1
1. Lakiehdotuksen perustelut
Ruotsinkielisessä säädöstekstissä korvattaisiin sana registeransvarig tietosuoja-asetuksessa käytetyllä sanalla personuppgiftsansvarig. Muutos tehtäisiin seuraaviin lainkohtiin: 4 §, 6 §:n 2 momentti, 3 luvun otsikko, 23 §:n 1 momentin johdantokappale ja 2 momentti, 24 §:n 1 momentin johdantokappale, 25 §, 26 §:n 1 momentti, 27 §, 70 §:n 1 momentti ja 75 §.
2 §.Lain soveltamisala. Pykälä sisältäisi voimassa olevaa lakia vastaavasti säännökset lain soveltamisalasta sekä väestötietojärjestelmään, varmennettuun sähköiseen asiointiin ja varmennerekisterin tietojen käsittelyyn sovellettavasta lainsäädännöstä. Pykälän 2 momentin 1 kohdasta poistettaisiin viittaus kumottavaksi tulevaan henkilötietolakiin. Lisäksi 2 kohdasta poistettaisiin viittaus sähköisestä asioinnista viranomaistoiminnassa annettuun lakiin (13/2003). Kyse on yleislaista, joka tulee hallintolain tavoin sovellettavaksi ilman erillistä säännöstä.
Pykälän 2 momenttiin lisättäisiin uusi 3 kohta, jossa viitattaisiin luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettuun Euroopan parlamentin ja neuvoston asetukseen (EU) N:o 679/2016, jäljempänä tietosuoja-asetus, sekä tietosuojalakiin. Vaikka näitä säädöksiä sovellettaisiin henkilötietojen käsittelyyn automaattisesti, laissa käytettäisiin osin tietosuoja-asetukseen sisältyvää kansallista liikkumavaraa ja poikettaisiin sen säännöksissä. Tästä syystä olisi tarkoituksenmukaista säätää erikseen, että tietosuoja-asetusta ja tietosuojalakia sovelletaan, jollei laissa toisin säädetä. Viittaus sisältyisi erilliseen 3 kohtaan, eikä voimassa olevaa pykälää vastaavasti 1 kohtaan, sillä tietosuoja-asetus soveltuu kaikkeen väestötietolain alaiseen henkilötietojen käsittelyyn, ei yksin väestötietojärjestelmän sisältämiin henkilötietoihin.
Ruotsinkielisessä säädöstekstissä pykälän 2 momenttiin tehtäisiin lisäksi kielellisiä tarkistuksia.
4 §.Väestötietojärjestelmän rekisterinpitäjä. Ruotsinkielisessä säädöstekstissä pykälän 1 momenttiin tehtäisiin kielellisiä tarkistuksia. Pykälän 2 momenttia ei muutettaisi.
Pykälään lisättäisiin uusi 3 momentti, jossa säädettäisiin siitä, miten tietosuoja-asetuksesta johtuvat velvollisuudet jakautuvat rekisterihallinnon viranomaisten kesken. Säännös sisältäisi erityisen tehtävänjaon, joka koskisi tiettyjä rekisteröidyn oikeuksia sekä yleisen säännöksen muiden velvollisuuksien jakautumisesta.
Uudessa 3 momentissa säädettäisiin, että maistraatti vastaa tietosuoja-asetuksen 15, 16 ja 21 artiklan mukaisten rekisteröidyn oikeuksien toteuttamisesta suhteessa rekisteröityyn. Tietosuoja-asetuksen 26 artiklan 3 kohdassa säädetään, että rekisteröity voi aina käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin yhteisrekisterinpitäjään, vaikka nämä ovat keskinäisellä järjestelyllä määritelleet vastuualueet toisin. Kun rekisteröidyn oikeuksien toteuttamista koskevasta vastuusta säädettäisiin näiden oikeuksien osalta laissa, olisi rekisteröity mahdollista ohjata asioimaan maistraatissa. Vaikka käytännössä Väestörekisterikeskus tuottaa sähköisiä asiointipalveluita, joiden avulla rekisteröidyn on mahdollista helpommin käyttää oikeuksiaan, on maistraatti viime kädessä vastuussa näiden rekisteröidyn oikeuksien toteuttamisesta.
Pykälän 3 momentti sisältäisi myös yleisen säännöksen siitä, että tietosuoja-asetuksen mukaiset rekisterinpitäjän velvollisuudet jakautuvat muuten samoin, kuin rekisterinpidon vastuista säädetään. Yhteisrekisterinpitäjä, joka vastaa väestötietolain mukaan tietystä rekisterihallinnon toiminnan osa-alueesta, vastaa myös rekisterinpitäjän velvollisuuksien toteuttamisesta tällä osa-alueella. Esimerkiksi sekä maistraatti että Väestörekisterikeskus vastaavat tahoillaan sellaisen tiedonluovutustoiminnan tietosuoja-asetuksen mukaisuudesta, joka kuuluu niille lain 47 §:n nojalla. Molemmat toimijat vastaavat myös esimerkiksi tietosuojapoikkeamaa koskevista menettelyistä (33 artikla), kun poikkeama tapahtuu niiden toiminnassa tai niille asetetun tehtävän yhteydessä. Koska Väestörekisterikeskus vastaa 4 §:n 2 momentin nojalla automaattisen tietojenkäsittelyn avulla pidetyn valtakunnallisen väestötietojärjestelmän yleisestä toimivuudesta ja tietotekniikasta, tietohallinnosta sekä rekisteritoimintojen yhtenäisyydestä, se vastaa yleisesti sellaisista rekisterinpitäjän velvollisuuksista, jotka koskevat järjestelmää kokonaisuutena. Täten Väestörekisterikeskus vastaa esimerkiksi järjestelmän sisäänrakennetusta ja oletusarvoisesta tietosuojasta (25 artikla), yhteistyöstä valvontaviranomaisen kanssa (31 artikla), järjestelmän tietoturvallisuudesta (35 artikla), henkilötietojen tietoturvaloukkausta koskevista menettelyistä (33 artikla), kun loukkaus koskee itse väestötietojärjestelmää, sekä mahdollisista väestötietojärjestelmää koskevista vaikutusarvioinneista (35 artikla). Joistakin vastuista on myös säädetty käytännön tasolla suoraan väestötietolaissa. Velvollisuus tietojen poistamiseen on 20 §:ssä asetettu Väestörekisterikeskukselle.
Molemmat rekisterihallinnon viranomaiset vastaavat 5 artiklan 2 kohdan ja 24 artiklan mukaisesti siitä, että ne voivat osoittaa vastuullaan olevien rekisterinpitäjän velvollisuuksien toteuttamisen.
