoastaan rahapeliyhtiön kautta.
Poliisille säädettyjä rekisterinpitovelvoitteita sekä rekisterien tietosisältöä täsmentäviä säännöksiä sisältyy myös erityislakeihin, jossa poliisin lupahallinnollisista tehtävistä säädetään. Esimerkiksi arpajaislain 42 b §:ssä säädetään arpajaisten valvontatiedostosta, passilain 29 §:ssä passirekisteristä ja henkilökorttilain 31 §:ssä henkilökorttirekisteristä.
13 §. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Ehdotetussa 13 §:ssä säädettäisiin 5—9, 11 ja 12 §:ssä tarkoitettujen tietojen käsittelystä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lukuun ottamatta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä, josta säädettäisiin 14 §:ssä ja henkilötietojen käsittelystä lupaharkinnassa ja -valvonnassa, josta säädettäisiin 15 §:ssä. Pykälällä korvattaisiin pääosin voimassa olevan lain 16 §:n 1 ja 2 momentin säännökset, mutta säännöksiä laajennettaisiin ja tarkennettaisiin eräiltä osin.
Pykälän 1 momentissa lueteltaisiin tarkoitukset, joihin poliisi voisi käsitellä muuhun alku-peräiseen käsittelytarkoitukseen kerättyjä tietoja. Momentin säännöksiä sovellettaisiin, jollei muualla laissa säädettäisi tiukempia edellytyksiä jonkin tiedon käsittelylle. Tällä tarkoitettaisiin esimerkiksi poliisilain 5 luvun 54 §:n ja pakkokeinolain 10 luvun 56 §:n mukaisia edellytyksiä tietyillä toimenpiteillä saatujen ylimääräisten tietojen käyttämiselle.
Momentin 1 kohdan mukaan poliisi voisi käsitellä tietoja rikoksen ennalta estämiseksi ja paljastamiseksi. Kohdassa huomioitaisiin voimassa olevan lain 16 §:ään nähden uutena käsittelyn tarkoituksena rikosten paljastaminen, joka lisättiin poliisilain 1 luvussa 1 §:n 1 momentissa lueteltuihin poliisin tehtäviin vuoden 2014 alussa voimaan tulleen poliisilain kokonaisuudistuksen yhteydessä. Tietojen käsittely rikoksen ennalta estämiseksi on sallittua myös voimassa olevan 16 §:n 1 momentin mukaan, mutta käsittely on voimassa olevassa laissa rajoitettu ehdotetusta 1 kohdasta poiketen vankeusuhkaisen rikoksen estämiseen.
Momentin 2 kohta vastaisi asiallisesti voimassa olevaa lakia. Tietojen käsittely rikoksen selvittämiseksi olisi 2 kohdan mukaan mahdollista voimassa olevan 16 §:n 1 momentin 3 kohtaa vastaavasti ainoastaan kun kyse on sellaisen rikoksen selvittämisestä, josta saattaa seurata vankeutta.
Momentin 3 ja 4 kohta olisivat voimassa olevaan lakiin nähden uusia. Momentin 3 kohdassa säädettäisiin henkilötietojen käsittelystä etsintäkuulutetun tavoittamiseksi. Etsintäkuulutuksen määritelmästä ei ole säädetty laissa. Poliisilain etsintäkuulutetun kiinniottamista koskevan 2 luvun 3 §:n perusteluiden mukaan poliisin antamalla etsintäkuulutuksella tarkoitetaan asianomaisen poliisiviranomaisen päätökseen perustuvaa ilmoitusta, joka poliisin henkilörekisterin avulla saatetaan viranomaisten tiedoksi ja jossa pyydetään tietyn henkilön tavoittamiseksi tarpeellisia tietoja. Kuulutuksen tarkoituksena on saada etsittyyn henkilöön tai hänen hallussaan olevaan omaisuuteen kohdistetuksi kuulutuksessa yksilöity virkatoimi. (HE 224/2010 vp, s. 76.) Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen on tarpeellista etsintäkuulutetun tavoittamiseksi esimerkiksi tilanteissa, joissa etsintäkuulutetun tavoittamisen tarve liittyy lupahallinnollisten asiakirjojen tiedoksi saattamiseen. Etsintäkuulutus tulee voida saattaa kaikkien niiden tahojen tietoon, jotka ovat mahdollisesti tekemisissä etsintäkuulutetun kanssa.
Momentin 5 kohta vastaisi sisällöltään osittain voimassa olevan 16 §:n 1 momentin 2 kohtaa, mutta kohdassa säädettäisiin välittömän ja vakavan yleistä turvallisuutta uhkaavan vaaran torjumisen sijaan hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran estämisestä. Kohta sisältäisi aiemmasta poiketen käsittelyn perusteena myös huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämisen.
Momentin 6 kohta vastaisi sisällöllisesti voimassa olevan 16 §:n 1 momentin 1 kohtaa, mutta kohdan sanamuotoa muutettaisiin vastaamaan rikosasioiden tietosuojalaissa sekä muualla lainsäädännössä omaksuttua terminologiaa. Momentin 7 kohdalla korvattaisiin voimassa olevan 16 §:n 1 momentin 4 kohta. Momentin 8 kohta olisi uusi säännös, jolla mahdollistettaisiin henkilötietojen käsittely poliisin toiminnan suuntaamiseksi.
Ehdotettujen 1, 4, 5 ja 8 kohdan mukaiset käsittelytarkoitukset vastaisivat sisällöltään poliisilain 5 luvun 54 §:n 4 ja 5 momentin ja pakkokeinolain 10 luvun 56 §:n 4 ja 5 momentin mukaisia säännöksiä salaisilla tiedonhankinta- ja pakkokeinoilla saatujen ylimääräisten tietojen käsittelystä. Ylimääräistä tietoa saa poliisi- ja pakkokeinolain mukaan käyttää aina rikoksen estämiseksi, poliisin toiminnan suuntaamiseksi ja syyttömyyttä tukevana selvityksenä. Ylimääräistä tietoa saa käyttää myös hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi. Tiedon käytöllä poliisin toiminnan suuntaamiseksi tarkoitettaisiin myös ehdotetussa 8 kohdassa tiedon välillistä hyödyntämistä niin, että tietoa ei käytetä näyttönä tai tiedonhankintakeinon käytön perusteena. Tiedon hyödyntäminen poliisin toiminnan suuntaamiseksi voi liittyä esimerkiksi rikoksen estämiseen, paljastamiseen, analyysitoimintaan, esitutkinnan aloittamiskynnyksen selvittämiseen tai esitutkinnan suuntaamiseen (HE 224/2010 vp, s. 134).
Pykälän 2 momentissa säädettäisiin henkilötietojen käsittelystä yleisen edun mukaista arkistointia sekä tieteellistä, tilastollista tai historiallista tarkoitusta varten. Lisäksi 2 momentissa huomioitaisiin näihin verrattavissa olevat poliisin tarpeet käsitellä henkilötietoja laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi.
Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 16 §:n 2 momenttia. Momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella 1181/2013 siten, että tietojärjestelmään sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa poliisin tietojärjestelmien asianmukaista valvontaa. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi uutena kohtana analyysitoiminta, joka on luonteeltaan samankaltaista kuin voimassa olevassa 16 §:n 2 momentissa tarkoitettu suunnittelu- ja kehittämistoiminta. Tietojohtoista poliisitoimintaa tukevalla analyysitoiminnalla tarkoitettaisiin erityisesti rikollisuuden tilannekuvan ylläpitämiseksi ja rikollisuuden uhkakuvien ennakoimiseksi suoritettavaa strategista analyysia, joka edellyttää mahdollisuuksia myös poliisin hallussa olevien henkilötietojen hyödyntämiseen. Momentissa tarkoitetuissa käsittelytarkoituksissa ei olisi kyse poliisin yksittäisen tehtävän suorittamisesta, vaan yleisemmästä tarpeesta käsitellä henkilötietoja momentin mukaisiin tarkoituksiin.
Pykälän 3 momentissa säädettäisiin voimassa olevan lain 3 §:n 3 momentin 3 kohtaa vastaavasti henkilön tunnistamiseksi ja henkilöllisyyttä osoittavan asiakirjan valmistamiseksi talletetun valokuvan ja nimikirjoitusnäytteen käyttämisestä muunkin henkilön hakeman hallintoluvan tai päätöksen valmistamiseen henkilön suostumuksella. Tietosuoja-asetuksen johdanto-osan 51 kappaleen mukaan valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen biometrisiin tietoihin. Pykälän 3 momentissa tarkoitetussa hallintoluvan tai päätöksen valmistamisessa ei siten olisi kyse 14 §:ssä tarkoitetusta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä.
Pykälän 4 momentissa rajattaisiin muuhun kuin alkuperäiseen käyttötarkoitukseen suoritettavan käsittelyn ulkopuolelle poliisille arpajaislaissa ja rahanpesulaissa tarkoitetun rahapeliyhtiön valvonnan yhteydessä kertyneet valvontatiedot, joita saisi käyttää ainoastaan niiden alkuperäiseen 11 §:n mukaiseen käsittelytarkoitukseen. Säännös ei kuitenkaan estäisi henkilötietojen käyttämistä rahanpesulain 7 luvun 1 §:n 4 momentissa tarkoitettujen ilmoitusten tekemiseksi rahanpesun selvittelykeskukselle tai muiden laissa säädettyjen ilmoitusvelvollisuuksien täyttämiseksi.
14 §. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Pykälässä täsmennettäisiin ne käsittelytarkoitukset, joihin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi käsitellä tietojen alkuperäisen käsittelytarkoituksen lisäksi. Pykälän 1 momentissa rajattaisiin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely tilanteisiin, joissa käsittely olisi 13 §:n 1 ja 2 momentin mukaisten käsittelytarkoitusten kannalta välttämätöntä. Laissa voitaisiin kuitenkin säätää poikkeuksia 1 momentin säännökseen tietosuojalainsäädännön mahdollistamissa puitteissa.
Pykälän 2 momentissa säädettäisiin 1 momentista poiketen tarkemmasta rajoituksesta, joka koskisi henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien biometristen tietojen käyttöä. Mainittuja tietoja saisi käyttää muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen vain, jos se on välttämätöntä luonnononnettomuuden, suuronnettomuuden tai muun katastrofin taikka rikoksen kohteeksi joutuneen tai muuten tunnistamattomaksi jääneen uhrin tunnistamiseksi. Perustuslakivaliokunta on lausunnossaan 47/2010 vp arvioinut, että passirekisterin sormenjälkitietojen käyttämisen sallimista tunnistamattomaksi jääneen uhrin tunnistamisessa voidaan pitää sellaisena käyttötarkoitussidonnaisuudesta poikkeamisena, jota saatetaan vielä luonnehtia valiokunnan edellyttämällä tavalla täsmälliseksi ja vähäiseksi. Säännös vastaisi sisällöllisesti voimassa olevan lain 16 a §:n 1 momenttia siltä osin kuin kyse on passin sormenjälkitietojen käsittelystä. Passirekisteriin talletettuja sormenjälkiä saataisiin käyttää niiden alkuperäiseen käsittelytarkoituksen, passilaissa säädettyjen tehtävien suorittamisen, lisäksi ainoastaan tunnistamattomaksi jääneen uhrin tunnistamiseen.
Tunnistamattomalla uhrilla tarkoitettaisiin 2 momentissa vainajien lisäksi myös vakavassa hengen tai terveyden vaarassa olevia uhreja, joiden tunnistaminen olisi mahdollista ainoastaan sormenjälkitietojen tai muiden biometristen tietojen avulla esimerkiksi uhrin pitkäaikaisen tiedottomuuden takia. Rajoitus laajennettaisiin voimassa olevan lain 16 a §:stä poiketen koskemaan myös biometrisia kuvatietoja, joiden alkuperäinen käsittelytarkoitus on henkilön tunnistaminen ja henkilöllisyyttä osoittavan asiakirjan valmistaminen.
Pykälän 3 momentissa säädettäisiin voimassa olevan lain 3 §:n 3 momentin 4 kohtaa vastaavasti passinhakijan sormenjälkitietojen käyttämisestä henkilön suostumuksella myös hänen myöhemmin hakemansa henkilöllisyyttä osoittavan asiakirjan valmistamiseen. Muita henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä tietoja kuin sormenjälkiä ei käytetä henkilön myöhemmin hakeman henkilöllisyyttä osoittavan asiakirjan valmistamiseen biometrisessa muodossa, joten kuva- ja nimikirjoitustietojen vastaavasta käytöstä säädettäisiin 13 §:ssä.
Pykälän 4 momentti olisi uusi suhteessa voimassa olevaan lakiin. Voimassa olevan 16 a §:n 1 momentin mukaan ulkomaalaislain 131 §:n perusteella poliisin rekistereihin talletettuja sormenjälkitietoja saa käyttää muuhun kuin alkuperäiseen käsittelytarkoitukseen samoin edellytyksin kuin passisormenjälkiä. Ulkomaalaislain perusteella rekisteröityjen sormenjälkitietojen käyttöä ehdotetaan laajennettavaksi siten, että sormenjälkien käyttö olisi lisäksi mahdollista Eurodac-asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi. Säännös koskisi sormenjälkien lisäksi myös muita ulkomaalaislain 131 §:n perusteella käsiteltäviä biometrisia tietoja, joiden käsittelystä ei säädetä voimassa olevassa laissa erikseen.
Biometristen tietojen käytön edellytyksenä olisi rikosasioiden tietosuojalain 11 §:n 2 momentin mukaisesti välttämättömyys, minkä lisäksi vertailu olisi rajoitettava vastaavanlaisiin rikoksiin kuin Eurodac-asetuksen mukainen sormenjälkien vertailu. Eurodac-asetuksen 20 artiklan 1 kohdan mukaan lainvalvontatarkoituksessa Eurodac-järjestelmään tehtävän sormenjälkien vertailun edellytyksenä on, että vertailu rekisteröidyn tunnistamiseksi suoritetaan ensin kansallisiin tietokantoihin, mahdollisuuksien mukaan Prümin päätösten soveltamista varten käytössä oleviin muiden EU:n jäsenvaltioiden sormenjälkitietojärjestelmiin sekä viisumitietojärjestelmään (VIS). Kansallisista tietokannoista ulkomaalaislain 131 §:n perusteella rekisteröityjä sormenjälkiä sisältävän poliisin kansallisen rekisterin käyttäminen rikostorjunnassa ei kuitenkaan ole mahdollista voimassa olevan lain nojalla. Rikostorjunnallisesti tätä on pidetty ongelmallisena. Erityisesti ongelma korostuu terrorististen rikosten ja muiden yhteiskunnallisesti merkittävien ja vakavia seurauksia aiheuttavien rikosten torjunnassa, joiden selvittämisintressit ovat suuret ja joiden ennalta estäminen on erityisen tärkeää.
Ulkomaalaisen tunnistamistietoja käsitellään ulkomaalaislain nojalla osana poliisin suorittamaa ulkomaalaisvalvontaa. Ulkomaalaisen sormenjälkitietojen vertaaminen poliisiasiain tietojärjestelmän tuntomerkkitietojen sormenjälkiin maahantulon edellytysten selvittämiseksi on mahdollistettu ulkomaalaislain 131 §:ssä siltä osin kuin rekisteröidyt tuntomerkkitiedot liittyvät rikokseen, josta on säädetty enimmäisrangaistuksena vähintään vuosi vankeutta. Ehdotettu laajennus rikostorjuntatarkoituksessa tehtäviin vertailuihin on ulkomaalaislain 131 §:n perusteella rekisteröityjen henkilöiden yksityisyyden suojan kannalta merkittävä. Muiden biometristen tietojen kuin sormenjälkien osalta ehdotus kuitenkin rajaisi mahdollisuuksia tietojen käsittelyyn voimassa olevaa lakia tiukemmin. Ehdotetun säännöksen suhdetta perustuslain mukaiseen yksityiselämän suojaan ja yhdenvertaisuusperiaatteeseen arvioidaan esityksen suhdetta perustuslakiin ja säätämisjärjestystä koskevassa luvussa.
Pykälän 5 momentissa rajattaisiin DNA-näytteiden laadun varmistamiseksi käsiteltävien tietojen käyttäminen vain niiden alkuperäiseen käsittelytarkoitukseen. Lisäksi tietoja saisi käsitellä laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa sekä koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.
Pykälän 6 momentti rajaisi voimassa olevaa 16 §:ää vastaavasti ampuma-aselain 114 §:n mukaisen ampuma-aseilmoituksen tietojen käytön aselupatiedon käsittelyyn. Tällä tarkoitettaisiin myös voimassa olevan lain 10 §:ää vastaavasti, että ampuma-aseilmoituksia koskeva tieto ei saa ilmetä järjestelmästä muutoin kuin aselupatietoa käsiteltäessä.
15 §. Henkilötietojen käsittely lupaharkinnassa ja -valvonnassa. Pykälän 1 momentissa säädettäisiin edellytyksistä, joilla poliisi voisi käsitellä 5, 6, 9, 11 ja 12 §:ssä tarkoitettuja tietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen 11 §:ssä tarkoitettujen lupahallintoon liittyvien tehtävien suorittamiseksi. Tietoja voisi säännöksen mukaan käyttää päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.
Luvan myöntämisen ja voimassaolon edellytyksistä säädetään lupahallintoa koskevassa erityislainsäädännössä. Ehdotetun säännöksen kannalta merkityksellisiä ovat erityisesti ampuma-aselaissa ja yksityisistä turvallisuuspalveluista annetussa laissa luvan myöntämiselle ja voimassaololle säädetyt edellytykset.
Edellä 7 ja 8 §:ssä tarkoitetut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot sekä 10 §:ssä tarkoitetut DNA-näytteiden varmistamiseksi käsiteltävät henkilötiedot rajattaisiin 1 momentissa tarkoitetun käsittelyn ulkopuolelle. Säännös vastaisi asiallisesti voimassa olevan lain 16 §:n 1 momentin 5 kohtaa.
Voimassa olevan lain 16 §:n 3 momentissa säädetään, että lain 2 §:n 3 momentin 11 kohdassa tarkoitettuja havaintotietoja, 4 §:ssä tarkoitetun epäiltyjen tietojärjestelmän, 5 §:ssä tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän tai 6 §:n 2 momentin 2 kohdassa tarkoitetun tilapäisen rekisterin tietoja ei saa käyttää 16 §:n 1 momentin 5 kohdassa tarkoitettujen tehtävien suorittamiseksi. Suojelupoliisin käsittelemien henkilötietojen luovuttamisesta muille poliisiyksiköille säädettäisiin jatkossa ehdotetussa 7 luvussa. Pykälän 2 momentti olisi uusi säännös. Momentissa ehdotetaan laajennettavaksi 7 ja 8 §:ssä tarkoitettujen rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen käyttöä lupahallintoon liittyvien tehtävien suorittamiseksi.
Säännöksessä tarkoitettuihin rikosten ennalta estämiseen ja paljastamiseen liittyviin henkilötietoihin sisältyisi tietoja, jotka vastaavat voimassa olevan lain 4 §:ssä tarkoitetun epäiltyjen tietojärjestelmän tietoja sekä 6 §:n 2 momentin 2 kohdassa tarkoitetun tilapäisen rekisterin tietoja. Momentti mahdollistaisi myös muiden 7 ja 8 §:ssä tarkoitettujen rikosten ennalta estämiseen ja paljastamiseen liittyvien tietojen käsittelyn lupahallinnollisiin tarkoituksiin ehdotetussa 2 momentissa säädettyjen edellytysten täyttyessä. Tiedot eivät kuitenkaan olisi suoraan poliisin lupahallinnon käytettävissä, vaan niiden käsittely olisi mahdollista 1 momentissa tarkoitetuissa tilanteissa ainoastaan turvallisuusselvityslain 25 §:n 2 momentissa säädettyä ilmoitusmenettelyä vastaavan menettelyn kautta.
Poliisin lupahallinnon tehtävänä on hallinnollisen päätöksenteon ja valvonnan keinoin ennalta estää rikoksia sekä yleisen järjestyksen ja turvallisuuden häiriöitä yhteiskunnassa, jonka turvallisuustilanne on muutoksessa (Poliisin lupahallintostrategia 2017—2021). Poliisin lupahallinto on osa hallinnollista rikostorjuntaa. Hallinnollisella rikostorjunnalla tarkoitetaan rikollisten toimijoiden taloudellisiin ja muihin toimintaedellytyksiin puuttumista hallinnollisissa menettelyissä. Esitetyllä lausuntomenettelyllä pyritään siihen, että eri viranomaisilla oleva tieto rikollisesta toiminnasta voidaan ottaa huomioon myös hallinnollisessa päätöksenteossa. Näin voidaan varmistaa, ettei lupahallintoon liittyvällä päätöksenteolla edistetä järjestäytyneen rikollisuuden toimintaedellytyksiä tai rikollisen toiminnan jatkamista.
Keskusrikospoliisi voisi tehdä ilmoituksen 2 momentissa säädetyin edellytyksin joko oma-aloitteisesti tai saatuaan lupahallinnon rekistereistä tiedon vireillä olevasta lupahakemuksesta tai luvan peruuttamista koskevasta asiasta. Ilmoitus voisi perustua ainoastaan 7 §:n 2 momentissa tarkoitettuja henkilöitä koskeviin tietoihin. Ilmoitusta ei voitaisi tehdä 7 §:n 3 momentissa tarkoitettuja rikoksen todistajia, uhreja, ilmoittajia tai asianomistajia koskevien tietojen perusteella, 7 §:n 5 momentissa tarkoitettujen havaintotietojen perusteella tai 7 §:n 6 momentissa tarkoitettujen merkityksellisyyden arvioimiseksi käsiteltävien tietojen perusteella.
Keskusrikospoliisi arvioisi tapauskohtaisesti, onko ilmoituksen tekeminen aiheellista. Menettelyn tarkoituksena olisi erityisesti suojata luvan myöntämiselle tai voimassaololle säädettyjen edellytysten perusteena olevia etuja estämällä järjestäytyneeseen rikolliseen toimintaan osallistuvien tai sellaisesta toiminnasta epäiltyjen laillinen pääsy luvanvaraiseen yhteiskunnan turvallisuuteen vaikuttavaan tehtävään sekä ampuma-aseiden laillinen hankkiminen tilanteissa, joihin liittyy riski vakavista väärinkäytöksistä. Ehdotetun säännöksen suhdetta perustuslain mukaiseen yksityiselämän suojaan ja oikeusturvaan arvioidaan esityksen suhdetta perustuslakiin koskevassa luvussa.
3 luku Oikeus tietojen saamiseen
16 §. Poliisin oikeus saada tietoja eräistä rekistereistä ja tietojärjestelmistä. Pykälän 1 momentin säännökset ehdotetaan säilytettäväksi pääosin voimassa olevan poliisin henkilö-tietolain 13 §:n mukaisina lukuun ottamatta eräitä tarkennuksia ja säädösviittauksiin esitettyjä korjauksia. Momenttiin ehdotetaan myös lisättäväksi uusi 14 kohta, jossa säädettäisiin poliisin oikeudesta saada tietoja Maanmittauslaitoksen huoneistotietojärjestelmästä ja kiinteistötietojärjestelmästä. Lisäyksellä huomioitaisiin poliisin tarve saada rikosten ennalta estämistä, paljastamista ja selvittämistä varten tietoja ehdotetusta laista huoneistotietojärjestelmästä (HE 127/2018 vp). Säännös täydentäisi lisäksi kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetun lain (453/2002) 6 §:n säännöstä Maanmittauslaitoksen oikeudesta luovuttaa teknisen käyttöyhteyden avulla tietoja kiinteistötietojärjestelmästä esitutkintaviranomaiselle.
Poliisilain 4 luvun 3 §:n 1 momentin mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada lain 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Pykälän 1 momentin 15 kohta vastaisi voimassa olevan lain 13 §:ään lainmuutoksella 29/2015 lisättyä 16 kohtaa, joka täydentää poliisin oikeutta saada yksittäistapauksessa matkustajatietoja rikosten estämiseksi tai selvittämiseksi poliisilain 4 luvun 3 §:n mukaisesti. Oikeus saada kohdassa tarkoitettuja matkustajatietoja teknisen käyttöyhteyden avulla tai tietojoukkona koskee kaikkia liikenteenharjoittajia liikennemuodosta riippumatta. Kohdan nojalla saatuja tietoja voidaan verrata muihin poliisin käsittelemiin henkilötietoihin hallituksen esityksessä HE 168/2014 vp kuvatulla tavalla. Vertaamisen jälkeen tiedot hävitetään, mikäli tietojen tallettamiseen johonkin muuhun poliisin rekisteriin ei ole rikostorjunnallisia, näiden rekistereiden tallettamisedellytykset täyttäviä perusteita (HE 168/2014 vp, s. 8).
Matkustajatietoja koskevaan 15 kohtaan ehdotetaan selvyyden vuoksi lisättäväksi informatiivinen viittaus ehdotettuun lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa annettavaan lakiin (HE 55/2018 vp), jossa säädettäisiin poliisin oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä. Matkustajarekisteridirektiivi ja sen ehdotettu täytäntöönpanolaki eivät rajoita muuhun lainsäädäntöön perustuvaa tiedonsaantioikeutta tai tietojen käsittelyä eivätkä tietojenvaihtoa ulkomaanliikenteen matkustajista, vaan asettavat täsmennetyn tietojen luovuttamisvelvoitteen lentoliikenteen harjoittajille.
Pykälän 2 momentissa säädettäisiin voimassa oleva lain 13 §:n 3 momenttia vastaavasti poliisin oikeudesta saada 1 momentissa tarkoitetut tiedot maksutta, ellei laissa toisin säädetä.
Pykälän 3 momentissa asetettaisiin poliisille velvollisuus antaa henkilötietoja luovuttaneelle rekisterinpitäjälle tieto saamiensa henkilötietojen käsittelystä. Säännös vastaisi tältä osin sanamuodon tarkistusta lukuun ottamatta voimassa olevan 13 §:n 4 momenttia. Pykälä ei kuitenkaan sisältäisi voimassa olevan lain 13 §:n 4 momentissa poliisille asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.
Poliisi voisi selvittää tiedonsaantioikeuksiensa nojalla saamiensa henkilötietojen tarpeellisuuden 2 luvun mukaisiin käsittelytarkoitusten kannalta tarvittaessa automaattista vertailua hyödyntäen. Tarpeettomat tiedot olisi poistettava rikosasioiden tietosuojalain 6 §:ssä tarkoitetulla tavalla ilman aiheetonta viivytystä.
Ehdotettu 16 § ei loisi poliisille ehdotonta oikeutta saada momentissa tarkoitettuja tietoja, vaan tiedonsaantioikeuksien toteuttamisessa olisi huomioitava myös muualla laissa asetetut edellytykset tietojen luovuttamiselle.
17 §. Muiden viranomaisten tietojen luovuttaminen poliisille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten. Pykälässä säädettäisiin henkilötietojen luovuttamisesta poliisille suorakäyttöisesti tai tietojoukkona. Pykälän 1 momentin luettelo vastaisi pääosin voimassa olevan lain 14 §:n 1 momentin luetteloa.
Momenttiin lisättäisiin uutena 1 kohtana suojelupoliisi, jonka teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuva tiedonvaihto muiden poliisiyksiköiden kanssa perustuisi jatkossa tämän lain 3, 4 ja 7 luvun tietojen luovuttamista ja tiedonsaantioikeuksia koskevaan sääntelyyn. Suojelupoliisi voisi luovuttaa muiden poliisiyksiköiden tehtävien vuoksi tarpeellisia tietoja poliisin henkilörekistereihin myös suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten siten kuin rekisterinpitäjän kanssa sovitaan. Voimassa olevassa laissa vastaavaa säännöstä ei ole, koska poliisin valtakunnalliseen käyttöön perustetut henkilörekisterit ovat lain 15 §:n mukaan poliisiyksiköiden käytössä lukuun ottamatta Poliisiammattikorkeakoulua. Ehdotettu 1 kohta on osa lakiehdotuksessa esitettyjä muutoksia, joilla huomioitaisiin suojelupoliisin muuttunut asema sisäministeriön alaisena poliisiyksikkönä. Suojelupoliisi voisi luovuttaa poliisin henkilörekistereihin suorakäyttöisesti tai tietojoukkona niitä henkilötietoja, joita sillä olisi 7 luvun perusteella muutenkin oikeus luovuttaa poliisille.
Momentin 2 kohdassa huomioitaisiin Oikeusrekisterikeskuksen oikeus luovuttaa poliisin henkilörekistereihin yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa tarkoitettuja suojelutoimenpiteitä koskevia tietoja, joiden käsittelystä säädetään voimassa olevan lain 47 a §:ssä. Asiallisesti 2 kohta vastaisi voimassa olevaa sääntelyä.
Pykälän 2 momentissa asetettaisiin 16 §:ää vastaavasti velvollisuus antaa tieto henkilötiedot luovuttaneelle rekisterinpitäjälle niiden käsittelystä. Momentti vastaisi tältä osin voimassa sanamuodon tarkistusta lukuun ottamatta olevan lain 14 §:n 2 momentin säännöstä. Pykälä ei kuitenkaan sisältäisi voimassa olevan lain 14 §:n 2 momentissa poliisille asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.
18 §. Euroopan unionin viisumitietojärjestelmä. Pykälässä säädettäisiin poliisin oikeudesta saada teknisen käyttöyhteyden avulla tietoja Euroopan unionin viisumitietojärjestelmästä. Pykälän 1 momentti koskisi henkilötietojen vastaanottamista poliisille ulkomaalaislaissa säädetyn tehtävän suorittamiseksi. Pykälän 2 momentti koskisi poliisin oikeutta saada tietoja terrorismirikosten ja muiden vakavien rikosten selvittämiseksi. Säännökset olisivat luonteeltaan informatiivisia ja vastaisivat sisällöllisesti voimassa olevan lain 42 §:ää.
19 §. Uhkasakko. Pykälällä korvattaisiin voimassa olevan lain 13 §:n 2 momentin sääntely, jolla poliisille myönnetään toimivaltuus velvoittaa yhteisöt ja yhtymät luovuttamaan rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi tarvittavat tiedot matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä kohtuullisessa määräajassa. Poliisilla olisi nykyistä 13 §:n 2 momenttia vastaavasti toimivalta asettaa uhkasakko velvoitteen noudattamisen tehostamiseksi pykälässä säädetyin edellytyksin.
Uhkasakon asettamista koskevia säännöksiä ei sovellettaisi lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa (HE 55/2018 vp) tarkoitettuihin matkustajarekisteritietoihin, joita koskevan toimittamisvelvollisuuden rikkomisesta määrättäisiin seuraamusmaksu siten kuin mainitussa laissa säädetään.
20 §. Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely. Säännös vastaisi sisällöltään osittain voimassaolevan lain 31 §:ää. Voimassa olevan 31 §:n 3—5 momentti ehdotetaan kuitenkin poistettavaksi tarpeettomina, koska niissä säädetyt vaatimukset sisältyisivät rikosasioiden tietosuojalakiin. Ehdotettu 20 § koskisi vain kolmannelta maalta, kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyä.
Pykälän 1 momentissa säädettäisiin voimassa olevan 31 §:n 1 momenttia vastaavasti salassapito- ja vaitiolovelvollisuudesta sekä velvollisuudesta noudattaa henkilötietojen luovuttajan asettamia rajoituksia henkilötietojen käytölle. Momentti sisältäisi pääsäännön, jonka tarkoituksena olisi varmistaa luottamuksen suoja kansainvälisessä yhteistyössä. Pykälän 2 momentissa säädettäisiin mahdollisuudesta käyttää vastaanotettuja henkilötietoja muuhun kuin niiden alkuperäiseen tarkoitukseen silloin, kun 1 momentissa tarkoitettuja rajoituksia ei ole asetettu. Voimassa olevan lain 31 §:n 2 momentin tiukempi säännös tietojen käyttämisestä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen perustuu kumottuun EU:n tietosuojapuitepäätökseen ja koskee kaikkien toiselta valtiolta tai kansainväliseltä elimeltä saatujen henkilötietojen, myös toiselta EU-valtiolta saatujen henkilötietojen käsittelyä. Momenttia ehdotetaan tarkistettavaksi siten, että kolmannelta maalta, kansainväliseltä järjestöltä tai virastolta saatuja henkilötietoja voitaisiin käsitellä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lakiehdotuksen 13 §:n 1 momentin mukaisin edellytyksin. Toiselta EU-jäsenvaltiolta saatujen henkilötietojen käsittelyyn voimassa olevan lain 31 §:n 2 momentissa tarkoitetuissa tilanteissa sovellettaisiin jatkossa rikosasioiden tietosuojalakia.
4 luku Henkilötietojen luovuttaminen
Luvussa säädettäisiin teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuvasta henkilötietojen luovuttamisesta muille viranomaisille, tietojen luovuttamisesta yleisen tietoverkon välityksellä sekä tietojen luovuttamisesta yksityiselle yhteisölle tai elinkeinonharjoittajalle sähköisen asiointipalvelun kautta. Luku sisältäisi myös kansainväliseen tiedonvaihtoon liittyviä säännöksiä.
Siltä osin kuin kyse on tietosuojadirektiivin ja sen täytäntöönpanolain soveltamisalaan kuuluvasta käsittelystä, henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin yleissäädöksenä rikosasioiden tietosuojalain 7 lukua. Ehdotettu 4 luku sisältäisi tarvittavat täydentävät säännökset tietojen luovuttamisesta kolmansiin maihin ja kansainvälisille järjestöille. Luvussa säädettäisiin myös tietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisille. Lisäksi luvussa huomioitaisiin voimassa olevan lain 6 lukua vastaavasti myös lainvalvontaviranomaisten käytössä olevat EU:n laajuiset tietojärjestelmät. Kansainväliseen poliisiyhteistyöhön liittyvää henkilötietojen luovuttamista koskeviin säännöksiin ei ehdoteta merkittäviä sisällöllisiä muutoksia verrattuna vuoden 2013 lainmuutoksella uudistettuihin voimassa olevan lain säännöksiin.
Ehdotettu 4 luku sisältäisi myös säännöksiä tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen luovuttamisesta. Tältä osin sääntelyssä olisi kyse asetuksen 6 artiklassa tarkoitetuista erityisistä säännöksistä, joilla mukautetaan asetuksen sääntöjen soveltamista. Erityiset säännökset voivat 6 artiklan mukaan koskea myös henkilötietojen luovuttamista.
Henkilötietoja voitaisiin 4 luvun säännösten mukaan luovuttaa salassapitosäännösten estämättä. Tietoja luovutettaessa olisi kuitenkin kaikissa tilanteissa huomioitava henkilötietojen suojaa koskevat säännökset. Henkilötietojen luovuttamiseen yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin nykyistä vastaavasti poliisilain 7 luvun salassapitosääntelyä sekä täydentävästi henkilötietolainsäädäntöä silloin, kun kyse on henkilötietojen luovuttamisesta kolmanteen maahan tai kansainväliselle järjestölle.
21 §. Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle. Pykälässä säädettäisiin henkilötietojen luovuttamisesta rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, jotka kuuluvat mainitun lain soveltamisalaan. Rikosasioiden tietosuojalakia sovellettaisiin mainitun lain 1 §:n 1 momentin mukaisesti poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä muun 1 §:n 1 momentissa tarkoitetun toiminnan yhteydessä.
Lakia sovellettaisiin kansallisen ratkaisun pohjalta sen 1 §:n 2 momentin mukaisesti myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.
Pykälässä tarkoitettuihin toimivaltaisiin viranomaisiin kuuluisi suojelupoliisi, jolle tietoja voitaisiin luovuttaa tämän lain 48 §:n mukaisiin tarkoituksiin eli suojelupoliisin lakisääteisten tehtävien suorittamista varten. Luovutettaviin henkilötietoihin sisältyisi poliisilain 1 luvun 1 §:n 1 momentissa tarkoitettuja tehtäviä varten käsiteltäviä henkilötietoja, joiden osalta kyse olisi tietojen luovuttamisesta niiden alkuperäistä käsittelytarkoitusta vastaavaan tarkoitukseen. Esimerkiksi ulkomaalaislain 131 §:n nojalla poliisin rekistereihin talletettavien ulkomaalaisen tunnistamistietojen osalta kyse olisi tietojen luovuttamisesta niiden alkuperäiseen ulkomaalaislaissa määriteltyyn käsittelytarkoitukseen. Lisäksi suojelupoliisille voitaisiin säännöksen nojalla luovuttaa myös muiden poliisin tehtävien, kuten lupahallintoon liittyvien tehtävien, suorittamiseksi käsiteltäviä henkilötietoja. Vaikka suojelupoliisi ei ole enää Poliisihallituksen alainen yksikkö, se on edelleen poliisiyksikkö ja sen oikeus käsitellä poliisin rekistereihin sisältyviä henkilötietoja on turvattava. Suojelupoliisin tarve tehdä yhteistyötä muun poliisin kanssa kansallisen turvallisuuden suojaamiseksi on nykyisessä turvallisuusympäristössä entisestään korostunut.
Lisäksi pykälässä huomioitaisiin henkilötietojen luovuttaminen Tullille ja Rajavartiolaitokselle käsittelytarkoituksiin, jotka liittyvät rikosten ennalta estämiseen, paljastamiseen, selvittämiseen ja syyteharkintaan saattamiseen rikosasioiden tietosuojalain 1 §:n 1 momentissa tarkoitetulla tavalla.
Säännös mahdollistaisi myös henkilötietojen luovuttamisen Rajavartiolaitokselle rikosasioiden tietosuojalain 1 §:n 2 momentissa tarkoitetuissa tilanteissa. Tietoja voitaisiin siten luovuttaa Rajavartiolaitokselle myös rajavartiolain 3 §:n 2 ja 3 momentissa tarkoitettuihin tehtäviin, jotka liittyvät kansallisen turvallisuuden suojaamiseen. Vastaavasti henkilötietoja voitaisiin luovuttaa myös Puolustusvoimille rikosasioiden tietosuojalain 1 §:n 2 momentin mukaisiin käsittelytarkoituksiin. Puolustusvoimille voitaisiin luovuttaa tietoja erityisesti asevelvollisen koulutukseen ja tehtävään määräämistä sekä palveluksen järjestämistä, kriisinhallintatehtävään määräämistä ja kriisinhallintapalveluksen järjestämistä, sotilastiedustelutehtävien hoitamista, aluevalvontatehtävien hoitamista, sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa (255/2014) tarkoitettujen esitutkintatehtävien ja rikosten ennalta estämistä ja paljastamista koskevien tehtävien hoitamista sekä sotilasarvossa ylentämistä ja palkitsemista varten.
Lisäksi pykälässä huomioitaisiin muut direktiivin täytäntöönpanolain soveltamisalalla toimivaltaiset viranomaiset. Näiden viranomaisten osalta henkilötietoja voitaisiin luovuttaa rikosasioiden tietosuojalain 1 §:n 1 momentin mukaisiin tarkoituksiin. Tältä osin luovutustilanteet vastaisivat pääosin voimassa olevan lain 19 §:n 12 ja 14 kohtaa.
