HE 31/2018

Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä sekä eräiksi siihen liittyviksi laeiksi

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Lailla pantaisiin täytäntöön niin sanottu rikosasioiden tietosuojadirektiivi.

Ehdotettua lakia sovellettaisiin poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Tältä osin kyse on kansallisesta ratkaisusta.

Ehdotettu laki olisi edellä mainituissa tilanteissa sovellettava yleislaki, jonka sääntelystä voidaan erityislainsäädännössä poiketa.

Ehdotetussa laissa säädettäisiin käyttötarkoitussidonnaisuudesta ja muista henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, tarkastusoikeudesta ja muista rekisteröidyn oikeuksista, tietoturvallisuusvaatimuksista, tietosuojavastaavan nimeämisestä ja tehtävistä, vaatimuksista siirrettäessä henkilötietoja kolmansiin maihin, lain noudattamisen valvonnasta sekä käytettävissä olevista oikeussuojakeinoista ja seuraamuksista.

Lain noudattamista valvoisi tietosuojavaltuutettu.

Ehdotettuun lakiin liittyen esityksessä ehdotetaan lisäksi muutettaviksi rikosrekisterilakia, rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annettua lakia, oikeushallinnon valtakunnallisesta tietojärjestelmästä annettua lakia, sakon täytäntöönpanosta annettua lakia ja henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annettua lakia.

Hallituksen esitys liittyy vuoden 2018 ensimmäiseen lisätalousarvioesitykseen, mutta ei ole tarkoitettu käsiteltäväksi sen yhteydessä.

Lait ovat tarkoitetut tulemaan voimaan 6 päivänä toukokuuta 2018 tai mahdollisimman pian sen jälkeen.

YLEISPERUSTELUT

1 Johdanto

Esityksen tarkoituksena on panna täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi tai direktiivi). Direktiivi tuli voimaan 5 päivänä toukokuuta 2016 ja se on pantava täytäntöön 6 päivään toukokuuta 2018 mennessä.

Euroopan parlamentti ja neuvosto antoivat samanaikaisesti rikosasioiden tietosuojadirektiivin kanssa myös asetuksen (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus). Direktiivi ja asetus muodostavat yhdessä niin sanotun tietosuojapaketin, jonka tarkoituksena on uudistaa voimassa oleva EU:n tietosuojalainsäädäntö. Yleinen tietosuoja-asetus on sellaisenaan jäsenvaltioissa sovellettavaa oikeutta, ja sitä aletaan soveltaa 25 päivänä toukokuuta 2018. Yleistä tietosuoja-asetusta on tarkoitus täydentää Suomessa kansallisella lainsäädännöllä, jota on valmisteltu erikseen (HE 19/2018 vp).

Voimassa oleva EU:n tietosuojalainsäädäntö koostuu vuonna 1995 hyväksytystä direktiivistä (Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta, jatkossa henkilötietodirektiivi) sekä rikosasioita koskevasta oikeudellisesta yhteistyöstä ja poliisiyhteistyöstä vuonna 2008 annetusta puitepäätöksestä (Neuvoston puitepäätös 2008/977/YOS, tehty 27 päivänä marraskuuta 2008, rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta, jatkossa puitepäätös).

Tietosuojapaketin tavoitteena on päivittää ja nykyaikaistaa aikaisempaan henkilötietodirektiiviin sekä puitepäätökseen sisältyneet periaatteet, ottaen erityisesti huomioon informaatioteknologian nopea kehitys sekä jatkuvasti kasvava henkilötietojen käsittelyn määrä. Uudistuksen erityisenä sisällöllisenä tavoitteena on parantaa rekisteröityjen oikeuksia, vahvistaa EU:n sisämarkkinoita, varmistaa henkilötietojen suojan korkea taso rikosasioita käsiteltäessä ja yhteiskunnassa muutoinkin, varmistaa tietosuojasääntelyn noudattaminen ja valvonta sekä edistää henkilötietojen liikkuvuutta.

Henkilötietodirektiivi on Suomessa pantu täytäntöön pääasiassa henkilötietolailla (523/1999). Sen lisäksi voimassa olevassa lainsäädännössä on huomattavan paljon tietosuojaa koskevaa erityissääntelyä. Rikosasioiden henkilötietodirektiivin sääntely on voimassa olevaa kansallista yleislainsäädäntöä selvästi yksityiskohtaisempaa ja osin siitä poikkeavaa, minkä lisäksi henkilötietolaki on tarkoitus kumota yleistä tietosuoja-asetusta täydentävällä kansallisella lainsäädännöllä. Edellä mainituista syistä esityksessä ehdotetaan uuden henkilötietojen käsittelyä rikosasioissa koskevan lain säätämistä.

Rikosasioiden tietosuojadirektiivi sen enempää kuin yleinen tietosuoja-asetuskaan eivät soveltamisalasäännöstensä perusteella tule sovellettavaksi sellaiseen henkilötietojen käsittelyyn, jota suoritetaan unionin oikeuden soveltamisalaan kuulumattoman toiminnan yhteydessä. Niiden soveltamisen ulkopuolelle jää muun muassa kansallisen turvallisuuden takaamisen yhteydessä suoritettu henkilötietojen käsittely. Jotta henkilötietojen käsittely tulee Suomessa kattavasti säännellyksi, ehdotettua lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.

2 Rikosasioiden tietosuojadirektiivi
2.1 Yleistä

Euroopan komissio antoi ehdotuksensa yleiseksi tietosuoja-asetukseksi ja rikosasioiden tietosuojadirektiiviksi 27 päivänä tammikuuta 2012. Komission aloitteet perustuivat laajoihin, vuosina 2009—2011 järjestettyihin kuulemiskierroksiin sekä vaikutustenarviointiin. Direktiivi- ja asetusehdotuksia käsiteltiin neuvostossa samanaikaisesti.

Rikosasioiden tietosuojadirektiivin tarkoituksena on varmistaa henkilötietojen suoja direktiivin soveltamisalalla sekä helpottaa tietojen vapaata liikkuvuutta jäsenvaltioiden poliisi- ja oikeusviranomaisten välillä. Se on osittain luonteeltaan niin sanottu minimidirektiivi, koska sillä ei estetä jäsenvaltioita säätämästä korkeammasta rekisteröidyn oikeuksien suojan tasosta.

Rikosasioiden tietosuojadirektiivi kumoaa EU:n tietosuojapuitepäätöksen 2008/977/YOS 6 päivästä toukokuuta 2018 lukien. Molempien säädösten tarkoituksena on taata luonnollisten henkilöiden korkeatasoinen ja johdonmukainen suoja henkilötietojen käsittelyssä rikosasioissa sekä helpottaa henkilötietojen vaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken. Kumottava puitepäätös koskee kuitenkin vain EU:n jäsenvaltioiden rajat ylittävää henkilötietojen käsittelyä, kun taas tietosuojadirektiivi koskee myös jäsenvaltion sisällä tapahtuvaa henkilötietojen käsittelyä. Lisäksi tietosuojadirektiivi on yksityiskohtaisempi ja soveltamisalaltaan laajempi kuin tietosuojapuitepäätös, ja sisältää sitä vähemmän poikkeamismahdollisuuksia.

2.2 Rikosasioiden tietosuojadirektiivin pääasiallinen sisältö

Direktiivin rakenne

Rikosasioiden tietosuojadirektiivissä on yhdeksän lukua. Luvut käsittelevät yleisiä säännöksiä, periaatteita, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia, yhteistyötä, oikeussuojakeinoja, vastuuta ja seuraamuksia, direktiivin täytäntöönpanoa sekä direktiivin loppusäännöksiä.

Yleiset säännökset

Direktiivin soveltamisala määritellään sen 2 artiklassa. Direktiiviä sovelletaan toimivaltaisten viranomaisten suorittamaan henkilötietojen käsittelyyn, kun kyse on rikosten ennalta estämisestä, tutkimisesta, paljastamisesta tai rikoksiin liittyvistä syytetoimista tai rikosoikeudellisten seuraamusten täytäntöönpanosta. Direktiiviä sovelletaan myös, kun kyse on yleiseen turvallisuuteen kohdistuvilta uhkilta suojelusta tai tällaisten uhkien ehkäisemisestä. Direktiiviä ei kuitenkaan sovelleta henkilötietojen käsittelyyn, jota suoritetaan unionin oikeuden soveltamisalaan kuulumattoman toiminnan yhteydessä tai jota suorittavat unionin toimielimet, elimet ja laitokset. Direktiivin soveltamisalan ulkopuolelle jää siten muun muassa Europolin ja Eurojustin toiminta sekä kansallinen turvallisuus ja puolustus. Soveltamisalarajoituksestaan huolimatta direktiivi mahdollistaa kansallisesti direktiivin mukaisen sääntelyn ulottamisen henkilötietojen käsittelyyn kansalliseen turvallisuuden ja puolustuksen alalla.

Direktiivin 3 artiklassa määritellään muun muassa henkilötietojen, käsittelyn, toimivaltaisen viranomaisen, rekisterinpitäjän, vastaanottajan ja kansainvälisen järjestön käsitteet. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) liittyviä tietoja. Toimivaltaisella viranomaisella tarkoitetaan kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon. Toimivaltaisen viranomaisen käsite ulotetaan määritelmässä koskemaan myös sellaisia muita elimiä tai yksiköitä, joille on lailla annettu tehtäväksi käyttää julkista valtaa tai valtuuksia jossakin edellä mainitussa tarkoituksessa.

Periaatteet

Direktiivin 4—11 artiklassa säädetään henkilötietojen käsittelyä koskevista yleisistä periaatteista.

Jäsenvaltioiden on 4 artiklan mukaan säädettävä muun muassa siitä, että henkilötietoja käsitellään lainmukaisesti ja että niitä kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Saman tai toisen rekisterinpitäjän suorittama käsittely muuta kuin alkuperäistä tarkoitusta varten on kuitenkin sallittua, jos käsittelystä säädetään laissa ja käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhtaista. Artiklan 3 kohdassa on arkistointia sekä tieteellistä, tilastollista tai historiallista käsittelyä koskevat erityissäännökset. Käsittelyn lainmukaisuuden vaatimusta täsmennetään direktiivin 8 artiklassa, jonka mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi direktiivin soveltamisalalla ja jos se perustuu lakiin.

Eri ryhmiin, kuten rikoksista tuomittuihin ja rikoksen uhreihin, kuuluvien henkilötiedot on 6 artiklassa säädetyn mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi erotettava toisistaan. Myös tosiseikkoihin perustuvat tiedot on mahdollisuuksien mukaan erotettava henkilökohtaisiin arvioihin perustuvista henkilötiedoista (7 artikla).

Direktiivin 10 artiklassa on säännökset erityisiä henkilötietoryhmiä koskevasta käsittelystä. Erityisillä henkilötietoryhmillä tarkoitetaan tietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys samoin kuin geneettisiä tietoja, biometrisiä tietoja sekä terveyttä taikka seksuaalista suuntautumista tai seksuaalista käyttäytymistä koskevia tietoja. Direktiivin 11 artiklassa on säännökset profiloinnista, mukaan lukien kielto käyttää sellaista profilointia, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään. Direktiivi edellyttää myös tietoturvan ja tietojen laadun varmistamista.

Rekisteröidyn oikeudet

Direktiivin 12—18 artiklassa säädetään jäsenvaltioilta edellytetyistä lainsäädäntötoimenpiteistä rekisteröidyn oikeuksien turvaamiseksi.

Direktiivin 13 artiklassa edellytetään, että rekisterinpitäjän on asetettava rekisteröidyn saataville muun muassa rekisterinpitäjän henkilöllisyyttä, henkilötietojen käsittelyn tarkoitusta ja mahdollista tietosuojavastaavaa koskevat tiedot, samoin kuin tieto rekisteröidyn oikeudesta pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten henkilötietojen oikaisemista tai poistamista tai henkilötietojen käsittelyn rajoittamista.

Direktiivin 14 artiklassa säädetyn mukaan rekisteröidyllä tulee olla oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja. Rekisteröidyllä tulee myös olla oikeus saada pääsy henkilötietoihin sekä oikeus saada tiedot muun muassa käsittelyn tarkoituksista ja oikeusperusteesta. Direktiivin 16 artiklassa säädetyn mukaisesti rekisteröidyllä on oikeus vaatia rekisterinpitäjää oikaisemaan rekisteröityä koskevat virheelliset henkilötiedot. Direktiivi mahdollistaa sen, että rekisteröidyn oikeuksia voidaan käyttää välillisesti tietosuojaviranomaisten välityksellä.

Jäsenvaltiot voivat kuitenkin säätää oikeudesta rajoittaa edellä mainittujen tietojen antamista tai velvollisuutta henkilötietojen oikaisemiseen, jos se on välttämätöntä virallisten menettelyjen estämisen välttämiseksi, rikosten ennalta estämisen, paljastamisen, tutkimisen, syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, yleisen turvallisuuden suojelemiseksi, kansallisen turvallisuuden suojelemiseksi taikka muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi (13 artiklan 3 kohta, 15 artikla, 16 artiklan 4 kohta).

Direktiivin 18 artiklassa säädetyn mukaisesti jäsenvaltiot voivat säätää rekisteröidyn tarkastus- ja oikaisuoikeudesta kansallisesti, jos henkilötiedot sisältyvät rikostutkinnan ja rikosoikeudellisen menettelyn yhteydessä käsiteltyyn tuomioistuimen päätökseen, asiakirjaan tai tapausaineistoon. Rikosasioiden tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta.

Rekisterinpitäjä ja henkilötietojen käsittelijä

Direktiivin 19—34 artiklassa säädetään rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, henkilötietojen turvallisuudesta ja tietosuojavastaavasta.

Direktiivin 19 artiklassa säädetyn mukaisesti rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittely vastaa direktiivissä säädettyjä vaatimuksia. Tällaisiin toimenpiteisiin on ryhdyttävä erityisesti sen varmistamiseksi, että tarvittavat henkilötietojen suojatoimet saadaan sisällytettyä käsittelyn osaksi (ns. sisäänrakennettu tietosuoja, 20 artiklan 1 kohta) ja että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja (ns. oletusarvoinen tietosuoja, 20 artiklan 2 kohta).

Direktiivin 21 artiklassa on keskinäistä vastuunjakoa koskevat säännökset tilanteista, joissa vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, jolloin ne katsotaan yhteisiksi rekisterinpitäjiksi.

Henkilötietojen käsittelyä ulkoistettaessa saa rekisterinpitäjä käyttää ainoastaan sellaista henkilötietojen käsittelijää, joka antaa riittävät takeet edellä mainittujen teknisten ja organisatoristen toimenpiteiden toteuttamisesta (22 artiklan 1 kohta). Rekisterinpitäjän ja henkilötietojen käsittelijän tulee laatia sopimus tai tehdä muu oikeustoimi, jossa vahvistetaan muun muassa käsittelyn kohde, kesto, luonne ja tarkoitus (22 artiklan 3 kohta).

Rekisterinpitäjän ja henkilötietojen käsittelijän on ylläpidettävä selostetta vastuulleen kuuluvista käsittelytoimista. Selosteen sisällöstä on otettu tarkemmat säännökset 24 artiklaan.

Automatisoiduissa käsittelyjärjestelmissä on säilytettävä 25 artiklassa tarkoitetut lokitiedot. Tiedot on säilytettävä seuraavista käsittelytoimista: tietojen kerääminen, muuttaminen, kysely, luovuttaminen siirrot mukaan lukien, yhdistäminen ja poistaminen. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä toteamaan kyseisten toimien perusteet, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja saa käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, omaehtoiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

Direktiivin 27 artiklaan on otettu säännökset rekisterinpitäjän velvollisuudesta tehdä tietosuojaa koskeva vaikutustenarviointi. Arviointi on tehtävä, jos tietyntyyppinen käsittely todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Jos kyseessä on uusi, tekeillä oleva rekisteri, ja vaikutustenarviointi osoittaa käsittelyn aiheuttavan korkean riskin jollei rekisterinpitäjä toteuta toimenpiteitä riskin lieventämiseksi, on valvontaviranomaista kuultava ennen henkilötietojen käsittelyn aloittamista (28 artikla). Valvontaviranomaista on kuultava myös, jos tietojen käsittely on sen luonteista, että siihen sisältyy muutoin rekisteröityjen oikeuksien ja vapauksien kannalta korkea riski, esimerkiksi uusien tekniikoiden, mekanismien tai menettelyjen käytön johdosta.

Direktiivin 29 artiklassa on säännökset rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudesta teknisin ja organisatorisin toimenpitein toteuttaa asianmukainen tietoturvallisuuden taso. Automatisoidun käsittelyn osalta niiden on esimerkiksi toteutettava toimenpiteet, joiden tarkoituksena on evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin, estää tietovälineiden luvaton lukeminen sekä varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan valtuutuksensa piiriin kuuluviin henkilötietoihin.

Henkilötietojen tietoturvaloukkauksen tapauksessa rekisterinpitäjän tulee ilmoittaa siitä valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta (30 artikla). Henkilötietojen käsittelijän on puolestaan ilmoitettava tietoturvaloukkauksesta rekisterinpitäjälle.

Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta myös rekisteröidylle, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tietyin edellytyksin loukkauksesta ei kuitenkaan tarvitse ilmoittaa rekisteröidylle, muun muassa jos rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että edellä mainittujen riskien toteutuminen on epätodennäköistä. Rekisteröidylle ilmoittamista voidaan viivästyttää tai rajoittaa tai se voidaan jättää tekemättä, jos se on välttämätöntä virallisten menettelyjen estämisen välttämiseksi, rikosten ennalta estämisen, paljastamisen, tutkimisen, syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon turvaamiseksi, yleisen turvallisuuden suojelemiseksi, kansallisen turvallisuuden suojelemiseksi taikka muiden henkilöiden oikeuksien ja vapauksien suojaamiseksi.

Jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä nimittää tietosuojavastaavan. Jäsenvaltiot voivat vapauttaa tuomioistuimet ja muut riippumattomat oikeusviranomaiset tästä velvoitteesta näiden hoitaessa lainkäyttötehtäviään. Tietosuojavastaavan nimittämisestä, asemasta ja tehtävistä säädetään direktiivin 32—34 artiklassa.

Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

Direktiivin 35—38 artiklassa on säännökset niistä edellytyksistä, joiden täyttyessä henkilötietoja saa siirtää kolmanteen maahan tai kansainväliselle järjestölle. Siirron on ensinnäkin oltava tarpeen kolmannen maan toimivaltaisten viranomaisten hoitaessa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa koskevia tehtäviään. Tietoja voidaan siirtää vain sellaiseen kolmanteen maahan, jonka osalta Euroopan komissio on tehnyt tietosuojan riittävyyttä koskevan päätöksen. Jos komissio ei ole tehnyt tällaista päätöstä kyseisen maan osalta, tiedon siirtäminen edellyttää sopimusta henkilötietojen suojaamiseksi tehtävistä toimenpiteistä tai sitä, että rekisterinpitäjä kattavan arvion tehtyään katsoo henkilötietojen suojaamiseksi toteutetun asianmukaiset suojatoimet. Sekä komission päätöksen että asianmukaisten suojatoimien puuttuessa henkilötietoja saa siirtää vain eräistä erittäin painavista syistä, kuten luonnollisen henkilön elintärkeiden etujen suojaamiseksi tai jonkin maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan ehkäisemiseksi.

Riippumattomat valvontaviranomaiset

Jokaisella jäsenvaltiolla on oltava vähintään yksi riippumaton viranomainen, joka vastaa direktiivissä säädettyjen oikeuksien valvonnasta kyseisessä maassa. Tämä valvontaviranomainen voi olla sama kuin se, joka valvoo yleisen tietosuoja-asetuksen noudattamista kyseisessä maassa (41 ja 45 artikla). Valvontaviranomaisen on oltava riippumaton (42 artikla). Sen toimivaltaan ei kuitenkaan kuulu valvoa sellaisia käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.

Direktiivin 46 artiklassa säädetyn mukaisesti valvontaviranomainen käsittelee ja tutkii sille tehtyjä direktiivissä säädettyjen oikeuksien noudattamista koskevia valituksia. Valvontatehtävänsä ohella riippumattomalla viranomaisella on laajoja edistämis-, neuvonta-, lausunnonanto- ja yhteistyötehtäviä (46—50 artikla). Valvontaviranomaisen tehtävien suorittamisesta ei saa aiheutua kustannuksia rekisteröidylle eikä tietosuojavastaavalle. Jos pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia erityisesti siitä syystä, että niissä on toistuvuutta, valvontaviranomainen voi periä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Valvontaviranomaisella on oltava tehokkaat tiedonsaanti- ja muut valtuudet (47 artikla).

Yhteistyö

Direktiivin 50 artiklaan on otettu säännökset jäsenvaltioiden valvontaviranomaisten velvollisuudesta tehdä keskinäistä yhteistyötä. Artiklassa säädetään muun muassa valvonta-asiassa tehtävässä yhteistyössä noudatettavasta menettelystä. Direktiivin 51 artiklassa puolestaan säädetään yleisellä tietosuoja-asetuksella perustetun tietosuojaneuvoston tehtävistä direktiivin soveltamisalalla. Neuvoston tehtäviin kuuluu antaa suosituksia direktiivin soveltamisesta sekä antaa komissiolle lausunto kolmannen maan tietosuojan tason riittävyydestä.

Oikeussuojakeinot, vastuu ja seuraamukset

Direktiivin 52 artiklassa säädetyn mukaisesti jokaisella rekisteröidyllä on oltava oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo häneen liittyvässä henkilötietojen käsittelyssä rikotun direktiivin nojalla annettuja säännöksiä. Valvontaviranomaisen on ilmoitettava rekisteröidylle valituksen etenemisestä ja ratkaisusta. Direktiivin 53 artiklassa säädetään, että luonnollisilla henkilöillä ja oikeushenkilöillä on oltava oikeus käyttää tehokkaita oikeussuojakeinoja valvontaviranomaisen oikeudellisesti sitovia heitä koskevia päätöksiä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja. Jokaisella rekisteröidyllä on oltava oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut sen etenemisestä kolmen kuukauden kuluessa.

Jäsenvaltioiden on lisäksi 54 artiklan mukaisesti säädettävä, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo oikeuksiaan rikotun sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu lakia. Direktiivin 55 artiklassa säädetyn mukaisesti jäsenvaltioiden on kansallisen prosessioikeutensa mukaisesti säädettävä siitä, että rekisteröidyllä on oikeus valtuuttaa sellainen voittoa tavoittelematon elin, järjestö tai yhdistys, jonka tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojan edistämiseksi, tekemään valitus puolestaan ja käyttämään puolestaan 52, 53 ja 54 artiklassa tarkoitettuja oikeuksia.

Rekisteröidyllä on oltava oikeus saada korvausta aineettomasta tai aineellisesta vahingosta, joka tälle koituu direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä (56 artikla). Jäsenvaltioiden on vahvistettava säännöt tämän direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia (57 artikla).

Täytäntöönpanosäännökset ja loppusäännökset

Direktiivin 59 artiklassa säädetyn mukaisesti direktiivillä kumotaan neuvoston puitepäätös 2008/977/YOS. Direktiivin 63 artiklassa säädetyn mukaisesti jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Niiden on viipymättä ilmoitettava komissiolle kirjallisina nämä säännökset ja niitä on sovellettava 6 päivästä toukokuuta 2018. Jäsenvaltiot voivat kuitenkin säätää, että jos siitä aiheutuu suhteetonta vaivaa, voidaan ennen 6 toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät saattaa lokitietojen keräämistä koskevan 25 artiklan mukaisiksi viimeistään 6 toukokuuta 2023. Jos lokitietojen keräämistä koskevan velvoitteen täyttämisestä poikkeuksellisissa olosuhteissa aiheutuisi vakavia vaikeuksia automatisoidun käsittelyjärjestelmän toiminnalle, voidaan siirtymäaikaa pidentää enintään 6 toukokuuta 2026 asti.

Direktiivin 60 artiklan mukaan direktiivi ei vaikuta henkilötietojen suojaa koskeviin erityisiin säännöksiin, jotka sisältyvät ennen 6 päivää toukokuuta 2016 voimaan tulleisiin unionin säännöksiin.

Direktiivin 61 artiklassa säädetyn mukaan jäsenvaltioiden kolmansien maiden tai kansainvälisten järjestöjen kanssa tehdyt sopimukset, jotka ovat voimassa ennen direktiivin voimaantuloa ja joihin sisältyy henkilötietojen luovuttamista koskevia määräyksiä, säilyvät voimassa, kunnes niitä muutetaan tai ne kumotaan, edellyttäen kuitenkin, että nämä sopimukset ovat ennen direktiivin hyväksymistä vallinneen EU-oikeuden mukaisia.

3 Nykytila
3.1 Suomen lainsäädäntö ja käytäntö

Yleistä

Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Viranomaisten rikosasioissa suorittamaa henkilötietojen käsittelyä koskevat yleislakeina henkilötietolaki (523/1999) ja viranomaisten toiminnan julkisuudesta annettu laki (621/1999, jäljempänä julkisuuslaki).

Suomessa henkilötietodirektiivi on pantu täytäntöön henkilötietolailla ja siihen myöhemmin tehdyillä muutoksilla sekä julkisuuslain 16 §:n 3 momentin säännöksillä. Henkilötietodirektiiviä täytäntöönpanevia säännöksiä sisältyy myös tietosuojalautakunnasta ja tietosuojavaltuutetusta annettuun lakiin (389/1994) ja asetukseen (432/1994) sekä rikoslain (39/1889) 38 luvun 1, 2, 8, ja 9 §:ään sekä 40 luvun 5 §:ään.

Henkilötietolaki on yleislaki ja soveltamisalaltaan laajempi kuin henkilötietodirektiivi. Henkilötietolakia sovelletaan myös tietosuojapuitepäätöksen soveltamisalalla tapahtuvaan henkilötietojen käsittelyyn, jollei muualla laissa toisin säädetä.

Henkilötietojen käsittelyllä tarkoitetaan henkilötietolaissa kaikkia henkilötietoihin kohdistuvia toimenpiteitä, kuten esimerkiksi henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista ja tuhoamista. Henkilötietolakia sovelletaan sekä henkilötietojen automaattiseen käsittelyyn että muuhun käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Henkilötietolaissa on säännökset henkilötietojen käsittelyä koskevista yleisistä periaatteista, arkaluonteisten tietojen ja henkilötunnuksen käsittelemisestä, erityisiä tarkoituksia kuten tutkimusta varten tapahtuvasta henkilötietojen käsittelystä, henkilötietojen siirrosta kolmanteen maahan, tietoturvallisuudesta, henkilötietojen käsittelyn ohjauksesta ja valvonnasta sekä seuraamuksista.

Henkilörekisterin pitämiseen ja henkilötietojen käsittelyyn viranomaisissa sovelletaan lisäksi useita erityissäädöksiä.

Laissa oikeushallinnon valtakunnallisesta tietojärjestelmästä (372/2010) säädetään oikeushallinnon lainkäyttöasioiden käsittelyä ja täytäntöönpanoa palvelevasta oikeushallinnon valtakunnallisesta tietojärjestelmästä. Laissa säädetään tuomioistuimissa, syytäjäviranomaisissa sekä oikeusapuviranomaisissa vireillä olevia ja ratkaistuja asioita koskevien tietojen tallettamisesta, tietojen luovuttamisesta ja muusta käsittelystä. Tuomioistuimilla, syyttäjäviranomaisilla ja oikeusaputoimistoilla on velvollisuus liittyä tietojärjestelmään ja toimittaa siihen tietoja. Oikeusrekisterikeskus on oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjä. Tietojärjestelmään talletetut tiedot ovat salassa pidettäviä, eikä niitä siten voida luovuttaa, jollei laissa ole erikseen niin säädetty. Lain soveltamisalan ulkopuolelle jäävät viranomaiskohtaiset tietojärjestelmät.

Rikosrekisterilain (770/1993) mukaan rikosrekisteriin kerätään, talletetaan ja siitä luovutetaan tietoja, jotka tarvitaan rikosoikeudellisten seuraamusten määräämistä ja täytäntöönpanoa varten. Oikeusrekisterikeskus on rikosrekisterin rekisterinpitäjä. Rikosrekisteriin talletetut tiedot ovat salassa pidettäviä eikä niitä voida luovuttaa, jollei laissa ole erikseen niin säädetty. Laissa säädetään myös tietojen poistamisesta rikosrekisteristä.

Laissa sakon täytäntöönpanosta (672/2002) säädetään sakkorekisterin pitämisestä. Oikeusrekisterikeskus on sakkorekisterin rekisterinpitäjä. Sakkorekisteriä pidetään ja käytetään sakon täytäntöönpanosta annetussa laissa säädetyssä järjestyksessä täytäntöön pantavien asioiden täytäntöönpanoa varten. Sakkorekisterin sisältämät rikokseen ja rikosoikeudelliseen seuraamukseen liittyvät tiedot on pidettävä salassa. Mainittuja tietoja saa luovuttaa vain niille, joiden oikeudesta tietojen saamiseen säädetään erikseen lailla. Laki sisältää myös säännökset tietojen poistamisesta sakkorekisteristä.

Laissa rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä (214/2012, jäljempänä EU-rikosrekisterilaki) säädetään rikosrekisterin ja sakkorekisterin tietojen toimittamisesta siihen EU:n jäsenvaltioon, jonka kansalainen tuomittu on sekä toisesta jäsenvaltiosta Suomeen toimitettujen Suomen kansalaista koskevien rekisteritietojen säilyttämisestä Suomessa. Rikosrekisterin ja sakkorekisterin tietoja luovutetaan tuomitun kansalaisuusjäsenvaltioon EU-rikosrekisterilain 5 §:n mukaisesti. Rikosrekisteritietojen luovuttamisesta toiseen pohjoismaahan säädetään lisäksi asetuksella.

Oikeusrekisterikeskus ylläpitää EU-rikosrekisterilain nojalla säilytysrekisteriä Suomeen toimitettujen Suomen kansalaista koskevien tietojen säilyttämistä varten niiden edelleen luovuttamiseksi toisiin jäsenvaltioihin ja Suomen viranomaisille sekä rikosrekisteriotteelle merkitsemiseksi. Säilytysrekisteriin merkityt tiedot on pidettävä salassa. EU-rikosrekisterilailla on pantu täytäntöön neuvoston puitepäätös jäsenvaltioiden välisen rikosrekisteritietojen vaihdon järjestämisestä ja sisällöstä (2009/315/YOS). Puitepäätöksessä vahvistetuilla säännöillä täydennetään poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamista koskevia olemassa olevia yleisiä sääntöjä. Puitepäätöksen mukainen tietojenvaihto tapahtuu jäsenvaltioiden keskusviranomaisten välityksellä. Suomessa keskusviranomaisena toimii Oikeusrekisterikeskus.

Laissa henkilötietojen käsittelystä rikosseuraamuslaitoksessa (1069/2015) säädetään Rikosseuraamuslaitokselle kuuluvien rangaistusten täytäntöönpanotehtävien ja muiden tehtävien suorittamiseksi tarpeellisten henkilörekisterien pitämisestä ja muusta henkilötietojen käsittelystä. Laki koskee sakkorangaistusten täytäntöönpanoa vain sakon muuntorangaistuksen osalta. Ehdollisen vankeusrangaistuksen osalta laki koskee vain nuorille ehdollisen vankeuden tehosteeksi määrättyä valvontaa, koska ilman valvontaa tuomittu ehdollinen vankeusrangaistus ei edellytä täytäntöönpanotoimenpiteitä. Laki koskee myös Rikosseuraamuslaitoksen toteuttamaa tutkintavankeuden toimeenpanoa sekä Rikosseuraamuslaitoksen toimenpiteitä ja niissä tarvittavaa henkilötietojen käsittelyä seuraamukseen tuomitsemisen edellytyksiä selvitettäessä tai seuraamuksen täytäntöönpanoa valmisteltaessa. Rikosseuraamuslaitoksen valtakunnallisia henkilörekistereitä ovat täytäntöönpanorekisteri, yhdyskuntaseuraamusrekisteri, valvonta- ja toimintarekisteri, turvallisuustietorekisteri ja tapaajarekisteri.

Ulosottokaaressa (705/2007) säädetään ulosoton tietojärjestelmästä, joka on ulosottoviranomaisille kuuluvien tehtävien hoitamista varten perustettu ja ulosottoviranomaisten valtakunnalliseen käyttöön tarkoitettu automaattisen tietojenkäsittelyn avulla ylläpidettävä tietojärjestelmä. Valtakunnanvoudinvirasto huolehtii tietojärjestelmän ylläpitämisestä ja kehittämisestä. Ulosoton tietojärjestelmään kuuluu ulosottorekisteri, joka koostuu valtakunnallisesta hakemisto-osasta ja paikallisesti ylläpidetyistä rekisterin osista. Ulosottorekisteriä pitävät paikalliset ulosottoviranomaiset yhdessä. Valtakunnanvoudinvirasto huolehtii rekisterin yleisestä ylläpidosta ja antaa määräyksiä tietojen teknisestä tallettamis- ja käsittelytavasta. Ulosottorekisteriä varten kerättyjen ja siihen talletettujen henkilötietojen käsittelyyn sovelletaan henkilötietolakia, jollei ulosottokaaressa toisin säädetä. Ulosottokaari sisältää säännökset muun muassa rekisteröidyn tarkastusoikeudesta, tietojen poistamisesta ulosottorekisteristä ja viranomaisten välisestä tietojen luovuttamisesta. Osa ulosottorekisteriin talletetuista tiedoista on salassa pidettäviä.

Rikosasioiden tietosuojadirektiivissä tarkoitettuja rikosasiaa koskevia tietoja luovutetaan toisista EU:n jäsenvaltioista Suomen viranomaisille yksittäiseen asiaan liittyen kansainvälistä rikosoikeudellista yhteistyötä koskevia säädöksiä sovellettaessa. Kansainvälinen rikosoikeudellinen yhteistyö kattaa muun muassa keskinäisen oikeusavun rikosasioissa, rikoksen johdosta tapahtuvan luovuttamisen sekä yhteistyön vankeusrangaistuksen ja muiden rikosoikeudellisten seuraamusten täytäntöönpanon siirtämiseksi.

Keskeisin kansainvälistä rikosoikeusapua koskeva säädös Euroopan unionin jäsenvaltioiden välillä on direktiivi 2014/41/EU rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä. Suomessa direktiivi on pantu täytäntöön rikosasioita koskevaa eurooppalaista tutkintamääräystä koskevan direktiivin täytäntöönpanosta annetulla lailla (430/2017), joka tuli voimaan 3 päivänä heinäkuuta 2017.

Suhteessa niihin jäsenvaltioihin, joihin ei sovelleta tutkintamääräystä koskevaa direktiiviä, sovelletaan aikaisemmin voimassa ollutta sääntelyä. Tätä sääntelyä sovelletaan myös, kun kyse on sellaisesta rikosoikeusavusta, johon direktiiviä ei sovelleta. Keskeisimpiä tällaisia keskinäistä rikosoikeusapua koskevia monenvälisiä sopimuksia ovat Euroopan neuvoston keskinäistä oikeusapua rikosasioissa koskeva eurooppalainen yleissopimus (SopS 30/1981) ja keskinäisestä oikeusavusta rikosasioissa Euroopan unionin jäsenvaltioiden välillä vuonna 2000 tehty yleissopimus (SopS 56/2004). Kansainvälisestä oikeusavusta rikosasioissa säädetään lisäksi kansainvälisestä oikeusavusta rikosasioissa annetussa laissa (4/1994).

Euroopan unionin jäsenvaltioiden välinen rikoksen johdosta tapahtuva luovuttaminen perustuu eurooppalaisesta pidätysmääräyksestä tehtyyn puitepäätökseen (2002/584/YOS), joka on pantu Suomessa täytäntöön rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetulla lailla (1286/2003). Rikoksen johdosta tapahtuvasta luovuttamisesta EU:n jäsenvaltioihin säädetään myös rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden pohjoismaiden välillä annetussa laissa (1383/2007).

Tuomittujen siirto EU:n jäsenvaltioiden välillä perustuu puitepäätökseen (2008/909/YOS). Puitepäätös on pantu kansallisesti täytäntöön lailla tuomittujen siirtoa Euroopan unionissa koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (1169/2011).

Sakkojen täytäntöönpanoa ja konfiskaatiopäätösten tunnustamista koskeva yhteistyö EU:ssa perustuu puitepäätöksiin 2005/214/YOS ja 2006/783/YOS, jotka on pantu täytäntöön vastavuoroisen tunnustamisen periaatteen soveltamisesta taloudellisiin seuraamuksiin tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetulla lailla (231/2007) ja vastavuoroisen tunnustamisen periaatteen soveltamisesta menetetyksi tuomitsemista koskeviin päätöksiin tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetulla lailla (222/2008).

Omaisuuden jäädyttämistä koskeva yhteistyö perustuu puitepäätökseen 2003/577/YOS, joka on pantu kansallisesti täytäntöön lailla omaisuuden tai todistusaineiston jäädyttämistä koskevien päätösten täytäntöönpanosta Euroopan unionissa (540/2005).

EU:n jäsenvaltioiden välistä yhteistyötä sääntelee myös puitepäätös (2008/947/YOS), joka on pantu täytäntöön valvontatoimenpiteitä ja vaihtoehtoisia seuraamuksia Euroopan unionissa koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetulla lailla (1170/2011). Puitepäätös 2009/829/YOS on pantu kansallisesti täytäntöön lailla tutkintavankeuden vaihtoehtona määrättyjä valvontatoimia koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (620/2012). Puitepäätös (2009/948/YOS) on pantu täytäntöön rikosoikeudellisia menettelyjä koskevien toimivaltaristiriitojen ehkäisemisestä ja ratkaisemisesta sekä esitutkinnan ja syytetoimien siirtämisestä Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetulla lailla (295/2012). Eurooppalaisesta suojelumääräyksestä annettu direktiivi (2011/99/EU) on pantu täytäntöön eurooppalaisesta suojelumääräyksestä annetun Euroopan parlamentin ja neuvoston direktiivin lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja direktiivin soveltamisesta annetulla lailla (226/2015).

Rikosrekisteritietojen vaihtoa koskeva yhteistyö EU:n jäsenvaltioiden välillä perustuu puitepäätökseen (2009/315/YOS), joka on pantu täytäntöön rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetulla lailla (214/2012).

Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (Passenger Name Record, PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten (jäljempänä matkustajatietodirektiivi) annettiin 27 päivänä huhtikuuta 2016, ja sen täytäntöönpano on vielä kesken. Matkustajatietodirektiivin täytäntöönpanosäännöksistä osa koskisi henkilötietojen käsittelyä, johon tässä esityksessä ehdotettua lakia sovellettaisiin täydentävin osin.

Henkilötietojen käsittelyä poliisitoimessa koskeva lainsäädäntö

Poliisin henkilötietojen käsittelyyn sovelletaan erityislakina lakia henkilötietojen käsittelystä poliisitoimessa (761/2003, poliisin henkilötietolaki). Poliisin henkilötietolaissa säädetään poliisiasiain tietojärjestelmästä, hallintoasiain tietojärjestelmästä, epäiltyjen tietojärjestelmästä ja Suojelupoliisin toiminnallisesta tietojärjestelmästä. Laissa säädetään myös muun muassa henkilötietojen käyttämisestä ja luovuttamisesta, poistamisesta ja arkistoinnista sekä kansainväliseen poliisiyhteistyöhön liittyvästä henkilötietojen käsittelystä. Edellä mainittujen tietojärjestelmien lisäksi useassa poliisia koskevassa erityislaissa säädetään poliisin yksittäisistä henkilörekistereistä tai velvollisuudesta ylläpitää henkilötietoja sisältäviä tiedostoja. Tällaisia henkilörekistereitä ovat esimerkiksi rahanpesun selvittelykeskuksesta annetussa laissa (445/2017) tarkoitettu rahanpesurekisteri, todistajansuojeluohjelmasta annetussa laissa (88/2015) tarkoitettu todistajansuojelurekisteri, passilaissa (671/2006) tarkoitettu passirekisteri sekä ampuma-aselaissa (1/1998) tarkoitetut tiedostot lupa- ja valvontatehtävien suorittamiseksi. Lisäksi poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetussa laissa (687/2009, jäljempänä PTR-laki) säädetään tietojen käsittelystä tilapäisessä rikosanalyysirekisterissä, jonka kukin näistä yhteistoimintaviranomaisista voi perustaa oman henkilötietojen käsittelyä koskevan lainsäädäntönsä nojalla. Poliisin henkilörekistereistä osa kuuluisi tietosuoja-asetuksen ja osa ehdotetun lain soveltamisalaan.

Poliisin henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös eräisiin EU-säädöksiin ja niiden täytäntöönpanolakeihin, joita sovelletaan rikosasioiden tietosuojadirektiivin soveltamisalasäännöksessä tarkoitettuihin tehtäviin liittyvään EU:n jäsenvaltioiden väliseen poliisiyhteistyöhön. Näitä säädöksiä ovat erityisesti Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä tehty neuvoston päätös 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 1986/2006; Euroopan unionin lainvalvontayhteistyövirastosta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/794 (Europol-asetus) ja laki Euroopan unionin lainvalvontayhteistyövirastosta (214/2017); Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013 Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä (Eurodac-asetus); rajat ylittävän yhteistyön tehostamisesta erityisesti terrorismin ja rajat ylittävän rikollisuuden torjumiseksi tehty neuvoston päätös 2008/615/YOS ja sen täytäntöönpanopäätös 2008/616/YOS; sekä tietojen ja tiedustelutietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehty neuvoston puitepäätös 2006/960/YOS ja Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettu laki (26/2009).

Henkilötietojen käsittelyä Puolustusvoimissa koskeva lainsäädäntö

Puolustushallinnossa ei ole tällä hetkellä keskitettyä lainsäädäntöä henkilötietojen käsittelystä, vaan säännökset on hajautettu useisiin eri lakeihin. Erityissääntelyä on asevelvollisuuslaissa (1438/2007), puolustusvoimista annetussa laissa (551/2007), sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa (255/2014), aluevalvontalaissa (755/2000) ja sotilaallisesta kriisinhallinnasta annetussa laissa (211/2006). Lisäksi vapaaehtoisesta maanpuolustuksesta annetussa laissa (556/2007) on säännöksiä Maanpuolustuskoulutusyhdistyksen suorittamasta henkilötietojen käsittelystä. Säännökset koskevat lähinnä Puolustusvoimien pysyviä henkilörekistereitä, niihin talletettavia tietoja, tiedonsaanti- ja luovutusoikeuksia sekä tiettyjä rekisteröidyn oikeuksien rekisterikohtaisia rajoituksia. Muilta osin Puolustusvoimien suorittamaan henkilötietojen käsittelyyn sovelletaan henkilötietolain säännöksiä.

