Siirry esitykseen
HE 253/2022
Hallituksen esitys eduskunnalle laiksi yhteisistä tutkintaryhmistä annetun lain 6 §:n muuttamisesta
HaVM 33/2022 vp HE 253/2022 vp
Hallituksen esityksellä ehdotetaan muutettavaksi yhteisistä tutkintaryhmistä annettua lakia. Ehdotetulla lainmuutoksella pannaan täytäntöön Euroopan parlamentin ja neuvoston direktiivi, jolla muutetaan yhteisistä tutkintaryhmistä tehdyn neuvoston puitepäätöksen säännöksiä niiden mukauttamiseksi henkilötietojen suojaa koskeviin unionin sääntöihin.
Ehdotettu laki on tarkoitettu tulemaan voimaan 1.3.2023.
Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi) tuli voimaan 6. toukokuuta 2016, ja jäsenvaltioiden oli saatettava se osaksi kansallista lainsäädäntöään 6. toukokuuta 2018 mennessä. Rikosasioiden tietosuojadirektiiviä sovelletaan toimivaltaisten viranomaisten suorittamaan sekä kansalliseen että rajat ylittävään henkilötietojen käsittelyyn (1 artiklan 1 kohta). Rikosasioiden tietosuojadirektiivi on pantu täytäntöön lailla henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki). Muuhun henkilötietojen käsittelyyn sovelletaan Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) ja tietosuojalakia (1050/2018).
Euroopan komissio julkaisi 24.6.2020 tiedonannon, ”Toimet aiemman kolmannen pilarin säännöstön yhdenmukaistamiseksi tietosuojasääntöjen kanssa” (jäljempänä tiedonanto). Tiedonannossa käsitellään uudelleentarkastelua, joka komission on tehtävä rikosasioiden tietosuojadirektiivin 62 artiklan 6 kohdan mukaisesti. Mainitussa kohdassa edellytetään, että komissio tarkastelee unionin hyväksymiä säädöksiä, joilla säännellään toimivaltaisten viranomaisten suorittamaa käsittelyä rikosasioiden tietosuojadirektiivissä säädettyjä tarkoituksia varten arvioidakseen, olisiko niitä yhdenmukaistettava direktiivin kanssa. Tiedonannossa määritetään kymmenen säädöstä, jotka olisi yhdenmukaistettava rikosasioiden tietosuojadirektiivin kanssa, ja niiden toteuttamisaikataulu. Näihin säädöksiin sisältyivät yhteisistä tutkintaryhmistä 13 päivänä kesäkuuta 2002 tehty neuvoston puitepäätös 2002/465/YOS (jäljempänä JIT-puitepäätös) ja rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä 3 päivänä huhtikuuta 2014 annettu Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU (jäljempänä EIO-direktiivi).
EU-säädösten valmistelu
Komissio antoi 20.1.2021 ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi neuvoston puitepäätöksen 2002/465/YOS muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin EU:n sääntöihin (COM(2021) 20 final) sekä ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi direktiivin 2014/41/EU muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin EU:n sääntöihin (COM(2021) 21 final). Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/211 neuvoston puitepäätöksen 2002/465/YOS muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin unionin sääntöihin, jäljempänä JIT-puitepäätöksen muuttamista koskeva direktiivi, ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/228 direktiivin 2014/41/EU muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin unionin sääntöihin, jäljempänä EIO-direktiivin muuttamista koskeva direktiivi, annettiin 16.2.2022.
Valtioneuvosto antoi 4.3.2021 eduskunnalle ehdotuksia koskevan kirjelmän U 16/2021 vp. Hallintovaliokunta on antanut U-kirjelmästä lausunnon HaVL 8/2021 vp. Suuri valiokunta hyväksyi eduskunnan kannan SuVEK 17/2021 vp, jossa valiokunta yhtyy erikoisvaliokunnan lausunnon mukaisesti valtioneuvoston kantaan.