Henkilötiedot saisi luovuttaa pykälässä tarkoitetuille viranomaisille teknisen käyttöyhteyden välityksellä tai tietojoukkona. Pykälässä tarkoitetuissa tilanteissa teknisen käyttöyhteyden kautta luovuttaminen olisi käytännössä pääsääntö. Säännös olisi uusi ja voimassa olevaa lakia yleispiirteisempi, mutta se ei käytännössä merkitsisi muutosta nykytilaan.
Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi käsitellä rikosasioiden tietosuojalain 11 §:ssä säädetyn käsittelykynnyksen mukaisesti vain silloin, kun se on käsittelytarkoituksen kannalta välttämätöntä.
22 §. Muu henkilötietojen luovuttaminen viranomaisille. Pykälässä säädettäisiin henkilötietojen luovuttamisesta teknisen käyttöyhteyden välityksellä tai tietojoukkona muihin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin käsittelytarkoituksiin. Pykälä sisältäisi säännökset henkilötietojen luovuttamisesta myös rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, joihin ei sovelleta mainittua lakia.
Pykälän 1 momentissa lueteltaisiin viranomaiset, joille poliisi saisi luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Momentissa säädettäisiin myös niistä henkilötietojen käsittelytarkoituksista, joihin henkilötietoja saisi luovuttaa. Säännökset vastaisivat sisällöltään pääosin voimassa olevan lain 19 §:ää eräitä tarkennuksia lukuun ottamatta.
Ehdotetun 1 momentin luettelo ei olisi tyhjentävä eikä rajoittaisi muualla laissa olevien tiedon luovuttamista tai tiedonsaantia koskevien säännösten soveltamista. Oikeus luovuttaa tietoja pykälän mukaisesti ei toisaalta myöskään edellyttäisi, että vastaanottavan viranomaisen lainsäädännössä säädetään vastaavasta tiedonsaantioikeudesta, vaan tietojen luovuttaminen olisi mahdollista ehdotetun 22 §:n nojalla myös ilman vastaanottajalle muualla laissa säädettyä tiedonsaantioikeutta. Poliisin henkilötietojen luovuttamisesta tai tiedonsaannista teknisen käyttöyhteyden välityksellä olisi kuitenkin perustuslakivaliokunnan kannanottojen mukaisesti aina säädettävä laissa.
Tietoja luovutettaessa olisi aina arvioitava, mitkä tiedot ovat tarpeen vastaanottajan lakisääteisen tehtävän hoitamiseksi ja kohdistuuko luovutettaviin tietoihin mahdollisesti muualla laissa säädettyjä käsittelyrajoituksia. Pykälä ei siten mahdollistaisi kaikkien poliisin käsittelemien henkilötietojen rajoittamatonta luovutusta mihin tahansa pykälässä mainittuun käsittelytarkoitukseen.
Henkilötietojen luovuttamiseen muille viranomaisille yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin jatkossakin 1. lakiehdotuksen sijaan poliisilain 7 luvun 2 §:n säännöksiä salassa pidettävän tiedon antamisesta viranomaiselle tai julkista tehtävää hoitavalle yhteisölle. Lisäksi julkisia tietoja voitaisiin luovuttaa muille viranomaisille myös tietojoukkona muissakin kuin 22 §:n 1 momentin mukaisissa tapauksissa. Myös näissä luovutustilanteissa olisi kuitenkin huomioitava henkilötietojen suojaa koskevat säännökset.
Pykälän 2 momentti sisältäisi rajoitussäännöksen, jonka perusteella henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisiä tietoja saisi luovuttaa salassapitosäännösten estämättä ainoastaan tietyille momentissa täsmennetyille viranomaisille henkilöllisyyden varmistamiseksi ja asiakirjan aitouden toteamiseksi silloin, kun se on tarpeen henkilön maahantuloa, maassa oleskelua tai maasta lähtöä koskevien asioiden käsittelyä varten. Säännös vastaisi voimassa olevan lain 19 §:n 2 momentin passin sormenjälkitietojen luovuttamista koskevaa rajoitusta, mutta se laajennettaisiin koskemaan myös muita henkilökorttilain ja passilain mukaisia biometrisia tietoja. Rajoitus ei koskisi esimerkiksi kasvokuvien luovuttamista tilanteissa, joissa tietoja ei käsitellä biometrisessä muodossa.
Pykälän 3 momentissa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamista koskevasta korkeammasta kynnyksestä. Tietoja voitaisiin luovuttaa ainoastaan silloin, kun se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.
Pykälän 4 momentissa säädettäisiin henkilötietojen vastaanottajalle velvollisuus esittää rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta ennen kuin henkilötietoja luovutetaan.
Pykälän 5 momentissa säädettäisiin velvollisuudesta mahdollisuuksien mukaan varmentaa luovutettavien tietojen laatu ja tarvittaessa lisätä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Virheellisten tai lainvastaisesti luovutettujen tietojen luovuttamisesta olisi myös viipymättä ilmoitettava vastaanottajalle. Vaatimuksilla pyrittäisiin takaamaan sekä rekisterinpitäjän että tiedon vastaanottajien mahdollisuudet varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjän olisi myös huomioitava luovutustilanteissa henkilötietojen käsittelyä koskevat erityiset edellytykset, jotka perustuvat rikosasioiden tietosuojalakiin tai yleiseen tietosuoja-asetukseen. Näitä olisivat muun muassa toiselta viranomaiselta tai toisesta valtiosta vastaanotettuihin henkilötietoihin liittyvät käyttörajoitukset, joista olisi tehtävä merkintä.
23 §. Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Pykälässä säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja yleisen tietoverkon välityksellä. Tiedot voitaisiin luovuttaa ehdotetussa pykälässä tarkoitetuissa tilanteissa sen estämättä, mitä julkisuuslain 16 §:n 3 momentissa säädetään.
Pykälän 1 momentti olisi voimassa olevaan lakiin nähden uusi säännös. Poliisi saisi ehdotetun säännöksen perusteella luovuttaa henkilötietoja yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tilanteissa, joissa tietojen luovuttaminen on tarpeen rikosten ennalta estämiseksi, omaisuuden omistajalleen palauttamiseksi tai tutkinnallisista syistä. Tietoja voitaisiin luovuttaa voimassa olevan lain 19 a §:ään verrattuna useammissa tilanteissa, mutta tietojen luovuttamistapa rajattaisiin vastaavasti yksityisyyden suojan takaamiseksi yksittäisiin hakuihin. Poliisi voisi luovuttaa henkilötietoja 1 momentin nojalla ainoastaan siten, että tiedot olisivat haettavissa yleisessä tietoverkossa olevan palvelun kautta ennalta määriteltyjä hakuehtoja käyttäen.
Säännöksen nojalla poliisin verkkosivuilla voitaisiin luovuttaa esimerkiksi tietoja siitä, onko tietty omaisuus ilmoitettu anastetuksi. Anastetun omaisuuden tarkastusmahdollisuus ennalta määritellyistä omaisuusluokista, mm. polkupyöristä, palvelisi kansalaisia ja estäisi näin anastetun omaisuuden myyntiä, millä olisi vaikutusta itse rikollisuuden volyymiin. Perustuslakivaliokunta on lausunnoissaan (PeVL 2/2017 vp ja siinä viitatut lausunnot) tulkinnut rajauksen yksittäisiin hakuihin asianmukaiseksi tavaksi suojata tietojen luovutusta yleisen tietoverkon kautta.
Pykälän 2 momentissa säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja yleisen tieto-verkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi muuten kuin yksittäisinä hakuina. Säännöksen tarkoituksena on mahdollistaa rikoksia koskeva tiedotus poliisin internet-sivuilla voimassa olevan lain 19 a §:ää vastaavalla tavalla. Yleisen tietoverkon välityksellä voitaisiin luovuttaa ainoastaan voimassa olevan lain 2 §:n 3 momentin 8 kohdassa tarkoitettuja tiedotustietoja vastaavia henkilötietoja, joista olisi asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Tietojen luovuttamisen edellytykset olisi rajattu 1 momenttia tiukemmin, koska momentin perusteella tapahtuvaa luovuttamista ei ehdoteta rajattavaksi yksittäisiin hakuihin. Momentin nojalla voitaisiin luovuttaa esimerkiksi kadonneita henkilöitä ja tuntemattomia vainajia koskevia tietoja sekä sellaisia rikoksia koskevia tietoja, joista on tarpeen erityisesti tiedottaa. Yleiseen tietoverkkoon luovutettavien henkilötietojen määrä olisi kuitenkin rajoitettava mahdollisimman suppeaksi.
24 §. Henkilötietojen luovuttaminen yksityiselle yhteisölle tai elinkeinonharjoittajalle sähköisen asiointipalvelun kautta. Säännös olisi uusi. Pykälässä säädettäisiin luvan voimassaoloon liittyvien henkilötietojen luovuttamisesta sellaisille yksityisille yhteisöille ja elinkeinonharjoittajille, joille on muualla lainsäädännössä säädetty tehtäviä, joiden suorittaminen välttämättä edellyttää luvan voimassaoloa koskevien tietojen käsittelyä. Lupiin sisältyisivät kaikki luvat ja hyväksynnät, mukaan lukien matkustusasiakirjat, joiden tietoja poliisi käsittelee 11 §:ssä säädettyihin tarkoituksiin. Tietojen luovuttamistapaa rajattaisiin siten, että tietoja voitaisiin hakea ainoastaan yksittäisinä hakuina. Perustuslakivaliokunta on tulkinnut kyseisen rajoituksen asianmukaiseksi tavaksi suojata tietojen luovutusta yleisen tietoverkon kautta. Pykälässä ei olisi kyse tietojen luovuttamisesta yleisölle vaan tietojen luovuttamisesta rajatulle vastaanottajien joukolle käyttöoikeushallinnan avulla rajoitetun sähköisen asiointipalvelun kautta. Ehdotettu rajaus yksittäisiin hakuihin toimisi tietojen suojaamisen takeena ja yksityisyyden suojan toteutumista varmistavana suojatoimena.
Vastaanottajina toimivia yksityisiä yhteisöjä ja elinkeinonharjoittajia ei yksilöitäisi pykälässä, vaan vastaanottajat rajautuisivat muualla lainsäädännössä säädettyjen tehtävien perusteella. Tarve luvan voimassaolotiedon tarkistamiseen liittyisi pääasiassa tilanteisiin, joissa tiedonsaaja tarkastelee yksittäisen henkilön luvan voimassaoloa rekisteröidyn aloitteesta tapahtuvissa asiointitilanteissa.
Tietoja voitaisiin pykälän nojalla luovuttaa esimerkiksi ase-elinkeinonharjoittajalle ampuma-aselain 42 c §:ssä säädetyn ilmoitusvelvollisuuden täyttämiseksi. Luvan täydentäminen aseen tai aseen osan yksilöintitiedoilla tapahtuisi ase-elinkeinonharjoittajan toimesta käyttäen sähköistä asiointia, jos ase tai aseen osa hankittaisiin ampuma-aselain 20 §:n mukaiselta ase-elinkeinonharjoittajalta. Ase-elinkeinonharjoittaja ilmoittaisi yksilöintitiedot luovutuksen yhteydessä sähköisen asioinnin avulla poliisin asetietojärjestelmään käyttäen vahvaa tunnistautumista. Ase-elinkeinonharjoittajien hallussa olevat aseiden, aseen osien ja tehokkaiden ilma-aseiden tiedot olisivat merkittyinä poliisin asetietojärjestelmään ja niiden luovutuksesta tehtävällä sähköisellä ilmoituksella yksilöintitiedot siirtyisivät luovutuksensaajan aselupaan. jonka yhteydessä elinkeinoluvan haltija täydentäisi luvan tietoja ampuma-aseen tai aseen osan yksilöintitiedoilla sähköisen asioinnin kautta (HE 266/2016 vp, s. 39).
Pykälässä tarkoitettuihin tilanteisiin kuuluisi myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 7 b §:ssä säädetty passin tai henkilökortin voimassaoloa koskevan tiedon luovuttaminen tunnistuspalvelun tarjoajalle. Pykälä mahdollistaisi tietojen luovuttamisen myös muissa tilanteissa, joissa lupaa koskevien tietojen tarkistaminen on välttämätöntä yksityiselle yhteisölle tai henkilölle säädettyjen tehtävien hoitamiseksi. Luovuttaminen olisi aina rekisterinpitäjän harkintavallassa, eikä pykälä siten perustaisi poliisille velvollisuutta henkilötietojen luovuttamiseen.
25 §. Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle. Pykälän 1 momentissa huomioitaisiin niin sanottu tietojen saatavuusperiaate, jonka mukaan henkilötietojen ja muiden tietojen tulisi olla toisen EU:n jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaisen saatavilla samoin edellytyksin kuin ne ovat poliisin käytettävissä rikoksen ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälän 2 momentissa säädettäisiin henkilötietojen luovuttamisesta vakavan rikollisuuden torjunnan tehostamiseksi perustetulle Eurojust-yksikölle ja muille Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perusteluille toimielimille. Momentissa tarkoitettuihin toimielimiin kuuluisi Eurojust-yksikön lisäksi esimerkiksi Euroopan petostentorjuntavirasto.
Pykälän 3 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona.
Säännökset vastaisivat sisällöllisesti pääosin voimassa olevan lain 29 §:ää. Voimassa olevassa laissa tietojen luovuttamista Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaisille on kuitenkin tietyiltä osin rajattu tiukemmin kuin poliisin mahdollisuuksia käsitellä henkilötietoja muuhun kuin alkuperäiseen käsittelytarkoitukseen. Tietoja voitaisiin siten ehdotetun säännöksen nojalla tietyissä tilanteissa luovuttaa voimassa olevaa sääntelyä laajemmin. Laajennus koskisi esimerkiksi poliisilain 1 luvun 1 §:n 2 momentissa säädettyjen tehtävien suorittamiseksi kerättyjen henkilötietojen luovuttamista. Laajempaa mahdollisuutta tietojen luovuttamiseen merkitsisivät tietojen saatavuusperiaatteen vuoksi myös poliisille 13—15 §:ssä ehdotetut laajemmat mahdollisuudet tietojen käsittelyyn muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Tiedot voitaisiin luovuttaa myös tietojoukkona. EU:n jäsenvaltioiden poliisiviranomaiset käyttävät tiedonvaihtoon suojattua kanavaa.
Pykälän 4 momentti sisältäsi informatiivisen viittauksen Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettuun lakiin sen varmistamiseksi, että puitepäätös on asianmukaisesti pantu täytäntöön henkilötietojen luovuttamisen osalta. Puitepäätöksen täytäntöönpanolaki olisi erityissäädös suhteessa lakiehdotukseen.
26 §. Henkilötietojen luovuttaminen Schengenin tietojärjestelmän kansallisesta järjestelmästä. Pykälässä säädettäisiin henkilötietojen luovuttamisesta Schengenin tietojärjestelmän kansallisesta järjestelmästä. Säännös olisi informatiivinen ja vastaisi voimassa olevan lain 35 §:ää.
27 §. Henkilötietojen luovuttaminen Schengenin tietojärjestelmää käyttävälle valtiolle ja Schengenin tietojärjestelmään. Pykälässä säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja Schengen-valtioiden toimivaltaisille viranomaisille sekä Schengenin tietojärjestelmään talletettavaksi. Säännös olisi luonteeltaan informatiivinen ja vastaisi poliisin osalta sisällöltään voimassa olevan lain 36 §:ää, jossa säädetään kaikkien toimivaltaisten Schengen-viranomaisten oikeudesta tietojen luovuttamiseen. Lain soveltamisala huomioiden säännös rajattaisiin kuitenkin koskemaan vain poliisin oikeutta tietojen luovuttamiseen.
Pykälässä ehdotetaan lisäksi säädettäväksi, että lisätiedot olisi luovutettava Sirene-toimistona toimivan keskusrikospoliisin välityksellä. Keskusrikospoliisin rooli Schengenin säädöspohjassa tarkoitettuna Sirene-toimistona on voimassa olevassa laissa huomioitu kansainväliseen poliisiyhteistyöhön liittyviä määritelmiä koskevassa 32 §:ssä.
28 §. Henkilötietojen luovuttaminen Europolille. Pykälä sisältäisi informatiivisen viittauksen Europol-asetukseen ja sitä täydentävään lakiin Euroopan unionin lainvalvontayhteistyövirastosta.
29 §. Henkilötietojen luovuttaminen Eurodac-järjestelmään. Pykälä vastaisi voimassa olevan lain 39 §:ää, joka on informatiivinen säännös, mutta pykälän säädösviittaukset tarkistettaisiin vastaamaan EU-lainsäädännön muutoksia. Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten Dublinin yleissopimuksen tehokkaaksi soveltamiseksi annetussa neuvoston asetuksessa (EY) N:o 2725/2000 tarkoitetun Eurodac-tietojärjestelmän tietojen käyttötarkoitusta laajennettiin Euroopan parlamentin ja neuvoston asetuksella EU/603/2013 (Eurodac-asetus), jonka soveltaminen alkoi 20 päivänä heinäkuuta 2015. Asetus mahdollistaa Eurodac-järjestelmään taltioitujen sormenjälkien käyttämisen lainvalvontatarkoituksessa torjuttaessa terrorismirikoksia ja muita vakavia rikoksia. Pykälässä ehdotetaan lisäksi säädettäväksi siitä, että keskusrikospoliisi on asetuksen 5 artiklan 1 kohdassa tarkoitettu nimetty viranomainen lainvalvontatarkoituksessa myönnettävää tietojen saantia varten.
30 §. Henkilötietojen luovuttaminen Prümin sopimuksen ja Prüm-päätöksen nojalla. Säännöksellä pantaisiin täytäntöön Prümin sopimuksen ja Prüm-päätöksen säännökset siltä osin kuin on kyse niiden nojalla tapahtuvasta rikosperusteisesta henkilötietojen luovuttamisesta.
Pykälän 1 momentissa säädettäisiin niin sanotusta osumahausta, joka liittyy DNA-tietoihin, sormenjälkitietoihin ja ajoneuvorekisteritietoihin. Näiden osalta EU:n jäsenvaltioilla on käytössä hajautettu järjestelmä, jossa poliisi voi hakea osumatietoja toisen jäsenvaltion kyseessä olevan rekisterin viitetietoihin.
Pykälän 2 momentti sisältäisi informatiivisen säännöksen, jolla täsmennettäisiin 1 momentissa tarkoitetun osumahaun jälkeiseen henkilötietojen vaihtoon sovellettavat säännökset. Säännös olisi uusi ja sen tarkoitus olisi selkiyttää Prüm-päätöksen ja muun lainsäädännön suhdetta. Neuvoston päätös 2008/615/YOS jättää käytettävän tiedonvaihtomenettelyn ja kanavan jäsenvaltioiden lainvalvontaviranomaisten harkintaan, jolloin niiden täsmentäminen säännösviittauksilla lain tasolla olisi tarkoituksenmukaista. Tällä pyrittäisiin varmistamaan sekä Prümin sopimuksen ja Prüm-päätöksen että neuvoston puitepäätöksen 2006/960/YOS tehokas täytäntöönpano.
Voimassa olevan lain 40 §:n informatiivinen säännös Prümin sopimukseen ja Prüm-päätökseen perustuvaa tietojen käsittelyä koskevien lokitietojen ja valvontatietojen poistamisesta ehdotetaan siirrettäväksi 5 lukuun ja rekisteröidyn tarkastusoikeutta koskeva säännös ehdotetaan huomioitavaksi 6 luvussa.
31 §. Muu henkilötietojen luovuttaminen ulkomaille. Henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin tietosuoja-asetuksen V luvun sekä rikosasioiden tietosuojalain 7 luvun säännöksiä. Pykälä sisältäisi kuitenkin eräitä tarkentavia säännöksiä tietojen luovuttamisesta ulkomaille.
Pykälän 1 momentti sisältäisi rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen osalta säännöksen, joka oikeuttaisi poliisin luovuttamaan henkilötietoja salassapitosäännösten estämättä.
Pykälän 2 ja 3 momentissa säädettäisiin lisäksi täydentävästi eräistä henkilötietojen luovuttamiseen liittyvistä erityistilanteista.
Pykälän 2 momentin 1 kohdan mukaan poliisi saisi luovuttaa henkilötietoja laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamisesta tehdyissä kansainvälissä sopimuksissa tai muissa järjestelyissä tarkoitetuille toimivaltaisille viranomaisille kyseisissä kansainvälisissä sopimuksissa tai järjestelyissä tarkoitettuja tehtäviä varten. Kohta vastaisi pääosin voimassa olevan lain 30 §:n 4 momenttia. Kohtaan lisättäisiin myös maininta muista takaisinottamista koskevista järjestelyistä niitä tilanteita varten, joissa henkilö palautetaan valtioon, jonka kanssa Suomella ei ole takaisinottosopimusta.
Momentin 2 kohdassa säädettäisiin asevalvonnan kannalta välttämättömien henkilötietojen luovuttamisesta muun valtion asevalvonnasta vastaavalle viranomaiselle. Säännös vastaisi voimassa olevan lain 30 §:n 3 momenttia, mutta koskisi myös tietojen luovuttamista EU-jäsenvaltioiden viranomaisille. Säännöksellä katettaisiin myös aseiden hankinnan ja hallussapidon valvonnasta annetun neuvoston direktiivin 91/477/ETY muuttamisesta toukokuun 17 päivänä 2017 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/853 (jäljempänä asedirektiivi) 13 artiklan 4 kohdassa tarkoitettu tiedonvaihto. Asedirektiivin 13 artiklan 4 kohdan mukaan jäsenvaltioiden toimivaltaisten viranomaisten on vaihdettava sähköisesti tietoja luvista, joita on myönnetty ampuma-aseiden siirtämiseksi toiseen jäsenvaltioon, ja tietoja lupien epäämisestä 6 ja 7 artiklassa säädetyn mukaisesti turvallisuuteen tai asianomaisen henkilön luotettavuuteen liittyvistä syistä.
Pykälän 3 momentti sisältäisi rajoitussäännöksen, joka koskee henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien biometristen tietojen luovuttamista. Säännös vastaisi sisällöllisesti voimassa olevan lain 30 §:n 3 momentin säännöstä passin sormenjälkitietojen luovuttamisesta, mutta säännös laajennettaisiin koskemaan sormenjälkien lisäksi myös muita biometrisia tietoja. Tietoja saisi luovuttaa vain 14 §:n 2 momentin mukaisiin tarkoituksiin. Ehdotetulla säännöksellä huomioitaisiin EU:n tietosuojalainsäädännössä biometristen tietojen käsittelylle asetetut tiukemmat edellytykset.
Pykälän 4 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona.
32 §. Tietojen luovuttamisesta päättäminen. Pykälässä säädettäisiin päätöksenteosta, joka koskisi oikeutta luovuttaa poliisin henkilörekisterin tietoja tietojoukkona tai teknisen käyttöyhteyden avulla sekä 3 luvussa tarkoitettujen viranomaisten oikeutta luovuttaa näillä keinoilla henkilötietoja poliisin tietojärjestelmään (1 momentti).
Kun tietoja luovutetaan teknisen käyttöyhteyden avulla, rekisterinpitäjän on vaikeampi valvoa henkilötietojen suojaamista ja käyttöä. Teknisen käyttöyhteyden avulla tapahtuvasta tietojen luovuttamisesta sovittaisiin nykyistä vastaavasti aina erikseen rekisterinpitäjän ja tietojen luovuttajan tai vastaanottajan välillä. Ehdotetun 4 luvun säännökset eivät siten itsessään loisi esimerkiksi vastaanottajille oikeutta saada poliisin henkilötietoja teknisen käyttöyhteyden avulla ilman erillistä päätöstä. Päätöksen tietojen luovuttamisesta tekisi rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö. Rekisterinpitäjä voisi kussakin tapauksessa erikseen arvioida, onko teknisen käyttöyhteyden avaaminen perusteltua.
Pykälän 2 momentin mukaan luovuttamisesta päätettäessä olisi voimassa olevan lain 20 §:n 2 momenttia vastaavasti otettava huomioon luovutettavien tietojen laatu.
5 luku Henkilötietojen poistaminen, tarkistaminen ja arkistointi
Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja tietosuojadirektiivin 4 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten. Luvussa säädettäisiin henkilötietojen enimmäissäilytysajoista. Luvun säännökset eivät rajoittaisi muualla laissa olevien tietojen poistamista tai tarpeellisuuden arviointia koskevien säännösten soveltamista, vaan luvussa mainittuja poistoaikoja olisi noudatettava, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin.
33 §. Rikosasiaan liittyvien henkilötietojen poistaminen. Pykälä korvaisi ne voimassa olevan lain 22 §:n säännökset, jotka koskevat rikosten esitutkintaan liittyvien tietojen ja tuntomerkkitietojen poistamista. Henkilötietojen säilytysaikoihin ei esitetä suuria muutoksia vuoden 2013 lainmuutoksiin verrattuna. Tietojen poistamista koskevia säännöksiä ehdotetaan kuitenkin edelleen yksinkertaistettavaksi ja selkeytettäväksi. Ehdotuksessa on otettu huomioon myös uuden tietosuojalainsäädännön edellyttämät muutostarpeet.
Ehdotetussa 33 §:ssä säädettäisiin rikosilmoitusten tietojen ja tuntomerkkitietojen poistamisen lisäksi myös muiden rikosasiaan liittyvien henkilötietojen poistamisesta. Rikosasiaan liittyvillä henkilötiedoilla tarkoitettaisiin kaikkia esitutkintatarkoituksiin kerättyjä henkilötietoja, joiden poistamisajat on tarkoituksenmukaista yhdenmukaistaa rikosilmoitusta koskevien tietojen poistamisaikojen kanssa. Esimerkiksi tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot sekä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tai tutkintaa suorittavien viranomaisten valvonnan suuntaamiseksi käsiteltävät tiedotustiedot poistettaisiin jatkossa noudattaen sen rikosasian säilytysaikaa, johon tiedot liittyisivät. Säilytysajat olisivat edelleen porrastettuja sen mukaan, miten törkeästä teosta on kysymys. Lisäksi säännöksessä huomioitaisiin alaikäisten rikolliseen tekoon syyllistyneiden henkilöiden haavoittuvampi asema.
Pykälän 1 momentin mukaisesti rikosasian tiedot poistettaisiin viiden vuoden kuluttua rikos-asian siirtämisestä syyttäjälle, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus, kymmenen vuoden kuluttua, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli vuoden ja enintään viiden vuoden vankeusrangaistus, ja kahdenkymmenen vuoden kuluttua, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta. Esitetyillä säilytysajoilla varmistettaisiin voimassa olevaa lakia vastaavasti, että tiedot säilyvät poliisin tietojärjestelmässä vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Säilytysaikaa lyhennettäisiin kymmenestä vuodesta viiteen vuoteen niiden syyttäjälle siirrettyjen rikosasioiden osalta, joissa törkeimmästä epäillystä rikoksesta voi seurata enintään vuoden vankeusrangaistus. Lyhyemmän säilytysajan arvioidaan riittävän turvaamaan tietojen säilyminen lainvoimaisen ratkaisun saamiseen saakka.
Edellä 1 momentissa tarkoitetut tiedot poistettaisiin 2 momentin mukaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta. Tällä varmistettaisiin nykyistä vastaavasti se, että esimerkiksi murhatutkimuksiin liittyvät tiedot säilyvät poliisin käytettävissä.
Muun rikosasian tiedot poistettaisiin 3 momentin mukaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta. Vähintään viiden vuoden säilytysaika vastaisi virkarikosten syyteoikeuden vanhentumisaikaa ja olisi tarpeen sekä asianomistajan että poliisin oikeusturvan takaamiseksi.
Pykälän 4 momentissa säädettäisiin rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi talletettujen tuntomerkkitietojen poistamisesta. Tiedot poistettaisiin viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistettaisiin kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta. Esitetyillä muutoksilla lyhennettäisiin voimassa olevan lain mukaisia poistoaikoja huomattavasti lievempien rikosasioiden osalta. Tunnistamattomiksi jääneiden rikokseen liittyvän tuntemattoman tekijän taltioitujen jälkien poistamisesta ei enää säädettäisi erikseen, vaan tiedot poistettaisiin 2 momentin mukaista muun rikosasian poistoaikaa noudattaen vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.
Pykälän 5 momentissa huomioitaisiin alaikäiset rikollisesta teosta epäillyt. Momentin tarkoituksena on varmistaa lapsen edun huomioon ottaminen lapsen oikeuksien yleissopimuksen mukaisesti. Voimassa olevan lain 22 §:n 2 momentin mukaan rekisteröidyn, joka oli rikoksen tekohetkellä alle 15-vuotias, tiedot poistetaan hänen täytettyään 18 vuotta, ellei hän 15 vuotta täytettyään ole syyllistynyt rikokseen. Tietoja ei kuitenkaan tällä perusteella poisteta, jos ilmoitukseen liittyy muita syylliseksi epäiltyjä, joiden tietoja ei vielä poisteta tai jokin merkinnöistä koskee rikollista tekoa, josta on seuraamukseksi säädetty ainoastaan vankeutta. Mainitun säännöksen asianmukainen toteuttaminen on kuitenkin osoittautunut ongelmalliseksi. Voimassa olevan poistosäännön merkitys rekisteröidyn yksityisyyden suojan kannalta jäisi myös pieneksi sen takia, että alle 15-vuotiaita koskevissa rikosilmoituksissa on useissa tapauksissa muitakin kirjattuja henkilöitä, minkä takia poistosääntö johtaisi käytännössä tietojen poistamiseen vain vähäisellä osalla alle 15-vuotiaana rekisteröidyistä.
Ehdotetun 5 momentin mukaan alle 15-vuotiaiden rekisteröityjen tuntomerkkitiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, ellei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta. Muutoin alle 15-vuotiaiden rekisteröityjen tiedot poistettaisiin noudattaen ehdotetun 33 §:n yleisiä säännöksiä. Esimerkiksi rikosilmoitus, jossa kirjattuna on ainoastaan alle 15-vuotias henkilö, poistettaisiin 2 momentin mukaisesti viiden vuoden kuluttua rikosasian kirjaamisesta, koska rikosasiaa ei siirrettäisi syyttäjälle.
Pykälän 6 momentissa säädettäisiin rekisteröidyn yksityisyyden suojan takaamiseksi poikkeussäännöstä, jonka mukaan henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistettaisiin viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta.
Pykälän 7 momentin mukaan kaikki edellä 1—5 momentissa tarkoitetut tiedot voitaisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Myös esimerkiksi ajoneuvoja koskevien kuulutusten voimassaoloaikaa voi olla tarve jatkaa omaisuuden omistajalleen palauttamisen mahdollistamiseksi. Pääsääntöisesti tutkinnanjohtaja harkitsisi ajoneuvon kunnon, iän, arvon tai antiikkiarvon ja rikosnimikkeen perusteella, kuinka kauan etsintäkuulutus on tarpeen pitää voimassa. Vanhoja huonokuntoisia ajoneuvoja koskevien kuulutusten säilytysaika olisi yleensä sama kuin siihen liittyvän rikosasian. Omistusoikeus ajoneuvoon kuitenkin säilyy omistajalla, vaikka rikos vanhenee tai joku saa anastetun omaisuuden hallintaansa esimerkiksi vilpittömässä mielessä ostamalla. Tämän vuoksi etsintäkuulutus on syytä pitää voimassa niin kauan kuin ajoneuvolla on arvoa.
Tietojen säilyttäminen olisi ehdotetun 7 momentin mukaan nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Muu perusteltu syy tietojen säilyttämiseen voisi olla esimerkiksi tarve jatkaa kateissa olevaa ampuma-asetta koskevan kuulutuksen voimassaolo-aikaa, vaikka asian tutkinta on jo päättynyt. Momentissa säädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tarpeellisuuden arvioinnille asetettu viiden vuoden määräaika vastaisi rikosasioiden tietosuojalain 6 §:ssä arvioinnille säädettyä määräaikaa. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi.
Pykälän 8 momentti sisältäisi viittaussäännöksen Prümin sopimukseen ja Prüm-päätökseen. Prümin sopimuksen ja Prüm-päätöksen soveltamista varten EU:n jäsenvaltiot ovat ottaneet käyttöön ns. osumatiedonhakua varten tietojärjestelmät ajoneuvorekisteritiedonvaihtoa, sormenjälkitiedonvaihtoa ja DNA-tiedonvaihtoa varten. Momentissa mainituissa säännöksissä edellytetään lokitietojen ja valvontatietojen säilyttämistä ja niissä säädetään kyseisten tietojen poistoajoista.
34 §. Muiden tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen poistaminen. Säännöksellä katettaisiin ne 5 §:n mukaisiin tarkoituksiin käsiteltävät henkilötiedot, jotka eivät liittyisi esitutkintaan. Pykälän nojalla poistettaisiin siten esimerkiksi poliisin kenttätehtäviin, virka-aputehtäviin ja laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyvien henkilöiden tiedot. Pykälällä korvattaisiin voimassa olevan lain 22 §:n säännökset muiden ilmoitusten tietojen poistamisesta, tunnistettavien tietojen ja turvallisuustietojen poistamisesta sekä tiettyjen henkilökuulutustietojen poistamisesta. Poistosäännöksiä ehdotetaan myös muiden tutkinta- ja valvontatehtävien osalta yksinkertaistettavaksi ja selkeytettäväksi suhteessa voimassa olevan lain 22 §:ään.
Pykälän 1 momentin mukaisesti muut tutkinta- ja valvontatehtävissä käsiteltävät henkilötiedot kuin 33 §:ssä tarkoitetut tiedot säilytettäisiin viiden vuoden ajan ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan. Esimerkiksi kuolemansyyn selvittäminen sekä lähestymiskiellon ja liiketoimintakiellon edellytysten selvittäminen ovat tyypillisesti rikosasian tutkinnan yhteydessä selvitettäviä asioita.
Pykälän 2 momentin 1—4 kohdassa huomioitaisiin poikkeukselliset säilytysajat, jotka liittyisivät muuhun lainsäädäntöön. Momentin 1—3 kohta koskisivat liiketoimintakieltoa, lähestymiskieltoa, tapaamiskieltoa ja yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa tarkoitettua suojelutoimenpidettä, valvottua koevapautta ja valvontarangaistusta. Momentin 4 kohdassa säädettäisiin muiden henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävien etsintäkuulutusta, matkustus-, eläintenpito- tai metsästyskieltoa, kansallista maahantulokieltoa, yhdyskuntaseuraamusta tai ehdonalaista vapautta koskevien tietojen poistamisesta.
Momentin 1—4 kohdassa tarkoitettujen tietojen säilytysajat perustuisivat 1 momentin pääsäännöstä poiketen kuulutuksen tai kiellon määräämiseen, peruuttamiseen tai päättymiseen. Ilmoituksen tai asian kirjaamiseen perustuva säilytysaika voisi johtaa tilanteisiin, joissa asiaan liittyvät henkilötiedot olisi poistettava kuulutuksen tai kiellon ollessa vielä voimassa tai välittömästi voimassaolon päätyttyä.
Kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi käsiteltävien henkilötietojen säilytysaika on vuoden 2013 lainmuutoksella pidennetty yhdestä vuodesta viiteen vuoteen. Säilytysaikaa ehdotetaan edelleen tarkennettavaksi 2 momentin 5 kohdassa siten, että tiedot poistettaisiin aikaisintaan viiden vuoden kuluttua kadonneen henkilön löytämisestä tai tuntemattoman vainajan tunnistamisesta. Monimutkaisissa tapauksissa ja erityisesti, jos henkilö on tavattu ulkomailla tai vainaja on ulkomaalainen, virka-apumenettelyt hidastavat prosessia niin, että asioiden loppuun saattaminen kestää vielä tunnistamisen jälkeen pitkään. Kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi tarpeelliset lähisukulaisten tiedot poistettaisiin kuitenkin rekisteröidyn pyynnöstä tai heti, kun tiedot eivät enää ole käsittelytarkoituksen kannalta tarpeellisia.
Etsittävien ajoneuvojen tiedoille ja omaisuustiedoille ei voimassa olevista säännöksistä poiketen ehdotettaisi erillistä poistosäännöstä, vaan tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot poistettaisiin noudattaen sen ilmoituksen tai asian säilytysaikaa, johon kuulutustiedot liittyisivät. Tiedot poistettaisiin, kun ne eivät ole enää tarpeen asian käsittelemiseksi, tehtävän suorittamiseksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi.
Momentin 6 kohdassa säädettäisiin ulkomaalaisten tunnistamistietojen poistoajasta voimassa olevan lain 23 §:ää vastaavasti. Ulkomaalaisten tunnistamistietojen säilytysaikaa koskevan säännöksen siirtäminen osaksi tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen poistosäännöksiä vastaisi 2 lukuun ehdotettuja muutoksia, joilla huomioitaisiin ulkomaalais-valvonnan yhteydet rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälän 3 momentissa säädettäisiin voimassa olevaa lakia vastaavasta poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai poliisin henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Turvallisuustietojen tarpeellisuuden varmistamiseksi tiedot on poliisin määräyksen mukaan päivitettävä käyttötarkoitusta vastaaviksi vähintään vuoden välein. Tarkastuksen yhteydessä on tehtävä merkintä tarkastuksen suorittamisesta. Tarpeettomat tai virheelliset tiedot poistetaan järjestelmästä välittömästi. Voimassa olevan lain 23 §:ää vastaavasti myös ulkomaalaisten tunnistamistiedot poistettaisiin momentin mukaan viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.
Pykälän 4 momentissa säädettäisiin poikkeuksesta, joka koskisi kaikkia edellä 1—3 momentissa tarkoitettuja tietoja. Tiedot voitaisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Tietojen säilyttäminen olisi ehdotetun 4 momentin mukaan nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Momentissa säädettäisiin myös 33 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein.
Edellä 5 §:n 3 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 5 §:n 3 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 5 ja 6 §:ssä säädetyt käsittelyedellytykset, siirrettäisiin kyseisiin käsittelytarkoituksiin ja niiden osalta noudatettaisiin 5 ja 6 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.
35 §. Rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen poistaminen. Rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot olisi ehdotetun 1 momentin mukaan poistettava viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan merkinnän tekemisestä. Ehdotettu pääsääntö vastaisi pääosin voimassa olevan lain 24 §:n säännöstä epäiltyjen tietojärjestelmän tietojen poistamisesta, mutta säännös koskisi jatkossa kaikkia 7 ja 8 §:n nojalla rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja. Havaintotietoja koskisi kuitenkin nykyistä 22 §:n 1 momentin 12 kohtaa vastaava lyhyempi säilytysaika. Tiedot olisi poistettava kuuden kuukauden kuluttua merkinnän tekemisestä. Tällä huomioitaisiin se, että havaintotiedot ovat luonteeltaan epävarmoja eikä niitä tulisi säilyttää pidempään kuin on välttämätöntä.
Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät turvallisuustiedot olisi poistettava edellä 34 §:ssä tarkoitettuja turvallisuustietoja vastaavasti viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai poliisin henkilöstöön kuuluvan turvallisuuden varmistamiseksi.
Ehdotetun pykälän mukaisesti poistettaisiin esimerkiksi rikosten ennalta estämiseksi tai paljastamiseksi suoritettavaan rikosanalyysiin liittyvät henkilötiedot, joita käsitellään voimassa olevan lain 6 §:n 2 momentin 2 kohdan mukaisissa tilapäisissä analyysirekistereissä. Voimassa olevan lain 26 §:n mukaan tiedot poistetaan 6 §:n 2 momentin 2 kohdassa tarkoitetuista henkilörekistereistä viiden vuoden kuluttua ja muista poliisiyksikön ja useamman kuin yhden poliisiyksikön käyttöön perustetuista henkilörekistereistä kymmenen vuoden kuluttua rekisteröinnin aiheuttaneen teon, toimenpiteen tai tapahtuman merkitsemisestä, jollei tietojen edelleen säilyttäminen ole tutkinnallisen tai valvonnallisen syyn vuoksi tarpeen. Voimassa olevan lain mukaan henkilötietoja ei kuitenkaan poisteta, jos henkilön tietoihin on liitetty henkilöä koskevia, hänen omaan turvallisuuteensa tai poliisin työturvallisuuteen liittyviä tietoja.
Kaikkien 7 ja 8 §:n mukaisesti rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen tuominen samojen systemaattisten säilytysaikojen piiriin selkeyttäisi ja yksinkertaistaisi tietojen poistamista sekä järjestelmien toteutuksen että rekisteröidyn oikeusturvan kannalta. Samalla varmistettaisiin mahdollisuudet uhkapotentiaaliltaan suurimpien ja vakavimpien rikosten ennalta estämiseen ja paljastamiseen.
Pykälän 2 momentti sisältäisi 33 §:n 7 momenttia ja 34 §:n 4 momenttia vastaavan säännöksen, jonka mukaan henkilötiedot voitaisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava vähintään viiden vuoden välein. Yksityisyyden suojan takeena toimisivat myös rikosasioiden tietosuojalain 6 §:n yleisesti sovellettavat säännökset henkilötietojen käsittelyn tarpeellisuudesta.
Lyhyempi säilytysaika koskisi myös 7 §:n 6 momentissa tarkoitettuja tietoja, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi. Tiedot olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi, kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin kuitenkin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 7 §:n 6 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 7 ja 8 §:ssä säädetyt käsittelyedellytykset, siirrettäisiin kyseisiin käsittelytarkoituksiin ja niiden osalta noudatettaisiin 7 ja 8 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.
36 §. Tietolähdetietojen poistaminen. Tietolähdetietojen poistamisesta ehdotetaan säädettäväksi erillisessä pykälässä. Ehdotus vastaisi lain 2 lukuun ehdotettuja muutoksia, joilla tietolähdetietojen käsittelyä koskevat säännökset siirrettäisiin erilliseen 9 §:ään. Voimassa olevan lain 22 §:n 1 momentin 9 kohdan mukaan tietolähdetiedot poistetaan kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Säännöstä ehdotetaan muutettavaksi siten, että tiedoille säädettäisiin kymmenen vuoden enimmäissäilytysaika. Muutoksella huomioitaisiin, että tiedot olisi voitava poistaa myös aiemmin kuin kymmenen vuoden kuluttua esimerkiksi silloin, jos tiedot eivät enää olisi käsittelytarkoituksen kannalta tarpeellisia.
37 §. DNA-näytteiden laadun varmistamiseksi käsiteltävien henkilötietojen poistaminen. Säännös olisi voimassa olevaan lakiin nähden uusi ja siinä huomioitaisiin ehdotetussa 10 §:ssä tarkoitettujen DNA-näytteiden laadun varmistamiseksi käsiteltävien henkilötietojen poistaminen. Tietojen poistamisessa noudatettaisiin rikosasioiden tietosuojalain 6 §:ssä säädettyä vaatimusta tarpeettomien henkilötietojen poistamisesta ilman aiheetonta viivytystä. Rekisteröidyllä olisi oikeus ehdotetun 10 §:n mukaan oikeus kieltää henkilötietojensa käsittely, joten tiedot poistettaisiin myös aina viipymättä rekisteröidyn niin pyytäessä (1 momentti).
Pykälässä tarkoitetuille tiedoille ei ole mahdollista asettaa yleistä säilytysaikaa, vaan tietojen säilyttämisen tarpeellisuus määräytyisi tapauskohtaisesti. Henkilötietojen edelleen säilyttämisen tarpeellisuuden arvioimiselle asetettaisiin tämän takia muihin käsittelytarkoituksiin verrattuna tiukempi määräaika. Tietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava vähintään vuoden välein (2 momentti).
38 §. Muissa poliisin lakisääteisissä tehtävissä käsiteltävien henkilötietojen poistaminen. Ehdotetulla säännöksellä korvattaisiin voimassa olevan lain 23 § lukuun ottamatta ulko-maalaisten tunnistamistietoja, joiden poistamisesta säädettäisiin ehdotetussa 34 §:ssä. Säännöksellä katettaisiin lisäksi myös muut 11 ja 12 §:n nojalla käsiteltävät henkilötiedot, joiden käsittelystä ei säädetä voimassa olevassa poliisin henkilötietolaissa.
Voimassa olevat hallintoasiain tietojärjestelmän poistosäännökset on säädetty vuoden 2013 lainmuutosten yhteydessä. Poistosäännökset ovat kuitenkin osoittautuneet joiltain osin ongelmallisiksi poliisin lupahallinnollisten tehtävien kannalta. Säännöksissä asetetaan toisistaan eriävät säilytysajat samaa lupa-asiaa koskeville eri tietoryhmille, mitä on pidetty ongelmallisena tietojen eheyden kannalta. Säännöksiä on lisäksi pidetty epäselvinä ja monimutkaisina. Tietojen eheyden kannalta ongelmallinen tilanne on esimerkiksi vaatimus lupaa koskevaa päätöstä ja lupaa koskevien tietojen poistamisesta eri aikoina. Säännösten yksinkertaistamisen on valmistelussa arvioitu edistävän rekisteröidyn oikeusturvaa ja korjaavan osaltaan henkilötietojen käsittelyä koskevan sääntelyn epäselvyyttä, raskautta ja monimutkaisuutta perustuslakivaliokunnan edellyttämällä tavalla.
Poistosääntöjä ehdotetaan muutettavaksi siten, että lupahallinnollisissa tarkoituksissa käsitellyt henkilötiedot poistettaisiin pääsääntöisesti viimeistään kahdenkymmenen vuoden kuluttua päätöksestä tai sen raukeamisesta, päätöksessä mainitun voimassaoloajan päättymisestä tai tiedon merkitsemisestä (1 momentti). Ehdotettu säännös pidentäisi voimassa olevan lain 23 §:n mukaista säilytysaikaa henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien henkilökortti- ja passitietojen, henkilön tunnistamiseksi ja henkilöllisyyttä osoittavan asiakirjan valmistamiseksi käsiteltävien kuvatietojen sekä turvallisuusalan valvontatietojen ja rahankeräysten ja arpajaisten valvontatietojen osalta.
Henkilökortti- ja passitietojen nykyinen kymmenen vuoden säilytysaika on osoittautunut liian lyhyeksi tilanteissa, joissa tietoja on tarpeen käsitellä kansalaisuuden säilyttämisen edellytysten tutkimiseksi. Viimeaikaisen tietoteknisen kehityksen myötä kuvatietojen säilytysaikaa ei enää olisi tarvetta rajoittaa teknisistä syistä muita lupa-asiaa koskevia tietoja lyhyemmäksi. Turvallisuusalan valvontatietojen sekä rahankeräysten ja arpajaisten valvontatietojen säilytysajan pidentäminen parantaisi mahdollisuuksia lupien koko elinkaaren seurantaan ja valvonnallisista tapahtumista tarvittavien tietojen keräämiseen. Rahankeräys- ja arpajaislupien osalta säilytysajan pidentämistä puoltaisi myös kyseisten lupien myöntämisen edellytyksiä koskeva lainsäädäntö, jossa edellytetään aikaisempien lupien tietojen huomioimista lupaharkinnassa. Voimassa olevan lain mukainen kymmenen vuoden säilytysaika johtaa käytännössä usein tilanteisiin, joissa yksittäisen luvanhakijan käytössä on vain viimeisimpään lupahakemukseen liittyvät tiedot.
Pykälän 2 momentissa säädettäisiin poikkeuksista 1 momentissa esitettyyn kahdenkymmenen vuoden säilytysaikaan. Momentin 1 kohdassa säädettäisiin ampuma-aselain mukaisen ampuma-aseilmoituksen tietojen poistamiselle voimassa olevaa lakia vastaava kolmen vuoden säilytysaika. Momentin 2 kohdassa huomioitaisiin asedirektiivissä jäsenvaltioille asetettu velvoite varmistaa, että toimivaltaiset viranomaiset säilyttävät ampuma-aseiden ja olennaisten osien rekisteritiedot, mukaan lukien niihin liittyvät henkilötiedot, arkistointijärjestelmissä kolmenkymmenen vuoden ajan kyseisten ampuma-aseiden tai olennaisten osien hävittämisen jälkeen. Tietojen saanti olisi asedirektiivin mukaan sallittava vain enintään kymmenen vuoden ajan ampuma-aseen tai olennaisten osien hävittämisen jälkeen lupien myöntämiseksi tai peruuttamiseksi taikka tullimenettelyjä varten, mahdollisten hallinnollisten seuraamusten määrääminen mukaan lukien, ja enintään kolmenkymmenen vuoden ajan kyseisen ampuma-aseen tai kyseisten olennaisten osien hävittämisen jälkeen, jos tietojen saanti on tarpeen rikoslainsäädännön täytäntöönpanon kannalta.
Momentin 3 kohdassa asetettaisiin löytötavaratoimintaan liittyville henkilötiedoille lyhyempi vuoden säilytysaika, jonka kuluessa tiedot olisi poistettava. Löytötavaratoimintaan liittyvä tavaran omistajan tai löytäjän henkilötietojen käsittely on luonteeltaan lyhytaikaista, eikä toiminnan yhteydessä tehdä pidempää säilytysaikaa edellyttäviä hallintopäätöksiä.
Momentin 4 kohdassa säädettäisiin rahanpesulain 7 luvun mukaisiin valvontatehtäviin liittyvien henkilötietojen poistamisesta. Mainitun luvun 9 §:ssä tarkoitettuihin rikkomusepäilyjä koskeviin ilmoituksiin sisältyvien henkilötietojen poistamisesta säädetään mainitun pykälän 2 momentissa (viisi vuotta merkinnän tekemisestä). Selkeyden vuoksi ehdotetaan, että myös muut 7 luvun mukaiseen valvontaan liittyvät henkilötiedot poistettaisiin viiden vuoden kuluttua merkinnän tekemisestä.
Momentin 5 kohdassa säädettäisiin poliisin määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeellisten tietojen poistamisesta. Kohdassa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat tieliikennelain 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu sekä rahanpesulain 8 luvussa tarkoitetut hallinnolliset seuraamukset. Tiedot olisi poistettava viimeistään viiden vuoden kuluttua merkinnän tekemisestä.
Momentin 6 kohdassa säädettäisiin erikseen säilytysajasta, joka koskisi arpajaislain ja rahanpesulain mukaista valvontaa varten käsiteltävien rahapeliyhtiön tai sen asiamiesten asiakkaita koskevia henkilötietoja. Nämä tiedot olisi poistettava heti, kun niiden säilyttäminen ei ole enää valvontatehtävän suorittamiseksi tarpeen. Rahapeliyhtiön tai sen asiamiesten asiakkaiden henkilötietojen käsittely voi olla tarpeellista esimerkiksi pelaajan ratkaisuositushakemuksen käsittelemiseksi, jolloin tarve henkilötietojen käsittelyyn yleensä päättyy noin kahden vuoden kuluessa tietojen vastaanottamisesta. Rahapelaamiseen liittyvän pelikäyttäytymisen ja rahapelaamisesta aiheutuvien haittojen toteutumisen valvonta voi kuitenkin edellyttää myös tätä pidempää henkilötietojen käsittelyä.
Pykälän 3 momentissa säädettäisiin nykyistä 23 §:n 2 momenttia vastaavasti henkilöä koskevien tietojen poistamisesta viimeistään vuoden kuluttua rekisteröidyn kuolemasta tiettyjä poikkeustilanteita lukuun ottamatta. Säännös koskisi myös ehdotetun 12 §:n 1 momentin 6 kohdassa tarkoitettuja turvallisuustietoja. Ehdotetun 2 momentin 2—5 kohdassa tarkoitettuja tietoja ei kuitenkaan poistettaisi henkilön kuoleman perusteella. Asedirektiivissä edellytettyä kolmenkymmenen vuoden säilytysaikaa ei direktiivissä asetettujen velvoitteiden noudattamiseksi rajoitettaisi henkilön kuoleman perusteella, koska tarve aseiden haltijoiden ja omistajien henkilötietojen pitkäaikaiseen säilyttämiseen perustuu aseen elinkaaren seuraamiseen. Löytötavaratoimintaan liittyvät tiedot poistettaisiin kyseisen kohdan mukaan vuoden kuluessa merkinnän tekemisestä, jolloin 3 momentin säännöksillä ei olisi käytännön merkitystä tietojen säilytysajan kannalta. Rahanpesulain 7 luvun 9 §:ssä tarkoitettuja rikkomusepäilyjä koskeviin ilmoituksiin sovellettaisiin mainittua pykälää, jossa ei säädetä tietojen poistamisesta rekisteröidyn kuoleman perusteella. Arpajaislain ja rahanpesulain mukaista valvontaa varten käsiteltävien asiakkaiden tietoja ei puolestaan olisi mahdollista poimia rahapeliyhtiön poliisille toimittamasta tietoaineistosta asiakkaan kuoleman perusteella. Tiedot eivät ole yhdistettävissä yksittäiseen luonnolliseen henkilöön pelkästään rahapeliyhtiön poliisille tietojoukkona siirtämien tietojen perusteella, vaan poliisi saisi tiedon yksittäisen pelaajan henkilöllisyydestä ainoastaan rahapeliyhtiön kautta.
39 §. Virheelliseksi todettu tieto. Pykälä vastaisi sisällöltään voimassa olevan lain 27 §:ää. Ehdotetulla säännöksellä mahdollistettaisiin rekisterissä olevan virheellisen tiedon säilyttäminen korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi (1 momentti). Virheellisiä tietoja ei saisi käyttää muuhun tarkoitukseen.
Rikosasioiden tietosuojalain 7 §:ssä säädetään, että käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Mainitun lain 25 §:n 1 momentin mukaan rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto. Pykälä ei korvaisi rikosasioiden tietosuojalain 25 § 2 momentin vaatimusta henkilötietojen käsittelyn rajoittamisesta, vaan pykälän säilyttämisellä ennallaan varmistettaisiin ongelmaton siirtyminen uuden lain mukaiseen sääntelyyn.
Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ehdotettu säännös täydentäisi 11 ja 12 §:ssä säädettyjen käsittelytarkoitusten osalta rekisteröidylle tietosuoja-asetuksen 16 artiklassa säädettyä oikeutta tietojen oikaisemiseen. Säännös ei rajoittaisi mainittua oikeutta, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä.
Pykälän 2 momentissa säädettäisiin virheellisen tiedon säilyttämistä koskevasta poikkeuksesta, joka koskisi Schengenin tietojärjestelmän kansallista järjestelmää. Pykälän 3 momentin mukaan virheelliseksi todettu tieto olisi poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei ole enää tarpeen.
40 §. Tietojen arkistointi. Pykälä sisältäisi informatiivisen säännöksen, jossa viitattaisiin arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavaan lainsäädäntöön. Säännös vastaisi sisällöllisesti voimassa olevan lain 28 §:ää.
6 luku Rekisteröidyn oikeudet
Rekisteröidyn oikeuksia koskevat säännökset sisältyisivät pääosin rikosasioiden tietosuojalain 4 lukuun ja tietosuoja-asetuksen III lukuun. Tässä luvussa tarkennettaisiin kyseisiä säännöksiä rekisteröidyn tarkastusoikeuden toteuttamisen ja rekisteröidyn oikeuksiin kohdistuvien rajoitusten osalta.
Henkilötietojen käsittelyyn sovellettavat rekisteröidyn oikeudet määräytyvät tietosuoja-asetuksessa osittain käsittelyn oikeusperustan mukaan. Asetuksen 17 artiklan mukaista oikeutta tietojen poistamiseen ei sovelleta, kun henkilötietoja käsitellään rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Asetuksen 20 artiklassa säädettyä oikeutta siirtää tiedot järjestelmästä toiseen puolestaan sovelletaan vain käsittelyyn, joka perustuu suostumukseen tai sopimukseen. Lisäksi 21 artiklan mukainen oikeus vastustaa tietojen käsittelyä kattaa ainoastaan käsittelyn, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen oikeutetun edun toteuttamiseen. Koska tässä laissa tarkoitettu henkilötietojen käsittely tapahtuisi poliisin lakisääteisten tehtävien suorittamiseksi, siihen ei sovellettaisi asetuksen 17 artiklaa, 20 artiklaa tai 21 artiklaa.
41 §. Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 1 momentissa täsmennettäisiin, että rekisterinpitäjä vastaisi tarvittavien henkilötietojen ja muiden tietojen antamisesta tarkastamista varten, kun kyse on rikosasioiden tietosuojalain 23 §:ssä tarkoitetusta tarkastusoikeudesta ja tietosuoja-asetuksen 15 artiklassa tarkoitetusta rekisteröidyn tietoon pääsystä. Rekisterinpitäjä voisi myös määrätä tehtävän muun poliisin yksikön hoidettavaksi.
Rikosasioiden tietosuojalain 23 §:ssä säädetään, että rekisteröity voi esittää tarkastusoikeuden toteuttamista koskevan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Tietosuoja-asetuksen 15 artiklassa ei säädetä nimenomaisesti tarkastusoikeuden toteuttamistavoista, mutta artiklan mukaan tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity esittää pyynnön sähköisesti eikä pyydä toisenlaista toimitusta.
Pyynnön esittäminen omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla ei kuitenkaan riittäisi varmistamaan pyynnön esittäjän henkilöllisyyttä poliisin käsittelemien henkilötietojen kannalta riittävän luotettavalla tavalla. Tämän vuoksi pykälän 2 momentissa säädettäisiin rikosasioiden tietosuojalaista poiketen, että rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle poliisiyksikölle ja todistettava henkilöllisyytensä. Pyyntö voitaisiin vaihtoehtoisesti esittää myös rekisterinpitäjän tarjoaman sähköisen palvelun avulla käyttämällä vahvaa sähköistä tunnistautumista. Tunnistautumisessa noudatettaisiin sähköistä asiointia viranomaistoiminnassa koskevan lainsäädännön mukaisia vaatimuksia.
Sähköisen palvelun tarjoamisella helpotettaisiin rekisteröidyn mahdollisuuksia tarkastusoikeuden käyttämiseen rikosasioiden tietosuojadirektiivin sekä tietosuoja-asetuksen edellyttämällä tavalla. Säännöksessä huomioitaisiin kuitenkin, että sähköinen palvelu ei välttämättä ole käytössä välittömästi lain tullessa voimaan, vaan palvelu toteutettaisiin mahdollisuuksien mukaan rekisterinpitäjän tarkemmin määrittelemänä ajankohtana.
Rekisteröidyn henkilöllisyyden vahvistamiseksi pyydettyjä lisätietoja voitaisiin tietosuojadirektiivin johdanto-osan 41 kappaleen mukaisesti käsitellä ainoastaan tätä erityistarkoitusta varten, eikä niitä saisi säilyttää kauempaa kuin kyseisen erityistarkoituksen edellyttämän ajan.
42 §. Tarkastusoikeuden rajoittaminen. Rekisteröidyn tarkastusoikeuden rajoittamisesta yksittäistapauksissa säädetään rikosasioiden tietosuojalain 24 ja 28 §:ssä. Ehdotetussa 42 §:ssä säädettäisiin mainittuja säännöksiä täydentävästi poliisin henkilötietojen käsittelyä koskevista yleisistä poikkeuksista rikosasioiden tietosuojalain 23 §:n mukaiseen rekisteröidyn tarkastusoikeuteen. Tietosuoja-asetuksen soveltamisalaan kuuluvien henkilötietojen tarkastusoikeuden rajoituksista on voimassa, mitä tietosuoja-asetuksessa ja tietosuojalain 34 §:ssä säädetään.
Pykälän 1 momentin 1 kohdan mukaan tarkastusoikeutta ei olisi lain 5 §:n 3 momentissa ja 7 §:n 6 momentissa tarkoitettuihin tietoihin, joiden käsittelyn tarpeellisuutta poliisi vasta arvioisi. Tarkastusoikeutta ei olisi myöskään 9 §:ssä tarkoitettuihin tietolähdetietoihin, joihin kohdistuvaa tarkastusoikeutta on rajoitettu myös voimassa olevan lain 45 §:n 1 momentin 4 kohdassa.
Momentin 2 kohdassa rajoitettaisiin voimassa olevan lain 45 §:n 1 momentin 3 kohtaa vastaavasti tarkastusoikeutta Schengenin tietojärjestelmän salaista tarkkailua ja erityistarkastuksia koskeviin henkilötietoihin.
Momentin 3 kohdassa rajattaisiin pois tarkastusoikeus 5—8 §:ssä tarkoitettuihin henkilö-tietoihin sisältyviin poliisin taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin. Kohta korvaisi ja pitäisi sisällään aikaisemmassa laajuudessa voimassa olevan 45 §:n 1 momentin 1 ja 4 kohdat, mutta muotoiltaisiin uudelleen 2 lukuun esitettyjen muutosten huomioimiseksi. Samalla muotoilua yhdenmukaistettaisiin julkisuuslain 24 §:n 1 momentin 5 kohdan kanssa, jossa säädetään poliisin, rajavartiolaitoksen ja tullilaitoksen sekä vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävien asiakirjojen salassapidosta, sekä poliisilain 7 luvun 3 §:n kanssa, jonka mukaan poliisin henkilöstöön kuuluva ei ole velvollinen ilmaisemaan salassa pidettäviä taktisia ja teknisiä menetelmiä. Myös asianosaisen tiedonsaantioikeutta on näiden tietojen osalta rajoitettu julkisuuslain 11 §:n 2 momentin 1 kohdan mukaisen erittäin tärkeän yleisen edun vuoksi. Näiden tietojen paljastuminen johtaisi vaaratilanteisiin tai luottamussuhteiden menettämiseen tai menetelmien paljastumiseen, sekä haittaisi rikosten ehkäisemistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden ylläpitämistä.
Poliisin taktisia ja teknisiä menetelmiä koskeviin tietoihin kuuluisivat myös tiedot momentin 4 kohdan mukaisten salaisten tiedonhankintamenetelmien käyttämisestä ja itse menetelmistä. Näiden tiedonhankintamenetelmien erityisluonteeseen kuuluu, että niitä koskeva asian käsittely, päätöksenteko ja toteuttaminen tapahtuvat kohdehenkilön tietämättä tuomioistuimen päätöksellä ja kohdehenkilön informoimisesta on säädetty erikseen. Menetelmien käytön valvomiseksi on toteutettu erillinen valvontamenettely. Koska salaiset pakkokeinot toteutetaan kohdehenkilön tietämättä, hänelle ei voida luovuttaa tietoja myöskään henkilötietolainsäädännön perusteella.
Momentin 3 kohta rajaisi tarkastusoikeuden ulkopuolelle voimassa olevaa lakia vastaavasti poliisin tietojärjestelmiin tallennetut henkilöä koskevat, hänen omaan turvallisuuteensa tai poliisin työturvallisuuteen vaikuttavat tiedot, etsintäkuulutustietoihin talletetut henkilön tarkkailemiseksi tehdyt kuulutustiedot, etsittävien moottoriajoneuvojen tietoihin talletetut moottoriajoneuvoilla liikkuvien tarkkailtavien henkilöiden kuulutustiedot, pidätettyjen tietoihin talletetut kohdehenkilön säilytysturvallisuuteen liittyvät tiedot, tekotapatiedot, sekä tuntomerkkitiedoista asiasanat, erityistuntomerkit, valokuvat, sormen- ja kämmenenjäljet, DNA-näytteet ja niiden luokitustiedot sekä jalkineenjäljet.
Momentin 4 kohta vastaisi voimassa olevan lain 45 §:n 1 momentin 5 kohtaa ja sillä suljettaisiin pois rekisteröidyn tarkastusoikeus henkilötietoihin, jotka on saatu poliisilain 5 luvun ja pakkokeinolain 10 luvun mukaisia tiedonhankintamenetelmiä käyttäen sekä sähköisen viestinnän palveluista annetun lain (917/2014) 19 luvun 157 §:n nojalla.
Rekisteröidyllä olisi 2 momentin mukaisesti oikeus pyytää tietosuojavaltuutettua tarkastamaan 1 momentissa tarkoitettujen henkilötietojen käsittelyn lainmukaisuus rikosasioiden tietosuojalain 29 §:ssä säädetyllä tavalla. Rekisteröidyn olisi jätettävä oikeuksien käyttämistä koskeva pyyntö joko tietosuojavaltuutetulle taikka poliisille 41 §:n 2 momentissa säädetyllä tavalla, jonka jälkeen poliisin olisi toimitettava pyyntö viipymättä tietosuojavaltuutetulle. Ehdotettu säännös vastaisi nykyistä käytäntöä, jonka mukaan tietosuojavaltuutetulle tarkoitetut pyynnöt voidaan jättää poliisille. Poliisi voi tällöin varmistaa pyytäjän henkilöllisyyden ja tarkastaa pyytäjän henkilötietojen oikeellisuuden. Edellä 41 §:ssä tarkoitetun tarkastusoikeuden toteuttamista koskevan pyynnön lisäksi myös tietosuojavaltuutetulle toimitettavan välillisen tarkastusoikeuden käyttöä koskevan pyynnön esittäjän henkilöllisyyden varmistaminen on tarpeellista, koska pyynnön käsitteleminen edellyttää usein laajamittaistakin henkilötietojen käsittelyä.
Tarkastusoikeuden rajoituksia koskevien ehdotusten vaikutuksia yksityisyyden suojaan arvioidaan tarkemmin esityksen suhdetta perustuslakiin koskevassa osiossa.
43 §. Tarkastusoikeuden toteuttaminen Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämän tiedoston tietoihin. Pykälä korvaisi voimassa olevan lain 47 §:n ja sisältäisi erityissäännöksen tarkastusoikeuden toteuttamisesta. Jokaisella olisi pykälän mukaan oikeus pyytää Schengenin yleissopimuksen 115 artiklassa tarkoitettua valvontaviranomaista varmistamaan, että häntä koskevien henkilötietojen kerääminen, tallettaminen, käsittely ja käyttö Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämässä tiedostossa tapahtuu lainmukaisesti ja oikein. Valvontaviranomaisena toimii tietosuojavaltuutettu.
Pyynnön esittämistä koskevat säännökset yhtenäistettäisiin muiden tarkastusoikeuden toteuttamista koskevien 6 luvun säännösten kanssa. Varmistuspyyntö olisi esitettävä poliisille edellä 41 §:n 2 momentissa säädetyllä tavalla. Poliisin olisi toimitettava vastaanottamansa pyyntö viipymättä tietosuojavaltuutetulle.
44 §. Tarkastusoikeuden toteuttaminen Prümin sopimukseen ja Prüm-päätökseen perustuvan henkilötietojen käsittelyn osalta. Säännös vastaisi voimassa olevan lain 40 §:n 3 momenttia, mutta siirrettäisiin muiden rekisteröidyn oikeuksia koskevien säännösten yhteyteen. Lisäksi pyynnön esittämistapaa koskevat säännökset yhtenäistettäisiin muiden tarkastusoikeuden toteuttamista koskevien 6 luvun säännösten kanssa. Prümin sopimukseen ja Prüm-päätökseen perustuva henkilötietojen käsittely liittyy rikosasioihin ja rekisteröidyllä olisi välillinen tarkastusoikeus henkilötietoihin tietosuojavaltuutetun välityksellä.
45 §. Rekisteröidyn oikeus käsittelyn rajoittamiseen. Ehdotetulla 45 §:llä rajoitettaisiin rekisteröidylle tietosuoja-asetuksen 18 artiklan nojalla kuuluvaa oikeutta rajoittaa henkilötietojensa käsittelyä. Rajoitus perustuisi tietosuoja-asetuksen 23 artiklassa jäsenvaltioille mahdollistettuun liikkumavaraan.
Rekisteröidyllä on tietosuoja-asetuksen 18 artiklan nojalla oikeus vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojen paikkansapitävyyden tai katsoo henkilötietojen käsittelyn olevan lainvastaista. Jos käsittelyä on rajoitettu, henkilötietoja saa käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Tietosuoja-asetuksen johdanto-osan 67 kappaleen mukaan henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.
Rekisteröidyn 18 artiklan mukaisella rajoittamisoikeuden toteuttamisella olisi merkittäviä vaikutuksia poliisin lupahallintoon liittyviin tehtäviin sekä poliisille säädettyihin valvonta-tehtäviin, joiden suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn sovellettaisiin 1. lakiehdotuksen 11 ja 12 §:ää. Esimerkiksi lupahallinnollisten tehtävien kannalta ongelmallisia olisivat erityisesti tilanteet, joissa rekisteröity kiistäisi luvan myöntämisen tai voimassaolon estettä koskevan tiedon paikkansapitävyyden, eikä mainittu lupaharkinnan ja -valvonnan kannalta mahdollisesti olennainen tieto siten olisi käytettävissä lupahallintoon liittyvässä päätöksenteossa. Poliisilla ei näin ollen olisi mahdollisuutta kattavasti hyödyntää lupapäätösten tekemiseksi tarpeellisia rekisteritietoja tai seurata luvan voimassaolon edellytyksiä lupahallintoa koskevassa erityislainsäädännössä, kuten ampuma-aselaissa, edellytetyllä tavalla. Vastaavasti esimerkiksi poliisin määräämiin hallinnollisiin seuraamuksiin liittyvien tietojen käsittelyn rajoittaminen vaikeuttaisi poliisin lakisääteisten tehtävien suorittamista. Käsittelyn rajoittamiseen vaadittavien toiminnallisuuksien automatisointi aiheuttaisi lisäksi merkittäviä muutostarpeita poliisin tietojärjestelmiin.
Poliisin lupahallinnon tehtävänä on hallinnollisen päätöksenteon ja valvonnan keinoin ennalta estää rikoksia sekä yleisen järjestyksen ja turvallisuuden häiriöitä yhteiskunnassa, jonka turvallisuustilanne on muutoksessa (Poliisin lupahallintostrategia 2017—2021). Henkilötietojen käsittelyn rajoittaminen rekisteröidyn 18 artiklan nojalla esittämän vaatimuksen perusteella voisi vaarantaa poliisin lupahallintoon liittyvien tehtävien hoitamiseksi käsiteltävien henkilötietojen saatavuuden sekä tietojen alkuperäiseen käsittelytarkoitukseen että niihin rikosasioihin liittyviin käsittelytarkoituksiin, joihin lupahallinnollisiin tarkoituksiin kerättyjä tietoja voitaisiin lakiehdotuksen 13 ja 14 §:n nojalla käsitellä. Lupahallintoon liittyvien henkilötietojen lisäksi myös muiden 11 ja 12 §:ssä tarkoitettujen tietojen, kuten valvontatehtävien suorittamiseksi tarpeellisten henkilötietojen ja hallinnollisiin seuraamuksiin liittyvien tietojen, käsittelyn rajoittamisen arvioidaan aiheuttavan merkittävän riskin poliisin lakisääteisten tehtävien suorittamiselle.
Ehdotuksen vaikutuksia rekisteröidyn oikeusturvaan arvioidaan tarkemmin esityksen suhdetta perustuslakiin koskevassa osiossa.
7 luku Suojelupoliisin henkilötietojen käsittely
46 §. Soveltamisala. Suojelupoliisin poliisin hallinnosta annetun lain 10 §:ssä säädetyn tehtävän suorittamiseksi tarpeellisten henkilötietojen käsittelystä säädettäisiin tässä luvussa. Muilta osin soveltamisala noudattaisi vastaavaa sääntelyä kuin muunkin poliisin osalta eli laissa säädettäisiin suojelupoliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen kokonaan tai osittain automaattisesta käsittelystä sekä muusta henkilötietojen käsittelystä, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Pykälän 2 momentin mukaan suojelupoliisin henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalakia yleislakina silloin, kun tässä luvussa ei säädettäisi toisin. Rikosasioiden tietosuojalain 10 §:n 2 momentti, 54 § ja 7 luku eivät niiden EU:n tietosuoja-lainsäädäntöön liittyvän kytkennän vuoksi sovellu suojelupoliisin henkilötietojen käsittelyyn. Sääntely vastaisi rikosasioiden tietosuojalain 1 §:n 3 momentissa säänneltyä. Poissuljennan perusteluiden osalta viitataan kyseisen lain yksityiskohtaisiin perusteluihin. Suojelupoliisin henkilötietojen käsittelyyn ei sovelleta lainkaan tietosuoja-asetusta tai sen nojalla annettua tietosuojalakia.
Pykälän 3 momentti olisi informatiivinen ja noudattaisi tämän lain 2 §:ssä säänneltyä.
47 §. Rekisterinpitäjä. Suojelupoliisi toimisi tässä luvussa tarkoitettujen henkilötietojen rekisterinpitäjänä. Pykälä vastaisi voimassa olevan poliisin henkilötietolain 7 §:n säännöstä, jonka mukaan suojelupoliisi toimii lain 5 §:ssä tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän rekisterinpitäjänä.
48 §. Suojelupoliisin henkilötietojen käsittely. Suojelupoliisin henkilötietojen käsittelyä koskeva määritelmä vastaa voimassa olevan poliisin henkilötietolain 5 §:ssä olevaa määritelmää. Voimassa olevan ja ehdotetun sääntelyn mukaan suojelupoliisi voisi käsitellä henkilötietoja, jotka ovat sen lakisääteisen tehtävän suorittamiseksi tarpeen. Mikäli siviilitiedustelua koskeva lainsäädäntöehdotus tulee voimaan, niin tässä yhteydessä suojelupoliisilta olisi tarkoitus poistaa esitutkintatehtävä ja siihen liittyvät esitutkintatoimivaltuudet. Tämä tulisi ilmenemään myös poliisin hallinnosta annetun lain 10 §:stä. Kun tästä syystä käsittelytarkoituksista poistettaisiin rikosten selvittäminen, niin tämä ei johda siihen, ettei suojelupoliisilla olisi jatkossakin kuitenkin tarpeen käsitellä esitutkintatietoja omien tehtäviensä suorittamiseksi. Esitutkinta-aineistossa voi olla kansallisen turvallisuuden suojaamiseen tai rikostorjuntaan tarvittavia tietoja. Esitutkinnassa voi hyvin tavanomaisesti paljastua muun muassa tietoja, joiden perusteella voidaan estää muita rikoksia. Suojelupoliisi toimisi lisäksi jatkossakin asiantuntijana eri esitutkintakokonaisuuksissa. Suojelupoliisi toimisi asiantuntijana poliisin suorittamissa esitutkinnoissa erityisesti silloin, kun asialla on liitäntä kansalliseen turvallisuuteen tai kun selvitetään, onko asialla siihen liitäntä. Suojelupoliisin olisi toimittava asiantuntijana poikkeuksetta erityisesti terrorismia, vakoilua ja sitä vastaavien rikosnimikkeiden tutkinnoissa, mutta tarvetta olisi osallistua ja käsitellä henkilötietoja tarvittaessa myös muihin, kuten rahanpesua koskeviin esitutkintoihin liittyen oma tehtävänsä huomioiden. Näin ollen vaikka siviilitiedustelulainsäädännön myötä pykälästä poistettaisiin rikosten selvittämisen tarkoitus, voisi suojelupoliisi käsitellä edelleen rikosten selvittämiseen liittyvää aineistoa omien tehtäviensä suorittamiseksi.
Suojelupoliisin tulisi voida arvioida henkilötietojen tarpeellisuutta 1 momentissa tarkoitettua henkilötietojen käsittelytarkoitusta varten. Suojelupoliisin tehtävien suorittaminen edellyttää laajaa tiedonhankintaa, eikä kaikkien saatavien tietomassojen osalta ole välttämättä mahdollista arvioida välittömästi sitä, onko tieto tehtävän kannalta merkityksellistä vai ei. Pykälän 2 momentissa sallittaisiin siksi 1 momentissa tarkoitettujen tietojen käsittely väliaikaisesti sen selvittämiseksi, onko tieto merkityksellistä suojelupoliisin tehtävän kannalta vai ei. Tältä osin sääntely vastaisi sitä, mitä sotilastiedustelurekisterin tietosisällöstä on ehdotettu säädettäväksi hallituksen esityksessä HE 13/2018 vp henkilötietojen käsittelystä Puolustusvoimissa ehdotetun lain 13 §:ssä. Merkityksellisyydellä viitattaisiin kuten sotilastiedustelussakin käsittelykynnyksen täyttymiseen. Merkityksellisyys olisi arvioitava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluessa tiedon tallettamisesta. Mikäli tietoa ei ole määräajassa todettu tehtävien hoitamisen kannalta tarpeelliseksi, tai erityisiin henkilötietoryhmiin kuuluvien tietojen osalta välttämättömäksi, tiedot olisi poistettava rekisteristä. Kuuden kuukauden aikaa voitaisiin pitää viranomaisen tehtävien kannalta kohtuullisena takarajana, jonka puitteissa arviointi viimeistään olisi tehtävä. Sääntely vastaisi myös muulle poliisille tämän lain 2 luvussa ehdotettua sääntelyä.
Pykälän 3 momentti sisältäisi informatiivisen viittauksen turvallisuusselvityslakiin, jonka perusteella suojelupoliisi käsittelee myös henkilötietoja.
49 §. Henkilön perustietojen käsittely. Suojelupoliisi voisi käsitellä ainoastaan tehtävänsä kannalta tarpeellisia henkilötietoja.
Suojelupoliisin henkilötietojen käsittely vastaisi luonteeltaan läheisimmin sotilastiedustelussa tehtävää henkilötietojen käsittelyä. Tästä syystä suojelupoliisin henkilötietojen käsittelystä säädettäessä olisi huomioitava, mitä Puolustusvoimien osalta säädetään sotilastiedustelussa tehtävästä henkilötietojen käsittelystä.