Henkilötietojen käsittelyä Tullissa koskeva lainsäädäntö

Laissa henkilötietojen käsittelystä Tullissa (639/2015, myöhemmin Tullin henkilötietolaki) säädetään Tullin henkilörekistereistä ja henkilötietojen käsittelystä. Tullin pysyviä henkilörekistereitä ovat rikostorjunnan tietojärjestelmä, tiedustelurekisteri, tullivalvonnan tietojärjestelmä ja rekisterikilpien ja konttien kuvaus- ja tunnistusjärjestelmä.

Lain soveltamisala kattaa Tullille laissa säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen automaattisen käsittelyn ja muun henkilötietojen käsittelyn, jos ne muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Tullin henkilötietolain lähtökohtana on, että voimassa olevasta henkilötietolaista ja viranomaisten toiminnan julkisuudesta annetusta laista poiketaan vain, jos se on tullitoiminnan tehokkuuden turvaamiseksi tai Euroopan unionin tulli- tai muita tietojärjestelmiä koskevien määräysten huomioon ottamiseksi välttämätöntä. Sanotuista laeista poiketaan laissa lähinnä arkaluonteisten tietojen keräämistä ja tallettamista, rekisteröidyn tarkastusoikeutta sekä henkilötietojen käyttöä ja luovuttamista koskevien säännösten osalta. Laissa säädetään lisäksi myös henkilörekisterin perustamisesta, Tullin henkilörekisterien tietosisällöstä, tietojen käsittelystä, rekisterin pitäjästä, henkilörekisterien tietojen säilytysajoista, kansallisesta ja kansainvälisestä tietojenvaihdosta sekä rekisterien käytön valvonnasta. Rikostorjuntaan liittyvän viranomaisyhteistyön ja tiedonvaihdon tehostamiseksi Tullin henkilötietolaki on säädetty mahdollisemman pitkälle yhdenmukaiseksi henkilötietojen käsittelystä poliisitoimessa annetun lain kanssa. Merkittävimmät erot johtuvat näiden viranomaisten erilaisista tehtävistä, käytössä olevista tietojärjestelmistä ja rekistereistä. Tullin henkilörekistereistä osa kuuluisi tietosuoja-asetuksen ja osa ehdotetun lain soveltamisalaan. Tullissa sovelletaan lisäksi eräitä edellä mainittuja poliisinkin toimintaan sovellettavia EU-säädöksiä ja niiden täytäntöönpanolakeja lainvalvontaviranomaisten välisestä yhteistyöstä rikosasioiden tietosuojadirektiivin soveltamisalalla.

Henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö

Rajavartiolaitoksen henkilötietojen käsittelyyn sovelletaan erityislakina henkilötietojen käsittelystä rajavartiolaitoksessa annettua lakia (579/2005, Rajavartiolaitoksen henkilötietolaki). Rajavartiolaitoksen henkilötietolaissa säädetään Rajavartiolaitoksen pysyvistä valtakunnallisista henkilörekistereistä, joita ovat tutkinta- ja virka-apurekisteri, lupa-asioiden rekisteri, valvonta-asioiden rekisteri, rikoksesta epäiltyjen Rajavartiolaitoksen rekisteri, turvallisuustietorekisteri, sotilasoikeudenhoidon rekisteri ja kurinpitoratkaisurekisteri. Laissa säädetään myös muiden valtakunnallisten tai alueellisten henkilörekisterien perustamisesta, henkilötietojen käyttämisestä ja luovuttamisesta, poistamisesta ja arkistoinnista sekä kansainväliseen yhteistyöhön liittyvästä henkilötietojen käsittelystä. Henkilötietojen käsittelystä meripelastustoimessa ja meripelastusrekisteristä säädetään meripelastuslaissa (1145/2001) ja asevelvollisrekisteristä asevelvollisuuslaissa (1438/2007). Rajavartiolaitoksessa sovelletaan lisäksi eräitä edellä mainittuja poliisinkin toimintaan sovellettavia EU-säädöksiä ja niiden täytäntöönpanolakeja lainvalvontaviranomaisten välisestä yhteistyöstä rikosasioiden tietosuojadirektiivin soveltamisalalla.

3.2 Kansainväliset velvoitteet

EU:n lainsäädäntö

Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohdan ja Euroopan unionin toiminnasta tehdyn sopimuksen (jäljempänä SEUT) 16 artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Perusoikeuskirjan 8 artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista.

Vuonna 1995 laaditun henkilötietodirektiivin tarkoituksena oli yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien ja -vapauksien suojelua ja taata henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Henkilötietodirektiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Henkilötietodirektiiviä ei sovelleta rikosasioissa tehtävään poliisi- ja oikeudelliseen yhteistyöhön.

EU:n tietosuojapuitepäätös 2008/977/YOS koskee EU:n jäsenvaltioiden rajat ylittävää henkilötietojen käsittelyä rikosasioissa. Ennen tietosuojapuitepäätöksen hyväksymistä EU:ssa ei ollut rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevia yhtenäisiä tietosuojasäännöksiä, joskin erityissääntelyä on sisältynyt esimerkiksi vuoden 2002 Eurojust-päätökseen. Tietosuojapuitepäätös eroaa rikosasioiden tietosuojadirektiivistä muun muassa soveltamisalansa osalta, sillä se koskee vain henkilötietojen vaihtoa jäsenvaltioiden toimivaltaisten viranomaisten kesken. Puitepäätös myös sisältää rikosasioiden tietosuojadirektiiviä enemmän kansallista liikkumavaraa.

Kansainväliset sopimukset

Henkilötietojen suoja on käsitteellisesti läheisesti kytköksissä yksityiselämän suojaan. Yksityiselämän suoja on keskeinen useissa kansainvälisissä ihmisoikeussopimuksissa turvattu oikeus. Oikeutta yksityiselämän suojaan koskevat muun muassa Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artikla, kansalais- ja poliittisia oikeuksia (SopS 7—8/1976) koskevan kansainvälisen yleissopimuksen 17 artikla sekä lapsen oikeuksien yleissopimuksen (SopS 59—60/1991) 16 artikla.

Henkilötietojen suojaa koskevaan lainsäädäntöön Euroopassa on merkittävällä tavalla vaikuttanut Euroopan neuvoston piirissä laadittu yksilöiden suojelua henkilötietojen automaattisessa tietojenkäsittelyssä koskeva yleissopimus (SopS 35—36/1992, jäljempänä tietosuojayleissopimus). Euroopan neuvosto hyväksyi tietosuojayleissopimuksen vuonna 1981, ja se on toiminut pohjana myös henkilötietodirektiiville.

Yleissopimus oli ensimmäinen oikeudellisesti sitova kansainvälinen instrumentti tietosuojan alalla. Yleissopimuksen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Se velvoittaa sopimuspuolet sisällyttämään kansalliseen lainsäädäntöönsä toimenpiteet, joilla varmistetaan, että yksilöiden oikeuksia kunnioitetaan henkilötietoja käsiteltäessä. Tietosuojayleissopimusta sovelletaan automaattiseen henkilötietojen käsittelyyn, ja se koskee kaikkea henkilötietojen käsittelyä, mukaan lukien henkilötietojen käsittelyä poliisi- ja rikosoikeudellisen yhteistyön alalla. Yleissopimuksen nojalla on annettu myös lukuisia henkilötietojen käsittelyä koskevia suosituksia.

Sopimuksen on ratifioinut 47 Euroopan neuvoston jäsenvaltiota ja kolme Euroopan neuvoston ulkopuolista valtiota. Kaikki EU:n jäsenvaltiot ovat yleissopimuksen sopimuspuolia. Suomen osalta sopimus tuli voimaan vuonna 1992. Tietosuojayleissopimusta täydennettiin vuonna 2001 valvontaviranomaisia ja tietojen siirtoa rajojen yli koskevalla lisäpöytäkirjalla (ETS nro 181). Lisäpöytäkirjan on ratifioinut 36 Euroopan neuvoston jäsenvaltiota, mukaan lukien Suomi. Lisäksi lisäpöytäkirjan on ratifioinut kolme Euroopan neuvoston ulkopuolista valtiota. Lisäpöytäkirja tuli Suomen osalta voimaan vuonna 2012.

Euroopan neuvostossa on laadittu lisäpöytäkirjaluonnos yleissopimuksen mukauttamiseksi nykyisiin ja tuleviin tietosuojahaasteisiin. Neuvottelut asiasta jatkuvat.

Ulkomaiden lainsäädäntö

Rikosasian käsittelyn yhteydessä sovellettava henkilötietolainsäädäntö on EU-maissa nykyisellään verraten epäyhtenäistä. Tämä johtuu muun muassa siitä, että henkilötietodirektiivi ei koske tällaista käsittelyä. Myöskään tietosuojapuitepäätöksen täytäntöönpano ei ole johtanut jäsenmaiden kansallisen lainsäädännön merkittävään lähentymiseen puitepäätöksen soveltamisalan rajauksista sekä sen jäsenvaltioille jättämästä liikkumavarasta johtuen.

Koska EU:n jäsenmaiden lainsäädäntö on rikosasioiden tietosuojadirektiivin kansallisen täytäntöönpanon vuoksi parhaillaan merkittävästi muuttumassa, ja koska direktiivi asettaa varsin kattavia ja yksityiskohtaisia vaatimuksia kansalliselle lainsäädännölle, ei tässä esityksessä ole tarkoituksenmukaista tarkemmin kuvata muiden maiden voimassa olevaa lainsäädäntöä. EU-maiden nykyistä lainsäädäntöä tarkastellaan vaikutustenarviointiasiakirjassa, jonka komissio julkaisi yhdessä direktiiviehdotuksen kanssa (SEC(2012) 72 final).

Kolmansien valtioiden kanssa tehdyt sopimukset

Rikosasioiden tietosuojadirektiivin 61 artiklan mukaan henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 6 päivää toukokuuta 2016 ja jotka ovat unionissa kyseisenä päivänä voimassa olleen oikeuden mukaisia, ovat edelleen voimassa, kunnes niitä muutetaan tai ne korvataan tai kumotaan.

4 Nykytilan arviointi

Rikosasioiden tietosuojadirektiivin täytäntöönpano kansallisella tasolla edellyttää uuden lainsäädännön antamista. Ottaen huomioon, että henkilötietolaki on tarkoitus kumota, ja että yhtäältä yleinen tietosuoja-asetus sekä ehdotettu sitä täydentävä kansallinen laki ja toisaalta tietosuojadirektiivi ja sen täytäntöönpaneva lainsäädäntö muodostavat yhteisistä perusperiaatteistaan huolimatta toisistaan selvästi erilliset kokonaisuudet, ehdotetaan tässä esityksessä erillisen rikosasioiden käsittelyssä noudatettavaksi tulevan henkilötietolain säätämistä. Koska lakia soveltavilla viranomaisilla, erityisesti poliisilla, Rajavartiolaitoksella, Puolustusvoimilla ja Tullilla on erilaisia tehtäviä, toimivaltuuksia ja tietojärjestelmiä, on lainsäädäntöä tarpeen täydentää hallinnonalakohtaisella erityissääntelyllä.

Eräiltä osin direktiivin säännökset eivät edellytä uutta kansallista sääntelyä. Tällaisia direktiivin säännöksiä ovat esimerkiksi eräät valvontaviranomaisen menettelyä koskevat säännökset, joiden osalta ei ole tarpeen ottaa lainsäädäntöön uusia säännöksiä, koska näistä asioista säädetään Suomessa sovellettaviksi tulevissa hallinnon yleislaeissa. Esimerkiksi direktiivin 52 artiklan 2 kohdassa edellytetyn mukaisesti jäsenvaltioiden on säädettävä siitä, että sellaisen valvontaviranomaisen, joka ei ole asiassa toimivaltainen, on toimitettava sille tehty valitus toimivaltaiselle viranomaiselle. Asiasta ei ole tarpeen säätää tässä yhteydessä, sillä asiakirjan siirtämisestä toimivaltaiselle viranomaiselle säädetään hallintolain (434/2003) 21 §:ssä.

Lisäksi direktiivissä on säännöksiä esimerkiksi yleisellä tietosuoja-asetuksella perustetun tietosuojaneuvoston tehtävistä direktiivin soveltamisalalla (51 artikla), komiteamenettelystä (58 artikla) ja komission kertomuksista (62 artikla), joita ei ole tarpeen saattaa osaksi kansallista lainsäädäntöä.

Perustuslain 12 §:ssä säädetysti viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Rikosasioiden tietosuojadirektiivi mahdollistaa julkisuusperiaatteen huomioon ottamisen kansallisessa lainsäädännössä. Lainsäädäntöä valmisteltaessa onkin tarpeen varmistaa julkisuus- ja tietosuojalainsäädännön yhteensovittaminen. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa ja etenkin sen 16 §:n 3 momentissa, säädetään. Lisäksi toimivaltaisten viranomaisten asiakirjojen ja muun toiminnan julkisuudesta säädetään myös erityislainsäädännössä, kuten oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetussa laissa. Tällä hallituksen esityksellä ei ole tarkoitus muuttaa nykyistä oikeustilaa tältä osin. Muuttuneen tietosuojasääntelyn ja yhteiskunnan muun kehityksen vuoksi kansallisen julkisuuslainsäädännön uudistamistarvetta on kuitenkin vastaisuudessa syytä arvioida.

5 Tavoitteet ja keskeiset ehdotukset
5.1 Tavoitteet

Esityksen tavoitteena on panna täytäntöön EU:n rikosasioiden tietosuojadirektiivi Suomessa. Direktiivi velvoittaa saavutettavaan tulokseen nähden jokaista jäsenvaltiota, jolle se on osoitettu, mutta jättää kansallisten viranomaisten valittavaksi muodon ja keinot. Vaikka rikosasioiden tietosuojadirektiivi edellyttää kansallisen lainsäädännön antamista direktiivin täytäntöönpanemiseksi, jättää se kuitenkin eräiltä osin jäsenvaltioille harkinnanvaraa erityisesti sääntelyn yksityiskohtien osalta.

Rikosasioiden tietosuojadirektiivissä todetaan, ettei sen kansallinen täytäntöönpano saisi johtaa henkilötietojen suojan tason heikentymiseen. Direktiivi ei myöskään estä jäsenvaltioita säätämästä direktiivissä edellytettyä korkeammasta rekisteröidyn oikeuksien suojan tasosta. Tässä esityksessä on otettu huomioon voimassa olevan henkilötietolain sääntely, ja eräiltä osin pyritty turvaamaan rekisteröidyn oikeuksia direktiivin edellyttämää vähimmäistasoa paremmin. Ehdotettuun täytäntöönpanolakiin on esimerkiksi otettu säännökset henkilötunnuksen käsittelemisestä, vaikka sitä koskevia säännöksiä ei rikosasioiden tietosuojadirektiivissä olekaan.

Esityksen laadinnassa on pääministeri Sipilän hallitusohjelman EU-lainsäädännön täytäntöönpanoa koskevan kirjauksen mukaisesti pyritty välttämään kansallista lisäsääntelyä. Esitykseen on kuitenkin otettu henkilötietojen käsittelyä kansallisen turvallisuuden ylläpitämisen yhteydessä koskevat yleissäännökset, koska muutoin henkilötietojen suoja jäisi tältä osin vaillinnaiseksi, ottaen huomioon myös perustuslain 10 §:n 1 momentin vaatimus, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla.

Kaikki rikosasioiden tietosuojadirektiiviä toimeenpanevaa lainsäädäntöä soveltavat viranomaiset soveltavat toiminnassaan myös yleistä tietosuoja-asetusta. Tästä syystä ehdotettua lainsäädäntöä valmisteltaessa on lainsäädännön yhtenäisyyden edistämiseksi pyritty seuraamaan asetuksessa ja hallituksen esityksessä sitä täydentäväksi lainsäädännöksi käytettyjä sisällöllisiä ja terminologisia ratkaisuja siltä osin, kuin ei ole ollut painavia syitä päätyä toisenlaiseen ratkaisuun.

5.2 Keskeiset ehdotukset

Ehdotetun lain soveltamisala

Ehdotettu laki on luonteeltaan rikosasioiden käsittelyssä tietosuojan osalta yleislakina noudatettava laki. Se olisi toissijainen muuhun lainsäädäntöön nähden. Jos muussa laissa on ehdotetusta laista poikkeavia säännöksiä, on niitä noudatettava ehdotetun lain sijasta. Lakia soveltavien toimivaltaisten viranomaisten erilaiset tehtävät ja valtuudet huomioon ottaen sektorikohtaiselle sääntelylle voidaan Suomessa katsoa olevan tarvetta, ja tällaista lainsäädäntöä onkin valmisteltu samanaikaisesti tämän esityksen kanssa. On selvää, että sovellettavan lainsäädännön on kokonaisuudessaan oltava sopusoinnussa rikosasioiden tietosuojadirektiivin ja Suomea velvoittavien kansainvälisten sopimusten kanssa.

Lain sovellettavaksi tulemisen kannalta on tarpeen ottaa huomioon sekä sen aineellinen että organisatorinen soveltamisala. Lakia soveltaisivat viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai niiden täytäntöönpanon. Tällaisia viranomaisia ovat muun muassa poliisi, Rajavartiolaitos, Tulli, syyttäjät, tuomioistuimet ja Rikosseuraamuslaitos. Nämä viranomaiset soveltaisivat ehdotettua lakia kuitenkin vain, kun ne käsittelevät henkilötietoja edellä mainitussa tarkoituksessa, eli esimerkiksi rikoksen selvittämisen yhteydessä tai käsiteltäessä rikosasiaa tuomioistuimessa. Esimerkiksi poliisin käsitellessä henkilötietoja hakemusasian yhteydessä tulisi sovellettavaksi ehdotetun lain sijasta yleinen tietosuoja-asetus ja sitä täydentävä kansallinen lainsäädäntö.

Lakia sovellettaisiin lisäksi toimivaltaisten viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Toimivaltaisia viranomaisia ovat tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin ehdotetun lain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta. Kansallisen turvallisuuden ylläpitäminen jää nimenomaisten säännösten perusteella sekä yleisen tietosuoja-asetuksen että rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle. Jotta henkilötietojen käsittelyä koskevaan lainsäädäntöön ei kansallisen turvallisuuden ylläpitämiseen tähtäävän toiminnan yhteydessä jää katvealuetta ja perustuslain 10 §:n 1 momentin lailla säätämisen vaatimus tulee täytettyä, on näihin tilanteisiin sovellettavasta lainsäädännöstä säädettävä kansallisella tasolla. Rikosasioiden tietosuojadirektiivin täytäntöönpanolaissa on yleiseen tietosuoja-asetukseen verrattuna sääntelyn kohteesta johtuen jossakin määrin painotettu enemmän viranomaisen tarvetta eräissä tilanteissa rajoittaa rekisteröidyn oikeuksia, kuten esimerkiksi rekisteröidyn tarkastusoikeutta. Ottaen huomioon, että kansallisen turvallisuuden alalla on vastaavia viranomaistarpeita, on kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuva henkilötietojen käsittely tarkoituksenmukaista sisällyttää tässä esityksessä ehdotettavaan direktiivin täytäntöönpanolakiin siltä osin kuin erityislainsäädännössä ei toisin säädettäisi.

Henkilötietojen käsittelyä koskevat periaatteet

Ehdotettuun 2 lukuun otettaisiin säännökset henkilötietojen käsittelyn yleisistä edellytyksistä lain soveltamisalalla. Ehdotetun lain soveltamisalalla tapahtuvan henkilötietojen käsittelemisen tulee olla tarpeen toimivaltaisen viranomaisen ehdotetussa laissa tarkoitettujen lakisääteisten tehtävien hoitamiseksi. Rekisterinpitäjä saa kuitenkin käsitellä henkilötietoja myös arkistointia taikka tieteellistä, tilastollista tai historiallista käsittelyä varten. Käsiteltävien henkilötietojen tulee olla täsmällisiä sekä käsittelyn tarkoituksen kannalta asianmukaisia, päivitettyjä ja tarpeellisia. Sellaiset henkilötiedot, jotka koskevat eri asemassa olevia henkilöitä, kuten asianomistajia, todistajia tai epäiltyjä, tulee tarvittaessa ja mahdollisuuksien mukaan erottaa toisistaan.

Kun henkilötietoja siirretään EU:ssa sijaitsevalle vastaanottajalle, tietoja siirtävä viranomainen ei saa asettaa tietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan samankaltaisiin tiedonsiirtoihin kansallisesti. Tietoja siirtävän viranomaisen on informoitava vastaanottajaa velvollisuudesta noudattaa mahdollisia tietojen käyttämistä koskevia lakisääteisiä rajoituksia.

Ehdotettuun lakiin otettaisiin erityisiä henkilötietoryhmiä koskevia säännöksiä. Erityisiin henkilötietoryhmiin kuuluvia tietoja, joita usein kutsutaan myös arkaluonteisiksi tiedoiksi, ovat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys sekä geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot. Tällaisten tietojen käsittely on sallittua vain, jos se on välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu.

Lakiin otettaisiin myös säännökset, joilla rajoitetaan henkilötunnuksen käsittelemistä sekä merkitsemistä asiakirjoihin. Ehdotus ei tältä osin perustu rikosasioiden henkilötietodirektiiviin, vaan kyseessä on kansallinen ratkaisu. Ehdotettu sääntely vastaa olennaisilta osiltaan henkilötietolain sääntelyä.

Lakiin otettaisiin säännökset automatisoiduista yksittäispäätöksistä. Rikosasioiden tietosuojadirektiivi edellyttää, että päätös, joka perustuu pelkästään automatisoituun käsittelyyn, kuten profilointiin, ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka vaikuttaa häneen merkittävästi, on kielletty, jollei sitä ole sallittu rekisterinpitäjään sovellettavassa unionin oikeudessa tai tietyt edellytykset täyttävässä jäsenvaltion lainsäädännössä. Rekisteröidyllä tulee olla oikeus vaatia, että luonnollinen henkilö osallistuu päätöksentekoon rekisterinpitäjän puolesta. Suomessa esimerkiksi poliisi ei tee edellä kuvatun kaltaisia automatisoituja yksittäispäätöksiä. Esityksessä ehdotetaankin säädettäväksi kielto tehdä mainittuja päätöksiä. Kielto ei kuitenkaan estäisi säätämästä muualla laissa tällaisten päätösten tekemisestä, jolloin kyseisen lainsäädännön on oltava sopusoinnussa direktiivin vaatimusten kanssa.

Rekisterinpitäjän ja henkilötietojen käsittelijän vastuu

Rekisterinpitäjä vastaisi ehdotetun yleislain mukaan henkilötietojen käsittelyn lainmukaisuudesta. Sen tulisi toteuttaa käsittelyn lainmukaisuuden varmistamiseksi tarvittavat tekniset ja organisatoriset toimenpiteet. Lakiin otettaisiin myös säännökset oletusarvoisesta ja sisäänrakennetusta tietosuojasta sekä säännökset vastuunjaosta tilanteissa, joissa kaksi tai useampi rekisterinpitäjä yhdessä määrittävät käsittelyn tarkoitukset ja keinot. Ehdotettu sääntely perustuu direktiivin lainsäädäntötoimeksiantoon.

Henkilötietojen käsittelijän, eli henkilötietoja rekisterinpitäjän lukuun käsittelevän, on ehdotetun lain mukaan annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimista, joilla se varmistaa, että henkilötietoja käsitellään laissa säädettyjen vaatimusten mukaisesti. Henkilötietojen käsittelijän suorittamasta käsittelystä on tehtävä kirjallinen sopimus, josta ilmenevät muun muassa käsittelyn luonne, tarkoitus ja kesto. Näistä seikoista voidaan määrätä myös muulla henkilötietojen käsittelijää sitovalla oikeustoimella. Ehdotukset perustuvat tältäkin osin direktiiviin.

Rekisterinpitäjän ja henkilötietojen käsittelijän olisi ehdotetun lain mukaan huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Lakiin otettaisiin myös säännökset velvollisuudesta tehdä tietosuojaa koskeva vaikutustenarviointi ennen henkilötietojen käsittelyn aloittamista. Eräissä tilanteissa vaikutustenarviointi olisi tehtävä kirjallisesti. Jos vaikutustenarviointi osoittaa, että rekisterinpitäjän suunnittelemista suojatoimenpiteistä huolimatta käsittely saattaa aiheuttaa merkittävän riskin rekisteröidyn oikeuksille, olisi rekisterinpitäjän tai henkilötietojen käsittelijän kuultava tietosuojavaltuutettua. Jos valtuutettu katsoo, että käsittely muodostuisi lainvastaiseksi, sen on pääsäännön mukaan kuuden viikon kuluessa annettava rekisterinpitäjälle tai henkilötietojen käsittelijälle ohjausta käsittelyn saattamiseksi lainmukaiseksi. Myös tältä osin ehdotuksessa on kyse direktiivin täytäntöönpanosta.

Rekisteröidyn oikeudet

Yleislaissa ehdotetaan säädettävän rekisterinpitäjälle velvollisuus ylläpitää yleisesti saataville asetettavaa tietosuojaselostetta. Selosteesta tulisi ilmetä muun muassa henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, henkilötietojen mahdollinen säilytysaika, henkilötietojen säännönmukaiset vastaanottajat sekä rekisterinpitäjän ja tietosuojavastaavan yhteystiedot. Sääntely perustuisi osittain direktiiviin ja osittain henkilötietolain sääntelyyn, edellyttäen direktiivissä säädettyä laajemman julkisen selosteen laatimista. Rikosasioiden tietosuojadirektiivissä edellytetään siinä tarkoitettujen tietojen asettamista rekisteröidyn saataville, kun taas ehdotetussa yleislaissa edellytettäisiin selkeämmin selosteen julkistamista.

Yleislaissa säädettäisiin rekisteröidyn tarkastusoikeudesta eli oikeudesta saada tieto siitä, käsitelläänkö häntä koskevia tietoja sekä oikeus saada tällaiset tiedot samoin kuin tieto käsittelyn tarkoituksista. Rekisteröidyllä olisi niin ikään oikeus saada häntä koskevat, käsittelyn kannalta puutteelliset tai virheelliset henkilötiedot täydennettyä tai oikaistua. Rekisteröidyn näitä oikeuksia voidaan kuitenkin rajoittaa, jos se rekisteröidyn oikeudet huomioon ottaen on oikeasuhtaista ja välttämätöntä, jotta vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle, tai jos rajoittaminen on oikeasuhtaista ja välttämätöntä muun muassa kansallisen turvallisuuden suojelemiseksi. Rekisteröidyllä on oikeus pyytää tietosuojavaltuutettua toimimaan puolestaan asiassa, jos rekisterinpitäjä rajoittaa hänen oikeuksiaan edellä mainitulla perusteella. Tietosuojavaltuutetun on kohtuullisen ajan kuluessa ilmoitettava rekisteröidylle toimenpiteistä, joihin se on ryhtynyt. Ehdotettu sääntely perustuu tältä osin direktiiviin.

Direktiivin 12 artiklan 4 kohta edellyttää, että rekisteröidyn oikeuksien käyttö on tälle maksutonta. Jos rekisteröidyn pyynnöt ovat esimerkiksi niiden toistuvuudesta johtuen ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voisi kuitenkin periä kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Ehdotetussa yleislaissa säädettäisiin rekisteröidyn oikeuksien käyttämisen maksuttomuudesta. Laissa säädettäisiin rekisterinpitäjän mahdollisuudesta periä valtion maksuperustelain mukainen maksu, jos rekisteröidyn pyyntö on ilmeisen perusteeton tai kohtuuton. Esityksessä ei ehdoteta, että rekisterinpitäjä voisi tällaisessa tilanteessa kieltäytyä kokonaan rekisteröidyn pyynnön toteuttamisesta, koska tarkastusoikeudella sekä oikeudella saada tiedot täydennettyä tai oikaistua voi olla huomattavaakin merkitystä rekisteröidyn oikeuksien toteutumisen kannalta ja koska maksun perimismahdollisuuden voidaan arvioida riittävästi ehkäisevän esimerkiksi toistuvien perusteettomien pyyntöjen tekemistä.

Tietoturvallisuus

Ehdotetussa yleislaissa säädetään direktiivin lainsäädäntötoimeksiannon mukaisesti rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudesta teknisin ja organisatorisin toimenpitein suojata henkilötiedot sellaisella tavalla, joka vastaa käsittelystä rekisteröityjen oikeuksille aiheutuvaa riskiä. Henkilötietojen käsittelijän tulisi tietoturvaloukkauksesta tiedon saatuaan ilman aiheetonta viivytystä ilmoittaa loukkauksesta rekisterinpitäjälle. Rekisterinpitäjän puolestaan on ilmoitettava loukkauksesta tietosuojavaltuutetulle, paitsi jos loukkauksesta ei todennäköisesti aiheudu vaaraa rekisteröidyn oikeuksille. Yleislakiin otettaisiin myös säännökset rekisterinpitäjän velvollisuudesta ilmoittaa tietoturvaloukkauksesta rekisteröidyille, eräin laissa luetelluin poikkeuksin.

Rekisterinpitäjän tulisi ehdotetun yleislain mukaan ilmoittaa tietoturvaloukkauksesta myös sellaiselle Suomessa tai toisessa EU:n jäsenmaassa sijaitsevalle rekisterinpitäjälle, jonka toimittamiin tai jolle toimitettuihin tietoihin loukkaus kohdistuu. Direktiivi edellyttää säädettävän ainoastaan toisen EU-maan rekisterinpitäjälle tehtävästä ilmoituksesta, mutta yhtä lailla toisella Suomessa sijaitsevalla rekisterinpitäjällä on tarve saada tietää mainitunlaisesta tietoturvaloukkauksesta.

Henkilötietojen siirrot kolmansiin maihin

Yleislakiin otettaisiin direktiivin edellyttämät säännökset niistä yleisistä edellytyksistä, joiden vallitessa toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan. Siirron olisi ensinnäkin oltava tarpeen ehdotetun lain soveltamisalasäännöksessä lueteltuja tarkoituksia varten, esimerkiksi rikoksen selvittämiseksi tai rangaistuksen täytäntöönpanemiseksi. Komission olisi lisäksi tullut todeta kyseisen maan tietosuojan tason olevan riittävä. Siirto kolmanteen maahan on eräin tarkoin säädeltävin edellytyksin mahdollista myös tilanteessa, jossa komissio ei ole tehnyt kyseistä maata koskevaa päätöstä tietosuojan riittävästä tasosta.

Lain noudattamisen valvonta

Lain noudattamista valvovana erityisviranomaisena toimisi tietosuojavaltuutettu. Tietosuojavaltuutetusta ja tämän toimistosta säädettäisiin yleistä tietosuoja-asetusta täydentävässä tietosuojalaissa, jonka noudattamista se myös valvoisi. On tarkoituksenmukaista, että sama viranomainen valvoisi sekä yleisen tietosuoja-asetuksen, sitä täydentävän tietosuojalain että direktiiviä täytäntöönpanevan lain noudattamista, ottaen huomioon että mainittu lainsäädäntö muodostaa varsin yhtenäisen kokonaisuuden. Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettuun lakiin otettaisiin säännökset tietosuojavaltuutetun tehtävistä ja toimivaltuuksista sen valvoessa kyseistä lakia.

Tietosuojavaltuutettu valvoisi ehdotetun lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voisi tehdä selvityksiä lain noudattamisesta ja käsittelisi sille tehtyjä toimenpidepyyntöjä. Valtuutettu voisi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voisi asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon.

Tietosuojavaltuutetulla olisi valvonnallisten tehtävien lisäksi ohjaavia ja henkilötietojen suojaa edistäviä tehtäviä. Sen tehtävänä olisi edistää yleistä tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä, lainsäädännöstä, suojatoimista ja oikeuksista. Valtuutettu myös antaisi pyynnöstä rekisteröidyille tietoja heidän oikeuksiensa käyttämisestä. Valtuutettu edistäisi myös rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta velvollisuuksistaan sekä antaisi näille neuvoja ennakkokuulemismenettelyssä.

Myös valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies valvoisivat ehdotetun lainsäädännön noudattamista osana yleistä viranomaisten ja virkamiesten toiminnan laillisuusvalvontaa. Ne valvoisivat myös tuomioistuinten niiden lainkäyttötehtävien yhteydessä suorittamaa henkilötietojen käsittelyä, vaikka tuomioistuinten toiminnan valvomisen ei ehdoteta kuuluvan tietosuojavaltuutetun toimivaltaan.

Oikeusturva ja seuraamukset

Yleislakiin ehdotetaan otettavaksi säännökset toimivaltaisen viranomaisen velvollisuudesta ottaa käyttöön sellaiset menettelytavat, joita noudattamalla sille voidaan luottamuksellisesti ilmoittaa henkilötietojen suojan kannalta lainvastaisesta menettelystä. Tällaisilla matalan kynnyksen yhteydenottotavoilla (ns. whistleblowing-ilmiantojärjestelmä) rohkaistaisiin epäkohtia havaitsevia henkilöitä ilmoittamaan asiasta suoraan asianomaiselle viranomaiselle, jotta tämä voi oma-aloitteisesti ryhtyä asianmukaisiin korjaaviin tai muihin toimenpiteisiin.

Rekisteröidyn oikeusturvan kannalta käytännössä varsin keskeiseksi menettelyksi muodostuisi mahdollisuus tehdä toimenpidepyyntö lainvastaiseksi epäillystä menettelystä tietosuojavaltuutetulle. Toimenpidepyynnön voisi rekisteröidyn suostumuksella saattaa tietosuojavaltuutetun käsiteltäväksi myös yleishyödyllinen henkilötietojen suojaa edistävä yhteisö. Tietosuojavaltuutetun tulisi tutkia toimenpidepyyntö tarpeellisin osin ja ilmoittaa vireillepanijalle kohtuullisen ajan kuluessa asian käsittelyn etenemisestä ja sen tuloksista. Valtuutettu voisi edellä mainituin tavoin esimerkiksi kieltää henkilötietojen käsittelemisen. Valtuutetun päätöksistä haettaisiin muutosta valittamalla hallinto-oikeuteen.

Direktiivin 56 artiklassa säädetyn mukaisesti jäsenvaltioiden on säädettävä rekisteröidyn oikeudesta saada korvausta siitä aineettomasta tai aineellisesta vahingosta, joka hänelle koituu lainvastaisesta menettelystä. Esityksessä ehdotetaan säädettäväksi, että rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle ehdotetun yleislain vastaisesta henkilötietojen käsittelystä. Rekisteröidylle voi myös syntyä mahdollisuus vaatia vahingonkorvauslaissa (412/1974) tarkoitettua niin sanottua kärsimyskorvausta. Vahingonkorvauslain 5 luvun 6 §:ssä säädetyn mukaan sillä, jonka yksityiselämää on rangaistavaksi säädetyllä teolla loukattu, on oikeus korvaukseen loukkauksen aiheuttamasta kärsimyksestä.

Direktiivin 57 artiklassa säädetyn mukaisesti jäsenvaltioiden on vahvistettava säännöt tietosuojasäännösten rikkomisen johdosta määrättävistä tehokkaista, oikeasuhtaisista ja varoittavista seuraamuksista. Yleinen tietosuoja-asetus puolestaan säätää siinä tarkoitettujen tietosuojasäännösten rikkomisista seuraamukseksi hallinnollisen seuraamusmaksun (”hallinnollisen sakon”), jonka käyttöalasta viranomaiset voidaan kuitenkin sulkea pois kokonaan tai osittain. Ehdotettuun yleislakiin otettaisiin viittaussäännökset niihin rikoslain säännöksiin, jotka koskevat viestintäsalaisuuden loukkausta, tietomurtoa, vaitiolovelvollisuuden rikkomista ja virkarikoksia sekä näiden törkeitä tekomuotoja.

Esityksessä ei ehdoteta hallinnollisen seuraamusmaksun ottamista käyttöön ehdotetun yleislain soveltamisalalla. Tietosuojavaltuutetun mahdollisuus antaa rekisterinpitäjää tai henkilötietojen käsittelijää koskevia oikeudellisesti sitovia määräyksiä sekä mahdollisuus tehostaa niitä uhkasakolla, rekisteröidyn oikeus saada korvaus kärsimästään vahingosta sekä rikoslain virkarikos- ja muu rangaistussääntely huomioon ottaen seuraamusmaksun käyttöönottaminen ei ehdotetun lain soveltamisalalla ole tarpeen. Esityksessä ehdotetaan direktiivin minimivaatimusta laajempia toimivaltuuksia tietosuojavaltuutetulle, mikä osaltaan mahdollistaisi laajemman keinovalikoiman puuttua lainvastaiseen henkilötietojen käsittelyyn. Rangaistusluonteisesta hallinnollisesta seuraamusmaksusta säätämistä viranomaistoiminnassa tapahtuvan lainvastaisen menettelyn seuraamukseksi ei myöskään voida pitää Suomen oikeusjärjestelmässä tavanomaisena ratkaisuna.

Euroopan komissio voi direktiivin 35 ja 36 artiklan mukaisesti tehdä päätöksen siitä, että jossakin kolmannessa maassa on henkilötietojen siirtämisen kannalta riittävä tietosuojan taso. Direktiivin 36 artiklassa säädetään muun muassa niistä seikoista, jotka komission tulee päätöstä tehdessään ottaa huomioon. Kansallinen valvontaviranomainen ei voi tutkia komission päätöksen lainmukaisuutta, sillä asia kuuluu EU-tuomioistuimen yksinomaiseen toimivaltaan.

Unionin tuomioistuin katsoi Schrems-tapauksessa (C-362/14) antamassaan ennakkoratkaisussa, että kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla asianomainen kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voivat tarvittaessa pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta komission päätöksen pätevyyden tutkimiseksi. Näin ollen kansalliseen lainsäädäntöön on tarpeen sisällyttää säännökset tässä tarkoitettujen komission päätösten arvioimiseksi kansallisessa valvontaviranomaisessa ja tuomioistuimessa. Tämän vuoksi ehdotettuun yleislakiin otettaisiin säännökset siitä, että tietosuojavaltuutettu voi hakemuksella saattaa tällaisen asian Helsingin hallinto-oikeuden ratkaistavaksi. Hallinto-oikeus puolestaan voisi tarvittaessa pyytää EU-tuomioistuimen ennakkoratkaisua komission päätöksen lainmukaisuudesta. Tällaisten asioiden käsitteleminen on tapausten oletettavan harvalukuisuuden vuoksi syytä keskittää Helsingin hallinto-oikeuteen.

Voimaantulo- ja siirtymäsäännökset

Rikosasioiden tietosuojadirektiivin 63 artiklassa säädetään, että jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja määräykset viimeistään 6 päivänä toukokuuta 2018. Jäsenvaltioiden on myös sovellettava kyseisiä säännöksiä mainitusta päivämäärästä lähtien. Tästä johtuen esitykseen sisältyvien lakien ehdotetaan tulevan voimaan 6 päivänä toukokuuta 2018 tai mahdollisimman pian sen jälkeen.

Rikosasioiden tietosuojadirektiivin 63 artiklassa säädetään siitä, että jäsenvaltio voi lykätä edellä mainitun lokitusvelvollisuuden voimaantuloa enintään 6 päivään toukokuuta 2023 saakka, jos velvollisuudesta muutoin aiheutuisi suhteetonta vaivaa. Poikkeuksellisissa olosuhteissa ja jos velvollisuuden täyttämisestä aiheutuisi vakavia vaikeuksia kyseisen automaattisen käsittelyjärjestelmän toiminnalle, voidaan velvollisuuden voimaantuloa lykätä enimmillään 6 päivä toukokuuta 2026 asti. Mahdollisuus koskisi molemmissa tapauksissa ainoastaan sellaisia automatisoituja käsittelyjärjestelmiä, jotka on luotu ennen 6 päivä toukokuuta 2016. Ottaen huomioon, että Suomessa vain harva ennen 6 päivänä toukokuuta 2016 luotu tietojärjestelmä toteuttaa rikosasioiden tietosuojadirektiivin lokitusta koskevat vaatimukset, ja ottaen huomioon lokitusjärjestelmän luomisen edellyttämät ajalliset ja taloudelliset resurssit, esityksessä ehdotetaan säädettävän, että ennen 6 päivänä toukokuuta 2016 luodut järjestelmät on saatettava lokitietoja koskevan sääntelyn mukaisiksi viimeistään 6 päivänä toukokuuta 2023.

Liitelait

Esitykseen sisältyy ehdotukset direktiivin kansallisen täytäntöönpanon edellyttämien muutosten tekemisestä eräisiin oikeusministeriön toimialan lakeihin. Kyseisistä laeista poistettaisiin viittaukset kumottavaan henkilötietolakiin, ja ne korvattaisiin tarpeen mukaan viittauksella ehdotettuun yleislakiin, yleiseen tietosuoja-asetukseen sekä tietosuojalakiin. Laeista poistettaisiin ehdotetun yleislain kanssa päällekkäistä sääntelyä esimerkiksi rekisteröidyn tarkastusoikeudesta. Eräiden lakien osalta selkeytettäisiin sitä, mitä viranomaista on pidettävä tietyn rekisterin osalta rekisterinpitäjänä.

Liitelakeihin ehdotetaan tehtävän eräitä terminologisia täsmennyksiä. Johdonmukaisuussyistä liitelakien säännösten ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin järjestelmällisesti termiksi ”personuppgiftsansvarig”.

6 Esityksen vaikutukset
6.1 Taloudelliset vaikutukset

Yleistä

Esityksen taloudelliset vaikutukset kohdistuvat pääosin rekisterinpitäjinä toimiviin toimivaltaisiin viranomaisiin. Ehdotetulla lainsäädännöllä ei ole juurikaan vaikutuksia yritysten toimintaan. Taloudelliset vaikutukset johtuvat pääsääntöisesti suoraan rikosasioiden tietosuojadirektiivistä.