Hallituksen esityksen valmistelu
Hallituksen esitys on valmisteltu virkatyönä oikeusministeriössä. Osana valmistelua on kuultu muutettavaa lakia soveltavia toimivaltaisia viranomaisia. Koska direktiivien täytäntöönpanoaika on lyhyt ja JIT-puitepäätöksen muuttamista koskevan direktiivin muutokset ovat vähäisiä, hallituksen esityksen luonnoksesta on järjestetty suppea lausuntokierros. EIO-direktiivin muuttamista koskeva direktiivi ei edellytä kansallisia lainmuutoksia. Valmisteluasiakirjat ovat saatavilla oikeusministeriön verkkosivustolta ja valtioneuvoston verkkosivustolta tunnuksella OM059:00/2022.
Direktiivien tarkoituksena on saattaa JIT-puitepäätöksen ja EIO-direktiivin tietosuojasäännöt rikosasioiden tietosuojadirektiivissä vahvistettujen periaatteiden ja sääntöjen mukaisiksi vahvan ja johdonmukaisen tietosuojakehyksen luomiseksi unioniin.
JIT-puitepäätös koskee kahden tai useamman jäsenvaltion toimivaltaisten viranomaisten muodostamia yhteisiä tutkintaryhmiä (Joint Investigation Team) rikostutkinnan suorittamiseksi yhdessä tai useammassa ryhmän perustaneista jäsenvaltioista. JIT-puitepäätöksen muuttamista koskevan direktiivin tavoitteena on yhdenmukaistaa JIT-puitepäätöksen henkilötietojen käyttötarkoituksia koskevat säännökset rikosasioiden tietosuojadirektiivin kanssa. Puitepäätöksessä alun perin säädettyjä käyttötarkoituksia koskevat säännökset eivät täytä rikosasioiden tietosuojadirektiivissä edellytettyä tietosuojan tasoa. Puitepäätöksen muutoksella on saatettu sen säännökset yhdenmukaisiksi rikosasioiden tietosuojadirektiivin kanssa.
JIT-puitepäätöksen muuttamista koskevalla direktiivillä on muutettu pelkästään puitepäätöksen 1 artiklan 10 kohtaa. Siinä säädetään tarkoituksista, joihin tutkintaryhmään kuuluvien jäsenten saamia tietoja voidaan käyttää. Sen lisäksi, että tietoja saa käyttää niihin tarkoituksiin, joita varten tutkintaryhmä on perustettu (1 artiklan 10 kohdan a alakohta), tietoja voidaan käyttää rikosten paljastamiseen, tutkintaan ja niitä koskevaan syytteeseenpanoon edellyttäen, että valtio, jossa tiedot saatiin käyttöön, on antanut tähän ennakolta luvan (b alakohta). Lisäksi tietoja voidaan käyttää yleiselle turvallisuudelle aiheutuvan välittömän ja vakavan uhan ehkäisemiseksi ja vaikuttamatta b alakohtaan, jos myöhemmin aloitetaan rikostutkinta (c alakohta) sekä muihin tarkoituksiin sen mukaisesti kuin ryhmän perustaneet jäsenvaltiot sopivat (d alakohta).
Direktiivillä on lisätty JIT-puitepäätöksen 1 artiklan 10 kohtaan uusi alakohta:
”Siltä osin kuin ensimmäisen alakohdan b, c ja d alakohdassa tarkoitettuihin tarkoituksiin käytettäviin tietoihin sisältyy henkilötietoja, niitä saa käsitellä ainoastaan Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 ja erityisesti sen 4 artiklan 2 kohdan ja 9 artiklan 1 kohdan ja 3 kohdan mukaisesti.”