Ehdotuksen mukaan perustietojen käsittelyä koskevat säännökset kirjoitettaisiin voimassa olevia tietosisältösäännöksiä joustavampaan muotoon siirtymällä sääntelyteknisesti yksittäisistä talletettavista tiedoista sallittuihin tietoluokkiin samoin kuin Puolustusvoimien osalta on hallituksen esityksessä 13/2018 vp esitetty. Laissa ei siten enää säädettäisi, mitä yksittäisiä henkilötietoja saisi käsitellä, vaan tietoluokista, joihin kuuluvia henkilötietoja saisi käsitellä. Kunkin tietoluokan tarkempi sisältö määräytyisi käyttötarkoituksen ja käsittelykynnyksen perusteella. Esimerkiksi se, mitä yksittäisiä henkilötietoja saisi käsitellä tietoluokan tunnistamistiedot perusteella, perustuisi siihen, millaisia tunnistamistietoja on tarpeen käsitellä käyttötarkoituksen kannalta. Sääntelytekniikka olisi tältä osin nykyistä joustavampi, sillä tietoluokkien sisältö voisi muuttua käsittelytarpeiden ja esimerkiksi tekniikan kehittymisen myötä. Käyttötarkoitusta ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eikä käyttötarkoituksen kannalta tarpeettomia henkilötietoja saisi siten käsitellä, vaikka tietosisältösäännös sen erikseen luettuna sallisi.
Poikkeuksena yleispiirteisemmästä tietosisältöjen sääntelytekniikasta olisivat kuitenkin edelleen erityisiin henkilötietoryhmiin kuuluvat tiedot, eli niin sanotut arkaluonteiset henkilötiedot. Esimerkiksi tietoluokka ”tunnistetiedot” ei vielä itsessään antaisi oikeutta biometristen tunnistetietojen tai muiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn. Tällaisia henkilötietoja saisi lisäksi käsitellä vain, jos niiden käsittely on välttämätöntä eli käsittelykynnys olisi niiden osalta muita henkilötietoja korkeampi. Erityisiin henkilötietoryhmiin kuuluvat tiedot määriteltäisiin rikosasioiden tietosuojalain 11 §:ssä.
Suojelupoliisin henkilötietojen käsittelyyn ei sääntelytekniikan muuttamisen myötä tehtäisi merkittäviä muutoksia voimassa olevaan lakiin nähden. Suojelupoliisin käsittelemät perustiedot vastaisivat niitä tietoja, joita suojelupoliisi käsittelee jo voimassa olevan lain perusteella.
Pykälän 1 momentin 2 kohdan mukaan saisi käsitellä henkilön fyysisiin ominaisuuksiin perustuvia tunnistetietoja sekä ääni- ja kuvatallenteita, joista voidaan tunnistaa tietty henkilö tai jotka ovat yhdistettävissä tiettyyn henkilöön. Fyysisiin ominaisuuksiin perustuvia tunnistetietoja olisivat muun muassa henkilön pituus, paino, silmien väri ja muut ulkoiset tuntomerkit. Kohdan perusteella voitaisiin käsitellä myös erityisiin henkilötietoryhmiin kuuluvia tietoja niitä koskevaa korkeampaa käsittelykynnystä noudattaen.
Momentin 3 kohdassa tarkoitetut muut tunnistetiedot sisältäisivät muun muassa henkilön nimet ja sukupuolen. Kohdan perusteella saisi käsitellä tietoja, joiden perusteella henkilö olisi tunnistettavissa. Tiedot voivat olla myös fyysisiin ominaisuuksiin perustuvia tunnistetietoja. Tunnistetiedot ovat kuitenkin käsitteenä laajempi kuin pelkästään 2 kohdassa tarkoitetut fyysisiin ominaisuuksiin perustuvat tunnistetiedot ja kattaa muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit.
Momentin 4 kohdassa tarkoitetut kansalaisuutta ja perhesuhteita koskevat tiedot sisältäisivät muun muassa tiedot henkilön kansalaisuuksista, entisistä kansalaisuuksista, kansalaisuudettomuudesta, kansallisuuksista sekä perhesuhteisiin liittyvät tarpeelliset tiedot.
Momentin 5, 6 ja 7 kohdissa tarkoitetut tiedot eivät tietoluokkina tarvitsisi selvennystä vaan kattaisivat, kuten kohdissa olisi mainittu: asuinpaikkatiedot, koulutusta ja ammattia koskevat tiedot sekä työ- ja palvelushistorian sekä henkilön yhteystiedot. Asuinpaikkatietoihin kuuluisivat henkilön kotikuntatiedot ja tiedot henkilön oleskeluperusteesta Suomessa. Henkilön Suomessa oleskeluun liittyvät tiedot voisivat mennä myös muiden kohtien kuten matkustamiseen liittyvien tietojen alle.
Momentin 8 kohdassa tarkoitettuja matkustamiseen liittyviä tietoja voisivat olla muun muassa matkustusasiakirjojen tiedot sekä muut maahantuloon ja rajanylittämiseen liittyvät tarpeelliset tiedot, kuten lentoliikenteen matkustajatiedot.
Momentin 10 kohdan perusteella saisi käsitellä tunnistamistietoja, joita voivat olla esimerkiksi henkilön käyttämät IP-osoitteet, puhelinnumerot ja viestintään liittyvät välitystiedot. Tunnistamistietoja olisivat myös kiinteistötietojärjestelmään sisältyvät kiinteistötunnukset silloin kun niiden perusteella olisi mahdollista tunnistaa kiinteistön omistajatietoja.
Momentin 11 kohdan mukainen oikeushenkilöön liittyvät tiedot olisi käsitteenä laaja ja mahdollistaisi muun muassa oikeushenkilön omistus- ja määräysvaltasuhteita koskevien tietojen käsittelyn, jos tietojen käsittely on tarpeellista käsittelytarkoituksen kannalta.
Momentin 12 kohta olisi sisällöltään tosiasiallisesti laaja ja sen nojalla saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tietoja, joilla voi olla merkitystä suojelupoliisin henkilötietojen käsittelytarkoituksen kannalta. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, harrastuksia, muita kiinnostuksen kohteita tai muita näitä vastaavia tietoja. Näidenkin käsiteltävien tietojen on oltava tarpeellisia suojelupoliisin tehtävän kannalta. Kohdan perusteella voitaisiin käsitellä myös erityisiin henkilötietoryhmiin kuuluvia tietoja niitä koskevaa korkeampaa käsittelykynnystä noudattaen.
Pykälän 2 momentin mukaan suojelupoliisi voisi käsitellä lisäksi rikosasioiden tietosuojalain 11 §:ssä määriteltyjä erityisiä henkilöryhmiä koskevia henkilötietoja silloin, kun se on suojelupoliisin tehtävän kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvat välttämättömät tiedot voisivat sisältää myös muita kuin 1 momentissa tarkoitettuihin tietoluokkiin kuuluvia tietoja. Tietosisältöjen osalta ei tehtäisi merkittäviä muutoksia voimassa olevaan sääntelyyn. Ainoa ero voimassaolevaan olisi sääntely biometrisistä tiedoista. Suojelupoliisi saa jo nykyään suoraan lain nojalla käsitellä biometrisiä tietoja ja saa niitä myös kansainvälisessä yhteistyössä, joten on perusteltua, että niiden käsittelemisestä säädettäisiin myös henkilötietoja koskevassa laissa.
50 §. Henkilötietojen luovuttaminen. Suojelupoliisin pääasiallisena tehtävänä on hankkia tietoa kansallisen turvallisuuden suojaamiseksi. Tässä tarkoituksessa tietoja on myös oltava mahdollisuus salassapitosäännösten estämättä luovuttaa. Henkilötietoja olisi voitava luovuttaa sekä toimivaltaisille viranomaisille, julkista tehtävää hoitaville yhteisöille sekä jossain tapauksissa myös yksityisille toimijoille. Pykälässä ei esitettäisi mitään asiallista muutosta voimassaolevaan lainsäädäntöön nähden. Ainoana muutoksena olisi kansallisen turvallisuuden termin käyttäminen voimassa olevan valtion turvallisuuden sijaan. Termit kuitenkin vastaavat asiallisesti toisiaan.
Pykälän 1 momentin mukaan suojelupoliisi voisi luovuttaa henkilötietoja muille viranomaisille ja julkista tehtävää hoitaville yhteisölle oman tehtävänsä suorittamiseksi. Tältä osin ei esitettäisi muutosta voimassa olevaan lainsäädäntöön nähden eli nykytila säilyisi sääntelyn myötä ennallaan.
Pykälän 2 momentin mukaan suojelupoliisi voisi luovuttaa henkilötietoja myös muiden viranomaisten tehtävien suorittamiseksi samalla tavoin kuin muukin poliisi. Tältä osin momentissa olisi viittaus tämän lain 4 lukuun ja muun poliisin vastaavaan sääntelyyn. Momentissa tarkoitettaisiin siten tiedonluovutusta sellaisissa tilanteissa, joissa tiedonluovutus ei ole tarpeen suojelupoliisin oman tehtävän vuoksi vaan toiselle viranomaiselle tai poliisiyksikölle säädetyn tehtävän suorittamiseksi. Näin tämän momentin nojalla suojelupoliisi voisi luovuttaa muille poliisiyksiköille henkilötietoja silloin, kun se on tarpeen 13 §:ssä säädettyihin tarkoituksiin. Tältä osin suojelupoliisin tulee noudattaa myös sitä, mitä toimivaltuuksien osalta säädetään. Kun siviilitiedustelusta säädettäessä tietojen luovuttamista rikostorjuntaan olisi rajoitettu, niin näitä säännöksiä olisi noudatettava. Kyseisen käyttörajoitussääntelyn osalta tarkoitetaan siviilitiedustelulainsäädännön niin sanottua palomuurisäännöstä eli poliisilain 5 a luvun 44 §:ää. Silloin, kun henkilötiedot ja niihin liittyvät rikostiedot olisi saatu tiedustelumenetelmällä, olisi tietojen luovutuksessa rikostorjuntaa varten noudatettava kyseistä sääntelyä. Siten suojelupoliisi voisi luovuttaa henkilötietoja muille poliisiyksiköille tai viranomaisille niiden tehtävän suorittamiseksi, jos tietojen luovuttamista ei ole muun sääntelyn perusteella rajoitettu tai kielletty.
Pykälän 3 momentissa säädettäisiin suojelupoliisin mahdollisuudesta tallettaa tietoja suoraan poliisin rekistereihin. Mahdollisuudesta tallettaa tietoja suoraan teknisen käyttöyhteyden välityksellä poliisin rekistereihin säädettäisiin lain 17 §:ssä, joten momentti olisi tässä pykälässä luonteeltaan informatiivinen. Suojelupoliisi voisi siten tallettaa poliisin rekistereihin tietoja oman tehtävänsä suorittamista varten eli kansallisen turvallisuuden suojaamiseksi, jossa tehtävässä tarvittaisiin myös muuta poliisia. Sen lisäksi suojelupoliisi voisi luovuttaa poliisille tietoja, jotka ovat tarpeen poliisin muun tehtävän suorittamiseksi. Suojelupoliisilla voi olla tai suojelupoliisi voi saada poliisin tehtävän kannalta tarpeellisia tietoja, jotka eivät liity suojelupoliisin oman tehtävän suorittamiseen. Nämä tiedot olisi voitava siirtää muun poliisiyksikön tehtävän suorittamista varten.
Pykälän 4 momentissa säädettäisiin siitä, miten henkilötietoja luovutetaan yksityisille yhteisöille tai henkilöille. Henkilötietojen luovuttaminen salassapitosäännösten estämättä yksityisille tahoille olisi poikkeuksellista ja edellyttäisi sen olevan välttämätöntä suojelupoliisin tehtävän suorittamiseksi.
51 §. Henkilötietojen luovuttaminen kansainvälisessä yhteistyössä. Pykälässä ei esitetä muutosta voimassaolevaan sääntelyyn henkilötietojen käsittelystä kansainvälisessä yhteistyössä. Pykälä vastaisi voimassa olevan lain 29 ja 30 §:ssä säädettyä. Suojelupoliisin keskeisenä tehtävänä on tehdä kansainvälistä yhteistyötä ulkomaisten turvallisuus- ja tiedustelupalvelujen kanssa. Tässä tarkoituksessa suojelupoliisi voisi luovuttaa henkilötietoja myös ulkomaisille toimivaltaisille viranomaisille. Suojelupoliisi voisi luovuttaa tietoja paitsi ulkomaisille turvallisuus- ja tiedustelupalveluille niin myös muille viranomaisille, joiden tehtävänä on kansallisen turvallisuuden suojaaminen, oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen. Lisäksi suojelupoliisi voisi tehdä tarvittaessa yhteistyötä myös kansainvälisten rikostorjuntavirastojen kanssa. Suojelupoliisi voisi tehdä yhteistyötä ja luovuttaa henkilötietoja myös muille kansainvälisille virastoille kuten Europolille ja Interpolille silloin, kun kyseisen viraston tehtävänä on tässä pykälässä muille ulkomaan viranomaisille mainitut tehtävät.
Tietojen luovuttamisen edellytyksenä olisi niiden välttämättömyys kyseisen tehtävän kannalta. Tältä osin säilytettäisiin voimassa olevassa laissa säädetty tiedonluovuttamiskynnys.
Pykälän 2 momentin perusteella suojelupoliisi voisi luovuttaa henkilötietoja myös ulkomaisen viranomaisen tehtävän suorittamiseksi. Suojelupoliisin tehtävänä ei ole toisen valtion kansallisen turvallisuuden suojaaminen, joten tästä ulkomaisen viranomaisen tehtävän suorittamiseksi välttämättömästä henkilötietojen luovuttamisesta olisi säädettävä erikseen. Kaikessa henkilötietojen luovuttamisessa tulisi noudattaa henkilötietojen käsittelyn perusperiaatteita sekä kunnioittaa perus- ja ihmisoikeuksia.
Pykälän 3 momentissa säädettäisiin, että suojelupoliisilla on oikeus luovuttaa henkilötietoja ylikansallisiin rekistereihin samalla tavoin kuin muullakin poliisilla. Europolin, Schengenin ja muiden kansainvälisiin yhteistyöhön perustuviin tietojärjestelmiin voisi tallettaa suoraan tietoja siten kuin niitä koskevassa lainsäädännössä on säädetty. Suojelupoliisi käyttää kyseisiä tietojärjestelmiä jo voimassa olevan lain perusteella, joten tältäkään osin ei esitettäisi muutosta nykytilaan.
Pykälän 4 momentin mukaan päätettäessä tietojen luovuttamisesta otettaisiin huomioon nykytilaa vastaavasti henkilötietoja vastaanottavan valtion ihmisoikeustilanne, luovutuksen merkitys Suomen kansainvälisille suhteille sekä Suomea sitovat muut velvoitteet. Suojelupoliisin on kunnioitettava kaikessa toiminnassaan perusoikeuksia ja ihmisoikeuksia sekä valittava perusteltavissa olevista vaihtoehdoista se, joka parhaiten edistää näiden oikeuksien toteutumista. Näin suojelupoliisin olisi toimittava myös henkilötietoja käsitellessään ja niitä luovuttaessaan ulkomaille. Lisäksi harkinnassa olisi mahdollisuuksien mukaan huomioitava henkilötietoja vastaanottavan tietosuojan taso ja luovutuksen merkitys rekisteröidyn oikeuksille.
Pykälän 5 momentissa kiellettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen laajamittainen luovuttaminen toiselle valtiolle tai kansainväliselle järjestölle. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely puuttuu syvemmin yksityisyyden suojaan ja niiden luovuttamiseen ulkomaille tulisi siksi lähtökohtaisesti suhtautua pidättyväisesti. Mikäli tällaisten tietojen luovuttaminen olisi kuitenkin tarpeen, tulisi luovuttamisen olla 1 ja 2 momentin mukaisesti välttämätöntä, tarkasti harkittua ja kohdennettua. Momentti olisi uusi verrattuna voimassa olevaan lainsäädäntöön. Vastaavankaltainen henkilötietojen luovuttaminen on jo voimassaolevan lain perusteella kielletty ja kaikessa henkilötietojen käsittelyssä tulee noudattaa vähimmän haitan ja perus- ja ihmisoikeuksien noudattamisen periaatetta. Selvyyden vuoksi momentti lisättäisiin kuitenkin nimenomaisesti lakiin.
Pykälän 6 momentin mukaan tietojen väärinkäytön riskiä tulisi tarpeen mukaan pyrkiä vähentämään asettamalla luovutukseen ehtoja, jotka koskevat henkilötietojen käyttöä ja jatkoluovuttamista. Momentti olisi niin ikään uusi ja siinä kirjattaisiin lakiin olemassa oleva käytäntö ja voimassaoleva ilman nimenomaista säännöstäkin noudatettava periaate.
52 §. Tietojen saanti. Suojelupoliisilla olisi 1 momentin nojalla oikeus saada tehtäviensä suorittamiseksi tarpeelliset tiedot muun poliisin tietojärjestelmistä. Tältä osin ei esitetä muutosta nykytilaan, muutoksena olisi ainoastaan se, että tiedonsaannista säädettäisiin erikseen. Suojelupoliisi on poliisiyksikkö ja tarvitsee poliisin 2 luvun perusteella tai muun lain nojalla käsittelemiä henkilötietoja oman tehtävänsä suorittamiseksi. Esimerkiksi ulkomaalaislain 131 §:n mukaan ulkomaalaisten tuntomerkkitiedot tallennetaan poliisin rekisteriin, jota suojelupoliisi kuitenkin käyttää ulkomaalaislain 131 §:n mukaisesti tietojen alkuperäisessä keräämistarkoituksessa valtion turvallisuuden suojaamiseksi. Edellä 2 luvussa tarkoitetut henkilötiedot olisivat teknisen käyttöyhteyden välityksellä suojelupoliisin käytössä suojelupoliisin tehtävän suorittamista varten täysin vastaavalla tavalla kuin ne ovat kaikkien muidenkin poliisiyksiköiden käytössä. Muun poliisin käsittelemät henkilötiedot muodostavat erittäin tärkeän tietolähteen suojelupoliisille sen suorittaessa lakisääteisiä tehtäviään. Kansallisen turvallisuuden tehokkaan suojaamisen näkökulmasta on ensiarvoisen tärkeää, että suojelupoliisilla on, kuten nykyisinkin, pääsy muun poliisin käsittelemiin henkilötietoihin.
Voimassa olevan poliisin henkilötietolain 16 §:ssä on säädetty tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen. Vastaava säännös on sisällytetty esityksen 2 luvun 13 §:ään ja erityisten henkilötietoryhmien osalta 14 §:ään. Voimassa olevan lain perusteluiden mukaan 16 § sisältää käyttötarkoitussidonnaisuudesta poikkeamista koskevat säännöt, joita voidaan pitää demokraattisessa yhteiskunnassa välttämättöminä muun muassa valtion turvallisuuden ja yleisen turvallisuuden varmistamiseksi sekä rikosten ehkäisemiseksi.
Ehdotetun uuden sääntelyrakenteen ja suojelupoliisin hallinnollisessa asemassa tapahtuneen muutoksen johdosta on arvioitu, ettei suojelupoliisin tiedonsaantioikeutta voitaisi enää järjestää yhteensopivana käyttötarkoituksena. Lisäksi erona voimassa olevaan lakiin suojelupoliisin henkilötietojen käsittelyyn sovellettaisiin ainoastaan tätä lukua. Tämän johdosta säädettäisiin erikseen siitä, että suojelupoliisilla on oikeus saada 2 luvun perusteella käsiteltävät tehtäviensä suorittamiseksi tarpeelliset tiedot. Tämä pykälä siis osaltaan korvaisi voimassa olevan lain 16 §:n.
Ratkaisulla ei edellä kuvatusti olisi tarkoitus muuttaa suojelupoliisin mahdollisuutta käyttää muun poliisin tehtäviensä hoitamisen yhteydessä eri käyttötarkoituksissa keräämiä tietoja. Vastaavasti kuin rikosten ennalta estämisen ja paljastamisen osalta on esitetty 7 §:ssä, pätee suojelupoliisin tiedustelutoimintaankin laaja tietojen yhdistely- ja analysointitarve. Kuten voimassa olevankin lain mukaan, kansallisen turvallisuuden ylläpitämiseksi on voitava käyttää rikoksen selvittämiseksi tai estämiseksi kerättyjä tietoja. Lisäksi suojelupoliisilla olisi edelleen edellä kuvattu rooli esitutkinnoissa. Oikeus saada tietoja sisältäisi myös laajasti hallinnollisissa tarkoituksissa kerätyt tiedot. Esimerkiksi aserekisterin tiedot ovat tärkeitä, jotta voidaan seurata suojelupoliisin kohdehenkilöiden pyrkimyksiä hankkia aseita. Vastaavasti tiedonsaantioikeus koskisi myös niitä erityisiin henkilötietoryhmiin kuuluvia tietoja, joita suojelupoliisi tehtäviensä hoitamiseksi tarvitsisi sekä teknisen valvonnan yhteydessä kerättyä materiaalia. Edelleen 2 luvun 13 §:n 1 momentin alakohdassa 6 viitattaisiin kansalliseen turvallisuuteen, joka myös osaltaan ilmentäisi suojelupoliisin tietojen käyttöoikeutta.
Ratkaisua punnitessa arvioitiin myös mahdollisuutta lisätä suojelupoliisi yhteisrekisterinpitäjäksi poliisin tietojärjestelmiin. Asian valmistelussa päädyttiin kuitenkin ehdottamaan tietojen luovutuksesta säätämistä teknisen käyttöyhteyden avulla tai tietojoukkona, ottaen huomioon että vastuu rajautuisi luovutussääntelyn kautta selkeämmin suhteessa rekisterin tosiasialliseen käyttöön.
Pykälän 2 momentissa säädettäisiin siitä, että suojelupoliisilla olisi vastaavat 3 luvussa tarkoitetut tiedonsaantioikeudet muiden viranomaisten rekistereistä ja tietojärjestelmistä kuin muullakin poliisilla. Suojelupoliisi saisi tietoja luvussa mainituilta tahoilta luvussa säädetyllä tavalla tehtäviensä suorittamiseksi. Suojelupoliisilla olisi myös mahdollisuus asettaa uhkasakko 19 §:ssä säädetyllä tavalla velvoitteen noudattamisen tehosteeksi vastaavalla tavalla kuin muullakin poliisilla.
Pykälän 3 momentissa säädettäisiin siitä, että suojelupoliisilla olisi oikeus saada tiedot maksutta, jollei muualla laissa säädettäisi toisin. Tältäkään osin ei muutettaisi voimassa olevan lain 13 §:ssä säädettyä.
53 §. Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely. Pykälä vastaisi voimassa olevan lain 31 §:ää. Säännöksen mukaan ulkomaiselta turvallisuus- ja tiedustelupalveluilta saatujen tietojen käsittelyssä olisi noudatettava, mitä tietojen luovuttajan asettamissa ehdoissa on määrätty salassapidosta, vaitiolovelvollisuudesta, tietojen käytön rajoituksista, tietojen edelleen luovutuksesta tai luovutetun aineiston palauttamisesta. Ehdoilla tarkoitettaisiin joko nimenomaisesti mainittuja ehtoja tai tiedonvaihdon osapuolten vakiintuneita käytäntöjä. Säännöksessä ei velvoitettaisi noudattamaan tietojen luovuttajan asettamia ehtoja aineiston hävittämisestä, vaan tältä osin sovellettaisiin voimassa olevia suojelupoliisin omia tietojen säilyttämisaikaa koskevia säännöksiä. Mainittu rajaus on tarpeellinen erityisesti tiedonvaihdon laillisuuden varmistamiseksi sellaisissa tilanteissa, joissa ulkomailta saatujen tietojen johdosta on myös Suomesta luovutettu tietoja ulkomaille.
54 §. Suojelupoliisin oikeus ylläpitää henkilörekisteriään. Ehdotettu säännös olisi uusi suhteessa voimassa olevaan lakiin. Lainkohdan tarkoituksena olisi edistää tietosuojaa ja varmistaa, että suojelupoliisin rekisteriin tallettamat tiedot ovat oikeita ja ajantasaisia. Koska suojelupoliisin henkilörekisteri sisältää kansallisen turvallisuuden suojaamista varten käsiteltäviä tietoja, kohdistuu siihen erityisiä tietoturva- ja tietosuojariskejä ja erityisen vakava laittoman tiedustelutoiminnan uhka. Niiden hallitsemiseksi rekisteri on luokiteltu korkean tietoturvallisuuden tasolle, jonka vuoksi siitä ei ole automatisoituja yhteyksiä ulos. Tämän vuoksi myöskään tietojen päivittämistä ei voida tehdä samalla tavalla kuin alemman tietoturvallisuustason järjestelmissä, joihin tietoja voidaan päivittää tekemällä rekisteröityihin henkilöihin kohdistuvia suoria kyselyjä. Keskeinen vaatimus on, ettei alemman tietosuojan rekisteriin siirry kyselyn yhteydessä korkeamman tietosuojatason järjestelmästä tietoa. Tämän vuoksi tiedon päivittäminen korkean tietoturvatason rekisteriin on toteutettava siten, että luovuttavaan rekisteriin ei muodostu loki- tai muuta tietojoukkoa siitä, mitä tietoja on päivitetty suojelupoliisin henkilörekisteriin. Suojelupoliisin tiedonhankinnan kohteiden tai intressien paljastuminen ulkopuolisille tai kohteille itselleen voisi vaarantaa kansallisen turvallisuuden.
Esitettyä säännöstä ei voi pitää yksityisyyden suojan kannalta erityisen merkittävänä, sillä vertailun mahdollistaminen ei laajentaisi tietosisältöä, johon suojelupoliisilla on jo tällä hetkellä oikeus. Säännös selventäisi ja tekisi lainsäädäntöä tarkkarajaisemmaksi siltä osin kuin suojelupoliisilla on oikeus saada tarpeellisia henkilötietoja tehtäviensä suorittamiseksi ja rekisterinsä ylläpitämiseksi teknisen käyttöyhteyden avulla tai tietojoukkona. Säännöksellä ei siten muutettaisi nykyistä oikeustilaa, mutta huomioitaisiin teknisen kehityksen vaatimukset tietosuojalle ja rekisterin oikeellisuudelle.
Rikosasioiden tietosuojalain 31 §:ssä säädetään henkilötietojen suojaamisesta. Sen mukaisesti rekisterinpitäjän ja henkilötietojen käsittelijän tulee teknisin ja organisatorisin toimenpitein suojata henkilötiedot varmistaakseen rekisteröidyn oikeuksiin kohdistuvaa riskiä vastaava tietoturvallisuuden taso. Henkilötiedot on erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Toimenpiteitä suunniteltaessa ja toteutettaessa tulee ottaa huomioon uusin tekniikka, toimenpiteiden toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Rikosasioiden tietosuojalain 19 §:ssä säädetään lokitiedoista. Rekisterinpitäjän ja henkilötietojen käsittelijän on säilytettävä lokitiedot automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja saa käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Vertailutietotarkastuksessa luovuttavaan järjestelmään jää jälki siitä tietojoukosta, jota suojelupoliisi on pyytänyt. Suojelupoliisin rekisteriin jää vastaavasti lokitiedot vastaanotetuista tiedoista, mahdollisista vertailuosumista ja rekisteriin siirretyistä tiedoista. Rekisterin tulee olla kattavan lokijärjestelmän alaisuudessa siten että rekisteriin pystytään suorittamaan tehokasta laillisuusvalvontaa. Jokaisen tiedonluovutuksen oikeusperuste tulee voida varmistaa myös jälkikäteen.
Pykälän 1 momentissa kytkettäisiin oikeus suorittaa vertailu lainmukaisiin tiedonsaanti- tai luovutusoikeuksiin. Suojelupoliisin tiedonsaantioikeuksista säädettäisiin tämän lain 52 §:ssä. Säännöksessä toistettaisiin selkeyden vuoksi, että suojelupoliisilla olisi oikeus saada tietoja tehtäviensä suorittamiseksi salassapitosäännösten estämättä. Luovuttavasta rekisteristä kerättyä laajempaa tietojoukkoa verrattaisiin automaattisessa käsittelyssä suojelupoliisin rekisterin henkilötietoihin. Henkilörekistereitä ei suoraan yhdistettäisi toisiinsa, vaan niitä verrattaisiin erillisellä teknisellä alustalla. Riittävä vertailutietojoukko arvioitaisiin tapauskohtaisesti. Se voisi kohdistua esimerkiksi rekisterin muutostietoihin, tiettyyn otantaan tai koko rekisterin sisältöön. Säännöksen tulkinnassa ja soveltamisessa olisi yksittäistapauksessa aina otettava huomioon myös henkilötietojen käsittelyn perusperiaatteet.
Ennen tietojen siirron aloittamista selvitettäisiin, miten tarvittavat vertailu- ja muut tiedot voidaan teknisesti poimia eri rekistereistä ja tietojärjestelmistä ja yhdistää sähköiseen muotoon niin, että tietosisältö täyttää vertailun tarpeet, eikä tietojen poimiminen ja yhdistäminen aiheuttaisi tarpeetonta lisätyötä ja kustannuksia tiedon luovuttavalle taholle. Samalla minimoitaisiin ylimääräisten tietojen käsittelyn tarve.
Pykälän 1 momentissa säädettäisiin myös tietojen hävittämisvelvollisuudesta. Vertailutietojen analysoinnin ja käsittelyn jälkeen tarpeettomat vertailutiedot tulisi poistaa välittömästi suojelupoliisin tietovarastoista. Käytännössä tietoja verrattaisiin tietoturvallisessa ympäristössä, jonka jälkeen aiheettomiksi osoittautuvat tiedot välittömästi hävitettäisiin. Pykälässä jaettaisiin selkeyden vuoksi henkilötietojen käsittelyä tarkemmin osiin. Henkilötietojen käsittelyllä tarkoitetaan lähtökohtaisesti kaikkia henkilötietojen käsittelyyn liittyviä toimia. Tässä yhteydessä mainittaisiin erillisenä kynnyksenä henkilötietojen tallentaminen. Jako ilmentäisi sitä, ettei suojelupoliisin rekisteriin tulisi vertailun seurauksena päätyä henkilöitä, joiden osalta 48 ja 49 §:ssä säädettäväksi ehdotetut edellytykset eivät ole täyttyneet.
Ehdotetussa 2 momentissa olisi kyse niiden henkilötietojen tuomisesta vertailua varten suojelupoliisin tietojärjestelmän erilliseen osaan, joiden alkuperäiseksi tai muuksi kuin alkuperäiseksi käyttötarkoitukseksi on säädetty kansallinen turvallisuus. Tietojen käsittely tapahtuisi kokonaisuudessaan korkean tietoturvatason tietojärjestelmässä ilman tarpeetonta tietojen siirtoa alemman tietoturvatason järjestelmiin, mikä olennaisesti korottaisi tietoturvallisuutta. Menettely olisi tarpeellinen myös edellä kuvattujen tietoturvavaatimusten johdosta.
Säännöksen tarkoitus olisi mahdollistaa tietojen käyttö niissä tilanteissa, joissa tarve samojen tietojen käsittelyyn on toistuva. Tämän johdosta toisin kuin 1 momentissa tietoja ei olisi poistettava välittömästi vertaamisen jälkeen, mikäli tiedossa olisi että vertailua jouduttaisiin tekemään toistuvasti. Kerätty tietojoukko olisi kuitenkin poistettava heti kun tietojen käsittelyn tarkoitus on saavutettu. Tietojoukolla tarkoitettaisiin tässä yhteydessä tarkemmin määrittelemätöntä käyttötarkoituksensa perusteella rajautuvaa ryhmää, joka voisi olla esimerkiksi rekisteri, rekisterin osa, tietokanta tai koontitieto. Säännöksessä ei määriteltäisi erikseen vertailtavia henkilötietoluokkia. Kyseeseen voisi siten tulla myös erityiset henkilötietoryhmät. Menettelyä tulisi soveltaa ainoastaan niissä tilanteissa, joissa katsotaan olevan välttämätöntä siirtää laajempi tietojoukko toisesta tietojärjestelmästä tietyssä määritellyssä tarkoituksessa tapahtuvan henkilötietojen käsittelyn mahdollistamiseksi. Kerättyjä tietoja tulisi säilyttää erillään muista tiedoista. Käytännössä tämä tarkoittaisi, että tietoja tulisi säilyttää tietojärjestelmän osassa, johon pääsyoikeus on erityisesti rajattu. Kyseisiä tietoja käytettäisiin kansallisen turvallisuuden suojaamiseksi, joka olisi joko tietojen alkuperäinen käyttötarkoitus tai niille säädetty muu kuin alkuperäinen käyttötarkoitus.
Pykälän 3 momentin mukaan suojelupoliisilla on oikeus saada tiedot maksutta, jollei muualla laissa toisin säädetä. Tietojen poimiminen rekistereistä ja tietojärjestelmistä tarkastettavaksi ja siihen liittyvä mahdollinen yhdistelytyö voivat aiheuttaa kustannuksia ja lisätyötä rekisterinpitäjälle. Tämä pyritään kuitenkin ottamaan huomioon aineistoa koskevissa tietopyynnöissä ja niiden rajauksissa. Käytännössä poliisin tekemistä tietopyynnöstä aiheutuu aina ylimääräisiä tehtäviä pyynnön kohteelle.
55 §. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käyttötarkoitukseen. Suojelupoliisi voisi käsitellä rekisterinsä tietoja rikosasioiden tietosuojalain 5 §:n 3 momentissa säädettyjen yhteensopivien tarkoitusten lisäksi näihin verrattavissa oleviin tarkoituksiin eli laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi. Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 16 §:n 2 momenttia. Voimassa olevan lain 16 §:n 2 momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella 1181/2013 siten, että tietojärjestelmään sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa tietojärjestelmien asianmukaista valvontaa.
56 §. Tarkastusoikeuden rajoittaminen. Sääntely vastaisi voimassa olevan lain 45 §:ää. Tarkastusoikeuden rajoituksen piiriin kuuluisivat kaikki suojelupoliisin tämän luvun nojalla käsittelemät henkilötiedot. Rikosasioiden tietosuojalaissa säädetään välillisestä tarkastusoikeudesta. Tästä syystä pykälässä säädettäisiin, että välillistä tarkastusoikeutta voisi käyttää kyseisen lain 29 §:ssä tarkoitetulla tavalla. Tältä osinkaan ei esitettäisi muutosta nykytilaan.
Tarkastusoikeutta voisi käyttää kuten voimassa olevan lainkin perusteella jättämällä pyynnön välillisestä tarkastusoikeuden käyttämisestä poliisilaitokselle ja todistamalla samalla henkilöllisyytensä. Tältä osin noudatettaisiin sitä, mitä poliisi säätää välillisen tarkastusoikeuden käytännön järjestämisestä. Mikäli poliisi mahdollistaa tarkastusoikeuspyynnön jättämisen sähköisesti, niin suojelupoliisin käsittelemiä henkilötietoja koskevan tarkastusoikeuspyynnön voisi jättää samalla tavoin poliisin kautta.
57 §. Tietojen poistaminen. Sääntely vastaisi voimassa olevan lain 25 §:ää. Uutena sääntelynä lakiin lisättäisiin mahdollisuus säilyttää tietoja yli 25 vuotta, mikäli siihen olisi erityistä suojelupoliisin tehtävään liittyvää tarvetta. Lakiin lisättäisiin velvollisuus arvioida tietojen tarpeellisuutta ja käsittelyn perustetta viiden vuoden välein mikäli tietoja olisi tarpeen säilyttää yli laissa säädetyn enimmäisajan. Jos tietojen todetaan olevan edelleen tarpeen, tehdään henkilötiedon yhteyteen merkintä arvioinnin suorittamisesta.
Lyhyempi säilytysaika koskisi myös 48 §:n 2 momentissa tarkoitettuja tietoja, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi. Tiedot olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi, kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin kuitenkin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 48 §:n 2 momentin yhteydessä.
58 §. Virheelliseksi todettu tieto. Pykälässä säädettäisiin vastaavalla tavalla kuin muullekin poliisille mahdollisuus säilyttää virheelliseksi todettu tieto, mikäli tiedon säilyttäminen olisi tarpeen pykälässä kuvatuissa tarkoituksissa. Pykälän 2 momentin mukaan virheellinen tieto olisi poistettava heti, kun sen säilyttäminen ei olisi enää tarpeen pykälässä tarkoitetuissa tarkoituksissa.
59 §. Tietojen arkistointi. Pykälässä olisi informatiivinen viittaus arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavaan lainsäädäntöön.
8 luku Erinäiset säännökset
60 §. Rekisterinpitäjä. Pykälässä tarkennettaisiin, mikä poliisin yksikkö vastaa 2 luvussa säädettyihin käsittelytarkoituksiin käsiteltävien henkilötietojen rekisterinpidosta. Koska esityksessä ei ehdoteta säädettäväksi voimassa olevan lain 6 §:n 2 momentissa tarkoitetuista yhden tai useamman poliisiyksikön käyttöön perustettavista henkilörekistereistä, Poliisihallitus olisi rekisterinpitäjä kaikkien 2 luvun mukaisiin tarkoituksiin käsiteltävien henkilötietojen osalta. Poliisihallitus toimisi voimassa olevan lain 7 §:ssä säädettyä vastaavasti myös Schengenin tietojärjestelmän kansallisen järjestelmän rekisterinpitäjänä.
61 §. Voimaantulo. Laki ehdotetaan tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 1 päivänä lokakuuta 2003 annettu laki (761/2003) henkilötietojen käsittelystä poliisitoimessa.
Pykälän 3 momentti sisältäisi siirtymäsäännöksen, joka koskisi 5—8, 11 ja 12 §:ssä tarkoitettujen henkilötietojen poistamisaikoja. Tietojen poistaminen olisi toteutettava tämän lain mukaisena neljän vuoden kuluessa lain voimaantulosta.
Rikosten ennalta estämiseksi ja paljastamiseksi sekä poliisin muiden lakisääteisten tehtävien hoitamiseksi käsiteltävien henkilötietojen poistamiseen sovellettaisiin siirtymäajan kuluessa poliisin henkilötietolain säännöksiä hallintoasiain tietojärjestelmän, poliisiasiain tietojärjestelmän ja poliisin muiden henkilörekisterien tietojen poistamisesta sellaisena kuin ne ovat tämän lain voimaan tullessa. Tutkinta- ja valvontatehtäviin liittyvien henkilötietojen poistamiseen sovellettaisiin kuitenkin poliisiasiain tietojärjestelmän tietojen poistamista koskevia säännöksiä sellaisena kuin ne olivat ennen vuoden 2014 alussa voimaan tullutta lainmuutosta 1181/2013.