Hallinnolliset vaikutukset

Rikosasioiden tietosuojadirektiivi edellyttää, että rekisterinpitäjä nimeää tietosuojavastaavan. Tästä aiheutuu välittömiä kustannuksia osalle rekisterinpitäjistä. Tietosuojavastaavien nimeämistä koskevan velvoitteen suoria taloudellisia vaikutuksia vähentää se, että kaksi tai useampi rekisterinpitäjä voi nimetä yhteisen tietosuojavastaavan ja että tietosuojavastaava voi hoitaa sekä ehdotetusta laista että yleisestä tietosuoja-asetuksesta johtuvat tehtävät. Joillakin viranomaisilla, kuten poliisilla, on jo entuudestaan tietosuojavastaava, jolloin merkittäviä lisäkustannuksia ei pitäisi niille tältä osin syntyä. Tuomioistuimet sekä valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies olisivat vapautettuja velvollisuudesta nimetä tietosuojavastaava lainkäyttö- ja laillisuusvalvontatehtäviensä osalta.

Ehdotetussa lainsäädännössä asetettaisiin rekisterinpitäjälle erilaisia ilmoittamis-, dokumentointi- ja selosteenlaatimisvelvollisuuksia. Näistä aiheutuu niille jonkin verran hallinnollista taakkaa. Toisaalta osittain vastaavia velvollisuuksia sisältyy jo voimassa olevaan lainsäädäntöön. Ehdotetun lainsäädännön toimeenpanosta seuraa viranomaisille myös koulutus- ja tiedottamistarpeita.

Vaikutukset tietojärjestelmiin

Tietosuojadirektiivissä säädetyillä vaatimuksilla on välittömiä ja välillisiä vaikutuksia kansallisiin tietojärjestelmiin. Direktiivin vaatimusten kustannusvaikutukset voivat olla kokonaisuutena huomattaviakin siltä osin, kun kyse on sellaisista pakollisista velvoitteista, joita ei ole aiemmin pantu täytäntöön tietojärjestelmissä. Kustannukset kuitenkin vaihtelevat rekisterinpitäjittäin riippuen muun muassa kunkin nykyisen tietojärjestelmän toiminnallisuuksista sekä laissa säädettävien velvollisuuksien toteuttamistavasta ja -aikataulusta. Osa velvollisuuksista voidaan myös toimeenpanna työtapoja ja -käytäntöjä muuttamalla.

Välittömiä ja välillisiä kustannusvaikutuksia voi olla erityisesti vaatimuksilla, jotka koskevat henkilöryhmien lähtökohtaista erottamista toisistaan järjestelmässä, arkaluonteisten henkilötietojen täsmentyviä käsittelyedellytyksiä, henkilökohtaiseen arvioon perustuvien henkilötietojen pitämistä mahdollisuuksien mukaan erillään varmoista henkilötiedoista, henkilötietojen käyttörajoitusmerkintöjä (rekisteröidyn taikka muun viranomaisen tai toisen jäsenvaltion viranomaisen pyynnöstä), lokitietoja sekä tietoturvallisuutta koskevia tarkennettuja vaatimuksia.

Kustannusvaikutuksiltaan merkittävin tietojärjestelmiin kohdistuva vaatimus koskee lokijärjestelmiä. Esityksessä ehdotetaankin, että lokijärjestelmien osalta otettaisiin käyttöön direktiivin sallima siirtymäaika, jonka mukaisesti tietojärjestelmien on oltava tältä osin direktiivin vaatimusten mukaisia viimeistään 6 päivänä toukokuuta 2023. Muutoinkin tietojärjestelmien uudistamisen täsmälliset kustannusvaikutukset riippuvat siitä, miten järjestelmiin kohdistuvat verraten väljät oikeudelliset vaatimukset päätetään toteuttaa käytännössä.

Poliisin tietojärjestelmät

Poliisilla on käytössä useita tietojärjestelmiä, jotka kuuluvat rikosasioiden tietosuojadirektiivin soveltamisalaan. Rikosasioihin liittyvien henkilöryhmien tietojen erillään pitämistä koskeva velvollisuus perustuu osittain jo aiempaan Euroopan neuvoston suositukseen, samoin kuin velvollisuus erotella henkilökohtaiseen arvioon perustuvat tiedot varmennetuista tiedoista. Nämä velvollisuudet sisältävät myös jossain määrin joustoa. Poliisin tietojärjestelmissä vaatimukset toteutuvat pääosin jo nyt, mutta joidenkin järjestelmien osalta kehittämistoimia voitaisiin toteuttaa. Poliisin uusissa tietojärjestelmissä vaatimus toteutettaisiin tarvittaessa uudistushankkeiden yhteydessä niiden toteutusaikataulun puitteissa.

Henkilötietojen käsittelyyn liittyvillä erityisillä edellytyksillä (informointivelvollisuudet, tietojen luovuttamiseen liittyvät rajoitukset) olisi välittömiä taloudellisia vaikutuksia. Myös siltä osin kuin on kyse henkilötietojen oikaisemisesta, poistamisesta ja käsittelyn rajoittamisesta, direktiivin vaatimusten toteuttaminen aiheuttaisi poliisin tietojärjestelmiin suoria kustannusvaikutuksia. Kaikkia tarvittavia toiminnallisuuksia ei ole toteutettu poliisin tietojärjestelmissä. Vaatimukset sisältyvät jo voimassa olevaan tietosuojapuitepäätökseen, joten lainsäädännön sisällöllinen muutos ei ole tältä osin kovin merkittävä. Osa vaatimuksista voisi kuitenkin olla teknisesti vaikeasti toteutettavissa tai jopa mahdotonta toteuttaa täysimääräisesti, ja kustannusvaikutukset voivat vaihdella kohtuullisista merkittäviin, riippuen direktiivin tulkinnasta ja valittavasta teknisestä toteutustavasta. Poliisin tietojärjestelmien osalta kustannusvaikutukset riippuvat siitä, miten tiukasti tulkitaan järjestelmäkyselyjen lokitietoja koskevaa vaatimusta. Kustannusvaikutukset voivat kuitenkin olla yksittäisen tietojärjestelmän osalta merkittäviä. Uusien järjestelmähankkeiden osalta lokitietoja koskevat velvoitteet olisi otettava huomioon niiden yhteydessä, huomioiden myös käytettävissä oleva siirtymäaika.

Oletetun ja sisäänrakennetun tietoturvallisuuden osalta kaikki poliisin olemassa olevat tietojärjestelmät on jo pyritty toteuttamaan siten, että niiden arvioidaan täyttävän direktiivin vaatimukset. Eräiden voimassa olevasta laista poikkeavien vaatimusten, jotka merkitsevät tiukempaa sääntelyä, arvioidaan kuitenkin aiheuttavan tarpeita muuttaa käytäntöjä siten, että niillä voi olla kustannusvaikutuksia. Nämä liittyvät erityisesti tietoturvauhkiin ja niihin varautumiseen sekä henkilötietojen käsittelyyn liittyvään riskien arvioimiseen. Käsittelyn turvallisuuteen liittyvät vaatimukset on myös pääosin huomioitu poliisin tietojärjestelmissä. On kuitenkin mahdollista, että uhkakuviin ja käsittelyn riskien arviointiin liittyvät vaatimukset aiheuttavat tietojärjestelmiin kohtuullisia muutostarpeita. Poliisin tietojärjestelmien osalta on arvioitu, että velvollisuudesta ilmoittaa tietoturvaloukkauksista toiselle viranomaiselle tai toiselle EU:n jäsenvaltion viranomaiselle mahdollisesti aiheutuu tarpeita toteuttaa muutoksia.

Tulli

Tullin tietojärjestelmissä on sekä direktiivin että asetuksen soveltamisalaan liittyvää henkilötietojen käsittelyä. Tullissa rikosasioiden direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä suoritetaan suurelta osin poliisin ylläpitämissä teknisissä sovelluksissa (poliisiasiain tietojärjestelmä ja epäiltyjen tietojärjestelmä). Tältä osin tietojärjestelmien direktiivinmukaisuudesta vastaa poliisi. Ehdotetun lain vaatimusten toteuttaminen ei alustavan arvion mukaan edellyttäisi järjestelmämuutoksia Tullin rekistereihin, eikä täten aiheuttaisi merkittäviä kustannuksia.

Rajavartiolaitos

Rajavartiolaitoksessa rikosasioiden direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä suoritetaan pääsääntöisesti poliisin ylläpitämissä teknisissä sovelluksissa (poliisiasiain tietojärjestelmä ja epäiltyjen tietojärjestelmä). Tältä osin tietojärjestelmien direktiivinmukaisuudesta vastaa poliisi. Rikostorjunnan yksikkökohtaisten henkilörekisterien osalta on tarpeen arvioida, miltä osin nämä talletusalustat täyttävät ehdotetun täytäntöönpanolain vaatimukset, ja tehtävä tarvittavat muutokset joko talletusalustoihin tai yleisemmin henkilötietojen käsittelytapaan. Merkittävimmät selvitettävät asiat, joilla voi myös olla kustannusvaikutuksia, liittyvät henkilötietojen oikaisemista, poistamista ja käsittelyn rajoittamista sekä lokitietoja koskeviin vaatimuksiin. Ehdotetun lain muiden vaatimusten toteuttaminen ei alustavan arvion mukaan aiheuttaisi Rajavartiolaitoksessa merkittäviä kustannuksia, koska pääsääntöisesti vaatimukset toteutuvat jo nyt.

Puolustusvoimat

Puolustusvoimat uudistaa parhaillaan kaikkia isoja tietojärjestelmiään. Uudistustyö on aloitettu jo ennen EU:n tietosuojauudistusta, ja ehdotetusta laista arvioidaan aiheutuvat ainoastaan vähäisiä vaikutuksia Puolustusvoimien kehitysvaiheessa oleviin tietojärjestelmiin. Siirtymäajat huomioon ottaen, ehdotetusta laista seuraavat muutostarpeet eivät kuitenkaan vaadi lisärahoitusta. Tietosuojavastaavan kustannusvaikutus olisi Puolustusvoimille 1 henkilötyövuosi. Tämä vaikutus seuraisi osin ehdotetusta täytäntöönpanolaista ja osittain yleisestä tietosuoja-asetuksesta.

Oikeusministeriön hallinnonala

Oikeusrekisterikeskuksen tietojärjestelmiin (rikosrekisteri, sakon täytäntöönpanoa koskeva järjestelmä Rajsa ja rikosrekisteritietojen EU-tiedonvaihtoon käytettävästä CRIS-järjestelmästä) olisi tehtävä ehdotetun lain johdosta muutoksia. Kuluja syntyisi esimerkiksi lakiehdotuksen mukaisesta lokitusvelvollisuudesta ja korkeammista tietoturvavaatimuksista. Arvio edellä mainittuihin järjestelmiin vaadituista muutoksista aiheutuvista kertaluonteisista kuluista on 500 000—600 000 euroa ja jatkuvien palveluiden lisäkustannukset 20 000—40 000 euroa vuodessa. Merkittävimmät kustannusvaikutukset syntyisivät tietojen lokitusvelvollisuuden toteuttamisesta sakon täytäntöönpanojärjestelmään. Nämä arviot sekä uudistusten toteuttamisaikataulu, ottaen huomioon myös käytettävissä oleva siirtymäaika, ovat täsmennettävissä uuden lainsäädännön tultua voimaan.

Ehdotetusta laista seuraisi myös muita vaikutuksia oikeusministeriön hallinnonalan tietojärjestelmiin kuten esimerkiksi Rikosseuraamuslaitoksen tietojärjestelmiin. Syyttäjien ja tuomioistuinten rikosasioiden käsittelyssä tällä hetkellä käyttämä Sakari-järjestelmä ei täytä esimerkiksi lokitusvelvollisuuden osalta ehdotetun täytäntöönpanolain vaatimuksia. Syyttäjälaitoksen ja yleisten tuomioistuinten asian- ja dokumentinhallinnan kehittämishankkeessa (AIPA) ollaan luomassa uusi yhtenäinen järjestelmä, jossa syyttäjät ja yleiset tuomioistuimet käsittelevät sähköisesti kaikki lainkäyttöasioita koskevat toimintonsa. AIPA-järjestelmällä korvataan nykyisin näissä asioissa käytössä olevat erilliset järjestelmät, mukaan lukien rikosasiain Sakari-järjestelmä. Järjestelmän kehittämisen yhteydessä on tarkoitus ottaa huomioon ehdotetussa lainsäädännössä tietojärjestelmille asetettavat vaatimukset. AIPA-hankkeen on määrä olla kokonaisuudessaan valmis marraskuun 2021 loppuu mennessä.

Ehdotetusta laista aiheutuisi vaikutuksia kansalliselle valvontaviranomaiselle eli tietosuojavaltuutetulle. Vaikutukset olisivat kuitenkin jokseenkin maltillisia verrattuna yleisestä tietosuoja-asetuksesta seuraaviin vaikutuksiin. Taloudellisia vaikutuksia syntyisi etenkin ehdotetun lain mukaisista uusista tehtävistä. Näitä olisivat 21 §:n mukainen ennakkokuulemismenettely, tiedottaminen ja neuvontatyö etenkin lain tullessa voimaan, 29 §:n mukaisen välillisen tarkastusoikeuden käyttö tietosuojavaltuutetun välityksellä, 34 §:n mukaisten tietoturvaloukkausten käsittely sekä osallistuminen tietosuojaviranomaisten keskinäiseen avunantoon ja kansainväliseen yhteistyöhön. Tällä hetkellä rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluviin tehtäviin käytetään tietosuojavaltuutetun toimistossa noin 1,5 henkilötyövuotta. Ehdotetusta laista tietosuojavaltuutetulle aiheutuva vuotuinen lisämäärärahatarve on 100 000 euroa vuodesta 2019 lukien, josta 80 000 euroa aiheutuu palkkausmenoista (1 henkilötyövuotta) ja 20 000 euroa yleiskustannuksista (esimerkiksi julkaisutoiminta). Vuoden 2018 lisämäärärahatarpeen arvioidaan olevan 60 000 euroa lain tarkoitetusta voimaantuloajankohdasta johtuen.

Oikeusministeriön hallinnonalalla on myös tarve nimetä tietosuojavastaavia. Esimerkiksi Rikosseuraamuslaitos arvioi tietosuojavastaavan asettamisesta seuranneen 0,7 htv:n suuruisen panostustarpeen. Ehdotettu sääntely lisää jonkin verran Oikeusrekisterikeskuksen työmäärää, muun muassa koska sille syntyy vastuu osajärjestelmien tietojen hallinnasta. Tästä seuraavia kustannuksia on kuitenkin vaikea arvioida ennakolta.

6.2 Vaikutukset viranomaisten toimintaan

EU:n tietosuojalainsäädännön uudistaminen merkitsee hallinnollisen taakan kasvua rekisterinpitäjille. Hallinnollista taakkaa aiheutuisi potentiaalisesti siitä, että tietosuojasääntelyä koskevan tietoisuuden lisääntymisen ja aiempaa vahvempien valvontaviranomaisten toimivaltuuksien myötä rekisteröidyt henkilöt käyttäisivät aiempaa aktiivisemmin oikeuksiaan. Sitä, missä määrin rekisteröidyt käyttäisivät oikeuksiaan, on kuitenkin vaikea arvioida. Kustannusvaikutukset liittyisivät pääosin tietosuojavastaavien tehtävien hoitoon, mutta mahdollisesti myös rekisterinpitäjän edustamiseen hallinto-oikeudellisissa ja rikosoikeudellisissa menettelyissä. Ottaen huomioon, että rekisteröidyn oikeuksia on tehostettu myös EU:n laajuisesti huomioimalla sääntelyssä nimenomaisesti oikeussuojakeinojen käyttö myös rajat ylittävissä tilanteissa ja laajentamalla tietosuojaviranomaisten toimivaltuuksia EU:n laajuisesti, rekisterinpitäjät joutuvat mahdollisesti varautumaan näiden oikeuksien käyttöön myös resursoinnilla.

Toisaalta osa velvollisuuksista sisältyy jo voimassa olevaan sääntelyyn, joten kokonaisvaikutusta voidaan tältä osin pitää kohtuullisena. Rekisterinpitäjän olisi kuitenkin esimerkiksi laadittava tietosuojavaikutustenarviointi uusista henkilötietojen käsittelytoimenpiteistä, mikä ei nimenomaisena velvollisuutena sisälly voimassa olevaan sääntelyyn. Rekisterinpitäjälle aiheutuisi hallinnollista taakkaa lisäksi henkilötietojen käsittelijöiden sitouttamisesta uusiin vaatimuksiin sopimuksia uusimalla. EU:n tietosuojalainsäädännössä huomioidaan aiempaa yksityiskohtaisemmin rekisterinpitäjän ja henkilötietojen käsittelijöiden suhde ja keskinäiset velvollisuudet.

6.3 Yhteiskunnalliset vaikutukset

Rikosasioiden tietosuojadirektiivin tavoitteena on helpottaa henkilötietojen vapaata kulkua toimivaltaisten viranomaisten kesken EU:ssa rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten ja tällaisten tietojen siirtämistä kolmansiin maihin ja kansainvälisille järjestöille. Toisaalta samalla on pyritty varmistamaan henkilötietojen entistä vahvempi ja johdonmukaisempi suoja, jota tuetaan tehokkaalla täytäntöönpanolla.

Euroopan komissio on omassa EU-tason vaikutustenarvioinnissaan kiinnittänyt huomiota siihen, että aiempaa yhtenäisempi ja yksityiskohtaisempi rikosasioihin liittyvää henkilötietojen käsittelyä koskeva sääntely EU:n laajuisesti selkiyttää oikeustilaa ja parantaa yritysten luottamusta poliisin henkilötietojen käsittelyyn. Tällä komissio on arvioinut olevan merkitystä erityisesti niissä tilanteissa, joissa lainvalvontaviranomainen on suoraan yhteydessä EU:n alueella toimiviin yrityksiin saadakseen tai luovuttaakseen henkilötietoja rajat ylittävien palvelujen tarjonnan tilanteisiin liittyen. Toisaalta pitkällä aikavälillä uusi tietosuojasääntely kuitenkin kannustaa kehittämään tietojärjestelmiä varmemmiksi ja tietoturvallisemmiksi. Lisäksi henkilötietojen käsittelyä ja käsittelyn valvontaa koskevalla aiempaa yksityiskohtaisemmalla sääntelyllä voidaan arvioida olevan tietosuojarikkomusten ja tietoturvallisuusloukkausten riskejä vähentävää vaikutusta.

Rikosasioiden tietosuojadirektiivin toimeenpanosääntelyn yhteiskunnallisia vaikutuksia voidaan arvioida myös suhteessa direktiivillä kumottavaan tietosuojapuitepäätökseen. Tietosuojapuitepäätöksen osalta pääasialliset komission esiin nostamat ongelmat liittyvät säädöksen rajalliseen soveltamisalaan ja muihin aukkoihin sääntelyssä. Nämä konkretisoituvat komission arvion mukaan, kun EU:n sisäinen ja EU:n rajat ylittävä kansainvälinen yhteistyö lisääntyy. Sääntelyä on myös pidetty hajanaisena, ottaen huomioon erot tietosuojapuitepäätöksen täytäntöönpanossa. Puitepäätöksen korvaavassa tietosuojadirektiivissä on pyritty poistamaan sääntelyn hajanaisuutta siten, että soveltamisala laajenee koskemaan kaikkea rikosasioihin liittyvää henkilötietojen käsittelyä riippumatta siitä, onko kyse rajat ylittävästä henkilötietojen siirrosta vai kansallisesta käsittelystä. Tavoitteena on ollut varmistaa, että yksilön oikeudet taataan täysimääräisesti, sekä samalla parantaa luottamusta poliisiyhteistyöhön ja helpottaa sitä. Uudella direktiivillä on myös pyritty varmistamaan yhtenäisten ja johdonmukaisten periaatteiden soveltaminen kaikkeen henkilötietojen käsittelyyn. Samat vaatimukset on huomioitava myös kansainvälisissä henkilötietojen siirroissa.

7 Asian valmistelu

Sisäministeriö, puolustusministeriö ja valtiovarainministeriö asettivat vuonna 2016 hankkeet rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi kunkin hallinnonalalla. Ministeriöiden välisissä keskusteluissa kuitenkin havaittiin, että rikosasioiden tietosuojadirektiivi sisältää pääosin sellaista yleistä sääntelyä, joka on direktiivin kansallisessa täytäntöönpanossa perusteltua koota yhteen yleislakiin. Yleislakia sovellettaisiin kaikilla direktiivin soveltamisalaan kuuluvilla hallinnonaloilla, jolloin vältytään päällekkäiseltä hallinnonalakohtaiselta sääntelyltä ja mahdollisilta perusteettomilta lainsäädännön eroavuuksilta. Henkilötietojen käsittelyä koskevien erillislakien tarpeelliset viranomaisten rekisterijärjestelmiä sekä muuta tietojenkäsittelyä koskevat muutokset on valmisteltu erikseen kullakin hallinnonalalla.

Oikeusministeriö asetti 12.1.2017 työryhmän, jonka tehtävänä oli valmistella ehdotus tarpeelliseksi yleiseksi lainsäädännöksi rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi samoin kuin ehdotukset direktiivin edellyttämistä muutoksista oikeusministeriön hallinnonalan lainsäädäntöön. Työryhmän tuli myös selvittää, voidaanko puheena olevaa yleistä lainsäädäntöä soveltaa sellaiseen toimintaan, joka jää tietosuojadirektiivin ja tietosuoja-asetuksen soveltamisalan ulkopuolelle, mutta jonka sääntely on perusteltua sovittaa yhteen turvallisuusviranomaisia koskevan muun sääntelyn kanssa. Työryhmässä olivat edustettuina oikeusministeriö, sisäministeriö, puolustusministeriö, valtiovarainministeriö, tietosuojavaltuutettu, Oikeusrekisterikeskus ja Valtakunnansyyttäjänvirasto.

Työryhmän toimikausi oli 16.1.—29.9.2017. Työryhmän mietintö luovutettiin oikeusministeriölle ja julkaistiin 6.11.2017 (oikeusministeriön mietintöjä ja lausuntoja 52/2017). Työryhmä ehdotti mietinnössään, että direktiivin kansalliseksi täytäntöönpanemiseksi säädettäisiin laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Työryhmä ehdotti, että lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Tältä osin kyse olisi kansallisesta ratkaisusta. Työryhmä ehdotti myös tehtävän myös eräitä muutoksia oikeusministeriön toimialan lainsäädäntöön direktiivin täytäntöönpanemiseksi sen hallinnonalalla.

Työryhmän mietintö oli lausuntokierroksella 7.11.2017—4.12.2017. Lausunnon antoi kaikkiaan 33 tahoa. Lausuntopyyntö ja saadut lausunnot löytyvät lausuntopalvelu.fi-sivustolta ja valtioneuvoston hankeikkunasta.

Lausunnonantajat pitivät ehdotusta ja sen tavoitteita kannatettavina. Myös ehdotus, jonka mukaan lakia sovellettaisiin kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelyyn, sai tukea. Yksittäisiä säännösehdotuksia ja niiden perusteluja koskevia huomioita esitettiin kuitenkin runsaasti.

Esitystä on lausuntomenettelyn jälkeen jatkovalmisteltu oikeusministeriössä virkatyönä. Työryhmän mietintöön nähden hallituksen esityksessä omaksutut perusratkaisut ovat pysyneet ennallaan. Jatkovalmistelun aikana esitystä on kuitenkin tarkennettu ja eräiltä osin muokattu työryhmän ehdotukseen nähden. Lisäksi esitystä on tarkistettu vastaamaan olennaisilta osin hallituksen esityksessä tietosuojalaiksi (HE 9/2018 vp) omaksuttuja ratkaisuja esimerkiksi valvontaviranomaista koskevien säännösten osalta. Merkittävimmät sisällölliset muutokset työryhmän mietintöön nähden onkin tehty 1. lakiehdotuksen 8 ja 9 lukuun. Lisäksi ehdotuksesta on jatkovalmistelun aikana poistettu ulosottokaareen ehdotetut muutokset. Jatkovalmistelun aikana päädyttiin siihen arvioon, että mainitun lain piirissä tapahtuva henkilötietojen käsittely kuuluu yleisen tietosuoja-asetuksen soveltamisalaan.

8 Riippuvuus muista esityksistä

Esityksellä on yhteys hallituksen esitykseen yleistä tietosuoja-asetusta täydentäväksi kansalliseksi lainsäädännöksi. Oikeusministeriö asetti helmikuussa 2016 TATTI-työryhmän (OM006:00/2016), jonka tehtävänä oli valmistella yleisen tietosuoja-asetuksen edellyttämiä muutoksia henkilötietojen käsittelystä annettuun yleiseen kansalliseen lainsäädäntöön. Työryhmän tehtävänä oli erityisesti valmistella ehdotus kansallista tietosuojaviranomaista koskevaksi sääntelyksi. Työryhmä luovutti mietintönsä 21.6.2017, jonka jälkeen mainitun lainsäädännön valmistelu jatkui virkatyönä oikeusministeriössä. Hallituksen esitys eduskunnalle annettiin 1.3.2018 (HE 9/2018 vp). Esitykseen sisältyy ehdotus tietosuojalaiksi, johon otettaisiin tietosuojavaltuutetun organisaatiota koskevat säännökset. Käsillä olevaan esitykseen on sen vuoksi otettu tietosuojavaltuutettua koskien vain sen tehtäviä ja toimivaltuuksia ehdotetun yleislain soveltamisalalla koskevat säännökset.

Esityksellä on lisäksi yhteys Ahvenmaan maakuntahallituksen valmistelutyöhön yleisestä tietosuoja-asetuksesta ja rikosasioiden tietosuojadirektiivistä seuraavista muutostarpeista.

Käsillä olevaan esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki. Sitä on tarkoitus täydentää eri hallinnonaloja koskevalla erityslainsäädännöllä seuraavassa selostettavin tavoin. Pääosa näistä hallituksen esityksistä tullaan antamaan tämän esityksen jälkeen.

Esitys liittyy sisäministeriön asettaman työryhmän (SM064:00/2015) työhön, jossa on tarkoitus laatia ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä poliisitoiminnassa. Hankkeen keskeisin tavoite on valmistella uusi poliisin henkilötietolaki, joka täydentäisi rikosasioiden tietosuojadirektiivin yleistä täytäntöönpanolainsäädäntöä ja yleistä tietosuoja-asetusta siltä osin kuin tarvittavat täytäntöönpanosäännökset eivät sisälly mainittuihin säädöksiin. Tarkoituksena on, että uusi poliisin henkilötietolaki täyttäisi uudistuneen EU:n tietosuojalainsäädännön vaatimukset, ottaen huomioon rikostorjunnan tarpeet sekä perus- ja ihmisoikeuksien asettamat vaatimukset.

Esityksellä on yhteys sisäministeriön asettaman työryhmän (SM057:00/2016) työhön, jossa tehtävänä on laatia hallituksen esitys henkilötietojen käsittelyä Rajavartiolaitoksessa koskevan lainsäädännön tarkistamiseksi. Hankkeessa valmistellaan muutokset henkilötietojen käsittelystä rajavartiolaitoksessa annettuun lakiin siltä osin, kuin tarvittavat säännökset eivät sisälly rikosasioiden tietosuojadirektiivin kansalliseen täytäntöönpanolakiin. Lisäksi työryhmä arvioi muut EU:n uudistuneesta tietosuojalainsäädännöstä seuraavat lain muutostarpeet sekä tarkistaa meripelastuslain henkilötietojen käsittelyä koskevat säännökset.

Esitys liittyy valtiovarainministeriön asettamaan hankkeeseen (VM059:00/2016), jossa on tarkoitus muuttaa henkilötietojen käsittelystä Tullissa annettua lainsäädäntöä vastaamaan yleistä tietosuoja-asetusta ja rikosasioiden tietosuojadirektiiviä siltä osin kuin jälkimmäisestä seuraavat muutostarpeet eivät tule katetuksi rikosasioiden tietosuojadirektiivin yleisellä täytäntöönpanolainsäädännöllä.

Esitys liittyy niin ikään puolustusministeriön asettaman työryhmän (PLM006:00/2016) työhön, jossa valmistellaan henkilötietojen käsittelyä puolustushallinnossa koskevan lainsäädännön kokonaisuudistusta. Työryhmän tehtävänä on selvittää henkilötietojen käsittelyä puolustushallinnossa koskevan lainsäädännön EU:n tietosuojauudistuksesta seuraavat muutostarpeet ja valmistella ehdotus tarvittaviksi säädösmuutoksiksi. Hallituksen esitys asiasta annettiin eduskunnalle 8.3.2018 (HE 13/2018 vp).

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

YKSITYISKOHTAISET PERUSTELUT

1 Lakiehdotusten perustelut
1.1 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä
1 luku Yleiset säännökset

1 §.Soveltamisala. Pykälässä säädettäisiin ehdotetun lain soveltamisalasta. Rikosasioiden tietosuojadirektiivin soveltamisalasta säädetään sen 1 ja 2 artiklassa, joihin myös ehdotettu soveltamisalasäännös pääosin perustuu.

Pykälän 1 momentin mukaan ehdotettua lakia sovellettaisiin laissa määriteltyjen toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta (1 kohta), syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta (2 kohta), rikosasian käsittelemisestä tuomioistuimessa (3 kohta), rikosoikeudellisen seuraamuksen täytäntöönpanemisesta (4 kohta) taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä (5 kohta).

Rikosasioiden tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua poliisilaissa tai muualla lainsäädännössä poliisille säädettyjen toimivaltuuksien käyttäminen esimerkiksi mielenosoitusten, suurten urheilutapahtumien ja mellakoiden yhteydessä. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen.

Ehdotetussa laissa tarkoitettuja toimivaltaisia viranomaisia ovat muun muassa poliisiviranomaiset, tulliviranomaiset, Rajavartiolaitos, tuomioistuimet, syyttäjälaitos, Oikeusrekisterikeskus sekä Rikosseuraamuslaitos. Lisäksi esimerkiksi eduskunnan oikeusasiamies ja oikeuskansleri ovat ehdotetussa laissa tarkoitettuja toimivaltaisia viranomaisia, sillä niillä on perustuslain 110 §:ssä säädetyn mukaisesti syyteoikeus. Ehdotettua lakia sovellettaisiin toimivaltaisiin viranomaisiin kuitenkin ainoastaan siltä osin, kuin ne suorittavat henkilötietojen käsittelyä lain 1 §:ssä lueteltuja tehtäviä varten.

Toimivaltaisille viranomaisille voidaan kansallisessa lainsäädännössä antaa sellaisiakin tehtäviä, joita ei suoriteta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten eikä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällöin siltä osin kuin näitä muita tarkoituksia varten suoritettava henkilötietojen käsittely kuuluu unionin oikeuden soveltamisalaan, kuuluu kyseinen toiminta asetuksen (EU) 2016/679 eli niin sanotun yleisen tietosuoja-asetuksen soveltamisalaan.

Esimerkiksi poliisilla on useita tietosuojadirektiivin ja ehdotetun lain soveltamisalaan kuuluvia tehtäviä, kuten rikosten esitutkinta. Se kuitenkin hoitaa muitakin kuin lainvalvontaan liittyviä tehtäviä esimerkiksi käsitellessään passihakemuksia. Tällaiseen käsittelyyn ei sovellettaisi ehdotettua lakia, vaan yleistä tietosuoja-asetusta ja sitä täydentävää kansallista lainsäädäntöä. Ehdotetun lain soveltamisalaan ei myöskään kuuluisi henkilötietojen käsittely henkilöstöhallinnossa, turvapaikka-asiat, maahanmuutto, rajavalvonta tai pankkien suorittama henkilötietojen käsittely. Näitä asioita ja tilanteita koskevat käsittelytoimet kuuluvat yleisen tietosuoja-asetuksen soveltamisalaan.

Lisäksi esimerkiksi Tullille säädetyistä tehtävistä rikosasioiden tietosuojadirektiivin ja ehdotetun lain soveltamisalaan kuuluisivat tullirikosten estäminen ja paljastaminen sekä niiden osalta esitutkinnan suorittaminen. Lain soveltamisalaan eivät kuuluisi Tullille säädetyistä tehtävistä esimerkiksi EU:n tullilainsäädännön toimeenpanoon liittyvät tehtävät, verotuksen toimittaminen, valvontatehtävät, ulkomaankaupan tilastointi tai laboratoriotutkimukset, vaan näiden osalta sovellettavaksi tulisi yleinen tietosuoja-asetus.

Pykälän 2 momentin 1 kohdan mukaan lakia sovellettaisiin lisäksi sellaiseen Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, jota suoritetaan puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien suorittamiseksi. Kohdassa tarkoitettu henkilötietojen käsittely ei kuulu rikosasioiden tietosuojadirektiivin soveltamisalaan, eli kyseessä olisi kansallinen lain soveltamisalan laajennus.

Puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa säädetään Puolustusvoimien päätehtävästä, joka on Suomen sotilaallinen puolustaminen. Kohta jakaantuu kolmeen alakohtaan, joissa säädetään tarkemmin tehtävän sisällöstä. Puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdan a alakohdassa säädetään Puolustusvoimien tehtäväksi Suomen maa-alueen, vesialueen ja ilmatilan valvominen sekä alueellisen koskemattomuuden turvaaminen.

Lain 2 §:n 1 momentin 1 kohdan b alakohdan mukaan Suomen sotilaalliseen puolustamiseen kuuluu kansan elinmahdollisuuksien, perusoikeuksien ja valtiojohdon toimintavapauden turvaaminen sekä laillisen yhteiskuntajärjestyksen puolustaminen. Pykälän 1 momentin 1 kohdan c alakohdassa säädetään Puolustusvoimien tehtäväksi sotilaskoulutuksen antaminen, vapaaehtoisen maanpuolustuskoulutuksen ohjaaminen ja maanpuolustustahdon edistäminen.

Puolustusvoimista annetun lain 2 §:n 1 momentin 2 kohdan mukaan puolustusvoimien tehtävänä on muiden viranomaisten tukeminen. Tehtävään kuuluvat a) virka-apu yleisen järjestyksen ja turvallisuuden ylläpitämiseksi, terrorismirikosten estämiseksi ja keskeyttämiseksi sekä muuksi yhteiskunnan turvaamiseksi sekä b) pelastustoimintaan osallistuminen antamalla käytettäväksi pelastustoimintaan tarvittavaa kalustoa, henkilöstöä ja asiantuntijapalveluja. Ehdotettua lakia sovellettaisiin vain a alakohdan mukaisten tehtävien hoitamisen yhteydessä.

Puolustusvoimien kolmantena puolustusvoimista annetun lain 2 §:n 1 momentissa säädettynä tehtävänä on osallistuminen Euroopan unionin toiminnasta tehdyn sopimuksen 222 artiklaan tai Euroopan unionista tehdyn sopimuksen 42 artiklan 7 kohtaan perustuvaan apuun, aluevalvontayhteistyöhön tai muuhun kansainvälisen avun antamiseen ja kansainväliseen toimintaan. Puolustusvoimien neljäntenä edellä mainitussa momentissa säädettynä tehtävänä on osallistuminen kansainväliseen sotilaalliseen kriisinhallintaan ja sotilastehtäviin muussa kansainvälisessä kriisinhallinnassa. Sotilaalliseen kriisinhallintaan osallistumisesta säädetään tarkemmin sotilaallisesta kriisinhallinnasta annetussa laissa.

Ehdotetun pykälän 2 momentin 2 kohdan mukaan lakia sovelletaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Poliisilain 1 luvun 1 §:n 1 momentin mukaan poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa ja huolehtii tehtäviinsä kuuluvasta kansainvälisestä yhteistyöstä. Suojelupoliisin tehtävänä on poliisin hallinnosta annetun lain (110/1992) 10 §:n mukaan torjua sellaisia hankkeita ja rikoksia, jotka voivat vaarantaa valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta sekä suorittaa tällaisten rikosten tutkintaa. Sen tulee myös ylläpitää ja kehittää yleistä valmiutta valtakunnan turvallisuutta vaarantavan toiminnan estämiseksi.

Suojelupoliisin käsitellessä henkilötietoja edellä mainittujen tehtäviensä suorittamiseksi, eli kansallisen turvallisuuden suojaamiseksi, sen henkilötietojen käsittely ei kuulu EU:n oikeuden alaan. Kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on säädettävä kansallisessa lainsäädännössä. Ehdotettua lakia sovellettaisiin myös muun poliisin yksikön suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.

Pykälän 2 momentin 3 kohdan mukaan lakia sovellettaisiin Rajavartiolaitoksen henkilötietojen käsittelyyn, kun tietoja käsitellään rajavartiolain 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Rajavartiolain 3 §:ssä säädetään Rajavartiolaitoksen tehtävistä. Kansallisen turvallisuuden suojaamiseen niistä liittyvät erityisesti eräät valvontatehtävät sekä sotilaallisen maanpuolustuksen tehtävät. Rajavartiolain 3 §:n 2 momentin mukaan Rajavartiolaitos suorittaa sille erikseen säädettyjä valvontatehtäviä, joihin kuuluu muiden muassa Suomen alueellisen koskemattomuuden valvonta ja turvaaminen. Rajavartiolaitos huolehtii aluevalvonnasta yhteistyössä puolustusvoimien ja muiden aluevalvontaviranomaisten kanssa siten kuin aluevalvontalaissa säädetään. Rajavartiolain 3 §:n 3 momentin mukaan Rajavartiolaitos osallistuu sotilaalliseen maanpuolustukseen. Rajavartiolain 25 §:n 1 momentin mukaan Rajavartiolaitos antaa tässä tarkoituksessa henkilöstölleen ja Rajavartiolaitoksen palvelukseen määrätyille asevelvollisille samoin kuin vapaaehtoisesti asepalvelusta suorittamaan otetuille naisille sotilaskoulutusta sekä ylläpitää ja kehittää puolustusvalmiutta yhteistoiminnassa puolustusvoimien kanssa.

Pykälän 3 momentissa säädettäisiin, ettei 2 momentissa tarkoitettuun henkilötietojen käsittelyyn kuitenkaan sovelleta ehdotetun lain 10 §:n 2 momenttia, 54 §:ää eikä 7 lukua. Ehdotetun lain 10 §:n 2 momentissa säädettäisiin tietojen luovuttamisen edellytyksistä EU:ssa sijaitsevalle vastaanottajalle, 54 §:ssä säädettäisiin tietojen antamisesta toisen EU:n jäsenvaltion valvontaviranomaiselle, ja 7 luvussa säädettäisiin henkilötietojen luovuttamisesta kolmansiin maihin. EU:n tietosuojalainsäädäntö ei koske ehdotetun 2 momentin soveltamisalalla tapahtuvaa henkilötietojen käsittelyä, eikä esimerkiksi siihen sisältyvä henkilötietojen luovuttamista koskeva sääntely tule siten sovellettavaksi.

Pykälän 4 momentin mukaisesti ehdotettua lakia sovellettaisiin kuitenkin vain sellaiseen 1 ja 2 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa. Lain soveltamisalaan kuuluisivat siten myös manuaaliset rekisterit, eikä ehdotuksessa ole tarkoitus tältä osin muuttaa nykyistä henkilötietolaissa säädettyä oikeustilaa. Direktiivin 18 johdantokappaleessa todetun mukaisesti sääntely ei koske sellaisia asiakirjoja tai asiakirjojen kokonaisuuksia, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.

Pykälän 5 momentti sisältäisi informatiivisen säännöksen siitä, että ehdotetulla lailla pannaan täytäntöön rikosasioiden tietosuojadirektiivi.

2 §.Suhde muuhun lainsäädäntöön. Pykälän 1 momentissa säädettäisiin selvyyden vuoksi, että jos muussa laissa on tässä ehdotetusta laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta. Käytännössä lähes jokaista tässä laissa tarkoitettua toimivaltaista viranomaista ja sen suorittamaa henkilötietojen käsittelyä koskevaa erityislainsäädäntöä on olemassa, jolloin kyseisiä säännöksiä sovellettaisiin tähän lakiin otettujen säännösten asemesta.

Pykälän 2 momentti sisältäisi -viittaussäännöksen viranomaisten toiminnan julkisuutta koskevaan lainsäädäntöön. Oikeudesta saada tieto viranomaisten julkisista asiakirjoista säädetään erityisesti viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä laissa oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007). Esimerkiksi luovutettaessa henkilötietoja toimivaltaisten viranomaisten tulee ottaa huomioon julkisuusperiaate ja salassapitosäännökset siten kuin perustuslain 12 §:n 2 momentissa, julkisuuslaissa ja mahdollisesti soveltuvassa erityislainsäädännössä säädetään.

3 §.Määritelmät. Pykälässä määriteltäisiin ehdotetun lain keskeiset käsitteet. Pykälä perustuu rikosasioiden tietosuojadirektiivin 3 artiklaan, 1 momentin 10 kohdassa tarkoitettua asianmukaisten suojatoimien ja 15 kohdassa tarkoitetun kolmannen maan määritelmää lukuun ottamatta.

Pykälän 1 momentin 1 ja 2 kohdassa määriteltäisiin henkilötieto, rekisteröity ja henkilötietojen käsittely. Määritelmien sisältö ei muuttuisi nykylainsäädännöstä, mutta määritelmien kirjoitusasua päivitettäisiin vastaamaan paremmin rikosasioiden tietosuojadirektiivissä ja yleisessä tietosuoja-asetuksessa käytettyjä määritelmiä.

Henkilötiedoilla tarkoitettaisiin kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön välittömästi tai välillisesti liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai välillisesti tunnistaa erityisesti nimen, henkilötunnuksen tai yhden tai useamman hänelle tunnusomaisen fyysisen, geneettisen tai esimerkiksi sosiaalisen seikan perusteella. Sen arvioimiseksi, onko luonnollinen henkilö tunnistettavissa, olisi rikosasioiden tietosuojadirektiivin 21 johdantokappaleen mukaisesti otettava huomioon kaikki keinot, kuten seulonta, joita rekisterinpitäjä tai muu taho voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti. Sen arvioimiseksi, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset seikat, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Henkilötietojen suojaa koskevaa sääntelyä ei siten sovellettaisi anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kuten esimerkiksi tilastoihin, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.

Momentin 3 kohdan sisältämä käsite käsittelyn rajoittaminen olisi uusi. Sillä tarkoitettaisiin tallennettujen henkilötietojen merkitsemistä siten, että tarkoituksena on rajoittaa tietojen myöhempää käsittelyä.