JIT-puitepäätöksen 1 artiklan ensimmäisen alakohdan b, c ja d alakohdassa on kyse henkilötietojen käsittelystä muuhun tarkoitukseen kuin mihin ne on kerätty. Rikosasioiden tietosuojadirektiivi ei enää mahdollista puitepäätöksen 1 artiklan 10 kohdassa sallittua muuta tarkoitusta varten tapahtuvaa henkilötietojen käsittelyä pelkästään toisen jäsenvaltion luvan tai sopimuksen perusteella. Rikosasioiden tietosuojadirektiivin 4 ja 9 artiklassa säädetään henkilötietojen käsittelyn edellytyksistä näissä tilanteissa. Rikosasioiden tietosuojadirektiivin 4 artiklan 2 kohdan mukaan saman tai toisen rekisterinpitäjän suorittama käsittely muuhun 1 artiklan 1 kohdassa säädettyyn tarkoitukseen kuin siihen, johon henkilötiedot kerättiin, sallitaan sikäli kuin a) rekisterinpitäjällä on lupa käsitellä tällaisia henkilötietoja tällaista tarkoitusta varten unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti; ja b) käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhteista unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Rikosasioiden tietosuojadirektiivin 9 artiklan 1 kohdan mukaan toimivaltaisten viranomaisten 1 artiklan 1 kohdassa säädettyihin tarkoituksiin keräämiä henkilötietoja ei saa käsitellä muihin kuin 1 artiklan 1 kohdassa säädettyihin tarkoituksiin, ellei kyseistä käsittelyä sallita unionin oikeudessa tai jäsenvaltion lainsäädännössä. Jos henkilötietoja käsitellään mainittuihin muihin tarkoituksiin, sovelletaan asetusta (EU) 2016/679, jollei käsittelyä suoriteta sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan. Direktiivin 9 artiklan 3 kohta lisäksi edellyttää, että jos tietoja siirtävään toimivaltaiseen viranomaiseen sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään käsittelyä koskevista erityisistä edellytyksistä, tietoja siirtävän toimivaltaisen viranomaisen on ilmoitettava tällaisten henkilötietojen vastaanottajalle kyseisistä edellytyksistä ja vaatimuksesta noudattaa niitä.
EIO-direktiiviä sovelletaan sen 3 artiklan mukaan kaikkiin todisteiden hankkimista koskeviin tutkintatoimenpiteisiin, lukuun ottamatta yhteisen tutkintaryhmän perustamista ja todisteiden hankkimista yhteisessä tutkintaryhmässä. EIO-direktiivin 20 artiklassa säädetään henkilötietojen suojasta. Ensinnäkin artiklan ensimmäinen kohta edellyttää, että henkilötietojen käsittelyssä noudatetaan neuvoston puitepäätöstä 2008/977/YOS, joka koskee henkilötietojen suojaa rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä (jäljempänä tietosuojapuitepäätös). Tietosuojapuitepäätös on kumottu rikosasioiden tietosuojadirektiivillä. Toiseksi artiklan toisessa kohdassa säädetään velvollisuudesta, jonka mukaan pääsyä eurooppalaiseen tutkintamääräykseen liittyvässä yhteistyössä käsiteltyihin tietoihin on rajoitettava, sanotun kuitenkaan rajoittamatta rekisteröidyn oikeuksia. Kohdan mukaan ainoastaan valtuutetuilla henkilöillä saa olla oikeus tutustua näihin tietoihin.
EIO-direktiivin muuttamista koskevan direktiivin 1 artikla kumoaa EIO-direktiivin 20 artiklan, koska se sisälsi vanhentuneen viittauksen tietosuojapuitepäätökseen. EIO-direktiivin soveltamisalalla voi tilanteesta riippuen tulla henkilötietojen suojan osalta sovellettavaksi joko rikosasioiden tietosuojadirektiivi tai yleinen tietosuoja-asetus. Näihin säädöksiin sisältyvät kumotun artiklan sisältämää tietoihin pääsyn rajoittamista koskevaa kohtaa vastaavat säännökset. EIO-direktiivin muuttamista koskevan direktiivin johdanto-osaan on sisällytetty viittaukset sekä rikosasioiden tietosuojadirektiiviin että tietosuoja-asetukseen. Rikosasioiden tietosuojadirektiivissä ja yleisessä tietosuoja-asetuksessa vahvistetaan kattava kehys rekisteröityjen oikeuksille ja rekisterinpitäjän velvollisuuksille, mukaan lukien sisäänrakennettu ja oletusarvoinen tietosuoja sekä käsittelyn turvallisuus. Mainittujen tietosuojasäädösten soveltaminen EIO-direktiivin mukaisiin henkilötietojen käsittelytilanteisiin määräytyy suoraan niiden soveltamisalasäännösten perusteella.