Poliisiasiain tietojärjestelmää oltiin jo lainmuutoksen 1181/2013 säätämishetkellä uudistamassa (Vitja-hanke). Vuoden 2014 alussa voimaan tulleita tietojen poistamisaikojen muutoksia ei suurten kustannusten vuoksi katsottu tarkoituksenmukaiseksi toteuttaa vanhassa poliisiasiain tietojärjestelmässä. Tästä syystä lain voimaantulosäännökseen sisällytettiin siirtymäsäännös, jonka mukaan laissa tarkoitettu tietojenkäsittely oli toteutettava neljän vuoden kuluessa lain voimaantulosta. Vitja-hankkeen viivästymisen vuoksi tietojen poistamista koskevia säännöksiä ei ollut mahdollista toteuttaa uudistettuun poliisiasiain tietojärjestelmään lainmuutoksen 1181/2013 voimaantulosäännöksen edellyttämässä aikataulussa 1 päivään tammikuuta 2018 mennessä. Lisäksi arvioitiin tarkoituksenmukaiseksi odottaa poistamisaikojen muutostarpeiden arviointia poliisin henkilötietolain kokonaisuudistuksen yhteydessä ennen lainmuutoksen 1181/2013 muutosten toteuttamista poliisiasiain tietojärjestelmän osalta. Siirtymäaikaa jatkettiin voimassa olevan poliisiasiain tietojärjestelmän tietojen poistamista koskevan 22 §:n osalta kahdella vuodella 1 päivään tammikuuta 2020 saakka lainmuutoksella 1052/2017. Siirtymäaikaa olisi tarkoituksenmukaista edelleen jatkaa, jotta poistoajat voidaan siirtymäajan kuluessa toteuttaa tämän lain 5 luvun mukaisina.
113 §. Poliisin velvollisuus tiedostojen pitämiseen. Pykälän 2 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
42 b §. Arpajaisten valvontatiedosto. Pykälän 2 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
1.4 Laki Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta
3 §. Tiedon ja tiedustelutiedon määritelmä. Pykälän viittaukset voimassa olevan poliisin henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti kohta vastaisi voimassa olevaa lakia.
5 §. Tietojen ja tiedustelutietojen luovuttaminen pyynnöstä. Pykälän 2 ja 3 momentin viittaukset voimassa olevan poliisin henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta.
6 §. Oma-aloitteinen tietojen ja tiedustelutietojen luovuttaminen. Pykälän 2 ja 3 momentin viittaukset voimassa olevan poliisin henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta.
10 §. Henkilötietojen luovuttaminen Eurojustille. Pykälän 2 momentin viittaus voimassa olevan poliisin henkilötietolain 29 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 25 §:ään, jota sovellettaisiin poliisin henkilörekisterien tietojen luovuttamiseen Eurojustille.
12 §. Henkilötietojen käsittely ja tarkastusoikeus. Pykälän 2 momentin viittaus voimassa olevan poliisin henkilötietolain 45 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 42 §:ään, joka sisältäisi rekisteröidyn tarkastusoikeuden rajoituksia koskevat säännökset.
17 §. Henkilökortin epääminen ja henkilökortti ilman matkustusoikeutta. Pykälän 5 momentin viittaus poliisin henkilötietolain 3 §:ssä tarkoitettuun hallintoasioiden tietojärjestelmään korvattaisiin yleisemmällä viittauksella poliisin rekisteriin, koska 1. lakiehdotuksessa ei voimassa olevasta laista poiketen säädettäisi hallintoasiain tietojärjestelmästä.
31 §. Henkilökorttirekisteri. Pykälän voimassa olevan 1 momentin mukaan poliisi pitää rekisteriä, johon talletetaan henkilötietojen käsittelystä poliisitoimessa annetun lain 3 §:n 2 momentissa tarkoitetut henkilöllisyyttä koskevat tiedot sekä mainitun lain 3 §:n 3 momentin 2 ja 3 kohdassa tarkoitetut henkilökorttitiedot ja kuvatiedot. Koska 1. lakiehdotus ei sisällä yksityiskohtaisia säännöksiä henkilökorttirekisterin tietosisällöstä, rekisterin sisältöä koskeva sääntely ehdotetaan siirrettäväksi henkilökorttilain 31 §:n 1 momenttiin. Asiallisesti tietosisältö vastaisi voimassa olevan poliisin henkilötietolain 3 §:ssä määriteltyä sisältöä. Lisäksi pykälän 2 momentin viittaukset voimassa olevaa poliisin henkilötietolakiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin henkilökorttirekisterin tietojen käytöstä, luovuttamisesta ja poistamisesta.
17 §. Hätäkeskustietojärjestelmään talletettavat tiedot. Pykälän 4 momentti muutettaisiin siten, että siinä viitattaisiin rikosasioiden tietosuojalain 4 lukuun ja poliisin henkilötietolain 6 lukuun, jotka sisältäisivät rekisteröidyn oikeuksia koskevat säännökset.
19 §. Tiedonsaantioikeus rekistereistä. Pykälän 1 momentin 1 kohdan viittaukset voimassa olevassa poliisin henkilötietolaissa tarkoitettuihin tietojärjestelmiin korvattaisiin viittauksella 1. lakiehdotuksen säännöksiin. Asiallisesti kohta vastaisi voimassa olevaa lakia. Lisäksi pykälän 1 momentin 11 kohta kumottaisiin tarpeettomana.
6 §. Matkalippujen tarkastajat. Pykälän 5 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
15 §. Lähestymiskiellon rekisteröinti. Pykälään tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
9 luku Erityisiin tutkintakeinoihin liittyvät pakkokeinot
4 §. DNA-tunnisteiden määrittäminen ja tallettaminen. Pykälän 3 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
10 luku Salaiset pakkokeinot
62 §. Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa. Pykälän 1 momenttia muutettaisiin siten, että siinä viitattaisiin henkilötietolain ja voimassa olevan poliisin henkilötietolain sijaan rikosasioiden tietosuojalakiin, jota sovellettaisiin rekisteröidyn tarkastusoikeuteen. Lisäksi momentin kieliasua tarkistettaisiin.
49 §. Arkaluonteisten tietojen käsittely. Pykälän 1 momentin viittaus henkilötietolain 11 §:n 3 ja 4 kohdassa tarkoitettuihin arkaluonteisiin henkilötietoihin korvattaisiin luettelemalla mainituissa 3 ja 4 kohdassa tarkoitetut henkilötiedot 1 momentissa. Asiallisesti kohta vastaisi voimassa olevaa lakia. Lisäksi pykälän ruotsinkielistä kieliasua muutettaisiin.
5 luku Salaiset tiedonhankintakeinot
41 §. Tietolähdettä koskevien tietojen käsittely ja palkkion maksu. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
60 §. Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa. Pykälän 1 momenttia muutettaisiin siten, että siinä viitattaisiin henkilötietolain ja voimassa olevan poliisin henkilötietolain sijaan rikosasioiden tietosuojalakiin, joka sisältäisi rekisteröidyn tarkastusoikeutta koskevat säännökset. Lisäksi momentin kieliasua tarkistettaisiin.
1 luku Yleiset säännökset
7 §. Turvallisuusalan elinkeinoluvan haltijan palveluksessa olevan vartijan asema. Pykälän 5 momentin viittaus voimassa olevan poliisin henkilötietolain 2 luvussa tarkoitettuihin tietojärjestelmiin korvattaisiin viittauksella poliisin henkilörekistereihin, joihin sovellettaisiin 1. lakiehdotusta. Asiallisesti kohta vastaisi voimassa olevaa lakia. Lisäksi pykälän ruotsinkielistä kieliasua muutettaisiin.
2 luku Säilytystilaan ottaminen
4 §. Tulotarkastus ja tietojen rekisteröinti. Pykälän 2 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
7 luku Tapaamiset ja muut yhteydet säilytystilan ulkopuolelle
5 §. Tapaamiskielto. Voimassa olevan 5 momentin mukaan tietojen tallentamisesta poliisiasiain tietojärjestelmään säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa. Poliisin henkilötietolain ja poliisin säilyttämien henkilöiden kohtelusta annetun välistä suhdetta selvennettäisiin muuttamalla 5 momenttia siten, että tapaamiskieltoja koskevien tietojen käsittelystä poliisin henkilörekistereissä säädetään 1. lakiehdotuksessa.
6 §. Tietojen käsittely PTR-rikostiedusteluyksikössä. Pykälä ehdotetaan muutettavaksi siten, että henkilötietojen käsittelystä PTR-rikostiedusteluyksikössä olisi voimassa, mitä henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ), henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ) ja henkilötietojen käsittelystä Tullissa annetussa laissa ( / ) säädetään. Pykälässä tarkoitettu henkilötietojen käsittely PTR-rikostiedusteluyksiköissä toteutettaisiin noudattaen PTR-viranomaisten henkilötietolakien säännöksiä tietojen käsittelystä ja luovuttamisesta. Myös rekisterinpitäjä määräytyisi edellä mainittujen lakien mukaan siten, että rekisterinpitäjänä toimisi edelleen rekisterin perustanut PTR-viranomainen.
29 §. Passirekisteri. Pykälän voimassa olevan 1 momentin mukaan poliisi pitää rekisteriä, johon talletetaan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 3 §:n 2 momentissa tarkoitetut henkilöllisyyttä koskevat tiedot sekä mainitun lain 3 §:n 3 momentin 2—4 kohdassa tarkoitetut passitiedot, kuvatiedot ja passin sormenjälkitiedot. Koska 1. lakiehdotus ei sisällä yksityiskohtaisia säännöksiä passirekisterin tietosisällöstä, rekisterin sisältöä koskeva sääntely ehdotetaan siirrettäväksi passilain 29 §:n 1 momenttiin. Asiallisesti tietosisältö vastaisi voimassa olevan poliisin henkilötietolain 3 §:ssä määriteltyä sisältöä. Lisäksi pykälän 2 momentin viittaukset voimassa olevaan poliisin henkilötietolakiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin passirekisterin tietojen käytöstä, luovuttamisesta ja poistamisesta.
27 §. Rahankeräysten valvontatiedosto. Pykälän 2 momentin informatiivista viittausta poliisin henkilötietolakiin muutettaisiin siten, että henkilötietojen käsittelystä poliisin rekistereissä säädetään 1. lakiehdotuksessa.
3 §. Rahanpesun ja terrorismin rahoittamisen estämistä, paljastamista ja selvittämistä koskeva rekisteri. Pykälän 9 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan tietosuoja-asetukseen, rikosasioiden tietosuojalakiin ja 1. lakiehdotukseen.
2 luku Tullin toimivaltuudet tullirikostorjunnassa
15 §. Henkilöllisyyden selvittäminen. Pykälän 2 momentin viittaus voimassa olevan poliisin henkilötietolain 2 §:ssä tarkoitettuihin henkilörekistereihin muutettaisiin viittaukseksi 1. lakiehdotuksen 5, 6, 11 ja 12 §:ään. Viittaus vastaisi 5 ja 6 §:n osalta asiallisesti nykyistä lukuun ottamatta voimassaolevan lain 2 §:ssä tarkoitettuihin henkilörekistereihin sisältyviä havaintotietoja, joita ehdotettu viittaus ei kattaisi. Säännöstä ehdotetaan lisäksi laajennettavaksi kattamaan myös 11 ja 12 §:n nojalla käsitellyt henkilötiedot. Tullimiehellä on rikostorjunnasta Tullissa annetun lain 2 luvun 15 §:n 3 momentin mukaan henkilöllisyyden selvittämiseksi kiinniotto-oikeus. Ehdotetun tiedonsaantioikeuden laajennuksen arvioidaan olevan kiinniotto-oikeuteen nähden lievemmän keinon käyttämisen periaatteen mukainen. Tullille 1. lakiehdotuksen 21 ja 22 §:ssä esitetyt tiedonsaantioikeudet kattavat 11 ja 12 §:ssä tarkoitettujen henkilötietojen saamisen myös muihin Tullin lakisääteisiin tehtäviin.
19 §. Etsintäkuuluttaminen. Pykälän 2 momentin viittaus kumotun poliisin henkilörekistereistä annetun asetuksen (1116/1995) 2 §:n 5 kohdassa mainittuihin tietoihin korvattaisiin kuvauksella etsintäkuulutuksessa mainittavista tiedoista. Asiallisesti kohta vastaisi voimassa olevaa lakia. Lisäksi pykälän ruotsinkielistä kieliasua muutettaisiin.
13 §. Todistajansuojeluohjelmia koskeva rekisteri. Pykälän 1 momentin ja 3 momentin viittaukset henkilötietolakiin korvattaisiin viittauksella rikosasioiden tietosuojalakiin, jonka soveltamisalaan keskusrikospoliisille todistajansuojeluohjelmasta annetussa laissa säädettyjen tehtävien suorittamiseksi tapahtuva henkilötietojen käsittely kuuluisi.
25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälän 1 momentin 4 kohdan viittaus voimassa olevassa poliisin henkilötietolaissa tarkoitettuun poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään korvattaisiin viittauksella 1. lakiehdotuksen säännöksiin.
Asiallisesti kohta vastaisi pääosin voimassa olevaa lakia. Perusmuotoisten henkilöturvallisuusselvitysten tietolähteisiin sisältyisivät kuitenkin voimassa olevan poliisin henkilötietolain 2 §:ssä tarkoitettuun poliisiasiain tietojärjestelmään ja 3 §:ssä tarkoitettuun hallintoasiain tietojärjestelmään sisältyvien tietojen lisäksi myös muut tiedot, joita poliisilla olisi oikeus käsitellä 1. lakiehdotuksen 5, 6, 11 ja 12 §:n nojalla. Perusmuotoisten henkilöturvallisuusselvitysten tietolähteenä voitaisiin siten käyttää muun muassa poliisin kenttätehtävien ja laissa erikseen säädettyihin valvontatehtävien suorittamiseksi käsiteltäviä henkilötietoja. Lisäksi voitaisiin käyttää lupahallinnollisiin tehtäviin liittyviä henkilötietoja, kuten ajokorttilaissa, ampumaratalaissa, rahanpesulaissa ja tieliikennelaissa poliisille säädettyjen tehtävien suorittamiseksi käsiteltäviä tietoja, jos nämä tiedot olisivat merkityksellisiä turvallisuusselvityksen tekemisen kannalta. Perusmuotoinen henkilöturvallisuusselvitys ei kuitenkaan voisi perustua tietoihin, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi 5 §:n 3 momentin tai 48 §:n 2 momentin nojalla, eikä 12 §:n 2 momentissa tarkoitettuihin rahapeliyhtiön ja muun poliisin valvottavaksi arpajaislaissa tai rahanpesulaissa säädetyn elinkeinonharjoittajan ja yhteisön asiakkaita koskeviin henkilötietoihin.
Pykälän 2 momentin kieliasua tarkistettaisiin ja momentin viittaukset epäiltyjen tietojärjestelmään korvattaisiin viittauksella 1. lakiehdotuksen 7 §:n 2 momentin ja 8 §:n säännöksiin. Tältäkin osin sääntely vastaisi pääosin nykytilaa. Keskusrikospoliisin tekemä ilmoitus ei voisi perustua 7 §:n 5 momentissa tarkoitettuihin havaintotietoihin tai tietoihin, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi 7 §:n 6 momentin nojalla. Tietosisältö laajenisi kuitenkin voimassa olevan lain mukaiseen epäiltyjen tietojärjestelmään verrattuna kattamaan 1) henkilöt, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, 2) henkilöt, jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen, sekä 3) henkilöt, jotka ovat poliisilain 5 luvun 13 §:n mukaisen tarkkailun kohteena. Tietosisältö kattaisi myös sellaiset edellä mainittuihin henkilöryhmiin kuuluvat henkilöt, joiden tietoja käsitellään voimassa olevan lain 6 §:n 2 momentin 2 kohdan nojalla rikoksen tai rikoskokonaisuuden ennalta estämiseksi tai paljastamiseksi perustetuissa tilapäisissä rikosanalyysirekistereissä. Keskusrikospoliisin tekemää ilmoitusta voitaisiin kuitenkin käyttää perusmuotoista turvallisuusselvitystä laadittaessa ainoastaan voimassa olevaa lakia vastaavin edellytyksin.
Poliisin 5 §:n 1 ja 2 momentin, 6 ja 11 §:n, 12 §:n 1 momentin, 48 §:n 1 momentin ja 49 §:n nojalla käsittelemien henkilöryhmien ja tietosisällön muutokset voimassa olevaan lakiin verrattuna on kuvattu tarkemmin 1. lakiehdotuksen yksityiskohtaisissa perusteluissa.
32 §. Tietojen käyttörajoitukset henkilöturvallisuusselvitystä laadittaessa. Pykälän 1 momentin 2 kohdan viittaus poliisiasiain tietojärjestelmään sisältyviin havaintotietoihin kumottaisiin tarpeettomana, koska 25 §:ssä tarkoitettuihin perusmuotoisen turvallisuusselvityksen tietolähteisiin ei enää jatkossa sisältyisi voimassa olevan lain mukaiseen poliisiasiain tietojärjestelmään sisältyviä havaintotietoja. Lisäksi pykälän 3 momentin viittaus poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään korvattaisiin viittauksella 1. lakiehdotuksen säännöksiin. Käyttörajoituksilla ei kuitenkaan estettäisi sitä, että keskusrikospoliisi voisi tehdä 25 §:n 2 momentissa tarkoitettuja ilmoituksia 1. lakiehdotuksen 7 §:n 2 momentissa tarkoitettujen tietojen perusteella.
131 §. Henkilötuntomerkkien ottaminen. Pykälän 2 momentin viimeinen virkkeen viittaus ulkomaalaisrekisterilain 9 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 34 §:ään, jossa säädettäisiin 131 §:n perusteella poliisin rekisteriin talletettujen henkilötuntomerkkien poistamisesta. Myös voimassa olevan poliisin henkilötietolain 23 § sisältää säännökset henkilötuntomerkkien poistamisesta, mutta ulkomaalaislain 131 §:n 2 momentissa viitataan virheellisesti ulkomaalaisrekisterilain 9 §:n poistosäännökseen. Lisäksi pykälän 3 momentti muutettaisiin siten, että siinä viitattaisiin 1. lakiehdotuksen säännöksiin. Samalla momentin kieliasua tarkistettaisiin. Asiallisesti 3 momentti vastaisi voimassa olevaa lakia.
3 a §. Muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietojen käyttö. Pykälän 2 momentti muutettaisiin siten, että siinä viitattaisiin 1. lakiehdotuksen säännöksiin. Asiallisesti kohta vastaisi voimassa olevaa lakia.
3 b §. Hakemusasioiden osarekisterin sormenjälkitietojen käyttö ja vertaaminen. Pykälän 2 momentin viittaus poliisin henkilötietolain 3 §:ssä tarkoitettuun hallintoasioiden tieto-järjestelmään korvattaisiin yleisemmällä viittauksella poliisin rekistereihin, koska ulko-maalaislain 131 §:n perusteella poliisin rekistereihin talletettavat sormenjälkitiedot eivät 1. lakiehdotuksen mukaan olisi osa hallintoasiain tietojärjestelmää. Lisäksi 2 ja 3 momentin pykäläviittaukset muutettaisiin siten, että niissä viitattaisiin 1. lakiehdotuksen säännöksiin.
4 a §. Rekisteröidyn oikeudet. Pykälän 1 momenttia muutettaisiin siten, että siinä viitattaisiin 1. lakiehdotuksen säännöksiin tarkastusoikeuden toteuttamisesta.
1.25 Laki yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta
9 §. Suojelutoimenpiteen rekisteröinti. Pykälään tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
86 §. Turvallisuusalan valvontatiedot. Pykälään tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan poliisin henkilötietolain sijaan 1. lakiehdotukseen.
Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018 ja tietosuojadirektiivin kansallisen täytäntöönpanon määräaika oli 6 päivä toukokuuta 2018. Tähän esitykseen sisältyvät lait ehdotetaan tuleviksi voimaan mahdollisimman pian yleislakien voimaantulon jälkeen.
Esityksen 1. lakiehdotukseen sisältyy henkilötietojen poistoaikoja koskeva siirtymäsäännös. Henkilötietojen poistaminen olisi toteutettava ehdotetun lain mukaisena neljän vuoden kuluessa lain voimaantulosta.
Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa lisäksi se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan lukien tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (esimerkiksi PeVL 31/2017 vp, PeVL 13/2016 vp). Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Lailla on säädettävä lisäksi mahdollisuudesta yhdistää rekisteritietoja (PeVL 17/2007 vp ja PeVL 30/2005 vp). Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista.
Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (esimerkiksi Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (esimerkiksi S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, kohta 67 ja Leander v. Ruotsi, 26.3.1987, kohta 48). Jotta yksityisyyden suojan rajoittaminen olisi sallittua, sen tulee perustua lakiin, olla välttämätöntä demokraattisessa yhteiskunnassa ja olla oikeassa suhteessa tavoiteltuun päämäärään. Esimerkiksi järjestyshäiriöiden ja rikollisuuden torjuntaa sekä kansallisen turvallisuuden ylläpitoa on oikeuskäytännössä yleisesti pidetty hyväksyttävänä perusteena yksityisyyden suojan pitkällekin meneville rajoituksille. Valtiolla on myös eräissä tilanteissa laaja harkintamarginaali sen osalta, mikä on välttämätöntä, esimerkiksi henkilötietojen tallentamisessa henkilöistä, joita epäillään terrorismirikoksista (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, kohdat 87 ja 88). Harkintamarginaalin käyttämisen edellytyksenä on kuitenkin, että käytössä on tehokkaat valvontajärjestelyt.
Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on katsonut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (esimerkiksi PeVL 14/2018 vp, PeVL 54/2014 vp, PeVL 10/2014 vp).
Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on todennut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimuksia voidaan täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp ja siinä mainitut lausunnot). Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Henkilötietojen suojan toteuttaminen tulisi valiokunnan mukaan jatkossa ensisijaisesti taata tietosuoja-asetuksen ja tietosuojalain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 14/2018 vp, PeVL 2/2018 vp).
Sen sijaan tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvan henkilötietojen käsittelyn osalta on siten edelleen otettava huomioon yllä mainittu perustuslakivaliokunnan lausuntokäytäntö. Henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta. Perustuslakivaliokunnan mielestä henkilötietoja koskevan lainsäädännön selvyys kuitenkin edellyttää, että erityislainsäädäntöön ei sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella rikosasioiden tietosuojalaissa. Henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 26/2018 vp, PeVL 14/2018 vp).
Perustuslakivaliokunta on lausunnossaan (PeVL 14/2018 vp) kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn.
Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla (PeVL 14/2018 vp). Perustuslakivaliokunnan käsityksen mukaan tietosuoja-asetuksen riskiperustaisesta lähestymistavasta seuraa, että kansallista yksityiskohtaista ja täsmällistä lainsäädäntöä voidaan säätää myös silloin, kun tietojen käsittely muodostaa erityisen riskin muulla kuin asetuksen 9 tai 10 artiklassa säädetyllä perusteella. Kansallisen sääntelyn tulee tällöinkin olla yhteensopivaa asetuksen 6 artiklan kanssa (PeVL 15/2018 vp).
Perustuslakivaliokunta on kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (esimerkiksi PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 49/2017 vp, PeVL 31/2017 vp ja PeVL 71/2014 vp). Voimassa olevassa poliisin henkilötietolaissa on jossain määrin ylisääntelyn piirteitä. Poliisi käsittelee kuitenkin usein myös erityisiin henkilötietoryhmiin kuuluvia tietoja. Yksilön oikeuksien toteuttamiseksi sekä oikeusturvanäkökulmasta on välttämätöntä säätää henkilötietojen käsittelystä poliisitoimessa tietosuoja-asetusta ja tietosuojalakia täydentävästi. Esitys sisältää myös säännöksiä tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta henkilötietojen käsittelystä. Tältä osin käsittelyn oikeusperustaa ja henkilötietojen käsittelyn tietosisältöä on välttämätöntä tarkentaa erityislainsäädännössä.
Perustuslakivaliokunta on pitänyt riittävän tarkkarajaisena sääntelyä, jossa henkilörekistereihin talletettavat tiedot on yksilöity riittävän tarkasti (PeVL 51/2002 vp ja PeVL 18/2012 vp). Sen sijaan perustuslakivaliokunta on pitänyt ongelmallisena sitä, jos säännöksen muotoilu jättää rekisteröitävien henkilötietojen sisällön viime kädessä paljolti viranomaisen omin toimin määriteltäväksi (PeVL 18/2012 vp). Perustuslakivaliokunta on katsonut, että laissa olevan sääntelyn tulee kaiken kaikkiaan olla siinä määrin täsmällistä, että sääntelyllä annetaan riittävä ennustettavuus viranomaistoimista (PeVL 15/1996 vp).
Poliisin henkilötietolain 2 luvussa säädettäisiin alkuperäisistä henkilötietojen käsittelytarkoituksista sekä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen. Käsittelytarkoitusperusteinen sääntely kattaisi suuremman osan poliisin tehtävien suorittamiseksi tapahtuvasta henkilötietojen käsittelystä kuin voimassa olevan poliisin henkilötietolain sääntely, joka koskee ainoastaan laissa nimettyjä poliisin tietojärjestelmiä. Käsittelytarkoitusperusteisen sääntelyn piiriin kuuluisivat kaikki henkilötietojen käsittelyn vaiheet, joissa olisi kyse henkilötietojen kokonaan tai osittain automatisoidusta käsittelystä poliisin tehtävissä sekä muusta henkilötietojen käsittelystä, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Rekisteröitävistä henkilötiedoista säädettäisiin kattavasti ja yksityiskohtaisesti, mutta sääntelytekniikka poikkeaisi voimassa olevasta laista. Sääntelyn voidaan katsoa täyttävän perustuslakivaliokunnan asettamat edellytykset.
Voimassa olevan lainsäädännön tavoin myös henkilötietojen säilytysajoista säädettäisiin yksityiskohtaisesti kunkin käsittelytarkoituksen osalta. Euroopan ihmisoikeustuomioistuin on kiinnittänyt huomiota siihen, että myös säilytysaikojen tulisi olla oikeasuhtaisia henkilötietojen käsittelyn tarkoitukseen nähden, ja että säilytysaikoja olisi rajoitettava (S. ja Marper v. Yhdistynyt Kuningaskunta, tuomion kohdat 107 ja 108). Myös perustuslakivaliokunta on katsonut, että säilytysaikaa koskevan sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista ja että säilytysaikaa koskeviin säännöksiin tulee sisällyttää aikamääre (esimerkiksi PeVL 20/2006 vp). Esityksen 1. lakiehdotuksen säilytysaikoja koskevissa 5 luvun säännöksissä on huomioitu tarve säilyttää asian tiedot riittävän ajan sekä rekisteröidyn että poliisin oikeusturvan takaamiseksi. Lupahallinnolliseen päätöksentekoon liittyvien tietojen poistoaikoja esitetään eräiltä osin pidennettäväksi erityislainsäädännön mukaisen lupaharkinnan edellytysten turvaamiseksi. Samaan asiaan liittyvien henkilötietojen säilytysaikoja on ehdotuksessa myös yhdenmukaistettu tietojen eheyden varmistamiseksi. Ehdotettujen säännösten arvioidaan täyttävän perustuslakivaliokunnan tulkintakäytännöstä ilmenevät vaatimukset.
Esityksen 1. lakiehdotukseen sisältyisi säännökset henkilötietojen käsittelystä niiden merkityksellisyyden arvioimiseksi (5 §:n 3 momentti, 7 §:n 6 momentti ja 48 §:n 2 momentti). Rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat poliisin tehtävien kannalta merkityksettömiksi. Kyseessä olisi yksityisyyden suojaa rajoittava toimenpide. Rekisteröityjen oikeusturvaa parantaisi kuitenkin se, että tietoja saisi säilyttää korkeintaan kuuden kuukauden ajan ja tarpeettomiksi arvioidut tiedot olisi poistettava viipymättä jo ennen kuuden kuukauden määräajan täyttymistä. Yleisen tietosuojalainsäädännön vaatimusten mukaan tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä. Ehdotetulla kuuden kuukauden säilytysajalla täsmennettäisiin tätä yleislainsäädännön vaatimusta ja varmistettaisiin, että henkilötietojen välttämätön esikäsittelyvaihe kestäisi vain rajoitetun ajan. Tältä osin ehdotuksen voidaan katsoa osaltaan myös parantavan yksityisyyden suojaa verrattuna nykytilaan, jossa esikäsittelyvaiheen kestosta ei nimenomaisesti säädetä.
Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että arkaluonteisten tietojen käsitteleminen koskettaa yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä vuoksi tällaisien tietojen käsittelyn sallivien säännösten on oltava täsmällisiä (PeVL 25/1998 vp, PeVL 51/2002 vp). Perustuslakivaliokunta on myös katsonut poliisin henkilötietojen käsittelyn osalta, että arkaluonteisten tietojen käsittelyä tarkoittavasta toimivallasta on säädettävä lailla täsmällisesti, sillä yleislainsäädäntö ei luo tällaista toimivaltaa (PeVL 51/2002 vp).
Perustuslakivaliokunta on lausunnossaan PeVL 15/2018 vp kiinnittänyt huomiota siihen, että henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja ei voida suoraan rinnastaa yleisen tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Myöskään perustuslakivaliokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samaistu henkilötietolain sääntelyyn. Perustuslakivaliokunta on katsonut, että esimerkiksi biometriset tunnistetiedot rinnastuvat arkaluonteisiin tietoihin (esimerkiksi PeVL 13/2016 vp). EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (PeVL 15/2018 vp, PeVL 14/2018 vp). Valiokunta pitää kuitenkin edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi. Myös tietosuoja-asetuksen johdantokappaleessa 51 painotetaan erityisten henkilötietoryhmien erityistä arkaluonteisuutta.
Arkaluonteisia henkilötietoja käsitellään poliisissa sekä direktiivin että asetuksen soveltamisalaan kuuluvia poliisin tehtäviä varten. Tietosuoja-asetus ja tietosuojadirektiivi sisältävät erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevat säännökset, joissa asetetaan aiempaa tiukemmat vaatimukset näiden tietojen käsittelylle, mukaan lukien henkilötietojen suojaamista koskevat vaatimukset. Yleisen tietosuojalainsäädännön aiempaa tiukemmat säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä parantavat rekisteröidyn oikeuksia. Tällä on merkitystä erityisesti silloin, kun käsittely kohdistuu biometrisiin ja geneettisiin tietoihin, joita voisi tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalalla käsitellä ainoastaan kun se on välttämätöntä. Arkaluonteisten henkilötietojen käsittelyedellytykset tiukentuisivat myös asetuksen soveltamisalalla. Asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on pääsääntöisesti kielletty. Asetuksen 9 artiklan 1 kohdassa luetellaan tyhjentävästi poikkeukset, joiden nojalla käsittely on sallittua. Arkaluonteisten henkilötietojen suojalle asetettaisiin myös erityisiä vaatimuksia kummankin tietosuojasäädöksen soveltamisalalla.
Poliisin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen 1. lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi biometrisiä tietoja käsitellään sekä rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen liittyvissä tehtävissä että lupahallinnollisten tehtävien suorittamiseksi. Lisäksi poliisi käsittelee tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja.
Erityisten henkilötietoryhmien käsittely 1. lakiehdotuksessa perustuisi tietosuoja-asetuksen soveltamisalaan kuuluvien käsittelytarkoitusten osalta asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Rekisteröidyn perusoikeuksia ja etuja suojaisivat tietosuoja-asetuksessa ja tietosuojalaissa määriteltyjen suojatoimien lisäksi muun muassa esityksen 1. lakiehdotuksessa henkilötietojen käsittelylle asetetut edellytykset, edellytykset tietojen luovuttamiselle sekä tietojen säilytysajat. Suojatoimenpiteenä voidaan osaltaan pitää myös lupahallinnollisia tehtäviä koskevaa erityislainsäädäntöä, jossa säädetään henkilötietojen käsittelytarkoituksista sekä rekisterien tietosisällöstä.
Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely rikosasioissa olisi rajoitettava EU:n tietosuojalainsäädäntö, perusoikeussääntely ja perustuslakivaliokunnan kannanotot huomioiden siihen, mikä on käsittelytarkoituksen kannalta välttämätöntä. Välttämättömyyskriteeristä säädetään rikosasioiden tietosuojalaissa.
Voimassa olevan lain rikoksesta epäiltyjen tietojärjestelmää koskeva säännös sekä rikosten ennalta estämiseksi ja paljastamiseksi perustetut tilapäiset analyysirekisterit ehdotetaan korvattavaksi säännöksillä henkilötietojen käsittelystä rikosten ennalta estämiseksi ja paljastamiseksi. Ehdotetut 7 ja 8 § merkitsisivät valtakunnallisesti käsiteltävän tietosisällön laajenemista sekä tietosisällön että rekisteröitävien henkilöryhmien osalta. Myös näiden säännösten soveltamisen kannalta olisi kiinnitettävä huomiota oikeasuhteisuuden ja käyttötarkoitussidonnaisuuden vaatimuksiin, joiden mukaan rekisteröidyn yksityiselämän suojaa saisi rajoittaa ainoastaan siinä määrin kuin se on välttämätöntä ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Säännöksissä ehdotetaan tarkennettavaksi henkilöryhmiä, joita koskevia tietoja kyseiseen käsittelytarkoitukseen saisi tallettaa ja käsitellä. Lisäksi säädettäisiin tietoryhmistä, joita kyseisessä käsittelytarkoituksessa saisi käsitellä. Käsiteltäviin tietoihin olisi liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.
Ehdotetussa säännöksessä henkilötietojen käsittelyä rikosten ennalta estämiseksi ja paljastamiseksi on kiinnitetty erityistä huomiota eri henkilöryhmiä koskeviin tallettamis- ja käsittelykriteereihin. Säännökseen ehdotetaan alempaa tallettamis- ja käsittelykynnystä siltä osin kuin on kyse varsinaisesti rikolliseen toimintaan liittyvistä henkilöistä. Säännöksellä mahdollistettaisiin laajasti eri tavoin rikolliseen toimintaan kytkeytyvien henkilöiden tietojen käsittely esimerkiksi näiden välisten yhteyksien selvittämiseksi.
Perustuslakivaliokunta on aiemmin kiinnittänyt huomiota siihen, että epäiltyjen tietojärjestelmään saataisiin perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Voimassa oleva lain 4 §:n sisältö ei kuitenkaan ulotu tähän tarkoitukseen asti (PeVL 51/2002 vp). Sitä, että uhrien nimien tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää tarkkarajaisena sääntelynä perustuslakivaliokunnan tulkintakäytännöstä ilmenevällä tavalla.
Poliisin on tietyissä tilanteissa tarpeen käsitellä myös sellaisten henkilöiden tietoja, joihin epäillyn väkivallan uhka kohdistuu tai voi kohdistua. Tietojen käsittely voi olla välttämätöntä sen takaamiseksi, että poliisi kykenee antamaan tarvittaessa suojaa asianomistajaksi, uhriksi tai todistajaksi katsottavalle henkilölle. Näitä henkilöitä koskisi kuitenkin ehdotetun pykälän mukaan korotettu henkilötietojen käsittelykynnys. Korkeammalla käsittelykynnyksellä varmistettaisiin, että yksityiselämän suojaa rajoitettaisiin ainoastaan siinä määrin kuin se on välttämätöntä oletetun rikollisen toiminnan estämiseksi, paljastamiseksi tai selvittämiseksi. Näiden henkilöryhmien osalta olisi myös kiinnitettävä erityistä huomioita oikeusturvan takeisiin. Rekisterinpitäjän olisi rekisteröidyn oikeusturvan takaamiseksi muun muassa erotettava tietosuojadirektiivin ja rikosasioiden tietosuojalain vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.
Havaintotietojen osalta ei ehdoteta muutosta suhteessa voimassa olevaan sääntelyyn. Perustuslakivaliokunta on todennut havaintotietojen osalta, että kysymys on potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta (PeVL 18/2012 vp). Lisäksi havaintotiedot ovat usein luonteeltaan epävarmoja ja niiden käyttämiseen sisältyy leimautumisen riski. Perustuslakivaliokunta on tämän luonteisten tietojen käsittelyssä kiinnittänyt edellä mainittujen yleisten seikkojen lisäksi huomiota tarpeeseen varmistaa tietojen virheettömyys ja luotettavuus (PeVL 27/2006 vp) ja liittää tietoon arviot tietojenantajan luotettavuudesta ja tietojen oikeellisuudesta (PeVL 51/2002 vp). Lisäksi havaintotietojen säilytysaika olisi lyhyt, jolloin luonteeltaan varmentamattomien tai merkityksen osalta epävarmojen henkilötietojen käsittely rajoittaisi yksityiselämän suojaa ainoastaan siinä määrin kuin se on välttämätöntä poliisin tehtävän suorittamiseksi. Perustuslakivaliokunta ei ole pitänyt sääntelyä tällä tavoin tietosisältöjen, käyttötarkoituksen ja säilytysajan osalta rajoitettuna henkilötietojen suojan kannalta ongelmallisena. Perustuslakivaliokunta on kuitenkin katsonut havaintotietojen luonteen vuoksi olevan tärkeää, että tietojen tallettamisen edellytyksiä tulkitaan suppeasti ja etenkin niin, että havaintotieto voidaan tallettaa vain, jos on olemassa epäilys rikollisesta toiminnasta (PeVL 18/2012 vp).
3.4 Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen ja henkilötietojen luovuttaminen
Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta. Sen mukaan henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Asetuksen johdanto-osan 50 kappaleen mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille sekä asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä.
Kun henkilötietojen käsittely perustuu asetuksen 6 artiklan 1 kohdan c tai e alakohtiin voidaan kansallisen liikkumavaran puitteissa asetuksen 6 artiklaa 3 kohdan mukaisesti säätää niistä tahoista ja tarkoituksista, joihin henkilötietoja voidaan luovuttaa. Mikäli katsotaan, että tietojen käyttötarkoitus muuttuu luovutuksen seurauksena, on luovutuksen edellytyksiä arvioitava käyttötarkoitussidonnaisuuden periaatetta vasten siten kuten tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään. Luovutussäännöksen on oltava välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi.
Jäsenvaltioiden on tietosuojadirektiivin 4 artiklan mukaan säädettävä muun muassa siitä, että henkilötietoja käsitellään lainmukaisesti ja että niitä kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Saman tai toisen rekisterinpitäjän suorittama käsittely muuta kuin alkuperäistä tarkoitusta varten on kuitenkin sallittua, jos käsittelystä säädetään laissa ja käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhtaista. Käsittelyn lainmukaisuuden vaatimusta täsmennetään direktiivin 8 artiklassa, jonka mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi direktiivin soveltamisalalla ja jos se perustuu lakiin.
Käyttötarkoitussidonnaisuudesta säädetään rikosasioiden tietosuojalain 5 §:ssä. Mainitun pykälän 1 momentin mukaan rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla. Mainitun pykälän 2 momentin mukaan rikosasioiden tietosuojalain 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saisi käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa.
Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (PeVL 20/2016 vp, PeVL 13/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 25/2009 vp). Valiokunta on erityisesti biometristen tunnistetietojen käsittelyn kansallisen sääntelyn arvion yhteydessä korostanut, että tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta on valiokunnan mielestä voitu tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (esimerkiksi PeVL 47/2010 vp).
