Valtiovarainministeriö

Samankaltaiset tiedostot
ID TI ETOS U OJAVALTU UTETU N TOI M ISTO

7 Poliisin henkilötietolaki 50

LAUSUNTO Dnro 5935/96/2018

LUONNOS HALLITUKSEN ESITYKSEKSI HENKILÖTIETOJEN KÄSITTELYSTÄ MAAHANMUUTTOHALLINNOSSA

Henkilötietojen käsittely Tullissa (HE 259/18 vp)

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

hallintovaliokunnalle.

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Kansallinen tietosuojalaki

Juha Lavapuro Lausunto

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

REKISTERISELOSTE Henkilötietolaki (523/99) 10

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 497/03/2014. Liikenne- ja viestintäministeriö

Tanja Jaatinen VN/3462/2018 VN/3462/2018-OM-5

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Esitysluonnos lähetettiin lausunnolle Lausuntoaika päättyi

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2025/03/12. Puolustusministeriö

Informaatiovelvoite ja tietosuojaperiaate

b VALT I OVARA I NMINISTERIÖ 1 (5) VM/2549/ /2017 Lausunto Sisäministeriö Viite: SM , , SMDno

Tanja Jaatinen VN/3642/2018 VN/3642/2018-OM-7

Hallintovaliokunnalle

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2407/03/2015 ' Opetus- ja kulttuuriministeriö

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

1. Arvionne lukuun 1 Johdanto

HE 160/2005 vp. Esityksessä ehdotetaan muutettavaksi pelastuslakia

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

LAUSUNTO OM 198/43/2015

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Tutkittavan informointi ja suostumus

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Sisäministeriö on pyytänyt oikeusministeriöltä kirjallista lausuntoa otsikkoasiassa. Oikeusministeriö

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Vaikutustenarviointi GDPR:n mukaan

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Juha Lavapuro Lausunto

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

Laki yksityisyyden suojasta työelämässä

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Tietosuojanäkökulma biopankkilainsäädäntöön

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Euroopan unionin neuvosto Bryssel, 12. heinäkuuta 2016 (OR. en)

PÄÄASIALLINEN SISÄLTÖ

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

TIETOSUOJAVALTUUTETUN TOIMISTO

Euroopan unionin neuvosto Bryssel, 22. syyskuuta 2016 (OR. en)

HE 112/1996 vp. Hallituksen esitys Eduskunnalle laiksi kiinteistörekisterilain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

Hallituksen esitys laiksi tulotietojärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 134/2017 vp)

Nimi Tampereen kaupunki, kiinteistötoimi. Aila Taura p Marjut Malo-Siltanen p ja Jaana Rimpi-Muhonen p.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Varustekorttirekisteri - Tietosuojaseloste

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

Hallituksen esitys. Finrail Oy. Lausunto Asia: LVM/2394/03/2017. Yleiset kommentit hallituksen esityksestä

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietosuojanäkökulma biopankkilainsäädäntöön

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tietosuojaseloste Espoon kaupunki

REKISTERISELOSTE Henkilötietolaki (523/99) 10

HE 259/2018 vp. Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa sekä eräiksi siihen liittyviksi laeiksi

LAUSUNTO TYÖRYHMÄN EHDOTUKSESTA HALLITUKSEN ESITYKSEKSI LAIKSI HENKILÖTIETOJEN KÄSITTELYSTÄ POLIISITOIMESSA YM.

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Eduskunnan perustuslakivaliokunnalle

Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp

Ehdotus NEUVOSTON DIREKTIIVI

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa sekä eräiden siihen liittyvien lakien muuttamisesta

HE 193/1996 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Transkriptio:

Dnro 3706/91/2018 1 (9) 3.7.2018 Valtiovarainministeriö valtiovarainministerio@vm.fi Lausuntopyyntö VM059:00/2016, VM/1089/03.01.00/2016 EHDOTUS LAIKSI HENKILÖTIETOJEN KÄSITTELYSTÄ TULLISSA Tietosuojavaltuutetun toimisto on tässä lausunnossa arvioinut eräitä henkilötietojen käsittelyn ja näkökulmasta merkittävimpiä kysymyksiä. Tietosuojavaltuutetun toimistolla ei ole resurssiensa puitteissa suorittaa kattavampaa yksityiskohtaista analyysia ehdotuksesta. 1. SÄÄNTELYTEKNIIKKA Nykyisin voimassa oleva Tullin henkilötietolaki on suhteellisen uusi laki ja siinä on toteutettu rekisteriperustaista sääntelyä. Esityksessä ehdotettu suurin muutos koskee sääntelytekniikan muutosta, jonka tarkoituksena on tehdä laista helpommin sovellettava. Voimassa olevissa säännöksissä säädetyistä rekistereistä ja yksityiskohtaisista luetteloista luopuminen kuitenkin edellyttää, että henkilötietojen rekisteröinnin tavoite ja henkilötietojen käsittelyn perusteet on selkeästi määritelty. Erityisesti on kiinnitettävä huomioita direktiivin vaatimukseen siitä, että tiettyjä henkilöryhmiä koskevat tiedot olisi tarvittaessa ja mahdollisuuksien mukaan erotettava toisistaan. Tietosuojadirektiivin osalta sääntelyssä olisi kiinnitettävä huomiota siihen, että direktiivissä säädettyä minimitasoa tietosuojalle ei saa heikentää. Tietosuojan tasoa saisi pelkästään tiukentaa. Käsittelytarkoituksiin perustuvissa säännöksissä on myös huomioitava perustuslakivaliokunnan tulkintakäytännöstä ilmenevä yksityiskohtaisuuden ja tarkkarajaisuuden vaatimus. Käsittelytarkoituksiin perustuvan sääntelyn mahdollisena riskinä voi olla se, että säännökset jättäisivät loppukäyttäjän kannalta epäselväksi sen, mihin tietojärjestelmän osiin tai rekistereihin henkilötietoja olisi talletettava. Uusi sääntely tulee edellyttämään rekisterinpitäjän antamaa ohjeistusta ja koulutusta. Sääntelyn tarkkarajaisuutta koskevan vaatimuksen näkökulmasta on kuitenkin huomattava, että ohjeistuksella ei saa täydentää rekisterien tietosisältöä, vaan tarkentaa, millä tavalla säännöksiä olisi tulkittava. Uusi sääntely asettaa uusia haasteita myös henkilötietojen käsittelyn valvonnalle. Käsittelytarkoituksiin perustuvaan sääntelyyn siirtyminen liittyy kiinteästi myös henkilötietojen luovuttamista, henkilötietojen poistoaikoja ja rekisteröidyn oikeuksia koskevien säännösten uudelleen arvioimiseen, jonka yhteydessä säännökset on linkitettävä käsittelytarkoituksiin riittävällä tarkkuudella. Tietosuojavaltuutetun toimisto PL 800, 00521 Helsinki puh. 029 566 6700 (vaihde) tietosuoja@om.fi www.tietosuoja.fi

2 (9) 2. SÄÄTÄMISEDELLYTYKSISTÄ 2.1. Euroopan ihmisoikeussopimus Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (ks. esim. Euroopan ihmisoikeustuomioistuimen tuomio asiassa Rotaru v. Romania 4.5.2000, tuomion kohdat 45 63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (ks. esim. S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 67, Leander v. Ruotsi, 26.3.1987, tuomion kohta 48). 2.2. Perustuslaki Perustuslakivaliokunta on vakiintuneessa lausuntokäytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Henkilötietojen käsittelyä koskevan sääntelyn lain tasolla tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista. 2.3. Direktiivi (EU) 2016/680 Seuraavat direktiivin (EU) 2016/680 (jäljempänä direktiivi) kohdat on liitetty lausuntoon, koska ne ovat erityisen merkityksellisiä tässä lausunnossa myöhemmin esille tuodun näkökulmasta. Direktiivin 4 artiklan mukaan jäsenvaltioiden on säädettävä muun muassa siitä, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteen sopimattomalla tavalla; (1.b). Henkilötiedot ovat asianmukaisia ja olennaisia eivätkä ne ole liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään (1.c). Henkilötiedot ovat täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä (1.d) Direktiivin 6 artiklan mukaan jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä erottaa tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat eri ryhmiin kuuluvia rekisteröityjä. Direktiivin 8 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi direktiivin 1 artiklan 1 kohdan tarkoitusta varten ja se perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset.