Momentin 4 kohdan sisältämä käsite rekisteri vastaisi sisällöllisesti olennaisilta osin henkilötietolaissa nykyisin käytettyä henkilörekisterin käsitettä. Määritelmä yhdenmukaistettaisiin rikosasioiden tietosuojadirektiivin määritelmäsäännöksen kanssa, ja rekisterillä tarkoitettaisiin mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu.

Momentin 5 kohdassa määriteltäisiin toimivaltainen viranomainen. Sillä tarkoitettaisiin kaikkia sellaisia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen, selvittämisen tai syyteharkintaan saattamisen, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Kohdassa tarkoitettuja toimivaltaisia viranomaisia olisivat esimerkiksi poliisi- ja tulliviranomaiset, Rajavartiolaitos, yleiset tuomioistuimet, syyttäjälaitos, Oikeusrekisterikeskus sekä Rikosseuraamuslaitos. Myös Metsähallituksen erävalvonnasta annetussa laissa (1157/2005) tarkoitettu erätarkastaja olisi kohdassa tarkoitettu toimivaltainen viranomainen, sillä erätarkastaja toimittaa eräissä tilanteissa rikosasian selvittämiseksi suppean esitutkinnan. Samoin esimerkiksi eduskunnan oikeusasiamies ja oikeuskansleri ovat lain tarkoittamia toimivaltaisia viranomaisia, sillä niillä on tietyissä tilanteissa syyteoikeus. Sitä vastoin esimerkiksi yksittäisen yhdyskuntaseuraamuksen täytäntöönpanosta vastaavan virkamiehen avuksi määrätty, laissa yhdyskuntaseuraamusten täytäntöönpanosta (400/2015) tarkoitettuna apuvalvojana toimiva sosiaalityöntekijä ei olisi kohdassa tarkoitettu toimivaltainen viranomainen.

Lisäksi kohdassa ulotettaisiin toimivaltaisen viranomaisen määritelmä koskemaan myös Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa ehdotetussa 1 §:n 2 momentissa tarkoitettuja tehtäviä. Tältä osin kyse olisi kansallisesta sääntelystä.

Momentin 6 kohdassa määriteltäisiin rekisterinpitäjä. Määritelmä vastaisi pitkälti nykytilaa. Rekisterinpitäjä olisi lain soveltamisalalla aina nimenomaan toimivaltainen viranomainen, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty. Säännös mahdollistaisi siten niin sanotun yhteisrekisterinpitäjyyden nykytilaa vastaavasti. Yhteisrekisterinpitäjistä säädettäisiin tarkemmin ehdotetussa 16 §:ssä.

Momentin 7 kohdassa määriteltäisiin henkilötietojen käsittelijä. Henkilötietojen käsittelijällä tarkoitettaisiin ehdotuksen mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun eli esimerkiksi toimeksiantosuhteen perusteella. Henkilötietojen käsittelijällä ei siten tarkoitettaisi rekisterinpitäjän palveluksessa olevaa henkilöä, eikä myöskään henkilötietojen käsittelijän palveluksessa olevaa yksittäistä henkilöä.

Momentin 8 kohdan sisältämä määritelmä olisi uusi. Sen mukaan vastaanottajalla tarkoitettaisiin luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja.

Momentin 9 kohdassa määriteltäisiin henkilötietojen tietoturvaloukkaus. Nykyiseen henkilötietolakiin ei sisälly tietoturvaloukkauksen määritelmää. Henkilötietojen tietoturvaloukkauksella tarkoitettaisiin kohdan mukaan tietoturvallisuuden loukkaamista, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Määritelmänsä mukaan henkilötietojen tietoturvaloukkaus ei edellyttäisi sitä, että loukkauksesta on aiheutunut tosiasiallista vahinkoa rekisteröidylle.

Momentin 10 kohdassa määriteltäisiin, mitä tarkoitetaan ehdotetussa laissa mainituilla asianmukaisilla suojatoimenpiteillä. Kohdan mukaan niillä tarkoitettaisiin sellaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen käsittelyn lainmukaisuus, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin kohdistuvat riskit (riskiperusteinen lähestymistapa). Tällaisiin toimenpiteisiin voisi, tapauksesta riippuen, kuulua esimerkiksi henkilötietojen pseudonymisointi tai salaaminen, lainsäädännön edellyttämää tiukempien tietojen käsittelyedellytysten käyttöön ottaminen ja tietoja käsittelevän henkilöstön kouluttaminen tietoturvallisuusasioista. Suojatoimiin voi niin ikään kuulua laissa tai asetuksessa säädettyjen, tähän lakiin sisältyviä velvollisuuksia tarkempien tietoturvallisuusvelvollisuuksien toteuttaminen. Asianmukaisia suojatoimenpiteitä ei ole mahdollista laissa tyhjentävästi määritellä, ja vaadittavien suojatoimenpiteiden luonne saattaa ajan kuluessa muun muassa teknologisen kehityksen vuoksi muuttua. Vastaavaa määritelmää ei nimenomaisesti sisälly rikosasioiden tietosuojadirektiiviin. Ehdotetussa laissa viitataan useissa kohdin asianmukaisiin suojatoimenpiteisiin.

Momentin 11 kohdassa määriteltäisiin, mitä laissa tarkoitetaan profiloinnilla. Profiloinnilla tarkoitettaisiin mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia. Profiloinnilla pyritään tyypillisesti analysoimaan tai ennakoimaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.

Momentin 12 kohdassa määriteltäisiin geneettisiksi tiedoiksi henkilötiedot, jotka koskevat sellaisia luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta, ja jotka on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla tai muutoin. Määritelmä olisi uusi.

Momentin 13 kohdassa määriteltäisiin biometriset tiedot. Vastaavaa määritelmää ei sisälly voimassa olevaan henkilötietoja koskevaan lainsäädäntöön. Biometrisillä tiedoilla tarkoitettaisiin luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Biometrisiä tietoja olisivat esimerkiksi kasvokuvat ja sormenjälkitiedot.

Momentin 14 kohdan sisältämä terveyttä koskevan tiedon määritelmä olisi uusi. Sillä tarkoitettaisiin luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa. Määritelmän piiriin kuuluisi kaikki tiedot, jotka koskevat rekisteröidyn entistä, nykyistä tai tulevaa fyysistä terveyttä tai mielenterveyttä. Terveyttä koskevalla tiedoilla tarkoitettaisiin muun muassa geneettisiä ja biologisia tietoja, tietoja sairauksista, vammoista tai sairauden riskistä samoin kuin tietoa annetuista hoidoista.

Momentin 15 kohdassa määriteltäisiin kolmas maa. Sillä tarkoitettaisiin muuta valtiota kuin EU:n jäsenvaltiota, muuta Euroopan talousalueen valtiota tai Sveitsiä. Euroopan talousalueeseen kuuluvat EU:n jäsenvaltioiden lisäksi Islanti, Liechtenstein ja Norja.

Momentin 16 kohdassa määriteltäisiin, mitä ehdotetussa laissa tarkoitetaan kansainvälisellä järjestöllä. Käsitteellä tarkoitettaisiin sellaista järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, sekä muuta elintä, joka on perustettu kahden tai useamman valtion välisellä sopimuksella tai tällaisen sopimuksen perusteella. Kohdassa tarkoitettu kansainvälinen järjestö olisi esimerkiksi Interpol.

Pykälän 2 momentissa säädettäisiin, että mitä ehdotetussa laissa säädetään toimivaltaisesta viranomaisesta, sovelletaan myös 1 momentin 5 kohdassa tarkoitettua tehtävää hoitavaan yksityiseen tahoon. Säännös perustuu rikosasioiden tietosuojadirektiivin 3 artiklan 7 kohdan b alakohtaan. Mainitun artiklan mukaan toimivaltaisella viranomaisella tarkoitetaan myös kaikkia muita elimiä tai yksiköitä kuin viranomaisia, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon liittyen. Momenttiin otettavaksi ehdotettu sääntely on tarpeen muissa EU-maissa tällaisia tehtäviä hoitavien yksityisten toimijoiden, kuten yksityisiä vankiloita ylläpitävien organisaatioiden, huomioon ottamiseksi.

Pykälän 3 momentin mukaan mitä ehdotetussa laissa säädettäisiin EU:n jäsenvaltiosta, sovellettaisiin myös muihin Euroopan talousalueeseen kuuluviin valtioihin ja Sveitsiin. Ehdotus perustuu direktiivin sääntelyyn. Euroopan talousalueeseen kuuluvat nykyisellään EU-maiden lisäksi Islanti, Liechtenstein ja Norja.

2 luku Henkilötietojen käsittelyä koskevat periaatteet

Luvussa säädettäisiin henkilötietojen käsittelyn yleisistä periaatteista, joita tulisi noudattaa aina käsiteltäessä henkilötietoja ehdotetun lain mukaisesti.

4 §.Lainmukaisuusvaatimus. Pykälässä säädettäisiin henkilötietojen käsittelyn lainmukaisuusvaatimuksesta. Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan a ja b alakohtaan sekä 8 artiklan 1 kohtaan. Pykälä vastaisi pääpiirteissään henkilötietolain 5 §:ää, jossa säädetään huolellisuusvelvoitteesta, sekä henkilötietolain 8 §:n 4 kohtaa ja 12 §:n 5 kohtaa. Henkilötietolain 5 §:n mukaan henkilötietoja tulee käsitellä laillisesti, minkä lisäksi käsittelyssä tulee noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.

Ehdotetun pykälän 1 momentin mukaan henkilötietoja saa käsitellä ainoastaan, jos se on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, 1 §:n 1 tai 2 momentin alaan kuuluvan tehtävän suorittamiseksi. Lailla tarkoitetaan tässä yhteydessä sekä kotoperäistä että EU-lainsäädäntöä.

Käsittelyn tulisi olla tarpeen toimivaltaisen viranomaisen 1 §:n 1 tai 2 momentissa tarkoitetun tehtävän suorittamiseksi. Tarpeellisuus- ja oikeasuhtaisuusvaatimusten mukaisesti henkilötietoja tulisi käsitellä vain siinä määrin, kuin käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.

Pykälän 2 momentissa säädettäisiin, että henkilötietoja on käsiteltävä asianmukaisesti ja huolellisesti. Nämä vaatimukset viittaisivat osaltaan muun muassa tietoturvallisuutta koskeviin vaatimuksiin, ja niistä seuraisi myös yleisempi velvollisuus käsitellä henkilötietoja hyvän tietojenkäsittelytavan mukaisesti. Huolellisuusvelvollisuus korostaa nykyisen henkilötietolain 5 §:ssä säädettyä vastaavasti rekisterinpitäjän oma-aloitteisuutta sen varmistamisessa, että henkilötietojen käsittelyssä noudatetaan henkilötietojen suojaa koskevia säännöksiä ja periaatteita.

5 §.Käyttötarkoitussidonnaisuus. Pykälässä säädettäisiin käyttötarkoitussidonnaisuuden periaatteesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan b alakohta, 2 ja 3 kohta sekä 9 artikla. Henkilötietolain 7 §:ään on sisältynyt käyttötarkoitussidonnaisuutta koskeva säännös.

Ehdotetun pykälän 1 momentin mukaan rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla.

Pykälän 2 momentin mukaan ehdotetun lain 1 §:ssä 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos tällaisesta käsittelystä säädetään laissa. Nämä säännökset kohdistuisivat niin alkuperäiseen rekisterinpitäjään kuin muihinkin rekisterinpitäjiin. Lakisääteisyyden vaatimus voisi tulla täytetyksi niin kansallisella kuin unioninkin lainsäädännöllä. Tällaisen lain olisi täytettävä rikosasioiden tietosuojadirektiivin vaatimukset käsittelyn tarpeellisuuden ja oikeasuhtaisuuden osalta siten kuin rikosasioiden tietosuojadirektiivin 4 artiklan 2 kohdan b alakohdassa edellytetään. Jos henkilötietoja käsitellään säännöksessä viitattuihin muihin tarkoituksiin, sovellettaisiin käsittelyyn lähtökohtaisesti yleistä tietosuoja-asetusta.

Pykälän 3 momentissa säädettäisiin, että henkilötietoja saa käsitellä 1 §:n 1 tai 2 momentissa säädettyyn tarkoitukseen myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten. Edellytyksenä tällöin kuitenkin olisi, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu. Siltä osin kuin momentissa tarkoitettu käsittely tapahtuu muihin kuin ehdotetun lain 1 §:n mukaisiin tarkoituksiin, käsittelyyn sovellettaisiin yleistä tietosuoja-asetusta, ehdotettua tietosuojalakia sekä mahdollista henkilötietojen käsittelyä koskevaa erityislainsäädäntöä.

Rekisterinpitäjän tulisi kyetä osoittamaan, että se on noudattanut ehdotetun pykälän säännöksiä.

6 §.Tarpeellisuusvaatimus. Ehdotetulla pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan c ja e alakohta sekä 5 artikla. Pykälässä säädettäisiin tietojen tarpeellisuusvaatimuksesta ja siihen olennaisesti liittyvästä tietojen säilyttämisen rajoituksista. Yhdessä säännökset toteuttaisivat tietojen minimoinnin periaatetta. Tarpeellisuusvaatimuksesta säädetään nykyisin henkilötietolain 9 §:n 1 momentissa.

Pykälän 1 momentin mukaan käsiteltävien henkilötietojen tulisi olla käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saisi olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot olisi niin ikään poistettava ilman aiheetonta viivytystä. Rekisterinpitäjän olisi tarvittaessa kyettävä osoittamaan henkilötietojen käsittelyn tarpeellisuus.

Pykälän 2 momentin mukaan henkilötiedot saisi säilyttää muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin se on tarpeellista henkilötietojen käsittelyn tarkoituksen kannalta.

Rikosasioiden tietosuojadirektiivin 5 artiklan mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten vahvistetaan asianmukaiset määräajat. Henkilötietojen säilyttämisen tarpeellisuutta olisi pykälän 3 momentin mukaan arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädettäisi. Momentilla varmistettaisiin, että henkilötietojen säilyttämisen tarpeellisuus arvioidaan säännöllisesti myös siinä tapauksessa, ettei erityislainsäädännössä ole erityisiä säännöksiä säilytyksen tarpeellisuuden arvioimisesta. Rekisterinpitäjän olisi ehdotetussa 14 §:ssä säädettävät velvollisuudet huomioon ottaen toteutettava toimenpiteet, joilla varmistetaan säilyttämistä koskevan määräajan noudattaminen. Voimassa olevan henkilötietolain 12 §:n 2 momentissa säädetyn mukaisesti myös nykyisin rikosta ja sen seuraamusta koskevien tietojen sälyttämistarvetta on lähtökohtaisesti arvioitava vähintään viiden vuoden välein.

7 §.Virheettömyysvaatimus. Pykälässä säädettäisiin virheettömyysvaatimuksesta, joka on yksi henkilötietojen käsittelyä koskevista periaatteista. Pykälällä täytettäisiin rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan d alakohdan sisältämä lainsäädäntötoimeksianto. Henkilötietolain 9 §:n 2 momentti sisältää säännöksen virheettömyysvaatimuksesta. Vaikka vaatimuksen perustavanlaatuinen lähtökohta säilyisi ennallaan, tarkistettaisiin säännöksen sanamuotoa henkilötietolakiin nähden vastaamaan rikosasioiden tietosuojadirektiiviä.

Pykälän mukaan käsiteltävien henkilötietojen tulisi olla täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Vaatimus tarkoittaisi käytännössä esimerkiksi sitä, ettei sisällöltään epämääräiseksi jääviä henkilötietoja lähtökohtaisesti tule käsitellä. Säännös ei sinänsä estäisi esimerkiksi sellaisten tietojen tallettamista, joiden todenmukaisuutta ei voida välittömästi varmistaa tai joissa on kyse esimerkiksi todistajan subjektiivisista näkemyksistä. Rekisterinpitäjän tulee toteuttaa kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Toimivaltaisten viranomaisten olisi niin ikään varmistettava, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä tai aseteta saataville tai ylipäätään kerätä. Pykälässä tarkoitetun päivittämisvelvollisuutta sovellettaessa olisi otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojan ja oikeusturvan kannalta.

8 §.Eräiden henkilötietojen erottaminen toisistaan. Pykälässä säädettäisiin velvollisuudesta erottaa eräät henkilötiedot toisistaan. Pykälä perustuu rikosasioiden tietosuojadirektiivin 6 artiklaan sekä 7 artiklan 1 kohtaan. Vastaavaa säännöstä ei sisälly henkilötietolakiin. Ehdotetulla säännöksellä on kuitenkin tiivis yhteys esimerkiksi ehdotetun lain 7 §:ssä säädettyyn virheettömyysvaatimukseen.

Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. Erottamisen toteuttamiseksi tulisi toteuttaa kaikki kohtuulliset toimenpiteet, kun otetaan huomioon tietojen erillään pidon merkitys. Jos henkilön asema yksiselitteisesti ilmenee asiayhteydestä, ei tarvetta ryhtyä toimenpiteisiin tietojen erottamiseksi lähtökohtaisesti olisi.

Eri asemassa toisiinsa nähden voitaisiin katsoa olevan esimerkiksi henkilöt, joiden on syytä epäillä syyllistyneen tai olevan syyllistymässä rikokseen sekä henkilöt, jotka on tuomittu rikoksesta.

Pykälän 2 momentissa säädettäisiin, että tosiseikkoihin perustuvien henkilötietojen erottamiseksi henkilökohtaisiin arvioihin perustuvista henkilötiedoista olisi toteutettava kaikki kohtuulliset toimenpiteet. Esimerkiksi esitutkinnassa annetaan usein lausuntoja, jotka sisältävät henkilötietoja, mutta jotka perustuvat luonnollisten henkilöiden subjektiivisiin havaintoihin. Tällaiset tiedot eivät aina ole todennettavissa, joten ne tulisi lähtökohtaisesti pitää erillään tosiseikkoihin perustuvista henkilötiedoista. Tosiseikkoihin perustuvia tietoja ovat esimerkiksi televalvontatiedot, jotka osoittavat yhteydenpidon toiseen henkilöön.

9 §.Siirrettävien tai saataville asetettavien henkilötietojen laadun varmentaminen. Pykälässä asetettaisiin vaatimukset siirrettävien tai saataville asettavien henkilötietojen laadun varmentamiselle. Siirtämisellä tarkoitettaisiin sekä henkilötietojen teknistä siirtämistä että henkilötietojen varsinaista luovuttamista. Pykälässä asetettaisiin korostettu huolellisuus- ja virheettömyysvaatimus henkilötietojen siirtämiselle ja saataville asettamiselle. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 7 artiklan 2 ja 3 kohta.

Pykälän 1 momentin mukaan toimivaltaisen viranomaisen olisi toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, ettei virheellisiä, epätäydellisiä taikka vanhentuneita henkilötietoja siirretä eikä aseteta saataville. Tätä varten kunkin toimivaltaisen viranomaisen olisi varmennettava mahdollisuuksien mukaan henkilötietojen laatu aina ennen niiden siirtämistä tai saataville asettamista. Siirron tarkoituksiin nähden kohtuutonta hallinnollista taakkaa aiheuttaviin toimenpiteisiin ryhtymistä ei edellytettäisi.

Pykälän 2 momentissa säädettäisiin, että kaikkiin henkilötietojen siirtoihin olisi mahdollisuuksien mukaan lisättävä sellaiset tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voisi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä, luotettavuutta sekä sitä, miltä osin tiedot ovat ajantasaisia.

Jos ilmenee, että virheellisiä henkilötietoja on siirretty tai että henkilötietoja on siirretty lainvastaisesti, olisi asiasta pykälän 3 momentissa ehdotetun mukaisesti ilmoitettava viipymättä vastaanottajalle. Vastaanottajan olisi tällöin asiasta tiedon saatuaan oikaistava tai poistettava saamansa henkilötiedot tai rajoitettava niiden käsittelyä. Vastaanottajan käsite määriteltäisiin lain 3 §:n 1 momentin 8 kohdassa. Myös henkilötiedot siirtäneen toimivaltaisen viranomaisen olisi niin ikään toteutettava asianmukaiset toimenpiteet, kuten korjattava sillä olevat virheelliset henkilötiedot.

10 §.Ilmoittamisvelvollisuus käsittelyn erityisistä edellytyksistä. Pykälässä säädettäisiin toimivaltaisen viranomaisen ilmoittamisvelvollisuudesta käsittelyn erityisiä edellytyksiä koskien rikosasioiden tietosuojadirektiivin 9 artiklan 3 ja 4 kohdan mukaisesti.

Pykälän 1 momentin säädettäisiin siitä, että jos henkilötietojen käsittelyyn liittyy laissa säädettyjä erityisiä edellytyksiä, toimivaltaisen viranomaisen on henkilötietojen luovutuksen tai siirron yhteydessä ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä. Tällaisiin edellytyksiin voisi kuulua esimerkiksi kielto siirtää henkilötietoja edelleen tai käyttää henkilötietoja muussa kuin siinä tarkoituksessa, jota varten tiedot on toimitettu vastaanottajalle. Erityisiin edellytyksiin voisi kuulua myös kielto ilmoittaa rekisteröidylle tiedonsaantioikeuden rajoittamisesta ilman tietoja siirtävän toimivaltaisen viranomaisen etukäteen antamaa hyväksyntää. Tällaisista erityisistä edellytyksistä voitaisiin säätää toimivaltaisiin viranomaisiin sovellettavassa erityislainsäädännössä.

Pykälän 2 momentissa ehdotetaan säädettävän, että toimivaltainen viranomainen ei saa asettaa henkilötietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan kansallisesti samankaltaisiin tiedonsiirtoihin silloin, kun se siirtää henkilötietoja Euroopan unionissa sijaitsevalle vastaanottajalle.

11 §.Erityisiä henkilötietoryhmiä koskeva käsittely. Pykälässä säädettäisiin erityisistä henkilötietoryhmistä ja niitä koskevasta käsittelystä. Säännös perustuisi rikosasioiden tietosuojadirektiivin 10 artiklaan.

Erityisiin henkilötietoryhmiin kuuluvista tiedoista säädettäisiin pykälän 1 momentissa. Erityisten henkilötietoryhmien määritelmä poikkeaa eräiltä osin henkilötietolain 11 §:n vastaavasta määritelmästä. Erityisistä henkilötietoryhmistä ei enää myöskään käytettäisi nimitystä arkaluonteiset tiedot. Erityisiin henkilötietoryhmiin kuuluvia tietoja olisivat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys. Niin ikään erityisiin henkilötietoryhmiin kuuluisivat geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot, kuten sormenjälkitiedot ja kasvokuvat, sekä terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot. Etninen alkuperä pitäisi sisällään myös rikosasioiden tietosuojadirektiivin 10 artiklassa käytetyn ilmaisun ”rotu”.

Erityisten henkilötietoryhmien käsittely olisi lähtökohtaisesti kielletty. Tällaisten tietojen käsittely olisi sallittu vain pykälän 2 momentissa luetelluissa tilanteissa. Käsittely olisi ehdotetun säännöksen mukaan sallittu, jos se on välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu. Erityisiin henkilötietoryhmiin kuuluvia tietoja ei välttämättömyysedellytyksen vuoksi saisi käsitellä, jos käsittelyn tavoitteet voidaan saavuttaa jollain muulla, rekisteröidyn oikeuksiin vähemmän puuttuvalla, keinolla. Lisäksi edellytyksenä olisi, että käsittelystä säädetään laissa, että kyse on rikosasian käsittelystä syyttäjän toiminnassa tai tuomioistuimessa tai että käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi taikka että rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaaminen sitä edellyttää. Rikosasioiden tietosuojadirektiivin 37 johdantokappaleen mukaisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn edellyttämiin asianmukaisiin suojatoimiin voi kuulua esimerkiksi mahdollisuus kerätä näitä tietoja ainoastaan kyseistä luonnollista henkilöä koskevien muiden tietojen keräämisen yhteydessä, kerättyjen tietojen riittävä suojaaminen, tiukempien sääntöjen soveltaminen toimivaltaisen viranomaisen henkilöstöön tietojen käyttöön saamisen osalta ja tällaisia tietoja koskevan siirron kieltäminen.

Pykälän 3 momenttiin ehdotetaan otettavaksi profilointia koskeva säännös. Rikosasioiden tietosuojadirektiivin 11 artiklassa säädetyn mukaisesti sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään, on kielletty. Profiloinnilla tarkoitettaisiin ehdotetun lain 3 §:n 1 momentin 11 kohtaan otettavaksi ehdotetun määritelmän mukaan henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön ominaisuuksia, kuten luotettavuutta, käyttäytymistä, kiinnostuksen kohteita tai liikkeitä. Syrjinnällä puolestaan tarkoitettaisiin henkilön asettamista muihin nähden eri asemaan 1 momentissa tarkoitetun syyn perusteella ilman hyväksyttävää perustetta, sen mukaan kuin asiasta säädetään muun muassa EU:n perusoikeuskirjan 21 ja 52 artiklassa sekä perustuslain 6 §:n 2 momentissa. Käytännössä säännöksellä lähtökohtaisesti kiellettäisiin esimerkiksi sellainen algoritmeihin perustuva profilointi, jonka seurauksena johonkin tiettyyn etniseen ryhmään kuuluvat henkilöt joutuvat muita tiukemman seurannan tai tarkastusten kohteeksi.

12 §.Henkilötunnuksen käsittely. Pykälässä säädettäisiin henkilötunnuksen käsittelystä. Rikosasioiden tietosuojadirektiiviin ei sisälly nimenomaista henkilötunnuksen käsittelyä koskevaa sääntelyä. Ehdotettu sääntely olisi siten puhtaasti kansallista. Henkilötunnuksen käsittelyä koskevia säännöksiä sisältyy myös henkilötietolain 29 §:ään.

Henkilötunnuksen käsittelyn erityisistä edellytyksistä säädettäisiin pykälän 1 momentissa. Ehdotetun momentin mukaan henkilötunnusta saa käsitellä vain, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi taikka rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Lisäksi käsittely olisi sallittua, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää ehdotetun lain 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Ehdotetun 2 momentin mukaan henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Ehdotus vastaa henkilötietolain 13 §:n 4 momentissa säädettyä.

13 §.Automatisoidut yksittäispäätökset. Pykälässä säädettäisiin automatisoiduista yksittäispäätöksistä, joita koskeva säännös sisältyy rikosasioiden tietosuojadirektiivin 11 artiklaan. Henkilötietolain 31 §:ään sisältyy automatisoituja päätöksiä koskeva, hieman erisisältöinen säännös.

Ehdotetun pykälän mukaan sellaisen päätöksen tekeminen, joka perustuu pelkästään automatisoituun henkilötietojen käsittelyyn ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka muutoin on hänen kannaltaan merkittävä, on kielletty. Tällaisen automatisoidun yksittäispäätöksen tekeminen olisi ehdotetun säännöksen mukaan sallittua ainoastaan, jos muualla laissa niin säädetään. Käytännössä tällaisesta automatisoidusta päätöksenteosta tulisi siten säätää aina erityislainsäädännössä. Tällaisen lainsäädännön tulee täyttää direktiivin 11 artiklassa säädetyt vaatimukset muun muassa rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö.

Pykälä koskisi tilanteita, joissa päätöksenteko perustuu puhtaasti automatisoituun henkilötietojen käsittelyyn eli joissa päätöksentekoon ei osallistu luonnollista henkilöä. Se tulisi siten sovellettavaksi sellaisissa tilanteissa, joissa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö osallistuu henkilötietojen käsittelyyn vain sellaisella tavalla, jolla ei ole vaikutusta päätöksen tekemiseen. Pykälässä tarkoitettuja puhtaasti automatisoituun henkilötietojen käsittelyyn perustuvia päätöksentekomekanismeja ei Suomessa tiettävästi ole ehdotetun lain soveltamisalalla tällä hetkellä käytössä.

3 luku Rekisterinpitäjä ja henkilötietojen käsittelijä

14 §.Rekisterinpitäjän vastuu. Pykälässä säädettäisiin ehdotetussa laissa tarkoitetun rekisterinpitäjän vastuusta. Ehdotettu sääntely perustuisi rikosasioiden tietosuojadirektiivin 19 artiklan 1 kohtaan.

Pykälän 1 momentissa säädettäisiin siitä, että rekisterinpitäjä on vastuussa siitä, että henkilötietoja käsitellään lainmukaisesti. Rekisterinpitäjä toteuttaisi vastuutaan henkilöstölleen tai henkilötietojen käsittelijälle osoitetulla ohjeistuksella sekä tarpeen mukaan esimerkiksi koulutuksella. Rekisterinpitäjältä edellytetyistä teknisistä ja organisatorisista toimenpiteistä säädettäisiin pykälän 2 momentissa. Rekisterinpitäjälle asetettaisiin myös niin sanottu osoitusvelvollisuus, eli sen tulisi jälkikäteisestikin pystyä osoittamaan, että henkilötietoja on käsitelty ehdotetun lain 2 luvussa säädettyjen periaatteiden mukaisesti.

Pykälän 2 momentissa asetettaisiin rekisterinpitäjälle velvollisuus toteuttaa tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet, joilla se voi varmistaa ja myös osoittaa, että henkilötietojen käsittely on lainmukaista. Toimenpiteiden toteuttamisessa olisi ehdotetun säännöksen mukaan otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit. Toimenpiteitä suunniteltaessa olisi siten otettava huomioon esimerkiksi se, käsitelläänkö erityisen haavoittuvassa asemassa olevien henkilöiden, kuten lasten tai ihmiskaupan uhrien, henkilötietoja. Myös sillä voisi olla merkitystä, käsitelläänkö suurta määrää henkilötietoja tai erityisiin henkilötietoryhmiin kuuluvia tietoja. Tällaisissa tilanteissa tulisi suunnitella ja toteuttaa erityisiä suojatoimenpiteitä.

15 §.Sisäänrakennettu ja oletusarvoinen tietosuoja. Pykälässä säädettäisiin sisäänrakennetusta ja oletusarvoisesta tietosuojasta (privacy by design ja privacy by default) ja sillä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 20 artikla. Kyseessä olisi henkilötietolakiin nähden uudenkaltainen velvoite.

Pykälän 1 momentin mukaan rekisterinpitäjän tulisi jo henkilötietojen käsittelytapoja määrittäessään sekä itse henkilötietojen käsittelyn yhteydessä toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojaamisen varmistamiseksi. Toimenpiteiden toteuttamisessa olisi huomioitava käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa. Momentissa tarkoitettuihin toimenpiteisiin voisi kuulua esimerkiksi pseudonymisoinnin käyttö niin pian kuin se on käsittelyn tarkoituksen kannalta mahdollista. Momentissa asetettavat vaatimukset tulisi ottaa huomioon myös esimerkiksi tietojärjestelmien toteutuksessa.

Riskin todennäköisyys ja vakavuus olisi määriteltävä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski tulisi arvioida objektiivisten seikkojen perusteella. Merkittävän riskin voitaisiin katsoa olevan kyseessä etenkin silloin, kun riskinä on rekisteröityjen oikeuksien heikentyminen. Esimerkiksi erityisiin henkilötietoryhmiin kuuluvien tietojen tai erityisen haavoittuvien henkilöryhmien tietojen käsittely asettaa usein merkittävämmän riskin henkilön oikeuksille, jolloin toteutettaville toimenpiteille olisi lähtökohtaisesti syytä asettaa korkeammat vaatimukset. Toisaalta käsittelytyyppeinä tietojen luovuttaminen tai saataville asettaminen voivat olla myös erityisen riskipitoisia.

Pykälän 2 momentissa edellytettäisiin, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskisi niin kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa kuin saatavilla oloakin. Asianmukaisilla toimenpiteillä olisi erityisesti varmistettava, ettei henkilötietoja oletusarvoisesti saateta rajoittamattoman luonnollisten henkilöiden piirin saataville ilman asianomaisen henkilön myötävaikutusta.

16 §.Yhteisrekisterinpitäjät. Pykälässä säädettäisiin erityisistä vaatimuksista tilanteissa, joissa on käsillä niin sanottu yhteisrekisterinpitäjyys. Säännös perustuisi rikosasioiden tietosuojadirektiivin 21 artiklaan. Henkilötietolainkin nojalla on mahdollista, että rekisterinpitäjiä on useampi, mutta se ei kuitenkaan sisällä ehdotetun pykälän kaltaista säännöstä, jolla täsmennetään yhteisten rekisterinpitäjien keskinäisiä suhteita.

Pykälän 1 momentissa säädettäisiin, että jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, niiden tulisi sopia keskinäisestä vastuunjaostaan ehdotetun lain mukaisten velvollisuuksien hoitamisessa, jollei vastuunjaosta ole säädetty laissa. Keskinäisessä vastuunjaon määrittämisessä tulisi huolellisesti varmistaa, että lain vaatimukset tulevat kaikilta osin huomioiduksi. Vaikka tärkeimmistä vastuunjakoon ja velvollisuuksiin liittyvistä tehtävistä säädetään vastaisuudessakin pitkälti laissa, antaisi ehdotettu säännös joustavuutta rekisterinpitäjien välisen tehtävänjaon suhteen.

Pykälän 2 momentissa säädettäisiin, että 1 momentissa tarkoitettujen rekisterinpitäjien on nimettävä keskuudestaan yhteyspisteenä toimiva rekisterinpitäjä. Yhteyspisteenä toimiva rekisterinpitäjä olisi se, johon rekisteröity voisi ensisijaisesti olla yhteydessä oikeuksiensa käyttöä koskevissa asioissa. Momentissa säädettäisiin lisäksi, että rekisteröity voi kuitenkin aina käyttää ehdotetun lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään.

17 §.Henkilötietojen käsittelijä. Pykälässä säädettäisiin henkilötietojen käsittelijästä rikosasioiden tietosuojadirektiivin 22 artiklan 1—4 kohdan edellyttämällä tavalla. Ehdotetun lain 3 §:n 1 momentin 7 kohdan mukaisesti henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Pykälän 1 momentin mukaan henkilötietoja rekisterinpitäjän lukuun käsittelevän olisi annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimenpiteistä, joilla se varmistaa, että henkilötietoja käsitellään ehdotetussa laissa säädettyjen vaatimusten mukaisesti. Vastaavan kaltainen säännös sisältyy henkilötietolain 32 §:n 2 momenttiin. Ehdotetun säännöksen perusteella myös henkilötietojen käsittelijän olisi otettava huomioon esimerkiksi sisäänrakennetun ja oletusarvoisen tietosuojan periaate. Momentissa tarkoitetut selvitykset ja sitoumukset voitaisiin sisällyttää myös pykälän 3 momentissa tarkoitettuun rekisterinpitäjän ja henkilötietojen käsittelijän väliseen sopimukseen.

Pykälän 2 momentissa säädettäisiin kielto henkilötietojen käsittelijälle ja sen palveluksessa olevalle käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti. Jos henkilötietojen käsittelijä tästä huolimatta määrittelisi käsittelyn tarkoitukset ja keinot, katsottaisiin käsittelijä rekisterinpitäjäksi kyseisen lainvastaisen käsittelyn osalta. Henkilötietojen käsittelijä ei ehdotetun säännöksen mukaan myöskään saa siirtää henkilötietojen käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista lupaa. Tällainen rekisterinpitäjän suostumus voisi olla joko tapauskohtainen tai yleinen. Jos rekisterinpitäjä antaisi siirtoon yleisen suostumuksen, henkilötietojen käsittelijän olisi kuitenkin ilmoitettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai vaihtamista. Rekisterinpitäjällä olisi ehdotetun sääntelyn nojalla oikeus kieltää tällaiset muutokset.

Henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä olisi pykälän 3 momentin mukaan tehtävä kirjallinen sopimus tai annettava kirjallinen määräys. Määräys tulisi kysymykseen lähinnä tilanteessa, jossa rekisterinpitäjänä toimii ylempi viranomainen ja henkilötietojen käsittelijänä samalla hallinnonalalla toimiva viranomainen. Sopimus tai määräys voisi olla myös sähköisessä muodossa. Asiakirjasta tulisi ilmetä käsiteltävät henkilötiedot, käsittelyn kesto, luonne ja tarkoitus, käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Velvollisuus laatia sopimus tai muu asiakirja koskisi myös sellaisia tilanteita, joissa henkilötietojen käsittelijä siirtää käsittelyn toiselle käsittelijälle, jolloin myös näiden välillä tulisi laatia sopimus.

Ehdotetussa 3 momentissa tarkoitetussa sopimuksessa tai määräyksessä olisi lisäksi nimenomaisesti määrättävä, että henkilötietojen käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Lisäksi edellytettäisiin määrättävän tai sovittavan siitä, että henkilötietojen käsittelijä varmistaa, että henkilötietoja käsittelevät luonnolliset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä sitoo lakisääteinen salassapitovelvollisuus. Henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan.

Lisäksi asiakirjasta tulisi ilmetä, että henkilötietojen käsittelijä rekisterinpitäjän valinnan mukaan joko poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle sekä poistaa olemassa olevat jäljennökset, jollei laissa toisin säädettäisi. Asiakirjassa olisi myös oltava maininta siitä, että käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen ehdotetun pykälän noudattamisen osoittamiseksi sekä täyttää ehdotetussa pykälässä tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset.

18 §.Seloste käsittelytoimista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 24 artiklaan ja siinä asetettaisiin velvollisuus sekä rekisterinpitäjälle että henkilötietojen käsittelijälle laatia seloste henkilötietojen käsittelytoimista. Pykälässä tarkoitettujen selosteiden tulisi olla kirjallisia, ja ne voisivat olla myös sähköisessä muodossa. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi pyydettäessä esitettävä saatavilla olevat selosteet valvontaviranomaiselle tämän tiedonsaantioikeuden perusteella. Ehdotettu sääntely eroaisi henkilötietolain 10 §:n mukaisesta rekisteriselosteesta, sillä ehdotetun pykälän mukaista selostetta ei tarvitsisi pitää yleisesti saatavilla.

Pykälän 1 momentissa säädettäisiin rekisterinpitäjän käsittelytoimia koskevasta selosteesta. Momentin mukaan rekisterinpitäjän olisi ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, johon sisältyy vähintään momentissa luetellut tiedot. Pakollisten tietojen lisäksi rekisteriselosteessa voisi toisinaan olla tarpeen kertoa muitakin rekisteröidyn tai ulkopuolisten informoimisen kannalta tärkeitä seikkoja. Pakollisten tietojen joukko olisi laajempi kuin mitä henkilötietolain 10 §:ssä edellytetään. Uusia vaatimuksia olisivat esimerkiksi sen kirjaaminen, käytetäänkö profilointia sekä eri henkilötietoryhmien poistamisen suunnitellut määräajat. Profiloinnin määritelmä sisältyisi ehdotetun lain 3 §:n 1 momentin 11 kohtaan. Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, tulisi selosteesta käydä ilmi, mikä kolmas maa tai kansainvälinen järjestö on kyseessä.

Pykälän 2 momentissa edellytettäisiin, että henkilötietojen käsittelijä ylläpitää kirjallista selostetta kaikesta rekisterinpitäjän lukuun suoritettavasta henkilötietojen käsittelystä. Vastaavaa velvollisuutta ei sisälly voimassa olevaan henkilötietolakiin. Käsittelijän ylläpitämän selosteen tulisi sisältää tiedot ensinnäkin henkilötietojen käsittelijästä ja tietosuojavastaavasta sekä näiden yhteystiedoista. Lisäksi selosteessa tulisi ilmoittaa kaikki ne rekisterinpitäjät, joiden lukuun käsittelijä toimii sekä näiden nimet ja yhteystiedot samoin kuin kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät. Lisäksi jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, tulisi selosteessa ilmoittaa mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle. Mahdollisuuksien mukaan selosteeseen tulisi myös sisällyttää yleinen kuvaus ehdotetun lain 31 §:ssä tarkoitetuista teknisistä ja organisatorisista suojatoimenpiteistä.

19 §.Lokitiedot. Pykälässä säädettäisiin velvollisuudesta kerätä ja säilyttää lokitietoja. Pykälällä täytettäisiin rikosasioiden tietosuojadirektiivin 25 artiklaan sisältyvä lainsäädäntötoimeksianto. Vastaavaa lokitusvelvollisuutta ei sisälly henkilötietolakiin, mutta erityislainsäädäntöön, kuten henkilötietojen käsittelystä poliisitoimessa annettuun lakiin, velvollisuus on nykyisinkin sisältynyt.

Myös lokitietoja on pidettävä henkilötietoina. Ne ovat niitä henkilöitä koskevia henkilötietoja, jotka käyttävät tietojärjestelmiä. Koska muut henkilöt eivät ole tässä tarkoitettuja rekisteröityjä, ei heillä lähtökohtaisesti olisi ehdotetussa laissa säädettäväksi ehdotettua tarkastusoikeutta pykälässä tarkoitettuihin lokitietoihin. Mahdollisuus saada tietoja viranomaisen lokeista voisi kuitenkin tulla kyseeseen, jos henkilöllä on oikeus saada kyseisiä tietoja lokeista julkisuuslain 11 §:n nojalla, sillä puheena olevia lokeja on pidettävä viranomaisten asiakirjoina. Myös tietosuojavaltuutetulla olisi oikeus tiedonsaantioikeutensa nojalla saada tietoja lokeista.

Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Lisäksi edellytettäisiin, että kyselyjä ja luovutuksia koskevien lokitietojen avulla on voitava selvittää kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys. Esimerkiksi kyselyn tai luovutuksen perusteen ei siten välttämättä tarvitsisi ilmetä suoraan lokitiedoista, mutta kyseisten seikkojen tulisi ehdotetun sääntelyn mukaan olla selvitettävissä lokitietojen perusteella. Säännös edellyttäisi, että myös esimerkiksi puhelimitse tai sähköpostitse tapahtuvista tietojen luovutuksista jäisi merkintä, josta käy selville säännöksessä luetellut tiedot.

Pykälän 2 momentissa säädettäisiin niistä tarkoituksista, joihin lokitietoja saisi käyttää. Momenttiin sisältyvä luettelo olisi tyhjentävä. Lokitietoja saisi käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, henkilötietojen eheyden ja turvallisuuden varmistamiseen, rikosoikeudellisiin menettelyihin sekä sisäiseen valvontaan. Sisäiseen valvontaan voisivat kuulua myös toimivaltaisten viranomaisten sisäiset kurinpitomenettelyt.