Esityksen 1. lakiehdotuksessa määriteltäisiin ja täsmennettäisiin ne tehtävät ja tarkoitukset, joita varten henkilötietojen myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Säännöksiä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen laajennettaisiin eräiltä osin. Säännöksillä pyritään varmistamaan poliisin toimintaedellytykset esimerkiksi sellaisissa tilanteissa, joissa tehokas rikoksen ennalta estäminen, paljastaminen ja selvittäminen edellyttävät henkilötietojen tarkistamista useammasta henkilörekisteristä. Sääntelyssä on huomioitu myös tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisiin käsittelytarkoituksiin alun perin kerättyjen ja talletettujen tietojen käyttäminen luvan myöntämisen tai voimassaolon edellytysten selvittämisessä. Yksityisyyden suojan kannalta keskeisimpiä esitettyjä muutoksia ovat passi- ja henkilökorttilain mukaisiin biometrisiin tietoihin, ulkomaalaislain 131 §:n perusteella käsiteltäviin ulkomaalaisten tunnistamistietoihin ja lupahallinnollisen päätöksenteon tietopohjaan liittyvät muutosehdotukset.
Passi- ja henkilökorttilain mukaiset biometriset tiedot
Passirekisterin sormenjälkitietojen käyttämisen sallimista tunnistamattomaksi jääneen uhrin tunnistamisessa on voitu perustuslakivaliokunnan mielestä pitää sellaisena käyttötarkoitussidonnaisuudesta poikkeamisena, jota saatetaan vielä luonnehtia valiokunnan edellyttämällä tavalla täsmälliseksi ja vähäiseksi (PeVL 47/2010 vp). Erityisiin henkilötietoryhmiin kuuluvien passi- ja henkilökorttilain mukaisiin tehtäviin käsiteltävien biometristen tietojen käyttöä ehdotetaan esityksessä rajattavaksi voimassa olevaa lakia tiukemmin. Voimassa olevan lain 16 a §:n mukaiset rajoitukset tietojen käsittelylle ehdotetaan laajennettavaksi koskemaan passi- ja henkilökorttirekisterin tietojen lisäksi myös biometrisessä muodossa käsiteltäviä kasvokuvia. Myös biometristen kasvokuvien luovuttamista rajoitettaisiin vastaaviin tilanteisiin kuin sormenjälkien luovuttaminen.
Ulkomaalaislain 131 §:n mukaiset tuntomerkit
Esityksen 1. lakiehdotuksessa ehdotetaan laajennusta suhteessa voimassa olevaan lakiin siltä osin kuin on kyse ulkomaalaislain 131 §:n nojalla kerättyjen sormenjälkien hyödyntämisestä terrorismirikosten tai muiden vakavien rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Ehdotus merkitsisi kavennusta ulkomaalaislain mukaisesti rekisteröityjen henkilöiden yksityiselämän suojaan. Toisaalta yksityisyyden suojaa parantaisi nykytilaan nähden se, että tiukat rajoitukset tietojen rikostorjunnalliselle käytölle koskivat sormenjälkien lisäksi myös biometrisessa muodossa käsiteltäviä kasvokuvia. Kasvokuvien jatkokäytölle ei voimassa olevassa laissa ole asetettu vastaavia rajoitteita kuin sormenjälkien käyttämiselle.
Ulkomaalaisten tunnistamistietojen alkuperäisestä keräämis- ja tallettamistarkoituksesta säädetään ulkomaalaislain 131 §:ssä. Perustuslakivaliokunta on edellyttänyt lausunnossaan (PeVL 47/2010 vp) ulkomaalaislain 131 §:n nojalla otettavien sormenjälkitietojen käyttämisen rajoittamista vain niiden keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen. Tällainen tarkoitus voi valiokunnan mielestä sinänsä liittyä myös tarkasti määriteltyjen rikosten estämiseen ja selvittämiseen, mutta ainoastaan siinä laajuudessa kuin tällä toiminnalla on yhteys alkuperäiseen keräämis- ja tallettamistarkoitukseen. Ulkomaalaisen biometristen tunnistamistietojen käyttö muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen rajattaisiin Eurodac-asetuksessa tarkoitettuihin terrorismirikoksiin ja muihin vakaviin rikoksiin, minkä lisäksi käsittelyn olisi oltava välttämätöntä. Ottaen huomioon ehdotetut rajaukset, ehdotuksen arvioidaan täyttävän perustuslain mukaiset vaatimukset sääntelyn oikeasuhteisuudesta. Se ei myöskään merkitsisi sellaista käyttötarkoitussidonnaisuuteen tehtävää poikkeusta, joka menisi pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi. Ehdotettua laajennusta arvioidaan tarkemmin jäljempänä perustuslain mukaisen yhdenvertaisuusperiaatteen toteutumisen kannalta.
Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen käyttö lupahallinnollisessa päätöksenteossa
Voimassa olevan poliisin henkilötietolain mukaan poliisilla ei ole oikeutta käyttää havaintotietoja, epäiltyjen tietojärjestelmän tietoja, suojelupoliisin toiminnallisen tietojärjestelmän tietoja ja tilapäisten rikosanalyysirekisterien tietoja päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta. Esityksen 1. lakiehdotuksen mukaan rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot eivät tietojen usein epävarman luonteen vuoksi olisi suoraan käytettävissä lupahallinnollisessa päätöksenteossa. Esitykseen sisältyy kuitenkin ehdotus lausuntomenettelystä, jossa keskusrikospoliisi voisi tiettyjen tarkoin rajattujen edellytysten mukaisesti tehdä lupaharkintaan tai -valvontaan liittyviin tarkoituksiin ilmoituksen, joka perustuisi 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietoihin. Menettelyn perusteet on kuvattu edellä 15 §:n yksityiskohtaisissa perusteluissa.
Henkilötietoja olisi tietosuojalainsäädännön vaatimusten mukaan pääsääntöisesti käsiteltävä vain siihen laissa säädettyyn tarkoitukseen, jota varten ne on kerätty (käyttötarkoitussidonnaisuuden periaate). Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (PeVL 20/2016 vp, PeVL 13/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 25/2009 vp). Tietosuojalainsäädäntö mahdollistaa kuitenkin henkilötietojen käsittelyn myös muuhun tarkoitukseen, jos siitä säädetään laissa, ja käsittely on välttämätöntä ja oikeasuhtaista. Perustuslakivaliokunnan tulkintakäytännön mukaisesti sääntelyn olisi myös oltava riittävän yksityiskohtaista ja tarkkarajaista. Ehdotettu ilmoitusmenettely olisi rajattu yksityiskohtaisilla ja tarkkarajaisilla säännöksillä tilanteisiin, joissa keskusrikospoliisi arvioisi 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietojen perusteella ilmoituksen tekemisen olevan aiheellista.
Yksityiselämän ja henkilötietojen suojalla ei perustuslakivaliokunnan tulkintakäytännön mukaisesti ole etusijaa muihin perusoikeuksiin nähden (PeVL 26/2018 vp, PeVL 14/2018 vp). Henkilötietojen suojan valtiosääntöisessä arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (esimerkiksi PeVL 54/2014 vp, PeVL 10/2014 vp). Ehdotetun ilmoitusmenettelyn tavoitteena olisi erityisesti suojata luvan myöntämiselle tai voimassaololle säädettyjen edellytysten perusteena olevia etuja estämällä järjestäytyneeseen rikolliseen toimintaan osallistuvien tai sellaisesta toiminnasta epäiltyjen laillinen pääsy luvanvaraiseen, yhteiskunnan turvallisuuteen vaikuttavaan tehtävään sekä estämällä ampuma-aseiden laillinen hankkiminen tilanteissa, joihin liittyy riski vakavista väärinkäytöksistä. Yksityisyyden suojan rajoitukset eivät menisi pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi.
Tietojen luovuttaminen
Perustuslakivaliokunta on lausuntokäytännössään kiinnittänyt huomiota siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta tarpeellisiin tietoihin, jos tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on valiokunnan mukaan pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta (esimerkiksi PeVL 31/2017 sekä PeVL 17/2016 vp ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esimerkiksi PeVL 71/2014 vp, PeVL 62/2010 vp, ja PeVL 59/2010 vp). Valiokunta on käytännössään arvioinut myös arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (esimerkiksi PeVL 38/2016 vp).
Esityksen 1. lakiehdotukseen sisältyisi voimassa olevan lain tavoin yksityiskohtaiset säännökset siitä, mille viranomaisille ja mihin käsittelytarkoituksiin henkilötietoja voitaisiin luovuttaa. Erityisiin henkilötietoryhmiin kuuluvia tietoja voitaisiin luovuttaa ainoastaan, kun se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.
Perustuslakivaliokunnan käytännön mukaan lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Ehdotettu sääntely koskisi voimassa olevan lainsäädännön tavoin henkilötietojen luovuttamista teknisen käyttöyhteyden avulla tai tietojoukkona. Perustuslakivaliokunta on myös katsonut, että on tarpeellista asettaa tietoja pyytävälle etukäteen vaatimus esittää selvitys siitä, että tietojen suojauksesta huolehditaan asianmukaisesti ennen teknisen käyttöyhteyden avaamista (PeVL 12/2002 vp). Ensimmäiseen lakiehdotukseen sisältyisi tätä tarkoittava säännös siltä osin kuin on kyse henkilötietojen luovuttamisesta tietosuoja-asetuksen alaisiin käsittelytarkoituksiin. Rekisterinpitäjän valvontavastuun toteuttamiseksi rekisterinpitäjän olisi jatkossakin erikseen arvioitava, millä edellytyksillä tekninen käyttöyhteys voitaisiin avata.
Esityksen 1. lakiehdotukseen sisältyy voimassa olevaa lakia vastaavasti kaksinkertaista sääntelyä tietojen luovuttamisesta ja tiedonsaantioikeuksista. Kaksinkertainen sääntely johtaa osin raskaaseen sääntelyrakenteeseen ja on omiaan synnyttämään tulkintaongelmia, mutta ei perustuslakivaliokunnan tulkintakäytännön mukaan ole valtiosääntöisesti ongelmallista (esimerkiksi PeVL 71/2014 vp).
Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö mahdollistaa kansallista sääntelyä, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 31/2017 vp ja PeVL 25/2005 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 14/2018 vp, PeVL 31/2017 vp, PeVL 26/2017 vp, PeVL 2/2017 vp ja PeVL 44/2016 vp).
Tietosuoja-asetuksen 23 artiklan mukaan kansallisella lailla on tiettyjen edellytysten täyttyessä mahdollista rajoittaa rekisteröityjen oikeuksia. Kansallisella lailla voidaan säätää rajoituksista muun muassa asetuksen 12—22 artiklaan. Tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, että poikkeuksen sisältävät lainsäädäntötoimenpiteet sisältävät tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin käsittelytarkoitusta tai käsittelyn ryhmiä, henkilötietoryhmiä, käyttöön otettujen rajoitusten soveltamisalaa, suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen, rekisterinpitäjän ja rekisterinpitäjien ryhmien määrittämistä, tietojen säilytysaikoja ja sovellettavia suojatoimia, rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä sekä rekisteröidyn oikeutta saada tietoa rajoituksesta. Myös rikosasioiden tietosuojalaki mahdollistaa rekisteröidyn oikeuksista poikkeamisen erityislainsäädännössä.
Rekisteröidyn tarkastusoikeus
Rekisteröidyn tarkastusoikeuden osalta pääsäännöt sisältyisivät rikosasioiden tietosuojalakiin sekä tietosuoja-asetukseen ja sitä täydentävään tietosuojalakiin. Esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi eräistä rekisteröidyn tarkastusoikeutta koskevista rajoituksista rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen osalta. Tietosuoja-asetuksen soveltamisalaan kuuluvassa henkilötietojen käsittelyssä rekisteröidyn tarkastusoikeuden rajoittamiseen sovellettaisiin tietosuojalain sääntelyä.
Tarkastusoikeuden rajoituksia ehdotetaan tarkennettavaksi nykyisestä siten, että rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävistä henkilötiedoista suoran tarkastusoikeuden ulkopuolelle jäisivät poliisin taktisia ja teknisiä menetelmiä koskevat tiedot, havainto- tai tietolähdetiedot sekä tekniseen tutkintaan käytettävät tiedot. Rekisteröidyllä olisi näihin tietoihin rikosasioiden tietosuojalain 29 §:ssä tarkoitettu välillinen tarkastusoikeus tietosuojavaltuutetun kautta. Muut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät tiedot olisivat rekisteröidyn tarkastusoikeuden piirissä. Suojelupoliisin tehtävien suorittamiseksi käsiteltävät henkilötiedot olisivat nykyistä vastaavasti välillisen tarkastusoikeuden piirissä.
Lisäksi esityksen 1. lakiehdotuksen 5 §:n 3 momentin, 7 §:n 6 momentin ja 48 §:n 2 momentin nojalla käsiteltävät henkilötiedot olisivat ehdotuksen mukaan välillisen tarkastusoikeuden piirissä. Näiden tietojen osalta suoraa tarkastusoikeutta olisi rajoitettava, koska tietoihin sisältyisi tyypillisesti poliisin taktisia ja teknisiä menetelmiä koskevia tietoja. Kun tietojen merkityksellisyys poliisin tehtävien kannalta olisi arvioitu, tarkastusoikeuden rajoituksiin sovellettaisiin samoja säännöksiä kuin muihin 5—8 ja 48 §:n mukaisiin tietoihin.
Yksityiselämän suojan rajoituksella tulisi olla hyväksyttävä yhteiskunnallinen intressi ja rajoituksen tulisi olla oikeassa suhteessa tavoiteltuun päämäärään. Tämä merkitsee, että rajoitusten tulee olla välttämättömiä hyväksyttävän tarkoituksen saavuttamiseksi. Perusoikeuden rajoittaminen on sallittua ainoastaan, jos tavoite ei ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoitus ei saa mennä pidemmälle kuin on perusteltua ottaen huomioon rajoituksen taustalla olevan yhteiskunnallisen intressin painavuus suhteessa rajoitettavaan oikeushyvään (PeVM 25/1994 vp, ja esimerkiksi PeVL 56/2014 vp ja PeVL 18/2013 vp).
Rajoitukset 1. lakiehdotuksessa liittyisivät toisaalta rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen ja toisaalta kansallisen turvallisuuden varmistamiseen. Näitä on vakiintuneesti Euroopan ihmisoikeustuomioistuimen ja EU:n tuomioistuimen sekä korkeimman oikeuden oikeuskäytännössä pidetty sellaisina painavina yhteiskunnallisina intresseinä, joiden osalta tavoitteet eivät olisi saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoituksista säädettäisiin täsmällisesti ja tarkkarajaisesti, minkä lisäksi rekisteröity voisi aina käyttää oikeuksiaan valvontaviranomaisen välityksellä. Rekisteröidyltä ei siten kokonaan evättäisi mahdollisuutta valvoa henkilötietojensa käsittelyä, vaan rajoitustilanteissakin tämä voisi käyttää oikeuttaan välillisesti tietosuojavaltuutetun kautta. Rajoitukset eivät menisi pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi.
Tietosuoja-asetuksen 18 artikla
Esityksessä ehdotetaan säädettäväksi poikkeus tietosuoja-asetuksen 18 artiklaan, jonka mukaan rekisteröity voi vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojensa paikkansapitävyyden. Esitetyn poikkeuksen tavoitteet on kuvattu ehdotetun 14 §:n yksityiskohtaisissa perusteluissa.
Säännöksellä ei rajoitettaisi rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimisivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoisi, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä olisi mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voisi myös saattaa hallintolain nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Viimeksi mainitussa tilanteessa rekisterinpitäjän olisi ratkaistava asia hallintolain menettelysäännöksiä noudattaen. Ehdotettua poikkeusta voidaan siten pitää rekisteröidyn oikeusturvan kannalta vähäisenä, kun otetaan huomioon se, miten muutoin turvataan hyvä hallinto ja oikeusturva rekisterinpitäjän suorittamassa henkilötietojen käsittelyssä.
Rikostiedustelutietojen käyttö lupaharkinnassa ja -valvonnassa
Esitykseen sisältyy ehdotus lausuntomenettelystä, jossa keskusrikospoliisi voisi tiettyjen tarkoin rajattujen edellytysten mukaisesti tehdä rikosten ennalta estämiseen ja paljastamiseen liittyvien tietojen perusteella ilmoituksen lupahallinnollisessa päätöksenteossa hyödynnettäväksi. Luonteeltaan epävarman rikosten ennalta estämiseen tai paljastamiseen liittyvän henkilötiedon hyödyntämisellä lupahallinnollisessa päätöksenteossa on vaikutuksia luvanhakijoiden oikeusturvaan. Oikeusturvan takeena toimivat kuitenkin hallintolain mukaiset vaatimukset hallintopäätöksen perustelemisesta sekä mahdollisuus muutoksenhakuun lupahallinnollisen erityislainsäädännön ja hallinnon yleislakien mukaisin edellytyksin. Viranomaisen on kuvattava hallintopäätöksen perusteluissa, mitkä seikat ja selvitykset ovat vaikuttaneet tehtyyn ratkaisuun. Perusteluvaatimus koskisi myös rikosten ennalta estämiseen ja paljastamiseen liittyviä tietoja, joiden vaikutus lupaharkinnan lopputulokseen olisi näin ollen kuvattava lupapäätöksessä.
Oikeussuojakeinot
Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla.
Tietosuoja-asetuksessa on henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Asetuksen VIII luvussa säädetään oikeussuojakeinoista, vastuusta ja seuraamuksista. Luvussa säädetään oikeudesta tehokkaisiin oikeussuojakeinoihin niin valvontaviranomaista kuin rekisterinpitäjää tai henkilötietojen käsittelijääkin vastaan. Asetuksen 82 artiklassa säädetään rekisterinpitäjän vastuusta vahingosta ja rekisteröidyn oikeudesta korvaukseen ja 84 artiklassa asetetaan jäsenvaltioille velvollisuus vahvistaa säännöt asetuksen rikkomisen vuoksi määrättäviä seuraamuksia varten.
Tietosuojadirektiivin VIII luvussa säädetään rekisteröidyn oikeussuojakeinoista, rekisterinpitäjän vastuusta ja direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista. Rekisteröidyllä on oltava oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan direktiivin nojalla annettuja säännöksiä. Mikäli valvontaviranomainen, jolle valitus on tehty, ei ole toimivaltainen, tulee viranomaisen omatoimisesti siirtää valitus toimivaltaiselle viranomaiselle. Niin luonnollisella henkilöllä kuin oikeushenkilölläkin tulee olla oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan. Jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.
Tietosuoja-asetuksen säännöksiä täydennetään kansallisella tietosuojalailla, jossa säädettäisiin oikeusturvasta ja seuraamuksista. Tietosuojalaissa säädetään muun muassa rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Lisäksi lakiin sisältyy säännökset tietosuojavaltuutetun oikeudesta asettaa uhkasakko tiettyjen päätösten ja tiedonsaantioikeuksien tehosteeksi. Laissa säädetään myös muutoksenhausta tietosuojavaltuutetun päätökseen. Päätöksen valituskelpoisuus määräytyisi hallintolainkäyttölain mukaan. Tietosuojavaltuutetun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saisi nykyistä henkilötietolakia vastaavasti hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Tietosuojavaltuutetun päätöksessä voitaisiin määrätä, että sen päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistettaisiin, että tietosuojavaltuutetulla olisi mahdollisuus puuttua tehokkaasti lainvastaiseen henkilötietojen käsittelyyn.
Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana viranomaisena. Tietosuojavaltuutettu valvoo ehdotetun lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi myös asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon.
Tietosuojalaissa säädetään, että tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja ei voitaisi määrätä valtion viranomaisille, kuten poliisille. Sääntelyssä on kyse kansallisen liikkumavaran käytöstä. Myöskään rikosasioiden tietosuojalaissa ei säädetä hallinnollisesta seuraamusmaksusta laissa tarkoitetuille toimivaltaisille viranomaisille. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. Perustuslakivaliokunnalla ei ole ollut huomauttamista edellä mainittuihin tietosuojalakia koskevassa hallituksen esityksessä mainittuihin perusteluihin (PeVL 14/2018 vp).
Perustuslain 6 §:ssä ilmaistaan yleinen yhdenvertaisuuslauseke, jonka mukaan ihmiset ovat yhdenvertaisia lain edessä. Ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Yleistä yhdenvertaisuuslauseketta täydentää syrjinnän kielto.
Yleinen yhdenvertaisuuslauseke kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa ihmisiä tai ihmisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. Lausekkeella ei kuitenkaan edellytetä kaikkien ihmisten kaikissa suhteissa samanlaista kohtelua, elleivät asiaan vaikuttavat olosuhteet ole samanlaisia. Perustuslakivaliokunta onkin vakiintuneesti todennut, ettei yleisestä yhdenvertaisuusperiaatteesta johdu tiukkoja rajoja lainsäätäjän harkinnalle pyrittäessä kulloisenkin yhteiskuntakehityksen vaatimaan sääntelyyn (PeVL 11/2012 vp, PeVL 2/2011 vp, PeVL 64/2010 vp, PeVL 35/2010 vp, PeVL 5/2008 vp, PeVL 38/2006 vp, PeVL 1/2006 vp, PeVL 15/2001 vp). Keskeistä on, voidaanko kulloisetkin erottelut perustella perusoikeusjärjestelmän kannalta hyväksyttävällä tavalla (PeVL 46/2006 vp, PeVL 16/2006 vp, PeVL 73/2002 vp). Valiokunta on eri yhteyksissä johtanut perustuslain yhdenvertaisuussäännöksistä vaatimuksen, että erottelut eivät saa olla mielivaltaisia eivätkä ne saa muodostua kohtuuttomiksi (esimerkiksi PeVL 11/2012 vp, PeVL 37/2010 vp, PeVM 11/2009 vp, PeVL 18/2006 vp).
Perustuslain 6 §:n 2 momentissa on luettelo eräistä kielletyistä erotteluperusteista. Luettelo ei kuitenkaan ole tyhjentävä. Erikseen mainittuihin kiellettyihin erotteluperusteisiin rinnastetaan muut henkilöön liittyvät syyt. Perustuslakivaliokunnan käytännössä on erottelun hyväksyttävyyden lisäksi kiinnitetty huomiota valitun keinon oikeasuhtaisuuteen (PeVL 38/2006 vp ja PeVL 23/2012 vp).
Poliisin henkilötietojen käsittelyä koskevat toimenpiteet eivät saisi johtaa syrjivään kohteluun. Erityisesti arkaluonteisten henkilötietojen keräämistä koskevilla velvoitteilla on merkitystä arvioitaessa yhdenvertaisuusperiaatteen toteutumista. Poliisi voi joutua käsittelemään rikoksen ennalta estämiseksi, paljastamiseksi ja selvittämiseksi laajastikin arkaluonteisia henkilötietoja. Tällaisia tietoja voisivat olla esimerkiksi rikoksesta epäillyn kansallinen tai etninen alkuperä tai terveydentilaa koskevat tiedot taikka geneettiset tiedot (DNA-jäljet) sekä sormenjälkitiedot. Näiden tietojen käsittely olisi rikosasioiden tietosuojalain mukaan kytketty käsittelyn välttämättömyyteen.
Perustuslain yhdenvertaista kohtelua koskevan vaatimuksen kannalta merkityksellinen olisi erityisesti ehdotettu laajennus ulkomaalaislain 131 §:n nojalla kerättyjen biometristen tunnistamistietojen hyödyntämiseen. Ehdotus poikkeaisi passi- ja henkilökorttilain mukaisten biometristen tietojen käyttömahdollisuudesta siltä osin kuin on kyse vakavista rikoksista.
Perustuslakivaliokunta on ulkomaalaislain muuttamista koskevassa lausunnossaan (PeVL 47/2010 vp) edellyttänyt ulkomaalaislain 131 §:n perusteella poliisin rekisteriin kansallisesti talletettavien sormenjälkitietojen käytön rajoittamista niiden keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen, jotta lakiehdotus voitaisiin käsitellä tavallisessa lainsäätämisjärjestyksessä. Perustuslakivaliokunta on kuitenkin perustanut lausuntonsa siihen, että ehdotetun ulkomaalaislain 131 §:n perusteella rekisteriin talletettujen sormenjälkien käyttämiseen olisi sovellettu henkilötietojen käsittelystä poliisitoimessa annetun lain 16 §:ää, joka olisi mahdollistanut sormenjälkitietojen käyttämisen laajasti ja selvästi niiden keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin. Perustuslakivaliokunta piti selvänä, että kysymys ei olisi ollut valiokunnan tällaisessa tapauksessa edellyttämästä käyttötarkoitussidonnaisuuteen tehdystä täsmällisestä ja vähäisestä poikkeuksesta. Lisäksi sääntely vaikutti perustuslakivaliokunnan näkemyksen mukaan tiettyihin ulkomaalaisryhmiin kohdistuvana arveluttavalta perustuslain 6 §:n yhdenvertaisuussäännösten näkökulmasta. Perustuslakivaliokunta katsoi kuitenkin, että sormenjälkien alkuperäistä käsittelytarkoitusta vastaava tarkoitus voisi sinänsä liittyä myös tarkasti määriteltyjen rikosten estämiseen ja selvittämiseen, mutta ainoastaan siinä laajuudessa kuin tällä toiminnalla on kiinteä yhteys alkuperäiseen keräämis- ja tallettamistarkoitukseen.
Poliisilla on ulkomaalaislain 131 §:n nojalla oikeus ottaa tuntomerkkitiedot valtion turvallisuuden varmistamiseksi. Valtiolla on katsottu ihmisoikeustuomioistuimen oikeuskäytännössä olevan laaja harkintamarginaali muun muassa sen arvioimiseksi, onko yksityisyyden suojan rajoittaminen välttämätöntä valtion turvallisuuden varmistamiseksi (Leander v. Ruotsi, 26.3.1987, tuomion kohta 59). Harkintamarginaaliin liittyy kuitenkin Euroopan ihmisoikeustuomioistuimen oikeuskäytännöstä ilmenevä kontrolli. Lisäksi ihmisoikeustuomioistuimen tulkintakäytännön mukaan 14 artiklan mukaisten oikeuksien rajoittamiselle kansalaisuuden perusteella tulee olla painavat perusteet, vaikka valtiolla olisi harkintamarginaali (Andrejeva v. Latvia, 18.2.2009, tuomion kohdat 88—91).
Valtion turvallisuuden varmistamiseksi pidetään tärkeänä muun muassa sen selvittämistä, ketä on syytä epäillä valtion turvallisuutta vaarantavan rikoksen tekemisestä tai sellaisen suunnittelusta. Terrorismirikosten ja muiden vakavien rikosten ennalta estämistä, paljastamista ja selvittämistä olisi 1. lakiehdotuksen mukaan pidettävä valtion turvallisuuden varmistamisen kanssa yhteensopivana henkilötietojen käsittelytarkoituksena. Ulkomaalaislain 131 §:ssä tarkoitettu valtion turvallisuuden suojaaminen liittyy toisaalta poliisin laissa säädettyyn ulkomaalaisvalvontatehtävään ja toisaalta suojelupoliisin tehtäviin kansallisen turvallisuuden ylläpitämisessä. Rikoslain 34 a luvun 1 §:n 1 momentin mukaisesti terroristisessa tarkoituksessa tehdyn teko on omiaan aiheuttamaan vakavaa vahinkoa valtiolle. Terroristisiin tekoihin ehdotetaan rinnastettavaksi Eurodac-asetusta vastaavasti muut asetuksessa tarkoitetut vakavat rikokset.
Perustuslakivaliokunnan esittämien huomautusten ja suhteellisuusperiaatteen huomioimiseksi ulkomaalaisten biometristen tunnistamistietojen käsittelystä muuhun kuin tietojen alkuperäiseen käsittelytarkoitukseen ehdotetaan säädettäväksi erillisessä 14 §:n 4 momentissa. Tietojen käyttämistä muuhun kuin niiden alkuperäiseen keräämis- ja tallettamistarkoitukseen rajattaisiin siten, että tiedot olisivat käytettävissä samoin edellytyksin kuin passi- ja henkilökorttilain mukaiset biometriset tiedot sekä lisäksi silloin, kun tietojen käyttäminen on välttämätöntä Eurodac-asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi. Oikeus tiedon käyttöön olisi vain sillä, jonka työtehtävien hoitaminen tiedon käyttöä välttämättä edellyttää. Poikkeus olisi siten tarkkarajainen perustuslain tulkintakäytännön edellyttämällä tavalla.
Ehdotettua yksityiselämän suojan rajoitusta, jolla puututtaisiin samalla yhdenvertaisuusperiaatteen toteutumiseen, pidetään välttämättömänä kansallisen turvallisuuden ja yleisen turvallisuuden suojaamiseksi, ja sen arvioidaan olevan oikeassa suhteessa suojattavaan painavaan yhteiskunnalliseen etuun nähden. Biometriset tiedot ovat usein ainoa luotettava tapa tunnistaa henkilö erityisesti silloin, kun kyse on henkilöstä, joka ei ole Suomen kansalainen, mistä syystä rajoitusta pidetään välttämättömänä myös yhdenvertaisuusperiaatteen osalta. Ehdotettua säännöstä sovellettaessa olisi kuitenkin huomioitava, että se ei saa johtaa syrjintään. Rajoituksen arvioidaan olevan välttämätön demokraattisessa yhteiskunnassa rikosten ennalta estämisen, paljastamisen ja selvittämisen ja valtion turvallisuuden ylläpitämisen tavoitteiden saavuttamiseksi. Rajoitus ei menisi pidemmälle kuin on välttämätöntä rikolliseen toimintaan liittyvien henkilöiden tunnistamiseksi. Esityksen 1. lakiehdotusta olisi pidettävä tältä osin perustuslain vaatimusten mukaisina.
Esitykseen sisältyvät lakiehdotukset voidaan hallituksen mielestä käsitellä tavallisen lain säätämisjärjestyksessä. Esityksessä ehdotettu sääntely on valtiosääntöoikeudellisesti merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta, ja sääntelyllä on liittymäkohtia myös muihin perusoikeuksiin. Hallituksen käsityksen mukaan esitys olisi näistä syistä perusteltua saattaa eduskunnan perustuslakivaliokunnan käsiteltäväksi.
Lakiehdotukset
1.
Eduskunnan päätöksen mukaisesti säädetään:
1 luku
Yleiset säännökset
1 §Soveltamisala
Jollei muualla laissa toisin säädetä, tätä lakia sovelletaan poliisilain (872/2011) 1 luvun 1 §:ssä tarkoitettujen poliisille kuuluvien tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyyn, jos:
1) käsittely on kokonaan tai osittain automaattista; tai
2) henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Suojelupoliisille kuuluvien tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyyn sovelletaan 7 lukua.
2 §Suhde muuhun lainsäädäntöön
Jollei tässä laissa toisin säädetä:
1) henkilötietojen käsittelyyn rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi ja tällaisten uhkien ehkäisemiseksi sovelletaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ), jäljempänä rikosasioiden tietosuojalaki;
2) henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999).
Lisäksi henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, sekä tietosuojalaissa ( / ).
Poliisin tiedonhankinnasta ja siihen liittyvistä toimivaltuuksista säädetään erikseen.
3 §Määritelmät
Tässä laissa tarkoitetaan:
1) Schengenin tietojärjestelmän säädöspohjalla toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä tehtyä neuvoston päätöstä 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1986/2006;
2) Schengenin tietojärjestelmällä Schengenin tietojärjestelmän säädöspohjassa määriteltyä toisen sukupolven tietojärjestelmää (SIS II);
3) Schengenin tietojärjestelmän kansallisella järjestelmällä Schengenin tietojärjestelmän säädöspohjassa tarkoitettua N. SIS II -järjestelmää;
4) toimivaltaisilla Schengen-viranomaisilla poliisia, Rajavartiolaitosta, Tullia, Puolustusvoimia, syyttäjää, Maahanmuuttovirastoa, Liikenne- ja viestintävirastoa, ulkoministeriötä sekä Suomen edustustoa, jos ulkoministeriö on antanut tarvittavan valtuuden viisumin myöntämiseen siellä palvelevalle nimetylle Suomen kansalaiselle;
5) Europol-asetuksella Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794;
6) Eurodac-asetuksella Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä sekä vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston perustamisesta annetun asetuksen (EU) N:o 1077/2011 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) N:o 603/2013.
2 luku
Henkilötietojen käsittely
4 §Henkilön perustietojen käsittely
Poliisi saa käsitellä 5, 7, 9 ja 11 §:ssä säädettyihin tarkoituksiin seuraavia tarpeellisia henkilön perustietoja:
1) nimet;
2) syntymäaika ja -paikka;
3) henkilötunnus;
4) sukupuoli;
5) äidinkieli;
6) asiointikieli;
7) siviilisääty;
8) kansalaisuus tai kansalaisuudettomuus ja kansallisuus;
9) koti- ja asuinpaikka;
10) ammatti ja koulutus;
11) yhteystiedot;
12) henkilöllisyyden toteamiseksi tarvittavat tiedot asiakirjoista;
13) ulkomaalaisen henkilön vanhempien nimet, kansalaisuus ja kansallisuus;
14) matkustusasiakirjan tiedot sekä muut maahantuloon ja rajanylittämiseen liittyvät tarpeelliset tiedot;
15) viranomaisen antama asiakasnumero;
16) tieto kuolemasta tai kuolleeksi julistamisesta;
17) tieto edunvalvonnasta, konkurssiin asettamisesta tai liiketoimintakieltoon määräämisestä;
18) tieto asevelvollisuuden suorittamisesta.
5 §Henkilötietojen käsittely tutkinta- ja valvontatehtävissä
Poliisi saa käsitellä henkilötietoja esitutkinnan, poliisitutkinnan tai muun rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän, yleisen järjestyksen ja turvallisuuden ylläpitämiseen liittyvän tehtävän ja muun poliisille säädetyn valvontatehtävän suorittamiseksi.
Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat:
1) rikoksesta tai rikokseen osallisuudesta epäiltyjä;
2) alle 15-vuotiaita rikollisesta teosta epäiltyjä;
3) esitutkinnan, poliisitutkinnan tai poliisin toimenpiteen kohteena;
4) rikoksen ilmoittajia tai asianomistajina esiintyviä henkilöitä;
5) todistajia;
6) uhreja;
7) poliisin kenttätehtäviin tai laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyviä;
8) muutoin kuin 1—7 kohdassa tarkoitetulla tavalla 1 momentissa tarkoitettuun tehtävään liittyviä.
Poliisi saa käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta.
6 §Tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen sisältö
Poliisi saa käsitellä 5 §:ssä tarkoitetuista henkilöistä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:
1) poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;
2) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot, mukaan lukien sormen-, käden- ja jalanjäljet, käsiala-, ääni- ja hajunäyte, DNA-tunniste, kasvokuva ja muut biometriset tiedot; kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi tarpeellisia lähisukulaisten tietoja voidaan käsitellä vain asianomaisen henkilön suostumuksella;
3) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot;
4) tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, onko syyte hylätty taikka jätetty tutkimatta tai sillensä ja tieto ratkaisun lainvoimaisuudesta.
7 §Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi
Poliisi saa käsitellä henkilötietoja rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi.
Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin:
1) joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen;
2) jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen;
3) jotka ovat poliisilain 5 luvun 13 §:n mukaisen tarkkailun kohteena.
Poliisi saa käsitellä 1 momentissa tarkoitettuja tietoja, jos se on rikoksen ennalta estämiseksi tai paljastamiseksi välttämätöntä, myös seuraavista henkilöistä:
1) rikoksen todistajat;
2) rikoksen uhrit;
3) rikoksen ilmoittajat tai asianomistajina esiintyvät.
Rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta päättää rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö.
Poliisi saa lisäksi käsitellä poliisimiesten havaitsemia ja poliisille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rikolliseen toimintaan.
Poliisi saa käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta.
8 §Rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisältö
Poliisi saa käsitellä 7 §:ssä tarkoitetuista henkilöistä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja:
1) poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset;
2) henkilön toimintaa ja käyttäytymistä koskevat tarpeelliset tiedot;
3) henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot, mukaan lukien ääninäyte, kasvokuva ja muut biometriset tiedot;
4) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut erityisiin henkilötietoryhmiin kuuluvat tiedot.
Henkilötietoihin on liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.
9 §Tietolähdetietojen käsittely
Poliisi saa käsitellä tietoja tietolähteenä käytetystä poliisilain 5 luvun 40 §:ssä tai pakkokeinolain 10 luvun 39 §:ssä tarkoitetusta henkilöstä, tietolähteen käytöstä ja valvonnasta sekä tietolähteen antamien tietojen pääasiallisesta sisällöstä.
10 §DNA-näytteiden laadun varmistamiseen liittyvä henkilötietojen käsittely
Poliisi saa käsitellä poliisin tutkinnassa taltioitujen DNA-näytteiden laadun varmistamiseksi seuraavia muun kuin rikoksesta epäillyn henkilön tai rikokseen liittyvän tuntemattoman tekijän tietoja:
1) nimet;
2) henkilötunnus;
3) DNA-tunniste;
4) virkapaikka.
Henkilöllä on oikeus kieltäytyä DNA-näytteen antamisesta ja kieltää henkilötietojensa käsittely.
11 §Henkilötietojen käsittely poliisin muissa lakisääteisissä tehtävissä
Poliisi saa käsitellä henkilötietoja myös lupahallintoon liittyvien tehtävien ja sellaisten poliisille laissa erikseen säädettyjen valvontatehtävien suorittamiseksi, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyteharkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen.
12 §Poliisin muiden lakisääteisten tehtävien suorittamiseksi käsiteltävien henkilötietojen sisältö
Edellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi poliisi saa käsitellä 11 §:ssä tarkoitettuihin tarkoituksiin seuraavia henkilötietoja:
1) hakemusta, lupaa, lausuntoa, ilmoitusta ja päätöstä koskevat tiedot;
2) luvan myöntämisen ja voimassaolon estettä koskevat tiedot sekä luvan myöntämisen ja voimassaolon edellytysten selvittämiseksi tarvittavat tiedot, mukaan lukien terveyttä koskevat tiedot ja muut tarpeelliset erityisiin henkilötietoryhmiin kuuluvat tiedot;
3) viranomaisen toimenpiteitä koskevat tiedot;
4) henkilön valokuva ja nimikirjoitusnäyte, jotka hän on luovuttanut poliisille, ulkoministeriölle tai ulkoasiainhallinnon viranomaiselle hakiessaan sellaista lupaa tai päätöstä, jonka valmistamiseen henkilön valokuva ja nimikirjoitusnäyte ovat tarpeen;
5) henkilökorttilaissa (663/2016) ja passilaissa (671/2006) säädettyjen tehtävien suorittamiseksi henkilökortin tai passin hakijalta hakutilanteessa otetut biometriset sormenjälkitiedot ja kasvokuva;
6) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeelliset tiedot, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömät tiedot ja muut välttämättömät erityisiin henkilötietoryhmiin kuuluvat tiedot;
7) hallinnollisia seuraamuksia koskevat tiedot;
8) muut kuin 1—7 kohdassa tarkoitetut 11 §:ssä tarkoitettujen tehtävien suorittamiseksi välttämättömät tiedot.
Poliisi saa osana arpajaislain (1047/2001) ja rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) mukaista valvontaa käsitellä rahapeliyhtiön ja muun sen valvottavaksi mainituissa laeissa säädetyn elinkeinonharjoittajan ja yhteisön asiakkaita koskevia henkilötietoja siinä määrin kuin se on tarpeen valvontatehtävän suorittamiseksi.