3 (9) Direktiivin 20 artikla sisältää määräykset sisäsään rakennetusta tietosuojasta, mm. tietojen minimoinnista. Direktiivin johdantokappaleen 26 mukaan varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keräämisen yhteydessä selvästi ja lainmukaisesti. Henkilötietojen olisi oltava asianmukaisia ja olennaisia käsittelyn tarkoituksiin nähden. Sen vuoksi olisi nimenomaisesti varmistettava, että henkilötietoja ei kerätä liikaa ja että niitä säilytetään ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. 2.4. Tullin toimivalta Silloin kun tulli puuttuu henkilön oikeuspiiriin, tulee toimivallan perustua aina nimenomaiseen säännökseen. Se, että tullilla on yhteiskunnallisestikin perusteltu motiivi menettelylleen ei sellaisenaan oikeuta tullin toimenpiteitä, vaan niille tulee löytyä toimivaltaperuste laista. Esityksen arvioinnin osalta on välttämätöntä huomioida se, että pelkästään henkilötietojen käsittelyä koskevalla säännöksellä ei voida säätää tullin toimivallasta. 3. PYKÄLÄKOHTAISET HUOMIOT 1. luku Yleiset säännökset Osaan Tullin henkilötietojen käsittelyyn sovellettaisiin yleissäädöksenä tietosuoja-asetusta sekä sitä täydentävää kansallista tieto-suojalakia (HE 9/2018 vp). Suurimpaan osaan lakiehdotuksen sääntelemästä henkilötietojen käsittelystä sovellettaisiin kuitenkin yleislakina henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavaa lakia (HE 31/2018 vp), jolla pannaan täytäntöön tietosuojadirektiivi. Ehdotettu Tullin henkilötietolaki olisi mainittuja yleissäädöksiä täydentävä erityislaki. Esityksessä ei kuitenkaan ole selkeästi tuotu esille mihin henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta ja mikä osa esityksestä kuuluu rikosasioiden tietosuojadirektiivin (EU) 2016/680 soveltamisalaan. Tätä tulisi jatkovalmistelussa täsmentää. 2. luku 4 Ehdotuksen 4 pykälään sisällytettyyn luetteloon ehdotetaan lisättäväksi uusina kohtina asiointikieli, edunvalvontaa, konkurssiin asettamista tai liiketoimintakieltoon määräämistä koskeva tieto ja tieto asevelvollisuuden suorittamisesta. Perustelujen mukaan tietojärjestelmien rakentamisen ja yhteiskäytön kannalta on perusteltua, että Tullilla on käytössään samat perustietokentät kuin poliisilla. Uudet perustiedot on jatkovalmistelussa perusteltava yksityiskohtaisesti Tullin tehtävien ja toimivallan näkökulmasta. Pelkästään se, että poliisille olisi vastaavanlaisia perustietokenttiä ei ole riittävä perustelu. 2 luku 5 Ehdotetun 2 luvun 5 pykälässä säädettäisiin henkilötietojen käsittelystä tutkintatehtävissä. Pykälän 3 momentti olisi uusi säännös, jonka mukaan Tulli voisi käsitellä henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä ehdotetun pykälän 1 momentin käyttötarkoituksen kannalta. Tietoja voitaisiin säilyttää kuusi kuukautta.