Säännöksellä ei olisi tarkoitus muuttaa vallitsevaa tehtävänjakoa siltä osin, kun rekisterinpitäjän velvollisuudet eivät olisi uusia. Tarkoituksena olisi varmistaa, että tietosuoja-asetuksen tarkentuvat velvollisuudet jakautuvat olemassa olevan tehtävänjaon mukaisesti ja että maistraatin ja Väestörekisterikeskuksen tehtävänjako on tehokas myös suhteessa rekisteröityyn.
9 §.Ulkomaan kansalaisen rekisteröinnin edellytykset. Pykälässä säädettäisiin ulkomaan kansalaisen rekisteröinnin edellytyksistä ja menettelystä. Pykälän 1 momentin uudeksi 1 kohdaksi lisättäisiin peruste, jolla ulkomaan kansalaista koskevat tiedot voidaan tallettaa väestötietojärjestelmään, kun hänelle on myönnetty ulkomaalaislaissa tarkoitettu oleskelulupa tai oleskelukortti, hänen oleskeluoikeutensa on rekisteröity taikka Maahanmuuttovirasto on tehnyt muun häntä koskevan myönteisen päätöksen oleskeluoikeudesta. Oleskeluoikeutta koskevaa sanamuotoa laajennettaisiin voimassa olevan lain 22 §:ssä käytetystä, jotta menettelyssä olisi mahdollista tallettaa tiedot myös sellaisista henkilöistä, joiden oleskeluoikeutta koskeva päätös perustuu muuhun lainsäädäntöön kuin ulkomaalaislakiin. Uuden 1 kohdan nojalla Maahanmuuttovirasto voisi tallettaa tiedot väestötietojärjestelmään samalla, kun se tekee tarkoitetun myönteisen ratkaisun oleskeluoikeudesta. Samaa perustetta voitaisiin kuitenkin soveltaa myös maistraatissa tai muussa viranomaisessa, jolla on toimivalta tallettaa ulkomaan kansalaista koskevat tiedot väestötietolain nojalla, kunhan Maahanmuuttovirasto on aiemmin tehnyt myönteisen ratkaisun oleskeluoikeudesta. Uuden 1 kohdan johdosta voimassa olevan säännöksen 1—3 kohdat siirtyisivät 2—4 kohdiksi. Lisäksi 1 momentin 2 kohtaan tehtäisiin ruotsinkielisessä säädöstekstissä kielellinen muutos. Muilta osin säännös vastaisi voimassa olevan lain 9 §:n 1 momenttia.
Pykälän 2 momentissa säädettäisiin niistä tapauksista, joissa ulkomaan kansalaisen on esitettävä tietojen tallettamista koskeva pyyntö maistraatille. Pyyntö olisi esitettävä, jos tietoja ei ole talletettu väestötietojärjestelmään 1 momentin 1 kohdan tapauksessa oleskeluoikeutta koskevan päätöksen nojalla. Säännöstä sovellettaisiin sekä tapauksiin, joissa ulkomaan kansalaisen tietoja ei ole lainkaan talletettu väestötietojärjestelmään, että tapauksiin, joissa 1 momentin 1 kohdan nojalla talletettuja tietoja tulisi täydentää. Maahanmuuttovirasto voi lain 22 §:n nojalla tallentaa ulkomaan kansalaisesta vain henkilötunnuksen antamiseksi tarvittavat tiedot sekä muut 13 ja 17 §:ssä tarkoitetut, ulkomaan kansalaisesta tarvittavat välttämättömät tiedot. Ulkomaan kansalaisen olisi pyydettävä maistraatilta sellaisten tietojen tallettamista, jotka eivät kuulu Maahanmuuttoviraston toimivaltaan.
Pykälän 3 momentissa säädettäisiin ulkomaan kansalaisen henkilöllisyyden varmistamisesta. Momentti vastaisi menettelyn osalta voimassa olevan lain 9 §:n 2 kohdassa olevaa säännöstä. Siinä kuitenkin viitattaisiin maistraatin sijasta tiedot tallettavaan viranomaiseen, jotta velvollisuus koskisi myös Maahanmuuttovirastoa. Lisäksi 3 momentissa viitattaisiin pyynnön esittäjän sijasta ulkomaan kansalaiseen, sillä oleskeluoikeuden nojalla tapahuvassa rekisteröinnissä Maahanmuuttovirastossa pyyntö ei enää olisi edellytys tietojen tallettamiselle.
Pykälän 4 momentti vastaisi voimassa olevan lain 9 §:n 3 momenttia, mutta viittaus henkilötietolakiin muutettaisiin viittaukseksi tietosuoja-asetukseen. Lisäksi muutettaisiin viittaus 1 momentin 3 kohtaan esitetyn numeroinnin mukaiseksi.
13 §.Henkilöstä järjestelmään talletettavat tiedot. Pykälän 1 momentin 21 kohdasta poistettaisiin viittaus kumottavaan henkilötietolakiin. Viittaus tehtäisiin tietosuoja-asetukseen, jonka 21 artiklan 2 kohdassa säädetään henkilön oikeudesta kieltää tietojensa käsittely suoramarkkinointia varten.
Lisäksi korvattaisiin voimassa olevan säännöksen sana rajoitukset sanalla kiellot. Tarkoitus ei olisi muuttaa vallitsevaa oikeustilaa, vaan kyse olisi selventävästä kielellisestä muutoksesta. Koska tietosuoja-asetuksen 18 artikla sisältää oikeuden käsittelyn rajoittamiseen, joka on erillinen pykälässä tarkoitetuista luovutuskielloista, olisi tarkoituksenmukaista poistaa mahdollinen riski sekaannuksesta käsittelyn rajoittamisen ja tietojen luovutuskiellon välillä.
Ruotsinkielisessä säädöstekstissä 1 momentin 21 kohtaan tehtäisiin lisäksi kielellinen tarkistus.
22 §.Muiden viranomaisten toimivalta. Pykälässä säädettäisiin voimassa olevaa pykälää vastaavasti muiden viranomaisten kuin maistraatin ja Väestörekisterikeskuksen toimivallasta väestötietojärjestelmän ylläpidossa. Pykälän 1 momentti vastaisi olennaisilta osin voimassa olevaa 22 §:n 1 momenttia, mutta viittaus 9 §:n korjattaisiin vastaamaan pykälän 1 momentin alakohtien muuttunutta numerointia. Pykälän 1 momentissa viitattaisiin jatkossa myös 9 §:n 1 momentin uuteen 1 kohtaan. Pyyntö tietojen tallettamisesta voitaisiin jatkossa tehdä Verohallinnolle myös sillä perusteella, että Maahanmuuttovirasto on tehnyt myönteisen ratkaisun oleskeluoikeudesta, mutta tietoja ei ole vielä Maahanmuuttovirastossa talletettu väestötietojärjestelmään.