13 §Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen
Jollei muualla laissa toisin säädetä, poliisi saa käsitellä 5—9, 11 ja 12 §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, jos se on tarpeen:
1) rikoksen ennalta estämiseksi tai paljastamiseksi;
2) sellaisen rikoksen selvittämiseksi, josta voi seurata vankeusrangaistus;
3) etsintäkuulutetun tavoittamiseksi;
4) syyttömyyttä tukevana selvityksenä;
5) hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi;
6) kansallisen turvallisuuden suojaamiseksi;
7) henkilöllisyyden selvittämiseksi suoritettaessa sellaista poliisin toimenpidettä, joka välttämättä edellyttää henkilöllisyyden varmistamista;
8) poliisin toiminnan suuntaamiseksi.
Poliisin henkilörekisterin tietoja saa salassapitosäännösten estämättä käsitellä myös laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Lisäksi tietoja saa käyttää koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.
Edellä 12 §:n 1 momentin 4 kohdassa tarkoitettua henkilön valokuvaa ja nimikirjoitusnäytettä saadaan asianomaisen henkilön suostumuksella käyttää muunkin hänen hakemansa hallintoluvan tai päätöksen valmistamiseen kuin sen asiakirjan valmistamiseen, johon henkilön valokuva ja nimikirjoitusnäyte on luovutettu.
Edellä 12 §:n 2 momentissa tarkoitettuja henkilötietoja saa käyttää vain niiden alkuperäiseen käsittelytarkoitukseen.
14 §Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen
Jollei muualla laissa toisin säädetä, poliisi saa käsitellä 5—9, 11 ja 12 §:ssä tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, jos se on välttämätöntä 13 §:ssä säädettyjen käsittelytarkoitusten kannalta.
Henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisiä tietoja saa käyttää muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen vain, jos se on välttämätöntä luonnononnettomuuden, suuronnettomuuden tai muun katastrofin taikka rikoksen kohteeksi joutuneen tai muuten tunnistamattomaksi jääneen uhrin tunnistamiseksi. Oikeus tiedon käyttöön on vain sillä, jonka työtehtävien hoitaminen välttämättä edellyttää tiedon käyttöä. Vertaamista varten otettuja tietoja voidaan käyttää vain vertaamisen ajan, ja ne on hävitettävä välittömästi sen jälkeen.
Passinhakijan sormenjälkitietoja saadaan asianomaisen henkilön suostumuksella käyttää myös hänen myöhemmin hakemansa henkilöllisyyttä osoittavan asiakirjan valmistamiseen.
Ulkomaalaislain (301/2004) 131 §:ssä säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisia tietoja saa käyttää muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen vain edellä 2 momentissa tarkoitetuissa tilanteissa sekä silloin, jos tietojen käyttäminen on välttämätöntä Eurodac-asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi. Oikeus tiedon käyttöön on vain sillä, jonka työtehtävien hoitaminen välttämättä edellyttää tiedon käyttöä.
DNA-näytteiden laadun varmistamiseksi käsiteltäviä tietoja saa käyttää vain niiden alkuperäiseen käsittelytarkoitukseen. Lisäksi tietoja saa käsitellä laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa sekä koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.
Ampuma-aselain (1/1998) 114 §:ssä tarkoitetun ampuma-aseilmoituksen tietoja ei saa käyttää muuhun tarkoitukseen kuin aselupatiedon käsittelyyn.
15 §Henkilötietojen käsittely lupaharkinnassa ja -valvonnassa
Jollei muualla laissa toisin säädetä, poliisi saa käsitellä 5, 6, 9, 11 ja 12 §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen silloin, kun se on tarpeen päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.
Luvan myöntämisen tai voimassaolon edellytysten arvioimiseksi saadaan 1 momentissa tarkoitetuissa tilanteissa käyttää myös keskusrikospoliisin tekemää ilmoitusta, joka perustuu 7 §:n 2 momentissa tarkoitettuja henkilöitä koskeviin tietoihin. Ilmoituksen on sisällettävä tiedot, jotka ovat tarpeen luvan myöntämisen tai voimassaolon edellytysten arvioimiseksi. Keskusrikospoliisi saa tehdä ilmoituksen, jos:
1) luvanhakijalla tai luvanhaltijalla on 8 §:ssä tarkoitettujen tietojen perusteella toistuvia ja pysyväisluonteisia yhteyksiä sellaiseen henkilöön, jonka on tuomioistuimen päätöksen mukaisesti katsottu syyllistyneen järjestäytyneen rikollisryhmän toimintaan osallistumiseen tai jonka vireillä olevassa esitutkinnassa tai syyteharkinnassa epäillään osallistuneen tällaiseen toimintaan, jos yhteydet ovat omiaan saattamaan luvanhakijan tai luvanhaltijan alttiiksi ulkopuoliselle epäasialliselle vaikuttamiselle sekä siten vaarantamaan luvan myöntämiselle tai voimassaololle säädettyjen edellytysten perusteena olevien etujen suojaamisen; tai
2) keskusrikospoliisi katsoo 8 §:ssä tarkoitettujen tietojen ja mahdollisten muiden selvitysten perusteella olevan perusteltu syy epäillä luvanhakijan tai luvanhaltijan syyllistyneen järjestäytyneen rikollisryhmän toimintaan osallistumiseen ja tiedon välittäminen on välttämätöntä luvan myöntämiselle tai voimassaololle säädettyjen edellytysten perusteena olevien etujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutukselta.
3 luku
Oikeus tietojen saamiseen
16 §Poliisin oikeus saada tietoja eräistä rekistereistä ja tietojärjestelmistä
Poliisilla on sen lisäksi, mitä muualla laissa säädetään, oikeus saada tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tarpeellisia tietoja rekistereistä siten kuin asianomaisen rekisterinpitäjän kanssa sovitaan, seuraavasti:
1) liikenteen palveluista annetussa laissa (320/2017) tarkoitetusta liikenneasioiden rekisteristä tiedot, jotka ovat välttämättömiä poliisin laissa säädettyjen tehtävien hoitamiseksi;
2) henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa (1069/2015) tarkoitetusta Rikosseuraamuslaitoksen tietojärjestelmästä mainitun lain 14 §:n 1 ja 2 momentin mukaisesti rikosten estämiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi tai henkilön luotettavuutta edellyttävän poliisin lupaa tai hyväksyntää varten tietoja tuomitusta, vangista ja Rikosseuraamuslaitoksen yksikköön otetusta henkilöstä;
3) majoitus- ja ravitsemistoiminnasta annetun lain (308/2006) 6 §:n 1 momentissa tarkoitettuja matkustajatietoja majoitustoiminnan harjoittajilta yleisen järjestyksen ja turvallisuuden ylläpitämiseksi sekä rikosten estämiseksi, paljastamiseksi tai selvittämiseksi ja poliisille laissa säädetyn muun tehtävän suorittamiseksi;
4) sakon täytäntöönpanosta annetussa laissa (672/2002) tarkoitetusta sakkorekisteristä mainitun lain 50 §:n mukaisiin tarkoituksiin rikokseen ja rikosoikeudelliseen seuraamukseen liittyviä tietoja sekä tietoja lupa-asioiden käsittelyä varten, rikosrekisterilaissa (770/1993) tarkoitetusta rikosrekisteristä mainitun lain 4 ja 4 a §:n mukaisiin tarkoituksiin henkilöä koskevia tietoja ja oikeushallinnon viranomaisilta tieto niiden etsintäkuuluttamista henkilöistä, oikeushallinnon valtakunnallisesta tietojärjestelmästä annetussa laissa (372/2010) tarkoitetusta ratkaisu- ja päätösilmoitusjärjestelmästä tietoja rikosasioissa annetuista ratkaisuista ja niiden lainvoimaisuudesta sekä diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä tietoja syyttäjäviranomaisessa tai tuomioistuimessa vireillä olevista tai olleista rikosasioista, jos tällainen tieto on saatavissa;
5) Patentti- ja rekisterihallituksen kaupparekisteristä tiedot elinkeinonharjoittajia koskevista ilmoituksista ja tiedonannoista rikosten estämistä, paljastamista ja selvittämistä varten;
6) Rajavartiolaitoksen ja Tullin henkilörekistereistä niitä poliisin tehtäviä varten, jotka vastaavat tehtäviä, joita varten tiedot on kerätty ja talletettu, sekä muuhun tarkoitukseen 13 §:ssä ja 15 §:n 1 momentissa tarkoitetuissa tapauksissa;
7) ulkoministeriön tietojärjestelmistä Suomessa lähettäjävaltiota edustavan diplomaatti- tai konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen tai muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista sekä heidän perheenjäsenistään ja yksityisessä palveluksessaan olevista henkilöistä esitutkintaa, muuta tutkintaa ja poliisille ulkomaalaislaissa säädetyn tehtävän suorittamista varten;
8) Maahanmuuttoviraston tietojärjestelmistä matkustusasiakirjaa, viisumia, oleskelua, kansainvälistä suojelua, maasta poistamista, maahantulokieltoa ja kansalaisuutta koskevasta asiasta esitutkintaa, muuta tutkintaa ja poliisille ulkomaalaislaissa säädettyjen tehtävien suorittamista varten;
9) teleyritykseltä pakkokeinolain (806/2011) 10 luvun 6—8 §:ssä, poliisilain 5 luvun 8 ja 9 §:ssä sekä sähköisen viestinnän palveluista annetun lain (917/2014) 19 luvussa tarkoitettuja tietoja;
10) virka-apua pyytäneeltä viranomaiselta tarpeellisia tietoja virka-avun antamiseksi;
11) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennuspalveluista annetun lain (661/2009) 13—17 §:ssä tarkoitetuista tiedoista;
12) Puolustusvoimilta ampuma-aselain mukaisen luvan hakijan ja haltijan sekä hyväksynnän saajaksi haettavan ja hyväksynnän saaneen henkilön henkilökohtaisen sopivuuden arviointia varten sekä passilain ja henkilökorttilain mukaisen luvan hakijan ja haltijan esteettömyyden selvittämiseksi välttämättömiä tietoja asevelvollisen palveluksesta ja palveluskelpoisuudesta;
13) panostajalain (423/2016) 22 §:ssä tarkoitetusta panostajan pätevyyskirjojen rekisteristä valvonta- ja hälytystehtäviä sekä rikosten estämistä, selvittämistä ja paljastamista varten;
14) Maanmittauslaitokselta kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetussa laissa (453/2002) tarkoitetusta kiinteistötietojärjestelmästä ja huoneistotietojärjestelmästä annetussa laissa ( / ) tarkoitetusta huoneistotietojärjestelmästä rikosten estämistä, paljastamista ja selvittämistä varten;
15) rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä; oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä säädetään lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa ( / ).
Poliisilla on oikeus saada 1 momentissa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä.
Poliisin on pyynnöstä annettava 1 momentin nojalla henkilötietoja luovuttaneelle rekisterinpitäjälle tieto saamiensa henkilötietojen käsittelystä.
17 §Muiden viranomaisten tietojen luovuttaminen poliisille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten
Poliisin henkilörekistereihin saavat, siten kuin rekisterinpitäjän kanssa sovitaan, suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten luovuttaa:
1) suojelupoliisi rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi sekä kansallisen turvallisuuden suojaamiseksi tarpeellisia tietoja;
2) oikeushallintoviranomaiset, Rikosseuraamuslaitos sekä Oikeusrekisterikeskus etsintäkuuluttamiaan henkilöitä koskevia tietoja, Rikosseuraamuslaitos tuntomerkkitietoja vapauteen kohdistuvaa rangaistusta suorittavista tai suorittaneista henkilöistä sekä Oikeusrekisterikeskus lähestymiskieltoja, liiketoimintakieltoja ja yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa (227/2015) tarkoitettuja suojelutoimenpiteitä koskevia tietoja;
3) Tulli ja sotilasviranomaiset etsintäkuuluttamiaan henkilöitä koskevia tietoja sekä Tulli ulkomaalaislain 131 §:ssä säädettyjen tehtävien suorittamiseksi tarpeellisia henkilötuntomerkkejä ja matkustusasiakirjan tietoja sekä rikosten ennalta estämiseksi ja selvittämiseksi tarpeellisia tietoja;
4) ulkoministeriö ja Suomen edustustot passilaissa ulkoministeriölle ja Suomen edustustoille säädettyjen tehtävien suorittamiseksi tarvittavia tietoja, ulkoministeriö Suomessa lähettäjävaltiota edustavan diplomaatti- ja konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen, muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista ja näiden perheenjäsenistä ja yksityisessä palveluksessa olevista henkilöistä tarvittavia tietoja;
5) Rajavartiolaitos 5—8 §:ssä tarkoitettuja tietoja, joita on tarpeen käsitellä poliisilain 1 luvun 1 §:n 1 momentissa tarkoitettujen rajavartiolaissa (578/2005), rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018) tai muualla laissa Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi, sekä 11 ja 12 §:ssä tarkoitettuja tietoja, joita on tarpeen käsitellä poliisilain 1 luvun 1 §:n 2 momentissa tarkoitettujen rajavartiolaissa tai muualla laissa Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi;
6) Metsähallituksen erätarkastaja toimivaltaansa kuuluvassa erävalvonnassa kirjattuja tarpeellisia toimenpidetietoja;
7) hätäkeskusviranomaiset hätäkeskustietojärjestelmään tallettamansa henkilön oman turvallisuuden tai työturvallisuuden kannalta tarpeellisia tietoja;
8) Maahanmuuttovirasto kansallisia maahantulokieltoja sekä käännytys- ja karkotuspäätöksiin ja virka-apuun liittyviä poliisitoimenpiteitä koskevia tietoja.
Poliisin on pyynnöstä annettava 1 momentin nojalla henkilötietoja luovuttaneelle rekisterinpitäjälle tieto saamiensa henkilötietojen käsittelystä.
18 §Euroopan unionin viisumitietojärjestelmä
Poliisin oikeudesta saada teknisen käyttöyhteyden avulla tietoja Euroopan unionin viisumitietojärjestelmästä poliisille ulkomaalaislaissa säädetyn tehtävän suorittamiseksi säädetään viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 767/2008 (VIS-asetus).
Poliisilla on lisäksi oikeus saada teknisen käyttöyhteyden avulla Euroopan unionin viisumitietojärjestelmästä tietoja rikoslain (39/1889) 34 a luvussa säädettyjen terrorismirikosten ja rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (1286/2003) 3 §:n 2 momentissa tarkoitettujen rikosten ehkäisemiseksi ja selvittämiseksi. Tietojen luovuttamisesta säädetään jäsenvaltioiden nimeämien viranomaisten ja Europolin pääsystä tekemään hakuja viisumitietojärjestelmästä (VIS) terrorismirikosten ja muiden vakavien rikosten torjumiseksi, havaitsemiseksi ja tutkimiseksi tehdyssä neuvoston päätöksessä 2008/633/YOS. Tiedot on pyydettävä keskusrikospoliisin tai suojelupoliisin välityksellä.
19 §Uhkasakko
Poliisi voi velvoittaa sen, jolta se on oikeutettu saamaan 16 §:n 1 momentin 15 kohdassa tarkoitettuja tietoja, antamaan tiedot kohtuullisessa määräajassa. Poliisi voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saa asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto liittyy rikosepäilyn kohteena olevaan asiaan. Muilta osin uhkasakosta säädetään uhkasakkolaissa (1113/1990).
20 §Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely
Kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyssä on noudatettava, mitä henkilötietojen luovuttajan asettamissa ehdoissa määrätään salassapidosta, vaitiolovelvollisuudesta, henkilötietojen käytön rajoituksista, henkilötietojen edelleen luovutuksesta tai luovutetun aineiston palauttamisesta.
Jollei 1 momentista muuta johdu, poliisi saa käyttää sille luovutettuja henkilötietoja muuhun tarkoitukseen kuin mihin tiedot on luovutettu noudattaen 13 §:n 1 momenttia.
4 luku
Henkilötietojen luovuttaminen
21 §Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle
Poliisi saa salassapitosäännösten estämättä luovuttaa teknisen käyttöyhteyden avulla tai tietojoukkona 5—8, 11 ja 12 §:ssä tarkoitettuja henkilötietoja suojelupoliisille, Tullille, Rajavartiolaitokselle, Puolustusvoimille, syyttäjälle, tuomioistuimille, Oikeusrekisterikeskukselle, Rikosseuraamuslaitokselle ja muulle viranomaiselle rikosasioiden tietosuojalain 1 §:ssä tarkoitettua viranomaisen laissa säädettyä tehtävää varten.
22 §Muu henkilötietojen luovuttaminen viranomaisille
Poliisi saa salassapitosäännösten estämättä luovuttaa teknisen käyttöyhteyden avulla tai tietojoukkona 5—8, 11 ja 12 §:ssä tarkoitettuja henkilötietoja, jotka ovat tarpeen viranomaisen laissa säädetyn tehtävän suorittamiseksi, seuraavasti:
1) Liikenne- ja viestintävirastolle liikenteen palveluista annetun lain IV osan 2 luvun 2 §:n ja V osan 1 luvun 2 §:n mukaisesti tietoja, jotka ovat välttämättömiä sen laissa säädettyjen tehtävien hoitamista varten;
2) Hätäkeskuslaitokselle hätäkeskustoiminnasta annetussa laissa (692/2010) säädettyjen tehtävien suorittamiseksi tarpeellisia tietoja alkutoimenpiteiden tai työturvallisuuden varmistamiseksi taikka asianomaisen yksikön tukemiseksi noudattaen mainitun lain 19 §:n 2 momenttia tietojen saamista koskevan oikeuden rajoittamisesta sekä tämän lain 6 §:n 3 kohdassa tarkoitettuja turvallisuustietoja hätäkeskustietojärjestelmään talletettavaksi;
3) pelastusviranomaisille pelastuslain (379/2011) 32 §:ssä tarkoitettua pelastustoimintaa varten;
4) Rajavartiolaitokselle rajavalvontaa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämistä varten, muihin alkuperäistä käsittelytarkoitusta vastaaviin tarkoituksiin sekä muuhun tarkoitukseen henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) 14 ja 15 §:n mukaisissa tapauksissa;
5) sosiaaliviranomaisille ulkomaalaisen toimeentuloa koskevan asian käsittelyä varten;
6) Tullille tullivalvontaa, verovalvontaa, henkilöiden maahantulon ja maastalähdön valvontaa ja siihen kuuluvan rajatarkastuksen suorittamista varten, haasteen ja muun tiedoksiannon suorittamista varten, muihin alkuperäistä käsittelytarkoitusta vastaaviin tarkoituksiin sekä muuhun tarkoitukseen henkilötietojen käsittelystä Tullissa annetun lain ( / ) 13 §:n mukaisissa tapauksissa;
7) työviranomaisille työntekijän oleskeluluvan tai elinkeinonharjoittajan oleskeluluvan antamista tai työnteon valvontaa koskevan asian käsittelyä varten;
8) ulkoministeriölle ja Suomen edustustolle näiden toimivaltaan kuuluvan passia tai muuta matkustusasiakirjaa, viisumia, työntekijän oleskelulupaa, elinkeinoharjoittajan oleskelulupaa tai muuta oleskelulupaa koskevan asian käsittelyä varten;
9) Maahanmuuttovirastolle ulkomaalaisia ja Suomen kansalaisuutta koskevien sellaisten asioiden käsittelemistä ja ratkaisemista varten, jotka lailla tai asetuksella säädetään Maahanmuuttoviraston tehtäviksi;
10) tuomioistuimille ampuma-aseisiin, aseen osiin, patruunoihin tai erityisen vaarallisiin ammuksiin liittyvien asioiden käsittelyä varten;
11) ulosottomiehelle ulosottokaaren (705/2007) 3 luvun 67 §:n mukaisesti ulosottoselvitystä tai muuta ulosottoasiain täytäntöönpanoa varten;
12) haastemieslain (505/1986) 1 ja 6 §:ssä mainitulle virkamiehelle muuntorangaistuksen määräämistä koskevaan oikeudenkäyntiin haastamista varten sekä haastemiehille haasteen toimittamista varten tarpeelliset tämän lain 5 §:n mukaisiin tarkoituksiin käsitellyt henkilön perustiedot, työturvallisuustiedot ja pidätettyjen tiedot;
13) Metsähallituksen erätarkastajalle tämän toimivaltaan kuuluvaa erävalvontaa varten;
14) tienpitäjinä toimiville kunnille ja Väylävirastolle liikenneonnettomuustietoja liikenneturvallisuuden edistämistä varten;
15) työsuojeluhallinnolle kuljettajien ajo- ja lepoaikojen valvontaa varten tieliikenteen sosiaalilainsäädännöstä annettujen neuvoston asetusten (ETY) N:o 3820/85 ja (ETY) N:o 3821/85 täytäntöönpanoa koskevista vähimmäisedellytyksistä ja neuvoston direktiivin 88/599/ETY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin 2006/22/EY mukaiset tiedot;
16) maistraatille kansalaisuuslain (359/2003) 38 §:ssä tarkoitettua tehtävää varten;
17) Puolustusvoimille, Tullille, Rajavartiolaitokselle ja Rikosseuraamuslaitokselle näiden palveluksessa olevan, ampuma-aseen kantamiseen virka-, työ- tai palvelustehtävässään oikeutetun henkilön ampuma-aseen kantamista koskevan sopivuuden arvioimista varten.
Henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisiä tietoja saa luovuttaa salassapitosäännösten estämättä ainoastaan tämän pykälän 1 momentin 4, 6, 8 ja 9 kohdassa tarkoitetuille viranomaisille henkilöllisyyden varmistamiseksi ja asiakirjan aitouden toteamiseksi, jos se on tarpeen henkilön maahantuloa, maassa oleskelua tai maasta lähtöä koskevien asioiden käsittelyä varten.
Muita erityisiin henkilötietoryhmiin kuuluvia tietoja kuin 2 momentissa tarkoitettuja tietoja voidaan luovuttaa 1 momentissa säädettyihin tarkoituksiin vain, jos se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.
Ennen henkilötietojen luovuttamista niiden vastaanottajan on esitettävä rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta.
Luovutettavien tietojen laatu on mahdollisuuksien mukaan varmennettava ja niihin on tarvittaessa lisättävä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Jos ilmenee, että on luovutettu virheellisiä tietoja tai että tietoja on luovutettu lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle.
23 §Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä
Poliisi saa salassapitosäännösten estämättä luovuttaa yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tietoja, joista on rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen tiedottaa. Henkilötietoja voi hakea ainoastaan yksittäisinä hakuina.
Poliisi saa lisäksi salassapitosäännösten estämättä luovuttaa yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tietoja, joista on asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Henkilötiedot saadaan luovuttaa muuten kuin 1 momentissa tarkoitetulla tavalla ainoastaan, jos se on olennaisen tärkeää poliisilain 1 luvun 1 §:n 1 momentissa säädetyn tehtävän suorittamiseksi, eikä tietojen luovuttaminen ole vastoin rekisteröidyn oikeutettua etua. Toiselta viranomaiselta saatuja tietoja saa luovuttaa vain tiedot luovuttaneen viranomaisen suostumuksella.
24 §Henkilötietojen luovuttaminen yksityiselle yhteisölle tai elinkeinonharjoittajalle sähköisen asiointipalvelun kautta
Poliisi saa salassapitosäännösten estämättä luovuttaa 11 §:ssä säädettyihin tarkoituksiin käsiteltäviä lupaa koskevia tietoja yksityiselle yhteisölle tai elinkeinonharjoittajalle, jos tiedot ovat välttämättömiä kyseessä olevalle yhteisölle tai elinkeinonharjoittajalle laissa säädetyn tehtävän suorittamiseksi. Henkilötietoja voidaan hakea sähköisen asiointipalvelun kautta vain yksittäisinä hakuina.
25 §Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle
Poliisi saa salassapitosäännösten estämättä luovuttaa 5—8, 11 ja 12 §:ssä tarkoitettuja henkilötietoja toisen Euroopan unionin jäsenvaltion ja Euroopan talousalueeseen kuuluvan valtion toimivaltaiselle viranomaiselle, joka käsittelee henkilötietoja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 1 artiklan 1 kohdassa säädettyyn tarkoitukseen, samoilla edellytyksillä kuin poliisi saa itse käsitellä kyseessä olevia henkilötietoja.
Poliisi saa lisäksi salassapitosäännösten estämättä luovuttaa 5—8, 11 ja 12 §:ssä tarkoitettuja henkilötietoja Eurojustille ja muulle Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perustetulle toimielimelle, jonka tehtäviin kuuluu oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen, jos tiedot ovat tarpeellisia kyseisten tehtävien suorittamiseksi. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa kuitenkin luovuttaa vain, jos tiedot ovat välttämättömiä kyseisten tehtävien suorittamiseksi.
Edellä 1 ja 2 momentissa tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona.
Sen lisäksi, mitä tässä laissa ja rikosasioiden tietosuojalaissa säädetään, henkilötietojen luovuttamisesta Euroopan unionin jäsenvaltion lainvalvontaviranomaiselle säädetään Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetussa laissa (26/2009).
26 §Henkilötietojen luovuttaminen Schengenin tietojärjestelmän kansallisesta järjestelmästä
Poliisi saa salassapitosäännösten estämättä luovuttaa toimivaltaisille Schengen-viranomaisille Schengenin tietojärjestelmän kansallisen järjestelmän tietoja noudattaen, mitä Schengenin tietojärjestelmän säädöspohjassa säädetään. Tiedot saadaan luovuttaa myös teknisen käyttöyhteyden avulla tai tietojoukkona.
27 §Henkilötietojen luovuttaminen Schengenin tietojärjestelmää käyttävälle valtiolle ja Schengenin tietojärjestelmään
Poliisi saa salassapitosäännösten estämättä luovuttaa Schengen-valtioiden toimivaltaisille viranomaisille sekä Schengenin tietojärjestelmään talletettavaksi Schengenin tietojärjestelmän säädöspohjassa tarkoitettuja tietoja, jotka ovat tarpeen Schengenin tietojärjestelmän säädöspohjassa säädettyihin tarkoituksiin. Schengenin tietojärjestelmän säädöspohjassa tarkoitetut lisätiedot on luovutettava Sirene-toimiston välityksellä. Sirene-toimistona toimii keskusrikospoliisi. Tiedot saadaan luovuttaa myös teknisen käyttöyhteyden avulla tai tietojoukkona.
28 §Henkilötietojen luovuttaminen Europolille
Poliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja Euroopan unionin lainvalvontayhteistyövirastolle noudattaen, mitä Europol-asetuksessa ja Euroopan unionin lainvalvontayhteistyövirastosta annetussa laissa (214/2017) säädetään.
29 §Henkilötietojen luovuttaminen Eurodac-järjestelmään
Poliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja Eurodac-järjestelmään noudattaen, mitä Eurodac-asetuksessa säädetään. Keskusrikospoliisi on Eurodac-järjestelmän kansallinen yksikkö ja asetuksen 5 artiklan 1 kohdassa tarkoitettu nimetty viranomainen lainvalvontatarkoituksessa myönnettävää tietojen saantia varten.
30 §Henkilötietojen luovuttaminen Prümin sopimuksen ja Prüm-päätöksen nojalla
Belgian kuningaskunnan, Saksan liittotasavallan, Espanjan kuningaskunnan, Ranskan tasavallan, Luxemburgin suurherttuakunnan, Alankomaiden kuningaskunnan ja Itävallan tasavallan välillä rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin, rajat ylittävän rikollisuuden ja laittoman muuttoliikkeen torjumiseksi tehdyn sopimuksen (SopS 53 ja 54/2007), jäljempänä Prümin sopimus, ja rajatylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajatylittävän rikollisuuden torjumiseksi tehdyn neuvoston päätöksen 2008/615/YOS, jäljempänä Prüm-päätös, nojalla tapahtuvaan DNA-tietojen, sormenjälkitietojen ja ajoneuvorekisteritietojen luovuttamiseen osumahaun perusteella sovelletaan, mitä Prüm-päätöksen 3, 9 ja 12 artiklassa säädetään.
Sen lisäksi, mitä Prüm-päätöksen 5, 10 ja 14 artiklassa säädetään, 1 momentissa tarkoitetun osumatiedon jälkeiseen henkilötietojen luovuttamiseen sovelletaan tämän lain 25 §:ää.
31 §Muu henkilötietojen luovuttaminen ulkomaille
Poliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja noudattaen rikosasioiden tietosuojalain 7 lukua.
Poliisi saa salassapitosäännösten estämättä luovuttaa:
1) laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamisesta tehdyissä kansainvälisissä sopimuksissa tai muissa järjestelyissä tarkoitetuille toimivaltaisille viranomaisille henkilötietoja kyseisissä kansainvälisissä sopimuksissa tai järjestelyissä tarkoitettuja tehtäviä varten;
2) muun valtion asevalvonnasta vastaavalle viranomaiselle ampuma-aseiden, aseen osien, patruunoiden ja erityisen vaarallisten ammusten hankkimista, hallussapitoa, siirtoa, tuontia ja vientiä koskevia henkilötietoja, jos tietojen luovuttaminen on asevalvonnan kannalta välttämätöntä.
Henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisiä tietoja saa luovuttaa vain 14 §:n 2 momentin mukaisiin tarkoituksiin.
Tässä pykälässä tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona.
32 §Tietojen luovuttamisesta päättäminen
Oikeudesta luovuttaa poliisin henkilörekisterin tietoja teknisen käyttöyhteyden avulla tai tietojoukkona sekä 3 luvussa tarkoitettujen viranomaisten oikeudesta luovuttaa tietoja poliisin tietojärjestelmään tietojoukkona tai teknisen käyttöyhteyden avulla päättää rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö.
Luovuttamisesta päätettäessä on rekisteröidyn tietosuojan ja tietoturvan varmistamiseksi otettava huomioon luovutettavien tietojen laatu.
5 luku
Henkilötietojen poistaminen ja arkistointi
33 §Rikosasiaan liittyvien henkilötietojen poistaminen
Syyttäjälle ratkaistavaksi siirretyn rikosasian tiedot poistetaan:
1) viiden vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus;
2) kymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli vuoden ja enintään viiden vuoden vankeusrangaistus;
3) kahdenkymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta.
Edellä 1 momentissa tarkoitetut tiedot poistetaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.
Muun kuin 1 momentissa tarkoitetun rikosasian tiedot poistetaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta.
Henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistetaan kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta.
Rikoksen tekohetkellä alle 15-vuotiaan tuntomerkkitiedot poistetaan kuitenkin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, jollei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta.
Edellä 4 ja 5 momentissa tarkoitetut tiedot poistetaan viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta.
Edellä 1—5 momentissa tarkoitetut rikosasiaan liittyvät henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.
Prümin sopimukseen ja Prüm-päätökseen perustuvaa tietojen käsittelyä koskevat lokitiedot ja valvontatiedot säilytetään ja poistetaan noudattaen Prümin sopimuksen 39 artiklan 4 ja 5 kohtaa sekä Prüm-päätöksen 30 artiklan 4 ja 5 kohtaa.
34 §Muiden tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen poistaminen
Muut tutkinta- ja valvontatehtävissä käsiteltävät henkilötiedot kuin 33 §:ssä tarkoitetut tiedot poistetaan viiden vuoden kuluttua ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan.
Poiketen siitä, mitä 1 momentissa säädetään:
1) liiketoimintakieltoa koskevat tiedot poistetaan viiden vuoden kuluttua liiketoimintakiellon päättymisestä;
2) lähestymiskieltoa, tapaamiskieltoa ja yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa tarkoitettua suojelutoimenpidettä koskevat tiedot poistetaan viiden vuoden kuluttua lähestymiskiellon, tapaamiskiellon tai suojelutoimenpiteen määräämisestä;
3) valvottua koevapautta tai valvontarangaistusta koskevat tiedot poistetaan viiden vuoden kuluttua valvotun koevapauden tai valvontarangaistuksen päättymisestä;
4) muut henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävät etsintäkuulutusta, matkustus-, eläintenpito- tai metsästyskieltoa, kansallista maahantulokieltoa, yhdyskuntaseuraamusta tai ehdonalaista vapautta koskevat tiedot poistetaan kolmen vuoden kuluttua kuulutuksen tai kiellon peruuttamisesta tai päättymisestä;
5) kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi käsiteltävät henkilötiedot poistetaan aikaisintaan viiden vuoden kuluttua kadonneen henkilön löytämisestä tai tuntemattoman vainajan tunnistamisesta; kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi tarpeelliset lähisukulaisten tiedot poistetaan kuitenkin rekisteröidyn pyynnöstä tai heti, kun tiedot eivät enää ole käsittelytarkoituksen kannalta tarpeellisia;
6) ulkomaalaislain 131 §:ssä säädettyjen tehtävien suorittamiseksi käsiteltävät henkilötuntomerkit ja matkustusasiakirjan tiedot poistetaan kymmenen vuoden kuluttua viimeisen rekisteröityä koskevan merkinnän tekemisestä; jos rekisteröity on saanut Suomen kansalaisuuden, tiedot poistetaan kuitenkin yhden vuoden kuluttua siitä, kun rekisterinpitäjä on saanut tiedon kyseisestä kansalaisuuden saamisesta.
Edellä 2 momentin 6 kohdassa ja 6 §:n 1 momentin 3 kohdassa tarkoitetut tiedot poistetaan kuitenkin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.
Edellä 1—3 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.
35 §Rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen poistaminen
Rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan tiedon merkitsemisestä. Edellä 7 §:n 5 momentissa tarkoitetut tiedot poistetaan kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä ja 8 §:n 1 momentin 4 kohdassa tarkoitetut tiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.
Edellä 1 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.
36 §Tietolähdetietojen poistaminen
Tietolähdetiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä.
37 §DNA-näytteiden laadun varmistamiseksi käsiteltävien henkilötietojen poistaminen
DNA-näytteiden laadun varmistamiseksi käsiteltävät henkilötiedot poistetaan rekisteröidyn pyynnöstä tai heti, kun tiedot eivät enää ole käsittelytarkoituksen kannalta tarpeellisia.
Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään vuoden välein.
38 §Muissa poliisin lakisääteisissä tehtävissä käsiteltävien henkilötietojen poistaminen
Lupahallinto- ja valvontatehtävien suorittamiseksi käsiteltävät henkilötiedot poistetaan viimeistään kahdenkymmenen vuoden kuluttua päätöksestä tai sen raukeamisesta, päätöksessä mainitun voimassaoloajan päättymisestä tai henkilötiedon merkitsemisestä.
Poiketen siitä, mitä 1 momentissa säädetään:
1) ampuma-aselain mukaisen ampuma-aseilmoituksen tiedot poistetaan viimeistään kolmen vuoden kuluttua tiedon merkitsemisestä;
2) ampuma-aselain 42 c §:n perusteella käsiteltävät henkilötiedot poistetaan kolmenkymmenen vuoden kuluttua esineen hävittämisestä; tietoja saadaan kuitenkin käsitellä 11 §:ssä säädettyihin tarkoituksiin ainoastaan kymmenen vuoden ajan esineen hävittämisen jälkeen;
3) löytötavaratoimintaan liittyvät henkilötiedot poistetaan viimeistään vuoden kuluttua tiedon merkitsemisestä;
4) rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 7 luvun 9 §:ssä tarkoitettuihin rikkomusepäilyjä koskeviin ilmoituksiin sisältyvät henkilötiedot poistetaan mainitun pykälän 2 momentin mukaisesti sekä muut mainitun luvun mukaiseen valvontaan liittyvät henkilötiedot viimeistään viiden vuoden kuluttua merkinnän tekemisestä;
5) hallinnollisia seuraamuksia koskevat tiedot poistetaan viimeistään viiden vuoden kuluttua merkinnän tekemisestä;
6) arpajaislain ja rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain mukaista valvontaa varten käsiteltävät mainituissa laeissa tarkoitetun valvottavan rahapeliyhteisön, elinkeinonharjoittajan tai yhteisön asiakkaita koskevat henkilötiedot poistetaan heti, kun niiden säilyttäminen ei ole enää valvontatehtävän suorittamiseksi tarpeen.
Edellä 1 momentissa ja 2 momentin 1 kohdassa tarkoitetut henkilötiedot poistetaan kuitenkin viimeistään vuoden kuluttua rekisteröidyn kuolemasta, jollei ole erityistä syytä tietojen edelleen säilyttämiseen. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.
39 §Virheelliseksi todettu tieto
Sen estämättä, mitä rikosasioiden tietosuojalaissa ja tietosuoja-asetuksessa säädetään virheellisen tiedon korjaamisesta, virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa.
Virheelliseksi todettua tietoa ei kuitenkaan saa säilyttää Schengenin tietojärjestelmän kansallisessa järjestelmässä.
Virheelliseksi todettu tieto, jota 1 momentin nojalla säilytetään, on poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen.
40 §Tietojen arkistointi
Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen.
6 luku
Rekisteröidyn oikeudet
41 §Rekisteröidyn tarkastusoikeuden toteuttaminen
Rikosasioiden tietosuojalain 23 §:ssä tarkoitetun rekisteröidyn tarkastusoikeuden ja tietosuoja-asetuksen 15 artiklassa tarkoitetun rekisteröidyn tietoon pääsyn toteuttamiseksi rekisterinpitäjä antaa tarvittavat henkilötiedot ja muut tiedot tarkastamista varten, jollei rekisterinpitäjä ole määrännyt muuta poliisin yksikköä antamaan tiedot.
Rekisteröidyn on tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle poliisiyksikölle ja todistettava henkilöllisyytensä. Pyyntö voidaan esittää myös käyttämällä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitettua vahvaa sähköistä tunnistamista, jos tällainen palvelu on käytössä.
42 §Tarkastusoikeuden rajoittaminen
Poiketen siitä, mitä rikosasioiden tietosuojalain 23 §:ssä säädetään, tarkastusoikeutta ei ole:
1) 5 §:n 3 momentissa, 7 §:n 6 momentissa ja 9 §:ssä tarkoitettuihin henkilötietoihin;
2) Schengenin tietojärjestelmän salaista tarkkailua ja erityistarkastuksia koskeviin henkilötietoihin;
3) 5—8 §:ssä tarkoitettuihin henkilötietoihin sisältyviin poliisin taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin;
4) henkilötietoihin, jotka on saatu poliisilain 5 luvun ja pakkokeinolain 10 luvun mukaisia tiedonhankintamenetelmiä käyttäen sekä sähköisen viestinnän palveluista annetun lain 157 §:n nojalla.
Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka poliisille tämän lain 41 §:n 2 momentin mukaisesti. Poliisille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.