4 (9) Ehdotetussa säännöksessä olisi kyse Tullin tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Säännöksen yhtenä tavoitteena on selventää nykytilaa niiden tilanteiden osalta, joissa Tullin tehtävien suorittamisen yhteydessä saatuja henkilötietoja on käsiteltävä automaattisen tietojenkäsittelyn avulla niiden sisällön ja merkityksellisyyden arvioimiseksi. Momentin perusteella käsiteltävät tiedot voisivat olla myös julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä, peräisin olevaa kuvamateriaalia tai tekstiä, johon voi sisältyä suuriakin määriä tietoja henkilöistä, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä. Tietoja voitaisiin 3 momentin nojalla myös verrata Tullin omiin sekä yhteiskäyttöisiin tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö 5 ja 6 :ssä säädetyt kriteerit tietojen käsittelylle. Säännös mahdollistaisi voimassa olevasta laista poiketen henkilötietojen tallettamisen erilliseen henkilörekisteriin sen selvittämiseksi, täyttyvätkö ehdotuksen 5 ja 6 :ssä säädetyt edellytykset tietojen käsittelylle. Esitetty 3 momentti merkitsisi huomattavaa laajennusta tullin nykyiseen henkilötietojen käsittelyyn. Esityksen perustelujenkin mukaan rekisteriin tallentuisi väistämättä suuriakin määriä myös henkilötietoja, jotka olisivat Tullin tehtävien kannalta merkityksettömiä. Käytännössä ehdotettu säännös mahdollistaisi Tullille rajoittamattoman oikeuden rekisteröidä tietojärjestelmään suuria määriä henkilötietoja, ilman niiden käyttötarkoituksen, sisällön tai rekisteröimisen edellytysten määrittelemistä. Esitetty säännös on perusteiltaan kestämätön, koska Tullilla ei ole toimivaltaa käsitellä ja rekisteröidä henkilötietoja ehdotetulla tavalla. Toimivaltaa Tullin toimenpiteisiin ei voida luoda pelkästään henkilötietojen käsittelyä koskevalla säännöksellä (ks. kohta 2.4.). Esitetty säännös on Euroopan ihmisoikeustuomioistuimen oikeuskäytännöstä sekä perustuslakivaliokunnan vakiintuneesta lausuntokäytännöstä poikkeava ja direktiivin 4 artiklan (1b,1c ja 1 d), 6 artiklan, 8 artiklan 2 kohdan, 20 artiklan vastainen (ks. myös direktiivin johdantokappaleet 26 ja 31). 2 luku 7 Ehdotetun 2 luvun 7 pykälässä säädettäisiin henkilötietojen käsittelystä rikosten ennalta estämiseksi tai paljastamiseksi. Ehdotettu 7 olisi uusi suhteessa voimassa olevaan lakiin. Erotuksena 2 luvun 5 :ssä tarkoitettuun henkilötietojen käsittelyyn 7 :ssä ei olisi kyse tutkintatoimenpiteisiin, vaan rikosten ennalta estämistä ja paljastamista varten tapatuvasta henkilötietojen käsittelystä. Sillä korvattaisiin voimassa olevan lain tiedustelurekisteriä koskeva säännös. Perustelujen mukaan pykälän perusteella käsiteltäisiin henkilötietoja rikosanalyysiksi nimetyn toiminnan yhteydessä. Rikosanalyysillä tarkoitettaisiin suunnitelmallista ja järjestelmällistä tiedonhankintakeinoilla hankitun tai muusta tietolähteestä saadun tiedon käsittelyä rikosten tai rikosilmiöiden samankaltaisuuksien ja erilaisuuksien havaitsemiseksi tarkoituksena ennustaa ja estää rikoksia tulevaisuudessa.