20 §.Tietosuojaa koskeva vaikutustenarviointi. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta tehdä tietosuojaa koskeva vaikutustenarviointi. Vastaavaa säännöstä ei sisälly henkilötietolakiin. Säännöksellä on kiinteä yhteys henkilötietojen käsittelyn yleisiin periaatteisiin. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 27 artikla.

Pykälän 1 momentin mukaan rekisterinpitäjän tulisi ennen henkilötietojen käsittelyyn ryhtymistä arvioida suunnittelemiensa käsittelytoimien vaikutukset henkilötietojen suojaan. Velvollisuus olisi yleinen ja tulisi kyseeseen aina, kun rekisterinpitäjän on tarkoitus ryhtyä jollakin tavalla uudenlaiseen henkilötietojen käsittelyyn tai jos henkilötietojen käsittelyssä tapahtuu muutoksia.

Mikäli rekisterinpitäjän suunnittelema henkilötietojen käsittely vaikuttaisi 1 momentin mukaisesti tehtävän arvion mukaan saattavan aiheuttaa merkittävän riskin luonnollisen henkilön oikeuksien toteutumisen kannalta, rekisterinpitäjän olisi pykälän 2 momentin mukaisesti tehtävä kirjallinen vaikutustenarviointi. Merkittävä riski voisi tulla kyseeseen esimerkiksi silloin, kun henkilötietojen käsittelyä ulkoistetaan, kun henkilötietoja siirretään kolmansiin maihin, kun käytetään uudenlaisia tietojenkäsittelytekniikoita tai kun tehdään tietojärjestelmiin kohdistuvia uudistuksia.

Vaikutustenarviointiin olisi sisällytettävä yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin kohdistuvista riskeistä ja toimet niiden vähentämiseksi sekä toimet, joilla henkilötietojen suoja ja lain noudattaminen varmistetaan. Arviossa olisi otettava huomioon etenkin suunnitellun käsittelyn luonne, laajuus, asiayhteys ja tarkoitus. Momentissa tarkoitettu vaikutustenarviointi olisi siten yksityiskohtaisempi kuin 1 momentissa tarkoitettu ensivaiheen vaikutustenarviointi. Vaikutustenarviointi olisi kohdistettava esimerkiksi asianomaisiin käsittelytoimien järjestelmiin ja prosesseihin, eikä yksittäisiin tapauksiin.

21 §.Tietosuojavaltuutetun ennakkokuuleminen. Pykälässä säädettäisiin velvollisuudesta kuulla tietosuojavaltuutettua ennakolta ja se perustuisi rikosasioiden tietosuojadirektiivin 28 artiklan 1, 3, 4 ja 5 kohtaan.

Pykälän 1 momentin mukaan rekisterinpitäjän tai henkilötietojen käsittelijän olisi eräissä tilanteissa kuultava tietosuojavaltuutettua ennen henkilötietojen käsittelyn aloittamista. Velvollisuus valtuutetun ennakkokuulemiseen olisi ensinnäkin silloin, kun edellä ehdotetun 20 §:n 2 momentissa tarkoitettu kirjallinen vaikutustenarviointi osoittaa, että suunnitelluista suojatoimenpiteistä huolimatta käsittely aiheuttaa merkittävän jäännösriskin rekisteröidyn oikeuksille. Lisäksi ennakkokuulemisvelvollisuus aktualisoituisi silloin, kun henkilötietojen käsittely muutoin ja erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käyttämisen johdosta aiheuttaisi merkittävän riskin rekisteröityjen oikeuksien kannalta. Esimerkiksi automaattiseen päätöksentekoon perustuvan profiloinnin käyttöönotto voisi olla tällainen merkittävän riskin tilanne, joka velvoittaisi rekisterinpitäjän kuulemaan tietosuojavaltuutettua ennakolta. Tietosuojavaltuutettu voisi direktiivin 28 artiklan 3 kohdan mukaisesti laatia yleisten toimivaltuuksiensa nojalla luettelon sellaisista momentissa tarkoitetuista toimenpiteistä, joiden yhteydessä rekisterinpitäjän tulisi pyytää ennakkokuulemista.

Pykälän 2 momentissa asetettaisiin rekisterinpitäjälle velvollisuus toimittaa tietosuojavaltuutetulle kirjallinen vaikutustenarviointi ja pyynnöstä kaikki muut sellaiset tiedot, joiden avulla se voisi arvioida henkilötietojen käsittelyn lainmukaisuutta.

Pykälän 3 momentissa säädettäisiin tilanteista, joissa tietosuojavaltuutettu katsoo, että 1 momentissa tarkoitettu käsittely muodostuisi ehdotetun lain vastaiseksi. Tällöin tietosuojavaltuutetun tulisi kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta antaa rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle ohjausta käsittelyn saattamiseksi lainmukaiseksi. Ohjauksella tarkoitettaisiin yleistä ohjeiden ja neuvonnan antamista. Tietosuojavaltuutettu voisi jatkaa määräaikaa kuukaudella, jos suunnitellun käsittelyn monimutkaisuus sitä edellyttää. Monimutkaisissa tapauksissa voi esimerkiksi syntyä tarve hankkia erinäisiä aikaa vieviä selvityksiä. Tietosuojavaltuutetun olisi tällaisissa tapauksissa ilmoitettava kuukauden kuluessa kuulemispyynnön vastaanottamisesta rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä.

4 luku Rekisteröidyn oikeudet

22 §.Tietosuojaseloste ja ilmoitusvelvollisuus. Pykälän 1 momentissa säädettäisiin yleisesti saataville asetettavasta tietosuojaselosteesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 13 artikla. Tietosuojaselosteen tarkoitus on informoida rekisteröityjä ja muita henkilöitä rekisterinpitäjän suorittamasta henkilötietojen käsittelystä ja toteuttaa siten tietojenkäsittelyn avoimuutta. Pykälä vastaisi osittain henkilötietolain rekisteriselostetta koskevaa 10 §:ää. Ehdotettuun tietosuojaselosteeseen kuitenkin sisältyisi sellaisia tietoja, joita ei nykyään tarvitse rekisteriselosteeseen sisällyttää.

Pykälän 1 momentin mukaan rekisterinpitäjän olisi ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä selostetta, joka on asetettava julkisesti saataville. Selosteen ylläpitämisellä viitattaisiin siihen, että seloste tulisi pyrkiä pitämään mahdollisimman ajantasaisena. Kirjallisella selosteella tarkoitetaan myös sähköisessä muodossa olevaa selostetta, ja seloste voisi olla saatavilla esimerkiksi rekisterinpitäjän verkkosivuilla. Rekisterinpitäjä voisi niin halutessaan yhdistää 18 ja 22 §:ssä tarkoitetut selosteet yhdeksi julkisesti saatavilla olevaksi tietosuojaselosteeksi.

Selosteessa tulisi momentin 1 kohdan mukaan ilmoittaa ensinnäkin rekisterinpitäjän yhteystiedot. Jos rekisterinpitäjä on nimennyt tietosuojavastaavan, myös tämän yhteystiedot on ilmoitettava, samoin kuin rekisterinpitäjän harkinnan mukaan myös tietosuojavastaavan nimi.

Momentin 2 kohdan mukaan niin sanotuissa yhteisrekisterinpidon tilanteissa tulisi tietosuojaselosteessa ilmoittaa myös yhteisrekisterinpitäjien yhteyspisteenä toimivan rekisterinpitäjän nimi ja yhteystiedot. Lisäksi tulisi antaa tieto siitä, että rekisteröity voi käyttää ehdotetun lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. Ehdotetut säännökset eivät perustu direktiivin lainsäädäntötoimeksiantoon, vaan kyse olisi kansallisesta sääntelystä.

Momentin 3 kohdan mukaan tietosuojaselosteessa tulisi ilmoittaa henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, kuten esimerkiksi lain säännös, johon henkilötietojen käsittely perustuu.

Momentin 4 kohdan mukaan selosteesta tulisi käydä ilmi henkilötietojen säilytysaika. Mikäli säilytysajan ilmoittaminen ei ole mahdollista esimerkiksi siksi, että säilytysaikaa ei ole numeerisesti määritelty, tulisi selosteessa ilmoittaa sen sijaan säilytysajan määrittämiskriteerit, kuten esimerkiksi tieto siitä, kuinka usein tietojen säilyttämisen tarpeellisuutta arvioidaan.

Momentin 5 kohdan mukaan tietosuojaselosteeseen tulisi sisällyttää tieto mahdollisista säännönmukaisista henkilötietojen vastaanottajista tai vastaanottajaryhmistä, mukaan lukien kolmansiin maihin sijoittautuneet vastaanottajat sekä kansainväliset järjestöt. Selosteessa ei siten tarvitsisi välttämättä nimetä kaikkia vastaanottajia, joille henkilötietoja mahdollisesti siirretään tai luovutetaan. Riittävää olisi, että selosteesta kävisi ilmi joko yksilöidysti tai asianmukaisesti ryhmiteltynä ne vastaanottajat, joille henkilötietoja säännönmukaisesti siirretään tai luovutetaan.

Selosteessa tulisi momentin 6 kohdan mukaan antaa myös tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin (tarkastusoikeus) sekä oikeus pyytää kyseisten henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista siten kuin 25 §:ssä säädettäisiin. Momentin 7 kohdan mukaan selosteessa niin ikään tulisi olla tieto siitä, että rekisteröidyllä on oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle, ja tietosuojavaltuutetun yhteystiedot.

Pykälän 2 momentissa ehdotetaan säädettäväksi tilanteista, joissa rekisterinpitäjän on annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja eräitä muita tietoja. Näissä tilanteissa ei riittäisi, että rekisterinpitäjä asettaa mainitut tiedot yleisesti saataville esimerkiksi verkkosivuillaan. Rekisterinpitäjän ilmoitusvelvollisuus toteutuisi käytännössä sellaisissa tilanteissa, joissa rekisteröidyn oikeusturva edellyttää hänen informoimistaan momentissa tarkoitetuista seikoista. Tällaisesta tilanteesta voisi olla kyse esimerkiksi silloin, kun erityislainsäädännössä on säädetty tämän lain 13 §:ssä tarkoitetusta automatisoidusta yksittäispäätöksestä, jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia. Tällöin rekisteröidyn oikeusturva edellyttää hänen informoimistaan hänen tässä laissa tarkoitettujen oikeuksiensa käyttämisen kannalta merkityksellisistä seikoista. Velvollisuus informoida rekisteröityä voisi syntyä esimerkiksi myös sellaisessa tapauksessa, kun rekisteröity ei ole tietoinen siitä, että hänen henkilötietojaan on kerätty, ja rekisteröidyn oikeusturva käsittelyn luonteen tai siinä tapahtuneen menettelytapavirheen vuoksi sitä edellyttää. Rekisterinpitäjän olisi momentissa tarkoitetuissa tapauksissa annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja muut sellaiset tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi, erityisesti kyseisen henkilön kannalta merkitykselliset tarkemmat tiedot 1 momentissa luetelluista seikoista.

Rekisterinpitäjä voisi jättää momentissa tarkoitetut tiedot antamatta, jos se on välttämätöntä rikoksen selvittämisen, kansallisen turvallisuuden tai muiden 28 §:ssä säädettäväksi ehdotettujen perusteiden nojalla.

Momentissa ehdotettu sääntely perustuu rikosasioiden tietosuojadirektiivin 13 artiklan 2 ja 3 kohtaan.

23 §.Rekisteröidyn tarkastusoikeus. Pykälässä säädettäisiin rekisteröidyn oikeudesta saada pääsy henkilötietoihin rikosasioiden tietosuojadirektiivin 14 artiklan mukaisesti. Henkilötietolain 26 §:ää vastaavasti tästä oikeudesta käytettäisiin ehdotetussa laissa nimitystä tarkastusoikeus.

Pykälässä säädettäisiin, että rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitelläänkö häntä koskevia henkilötietoja. Säännös edellyttäisi tiedon antamista myös siinä tilanteessa, että henkilöä koskevia tietoja ei käsitellä. Rekisteröidyn tulisi tiedon saamiseksi esittää tiedon etsimiseksi tarpeelliset seikat, kuten esimerkiksi antaa asianmukainen selvitys henkilöllisyydestään Tarkastusoikeuden rajoituksista säädettäisiin ehdotetun lain 24 §:ssä.

Lisäksi mikäli rekisteröityä koskevia henkilötietoja käsitellään, olisi rekisteröidyllä oikeus saada rekisterinpitäjältä momentissa luetellut tiedot. Tieto olisi momentin 1 kohdan mukaan annettava käsiteltävistä henkilötiedoista ja kaikista tietojen alkuperästä käytettävissä olevista tiedoista, kuten siitä, onko tieto peräisin esimerkiksi rekisteröidyltä itseltään vai toiselta viranomaiselta.

Momentin 2 kohdan mukaan rekisteröidylle tulisi ilmoittaa henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, kuten esimerkiksi lain säännös, johon henkilötietojen käsittely perustuu. Pykälän 3 kohdan mukaan rekisteröidylle tulisi antaa myös tieto käsittelyn kohteena olevista henkilötietoryhmistä.

Momentin 4 kohdan mukaan rekisteröidylle annettaviin tietoihin tulisi sisällyttää tieto niistä mahdollisista henkilötietojen vastaanottajista tai vastaanottajaryhmistä, joille hänen tietojaan on luovutettu, mukaan lukien kolmansiin maihin sijoittautuneet vastaanottajat sekä kansainväliset järjestöt.

Momentin 5 kohdan mukaan rekisteröidylle tulisi ilmoittaa myös henkilötietojen säilytysaika. Mikäli säilytysajan ilmoittaminen ei olisi mahdollista esimerkiksi siksi, että säilytysaikaa ei ole numeerisesti määritelty, tulisi selosteessa ilmoittaa toissijaisesti säilytysajan määrittämiskriteerit.

Rekisterinpitäjän tulisi antaa myös tiedot rekisteröidyn oikeuksien käyttämisestä. Momentin ja 7 kohdan mukaisesti tieto tulisi antaa rekisteröidyn oikeudesta vaatia rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista sekä oikeudesta tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle ja valtuutetun yhteystiedot.

Pykälän 2 momentissa säädettäisiin 1 momenttiin liittyvästä menettelytavasta. Asiasta säädetään voimassa olevan henkilötietolain 28 §:n 1 momentissa. Säännöksen mukaisesti sen, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, olisi esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Säännös olisi teknologianeutraali, eli se mahdollistaisi tarkastusoikeuden toteuttamisen esimerkiksi sähköisen käyttöliittymän kautta, mikäli se on mahdollista toteuttaa ehdotettujen edellytysten mukaisesti. Tarkastuspyyntö tulisi nykytilaa vastaten esittää aina ensin asianomaiselle rekisterinpitäjälle, jollei laissa toisin säädettäisi. Esimerkiksi sellaisten rekistereiden osalta, joihin rekisteröidyllä ei lainkaan ole tarkastusoikeutta, voisi rekisteröity olla suoraan yhteydessä tietosuojavaltuutettuun.

24 §.Tarkastusoikeuden rajoitukset. Pykälässä säädettäisiin 23 §:ssä säädetyn tarkastusoikeuden rajoituksista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 15 artiklan 1, 3 ja 4 kohtaan. Mainitun artiklan mukaan jäsenvaltiot voivat lailla rajoittaa joko kokonaan tai osittain rekisteröidyn tarkastusoikeuden käyttämistä siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa. Tarkastusoikeuden rajoittaminen on nykyäänkin mahdollista henkilötietolain 27 §:n nojalla. Mainitun pykälän 1 momentin 1 kohdan mukaan tarkastusoikeutta ei ole, jos tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Tältä osin oikeustila ei siten merkittävästi muuttuisi.

Pykälän 1 momentin mukaan rekisteröidyn tarkastusoikeutta voitaisiin kokonaan tai osittain lykätä tai rajoittaa tai se voitaisiin evätä siltä osin kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla. Tarkastusoikeutta voisi olla tarpeen lykätä esimerkiksi silloin kun asianosaista on kuultu, mutta esitutkinta ei ole vielä päättynyt. Momentissa säädettäisiin, että jos rekisteröidyn tarkastusoikeutta lykätään, rajoitetaan tai se evätään, rekisterinpitäjän olisi ilman aiheetonta viivytystä ilmoitettava tästä rekisteröidylle. Rekisteröidylle tulisi voimassa olevan henkilötietolain tapaan antaa asiasta kirjallinen todistus. Myös lykkäämisen, rajoittamisen tai epäämisen perustelut tulisi tässä yhteydessä momentin mukaan ilmoittaa, jollei niiden ilmoittaminen vaaranna epäämisen tai rajoittamisen tarkoitusta. Edelleenkin mahdollista olisi erityislainsäädännössä säätää rekisterikohtaisista tarkastusoikeuden rajoituksista tilanteissa, joissa rajoitus on direktiivissä edellytetyllä tavalla välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut.

Tarkastusoikeuden epäämisenä pidettäisiin momentin mukaan sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rikosasioiden tietosuojadirektiiviin ei sisälly vastaavaa säännöstä, eli kyse olisi kansallisesta sääntelystä. Vastaava säännös sisältyy kuitenkin henkilötietolain 28 §:n 2 momenttiin. Mikäli rekisteröity ei saisi tietoja kolmen kuukauden kuluessa, hän voisi kääntyä asiassa tietosuojavaltuutetun puoleen.

Pykälän 2 momentin mukaan rekisterinpitäjän tulisi rajoittaessaan rekisteröidyn tarkastusoikeutta ilmoittaa rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle tarkastusoikeuden lykkäämisen, rajoittamisen tai epäämisen johdosta sekä oikeudesta käyttää tarkastusoikeutta 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.

Pykälän 3 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta säilyttää tieto niistä perusteista, joihin tarkastusoikeuden epääminen tai rajoittaminen perustuu. Näiden tietojen tulisi olla pyynnöstä valvontaviranomaisen saatavilla. Tietojen dokumentoinnilla voitaisiin tarvittaessa jälkikäteen varmistaa, ovatko perusteet tarkastusoikeuden rajoittamiselle olleet käsillä.

25 §.Henkilötietojen oikaiseminen, poistaminen ja käsittelyn rajoittaminen. Pykälässä säädettäisiin henkilötietojen oikaisemisesta ja poistamisesta sekä käsittelyn rajoittamisesta siten kuin rikosasioiden tietosuojadirektiivin 16 artiklan 1—3 kohdassa edellytetään.

Pykälän 1 momentin mukaan rekisterinpitäjän olisi oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn kannalta virheellinen tai puutteellinen henkilötieto. Rekisteröity voisi saattaa oikaisu- tai täydentämisvaatimuksen vireille hallintolain yleisiä vireillepanosäännöksiä noudattaen. Rekisteröity voisi toimittaa lisäselvitystä, joiden nojalla puutteellista henkilötietoa voitaisiin täydentää. Jos tieto on käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen, olisi se oikaistava tai täydennettävä. Esimerkiksi tilanteessa, jossa tieto pohjautuu todistajan kertomukseen, ei tietoa tulisi pitää käsittelyn tarkoituksen kannalta virheellisenä, vaikka myöhemmin tiedot osoittautuisivat valheellisessa tarkoituksessa esitetyiksi. Momentissa tarkoitettua menettelyä ei ole myöskään tarkoitettu sovellettavaksi esimerkiksi tilanteeseen, jossa rekisteröity haluaa muuttaa kuulustelupöytäkirjaan merkittyjä tietoja, vaan tällöin sovellettaisiin esitutkintalain säännöksiä.

Pykälän 2 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä poistaa rekisteröityä koskevat henkilötiedot, jos niiden käsittely on vastoin 4 tai 5 §:ssä, 6 §:n 1 tai 2 momentissa taikka 7 tai 11 §:ssä säädettyä. Kyse olisi tällöin tilanteesta, jossa henkilötietojen käsittelyn jatkaminen rikkoisi jotakin mainituista lainkohdista. Direktiivin 16 artiklan 2 kohdan mainintaa siitä, että tiedot tulee poistaa rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ei ole tarpeen sisällyttää momenttiin, koska velvollisuus poistaa tiedot perustuu tällöin suoraan kyseiseen sääntelyyn.

Poistamisen sijasta rekisterinpitäjän olisi momentin mukaan kuitenkin ainoastaan rajoitettava käsittelyä, jos rekisteröity kiistää tietojen paikkansapitävyyden eikä tietojen paikkansapitävyyttä tai virheellisyyttä voida todentaa (momentin 1 kohta) taikka jos henkilötiedot on säilytettävä todistelua varten (momentin 2 kohta). Virheellisiä ja sittemmin korjattuja henkilötietoja voi olla tarve säilyttää myöhempää todistelua varten tai esimerkiksi virkavirheen mahdollista todentamista varten. Käytännössä usein voi esiintyä tilanteita, joissa joko rekisteröidyn tai viranomaisen perustellut oikeudet edellyttävät, että virheellinen tieto säilytetään korjatun tiedon lisäksi.

Pykälän 3 momentissa säädettäisiin, että tilanteissa, joissa käsittelyä on rajoitettu 2 momentin 1 kohdan nojalla, olisi rekisterinpitäjän ennen rajoituksen poistamista ilmoitettava siitä rekisteröidylle.

26 §.Rekisteröidyn vaatimuksen epääminen. Pykälässä säädettäisiin rekisteröidyn 25 §:n mukaisesti tekemän vaatimuksen epäämiseen liittyvistä menettelytavoista siten kuin rikosasioiden tietosuojadirektiivin 16 artiklan 4 kohdassa edellytetään.

Pykälän 1 momentin mukaan tilanteissa, joissa rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta, sen tulisi ilmoittaa rekisteröidylle kieltäytymisestä ja sen perusteista. Rekisterinpitäjän tulisi antaa asiasta kirjallinen todistus. Tiedot kieltäytymisen syistä voitaisiin momentin mukaan kuitenkin kokonaan tai osittain jättää antamatta, mikäli se on välttämätöntä 28 §:ssä mainituilla perusteilla.

Pykälän 2 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle kieltäytymisen johdosta sekä oikeudesta käyttää 25 §:ssä tarkoitettuja oikeuksia 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.

27 §.Rekisterinpitäjän velvollisuus ilmoittaa oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 16 artiklan 5 ja 6 kohta.

Pykälän 1 momentin mukaan rekisterinpitäjän olisi ilmoitettava virheellisten henkilötietojen oikaisemisesta sille viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin. Näin myös tiedot alun perin luovuttanut viranomainen voi tarvittaessa oma-aloitteisesti oikaista sillä olevat virheelliset henkilötiedot.

Pykälän 2 momentissa säädettäisiin, että mikäli henkilötietoja on oikaistu tai poistettu taikka niiden käsittelyä on rajoitettu, tulisi rekisterinpitäjän ilmoittaa tästä niille vastaanottajille, joille rekisterinpitäjä on luovuttanut kyseiset tiedot. Momentissa tarkoitettuihin luovutuksiin sisältyisivät myös mahdolliset henkilötietojen luovutukset kolmansiin maihin. Tiedot saaneen vastaanottajan tulisi omassa toiminnassaan asianmukaisesti huomioida rekisterinpitäjän ilmoittamat henkilötietoihin kohdistuneet toimenpiteet sekä niiden käsittelyyn kohdistuvat rajoitukset, ja esimerkiksi oikaista sillä oleva virheellinen henkilötieto.

28 §.Rekisteröidyn oikeuksien rajoittaminen. Pykälässä säädettäisiin niistä edellytyksistä, joiden täyttyessä eräistä käsillä olevassa luvussa säädetyistä rekisteröidyn oikeuksista voidaan poiketa. Rekisteröidyn oikeuksia voidaan rajoittaa 22 §:n 2 momentissa, 24 §:n 1 momentissa, 26 §:n 1 momentissa ja 35 §:ssä tarkoitetulla tavalla, jos se on rekisteröidyn oikeudet huomioon ottaen oikeasuhtaista ja välttämätöntä ja mikäli jokin pykälässä luetelluista tilanteista on käsillä. Oikeuksien rajoittaminen edellyttäisi siten tapauskohtaista punnintaa, ja esimerkiksi rajoitustoimenpiteeksi tulisi valita sellainen rajoituksen tarkoituksen kannalta tehokas toimenpide, joka rajoittaa rekisteröidyn oikeuksia mahdollisimman vähän.

Pykälän 1 kohdan mukaan oikeuksien rajoittaminen olisi sallittua tilanteessa, joissa rajoittamisella vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle. Kyse voisi olla esimerkiksi tilanteesta, jossa henkilötietojen käsittelyn rajoittamatta jättäminen vaarantaisi rikostutkinnan toteutumisen.

Pykälän 2 kohdan mukaan rajoittaminen olisi sallittua, jos se on tarpeen viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi. Kyse voisi olla esimerkiksi veroviranomaisen tai muun viranomaisen valvontamenettelyn turvaamisesta. Kyse voisi olla myös esimerkiksi toisen EU-maan toimivaltaisen viranomaisen valvontamenettelyn turvaamisesta.

Pykälän 3—5 kohdan mukaan rajoittaminen voisi tulla kyseeseen myös yleisen turvallisuuden, kansallisen turvallisuuden tai muiden henkilöiden oikeuksien suojelemiseksi. Rekisteröidyn oikeuksien rajoittaminen edellyttäisi myös näiden perusteiden osalta välttämättömyys- ja oikeasuhtaisuusperiaatteiden noudattamista.

29 §.Oikeuksien käyttäminen tietosuojavaltuutetun välityksellä. Pykälässä säädettäisiin rekisteröidyn oikeudesta käyttää eräitä oikeuksiaan tietosuojavaltuutetun välityksellä. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 17 artiklan 1 ja 3 kohta.

Pykälän 1 momentissa säädettäisiin rekisteröidyn välillisestä tarkastusoikeudesta. Momentin mukaan rekisteröidyllä olisi oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos rekisteröidyn tarkastusoikeutta on tämän tai muun lain nojalla lykätty, rajoitettu tai evätty, taikka jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai rajoittamisesta. Rekisteröity voisi käyttää näitä oikeuksiaan kuitenkin vasta sen jälkeen, kun rekisteröity on yrittänyt käyttää oikeuksiaan itse suhteessa rekisterinpitäjään, mutta rekisterinpitäjä on rajoittanut rekisteröidyn oikeuksien käyttöä joko kokonaan tai osittain. Kuitenkin tilanteissa, joissa rekisteröidyn tarkastusoikeutta on rajoitettu suoraan laissa, tulisi välillisen tarkastusoikeuden käyttö kyseeseen välittömästi, eli rekisteröity voisi lähestyä rekisterinpitäjän sijaan suoraan tietosuojavaltuutettua.

Pykälän 2 momentin mukaan tilanteissa, joissa tietosuojavaltuutettu toimii rekisteröidyn puolesta 1 momentissa tarkoitetussa tavalla, sen olisi ilmoitettava rekisteröidylle toimenpiteistä, joihin se on ryhtynyt asian johdosta. Tietosuojavaltuutetun olisi myös ilmoitettava rekisteröidylle hänen oikeudestaan tehdä tietosuojavaltuutetulle 56 §:ssä tarkoitettu toimenpidepyyntö.

30 §.Rekisteröidyn oikeuksien käytön edistäminen ja toimenpiteiden maksuttomuus. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 12 artikla. Osittain mainitun artiklan vaatimukset tulisivat täytettyä yleisillä hallinto-oikeudellisilla säännöillä. Esimerkiksi hallintolain 23 §:ssä säädetään käsittelyn viivytyksettömyydestä. Pykälän mukaan asia on käsiteltävä ilman aiheetonta viivytystä ja viranomaisen on esitettävä asianosaiselle tämän pyynnöstä arvio päätöksen antamisajankohdasta sekä vastattava käsittelyn etenemistä koskeviin tiedusteluihin.

Pykälän 1 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta edistää rekisteröityjen mahdollisuuksia käyttää puheena olevassa luvussa tarkoitettuja rekisteröidyn oikeuksia. Kyseiset oikeudet koskevat muun muassa tarkastusoikeutta ja oikeutta vaatia tietojen oikaisemista. Kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot olisi lisäksi annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot olisi toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän olisi pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö. Myös rekisterinpitäjän verkkosivustolla olevien tietojen olisi oltava helposti saatavilla ja ymmärrettävissä, mikä edellyttää selkeän ja yksinkertaisen kielen käyttöä. Tietojen ymmärrettävyys edellyttää myös kohderyhmän moninaisuuden huomioon ottamista tietoja annettaessa

Pykälän 2 momentin mukaan rekisteröidylle annettavien ilmoitusten ja tietojen sekä rekisteröidyn lain mukaisesti tekemien pyyntöjen käsitteleminen olisivat rekisteröidylle lähtökohtaisesti maksuttomia. Jos rekisteröidyn pyynnöt olisivat pyyntöjen toistuvuudesta tai muusta syystä kuitenkin ilmeisen kohtuuttomia tai perusteettomia, rekisterinpitäjä voisi periä toimenpiteistä maksun siten kuin valtion maksuperustelaissa (150/1992) säädetään. Mainitussa laissa säädetään valtion viranomaisten suoritteiden maksullisuuden ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista.

Henkilötietolain 26 §:n nykyisessä 3 momentissa säädetään, että rekisterinpitäjä saa periä tietojen antamisesta korvauksen, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Tätä useammin rekisterinpitäjälle osoitetut tarkastusoikeutta koskevat pyynnöt eivät kuitenkaan välttämättä aina ole kohtuuttomia. Kuitenkin esimerkiksi samansisältöisten pyyntöjen toimittamista monta kertaa lyhyen ajan sisällä voitaisiin lähtökohtaisesti pitää kohtuuttomana, jolloin toimenpiteistä voitaisiin periä maksu.

Pykälän 3 momentissa säädettäisiin, että jos rekisterinpitäjä 2 momentin nojalla perii maksun, sen on tarvittaessa voitava osoittaa pyynnön ilmeinen perusteettomuus tai kohtuuttomuus. Näin ollen rekisterinpitäjän tulisi käytännössä dokumentoida selvitys siitä, minkä vuoksi toimenpiteestä on peritty maksu.

5 luku Tietoturvallisuus

31 §.Henkilötietojen suojaaminen. Pykälässä säädettäisiin yleisestä henkilötietojen suojaamisvelvoitteesta. Velvollisuus koskisi niin rekisterinpitäjää kuin henkilötietojen käsittelijääkin. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan f alakohtaan sekä 29 artiklan 1 kohtaan. Tietojen suojaamista koskeva säännös sisältyy nykyisin henkilötietolain 32 §:ään.

Pykälässä säädettäisiin, että rekisterinpitäjän ja henkilötietojen käsittelijän on teknisin ja organisatorisin toimenpitein huolehdittava henkilötietojen riittävästä suojaamisesta varmistaakseen rekisteröidyn oikeuksiin kohdistuvaa riskiä vastaava tietoturvallisuuden taso. Henkilötiedot olisi erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Rekisterinpitäjän olisi nykytilaa vastaavasti esimerkiksi määriteltävä tietojen käyttöoikeudet ja otettava käyttöön salasanajärjestelmät ja muut asianmukaiset turvajärjestelyt, jotta varmistetaan, että tietoja pääsevät käsittelemään vain ne henkilöt, joilla on siihen oikeus.

Pykälässä tarkoitettuja toimenpiteitä suunniteltaessa, arvioitaessa ja toteutettaessa tulisi asianmukaisesti ottaa huomioon uusin tekniikka, toimenpiteiden toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

Suojauksen vaatimustasoa arvioitaessa voitaisiin siten yhtäältä ottaa huomioon suojaukseen käytettävissä olevat tekniset keinot ja niiden aiheuttamat kustannukset. Toisaalta vaadittavaan tietoturvallisuuden tasoon vaikuttaisi myös se, minkälaisia henkilötietoja ja missä laajuudessa niitä käsitellään. Esimerkiksi erityisiin henkilötietoryhmiin kuuluvien tietojen suojaamiseen ja tietoturvalliseen käsittelyyn olisi kiinnitettävä erityisen paljon huomiota ja niiden osalta kattavammat suojatoimet ovat pääsääntöisesti perusteltuja. Vaikka henkilötietoja käsiteltäisiinkin muissa kuin automatisoiduissa käsittelyjärjestelmissä, olisi rekisterinpitäjällä ja mahdollisella henkilötietojen käsittelijällä oltava käytössään tehokkaat menetelmät, kuten lokitiedot ja muunlainen dokumentaatio, jolla voidaan osoittaa käsittelyn laillisuus, ja jolla mahdollistetaan omaehtoinen valvonta sekä varmistetaan tietojen eheys ja tietoturva.

32 §.Henkilötietojen suojaaminen automatisoidussa käsittelyssä. Pykälässä säädettäisiin erityisistä suojaamisvaatimuksista tilanteissa, joissa henkilötietoja käsitellään automatisoidun tietojen käsittelyn avulla. Säännöksillä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 29 artiklan 2 kohta.

Automatisoidun käsittelyn osalta rekisterinpitäjän tai henkilötietojen käsittelijän tulisi, sen lisäksi mitä 31 §:ssä säädetään, toteuttaa riskien arvioinnin pohjalta asianmukaiset toimenpiteet henkilötietojen suojaamiseksi. Automatisoidussa käsittelyssä esimerkiksi henkilötietojen käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä siten, että siitä käy selvästi ilmi, että henkilötietojen käsittely on rajoitettua.

Pykälässä tarkoitettujen toimenpiteiden tarkoituksena on evätä asiattomilta pääsy käsittelyssä käytettäviin laitteisiin, estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen ja poistaminen sekä estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen. Lisäksi tällaisilla toimenpiteillä tulisi estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla ja varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet tulisi määrittää tarpeellisuusharkinnan perusteella. Käyttöoikeuksia tulisi myöntää siten ainoastaan siinä laajuudessa kuin henkilö tarvitsee tiettyjä henkilötietoja tehtäviensä suorittamisessa. Käyttöoikeuksien tulisi olla henkilökohtaisia.

Pykälässä tarkoitetuilla suojatoimenpiteillä olisi lisäksi tarkoitus varmistaa, että jälkikäteisestikin on mahdollista tarkastaa ja todeta, minne henkilötietoja on siirretty tai asetettu saataville. Lisäksi niillä tulisi pyrkiä varmistamaan, että jälkikäteen on mahdollista tarkistaa ja todeta, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka niitä on syöttänyt.

Ehdotetun sääntelyn mukaan asianmukaisin toimenpitein tulisi myös pyrkiä estämään henkilötietojen oikeudeton lukeminen, jäljentäminen, muuttaminen ja poistaminen tietoja siirrettäessä tai tietovälineitä kuljetettaessa. Rekisterinpitäjän ja henkilötietojen käsittelijän tulisi lisäksi varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen ja että järjestelmän toimintahäiriö ei vahingoita tallennettuja henkilötietoja.

33 §.Henkilötietojen käsittelijän velvollisuus ilmoittaa tietoturvaloukkauksesta. Pykälässä säädettäisiin henkilötietojen käsittelijän velvollisuudesta ilmoittaa sen havaitsemasta tai sen tietoon tulleesta tietoturvaloukkauksesta. Pykälän mukaan käsittelijän olisi tällaisessa tilanteessa ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle. Lain 3 §:n 1 momentin 9 kohtaan otettavaksi ehdotetun määritelmän mukaan henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvallisuuden loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 30 artiklan 2 kohtaan.

34 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 30 artiklan 1, 2 ja 5 kohta.

Pykälän 1 momentissa edellytettäisiin, että rekisterinpitäjä ilmoittaa henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle, paitsi jos loukkauksesta ei todennäköisesti aiheudu vaaraa rekisteröidyn oikeuksille. Sellaisella henkilötietojen pseudonymisoinnilla ja muilla tekniikoilla, joita käyttämällä tietoja ei enää voida yhdistää tiettyyn rekisteröityyn, voidaan vähentää mahdollisesta tietoturvaloukkauksesta rekisteröidylle aiheutuvan vaaran todennäköisyyttä.

Rekisterinpitäjän olisi pykälän 2 momentin mukaisesti tehtävä 1 momentissa tarkoitettu ilmoitus ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun se sai tietoturvaloukkauksen tietoonsa, jos se on mahdollista. Jos ilmoitus tehdään tätä ajankohtaa myöhemmin, ilmoituksessa olisi kerrottava viivytyksen syyt ja perustelut.

Pykälän 3 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta säilyttää tiedot tietoturvaloukkauksista ja niihin liittyvistä seikoista, kuten niiden vaikutuksista ja toteutetuista korjaavista toimenpiteistä ja ilmoituksista.

35 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta rekisteröidylle. Pykälässä säädettäisiin velvollisuudesta informoida rekisteröityä tapahtuneesta tietoturvaloukkauksesta sen mukaan kuin rikosasioiden tietosuojadirektiivin 31 artiklan 1, 3 ja 5 kohdassa edellytetään.

Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän tulisi ilman aiheetonta viivytystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidylle, mikäli tietoturvaloukkaus todennäköisesti aiheuttaa merkittävän riskin kyseisen rekisteröidyn oikeuksille. Tällaisen riskin todennäköisyyttä arvioitaessa olisi syytä ottaa huomioon muun muassa tietoturvaloukkauksen kohteena olevien henkilötietojen laji, kohteena olevien rekisteröityjen ryhmä sekä loukkauksen kohteena olleiden tietojen laajuus.

Ilmoittamisvelvollisuutta ei kuitenkaan olisi, jos loukkauksen kohteena oleviin henkilötietoihin on sovellettu sellaisia asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä, joiden voidaan arvioida estävän tehokkaasti tietojen väärinkäyttöä. Ilmoittamisvelvollisuutta ei myöskään ole, jos rekisterinpitäjä on loukkauksen jälkeen ryhtynyt toimenpiteisiin sen varmistamiseksi, ettei rekisteröidyn oikeuksiin kohdistuva riski todennäköisesti toteudu. Tällaisesta tilanteesta voi olla kyse esimerkiksi siinä tapauksessa, että tietoturvaloukkauksen yhteydessä muutetut henkilötiedot on saatu palautettua alkuperäisiksi, ja on varmistettu, ettei muutettuja tietoja tällä välin ole luovutettu tai muutoin käsitelty.

Rekisterinpitäjä voisi pykälän 2 momentin mukaan rekisteröidylle tehtävän ilmoituksen sijaan tiedottaa tietoturvaloukkauksesta julkisella ilmoituksella, jos ilmoituksen tekeminen rekisteröidyille vaatisi kohtuutonta vaivaa. Henkilökohtainen ilmoittaminen jokaiselle rekisteröidylle erikseen saattaisi olla kohtuutonta esimerkiksi, kun tietoturvaloukkaus on kohdistunut poikkeuksellisen laajaan rekisteröityjen joukkoon tai kun rekisteröityjen yhteystiedot eivät ole rekisterinpitäjän tiedossa. Julkinen ilmoitus voitaisiin tehdä vapaamuotoisella tavalla, mutta valitun tavan tulisi tehokkaalla tavalla tavoittaa rekisteröidyt. Tapauskohtaisesti vaatimuksen julkisesta ilmoituksesta saattaa täyttää esimerkiksi näkyvä ilmoitus rekisterinpitäjän verkkosivujen etusivulla.

Pykälän 3 momentin mukaan rekisteröidylle ilmoittamista voitaisiin kuitenkin lykätä tai rajoittaa tai se voitaisiin poikkeuksellisesti jättää kokonaan tekemättä, jos 28 §:ssä säädetyt edellytykset täyttyvät. Koska kyseessä olisi rajoitus rekisteröidyn oikeuksiin, tulisi poikkeusta tulkita tiukasti.

36 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle. Pykälän mukaan rekisterinpitäjän olisi ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta sellaiselle Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle, jonka toimittamiin tai jolle toimitettuihin tietoihin loukkaus kohdistuu. Tällaiselle toiselle rekisterinpitäjälle olisi ehdotetun säännöksen mukaan aina ilmoitettava tietoturvaloukkauksesta riippumatta siitä, aiheutuuko loukkauksesta todennäköisesti vaaraa rekisteröidyn oikeuksille vai ei. Näin myös toinen rekisterinpitäjä voisi tarvittaessa ryhtyä asianmukaisiin toimenpiteisiin loukkauksen johdosta,

Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 30 artiklan 6 kohtaan. Mainittu artikla edellyttää säätämistä ainoastaan siitä, että loukkauksesta ilmoitetaan toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjällä. Ehdotetussa pykälässä kuitenkin ulotettaisiin ilmoittamisvelvollisuus koskemaan myös niitä kotimaisia rekisterinpitäjiä, joille annetuista tai joiden antamista tiedoista on kyse.

37 §.Tietoturvaloukkauksesta annettavan ilmoituksen sisältö. Pykälässä säädettäisiin tietoturvaloukkauksen johdosta annettavan ilmoituksen sisällöstä. Ilmoitukselle asetetut vähimmäisedellytykset riippuisivat siitä, kenelle ilmoitus tehdään. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 30 artiklan 3 ja 4 kohtaan sekä 31 artiklan 2 kohtaan. Direktiivin 31 artiklan 2 kohta pantaisiin kuitenkin osittain täytäntöön ehdotetun lain 30 §:n 1 momentilla, jonka mukaan kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot on annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Pykälän 1 momentissa säädettäisiin, että 34 ja 36 §:ssä tarkoitetussa tietosuojavaltuutetulle ja toiselle rekisterinpitäjälle annettavassa ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkaus. Kuvaukseen olisi mahdollisuuksien mukaan sisällytettävä tiedot asianomaisten rekisteröityjen ryhmistä, rekisteröityjen arvioidusta lukumäärästä, henkilötietotyyppien ryhmistä ja henkilötietojen arvioidusta lukumäärästä.

Ehdotetussa 35 §:ssä tarkoitetussa rekisteröidylle annettavassa ilmoituksessa olisi pykälän 2 momentin mukaan kuvattava tietoturvaloukkauksen luonne. Ilmoituksesta olisi siten tyypillisesti käytävä ilmi muun muassa se, mitkä tiedot ovat joutuneet tietoturvaloukkauksen kohteeksi, ja onko loukkauksessa kyse esimerkiksi tietojen tuhoutumisesta vai oikeudettomasta pääsystä tietoihin.

Lisäksi pykälän 3 momentissa säädettäisiin, että 1 ja 2 momentissa tarkoitetuista ilmoituksista on käytävä ilmi tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa asiasta, sekä tietoturvaloukkauksen todennäköiset seuraukset. Ilmoituksessa tulisi myös kuvata ne toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut toteutettavaksi tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet loukkauksen haittavaikutusten lieventämiseksi.