43 §Tarkastusoikeuden toteuttaminen Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämän tiedoston tietoihin
Sen lisäksi, mitä 41 §:ssä säädetään, jokaisella on oikeus pyytää tarkastusten asteittaisesta lakkauttamisesta yhteisillä rajoilla tehdyn Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen (SopS 23/2001) 115 artiklassa tarkoitettua valvontaviranomaista varmistamaan, että häntä koskevien henkilötietojen kerääminen, tallettaminen, käsittely ja käyttö Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämässä tiedostossa tapahtuu lainmukaisesti ja oikein. Tätä tarkoittava pyyntö on esitettävä tietosuojavaltuutetulle taikka poliisille tämän lain 41 §:n 2 momentin mukaisesti. Poliisille esitetty varmistuspyyntö on toimitettava viipymättä tietosuojavaltuutetulle.
44 §Tarkastusoikeuden toteuttaminen Prümin sopimukseen ja Prüm-päätökseen perustuvan henkilötietojen käsittelyn osalta
Sen lisäksi, mitä 42 §:ssä säädetään, jokaisella on oikeus pyytää tietosuojavaltuutettua varmistamaan, että häntä koskevien henkilötietojen Prümin sopimukseen ja Prüm-päätökseen perustuva käsittely tapahtuu lainmukaisesti. Tätä tarkoittava pyyntö on esitettävä tietosuojavaltuutetulle taikka poliisille tämän lain 41 §:n 2 momentin mukaisesti. Poliisille esitetty varmistuspyyntö on toimitettava viipymättä tietosuojavaltuutetulle.
45 §Rekisteröidyn oikeus käsittelyn rajoittamiseen
Tietosuoja-asetuksen 18 artiklaa rekisteröidyn oikeudesta käsittelyn rajoittamiseen ei sovelleta tässä laissa tarkoitettuun henkilötietojen käsittelyyn.
7 luku
Suojelupoliisin henkilötietojen käsittely
46 §Soveltamisala
Tässä luvussa säädetään suojelupoliisin poliisin hallinnosta annetun lain (110/1992) 10 §:ssä tarkoitettujen tehtävien suorittamiseksi tarpeellisten tämän lain 1 §:n 1 momentin mukaisten henkilötietojen käsittelystä.
Suojelupoliisin 1 momentissa tarkoitetun tehtävän suorittamiseksi tarpeellisten henkilötietojen käsittelyyn sovelletaan rikosasioiden tietosuojalakia lukuun ottamatta sen 10 §:n 2 momenttia, 54 §:ää ja 7 lukua, jollei tässä luvussa toisin säädetä.
Henkilötietojen salassapitoon sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia, jollei tässä luvussa toisin säädetä.
47 §Rekisterinpitäjä
Suojelupoliisi toimii tässä luvussa tarkoitettujen henkilötietojen rekisterinpitäjänä.
48 §Suojelupoliisin henkilötietojen käsittely
Suojelupoliisi saa käsitellä henkilötietoja, jotka ovat tarpeen kansallisen turvallisuuden suojaamiseksi sekä valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien toimintojen, hankkeiden ja rikosten estämiseksi, paljastamiseksi ja selvittämiseksi.
Suojelupoliisi saa käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentin mukaisen käyttötarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta.
Turvallisuusselvityksiä varten käsiteltävistä henkilötiedoista säädetään erikseen.
49 §Henkilön perustietojen käsittely
Suojelupoliisi saa käsitellä seuraavia tarpeellisia henkilön perustietoja:
1) henkilötunnus ja syntymäaika;
2) fyysisiin ominaisuuksiin perustuvat tunnistetiedot sekä ääni- ja kuvatallenteet;
3) muut kuin 1 ja 2 kohdassa tarkoitetut tunnistetiedot;
4) kansalaisuutta ja perhesuhteita koskevat tiedot;
5) asuinpaikkatiedot;
6) koulutusta ja ammattia koskevat tiedot sekä työ- ja palvelushistoria;
7) yhteystiedot;
8) matkustamiseen liittyvät tiedot;
9) tieto kuolemasta tai kuolleeksi julistamisesta;
10) oikeus- tai luonnolliseen henkilöön yhdistettävissä olevat tunnistamistiedot;
11) oikeushenkilöön liittyvät tiedot;
12) toimintaa ja käyttäytymistä koskevat tiedot.
Suojelupoliisi saa lisäksi käsitellä tehtäviensä suorittamiseksi välttämättömiä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.
50 §Henkilötietojen luovuttaminen
Suojelupoliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja tehtäviensä suorittamiseksi muulle viranomaiselle tai julkista tehtävää hoitavalle yhteisölle.
Suojelupoliisi saa lisäksi salassapitosäännösten estämättä luovuttaa henkilötietoja muille poliisiyksiköille 13 §:ssä tarkoitettuihin käsittelytarkoituksiin sekä muulle viranomaiselle tai julkista tehtävää hoitavalle yhteisölle 4 luvussa tarkoitettuihin käsittelytarkoituksiin.
Suojelupoliisi saa tallettaa 1 ja 2 momentissa tarkoitettuja henkilötietoja poliisin henkilörekistereihin 17 §:n mukaisesti.
Suojelupoliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja yksityiselle yhteisölle tai henkilölle, jos se on välttämätöntä suojelupoliisin tehtävän suorittamiseksi.
51 §Henkilötietojen luovuttaminen kansainvälisessä yhteistyössä
Suojelupoliisi saa salassapitosäännösten estämättä luovuttaa henkilötietoja ulkomaan turvallisuus- ja tiedustelupalvelulle sekä ulkomaan viranomaiselle, jonka tehtäviin kuuluu kansallisen turvallisuuden suojaaminen, oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen sekä kansainväliselle rikospoliisijärjestölle (Interpol) ja Euroopan unionin lainvalvontayhteistyövirastolle (Europol), jos luovuttaminen on välttämätöntä suojelupoliisin tehtävän suorittamiseksi.
Suojelupoliisi saa salassapitosäännösten estämättä luovuttaa 1 momentissa tarkoitettuja tietoja mainitussa momentissa tarkoitetuille tahoille myös, jos tiedot ovat välttämättömiä kyseisten ulkomaisten viranomaisten tehtävien suorittamiseksi.
Suojelupoliisi voi luovuttaa henkilötietoja kansainvälisiin tietojärjestelmiin 26—29 §:n mukaisesti.
Päätettäessä tietojen luovuttamisesta on lisäksi otettava huomioon henkilötietoja vastaanottavan valtion ihmisoikeustilanne, luovutuksen merkitys Suomen kansainvälisille suhteille sekä Suomea sitovat kansainväliset sopimukset ja muut velvoitteet. Lisäksi on otettava huomioon henkilötietoja vastaanottavan valtion tietosuojan taso ja luovutuksen merkitys rekisteröidyn oikeuksille.
Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ei saa luovuttaa laajamittaisesti.
Luovutettaviin henkilötietoihin on tarpeen mukaan liitettävä ehtoja tietojen käyttötarkoituksesta ja jatkoluovuttamisesta.
52 §Tietojen saanti
Suojelupoliisilla on oikeus saada 2 luvun perusteella käsiteltävät tehtäviensä suorittamiseksi tarpeelliset tiedot.
Suojelupoliisilla on tehtäviensä suorittamiseksi oikeus saada 3 luvussa tarkoitetut tiedot kyseisessä luvussa säädetyllä tavalla. Suojelupoliisilla on oikeus asettaa uhkasakko 19 §:n mukaisesti.
Suojelupoliisilla on oikeus saada tiedot maksutta, jollei laissa toisin säädetä.
53 §Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely
Ulkomaiselta turvallisuus- ja tiedustelupalvelulta saatujen henkilötietojen käsittelyssä on noudatettava, mitä tietojen luovuttajan asettamissa ehdoissa määrätään salassapidosta, vaitiolovelvollisuudesta, tietojen käytön rajoituksista, tietojen edelleen luovutuksesta tai luovutetun aineiston palauttamisesta.
54 §Suojelupoliisin oikeus ylläpitää henkilörekisteriään
Jos rekisterinpitäjälle on muualla laissa säädetty oikeus salassapitosäännösten estämättä luovuttaa henkilörekisteristään teknisen käyttöyhteyden avulla tai tietojoukkona henkilötietoja poliisille, suojelupoliisi saa tietojärjestelmänsä ylläpitämiseksi verrata kyseisen henkilörekisterin tietoja talletettujen henkilötietojensa sisältöön. Tarpeettomat tiedot on hävitettävä viipymättä sen jälkeen kuin vertailu on suoritettu. Tarpeettomia henkilötietoja ei saa tallettaa.
Jos tietojen käsittelyn alkuperäiseksi tai muuksi kuin alkuperäiseksi käyttötarkoitukseksi on säädetty kansallinen turvallisuus, suojelupoliisilla on lisäksi salassapitosäännösten estämättä oikeus verrata tietojärjestelmässään toisesta tietojärjestelmästä kerättyä tietojoukkoa, jos menettely on välttämätön tietojen käsittelyn mahdollistamiseksi korkean tietoturvatason tietojärjestelmässä. Tietojoukko on hävitettävä viipymättä sen jälkeen kun tarve vertailulle on päättynyt. Vertaamista varten kerättävät tiedot on pidettävä erillään muista suojelupoliisin käsittelemistä tiedoista.
Suojelupoliisilla on oikeus saada tiedot maksutta, jollei laissa toisin säädetä.
55 §Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käyttötarkoitukseen
Sen lisäksi, mitä rikosasioiden tietosuojalain 5 §:n 3 momentissa säädetään, suojelupoliisin tietojärjestelmän tietoja saa salassapitosäännösten estämättä käsitellä myös laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa. Lisäksi tietoja saa käyttää koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.
56 §Tarkastusoikeuden rajoittaminen
Suojelupoliisin tämän luvun perusteella käsittelemiin henkilötietoihin ei ole lainkaan tarkastusoikeutta.
Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka poliisille tämän lain 41 §:n 2 momentin mukaisesti. Poliisille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle.
57 §Tietojen poistaminen
Edellä 48 §:n perusteella talletetut henkilöä koskevat tiedot poistetaan kahdenkymmenenviiden vuoden kuluttua viimeisen tiedon merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein.
58 §Virheelliseksi todettu tieto
Virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai suojelupoliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa.
Virheelliseksi todettu tieto, jota 1 momentin nojalla säilytetään, on poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen.
59 §Tietojen arkistointi
Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen.
8 luku
Erinäiset säännökset
60 §Rekisterinpitäjä
Edellä 2 luvussa tarkoitettujen henkilötietojen sekä Schengenin tietojärjestelmän kansallisen järjestelmän rekisterinpitäjä on Poliisihallitus.
61 §Voimaantulo
Tämä laki tulee voimaan päivänä kuuta 20 .
Tällä lailla kumotaan henkilötietojen käsittelystä poliisitoimessa annettu laki (761/2003), jäljempänä kumottu laki.
Tässä laissa tarkoitettujen henkilötietojen poistamiseen saadaan soveltaa tämän lain voimaan tullessa voimassa olleita säännöksiä neljän vuoden ajan lain voimaantulosta. Siirtymäajan kuluessa 7, 8, 11 ja 12 §:ssä tarkoitettujen henkilötietojen poistamiseen sovelletaan kumotun lain 23, 24 ja 26 §:ää, sellaisina kuin ne olivat tämän lain voimaan tullessa. Edellä 5 ja 6 §:ssä tarkoitettujen henkilötietojen poistamiseen sovelletaan mainittuna aikana kumotun lain 22 §:ää sellaisena kuin se on osaksi laeissa 529/2005 ja 851/2006.
2.
Eduskunnan päätöksen mukaisesti
muutetaan ampuma-aselain (1/1998) 113 §:n 2 momentti, sellaisena kuin se on laissa 623/2017, seuraavasti:
113 §Poliisin velvollisuus tiedostojen pitämiseen
Edellä 1 momentissa tarkoitetut tiedostot ovat salassa pidettäviä. Salassa pidettäviä ovat myös ampuma-asetta, aseen osaa, patruunoita tai erityisen vaarallisia ammuksia koskeva lupahakemus ja ennakkosuostumusta, suostumusta ja asekeräilijälle annettavaa hyväksyntää koskeva hakemus sekä asiassa annettu päätös. Poliisi voi kuitenkin erityisestä syystä päätöksellään vahvistaa yksittäisen luvan voimassaoloa tai sisältöä koskevan tiedon, jos tiedon pyytäjän henkilöllisyys on poliisin tiedossa. Tiedostojen pitämisestä, käytöstä, tietojen luovuttamisesta ja tietojen poistamisesta säädetään tarkemmin henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
3.
Eduskunnan päätöksen mukaisesti
muutetaan arpajaislain (1047/2001) 42 b §:n 2 momentti, sellaisena kuin se on laissa 1184/2013, seuraavasti:
42 b §Arpajaisten valvontatiedosto
Henkilötietojen käsittelystä poliisin rekistereissä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
4.
Laki Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetun lain muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetun lain (26/2009) 3 §, 5 §:n 2 ja 3 momentti sekä 6 §:n 2 ja 3 momentti,
sellaisina kuin ne ovat, 3 § laeissa 1180/2013 ja 649/2015, 5 §:n 2 momentti ja 6 §:n 2 momentti laissa 312/2016 sekä 5 §:n 3 momentti ja 6 §:n 3 momentti laissa 649/2015, seuraavasti:
3 §Tiedon ja tiedustelutiedon määritelmä
Tässä laissa tarkoitetaan tiedoilla ja tiedustelutiedoilla:
1) henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 2 luvussa tarkoitettuja tietoja;
2) henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 2 luvussa tarkoitettujen Tullin henkilörekisterien tietoja;
3) henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 3, 4 ja 7—12 §:ssä tarkoitettujen henkilörekisterien tietoja;
4) tietoja, jotka ovat muutoin poliisin, Tullin tai rajavartiolaitoksen hallussa taikka pakkokeinoja käyttämättä saatavilla poliisilain (872/2011) 4 luvun 2 ja 3 §:n sekä 5 luvun 40—42 §:n, henkilötietojen käsittelystä poliisitoimessa annetun lain 16 §:n, rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 14 §:n, henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 17, 18 ja 22 §:n taikka muun lain tai sopimuksen perusteella.
5 §Tietojen ja tiedustelutietojen luovuttaminen pyynnöstä
Tiedot ja tiedustelutiedot luovutetaan henkilötietojen käsittelystä poliisitoimessa annetun lain 25 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 17 §:ssä sekä henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 26—28 §:ssä säädetyin edellytyksin.
Tietojen ja tiedustelutietojen luovuttamista koskevaan päätöksentekoon sovelletaan, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 32 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 18 §:ssä, henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 29 §:ssä sekä muualla laissa säädetään.
6 §Oma-aloitteinen tietojen ja tiedustelutietojen luovuttaminen
Tiedot ja tiedustelutiedot luovutetaan henkilötietojen käsittelystä poliisitoimessa annetun lain 25 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 17 §:ssä sekä henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 26—28 §:ssä säädetyin edellytyksin.
Tietojen ja tiedustelutietojen luovuttamista koskevaan päätöksentekoon sovelletaan, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 32 §:ssä, henkilötietojen käsittelystä Tullissa annetun lain 18 §:ssä, henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain 29 §:ssä sekä muualla laissa säädetään.
Tämä laki tulee voimaan päivänä kuuta 20 .
5.
Laki Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta annetun lain 10 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta annetun lain (742/2010) 10 §:n 2 momentti, sellaisena kuin se on laissa 648/2015, seuraavasti:
10§Henkilötietojen luovuttaminen Eurojustille
Tietojen luovuttamiseen Eurojustille poliisin, Rajavartiolaitoksen ja Tullin henkilörekistereistä sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 25 §:ää, henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 38 §:ää, henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 26 §:ää sekä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 30 §:ää.
Tämä laki tulee voimaan päivänä kuuta 20 .
6.
Eduskunnan päätöksen mukaisesti
muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 12 §:n 2 momentti, sellaisena kuin se on laissa 645/2015, seuraavasti:
12 §Henkilötietojen käsittely ja tarkastusoikeus
Rekisteröidyllä ei ole kuitenkaan tarkastusoikeutta henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 42 §:ssä ja henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 42 §:ssä tarkoitettuihin tietoihin eikä henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 29 §:ssä mainituissa rekistereissä oleviin tietoihin.
Tämä laki tulee voimaan päivänä kuuta 20 .
7.
Eduskunnan päätöksen mukaisesti
muutetaan henkilökorttilain (663/2016) 17 §:n 5 momentti ja 31 § seuraavasti:
17 §Henkilökortin epääminen ja henkilökortti ilman matkustusoikeutta
Edellä 3 momentissa tarkoitetun henkilökortin myöntämisestä talletetaan tieto poliisin henkilörekisteriin.
31 §Henkilökorttirekisteri
Tässä laissa poliisille ja Suomen edustustolle säädettyjen tehtävien suorittamiseksi poliisi pitää henkilökorttirekisteriä, johon talletetaan:
1) henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 4 §:ssä tarkoitetut tarpeelliset henkilön perustiedot;
2) tiedot henkilökorttia koskevasta hakemuksesta, päätöksestä, luvasta, poliisin ja Suomen edustuston toimenpiteestä, esteestä, huomautuksesta ja ilmoituksesta;
3) henkilön valokuva ja nimikirjoitusnäyte, jotka hän on luovuttanut poliisille, ulkoministeriölle tai ulkoasiainhallinnon viranomaiselle henkilökorttia hakiessaan.
Rekisterin tietojen käytöstä säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain 11—15 §:ssä. Tietojen luovuttamisesta ja poistamisesta säädetään mainitun lain 4 luvussa ja 38 §:ssä.
Tämä laki tulee voimaan päivänä kuuta 20 .
8.
Eduskunnan päätöksen mukaisesti
kumotaan hätäkeskustoiminnasta annetun lain (692/2010) 19 §:n 1 momentin 11 kohta, sellaisena kuin se on laissa 1172/2016, sekä
muutetaan 17 §:n 4 momentti ja 19 §:n 1 momentin 1 kohta, sellaisina kuin ne ovat laissa 1172/2016, seuraavasti:
17 §Hätäkeskustietojärjestelmään talletettavat tiedot
Rekisteröidyn oikeuksista hätäkeskustietojärjestelmän poliisin pitämiin tietoihin säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ( / ) 4 luvussa ja henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 6 luvussa.
19 §Tiedonsaantioikeus rekistereistä
Hätäkeskuslaitoksella ja sen henkilöstöön kuuluvalla on Hätäkeskuslaitokselle laissa säädettyjen tehtävien suorittamiseksi oikeus salassapitosäännösten estämättä saada tehtävän alkutoimenpiteiden tai työturvallisuuden varmistamiseksi taikka asianomaisen tehtävää hoitavan viranomaisen tai yksikön tukemiseksi tarpeellisia tietoja maksutta asianomaisen rekisterinpitäjän kanssa sovitulla tavalla. Tässä tarkoituksessa Hätäkeskuslaitoksella ja sen henkilöstöön kuuluvalla on oikeus saada:
1) poliisin tietojärjestelmistä henkilötietojen käsittelystä poliisitoimessa annetun lain 5, 6, 11 ja 12 §:ssä tarkoitettuja tietoja sekä tietoja mainitun lain 3 §:n 3 kohdassa tarkoitetusta Schengenin tietojärjestelmän kansallisesta järjestelmästä;
Tämä laki tulee voimaan päivänä kuuta 20 .
9.
Eduskunnan päätöksen mukaisesti
muutetaan joukkoliikenteen tarkastusmaksusta annetun lain (469/1979) 6 §:n 5 momentti, sellaisena kuin se on laissa 448/2006, seuraavasti:
6 §Matkalippujen tarkastajat
Poliisi pitää luetteloa tarkastajaksi hyväksymistä ja hyväksymisen peruuttamista koskevista päätöksistä. Henkilötietojen käsittelystä säädetään lisäksi henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
10.
Eduskunnan päätöksen mukaisesti
muutetaan lähestymiskiellosta annetun lain (898/1998) 15 §, sellaisena kuin se on laissa 711/2004, seuraavasti:
15 §Lähestymiskiellon rekisteröinti
Lähestymiskieltoa koskevien tietojen käsittelystä poliisin rekistereissä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
11.
Eduskunnan päätöksen mukaisesti
muutetaan pakkokeinolain (806/2011) 9 luvun 4 §:n 3 momentti ja 10 luvun 62 §:n 1 momentti, sellaisena kuin niistä on 9 luvun 4 §:n 3 momentti laissa 101/2018, seuraavasti:
9 luku
Erityisiin tutkintakeinoihin liittyvät pakkokeinot
4 §DNA-tunnisteiden määrittäminen ja tallettaminen
DNA-tunniste saadaan poliisilain 1 §:n 1 momentissa säädettyjen tehtävien suorittamiseksi tallettaa poliisin henkilörekisteriin. Tallettaa ei kuitenkaan saa DNA-tunnistetta, joka sisältää tietoa rekisteröitävän muista henkilökohtaisista ominaisuuksista kuin sukupuolesta. DNA-tunnisteiden poistamisesta rekisteristä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
10 luku
Salaiset pakkokeinot
62 §Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa
Poiketen siitä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 11 §:ssä säädetään henkilöllä, jonka oikeutta tai velvollisuutta asia koskee, ei ole oikeutta saada tietoa tässä luvussa tarkoitetun pakkokeinon käytöstä ennen kuin 60 §:ssä tarkoitettu ilmoitus on tehty. Hänellä ei ole myöskään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ) tarkoitettua rekisteröidyn tarkastusoikeutta.
Tämä laki tulee voimaan päivänä kuuta 20 .
12.
Eduskunnan päätöksen mukaisesti
muutetaan Poliisiammattikorkeakoulusta annetun lain (1164/2013) 49 § seuraavasti:
49 §Arkaluonteisten tietojen käsittely
Poliisiammattikorkeakoululla on oikeus opiskelijaksi ottamista, kurinpitoa, opiskelun keskeyttämistä ja opiskeluoikeuden peruuttamista koskevassa asiassa käsitellä terveydentilaa koskevia sekä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Kurinpitoasian yhteydessä ei saa kuitenkaan käsitellä opiskelijan terveydentilaa koskevia tietoja.
Poliisiammattikorkeakoulun on säilytettävä arkaluonteiset tiedot erillään muista henkilötiedoista. Arkaluonteiset tiedot tulee poistaa rekisteristä välittömästi, kun niiden säilyttämiselle ei ole enää lakisääteisten tehtävien hoitamisen edellyttämää perustetta, kuitenkin viimeistään kuuden vuoden kuluttua tietojen merkitsemisestä rekisteriin.
Poliisiammattikorkeakoulun on määriteltävä ne virkamiehet, joilla on tehtävissään oikeus käsitellä 1 momentissa tarkoitettuja arkaluonteisia tietoja.
Tämä laki tulee voimaan päivänä kuuta 20 .
13.
Eduskunnan päätöksen mukaisesti
muutetaan poliisilain (872/2011) 5 luvun 41 §:n 1 momentti ja 60 §:n 1 momentti seuraavasti:
5 luku
Salaiset tiedonhankintakeinot
41 §Tietolähdettä koskevien tietojen käsittely ja palkkion maksu
Tietolähdettä koskevat tiedot voidaan tallettaa henkilörekisteriin. Tietojen käsittelystä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
60 §
Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa
Poiketen siitä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 11 §:ssä säädetään henkilöllä, jonka oikeutta tai velvollisuutta asia koskee, ei ole oikeutta saada tietoa tässä luvussa tarkoitetun tiedonhankintakeinon käytöstä, ennen kuin 58 §:ssä tarkoitettu ilmoitus on tehty. Hänellä ei ole myöskään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ) tarkoitettua rekisteröidyn tarkastusoikeutta.
Tämä laki tulee voimaan päivänä kuuta 20 .
14.
Eduskunnan päätöksen mukaisesti
muutetaan poliisin säilyttämien henkilöiden kohtelusta annetun lain (841/2006) 1 luvun 7 §:n 5 momentti, 2 luvun 4 §:n 2 momentti sekä 7 luvun 5 §:n 5 momentti, sellaisena kuin niistä on 1 luvun 7 §:n 5 momentti laissa 1086/2015, seuraavasti:
1 luku
Yleiset säännökset
7 §Turvallisuusalan elinkeinoluvan haltijan palveluksessa olevan vartijan asema
Tässä pykälässä tarkoitetulla vartijalla ei ole käyttöoikeutta sellaisiin poliisin henkilörekistereihin, joihin sovelletaan henkilötietojen käsittelystä poliisitoimessa annettua lakia ( / ), eikä muihinkaan viranomaistarkoituksia varten perustettuihin rekistereihin tai tietojärjestelmiin.
2 luku
Säilytystilaan ottaminen
4 §Tulotarkastus ja tietojen rekisteröinti
Säilytystilaan otettuja vapautensa menettäneitä koskevien tietojen rekisteröinnistä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa.
7 luku
Tapaamiset ja muut yhteydet säilytystilan ulkopuolelle
5 §Tapaamiskielto
Tapaamiskieltoja koskevien tietojen käsittelystä poliisin henkilörekistereissä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa.
Tämä laki tulee voimaan päivänä kuuta 20 .
15.
Eduskunnan päätöksen mukaisesti
muutetaan poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009) 6 §, sellaisena kuin se on osaksi laissa 642/2015, seuraavasti:
6 §Tietojen käsittely PTR-rikostiedusteluyksikössä
Henkilötietojen käsittelystä PTR-rikostiedusteluyksikössä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ), henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa ( / ) ja henkilötietojen käsittelystä Tullissa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
16.
Eduskunnan päätöksen mukaisesti
muutetaan passilain (671/2006) 29 §:n 1 ja 2 momentti, sellaisina kuin ne ovat laissa 456/2009, seuraavasti:
29 §Passirekisteri
Tässä laissa poliisille, ulkoministeriölle ja 10 §:ssä tarkoitetulle Suomen edustustolle säädettyjen tehtävien suorittamiseksi poliisi pitää rekisteriä, johon talletetaan:
1) henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 4 §:ssä tarkoitetut tarpeelliset henkilön perustiedot;
2) tiedot passihakemuksesta ja päätöksestä passiasiassa, passista tai muusta Suomen viranomaisen antamasta matkustusasiakirjasta, passin katoamisesta, anastamisesta tai haltuun ottamisesta sekä passin antamisen esteistä ja passiasiaan liittyvästä huomautuksesta;
3) 6 a §:ssä tarkoitetut passinhakijalta passin hakutilanteessa otetut sormenjäljet;
4) henkilön valokuva ja nimikirjoitusnäyte, jotka hän on luovuttanut poliisille, ulkoministeriölle tai ulkoasiainhallinnon viranomaiselle passia hakiessaan.
Passirekisterin tietojen käytöstä säädetään henkilötietojen käsittelystä poliisitoimessa annetun lain 11—15 §:ssä. Passirekisterin tietojen luovuttamisesta ja poistamisesta säädetään mainitun lain 4 luvussa ja 38 §:ssä.
Tämä laki tulee voimaan päivänä kuuta 20 .
17.
Eduskunnan päätöksen mukaisesti
muutetaan rahankeräyslain (255/2006) 27 §:n 2 momentti seuraavasti:
27 §Rahankeräysten valvontatiedosto
Henkilötietojen käsittelystä poliisin rekistereissä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
18.
Eduskunnan päätöksen mukaisesti
muutetaan rahanpesun selvittelykeskuksesta annetun lain (445/2017) 3 §:n 9 momentti seuraavasti:
3 §Rahanpesun ja terrorismin rahoittamisen estämistä, paljastamista ja selvittämistä koskeva rekisteri
Poliisin henkilötietojen käsittelystä säädetään lisäksi Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ) sekä henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
19.
Eduskunnan päätöksen mukaisesti
muutetaan rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 15 §:n 2 momentti, sellaisena kuin se on laissa 310/2016, seuraavasti:
2 luku
Tullin toimivaltuudet tullirikostorjunnassa
15 §Henkilöllisyyden selvittäminen
Jos joku kieltäytyy antamasta 1 momentissa tarkoitettuja tietoja ja hänen henkilöllisyyttään ei voida muutoin selvittää, tullirikostorjunnan tullimiehellä on oikeus selvittää henkilöllisyys henkilötuntomerkkien sekä henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015) ja henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 5, 6, 11 ja 12 §:ssä tarkoitettujen tietojen perusteella. Tällöin noudatetaan, mitä pakkokeinolain 8 luvun 33 §:n 2—4 momentissa säädetään henkilöön kohdistuvan etsinnän toimittamisesta.
Tämä laki tulee voimaan päivänä kuuta 20 .
20.
Eduskunnan päätöksen mukaisesti
muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 19 §:n 2 momentti seuraavasti:
19 §Etsintäkuuluttaminen
Etsintäkuuluttaminen käsittää poliisimieheen kohdistetun poliisin tietojärjestelmään toimitetun kehotuksen periä maksuvelvollisen tavatessaan 1 momentissa tarkoitettu saatava tai haastaa maksuvelvollinen muuntorangaistuksen määräämistä koskevaan oikeudenkäyntiin. Etsintäkuulutuksessa on mainittava saatavan maksamista ja maksusuorituksen tilittämistä varten tarvittavat tiedot sekä toimenpiteen syy, pyydetyt toimenpiteet, kuuluttava viranomainen, kuulutuksen vanhentumisajankohta ja muut kuulutuksen valvonnassa tarvittavat tiedot.
Tämä laki tulee voimaan päivänä kuuta 20 .
21.
Eduskunnan päätöksen mukaisesti
muutetaan todistajansuojeluohjelmasta annetun lain (88/2015) 13 §:n 1 ja 3 momentti seuraavasti:
13 §Todistajansuojeluohjelmia koskeva rekisteri
Keskusrikospoliisi pitää sille tässä laissa säädettyjen tehtävien hoitoa varten todistajansuojeluohjelmia koskevaa rekisteriä, johon kuuluvat myös toiminnassa syntyneet tallenteet ja muut asiakirjat. Jollei tässä laissa toisin säädetä, rekisteriin talletettujen henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ).
Sen lisäksi, mitä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa säädetään, rekisteröidyn tarkastusoikeutta voidaan rajoittaa, jos tarkastusoikeuden toteuttamisesta voi todennäköisin syin seurata vakava uhka suojeltavan tai muun henkilön turvallisuudelle.
Tämä laki tulee voimaan päivänä kuuta 20 .
22.
Eduskunnan päätöksen mukaisesti
kumotaan turvallisuusselvityslain (726/2014) 32 §:n 1 momentin 2 kohta, sekä
muutetaan 25 §:n 1 momentin 4 kohta ja 2 momentti sekä 32 §:n 3 momentti seuraavasti:
25 §Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet
Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:
4) henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 5 §:n 1 ja 2 momentissa, 6 ja 11 §:ssä, 12 §:n 1 momentissa, 48 §:n 1 momentissa ja 49 §:ssä tarkoitettuja tietoja sisältäviin poliisin henkilörekistereihin;
Perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää keskusrikospoliisin tekemää ilmoitusta, joka perustuu poliisin henkilörekisterissä oleviin, henkilötietojen käsittelystä poliisitoimessa annetun lain 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietoihin. Ilmoituksen on sisällettävä tiedot, jotka ovat tarpeen tietojen merkityksen arvioimiseksi suojelupoliisissa. Keskusrikospoliisi voi tehdä ilmoituksen, jos:
1) selvityksen kohteella on henkilötietojen käsittelystä poliisitoimessa annetun lain 8 §:ssä tarkoitettujen tietojen perusteella toistuvia ja pysyväisluonteisia yhteyksiä sellaiseen henkilöön, jonka on tuomioistuimen päätöksen mukaisesti katsottu osallistuneen järjestäytyneen rikollisryhmän toimintaan tai jonka vireillä olevassa esitutkinnassa tai syyteharkinnassa epäillään osallistuneen tällaiseen toimintaan, jos yhteydet ovat omiaan saattamaan selvityksen kohteen alttiiksi ulkopuoliselle epäasialliselle vaikuttamiselle sekä siten vaarantamaan turvallisuusselvityksen perusteena olevan edun suojaamisen;
2) keskusrikospoliisi katsoo henkilötietojen käsittelystä poliisitoimessa annetun lain 8 §:ssä tarkoitettujen tietojen ja mahdollisten muiden selvitysten perusteella olevan perusteltu syy epäillä selvityksen kohteen syyllistyneen järjestäytyneen rikollisryhmän toimintaan osallistumiseen ja tiedon välittäminen on välttämätöntä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutukselta taikka rikoksen ennalta estämiseksi; tai
3) henkilötietojen käsittelystä poliisitoimessa annetun lain 8 §:ssä tarkoitettuihin tietoihin sisältyy selvityksen kohteesta useita sellaisia laadultaan ja sisällöltään henkilön luotettavuuden arvioinnin kannalta merkittäviä merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa suojaustasoon I tai II kuuluvien asiakirjojen ja niiden tietojen suojan ja siten edistävän järjestäytyneen rikollisryhmän toimia, jos tiedon välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi.
32 §
Tietojen käyttörajoitukset henkilöturvallisuusselvitystä laadittaessa
Henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:n 1 ja 2 momentissa, 6 ja 11 §:ssä, 12 §:n 1 momentissa, 48 §:n 1 momentissa ja 49 §:ssä tarkoitettuihin tietoihin sisältyviä terveydentilaa koskevia tietoja saa ottaa huomioon selvitystä laadittaessa vain, jos se on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi ja tiedot perustuvat lääkärintodistukseen tai muihin laillistetun terveydenhuollon ammattihenkilön tekemiin merkintöihin tai lain nojalla suullisesti antamiin tietoihin eikä niiden virheettömyydestä ole epäselvyyttä. Mitä edellä tässä momentissa säädetään, ei estä toimivaltaista viranomaista kiinnittämästä työnantajan huomiota tarpeeseen toteuttaa tämän lain 17 §:n 2 momentin 4 kohdassa tarkoitettuja toimenpiteitä.
Tämä laki tulee voimaan päivänä kuuta 20 .
23.
Eduskunnan päätöksen mukaisesti
muutetaan ulkomaalaislain (301/2004) 131 §:n 2 ja 3 momentti, sellaisina kuin ne ovat laissa 631/2011, seuraavasti:
131 §Henkilötuntomerkkien ottaminen
Edellä 1 momentissa tarkoitetut henkilötuntomerkit tallennetaan poliisin ylläpitämään rekisteriin. Tiedot on pidettävä erillään rikoksesta epäiltyjen henkilötuntomerkeistä ja ulkomaalaisrekisteriin ulkomaalaisrekisteristä annetun lain (1270/1997) 3 b §:n mukaisesti talletettavista oleskelulupahakemusta, oleskelulupakorttihakemusta tai unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetuista sormenjäljistä. Tiedot poistetaan noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 34 §:ää.
Edellä 1 momentissa tarkoitettuja sormenjälkitietoja saa verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:n mukaiseen käsittelytarkoitukseen tämän pykälän nojalla talletettuihin sormenjälkitietoihin sekä ulkomaalaisrekisteristä annetussa laissa tarkoitettuun ulkomaalaisrekisteriin kuuluviin mainitun lain 3 §:ssä tarkoitettuihin hakemusasioiden osarekisteriin ja muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisteriin talletettuihin sormenjälkitietoihin. Lisäksi talletettavia sormenjälkitietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 6 §:ssä tarkoitettuihin pakkokeinolain mukaisiin henkilötuntomerkkeihin kuuluviin sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta.
Tämä laki tulee voimaan päivänä kuuta 20 .
24.
Eduskunnan päätöksen mukaisesti
muutetaan ulkomaalaisrekisteristä annetun lain (1270/1997) 3 a §:n 2 momentti, 3 b §:n 2 ja 3 momentti ja 4 a §, sellaisina kuin ne ovat, 3 a §:n 2 momentti laissa 459/2009, 3 b §:n 2 ja 3 momentti laissa 122/2018 sekä 4 a § laissa 763/2003, seuraavasti:
3 a §Muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietojen käyttö
Oikeus sormenjälkitietojen käyttöön on vain sillä, jonka työtehtävien hoitaminen sitä välttämättä edellyttää. Sormenjälkiä saa käyttää vain henkilöllisyyden varmistamiseksi ja muukalaispassin tai pakolaisen matkustusasiakirjan valmistamiseksi. Poliisilla on lisäksi oikeus käyttää sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) 14 §:n 2 momenttia. Tietojen käyttöön oikeutetulla on oikeus ottaa rekisteröidyltä sormenjäljet ja verrata niitä rekisteröityihin sormenjälkiin. Vertailua varten otettuja tietoja voidaan käyttää vain vertaamisen ajan, ja ne on hävitettävä välittömästi vertailun jälkeen.
3 b §Hakemusasioiden osarekisterin sormenjälkitietojen käyttö ja vertaaminen
Rekisteriin talletettavia sormenjälkiä saa käyttää ainoastaan 2 §:n 2 momentissa säädettyyn tarkoitukseen liittyvien toimivaltuuksien rajoissa oleskelulupakortin aitouden toteamiseksi ja oleskeluluvan haltijan henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten sekä valtion turvallisuuden suojaamiseksi. Tietojen käyttöön oikeutetulla viranomaisella on oikeus verrata tietoja hakemusasioiden osarekisteriin jo talletettuihin sormenjälkiin sekä muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietoihin ja poliisin rekisteriin ulkomaalaislain (301/2004) 131 §:n perusteella talletettuihin sormenjälkiin. Lisäksi tietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 6 §:ssä tarkoitettuihin pakkokeinolain (806/2011) mukaisiin henkilötuntomerkkeihin kuuluviin sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta.
Poliisilla on lisäksi oikeus käyttää hakemusasioiden osarekisteriin talletettuja sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain 14 §:n 2 momenttia.
4 a §
Rekisteröidyn oikeudet
Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen poliisille sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain 41 §:ää.
Tämä laki tulee voimaan päivänä kuuta 20 .
25.
Laki yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetun lain 9 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetun lain (227/2015) 9 § seuraavasti:
9 §Suojelutoimenpiteen rekisteröinti
Toisessa Euroopan unionin jäsenvaltiossa määrätyn, Suomessa täytäntöön pannun suojelutoimenpiteen tallettamisesta poliisin tietojärjestelmään ja tietojen poistamisesta järjestelmästä säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
26.
Eduskunnan päätöksen mukaisesti
muutetaan yksityisistä turvallisuuspalveluista annetun lain (1085/2015) 86 § seuraavasti:
86 §Turvallisuusalan valvontatiedot
Poliisi pitää tietoja vartijoista, voimankäyttökouluttajista, asekouluttajista, järjestyksenvalvojista, turvasuojaajista, järjestyksenvalvojakouluttajista, turvallisuusalan elinkeinoluvan haltijoista sekä niiden vastaavista hoitajista ja 71 §:n 2 momentin 2 kohdassa tarkoitetuista vastuuhenkilöistä. Turvallisuusalan valvontatietojen käsittelystä säädetään tarkemmin henkilötietojen käsittelystä poliisitoimessa annetussa laissa ( / ).
Tämä laki tulee voimaan päivänä kuuta 20 .
Helsingissä 22 päivänä marraskuuta 2018
Pääministeri
Juha Sipilä
Sisäministeri
Kai Mykkänen