5 (9) Pykälän 2 momentin 1 kohdassa ehdotetaan käytettäväksi käsittelykynnyksenä ilmaisua "voidaan olettaa syyllistyneen". Perustelujen mukaan tämä on tarpeen rikostiedustelussa ja joka ei ole vielä esitutkinnan käynnistämiskynnys, mutta jossa on saatu vihjeitä rikoksen jo tapahtuneen. Ilmaisulla "voidaan olettaa syyllistyvän" viitataan suunnitteilla ja tekeillä olevaan rikokseen, jonka estämiseksi rikostiedustelua tehdään. Momentissa tarkoitettaisiin henkilöitä, joiden osalta on yhteys oletettuun rikolliseen toimintaan, mutta kaikkien asiaan liittyvien henkilöiden rooli ei välttämättä ole selvä. Ehdotetun 2 momentin 2 kohdan mukaan lakiin ehdotetaan otettavaksi rikokseen osallisia ja rikosta edistäviä henkilöitä täydentävä säännös rikokseen liittyvistä henkilöistä. Pykälän 2 momentin 2 kohdassa säädettäisiin henkilöistä, jotka ovat toistuvasti yhteydessä 1 kohdassa tarkoitettuun henkilöön tai tavataan toistuvasti tämän seurassa, ja yhteydenpidolla tai tapaamisella oletetaan olevan yhteys tullirikokseen. Perustelujen mukaan rikokseen syyllistyvään henkilöön toistuvasti yhteydessä olevan henkilön suhteen merkitys tulisi jo arvioitavaksi silloin, kun rikosanalyysissa löydetään useampia kontakteja henkilöiden välillä, joista toinen on 1 kohdan mukainen henkilö ja toinen ei. Tällaisen suhteen olemassaololle voi olla luonnollinen selitys, esimerkiksi asiakassuhde. Kun 2 momentin 1 kohdan käsittelykynnys olisi edellä mainitulla tavalla matala mahdollistaisi 2 kohta vielä henkilötietojen käsittelyn sellaisten henkilöiden osalta, jotka ovat useamman kerran yhteydessä 1 kohdassa tarkoitettuun henkilöön. Henkilötietojen käsittelyn kynnys muodostuisi siten erityisen matalaksi ja johtaisi todennäköisesti laajamittaiseen tarpeettomien henkilötietojen käsittelyyn. Pykälän 4 momentissa säädettäisiin perustelujen mukaan rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta. Päätöksen voisi tehdä rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu Tullin toimintayksikkö. Päätös olisi tehtävä kirjallisesti tai muuten dokumentoidusti. Lähtökohtaisesti henkilötietojen käsittelystä päättää rekisterinpitäjä. Valtakunnallisen pysyvien analyysikantojen muodostamisesta päättäisi Tulli rekisterinpitäjänä. Perustelujen mukaan rikosanalyysiä tehdään kuitenkin niin monella tasolla ja eri tarkoituksiin, ettei päätösvaltaa ole mahdollista laissa täsmällisesti määrittää. Tiedustelumuistion muodossa, ilman rekisteriksi muodostumista, käsiteltävien henkilötietojen aloittamisesta ei voimassa olevassa laissa ole säädetty lainkaan. Esityksessä ei edellytettäisi edes kirjallista päätöstä, vaan muuten dokumentoitu päätös riittäisi. Ehdotuksessa ei käy ilmi mitä muutoin dokumentoimisella tarkoitetaan. Esitys ei sisällä ehdotetun 7 :n osalta mitään suojakeinoja käsittelyn aloittamisen osalta. Esityksessä ei käytännössä säädettäisi millä tavoin ja kuka päättäisi rikosanalyysin tekemisestä ja siihen käytettävistä tiedoista. Kokonaisuutena arvioiden ehdotettu 2 luvun 7 pykälän mukaan henkilötietojen tallentamiskynnys olisi matala ja säännös jättäisi runsaasti tulkinnanvaraa lain soveltajille. Väljästi ja tulkinnanvaraisesti kirjoitetusta säännösehdotuksesta perusteluineen ei voi saada selkeää käsitystä siitä, mitä tietoja ehdotetun säännöksen perusteella voitaisiin käsitellä ja millä edellytyksillä.