Pykälän 2 momentissa säädettäisiin Kansaneläkelaitoksen ja Verohallinnon velvollisuuksista, kun ne ottavat vastaan ulkomaan kansalaisen tietojen tallettamista koskevan pyynnön. Näiden velvollisuuksien sisältöä ei muutettaisi. Momenttia muutettaisiin ainoastaan niin, että Maahanmuuttovirasto ja Suomen edustusto eivät enää ottaisi vastaan pyyntöjä ulkomaan kansalaisen tietojen tallettamiseksi. Siten ei myöskään olisi tarpeen säätää pyyntöä koskevista menettelyistä näiden toimijoiden kohdalla.
Pykälän 3 momentissa säädettäisiin Verohallinnon ja Maahanmuuttoviraston toimivallasta tallettaa ulkomaan kansalaista koskevat tiedot väestötietojärjestelmään. Verohallinnon toimivaltaa ei muutettaisi muilta osin, mutta sille annettaisiin toimivalta tallettaa ulkomaan kansalaista koskevat tiedot myös 9 §:n 1 momentin uuden 1 kohdan tarkoittamissa tapauksissa, jos tietoja ei ole talletettu jo Maahanmuuttovirastossa. Pykälän 3 momentissa säädettäisiin siitä, että Maahanmuuttovirasto saa tallettaa ulkomaan kansalaista koskevat tiedot väestötietojärjestelmään 9 §:n 1 momentin 1 kohdassa tarkoitetuissa tapauksissa. Rekisteröinti Maahanmuuttoviraston toimesta ei enää edellyttäisi ulkomaan kansalaisen pyyntöä. Muutoksella ei olisi vaikutusta siihen, mitä tietoja Maahanmuuttovirasto voi ulkomaan kansalaisesta tallettaa. Maahanmuuttovirasto tallettaisi jatkossakin ainoastaan niin kutsutut suppeat tiedot, joista on säädetty VTJ-asetuksen 20 §:ssä. Muilta osin tiedot täydennettäisiin maistraatissa. Lisäksi säädettäisiin siitä, että Suomen edustusto voi ottaa Maahanmuuttoviraston puolesta vastaan henkilötietoja ja asiakirjoja, jotka ulkomaan kansalainen esittää väestötietojärjestelmään talletettavaksi. Tämä vastaisi nykytilaa. Suomen edustustoa ei tässä ominaisuudessa katsota tietojen ilmoittajaksi, vaan se välittää asiakirjat Maahanmuuttovirastolle tallettamista varten. Suomen edustuston olisi kuitenkin edelleen varmistuttava ulkomaan kansalaisen henkilöllisyydestä. Koska Suomen edustusto ei olisi 22 §:n 2 momentin taikka 9 §:n 3 momentin säännösten piirissä, säädettäisiin 3 momentissa erikseen, että Suomen edustuston on varmistuttava ulkomaan kansalaisen henkilöllisyydestä voimassa olevasta matkustusasiakirjasta tai sen puuttuessa 19 §:ssä säädettyä menettelyä noudattaen muusta asiakirjasta tai selvityksestä.
Pykälään tehtäisiin lisäksi 9 ja 22 §:n muuttuneesta momenttijaosta johtuvia teknisiä muutoksia. Pykälässä käytetty termi Kansaneläkelaitoksen paikallistoimisto muutettaisiin termiksi Kansaneläkelaitoksen toimisto, jota on käytetty myös Kansaneläkelaitoksesta annetussa laissa (731/2001). Ruotsinkielisessä säädöstekstissä pykälään tehtäisiin kielellisiä tarkistuksia. Muilta osin pykälä vastaisi voimassa olevaa säännöstä.
28 §.Tiedon luovuttamisen yleiset edellytykset. Pykälä vastaisi tarkoitukseltaan ja pääasialliselta sisällöltään voimassa olevaa lakia. Pykälä jaettaisiin kahteen momenttiin, ja sen 1 momentissa säädettäisiin siitä, että väestötietojärjestelmän tietoja voidaan luovuttaa vain, jos väestötietolaissa säädetyt edellytykset tietojen luovuttamiselle ovat olemassa eikä henkilön oikeudesta kieltää tietojensa luovuttaminen muuta johdu. Momentissa säädettäisiin myös tietojen tarpeellisuusvaatimuksesta. Pykälän tarkoituksena ei ole poiketa tietosuoja-asetuksen tai tietosuojalain sääntelystä, vaan niitä sovellettaisiin täysimääräisesti väestötietojärjestelmän tietojen luovuttamiseen, ellei laissa erikseen toisin säädetä. Tällainen poikkeus tehtäisiin esitetyssä 74 a §:ssä. Pykälän ensimmäisen virkkeen, jonka mukaan väestötietojärjestelmän tietoja voidaan luovuttaa vain, jos tässä laissa säädetyt edellytykset ovat olemassa, tarkoituksena on varmistaa, että laissa asetettuja edellytyksiä esimerkiksi turvakiellon kohteena olevien tietojen käsittelystä (37 §), erikseen rajoitettujen tietojen luovuttamisesta (38—42 §), luovuttamisen tavoista ja keinoista (46 §) sekä tietojen suojauksesta (44 §) ei sivuuteta tiedonsaantioikeuksilla, joista on säädetty muussa erityislainsäädännössä. Luovutettaessa tietoja väestötietojärjestelmästä tulisi aina soveltaa väestötietolakia. Samanaikaisesti väestötietojärjestelmän tietojen käsittelyyn ja luovuttamiseen sovellettaisiin kuitenkin tietosuoja-asetusta ja tietosuojalakia.
Väestötietolain erityiset säännökset tietojen luovuttamisesta (29—34 §) sisältävät 28 §:n yleisten edellytysten lisäksi tarkemmat säännökset siitä, millaisille käyttäjäryhmille ja millaisiin käyttötarkoituksiin tietoja voidaan luovuttaa. Lain 34 §:n 3 momentissa säädettäisiin kuitenkin myös yleisestä perusteesta, jonka mukaan väestötietojärjestelmän tietoja voidaan luovuttaa, jos hakijalla on oikeus käsitellä luovutettavia tietoja tietosuoja-asetuksen, tietosuojalain tai muun lain nojalla. Tietojen luovuttamisen yleisten edellytysten olisi aina täytyttävä myös tässä tapauksessa.
Pykälän 1 momenttiin tehtäisiin lisäys, jonka mukaan rekisterihallinnon viranomaisen on erityisiä henkilötietoja luovutettaessa varmistettava, että vastaanottajalla on tietosuoja-asetuksen tai tietosuojalain mukainen oikeus käsitellä tietoja. Vastaanottajan oikeus voisi perustua suoraan tietosuoja-asetukseen taikka tietosuojalain 6 §:n erityisiin käsittelyperusteisiin. Tietojen vastaanottaja vastaisi rekisterinpitäjänä jatkossakin siitä, että sen tietojen käsittely on tietosuoja-asetuksen ja tietosuojalain mukaista. Rekisterihallinnon viranomainen ei esimerkiksi olisi velvollinen valvomaan, että erityisten henkilötietojen käsittelyperuste soveltuu kaikilta osin tietojen vastaanottajan tosiasialliseen toimintaan tai että tietojen vastaanottaja on toteuttanut tietosuojalain 6 §:n 2 momentissa tarkoitetut asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.