JIT-puitepäätöksen ja EIO-direktiivin muuttamista koskevat direktiivit liittyvät rikosasioiden tietosuojadirektiivin säännöksiin, jotka on pantu täytäntöön rikosasioiden tietosuojalailla. Rikosasioiden tietosuojadirektiivissä tarkoitetusta valvontaviranomaisesta säädetään tietosuojalaissa.
JIT-puitepäätös on kansallisesti pantu täytäntöön lailla yhteisistä tutkintaryhmistä (1313/2002, jäljempänä JIT-laki). Laki koskee pääosin esitutkintaviranomaisia ja syyttäjiä. Lain 1 §:n mukaan toimivaltainen esitutkintaviranomainen voi yhdessä vieraan valtion toimivaltaisen viranomaisen kanssa tehdä sopimuksen yhteisen tutkintaryhmän (tutkintaryhmä) perustamisesta rikoksen esitutkinnan toimittamiseksi. Ennen sopimuksen tekemistä esitutkintaviranomaisen on ilmoitettava syyttäjälle tai Eurojustin Suomen kansalliselle jäsenelle aikomuksesta perustaa tutkintaryhmä. Toimivaltaisten viranomaisten henkilötietojen käsittelyyn sovelletaan Suomessa rikosasioiden tietosuojalakia.
JIT-lain 6 §:ssä säädetään JIT-puitepäätöksen 1 artiklan 10 kohdan mukaisista tietojen käytön rajoituksista. Säännökset koskevat tietoja, jotka on saatu tutkintaryhmän toiminnassa ja jotka muutoin eivät olisi Suomen viranomaisten tiedossa. Tiedot voidaan saada vieraassa valtiossa tai esimerkiksi vieraan valtion viranomaiselta tutkintaryhmän toimiessa Suomessa. Pykälän 1 momentti koskee tietojen käyttämistä esitutkinnassa ja syytteen nostamisessa. Pykälän 2 momentissa säädetään tietojen käytöstä muissa tilanteissa. Pykälän 3 momentissa on huomioitu tilanne, jossa tietojen käytön rajoituksiin sovelletaan puitepäätöksestä ja 1 ja 2 momentista poikkeavia ehtoja. Pykälän tarkoittamat tiedot voivat sisältää myös henkilötietoja. Henkilötietojen käsittelyyn liittyviä käyttötarkoitusten rajoituksia ei ole nimenomaisesti huomioitu voimassa olevassa pykälässä.
EIO-direktiivi on pantu kansallisesti täytäntöön lailla rikosasioita koskevaa eurooppalaista tutkintamääräystä koskevan direktiivin täytäntöönpanosta (430/2017, jäljempänä EIO-direktiivin täytäntöönpanolaki). EIO-direktiivin täytäntöönpanolaissa säädetään tehtäviä poliisi- rajavartio- ja tulliviranomaisille sekä syyttäjille ja yleisille tuomioistuimille, jotka ovat rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvia toimivaltaisia viranomaisia, joihin sovelletaan täytäntöönpanolain mukaisissa tehtävissä rikosasioiden tietosuojalakia. Oikeusministeriö toimii EIO-direktiivin täytäntöönpanolain 4 §:n mukaan direktiivin 7 artiklan 3 kohdassa tarkoitettuna keskusviranomaisena. Oikeusministeriön tehtävänä on avustaa toimivaltaisia viranomaisia tutkintamääräyksen toimittamiseen liittyvässä yhteydenpidossa.