Pykälän 4 momentin mukaan tietosuojavaltuutetulle ja toiselle rekisterinpitäjälle annettavat tiedot voitaisiin toimittaa useammassa vaiheessa, mikäli tietoja ei kaikilta osin ole mahdollista toimittaa kerralla.

6 luku Tietosuojavastaava

38 §.Tietosuojavastaavan nimeäminen. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta nimetä tietosuojavastaava sen mukaan kuin rikosasioiden tietosuojadirektiivin 32 artiklassa edellytetään.

Pykälän 1 momentin mukaan rekisterinpitäjän tulisi nimetä organisaatiolleen tietosuojavastaava. Tietosuojavastaavalla tulisi olla riittävä asiantuntemus henkilötietojen käsittelyä koskevasta lainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa 40 §:ssä tarkoitetut tehtävät. Useaa toimivaltaista viranomaista varten voitaisiin nimetä yksi tietosuojavastaava, jos se on perusteltua viranomaisten organisaatiorakenne ja koko huomioon ottaen. Yhteisen tietosuojavastaavan nimeämisessä tulisi ottaa huomioon, että tietosuojavastaavalla tulee olla tosiasiallinen mahdollisuus hoitaa tehtävänsä tehokkaasti kaikkien toimivaltaisten viranomaisten osalta.

Tietosuojavastaava voisi olla esimerkiksi sellainen rekisterinpitäjän palveluksessa oleva henkilö, joka on saanut tietosuojaoikeutta ja alan käytänteitä koskevaa koulutusta tarvittavan asiantuntemuksen saamiseksi. Riittävän erityisasiantuntemuksen ja momentissa tarkoitetun valmiuksien tason voidaan katsoa määräytyvän etenkin rekisterinpitäjän toiminnan luonteen ja sen suorittaman tietojenkäsittelyn sekä käsiteltävien tietojen edellyttämän suojan perusteella. Tietosuojavastaava voisi olla myös rekisterinpitäjään nähden ulkopuolinen henkilö, joka hoitaa tietosuojavastaavan tehtäviä toimeksiantosopimuksen perusteella. Tietosuojavastaava voisi suorittaa tehtäviään osa-aikaisesti tai kokoaikaisesti. Sama henkilö voisi toimia sekä ehdotetussa laissa että yleisessä tietosuoja-asetuksessa tarkoitettuna tietosuojavastaavana sillä edellytyksellä, että kummassakin säädöksessä asetetut vaatimukset tulevat täytetyksi.

Pykälän 2 momentissa edellytettäisiin, että rekisterinpitäjä ilmoittaa tietosuojavastaavan yhteystiedot ja niissä tapahtuvista mahdollisista muutoksista tietosuojavaltuutetulle.

39 §.Tietosuojavastaavan asema. Pykälässä säädettäisiin tietosuojavastaavan asemasta ja se perustuisi rikosasioiden tietosuojadirektiivin 33 artiklaan.

Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän on otettava tietosuojavastaava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn. Esimerkiksi suunniteltaessa uusia tietojärjestelmähankintoja tulisi tietosuojavastaavalle varata asianmukaisesti mahdollisuus osallistua hankinnan suunnitteluun. Tietosuojavastaava ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta.

Pykälän 2 momentin mukaan rekisterinpitäjän olisi turvattava tietosuojavastaavan toimintaedellytykset tälle 40 §:ssä säädettyjen tehtävien hoitamiseksi sekä annettava pääsy henkilötietoihin ja käsittelytoimiin. Riittävien resurssien määrittelyssä tulisi ottaa huomioon myös esimerkiksi se, että tietosuojavastaava saa riittävät resurssit asiantuntemuksensa ylläpitämiseksi.

40 §.Tietosuojavastaavan tehtävät. Pykälässä säädettäisiin tietosuojavastaavan tehtävistä rikosasioiden tietosuojadirektiivin 32 artiklan 1 momentin ja 34 artiklan mukaisesti.

Tietosuojavastaavan tehtävänä olisi pykälän 1 momentin 1 kohdan mukaan ensinnäkin neuvoa rekisterinpitäjää ja henkilötietoja sen palveluksessa käsitteleviä henkilötietojen suojaa koskevissa asioissa. Momentin 2 kohdan mukaan tietosuojavastaava myös valvoisi henkilötietojen käsittelyä koskevan sääntelyn ja rekisterinpitäjän henkilötietojen käsittelyyn liittyvien menettelytapojen noudattamista. Näihin tehtäviin kuuluisivat esimerkiksi henkilötietojen käsittelyyn liittyvän vastuunjaon noudattamisen valvonta, tietoisuuden lisääminen tietosuoja-asioista ja henkilötietojen käsittelyyn osallistuvan henkilöstön koulutus sekä käsittelyyn liittyvät tarkastukset.

Tietosuojavastaavan tulisi momentin 3 kohdan mukaan pyydettäessä antaa neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa, että se toteutetaan 20 §:n mukaisesti. Lisäksi tietosuojavastaavan tehtävänä olisi momentin 4 kohdan mukaan tehdä yhteistyötä tietosuojavaltuutetun kanssa ja toimia sen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Näihin kysymyksiin kuuluisivat muun muassa 21 §:ssä tarkoitettu tietosuojavaltuutetun ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.

Pykälän 2 momentissa ehdotetaan säädettäväksi siitä, että tietosuojavastaavan tehtävät eivät ulotu tuomioistuinten lainkäyttötoimintaan eikä valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen laillisuusvalvontaan. Ehdotus perustuu rikosasioiden tietosuojadirektiivin 32 artiklan 1 kohtaan.

7 luku Henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille

41 §.Henkilötietojen siirtoja koskevat yleiset periaatteet. Pykälässä säädettäisiin henkilötietojen siirtoja kolmansiin maihin ja kansainvälisille järjestöille koskevista yleisistä periaatteista. Säännös perustuisi rikosasioiden tietosuojadirektiivin 35 artiklaan sekä 36 artiklan 1 kohtaan.

Henkilötietojen siirtämiseksi katsottaisiin nykytilaa vastaavasti kaikki tilanteet, joissa rekisterinpitäjä saattaa henkilötietoja kolmannessa maassa sijaitsevalle taholle tai kansainväliselle järjestölle. Siirtämiseksi katsottaisiin siten esimerkiksi henkilötietojen siirtäminen sähköpostitse tai muutoin sähköisesti, kuten katseluoikeuden avaaminen sähköisen yhteyden avulla sekä henkilötietojen tallentaminen pilvipalveluun. Varsinaisena luovuttamisena sen sijaan pidettäisiin puolestaan tilanteita, joissa rekisterinpitäjä luovuttaa henkilötiedot toiselle rekisterinpitäjälle, joka voi käsitellä niitä omiin käyttötarkoituksiinsa. Myös luovuttamista pidettäisiin nykytilaa vastaavasti henkilötietojen siirtämisenä.

Henkilötietojen ulkomaille siirtämistä koskevat säännökset koskisivat kaikkea henkilötietojen tosiasiallista siirtämistä ulkomaille. Säännökset kattaisivat siten sekä henkilötietojen varsinaisen luovuttamisen että niiden siirtämisen kolmansille maille esimerkiksi tietojenkäsittelyn ulkoistamisen seurauksena. Ehdotettujen säännösten sovellettavuuteen ei vaikuta siirrettävien tietojen määrä tai siirron kesto. Ainoastaan rekisterinpitäjinä toimiva toimivaltainen viranomainen voisi siirtää henkilötietoja, vaikkakin se voisi antaa henkilötietojen käsittelijälle tehtäväksi siirtää tiedot rekisterinpitäjän puolesta.

Pykälän 1 momentissa säädettäisiin, että toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos ehdotetussa laissa tarkoitettuun henkilötietojen käsittelyyn sovellettavia muita säännöksiä noudatetaan ja jos kaikki momentissa luetellut edellytykset täyttyvät. Momentissa tarkoitettuihin siirtoihin luettaisiin mukaan henkilötietojen siirrot edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.

Momentin 1 kohdassa edellytettäisiin, että siirto on ensinnäkin tarpeen ehdotetun lain 1 §:n 1 momentissa mainittua tarkoitusta varten. Henkilötietoja tulisi siirtää kolmanteen maahan tai kansainväliselle järjestölle siten ainoastaan, jos se on tarpeen kyseisessä momentissa lueteltuja tarkoituksia varten, kuten esimerkiksi rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten.

Momentin 2 kohdassa ehdotetaan säädettäväksi, että jotta siirto olisi lainmukainen, tulisi henkilötiedot siirtää kolmannen maan rekisterinpitäjälle tai kansainväliselle järjestölle, joka on toimivaltainen käsittelemään henkilötietoja 1 §:n 1 momentissa mainitussa tarkoituksessa. Momentin 3 kohdassa edellytettäisiin lisäksi, että kolmannen maan, jonne henkilötiedot on tarkoitus siirtää, tietosuojan riittävyydestä on rikosasioiden tietosuojadirektiivin 36 artiklassa tarkoitettu Euroopan komission voimassaoleva päätös. Jollei tällaista komission voimassaolevaa päätöstä olisi, tulisi olla olemassa asianmukaiset suojatoimet ehdotetun 42 §:n mukaisesti. Jollei tällaisia asianmukaisia suojatoimiakaan ole toteutettu, saa henkilötietoja siirtää vain, jos 43 §:ssä säädetyt erityistilanteita koskevat poikkeukset tulevat sovellettaviksi.

Ehdotetun pykälän 2 momentin mukaan mikäli henkilötiedot on saatu toisesta EU:n jäsenvaltiosta, siirron edellytyksenä on lisäksi, että kyseinen jäsenvaltio on antanut siirrolle etukäteen luvan. Ilman tällaista lupaa tehtävä siirto olisi kuitenkin sallittu poikkeuksellisesti, jos siirto on välttämätön jonkin valtion yleiseen turvallisuuteen tai EU:n jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä lupaa voida saada ajoissa. Siirrosta olisi kuitenkin ilmoitettava viipymättä ennakkoluvan antamisesta vastaavalle viranomaiselle.

Pykälän 3 momentissa säädettäisiin, että jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen voisi antaa luvan edelleen siirtämiselle noudattaen, mitä 1 ja 2 momentissa säädetään ja ottaen asianmukaisesti huomioon rikoksen vakavuus, henkilötietojen alkuperäisen siirron tarkoitus ja henkilötietojen suojan taso siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen, sekä muut asian kannalta merkittävät seikat.

42 §.Siirto asianmukaisten suojatoimien perusteella. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 37 artikla. Pykälän 1 momentin mukaan mikäli komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä, henkilötietoja voisi kuitenkin eräissä tilanteissa siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos 41 §:ssä säädetyt muut edellytykset täyttyvät. Siirron edellytyksenä muiden edellytysten lisäksi olisi, että oikeudellisesti sitovassa asiakirjassa määrätään asianmukaisista henkilötietojen suojatoimista tai vaihtoehtoisesti, että rekisterinpitäjä kaikkia henkilötietojen siirtoon liittyviä seikkoja arvioituaan katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet.

Ehdotetussa 1 momentin 1 kohdassa tarkoitettuja oikeudellisesti sitovia asiakirjoja voisivat olla esimerkiksi oikeudellisesti sitovat kahdenväliset sopimukset, jotka on kansallisen lain mukaan pantu täytäntöön. Tällaisessa välineessä tulisi varmistaa tietosuojaa koskevien vaatimusten noudattaminen ja rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien tehokkaiden oikeussuojakeinojen olemassaolo. Momentin 2 kohdassa tarkoitettujen asianmukaisten suojatoimien osalta rekisterinpitäjä voisi ottaa huomioon muun muassa sen, että henkilötietojen siirtoihin sovelletaan salassapitovelvollisuutta ja tietyn käsittelytarkoituksen periaatetta, jolla varmistetaan, ettei tietoja käsitellä muita kuin kunkin siirron nimenomaisia tarkoituksia varten. Lisäksi rekisterinpitäjän olisi otettava huomioon henkilötietojen käyttötarkoitus ja etenkin se, ettei tietoja käytetä esimerkiksi kuolemanrangaistuksen tai muun epäinhimillisen kohtelun määräämiseen.

Pykälän 2 momentissa säädettäisiin, että rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle 1 momentin 2 kohdan perusteella toteutettujen siirtojen sarjat. Tiedot kyseisistä siirroista olisi säilytettävä, jolloin ne voitaisiin pyynnöstä asettaa tietosuojavaltuutetun saataville. Tietoihin olisi sisällytettävä ainakin tiedot siirtojen päivämääristä ja ajankohdista, vastaanottaneesta toimivaltaisesta viranomaisesta, siirtojen perusteista sekä siirretyistä henkilötiedoista.

43 §.Erityistilanteita koskevat poikkeukset. Pykälässä säädettäisiin poikkeusperusteista, joiden nojalla henkilötietoja voitaisiin siirtää kolmanteen maahan tai kansainväliselle järjestölle silloin, kun komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä eikä 42 §:ssä edellytettyjä asianmukaisia suojatoimia tiedonsiirrolle ole. Siirto edellyttäisi sitä, että 41 §:ssä säädettäväksi ehdotetut yleiset tietojen siirtämistä koskeva edellytykset täyttyvät. Koska pykälään otettavissa edellytyksissä on kyse poikkeuksista tietojen siirtämistä koskeviin edellytyksiin, tulee edellytyksiä tulkita supistavasti. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 38 artiklaan.

Pykälän 1 momentin 1—3 kohdassa säädettäisiin, että tällöin siirto olisi mahdollinen vain, jos siirto on välttämätön rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, rekisteröidyn oikeutettujen ja merkitykseltään painavien etujen turvaamiseksi taikka EU:n jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi. Elintärkeän edun suojaamisesta voisi olla kyse esimerkiksi niissä tilanteissa, joissa tiedon siirtäminen on tarpeen rekisteröidyn tain jonkin toisen henkilön hengen suojelemiseksi. Henkilötietojen siirto rekisteröidyn oikeutettujen etujen turvaamiseksi edellyttäisi, että rekisteröidyn etu on luonteeltaan painava. Tältä osin kyse olisi direktiivin sallimasta lisäedellytyksestä henkilötietojen siirtämiselle.

Lisäksi momentin 4 kohdan mukaan siirto olisi mahdollinen yksittäistapauksissa 1 §:n 1 momentissa mainittuja tarkoituksia varten tai niihin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. Sanamuotonsa mukaisesti 4 kohdassa tarkoitettu siirtoperuste voisi tulla kyseeseen vain yksittäistapauksessa, eikä säännöstä voitaisi käyttää oikeusperusteena silloin, kun kyse on esimerkiksi säännönmukaisesta tietojensiirrosta.

Pykälän 2 momentissa asetettaisiin kuitenkin velvollisuus suorittaa intressipunnintaa eri oikeuksien välillä ennen kuin henkilötietoja siirretään 1 momentin 4 kohdan perusteella. Henkilötietoja ei saa siirtää ehdotetun kohdan nojalla, jos asianomaisen rekisteröidyn oikeuksia on pidettävä siirtoa puoltavaa yleistä etua painavampana. Esimerkiksi jos rekisteröity todennäköisesti joutuisi tietojen siirron johdosta väkivallan uhan tai vainon kohteeksi, olisi perusteltua yleensä olla siirtämättä tällaisia tietoja.

Tiedot siirroista, jotka perustuvat ehdotettuun 1 momenttiin, olisi pykälän 3 momentin mukaan säilytettävä ja asetettava pyynnöstä tietosuojavaltuutetun saataville. Tällaisiin tietoihin tulisi sisältyä ainakin tiedot siirron päivämäärästä ja ajankohdasta sekä tiedot vastaanottaneesta toimivaltaisesta viranomaisesta, siirron perusteista ja siirretyistä henkilötiedoista.

44 §.Henkilötietojen siirto kolmansiin maihin yksityisille ja muille vastaanottajille. Pykälässä säädettäisiin henkilötietojen siirrosta kolmansiin maihin yksityisille ja muille vastaanottajille. Tällaiset vastaanottajat määritelmänsä mukaisesti ovat pääsääntöisesti muita kuin toimivaltaisiin viranomaisiin rinnastettavissa olevia viranomaisia. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 39 artiklaan. Mainitussa artiklassa annetaan mahdollisuus asiasta säätämiseen, mutta siinä ei kuitenkaan velvoiteta siihen.

Pykälän 1 momentissa säädettäisiin niistä edellytyksistä, joiden täyttyessä toimivaltainen viranomainen voi yksittäistapauksessa 41 §:n 1 momentin 2 kohdassa säädetyn estämättä siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille yksityisille ja muille vastaanottajille. Kaikkien momentissa lueteltujen edellytysten tulisi täyttyä samanaikaisesti. Pykälässä tarkoitetut siirrot tulisivat kyseeseen varsin poikkeuksellisesti ja yksittäistapauksissa.

Siirto olisi sallittu ensinnäkin vain silloin, kun se on 1 kohdan mukaisesti välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi suorittaa sille säädetyt 1 §:n 1 momentissa tarkoitetut tehtävät. Tietoja ei välttämättömyysedellytyksen vuoksi saisi siirtää, jos mainitut tehtävät voidaan hoitaa jollakin muulla, rekisteröidyn oikeuksiin vähemmän puuttuvalla, keinolla. Momentin 2 kohdan mukaan siirron edellytyksenä olisi myös se, että tietoja siirtävä toimivaltainen viranomainen asiaa arvioituaan toteaa johtopäätöksenään, että asianomaisen rekisteröidyn oikeudet eivät syrjäytä sitä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen. Siirtävän viranomaisen olisi siis suoritettava huolellinen intressipunninta tältä osin.

Edellytyksenä siirrolle momentin 3 kohdan mukaan olisi myös se, että tietoja siirtävä toimivaltainen viranomainen katsoo, että siirto kolmannen maan toimivaltaiselle viranomaiselle olisi asian kiireellisyydestä tai muusta syystä tehoton tai epätarkoituksenmukainen. Momentin 4 kohdassa kuitenkin edellytettäisiin, että tällaisen kolmannen maan toimivaltaiselle viranomaiselle ilmoitetaan tapahtuneesta siirrosta ilman aiheetonta viivästystä, jollei se olisi tehotonta tai epätarkoituksenmukaista.

Momentin 5 kohdan mukaan tietoja siirtävän toimivaltaisen viranomaisen olisi ilmoitettava vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa käsitellä henkilötietoja ja että tietoja saa käsitellä vain sillä edellytyksellä, että tällainen käsittely on välttämätöntä. Vastaanottajalle on ilmoitettava myös siitä, ettei tietoja saa käsitellä muita tarkoituksia varten.

Momentin 6 kohdassa edellytettäisiin, että siirto ei saa olla vastoin Suomen kansainvälisiä sopimusvelvoitteita.

Lisäksi siirrossa tulisi noudattaa ehdotetun lain muita säännöksiä.

Pykälän 2 momentissa asetettaisiin toimivaltaiselle viranomaiselle velvollisuus säilyttää tiedot 1 momentin nojalla tehdyistä siirrosta sekä ilmoittaa niistä tietosuojavaltuutetulle. Momentissa tarkoitettu ilmoitus olisi tehtävä ilman aiheetonta viivytystä.

8 luku Valvontaviranomainen

45 §.Tietosuojavaltuutettu. Pykälässä säädettäisiin kansallisesta valvontaviranomaisesta lain soveltamisalalla. Kansallinen valvontaviranomainen olisi Suomessa sama elin kuin yleisen tietosuoja-asetuksen ja ehdotetun tietosuojalain alalla, eli tietosuojavaltuutettu.

Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 41, 42 ja 45 artikla tarpeellisin osin. Suurin osa tietosuojavaltuutetun toimiston organisaatiota koskevista säännöksistä tulisivat säädetyksi ehdotetussa tietosuojalaissa. Esimerkiksi 42 artiklan 5 kohtaa ei ehdoteta tässä laissa täytäntöön pantavaksi, sillä ehdotetussa tietosuojalaissa säädettäisiin tietosuojavaltuutetun henkilöstöstä ja siitä, että tietosuojavaltuutettu valitsee valtuutetun toimiston henkilöstön.

Ehdotetun lain noudattamista valvoisi pykälän 1 momentin mukaan ehdotetun tietosuojalain 8 §:ssä tarkoitettu tietosuojavaltuutettu.

Pykälän 2 momentissa säädettäisiin, että ehdotetun lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen. Sääntely perustuu rikosasioiden tietosuojadirektiivin 45 artiklan 2 kohtaan. Sääntelyllä pyrittäisiin ennen kaikkea turvaamaan tuomioistuinten ja ylinten laillisuusvalvojien riippumattomuus niiden hoitaessa ehdotetun lain soveltamisalan piiriin kuuluvia tehtäviään.

Perustuslain 108 ja 109 §:ssä säädetyn mukaisesti oikeuskansleri ja oikeusasiamies valvovat tuomioistuinten toiminnan lainmukaisuutta. Ne valvovat siten myös sitä, että tuomioistuimet noudattavat kaikessa toiminnassaan henkilötietojen suojaa koskevaa lainsäädäntöä.

Pykälän 3 momentin mukaan tietosuojavaltuutettu on itsenäinen ja riippumaton hoitaessaan ehdotetussa laissa sille säädettyjä tehtäviä. Tämä tarkoittaisi muun muassa, että valvontaviranomaisen palveluksessa oleviin ei tulisi voida vaikuttaa ulkopuolelta suoraan eikä välillisesti näiden hoitaessa tehtäviään ja käyttäessä valtuuksiaan. Näiden ei myöskään tulisi ottaa tältä osin vastaan ohjeita miltään ulkopuoliselta taholta.

46 §.Tehtävät. Pykälässä säädettäisiin tietosuojavaltuutetun tehtävistä ehdotetun lain soveltamisalalla. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 46 artiklaan. Tietosuojavaltuutetun ehdotetun lain mukaiset tehtävät poikkeaisivat joiltain osin niistä tehtävistä, joita valtuutetulle on yleisen tietosuoja-asetuksen 59 artiklassa säädetty.

Pykälän 1 momentissa lueteltaisiin tietosuojavaltuutetun tehtävät. Niihin kuuluisi ehdotetun lain noudattamisen yleisen valvonnan lisäksi momentin 1 kohdan mukaan yleisen tietoisuuden lisääminen henkilötietojen käsittelyyn liittyvistä riskeistä, lainsäädännöstä, suojatoimista ja oikeuksista. Momentin 2 kohdan mukaan tietosuojavaltuutetun tulisi niin ikään edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta niille ehdotetun lain mukaan kuuluvista velvollisuuksista. Näitä tehtäviä voitaisiin täyttää esimerkiksi julkaisemalla ohjeistuksia ja kouluttamalla rekisterinpitäjiä.

Tietosuojavaltuutetun tehtäviin kuuluisi momentin 3 ja 4 kohdan mukaan tietojen antaminen pyynnöstä rekisteröidylle hänelle ehdotetun lain nojalla kuuluvien oikeuksien käyttämiseen liittyen sekä neuvonnan antaminen 21 §:ssä tarkoitetun ennakkokuulemismenettelyn yhteydessä. Tietosuojavaltuutetun tulisi momentin 5 kohdan mukaan tehdä selvityksiä ehdotetun lain noudattamisesta. Valtuutettu päättäisi itsenäisesti tarpeellisiksi katsomiensa selvitysten laatimisesta. Selvitys voisi esimerkiksi koskea jotakin tiettyä hallinnonalaa tai jotakin tietynlaista tietojenkäsittelytapaa. Tietosuojavaltuutettu tehtävänä olisi momentin 6 kohdan mukaan myös tarkistaa käsittelyn lainmukaisuus siten kuin 29 §:ssä säädetään.

Momentin 7 kohdan mukaan tietosuojavaltuutettu käsittelisi rekisteröidyn tai 56 §:ssä tarkoitetun yhteisön tekemät toimenpidepyynnöt. Valtuutetun tulisi ilmoittaa toimenpidepyynnön tekijälle tutkinnan etenemisestä ja tutkinnan tuloksista kohtuullisen ajan kuluessa sen mukaan kuin hallintolaissa säädetään. Tietosuojavaltuutetun olisi rikosasioiden tietosuojadirektiivin 46 artiklan 2 kohdan mukaisesti helpotettava tässä kohdassa tarkoitettujen toimenpidepyyntöjen tekemistä toimenpitein, kuten tarjoamalla yleisesti saatavilla oleva toimenpidepyyntölomake esimerkiksi verkkosivuillaan.

Momentin 8 kohdan mukaan valtuutetun tulisi seurata henkilötietojen suojaan vaikuttavaa teknologista ja muuta kehitystä.

Pykälän 2 momentissa säädettäisiin siitä, että tietosuojavaltuutettu osallistuu yleisellä tietosuoja-asetuksella perustetun tietosuojaneuvoston toimintaan. Rikosasioiden tietosuojadirektiivin 51 artiklassa luetellaan tietosuojaneuvoston tehtävät direktiivin soveltamisalalla. Neuvoston tehtävänä on muun muassa antaa suosituksia ja tuoda esille parhaita käytänteitä direktiivin soveltamisesta. Tietosuojavaltuutettu ei siten voisi viedä neuvostoon käsiteltäväksi asiaa, jossa on kyse direktiivin soveltamisalan ulkopuolelle jäävästä henkilötietojen käsittelystä eli 1 §:n 2 momentissa tarkoitetun toiminnan yhteydessä tapahtuvasta käsittelystä.

Pykälän 3 momentissa säädettäisiin, että tietosuojavaltuutetun toimenpiteet ovat rekisteröidylle ja tietosuojavastaavalle maksuttomia. Jos rekisteröidyn tai tietosuojavastaavan pyynnöt kuitenkin olisivat pyyntöjen toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, tietosuojavaltuutettu voisi periä toimenpiteistä maksun siten kuin valtion maksuperustelaissa säädetään tai jättää pyynnön kohteena olevan asian tutkimatta. Asian tutkimatta jättäminen voisi tulla kyseeseen varsin poikkeuksellisesti. Tällainen tilanne voisi olla käsillä esimerkiksi tilanteessa, jossa asia on jo vireillä tietosuojavaltuutetun toimistossa.

Pykälän 4 momentin mukaan tietosuojavaltuutetun olisi tarvittaessa voitava osoittaa pyynnön ilmeinen perusteettomuus tai kohtuuttomuus, jos se 3 momentissa tarkoitetulla tavalla perii toimenpiteestä maksun tai jättää asian tutkimatta.

47 §.Tiedonsaantioikeus. Pykälässä säädettäisiin tietosuojavaltuutetun tiedonsaantioikeudesta. Pykälällä pantaisiin täytäntöön sekä rikosasioiden tietosuojadirektiivin 26 artikla että 47 artiklan 1 kohta. Rikosasioiden tietosuojadirektiivissä edellytetään, että valvontaviranomaisella on tehokkaat tutkintavaltuudet. Näihin valtuuksiin on sisällyttävä ainakin valtuudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin käsiteltävänä oleviin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävien suorittamisessa.

Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot.

Pääpiirteissään vastaavanlainen säännös sisältyy henkilötietolain 39 §:n 1 momenttiin, jonka mukaan tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa.

Pykälän 2 momentissa säädettäisiin tietosuojavaltuutetun oikeudesta saada rekisterinpitäjältä ja henkilötietojen käsittelijältä selvitys seikoista, jotka ovat tarpeen tietosuojavaltuutetun tehtävien hoitamiseksi. Selvitystä voitaisiin pyytää esimerkiksi sellaisista valtuutetun tehtävien hoitamisen kannalta tarpeellisista seikoista, jotka selventävät valtuutetun tiedonsaantioikeutensa nojalla saamia tietoja tai joista valtuutetun on muutoin tarpeen saada selvitystä tehtäviensä hoitamiseksi. Rekisterinpitäjä ja henkilötietojen käsittelijä olisivat lisäksi muutoinkin pyynnöstä velvollisia tekemään yhteistyötä valtuutetun kanssa sen tehtävien suorittamiseksi.

48 §.Oikeus tehdä tarkastuksia. Pykälässä säädettäisiin tietosuojavaltuutetun oikeudesta tehdä tarkastuksia siten kuin rikosasioiden tietosuojadirektiivin 47 artiklan 1 ja 4 kohdassa edellytetään. Säännöksillä pyritään turvaamaan tietosuojavaltuutetun tehokkaat tutkintavaltuudet sekä näihin liittyvien oikeussuojatakeiden toteutuminen.

Pykälän 1 momentin mukaan tietosuojavaltuutettu voi tehdä tarkastuksen rekisterinpitäjän tai henkilötietojen käsittelijän tiloissa, jos tarkastus on tarpeen ehdotetun lain noudattamisen valvomiseksi.

Pykälän 2 momentissa säädettäisiin tarkastuksen toimittamista koskevasta lisäedellytyksestä, kun tarkastus kohdistuu pysyväisluonteiseen asumiseen käytettyyn tilaan. Tarkastuksen saisi tällöin toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena rikoslaissa säädetty rangaistus.

Pykälän 3 momenttiin ehdotetaan selvyyden vuoksi ottavaksi säännös siitä, että tarkastuksen yhteydessä on noudatettava hallintolain 39 §:ää. Hallintolain 39 §:ssä säädetään eräistä tarkastuksen toimittamista koskevista menettelyvaatimuksista.

49 §.Virka-apu. Pykälässä säädettäisiin tietosuojavaltuutetun oikeudesta saada poliisilta virka-apua tehtäviensä suorittamiseksi. Virka-apua annettaisiin valtuutetun tekemän pyynnön perusteella. Voimassa olevan tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 8 §:ssä on nykyisinkin vastaavat säännökset. Virka-apu voisi tulla kyseeseen esimerkiksi 48 §:ssä tarkoitetun tarkastuksen yhteydessä, jos tietosuojavaltuutettua estetään suorittamasta virkatehtäviään, taikka jos valtuutetun tehtävissä muutoin tarvitaan poliisin toimivaltuuksien käyttämistä.

50 §.Asiantuntijoiden käyttö. Pykälä sisältäisi säännökset tietosuojavaltuutetun oikeudesta käyttää ulkopuolisia asiantuntijoita. Henkilötietojen suoja koskee laaja-alaisesti yhteiskunnan eri osa-alueita. Erityisasiantuntemus, jota tietosuojavaltuutetun tehtävien hoitaminen edellyttää, voi joissakin tapauksissa edellyttää ulkopuolisen asiantuntija-avun käyttämistä. Ulkopuolista asiantuntijaa voitaisiin käyttää esimerkiksi tilanteessa, jossa tarvitaan erityistä salaustekniikoiden tai muiden kehittyneiden tietoturvallisuusmenetelmien tuntemusta. Rikosasioiden tietosuojadirektiivi ei nimenomaisesti edellytä, että jäsenvaltion lainsäädännössä säädetään asiasta, mutta ehdotettu sääntely tukee tietosuojavaltuutetun tehtävien tehokasta hoitamista.

Pykälän 1 momentin mukaan tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita ja pyytää näiltä lausuntoja. Myös tietosuojalautakunnasta ja tietosuojavaltuutusta annetun lain 7 §:ssä säädetään tietosuojavaltuutetun ja tietosuojalautakunnan oikeudesta kuulla asiantuntijoita ja pyytää näiltä lausuntoja.

Pykälän 2 momentissa ehdotetaan säädettäväksi, että tietosuojavaltuutettu voi 48 §:ssä tarkoitetun tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tietosuojavaltuutettu voisi momentin mukaan nimetä asiantuntijaksi suostumuksensa tehtävään antaneen henkilön, jolla on tietosuojavaltuutetun tehtävän hoitamisen kannalta merkityksellistä asiantuntemusta. Asiantuntija ei voisi suorittaa tarkastusta itsenäisesti, vaan hänen tehtävänsä olisi luonteeltaan avustava.

Pykälän 3 momentissa säädettäisiin, että asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan pykälässä tarkoitettuja tehtäviä. Lisäksi momentissa olisi viittaus vahingonkorvauslain mukaiseen vahingonkorvausvastuuseen.

51 §.Toimenpiteet. Pykälässä säädettäisiin tietosuojavaltuutetun toimivaltuuksista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 47 artiklaan. Pykälässä ehdotetaan tietosuojavaltuutetulle laajempia toimivaltuuksia, kuin mitä rikosasioiden tietosuojadirektiivissä edellytetään. Toimivaltuuksien määrittämisessä on pyritty siihen, että ne olisivat soveltuvin osin mahdollisimman yhdenmukaisia yleisessä tietosuoja-asetuksessa säädettyjen valtuuksien kanssa ja että henkilötietojen suojan tehokas valvonta toteutuisi myös ehdotetun lain alalla.

Tietosuojavaltuutettu voisi pykälän mukaan ehdotetun lain soveltamisalaan kuuluvassa asiassa antaa rekisterinpitäjälle ohjausta 21 §:ssä tarkoitetussa ennakkokuulemismenettelyssä (1 kohta), ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle ehdotetun lain väitetystä rikkomisesta (2 kohta) sekä varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet voivat olla ehdotetun lain vastaisia (3 kohta). Lisäksi pykälän 4 kohdan mukaan tietosuojavaltuutettu voisi antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos tämä on käsitellyt henkilötietoja lainvastaisesti. Huomautus pitäisi käytännössä sisällään valtuutetun hänen valvontansa kohteelle lähinnä vastaisuuden varalle antaman perustellun kannanoton siitä, miten henkilötietojen käsittelyä koskevia säännöksiä olisi tietyssä tilanteessa tullut valtuutetun käsityksen mukaan soveltaa. Huomautuksen antaminen tulisi kyseeseen sellaisessa tilanteessa, jossa tarvetta ryhtyä ankarampiin toimenpiteisiin ei ole.

Pykälän 1—4 kohdassa luetellut toimenpiteet olisivat luonteeltaan hieman kevyempiä kuin kohdassa 5—10 luetellut toimenpiteet. Viimeksi mainittujen säännösten nojalla tietosuojavaltuutettu voisi muun muassa määrätä rekisterinpitäjän tai henkilötietojen käsittelijän noudattamaan rekisteröidyn pyyntöjä, jotka koskevat ehdotettuun lakiin perustuvien oikeuksien käyttöä taikka asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen käsittelylle. Lisäksi tietosuojavaltuutettu voisi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet ehdotetun lain säännösten mukaisiksi, tarvittaessa määrätyllä tavalla ja kohtuullisen määräajan kuluessa.

Rikosasioiden tietosuojadirektiivin 47 artiklan 5 kohdassa edellytetään, että jäsenvaltio säätää laissa siitä, että kansallisella valvontaviranomaisella on valtuudet saattaa direktiivin nojalla hyväksyttyjen säännösten rikkomiset oikeusviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää oikeustoimet direktiivin nojalla hyväksyttyjen säännösten täytäntöönpanemiseksi. Vaikka ehdotettuun lakiin ei otettaisi asiasta nimenomaista säännöstä, olisi tietosuojavaltuutetulla oikeus tehdä rikosilmoitus, jos se epäilee, että ehdotetun lain säännöksiä on rikottu rangaistavaksi säädetyllä tavalla.

52 §.Uhkasakko. Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutettu voi asettaa ehdotetun 51 §:n 5—10 kohdassa tarkoitetun päätöksen sekä 47 §:ään perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).

Pykälän 2 momenttiin ehdotetaan otettavan säännökset luonnollisen henkilön niin sanotusta itsekriminointisuojasta tietojen luovuttamisvelvollisuuden yhteydessä. Uhkasakkoa ei voitaisi kohdistaa henkilöön, jota on syytä epäillä rikoksesta, josa tiedot koskevat rikosepäilyn kohteena olevaa asiaa.

53 §.Tietosuojavaltuutetun kuuleminen. Pykälä sisältäisi säännökset siitä, millaisissa tilanteissa muiden viranomaisten on kuultava tietosuojavaltuutettua. Ehdotus perustuu ennen kaikkea rikosasioiden tietosuojadirektiivin 28 artiklan 2 kohdan ja 47 artiklan 3 kohdan sisältämiin lainsäädäntötoimeksiantoihin. Mainittujen artiklojen mukaisesti jäsenvaltioiden on säädettävä siitä, että valvontaviranomaista kuullaan valmisteltaessa kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy käsittelyyn ja että valvontaviranomainen voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä.

Pykälän 1 momentissa säädettäisiin rikosasioiden tietosuojadirektiivin edellyttämällä tavalla, että tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja lain 1 §:ssä tarkoitettuun henkilötietojen käsittelyyn liittyvistä kysymyksistä.

Pykälän 2 momentin mukaan tietosuojavaltuutetulle olisi varattava tilaisuus tulla kuulluksi valmisteltaessa lain 1 §:ssä tarkoitettua henkilötietojen käsittelyä koskevia lainsäädännöllisiä tai hallinnollisia uudistuksia. Ehdotetun säännöksen tarkoitus on antaa tietosuojavaltuutetulle mahdollisuus vaikuttaa henkilötietojen käsittelyyn liittyviin lainsäädännöllisiin ja hallinnollisiin uudistuksiin jo niiden valmisteluvaiheessa. Sisällöllisesti vastaava säännös sisältyy henkilötietolain 41 §:n 1 momenttiin.

Rikoslaissa säädetään tietosuojavaltuutetun kuulemisesta, kun syyttäjä tai tuomioistuin käsittelee rikosasiaa. Rikoslain (39/1889) 38 luvun 10 §:n mukaan syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa taikka henkilörekisteririkosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. Mainittuun pykälään ehdotetaan tietosuojalakia koskevassa hallituksen esityksessä eräitä muutoksia.

54 §.Keskinäinen avunanto. Pykälässä säädettäisiin keskinäisestä avunannosta valvontaviranomaisten välillä. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 50 artiklan 1, 2 ja 7 kohta.

Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutetun on maksutta annettava toisen EU:n jäsenvaltion vastaavalle valvontaviranomaiselle tämän valvontatehtävässään välttämättä tarvitsemat henkilötiedot sekä muut tarpeelliset tiedot, ja tarvittaessa muutoinkin avustettava tätä valvonnan toteuttamisessa. Tiedot olisi annettava myös salassapidettävistä tiedoista. Lisäksi tietosuojavaltuutetun olisi ryhdyttävä muihinkin tarvittaviin toimenpiteisiin tehokkaan keskinäisen yhteistyön varmistamiseksi. Keskinäisen avunannon lähtökohtaisesta maksuttomuudesta huolimatta valvontaviranomaiset voivat keskenään sopia säännöistä, jotka koskevat keskinäisestä avunannosta poikkeuksellisissa olosuhteissa aiheutuvista erityisistä kustannuksista maksettavia korvauksia.

Keskinäinen avunanto kattaisi erityisesti tietopyynnöt ja valvontatoimet, kuten kuulemisten, tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, kuten pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saisi käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty. Tietosuojavaltuutetun olisi toimitettava muiden valvontaviranomaisten pyytämät tiedot lähtökohtaisesti sähköisesti vakiomuodossa, kuten rikosasioiden tietosuojadirektiivin 50 artiklan 6 kohdassa edellytetään.

Pykälän 2 momentin mukaan tietosuojavaltuutetun olisi vastattava 1 momentissa tarkoitetun valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voisi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.

9 luku Oikeusturva

55 §.Lain rikkomisista koskeva ilmoitusmenettely. Pykälässä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 48 artikla, jossa edellytetään jäsenvaltioiden säätävän siitä, että toimivaltaiset viranomaiset ottavat käyttöön tehokkaita mekanismeja, jotka kannustavat ilmoittamaan tämän direktiivin rikkomisista luottamuksellisesti. Vastaavaa säännöstä ei sisälly nykyiseen henkilötietojen suojaa koskevaan kansalliseen lainsäädäntöön. Vastaavan kaltaiset ilmoituskanavat, joiden kautta voidaan raportoida lain rikkomisista (engl. whistleblowing) ovat kuitenkin pakollisia esimerkiksi luottolaitoksille luottolaitostoiminnasta annetun lain (610/2014) 7 luvun 6 §:n nojalla sekä vakuutusyhtiöille vakuutusyhtiölain (521/2008) 6 luvun 17 a §:n nojalla.

Pykälän 1 momentissa asetettaisiin toimivaltaiselle viranomaiselle velvollisuus ylläpitää menettelytapoja, joita noudattamalla sille voidaan luottamuksellisesti ilmoittaa ehdotetun lain epäillystä rikkomisesta. Ilmoitusmenettelyn tulisi sisältää asianmukaiset ja riittävät toimenpiteet, joilla järjestetään ilmoitusten asianmukainen käsittely. Ilmoitusmenettelyn tulisi myös sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja. Järjestelmän toimivuus edellyttää, että menettelytavoista on selkeät ohjeet ja että järjestelmä on helposti käytettävä.

Pykälän 2 momentin mukaan toimivaltaisen viranomaisen olisi säilytettävä 1 momentissa tarkoitettua ilmoitusta koskevat tarpeelliset tiedot. Tiedot olisi poistettava viiden vuoden kuluttua ilmoituksen tekemisestä, jollei tietojen edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi. Tietojen edelleen säilyttämisen tarpeellisuus olisi joka tapauksessa tutkittava viimeistään kolmen vuoden kuluttua edellisestä tarkistamisesta, josta tulisi tehdä merkintä. Vääriksi tai tarpeettomiksi osoittautuneet tiedot olisi kuitenkin poistettava rekisteristä viivytyksettä.

Pykälän 3 momentissa säädettäisiin rajoituksesta rekisteröidyn oikeuteen saada tietää ilmoituksen tekijän henkilöllisyys. Jos luonnollinen henkilö on tehnyt toimivaltaiselle viranomaiselle 1 momentissa tarkoitetun ilmoituksen ehdotetun lain epäillystä rikkomisesta, ilmoittajan henkilöllisyys olisi pidettävä salassa, jos henkilöllisyyden paljastamisesta voitaisiin olosuhteiden perusteella arvioida aiheutuvan ilmoittajalle haittaa, kuten vastatoimenpiteitä tai syrjintää.

56 §.Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Pykälässä säädettäisiin rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi. Pykälällä pantaisiin täytäntöön erityisesti rikosasioiden tietosuojadirektiivin 52 artiklan 1 kohta sekä 55 artikla. Mahdollisuus saattaa asia kansallisen valvontaviranomaisen käsiteltäväksi on merkittävä oikeussuojakeino, josta on rikosasioiden tietosuojadirektiivin mukaan säädettävä jäsenvaltion lainsäädännössä.