Pykälän 2 momentissa säädettäisiin voimassa olevaa pykälää vastaavasti siitä, että tietoja ei saa luovuttaa, jos luovuttamisen voidaan perustellusta syystä epäillä loukkaavan henkilön yksityiselämän tai henkilötietojen suojaa, hänen etujaan tai oikeuksiaan taikka vaarantavan valtion turvallisuutta. Pykälässä kuitenkin tarkennettaisiin, ettei tietoja myöskään voi luovuttaa, mikäli sama riski sisältyy luovutuksen saajan toimintaan. Muutoksella varmistettaisiin, että rekisterihallinnon viranomainen voisi kieltäytyä luovutuksesta, mikäli luovutus väestötietojärjestelmästä ei itsessään loukkaa henkilötietojen suojaa, mutta vastaanottava taho on laajemmassa toiminnassaan syyllistynyt esimerkiksi tietosuojaloukkauksiin.
Ruotsinkielisessä säädöstekstissä pykälään tehtäisiin lisäksi kielellinen tarkistus.
30 §.Tietojen luovuttaminen historialliseen ja tieteelliseen tutkimukseen sekä tilaston laatimiseen. Pykälästä poistettaisiin viittaus kumottavaan henkilötietolakiin. Vastaisuudessa tietojen käsittely historialliseen ja tieteelliseen tutkimukseen, tilastojen laatimiseen sekä viranomaisen suunnittelu- ja selvitystehtäviin edellyttäisi tietosuoja-asetuksen mukaista käsittelyn oikeusperustetta. Käsittelyn perusteista ei säädettäisi enää henkilötietolaissa ja viittaus olisi tarpeeton. Säännös olisi jatkossakin rekisterihallinnon viranomaisen toiminnan kannalta selventävä. Väestötietojärjestelmästä voitaisiin edelleen luovuttaa tietoja historialliseen ja tieteelliseen tutkimukseen, tilastojen laatimiseen sekä viranomaisen suunnittelu- ja selvitystehtäviin, kun käsittelylle on olemassa tietosuoja-asetuksen mukainen oikeusperuste. Oikeusperusteen edellytys seuraa tietojen luovuttamisen yleisistä edellytyksistä lain 28 §:ssä ja edelleen tietosuoja-asetuksesta. Siitä ei olisi tarpeen säätää erikseen.
32 §.Tietojen luovuttaminen asiakkuuden hoitoon ja markkinointiin. Ruotsinkielisessä säädöstekstissä pykälän 1 momenttiin tehtäisiin kielellinen tarkistus. Pykälän 2 momenttiin lisättäisiin säännös, jonka mukaan yhteiskunnallisiin tarkoituksiin tehtävään mielipidetutkimukseen voidaan nimi-, osoite- ja yhteystietojen lisäksi tutkimuksen taustatiedoksi luovuttaa tieto henkilön sukupuolesta, ikäryhmästä ja äidinkielestä. Taustatietoja ei voisi käyttää muuhun tarkoitukseen, vaan niitä olisi mahdollista hyödyntää ainoastaan mielipidetutkimuksen kohdentamiseen ja suunnitteluun.
33 §.Tietojen luovuttaminen sukututkimukseen ja henkilömatrikkelin laatimiseen. Pykälä kumottaisiin. Oikeusperusteesta tietojen käsittelyyn sukututkimukseen tai henkilömatrikkelin laatimiseen ei enää säädettäisi henkilötietolaissa. Jatkossa käsittely myös näihin tarkoituksiin edellyttää tietosuoja-asetuksesta johdettavaa oikeusperustetta. Väestötietojärjestelmästä voitaisiin jatkossakin luovuttaa tietoja sukututkimukseen ja henkilömatrikkelin laatimiseen, kun tietojen käsittelijällä on asiallinen oikeusperuste. Tämä oikeusperuste olisi todennäköisimmin tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta, eli tietojen käsittely olisi tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Tietojen luovutus voitaisiin kuitenkin jatkossa tehdä 34 §:n 3 momentin nojalla, eikä erillinen pykälä olisi tarpeen.
34 §.Tietojen muu luovuttaminen. Pykälän 3 momenttia muutettaisiin niin, että henkilötietolain sijasta viitattaisiin tietosuoja-asetukseen ja tietosuojalakiin, joissa säädettäisiin jatkossa tietojen käsittelyn oikeusperusteista ja edellytyksistä. Lisäksi säädettäisiin selvyyden vuoksi siitä, että 28 §:ssä säädettyjen tietojen luovuttamisen yleisten edellytysten on täytyttävä myös silloin, kun tietoja luovutetaan 34 §:n 3 momentin nojalla. Yleisiä edellytyksiä sovellettaisiin täysimääräisesti. Tiedon tulisi esimerkiksi aina olla tarpeellinen siihen käyttötarkoitukseen, johon tiedot luovutetaan. Tietoja ei saisi luovuttaa, jos luovuttamisen tai luovutuksensaajan toiminnan voitaisiin perustellusta syystä epäillä loukkaavan henkilötietojen suojaa. Luovutukseen olisi sovellettava myös tietosuoja-asetusta ja tietosuojalakia. Lain 28 §:n nojalla myös muut väestötietolain mukaiset edellytykset tietojen luovuttamiselle, kuten esimerkiksi säännökset tietojen luovuttamisen tavoista ja keinoista, tulisivat sovellettavaksi.
35 §.Yleinen kielto-oikeus. Pykälän 1 momentissa säädettäisiin voimassa olevaa lakia vastaavasti henkilötietojen luovutusta koskevista kielloista. Momentissa viitattaisiin henkilötietolain sijaan tietosuoja-asetuksen 21 artiklaan, jossa jatkossa säädetään rekisteröidyn oikeudesta kieltää tietojensa käsittely suoramarkkinointia varten. Viittaus olisi selventävä.
Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin henkilön oikeudesta kieltää tietojensa luovuttaminen henkilömatrikkelia tai sukututkimusta varten. Kiellosta on aiemmin säädetty henkilötietolaissa. Kun tietoja voitaisiin jatkossakin luovuttaa 34 §:n 3 momentin nojalla näihin tarkoitukseen, on tarpeen säätää erikseen näitä tarkoituksia koskevasta luovutuskiellosta. Kielto perustuisi väestötietolakiin eikä henkilötietolakiin, mutta sen asema ja käyttö väestötietojärjestelmässä ei muuttuisi.