JIT-puitepäätöksen ja EIO-direktiivin muutoksilla ei ole merkittäviä vaikutuksia edellä mainittuihin lakeihin. Rikosasioiden tietosuojadirektiivin 4 artiklan 2 kohta on pantu täytäntöön rikosasioiden tietosuojalain 5 §:n 2 momentilla ja 9 artiklan 1 kohta lain 5 §:n 1 ja 2 momentilla. Direktiivin 9 artiklan 3 kohta on pantu täytäntöön lain 10 §:n 1 momentilla. JIT-puitepäätöksen muuttamista koskeva direktiivi edellyttää kuitenkin muutosta JIT-lain 6 §:ään, joka sisältää voimassa olevaa puitepäätöstä vastaavat säännökset tietojen käyttöä koskevista rajoituksista. Puitepäätökseen lisätty viittaus rikosasioiden tietosuojadirektiiviin on aineellinen viittaussäännös. Vaikka Suomessa rikosasioiden tietosuojalakia sovellettaisiin 10 artiklan 1 kohdan b–d alakohdassa tarkoitettuihin tarkoituksiin ilman eri säännöstä, jos tiedot sisältävät henkilötietoja, voimassa olevat 6 §:n säännökset tarkoittavat rikosasioiden tietosuojalaista poikkeamista siten, että tietosuojan taso ei vastaa rikosasioiden tietosuojadirektiivin edellyttämää vähimmäistasoa.
EIO-direktiivin täytäntöönpanolaki ei sisällä viittaussäännöksiä sovellettaviin henkilötietojen suojaa koskeviin yleislakeihin, joten 20 artiklan kumoamisella ei ole suoraa vaikutusta lakiin. EIO-direktiivin muuttamista koskevassa direktiivissä täsmennetään artiklan sijasta johdanto-osassa henkilötietojen käsittelyyn sovellettava säädös, joka on joko rikosasioiden tietosuojadirektiivi tai EU:n yleinen tietosuoja-asetus tietojen käsittelytarkoituksesta riippuen. Myös Suomessa esimerkiksi toisen jäsenvaltion antamaan tutkintamääräykseen sisältyvien henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalakia tai tietosuoja-asetusta henkilötietojen käsittelytarkoituksen mukaisesti. Tämä määräytyy suoraan kyseisten säädösten ja tietosuoja-asetusta täydentävän tietosuojalain (1050/2018) soveltamisalasäännösten perusteella eikä informatiivinen viittaussäännös ole tarpeen EIO-direktiivin täytäntöönpanolaissa. EIO-direktiivin 20 artiklan kumoamisesta ei aiheudu myöskään muita lainmuutostarpeita.
Esityksellä ehdotetaan muutettavaksi JIT-lain 6 §:ää, jolla JIT-puitepäätöksen 10 artikla on pantu täytäntöön. Pykälään lisättäisiin uusi momentti, joka vastaisi sisällöllisesti 10 artiklan muutoksia.
Vaikutukset viranomaisten toimintaan
Euroopan komissio viittasi JIT-puitepäätöksen muuttamista koskevassa ehdotuksessaan rikosasioiden tietosuojadirektiiviä koskevaan vaikutustenarviointiin (SEC(2012) 72 final, suomenkielinen tiivistelmä SEK(2012) 73 final). Yksi keskeisimmistä rikosasioiden tietosuojadirektiivin tavoitteista on ollut yhtenäistää jäsenvaltioiden rikosasioissa toimivaltaisten viranomaisten suorittamaa henkilötietojen käsittelyä koskevat säännökset. Jotta tähän tavoitteeseen päästään, tärkeää on uudistaa myös EU:n erityislainsäädännön sisältämät henkilötietojen käsittelyä koskevat säännökset ja niiden kansalliset täytäntöönpanosäännökset. Merkittävimmät ongelmat, joita kumottuun tietosuojapuitepäätökseen liittyi, olivat sen puutteellinen soveltamisala, sen epäselvä suhde vanhaan kolmannen pilarin erityislainsäädäntöön sekä se, että tietosuojapuitepäätös mahdollisti poikkeamisen sen tietosuojan tasosta kansallisessa lainsäädännössä. Rikosasioiden tietosuojadirektiivi on tarkoitettu poistamaan nämä puutteet. Direktiivissä säädetään tietosuojan minimitasosta, josta ei voi poiketa kansallisesti. Jäsenvaltioilla on oikeus käyttää liikkumavaraa ainoastaan tiukemmista käsittelyn edellytyksistä säätämiseksi. Kun vanhan kolmannen pilarin säädösten sisältämät henkilötietojen käsittelyä koskevat säännökset saatetaan rikosasioiden tietosuojadirektiivin edellyttämälle tasolle, se lisää oikeusvarmuutta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä.