Pykälän 1 momentin ensimmäisen virkkeen mukaan rekisteröidyllä olisi oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan ehdotettua lakia tai muuta henkilötietojen käsittelyä koskevaa lakia. Tästä rekisteröidyn oikeudesta käytettäisiin laissa myös ilmaisua ”toimenpidepyyntö”. Momentin sääntelyn nojalla rekisteröidyllä olisi oikeus saattaa asia valtuutetun käsiteltäväksi siinäkin tilanteessa, kun ehdotetun lain soveltamisalaan kuuluvassa toiminnassa rikotaan erityislainsäädännössä olevia henkilötietojen käsittelyä koskevia, kyseisessä toiminnassa sovellettavaksi tulevia säännöksiä.

Henkilötietolaissa ei nimenomaisesti säädetä vastaavasta yleisestä rekisteröidyn oikeudesta saattaa asia vireille tietosuojavaltuutetun toimistossa. Tietosuojavaltuutetun on henkilötietolain 40 §:n 2 momentin mukaan kuitenkin ratkaistava asia, jonka rekisteröity on saattanut 28 (tarkastusoikeuden toteuttaminen) ja 29 §:n (tiedon korjaaminen) nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Rekisteröity ei voi henkilötietolain mukaan saattaa asiaa vireille myöskään tietosuojalautakunnassa. Ehdotettu säännös olisi siten merkittävä laajennus rekisteröidyn käytettävissä oleviin oikeussuojakeinoihin.

Ehdotetun momentin mukaisesti rekisteröity voi tehdä toimenpidepyynnön missä tahansa tilanteessa, jossa hän katsoo häneen liittyvässä henkilötietojen käsittelyssä rikottavan henkilötietojen käsittelyä koskevia säännöksiä. Toimenpidepyyntö voisi koskea esimerkiksi rekisteröidyn tarkastusoikeuden tai tietojen korjausoikeuden toteuttamista taikka käsittelyperusteen laillisuutta. Valituksen tekemiseen noudatettaisiin hallintolain säännöksiä asian vireillepanosta.

Momentin toisessa virkkeessä säädettäisiin, että toimenpidepyynnön voi rekisteröidyn suostumuksella saattaa tietosuojavaltuutetun käsiteltäväksi myös yleishyödyllinen henkilötietojen suojaa edistävä yhteisö. Tällainen yleishyödyllinen henkilötietojen suojaa edistävä yhteisö voisi edustaa useaakin rekisteröityä tietosuojavaltuutetulle tehtävässä toimenpidepyyntöä koskevassa asiassa. Lainkohta ei rajoittaisi esimerkiksi rekisteröidyn mahdollisuutta käyttää asiamiestä tehdessään toimenpidepyynnön tietosuojavaltuutetulle.

Ehdotettu lainkohta perustuu rikosasioiden tietosuojadirektiivin 55 artiklaan, jossa velvoitetaan säätämään kansallisen prosessioikeuden mukaisesti siitä, että rekisteröidyllä on oikeus valtuuttaa sellainen voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu ja jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröityjen oikeuksien ja vapauksien suojelemisen alalla heidän henkilötietojensa suojan osalta, tekemään toimenpidepyyntö puolestaan ja käyttämään puolestaan direktiivin 52, 53 ja 54 artiklassa tarkoitettuja oikeuksia.

57 §.Toimenpidepyynnön käsitteleminen. Pykälässä säädettäisiin 56 §:ssä tarkoitetun toimenpidepyynnön käsittelemisestä.

Pykälän 1 momentilla pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 46 artiklan 1 kohdan f alakohta sekä 52 artiklan 4 kohta. Tietosuojavaltuutetun tulisi tutkia asia, jollei asia ole vireillä tuomioistuimessa. Asian käsittelyyn sovellettaisiin yleislakina hallintolakia. Hallintolain 23 §:ssä säädetyn mukaisesti valtuutetun on käsiteltävä asia ilman aiheetonta viivytystä, ja sen on muun muassa vastattava asianosaisen esittämiin käsittelyn etenemistä koskeviin tiedusteluihin. Ehdotetun 1 momentin toisessa virkkeessä säädettäisiin täydentävästi siitä, että valtuutetun on kohtuullisen ajan kuluessa ilmoitettava asian vireillepanijalle asian käsittelemisen etenemisestä, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen. Kohtuullista aikaa arvioitaessa merkityksellisiä seikkoja voivat olla esimerkiksi asian laatu, monimutkaisuus ja laajuus.

Pykälän 2 momentissa säädettäisiin tilanteista, joissa tietosuojavaltuutettu pitää sillä vireillä olevassa asiassa tarpeellisena selvittää, onko Euroopan komission 41 §:n 1 momentin 3 kohdassa tarkoitettu päätös tietosuojan tason riittävyydestä tietosuojadirektiivin mukainen. Tällaisissa tilanteissa tietosuojavaltuutetun olisi saatettava tältä osin asia hallinto-oikeuden ratkaistavaksi. Hallinto-oikeus voisi puolestaan tehdä asiassa ennakkoratkaisupyynnön EU:n tuomioistuimelle. Tapaukset olisi niiden oletettavasti vähäisen määrän ja asiassa tarvittavan asiantuntemuksen vuoksi syytä keskittää yhteen hallinto-oikeuteen, minkä vuoksi tietosuojavaltuutetun tulisi lainkohdan mukaan saattaa asia Helsingin hallinto-oikeuden käsiteltäväksi. Momentin sääntely ei perustuisi suoraan rikosasioiden tietosuojadirektiiviin, vaan unionin tuomioistuimen oikeuskäytäntöön ja erityisesti ennakkoratkaisuun asiassa Schrems (C-362/14).

58 §.Muutoksenhaku. Pykälässä säädettäisiin muutoksenhausta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 53 artiklan 1 ja 3 kohta, joilla on tarkoitus turvata henkilön oikeus tehokkaisiin oikeussuojakeinoihin kansallista valvontaviranomaista eli tietosuojavaltuutettua vastaan.

Pykälän 1 momentissa säädettäisiin valitusoikeudesta tietosuojavaltuutetun päätökseen. Lainkohdan mukaan tietosuojavaltuutetun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Momentti vastaisi sisällöllisesti henkilötietolain 45 §:n 1 momenttia. Valtuutetun tekemän päätöksen valituskelpoisuus määräytyisi hallintolainkäyttölain nojalla.

Pykälän 2 momentin mukaan hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Säännös vastaisi henkilötietolain 45 §:n 2 momenttia. Momentin toisessa virkkeessä säädettäisiin siitä, että myös tietosuojavaltuutetulla on oikeus hakea muutosta hallinto-oikeuden tekemään päätökseen. Valtuutetun muutoksenhakuoikeus on tarpeellinen erityisesti oikeuskäytännön yhtenäisyyden varmistamiseksi, ottaen huomioon myös valtuutetun jäsenyys Euroopan tietosuojaneuvostossa.

Pykälän 3 momentin mukaan tietosuojavaltuutetun päätöksessä voitaisiin määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistettaisiin se, että tietosuojavaltuutetulla on mahdollisuus puuttua tehokkaasti erityisesti sellaiseen lainvastaiseen henkilötietojen käsittelyyn, joka voi muodostaa riskin rekisteröidyn oikeuksien kannalta. Nykyisinkin henkilötietolain 45 §:n 3 momentin mukaan tietosuojalautakunnan päätöksessä voidaan määrätä ehdotettua säännöstä vastaavasti velvollisuudesta noudattaa päätöstä muutoksenhausta huolimatta.

10 luku Erinäiset säännökset

59 §.Vahingonkorvaus. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta korvata henkilötietojen lainvastaisesta käsittelystä rekisteröidylle tai muulle henkilölle aiheutunut taloudellinen ja muu vahinko. Rikosasioiden tietosuojadirektiivin 56 artikla velvoittaa jäsenvaltiot säätämään siitä, että jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, on hänellä oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.

Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. Nykytilaa vastaavasti korvausvastuu koskisi siten myös muulle henkilölle kuin rekisteröidylle aiheutuneen vahingon korvaamista. Korvausvastuu olisi lainkohdan mukaisesti aina rekisterinpitäjällä.

Ehdotetuissa säännöksissä on säilytetty nykyiseen henkilötietolain 47 §:ään sisältyvä rekisterinpitäjän tuottamuksesta riippumaton vahingonkorvausvastuu. Pykälän perusteella olisi korvattava nykytilan mukaisesti esimerkiksi sellainen taloudellinen vahinko, joka rekisteröidylle on aiheutunut virheellisen tiedon käytöstä tai lainvastaisesta tietojen luovuttamisesta. Vastuu koskisi myös kaikesta muusta laittomasta henkilötietojen käsittelystä aiheutuvaa taloudellista ja muuta vahinkoa. Näin ollen vastuu kattaisi myös henkilölle laittomasta henkilötietojen käsittelystä aiheutuneen kärsimyksen.

Pykälän 2 momentti olisi informatiivinen ja ilmaisisi sen, että muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa.

60 §.Rangaistussäännökset. Pykälään ehdotetaan otettavan viittaussäännökset rikoslain säännöksiin, jotka voivat tulla kyseeseen lain rikkomisten johdosta määrättävinä seuraamuksina, joista säätämistä edellytetään rikosasioiden tietosuojadirektiivin 57 artiklassa.

Pykälä sisältäisi viittaussäännöksen rikoslain 38 luvun 9 §:ään, jossa säädettäisiin vastaisuudessa tietosuojarikoksesta. Uutta tietosuojarikosta koskevaa rangaistussäännöstä, jolla kumottaisiin nykyinen henkilörekisteririkosta koskeva rangaistussäännös, ehdotetaan hallituksen esityksessä tietosuojalaiksi.

Pykälässä viitattaisiin myös henkilötietolain 48 §:ää vastaavalla tavalla rikoslain 38 luvun 3, 4, 8 ja 8 a §:ään, jossa säädetään rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta sekä tietomurrosta ja törkeästä tietomurrosta. Rangaistus 61 §:ssä säädettäväksi ehdotetun vaitiolovelvollisuuden rikkomisesta tuomittaisiin rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

61 §.Vaitiolovelvollisuus. Pykälässä säädettäisiin vaitiolovelvollisuudesta henkilölle, joka on osallistunut henkilötietojen käsittelyyn. Henkilötietojen käsittelyyn osallistunut henkilö ei saisi oikeudettomasti ilmaista sivulliselle näin tietoonsa saamiaan henkilötietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Tällainen henkilötietojen käsittelyyn osallistuva henkilö voisi olla muun muassa rekisterinpitäjän tai toimivaltaisen viranomaisen palveluksessa oleva henkilö, tietosuojavastaava tai henkilötietoja rekisterinpitäjän lukuun käsittelevä henkilö.

Sisällöllisesti vastaavankaltainen vaitiolovelvollisuussäännös sisältyy nykyisen henkilötietolain 33 §:ään, jonka mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa henkilötietolain vastaisesti sivulliselle ilmaista näin saamiaan tietoja. Vastaava pykälä sisältyy myös ehdotettuun tietosuojalakiin.

11 luku Voimaantulo- ja siirtymäsäännökset

62 §.Voimaantulo. Pykälä sisältää tavanomaisen voimaantulosäännöksen. Rikosasioiden tietosuojadirektiivin 63 artiklan 1 kohdan mukaan jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Jäsenvaltioiden on myös sovellettava näitä säännöksiä mainitusta päivästä lukien.

63 §.Siirtymäsäännökset. Pykälän 1 momentissa säädetään siirtymäsäännöksestä, jonka mukaan ennen 6 päivänä toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät voidaan saattaa ehdotetun 19 §:n mukaisiksi 6 päivään toukokuuta 2023 mennessä.

Siirtymäsäännös perustuu rikosasioiden tietosuojadirektiivin 63 artiklan 2 kohtaan. Siirtymäsäännöksellä ei ole vaikutusta 6 päivänä toukokuuta 2016 jälkeen luotuihin automatisoituihin käsittelyjärjestelmiin, jotka on kaikilta osin saatettava ehdotetun lain mukaisiksi 6 toukokuuta 2018 mennessä.

1.2 Rikosrekisterilaki

1 §. Pykälän 1 momentin sanamuotoa ehdotetaan täsmennettävän siten, että siinä todettaisiin nimenomaisesti Oikeusrekisterikeskuksen olevan rekisterinpitäjä rikosrekisterin osalta. Oikeusrekisterikeskukseen kohdistuisivat siten rikosrekisterin osalta ehdotetussa yleislaissa rekisterinpitäjälle säädettävät velvollisuudet. Voimassa olevassa rikosrekisterilaissa säädetään Oikeusrekisterikeskuksen pitävän yllä rikosrekisteriä siten kuin siinä laissa säädetään.

6 §. Rikosrekisterilain 6 §:n 8 momentista ehdotetaan ensinnäkin poistettavan säännökset rekisteröidyn tarkastusoikeudesta. Asiasta säädettäisiin vastaisuudessa ehdotetussa yleislaissa. Momentissa nykyisin olevaa sääntelyä oikeudesta saada oikeushenkilöä koskeva ote rikosrekisteristä tarkistettaisiin siten, että sen sanamuodosta kävisi selkeämmin ilmi, ettei asiassa ole kyse rekisteröidyn tarkastusoikeudesta. Ehdotettu muutos on luonteeltaan tekninen.

1.3 Laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä

4 §.Suhde muihin lakeihin ja kansainvälisiin velvoitteisiin. Pykälän 3 momenttia ehdotetaan muutettavan siten, että kumottavan henkilötietolain sijasta siinä viitattaisiin tässä esityksessä ehdotettuun yleislakiin (1. lakiehdotus).

8 §.Säilytysrekisterin käyttötarkoitus. Pykälän ensimmäisen virkkeen sanamuotoa tarkistettaisiin niin, että siitä ilmenisi selkeämmin Oikeusrekisterikeskuksen rooli säilytysrekisterin rekisterinpitäjänä. Muutoin pykälä ehdotetaan säilytettävän ennallaan.

13 §.Tarkastusoikeus. Pykälän tarkastusoikeutta koskeva sääntely ehdotetaan korvattavaksi informatiivisella säännöksellä, jonka mukaan henkilön oikeudesta tarkastaa häntä koskevat rekisteritiedot säädetään erikseen.

1.4 Laki oikeushallinnon valtakunnallisesta tietojärjestelmästä

2 §.Suhde muuhun lainsäädäntöön. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että kumottavan henkilötietolain sijasta siinä viitattaisiin yleiseen tietosuoja-asetukseen, tietosuojalakiin sekä tässä esityksessä säädettäväksi ehdotettuun yleislakiin (1. lakiehdotus).

7 §. Lain 7 §:n 1 momentin ja 3 momentin 3 kohdan ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. Momentit jäisivät muutoin ennalleen.

10 §.Tietojärjestelmään talletettavat henkilötiedot. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että kumottavan henkilötietolain arkaluonteisten tietojen määritelmään viittaamisen sijasta siinä viitattaisiin yleisen tietosuoja-asetuksen 9 artiklan ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 11 §:ssä säädettäväksi ehdotettuun erityisten henkilötietoryhmien määritelmään.

18 §.Tietojen poistaminen. Pykälän 2 momentti ehdotetaan kumottavaksi. Momentissa säädetään nykyisin raportointi-, tilasto- ja arkistojärjestelmään talletettujen tietojen poistamisesta sen mukaan kuin henkilötietolaissa säädetään. Henkilötietolaki on tarkoitus kumota, ja koska näistä asioista säädettäisiin vastaisuudessa henkilötietojen käsittelyä koskevissa yleislaeissa, voidaan momentti kokonaisuudessaan kumota.

19 §.Tarkastusoikeuden toteuttaminen ja tietojen korjaaminen. Pykälän sääntely tarkastusoikeuden toteuttamisesta ja tietojen korjaamisesta korvattaisiin informatiivisella säännöksellä, jonka mukaan rekisteröidyn tarkastusoikeudesta ja oikeudesta saada itseään koskevat tiedot oikaistua tai täydennettyä säädetään erikseen.

1.5 Laki sakon täytäntöönpanosta

46 §.Sakkorekisterin käyttötarkoitus ja rekisterin tietojen käsittely. Pykälän 1 momentin ruotsinkielistä sanamuotoa ehdotetaan tarkistettavaksi siten, että termin ”registeransvarig” sijasta käytettäisiin termiä ”personuppgiftsansvarig”. Pykälän 1 ja 2 momentti jäisivät muilta osin ennalleen.

Pykälän 3 momenttia ehdotetaan tarkistettavaksi siten, että sen nykyinen informatiivinen viittaus kumottavaan henkilötietolakiin korvattaisiin informatiivisella viittauksella yleiseen tietosuoja-asetukseen, henkilötietolakiin ja tässä esityksessä säädettäväksi ehdotettuun yleislakiin.

48 §.Rekisterinpitäjän tiedonsaantioikeus. Pykälän ruotsinkielistä sanamuotoa ehdotetaan tarkistettavaksi siten, että termin ”registeransvarig” sijasta käytettäisiin termiä ”personuppgiftsansvarig”. Samalla pykälän viittaus väestön keskusrekisteriin muutettaisiin asiaa koskevan voimassa olevan lainsäädännön mukaisesti viittaukseksi väestötietojärjestelmään.

49 §.Vastuu sakkorekisteriin talletetuista tiedoista. Pykälän sääntely rekisterinpitäjän vahingonkorvaus- ja muusta vastuusta ehdotetaan kumottavaksi, koska vastaisuudessa näistä seikoista säädettäisiin soveltuvassa yleislainsäädännössä.

50 §.Sakkorekisterin tietojen salassapito ja luovuttaminen. Pykälän 1 momentin ruotsinkielistä sanamuotoa ehdotetaan tarkistettavaksi siten, että termin ”registeransvarig” sijasta käytettäisiin termiä ”personuppgiftsansvarig”. Momentti jäisi muutoin ennalleen.

1.6 Laki henkilötietojen käsittelystä Rikosseuraamuslaitoksessa

1 §.Lain soveltamisala. Pykälän 1 momentin viittaussäännös henkilötietolakiin ehdotetaan muutettavaksi viittaukseksi yleiseen tietosuoja-asetukseen, tietosuojalakiin sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavaan lakiin.

30 §.Tietojen käsittelystä ilmoittaminen. Pykälän henkilötietolakiin kohdistuva viittaussäännös ehdotetaan muutettavaksi viittaukseksi yleiseen tietosuoja-asetukseen ja tietosuojalakiin.

31 §.Tarkastusoikeuden rajoitukset. Pykälän 1 momentin viittaus henkilötietolakiin ehdotetaan muutettavaksi uuden henkilötietolainsäädännön mukaiseksi.

33 §.Virheelliseksi todetun tiedon säilyttäminen. Pykälän 1 momenttiin sisältyvä viittaus henkilötietolakiin ehdotetaan muutettavaksi viittaukseksi uuteen henkilötietolainsäädäntöön.

37 §.Rangaistussäännökset. Pykälän 2 momentin ensimmäisessä virkkeessä viitataan nykyisin rikoslain henkilörekisteririkosta ja henkilörekisteriin kohdistuvaa tietomurtoa koskeviin säännöksiin. Tietosuojalakia koskevassa hallituksen esityksessä ehdotetaan henkilörekisteririkos korvattavaksi tietosuojarikos-nimikkeisellä rangaistussäännöksellä. Tämä käsitemuutos tehtäisiin myös puheena olevaan 2 momenttiin. Mainitun momentin viimeisen virkkeen mukaan rangaistus henkilörekisteririkkomuksesta tuomitaan henkilötietolain 48 §:n 2 momentin mukaan. Tietosuojalakiin ei ehdoteta otettavaksi säännöksiä tietosuojarikkomuksesta, joten kyseinen viittaussäännös poistettaisiin.

Lisäksi lain 11 §:n, 24 §:n 2 momentin, 28 §:n 3 momentin, 32 §:n ja 34 §:n 3 momentin ruotsinkielistä sanamuotoa ehdotetaan tarkistettavaksi siten, että termin ”registeransvarig” sijasta käytettäisiin termiä ”personuppgiftsansvarig”. Mainitut lainkohdat jäisivät muilta osin ennalleen.

2 Voimaantulo

Rikosasioiden tietosuojadirektiivin 63 artiklan 1 kohdan mukaan jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018, mistä lähtien jäsenvaltioiden on myös sovellettava näitä säännöksiä. Tämän johdosta lakien ehdotetaan tulevan voimaan 6 päivänä toukokuuta 2018, tai mahdollisimman pian sen jälkeen.

Ennen 6 päivänä toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on kuitenkin mahdollista saattaa ehdotetun 19 §:n mukaisiksi 6 päivään toukokuuta 2023 mennessä. Ehdotettu siirtymäsäännös perustuu rikosasioiden tietosuojadirektiivin 63 artiklan 2 kohtaan. Direktiivin 63 artiklan 3 kohdassa säädetysti jäsenvaltio voi poikkeuksellisissa olosuhteissa, jos tietojärjestelmän saattaminen direktiivin 19 artiklassa säädetyn lokitusvelvollisuuden mukaiseksi aiheuttaisi muutoin vakavia vaikeuksia kyseisen tietojärjestelmän toiminnalle, pidentää siirtymäaikaa tältä osin enintään 6 päivä toukokuuta 2026 asti. Tarvetta direktiivissä mahdollistetun lisäjouston käyttöönottamiselle on arvioitava tarvittaessa lähempänä tässä esityksessä ehdotetun siirtymäajan määräaikaa.

3 Suhde perustuslakiin ja säätämisjärjestys
3.1 Henkilötietojen suoja

Esityksessä ehdotettu sääntely on merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely konkretisoi soveltamisalallaan näitä perustuslain säännöksiä ja turvaa tältä osin perustuslain 22 §:ssä edellytetyllä tavalla perus- ja ihmisoikeuksien toteutumista.

Ehdotettu sääntely on merkityksellistä myös esimerkiksi EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. Artiklan mukaan henkilötietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.

Ehdotuksella toimeenpantaisiin kansallisesti EU:n rikosasioiden tietosuojadirektiivi. Perustuslakivaliokunta katsoi direktiiviehdotuksesta antamassaan lausunnossa, että ehdotuksen aineellinen sisältö noudattelee ja konkretisoi varsin hyvin EU:n perusoikeuskirjan 8 artiklan määräyksiä henkilötietojen suojasta. Edelleen perustuslakivaliokunta katsoi, ettei ehdotus ollut ongelmallinen myöskään perustuslain 10 §:n 1 momentin ja sitä tarkentavan valiokunnan käytännön näkökulmasta (PeVL 12/2012 vp).

Direktiivi ei sen 1 artiklan 3 kohtaan otettujen säännösten mukaan estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksien ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä. Tässä esityksessä ehdotettuun yleislakiin onkin otettu eräitä rekisteröidyn oikeuksia direktiivissä edellytettyä paremmin toteuttavia säännösehdotuksia koskien muun muassa henkilötunnuksen käsittelyä sekä yleisesti saataville asetettavaan tietosuojaselosteeseen otettavia tietoja.

Perustuslakivaliokunta on arvioidessaan henkilötietojen suojaa koskevaa sääntelyä katsonut, että tällaista sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Pykälän 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (mm. PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp).

Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 2/2018 vp, PeVL 31/2017 vp, PeVL 28/2016 vp, PeVL 13/2016 vp). Ehdotetun yleislain (1. lakiehdotus) kannalta on olennaista, ettei perustuslakivaliokunnan käsityksen mukaan ole estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää kansalliseen oikeuteen sisältyvällä yleislailla (mm. PeVL 2/2018 vp, PeVL 1/2018 vp, PeVL 31/2017 vp, PeVL 5/2017 vp).

Rikosasioiden direktiivin 8 artiklan 2 kohdassa edellytetään, että jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Direktiivin johdantokappaleessa 33 täsmennetään, että viittauksella jäsenvaltion lainsäädäntöön ei tarkoiteta pelkästään kansanedustuslaitoksen hyväksymää säädöstä, sanotun kuitenkaan rajoittamatta asianomaisen jäsenvaltion perustuslaista seuraavien vaatimusten soveltamista.

Ehdotettua yleislakia sovellettaisiin rikosasian yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Sitä sovellettaisiin myös Puolustusvoimien, Rajavartiolaitoksen ja poliisin kansallisen turvallisuuden ylläpitämisen yhteydessä suorittamaan henkilötietojen käsittelyyn. Ehdotettua yleislakia on tarkoitus täydentää eri hallinnonalojen erityislainsäädännöllä, jossa tarvittavilta osin säädettäisiin tarkemmin esimerkiksi rekisteröitävistä henkilötiedoista, niiden käyttötarkoituksista, henkilötietojen luovuttamisesta ja tietojen säilytysajoista. Sovellettavaksi tulevaa lainsäädäntöä onkin tarkasteltava kokonaisuutena, mistä johtuen asiaa koskevat esitykset on pyritty valmistelemaan mahdollisimman yhtäaikaisesti.

Ehdotettuun yleislakiin otettaisiin säännökset henkilötietojen käsittelyn yleisistä edellytyksistä, kuten laillisuusvaatimuksesta, käyttötarkoitussidonnaisuudesta, tarpeellisuusvaatimuksesta, virheettömyysvaatimuksesta, eräiden henkilötietojen toisistaan erottamisesta ja henkilötunnuksen käsittelystä. Henkilötietojen käsittelyn yleisenä edellytyksenä on, että se on tarpeen toimivaltaisen viranomaisen ehdotetun lain soveltamisalalla tapahtuvan tehtävän suorittamiseksi, ja että tehtävästä säädetään joko kotoperäisessä tai EU:n lainsäädännössä.

Lakiin ehdotetaan otettavaksi myös säännökset erityisiä henkilötietoja (ns. arkaluonteiset tiedot) koskevan käsittelyn edellytyksistä. Perustuslakivaliokunta on tulkintakäytännössään painottanut tällaisten henkilötietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä esimerkiksi arkaluonteisina tietoina pidettävien biometristen tunnisteiden rekisteröinti merkitsee erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (PeVL 1/2018 vp, PeVL 13/2017 vp, s. 5, PeVL 29/2016 vp, s. 5). Valiokunta on kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 1/2018 vp, PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5). Ehdotetussa yleislaissa säädettäisiinkin, että arkaluonteisia henkilötietoja saa käsitellä vain tietyin laissa säädettävin edellytyksin ja vain, jos niiden käsitteleminen on välttämätöntä. Arkaluonteisten tietojen käsitteleminen edellyttäisi myös, että rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu.

Ehdotettuun yleislakiin otettaisiin myös säännökset rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, kuten velvollisuudesta säilyttää lokitiedot automaattisessa tietojenkäsittelyjärjestelmässä suoritetusta henkilötietojen keräämisestä, muuttamisesta ja kyselystä. Rekisterinpitäjän olisi ennen henkilötietojen käsittelyn aloittamista arvioitava suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojaan sekä eräin edellytyksin kuultava tietosuojavaltuutettua aiotusta käsittelystä.

Ehdotettuun yleislakiin otettaisiin säännökset myös rekisteröidyn tarkastusoikeudesta ja oikeudesta saada henkilötiedot oikaistua tai poistettua sekä säännökset rekisteröidyn edellä mainittujen oikeuksien rajoittamisesta. Rekisteröidyllä olisi oikeus tehdä toimenpidepyyntö ehdotettua yleislakia valvovalle tietosuojavaltuutetulle, jos rekisteröity katsoo häneen liittyvässä käsittelyssä rikotun ehdotettua lakia. Tietosuojavaltuutetulla olisi mahdollisuus esimerkiksi antaa rekisterinpitäjälle huomautus taikka määrätä henkilötietojen oikaisemisesta tai rajoittamisesta, ja se voisi tarvittaessa tehostaa oikeudellisesti velvoittavaa päätöstään uhkasakolla.

Lakiin otettaisiin myös yksityiskohtaiset tietoturvallisuutta koskevat säännökset sekä säännökset vaatimuksesta nimetä tietosuojavastaava.

Laissa säädettäisiin myös niistä yksityiskohtaisista edellytyksistä, joiden vallitessa henkilötietoja saa siirtää kolmansiin maihin tai kansainvälisille järjestöille. Perustuslakivaliokunta on pitänyt henkilötietojen luovuttamista merkittävänä sääntelykohteena henkilötietojen suojan kannalta. Perustuslakivaliokunta on pitänyt mahdollisena henkilötietojen luovuttamista kolmansiin maihin, kiinnittäen huomiota erityisesti henkilötietojen suojan tasoon kyseisessä kolmannessa maassa, henkilötietojen luovuttamisperusteen hyväksyttävyyteen sekä tietojen luovutusmahdollisuuden asianmukaiseen rajaamiseen (mm. PeVL 21/2017 vp, PeVL 13/2017 vp, PeVL 20/2016 vp), joskin se on eräissä sääntely-yhteyksissä suhtautunut lähtökohtaisesti torjuvasti henkilötietojen luovuttamiseen kolmansiin maihin (PeVL 28/2016 vp, PeVL 21/2012 vp). Valiokunta piti Euroopan matkustajatieto- ja lupajärjestelmäehdotusta käsitellessään valtiosääntöisesti mahdollisena tietojen luovuttamista kolmansille maille kolmansien maiden kansalaisten palauttamiseen liittyen tai poikkeuksellisissa hätätapauksissa, kun tarkoituksena on torjua terrorismia tai muuta vakavaa rikollisuutta (PeVL 21/2017 vp). Valiokunta on eräissä lausunnoissaan korostanut sitä, että ulkomaille luovuttamisen edellytyksenä tulee olla, että tietojen luovuttaminen on ”välttämätöntä” jonkin tarkoituksen kannalta, jos luovutettavia tietosisältöjä ei ole lueteltu tyhjentävästi (mm. PeVL 51/2002 vp, PeVL 14/2002 vp).

Ehdotetun yleislain (1. lakiehdotus) 7 luvussa säädettäisiin henkilötietojen siirrosta kolmansiin maihin ja kansainvälisille järjestöille. Siirron kohteena olevan maan osalta tulisi lähtökohtaisesti olla olemassa komission tekemä päätös siitä, että tietosuojan taso kyseisessä maassa on riittävä. Rikosasioiden tietosuojadirektiivin 36 artiklassa säädetään niistä seikoista, jotka komission tulee asiaa arvioidessaan ottaa huomioon. Näihin seikkoihin sisältyvät muun muassa oikeusvaltioperiaate, tehokkaat hallinnolliset ja oikeudelliset muutoksenhakukeinot, tietosuojasääntöjen noudattamisen riippumaton viranomaisvalvonta sekä ne asiaa koskevat kansainväliset sopimukset, joiden osapuolena valtio on. Jos komissio ei ole tehnyt päätöstä tietosuojan tason riittävyydestä kyseisen valtion osalta, olisi siirto ehdotetun yleislain mukaan mahdollinen myös, jos henkilötietojen suoja on turvattu kahdenvälisellä sopimuksella tai muutoin. Henkilötietoja saisi ehdotuksen mukaan poikkeuksellisesti siirtää myös, jos siirto on esimerkiksi välttämätön luonnollisen henkilön elintärkeiden etujen turvaamiseksi tai jonkin maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi. Ehdotettu sääntely perustuu rikosasioiden tietosuojadirektiivin V luvun lainsäädäntötoimeksiantoihin.

3.2 Julkisuuslainsäädännön ja ehdotetun tietosuojalainsäädännön suhde

Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Perustuslakivaliokunta on pitänyt tärkeänä henkilötietojen suojan sovittamista yhteen virallisten asiakirjojen julkisuuden kanssa (mm. PeVL 60/2017 vp, PeVL 15/2017 vp, PeVL 12/2012 vp, PeVL 22/2008 vp). Ehdotettuun yleislakiin (1. lakiehdotus) otettaisiin viittaussäännös viranomaisten toiminnan julkisuutta koskevaan lainsäädäntöön. Tällä esityksellä ei ole tarkoitus muuttaa julkisuuslainsäädännön ja henkilötietojen suojaa koskevan lainsäädännön keskinäissuhdetta nykyisestä.

3.3 Kotirauhan suoja

Säädettäväksi ehdotetun yleislain 48 §:ssä on säännös tietosuojavaltuutetun mahdollisuudesta tehdä tarkastuksia ehdotetun lain noudattamisen valvomiseksi. Tarkastuksen saisi toimittaa pysyväisluonteiseen asumiseen käytettävissä tiloissa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena rikoslaissa säädetty rangaistus.

Jokaisen kotirauha on perustuslain 10 §:n 1 momentin mukaan turvattu. Lailla voidaan perustuslain 10 §:n 3 momentin nojalla säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Sääntelyn oikeasuhtaisuuden näkökulmasta perustuslakivaliokunnan lähtökohtana on ollut, ettei kotirauhan suojaan tule puuttua enimmillään sakolla rangaistavien, moitittavuudeltaan vähäisten rikkomusten selvittämiseksi (mm. PeVL 2/2017 vp, PeVL 40/2002 vp). Tarkastusta koskevat säännösehdotukset on perustuslakivaliokunnan edellyttämällä tavalla sidottu välttämättömyysedellytykseen sekä perusteltuun ja yksilöityyn epäilyyn rikoslaissa rangaistavaksi säädetystä menettelystä, minkä lisäksi tarkastus voi käytännössä tulla kyseeseen vain sellaisten rikoslaissa rangaistavaksi säädettyjen tekojen selvittämiseksi, joihin viitataan ehdotetun yleislain 60 §:ssä.

Tarkastustoiminnassa on noudatettava hallintolain 39 §:n säännöksiä tarkastuksista. Sääntely täyttää tältäkin osin perustuslakivaliokunnan käytännössä asetetut vaatimukset (PeVL 44/2016 vp, PeVL 11/2013 vp).

Ehdotetun 50 §:n 2 momentin mukaan tietosuojavaltuutettu voisi käyttää tarkastuksen yhteydessä apunaan ulkopuolista asiantuntijaa. Perustuslain 124 §:n mukaan merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan antaa vain viranomaisille. Merkittävänä julkisen vallan käyttämisenä on pidettävä esimerkiksi itsenäiseen harkintaan perustuvaa oikeutta käyttää voimakeinoja tai puuttua muuten merkittävällä tavalla yksilön perusoikeuksiin (HE 1/1998 vp, s. 179; PeVL 28/2001 vp). Perustuslakivaliokunta on käytännössään katsonut, että kotirauhan piiriin kohdistuvat tarkastusvaltuudet merkitsevät oikeutta puuttua merkittävällä tavalla perustuslaissa jokaiselle turvattuun kotirauhan suojaan eikä tällaista valtuutta voida näin ollen antaa yksityiselle tavallisella lailla (ks. PeVL 40/2002 vp ja PeVL 46/2001 vp). Estettä ei kuitenkaan ole sille, että säädetään viranomaiskoneiston ulkopuolelta nimetyn henkilön oikeudesta avustaa valvovaa viranomaista kotirauhan piiriin ulottuvien toimenpiteiden suorittamisessa (esim. PeVL 44/2016 vp ja PeVL 30/2010 vp). Ehdotetussa sääntelyssä tarkoitetulla ulkopuolisella asiantuntijalla ei olisi itsenäistä oikeutta toimittaa tarkastusta, vaan asiantuntija toimisi aina tietosuojavaltuutettua avustavassa tehtävässä.

3.4 Lain noudattamisen valvonta ja oikeussuojakeinot

Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi.

Tietosuojavaltuutettu valvoisi ehdotetun lain noudattamista. Tietosuojavaltuutettu olisi toiminnassaan itsenäinen ja riippumaton. Valtuutettu käsittelisi rekisteröityjen tekemiä toimenpidepyyntöjä ja voisi antaa rekisterinpitäjää tai henkilötietojen käsittelijää sitovia päätöksiä, joita se voi tarvittaessa tehostaa uhkasakolla. Tietosuojavaltuutetun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään.

Ehdotetussa yleislaissa säädettäisiin oikeudesta saada korvausta sellaisesta vahingosta, joka on aiheutunut rekisteröidylle tai muulle henkilölle lainvastaisesta henkilötietojen käsittelystä. Rekisteröidyllä olisi oikeus saada korvausta rekisterinpitäjältä siitä taloudellisesta ja muusta vahingosta, joka on aiheutunut hänelle ehdotetun lain vastaisesta henkilötietojen käsittelystä. Kyse olisi rekisterinpitäjän kannalta tuottamuksesta riippumattomasta ns. ankarasta vahingonkorvausvastuusta.

Valtuutettu ei kuitenkaan ehdotetun lain soveltamisalalla valvoisi tuomioistuinten, valtioneuvoston oikeuskanslerin tai eduskunnan oikeusasiamiehen toimintaa näiden valtiosääntöisestä asemasta johtuen. Oikeuskansleri ja oikeusasiamies valvoisivat tietosuojavaltuutetun toimintaa osana laillisuusvalvontatehtäviään. Ne valvoisivat myös tuomioistuinten niiden lainkäyttötehtävien yhteydessä suorittamaa henkilötietojen käsittelyä, vaikka tuomioistuinten toiminnan valvomisen ei ehdoteta kuuluvan tietosuojavaltuutetun toimivaltaan.

3.5 Johtopäätös

Esitykseen sisältyvät lakiehdotukset voidaan hallituksen mielestä käsitellä tavallisen lain säätämisjärjestyksessä. Esityksessä ehdotettu sääntely on kaiken kaikkiaan valtiosääntöoikeudellisesti merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta, ja sääntelyllä on liittymäkohtia myös muihin perusoikeuksiin. Hallituksen käsityksen mukaan esitys olisi näistä syistä perusteltua saattaa eduskunnan perustuslakivaliokunnan käsiteltäväksi.

Lakiehdotukset

1.

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Soveltamisala

Tätä lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on:

1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta;

2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta;

3) rikosasian käsittelemisestä tuomioistuimessa;

4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;

5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä.

Sen lisäksi, mitä 1 momentissa säädetään, tätä lakia sovelletaan:

1) Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, kun tietoja käsitellään puolustusvoimista annetun lain (551/2007) 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien hoitamiseksi;

2) poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain (872/2011) 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen;

3) Rajavartiolaitoksen suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa rajavartiolain (578/2005) 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.

Edellä 2 momentissa tarkoitettuun henkilötietojen käsittelyyn ei kuitenkaan sovelleta 10 §:n 2 momenttia henkilötietojen siirtämisestä Euroopan unionissa sijaitsevalle vastaanottajalle, 54 §:ää keskinäisestä avunannosta toisen EU:n jäsenvaltion kanssa eikä 7 lukua henkilötietojen siirrosta kolmansiin maihin ja kansainvälisille järjestöille.

Tätä lakia sovelletaan kuitenkin vain sellaiseen 1 ja 2 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa.

Tällä lailla pannaan täytäntöön luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi 2016/680/EU, jäljempänä rikosasioiden tietosuojadirektiivi.

2 §
Suhde muuhun lainsäädäntöön

Jos muussa laissa on tästä laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta.

Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) välittömästi tai välillisesti liittyviä tietoja;

2) käsittelyllä tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muuta toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin;

3) käsittelyn rajoittamisella tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

4) rekisterillä jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu;

5) toimivaltaisella viranomaisella viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen, selvittämisen tai syyteharkintaan saattamisen, syyteharkinnan tai muun rikoksesta syyttämiseen liittyvän toiminnan, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, samoin kuin Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa 1 §:n 2 momentissa tarkoitettuja tehtäviä;

6) rekisterinpitäjällä toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty;

7) henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

8) vastaanottajalla luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja;

9) henkilötietojen tietoturvaloukkauksella tietoturvallisuuden loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin;

10) asianmukaisilla suojatoimenpiteillä sellaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen käsittelyn lainmukaisuus, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin kohdistuvat riskit;

11) profiloinnilla henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön henkilökohtaisia ominaisuuksia;

12) geneettisillä tiedoilla henkilötietoja, jotka koskevat sellaisia luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta, ja jotka on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla tai muutoin;

13) biometrisillä tiedoilla luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

14) terveyttä koskevilla tiedoilla luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa;

15) kolmannella maalla muuta valtiota kuin Euroopan unionin (EU) jäsenvaltiota, Euroopan talousalueeseen kuuluvaa valtiota tai Sveitsiä;

16) kansainvälisellä järjestöllä sellaista järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, sekä muuta elintä, joka on perustettu kahden tai useamman valtion välisellä sopimuksella tai tällaisen sopimuksen perusteella.

Mitä tässä laissa säädetään toimivaltaisesta viranomaisesta, sovelletaan myös 1 momentin 5 kohdassa tarkoitettua tehtävää hoitavaan yksityiseen.

Mitä tässä laissa säädetään EU:n jäsenvaltiosta, sovelletaan myös Euroopan talousalueeseen kuuluviin valtioihin ja Sveitsiin.

2 luku

Henkilötietojen käsittelyä koskevat periaatteet

4 §
Lainmukaisuusvaatimus

Henkilötietoja saa käsitellä vain, jos se on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, 1 §:n 1 tai 2 momentin alaan kuuluvan tehtävän suorittamiseksi.

Henkilötietoja on käsiteltävä asianmukaisesti ja huolellisesti.

5 §
Käyttötarkoitussidonnaisuus

Rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla.

Edellä 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa.

Henkilötietoja saa käsitellä 1 §:n 1 tai 2 momentissa säädettyyn tarkoitukseen myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu.

6 §
Tarpeellisuusvaatimus

Käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä.

Henkilötiedot saa säilyttää muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan, kuin on tarpeen henkilötietojen käsittelyn tarkoituksen kannalta.

Henkilötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä.

7 §
Virheettömyysvaatimus

Käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä.

8 §
Eräiden henkilötietojen erottaminen toisistaan

Rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

Tosiseikkoihin perustuvien henkilötietojen erottamiseksi henkilökohtaisiin arvioihin perustuvista henkilötiedoista on toteutettava kaikki kohtuulliset toimenpiteet.

9 §
Siirrettävien tai saataville asetettavien henkilötietojen laadun varmentaminen

Toimivaltaisen viranomaisen on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä eikä aseteta saataville.

Kaikkiin henkilötietojen siirtoihin on mahdollisuuksien mukaan lisättävä sellaiset tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä, luotettavuutta ja ajantasaisuutta.

Jos ilmenee, että on siirretty virheellisiä henkilötietoja tai että henkilötietoja on siirretty lainvastaisesti, on asiasta viipymättä ilmoitettava vastaanottajalle. Vastaanottajan on asiasta tiedon saatuaan oikaistava tai poistettava henkilötiedot tai rajoitettava niiden käsittelyä.