Pykälän 3 momentissa säädettäisiin voimassa olevan 35 §:n 2 momenttia vastaavasti poikkeuksista osoitteen ja muun yhteystiedon luovutusta koskevaan kieltoon. Poikkeukseen lisättäisiin selvyyden vuoksi, että kielto ei estä luovuttamasta tietoja toimintaan, jossa tietoa käytetään henkilön, yrityksen tai yhteisön oikeuksien tai velvollisuuksien toteuttamiseksi myöskään 34 §:n 1 momentin perusteella. Tietoja on tällaisessa tarkoituksessa luovutettu esimerkiksi perunkirjoitusta varten ja tämä käyttötarkoitus on mainittu myös säännöksen alkuperäisissä perusteluissa. Pykälästä on kuitenkin puuttunut viittaus 34 §:n 1 momenttiin, jonka nojalla tällaiset luovutukset käytännössä toteutetaan. Momenttiin lisättäisiin myös säännös, jonka nojalla Väestörekisterikeskus voi luovuttaa kiellon alaiset tiedot 32 §:n 2 momentin perusteella toimintaan, jossa on kyse yleiseen etuun tai henkilöiden oikeuksiin tai etuihin liittyvästä selvityksestä tai tutkimuksesta. Säännöksellä viitattaisiin lähinnä sellaisiin mielipide- tai kyselytutkimuksiin, jotka ovat kiinteässä yhteydessä vastaanottajan henkilökohtaiseen etuun tai oikeuteen. Tällainen voisi olla esimerkiksi kysely asuinalueella vaikuttavasta meluhaitasta. Edellytyksiä olisi tulkittava suppeasti. Säännös ei mahdollistaisi kyselyä, jonka tosiasiallinen tarkoitus voidaan katsoa suoramarkkinoinniksi.
Pykälän 4 momentissa säädettäisiin voimassa olevan 35 §:n 3 momenttia vastaavasti kieltoa koskevan ilmoituksen tekemisestä. Säännöstä muutettaisiin niin, että kiellon voisi ilmoittaa Väestörekisterikeskukselle ainoastaan sähköisen asiointipalvelun välityksellä. Kiellon voisi edelleen ilmoittaa maistraatille myös kirjallisesti tai muulla tarkoitukseen soveltuvalla ja luotettavalla tavalla.
37 §.Turvakiellon kohteena olevien tietojen käsittely. Pykälän 3 momenttia muutettaisiin niin, että viittaus henkilötietolain 26 §:n mukaiseen tarkastusoikeuteen poistettaisiin ja sen sijaan viitattaisiin tietosuoja-asetuksen 15 artiklaan, jossa säädetään henkilön oikeudesta saada pääsy tietoihin.
43 §. Tunnuksen luovuttaminen. Pykälän 1 momentissa viittaukset henkilötietolakiin korvattaisiin viittauksilla tietosuojalakiin ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettuun lakiin (/), jäljempänä rikos- ja turvallisuusasioiden tietosuojalaki. Lisäksi 1 momentista poistettaisiin viittaus henkilötunnuksen käsittelyyn muun lain perusteella. Vastaisuudessa henkilötunnuksen käsittelyn edellytykset sisältyisivät tyhjentävästi tietosuojalakiin ja rikos- ja turvallisuusasioiden tietosuojalakiin. Tietosuojalain asettamien henkilötunnuksen käsittelyn edellytysten olisi aina täytyttävä, vaikka käsittelystä säädettäisiin erikseen muussa laissa. Myös rikos- ja turvallisuusasioiden tietosuojalaissa säädettäisiin sen soveltamisalalla tyhjentävästi henkilötunnuksen käsittelystä. Kyseisen pykälän nojalla olisi esimerkiksi mahdollista käsitellä henkilötunnusta, kun käsittely on tärkeää viranomaisen lakisääteisen tehtävän suorittamiseksi. Tämän on katsottava olevan tarpeellisuutta korkeampi edellytys. Täten 43 §:n 1 momentissa ei jatkossa viitattaisi henkilötunnuksen käsittelyyn muun lain perusteella, vaan joko tietosuojalain tai rikos- ja turvallisuusasioiden tietosuojalain edellytysten olisi aina täytyttävä.
Pykälän 1 momentista poistettaisiin säännös siitä, että väestötietojärjestelmästä annettavaan todistukseen tai otteeseen voidaan henkilötunnus tai ulkomainen henkilönumero merkitä vain, jos todistus tai ote annetaan laissa tai sen nojalla annetussa asetuksessa säädetyn yksilöidyn tehtävän tai toimenpiteen toteuttamiseksi. Sekä tietosuojalaissa että rikos- ja turvallisuusasioiden tietosuojalaissa tullaan henkilötunnuksen käsittelyedellytysten yhteydessä säätämään siitä, että henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Näitä säännöksiä sekä tietosuojalaissa ja rikos- ja turvallisuusasioiden tietosuojalaissa asetettuja käsittelyn edellytyksiä sovellettaisiin jatkossa suoraan myös henkilötunnuksen merkitsemiseen todistukseen tai otteelle. Kyse on tällöinkin aina henkilötunnuksen luovuttamisesta.
Pykälän 1 momentissa käytetty vanhahtava ilmaisu lain soveltamisesta soveltuvin osin poistettaisiin. Myös ulkomaisen henkilönumeron luovuttamiseen sovellettaisiin mitä tietosuojalaissa ja rikos- ja turvallisuusasioiden tietosuojalaissa säädetään henkilötunnuksesta. Muutos olisi kielellinen.
44 §.Selvitys tietojen käytöstä ja suojauksesta. Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin 43 §:ssä tarkoitettujen tietojen osalta poikkeuksesta 1 momentin 1 kohtaan. Kun kyse on muuten 1 momentin 1 kohdan tarkoittamasta tilanteesta, mutta luovutus ei henkilötunnuksen tai sähköisen asiointitunnuksen lisäksi sisällä muita 36—42 §:ssä tarkoitettuja tietoja, selvitys tietojen suojauksesta ei olisi pakollinen. Rekisterihallinnon viranomainen voisi edelleen tarvittaessa vaatia käyttäjältä selvityksen myös näissä tilanteissa, mutta vaihtoehtoisesti olisi mahdollista esittää tietojen käyttäjälle vähimmäisvaatimukset tietojen käytöstä ja suojauksesta. Tällöin käyttäjän olisi sitouduttava rekisterihallinnon viranomaisen esittämiin vähimmäisvaatimuksiin luovutuksen edellytyksenä, mutta hakijalta ei edellytettäisi erillistä vakuutusta tai selvitystä vaatimusten täyttämisestä. Vähimmäisvaatimukset eivät saisi tosiasiassa edellyttää korkeampaa suojauksen tasoa, kuin mitä rekisterihallinnon viranomainen edellyttäisi sellaiselta toimijalta, joka antaa selvityksen tietojen käytöstä ja suojauksesta. Käytettävä menettely olisi rekisterihallinnon viranomaisen harkinnassa. Vähimmäisvaatimuksia voitaisiin hyödyntää erityisesti luovutettaessa tietoja viranomaisille.