Yhteisiin tutkintaryhmiin osallistuvia toimivaltaisia viranomaisia koskevat jo täysimääräisesti rikosasioiden tietosuojalain säännökset, joilla rikosasioiden tietosuojadirektiivi on pantu täytäntöön. Ehdotetusta lainmuutoksesta ei seuraisi uusia velvoitteita. JIT-lain muutoksella olisi kuitenkin näiden viranomaisten lainsäädännön soveltamista selkiyttävää vaikutusta, koska voimassa olevan lain 6 §:ää voitaisiin tulkita henkilötietojen käyttötarkoitusten osalta rikosasioiden tietosuojalakia väljemmin. Lainmuutos korostaa sitä, mitä toimivaltaisten viranomaisten on otettava huomioon, kun ne käsittelevät henkilötietoja muuhun kuin niiden alkuperäiseen keräämistarkoitukseen.
Ehdotuksesta voisi aiheutua toimivaltaisille viranomaisille vähäistä lisätyötä, joka seuraisi mahdollisesta rekisterinpitäjien tarpeesta tarkistaa ohjeitaan, jotka koskevat tiedonluovutuksiin sovellettavia rajoituksia ja niistä ilmoittamista tietojen vastaanottajille. Vaikutusta aiheutuisi kuitenkin vain siinä tapauksessa, että henkilötietojen käyttöön liittyviä rajoituksia ei ole huomioitu tältä osin rikosasioiden tietosuojalain täytäntöönpanon yhteydessä.
Taloudelliset vaikutukset
JIT-puitepäätöksen ja EIO-direktiivin muutokset ovat vähäisiä. Rikosasioiden tietosuojadirektiivistä on seurannut jäsenvaltioiden toimivaltaisiin viranomaisiin kohdistuvia eriasteisia taloudellisia vaikutuksia. Ehdotetulla JIT-lain muutoksella ei ole niistä riippumattomia taloudellisia vaikutuksia esimerkiksi tietojärjestelmiin tai tiedonhallintaan. Mahdolliset kustannukset katettaisiin valtiontalouden kehyspäätösten ja valtion talousarvioiden mukaisten määrärahojen puitteissa.
Vaikutukset henkilötietojen suojaan
Komission rikosasioiden tietosuojadirektiiviehdotusta koskevan vaikutustenarvioinnin mukaan henkilötietojen suojaan liittyvät puutteet aiemman lainsäädännön osalta liittyivät osin henkilötietojen käyttötarkoitussidonnaisuuden vaatimuksen noudattamiseen. Lisäksi epäselvällä kumotun tietosuojapuitepäätöksen ja erityislainsäädännön suhteella on ollut oikeusvarmuutta heikentävää vaikutusta rekisteröityihin.
Ehdotettu lainmuutos vaikuttaisi myönteisesti henkilötietojen suojan ja yksityiselämän suojan toteutumiseen silloin, kun kyse on henkilötietojen käsittelystä muuhun kuin niiden alkuperäiseen keräämistarkoitukseen, sekä tiedonluovutusten yhteydessä. Lain säännökset myös täyttäisivät paremmin henkilötietojen käsittelyn läpinäkyvyyttä koskevan vaatimuksen ja lisäisivät oikeusvarmuutta erityisesti käyttötarkoitussidonnaisuuden vaatimuksen noudattamisen osalta myös suhteessa rekisteröityihin.
Hallituksen esityksen luonnoksesta pyydettiin lausunto sisäministeriöltä, valtiovarainministeriöltä, Poliisihallitukselta, keskusrikospoliisilta, Rajavartiolaitokselta, Tullilta, Syyttäjälaitokselta, Tuomioistuinvirastolta ja tietosuojavaltuutetun toimistolta. Lausuntopyynnössä pyydettiin kiinnittämään erityisesti huomiota ehdotetun lainmuutoksen vaikutuksiin. Tuomioistuinvirasto kiinnitti lausunnossaan huomiota rikosasioiden tietosuojalain 10 §:n 1 momentin soveltamisalaan. Lakiehdotuksen säännöskohtaisia perusteluja on täydennetty tältä osin ja pykälää on täsmennetty sen selventämiseksi, että lainmuutos liittyy pelkästään tilanteisiin, joissa tietojen ja samalla käsiteltävien henkilötietojen käyttötarkoitus muuttuu. Lausunnonantajat eivät esittäneet esitysluonnoksesta muita erityisiä huomioita.