6 (9) Esityksestä voi saada käsityksen, että esitetyn säännöksen tarkoituksena olisi mahdollistaa myös muiden kuin tietojärjestelmissä jo olevien henkilötietojen käyttö ja siten hankkia viranomaisen tiedonsaantioikeuksien perusteella tietoja vain täsmentymättömiin rikosanalyysin tai rikostiedustelun käyttötarkoituksiin. Osa rikostiedustelutoiminnan tavoitteista ei kytkeydy suoraan havaittuihin rikoslain tunnusmerkistöjen mukaisiin yksittäisiin tekoihin, vaan rikollisuuteen astetta yleisemmin. Toimivallan käsitellä henkilötietoja rikostiedustelun käyttötarkoituksessa on perustuttava lakiin. Tulli ei voi omin toimin henkilötietojen käsittelyä koskevien säännösten tulkinnalla ryhtyä tekemään rikostiedustelutoimintaa, jos sen toimivalta ei ole selvä. Vastaisuudessakaan pelkästään henkilötietojen käsittelyä koskevalla säännöksellä ei voida säätää tullin toimivallasta. Rikostiedustelusta tulisikin säätää nimenomaisesti. Rikostiedustelun määrittely lainsäädännössä toimisi perustana myös laajemmalle juridiselle arvioinnille siitä, pitäisikö lainvalvontaviranomaisille antaa mahdollisuus hankkia tietoa myös puhtaasti tiedustelullisiin tarpeisiin. Kyse ei tällöin olisi tiedonhankinnasta yksilöidyn rikoksen tai rikoskokonaisuuden selvittämiseksi, estämiseksi tai paljastamiseksi. Rikostiedustelu on eräiltä osin verrattavissa siviilitiedusteluun, jonka osalta hallituksen esitys siviilitiedustelulainsäädännöksi annettiin eduskunnalle 25.1.2018. Tämän esityksen mukaan poliisilaissa säädettäisiin siviilitiedustelun tiedustelumenetelmistä ja siviilitiedustelun määritelmästä. Esityksen mukaan kyseessä olisi suojelupoliisille säädettävä uusi tehtävä, joka aiheuttaa tarpeen muuttaa myös lain 1 luvun 1 :n 1 momentissa säädettyjä poliisin tehtäviä sekä poliisin hallinnosta annetun lain 10 :ssä säädettyä suojelupoliisin tehtäväsäännöstä. Tietosuojavaltuutetun toimisto on 27.2.2018 tehnyt esityksen poliisin toimivaltaa koskevien säännösten tarkistamiseksi nimenomaan rikostiedustelutoimintaa koskevin osin. Tämä olisi otettava huomioon myös Tullin toimivaltuuksia arvioitaessa. Esityksen perustelut ovat esitetyn 7 :n osalta suppeat. Esityksessä jää epäselväksi se, missä määrin näillä muutoksilla on tarkoitus mahdollistaa nykyistä laajempi henkilötietojen käsittely. Ehdotettu sääntely jää yleisluonteiseksi, mikä vastaavasti mahdollistaa rekisteröitävien henkilötietojen sisällön ja laajuuden määrittelyn paljolti viranomaisen omin toimin. Perustuslakivaliokunta on pitänyt ongelmallisena sitä, jos säännöksen muotoilu jättää rekisteröitävien henkilötietojen sisällön viime kädessä paljolti viranomaisen omin toimin määriteltäväksi (PeVL 18/2012 vp). Ehdotettua säännöstä ei ole yksityiskohtaisesti arvioitu direktiivin artikloiden 4, 6, 8 ja 20 näkökulmasta. Esityksessä ei ole arvioitu ehdotetun sääntelyn vaikutuksia ja riskejä yksityisyyden suojalta direktiivin 27 artiklan tarkoittamalla tavalla. Ehdotettua säännöstä tulee myös arvioida tullin toimivallan näkökulmasta. Ehdotettu säännös vaatii siten kattavaa jatkovalmistelua. Ehdotetun säännöksen tehokas valvonta olisi käytännössä lähes ylivoimaista. Ehdotettua säännöstä ei esitetyssä muodossa voi pitää Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä ja perustuslakivaliokunnan tulkintakäytännössä edellytettynä tarkkarajaisena sääntelynä.