47 §.Tietojen luovuttamisesta päättävä viranomainen. Pykälään lisättäisiin uusi 4 momentti, jossa säädettäisiin yleisesti tarpeellisten tietopalveluiden tuottamisesta. Säännöksellä ei muutettaisi Väestörekisterikeskuksen ja maistraattien välistä toimivallan jakoa tai poikettaisi siitä, vaan todettaisiin selvyyden vuoksi, että rekisterihallinnon viranomaisen tehtävänä on toimivaltansa rajoissa tuottaa sellaista tietopalvelua, joka mahdollistaa väestötietojärjestelmän tietojen hyödyntämisen. Rekisterihallinnon viranomainen käyttää harkintaa tarjottavasta tietopalvelusta ja tarjottavien tietopalvelujen tulee olla tarpeellisia yhteiskunnan tietohuoltoa ajatellen.
50 a §.Tietojen luovuttamisen lopettaminen. Pykälässä säädettäisiin, että rekisterihallinnon viranomainen voi lopettaa tietojen luovuttamisen, mikäli laissa säädetyt edellytykset tietojen luovuttamiselle eivät enää täyty. Lain 28 §:n yleisten edellytysten on aina täytyttävä, kun tietoja luovutetaan väestötietojärjestelmästä. Tietyt luovutuspykälät sisältävät lisäksi erityisiä edellytyksiä luovutukselle. Kun kyse on kertaluonteisista luovutuksista, rekisterihallinnon viranomainen voi aina kieltäytyä uudesta luovutuksesta, mikäli edellytykset eivät enää vastaanottajan kohdalla täyty. Väestörekisterikeskus tuottaa kuitenkin myös palveluita, joihin se antaa jatkuvia tietolupia. Pykälässä säädettäisiin selvyyden vuoksi siitä, että rekisterihallinnon viranomainen voi myös lopettaa tietojen luovuttamisen.
Pykälässä säädettäisiin, että luovutuksen lopettamisen olisi tapahduttava kirjallisella päätöksellä. Päätökseen voitaisiin hakea oikaisua 76 a §:n nojalla.
64 §.Sähköisen asiointitunnuksen muuttaminen. Pykälässä säädettäisiin sähköisen asiointitunnuksen muuttamisesta. Voimassa olevan lain 64 §:stä poiketen pykälä ei sisältäisi säädöstä sähköisen asiointitunnuksen korjaamisesta virheellisyyden vuoksi. Sen sijaan pykälän uudessa 1 momentissa säädettäisiin sähköisen asiointitunnuksen muuttamisesta viran puolesta, kun henkilötunnus muutetaan 12 §:n 2 momentissa tarkoitetuissa tapauksissa. Koska henkilötunnus ja sähköinen asiointitunnus muodostavat teknisen yhteytensä vuoksi parin, on tarkoituksenmukaista, että sähköinen asiointitunnus muuttuu aina, kun henkilötunnus muutetaan. Muuttaminen olisi edelleen poikkeuksellista, sillä henkilötunnuksen muuttamisen edellytykset täyttyvät jatkossakin vain erityisen poikkeuksellisissa tapauksissa ja vain, jos muuttamisen perusteet olisivat aivan ilmeisesti käsillä. Käytännössä sähköisen asiointitunnuksen muuttaminen on kuitenkin aina tarpeellista, kun henkilötunnus muutetaan.
Pykälän 2 ja 3 momentissa pysytettäisiin voimassa olevan pykälän mukaiset säännökset sähköisen asiointitunnuksen itsenäisestä muuttamisesta ja sitä koskevasta menettelystä.
66 §.Kansalaisvarmenteen hakeminen ja myöntäminen. Pykälän 2 ja 3 momentissa viittaukset henkilötietolakiin korvattaisiin viittauksilla tietosuoja-asetukseen ja tietosuojalakiin. Lisäksi 3 momentissa korvattaisiin sana ”asetettuja” sanalla ”säädettyjä” puhuttaessa Euroopan unionin asetuksesta. Kyse olisi kielellisestä muutoksesta.
67 §.Muun varmenteen hakeminen ja myöntäminen. Pykälän 1 momentissa viittaus henkilötietolakiin korvattaisiin viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Lisäksi 1 momenttiin lisättäisiin viittaus vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin (617/2009), jäljempänä tunnistuslaki. Pykälässä tarkoitettuja varmenteita vahvoina sähköisinä tunnistusvälineinä koskee myös tunnistuslain sääntely. Siinäkin tapauksessa, että voimassa olevassa säännöksessä viitattu sähköisestä tunnistamisesta ja luottamuspalveluista annettu Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 soveltuu, valtion takamaan identiteetin varmistamisen sääntely on kansallista ja sisältyy tunnistuslakiin. Lisättävä viittaus varmistaisi lisäksi, että 66 ja 67 §:n viittaukset sovellettavaan lainsäädäntöön olisivat yhdenmukaiset. Tämä on käytännön varmennetoiminnan kannalta tarkoituksenmukaista. Muuten pykälän 1 momenttiin tehtäisiin kielellisiä tarkistuksia.
74 a §.Oikeus käsittelyn rajoittamiseen. Pykälässä säädettäisiin poikkeuksesta tietosuoja-asetuksen 18 artiklaan siltä osin, kun henkilötietoja käsitellään väestötietojärjestelmässä tai Väestörekisterikeskuksen varmentajan toimintaan liittyvissä järjestelmissä. Poikkeus perustuisi tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohtaan.
76 §.Tietojen korjaaminen. Pykälästä poistettaisiin säännökset, jotka koskevat rekisterinpitäjän velvollisuutta oikaista, poistaa tai täydentää väestötietojärjestelmässä oleva virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto. Lisäksi poistettaisiin säännökset noudatettavasta menettelystä, kun rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta tiedon korjaamiseksi tai tieto korjataan asianomaisen antaman selvityksen vastaisesti. Nämä säännökset ovat tarpeettomia, sillä niiden sisältämät rekisteröidyn oikeudet, rekisterinpitäjän velvollisuudet ja menettelysäännöt perustuvat suoraan tietosuoja-asetukseen, erityisesti 12 artiklan 4 kohtaan sekä 16 ja 17 artiklan mukaisiin rekisteröidyn oikeuksiin. Rekisteröity voi jatkossa vaatia tietojen oikaisemista, poistamista tai täydentämistä tietosuoja-asetuksen nojalla. Tietosuoja-asetus kattaisi riittävällä tavalla myös rekisterihallinnon viranomaisen velvollisuuden korjata virheellinen tieto oma-aloitteisesti. Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohta edellyttää, että käsiteltävät tiedot ovat täsmällisiä ja tarvittaessa päivitettyjä. Rekisteripitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Toisaalta tietosuoja-asetuksen 5 artiklan 1 kohdan c ja e alakohdat edellyttävät, että tarpeettomat tiedot poistetaan viipymättä.