6 §. Tietojen käytön rajoitukset. Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jolla pantaisiin täytäntöön JIT-puitepäätöksen 1 artiklan 10 kohdan uusi alakohta. Momentin mukaan silloin, kun tutkintaryhmän toiminnassa saatuja tietoja käytettäisiin muuhun kuin siihen tarkoitukseen, jota varten tutkintaryhmä on perustettu, ja kyseisiin tarkoituksiin käytettäviin tietoihin sisältyy henkilötietoja, henkilötietoja saisi käsitellä ainoastaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ja erityisesti sen 5 §:n 1 ja 2 momentin ja 10 §:n 1 momentin mukaisesti. Muutoksen myötä pykälä olisi yhdenmukainen tietosuojalainsäädännön vaatimusten kanssa.
JIT-puitepäätöksen 1 artiklan 10 kohta ja muutettavaksi ehdotettu pykälä koskevat tutkintaryhmän toiminnassa saatujen tietojen käyttötarkoituksia ja niiden rajoituksia. JIT-puitepäätöksen muutos ja ehdotettu lainmuutos liittyvät pelkästään tilanteisiin, joissa tietoja käytetään johonkin muuhun tarkoitukseen kuin tutkintaryhmän alkuperäiseen perustamistarkoitukseen, ja joissa samalla henkilötietojen alkuperäinen käyttötarkoitus muuttuu. Käsiteltäessä henkilötietoja muuhun kuin alkuperäiseen käyttötarkoitukseen olisi aina noudatettava rikosasioiden tietosuojalain 5 §:n 1 ja 2 momenttia. Näitä säännöksiä olisi noudatettava myös silloin, kun tietoja luovutetaan tai siirretään muuhun kuin alkuperäiseen käyttötarkoitukseen, ja tietojen vastaanottajalle olisi ilmoitettava henkilötietojen käsittelyn edellytyksistä sekä velvollisuudesta noudattaa niitä rikosasioiden tietosuojalain 10 §:n 1 momentin mukaisesti. Rikosasioiden tietosuojalain 10 §:n 1 momentin mukaista ilmoitusvelvollisuutta sovelletaan kuitenkin myös muissa tilanteissa, joissa luovutettavien henkilötietojen käsittelyyn liittyy erityisiä laissa säädettyjä käsittelyn rajoituksia tai muita edellytyksiä, ei pelkästään silloin, kun henkilötietojen käyttötarkoitus muuttuu. Näihin tilanteisiin sovellettaisiin edelleen sellaisenaan rikosasioiden tietosuojalain säännöksiä.
Jäsenvaltioiden on saatettava JIT-puitepäätöksen muuttamista koskevan direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 11 päivänä maaliskuuta 2023, ja EIO-direktiivin muuttamista koskevan direktiivin osalta viimeistään 14 päivänä maaliskuuta 2023. Ehdotettu laki on tarkoitettu tulemaan voimaan 1.3.2023.
Ehdotettu lainmuutos on merkityksellinen perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3–4).
Oikeus henkilötietojen suojaan on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklassa ja SEUT-sopimuksen 16 artiklassa. Tietosuoja liittyy läheisesti myös yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa. Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdan mukaan viranomaiset eivät saa puuttua yksityiselämään, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä esimerkiksi kansallisen ja yleisen turvallisuuden vuoksi tai rikollisuuden estämiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.
Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp, s. 2/II). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on katsonut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 14/2018 vp, s. 8, PeVL 26/2018 vp, s. 4, PeVL 54/2014 vp, s. 2/II ja PeVL 10/2014 vp, s. 4/II).