10 §
Ilmoittamisvelvollisuus käsittelyn erityisistä edellytyksistä

Jos henkilötietojen käsittelyyn liittyy laissa säädettyjä erityisiä edellytyksiä, toimivaltaisen viranomaisen on henkilötietojen luovutuksen tai siirron yhteydessä ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä.

Kun toimivaltainen viranomainen siirtää henkilötietoja EU:ssa sijaitsevalle vastaanottajalle, se ei saa asettaa henkilötietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan kansallisesti samankaltaisiin tiedonsiirtoihin.

11 §
Erityisiä henkilötietoryhmiä koskeva käsittely

Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot sekä terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot.

Edellä 1 momentissa tarkoitettujen henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä, rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja jos:

1) käsittelystä säädetään laissa;

2) kyse on rikosasian käsittelystä syyttäjäntoimessa tai tuomioistuimessa;

3) rekisteröidyn tai toisen luonnollisen henkilön elintärkeän edun suojaaminen edellyttää sitä; tai

4) käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

Sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään, on kielletty.

12 §
Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä vain, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamiseksi; tai

3) 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

13 §
Automatisoidut yksittäispäätökset

Jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.

3 luku

Rekisterinpitäjä ja henkilötietojen käsittelijä

14 §
Rekisterinpitäjän vastuu

Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Sen on lisäksi kyettävä osoittamaan, että henkilötietoja on käsitelty 2 luvun mukaisesti.

Rekisterinpitäjän on toteutettava tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet. Toimenpiteiden toteuttamisessa on otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit.

15 §
Sisäänrakennettu ja oletusarvoinen tietosuoja

Rekisterinpitäjän tulee sekä henkilötietojen käsittelytapoja määrittäessään että henkilötietojen käsittelyn yhteydessä toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojelemisen varmistamiseksi. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset ratkaisut, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa.

Rekisterinpitäjän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja.

16 §
Yhteisrekisterinpitäjät

Jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, niiden on sovittava keskinäisestä vastuunjaostaan tämän lain mukaisten velvollisuuksien hoitamisessa, jollei vastuunjaosta ole säädetty laissa.

Edellä 1 momentissa tarkoitettujen rekisterinpitäjien on nimettävä keskuudestaan yhteyspisteenä toimiva rekisterinpitäjä, johon rekisteröity voi olla yhteydessä oikeuksiensa käyttöä koskevissa asioissa. Rekisteröity voi kuitenkin käyttää tämän lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään.

17 §
Henkilötietojen käsittelijä

Henkilötietoja rekisterinpitäjän lukuun käsittelevän on annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimenpiteistä, joilla se varmistaa, että henkilötietoja käsitellään tässä laissa säädettyjen vaatimusten mukaisesti.

Henkilötietojen käsittelijä tai sen palveluksessa oleva ei saa käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti, eikä siirtää henkilötietojen käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista lupaa.

Henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä on tehtävä kirjallinen sopimus tai annettava kirjallinen määräys, josta ilmenevät käsiteltävät henkilötiedot, käsittelyn kesto, luonne ja tarkoitus, käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Edellä tarkoitetussa kirjallisessa asiakirjassa on lisäksi määrättävä, että henkilötietojen käsittelijä:

1) toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti;

2) varmistaa, että henkilötietoja käsittelevät luonnolliset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä sitoo lakisääteinen salassapitovelvollisuus;

3) avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

4) rekisterinpitäjän valinnan mukaan poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos laissa toisin säädetään;

5) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän pykälän noudattamisen osoittamiseksi;

6) täyttää tässä pykälässä tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset.

18 §
Seloste käsittelytoimista

Rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot:

1) rekisterinpitäjän ja tarvittaessa yhteisrekisterinpitäjän sekä 38 §:ssä tarkoitetun tietosuojavastaavan nimi ja yhteystiedot;

2) henkilötietojen käsittelyn tarkoitukset ja oikeudellinen peruste;

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja käsiteltävistä henkilötietoryhmistä;

4) vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan;

5) kolmanteen maahan tai kansainväliselle järjestölle suoritettujen henkilötietojen siirtojen ryhmät;

6) mahdollisuuksien mukaan eri henkilötietoryhmien poistamisen suunnitellut määräajat;

7) mahdollinen profiloinnin käyttö;

8) mahdollisuuksien mukaan yleinen kuvaus tietojärjestelmistä ja niiden suojauksen periaatteista sekä yleinen kuvaus 31 §:ssä tarkoitetuista teknisistä ja organisatorisista turvatoimista.

Henkilötietojen käsittelijän on ylläpidettävä kaikesta rekisterinpitäjän lukuun suoritettavasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot:

1) henkilötietojen käsittelijän tai käsittelijöiden sekä tietosuojavastaavan nimi ja yhteystiedot;

2) kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, nimi ja yhteystiedot;

3) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;

4) jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle;

5) mahdollisuuksien mukaan yleinen kuvaus 31 §:ssä tarkoitetuista teknisistä ja organisatorisista suojatoimenpiteistä.

19 §
Lokitiedot

Rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys.

Lokitietoja saa käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.

20 §
Tietosuojaa koskeva vaikutustenarviointi

Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista arvioitava suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojaan.

Rekisterinpitäjän on tehtävä kirjallinen vaikutustenarviointi, jos suunniteltu henkilötietojen käsittely saattaa aiheuttaa merkittävän riskin luonnollisen henkilön oikeuksien toteutumisen kannalta. Vaikutustenarvioon on sisällytettävä yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin kohdistuvista riskeistä ja toimet niiden vähentämiseksi sekä toimet, joilla henkilötietojen suoja varmistetaan.

21 §
Tietosuojaviranomaisen ennakkokuuleminen

Rekisterinpitäjän tai henkilötietojen käsittelijän on kuultava tietosuojavaltuutettua ennen henkilötietojen käsittelyä, jos:

1) 20 §:n 2 momentissa tarkoitetun kirjallisen vaikutusarvioinnin mukaan suunnitelluista suojatoimenpiteistä huolimatta käsittely aiheuttaa merkittävän riskin rekisteröidyn oikeuksille; tai

2) tietojen käsittely erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käyttämisen johdosta aiheuttaa merkittävän riskin rekisteröityjen oikeuksien kannalta.

Rekisterinpitäjän on toimitettava tietosuojavaltuutetulle 20 §:n 2 momentissa tarkoitettu vaikutustenarviointi ja pyynnöstä muut sellaiset tiedot, joiden avulla tietosuojavaltuutettu voi arvioida henkilötietojen käsittelyn lainmukaisuutta.

Jos tietosuojavaltuutettu katsoo, että 1 momentissa tarkoitettu käsittely muodostuisi tämän lain vastaiseksi, tietosuojavaltuutetun tulee antaa kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle ohjausta käsittelyn saattamiseksi lainmukaiseksi. Määräaikaa voidaan jatkaa kuukaudella, jos suunnitellun käsittelyn monimutkaisuus sitä edellyttää. Tietosuojavaltuutetun on ilmoitettava rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta.

4 luku

Rekisteröidyn oikeudet

22 §
Tietosuojaseloste ja ilmoitusvelvollisuus

Rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, joka on asetettava julkisesti saataville ja jossa on ainakin seuraavat tiedot:

1) rekisterinpitäjän ja tietosuojavastaavan yhteystiedot sekä, jos rekisterinpitäjä katsoo sen tarpeelliseksi, tietosuojavastaavan nimi;

2) yhteisrekisterinpitäjien yhteyspisteenä toimivan rekisterinpitäjän nimi ja yhteystiedot sekä tieto siitä, että rekisteröity voi käyttää tämän lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään;

3) henkilötietojen käsittelyn tarkoitukset ja oikeusperuste;

4) henkilötietojen säilytysaika, tai jos sitä ei ole määritelty, säilytysajan määrittämiskriteerit;

5) mahdolliset henkilötietojen säännönmukaiset vastaanottajat tai vastaanottajaryhmät;

6) tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista;

7) tieto siitä, että rekisteröidyllä on oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle, ja valtuutetun yhteystiedot.

Rekisterinpitäjän on annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja muut tarpeelliset tiedot tässä luvussa säädettyjen rekisteröidyn oikeuksien käyttämiseksi, jos näiden tietojen antaminen on yksittäistapauksessa tarpeen mainittujen oikeuksien käyttämisen mahdollistamiseksi. Rekisterinpitäjä voi jättää tiedot antamatta kokonaan tai osittain, jos se on välttämätöntä 28 §:ssä mainituilla perusteilla.

23 §
Rekisteröidyn tarkastusoikeus

Jokaisella on oikeus saada rekisterinpitäjältä tieto siitä, käsitelläänkö häntä koskevia henkilötietoja. Jos kyseisiä tietoja käsitellään, rekisteröidyllä on oikeus saada rekisterinpitäjältä seuraavat tiedot:

1) käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot;

2) käsittelyn tarkoitukset ja oikeusperuste;

3) käsittelyn kohteena olevat henkilötietoryhmät;

4) vastaanottajat tai vastaanottajaryhmät, joille rekisteröidyn henkilötietoja on luovutettu;

5) henkilötietojen säilytysaika, tai jos sitä ei ole määritelty, säilytysajan määrittämiskriteerit;

6) rekisteröidyn oikeus vaatia rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista;

7) rekisteröidyn oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle ja valtuutetun yhteystiedot.

Se, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, voi esittää tätä tarkoittavan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona.

24 §
Tarkastusoikeuden rajoitukset

Rekisteröidyn tarkastusoikeutta voidaan kokonaan tai osittain lykätä tai rajoittaa tai se voidaan evätä siltä osin, kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla. Jos rekisteröidyn tarkastusoikeutta lykätään, rajoitetaan tai se evätään, rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava siitä rekisteröidylle kirjallisella todistuksella. Myös lykkäämisen, rajoittamisen ja epäämisen perustelut on ilmoitettava, paitsi jos niiden ilmoittaminen vaarantaisi epäämisen tai rajoittamisen tarkoituksen. Tarkastusoikeuden epäämisenä pidetään myös sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle.

Rekisterinpitäjän on ilmoitettava rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle tarkastusoikeuden lykkäämisen, rajoittamisen tai epäämisen johdosta sekä oikeudesta käyttää tarkastusoikeutta 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.

Rekisterinpitäjän on säilytettävä tieto niistä perusteista, joihin tarkastusoikeuden epääminen tai rajoittaminen perustuu.

25 §
Henkilötietojen oikaiseminen, poistaminen ja käsittelyn rajoittaminen

Rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto.

Rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä poistettava rekisteröityä koskevat henkilötiedot, jos niiden käsittely on vastoin 4 tai 5 §:n, 6 §:n 1 tai 2 momentin taikka 7 tai 11 §:n säännöksiä. Poistamisen sijasta rekisterinpitäjän on kuitenkin rajoitettava käsittelyä, jos:

1) rekisteröity kiistää tietojen paikkansapitävyyden eikä niiden paikkansapitävyyttä tai virheellisyyttä voida todentaa; tai

2) henkilötiedot on säilytettävä todistelua varten.

Jos käsittelyä on rajoitettu 2 momentin 1 kohdan nojalla, rekisterinpitäjän on ennen rajoituksen poistamista ilmoitettava siitä rekisteröidylle.

26 §
Rekisteröidyn vaatimuksen epääminen

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta, rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisella todistuksella kieltäytymisestä ja sen perusteista. Tiedot kieltäytymisen perusteista voidaan kokonaan tai osittain jättää antamatta siltä osin kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla.

Rekisterinpitäjän on ilmoitettava rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle 1 momentissa tarkoitetun kieltäytymisen johdosta sekä oikeudesta käyttää 25 §:ssä tarkoitettuja oikeuksia 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.

27 §
Rekisterinpitäjän velvollisuus ilmoittaa oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta

Rekisterinpitäjän on ilmoitettava virheellisten henkilötietojen oikaisemisesta sille viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin.

Jos henkilötietoja on oikaistu tai poistettu taikka niiden käsittelyä on rajoitettu 25 §:n nojalla, rekisterinpitäjän on ilmoitettava asiasta niille vastaanottajille, joille rekisterinpitäjä on luovuttanut kyseisiä tietoja. Vastaanottajan on oikaistava tai poistettava sillä olevat kyseiset henkilötiedot taikka rajoitettava niiden käsittelyä.

28 §
Rekisteröidyn oikeuksien rajoittaminen

Rekisteröidyn oikeuksia voidaan rajoittaa 22 §:n 2 momentissa, 24 §:n 1 momentissa, 26 §:n 1 momentissa ja 35 §:ssä tarkoitetulla tavalla, jos se rekisteröidyn oikeudet huomioon ottaen on oikeasuhtaista ja välttämätöntä:

1) rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi;

2) viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi;

3) yleisen turvallisuuden suojelemiseksi;

4) kansallisen turvallisuuden suojelemiseksi; tai

5) muiden henkilöiden oikeuksien suojelemiseksi.

29 §
Oikeuksien käyttäminen tietosuojavaltuutetun välityksellä

Rekisteröidyllä on oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos tämän tai muun lain nojalla rekisteröidyn tarkastusoikeutta on lykätty, rajoitettu tai evätty tai jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta.

Jos rekisteröity käyttää 1 momentissa tarkoitettua oikeuttaan, tietosuojavaltuutetun on kohtuullisen ajan kuluessa ilmoitettava rekisteröidylle toimenpiteistä, joihin se on ryhtynyt. Tietosuojavaltuutetun on myös ilmoitettava rekisteröidylle hänen oikeudestaan tehdä tietosuojavaltuutetulle 56 §:ssä tarkoitettu toimenpidepyyntö.

30 §
Rekisteröidyn oikeuksien käytön edistäminen ja toimenpiteiden maksuttomuus

Rekisterinpitäjän on edistettävä rekisteröityjen mahdollisuuksia käyttää tässä luvussa tarkoitettuja oikeuksia. Kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot on annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Rekisteröidylle tämän lain mukaisesti annettavat ilmoitukset ja tiedot sekä rekisteröidyn tämän lain mukaisesti tekemien pyyntöjen käsitteleminen ovat rekisteröidylle maksuttomia. Jos rekisteröidyn pyynnöt ovat niiden toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, rekisterinpitäjä voi kuitenkin periä toimenpiteestä maksun. Maksun määrän perusteista säädetään valtion maksuperustelaissa (150/1992).

Jos rekisterinpitäjä perii maksun 2 momentin nojalla, sen on tarvittaessa osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

5 luku

Tietoturvallisuus

31 §
Henkilötietojen suojaaminen

Rekisterinpitäjän ja henkilötietojen käsittelijän tulee teknisin ja organisatorisin toimenpitein huolehtia henkilötietojen riittävästä suojaamisesta ottaen huomioon käsittelystä rekisteröidyn oikeuksille aiheutuva riski. Henkilötiedot on erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Toimenpiteitä suunniteltaessa ja toteutettaessa tulee ottaa huomioon:

1) uusin tekniikka;

2) toimenpiteiden toteuttamiskustannukset;

3) käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset;

4) luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.

32 §
Henkilötietojen suojaaminen automatisoidussa käsittelyssä

Sen lisäksi, mitä 31 §:ssä säädetään, automatisoidun käsittelyn osalta rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava riskien arvioinnin pohjalta toimenpiteet, joiden tarkoituksena on:

1) evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin;

2) estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen ja poistaminen;

3) estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen;

4) estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla;

5) varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin;

6) varmistaa, että on mahdollista tarkastaa ja todeta, mille tahoille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirtolaitteiden avulla;

7) varmistaa, että jälkikäteen on mahdollista tarkistaa ja todeta, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka niitä on syöttänyt;

8) estää henkilötietojen oikeudeton lukeminen, jäljentäminen, muuttaminen ja poistaminen tietoja siirrettäessä tai tietovälineitä kuljetettaessa;

9) varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen;

10) varmistaa, että järjestelmä toimii, havaituista toimintojen virheistä ilmoitetaan ja järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja henkilötietoja.

33 §
Henkilötietojen käsittelijän velvollisuus ilmoittaa tietoturvaloukkauksesta

Henkilötietojen käsittelijän on henkilötietojen tietoturvaloukkauksesta tiedon saatuaan ilman aiheetonta viivytystä ilmoitettava loukkauksesta rekisterinpitäjälle.

34 §
Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle

Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle, paitsi jos loukkauksesta ei todennäköisesti aiheudu vaaraa rekisteröidyn oikeuksille.

Rekisterinpitäjän on tehtävä 1 momentissa tarkoitettu ilmoitus ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa saatuaan tietoturvaloukkauksen tietoonsa. Jos ilmoitus tietosuojavaltuutetulle tehdään tätä myöhemmin, ilmoituksessa on kerrottava viivytyksen syyt.

Rekisterinpitäjän on säilytettävä tiedot tietoturvaloukkauksista ja niihin liittyvistä seikoista, niiden vaikutuksista ja toteutetuista korjaavista toimenpiteistä.

35 §
Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta rekisteröidylle

Rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle, jos tietoturvaloukkaus todennäköisesti aiheuttaa merkittävän riskin rekisteröidyn oikeuksille. Ilmoittamisvelvollisuutta ei kuitenkaan ole, jos:

1) rekisterinpitäjä on toteuttanut loukkauksen kohteena oleviin henkilötietoihin niiden väärinkäyttöä tehokkaasti estäviä asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä; tai

2) rekisterinpitäjä on loukkauksen jälkeen ryhtynyt toimenpiteisiin sen varmistamiseksi, ettei loukkaus todennäköisesti aiheuta riskiä rekisteröidyn oikeuksien toteutumiselle.

Rekisterinpitäjä voi rekisteröidylle tehtävän ilmoituksen sijasta tiedottaa tietoturvaloukkauksesta julkisella ilmoituksella, jos ilmoituksen tekeminen rekisteröidyille vaatisi kohtuutonta vaivaa.

Rekisteröidylle ilmoittamista voidaan lykätä tai rajoittaa tai se voidaan jättää tekemättä, jos 28 §:n mukaiset edellytykset täyttyvät.

36 §
Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle

Rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta sellaiselle Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle, jonka toimittamiin tai jolle toimitettuihin tietoihin loukkaus kohdistuu.

37 §
Tietoturvaloukkauksesta annettavan ilmoituksen sisältö

Edellä 34 §:ssä tarkoitetussa ilmoituksessa tietosuojavaltuutetulle ja 36 §:ssä tarkoitetussa ilmoituksessa Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle on kuvattava henkilötietojen tietoturvaloukkaus. Kuvaukseen on mahdollisuuksien mukaan sisällytettävä tiedot asianomaisten rekisteröityjen ryhmistä, rekisteröityjen arvioidusta lukumäärästä, henkilötietotyyppien ryhmistä ja henkilötietojen arvioidusta lukumäärästä.

Edellä 35 §:ssä tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava tietoturvaloukkauksen luonne.

Edellä 1 ja 2 momentissa tarkoitetuista ilmoituksista on lisäksi käytävä ilmi:

1) tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;

2) tietoturvaloukkauksen todennäköiset seuraukset;

3) toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet sen haittavaikutusten lieventämiseksi.

Tietosuojavaltuutetulle ja Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle annettavat tiedot voidaan toimittaa vaiheittain siltä osin kuin niitä ei ole mahdollista toimittaa samanaikaisesti.

6 luku

Tietosuojavastaava

38 §
Tietosuojavastaavan nimeäminen

Rekisterinpitäjän on nimettävä tietosuojavastaava. Tietosuojavastaavalla on oltava riittävä asiantuntemus henkilötietojen käsittelyä koskevasta lainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa 40 §:ssä tarkoitetut tehtävät. Yksi tietosuojavastaava voidaan nimetä useaa toimivaltaista viranomaista varten, jos se on perusteltua viranomaisten organisaatiorakenne ja koko huomioon ottaen.

Rekisterinpitäjän on ilmoitettava tietosuojavastaavan yhteystiedot tietosuojavaltuutetulle.

39 §
Tietosuojavastaavan asema

Rekisterinpitäjän on otettava tietosuojavastaava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn.

Rekisterinpitäjän on turvattava tietosuojavastaavan toimintaedellytykset tälle 40 §:ssä säädettyjen tehtävien hoitamiseksi sekä annettava pääsy henkilötietoihin ja käsittelytoimiin.

40 §
Tietosuojavastaavan tehtävät

Tietosuojavastaavan tehtävänä on:

1) neuvoa rekisterinpitäjää ja henkilötietoja sen palveluksessa käsitteleviä henkilötietojen suojaa koskevissa asioissa;

2) valvoa henkilötietojen käsittelyä koskevan sääntelyn ja rekisterinpitäjän henkilötietojen käsittelyyn liittyvien menettelytapojen noudattamista;

3) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa, että se toteutetaan 20 §:ssä säädetyn mukaisesti;

4) tehdä yhteistyötä tietosuojavaltuutetun kanssa ja toimia sen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä.

Tietosuojavastaavan tehtävät eivät ulotu tuomioistuinten lainkäyttötoimintaan eikä valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen laillisuusvalvontaan.

7 luku

Henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille

41 §
Henkilötietojen siirtoja koskevat yleiset periaatteet

Toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos tässä laissa tarkoitettuun henkilötietojen käsittelyyn sovellettavia muita säännöksiä noudatetaan ja:

1) siirto on tarpeen 1 §:n 1 momentissa mainittua tarkoitusta varten;

2) henkilötiedot siirretään kolmannen maan rekisterinpitäjälle tai kansainväliselle järjestölle, joka on toimivaltainen käsittelemään henkilötietoja 1 §:n 1 momentissa mainitussa tarkoituksessa; ja

3) tietosuojan riittävyydestä on rikosasioiden tietosuojadirektiivin 36 artiklassa tarkoitettu Euroopan komission (komissio) voimassa oleva päätös tai jollei tällaista päätöstä ole tehty, asianmukaiset suojatoimet ovat olemassa tämän lain 42 §:n mukaisesti, tai jos 43 §:ssä säädetyt erityistilanteita koskevat poikkeukset tulevat sovellettaviksi.

Jos henkilötiedot on saatu toisesta EU:n jäsenvaltiosta, siirron edellytyksenä on lisäksi, että kyseinen jäsenvaltio on antanut siirrolle luvan. Siirto, joka tehdään ilman tällaista lupaa, on sallittu vain, jos se on välttämätön jonkin valtion yleiseen turvallisuuteen tai EU:n jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä lupaa voida saada ajoissa. Siirrosta on ilmoitettava viipymättä ennakkoluvan antamisesta vastaavalle viranomaiselle.

Jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen voi antaa luvan edelleen siirtämiselle noudattaen 1 ja 2 momenttia ja ottaen asianmukaisesti huomioon rikoksen vakavuuden, henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen sekä muut merkittävät seikat.

42 §
Siirto asianmukaisten suojatoimien perusteella

Jos komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos muut 41 §:ssä säädetyt edellytykset täyttyvät, ja:

1) oikeudellisesti sitovassa asiakirjassa määrätään asianmukaisista henkilötietojen suojatoimista; tai

2) rekisterinpitäjä kaikkia henkilötietojen siirtämiseen liittyviä seikkoja arvioituaan katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet.

Rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle 1 momentin 2 kohdan perusteella tehtyjen siirtojen sarjat. Siirroista on säilytettävä seuraavat tiedot ja ne on asetettava pyynnöstä tietosuojavaltuutetun saataville:

1) siirtojen päivämäärät ja ajankohdat;

2) vastaanottava toimivaltainen viranomainen;

3) siirtojen perusteet;

4) ja siirretyt henkilötiedot.

43 §
Erityistilanteita koskevat poikkeukset

Jos komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä eivätkä 42 §:ssä säädetyt tiedonsiirron edellytykset täyty, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle vain, jos siirto on välttämätön:

1) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi;

2) rekisteröidyn oikeutettujen ja merkitykseltään painavien etujen turvaamiseksi;

3) EU:n jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi; tai

4) yksittäistapauksessa 1 §:n 1 momentissa mainittuja tarkoituksia varten tai niihin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi.

Henkilötietoja ei kuitenkaan saa siirtää 1 momentin 4 kohdan nojalla, jos asianomaisen rekisteröidyn oikeuksia on pidettävä siirtoa puoltavaa yleistä etua painavampana.

Siirroista, jotka perustuvat 1 momenttiin, on säilytettävä seuraavat tiedot ja ne on asetettava pyynnöstä tietosuojavaltuutetun saataville;

1) siirron päivämäärä ja ajankohta;

2) vastaanottava toimivaltainen viranomainen;

3) siirron peruste;

4) siirretyt henkilötiedot.

44 §
Henkilötietojen siirto kolmansiin maihin yksityisille ja muille vastaanottajille

Sen estämättä, mitä 41 §:n 1 momentin 2 kohdassa säädetään, toimivaltainen viranomainen voi yksittäisessä tapauksessa siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille yksityisille ja muille vastaanottajille, jos tämän lain muita säännöksiä noudatetaan ja:

1) siirto on välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi hoitaa sille säädetyt 1 §:n 1 momentissa tarkoitetut tehtävänsä;

2) tietoja siirtävä toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn oikeudet eivät syrjäytä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen;

3) tietoja siirtävä toimivaltainen viranomainen katsoo, että siirto kolmannen maan toimivaltaiselle viranomaiselle olisi asian kiireellisyydestä tai muusta syystä tehoton tai epätarkoituksenmukainen;

4) kolmannen maan viranomaiselle, joka on toimivaltainen 1 §:n 1 momentin mukaisissa tarkoituksissa, ilmoitetaan siirrosta ilman aiheetonta viivästystä, jollei se olisi tehotonta tai epätarkoituksenmukaista;

5) tietoja siirtävä toimivaltainen viranomainen ilmoittaa vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa käsitellä henkilötietoja, että käsittelyn on oltava välttämätöntä näitä tarkoituksia varten, ja että tietoja ei saa käsitellä muita tarkoituksia varten; ja

6) siirto ei ole vastoin Suomen kansainvälisiä sopimusvelvoitteita.

Tiedot siirtävän toimivaltaisen viranomaisen on säilytettävä tiedot 1 momentin nojalla tehtävästä siirrosta ja ilmoitettava siirrosta tietosuojavaltuutetulle.

8 luku

Valvontaviranomainen

45 §
Tietosuojavaltuutettu

Tämän lain noudattamista valvoo tietosuojalain ( / ) 8 §:ssä tarkoitettu tietosuojavaltuutettu.

Tämän lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen.

Tietosuojavaltuutettu on itsenäinen ja riippumaton hoitaessaan tässä laissa säädettyjä tehtäviään.

46 §
Tehtävät

Tietosuojavaltuutetun tehtäviin kuuluu tämän lain noudattamisen valvomisen lisäksi:

1) edistää yleistä tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä, lainsäädännöstä, suojatoimista ja oikeuksista;

2) edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta niille tämän lain mukaan kuuluvista velvollisuuksista;

3) antaa pyynnöstä rekisteröidyille tietoja heille tämän lain nojalla kuuluvien oikeuksien käyttämisestä;

4) antaa neuvontaa 21 §:ssä tarkoitetussa ennakkokuulemisessa;

5) tehdä selvityksiä tämän lain noudattamisesta;

6) tarkistaa 29 §:n mukaisesti käsittelyn lainmukaisuus;

7) käsitellä rekisteröidyn ja 56 §:ssä tarkoitetun yhteisön tekemiä toimenpidepyyntöjä;

8) seurata henkilötietojen suojaan vaikuttavaa teknologista ja muuta kehitystä.

Tietosuojavaltuutetun tehtävänä on lisäksi osallistua luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 68 artiklassa tarkoitetun tietosuojaneuvoston toimintaan. Tietosuojavaltuutettu ei kuitenkaan vie tietosuojaneuvoston käsiteltäväksi asiaa, jossa on kyse henkilötietojen käsittelystä 1 §:n 2 momentissa tarkoitetun toiminnan yhteydessä.

Tietosuojavaltuutetun toimenpiteet ovat rekisteröidylle ja tietosuojavastaavalle maksuttomia. Jos rekisteröidyn tai tietosuojavastaavan pyynnöt kuitenkin ovat pyyntöjen toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, valtuutettu voi periä toimenpiteistä maksun tai jättää pyynnön kohteena olevan asian tutkimatta. Maksun määrän perusteista säädetään valtion maksuperustelaissa.

Jos tietosuojavaltuutettu 3 momentissa tarkoitetulla tavalla perii maksun tai jättää asian tutkimatta, sen on tarvittaessa osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

47 §
Tiedonsaantioikeus

Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot.

Tietosuojavaltuutetulla on oikeus saada rekisterinpitäjältä ja henkilötietojen käsittelijältä selvitys seikoista, jotka ovat tarpeen valtuutetun tehtävien hoitamiseksi.

48 §
Oikeus tehdä tarkastuksia

Tietosuojavaltuutettu voi tehdä tarkastuksen rekisterinpitäjän tai henkilötietojen käsittelijän tiloissa, jos tarkastus on tarpeen tämän lain noudattamisen valvomiseksi.

Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena rikoslaissa (39/1889) säädetty rangaistus.

Tarkastuksessa noudatetaan, mitä hallintolain (434/2003) 39 §:ssä säädetään.

49 §
Virka-apu

Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.

50 §
Asiantuntijoiden käyttö

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja.

Tietosuojavaltuutettu voi 48 §:ssä tarkoitetun tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tietosuojavaltuutettu voi nimetä asiantuntijaksi suostumuksensa tehtävään antaneen henkilön, jolla on tietosuojavaltuutetun tehtävän hoitamisen kannalta merkityksellistä asiantuntemusta.

Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).

51 §
Toimenpiteet

Tietosuojavaltuutettu voi tämän lain soveltamisalaan kuuluvassa asiassa:

1) antaa rekisterinpitäjälle ohjausta 21 §:ssä tarkoitetussa ennakkokuulemismenettelyssä;

2) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän lain väitetystä rikkomisesta;

3) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet voivat olla tämän lain vastaisia;

4) antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos tämä on käsitellyt henkilötietoja lainvastaisesti;

5) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn tähän lakiin perustuvien oikeuksien käyttöä;

6) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;

7) asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen käsittelylle;

8) määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle;

9) määrätä henkilötietojen oikaisemisesta, poistamisesta ja käsittelyn rajoittamisesta sekä niihin liittyvistä muista toimenpiteistä 25 §:n perusteella;

10) määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet tämän lain säännösten mukaisiksi, tarvittaessa määrätyllä tavalla ja kohtuullisen määräajan kuluessa.

52 §
Uhkasakko

Tietosuojavaltuutettu voi asettaa 51 §:n 5—10 kohdassa tarkoitetun päätöksen ja 47 §:ään perustuvaan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).

Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi, jos henkilöä on syytä epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa.

53 §
Tietosuojavaltuutetun kuuleminen

Tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja 1 §:ssä tarkoitettuun henkilötietojen käsittelyyn liittyvistä kysymyksistä.

Tietosuojavaltuutetulle on varattava tilaisuus tulla kuulluksi valmisteltaessa 1 §:ssä tarkoitettua henkilötietojen käsittelyä koskevia lainsäädännöllisiä tai hallinnollisia uudistuksia.

54 §
Keskinäinen avunanto

Tietosuojavaltuutetun on salassapitosäännösten estämättä annettava maksutta toisen EU:n jäsenvaltion vastaavalle valvontaviranomaiselle tämän valvontatehtävässään välttämättä tarvitsemat henkilötiedot sekä muut tarpeelliset tiedot, ja tarvittaessa muutoinkin avustettava tätä valvonnan toteuttamisessa. Tietosuojavaltuutetun on ryhdyttävä muihinkin tarvittaviin toimenpiteisiin tehokkaan keskinäisen yhteistyön varmistamiseksi.

Tietosuojavaltuutetun on vastattava 1 momentissa tarkoitetun valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta.

9 luku

Oikeusturva

55 §
Lain rikkomista koskeva ilmoitusmenettely

Toimivaltaisella viranomaisella on oltava menettelytavat, joita noudattamalla sille voidaan luottamuksellisesti ilmoittaa tämän lain epäillystä rikkomisesta. Ilmoitusmenettelyn tulee sisältää asianmukaiset ja riittävät toimenpiteet, joilla järjestetään ilmoitusten asianmukainen käsittely. Ilmoitusmenettelyn tulee lisäksi sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja.

Toimivaltaisen viranomaisen on säilytettävä 1 momentissa tarkoitettua ilmoitusta koskevat tarpeelliset tiedot. Tiedot on poistettava viiden vuoden kuluttua ilmoituksen tekemisestä, jollei tietojen edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi. Tietojen edelleen säilyttämisen tarpeellisuus on tutkittava viimeistään kolmen vuoden kuluttua edellisestä tarkistamisesta. Tarkistamisesta on tehtävä merkintä.

Kun luonnollinen henkilö on tehnyt toimivaltaiselle viranomaiselle 1 momentissa tarkoitetun ilmoituksen, ilmoittajan henkilöllisyys on pidettävä salassa, jos henkilöllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida aiheutuvan haittaa ilmoittajalle.

56 §
Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi (toimenpidepyyntö), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä tai muuta henkilötietojen käsittelyä koskevaa lakia. Asian voi rekisteröidyn suostumuksella saattaa tietosuojavaltuutetun käsiteltäväksi myös yleishyödyllinen henkilötietojen suojaa edistävä yhteisö.

57 §
Toimenpidepyynnön käsitteleminen

Tietosuojavaltuutettu tutkii toimenpidepyynnössä tarkoitetun asian, jollei asia ole vireillä tuomioistuimessa. Valtuutetun on kohtuullisen ajan kuluessa ilmoitettava asian vireillepanijalle asian käsittelemisen etenemisestä, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen.

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko 41 §:n 1 momentin 3 kohdassa tarkoitettu komission päätös tietosuojan tason riittävyydestä rikosasioiden tietosuojadirektiivin mukainen, valtuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi.

58 §
Muutoksenhaku

Tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen.

Tietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

10 luku

Erinäiset säännökset

59 §
Vahingonkorvaus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa.

60 §
Rangaistussäännökset

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta säädetään mainitun lain 3 §:ssä ja törkeästä viestintäsalaisuuden loukkauksesta 4 §:ssä sekä tietomurrosta 8 §:ssä ja törkeästä tietomurrosta 8 a §:ssä. Rangaistus tämän lain 61 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

61 §
Vaitiolovelvollisuus

Henkilötietojen käsittelyyn osallistunut henkilö ei saa oikeudettomasti ilmaista sivulliselle näin tietoonsa saamiaan henkilötietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.

11 luku

Voimaantulo ja siirtymäsäännökset

62 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .

63 §
Siirtymäsäännökset

Ennen 6 päivää toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on saatettava 19 §:n mukaisiksi viimeistään 6 päivänä toukokuuta 2023.


2.

Laki rikosrekisterilain 1 ja 6 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan rikosrekisterilain (770/1993) 1 §:n 1 momentti ja 6 §:n 8 momentti, sellaisina kuin ne ovat, 1 §:n 1 momentti laissa 1093/1999 ja 6 §:n 8 momentti laissa 215/2012, seuraavasti:

1 §

Rikosrekisterin rekisterinpitäjä on Oikeusrekisterikeskus.


6 §

Sillä jolla on oikeus kirjoittaa oikeushenkilön nimi, on oikeus pyynnöstä saada 5 §:n 1 momentissa tarkoitettu oikeushenkilöä koskeva ote rikosrekisteristä.


Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 4 §:n 3 momentti sekä 8 ja 13 § seuraavasti:

4 §
Suhde muihin lakeihin ja kansainvälisiin velvoitteisiin

Jollei tässä tai muussa laissa toisin säädetä, henkilötietojen salassapitoon, luovuttamiseen ja suojaamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ).

8 §
Säilytysrekisterin käyttötarkoitus

Säilytysrekisterin rekisterinpitäjä on Oikeusrekisterikeskus. Säilytysrekisteriä pidetään tietojen säilyttämistä varten niiden edelleen luovuttamiseksi toisiin jäsenvaltioihin ja Suomen viranomaisille sekä rikosrekisteriotteelle merkitsemiseksi siten kuin tässä laissa säädetään.

13 §
Tarkastusoikeus

Henkilön oikeudesta tarkastaa häntä koskevat rekisteritiedot säädetään erikseen.


Tämä laki tulee voimaan päivänä kuuta 20 .


4.

Laki oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain (372/2010) 18 §:n 2 momentti sekä

muutetaan 2 §:n 1 momentti, 7 §:n 1 momentin ja 3 momentin 3 kohdan ruotsinkielinen sanamuoto, 10 §:n 2 momentti ja 19 § seuraavasti:

2 §
Suhde muuhun lainsäädäntöön

Sen lisäksi, mitä tässä laissa säädetään, tietojen luovuttamisesta oikeushallinnon valtakunnallisesta tietojärjestelmästä ja siihen talletettujen tietojen julkisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä henkilötietojen käsittelystä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tietosuojalaissa ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ).


10 §
Tietojärjestelmään talletettavat henkilötiedot

Asiaan osallisesta luonnollisesta henkilöstä saa ratkaisu- ja päätösilmoitusjärjestelmään tallettaa vain sellaisia tietosuoja-asetuksen 9 artiklassa ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 11 §:ssä tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, jotka on talletettava tuomioistuimen diaari- tai muuhun asiakirjarekisteriin tai jotka ilmenevät oikeushallinnon viranomaisen ratkaisusta ja jotka ovat tarpeellisia tuomion täytäntöön panemiseksi, merkinnän tekemiseksi viranomaisen rekisteriin tai muiden oikeushallinnon viranomaisten laissa säädettyjen tehtävien hoitamiseksi.

19 §
Tarkastusoikeuden toteuttaminen ja tietojen korjaaminen

Rekisteröidyn tarkastusoikeudesta ja oikeudesta saada itseään koskevat tiedot oikaistua tai täydennettyä säädetään erikseen.


Tämä laki tulee voimaan päivänä kuuta 20 .


5.

Laki sakon täytäntöönpanosta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan sakon täytäntöönpanosta annetun lain (672/2002) 49 § sekä

muutetaan 46 ja 48 § sekä 50 §:n 1 momentin ruotsinkielinen sanamuoto seuraavasti:

46 §
Sakkorekisterin käyttötarkoitus ja rekisterin tietojen käsittely

Oikeusrekisterikeskus (rekisterinpitäjä) ylläpitää sakkorekisteriä, jota pidetään ja käytetään tässä laissa säädetyssä järjestyksessä täytäntöön pantavien asioiden täytäntöönpanoa varten.

Sakkorekisterin tietojen käsittelyyn oikeutettuja ovat Oikeusrekisterikeskuksen virkamiehet siltä osin kuin se on tarpeen heidän virkatehtäviensä suorittamiseksi.

Sen lisäksi mitä tässä tai muussa laissa säädetään, oikeudesta saada tieto viranomaisen julkisista asiakirjoista sekä viranomaisen vaitiolovelvollisuudesta, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä muusta henkilötietojen käsittelystä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), tietosuojalaissa ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ).

48 §
Rekisterinpitäjän tiedonsaantioikeus

Rekisterinpitäjällä on sakkorekisterin ylläpitämiseksi ja lainmukaisten täytäntöönpanotehtävien hoitamista varten oikeus saada luonnollisen henkilön nimeä, henkilötunnusta, osoitetta ja kuolemaa koskevat ja muut vastaavat täytäntöönpanoa varten tarvittavat henkilön tavoittamiseen liittyvät tiedot väestötietojärjestelmästä ja oikeushenkilöä koskevat vastaavat tiedot asianomaisilta rekisteriviranomaisilta.


Tämä laki tulee voimaan päivänä kuuta 20 .


6.

Laki henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1069/2015) 1 §:n 1 momentti, 11 §:n, 24 §:n 2 momentin ja 28 §:n 3 momentin ruotsinkielinen sanamuoto, 30 ja 31 §, 32 §:n ruotsinkielinen sanamuoto, 33 §:n 1 momentti, 34 §:n 3 momentin ruotsinkielinen sanamuoto ja 37 §:n 2 momentti, sellaisena kuin niistä on 31 § osaksi laissa 17/2016, seuraavasti:

1 §
Lain soveltamisala

Tässä laissa säädetään rangaistusten täytäntöönpanon sekä muiden Rikosseuraamuslaitokselle kuuluvien tehtävien suorittamiseksi tarpeellisten henkilörekisterien pitämisestä ja muusta henkilötietojen käsittelystä. Jollei tässä laissa toisin säädetä, henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tietosuojalakia ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu lakia ( / ).


30 §
Tietojen käsittelystä ilmoittaminen

Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä sen mukaan kuin tietosuoja-asetuksessa ja tietosuojalaissa säädetään. Tiedonantovelvollisuudesta voidaan kuitenkin poiketa, jos se on välttämätöntä Rikosseuraamuslaitoksen yksikön järjestyksen ja turvallisuuden vuoksi.

31 §
Tarkastusoikeuden rajoitukset

Sen lisäksi, mitä tietosuoja-asetuksessa, tietosuojalaissa sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa säädetään, rekisteröidyn tarkastusoikeutta voidaan rajoittaa, jos tarkastusoikeuden toteuttamisesta voi todennäköisin syin seurata vakava uhka Rikosseuraamuslaitoksen yksikön järjestykselle ja turvallisuudelle taikka Rikosseuraamuslaitoksen henkilöstöön kuuluvan tai jonkun muun turvallisuudelle. Rekisteröidyllä ei ole tarkastusoikeutta turvallisuustietorekisterin tietoihin eikä valvonta- ja toimintarekisterin sisältämiin tämän lain 7 §:n 1 momentin 10 kohdassa tarkoitettuihin asianomistajan tietoihin.

33 §
Virheelliseksi todetun tiedon säilyttäminen

Sen estämättä, mitä tietosuoja-asetuksessa, tietosuojalaissa sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa säädetään rekisterissä olevan virheellisen tiedon korjaamisesta, virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Rikosseuraamuslaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa.


37 §
Rangaistussäännökset

Rangaistus tietosuojarikoksesta tuomitaan rikoslain 38 luvun 9 §:n mukaan sekä tietomurrosta ja törkeästä tietomurrosta rikoslain 38 luvun 8 ja 8 a §:n mukaan.


Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 5 päivänä huhtikuuta 2018

Pääministeri
Juha Sipilä

Oikeusministeri
Antti Häkkänen

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.