Uudessa 1 momentissa säädettäisiin voimassa olevan pykälän 3 momenttia vastaavasti Maahanmuuttoviraston lausunnon pyytämisestä, kun maistraatti korjaa ulkomaan kansalaista koskevaa rekisterimerkintää. Muotoilun muutos seuraisi pykälän rakenteen muutoksesta, eikä sillä muutettaisi vallitsevaa oikeustilaa.
Uusi 2 momentti vastaisi voimassa olevaan 1 momenttiin sisältyvää säännöstä noudatettavasta menettelystä, kun rekisterinpitäjä korjaa tietoa omasta aloitteestaan. Säännökseen ei tehtäisi sisällöllisiä tai kielellisiä muutoksia.
78 §.Viittaukset rangaistussäännöksiin. Pykälän 2 momentista poistettaisiin viittaus henkilötietolain mukaiseen henkilörekisteririkkomukseen. Henkilötietolaki tullaan kumoamaan, eikä tietosuojalakiin ole esitetty vastaavaa säännöstä. Lisäksi pykälän 2 momentin viittaus henkilörekisteririkokseen korvattaisiin viittauksella tietosuojarikokseen. Terminologinen muutos olisi seurausta rikoslakiin ehdotetusta vastaavasta muutoksesta.
3
3. Suhde perustuslakiin ja säätämisjärjestys
Perustuslain 10 §:n 1 momentissa turvataan jokaisen yksityiselämä ja edellytetään, että henkilötietojen suojasta säädetään lailla. Perustuslain lakiviittaus henkilötietojen suojasta edellyttää lain tasoisia säännöksiä tästä oikeudesta, mutta se jättää sääntelyn yksityiskohdat lainsäätäjän harkintaan.
Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa kuitenkin se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on ratkaisukäytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (esim. PeVL 31/2017 vp, PeVL 13/2016 vp, s. 3—4).
Esityksellä ei ehdoteta muutettavaksi väestötietojärjestelmän käyttötarkoitusta ja tietosisältöä. Tietosisältöä koskevaan väestötietolain 13 §:n tehdään tekninen tarkistus, joka ei muuta säännöksen sisältöä. Rekisteröidyn oikeusturvaa ja tietojen luovutettavuutta koskeviin säännöksiin ehdotetaan joitakin muutoksia. Näiden sisältöä ja perustuslain mukaisuutta on selvitetty alla.
Perustuslakivaliokunta on käytännössään kiinnittänyt huomiota siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on valiokunnan mukaan pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 31/2017, PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot).
Valiokunta on käytännössään arvioinut myös arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).
Esitys sisältäisi ehdotuksia, joilla muutetaan väestötietolain tietojen luovutusta koskevia säännöksiä. Näiden osalta on kuitenkin huomattava, että väestötietolain 13—17 §:ssä on säädetty yksityiskohtaisesti ja tarkkarajaisesti väestötietojärjestelmään talletettavista tiedoista. Vain vähäinen osa tiedoista on luokiteltavissa arkaluonteisiksi. Väestötietolaki sisältää myös yksityiskohtaiset säännökset tietojen luovuttamisesta sekä tietojen käsittelyä ja luovuttamista koskevista rajoituksista.
Esityksessä ehdotetaan poistettavaksi henkilömatrikkelia ja sukututkimusta koskeva erityinen tietojen luovutusta koskeva pykälä. Tietojen luovuttaminen näihin tarkoituksiin jäisi väestötietolain 34 §:n 3 momentin varaan, jolloin tiedot voitaisiin luovuttaa, kun vastaanottajalla on oikeus käsitellä tietoja tietosuoja-asetuksen, tietosuojalain tai muun lain nojalla ja luovuttamisen yleiset edellytykset, mukaan lukien tietojen tarpeellisuus nimettyyn käyttötarkoitukseen, täyttyvät. Henkilömatrikkeliin ja sukututkimukseen ei luovutettaisi sellaisia tietoja, jotka katsotaan arkaluonteiseksi. Esimerkiksi adoptiotietoa tai tietoa sukupuolen vahvistamisesta ei väestötietolain 38 ja 40 §:n nojalla voida luovuttaa henkilömatrikkelia tai sukututkimusta varten. Tietojen luovuttaminen näihin tarkoituksiin voi perustua tarpeellisuuteen ja tietojen vastaanottajan oikeuteen käsitellä tietoja. Lain 34 §:n 3 momentti vastaa perustuslakivaliokunnan asettamia edellytyksiä myös luovutettaessa tietoja henkilömatrikkelia tai sukututkimusta varten.
Esityksellä ehdotetaan muutettavaksi säännös tietojen luovuttamisesta historialliseen ja tieteelliseen tutkimukseen, tilastojen laatimiseen sekä viranomaisen suunnittelu- ja selvitystehtäviin. Säännöksestä poistettaisiin viittaus henkilötietolakiin, jossa on aiemmin säädetty käsittelyn edellytyksistä näihin tarkoituksiin. Ehdotuksen mukaan voitaisiin näihin tarkoituksiin luovuttaa tutkimuksen, selvityksen tai muun vastaavan tehtävän hoitamisessa tarpeelliset tiedot. Väestötietolain 28 §:n yleisten edellytysten perusteella edellytettäisiin lisäksi, että vastaanottajalla on tietosuoja-asetuksen mukaan oikeus käsitellä tietoja. Arkaluonteisten tietojen luovuttamisesta näihin tarkoituksiin säädettäisiin jatkossakin erikseen väestötietolain 37—43 §:ssä. Tietojen luovuttaminen näihin tarkoituksiin voi perustua tarpeellisuuteen ja tietojen vastaanottajan tietosuoja-asetuksen mukaiseen oikeuteen käsitellä tietoja. Säännös vastaa perustuslakivaliokunnan asettamia edellytyksiä.
Ehdotetussa väestötietolain 32 §:ssä säädettäisiin voimassa olevassa laista poiketen, että mielipidetutkimukseen voidaan tutkimuksen taustatiedoksi luovuttaa tieto henkilön sukupuolesta, ikäryhmästä ja äidinkielestä, mikäli kyse on tutkimuksesta yhteiskunnallisiin tarkoituksiin. Kyse on yksityiskohtaisesta tietojen luovutusta säännöksestä, joka täyttää perustuslakivaliokunnan esittämät vaatimukset. Muilta osin säännöstä ei muutettaisi.
Väestötietolain 43 §:n ehdotettu muutos olisi lähinnä tekninen. Jatkossa henkilötunnuksen käsittelyn edellytyksistä säädettäisiin henkilötietolain sijasta tietosuojalaissa ja rikos- ja turvallisuusasioiden tietosuojalaissa. Säännöstä muutettaisiin vastaavasti.
Euroopan unionin yleisessä tietosuoja-asetuksessa vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Perustuslakivaliokunta ei ole tunnistanut estettä sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 31/2017 vp, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4, PeVL 54/2010 vp, s. 2/I—II).
Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö mahdollistaa kansallista sääntelyä, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. Pe VL 31/2017 vp ja 25/2005 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (Pe VL 31/2017 vp, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).
Tietosuoja-asetuksen 23 artiklassa annetaan jäsenvaltioille kansallista liikkumavaraa rekisteröidyn oikeuksien soveltamisalan suhteen. Jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteillä rajoittaa asetuksen 12—22 artiklassa, 34 artiklassa ja 5 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata jokin 23 artiklassa säädetty oikeushyvä. Yksi peruste rajoitukselle on 23 artiklan 1 kohdan e alakohdan mukaan, että rajoituksella voidaan taata jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. Tällaisia tavoitteita ovat erityisesti jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, kansanterveys ja sosiaaliturva.
Esityksessä ehdotetaan säännöstä, jolla rajoitettaisiin tietosuoja-asetuksen 18 artiklan soveltamisalaa niin, että rekisteröidyllä ei olisi oikeutta pyytää tietojensa käsittelyn rajoittamista väestötietojärjestelmässä tai Väestörekisterikeskuksen varmentajan toimintaan liittyvissä järjestelmissä. Vaikka artiklasta ei poikettaisi, sen soveltamisala väestötietojärjestelmässä ja Väestörekisterikeskuksen varmentajan toimintaan liittyvissä rekistereissä rajoittuisi siihen, että henkilö voisi pyytää tietojen käsittelyn rajoittamista niiden virheellisyyden perusteella. Tämä säännös on merkityksellinen myös rekisteröidyn oikeusturvan kannalta.
Väestötietolaissa säädetään yksityiskohtaisesti väestötietojärjestelmän tietosisällöstä, tietojen ylläpidosta, mukaan lukien tietojen oikeellisuuden varmistamisesta, tietojen luovuttamisesta sekä tietojen julkisesta luotettavuudesta. Varmennerekisterien osalta yksityiskohtaiset säännökset henkilötietojen käsittelystä sisältyvät väestötietolakiin ja vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin (617/2009). Nämä säädökset sisältävät yksityiskohtaiset säännökset varmennerekisterien tietosisällöstä, tietojen keräämisestä ja niiden ajantasaisuuden varmistamisesta sekä tietojen luovuttamisesta. Lisäksi väestötietojärjestelmän ja Väestörekisterikeskuksen varmennetoimintaan liittyvien rekistereiden tietojen käsittelyyn sovellettaisiin muilta osin tietosuoja-asetusta. Väestötietolaissa ja vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa on säädetty perustuslakivaliokunnan edellyttämällä tavalla rekisteröidyn oikeusturvasta ja esitetyllä säädöksellä tehtäisiin lain tasoinen tarkkarajainen poikkeus rekisteröidyn oikeuksiin. Säännös sisältyisi 23 artiklassa säädetyn kansallisen liikkumavaran piiriin.
Esityksessä on otettu huomioon henkilötietojen käsittelyä koskevat lainsäädännön asettamat yleiset velvoitteet ja rajaukset sekä perustuslain 10 §:n 1 momentin tulkintaa ohjaava perustuslakivaliokunnan ratkaisukäytäntö.
Valtionhallinnon toimielinten yleisistä perusteista on perustuslain 119 §:n 2 momentin mukaan säädettävä lailla, jos niiden tehtäviin kuuluu julkisen vallan käyttöä. Yleisillä perusteilla säännöksessä tarkoitetaan lähinnä yksikön nimeä, toimialaa sekä pääasiallisia tehtäviä ja toimivaltaa (HE 1/1998 vp, s. 174/II). Valtion alue- ja paikallishallinnon perusteista tulee perustuslain 119 §:n 2 momentin mukaan säätää lailla. Perustuslain varsin yleisellä säännöksellä on ollut tarkoitus mahdollistaa valtionhallinnon joustava kehittäminen (HE 1/1998 vp, s. 173/II). Valtion alue- ja paikallishallinnon perusteilla tarkoitetaan alue- ja paikallishallinnon yleistä rakennetta, kuten hallinnollisen jaotuksen perusteita. Muilta osin säännöksiä alue- ja paikallishallintoviranomaisista voidaan antaa asetuksella (PeVL 12/2004 vp, PeVL 42/2006 vp, PeVL 5/2008 vp).
Perustuslakivaliokunta on käytännössään suhtautunut pidättyvästi sääntelyyn, joka mahdollistaa tehtävien rajoituksettoman siirron toiselle viranomaiselle. Valiokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti tai muuten täsmällisesti tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat sekä toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 18/2004 vp sekä siinä viitatut PeVL 7/2001 vp, PeVL 21/2001 vp, PeVL 45/2001 vp, PeVL 47/2001 vp, PeVL 52/2001 vp ja PeVL 17/2004 vp).
Esityksessä väestötietolain 22 §:n säännöksiä muiden viranomaisten toimivallasta ehdotetaan muutettavaksi siten, että Maahanmuuttovirasto voisi tallettaa ulkomaan kansalaista koskevat rajatut tiedot väestötietojärjestelmään ilman ulkomaan kansalaisen pyyntöä. Muutosesityksellä ei laajenneta tietojen tallettamiseen ja pyyntöjen vastaanottamiseen oikeutettujen viranomaisten piiriä. Kyse on teknisluonteisesta muutoksesta, jolla on tarkoitus parantaa ulkomaan kansalaisten asemaa nopeuttamalla henkilötunnuksen saamista, kun Maahanmuuttovirasto tekee myönteisen oleskeluoikeutta koskevan ratkaisun. Maahanmuuttoviraston toimivalta pysytettäisiin muilta osin. Muutos koskee ainoastaan sitä, että tietyissä tilanteissa tiedon tallettaminen voitaisiin suorittaa ilman henkilön pyyntöä. Esitys on perustuslain 119 §:ssä asetettujen ja sen tulkintaa koskevasta perustuslakivaliokunnan ratkaisukäytännöstä ilmenevien vaatimusten mukainen.
Perustuslain 80 §:n 1 momentin mukaan valtioneuvosto voi antaa asetuksia perustuslaissa tai muussa laissa säädetyn valtuuden nojalla. Lailla on kuitenkin säädettävä yksilön oikeuksien ja velvollisuuksien perusteista sekä asioista, jotka perustuslain mukaan muuten kuuluvat lain alaan. Esityksessä asetuksen antamiseen valtuuttavia säännöksiä sisältyy ehdotettuun 22 ja 32 §:n. Esityksessä asetuksen antamiseen valtuuttavia säännöksiä ei kuitenkaan ehdoteta muutettavaksi. Esityksessä ehdotetut asetuksenantovaltuudet vastaavat voimassaolevaa sääntelyä ja täyttävät perustuslain asettamat edellytykset.
Edellä kerrotun perusteella lakiehdotus voidaan hallituksen käsityksen mukaan käsitellä tavallisessa lainsäätämisjärjestyksessä.