7 (9) 7 pykälän 6 momentissa ehdotetun merkityksellisyyden arvioinnin osalta tulee kysymykseen se mitä edellä on esitetty 2 luku 5 :n osalta. 2 luku 11 Ehdotetussa 2 luvun 11 pykälässä säädettäisiin teknisessä valvonnassa saatujen henkilötietojen käsittelystä. Pykälässä säädettäisiin Tullin oikeudesta käsitellä henkilötietoja, jotka on saatu tullilain 5 luvun 28 :ssä tarkoitetussa teknisessä valvonnassa. Pykälän mukainen henkilötietojen käsittely käsittäisi myös biometriset tiedot. Lisäksi henkilötietoja olisi oikeus käsitellä myös automaattisessa kasvojen tunnistuksessa rikosten ennalta estämiseen, selvittämiseen, paljastamiseen tai syyteharkintaan saattamiseen liittyvään toimenpiteeseen taikka pakkokeinon käyttöön. Perustelujen mukaan henkilöihin kohdistuvassa teknisessä valvonnassa kertyy yleensä aineistoa, josta ilmenee direktiivin 10 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä sisältäviä tietoja. Sellaista tietoa ovat 3 artiklan 13 kohdan mukaisesti ainakin kasvokuvat, joiden perusteella luonnollinen henkilö voidaan tunnistaa tai tunnistaminen varmistaa. Perustelujen mukaan tullilainsäädännön ja muun Tullin toimivaltaan kuuluvan säännöksen noudattamisen valvomiseksi on välttämätöntä, että teknisen valvonnan tallenteista voidaan automaattisella käsittelyllä tunnistaa esimerkiksi tullirikoksista epäiltyjä taikka muutoin Tullin valvottavien säännösten vastaisesti toimineita henkilöitä. Tähän oikeuttavalla Tullin henkilötietolakiin otettavalla säännöksellä mahdollistettaisiin tullilain 28 :n tarkoittaman teknisen valvonnan tavoitteen toteutumista. Erityisten henkilötietoryhmien käsittely on EU:n tietosuojalainsäädännössä sidottu korkeampaan käsittelykynnykseen kuin muiden henkilötietojen käsittely. Direktiivin 10 artiklassa säädetään arkaluonteisten henkilötietojen käsittelystä. Säännökset edellyttävät paitsi korkeampaa käsittelykriteeriä kuin muiden henkilötietojen käsittely, myös korkeampaa tietoturvan tasoa tietojärjestelmiltä, joissa näitä henkilötietoja käsitellään. Erityisiä henkilötietoryhmiä koskeva käsittely ja erityisesti biometrisiä ja geneettisiä tietoja koskeva sääntely tulisi olla tarkkarajaista. Säännöksestä tulisi välttämättömyyskriteerin lisäksi käydä ilmi direktiivin edellyttämällä tavalla myös muut tiukat käsittelykriteerit. Yksinomaan hallituksen esityksen perustelujen ei voida katsoa täyttävän tarkkarajaisuuden ja täsmällisyyden vaatimusta. Nykyistä tullilakia koskevassa mietinnössään hallintovaliokunta (HaVM5/2016 ks. myös HE 153/2015 vp) totesi lain teknistä valvontaa koskevan 28 :n osalta seuraavaa Pykälän yksityiskohtaisten perustelujen mukaan tekninen valvonta kohdistuu ennalta määräämättömään henkilö- ja tavaraliikenteeseen. Perustelujen mukaan ehdotetun pykälän nojalla teknistä laitetta ei saa siten käyttää esimerkiksi henkilöön kohdistuvaan suunnitelmalliseen tiedonhankintaan.