Perustuslakivaliokunta on katsonut, että mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). Valiokunta on viitannut arkaluonteisten tietojen muodostaman riskin lisäksi nimenomaisesti siihen, että valiokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslakivaliokunnan mielestä perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. (PeVL 26/2018 vp, s. 3) Vaikka kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp), perustuslakivaliokunta on pitänyt edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi (PeVL 15/2018 vp). Näillä tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät (ks. tältä osin myös esim. PeVL 17/2018 vp.). Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia.
Rikosasioihin liittyvien henkilötietojen käsittely kohdistuu valtiosääntöisesti arkaluonteisiin tietoihin, minkä lisäksi sääntelykonteksti on perusoikeusherkkä. Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 15/2018 vp, s. 37, ks. myös PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja- asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 15/2018 vp s. 37 ja PeVL 3/2017 vp, s. 5).
Perustuslakivaliokunta on korostanut arkaluonteisten tietojen käsittelyn välttämättömyyden vaatimuksen ohella erityisesti käyttötarkoitussidonnaisuuden vaatimusta ja pitänyt mahdollisena tehdä käyttötarkoitussidonnaisuudesta vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia (PeVL 22/2022 vp, kappale 18, PeVL 40/2021 vp, kappale 15). Tällainen sääntely ei myöskään saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. PeVL 15/2018 vp, s. 45, PeVL 1/2018 vp, s. 4, PeVL 14/2017 vp, s. 5–6).
Perustuslakivaliokunta on toisaalta todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita EU:n lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).
Rikosasioihin liittyvän henkilötietojen käsittelyn luonne on huomioitu rikosasioiden tietosuojadirektiivissä. JIT-puitepäätöksen muuttamista koskevan direktiivin tarkoituksena on varmistaa, että kaikkeen JIT-puitepäätöksen mukaiseen yhteistyöhön sovelletaan EU:n tietosuojalainsäädännön horisontaalisia periaatteita ja sääntöjä, mikä edistää perusoikeuskirjan 8 artiklan täytäntöönpanoa. Se, että yhdenmukaisia tietosuojalainsäädännön periaatteita ja sääntöjä sovelletaan myös muutettavien puitepäätöksen ja direktiivin mukaiseen tietojenkäsittelyyn, vaikuttaa myönteisesti myös perustuslain ja kansainvälisten ihmisoikeusvelvoitteiden mukaiseen yksityiselämän ja henkilötietojen suojaan. JIT-puitepäätöksen muuttamista koskeva direktiivi ei sisällä kansallista liikkumavaraa, vaan se on pantava täytäntöön sellaisenaan. JIT-lain muutos kuitenkin samalla saattaa lain 6 §:n säännökset henkilötietojen käsittelyn osalta perustuslakivaliokunnan korostaman käyttötarkoitussidonnaisuuden vaatimuksen mukaiseksi. Muutos varmistaisi myös aiempaa paremmin, että rikosasioiden tietosuojalain vaatimukset otetaan huomioon lakia sovellettaessa, kun henkilötietoja käsitellään muuhun kuin niiden alkuperäiseen keräämistarkoitukseen.
Edellä mainituilla perusteilla lakiehdotus voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.
Ponsi
Koska JIT-puitepäätöksen muuttamista koskevassa direktiivissä on säännöksiä, jotka ehdotetaan pantaviksi täytäntöön lailla, annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus:
Eduskunnan päätöksen mukaisesti
lisätään yhteisistä tutkintaryhmistä annetun lain (1313/2002) 6 §:ään uusi 4 momentti
seuraavasti:
6 §Tietojen käytön rajoitukset
Silloin, kun tutkintaryhmän toiminnassa saatuja tietoja käytetään muuhun kuin siihen tarkoitukseen, jota varten tutkintaryhmä on perustettu, ja kyseisiin tarkoituksiin käytettäviin tietoihin sisältyy henkilötietoja, henkilötietoja saa käsitellä ainoastaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) ja erityisesti sen 5 §:n 1 ja 2 momentin ja 10 §:n 1 momentin mukaisesti.
Tämä laki tulee voimaan päivänä kuuta 20 .
Helsingissä 10.11.2022
Pääministeri
Sanna Marin
Oikeusministeri
Anna-Maja Henriksson