8 (9) Edelleen hallintovaliokunta toteaa, että Esityksen käsittelyn yhteydessä on noussut esiin mahdollinen lainsäädännön kehittämistarve kasvontunnistusteknologian käytön osalta. Hallintovaliokunta katsoo, että asiaa tulee tarkastella kokonaisuutena poliisin, Tullin ja rajavartiolaitoksen osalta esimerkiksi omana hankkeenaan tai mahdollisuuksien mukaan poliisin henkilötietolain uudistuksen yhteydessä. Ehdotettu 2 luvun 11 pykälä vaatii edellä mainituilla perusteilla kattavaa lisävalmistelua. 4. RISKIEN ARVIOINTI Direktiivin 19 artiklan 1 kohdan mukaan jäsenvaltioiden on säädettävä siitä, että rekisterinpitäjä, ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit, toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet sen varmistamiseksi ja osoittamiseksi, että käsittely tapahtuu tämän direktiivin mukaisesti. Näitä toimenpiteitä on tarvittaessa tarkistettava ja ajantasaistettava. Direktiivin johdantokappaleessa 51 selostetaan luonnollisten henkilöiden oikeuksia ja vapauksia koskevia riskejä. Direktiivin johdantokappaleen 52 mukaan riskin todennäköisyys ja vakavuus olisi määriteltävä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski olisi arvioitava objektiivisen arvioinnin perusteella, jolla todetaan, liittyykö tietojenkäsittelytoimiin korkea riski. Korkea riski on etenkin rekisteröityjen oikeuksia ja vapauksia heikentävä riski. Erityisten henkilötietoryhmien lisäksi riskejä liittyy esimerkiksi laajamittaiseen henkilötietojen käsittelyyn, joka koskee suurta rekisteröityjen määrää. Tällaista käsittelyä olisi erityisesti mahdolliset lakiehdotuksen soveltamiseen liittyvät rekisterien väliset vertailut. Lisäksi esimerkiksi rikostiedusteluun liittyvällä henkilötietojen käsittelyllä voi olla merkitystä yhdenvertaisuuden toteutumiseen, riippuen siitä, kohdistuisiko henkilötietojen käsittely yksittäiseen henkilöön vai henkilöryhmiin. Tältä osin vaikutuksia ei ole kuitenkaan arvioitu tarkemmin. Huomioitava on myös, että esitykseen sisältyvät edellä selostetut väljät ja tukinnanvaraiset säännökset muodostavat jo sinällään riskin. Riskien arviointiin tulee jatkovalmistelussa kiinnittää erityistä huomioita. 5. VALVONTA Esitys sisältää ehdotuksia, jotka merkittävällä tavalla lisäisivät ohjeistuksen ja laintulkinnan merkitystä. Rikostiedustelua varten tapahtuvan henkilötietojen käsittelyn tehokas valvonta saattaisi käytännössä olla lähes ylivoimaista, koska ehdotettu sääntely olisi väljää, tallentamiskynnys olisi matala ja jättäisi runsaasti tulkinnanvaraa lain soveltajille. Esitettyä henkilötietojen käsittelyä merkityksellisyyden arviointi varten ei voisi tehokkaasti valvoa lainkaan, koska esitetty säännös mahdollistaisi Tullille oikeuden rekisteröidä tietojärjestelmään henkilötietoja, ilman niiden käyttötarkoituksen, sisällön tai rekisteröimisedellytysten määrittelemistä.

9 (9) Edellä mainittu yhdistettynä rekisterinpitäjää koskevan vastuun korostumiseen uudessa EU:n tietosuojalainsäädännössä asettaa erityisiä vaatimuksia sille, että rekisterinpitäjä kiinnittää enemmän huomiota rekisterien valvontaan. Myös valvonnan tulosten raportointia tulisi tehostaa. Esityksessä ei ole käsitelty henkilötietojen käsittelyn valvonnan kehittämistä, sisäisen laillisuusvalvonnan tuloksia, riittävyyttä tai tämän lakiehdotuksen edellyttämiä muutostarpeita laillisuusvalvontaan. Tähän tulee jatkovalmistelussa kiinnittää huomioita. Edellä mainittujen huomioiden perusteella ehdotus tarvitsee vielä monelta osin mittavaa uudelleenarviointia ja jatkovalmistelua. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Heikki Huhtiniemi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute