1.1
Laki henkilötietojen käsittelystä poliisitoiminnassa
1 luku Yleiset säännökset
1 §.Soveltamisala. Pykälässä säädettäisiin lain soveltamisalasta. Lakia sovellettaisiin 1 momentin mukaan poliisilain 1 luvun 1 §:ssä tarkoitettujen poliisille kuuluvien tehtävien suorittamiseksi tarpeellisten henkilötietojen kokonaan tai osittain automaattiseen käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Lain soveltamisala rajautuisi henkilötietojen käsittelytarkoituksen perusteella. Säännös vastaisi tältä osin voimassa olevan poliisin henkilötietolain soveltamisalasäännöstä. Poliisin henkilötietolakia sovellettaisiin nykyistä vastaavasti ainoastaan poliisin käsitellessä henkilötietoja poliisilaissa säädettyjen tehtävien suorittamiseksi. Lakia ei siten sovellettaisi esimerkiksi henkilöstö- ja taloushallintoon liittyvään henkilötietojen käsittelyyn.
Mikäli poliisilaissa tarkoitettujen poliisin tehtävien suorittamiseksi tarpeellisesta henkilö-tietojen käsittelystä säädetään muualla laissa poliisin henkilötietolaista poikkeavasti, sovellettaisiin muun lain säännöksiä tämän lain asemasta. Poliisin tehtäviin liittyvää henkilötietojen käsittelyä koskevia säännöksiä sisältyy muun muassa rahanpesulakiin, rahanpesun selvittelykeskuksesta annettuun lakiin, todistajansuojeluohjelmasta annettuun lakiin sekä ehdotettuun lakiin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa. Erikseen säädetään myös henkilötietojen käsittelystä ulkomaalaisrekisterissä (ulkomaalaisrekisteristä annettu laki ja sen korvaava ehdotettu maahanmuuttohallinnon henkilötietolaki) sekä hätäkeskustietojärjestelmässä (hätäkeskustoiminnasta annettu laki). Poliisin henkilötietolakia sovellettaisiin kuitenkin täydentävästi poliisin tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn siltä osin kuin erityislainsäädäntöön ei sisälly poliisin henkilötietolaista poikkeavia säännöksiä.
Pykälän 2 momentissa huomioitaisiin suojelupoliisin nykyinen asema sisäministeriön alaisena poliisiyksikkönä. Suojelupoliisi toimi vuoden 2016 alkuun asti poliisin hallinnosta annetun lain 1 §:n mukaisesti poliisin ylijohtona toimivan Poliisihallituksen alaisena yksikkönä. Poliisin hallinnosta annetun lain muutoksella 860/2015 suojelupoliisi muutettiin sisäministeriön alaiseksi valtakunnalliseksi yksiköksi. Koska suojelupoliisi ei enää toimi 2 luvussa tarkoitettujen tietojen rekisterinpitäjäksi ehdotetun Poliisihallituksen alaisuudessa, perustuisi tiedonvaihto suojelupoliisin ja muiden poliisiyksiköiden välillä jatkossa tietojen luovuttamista ja tiedonsaantioikeuksia koskeviin säännöksiin. Muutosta vastaavasti suojelupoliisin henkilötietojen käsittelyyn sovellettavat säännökset koottaisiin erilliseen 7 lukuun. Muita ensimmäisen lakiehdotuksen lukuja ei sovellettaisi suojelupoliisin henkilötietojen käsittelyyn.
2 §.Suhde muuhun lainsäädäntöön. Pykälän 1 ja 2 momentissa tarkennettaisiin, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin lakiehdotuksessa tarkoitettuun henkilötietojen käsittelyyn ja miten lakiehdotuksessa tarkoitettu henkilötietojen käsittely jakautuu suhteessa näiden yleissäädösten soveltamisalaan.
Poliisin henkilötietojen käsittelyyn sovelletaan nykyään yleislakina henkilötietolakia. EU:n tietosuojapaketin voimaantulo kuitenkin eriyttää säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa säädöstä. Osaan poliisin henkilötietojen käsittelyä sovellettaisiin yleissäädöksenä tietosuoja-asetusta ja sitä täydentävää kansallista tietosuojalakia (HE 9/2018 vp). Suurimpaan osaan lakiehdotuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä sovellettaisiin kuitenkin yleislakina rikosasioiden tietosuojalakia, jolla pannaan täytäntöön tietosuojadirektiivi. Ehdotettu poliisin henkilötietolaki olisi mainittuja yleissäädöksiä täydentävä erityislaki.
Rikosasioiden tietosuojalakia sovellettaisiin kyseisessä laissa määriteltyjen toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä.
Poliisin henkilötietolain säännökset, jotka kuuluvat tietosuojadirektiivin täytäntöönpano-lainsäädännön soveltamisalaan, ehdotetaan rajattavaksi direktiivin johdanto-osan 12 kappaleen perustelujen mukaisesti. Kyseisen perustelukappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua vallan käyttö toteuttamalla pakkokeinoja, kuten mielenosoituksissa, suurissa urheilutapahtumissa ja mellakoissa toteutetut poliisin toimet. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu poliisiviranomaisten tai muiden lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen.
Lakiehdotuksen 2 luvun säännöksistä rikosasioiden tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 5—8 §:ssä ja 10 §:ssä säädetyt käsittelytarkoitukset sekä 9 §:ssä tarkoitettujen tietolähdetietojen käsittely silloin kun se kohdistuu 5—8 §:ssä säädettyihin käsittelytarkoituksiin.
Tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalasta on rajattu pois henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan. Unionin oikeuden ulkopuolelle jää muun muassa henkilötietojen käsittely, jota suoritetaan kansallisen turvallisuuden varmistamiseen liittyvien tehtävien yhteydessä. Rikosasioiden tietosuojalakia sovellettaisiin esityksen HE 31/2018 vp perusteella kuitenkin toimivaltaisten viranomaisten henkilötietojen käsittelyyn, jota suoritetaan kansallisen turvallisuuden ylläpitämisen yhteydessä. Toimivaltaisia viranomaisia ovat esityksen mukaan tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin rikosasioiden tietosuojalain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta. Tietosuojadirektiivi mahdollistaa direktiivin mukaisen sääntelyn ulottamisen kansallisesti myös henkilötietojen käsittelyyn kansalliseen turvallisuuden ja puolustuksen alalla. Rikosasioiden tietosuojalakia sovellettaisiin suojelupoliisin lisäksi myös muiden poliisiyksiköiden suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.
Pykälän 1 momentin 2 kohta sisältäisi viittaussäännöksen julkisuuslakiin. Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Tietosuoja-asetuksen 86 artiklan mukaisesti viranomaiset tai julkis- tai yksityisoikeudelliset yhteisöt voivat luovuttaa viranomaisten tai yhteisöjen hallussa yleisen edun vuoksi toteutetun tehtävän suorittamiseksi olevien virallisten asiakirjojen sisältämiä henkilötietoja sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jota viranomaiseen tai yhteisöön sovelletaan, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja oikeus henkilötietojen suojaan. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään.
Poliisin henkilöstöön kuuluvan virkamiehen vaitiolovelvollisuudesta ja vaitiolo-oikeudesta säädetään julkisuuslain lisäksi poliisilain 7 luvussa. Poliisilain 7 luvun säännöksiä sovellettaisiin jatkossakin yksittäisten henkilötietojen luovuttamiseen poliisin henkilörekistereistä. Ehdotettu poliisin henkilötietolaki sisältäisi säännökset henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona sekä tarvittavat yleislainsäädäntöä täydentävät säännökset henkilötietojen luovuttamisesta ulkomaille.
Direktiivin johdanto-osan 12 kappaleen mukaan jäsenvaltiot voivat antaa toimivaltaisille viranomaisille muita tehtäviä, joita ei välttämättä suoriteta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten eikä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Siltä osin kuin näitä muita tarkoituksia varten suoritettava henkilötietojen käsittely kuuluu unionin oikeuden soveltamisalaan, se kuuluu tietosuoja-asetuksen soveltamisalaan.
Pykälän 2 momentti sisältäisi viittauksen tietosuoja-asetukseen, joka on poliisiin suoraan sovellettavaa lainsäädäntöä. Kun kyse on poliisilain 1 luvun 1 §:ssä säädetyistä poliisin tehtävistä, henkilötietoja käsitellään rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, mikä mahdollistaa tietosuoja-asetuksen täsmentämisen ja täydentämisen kansallisella lainsäädännöllä. Tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa on mahdollista käyttää tietosuojalain lisäksi myös erityislainsäädännössä. Poliisin tehtäviin liittyvää, tietosuoja-asetuksen soveltamisalaan kuuluvaa henkilötietojen käsittelyä koskeva sääntely muodostuisi jatkossa tietosuoja-asetuksesta, sitä täydentävästä yleisestä tietosuojalaista, ehdotetusta poliisin henkilötietolaista sekä muusta poliisin tehtäviä koskevasta erityislainsäädännöstä, joka sisältää henkilötietojen käsittelyn oikeusperusteita koskevaa sääntelyä.
Ensimmäisen lakiehdotuksen 2 luvun säännöksistä tietosuoja-asetuksen soveltamisalaan kuuluisivat 11 §:ssä säädetyt käsittelytarkoitukset sekä 9 §:ssä tarkoitettujen tietolähdetietojen käsittely silloin kun se kohdistuu 11 §:ssä säädettyihin käsittelytarkoituksiin. Käsittelytarkoituksia, käsiteltäviä henkilöryhmiä ja käsiteltävien tietojen tyyppiä täsmentävien 11 ja 12 §:n lisäksi lakiehdotukseen sisältyy myös muita 6 artiklassa tarkoitettuja erityisiä säännöksiä, joilla mukautettaisiin tietosuoja-asetuksen sääntöjen soveltamista. Nämä säännökset koskevat henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, luovuttamista, säilytysaikaa, rekisteröidyn oikeuksien toteuttamista ja rajoituksia rekisteröidyn oikeuksiin.
Muuhun kuin alkuperäiseen käyttötarkoitukseen tapahtuvan henkilötietojen käsittelyn (lakiehdotuksen 13—15 §) osalta sovellettava yleissäädös määräytyisi sen mukaisesti, mihin alkuperäisestä käsittelytarkoituksesta poikkeavaan tarkoitukseen henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen kuuluisi tietosuojadirektiivin täytäntöönpanolainsäädännön soveltamisalaan silloin, kun kyse on tietojen käsittelystä rikosasioiden tietosuojalain 1 §:ssä säädettyihin tarkoituksiin.
Pykälän 3 momentti sisältäisi informatiivisen viittauksen, jonka mukaan poliisin tiedon-hankinnasta ja siihen liittyvistä toimivaltuuksista säädetään erikseen. Poliisin toimivaltuuksista hankkia rikosten estämiseksi ja paljastamiseksi sekä vaaran torjumiseksi tarvittavaa tietoa säädetään poliisilaissa ja toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään pakkokeino- ja esitutkintalaeissa. Poliisin toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun poliisin tehtäviä koskevaan erityislainsäädäntöön. Poliisi saa lisäksi tehtäviensä yhteydessä henkilötietoja myös tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten tehdessään havaintoja kenttätoiminnan yhteydessä ja sellaisen yleisessä tietoverkossa tapahtuvan valvonnan kautta, joka ei kohdistu tiettyyn henkilöön.
Lakiehdotuksen 3 luku sisältää myös poliisin tiedonsaantioikeuksia koskevaa sääntelyä. Nämä 3 luvun säännökset täsmentävät poliisilain 4 luvussa säädettyjä tiedonsaantioikeuksia siltä osin kuin kyse on tietojen saamisesta teknisen käyttöyhteyden välityksellä tai tietojoukkona.
3 §.Määritelmät. Pykälä vastaisi pääosin voimassa olevan lain sääntelyä ja sisältäisi Schengen- ja Europol-yhteistyöhön liittyvät kansalliset määritelmät sekä Eurodac-asetuksen määritelmän. Muilta osin lakiehdotuksen mukaiseen henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalain ja tietosuoja-asetuksen sisältämiä määritelmiä.
2 luku Henkilötietojen käsittely
Lain 2 luvussa täsmennettäisiin ne käsittelytarkoitukset, joihin poliisi saisi käsitellä henkilö-tietoja tehtäviensä suorittamiseksi sekä kunkin käyttötarkoituksen osalta sallitut tietosisällöt. Käsiteltäviä tietosisältöjä koskevat säännökset eivät sisältäisi voimassa olevan poliisin henkilötietolain valtakunnallisten tietojärjestelmien tietosisältöä koskevia säännöksiä vastaavia yksityiskohtaisia tietoluetteloita, vaan säännöksissä säädettäisiin käsiteltävistä tietoluokista. Tietoluokkien tarkempi sisältö määräytyisi käsittelytarkoituksen perusteella. Sääntelytekniikka olisi tältä osin nykyistä joustavampi. Käsittelytarkoituksia ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eivätkä säännökset mahdollistaisi tarkoituksen kannalta tarpeettomien henkilötietojen käsittelyä.
Voimassa olevan poliisin henkilötietolain 11 §:n säännökset salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä sekä 12 §:n säännökset yksittäiseen tehtävään liittymättömien tietojen käsittelystä poistettaisiin sääntelytekniikan muutoksen myötä tarpeettomina. Mainituissa pykälissä tarkoitettuja tietoja voitaisiin käsitellä ehdotetussa 2 luvussa, poliisilaissa ja pakkokeinolaissa säädettyjen käsittelyedellytysten täyttyessä. Voimassa olevan lain 6 §:n poliisin muita henkilörekistereitä koskeva sääntely poistettaisiin vastaavasti tarpeettomana. Voimassa olevan lain 10 §:n sääntely arkaluonteisten tietojen käsittelystä korvattaisiin käsittelytarkoituskohtaisiin tietosisältösäännöksiin sisältyvillä erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyedellytyksiä koskevalla sääntelyllä.
Ehdotettu 2 luku sisältäisi myös säännökset henkilötietojen käsittelystä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen (13—15 §). Näillä säännöksillä korvattaisiin voimassa olevan lain 4 luvun 16 ja 16 a §:n säännökset tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen.
4 §.Henkilön perustietojen käsittely. Pykälä sisältäisi yksityiskohtaisen luettelon henkilön perustiedoista, joiden käsittely olisi tarvittavin osin sallittua 5, 7, 9 ja 11 §:ssä säädettyihin tarkoituksiin. Perustietojen luetteloa sovellettaisiin kaikkiin 2 luvun mukaisiin alkuperäisiin henkilötietojen käsittelytarkoituksiin lukuun ottamatta 10 §:ssä tarkoitettua DNA-näytteiden laadun varmistamiseksi suoritettavaa henkilötietojen käsittelyä, johon sovellettaisiin 10 §:n mukaista suppeampaa henkilötietoluetteloa.
Luettelon mukaiset perustiedot vastaisivat sisällöltään pääosin poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja epäiltyjen tietojärjestelmään voimassa olevan lain 2, 3 ja 4 §:n perusteella talletettavia henkilöllisyyttä koskevia tietoja. Luetteloon ehdotetaan lisättäväksi uusina kohtina asiointikieli sekä edunvalvontaa, konkurssiin asettamista tai liiketoimintakieltoon määräämistä koskeva tieto ja tieto asevelvollisuuden suorittamisesta. Mainittuja tietoja on voimassa olevan lain mukaisesti voinut käsitellä asiaan liittyvinä muina tietoina, mutta selvyyden vuoksi niistä säädettäisiin jatkossa henkilön perustietojen käsittelyä koskevassa säännöksessä. Pykälässä tarkoitettuja perustietoja saisi käsitellä kaikista 5, 7, 9 ja 11 §:ssä tarkoitetuista henkilöryhmistä silloin, kun tiedot ovat käsittelytarkoituksen kannalta tarpeellisia.
Henkilötietojen alkuperäisiä käsittelytarkoituksia koskevissa 5—9, 11 ja 12 §:ssä säädettäisiin tarkemmat kriteerit sekä perustietojen että niiden lisäksi käsiteltävien muiden tarpeellisten henkilötietojen käsittelylle.
5 §.Henkilötietojen käsittely tutkinta- ja valvontatehtävissä. Pykälässä tarkoitettaisiin rikosasioiden tietosuojalain mukaista henkilötietojen käsittelyä rikosten selvittämiseksi tai syyteharkintaan saattamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten selvittämisen yhteydessä.
Pykälän 1 momentissa täsmennettäisiin tarkoitukset, joihin poliisi voisi käsitellä tutkinta- ja valvontatehtävien suorittamiseksi tarpeellisia henkilötietoja. Säännöksellä katettaisiin kaikenlainen poliisin suorittama tutkinta ja selvittäminen, mukaan lukien esitutkintaa edeltävä selvittäminen sekä muu poliisin toimitettavaksi laissa säädetty tutkinta kuin rikoksen johdosta toimitettava esitutkinta (poliisitutkinta). Myös esitutkintaan tai poliisitutkintaan sisältyvä tekninen tutkinta kuuluisi säännöksen soveltamisalaan. Säännös korvaisi voimassa olevan lain säännökset, jotka koskevat rikoksesta epäillyn tai esitutkinnan, poliisitutkinnan, poliisin toimenpiteen taikka pakkokeinon kohteena olevan henkilön, ilmoittajan, todistajan tai asianomistajana esiintyvän tai muutoin asiaan liittyvän henkilön tietojen tallettamista poliisiasiain tietojärjestelmään.
Pykälää sovellettaisiin lisäksi henkilötietojen käsittelyyn, joka liittyy yleisen järjestyksen ja turvallisuuden ylläpitämiseen. Tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua poliisilaissa tai muualla lainsäädännössä poliisille säädettyjen toimivaltuuksien käyttäminen esimerkiksi mielenosoitusten, suurten urheilutapahtumien ja mellakoiden yhteydessä. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu poliisiviranomaisten tai muiden lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen. Pykälän soveltamisalaan kuuluisivat erityisesti kenttätoiminnan yhteydessä ja hälytystietoina käsiteltävät henkilötiedot sekä virka-aputehtäviin ja poliisille säädettyihin valvontatehtäviin liittyvä henkilötietojen käsittely silloin kun näillä tehtävillä on tietosuojadirektiivissä ja sen täytäntöönpanolain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälällä korvattaisiin myös sellaiset voimassa olevan lain 6 §:ssä tarkoitetut rikosanalyysia varten perustetut tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden selvittäminen. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen koskevat 13 ja 14 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja voitaisiin hyödyntää 5 §:ssä tarkoitettuihin käsittelytarkoituksiin. Rikoksen tai rikoskokonaisuuden estämiseksi tai paljastamiseksi perustettuja tilapäisiä analyysirekistereitä koskeva voimassa olevan lain 6 §:n sääntely sisältyisi jatkossa ehdotettuun 7 ja 8 §:ään.
Pykälän 2 momentissa täsmennettäisiin henkilöryhmät, joita koskevia tietoja 1 momentin mukaisiin tarkoituksiin saisi käsitellä. Alle 15-vuotiaat rikollisesta teosta epäillyt henkilöt huomioitaisiin voimassa olevan lain 2 §:stä poiketen erikseen. Lisäksi poliisin kenttätehtäviin ja laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyvät henkilöt mainittaisiin luettelossa omana ryhmänään. Tehtäviin välittömästi liittyvinä pidettäisiin esimerkiksi henkilöitä, joiden henkilötietoja poliisin on käsiteltävä kenttätehtävien yhteydessä kirjattavien lastensuojeluilmoitusten käsittelyä varten. Kohdan nojalla voitaisiin tarvittaessa tallettaa myös esimerkiksi sellaisen yhteyshenkilön tiedot, jota tarvitaan kenttä- tai valvontatehtävään liittyvään tilaan pääsemiseksi. Muutoin asiaan liittyvä henkilö voisi olla erityisesti mahdollinen lisätietojen antaja, joka kuitenkaan ei olisi todistajan asemassa. Muutoin asiaan liittyvät henkilöt kattaisivat myös esimerkiksi asiantuntijan roolissa toimivat henkilöt ja sellaiset henkilöt, jotka liittyvät muuhun tutkintaan kuin esitutkintaan.
Pykälän 3 momentti olisi uusi säännös. Ehdotettu merkityksellisyyden arviointia koskeva säännös on kytköksissä käsittelytarkoitusperusteiseen sääntelytekniikkaan, jolla korvattaisiin voimassa olevan poliisin henkilötietolain rekisteriperusteinen sääntely. Poliisin henkilötieto-laissa säädettäisiin jatkossa kaikesta poliisin tehtävien suorittamiseksi tapahtuvasta henkilö-tietojen käsittelystä sen sijaan, että säädettäisiin vain tietojen tallettamisesta laissa nimettyihin tietojärjestelmiin ja nimettyjen tietojärjestelmien sisältämien tietojen käyttämisestä.
Momentissa olisi kyse poliisin tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Säännöksen yhtenä tavoitteena on selventää nykytilaa niiden tilanteiden osalta, joissa poliisin tehtävien suorittamisen yhteydessä saatuja henkilötietoja on käsiteltävä automaattisen tietojenkäsittelyn avulla niiden sisällön ja merkityksellisyyden arvioimiseksi.
Tietosuojadirektiivin johdanto-osan 18 kappaleen mukaan vakavan väärinkäytösten riskin ennalta estämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
Henkilötietojen automaattista käsittelyä ovat voimassa olevassa poliisin henkilötietolaissa säänneltyjen henkilötietojen tallettamisen, käyttämisen ja luovuttamisen lisäksi myös ne käsittelytoimet, joita suoritetaan ennen tietojen tallettamista poliisin valtakunnallisiin tietojärjestelmiin. Voimassa oleva poliisin henkilötietolaki ei sisällä tätä henkilötietojen käsittelyn vaihetta koskevia säännöksiä, jolloin esimerkiksi henkilötietojen enimmäissäilytysaika jää rekisterinpitäjän tapauskohtaisesti arvioitavaksi. Merkityksellisyyden arviointia koskeva säännös toisi henkilötietojen tarpeellisuuden arvioinnin osaksi poliisin henkilötietolain soveltamisalaa. Samalla merkityksellisyyden arvioimiseksi käsiteltäville henkilötiedoille ehdotetaan säädettäväksi yhdenmukainen kuuden kuukauden enimmäissäilytysaika.
Esimerkiksi poliisilain 4 luvun 2 §:ssä tarkoitetun teknisen valvonnan tietojen osalta säännös selventäisi merkittävästi nykytilannetta, jossa tietojen poistamiselle ei ole säädetty yhdenmukaista määräaikaa. Kuuden kuukauden enimmäissäilytysaika määrittyisi teknisen valvonnan aineiston osalta tietojen alkuperäisen tallennusajankohdan mukaisesti siten, että tiedot olisi poistettava viimeistään kuuden kuukauden kuluttua niiden alkuperäisestä keräämishetkestä.
Nykytilan selventämisen lisäksi 3 momentti merkitsisi myös laajennusta poliisin nykyiseen henkilötietojen käsittelyyn. Säännös mahdollistaisi voimassa olevasta laista poiketen nimenomaisesti henkilötietojen tallettamisen erilliseen henkilörekisteriin sen selvittämiseksi, täyttyvätkö 5 ja 6 §:ssä säädetyt edellytykset tietojen käsittelylle. Henkilötietoja ei saisi käsitellä tutkinta- ja valvontatarkoituksiin, jos on epäselvää täyttyvätkö 5 ja 6 §:ssä säädetyt kriteerit henkilötietojen käsittelylle. Poliisin tehtävien yhteydessä saatuja henkilötietoja voitaisiin kuitenkin käsitellä niiden merkityksellisyyden arvioimiseksi korkeintaan kuuden kuukauden ajan, jos tiedoilla voi olla merkitystä 5 §:ssä säädettyjen tarkoitusten kannalta. Poliisin tehtävien kannalta selvästi merkityksettömät henkilötiedot olisi hävitettävä välittömästi, eikä niitä voitaisi tallettaa tai muuten käsitellä 3 momentin nojalla.
Poliisin toimintaympäristö on merkittävästi muuttunut voimassa olevan poliisin henkilötietolain säätämisen jälkeen. Tavat, joilla poliisi on perinteisesti arvioinut tietojen merkityksellisyyttä, eivät tarjoa riittäviä mahdollisuuksia rikosanalyysissa tarvittavien tietojen käsittelyyn nykyisessä digitaalisessa toimintaympäristössä. Analyysitoiminnan systemaattinen kehittäminen edellyttää mahdollisuuksia tietojen merkityksen arvioimiseen nykyaikaisen tekniikan keinoin. Momentin perusteella käsiteltävät tiedot voisivat olla myös julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä, peräisin olevaa kuvamateriaalia tai tekstiä, johon voi sisältyä suuriakin määriä tietoja henkilöistä, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä.
Tietoja voitaisiin 3 momentin nojalla myös verrata poliisin tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö 5 ja 6 §:ssä säädetyt kriteerit tietojen käsittelylle. Edellytyksenä käsittelylle olisi kuitenkin se, että tiedot on hankittu tai muutoin saatu poliisin tehtävien yhteydessä muualta laista tulevien toimivaltuuksien nojalla. Poliisi ei siten voisi 3 momentin nojalla hankkia sellaisia tietoja, joita sillä ei olisi käytettävissään muualta laista tulevien tiedonhankintavaltuuksien nojalla.
Tietosuojalainsäädäntö edellyttää, että henkilötietoja ei käsitellä tarpeettomasti. Pykälän 3 momentissa säädettäisiin siitä, miten tehtävien yhteydessä saatujen tietojen tarpeellisuutta voidaan arvioida ja varmistaa tietojen merkityksellisyys ennen niiden pidempiaikaista käsittelyä. Momentin viimeisessä virkkeessä korostettaisiin rikosasioiden tietosuojalain 6 §:n mukaista vaatimusta tarpeettomien tietojen poistamisesta ilman aiheetonta viivytystä. Vaatimusta täydentäisi kuuden kuukauden aikarajoitus, jonka kuluessa henkilötietojen merkityksellisyys olisi viimeistään arvioitava.
Pääsy momentissa tarkoitettuihin henkilötietoihin rajattaisiin yleislainsäädännön vaatimusten mukaisesti poliisin käyttöoikeushallinnan kautta vain niille henkilöille, joiden tehtäviin säännöksissä tarkoitettu merkityksellisyyden arviointi kuuluisi. Tietojen käsittely olisi muita käsittelytarkoituksia vastaavasti henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piirissä. Käsittelyä koskisivat kaikki rekisterinpitäjälle laissa asetetut velvoitteet, kuten velvoite varmistaa erityisiin henkilötietoryhmiin kuuluvien tietojen tietoturva niiltä osin kuin käsiteltävään aineistoon sisältyisi tällaisia tietoja. Rekisterinpitäjän olisi myös säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain 19 §:n vaatimusten mukaisesti. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja voidaan käyttää käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin.
Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.
6 §.Tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin henkilötiedot, joita 5 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Sisällöllisesti tiedot vastaisivat pääosin voimassa olevan poliisin henkilötietolain 2 §:n mukaan poliisiasiain tietojärjestelmään talletettavia henkilötietoja.
Pykälän 1 kohdan mukaan käsitellä saisi poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviä tarpeellisia yksilöintejä, kuvauksia ja luokituksia. Tapahtumalla tarkoitettaisiin poliisilain 1 luvun 1 §:n mukaiseen poliisin tehtäväpiiriin kuuluvaa asiakokonaisuutta, josta voi seurata viranomaiselle velvoitteita, kuten selonottovelvoite (esimerkiksi uhkaan liittyvän uhka-arvion tekeminen) tai toimintavelvoite (esimerkiksi velvoite esitutkinnan suorittamiseen). Tapahtuma voi olla myös poliisin oma-aloitteisen toiminnan aikaansaama (esimerkiksi valvontatapahtumat ja niihin liittyvät valvontasuunnitelmat). Tehtävällä tarkoitettaisiin poliisilain 1 luvun 1 §:n mukaiseen poliisin tehtäväpiiriin liittyvään tapahtumaan kuuluvaa suoritetta (esimerkiksi hälytystehtävä, valvontatehtävä, esitutkinta tai poliisitutkinta). Yhteen tapahtumaan voi liittyä useita tehtäviä. Toimenpide on tehtävän osa, jolla on tietty kohde, kuten luonnollinen henkilö, oikeushenkilö, esine, aine tai omaisuus. Yksittäiseen tehtävään voi liittyä useita toimenpiteitä ja eriasteista julkisen vallan käyttöä, kuten henkilöön kohdistuva pakkokeinotehtävä (kiinniottaminen, pidättäminen, matkustuskielto, vangitseminen) tai henkilö-, ajoneuvo- tai omaisuuskuulutus.
Pykälän 1 kohdassa tarkoitettuihin poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti 1) rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen tiedot, 2) lähestymiskieltoa tai todistajansuojelua koskevat tiedot, 3) kenttätehtävien ja laissa erikseen säädettyjen valvontatehtävien tiedot, 4) tiedot pakkokeinoista, poliisin toimenpiteistä sekä esitutkinnan ja poliisitutkinnan vaiheista, 5) tekijän, tapauksen tai teon luokittelua kuvaavat tiedot sekä rikosten sarjoittamiseen ja tekniseen tutkintaan tarvittavat tiedot, 6) tekotavat ja keinot, joita on käytetty tai voidaan käyttää rikosten valmistelussa ja tekemisessä, 7) asiaa käsittelevät viranomaiset ja niiden käyttämät asioiden tunnisteet, ja 8) henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Poliisi voisi 1 kohdan nojalla käsitellä voimassa olevan lain 2 §:n 3 momentin 2 kohtaa vastaavasti myös tietoa henkilöllisyyttä väärinkäyttäneen ja henkilöllisyyden väärinkäytön kohteeksi joutuneen henkilön oikeasta henkilöllisyydestä. Pykälän 1 kohdassa tarkoitettuihin tietoihin sisältyisivät lisäksi yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetun lain (227/2015) 4 §:n nojalla määrättyjä suojelutoimenpiteitä koskevat tiedot, joihin sovelletaan voimassa olevan lain 47 a §:n mukaan poliisin henkilötietolain lähestymiskieltoa koskevia säännöksiä.
Pykälän 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkki-tietoihin kuuluisivat nykyisin poliisiasiain tietojärjestelmään talletettavat 1) henkilökuulutustiedot, joita ovat valokuva, sormenjäljet sekä muuttumattomat fyysiset erityistuntomerkit mm. etsintäkuulutettujen, kansalliseen maahantulokieltoon määrättyjen, valvottua koevapautta suorittavien tai lähestymiskiellolla suojattavien henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi; 2) tunnistettavien tiedot, joita ovat valokuvat, sormenjäljet, hammaskaaviot ja DNA-tunnisteet kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomana löytyneiden vainajien tunnistamiseksi; sekä 3) tuntomerkkitiedot, joita ovat valokuva, sormen-, käden- ja jalanjäljet sekä käsiala-, ääni- ja hajunäyte sekä DNA-tunnisteet rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi. Poliisi voisi nykyistä vastaavasti käsitellä myös henkilön jalkineenjälkiä. Poliisin toimivaltuudesta kerätä kohdassa tarkoitettuja tietoja säädetään muualla lainsäädännössä. Sääntely ei oikeuttaisi käsittelemään tietoja toimivaltuussääntelyä laajemmin.
Rikosasioiden tietosuojalain 11 §:ssä tarkoitettujen erityisiin henkilötietoryhmiin kuuluvien biometristen ja geneettisten tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikos-asioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Biometrisilla tiedoilla tarkoitettaisiin tietosuojadirektiivin 3 artiklan 13 kohtaa ja rikosasioiden tietosuojalain 3 §:n 13 kohtaa vastaavasti luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Esimerkiksi kasvokuvat kuuluisivat siten biometrisiin tietoihin vain silloin, kun ne on saatu henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisen käsittelyn avulla.
Tietosuojadirektiivissä on kiinnitetty erityistä huomiota tarpeeseen rajoittaa geneettisten henkilötietojen käsittelyä (direktiivin johdanto-osan 23 kappale), joka voisi paljastaa arkaluonteista tietoa muun muassa henkilön terveydentilasta. DNA-näytteestä määritettävä DNA-tunniste on kuitenkin poliisille rikoksen selvittämisessä oleellinen tuntomerkkitieto, jonka avulla henkilö voidaan tunnistaa luotettavasti silloin, kun esimerkiksi sormenjälkiä ei ole käytettävissä. Pakkokeinolain 9 luvun 4 §:ssä tarkoitettujen DNA-tunnisteiden lisäksi poliisi käsittelee DNA-tunnisteita myös kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi. Tunnistamiseksi tarpeellisten lähisukulaisten tietojen käsittely edellyttäisi pykälän 2 kohdan mukaan voimassa olevaa lakia vastaavasti asianomaisen henkilön suostumusta.
Pykälän 2 kohdassa tarkoitettuihin tietoihin kuuluisivat myös ulkomaalaisen tunnistamis-tiedot, joihin sisältyvät ulkomaalaislain 131 §:ssä tarkoitetut sormenjäljet, valokuva sekä muut henkilötuntomerkit. Tunnistamistietoja voitaisiin nykyistä vastaavasti käsitellä ulkomaalaislain 131 §:ssä poliisille säädettyjen tehtävien suorittamiseksi eli henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten ja valtion turvallisuuden suojaamiseksi. Tunnistamistietoja voitaisiin käsitellä vain ulkomaalaislain 131 §:ssä tarkoitetuista henkilöryhmistä.
Ulkomaalaisen tunnistamistiedoista säädetään voimassa olevassa laissa osana hallintoasiain tietojärjestelmää. Poliisille ulkomaalaislaissa 131 §:ssä säädetyt tehtävät eivät kuitenkaan rinnastu lakiehdotuksen 11 §:ssä tarkoitettuihin lupahallinto- ja valvontatehtäviin, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyteharkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen. Tunnistamistietoja käsitellään osana poliisille ulkomaalaislaissa erikseen säädettyä valvontatehtävää, ulkomaalaisvalvontaa. Poliisi suorittaa ulkomaalaisvalvontaa joko erillisenä toimenpiteenä tai osana muuta poliisitoimintaa, kuten liikenteenvalvonnan, rikostutkinnan, hälytystehtävien taikka yleiseen järjestykseen tai turvallisuuteen liittyvien tehtävien yhteydessä (HE 169/2014 vp, s. 22). Yhtenä ulkomaalaisvalvonnan tavoitteena on ennalta ehkäistä haavoittavassa asemassa olevien ulkomaalaisten joutumista rikollisten tai rikollisryhmien hyväksikäyttämäksi. Ulkomaalaisvalvonnalla on tietosuojadirektiivissä ja sen täytäntöönpanolain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Kun ulkomaalaisvalvontaa suoritettaisiin muuten kuin tietosuojadirektiivin soveltamisalaan kuuluvissa käsittelytarkoituksissa, sovellettaisiin henkilötietojen käsittelyyn ulkomaalaisrekisteristä annettua lakia sekä sen korvaavaa maahanmuuttohallinnon henkilötietolakia.
Pykälän 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Säännös vastaisi asiallisesti voimassa olevan lain 2 §:n 3 momentin 6 kohtaa. Erityisiin henkilötieto-ryhmiin kuuluvia turvallisuustietoja, kuten terveyteen liittyviä tietoja, voitaisiin käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Poliisi voisi lisäksi voimassa olevaa lakia vastaavasti käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta.
Pykälän 4 kohdassa huomioitaisiin erikseen tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, syyte hylätty, jätetty tutkimatta tai sillensä, sekä tieto ratkaisun lainvoimaisuudesta. Kohta korvaisi voimassa olevan lain 2 §:n 3 momentin 1 kohdan a alakohdan.
Rikosasioiden tietosuojalain 11 §:ssä säädetään tietosuojadirektiivin vaatimusten mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevasta tiukemmasta käsittelykynnyksestä. Pykälän 1—4 kohdissa tarkoitettuihin tietoihin sisältyviä erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvia tietoja voisi sisältyä kaikkiin pykälässä tarkoitettuihin tietoluokkiin, mutta erityisesti sisältyisi 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 3 kohdassa tarkoitettuihin turvallisuustietoihin.
7 §.Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi. Pykälässä tarkoitettaisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaista henkilötietojen käsittelyä rikosten ennalta estämiseksi tai paljastamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten ennalta estämisen ja paljastamisen yhteydessä.
Pykälän 1 momentin mukaan poliisi voisi käsitellä rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi tarpeellisia henkilötietoja. Pykälällä korvattaisiin voimassa olevan lain epäiltyjen tietojärjestelmää koskeva säännös, joka ei nykymuodossaan palvele kokonaisvaltaisesti poliisin ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä toimintaan johtavan päätöksenteon kaikilla tasoilla. Pykälä korvaisi myös sellaiset voimassa olevan lain 6 §:ssä tarkoitetut rikosanalyysia varten perustetut poliisiyksikkökohtaiset tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Säännös mahdollistaisi tietojen valtakunnallisen käsittelyn.
Rikoksen estämisen määritelmä lisättiin poliisilain 5 luvun 1 §:n 2 momenttiin vuoden 2014 alussa voimaan tulleessa kokonaisuudistuksessa. Rikoksen estämisellä tarkoitetaan toimenpiteitä, joiden tavoitteena on estää rikos, sen yritys tai valmistelu, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan perustellusti olettaa hänen syyllistyvän rikokseen, taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Rikoksen estämisestä on kysymys silloin, kun teko kyettäisiin estämään ennen kuin tunnusmerkistön mukaiseen täytäntöönpanotoimeen on ryhdytty (HE 224/2010 vp, s. 89).
Poliisilain 1 luvun 1 §:ssä tarkoitettu rikosten ennalta estäminen on kuitenkin käsitteenä laaja-alaisempi kuin rikoksen estäminen. Myös rikosten ennalta estäminen liittyy rikostorjunnan yläkäsitteeseen, joka kattaa rikosten paljastamisen, selvittämisen ja syyteharkintaan saattamisen, mutta myös sellaiset määreet kuten turvallisuus ja turvallisuuden tunne. Poliisilain esitöissä todetaan yleisesti, että rikoksiin liittyvien toimenpiteiden katsotaan kuuluvan oikeus- ja yhteiskuntajärjestyksen turvaamisen yläkäsitteen piiriin (HE 224/2010, s. 70). Rikosten ennalta estäminen on osa poliisin ennalta estävää toimintaa, joka pyritään toteuttamaan kokonaisvaltaisesti kaikessa poliisitoiminnassa. Näin ollen käsite kytkeytyy läheisesti myös yleiseen järjestyksen ja turvallisuuden ylläpitämiseen.
Vuonna 1995 voimaan tulleen poliisilain perusteluiden mukaan rikostorjunta on poliisille kuuluva tehtäväkokonaisuus, jossa rikosten ennalta estämiseen ja selvittämiseen kuuluvia toimenpiteitä ei ole mahdollista erottaa toisistaan (HE 57/1994 vp, s. 59). Maininnassa korostuu poliisin tehtäväkentän monimutkaisuus ja laaja-alaisuus. Rikosten ennalta estämisellä tavoitellaan ensisijaisesti preventiivisyyttä, jossa potentiaalisiin rikoksentekijöihin vaikutetaan jo ennen kuin rikosta on tapahtunut. Poliisin moniviranomaisyhteistyönä toteuttama Ankkuri-toimintamalli on esimerkki tällaisesta varhaisen vaiheen turvallisuustyöstä.
Rikoksentorjuntaneuvosto jaottelee rikostorjunnan viitekehykseen liittyen rikosten ennalta estämisen kahteen kategoriaan; sosiaaliseen ehkäisemiseen ja rikosten tilannetorjuntaan. Sosiaalisessa ehkäisemisessä pyritään vaikuttamaan ihmisten itsekontrolliin ja sitoutumiseen normaaliin yhteiskuntaan, muun muassa kohdentamalla toimenpiteitä syrjäytymisvaarassa oleviin nuoriin tai rikoksenuusijoihin. Rikollisuuden tilannetorjuntaan liittyy rikoksenteon vaikeuttaminen, rikoksenteon riskien lisääminen ja rikoksesta saatavan hyödyn vähentäminen. (Rikoksentorjuntaneuvosto, 2013). Molemmissa ulottuvuuksissa poliisilla on oma roolinsa yhdessä muiden viranomaisten kanssa.
Rikosten ennalta estämiseksi suoritettava rikosanalyysi edellyttää pohjakseen tietoa. Erilaisten uhkien tunnistamien jo hiljaisista signaaleista ja mahdollisesti eri lähteistä tulleiden tietojen yhdistämisen kautta parantaa poliisitoiminnan tehokkuutta sekä poliisin mahdollisuuksia torjua rikoksia ja rikollisuutta mahdollisimman aikaisessa vaiheessa. Ennen rikoksen estämistä tarkka tunnusmerkistö tai rikosnimike ei aina ole tiedossa. Kyse voi olla esimerkiksi siitä, että poliisille tulleen tiedon mukaan henkilö on velkaantunut ja suunnittelee omaisuusrikoksen tekemistä. Toisena esimerkkinä voidaan mainita tilanne, jossa henkilö on vapautunut vankilasta suoritettuaan pitkän tuomion väkivaltarikoksista. Poliisin saamien rikostiedustelutietojen mukaan henkilön käyttäytyminen on edelleen väkivaltaista erityisesti päihteiden käytön yhteydessä. On syytä olettaa että henkilö tulee syyllistymään tulevaisuudessa väkivaltarikokseen, jonka tarkempi rikosnimike ei ole tiedossa. Tällaisen tiedon käsittely mahdollistaa arvioinnin oletettavissa olevan uhkan tasosta sekä mahdollisten toimenpiteiden käynnistämisestä. Toimenpiteet voivat pitää sisällään mm. pyrkimyksen päihdekierteen katkaisemiseen ja erilaiset tukitoimenpiteet yhteistyössä muiden viranomaisten kanssa.
Rikosten paljastaminen lisättiin poliisilain 1 luvussa 1 §:n 1 momentissa lueteltuihin poliisin tehtäviin vuoden 2014 alussa voimaan tulleen poliisilain kokonaisuudistuksen yhteydessä. Ennen poliisilain kokonaisuudistusta rikosten paljastamisen käsitettä oli jo käytetty poliisin tiedonhankintatoimivaltuuksia koskevissa säädöksissä, joissa määriteltiin tiedonhankinta-keinojen käyttöalan ulottuvan rikosten estämisen ja selvittämisen ohella myös niiden paljastamiseen. Rikosten estämisen ja paljastamisen välinen ero oli kuitenkin aikaisemmassa lainsäädännössä tulkinnallisesti häilyvä. Ennen vuoden 2014 poliisilain uudistusta käytännön poliisitoiminnassa käytettiinkin yleisesti estämisen tai selvittämisen oheen paljastamisen käsitettä tilanteissa, joissa hyödynnettiin aktiivisesti poliisilain mukaisia salaisia tiedonhankintakeinoja rikoksen "estämiseksi", kun esitutkintakynnyksen ei vielä ollut arvioitu ylittyneen, tai vastaavasti kun toiminta oli jo ylittänyt esitutkinnan syytä epäillä -kynnyksen. Tätä tulkinnallista epäselvyyttä täsmennettiin lisäämällä poliisilain salaisia tiedonhankintakeinoja käsittelevään uuteen 5 lukuun rikoksen estämisen ja paljastamisen yksilöidyt määritelmät poliisilain vuoden 2014 kokonaisuudistuksen yhteydessä.
Rikoksen paljastamisella tarkoitetaan poliisilain 5 luvun 1 §:n 3 momentin määritelmän mukaan toimenpiteitä, joiden tavoitteena on selvittää, onko esitutkinnan aloittamiselle esitutkintalain 3 luvun 3 §:n 1 momentissa tarkoitettua perustetta, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan olettaa, että rikos on tehty. Rikoksen estämisen ja paljastamisen määritelmillä on vaikutusta siihen, mitä tiedonhankintakeinoja poliisi saa käyttää rikoksiin liittyen eri vaiheissa sekä millä edellytyksissä eri tiedonhankintakeinoilla hankittuja tietoja saisi käsitellä ja tallentaa.
Esimerkiksi huumausainerikollisuus on tyypillistä piilorikollisuutta, jossa varsinkin maahantuonti- ja välittäjäportaassa tavoitellaan suurta taloudellista hyötyä. Toiminnalla on usein kytkentä tunnettuihin järjestäytyneisiin rikollisryhmiin ja se täyttää myös rikoslain 6 luvun 5 § 2 momentin määritelmän siitä, mitä järjestäytyneellä rikollisryhmällä tarkoitetaan. Tyypillisesti poliisin saadessa tietoa huumausaineiden välittämisestä rikollista toimintaa on saattanut tapahtua jo pidempiä aikoja, mutta esitutkintakynnys ei ole vielä ylittynyt. Tällöin kyseeseen tulevat rikoksen paljastamiseen liittyvät elementit, jolloin poliisilla on tarvetta käsitellä sellaisten henkilöiden tietoja, joiden voidaan olettaa syyllistyneen huumausainerikokseen tai törkeään huumausainerikokseen ja jatkavan kyseistä toimintaa edelleen. Voimassa oleva poliisilaki mahdollistaa 5 luvun salaisten tiedonhankintakeinojen käytön rikoksen paljastamiseksi ainoastaan 3 § mukaisissa rikoksissa, joihin eivät kuulu esimerkiksi rikoslain 50 luvussa määritellyt huumausainerikokset tai vakavatkaan väkivaltarikokset ilman rikoslain 34 a luvussa tarkoitettua terroristista tarkoitusta. Poliisilla on kuitenkin mahdollisuus suorittaa muita toimenpiteitä kyseisten rikosten paljastamiseksi. Erityisen tärkeäksi näissä tapauksissa nousee käytettävissä olevien tietojen käsittely ja yhdistely eli analysointi, joka edellyttää käsittelykynnyksen ylittäneiden tietojen tallettamista asianmukaiseen tietojärjestelmään.
Rikosten ennalta estämiseksi ja paljastamiseksi tapahtuvan tietojen käsittelyn intressi on tiedustelullinen. Tietoja käsiteltäisiin poliisitoiminnan suuntaamiseksi, mutta myös laaja-alaisesti turvallisuusympäristössä tapahtuvien muutosten havainnoimiseksi, pyrkimyksenä ennalta estävyys ja turvallisuuden ylläpitäminen. Tiedustelullisen tiedonintressin keskeisenä tavoitteena on paremman ymmärryksen saaminen turvallisuus- ja toimintaympäristöön liittyvien tilannetekijöiden hallinnoimiseksi. Rikostiedustelutoiminnassa tiedonintressi kohdistuu ensisijaisesti toiminnan suuntaamiseen, kun vastaavasti tutkinnassa tiedonintressin painopiste on tiedon rikosprosessuaalisessa käyttötarkoituksessa (todistelu- ja näyttötarkoitus yksittäisen rikosprosessin turvaamiseksi).
Tapahtumainkulun ennakoimiseksi, tilannetietoisuuden ylläpitämiseksi ja heikkojen signaalien ja ilmiöiden tunnistamiseksi välttämätön analyysitoiminta edellyttää monipuolista tietovarantojen hyödyntämistä sekä useista lähteistä saatavan tiedon yhdistelemistä ja jalostamista. Toimintaympäristöön liittyvät haasteet ja kasvavat datamäärät edellyttävät myös sitä, että tietojen käsittelyä kyetään automatisoimaan nykyistä enemmän muun muassa analytiikkasovelluksia hyödyntämällä. Säännöstä täydentäisivät tältä osin henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen koskevat 13 ja 14 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja voitaisiin hyödyntää 7 §:ssä tarkoitettuihin käsittelytarkoituksiin.
Tietosuojadirektiivin johdanto-osan 27 kappaleessa on huomioitu, että rikosten ennalta estäminen, tutkiminen ja niistä syyttäminen edellyttävät, että toimivaltaiset viranomaiset voivat käsitellä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollista toimintaa ja havaitakseen yhteyksiä selvitettävien rikosten välillä. Rikosten ennalta estävässä ja paljastavassa tarkoituksessa tapahtuvan henkilötietojen käsittelyn osalta olisi huomioitava myös käyttötarkoitussidonnaisuuden periaate sekä muut direktiivissä ja rikosasioiden tietosuojalaissa asetetut käsittelyn lainmukaisuutta ja oikeasuhtaisuutta koskevat vaatimukset.
Pykälän 2 momentissa säädettäisiin henkilöryhmistä, joita koskevia henkilötietoja 1 momentissa säädettyyn käsittelytarkoitukseen saisi pääasiassa käsitellä. Ehdotetun pykälän muotoilussa on kiinnitetty huomiota hallintovaliokunnan epäiltyjen tietojärjestelmää koskeviin huomautuksiin. Henkilöryhmät, joita pykälän mukaisiin tarkoituksiin saisi käsitellä, lueteltaisiin pykälässä tyhjentävästi. Rekisteriin tallettamiselle ja muulle näihin henkilöryhmiin liittyvälle henkilötietojen käsittelylle asetettaisiin erityiset käsittelykriteerit. Silloin, kun kyse olisi muista kuin varsinaiseen rikolliseen toimintaan oletettavasti kytkeytyvistä henkilöistä, henkilötietoja voitaisiin käsitellä vain kun se on välttämätöntä tehtävän suorittamiseksi.
Ehdotettu 7 § korvaisi epäiltyjen tietojärjestelmän lisäksi voimassa olevan lain 6 §:n nojalla rikosanalyysia varten perustetut poliisiyksikkökohtaiset tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Voimassa olevassa poliisin henkilötietolaissa ei säädetä henkilöryhmistä, joiden tietoja tilapäisiin rikosanalyysirekistereihin voidaan tallettaa. Tältä osin 2 momentti selventäisi nykytilaa ja täsmentäisi rikosanalyysitarkoituksiin käsiteltäviä henkilöryhmiä.
Momentissa ehdotetaan käsittelykynnyksen kytkemistä ilmaisuun "voidaan perustellusti olettaa". Ilmaisu kuvaa rikostiedustelutoiminnan kannalta tarkoituksenmukaisesti käsittelykynnystä, joka on alempi kuin esitutkinnan käynnistämiskynnys. Ilmaisulla "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän" viitataan tilanteeseen, jossa on saatu vihjeitä rikoksesta, mutta esitutkinnan käynnistämiskynnyksen "syytä epäillä" tasoa ei ole vielä saavutettu eli suunnitteilla ja tekeillä olevaan rikokseen, jonka estämiseksi rikostiedustelua tehdään. Momentissa tarkoitettaisiin henkilöitä, joiden osalta on yhteys oletettuun rikolliseen toimintaan, mutta kaikkien asiaan liittyvien henkilöiden rooli ei välttämättä ole selvä.
Momentin 1 kohdassa tarkoitettuun henkilöryhmään kuuluisivat oletettujen rikoksentekijöiden lisäksi myös rikosoikeuden osallisuusopin mukaiset osalliset eli avunantajat, yllyttäjät ja rikoskumppanit.
Momenttiin ehdotetaan sisällytettäväksi voimassa olevaan lakiin nähden uutena henkilö-ryhmänä rikokseen osallisia ja rikosta edistäviä henkilöitä täydentävä säännös rikokseen liittyvistä henkilöistä. Momentin 2 kohdassa säädettäisiin henkilöistä, jotka ovat yhteydessä 1 tarkoitettuun henkilöön tai tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen. Tietosuojadirektiivin 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen tai rikoksesta tuomittuihin henkilöihin.
Rikokseen syyllistyvään henkilöön yhteydessä olevan henkilön suhteen merkitys tulisi jo arvioitavaksi silloin, kun rikosanalyysissa löydetään useampia kontakteja henkilöiden välillä, joista toinen on 1 kohdan mukainen henkilö ja toinen ei. Tällaisen suhteen olemassaololle voi olla luonnollinen selitys, esimerkiksi asiakassuhde. Momentin 2 kohdassa tarkoitettaisiin henkilöitä, joiden kautta voitaisiin saada 1 kohdan mukaisista henkilöistä ja analyysin kannalta merkityksellisiä tietoja. Säännöksessä kuitenkin edellytettäisiin, että tälläkin henkilöryhmällä on yhteys oletettuun rikokseen, ottaen huomioon rikostiedustelun mahdolliset vaikutukset kyseessä olevien henkilöiden asemaan ja oikeusturvaan. Näin ollen pelkkä olettamus tai tapaamisten toistuvuus ei riittäisi ylittämään rekisteriin tallettamiskynnystä.
Momentin 3 kohdassa tarkoitettaisiin henkilöitä, jotka ovat poliisilain 5 luvun 13 §:n mukaisen tarkkailun kohteena rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Tarkkailulla tarkoitetaan poliisilain 5 luvun 13 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa. Kohdassa tarkoitettuihin henkilöihin kuuluisivat sellaiset tarkkailun kohteena olevat henkilöt, joiden tietojen käsittely ei ole mahdollista momentin 1 ja 2 kohdan nojalla.
Pykälän 3 momentissa säädettäisiin sellaisista henkilöryhmistä, jotka eivät olisi poliisin rikostiedustelun ensisijaisia kohdehenkilöitä. Näitä henkilöryhmiä olisivat rikoksen uhrit tai asianomistajana esiintyvät henkilöt, rikoksen ilmoittajat ja rikoksen todistajat. Todistajalla ei tässä momentissa tarkoitettaisi välttämättä henkilöitä, jotka on jo nimetty todistajiksi rikosprosessissa. Henkilötietojen käsittelylle asetettaisiin näiden ryhmien osalta erityiset suojatakeet. Näitä henkilöryhmiä koskevien henkilötietojen käsittely ei saisi mennä pidemmälle kuin on välttämätöntä tavoitteen kuten saavuttamiseksi, kuten rikoksen ennalta estämiseksi. Näiden henkilöryhmien tietojen käsittely voisi olla välttämätöntä esimerkiksi siinä tilanteessa, kun jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva rikos pyritään estämään ennalta, esimerkiksi uhka-asiassa, jossa suunniteltu teko kohdistuu johonkin yksilöityyn henkilöön. Tällainen tilanne voi olla esimerkiksi kidnappauksen suunnittelu tai järjestäytyneen rikollisryhmän kostotoimenpide toisen rikollisryhmän henkilöä kohtaan.
Pykälän 4 momentissa säädettäisiin rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta. Rikosanalyysillä tarkoitetaan suunnitelmallista ja järjestelmällistä tiedonhankintakeinoilla hankitun tai muusta tietolähteestä saadun tiedon käsittelyä rikosten tai rikosilmiöiden samankaltaisuuksien ja erilaisuuksien havaitsemiseksi tarkoituksena ennustaa ja estää rikoksia tulevaisuudessa. Tehokas rikosanalyysitoiminta on välttämätön edellytys suunnitelmalliselle ja järjestelmälliselle rikostorjunnalle. Momentissa tarkoitetun päätöksen voisi tehdä rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö. Päätös olisi tehtävä kirjallisesti. Lähtökohtaisesti henkilötietojen käsittelystä päättää rekisterinpitäjä. Valtakunnallisten pysyvien analyysikantojen muodostamisesta päättäisi jatkossa Poliisihallitus rekisterinpitäjänä.
Voimassa olevan lain 8 §:n mukaan tilapäisten analyysirekistereiden perustamisesta päättää toiminnasta vastaava poliisiyksikkö. Voimassa olevaan lakiin ei sisälly säännöksiä tiedustelumuistion muodossa käsiteltävien henkilötietojen käsittelyn aloittamisesta, joka ei johda henkilörekisterin muodostumiseen. Tältä osin säännös ei lähtökohtaisesti toisi muutosta voimassa olevaan oikeustilaan.
Poliisihallitus voisi ehdotetun 4 momentin mukaan edelleen määrätä päätösvallasta esimerkiksi siten, että poliisiyksikkö voisi edelleen päättää tilapäisestä toimintaansa varten tarpeellisesta rikosanalyysistä.
Pykälän 5 momentissa säädettäisiin havaintotietojen käsittelystä. Säännös vastaisi sisällöltään voimassa olevan lain 2 §:n 2 momentin 11 kohtaa. Havaintotiedot voisivat sisältää poliisi-miesten havaitsemia tai poliisille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi arvioida liittyvän rikolliseen toimintaan. Kyse olisi tiedoista, joita poliisi saa havainnoidessaan toimintaympäristöään tai tiedoista, jotka sivullinen on saattanut poliisin tietoon. Poliisi voisi saada esimerkiksi nimettömän vihjeen epäilyttävästi käyttäytyvistä henkilöistä tai epäilyttävästä toiminnasta, joka ei sellaisenaan välttämättä olisi lainvastaista toimintaa. Yhdistettynä muihin tekijöihin tai olosuhteisiin havaintotiedot voisivat kuitenkin viitata rikolliseen toimintaan.
Poliisi saa myös sivullisilta henkilöiltä havaintotietoja esimerkiksi nettivinkkijärjestelmän välityksellä. Saapuneista vihjeistä välitetään poliisin yksiköille jatkotoimenpiteitä varten sellaiset, joiden osalta on harkittava, kuuluuko asia poliisin hoidettavaksi tai onko asiassa syytä epäillä rikosta. Tietoja analysoimalla pyritään estämään, paljastamaan ja selvittämään rikoksia ja rikoksia koskevia suunnitelmia, tunnistamaan tekijät sekä kohdistamaan heihin mahdollisia rikoksen estämistä tukevia lupavalvontatoimenpiteitä.
Pykälän 6 momentissa säädettäisiin 5 §:n 3 momenttia vastaavasti poliisin oikeudesta käsitellä henkilötietoja sen arvioimiseksi, ovatko tiedot tarpeellisia 7 §:n mukaisiin käsittelytarkoituksiin.
Voimassa olevan lain epäiltyjen tietojärjestelmää koskeva 4 §:n 4 momentti sisältää rajoitus-säännöksen, jonka mukaan epäiltyjen tietojärjestelmää saavat käyttää teknisen käyttöyhteyden avulla vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt poliisin henkilöstöön kuuluvat sekä poliisin ulkomaille lähettämät yhdyshenkilöt. Ehdotetulla pykälällä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Esityksen 1. lakiehdotuksen 4 §:ään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Tietoturvallisuudesta säädetään rikosasioiden tietosuojalain 32 §:ssä. Kyseisen pykälän 5 kohdan mukaan rekisterinpitäjällä olisi velvollisuus varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet poliisin tietojärjestelmiin myönnetään työtehtävien perusteella.
Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.
8 §.Rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisältö. Pykälän 1 momentissa täsmennettäisiin henkilötiedot, joita 7 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi.
Momentin 1 kohdassa tarkoitettuihin poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti rikostiedustelutehtävien ja ennalta estävän toiminnan tehtävien tiedot, tiedot käytetyistä tiedonhankintakeinoista, poliisin toimenpiteistä sekä asian käsittelyn vaiheista sekä henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Tämän kaltainen sääntely on ennalta estävän ja paljastavan toiminnan osalta aiemmin osittain sisältynyt voimassa olevan poliisin henkilötietolain 2 §:ään. Sääntelyn tulkinnanvaraisuus on kuitenkin johtanut jossain määrin epäselvään oikeustilaan. Kohdan tarkoituksena olisi selventää nykyistä oikeustilaa. Tapahtumien riittävä kuvaus ja niihin liittyvien tehtävien ja toimenpiteiden yksilöinti ovat tärkeitä poliisin toiminnallisten tarpeiden lisäksi myös laillisuusvalvontaa varten ja rekisteröidyn oikeuksien valvomiseksi. Toiminnan kirjaamisella varmistettaisiin sekä kohteen oikeusturva että poliisin kyky tehtäviensä suorittamiseen. Kirjattua tietoa voitaisiin myös hyödyntää poliisin toiminnan suuntaamiseen tarkoituksenmukaisella tavalla ehdotetun 13 §:n 1 momentin 8 kohdan mukaisesti.
Momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja ja sen nojalla poliisi saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin tiedot ovat tarpeellisia rikosten ennalta estämisen ja selvittämisen kannalta.
Momentin 3 kohdassa tarkoitetut tuntomerkkitiedot käsittäisivät muun muassa henkilön pituuden, painon ja silmien värin. Tuntomerkkitiedot kattaisivat myös muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit, kuten arvet ja syntymämerkit. Lisäksi kohdalla katettaisiin myös biometriset tiedot, kuten sormen-, käden- ja jalanjäljet, kasvokuva, ääni-, haju- ja käsialanäyte sekä fyysinen DNA-näyte ja siitä määritetty digitaalinen tai muu DNA-tunniste. Erityisiin henkilötietoryhmiin kuuluvien biometristen tietojen käsittely olisi rajoitettu vain välttämättömien tietojen käsittelyyn. Poliisin ja rekisteröitävän oikeusturvan kannalta on välttämätöntä, että poliisi pystyy varmistamaan rekisteröitävän henkilöllisyyden luotettavasti. Henkilön tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita henkilön yksilöimis- ja tunnistetietoja. Esimerkiksi henkilön kuva on usein luotettavampi tunnistetieto kuin henkilön käyttämä nimi. Ehdotus ei muuttaisi voimassa olevaa oikeustilaa, vaan sisältäisi lähinnä EU:n muuttuvan tietosuojaviitekehyksen edellyttämät tarkennukset.
Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 6 §:n 1 momentin 3 kohdassa.
Rikosasioiden tietosuojalain 11 §:ssä säädetään tietosuojadirektiivin vaatimusten mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevasta tiukemmasta käsittelykynnyksestä. Pykälän 1—4 kohdissa tarkoitettuihin tietoihin sisältyviä erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvia tietoja sisältyisi 1 momentin 3 kohdassa tarkoitettujen henkilöllisyyden toteamiseksi tarpeellisten tuntomerkkitietojen lisäksi erityisesti 4 kohdassa tarkoitettuihin turvallisuustietoihin.
Pykälän 2 momentissa säädettäisiin velvollisuudesta liittää henkilötietoihin arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Käytännössä kyse olisi vakiintuneesta menettelystä, jolla poliisi arvioi tietojen luotettavuuden astetta. Säännöksellä huomioitaisiin tietosuojadirektiivin 7 artiklan 1 kohdan vaatimus siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista. Säännöksellä myös tuettaisiin artiklan 2 kohdan vaatimusta siitä, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei luovuteta eikä aseteta saataville. Poliisin olisi myös varmennettava mahdollisuuksien mukaan henkilötietojen laatu ennen niiden luovuttamista tai saataville asettamista.
9 §.Tietolähdetietojen käsittely. Pykälässä ehdotetaan säädettäväksi tietolähdetietojen käsittelystä. Voimassa olevan poliisin henkilötietolain 2 §:n 3 momentin 9 kohdassa säädetään rikoksen estämiseksi, paljastamiseksi tai selvittämiseksi tietolähteenä käytetyn poliisilain 5 luvun 40 §:ssä tarkoitetun henkilön tietojen sekä tietolähteen käyttöä ja valvontaa koskevien tietojen tallettamisesta poliisiasiain tietojärjestelmään. Tietolähdetoiminta ja tietolähteen ohjattu käyttö eroavat kuitenkin useimmista poliisilain 5 luvun tiedonhankintasäännöksistä siinä suhteessa, että hankitut tiedot voivat olla merkityksellisiä kaikentyyppisten poliisilain 1 luvun 1 §:n tarkoitettujen tehtävien hoitamiseksi.
Poliisilain 5 luvun 40 §:n 1 momentin mukaan tietolähdetoiminnalla tarkoitetaan muuta kuin satunnaista luottamuksellista, 1 luvun 1 §:ssä tarkoitettujen tehtävien hoitamiseksi merkityksellisten tietojen vastaanottamista poliisin ja muun esitutkintaviranomaisen ulkopuoliselta henkilöltä. Mainitun pykälän 2 momentin mukaan poliisi saa pyytää tähän tarkoitukseen hyväksyttyä, henkilökohtaisilta ominaisuuksilta sopivaa, rekisteröityä ja tiedonhankintaan suostunutta tietolähdettä hankkimaan 1 momentissa tarkoitettuja tietoja.
Poliisi voisi ehdotetun 10 §:n nojalla käsitellä poliisilain 5 luvun 40 §:ssä tarkoitettujen henkilöiden tietoja 5, 7 ja 11 §:ssä säädettyjä tarkoituksia varten eli kaikkiin poliisilain 1 luvun 1 §:ssä tarkoitettujen tehtävien suorittamiseen liittyviin alkuperäisiin käsittelytarkoituksiin. Esimerkkinä muusta kuin rikostorjunnasta voidaan mainita tilanne, jossa tietolähteeltä saadaan aseharrastajan terveydentilaa koskeva tieto, joka johtaisi viranomaisen taholta esimerkiksi lääkärintodistuksen pyytämiseen ja edelleen ampuma-aseluvan peruuttamiseen (HE 224/2010 vp, s. 124).
Pykälässä selvennettäisiin lisäksi tietolähteen antamien tietojen asemaa tietolähdetietoina. Säännös mahdollistaisi myös tietolähteen käytön ja valvonnan kannalta tarpeellisten lähteen antamien tietojen varmistamiseen liittyvien tietojen käsittelyn. Näihin tietoihin voisivat kuulua esimerkiksi eri järjestelmien sisältämät tiedot, joita käsiteltäisiin lähteen ilmoittaman henkilön henkilöllisyyden varmistamiseksi.
Pykälään ehdotetaan lisättäväksi viittaus myös pakkokeinolakiin, jonka 10 luvun 39 §:ssä säädetään rikoksen selvittämiseen liittyvästä tietolähdetoiminnasta. Tietolähteen rekisteröinnistä ja kirjaamisesta säädetään lisäksi esitutkinnasta, pakkokeinoista ja salaisesta tiedonhankinnasta annetun valtioneuvoston asetuksen (122/2014) 13 §:n 2 momentissa ja 14 §:ssä.
Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä.
10 §.DNA-näytteiden laadun varmistamiseen liittyvä henkilötietojen käsittely. DNA-analytiikkaan liittyvät menetelmät ovat kehittyneet ja herkistyneet merkittävästi viime vuosina. Nykyisten menetelmien herkkyys toisaalta mahdollistaa rikosten tehokkaan tutkinnan, toisaalta myös paljastaa muusta lähteestä peräisin olevan DNA:n. DNA-eliminaationäytteistä määritettyjen DNA-tunnisteiden avulla on mahdollista todeta mahdollinen rikospaikan tai rikospaikkanäytteen saastuminen ja suunnata tutkintaa poissuljennan avulla. Lisäksi näiden tunnisteiden määrittämisen avulla ja havaittaessa saastumisia on mahdollista ohjata henkilöstöä laadukkaaseen työhön ja saada selville ne käsittelyvaiheet, joihin erityisesti liittyy saastumisen riski.
DNA-näytteiden laadun varmistamiseen liittyvän henkilötietojen käsittelyn tarkoituksena on poliisin teknisessä tutkinnassa taltioitujen DNA-näytteiden (rikospaikkanäytteet) mahdollisen saastumisen eli kontaminaation selvittäminen, saastumiseen johtaneiden tekijöiden tunnistaminen, korjaaminen ja ennaltaehkäisy. Lisäksi tarkoituksena on erilaisten laadunvarmistustekijöiden, kuten poliisilaitosten rikosteknisten yksiköiden työskentelytilojen puhtauden tutkiminen (monitorointinäytteet). Ensisijaisesti pyritään tallettamaan poliisin henkilöstöstä sellaisten henkilöiden DNA-tunnisteet, jotka osallistuvat rikospaikalta kerättyjen näytteiden käsittelyyn.
DNA-eliminaationäytteen antaminen perustuu vapaaehtoisuuteen. Tutkinnallisista syistä tutkinnanjohtajilla on tarve lähettää esimerkiksi rikospaikalle vain sellaisia henkilöitä, joiden DNA-laadunvarmistusnäyte on talletettu. Mahdollisessa DNA-osumassa saadun kontaminaatiotiedon avulla tutkinnanjohtajan on mahdollista suunnata tutkimuksia tai mahdollisuus pois sulkea mahdollinen vieras DNA-tunniste rikospaikalta taltioidusta näytteestä.
11 §.Henkilötietojen käsittely poliisin muissa lakisääteisissä tehtävissä. Pykälässä tarkoitettujen tehtävien suorittamiseksi tapahtuva henkilötietojen käsittely kuuluisi tietosuoja-asetuksen ja sitä täydentävän kansallisen tietosuojalain soveltamisalaan. Pykälällä korvattaisiin voimassa olevan lain 3 §:n säännökset, jotka koskevat henkilötietojen tallettamista hallintoasiain tietojärjestelmään ampuma-aselaissa, henkilökorttilaissa (663/2016), passilaissa, yksityisistä turvallisuuspalveluista annetussa laissa (1085/2015), rahankeräyslaissa (255/2006), arpajaislaissa ja räjähteiden lähtöaineiden markkinoille saattamisesta ja käytöstä annetussa laissa (653/2014) säädettyjen tehtävien suorittamiseksi. Voimassa olevan lain 3 §:n 3 momentin 7 kohdassa tarkoitettujen ulkomaalaislain 131 §:ssä säädettyjen tehtävien suorittamiseksi käsiteltävien tunnistamistietojen käsittelyyn sovellettaisiin 5 ja 6 §:ää.
Pykälässä ei voimassa olevan lain 3 §:stä poiketen lueteltaisi niitä säädöksiä, joissa säädetään poliisin lupahallintoon liittyvistä tehtävistä. Ehdotettu nykyistä joustavampi sääntelytekniikka mahdollistaisi poliisilain 1 luvun 1 §:n 2 momentissa tarkoitettujen tehtävien suorittamiseksi tarpeellisten henkilötietojen valtakunnallisen käsittelyn voimassa olevaa lakia laajemmin.
Poliisille on lupahallinnollisten tehtävien lisäksi säädetty erikseen sellaisia valvontatehtäviä, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyte-harkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen. Pykälää sovellettaisiin lupahallinnollisten tehtävien lisäksi myös näiden tehtävien suorittamiseksi tarpeelliseen henkilötietojen käsittelyyn.
Kaikki poliisilain 1 luvun 1 §:n 2 momentin mukaiset tehtävät eivät kuitenkaan kuuluisi pykälän soveltamisalaan. Esimerkiksi kadonneiden henkilöiden löytämiseksi tapahtuva henkilötietojen käsittely kuuluisi tyypillisesti tietosuojadirektiivin ja sen täytäntöönpanolain soveltamisalaan. Lupahallintoon liittyvien tehtävien osalta lupaharkinta kuuluisi 11 ja 12 §:n soveltamisalaan, mutta lupavalvontaan sovellettaisiin toiminnan tarkemmasta luonteesta riippuen 11 ja 12 §:ää tai 5 ja 6 §:ää. Kun lupavalvontaa suoritettaisiin poliisin kenttätehtävien yhteydessä, henkilötietojen käsittely tapahtuisi 5 ja 6 §:n nojalla ja siihen sovellettaisiin yleis-säädöksinä tietosuojadirektiiviä ja rikosasioiden tietosuojalakia.
Esimerkiksi löytötavaralain mukaisessa löytötavaratoiminnassa käsiteltävät henkilötiedot siirtyisivät ehdotetun 11 §:n mukaisesti poliisin valtakunnalliseen rekisterinpitoon voimassa olevan lain 6 §:n nojalla perustetuista yksikkökohtaisista henkilörekistereistä, joihin tiedot on tähän asti talletettu. Ehdotus mahdollistaisi myös ampumaratalaissa poliisille säädettyihin tehtäviin liittyvien henkilötietojen käsittelyn poliisin valtakunnallisissa tietojärjestelmissä. Lisäksi poliisi voisi pykälän nojalla käsitellä muun muassa ajokorttilaissa (386/2011), tieliikennelaissa (729/2018) sekä rahanpesulaissa säädettyjen tehtävien suorittamiseksi tarpeellisia henkilötietoja.
Pykälän mukaisiin tarkoituksiin käsiteltävät henkilöryhmät määräytyisivät poliisin tehtäviä koskevan erityislainsäädännön perusteella. Poliisi käsittelee pykälässä tarkoitettujen laki-sääteisten tehtäviensä suorittamiseksi erityisesti seuraavien henkilöryhmien tietoja: 1) poliisin lupahallinnollisia tehtäviä koskevien lakien mukaisten lupien, hyväksymispäätösten ja hyväksyntien hakijat ja saajat sekä hakemusten kohteet ja ilmoitusten tekijät, sisältäen myös passien ja henkilökorttien hakijat ja haltijat; 2) lupahallinnollisten tehtävien suorittamiseksi käsiteltävät yhteisön asiamiehet, yhteisön hallintoelinten jäsenet sekä ampumaratalain mukaiset aseratavastaavat; 3) ampuma-aselain 114 §:n mukaisten ampuma-aseilmoitusten kohteena olevat henkilöt ja ilmoituksen tehneet terveydenhuollon ammattihenkilöt; 4) rahankeräysten ja arpajaisten yhteys- ja vastuuhenkilöt sekä käytännön toimeenpanijat; sekä 5) poliisin valvottavaksi säädetyn elinkeinonharjoittajan tai yhteisön palveluksessa olevat henkilöt.
Pykälän nojalla voitaisiin käsitellä myös muiden poliisille säädettyjen lupahallinto- ja valvontatehtävien sekä löytötavaratoimintaan liittyvien tehtävien suorittamiseksi tarpeellisia henkilöryhmien tietoja. Näihin henkilöryhmiin kuuluisivat erimerkiksi asiakirjan toimitustietoihin liittyvät henkilöt, konkurssi- tai kuolinpesän hoitajat ja kuolinpesän osakkaat, lausunnonantajat, löytötavaralain perusteella rekisteröitävät henkilöt, rahankeräys- ja arpajaislain mukaan määrätyt toimitsijat, valokuvaajat, jotka tallettavat kuvia lupa-asiakirjoja varten, sekä ampuma-aseen tai muun ampuma-aselain perusteella rekisteröidyn esineen luovuttajat ja aseen omistajat, joiden tiedot talletettaisiin asetietojärjestelmään aselainsäädännön edellyttämän aseen elinkaaren seurannan mahdollistamiseksi. Lisäksi pykälä kattaisi henkilöt, joiden tietoja olisi käsiteltävä tieliikennelain ja rahanpesulain mukaisten hallinnollisten seuraamusten käsittelemiseksi sekä muut pykälässä tarkoitettuihin valvontatehtäviin liittyvät henkilöt, joiden tietojen käsittely on tarpeen poliisin lakisääteisten tehtävien suorittamiseksi.
12 §.Poliisin muiden lakisääteisten tehtävien suorittamiseksi käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin tietoluokat, joihin kuuluvia henkilötietoja poliisi voisi käsitellä 11 §:n mukaisiin tarkoituksiin 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Luvalla tarkoitettaisiin kaikkia niitä lupia, mukaan lukien hyväksynnät ja matkustusasiakirjat, joiden myöntämiseen ja valvontaan liittyviä tehtäviä poliisille on säädetty.
Pykälän 1 momentin 1 kohdassa tarkoitettuihin hakemusta, lupaa, lausuntoa, ilmoitusta ja päätöstä koskeviin tietoihin sisältyisivät myös luvan peruuttamista sekä lupa-asiakirjan katoamista tai anastamista koskevat tiedot sekä rahankeräyslain ja arpajaislain mukaisia tilityksiä ja loppuilmoituksia koskevat tiedot. Momentin 2 kohdassa tarkoitetut luvan myöntämisen tai voimassaolon estettä koskevat tiedot sekä luvan myöntämisen tai voimassaolon edellytysten selvittämiseksi tarvittavat tiedot sisältäisivät esimerkiksi luvanhaltijan tai -hakijan toimittamat tai muilta viranomaisilta, oppilaitoksilta ja terveydenhuollon ammattihenkilöiltä saadut todistukset ja tiedot sekä ampuma-aselain 114 §:n mukaisen ampuma-aseilmoituksen tiedot. Momentin 3 kohdan nojalla voitaisiin käsitellä muun muassa tietoja viranomaisen suorittamista tarkastuksista, varoituksista ja huomautuksista sekä kieltoihin ja uhkasakkomenettelyyn liittyvistä toimenpiteistä. Poliisin toimenpiteiden lisäksi lupahallinnollisten asioiden yhteyteen tallennetaan tietoja myös esimerkiksi Maahanmuuttoviraston ja Suomen edustustojen toimenpiteistä.
Momentin 4 kohdassa säädettäisiin henkilön valokuvan ja nimikirjoitusnäytteen käsittelystä, jotka henkilö on luovuttanut poliisille, ulkoministeriölle tai ulkoasiainhallinnon viran-omaiselle hakiessaan sellaista lupaa tai päätöstä, jonka valmistamiseen henkilön valokuva ja nimikirjoitusnäyte ovat tarpeen. Tietosuoja-asetuksen johdanto-osan 51 kappaleen mukaan valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen biometrisiin tietoihin. Momentin 4 kohdassa tarkoitettu valokuva ei kuuluisi tietosuoja-asetuksen 4 artiklan määritelmän mukaisiin biometrisiin tietoihin. Henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi tarpeellisesta kasvokuvan ja sormenjälkien biometrisesta käsittelystä säädettäisiin biometristen tietojen erityisaseman vuoksi erikseen momentin 5 kohdassa.
Momentin 6 kohdassa säädettäisiin toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeellisten tietojen käsittelystä. Voimassa olevan lain 3 § ei sisällä säännöksiä niin sanottujen turvallisuustietojen tallettamisesta hallintoasiain tietojärjestelmään. Erityisesti kohteen tai henkilön vaarallisuutta tai arvaamattomuutta koskevien tietojen käsittely voi kuitenkin olla henkilön turvallisuuden tai viranomaisen työturvallisuuden takaamiseksi tarpeellista myös tilanteissa, joissa tietoja käsitellään 11 §:ssä tarkoitettujen poliisin lakisääteisten tehtävien suorittamiseksi.
Momentin 7 kohdassa katettaisiin poliisin määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeelliset tiedot. Kohdassa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat tieliikennelain 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu sekä rahanpesulain 8 luvussa tarkoitetut hallinnolliset seuraamukset.
Poliisi voisi osana 12 §:ssä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Näitä olisivat 1 momentin 2 kohdassa tarkoitetut terveyttä koskevat tiedot ja muut tarpeelliset erityisiin henkilötietoryhmiin kuuluvat tiedot, 5 kohdassa tarkoitetut henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi henkilökortin tai passin hakijalta hakutilanteessa otetut biometriset sormenjälkitiedot ja kasvokuva sekä 6 kohdassa tarkoitettuihin tietoihin sisältyvät välttämättömät erityisiin henkilötietoryhmiin kuuluvat tiedot, kuten henkilön terveydentilaa koskevat tiedot.
Poliisi käsittelee osana arpajaislain 11 §:ssä mainitun rahapeliyhtiön valvontaa myös sen asiakkaiden asiakasrekisteriin ja peliaineistoon sisältyviä henkilötietoja. Näiden henkilötietojen käsittelyn osalta ehdotetaan erillistä 2 momenttia. Rahapeliyhtiön asiakas- ja pelaajatietojen käsittely olisi rajoitettava siihen, mikä on tarpeellista rahapeliyhtiön valvonnan suorittamiseksi, koska kyseessä olevien henkilötietojen alkuperäinen käsittelytarkoitus on rahapeliyhtiön asiakastietojen käsittely. Poliisi voisi käsitellä pelaajatietoja myös rahanpesulain mukaiseen valvontaan, joka kohdistuu rahapeliyhteisöön ja elinkeinonharjoittajiin ja yhteisöihin, jotka välittävät rahapeleihin liittyviä osallistumisilmoituksia ja -maksuja, esimerkiksi sen selvittämiseksi, onko rahapeliyhtiö tai sen asiamies suorittanut asiakkaan tuntemistoimet lain edellyttämällä tavalla. Asiakkaan henkilötietoja tarvitaan lisäksi pelaajien oikeusturvan takaamiseksi suoritettavassa pelaajien pelitapahtumien todentamisessa.
Pelaajatietojen osalta poliisi voisi käsitellä erityisesti seuraavia henkilötietoja: pelaajatunniste, syntymäaika, sukupuoli, yhteystiedot, kuolinpäivä, peliyhtiön antama asiakasnumero, pelaajan tilinumero, rekisteröitymispäivä, pelitilin sulkemispäivä, pelaajan asettamat pelirajat, rahansiirrot pelitilille, pelitilille siirrettäviä varoja koskevat rahansiirtorajat, pelitapahtumien tiedot, peliestot ja pelikiellot. Luettelo ei kuitenkaan olisi tyhjentävä. Käsiteltävistä tiedoista osa on suoraan yhdistettävissä yksittäiseen pelaajaan (esimerkiksi pelaajatunniste tai pelaajan tilinumero) ja henkilö on siten tunnistettavissa tämän tiedon perusteella. Osa käsiteltävistä tiedoista on puolestaan sellaisia henkilötietoihin liitettäviä tietoja (esimerkiksi pelirajat, peliestot tai pelikiellot), joiden perusteella yksittäistä pelaajaa ei voida suoraan tunnistaa, vaan tunnistaminen edellyttää myös jonkin muun henkilön yksilöivän tiedon yhdistämistä kyseessä olevaan tietoon. Pelaajia koskevia tietoja ei olisi kuitenkaan mahdollista yhdistää yksittäiseen luonnolliseen henkilöön pelkästään rahapeliyhtiön poliisille tietojoukkona siirtämien tietojen perusteella, vaan poliisi saisi tiedon yksittäisen pelaajan henkilöllisyydestä ainoastaan rahapeliyhtiön kautta.
Poliisille säädettyjä rekisterinpitovelvoitteita sekä rekisterien tietosisältöä täsmentäviä säännöksiä sisältyy myös erityislakeihin, jossa poliisin lupahallinnollisista tehtävistä säädetään. Esimerkiksi arpajaislain 42 b §:ssä säädetään arpajaisten valvontatiedostosta, passilain 29 §:ssä passirekisteristä ja henkilökorttilain 31 §:ssä henkilökorttirekisteristä.
13 §.Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Ehdotetussa 13 §:ssä säädettäisiin 5—9, 11 ja 12 §:ssä tarkoitettujen tietojen käsittelystä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lukuun ottamatta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä, josta säädettäisiin 14 §:ssä ja henkilötietojen käsittelystä lupaharkinnassa ja -valvonnassa, josta säädettäisiin 15 §:ssä. Pykälällä korvattaisiin pääosin voimassa olevan lain 16 §:n 1 ja 2 momentin säännökset, mutta säännöksiä laajennettaisiin ja tarkennettaisiin eräiltä osin.
Pykälän 1 momentissa lueteltaisiin tarkoitukset, joihin poliisi voisi käsitellä muuhun alku-peräiseen käsittelytarkoitukseen kerättyjä tietoja. Momentin säännöksiä sovellettaisiin, jollei muualla laissa säädettäisi tiukempia edellytyksiä jonkin tiedon käsittelylle. Tällä tarkoitettaisiin esimerkiksi poliisilain 5 luvun 54 §:n ja pakkokeinolain 10 luvun 56 §:n mukaisia edellytyksiä tietyillä toimenpiteillä saatujen ylimääräisten tietojen käyttämiselle.
Momentin 1 kohdan mukaan poliisi voisi käsitellä tietoja rikoksen ennalta estämiseksi ja paljastamiseksi. Kohdassa huomioitaisiin voimassa olevan lain 16 §:ään nähden uutena käsittelyn tarkoituksena rikosten paljastaminen, joka lisättiin poliisilain 1 luvussa 1 §:n 1 momentissa lueteltuihin poliisin tehtäviin vuoden 2014 alussa voimaan tulleen poliisilain kokonaisuudistuksen yhteydessä. Tietojen käsittely rikoksen ennalta estämiseksi on sallittua myös voimassa olevan 16 §:n 1 momentin mukaan, mutta käsittely on voimassa olevassa laissa rajoitettu ehdotetusta 1 kohdasta poiketen vankeusuhkaisen rikoksen estämiseen.
Momentin 2 kohta vastaisi asiallisesti voimassa olevaa lakia. Tietojen käsittely rikoksen selvittämiseksi olisi 2 kohdan mukaan mahdollista voimassa olevan 16 §:n 1 momentin 3 kohtaa vastaavasti ainoastaan kun kyse on sellaisen rikoksen selvittämisestä, josta saattaa seurata vankeutta.
Momentin 3 ja 4 kohta olisivat voimassa olevaan lakiin nähden uusia. Momentin 3 kohdassa säädettäisiin henkilötietojen käsittelystä etsintäkuulutetun tavoittamiseksi. Etsintäkuulutuksen määritelmästä ei ole säädetty laissa. Poliisilain etsintäkuulutetun kiinniottamista koskevan 2 luvun 3 §:n perusteluiden mukaan poliisin antamalla etsintäkuulutuksella tarkoitetaan asianomaisen poliisiviranomaisen päätökseen perustuvaa ilmoitusta, joka poliisin henkilörekisterin avulla saatetaan viranomaisten tiedoksi ja jossa pyydetään tietyn henkilön tavoittamiseksi tarpeellisia tietoja. Kuulutuksen tarkoituksena on saada etsittyyn henkilöön tai hänen hallussaan olevaan omaisuuteen kohdistetuksi kuulutuksessa yksilöity virkatoimi. (HE 224/2010 vp, s. 76.) Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen on tarpeellista etsintäkuulutetun tavoittamiseksi esimerkiksi tilanteissa, joissa etsintäkuulutetun tavoittamisen tarve liittyy lupahallinnollisten asiakirjojen tiedoksi saattamiseen. Etsintäkuulutus tulee voida saattaa kaikkien niiden tahojen tietoon, jotka ovat mahdollisesti tekemisissä etsintäkuulutetun kanssa.
Momentin 5 kohta vastaisi sisällöltään osittain voimassa olevan 16 §:n 1 momentin 2 kohtaa, mutta kohdassa säädettäisiin välittömän ja vakavan yleistä turvallisuutta uhkaavan vaaran torjumisen sijaan hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran estämisestä. Kohta sisältäisi aiemmasta poiketen käsittelyn perusteena myös huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämisen.
Momentin 6 kohta vastaisi sisällöllisesti voimassa olevan 16 §:n 1 momentin 1 kohtaa, mutta kohdan sanamuotoa muutettaisiin vastaamaan rikosasioiden tietosuojalaissa sekä muualla lainsäädännössä omaksuttua terminologiaa. Momentin 7 kohdalla korvattaisiin voimassa olevan 16 §:n 1 momentin 4 kohta. Momentin 8 kohta olisi uusi säännös, jolla mahdollistettaisiin henkilötietojen käsittely poliisin toiminnan suuntaamiseksi.
Ehdotettujen 1, 4, 5 ja 8 kohdan mukaiset käsittelytarkoitukset vastaisivat sisällöltään poliisilain 5 luvun 54 §:n 4 ja 5 momentin ja pakkokeinolain 10 luvun 56 §:n 4 ja 5 momentin mukaisia säännöksiä salaisilla tiedonhankinta- ja pakkokeinoilla saatujen ylimääräisten tietojen käsittelystä. Ylimääräistä tietoa saa poliisi- ja pakkokeinolain mukaan käyttää aina rikoksen estämiseksi, poliisin toiminnan suuntaamiseksi ja syyttömyyttä tukevana selvityksenä. Ylimääräistä tietoa saa käyttää myös hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi. Tiedon käytöllä poliisin toiminnan suuntaamiseksi tarkoitettaisiin myös ehdotetussa 8 kohdassa tiedon välillistä hyödyntämistä niin, että tietoa ei käytetä näyttönä tai tiedonhankintakeinon käytön perusteena. Tiedon hyödyntäminen poliisin toiminnan suuntaamiseksi voi liittyä esimerkiksi rikoksen estämiseen, paljastamiseen, analyysitoimintaan, esitutkinnan aloittamiskynnyksen selvittämiseen tai esitutkinnan suuntaamiseen (HE 224/2010 vp, s. 134).
Pykälän 2 momentissa säädettäisiin henkilötietojen käsittelystä yleisen edun mukaista arkistointia sekä tieteellistä, tilastollista tai historiallista tarkoitusta varten. Lisäksi 2 momentissa huomioitaisiin näihin verrattavissa olevat poliisin tarpeet käsitellä henkilötietoja laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi.
Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 16 §:n 2 momenttia. Momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella 1181/2013 siten, että tietojärjestelmään sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa poliisin tietojärjestelmien asianmukaista valvontaa. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi uutena kohtana analyysitoiminta, joka on luonteeltaan samankaltaista kuin voimassa olevassa 16 §:n 2 momentissa tarkoitettu suunnittelu- ja kehittämistoiminta. Tietojohtoista poliisitoimintaa tukevalla analyysitoiminnalla tarkoitettaisiin erityisesti rikollisuuden tilannekuvan ylläpitämiseksi ja rikollisuuden uhkakuvien ennakoimiseksi suoritettavaa strategista analyysia, joka edellyttää mahdollisuuksia myös poliisin hallussa olevien henkilötietojen hyödyntämiseen. Momentissa tarkoitetuissa käsittelytarkoituksissa ei olisi kyse poliisin yksittäisen tehtävän suorittamisesta, vaan yleisemmästä tarpeesta käsitellä henkilötietoja momentin mukaisiin tarkoituksiin.
Pykälän 3 momentissa säädettäisiin voimassa olevan lain 3 §:n 3 momentin 3 kohtaa vastaavasti henkilön tunnistamiseksi ja henkilöllisyyttä osoittavan asiakirjan valmistamiseksi talletetun valokuvan ja nimikirjoitusnäytteen käyttämisestä muunkin henkilön hakeman hallintoluvan tai päätöksen valmistamiseen henkilön suostumuksella. Tietosuoja-asetuksen johdanto-osan 51 kappaleen mukaan valokuvien käsittelyä ei olisi automaattisesti katsottava henkilötietojen erityisryhmien käsittelyksi, koska valokuvat kuuluvat biometristen tietojen määritelmän piiriin ainoastaan siinä tapauksessa, että niitä käsitellään erityisin teknisin menetelmin, jotka mahdollistavat luonnollisen henkilön yksilöllisen tunnistamisen tai todentamisen biometrisiin tietoihin. Pykälän 3 momentissa tarkoitetussa hallintoluvan tai päätöksen valmistamisessa ei siten olisi kyse 14 §:ssä tarkoitetusta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä.
Pykälän 4 momentissa rajattaisiin muuhun kuin alkuperäiseen käyttötarkoitukseen suoritettavan käsittelyn ulkopuolelle poliisille arpajaislaissa ja rahanpesulaissa tarkoitetun rahapeliyhtiön valvonnan yhteydessä kertyneet valvontatiedot, joita saisi käyttää ainoastaan niiden alkuperäiseen 11 §:n mukaiseen käsittelytarkoitukseen. Säännös ei kuitenkaan estäisi henkilötietojen käyttämistä rahanpesulain 7 luvun 1 §:n 4 momentissa tarkoitettujen ilmoitusten tekemiseksi rahanpesun selvittelykeskukselle tai muiden laissa säädettyjen ilmoitusvelvollisuuksien täyttämiseksi.
14 §.Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Pykälässä täsmennettäisiin ne käsittelytarkoitukset, joihin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi käsitellä tietojen alkuperäisen käsittelytarkoituksen lisäksi. Pykälän 1 momentissa rajattaisiin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely tilanteisiin, joissa käsittely olisi 13 §:n 1 ja 2 momentin mukaisten käsittelytarkoitusten kannalta välttämätöntä. Laissa voitaisiin kuitenkin säätää poikkeuksia 1 momentin säännökseen tietosuojalainsäädännön mahdollistamissa puitteissa.
Pykälän 2 momentissa säädettäisiin 1 momentista poiketen tarkemmasta rajoituksesta, joka koskisi henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien biometristen tietojen käyttöä. Mainittuja tietoja saisi käyttää muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen vain, jos se on välttämätöntä luonnononnettomuuden, suuronnettomuuden tai muun katastrofin taikka rikoksen kohteeksi joutuneen tai muuten tunnistamattomaksi jääneen uhrin tunnistamiseksi. Perustuslakivaliokunta on lausunnossaan 47/2010 vp arvioinut, että passirekisterin sormenjälkitietojen käyttämisen sallimista tunnistamattomaksi jääneen uhrin tunnistamisessa voidaan pitää sellaisena käyttötarkoitussidonnaisuudesta poikkeamisena, jota saatetaan vielä luonnehtia valiokunnan edellyttämällä tavalla täsmälliseksi ja vähäiseksi. Säännös vastaisi sisällöllisesti voimassa olevan lain 16 a §:n 1 momenttia siltä osin kuin kyse on passin sormenjälkitietojen käsittelystä. Passirekisteriin talletettuja sormenjälkiä saataisiin käyttää niiden alkuperäiseen käsittelytarkoituksen, passilaissa säädettyjen tehtävien suorittamisen, lisäksi ainoastaan tunnistamattomaksi jääneen uhrin tunnistamiseen.
Tunnistamattomalla uhrilla tarkoitettaisiin 2 momentissa vainajien lisäksi myös vakavassa hengen tai terveyden vaarassa olevia uhreja, joiden tunnistaminen olisi mahdollista ainoastaan sormenjälkitietojen tai muiden biometristen tietojen avulla esimerkiksi uhrin pitkäaikaisen tiedottomuuden takia. Rajoitus laajennettaisiin voimassa olevan lain 16 a §:stä poiketen koskemaan myös biometrisia kuvatietoja, joiden alkuperäinen käsittelytarkoitus on henkilön tunnistaminen ja henkilöllisyyttä osoittavan asiakirjan valmistaminen.
Pykälän 3 momentissa säädettäisiin voimassa olevan lain 3 §:n 3 momentin 4 kohtaa vastaavasti passinhakijan sormenjälkitietojen käyttämisestä henkilön suostumuksella myös hänen myöhemmin hakemansa henkilöllisyyttä osoittavan asiakirjan valmistamiseen. Muita henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä tietoja kuin sormenjälkiä ei käytetä henkilön myöhemmin hakeman henkilöllisyyttä osoittavan asiakirjan valmistamiseen biometrisessa muodossa, joten kuva- ja nimikirjoitustietojen vastaavasta käytöstä säädettäisiin 13 §:ssä.
Pykälän 4 momentti olisi uusi suhteessa voimassa olevaan lakiin. Voimassa olevan 16 a §:n 1 momentin mukaan ulkomaalaislain 131 §:n perusteella poliisin rekistereihin talletettuja sormenjälkitietoja saa käyttää muuhun kuin alkuperäiseen käsittelytarkoitukseen samoin edellytyksin kuin passisormenjälkiä. Ulkomaalaislain perusteella rekisteröityjen sormenjälkitietojen käyttöä ehdotetaan laajennettavaksi siten, että sormenjälkien käyttö olisi lisäksi mahdollista Eurodac-asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi. Säännös koskisi sormenjälkien lisäksi myös muita ulkomaalaislain 131 §:n perusteella käsiteltäviä biometrisia tietoja, joiden käsittelystä ei säädetä voimassa olevassa laissa erikseen.
Biometristen tietojen käytön edellytyksenä olisi rikosasioiden tietosuojalain 11 §:n 2 momentin mukaisesti välttämättömyys, minkä lisäksi vertailu olisi rajoitettava vastaavanlaisiin rikoksiin kuin Eurodac-asetuksen mukainen sormenjälkien vertailu. Eurodac-asetuksen 20 artiklan 1 kohdan mukaan lainvalvontatarkoituksessa Eurodac-järjestelmään tehtävän sormenjälkien vertailun edellytyksenä on, että vertailu rekisteröidyn tunnistamiseksi suoritetaan ensin kansallisiin tietokantoihin, mahdollisuuksien mukaan Prümin päätösten soveltamista varten käytössä oleviin muiden EU:n jäsenvaltioiden sormenjälkitietojärjestelmiin sekä viisumitietojärjestelmään (VIS). Kansallisista tietokannoista ulkomaalaislain 131 §:n perusteella rekisteröityjä sormenjälkiä sisältävän poliisin kansallisen rekisterin käyttäminen rikostorjunnassa ei kuitenkaan ole mahdollista voimassa olevan lain nojalla. Rikostorjunnallisesti tätä on pidetty ongelmallisena. Erityisesti ongelma korostuu terrorististen rikosten ja muiden yhteiskunnallisesti merkittävien ja vakavia seurauksia aiheuttavien rikosten torjunnassa, joiden selvittämisintressit ovat suuret ja joiden ennalta estäminen on erityisen tärkeää.
Ulkomaalaisen tunnistamistietoja käsitellään ulkomaalaislain nojalla osana poliisin suorittamaa ulkomaalaisvalvontaa. Ulkomaalaisen sormenjälkitietojen vertaaminen poliisiasiain tietojärjestelmän tuntomerkkitietojen sormenjälkiin maahantulon edellytysten selvittämiseksi on mahdollistettu ulkomaalaislain 131 §:ssä siltä osin kuin rekisteröidyt tuntomerkkitiedot liittyvät rikokseen, josta on säädetty enimmäisrangaistuksena vähintään vuosi vankeutta. Ehdotettu laajennus rikostorjuntatarkoituksessa tehtäviin vertailuihin on ulkomaalaislain 131 §:n perusteella rekisteröityjen henkilöiden yksityisyyden suojan kannalta merkittävä. Muiden biometristen tietojen kuin sormenjälkien osalta ehdotus kuitenkin rajaisi mahdollisuuksia tietojen käsittelyyn voimassa olevaa lakia tiukemmin. Ehdotetun säännöksen suhdetta perustuslain mukaiseen yksityiselämän suojaan ja yhdenvertaisuusperiaatteeseen arvioidaan esityksen suhdetta perustuslakiin ja säätämisjärjestystä koskevassa luvussa.
Pykälän 5 momentissa rajattaisiin DNA-näytteiden laadun varmistamiseksi käsiteltävien tietojen käyttäminen vain niiden alkuperäiseen käsittelytarkoitukseen. Lisäksi tietoja saisi käsitellä laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa sekä koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä.
Pykälän 6 momentti rajaisi voimassa olevaa 16 §:ää vastaavasti ampuma-aselain 114 §:n mukaisen ampuma-aseilmoituksen tietojen käytön aselupatiedon käsittelyyn. Tällä tarkoitettaisiin myös voimassa olevan lain 10 §:ää vastaavasti, että ampuma-aseilmoituksia koskeva tieto ei saa ilmetä järjestelmästä muutoin kuin aselupatietoa käsiteltäessä.
15 §.Henkilötietojen käsittely lupaharkinnassa ja -valvonnassa. Pykälän 1 momentissa säädettäisiin edellytyksistä, joilla poliisi voisi käsitellä 5, 6, 9, 11 ja 12 §:ssä tarkoitettuja tietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen 11 §:ssä tarkoitettujen lupahallintoon liittyvien tehtävien suorittamiseksi. Tietoja voisi säännöksen mukaan käyttää päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.
Luvan myöntämisen ja voimassaolon edellytyksistä säädetään lupahallintoa koskevassa erityislainsäädännössä. Ehdotetun säännöksen kannalta merkityksellisiä ovat erityisesti ampuma-aselaissa ja yksityisistä turvallisuuspalveluista annetussa laissa luvan myöntämiselle ja voimassaololle säädetyt edellytykset.
Edellä 7 ja 8 §:ssä tarkoitetut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot sekä 10 §:ssä tarkoitetut DNA-näytteiden varmistamiseksi käsiteltävät henkilötiedot rajattaisiin 1 momentissa tarkoitetun käsittelyn ulkopuolelle. Säännös vastaisi asiallisesti voimassa olevan lain 16 §:n 1 momentin 5 kohtaa.
Voimassa olevan lain 16 §:n 3 momentissa säädetään, että lain 2 §:n 3 momentin 11 kohdassa tarkoitettuja havaintotietoja, 4 §:ssä tarkoitetun epäiltyjen tietojärjestelmän, 5 §:ssä tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän tai 6 §:n 2 momentin 2 kohdassa tarkoitetun tilapäisen rekisterin tietoja ei saa käyttää 16 §:n 1 momentin 5 kohdassa tarkoitettujen tehtävien suorittamiseksi. Suojelupoliisin käsittelemien henkilötietojen luovuttamisesta muille poliisiyksiköille säädettäisiin jatkossa ehdotetussa 7 luvussa. Pykälän 2 momentti olisi uusi säännös. Momentissa ehdotetaan laajennettavaksi 7 ja 8 §:ssä tarkoitettujen rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen käyttöä lupahallintoon liittyvien tehtävien suorittamiseksi.
Säännöksessä tarkoitettuihin rikosten ennalta estämiseen ja paljastamiseen liittyviin henkilötietoihin sisältyisi tietoja, jotka vastaavat voimassa olevan lain 4 §:ssä tarkoitetun epäiltyjen tietojärjestelmän tietoja sekä 6 §:n 2 momentin 2 kohdassa tarkoitetun tilapäisen rekisterin tietoja. Momentti mahdollistaisi myös muiden 7 ja 8 §:ssä tarkoitettujen rikosten ennalta estämiseen ja paljastamiseen liittyvien tietojen käsittelyn lupahallinnollisiin tarkoituksiin ehdotetussa 2 momentissa säädettyjen edellytysten täyttyessä. Tiedot eivät kuitenkaan olisi suoraan poliisin lupahallinnon käytettävissä, vaan niiden käsittely olisi mahdollista 1 momentissa tarkoitetuissa tilanteissa ainoastaan turvallisuusselvityslain 25 §:n 2 momentissa säädettyä ilmoitusmenettelyä vastaavan menettelyn kautta.
Poliisin lupahallinnon tehtävänä on hallinnollisen päätöksenteon ja valvonnan keinoin ennalta estää rikoksia sekä yleisen järjestyksen ja turvallisuuden häiriöitä yhteiskunnassa, jonka turvallisuustilanne on muutoksessa (Poliisin lupahallintostrategia 2017—2021). Poliisin lupahallinto on osa hallinnollista rikostorjuntaa. Hallinnollisella rikostorjunnalla tarkoitetaan rikollisten toimijoiden taloudellisiin ja muihin toimintaedellytyksiin puuttumista hallinnollisissa menettelyissä. Esitetyllä lausuntomenettelyllä pyritään siihen, että eri viranomaisilla oleva tieto rikollisesta toiminnasta voidaan ottaa huomioon myös hallinnollisessa päätöksenteossa. Näin voidaan varmistaa, ettei lupahallintoon liittyvällä päätöksenteolla edistetä järjestäytyneen rikollisuuden toimintaedellytyksiä tai rikollisen toiminnan jatkamista.
Keskusrikospoliisi voisi tehdä ilmoituksen 2 momentissa säädetyin edellytyksin joko oma-aloitteisesti tai saatuaan lupahallinnon rekistereistä tiedon vireillä olevasta lupahakemuksesta tai luvan peruuttamista koskevasta asiasta. Ilmoitus voisi perustua ainoastaan 7 §:n 2 momentissa tarkoitettuja henkilöitä koskeviin tietoihin. Ilmoitusta ei voitaisi tehdä 7 §:n 3 momentissa tarkoitettuja rikoksen todistajia, uhreja, ilmoittajia tai asianomistajia koskevien tietojen perusteella, 7 §:n 5 momentissa tarkoitettujen havaintotietojen perusteella tai 7 §:n 6 momentissa tarkoitettujen merkityksellisyyden arvioimiseksi käsiteltävien tietojen perusteella.
Keskusrikospoliisi arvioisi tapauskohtaisesti, onko ilmoituksen tekeminen aiheellista. Menettelyn tarkoituksena olisi erityisesti suojata luvan myöntämiselle tai voimassaololle säädettyjen edellytysten perusteena olevia etuja estämällä järjestäytyneeseen rikolliseen toimintaan osallistuvien tai sellaisesta toiminnasta epäiltyjen laillinen pääsy luvanvaraiseen yhteiskunnan turvallisuuteen vaikuttavaan tehtävään sekä ampuma-aseiden laillinen hankkiminen tilanteissa, joihin liittyy riski vakavista väärinkäytöksistä. Ehdotetun säännöksen suhdetta perustuslain mukaiseen yksityiselämän suojaan ja oikeusturvaan arvioidaan esityksen suhdetta perustuslakiin koskevassa luvussa.
3 luku Oikeus tietojen saamiseen
16 §.Poliisin oikeus saada tietoja eräistä rekistereistä ja tietojärjestelmistä. Pykälän 1 momentin säännökset ehdotetaan säilytettäväksi pääosin voimassa olevan poliisin henkilö-tietolain 13 §:n mukaisina lukuun ottamatta eräitä tarkennuksia ja säädösviittauksiin esitettyjä korjauksia. Momenttiin ehdotetaan myös lisättäväksi uusi 14 kohta, jossa säädettäisiin poliisin oikeudesta saada tietoja Maanmittauslaitoksen huoneistotietojärjestelmästä ja kiinteistötietojärjestelmästä. Lisäyksellä huomioitaisiin poliisin tarve saada rikosten ennalta estämistä, paljastamista ja selvittämistä varten tietoja ehdotetusta laista huoneistotietojärjestelmästä (HE 127/2018 vp). Säännös täydentäisi lisäksi kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetun lain (453/2002) 6 §:n säännöstä Maanmittauslaitoksen oikeudesta luovuttaa teknisen käyttöyhteyden avulla tietoja kiinteistötietojärjestelmästä esitutkintaviranomaiselle.
Poliisilain 4 luvun 3 §:n 1 momentin mukaan poliisilla on päällystöön kuuluvan poliisimiehen pyynnöstä oikeus saada rikoksen estämiseksi tai selvittämiseksi tarvittavia tietoja yhteisön jäsentä, tilintarkastajaa, toimitusjohtajaa, hallituksen jäsentä tai työntekijää velvoittavan yritys-, pankki- tai vakuutussalaisuuden estämättä. Poliisilla on sama oikeus saada lain 6 luvussa tarkoitetussa poliisitutkinnassa tarvittavia tietoja, jos tärkeä yleinen tai yksityinen etu sitä vaatii. Pykälän 1 momentin 15 kohta vastaisi voimassa olevan lain 13 §:ään lainmuutoksella 29/2015 lisättyä 16 kohtaa, joka täydentää poliisin oikeutta saada yksittäistapauksessa matkustajatietoja rikosten estämiseksi tai selvittämiseksi poliisilain 4 luvun 3 §:n mukaisesti. Oikeus saada kohdassa tarkoitettuja matkustajatietoja teknisen käyttöyhteyden avulla tai tietojoukkona koskee kaikkia liikenteenharjoittajia liikennemuodosta riippumatta. Kohdan nojalla saatuja tietoja voidaan verrata muihin poliisin käsittelemiin henkilötietoihin hallituksen esityksessä HE 168/2014 vp kuvatulla tavalla. Vertaamisen jälkeen tiedot hävitetään, mikäli tietojen tallettamiseen johonkin muuhun poliisin rekisteriin ei ole rikostorjunnallisia, näiden rekistereiden tallettamisedellytykset täyttäviä perusteita (HE 168/2014 vp, s. 8).
Matkustajatietoja koskevaan 15 kohtaan ehdotetaan selvyyden vuoksi lisättäväksi informatiivinen viittaus ehdotettuun lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa annettavaan lakiin (HE 55/2018 vp), jossa säädettäisiin poliisin oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä. Matkustajarekisteridirektiivi ja sen ehdotettu täytäntöönpanolaki eivät rajoita muuhun lainsäädäntöön perustuvaa tiedonsaantioikeutta tai tietojen käsittelyä eivätkä tietojenvaihtoa ulkomaanliikenteen matkustajista, vaan asettavat täsmennetyn tietojen luovuttamisvelvoitteen lentoliikenteen harjoittajille.
Pykälän 2 momentissa säädettäisiin voimassa oleva lain 13 §:n 3 momenttia vastaavasti poliisin oikeudesta saada 1 momentissa tarkoitetut tiedot maksutta, ellei laissa toisin säädetä.
Pykälän 3 momentissa asetettaisiin poliisille velvollisuus antaa henkilötietoja luovuttaneelle rekisterinpitäjälle tieto saamiensa henkilötietojen käsittelystä. Säännös vastaisi tältä osin sanamuodon tarkistusta lukuun ottamatta voimassa olevan 13 §:n 4 momenttia. Pykälä ei kuitenkaan sisältäisi voimassa olevan lain 13 §:n 4 momentissa poliisille asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.
Poliisi voisi selvittää tiedonsaantioikeuksiensa nojalla saamiensa henkilötietojen tarpeellisuuden 2 luvun mukaisiin käsittelytarkoitusten kannalta tarvittaessa automaattista vertailua hyödyntäen. Tarpeettomat tiedot olisi poistettava rikosasioiden tietosuojalain 6 §:ssä tarkoitetulla tavalla ilman aiheetonta viivytystä.
Ehdotettu 16 § ei loisi poliisille ehdotonta oikeutta saada momentissa tarkoitettuja tietoja, vaan tiedonsaantioikeuksien toteuttamisessa olisi huomioitava myös muualla laissa asetetut edellytykset tietojen luovuttamiselle.
17 §. Muiden viranomaisten tietojen luovuttaminen poliisille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten. Pykälässä säädettäisiin henkilötietojen luovuttamisesta poliisille suorakäyttöisesti tai tietojoukkona. Pykälän 1 momentin luettelo vastaisi pääosin voimassa olevan lain 14 §:n 1 momentin luetteloa.
Momenttiin lisättäisiin uutena 1 kohtana suojelupoliisi, jonka teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuva tiedonvaihto muiden poliisiyksiköiden kanssa perustuisi jatkossa tämän lain 3, 4 ja 7 luvun tietojen luovuttamista ja tiedonsaantioikeuksia koskevaan sääntelyyn. Suojelupoliisi voisi luovuttaa muiden poliisiyksiköiden tehtävien vuoksi tarpeellisia tietoja poliisin henkilörekistereihin myös suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten siten kuin rekisterinpitäjän kanssa sovitaan. Voimassa olevassa laissa vastaavaa säännöstä ei ole, koska poliisin valtakunnalliseen käyttöön perustetut henkilörekisterit ovat lain 15 §:n mukaan poliisiyksiköiden käytössä lukuun ottamatta Poliisiammattikorkeakoulua. Ehdotettu 1 kohta on osa lakiehdotuksessa esitettyjä muutoksia, joilla huomioitaisiin suojelupoliisin muuttunut asema sisäministeriön alaisena poliisiyksikkönä. Suojelupoliisi voisi luovuttaa poliisin henkilörekistereihin suorakäyttöisesti tai tietojoukkona niitä henkilötietoja, joita sillä olisi 7 luvun perusteella muutenkin oikeus luovuttaa poliisille.
Momentin 2 kohdassa huomioitaisiin Oikeusrekisterikeskuksen oikeus luovuttaa poliisin henkilörekistereihin yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa tarkoitettuja suojelutoimenpiteitä koskevia tietoja, joiden käsittelystä säädetään voimassa olevan lain 47 a §:ssä. Asiallisesti 2 kohta vastaisi voimassa olevaa sääntelyä.
Pykälän 2 momentissa asetettaisiin 16 §:ää vastaavasti velvollisuus antaa tieto henkilötiedot luovuttaneelle rekisterinpitäjälle niiden käsittelystä. Momentti vastaisi tältä osin voimassa sanamuodon tarkistusta lukuun ottamatta olevan lain 14 §:n 2 momentin säännöstä. Pykälä ei kuitenkaan sisältäisi voimassa olevan lain 14 §:n 2 momentissa poliisille asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.
18 §.Euroopan unionin viisumitietojärjestelmä. Pykälässä säädettäisiin poliisin oikeudesta saada teknisen käyttöyhteyden avulla tietoja Euroopan unionin viisumitietojärjestelmästä. Pykälän 1 momentti koskisi henkilötietojen vastaanottamista poliisille ulkomaalaislaissa säädetyn tehtävän suorittamiseksi. Pykälän 2 momentti koskisi poliisin oikeutta saada tietoja terrorismirikosten ja muiden vakavien rikosten selvittämiseksi. Säännökset olisivat luonteeltaan informatiivisia ja vastaisivat sisällöllisesti voimassa olevan lain 42 §:ää.
19 §.Uhkasakko. Pykälällä korvattaisiin voimassa olevan lain 13 §:n 2 momentin sääntely, jolla poliisille myönnetään toimivaltuus velvoittaa yhteisöt ja yhtymät luovuttamaan rikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi tarvittavat tiedot matkustajaa ja kulkuneuvon henkilökuntaa koskevista rekistereistä kohtuullisessa määräajassa. Poliisilla olisi nykyistä 13 §:n 2 momenttia vastaavasti toimivalta asettaa uhkasakko velvoitteen noudattamisen tehostamiseksi pykälässä säädetyin edellytyksin.
Uhkasakon asettamista koskevia säännöksiä ei sovellettaisi lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa (HE 55/2018 vp) tarkoitettuihin matkustajarekisteritietoihin, joita koskevan toimittamisvelvollisuuden rikkomisesta määrättäisiin seuraamusmaksu siten kuin mainitussa laissa säädetään.
20 §.Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely. Säännös vastaisi sisällöltään osittain voimassaolevan lain 31 §:ää. Voimassa olevan 31 §:n 3—5 momentti ehdotetaan kuitenkin poistettavaksi tarpeettomina, koska niissä säädetyt vaatimukset sisältyisivät rikosasioiden tietosuojalakiin. Ehdotettu 20 § koskisi vain kolmannelta maalta, kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyä.
Pykälän 1 momentissa säädettäisiin voimassa olevan 31 §:n 1 momenttia vastaavasti salassapito- ja vaitiolovelvollisuudesta sekä velvollisuudesta noudattaa henkilötietojen luovuttajan asettamia rajoituksia henkilötietojen käytölle. Momentti sisältäisi pääsäännön, jonka tarkoituksena olisi varmistaa luottamuksen suoja kansainvälisessä yhteistyössä. Pykälän 2 momentissa säädettäisiin mahdollisuudesta käyttää vastaanotettuja henkilötietoja muuhun kuin niiden alkuperäiseen tarkoitukseen silloin, kun 1 momentissa tarkoitettuja rajoituksia ei ole asetettu. Voimassa olevan lain 31 §:n 2 momentin tiukempi säännös tietojen käyttämisestä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen perustuu kumottuun EU:n tietosuojapuitepäätökseen ja koskee kaikkien toiselta valtiolta tai kansainväliseltä elimeltä saatujen henkilötietojen, myös toiselta EU-valtiolta saatujen henkilötietojen käsittelyä. Momenttia ehdotetaan tarkistettavaksi siten, että kolmannelta maalta, kansainväliseltä järjestöltä tai virastolta saatuja henkilötietoja voitaisiin käsitellä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lakiehdotuksen 13 §:n 1 momentin mukaisin edellytyksin. Toiselta EU-jäsenvaltiolta saatujen henkilötietojen käsittelyyn voimassa olevan lain 31 §:n 2 momentissa tarkoitetuissa tilanteissa sovellettaisiin jatkossa rikosasioiden tietosuojalakia.
4 luku Henkilötietojen luovuttaminen
Luvussa säädettäisiin teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuvasta henkilötietojen luovuttamisesta muille viranomaisille, tietojen luovuttamisesta yleisen tietoverkon välityksellä sekä tietojen luovuttamisesta yksityiselle yhteisölle tai elinkeinonharjoittajalle sähköisen asiointipalvelun kautta. Luku sisältäisi myös kansainväliseen tiedonvaihtoon liittyviä säännöksiä.
Siltä osin kuin kyse on tietosuojadirektiivin ja sen täytäntöönpanolain soveltamisalaan kuuluvasta käsittelystä, henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin yleissäädöksenä rikosasioiden tietosuojalain 7 lukua. Ehdotettu 4 luku sisältäisi tarvittavat täydentävät säännökset tietojen luovuttamisesta kolmansiin maihin ja kansainvälisille järjestöille. Luvussa säädettäisiin myös tietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisille. Lisäksi luvussa huomioitaisiin voimassa olevan lain 6 lukua vastaavasti myös lainvalvontaviranomaisten käytössä olevat EU:n laajuiset tietojärjestelmät. Kansainväliseen poliisiyhteistyöhön liittyvää henkilötietojen luovuttamista koskeviin säännöksiin ei ehdoteta merkittäviä sisällöllisiä muutoksia verrattuna vuoden 2013 lainmuutoksella uudistettuihin voimassa olevan lain säännöksiin.
Ehdotettu 4 luku sisältäisi myös säännöksiä tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen luovuttamisesta. Tältä osin sääntelyssä olisi kyse asetuksen 6 artiklassa tarkoitetuista erityisistä säännöksistä, joilla mukautetaan asetuksen sääntöjen soveltamista. Erityiset säännökset voivat 6 artiklan mukaan koskea myös henkilötietojen luovuttamista.
Henkilötietoja voitaisiin 4 luvun säännösten mukaan luovuttaa salassapitosäännösten estämättä. Tietoja luovutettaessa olisi kuitenkin kaikissa tilanteissa huomioitava henkilötietojen suojaa koskevat säännökset. Henkilötietojen luovuttamiseen yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin nykyistä vastaavasti poliisilain 7 luvun salassapitosääntelyä sekä täydentävästi henkilötietolainsäädäntöä silloin, kun kyse on henkilötietojen luovuttamisesta kolmanteen maahan tai kansainväliselle järjestölle.
21 §.Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle. Pykälässä säädettäisiin henkilötietojen luovuttamisesta rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, jotka kuuluvat mainitun lain soveltamisalaan. Rikosasioiden tietosuojalakia sovellettaisiin mainitun lain 1 §:n 1 momentin mukaisesti poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä muun 1 §:n 1 momentissa tarkoitetun toiminnan yhteydessä.
Lakia sovellettaisiin kansallisen ratkaisun pohjalta sen 1 §:n 2 momentin mukaisesti myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.
Pykälässä tarkoitettuihin toimivaltaisiin viranomaisiin kuuluisi suojelupoliisi, jolle tietoja voitaisiin luovuttaa tämän lain 48 §:n mukaisiin tarkoituksiin eli suojelupoliisin lakisääteisten tehtävien suorittamista varten. Luovutettaviin henkilötietoihin sisältyisi poliisilain 1 luvun 1 §:n 1 momentissa tarkoitettuja tehtäviä varten käsiteltäviä henkilötietoja, joiden osalta kyse olisi tietojen luovuttamisesta niiden alkuperäistä käsittelytarkoitusta vastaavaan tarkoitukseen. Esimerkiksi ulkomaalaislain 131 §:n nojalla poliisin rekistereihin talletettavien ulkomaalaisen tunnistamistietojen osalta kyse olisi tietojen luovuttamisesta niiden alkuperäiseen ulkomaalaislaissa määriteltyyn käsittelytarkoitukseen. Lisäksi suojelupoliisille voitaisiin säännöksen nojalla luovuttaa myös muiden poliisin tehtävien, kuten lupahallintoon liittyvien tehtävien, suorittamiseksi käsiteltäviä henkilötietoja. Vaikka suojelupoliisi ei ole enää Poliisihallituksen alainen yksikkö, se on edelleen poliisiyksikkö ja sen oikeus käsitellä poliisin rekistereihin sisältyviä henkilötietoja on turvattava. Suojelupoliisin tarve tehdä yhteistyötä muun poliisin kanssa kansallisen turvallisuuden suojaamiseksi on nykyisessä turvallisuusympäristössä entisestään korostunut.
Lisäksi pykälässä huomioitaisiin henkilötietojen luovuttaminen Tullille ja Rajavartiolaitokselle käsittelytarkoituksiin, jotka liittyvät rikosten ennalta estämiseen, paljastamiseen, selvittämiseen ja syyteharkintaan saattamiseen rikosasioiden tietosuojalain 1 §:n 1 momentissa tarkoitetulla tavalla.
Säännös mahdollistaisi myös henkilötietojen luovuttamisen Rajavartiolaitokselle rikosasioiden tietosuojalain 1 §:n 2 momentissa tarkoitetuissa tilanteissa. Tietoja voitaisiin siten luovuttaa Rajavartiolaitokselle myös rajavartiolain 3 §:n 2 ja 3 momentissa tarkoitettuihin tehtäviin, jotka liittyvät kansallisen turvallisuuden suojaamiseen. Vastaavasti henkilötietoja voitaisiin luovuttaa myös Puolustusvoimille rikosasioiden tietosuojalain 1 §:n 2 momentin mukaisiin käsittelytarkoituksiin. Puolustusvoimille voitaisiin luovuttaa tietoja erityisesti asevelvollisen koulutukseen ja tehtävään määräämistä sekä palveluksen järjestämistä, kriisinhallintatehtävään määräämistä ja kriisinhallintapalveluksen järjestämistä, sotilastiedustelutehtävien hoitamista, aluevalvontatehtävien hoitamista, sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa (255/2014) tarkoitettujen esitutkintatehtävien ja rikosten ennalta estämistä ja paljastamista koskevien tehtävien hoitamista sekä sotilasarvossa ylentämistä ja palkitsemista varten.
Lisäksi pykälässä huomioitaisiin muut direktiivin täytäntöönpanolain soveltamisalalla toimivaltaiset viranomaiset. Näiden viranomaisten osalta henkilötietoja voitaisiin luovuttaa rikosasioiden tietosuojalain 1 §:n 1 momentin mukaisiin tarkoituksiin. Tältä osin luovutustilanteet vastaisivat pääosin voimassa olevan lain 19 §:n 12 ja 14 kohtaa.
Henkilötiedot saisi luovuttaa pykälässä tarkoitetuille viranomaisille teknisen käyttöyhteyden välityksellä tai tietojoukkona. Pykälässä tarkoitetuissa tilanteissa teknisen käyttöyhteyden kautta luovuttaminen olisi käytännössä pääsääntö. Säännös olisi uusi ja voimassa olevaa lakia yleispiirteisempi, mutta se ei käytännössä merkitsisi muutosta nykytilaan.
Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi käsitellä rikosasioiden tietosuojalain 11 §:ssä säädetyn käsittelykynnyksen mukaisesti vain silloin, kun se on käsittelytarkoituksen kannalta välttämätöntä.
22 §.Muu henkilötietojen luovuttaminen viranomaisille. Pykälässä säädettäisiin henkilötietojen luovuttamisesta teknisen käyttöyhteyden välityksellä tai tietojoukkona muihin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin käsittelytarkoituksiin. Pykälä sisältäisi säännökset henkilötietojen luovuttamisesta myös rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, joihin ei sovelleta mainittua lakia.
Pykälän 1 momentissa lueteltaisiin viranomaiset, joille poliisi saisi luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Momentissa säädettäisiin myös niistä henkilötietojen käsittelytarkoituksista, joihin henkilötietoja saisi luovuttaa. Säännökset vastaisivat sisällöltään pääosin voimassa olevan lain 19 §:ää eräitä tarkennuksia lukuun ottamatta.
Ehdotetun 1 momentin luettelo ei olisi tyhjentävä eikä rajoittaisi muualla laissa olevien tiedon luovuttamista tai tiedonsaantia koskevien säännösten soveltamista. Oikeus luovuttaa tietoja pykälän mukaisesti ei toisaalta myöskään edellyttäisi, että vastaanottavan viranomaisen lainsäädännössä säädetään vastaavasta tiedonsaantioikeudesta, vaan tietojen luovuttaminen olisi mahdollista ehdotetun 22 §:n nojalla myös ilman vastaanottajalle muualla laissa säädettyä tiedonsaantioikeutta. Poliisin henkilötietojen luovuttamisesta tai tiedonsaannista teknisen käyttöyhteyden välityksellä olisi kuitenkin perustuslakivaliokunnan kannanottojen mukaisesti aina säädettävä laissa.
Tietoja luovutettaessa olisi aina arvioitava, mitkä tiedot ovat tarpeen vastaanottajan lakisääteisen tehtävän hoitamiseksi ja kohdistuuko luovutettaviin tietoihin mahdollisesti muualla laissa säädettyjä käsittelyrajoituksia. Pykälä ei siten mahdollistaisi kaikkien poliisin käsittelemien henkilötietojen rajoittamatonta luovutusta mihin tahansa pykälässä mainittuun käsittelytarkoitukseen.
Henkilötietojen luovuttamiseen muille viranomaisille yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin jatkossakin 1. lakiehdotuksen sijaan poliisilain 7 luvun 2 §:n säännöksiä salassa pidettävän tiedon antamisesta viranomaiselle tai julkista tehtävää hoitavalle yhteisölle. Lisäksi julkisia tietoja voitaisiin luovuttaa muille viranomaisille myös tietojoukkona muissakin kuin 22 §:n 1 momentin mukaisissa tapauksissa. Myös näissä luovutustilanteissa olisi kuitenkin huomioitava henkilötietojen suojaa koskevat säännökset.
Pykälän 2 momentti sisältäisi rajoitussäännöksen, jonka perusteella henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltäviä biometrisiä tietoja saisi luovuttaa salassapitosäännösten estämättä ainoastaan tietyille momentissa täsmennetyille viranomaisille henkilöllisyyden varmistamiseksi ja asiakirjan aitouden toteamiseksi silloin, kun se on tarpeen henkilön maahantuloa, maassa oleskelua tai maasta lähtöä koskevien asioiden käsittelyä varten. Säännös vastaisi voimassa olevan lain 19 §:n 2 momentin passin sormenjälkitietojen luovuttamista koskevaa rajoitusta, mutta se laajennettaisiin koskemaan myös muita henkilökorttilain ja passilain mukaisia biometrisia tietoja. Rajoitus ei koskisi esimerkiksi kasvokuvien luovuttamista tilanteissa, joissa tietoja ei käsitellä biometrisessä muodossa.
Pykälän 3 momentissa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamista koskevasta korkeammasta kynnyksestä. Tietoja voitaisiin luovuttaa ainoastaan silloin, kun se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä.
Pykälän 4 momentissa säädettäisiin henkilötietojen vastaanottajalle velvollisuus esittää rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta ennen kuin henkilötietoja luovutetaan.
Pykälän 5 momentissa säädettäisiin velvollisuudesta mahdollisuuksien mukaan varmentaa luovutettavien tietojen laatu ja tarvittaessa lisätä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Virheellisten tai lainvastaisesti luovutettujen tietojen luovuttamisesta olisi myös viipymättä ilmoitettava vastaanottajalle. Vaatimuksilla pyrittäisiin takaamaan sekä rekisterinpitäjän että tiedon vastaanottajien mahdollisuudet varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjän olisi myös huomioitava luovutustilanteissa henkilötietojen käsittelyä koskevat erityiset edellytykset, jotka perustuvat rikosasioiden tietosuojalakiin tai yleiseen tietosuoja-asetukseen. Näitä olisivat muun muassa toiselta viranomaiselta tai toisesta valtiosta vastaanotettuihin henkilötietoihin liittyvät käyttörajoitukset, joista olisi tehtävä merkintä.
23 §.Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Pykälässä säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja yleisen tietoverkon välityksellä. Tiedot voitaisiin luovuttaa ehdotetussa pykälässä tarkoitetuissa tilanteissa sen estämättä, mitä julkisuuslain 16 §:n 3 momentissa säädetään.
Pykälän 1 momentti olisi voimassa olevaan lakiin nähden uusi säännös. Poliisi saisi ehdotetun säännöksen perusteella luovuttaa henkilötietoja yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tilanteissa, joissa tietojen luovuttaminen on tarpeen rikosten ennalta estämiseksi, omaisuuden omistajalleen palauttamiseksi tai tutkinnallisista syistä. Tietoja voitaisiin luovuttaa voimassa olevan lain 19 a §:ään verrattuna useammissa tilanteissa, mutta tietojen luovuttamistapa rajattaisiin vastaavasti yksityisyyden suojan takaamiseksi yksittäisiin hakuihin. Poliisi voisi luovuttaa henkilötietoja 1 momentin nojalla ainoastaan siten, että tiedot olisivat haettavissa yleisessä tietoverkossa olevan palvelun kautta ennalta määriteltyjä hakuehtoja käyttäen.
Säännöksen nojalla poliisin verkkosivuilla voitaisiin luovuttaa esimerkiksi tietoja siitä, onko tietty omaisuus ilmoitettu anastetuksi. Anastetun omaisuuden tarkastusmahdollisuus ennalta määritellyistä omaisuusluokista, mm. polkupyöristä, palvelisi kansalaisia ja estäisi näin anastetun omaisuuden myyntiä, millä olisi vaikutusta itse rikollisuuden volyymiin. Perustuslakivaliokunta on lausunnoissaan (PeVL 2/2017 vp ja siinä viitatut lausunnot) tulkinnut rajauksen yksittäisiin hakuihin asianmukaiseksi tavaksi suojata tietojen luovutusta yleisen tietoverkon kautta.
Pykälän 2 momentissa säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja yleisen tieto-verkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi muuten kuin yksittäisinä hakuina. Säännöksen tarkoituksena on mahdollistaa rikoksia koskeva tiedotus poliisin internet-sivuilla voimassa olevan lain 19 a §:ää vastaavalla tavalla. Yleisen tietoverkon välityksellä voitaisiin luovuttaa ainoastaan voimassa olevan lain 2 §:n 3 momentin 8 kohdassa tarkoitettuja tiedotustietoja vastaavia henkilötietoja, joista olisi asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Tietojen luovuttamisen edellytykset olisi rajattu 1 momenttia tiukemmin, koska momentin perusteella tapahtuvaa luovuttamista ei ehdoteta rajattavaksi yksittäisiin hakuihin. Momentin nojalla voitaisiin luovuttaa esimerkiksi kadonneita henkilöitä ja tuntemattomia vainajia koskevia tietoja sekä sellaisia rikoksia koskevia tietoja, joista on tarpeen erityisesti tiedottaa. Yleiseen tietoverkkoon luovutettavien henkilötietojen määrä olisi kuitenkin rajoitettava mahdollisimman suppeaksi.
24 §.Henkilötietojen luovuttaminen yksityiselle yhteisölle tai elinkeinonharjoittajalle sähköisen asiointipalvelun kautta. Säännös olisi uusi. Pykälässä säädettäisiin luvan voimassaoloon liittyvien henkilötietojen luovuttamisesta sellaisille yksityisille yhteisöille ja elinkeinonharjoittajille, joille on muualla lainsäädännössä säädetty tehtäviä, joiden suorittaminen välttämättä edellyttää luvan voimassaoloa koskevien tietojen käsittelyä. Lupiin sisältyisivät kaikki luvat ja hyväksynnät, mukaan lukien matkustusasiakirjat, joiden tietoja poliisi käsittelee 11 §:ssä säädettyihin tarkoituksiin. Tietojen luovuttamistapaa rajattaisiin siten, että tietoja voitaisiin hakea ainoastaan yksittäisinä hakuina. Perustuslakivaliokunta on tulkinnut kyseisen rajoituksen asianmukaiseksi tavaksi suojata tietojen luovutusta yleisen tietoverkon kautta. Pykälässä ei olisi kyse tietojen luovuttamisesta yleisölle vaan tietojen luovuttamisesta rajatulle vastaanottajien joukolle käyttöoikeushallinnan avulla rajoitetun sähköisen asiointipalvelun kautta. Ehdotettu rajaus yksittäisiin hakuihin toimisi tietojen suojaamisen takeena ja yksityisyyden suojan toteutumista varmistavana suojatoimena.
Vastaanottajina toimivia yksityisiä yhteisöjä ja elinkeinonharjoittajia ei yksilöitäisi pykälässä, vaan vastaanottajat rajautuisivat muualla lainsäädännössä säädettyjen tehtävien perusteella. Tarve luvan voimassaolotiedon tarkistamiseen liittyisi pääasiassa tilanteisiin, joissa tiedonsaaja tarkastelee yksittäisen henkilön luvan voimassaoloa rekisteröidyn aloitteesta tapahtuvissa asiointitilanteissa.
Tietoja voitaisiin pykälän nojalla luovuttaa esimerkiksi ase-elinkeinonharjoittajalle ampuma-aselain 42 c §:ssä säädetyn ilmoitusvelvollisuuden täyttämiseksi. Luvan täydentäminen aseen tai aseen osan yksilöintitiedoilla tapahtuisi ase-elinkeinonharjoittajan toimesta käyttäen sähköistä asiointia, jos ase tai aseen osa hankittaisiin ampuma-aselain 20 §:n mukaiselta ase-elinkeinonharjoittajalta. Ase-elinkeinonharjoittaja ilmoittaisi yksilöintitiedot luovutuksen yhteydessä sähköisen asioinnin avulla poliisin asetietojärjestelmään käyttäen vahvaa tunnistautumista. Ase-elinkeinonharjoittajien hallussa olevat aseiden, aseen osien ja tehokkaiden ilma-aseiden tiedot olisivat merkittyinä poliisin asetietojärjestelmään ja niiden luovutuksesta tehtävällä sähköisellä ilmoituksella yksilöintitiedot siirtyisivät luovutuksensaajan aselupaan. jonka yhteydessä elinkeinoluvan haltija täydentäisi luvan tietoja ampuma-aseen tai aseen osan yksilöintitiedoilla sähköisen asioinnin kautta (HE 266/2016 vp, s. 39).
Pykälässä tarkoitettuihin tilanteisiin kuuluisi myös vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain 7 b §:ssä säädetty passin tai henkilökortin voimassaoloa koskevan tiedon luovuttaminen tunnistuspalvelun tarjoajalle. Pykälä mahdollistaisi tietojen luovuttamisen myös muissa tilanteissa, joissa lupaa koskevien tietojen tarkistaminen on välttämätöntä yksityiselle yhteisölle tai henkilölle säädettyjen tehtävien hoitamiseksi. Luovuttaminen olisi aina rekisterinpitäjän harkintavallassa, eikä pykälä siten perustaisi poliisille velvollisuutta henkilötietojen luovuttamiseen.
25 §.Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle. Pykälän 1 momentissa huomioitaisiin niin sanottu tietojen saatavuusperiaate, jonka mukaan henkilötietojen ja muiden tietojen tulisi olla toisen EU:n jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaisen saatavilla samoin edellytyksin kuin ne ovat poliisin käytettävissä rikoksen ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälän 2 momentissa säädettäisiin henkilötietojen luovuttamisesta vakavan rikollisuuden torjunnan tehostamiseksi perustetulle Eurojust-yksikölle ja muille Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perusteluille toimielimille. Momentissa tarkoitettuihin toimielimiin kuuluisi Eurojust-yksikön lisäksi esimerkiksi Euroopan petostentorjuntavirasto.
Pykälän 3 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona.
Säännökset vastaisivat sisällöllisesti pääosin voimassa olevan lain 29 §:ää. Voimassa olevassa laissa tietojen luovuttamista Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaisille on kuitenkin tietyiltä osin rajattu tiukemmin kuin poliisin mahdollisuuksia käsitellä henkilötietoja muuhun kuin alkuperäiseen käsittelytarkoitukseen. Tietoja voitaisiin siten ehdotetun säännöksen nojalla tietyissä tilanteissa luovuttaa voimassa olevaa sääntelyä laajemmin. Laajennus koskisi esimerkiksi poliisilain 1 luvun 1 §:n 2 momentissa säädettyjen tehtävien suorittamiseksi kerättyjen henkilötietojen luovuttamista. Laajempaa mahdollisuutta tietojen luovuttamiseen merkitsisivät tietojen saatavuusperiaatteen vuoksi myös poliisille 13—15 §:ssä ehdotetut laajemmat mahdollisuudet tietojen käsittelyyn muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Tiedot voitaisiin luovuttaa myös tietojoukkona. EU:n jäsenvaltioiden poliisiviranomaiset käyttävät tiedonvaihtoon suojattua kanavaa.
Pykälän 4 momentti sisältäsi informatiivisen viittauksen Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettuun lakiin sen varmistamiseksi, että puitepäätös on asianmukaisesti pantu täytäntöön henkilötietojen luovuttamisen osalta. Puitepäätöksen täytäntöönpanolaki olisi erityissäädös suhteessa lakiehdotukseen.
26 §.Henkilötietojen luovuttaminen Schengenin tietojärjestelmän kansallisesta järjestelmästä. Pykälässä säädettäisiin henkilötietojen luovuttamisesta Schengenin tietojärjestelmän kansallisesta järjestelmästä. Säännös olisi informatiivinen ja vastaisi voimassa olevan lain 35 §:ää.
27 §.Henkilötietojen luovuttaminen Schengenin tietojärjestelmää käyttävälle valtiolle ja Schengenin tietojärjestelmään. Pykälässä säädettäisiin poliisin oikeudesta luovuttaa henkilötietoja Schengen-valtioiden toimivaltaisille viranomaisille sekä Schengenin tietojärjestelmään talletettavaksi. Säännös olisi luonteeltaan informatiivinen ja vastaisi poliisin osalta sisällöltään voimassa olevan lain 36 §:ää, jossa säädetään kaikkien toimivaltaisten Schengen-viranomaisten oikeudesta tietojen luovuttamiseen. Lain soveltamisala huomioiden säännös rajattaisiin kuitenkin koskemaan vain poliisin oikeutta tietojen luovuttamiseen.
Pykälässä ehdotetaan lisäksi säädettäväksi, että lisätiedot olisi luovutettava Sirene-toimistona toimivan keskusrikospoliisin välityksellä. Keskusrikospoliisin rooli Schengenin säädöspohjassa tarkoitettuna Sirene-toimistona on voimassa olevassa laissa huomioitu kansainväliseen poliisiyhteistyöhön liittyviä määritelmiä koskevassa 32 §:ssä.
28 §.Henkilötietojen luovuttaminen Europolille. Pykälä sisältäisi informatiivisen viittauksen Europol-asetukseen ja sitä täydentävään lakiin Euroopan unionin lainvalvontayhteistyövirastosta.
29 §.Henkilötietojen luovuttaminen Eurodac-järjestelmään. Pykälä vastaisi voimassa olevan lain 39 §:ää, joka on informatiivinen säännös, mutta pykälän säädösviittaukset tarkistettaisiin vastaamaan EU-lainsäädännön muutoksia. Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten Dublinin yleissopimuksen tehokkaaksi soveltamiseksi annetussa neuvoston asetuksessa (EY) N:o 2725/2000 tarkoitetun Eurodac-tietojärjestelmän tietojen käyttötarkoitusta laajennettiin Euroopan parlamentin ja neuvoston asetuksella EU/603/2013 (Eurodac-asetus), jonka soveltaminen alkoi 20 päivänä heinäkuuta 2015. Asetus mahdollistaa Eurodac-järjestelmään taltioitujen sormenjälkien käyttämisen lainvalvontatarkoituksessa torjuttaessa terrorismirikoksia ja muita vakavia rikoksia. Pykälässä ehdotetaan lisäksi säädettäväksi siitä, että keskusrikospoliisi on asetuksen 5 artiklan 1 kohdassa tarkoitettu nimetty viranomainen lainvalvontatarkoituksessa myönnettävää tietojen saantia varten.
30 §.Henkilötietojen luovuttaminen Prümin sopimuksen ja Prüm-päätöksen nojalla. Säännöksellä pantaisiin täytäntöön Prümin sopimuksen ja Prüm-päätöksen säännökset siltä osin kuin on kyse niiden nojalla tapahtuvasta rikosperusteisesta henkilötietojen luovuttamisesta.
Pykälän 1 momentissa säädettäisiin niin sanotusta osumahausta, joka liittyy DNA-tietoihin, sormenjälkitietoihin ja ajoneuvorekisteritietoihin. Näiden osalta EU:n jäsenvaltioilla on käytössä hajautettu järjestelmä, jossa poliisi voi hakea osumatietoja toisen jäsenvaltion kyseessä olevan rekisterin viitetietoihin.
Pykälän 2 momentti sisältäisi informatiivisen säännöksen, jolla täsmennettäisiin 1 momentissa tarkoitetun osumahaun jälkeiseen henkilötietojen vaihtoon sovellettavat säännökset. Säännös olisi uusi ja sen tarkoitus olisi selkiyttää Prüm-päätöksen ja muun lainsäädännön suhdetta. Neuvoston päätös 2008/615/YOS jättää käytettävän tiedonvaihtomenettelyn ja kanavan jäsenvaltioiden lainvalvontaviranomaisten harkintaan, jolloin niiden täsmentäminen säännösviittauksilla lain tasolla olisi tarkoituksenmukaista. Tällä pyrittäisiin varmistamaan sekä Prümin sopimuksen ja Prüm-päätöksen että neuvoston puitepäätöksen 2006/960/YOS tehokas täytäntöönpano.
Voimassa olevan lain 40 §:n informatiivinen säännös Prümin sopimukseen ja Prüm-päätökseen perustuvaa tietojen käsittelyä koskevien lokitietojen ja valvontatietojen poistamisesta ehdotetaan siirrettäväksi 5 lukuun ja rekisteröidyn tarkastusoikeutta koskeva säännös ehdotetaan huomioitavaksi 6 luvussa.
31 §.Muu henkilötietojen luovuttaminen ulkomaille. Henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin tietosuoja-asetuksen V luvun sekä rikosasioiden tietosuojalain 7 luvun säännöksiä. Pykälä sisältäisi kuitenkin eräitä tarkentavia säännöksiä tietojen luovuttamisesta ulkomaille.
Pykälän 1 momentti sisältäisi rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen osalta säännöksen, joka oikeuttaisi poliisin luovuttamaan henkilötietoja salassapitosäännösten estämättä.
Pykälän 2 ja 3 momentissa säädettäisiin lisäksi täydentävästi eräistä henkilötietojen luovuttamiseen liittyvistä erityistilanteista.
Pykälän 2 momentin 1 kohdan mukaan poliisi saisi luovuttaa henkilötietoja laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamisesta tehdyissä kansainvälissä sopimuksissa tai muissa järjestelyissä tarkoitetuille toimivaltaisille viranomaisille kyseisissä kansainvälisissä sopimuksissa tai järjestelyissä tarkoitettuja tehtäviä varten. Kohta vastaisi pääosin voimassa olevan lain 30 §:n 4 momenttia. Kohtaan lisättäisiin myös maininta muista takaisinottamista koskevista järjestelyistä niitä tilanteita varten, joissa henkilö palautetaan valtioon, jonka kanssa Suomella ei ole takaisinottosopimusta.
Momentin 2 kohdassa säädettäisiin asevalvonnan kannalta välttämättömien henkilötietojen luovuttamisesta muun valtion asevalvonnasta vastaavalle viranomaiselle. Säännös vastaisi voimassa olevan lain 30 §:n 3 momenttia, mutta koskisi myös tietojen luovuttamista EU-jäsenvaltioiden viranomaisille. Säännöksellä katettaisiin myös aseiden hankinnan ja hallussapidon valvonnasta annetun neuvoston direktiivin 91/477/ETY muuttamisesta toukokuun 17 päivänä 2017 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/853 (jäljempänä asedirektiivi) 13 artiklan 4 kohdassa tarkoitettu tiedonvaihto. Asedirektiivin 13 artiklan 4 kohdan mukaan jäsenvaltioiden toimivaltaisten viranomaisten on vaihdettava sähköisesti tietoja luvista, joita on myönnetty ampuma-aseiden siirtämiseksi toiseen jäsenvaltioon, ja tietoja lupien epäämisestä 6 ja 7 artiklassa säädetyn mukaisesti turvallisuuteen tai asianomaisen henkilön luotettavuuteen liittyvistä syistä.
Pykälän 3 momentti sisältäisi rajoitussäännöksen, joka koskee henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien biometristen tietojen luovuttamista. Säännös vastaisi sisällöllisesti voimassa olevan lain 30 §:n 3 momentin säännöstä passin sormenjälkitietojen luovuttamisesta, mutta säännös laajennettaisiin koskemaan sormenjälkien lisäksi myös muita biometrisia tietoja. Tietoja saisi luovuttaa vain 14 §:n 2 momentin mukaisiin tarkoituksiin. Ehdotetulla säännöksellä huomioitaisiin EU:n tietosuojalainsäädännössä biometristen tietojen käsittelylle asetetut tiukemmat edellytykset.
Pykälän 4 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona.
32 §.Tietojen luovuttamisesta päättäminen. Pykälässä säädettäisiin päätöksenteosta, joka koskisi oikeutta luovuttaa poliisin henkilörekisterin tietoja tietojoukkona tai teknisen käyttöyhteyden avulla sekä 3 luvussa tarkoitettujen viranomaisten oikeutta luovuttaa näillä keinoilla henkilötietoja poliisin tietojärjestelmään (1 momentti).
Kun tietoja luovutetaan teknisen käyttöyhteyden avulla, rekisterinpitäjän on vaikeampi valvoa henkilötietojen suojaamista ja käyttöä. Teknisen käyttöyhteyden avulla tapahtuvasta tietojen luovuttamisesta sovittaisiin nykyistä vastaavasti aina erikseen rekisterinpitäjän ja tietojen luovuttajan tai vastaanottajan välillä. Ehdotetun 4 luvun säännökset eivät siten itsessään loisi esimerkiksi vastaanottajille oikeutta saada poliisin henkilötietoja teknisen käyttöyhteyden avulla ilman erillistä päätöstä. Päätöksen tietojen luovuttamisesta tekisi rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu poliisiyksikkö. Rekisterinpitäjä voisi kussakin tapauksessa erikseen arvioida, onko teknisen käyttöyhteyden avaaminen perusteltua.
Pykälän 2 momentin mukaan luovuttamisesta päätettäessä olisi voimassa olevan lain 20 §:n 2 momenttia vastaavasti otettava huomioon luovutettavien tietojen laatu.
5 luku Henkilötietojen poistaminen, tarkistaminen ja arkistointi
Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja tietosuojadirektiivin 4 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten. Luvussa säädettäisiin henkilötietojen enimmäissäilytysajoista. Luvun säännökset eivät rajoittaisi muualla laissa olevien tietojen poistamista tai tarpeellisuuden arviointia koskevien säännösten soveltamista, vaan luvussa mainittuja poistoaikoja olisi noudatettava, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin.
33 §.Rikosasiaan liittyvien henkilötietojen poistaminen. Pykälä korvaisi ne voimassa olevan lain 22 §:n säännökset, jotka koskevat rikosten esitutkintaan liittyvien tietojen ja tuntomerkkitietojen poistamista. Henkilötietojen säilytysaikoihin ei esitetä suuria muutoksia vuoden 2013 lainmuutoksiin verrattuna. Tietojen poistamista koskevia säännöksiä ehdotetaan kuitenkin edelleen yksinkertaistettavaksi ja selkeytettäväksi. Ehdotuksessa on otettu huomioon myös uuden tietosuojalainsäädännön edellyttämät muutostarpeet.
Ehdotetussa 33 §:ssä säädettäisiin rikosilmoitusten tietojen ja tuntomerkkitietojen poistamisen lisäksi myös muiden rikosasiaan liittyvien henkilötietojen poistamisesta. Rikosasiaan liittyvillä henkilötiedoilla tarkoitettaisiin kaikkia esitutkintatarkoituksiin kerättyjä henkilötietoja, joiden poistamisajat on tarkoituksenmukaista yhdenmukaistaa rikosilmoitusta koskevien tietojen poistamisaikojen kanssa. Esimerkiksi tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot sekä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tai tutkintaa suorittavien viranomaisten valvonnan suuntaamiseksi käsiteltävät tiedotustiedot poistettaisiin jatkossa noudattaen sen rikosasian säilytysaikaa, johon tiedot liittyisivät. Säilytysajat olisivat edelleen porrastettuja sen mukaan, miten törkeästä teosta on kysymys. Lisäksi säännöksessä huomioitaisiin alaikäisten rikolliseen tekoon syyllistyneiden henkilöiden haavoittuvampi asema.
Pykälän 1 momentin mukaisesti rikosasian tiedot poistettaisiin viiden vuoden kuluttua rikos-asian siirtämisestä syyttäjälle, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus, kymmenen vuoden kuluttua, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli vuoden ja enintään viiden vuoden vankeusrangaistus, ja kahdenkymmenen vuoden kuluttua, kun rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta. Esitetyillä säilytysajoilla varmistettaisiin voimassa olevaa lakia vastaavasti, että tiedot säilyvät poliisin tietojärjestelmässä vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Säilytysaikaa lyhennettäisiin kymmenestä vuodesta viiteen vuoteen niiden syyttäjälle siirrettyjen rikosasioiden osalta, joissa törkeimmästä epäillystä rikoksesta voi seurata enintään vuoden vankeusrangaistus. Lyhyemmän säilytysajan arvioidaan riittävän turvaamaan tietojen säilyminen lainvoimaisen ratkaisun saamiseen saakka.
Edellä 1 momentissa tarkoitetut tiedot poistettaisiin 2 momentin mukaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta. Tällä varmistettaisiin nykyistä vastaavasti se, että esimerkiksi murhatutkimuksiin liittyvät tiedot säilyvät poliisin käytettävissä.
Muun rikosasian tiedot poistettaisiin 3 momentin mukaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta. Vähintään viiden vuoden säilytysaika vastaisi virkarikosten syyteoikeuden vanhentumisaikaa ja olisi tarpeen sekä asianomistajan että poliisin oikeusturvan takaamiseksi.
Pykälän 4 momentissa säädettäisiin rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi talletettujen tuntomerkkitietojen poistamisesta. Tiedot poistettaisiin viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistettaisiin kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta. Esitetyillä muutoksilla lyhennettäisiin voimassa olevan lain mukaisia poistoaikoja huomattavasti lievempien rikosasioiden osalta. Tunnistamattomiksi jääneiden rikokseen liittyvän tuntemattoman tekijän taltioitujen jälkien poistamisesta ei enää säädettäisi erikseen, vaan tiedot poistettaisiin 2 momentin mukaista muun rikosasian poistoaikaa noudattaen vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta.
Pykälän 5 momentissa huomioitaisiin alaikäiset rikollisesta teosta epäillyt. Momentin tarkoituksena on varmistaa lapsen edun huomioon ottaminen lapsen oikeuksien yleissopimuksen mukaisesti. Voimassa olevan lain 22 §:n 2 momentin mukaan rekisteröidyn, joka oli rikoksen tekohetkellä alle 15-vuotias, tiedot poistetaan hänen täytettyään 18 vuotta, ellei hän 15 vuotta täytettyään ole syyllistynyt rikokseen. Tietoja ei kuitenkaan tällä perusteella poisteta, jos ilmoitukseen liittyy muita syylliseksi epäiltyjä, joiden tietoja ei vielä poisteta tai jokin merkinnöistä koskee rikollista tekoa, josta on seuraamukseksi säädetty ainoastaan vankeutta. Mainitun säännöksen asianmukainen toteuttaminen on kuitenkin osoittautunut ongelmalliseksi. Voimassa olevan poistosäännön merkitys rekisteröidyn yksityisyyden suojan kannalta jäisi myös pieneksi sen takia, että alle 15-vuotiaita koskevissa rikosilmoituksissa on useissa tapauksissa muitakin kirjattuja henkilöitä, minkä takia poistosääntö johtaisi käytännössä tietojen poistamiseen vain vähäisellä osalla alle 15-vuotiaana rekisteröidyistä.
Ehdotetun 5 momentin mukaan alle 15-vuotiaiden rekisteröityjen tuntomerkkitiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, ellei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta. Muutoin alle 15-vuotiaiden rekisteröityjen tiedot poistettaisiin noudattaen ehdotetun 33 §:n yleisiä säännöksiä. Esimerkiksi rikosilmoitus, jossa kirjattuna on ainoastaan alle 15-vuotias henkilö, poistettaisiin 2 momentin mukaisesti viiden vuoden kuluttua rikosasian kirjaamisesta, koska rikosasiaa ei siirrettäisi syyttäjälle.
Pykälän 6 momentissa säädettäisiin rekisteröidyn yksityisyyden suojan takaamiseksi poikkeussäännöstä, jonka mukaan henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistettaisiin viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta.
Pykälän 7 momentin mukaan kaikki edellä 1—5 momentissa tarkoitetut tiedot voitaisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Myös esimerkiksi ajoneuvoja koskevien kuulutusten voimassaoloaikaa voi olla tarve jatkaa omaisuuden omistajalleen palauttamisen mahdollistamiseksi. Pääsääntöisesti tutkinnanjohtaja harkitsisi ajoneuvon kunnon, iän, arvon tai antiikkiarvon ja rikosnimikkeen perusteella, kuinka kauan etsintäkuulutus on tarpeen pitää voimassa. Vanhoja huonokuntoisia ajoneuvoja koskevien kuulutusten säilytysaika olisi yleensä sama kuin siihen liittyvän rikosasian. Omistusoikeus ajoneuvoon kuitenkin säilyy omistajalla, vaikka rikos vanhenee tai joku saa anastetun omaisuuden hallintaansa esimerkiksi vilpittömässä mielessä ostamalla. Tämän vuoksi etsintäkuulutus on syytä pitää voimassa niin kauan kuin ajoneuvolla on arvoa.
Tietojen säilyttäminen olisi ehdotetun 7 momentin mukaan nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Muu perusteltu syy tietojen säilyttämiseen voisi olla esimerkiksi tarve jatkaa kateissa olevaa ampuma-asetta koskevan kuulutuksen voimassaolo-aikaa, vaikka asian tutkinta on jo päättynyt. Momentissa säädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tarpeellisuuden arvioinnille asetettu viiden vuoden määräaika vastaisi rikosasioiden tietosuojalain 6 §:ssä arvioinnille säädettyä määräaikaa. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi.
Pykälän 8 momentti sisältäisi viittaussäännöksen Prümin sopimukseen ja Prüm-päätökseen. Prümin sopimuksen ja Prüm-päätöksen soveltamista varten EU:n jäsenvaltiot ovat ottaneet käyttöön ns. osumatiedonhakua varten tietojärjestelmät ajoneuvorekisteritiedonvaihtoa, sormenjälkitiedonvaihtoa ja DNA-tiedonvaihtoa varten. Momentissa mainituissa säännöksissä edellytetään lokitietojen ja valvontatietojen säilyttämistä ja niissä säädetään kyseisten tietojen poistoajoista.
34 §.Muiden tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen poistaminen. Säännöksellä katettaisiin ne 5 §:n mukaisiin tarkoituksiin käsiteltävät henkilötiedot, jotka eivät liittyisi esitutkintaan. Pykälän nojalla poistettaisiin siten esimerkiksi poliisin kenttätehtäviin, virka-aputehtäviin ja laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyvien henkilöiden tiedot. Pykälällä korvattaisiin voimassa olevan lain 22 §:n säännökset muiden ilmoitusten tietojen poistamisesta, tunnistettavien tietojen ja turvallisuustietojen poistamisesta sekä tiettyjen henkilökuulutustietojen poistamisesta. Poistosäännöksiä ehdotetaan myös muiden tutkinta- ja valvontatehtävien osalta yksinkertaistettavaksi ja selkeytettäväksi suhteessa voimassa olevan lain 22 §:ään.
Pykälän 1 momentin mukaisesti muut tutkinta- ja valvontatehtävissä käsiteltävät henkilötiedot kuin 33 §:ssä tarkoitetut tiedot säilytettäisiin viiden vuoden ajan ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan. Esimerkiksi kuolemansyyn selvittäminen sekä lähestymiskiellon ja liiketoimintakiellon edellytysten selvittäminen ovat tyypillisesti rikosasian tutkinnan yhteydessä selvitettäviä asioita.
Pykälän 2 momentin1—4 kohdassa huomioitaisiin poikkeukselliset säilytysajat, jotka liittyisivät muuhun lainsäädäntöön. Momentin 1—3 kohta koskisivat liiketoimintakieltoa, lähestymiskieltoa, tapaamiskieltoa ja yksityisoikeuden alalla määrättyjen suojelutoimenpiteiden vastavuoroisesta tunnustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen soveltamisesta annetussa laissa tarkoitettua suojelutoimenpidettä, valvottua koevapautta ja valvontarangaistusta. Momentin 4 kohdassa säädettäisiin muiden henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävien etsintäkuulutusta, matkustus-, eläintenpito- tai metsästyskieltoa, kansallista maahantulokieltoa, yhdyskuntaseuraamusta tai ehdonalaista vapautta koskevien tietojen poistamisesta.
Momentin 1—4 kohdassa tarkoitettujen tietojen säilytysajat perustuisivat 1 momentin pääsäännöstä poiketen kuulutuksen tai kiellon määräämiseen, peruuttamiseen tai päättymiseen. Ilmoituksen tai asian kirjaamiseen perustuva säilytysaika voisi johtaa tilanteisiin, joissa asiaan liittyvät henkilötiedot olisi poistettava kuulutuksen tai kiellon ollessa vielä voimassa tai välittömästi voimassaolon päätyttyä.
Kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi käsiteltävien henkilötietojen säilytysaika on vuoden 2013 lainmuutoksella pidennetty yhdestä vuodesta viiteen vuoteen. Säilytysaikaa ehdotetaan edelleen tarkennettavaksi 2 momentin 5 kohdassa siten, että tiedot poistettaisiin aikaisintaan viiden vuoden kuluttua kadonneen henkilön löytämisestä tai tuntemattoman vainajan tunnistamisesta. Monimutkaisissa tapauksissa ja erityisesti, jos henkilö on tavattu ulkomailla tai vainaja on ulkomaalainen, virka-apumenettelyt hidastavat prosessia niin, että asioiden loppuun saattaminen kestää vielä tunnistamisen jälkeen pitkään. Kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomina löytyneiden vainajien tunnistamiseksi tarpeelliset lähisukulaisten tiedot poistettaisiin kuitenkin rekisteröidyn pyynnöstä tai heti, kun tiedot eivät enää ole käsittelytarkoituksen kannalta tarpeellisia.
Etsittävien ajoneuvojen tiedoille ja omaisuustiedoille ei voimassa olevista säännöksistä poiketen ehdotettaisi erillistä poistosäännöstä, vaan tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot poistettaisiin noudattaen sen ilmoituksen tai asian säilytysaikaa, johon kuulutustiedot liittyisivät. Tiedot poistettaisiin, kun ne eivät ole enää tarpeen asian käsittelemiseksi, tehtävän suorittamiseksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi.
Momentin 6 kohdassa säädettäisiin ulkomaalaisten tunnistamistietojen poistoajasta voimassa olevan lain 23 §:ää vastaavasti. Ulkomaalaisten tunnistamistietojen säilytysaikaa koskevan säännöksen siirtäminen osaksi tutkinta- ja valvontatehtävissä käsiteltävien henkilötietojen poistosäännöksiä vastaisi 2 lukuun ehdotettuja muutoksia, joilla huomioitaisiin ulkomaalais-valvonnan yhteydet rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen.
Pykälän 3 momentissa säädettäisiin voimassa olevaa lakia vastaavasta poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai poliisin henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Turvallisuustietojen tarpeellisuuden varmistamiseksi tiedot on poliisin määräyksen mukaan päivitettävä käyttötarkoitusta vastaaviksi vähintään vuoden välein. Tarkastuksen yhteydessä on tehtävä merkintä tarkastuksen suorittamisesta. Tarpeettomat tai virheelliset tiedot poistetaan järjestelmästä välittömästi. Voimassa olevan lain 23 §:ää vastaavasti myös ulkomaalaisten tunnistamistiedot poistettaisiin momentin mukaan viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta.
Pykälän 4 momentissa säädettäisiin poikkeuksesta, joka koskisi kaikkia edellä 1—3 momentissa tarkoitettuja tietoja. Tiedot voitaisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Tietojen säilyttäminen olisi ehdotetun 4 momentin mukaan nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Momentissa säädettäisiin myös 33 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein.
Edellä 5 §:n 3 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 5 §:n 3 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 5 ja 6 §:ssä säädetyt käsittelyedellytykset, siirrettäisiin kyseisiin käsittelytarkoituksiin ja niiden osalta noudatettaisiin 5 ja 6 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.
35 §.Rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen poistaminen. Rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot olisi ehdotetun 1 momentin mukaan poistettava viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan merkinnän tekemisestä. Ehdotettu pääsääntö vastaisi pääosin voimassa olevan lain 24 §:n säännöstä epäiltyjen tietojärjestelmän tietojen poistamisesta, mutta säännös koskisi jatkossa kaikkia 7 ja 8 §:n nojalla rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja. Havaintotietoja koskisi kuitenkin nykyistä 22 §:n 1 momentin 12 kohtaa vastaava lyhyempi säilytysaika. Tiedot olisi poistettava kuuden kuukauden kuluttua merkinnän tekemisestä. Tällä huomioitaisiin se, että havaintotiedot ovat luonteeltaan epävarmoja eikä niitä tulisi säilyttää pidempään kuin on välttämätöntä.
Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät turvallisuustiedot olisi poistettava edellä 34 §:ssä tarkoitettuja turvallisuustietoja vastaavasti viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai poliisin henkilöstöön kuuluvan turvallisuuden varmistamiseksi.
Ehdotetun pykälän mukaisesti poistettaisiin esimerkiksi rikosten ennalta estämiseksi tai paljastamiseksi suoritettavaan rikosanalyysiin liittyvät henkilötiedot, joita käsitellään voimassa olevan lain 6 §:n 2 momentin 2 kohdan mukaisissa tilapäisissä analyysirekistereissä. Voimassa olevan lain 26 §:n mukaan tiedot poistetaan 6 §:n 2 momentin 2 kohdassa tarkoitetuista henkilörekistereistä viiden vuoden kuluttua ja muista poliisiyksikön ja useamman kuin yhden poliisiyksikön käyttöön perustetuista henkilörekistereistä kymmenen vuoden kuluttua rekisteröinnin aiheuttaneen teon, toimenpiteen tai tapahtuman merkitsemisestä, jollei tietojen edelleen säilyttäminen ole tutkinnallisen tai valvonnallisen syyn vuoksi tarpeen. Voimassa olevan lain mukaan henkilötietoja ei kuitenkaan poisteta, jos henkilön tietoihin on liitetty henkilöä koskevia, hänen omaan turvallisuuteensa tai poliisin työturvallisuuteen liittyviä tietoja.
Kaikkien 7 ja 8 §:n mukaisesti rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen tuominen samojen systemaattisten säilytysaikojen piiriin selkeyttäisi ja yksinkertaistaisi tietojen poistamista sekä järjestelmien toteutuksen että rekisteröidyn oikeusturvan kannalta. Samalla varmistettaisiin mahdollisuudet uhkapotentiaaliltaan suurimpien ja vakavimpien rikosten ennalta estämiseen ja paljastamiseen.
Pykälän 2 momentti sisältäisi 33 §:n 7 momenttia ja 34 §:n 4 momenttia vastaavan säännöksen, jonka mukaan henkilötiedot voitaisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava vähintään viiden vuoden välein. Yksityisyyden suojan takeena toimisivat myös rikosasioiden tietosuojalain 6 §:n yleisesti sovellettavat säännökset henkilötietojen käsittelyn tarpeellisuudesta.
Lyhyempi säilytysaika koskisi myös 7 §:n 6 momentissa tarkoitettuja tietoja, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi. Tiedot olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi, kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin kuitenkin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 7 §:n 6 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 7 ja 8 §:ssä säädetyt käsittelyedellytykset, siirrettäisiin kyseisiin käsittelytarkoituksiin ja niiden osalta noudatettaisiin 7 ja 8 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja.
36 §.Tietolähdetietojen poistaminen. Tietolähdetietojen poistamisesta ehdotetaan säädettäväksi erillisessä pykälässä. Ehdotus vastaisi lain 2 lukuun ehdotettuja muutoksia, joilla tietolähdetietojen käsittelyä koskevat säännökset siirrettäisiin erilliseen 9 §:ään. Voimassa olevan lain 22 §:n 1 momentin 9 kohdan mukaan tietolähdetiedot poistetaan kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Säännöstä ehdotetaan muutettavaksi siten, että tiedoille säädettäisiin kymmenen vuoden enimmäissäilytysaika. Muutoksella huomioitaisiin, että tiedot olisi voitava poistaa myös aiemmin kuin kymmenen vuoden kuluttua esimerkiksi silloin, jos tiedot eivät enää olisi käsittelytarkoituksen kannalta tarpeellisia.
37 §.DNA-näytteiden laadun varmistamiseksi käsiteltävien henkilötietojen poistaminen. Säännös olisi voimassa olevaan lakiin nähden uusi ja siinä huomioitaisiin ehdotetussa 10 §:ssä tarkoitettujen DNA-näytteiden laadun varmistamiseksi käsiteltävien henkilötietojen poistaminen. Tietojen poistamisessa noudatettaisiin rikosasioiden tietosuojalain 6 §:ssä säädettyä vaatimusta tarpeettomien henkilötietojen poistamisesta ilman aiheetonta viivytystä. Rekisteröidyllä olisi oikeus ehdotetun 10 §:n mukaan oikeus kieltää henkilötietojensa käsittely, joten tiedot poistettaisiin myös aina viipymättä rekisteröidyn niin pyytäessä (1 momentti).
Pykälässä tarkoitetuille tiedoille ei ole mahdollista asettaa yleistä säilytysaikaa, vaan tietojen säilyttämisen tarpeellisuus määräytyisi tapauskohtaisesti. Henkilötietojen edelleen säilyttämisen tarpeellisuuden arvioimiselle asetettaisiin tämän takia muihin käsittelytarkoituksiin verrattuna tiukempi määräaika. Tietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava vähintään vuoden välein (2 momentti).
38 §.Muissa poliisin lakisääteisissä tehtävissä käsiteltävien henkilötietojen poistaminen. Ehdotetulla säännöksellä korvattaisiin voimassa olevan lain 23 § lukuun ottamatta ulko-maalaisten tunnistamistietoja, joiden poistamisesta säädettäisiin ehdotetussa 34 §:ssä. Säännöksellä katettaisiin lisäksi myös muut 11 ja 12 §:n nojalla käsiteltävät henkilötiedot, joiden käsittelystä ei säädetä voimassa olevassa poliisin henkilötietolaissa.
Voimassa olevat hallintoasiain tietojärjestelmän poistosäännökset on säädetty vuoden 2013 lainmuutosten yhteydessä. Poistosäännökset ovat kuitenkin osoittautuneet joiltain osin ongelmallisiksi poliisin lupahallinnollisten tehtävien kannalta. Säännöksissä asetetaan toisistaan eriävät säilytysajat samaa lupa-asiaa koskeville eri tietoryhmille, mitä on pidetty ongelmallisena tietojen eheyden kannalta. Säännöksiä on lisäksi pidetty epäselvinä ja monimutkaisina. Tietojen eheyden kannalta ongelmallinen tilanne on esimerkiksi vaatimus lupaa koskevaa päätöstä ja lupaa koskevien tietojen poistamisesta eri aikoina. Säännösten yksinkertaistamisen on valmistelussa arvioitu edistävän rekisteröidyn oikeusturvaa ja korjaavan osaltaan henkilötietojen käsittelyä koskevan sääntelyn epäselvyyttä, raskautta ja monimutkaisuutta perustuslakivaliokunnan edellyttämällä tavalla.
Poistosääntöjä ehdotetaan muutettavaksi siten, että lupahallinnollisissa tarkoituksissa käsitellyt henkilötiedot poistettaisiin pääsääntöisesti viimeistään kahdenkymmenen vuoden kuluttua päätöksestä tai sen raukeamisesta, päätöksessä mainitun voimassaoloajan päättymisestä tai tiedon merkitsemisestä (1 momentti). Ehdotettu säännös pidentäisi voimassa olevan lain 23 §:n mukaista säilytysaikaa henkilökorttilaissa ja passilaissa säädettyjen tehtävien suorittamiseksi käsiteltävien henkilökortti- ja passitietojen, henkilön tunnistamiseksi ja henkilöllisyyttä osoittavan asiakirjan valmistamiseksi käsiteltävien kuvatietojen sekä turvallisuusalan valvontatietojen ja rahankeräysten ja arpajaisten valvontatietojen osalta.
Henkilökortti- ja passitietojen nykyinen kymmenen vuoden säilytysaika on osoittautunut liian lyhyeksi tilanteissa, joissa tietoja on tarpeen käsitellä kansalaisuuden säilyttämisen edellytysten tutkimiseksi. Viimeaikaisen tietoteknisen kehityksen myötä kuvatietojen säilytysaikaa ei enää olisi tarvetta rajoittaa teknisistä syistä muita lupa-asiaa koskevia tietoja lyhyemmäksi. Turvallisuusalan valvontatietojen sekä rahankeräysten ja arpajaisten valvontatietojen säilytysajan pidentäminen parantaisi mahdollisuuksia lupien koko elinkaaren seurantaan ja valvonnallisista tapahtumista tarvittavien tietojen keräämiseen. Rahankeräys- ja arpajaislupien osalta säilytysajan pidentämistä puoltaisi myös kyseisten lupien myöntämisen edellytyksiä koskeva lainsäädäntö, jossa edellytetään aikaisempien lupien tietojen huomioimista lupaharkinnassa. Voimassa olevan lain mukainen kymmenen vuoden säilytysaika johtaa käytännössä usein tilanteisiin, joissa yksittäisen luvanhakijan käytössä on vain viimeisimpään lupahakemukseen liittyvät tiedot.
Pykälän 2 momentissa säädettäisiin poikkeuksista 1 momentissa esitettyyn kahdenkymmenen vuoden säilytysaikaan. Momentin 1 kohdassa säädettäisiin ampuma-aselain mukaisen ampuma-aseilmoituksen tietojen poistamiselle voimassa olevaa lakia vastaava kolmen vuoden säilytysaika. Momentin 2 kohdassa huomioitaisiin asedirektiivissä jäsenvaltioille asetettu velvoite varmistaa, että toimivaltaiset viranomaiset säilyttävät ampuma-aseiden ja olennaisten osien rekisteritiedot, mukaan lukien niihin liittyvät henkilötiedot, arkistointijärjestelmissä kolmenkymmenen vuoden ajan kyseisten ampuma-aseiden tai olennaisten osien hävittämisen jälkeen. Tietojen saanti olisi asedirektiivin mukaan sallittava vain enintään kymmenen vuoden ajan ampuma-aseen tai olennaisten osien hävittämisen jälkeen lupien myöntämiseksi tai peruuttamiseksi taikka tullimenettelyjä varten, mahdollisten hallinnollisten seuraamusten määrääminen mukaan lukien, ja enintään kolmenkymmenen vuoden ajan kyseisen ampuma-aseen tai kyseisten olennaisten osien hävittämisen jälkeen, jos tietojen saanti on tarpeen rikoslainsäädännön täytäntöönpanon kannalta.
Momentin 3 kohdassa asetettaisiin löytötavaratoimintaan liittyville henkilötiedoille lyhyempi vuoden säilytysaika, jonka kuluessa tiedot olisi poistettava. Löytötavaratoimintaan liittyvä tavaran omistajan tai löytäjän henkilötietojen käsittely on luonteeltaan lyhytaikaista, eikä toiminnan yhteydessä tehdä pidempää säilytysaikaa edellyttäviä hallintopäätöksiä.
Momentin 4 kohdassa säädettäisiin rahanpesulain 7 luvun mukaisiin valvontatehtäviin liittyvien henkilötietojen poistamisesta. Mainitun luvun 9 §:ssä tarkoitettuihin rikkomusepäilyjä koskeviin ilmoituksiin sisältyvien henkilötietojen poistamisesta säädetään mainitun pykälän 2 momentissa (viisi vuotta merkinnän tekemisestä). Selkeyden vuoksi ehdotetaan, että myös muut 7 luvun mukaiseen valvontaan liittyvät henkilötiedot poistettaisiin viiden vuoden kuluttua merkinnän tekemisestä.
Momentin 5 kohdassa säädettäisiin poliisin määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeellisten tietojen poistamisesta. Kohdassa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat tieliikennelain 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu sekä rahanpesulain 8 luvussa tarkoitetut hallinnolliset seuraamukset. Tiedot olisi poistettava viimeistään viiden vuoden kuluttua merkinnän tekemisestä.
Momentin 6 kohdassa säädettäisiin erikseen säilytysajasta, joka koskisi arpajaislain ja rahanpesulain mukaista valvontaa varten käsiteltävien rahapeliyhtiön tai sen asiamiesten asiakkaita koskevia henkilötietoja. Nämä tiedot olisi poistettava heti, kun niiden säilyttäminen ei ole enää valvontatehtävän suorittamiseksi tarpeen. Rahapeliyhtiön tai sen asiamiesten asiakkaiden henkilötietojen käsittely voi olla tarpeellista esimerkiksi pelaajan ratkaisuositushakemuksen käsittelemiseksi, jolloin tarve henkilötietojen käsittelyyn yleensä päättyy noin kahden vuoden kuluessa tietojen vastaanottamisesta. Rahapelaamiseen liittyvän pelikäyttäytymisen ja rahapelaamisesta aiheutuvien haittojen toteutumisen valvonta voi kuitenkin edellyttää myös tätä pidempää henkilötietojen käsittelyä.
Pykälän 3 momentissa säädettäisiin nykyistä 23 §:n 2 momenttia vastaavasti henkilöä koskevien tietojen poistamisesta viimeistään vuoden kuluttua rekisteröidyn kuolemasta tiettyjä poikkeustilanteita lukuun ottamatta. Säännös koskisi myös ehdotetun 12 §:n 1 momentin 6 kohdassa tarkoitettuja turvallisuustietoja. Ehdotetun 2 momentin 2—5 kohdassa tarkoitettuja tietoja ei kuitenkaan poistettaisi henkilön kuoleman perusteella. Asedirektiivissä edellytettyä kolmenkymmenen vuoden säilytysaikaa ei direktiivissä asetettujen velvoitteiden noudattamiseksi rajoitettaisi henkilön kuoleman perusteella, koska tarve aseiden haltijoiden ja omistajien henkilötietojen pitkäaikaiseen säilyttämiseen perustuu aseen elinkaaren seuraamiseen. Löytötavaratoimintaan liittyvät tiedot poistettaisiin kyseisen kohdan mukaan vuoden kuluessa merkinnän tekemisestä, jolloin 3 momentin säännöksillä ei olisi käytännön merkitystä tietojen säilytysajan kannalta. Rahanpesulain 7 luvun 9 §:ssä tarkoitettuja rikkomusepäilyjä koskeviin ilmoituksiin sovellettaisiin mainittua pykälää, jossa ei säädetä tietojen poistamisesta rekisteröidyn kuoleman perusteella. Arpajaislain ja rahanpesulain mukaista valvontaa varten käsiteltävien asiakkaiden tietoja ei puolestaan olisi mahdollista poimia rahapeliyhtiön poliisille toimittamasta tietoaineistosta asiakkaan kuoleman perusteella. Tiedot eivät ole yhdistettävissä yksittäiseen luonnolliseen henkilöön pelkästään rahapeliyhtiön poliisille tietojoukkona siirtämien tietojen perusteella, vaan poliisi saisi tiedon yksittäisen pelaajan henkilöllisyydestä ainoastaan rahapeliyhtiön kautta.
39 §.Virheelliseksi todettu tieto. Pykälä vastaisi sisällöltään voimassa olevan lain 27 §:ää. Ehdotetulla säännöksellä mahdollistettaisiin rekisterissä olevan virheellisen tiedon säilyttäminen korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai poliisin henkilöstöön kuuluvan oikeuksien turvaamiseksi (1 momentti). Virheellisiä tietoja ei saisi käyttää muuhun tarkoitukseen.
Rikosasioiden tietosuojalain 7 §:ssä säädetään, että käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Mainitun lain 25 §:n 1 momentin mukaan rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto. Pykälä ei korvaisi rikosasioiden tietosuojalain 25 § 2 momentin vaatimusta henkilötietojen käsittelyn rajoittamisesta, vaan pykälän säilyttämisellä ennallaan varmistettaisiin ongelmaton siirtyminen uuden lain mukaiseen sääntelyyn.
Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ehdotettu säännös täydentäisi 11 ja 12 §:ssä säädettyjen käsittelytarkoitusten osalta rekisteröidylle tietosuoja-asetuksen 16 artiklassa säädettyä oikeutta tietojen oikaisemiseen. Säännös ei rajoittaisi mainittua oikeutta, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä.
Pykälän 2 momentissa säädettäisiin virheellisen tiedon säilyttämistä koskevasta poikkeuksesta, joka koskisi Schengenin tietojärjestelmän kansallista järjestelmää. Pykälän 3 momentin mukaan virheelliseksi todettu tieto olisi poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei ole enää tarpeen.
40 §.Tietojen arkistointi. Pykälä sisältäisi informatiivisen säännöksen, jossa viitattaisiin arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavaan lainsäädäntöön. Säännös vastaisi sisällöllisesti voimassa olevan lain 28 §:ää.
6 luku Rekisteröidyn oikeudet
Rekisteröidyn oikeuksia koskevat säännökset sisältyisivät pääosin rikosasioiden tietosuojalain 4 lukuun ja tietosuoja-asetuksen III lukuun. Tässä luvussa tarkennettaisiin kyseisiä säännöksiä rekisteröidyn tarkastusoikeuden toteuttamisen ja rekisteröidyn oikeuksiin kohdistuvien rajoitusten osalta.
Henkilötietojen käsittelyyn sovellettavat rekisteröidyn oikeudet määräytyvät tietosuoja-asetuksessa osittain käsittelyn oikeusperustan mukaan. Asetuksen 17 artiklan mukaista oikeutta tietojen poistamiseen ei sovelleta, kun henkilötietoja käsitellään rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Asetuksen 20 artiklassa säädettyä oikeutta siirtää tiedot järjestelmästä toiseen puolestaan sovelletaan vain käsittelyyn, joka perustuu suostumukseen tai sopimukseen. Lisäksi 21 artiklan mukainen oikeus vastustaa tietojen käsittelyä kattaa ainoastaan käsittelyn, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen oikeutetun edun toteuttamiseen. Koska tässä laissa tarkoitettu henkilötietojen käsittely tapahtuisi poliisin lakisääteisten tehtävien suorittamiseksi, siihen ei sovellettaisi asetuksen 17 artiklaa, 20 artiklaa tai 21 artiklaa.
41 §.Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 1 momentissa täsmennettäisiin, että rekisterinpitäjä vastaisi tarvittavien henkilötietojen ja muiden tietojen antamisesta tarkastamista varten, kun kyse on rikosasioiden tietosuojalain 23 §:ssä tarkoitetusta tarkastusoikeudesta ja tietosuoja-asetuksen 15 artiklassa tarkoitetusta rekisteröidyn tietoon pääsystä. Rekisterinpitäjä voisi myös määrätä tehtävän muun poliisin yksikön hoidettavaksi.
Rikosasioiden tietosuojalain 23 §:ssä säädetään, että rekisteröity voi esittää tarkastusoikeuden toteuttamista koskevan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Tietosuoja-asetuksen 15 artiklassa ei säädetä nimenomaisesti tarkastusoikeuden toteuttamistavoista, mutta artiklan mukaan tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity esittää pyynnön sähköisesti eikä pyydä toisenlaista toimitusta.
Pyynnön esittäminen omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla ei kuitenkaan riittäisi varmistamaan pyynnön esittäjän henkilöllisyyttä poliisin käsittelemien henkilötietojen kannalta riittävän luotettavalla tavalla. Tämän vuoksi pykälän 2 momentissa säädettäisiin rikosasioiden tietosuojalaista poiketen, että rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle poliisiyksikölle ja todistettava henkilöllisyytensä. Pyyntö voitaisiin vaihtoehtoisesti esittää myös rekisterinpitäjän tarjoaman sähköisen palvelun avulla käyttämällä vahvaa sähköistä tunnistautumista. Tunnistautumisessa noudatettaisiin sähköistä asiointia viranomaistoiminnassa koskevan lainsäädännön mukaisia vaatimuksia.
Sähköisen palvelun tarjoamisella helpotettaisiin rekisteröidyn mahdollisuuksia tarkastusoikeuden käyttämiseen rikosasioiden tietosuojadirektiivin sekä tietosuoja-asetuksen edellyttämällä tavalla. Säännöksessä huomioitaisiin kuitenkin, että sähköinen palvelu ei välttämättä ole käytössä välittömästi lain tullessa voimaan, vaan palvelu toteutettaisiin mahdollisuuksien mukaan rekisterinpitäjän tarkemmin määrittelemänä ajankohtana.
Rekisteröidyn henkilöllisyyden vahvistamiseksi pyydettyjä lisätietoja voitaisiin tietosuojadirektiivin johdanto-osan 41 kappaleen mukaisesti käsitellä ainoastaan tätä erityistarkoitusta varten, eikä niitä saisi säilyttää kauempaa kuin kyseisen erityistarkoituksen edellyttämän ajan.
42 §.Tarkastusoikeuden rajoittaminen. Rekisteröidyn tarkastusoikeuden rajoittamisesta yksittäistapauksissa säädetään rikosasioiden tietosuojalain 24 ja 28 §:ssä. Ehdotetussa 42 §:ssä säädettäisiin mainittuja säännöksiä täydentävästi poliisin henkilötietojen käsittelyä koskevista yleisistä poikkeuksista rikosasioiden tietosuojalain 23 §:n mukaiseen rekisteröidyn tarkastusoikeuteen. Tietosuoja-asetuksen soveltamisalaan kuuluvien henkilötietojen tarkastusoikeuden rajoituksista on voimassa, mitä tietosuoja-asetuksessa ja tietosuojalain 34 §:ssä säädetään.
Pykälän 1 momentin 1 kohdan mukaan tarkastusoikeutta ei olisi lain 5 §:n 3 momentissa ja 7 §:n 6 momentissa tarkoitettuihin tietoihin, joiden käsittelyn tarpeellisuutta poliisi vasta arvioisi. Tarkastusoikeutta ei olisi myöskään 9 §:ssä tarkoitettuihin tietolähdetietoihin, joihin kohdistuvaa tarkastusoikeutta on rajoitettu myös voimassa olevan lain 45 §:n 1 momentin 4 kohdassa.
Momentin 2 kohdassa rajoitettaisiin voimassa olevan lain 45 §:n 1 momentin 3 kohtaa vastaavasti tarkastusoikeutta Schengenin tietojärjestelmän salaista tarkkailua ja erityistarkastuksia koskeviin henkilötietoihin.
Momentin 3 kohdassa rajattaisiin pois tarkastusoikeus 5—8 §:ssä tarkoitettuihin henkilö-tietoihin sisältyviin poliisin taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin. Kohta korvaisi ja pitäisi sisällään aikaisemmassa laajuudessa voimassa olevan 45 §:n 1 momentin 1 ja 4 kohdat, mutta muotoiltaisiin uudelleen 2 lukuun esitettyjen muutosten huomioimiseksi. Samalla muotoilua yhdenmukaistettaisiin julkisuuslain 24 §:n 1 momentin 5 kohdan kanssa, jossa säädetään poliisin, rajavartiolaitoksen ja tullilaitoksen sekä vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävien asiakirjojen salassapidosta, sekä poliisilain 7 luvun 3 §:n kanssa, jonka mukaan poliisin henkilöstöön kuuluva ei ole velvollinen ilmaisemaan salassa pidettäviä taktisia ja teknisiä menetelmiä. Myös asianosaisen tiedonsaantioikeutta on näiden tietojen osalta rajoitettu julkisuuslain 11 §:n 2 momentin 1 kohdan mukaisen erittäin tärkeän yleisen edun vuoksi. Näiden tietojen paljastuminen johtaisi vaaratilanteisiin tai luottamussuhteiden menettämiseen tai menetelmien paljastumiseen, sekä haittaisi rikosten ehkäisemistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden ylläpitämistä.
Poliisin taktisia ja teknisiä menetelmiä koskeviin tietoihin kuuluisivat myös tiedot momentin 4 kohdan mukaisten salaisten tiedonhankintamenetelmien käyttämisestä ja itse menetelmistä. Näiden tiedonhankintamenetelmien erityisluonteeseen kuuluu, että niitä koskeva asian käsittely, päätöksenteko ja toteuttaminen tapahtuvat kohdehenkilön tietämättä tuomioistuimen päätöksellä ja kohdehenkilön informoimisesta on säädetty erikseen. Menetelmien käytön valvomiseksi on toteutettu erillinen valvontamenettely. Koska salaiset pakkokeinot toteutetaan kohdehenkilön tietämättä, hänelle ei voida luovuttaa tietoja myöskään henkilötietolainsäädännön perusteella.
Momentin 3 kohta rajaisi tarkastusoikeuden ulkopuolelle voimassa olevaa lakia vastaavasti poliisin tietojärjestelmiin tallennetut henkilöä koskevat, hänen omaan turvallisuuteensa tai poliisin työturvallisuuteen vaikuttavat tiedot, etsintäkuulutustietoihin talletetut henkilön tarkkailemiseksi tehdyt kuulutustiedot, etsittävien moottoriajoneuvojen tietoihin talletetut moottoriajoneuvoilla liikkuvien tarkkailtavien henkilöiden kuulutustiedot, pidätettyjen tietoihin talletetut kohdehenkilön säilytysturvallisuuteen liittyvät tiedot, tekotapatiedot, sekä tuntomerkkitiedoista asiasanat, erityistuntomerkit, valokuvat, sormen- ja kämmenenjäljet, DNA-näytteet ja niiden luokitustiedot sekä jalkineenjäljet.
Momentin 4 kohta vastaisi voimassa olevan lain 45 §:n 1 momentin 5 kohtaa ja sillä suljettaisiin pois rekisteröidyn tarkastusoikeus henkilötietoihin, jotka on saatu poliisilain 5 luvun ja pakkokeinolain 10 luvun mukaisia tiedonhankintamenetelmiä käyttäen sekä sähköisen viestinnän palveluista annetun lain (917/2014) 19 luvun 157 §:n nojalla.
Rekisteröidyllä olisi 2 momentin mukaisesti oikeus pyytää tietosuojavaltuutettua tarkastamaan 1 momentissa tarkoitettujen henkilötietojen käsittelyn lainmukaisuus rikosasioiden tietosuojalain 29 §:ssä säädetyllä tavalla. Rekisteröidyn olisi jätettävä oikeuksien käyttämistä koskeva pyyntö joko tietosuojavaltuutetulle taikka poliisille 41 §:n 2 momentissa säädetyllä tavalla, jonka jälkeen poliisin olisi toimitettava pyyntö viipymättä tietosuojavaltuutetulle. Ehdotettu säännös vastaisi nykyistä käytäntöä, jonka mukaan tietosuojavaltuutetulle tarkoitetut pyynnöt voidaan jättää poliisille. Poliisi voi tällöin varmistaa pyytäjän henkilöllisyyden ja tarkastaa pyytäjän henkilötietojen oikeellisuuden. Edellä 41 §:ssä tarkoitetun tarkastusoikeuden toteuttamista koskevan pyynnön lisäksi myös tietosuojavaltuutetulle toimitettavan välillisen tarkastusoikeuden käyttöä koskevan pyynnön esittäjän henkilöllisyyden varmistaminen on tarpeellista, koska pyynnön käsitteleminen edellyttää usein laajamittaistakin henkilötietojen käsittelyä.
Tarkastusoikeuden rajoituksia koskevien ehdotusten vaikutuksia yksityisyyden suojaan arvioidaan tarkemmin esityksen suhdetta perustuslakiin koskevassa osiossa.
43 §.Tarkastusoikeuden toteuttaminen Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämän tiedoston tietoihin. Pykälä korvaisi voimassa olevan lain 47 §:n ja sisältäisi erityissäännöksen tarkastusoikeuden toteuttamisesta. Jokaisella olisi pykälän mukaan oikeus pyytää Schengenin yleissopimuksen 115 artiklassa tarkoitettua valvontaviranomaista varmistamaan, että häntä koskevien henkilötietojen kerääminen, tallettaminen, käsittely ja käyttö Schengenin tietojärjestelmän teknisen tuen yksikön ylläpitämässä tiedostossa tapahtuu lainmukaisesti ja oikein. Valvontaviranomaisena toimii tietosuojavaltuutettu.
Pyynnön esittämistä koskevat säännökset yhtenäistettäisiin muiden tarkastusoikeuden toteuttamista koskevien 6 luvun säännösten kanssa. Varmistuspyyntö olisi esitettävä poliisille edellä 41 §:n 2 momentissa säädetyllä tavalla. Poliisin olisi toimitettava vastaanottamansa pyyntö viipymättä tietosuojavaltuutetulle.
44 §.Tarkastusoikeuden toteuttaminen Prümin sopimukseen ja Prüm-päätökseen perustuvan henkilötietojen käsittelyn osalta. Säännös vastaisi voimassa olevan lain 40 §:n 3 momenttia, mutta siirrettäisiin muiden rekisteröidyn oikeuksia koskevien säännösten yhteyteen. Lisäksi pyynnön esittämistapaa koskevat säännökset yhtenäistettäisiin muiden tarkastusoikeuden toteuttamista koskevien 6 luvun säännösten kanssa. Prümin sopimukseen ja Prüm-päätökseen perustuva henkilötietojen käsittely liittyy rikosasioihin ja rekisteröidyllä olisi välillinen tarkastusoikeus henkilötietoihin tietosuojavaltuutetun välityksellä.
45 §.Rekisteröidyn oikeus käsittelyn rajoittamiseen. Ehdotetulla 45 §:llä rajoitettaisiin rekisteröidylle tietosuoja-asetuksen 18 artiklan nojalla kuuluvaa oikeutta rajoittaa henkilötietojensa käsittelyä. Rajoitus perustuisi tietosuoja-asetuksen 23 artiklassa jäsenvaltioille mahdollistettuun liikkumavaraan.
Rekisteröidyllä on tietosuoja-asetuksen 18 artiklan nojalla oikeus vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojen paikkansapitävyyden tai katsoo henkilötietojen käsittelyn olevan lainvastaista. Jos käsittelyä on rajoitettu, henkilötietoja saa käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Tietosuoja-asetuksen johdanto-osan 67 kappaleen mukaan henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.
Rekisteröidyn 18 artiklan mukaisella rajoittamisoikeuden toteuttamisella olisi merkittäviä vaikutuksia poliisin lupahallintoon liittyviin tehtäviin sekä poliisille säädettyihin valvonta-tehtäviin, joiden suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn sovellettaisiin 1. lakiehdotuksen 11 ja 12 §:ää. Esimerkiksi lupahallinnollisten tehtävien kannalta ongelmallisia olisivat erityisesti tilanteet, joissa rekisteröity kiistäisi luvan myöntämisen tai voimassaolon estettä koskevan tiedon paikkansapitävyyden, eikä mainittu lupaharkinnan ja -valvonnan kannalta mahdollisesti olennainen tieto siten olisi käytettävissä lupahallintoon liittyvässä päätöksenteossa. Poliisilla ei näin ollen olisi mahdollisuutta kattavasti hyödyntää lupapäätösten tekemiseksi tarpeellisia rekisteritietoja tai seurata luvan voimassaolon edellytyksiä lupahallintoa koskevassa erityislainsäädännössä, kuten ampuma-aselaissa, edellytetyllä tavalla. Vastaavasti esimerkiksi poliisin määräämiin hallinnollisiin seuraamuksiin liittyvien tietojen käsittelyn rajoittaminen vaikeuttaisi poliisin lakisääteisten tehtävien suorittamista. Käsittelyn rajoittamiseen vaadittavien toiminnallisuuksien automatisointi aiheuttaisi lisäksi merkittäviä muutostarpeita poliisin tietojärjestelmiin.
Poliisin lupahallinnon tehtävänä on hallinnollisen päätöksenteon ja valvonnan keinoin ennalta estää rikoksia sekä yleisen järjestyksen ja turvallisuuden häiriöitä yhteiskunnassa, jonka turvallisuustilanne on muutoksessa (Poliisin lupahallintostrategia 2017—2021). Henkilötietojen käsittelyn rajoittaminen rekisteröidyn 18 artiklan nojalla esittämän vaatimuksen perusteella voisi vaarantaa poliisin lupahallintoon liittyvien tehtävien hoitamiseksi käsiteltävien henkilötietojen saatavuuden sekä tietojen alkuperäiseen käsittelytarkoitukseen että niihin rikosasioihin liittyviin käsittelytarkoituksiin, joihin lupahallinnollisiin tarkoituksiin kerättyjä tietoja voitaisiin lakiehdotuksen 13 ja 14 §:n nojalla käsitellä. Lupahallintoon liittyvien henkilötietojen lisäksi myös muiden 11 ja 12 §:ssä tarkoitettujen tietojen, kuten valvontatehtävien suorittamiseksi tarpeellisten henkilötietojen ja hallinnollisiin seuraamuksiin liittyvien tietojen, käsittelyn rajoittamisen arvioidaan aiheuttavan merkittävän riskin poliisin lakisääteisten tehtävien suorittamiselle.
Ehdotuksen vaikutuksia rekisteröidyn oikeusturvaan arvioidaan tarkemmin esityksen suhdetta perustuslakiin koskevassa osiossa.
7 luku Suojelupoliisin henkilötietojen käsittely
46 §.Soveltamisala. Suojelupoliisin poliisin hallinnosta annetun lain 10 §:ssä säädetyn tehtävän suorittamiseksi tarpeellisten henkilötietojen käsittelystä säädettäisiin tässä luvussa. Muilta osin soveltamisala noudattaisi vastaavaa sääntelyä kuin muunkin poliisin osalta eli laissa säädettäisiin suojelupoliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen kokonaan tai osittain automaattisesta käsittelystä sekä muusta henkilötietojen käsittelystä, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.
Pykälän 2 momentin mukaan suojelupoliisin henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalakia yleislakina silloin, kun tässä luvussa ei säädettäisi toisin. Rikosasioiden tietosuojalain 10 §:n 2 momentti, 54 § ja 7 luku eivät niiden EU:n tietosuoja-lainsäädäntöön liittyvän kytkennän vuoksi sovellu suojelupoliisin henkilötietojen käsittelyyn. Sääntely vastaisi rikosasioiden tietosuojalain 1 §:n 3 momentissa säänneltyä. Poissuljennan perusteluiden osalta viitataan kyseisen lain yksityiskohtaisiin perusteluihin. Suojelupoliisin henkilötietojen käsittelyyn ei sovelleta lainkaan tietosuoja-asetusta tai sen nojalla annettua tietosuojalakia.
Pykälän 3 momentti olisi informatiivinen ja noudattaisi tämän lain 2 §:ssä säänneltyä.
47 §.Rekisterinpitäjä. Suojelupoliisi toimisi tässä luvussa tarkoitettujen henkilötietojen rekisterinpitäjänä. Pykälä vastaisi voimassa olevan poliisin henkilötietolain 7 §:n säännöstä, jonka mukaan suojelupoliisi toimii lain 5 §:ssä tarkoitetun suojelupoliisin toiminnallisen tietojärjestelmän rekisterinpitäjänä.
48 §.Suojelupoliisin henkilötietojen käsittely. Suojelupoliisin henkilötietojen käsittelyä koskeva määritelmä vastaa voimassa olevan poliisin henkilötietolain 5 §:ssä olevaa määritelmää. Voimassa olevan ja ehdotetun sääntelyn mukaan suojelupoliisi voisi käsitellä henkilötietoja, jotka ovat sen lakisääteisen tehtävän suorittamiseksi tarpeen. Mikäli siviilitiedustelua koskeva lainsäädäntöehdotus tulee voimaan, niin tässä yhteydessä suojelupoliisilta olisi tarkoitus poistaa esitutkintatehtävä ja siihen liittyvät esitutkintatoimivaltuudet. Tämä tulisi ilmenemään myös poliisin hallinnosta annetun lain 10 §:stä. Kun tästä syystä käsittelytarkoituksista poistettaisiin rikosten selvittäminen, niin tämä ei johda siihen, ettei suojelupoliisilla olisi jatkossakin kuitenkin tarpeen käsitellä esitutkintatietoja omien tehtäviensä suorittamiseksi. Esitutkinta-aineistossa voi olla kansallisen turvallisuuden suojaamiseen tai rikostorjuntaan tarvittavia tietoja. Esitutkinnassa voi hyvin tavanomaisesti paljastua muun muassa tietoja, joiden perusteella voidaan estää muita rikoksia. Suojelupoliisi toimisi lisäksi jatkossakin asiantuntijana eri esitutkintakokonaisuuksissa. Suojelupoliisi toimisi asiantuntijana poliisin suorittamissa esitutkinnoissa erityisesti silloin, kun asialla on liitäntä kansalliseen turvallisuuteen tai kun selvitetään, onko asialla siihen liitäntä. Suojelupoliisin olisi toimittava asiantuntijana poikkeuksetta erityisesti terrorismia, vakoilua ja sitä vastaavien rikosnimikkeiden tutkinnoissa, mutta tarvetta olisi osallistua ja käsitellä henkilötietoja tarvittaessa myös muihin, kuten rahanpesua koskeviin esitutkintoihin liittyen oma tehtävänsä huomioiden. Näin ollen vaikka siviilitiedustelulainsäädännön myötä pykälästä poistettaisiin rikosten selvittämisen tarkoitus, voisi suojelupoliisi käsitellä edelleen rikosten selvittämiseen liittyvää aineistoa omien tehtäviensä suorittamiseksi.
Suojelupoliisin tulisi voida arvioida henkilötietojen tarpeellisuutta 1 momentissa tarkoitettua henkilötietojen käsittelytarkoitusta varten. Suojelupoliisin tehtävien suorittaminen edellyttää laajaa tiedonhankintaa, eikä kaikkien saatavien tietomassojen osalta ole välttämättä mahdollista arvioida välittömästi sitä, onko tieto tehtävän kannalta merkityksellistä vai ei. Pykälän 2 momentissa sallittaisiin siksi 1 momentissa tarkoitettujen tietojen käsittely väliaikaisesti sen selvittämiseksi, onko tieto merkityksellistä suojelupoliisin tehtävän kannalta vai ei. Tältä osin sääntely vastaisi sitä, mitä sotilastiedustelurekisterin tietosisällöstä on ehdotettu säädettäväksi hallituksen esityksessä HE 13/2018 vp henkilötietojen käsittelystä Puolustusvoimissa ehdotetun lain 13 §:ssä. Merkityksellisyydellä viitattaisiin kuten sotilastiedustelussakin käsittelykynnyksen täyttymiseen. Merkityksellisyys olisi arvioitava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluessa tiedon tallettamisesta. Mikäli tietoa ei ole määräajassa todettu tehtävien hoitamisen kannalta tarpeelliseksi, tai erityisiin henkilötietoryhmiin kuuluvien tietojen osalta välttämättömäksi, tiedot olisi poistettava rekisteristä. Kuuden kuukauden aikaa voitaisiin pitää viranomaisen tehtävien kannalta kohtuullisena takarajana, jonka puitteissa arviointi viimeistään olisi tehtävä. Sääntely vastaisi myös muulle poliisille tämän lain 2 luvussa ehdotettua sääntelyä.
Pykälän 3 momentti sisältäisi informatiivisen viittauksen turvallisuusselvityslakiin, jonka perusteella suojelupoliisi käsittelee myös henkilötietoja.
49 §.Henkilön perustietojen käsittely. Suojelupoliisi voisi käsitellä ainoastaan tehtävänsä kannalta tarpeellisia henkilötietoja.
Suojelupoliisin henkilötietojen käsittely vastaisi luonteeltaan läheisimmin sotilastiedustelussa tehtävää henkilötietojen käsittelyä. Tästä syystä suojelupoliisin henkilötietojen käsittelystä säädettäessä olisi huomioitava, mitä Puolustusvoimien osalta säädetään sotilastiedustelussa tehtävästä henkilötietojen käsittelystä.
Ehdotuksen mukaan perustietojen käsittelyä koskevat säännökset kirjoitettaisiin voimassa olevia tietosisältösäännöksiä joustavampaan muotoon siirtymällä sääntelyteknisesti yksittäisistä talletettavista tiedoista sallittuihin tietoluokkiin samoin kuin Puolustusvoimien osalta on hallituksen esityksessä 13/2018 vp esitetty. Laissa ei siten enää säädettäisi, mitä yksittäisiä henkilötietoja saisi käsitellä, vaan tietoluokista, joihin kuuluvia henkilötietoja saisi käsitellä. Kunkin tietoluokan tarkempi sisältö määräytyisi käyttötarkoituksen ja käsittelykynnyksen perusteella. Esimerkiksi se, mitä yksittäisiä henkilötietoja saisi käsitellä tietoluokan tunnistamistiedot perusteella, perustuisi siihen, millaisia tunnistamistietoja on tarpeen käsitellä käyttötarkoituksen kannalta. Sääntelytekniikka olisi tältä osin nykyistä joustavampi, sillä tietoluokkien sisältö voisi muuttua käsittelytarpeiden ja esimerkiksi tekniikan kehittymisen myötä. Käyttötarkoitusta ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eikä käyttötarkoituksen kannalta tarpeettomia henkilötietoja saisi siten käsitellä, vaikka tietosisältösäännös sen erikseen luettuna sallisi.
Poikkeuksena yleispiirteisemmästä tietosisältöjen sääntelytekniikasta olisivat kuitenkin edelleen erityisiin henkilötietoryhmiin kuuluvat tiedot, eli niin sanotut arkaluonteiset henkilötiedot. Esimerkiksi tietoluokka ”tunnistetiedot” ei vielä itsessään antaisi oikeutta biometristen tunnistetietojen tai muiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn. Tällaisia henkilötietoja saisi lisäksi käsitellä vain, jos niiden käsittely on välttämätöntä eli käsittelykynnys olisi niiden osalta muita henkilötietoja korkeampi. Erityisiin henkilötietoryhmiin kuuluvat tiedot määriteltäisiin rikosasioiden tietosuojalain 11 §:ssä.
Suojelupoliisin henkilötietojen käsittelyyn ei sääntelytekniikan muuttamisen myötä tehtäisi merkittäviä muutoksia voimassa olevaan lakiin nähden. Suojelupoliisin käsittelemät perustiedot vastaisivat niitä tietoja, joita suojelupoliisi käsittelee jo voimassa olevan lain perusteella.
Pykälän 1 momentin 2 kohdan mukaan saisi käsitellä henkilön fyysisiin ominaisuuksiin perustuvia tunnistetietoja sekä ääni- ja kuvatallenteita, joista voidaan tunnistaa tietty henkilö tai jotka ovat yhdistettävissä tiettyyn henkilöön. Fyysisiin ominaisuuksiin perustuvia tunnistetietoja olisivat muun muassa henkilön pituus, paino, silmien väri ja muut ulkoiset tuntomerkit. Kohdan perusteella voitaisiin käsitellä myös erityisiin henkilötietoryhmiin kuuluvia tietoja niitä koskevaa korkeampaa käsittelykynnystä noudattaen.
Momentin 3 kohdassa tarkoitetut muut tunnistetiedot sisältäisivät muun muassa henkilön nimet ja sukupuolen. Kohdan perusteella saisi käsitellä tietoja, joiden perusteella henkilö olisi tunnistettavissa. Tiedot voivat olla myös fyysisiin ominaisuuksiin perustuvia tunnistetietoja. Tunnistetiedot ovat kuitenkin käsitteenä laajempi kuin pelkästään 2 kohdassa tarkoitetut fyysisiin ominaisuuksiin perustuvat tunnistetiedot ja kattaa muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit.
Momentin 4 kohdassa tarkoitetut kansalaisuutta ja perhesuhteita koskevat tiedot sisältäisivät muun muassa tiedot henkilön kansalaisuuksista, entisistä kansalaisuuksista, kansalaisuudettomuudesta, kansallisuuksista sekä perhesuhteisiin liittyvät tarpeelliset tiedot.
Momentin 5, 6 ja 7 kohdissa tarkoitetut tiedot eivät tietoluokkina tarvitsisi selvennystä vaan kattaisivat, kuten kohdissa olisi mainittu: asuinpaikkatiedot, koulutusta ja ammattia koskevat tiedot sekä työ- ja palvelushistorian sekä henkilön yhteystiedot. Asuinpaikkatietoihin kuuluisivat henkilön kotikuntatiedot ja tiedot henkilön oleskeluperusteesta Suomessa. Henkilön Suomessa oleskeluun liittyvät tiedot voisivat mennä myös muiden kohtien kuten matkustamiseen liittyvien tietojen alle.
Momentin 8 kohdassa tarkoitettuja matkustamiseen liittyviä tietoja voisivat olla muun muassa matkustusasiakirjojen tiedot sekä muut maahantuloon ja rajanylittämiseen liittyvät tarpeelliset tiedot, kuten lentoliikenteen matkustajatiedot.
Momentin 10 kohdan perusteella saisi käsitellä tunnistamistietoja, joita voivat olla esimerkiksi henkilön käyttämät IP-osoitteet, puhelinnumerot ja viestintään liittyvät välitystiedot. Tunnistamistietoja olisivat myös kiinteistötietojärjestelmään sisältyvät kiinteistötunnukset silloin kun niiden perusteella olisi mahdollista tunnistaa kiinteistön omistajatietoja.
Momentin 11 kohdan mukainen oikeushenkilöön liittyvät tiedot olisi käsitteenä laaja ja mahdollistaisi muun muassa oikeushenkilön omistus- ja määräysvaltasuhteita koskevien tietojen käsittelyn, jos tietojen käsittely on tarpeellista käsittelytarkoituksen kannalta.
Momentin 12 kohta olisi sisällöltään tosiasiallisesti laaja ja sen nojalla saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tietoja, joilla voi olla merkitystä suojelupoliisin henkilötietojen käsittelytarkoituksen kannalta. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, harrastuksia, muita kiinnostuksen kohteita tai muita näitä vastaavia tietoja. Näidenkin käsiteltävien tietojen on oltava tarpeellisia suojelupoliisin tehtävän kannalta. Kohdan perusteella voitaisiin käsitellä myös erityisiin henkilötietoryhmiin kuuluvia tietoja niitä koskevaa korkeampaa käsittelykynnystä noudattaen.
Pykälän 2 momentin mukaan suojelupoliisi voisi käsitellä lisäksi rikosasioiden tietosuojalain 11 §:ssä määriteltyjä erityisiä henkilöryhmiä koskevia henkilötietoja silloin, kun se on suojelupoliisin tehtävän kannalta välttämätöntä. Erityisiin henkilötietoryhmiin kuuluvat välttämättömät tiedot voisivat sisältää myös muita kuin 1 momentissa tarkoitettuihin tietoluokkiin kuuluvia tietoja. Tietosisältöjen osalta ei tehtäisi merkittäviä muutoksia voimassa olevaan sääntelyyn. Ainoa ero voimassaolevaan olisi sääntely biometrisistä tiedoista. Suojelupoliisi saa jo nykyään suoraan lain nojalla käsitellä biometrisiä tietoja ja saa niitä myös kansainvälisessä yhteistyössä, joten on perusteltua, että niiden käsittelemisestä säädettäisiin myös henkilötietoja koskevassa laissa.
50 §.Henkilötietojen luovuttaminen. Suojelupoliisin pääasiallisena tehtävänä on hankkia tietoa kansallisen turvallisuuden suojaamiseksi. Tässä tarkoituksessa tietoja on myös oltava mahdollisuus salassapitosäännösten estämättä luovuttaa. Henkilötietoja olisi voitava luovuttaa sekä toimivaltaisille viranomaisille, julkista tehtävää hoitaville yhteisöille sekä jossain tapauksissa myös yksityisille toimijoille. Pykälässä ei esitettäisi mitään asiallista muutosta voimassaolevaan lainsäädäntöön nähden. Ainoana muutoksena olisi kansallisen turvallisuuden termin käyttäminen voimassa olevan valtion turvallisuuden sijaan. Termit kuitenkin vastaavat asiallisesti toisiaan.
Pykälän 1 momentin mukaan suojelupoliisi voisi luovuttaa henkilötietoja muille viranomaisille ja julkista tehtävää hoitaville yhteisölle oman tehtävänsä suorittamiseksi. Tältä osin ei esitettäisi muutosta voimassa olevaan lainsäädäntöön nähden eli nykytila säilyisi sääntelyn myötä ennallaan.
Pykälän 2 momentin mukaan suojelupoliisi voisi luovuttaa henkilötietoja myös muiden viranomaisten tehtävien suorittamiseksi samalla tavoin kuin muukin poliisi. Tältä osin momentissa olisi viittaus tämän lain 4 lukuun ja muun poliisin vastaavaan sääntelyyn. Momentissa tarkoitettaisiin siten tiedonluovutusta sellaisissa tilanteissa, joissa tiedonluovutus ei ole tarpeen suojelupoliisin oman tehtävän vuoksi vaan toiselle viranomaiselle tai poliisiyksikölle säädetyn tehtävän suorittamiseksi. Näin tämän momentin nojalla suojelupoliisi voisi luovuttaa muille poliisiyksiköille henkilötietoja silloin, kun se on tarpeen 13 §:ssä säädettyihin tarkoituksiin. Tältä osin suojelupoliisin tulee noudattaa myös sitä, mitä toimivaltuuksien osalta säädetään. Kun siviilitiedustelusta säädettäessä tietojen luovuttamista rikostorjuntaan olisi rajoitettu, niin näitä säännöksiä olisi noudatettava. Kyseisen käyttörajoitussääntelyn osalta tarkoitetaan siviilitiedustelulainsäädännön niin sanottua palomuurisäännöstä eli poliisilain 5 a luvun 44 §:ää. Silloin, kun henkilötiedot ja niihin liittyvät rikostiedot olisi saatu tiedustelumenetelmällä, olisi tietojen luovutuksessa rikostorjuntaa varten noudatettava kyseistä sääntelyä. Siten suojelupoliisi voisi luovuttaa henkilötietoja muille poliisiyksiköille tai viranomaisille niiden tehtävän suorittamiseksi, jos tietojen luovuttamista ei ole muun sääntelyn perusteella rajoitettu tai kielletty.
Pykälän 3 momentissa säädettäisiin suojelupoliisin mahdollisuudesta tallettaa tietoja suoraan poliisin rekistereihin. Mahdollisuudesta tallettaa tietoja suoraan teknisen käyttöyhteyden välityksellä poliisin rekistereihin säädettäisiin lain 17 §:ssä, joten momentti olisi tässä pykälässä luonteeltaan informatiivinen. Suojelupoliisi voisi siten tallettaa poliisin rekistereihin tietoja oman tehtävänsä suorittamista varten eli kansallisen turvallisuuden suojaamiseksi, jossa tehtävässä tarvittaisiin myös muuta poliisia. Sen lisäksi suojelupoliisi voisi luovuttaa poliisille tietoja, jotka ovat tarpeen poliisin muun tehtävän suorittamiseksi. Suojelupoliisilla voi olla tai suojelupoliisi voi saada poliisin tehtävän kannalta tarpeellisia tietoja, jotka eivät liity suojelupoliisin oman tehtävän suorittamiseen. Nämä tiedot olisi voitava siirtää muun poliisiyksikön tehtävän suorittamista varten.
Pykälän 4 momentissa säädettäisiin siitä, miten henkilötietoja luovutetaan yksityisille yhteisöille tai henkilöille. Henkilötietojen luovuttaminen salassapitosäännösten estämättä yksityisille tahoille olisi poikkeuksellista ja edellyttäisi sen olevan välttämätöntä suojelupoliisin tehtävän suorittamiseksi.
51 §. Henkilötietojen luovuttaminen kansainvälisessä yhteistyössä. Pykälässä ei esitetä muutosta voimassaolevaan sääntelyyn henkilötietojen käsittelystä kansainvälisessä yhteistyössä. Pykälä vastaisi voimassa olevan lain 29 ja 30 §:ssä säädettyä. Suojelupoliisin keskeisenä tehtävänä on tehdä kansainvälistä yhteistyötä ulkomaisten turvallisuus- ja tiedustelupalvelujen kanssa. Tässä tarkoituksessa suojelupoliisi voisi luovuttaa henkilötietoja myös ulkomaisille toimivaltaisille viranomaisille. Suojelupoliisi voisi luovuttaa tietoja paitsi ulkomaisille turvallisuus- ja tiedustelupalveluille niin myös muille viranomaisille, joiden tehtävänä on kansallisen turvallisuuden suojaaminen, oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen. Lisäksi suojelupoliisi voisi tehdä tarvittaessa yhteistyötä myös kansainvälisten rikostorjuntavirastojen kanssa. Suojelupoliisi voisi tehdä yhteistyötä ja luovuttaa henkilötietoja myös muille kansainvälisille virastoille kuten Europolille ja Interpolille silloin, kun kyseisen viraston tehtävänä on tässä pykälässä muille ulkomaan viranomaisille mainitut tehtävät.
Tietojen luovuttamisen edellytyksenä olisi niiden välttämättömyys kyseisen tehtävän kannalta. Tältä osin säilytettäisiin voimassa olevassa laissa säädetty tiedonluovuttamiskynnys.
Pykälän 2 momentin perusteella suojelupoliisi voisi luovuttaa henkilötietoja myös ulkomaisen viranomaisen tehtävän suorittamiseksi. Suojelupoliisin tehtävänä ei ole toisen valtion kansallisen turvallisuuden suojaaminen, joten tästä ulkomaisen viranomaisen tehtävän suorittamiseksi välttämättömästä henkilötietojen luovuttamisesta olisi säädettävä erikseen. Kaikessa henkilötietojen luovuttamisessa tulisi noudattaa henkilötietojen käsittelyn perusperiaatteita sekä kunnioittaa perus- ja ihmisoikeuksia.
Pykälän 3 momentissa säädettäisiin, että suojelupoliisilla on oikeus luovuttaa henkilötietoja ylikansallisiin rekistereihin samalla tavoin kuin muullakin poliisilla. Europolin, Schengenin ja muiden kansainvälisiin yhteistyöhön perustuviin tietojärjestelmiin voisi tallettaa suoraan tietoja siten kuin niitä koskevassa lainsäädännössä on säädetty. Suojelupoliisi käyttää kyseisiä tietojärjestelmiä jo voimassa olevan lain perusteella, joten tältäkään osin ei esitettäisi muutosta nykytilaan.
Pykälän 4 momentin mukaan päätettäessä tietojen luovuttamisesta otettaisiin huomioon nykytilaa vastaavasti henkilötietoja vastaanottavan valtion ihmisoikeustilanne, luovutuksen merkitys Suomen kansainvälisille suhteille sekä Suomea sitovat muut velvoitteet. Suojelupoliisin on kunnioitettava kaikessa toiminnassaan perusoikeuksia ja ihmisoikeuksia sekä valittava perusteltavissa olevista vaihtoehdoista se, joka parhaiten edistää näiden oikeuksien toteutumista. Näin suojelupoliisin olisi toimittava myös henkilötietoja käsitellessään ja niitä luovuttaessaan ulkomaille. Lisäksi harkinnassa olisi mahdollisuuksien mukaan huomioitava henkilötietoja vastaanottavan tietosuojan taso ja luovutuksen merkitys rekisteröidyn oikeuksille.
Pykälän 5 momentissa kiellettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen laajamittainen luovuttaminen toiselle valtiolle tai kansainväliselle järjestölle. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely puuttuu syvemmin yksityisyyden suojaan ja niiden luovuttamiseen ulkomaille tulisi siksi lähtökohtaisesti suhtautua pidättyväisesti. Mikäli tällaisten tietojen luovuttaminen olisi kuitenkin tarpeen, tulisi luovuttamisen olla 1 ja 2 momentin mukaisesti välttämätöntä, tarkasti harkittua ja kohdennettua. Momentti olisi uusi verrattuna voimassa olevaan lainsäädäntöön. Vastaavankaltainen henkilötietojen luovuttaminen on jo voimassaolevan lain perusteella kielletty ja kaikessa henkilötietojen käsittelyssä tulee noudattaa vähimmän haitan ja perus- ja ihmisoikeuksien noudattamisen periaatetta. Selvyyden vuoksi momentti lisättäisiin kuitenkin nimenomaisesti lakiin.
Pykälän 6 momentin mukaan tietojen väärinkäytön riskiä tulisi tarpeen mukaan pyrkiä vähentämään asettamalla luovutukseen ehtoja, jotka koskevat henkilötietojen käyttöä ja jatkoluovuttamista. Momentti olisi niin ikään uusi ja siinä kirjattaisiin lakiin olemassa oleva käytäntö ja voimassaoleva ilman nimenomaista säännöstäkin noudatettava periaate.
52 §.Tietojen saanti. Suojelupoliisilla olisi 1 momentin nojalla oikeus saada tehtäviensä suorittamiseksi tarpeelliset tiedot muun poliisin tietojärjestelmistä. Tältä osin ei esitetä muutosta nykytilaan, muutoksena olisi ainoastaan se, että tiedonsaannista säädettäisiin erikseen. Suojelupoliisi on poliisiyksikkö ja tarvitsee poliisin 2 luvun perusteella tai muun lain nojalla käsittelemiä henkilötietoja oman tehtävänsä suorittamiseksi. Esimerkiksi ulkomaalaislain 131 §:n mukaan ulkomaalaisten tuntomerkkitiedot tallennetaan poliisin rekisteriin, jota suojelupoliisi kuitenkin käyttää ulkomaalaislain 131 §:n mukaisesti tietojen alkuperäisessä keräämistarkoituksessa valtion turvallisuuden suojaamiseksi. Edellä 2 luvussa tarkoitetut henkilötiedot olisivat teknisen käyttöyhteyden välityksellä suojelupoliisin käytössä suojelupoliisin tehtävän suorittamista varten täysin vastaavalla tavalla kuin ne ovat kaikkien muidenkin poliisiyksiköiden käytössä. Muun poliisin käsittelemät henkilötiedot muodostavat erittäin tärkeän tietolähteen suojelupoliisille sen suorittaessa lakisääteisiä tehtäviään. Kansallisen turvallisuuden tehokkaan suojaamisen näkökulmasta on ensiarvoisen tärkeää, että suojelupoliisilla on, kuten nykyisinkin, pääsy muun poliisin käsittelemiin henkilötietoihin.
Voimassa olevan poliisin henkilötietolain 16 §:ssä on säädetty tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen. Vastaava säännös on sisällytetty esityksen 2 luvun 13 §:ään ja erityisten henkilötietoryhmien osalta 14 §:ään. Voimassa olevan lain perusteluiden mukaan 16 § sisältää käyttötarkoitussidonnaisuudesta poikkeamista koskevat säännöt, joita voidaan pitää demokraattisessa yhteiskunnassa välttämättöminä muun muassa valtion turvallisuuden ja yleisen turvallisuuden varmistamiseksi sekä rikosten ehkäisemiseksi.
Ehdotetun uuden sääntelyrakenteen ja suojelupoliisin hallinnollisessa asemassa tapahtuneen muutoksen johdosta on arvioitu, ettei suojelupoliisin tiedonsaantioikeutta voitaisi enää järjestää yhteensopivana käyttötarkoituksena. Lisäksi erona voimassa olevaan lakiin suojelupoliisin henkilötietojen käsittelyyn sovellettaisiin ainoastaan tätä lukua. Tämän johdosta säädettäisiin erikseen siitä, että suojelupoliisilla on oikeus saada 2 luvun perusteella käsiteltävät tehtäviensä suorittamiseksi tarpeelliset tiedot. Tämä pykälä siis osaltaan korvaisi voimassa olevan lain 16 §:n.
Ratkaisulla ei edellä kuvatusti olisi tarkoitus muuttaa suojelupoliisin mahdollisuutta käyttää muun poliisin tehtäviensä hoitamisen yhteydessä eri käyttötarkoituksissa keräämiä tietoja. Vastaavasti kuin rikosten ennalta estämisen ja paljastamisen osalta on esitetty 7 §:ssä, pätee suojelupoliisin tiedustelutoimintaankin laaja tietojen yhdistely- ja analysointitarve. Kuten voimassa olevankin lain mukaan, kansallisen turvallisuuden ylläpitämiseksi on voitava käyttää rikoksen selvittämiseksi tai estämiseksi kerättyjä tietoja. Lisäksi suojelupoliisilla olisi edelleen edellä kuvattu rooli esitutkinnoissa. Oikeus saada tietoja sisältäisi myös laajasti hallinnollisissa tarkoituksissa kerätyt tiedot. Esimerkiksi aserekisterin tiedot ovat tärkeitä, jotta voidaan seurata suojelupoliisin kohdehenkilöiden pyrkimyksiä hankkia aseita. Vastaavasti tiedonsaantioikeus koskisi myös niitä erityisiin henkilötietoryhmiin kuuluvia tietoja, joita suojelupoliisi tehtäviensä hoitamiseksi tarvitsisi sekä teknisen valvonnan yhteydessä kerättyä materiaalia. Edelleen 2 luvun 13 §:n 1 momentin alakohdassa 6 viitattaisiin kansalliseen turvallisuuteen, joka myös osaltaan ilmentäisi suojelupoliisin tietojen käyttöoikeutta.
Ratkaisua punnitessa arvioitiin myös mahdollisuutta lisätä suojelupoliisi yhteisrekisterinpitäjäksi poliisin tietojärjestelmiin. Asian valmistelussa päädyttiin kuitenkin ehdottamaan tietojen luovutuksesta säätämistä teknisen käyttöyhteyden avulla tai tietojoukkona, ottaen huomioon että vastuu rajautuisi luovutussääntelyn kautta selkeämmin suhteessa rekisterin tosiasialliseen käyttöön.
Pykälän 2 momentissa säädettäisiin siitä, että suojelupoliisilla olisi vastaavat 3 luvussa tarkoitetut tiedonsaantioikeudet muiden viranomaisten rekistereistä ja tietojärjestelmistä kuin muullakin poliisilla. Suojelupoliisi saisi tietoja luvussa mainituilta tahoilta luvussa säädetyllä tavalla tehtäviensä suorittamiseksi. Suojelupoliisilla olisi myös mahdollisuus asettaa uhkasakko 19 §:ssä säädetyllä tavalla velvoitteen noudattamisen tehosteeksi vastaavalla tavalla kuin muullakin poliisilla.
Pykälän 3 momentissa säädettäisiin siitä, että suojelupoliisilla olisi oikeus saada tiedot maksutta, jollei muualla laissa säädettäisi toisin. Tältäkään osin ei muutettaisi voimassa olevan lain 13 §:ssä säädettyä.
53 §.Kansainvälisessä yhteistyössä saatujen henkilötietojen käsittely. Pykälä vastaisi voimassa olevan lain 31 §:ää. Säännöksen mukaan ulkomaiselta turvallisuus- ja tiedustelupalveluilta saatujen tietojen käsittelyssä olisi noudatettava, mitä tietojen luovuttajan asettamissa ehdoissa on määrätty salassapidosta, vaitiolovelvollisuudesta, tietojen käytön rajoituksista, tietojen edelleen luovutuksesta tai luovutetun aineiston palauttamisesta. Ehdoilla tarkoitettaisiin joko nimenomaisesti mainittuja ehtoja tai tiedonvaihdon osapuolten vakiintuneita käytäntöjä. Säännöksessä ei velvoitettaisi noudattamaan tietojen luovuttajan asettamia ehtoja aineiston hävittämisestä, vaan tältä osin sovellettaisiin voimassa olevia suojelupoliisin omia tietojen säilyttämisaikaa koskevia säännöksiä. Mainittu rajaus on tarpeellinen erityisesti tiedonvaihdon laillisuuden varmistamiseksi sellaisissa tilanteissa, joissa ulkomailta saatujen tietojen johdosta on myös Suomesta luovutettu tietoja ulkomaille.
54 §.Suojelupoliisin oikeus ylläpitää henkilörekisteriään. Ehdotettu säännös olisi uusi suhteessa voimassa olevaan lakiin. Lainkohdan tarkoituksena olisi edistää tietosuojaa ja varmistaa, että suojelupoliisin rekisteriin tallettamat tiedot ovat oikeita ja ajantasaisia. Koska suojelupoliisin henkilörekisteri sisältää kansallisen turvallisuuden suojaamista varten käsiteltäviä tietoja, kohdistuu siihen erityisiä tietoturva- ja tietosuojariskejä ja erityisen vakava laittoman tiedustelutoiminnan uhka. Niiden hallitsemiseksi rekisteri on luokiteltu korkean tietoturvallisuuden tasolle, jonka vuoksi siitä ei ole automatisoituja yhteyksiä ulos. Tämän vuoksi myöskään tietojen päivittämistä ei voida tehdä samalla tavalla kuin alemman tietoturvallisuustason järjestelmissä, joihin tietoja voidaan päivittää tekemällä rekisteröityihin henkilöihin kohdistuvia suoria kyselyjä. Keskeinen vaatimus on, ettei alemman tietosuojan rekisteriin siirry kyselyn yhteydessä korkeamman tietosuojatason järjestelmästä tietoa. Tämän vuoksi tiedon päivittäminen korkean tietoturvatason rekisteriin on toteutettava siten, että luovuttavaan rekisteriin ei muodostu loki- tai muuta tietojoukkoa siitä, mitä tietoja on päivitetty suojelupoliisin henkilörekisteriin. Suojelupoliisin tiedonhankinnan kohteiden tai intressien paljastuminen ulkopuolisille tai kohteille itselleen voisi vaarantaa kansallisen turvallisuuden.
Esitettyä säännöstä ei voi pitää yksityisyyden suojan kannalta erityisen merkittävänä, sillä vertailun mahdollistaminen ei laajentaisi tietosisältöä, johon suojelupoliisilla on jo tällä hetkellä oikeus. Säännös selventäisi ja tekisi lainsäädäntöä tarkkarajaisemmaksi siltä osin kuin suojelupoliisilla on oikeus saada tarpeellisia henkilötietoja tehtäviensä suorittamiseksi ja rekisterinsä ylläpitämiseksi teknisen käyttöyhteyden avulla tai tietojoukkona. Säännöksellä ei siten muutettaisi nykyistä oikeustilaa, mutta huomioitaisiin teknisen kehityksen vaatimukset tietosuojalle ja rekisterin oikeellisuudelle.
Rikosasioiden tietosuojalain 31 §:ssä säädetään henkilötietojen suojaamisesta. Sen mukaisesti rekisterinpitäjän ja henkilötietojen käsittelijän tulee teknisin ja organisatorisin toimenpitein suojata henkilötiedot varmistaakseen rekisteröidyn oikeuksiin kohdistuvaa riskiä vastaava tietoturvallisuuden taso. Henkilötiedot on erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Toimenpiteitä suunniteltaessa ja toteutettaessa tulee ottaa huomioon uusin tekniikka, toimenpiteiden toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Rikosasioiden tietosuojalain 19 §:ssä säädetään lokitiedoista. Rekisterinpitäjän ja henkilötietojen käsittelijän on säilytettävä lokitiedot automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja saa käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Vertailutietotarkastuksessa luovuttavaan järjestelmään jää jälki siitä tietojoukosta, jota suojelupoliisi on pyytänyt. Suojelupoliisin rekisteriin jää vastaavasti lokitiedot vastaanotetuista tiedoista, mahdollisista vertailuosumista ja rekisteriin siirretyistä tiedoista. Rekisterin tulee olla kattavan lokijärjestelmän alaisuudessa siten että rekisteriin pystytään suorittamaan tehokasta laillisuusvalvontaa. Jokaisen tiedonluovutuksen oikeusperuste tulee voida varmistaa myös jälkikäteen.
Pykälän 1 momentissa kytkettäisiin oikeus suorittaa vertailu lainmukaisiin tiedonsaanti- tai luovutusoikeuksiin. Suojelupoliisin tiedonsaantioikeuksista säädettäisiin tämän lain 52 §:ssä. Säännöksessä toistettaisiin selkeyden vuoksi, että suojelupoliisilla olisi oikeus saada tietoja tehtäviensä suorittamiseksi salassapitosäännösten estämättä. Luovuttavasta rekisteristä kerättyä laajempaa tietojoukkoa verrattaisiin automaattisessa käsittelyssä suojelupoliisin rekisterin henkilötietoihin. Henkilörekistereitä ei suoraan yhdistettäisi toisiinsa, vaan niitä verrattaisiin erillisellä teknisellä alustalla. Riittävä vertailutietojoukko arvioitaisiin tapauskohtaisesti. Se voisi kohdistua esimerkiksi rekisterin muutostietoihin, tiettyyn otantaan tai koko rekisterin sisältöön. Säännöksen tulkinnassa ja soveltamisessa olisi yksittäistapauksessa aina otettava huomioon myös henkilötietojen käsittelyn perusperiaatteet.
Ennen tietojen siirron aloittamista selvitettäisiin, miten tarvittavat vertailu- ja muut tiedot voidaan teknisesti poimia eri rekistereistä ja tietojärjestelmistä ja yhdistää sähköiseen muotoon niin, että tietosisältö täyttää vertailun tarpeet, eikä tietojen poimiminen ja yhdistäminen aiheuttaisi tarpeetonta lisätyötä ja kustannuksia tiedon luovuttavalle taholle. Samalla minimoitaisiin ylimääräisten tietojen käsittelyn tarve.
Pykälän 1 momentissa säädettäisiin myös tietojen hävittämisvelvollisuudesta. Vertailutietojen analysoinnin ja käsittelyn jälkeen tarpeettomat vertailutiedot tulisi poistaa välittömästi suojelupoliisin tietovarastoista. Käytännössä tietoja verrattaisiin tietoturvallisessa ympäristössä, jonka jälkeen aiheettomiksi osoittautuvat tiedot välittömästi hävitettäisiin. Pykälässä jaettaisiin selkeyden vuoksi henkilötietojen käsittelyä tarkemmin osiin. Henkilötietojen käsittelyllä tarkoitetaan lähtökohtaisesti kaikkia henkilötietojen käsittelyyn liittyviä toimia. Tässä yhteydessä mainittaisiin erillisenä kynnyksenä henkilötietojen tallentaminen. Jako ilmentäisi sitä, ettei suojelupoliisin rekisteriin tulisi vertailun seurauksena päätyä henkilöitä, joiden osalta 48 ja 49 §:ssä säädettäväksi ehdotetut edellytykset eivät ole täyttyneet.
Ehdotetussa 2 momentissa olisi kyse niiden henkilötietojen tuomisesta vertailua varten suojelupoliisin tietojärjestelmän erilliseen osaan, joiden alkuperäiseksi tai muuksi kuin alkuperäiseksi käyttötarkoitukseksi on säädetty kansallinen turvallisuus. Tietojen käsittely tapahtuisi kokonaisuudessaan korkean tietoturvatason tietojärjestelmässä ilman tarpeetonta tietojen siirtoa alemman tietoturvatason järjestelmiin, mikä olennaisesti korottaisi tietoturvallisuutta. Menettely olisi tarpeellinen myös edellä kuvattujen tietoturvavaatimusten johdosta.
Säännöksen tarkoitus olisi mahdollistaa tietojen käyttö niissä tilanteissa, joissa tarve samojen tietojen käsittelyyn on toistuva. Tämän johdosta toisin kuin 1 momentissa tietoja ei olisi poistettava välittömästi vertaamisen jälkeen, mikäli tiedossa olisi että vertailua jouduttaisiin tekemään toistuvasti. Kerätty tietojoukko olisi kuitenkin poistettava heti kun tietojen käsittelyn tarkoitus on saavutettu. Tietojoukolla tarkoitettaisiin tässä yhteydessä tarkemmin määrittelemätöntä käyttötarkoituksensa perusteella rajautuvaa ryhmää, joka voisi olla esimerkiksi rekisteri, rekisterin osa, tietokanta tai koontitieto. Säännöksessä ei määriteltäisi erikseen vertailtavia henkilötietoluokkia. Kyseeseen voisi siten tulla myös erityiset henkilötietoryhmät. Menettelyä tulisi soveltaa ainoastaan niissä tilanteissa, joissa katsotaan olevan välttämätöntä siirtää laajempi tietojoukko toisesta tietojärjestelmästä tietyssä määritellyssä tarkoituksessa tapahtuvan henkilötietojen käsittelyn mahdollistamiseksi. Kerättyjä tietoja tulisi säilyttää erillään muista tiedoista. Käytännössä tämä tarkoittaisi, että tietoja tulisi säilyttää tietojärjestelmän osassa, johon pääsyoikeus on erityisesti rajattu. Kyseisiä tietoja käytettäisiin kansallisen turvallisuuden suojaamiseksi, joka olisi joko tietojen alkuperäinen käyttötarkoitus tai niille säädetty muu kuin alkuperäinen käyttötarkoitus.
Pykälän 3 momentin mukaan suojelupoliisilla on oikeus saada tiedot maksutta, jollei muualla laissa toisin säädetä. Tietojen poimiminen rekistereistä ja tietojärjestelmistä tarkastettavaksi ja siihen liittyvä mahdollinen yhdistelytyö voivat aiheuttaa kustannuksia ja lisätyötä rekisterinpitäjälle. Tämä pyritään kuitenkin ottamaan huomioon aineistoa koskevissa tietopyynnöissä ja niiden rajauksissa. Käytännössä poliisin tekemistä tietopyynnöstä aiheutuu aina ylimääräisiä tehtäviä pyynnön kohteelle.
55 §.Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käyttötarkoitukseen. Suojelupoliisi voisi käsitellä rekisterinsä tietoja rikosasioiden tietosuojalain 5 §:n 3 momentissa säädettyjen yhteensopivien tarkoitusten lisäksi näihin verrattavissa oleviin tarkoituksiin eli laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi. Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 16 §:n 2 momenttia. Voimassa olevan lain 16 §:n 2 momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella 1181/2013 siten, että tietojärjestelmään sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa tietojärjestelmien asianmukaista valvontaa.
56 §.Tarkastusoikeuden rajoittaminen. Sääntely vastaisi voimassa olevan lain 45 §:ää. Tarkastusoikeuden rajoituksen piiriin kuuluisivat kaikki suojelupoliisin tämän luvun nojalla käsittelemät henkilötiedot. Rikosasioiden tietosuojalaissa säädetään välillisestä tarkastusoikeudesta. Tästä syystä pykälässä säädettäisiin, että välillistä tarkastusoikeutta voisi käyttää kyseisen lain 29 §:ssä tarkoitetulla tavalla. Tältä osinkaan ei esitettäisi muutosta nykytilaan.
Tarkastusoikeutta voisi käyttää kuten voimassa olevan lainkin perusteella jättämällä pyynnön välillisestä tarkastusoikeuden käyttämisestä poliisilaitokselle ja todistamalla samalla henkilöllisyytensä. Tältä osin noudatettaisiin sitä, mitä poliisi säätää välillisen tarkastusoikeuden käytännön järjestämisestä. Mikäli poliisi mahdollistaa tarkastusoikeuspyynnön jättämisen sähköisesti, niin suojelupoliisin käsittelemiä henkilötietoja koskevan tarkastusoikeuspyynnön voisi jättää samalla tavoin poliisin kautta.
57 §.Tietojen poistaminen. Sääntely vastaisi voimassa olevan lain 25 §:ää. Uutena sääntelynä lakiin lisättäisiin mahdollisuus säilyttää tietoja yli 25 vuotta, mikäli siihen olisi erityistä suojelupoliisin tehtävään liittyvää tarvetta. Lakiin lisättäisiin velvollisuus arvioida tietojen tarpeellisuutta ja käsittelyn perustetta viiden vuoden välein mikäli tietoja olisi tarpeen säilyttää yli laissa säädetyn enimmäisajan. Jos tietojen todetaan olevan edelleen tarpeen, tehdään henkilötiedon yhteyteen merkintä arvioinnin suorittamisesta.
Lyhyempi säilytysaika koskisi myös 48 §:n 2 momentissa tarkoitettuja tietoja, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi. Tiedot olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi, kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin kuitenkin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 48 §:n 2 momentin yhteydessä.
58 §.Virheelliseksi todettu tieto. Pykälässä säädettäisiin vastaavalla tavalla kuin muullekin poliisille mahdollisuus säilyttää virheelliseksi todettu tieto, mikäli tiedon säilyttäminen olisi tarpeen pykälässä kuvatuissa tarkoituksissa. Pykälän 2 momentin mukaan virheellinen tieto olisi poistettava heti, kun sen säilyttäminen ei olisi enää tarpeen pykälässä tarkoitetuissa tarkoituksissa.
59 §.Tietojen arkistointi. Pykälässä olisi informatiivinen viittaus arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavaan lainsäädäntöön.
8 luku Erinäiset säännökset
60 §.Rekisterinpitäjä. Pykälässä tarkennettaisiin, mikä poliisin yksikkö vastaa 2 luvussa säädettyihin käsittelytarkoituksiin käsiteltävien henkilötietojen rekisterinpidosta. Koska esityksessä ei ehdoteta säädettäväksi voimassa olevan lain 6 §:n 2 momentissa tarkoitetuista yhden tai useamman poliisiyksikön käyttöön perustettavista henkilörekistereistä, Poliisihallitus olisi rekisterinpitäjä kaikkien 2 luvun mukaisiin tarkoituksiin käsiteltävien henkilötietojen osalta. Poliisihallitus toimisi voimassa olevan lain 7 §:ssä säädettyä vastaavasti myös Schengenin tietojärjestelmän kansallisen järjestelmän rekisterinpitäjänä.
61 §.Voimaantulo. Laki ehdotetaan tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 1 päivänä lokakuuta 2003 annettu laki (761/2003) henkilötietojen käsittelystä poliisitoimessa.
Pykälän 3 momentti sisältäisi siirtymäsäännöksen, joka koskisi 5—8, 11 ja 12 §:ssä tarkoitettujen henkilötietojen poistamisaikoja. Tietojen poistaminen olisi toteutettava tämän lain mukaisena neljän vuoden kuluessa lain voimaantulosta.
Rikosten ennalta estämiseksi ja paljastamiseksi sekä poliisin muiden lakisääteisten tehtävien hoitamiseksi käsiteltävien henkilötietojen poistamiseen sovellettaisiin siirtymäajan kuluessa poliisin henkilötietolain säännöksiä hallintoasiain tietojärjestelmän, poliisiasiain tietojärjestelmän ja poliisin muiden henkilörekisterien tietojen poistamisesta sellaisena kuin ne ovat tämän lain voimaan tullessa. Tutkinta- ja valvontatehtäviin liittyvien henkilötietojen poistamiseen sovellettaisiin kuitenkin poliisiasiain tietojärjestelmän tietojen poistamista koskevia säännöksiä sellaisena kuin ne olivat ennen vuoden 2014 alussa voimaan tullutta lainmuutosta 1181/2013.
Poliisiasiain tietojärjestelmää oltiin jo lainmuutoksen 1181/2013 säätämishetkellä uudistamassa (Vitja-hanke). Vuoden 2014 alussa voimaan tulleita tietojen poistamisaikojen muutoksia ei suurten kustannusten vuoksi katsottu tarkoituksenmukaiseksi toteuttaa vanhassa poliisiasiain tietojärjestelmässä. Tästä syystä lain voimaantulosäännökseen sisällytettiin siirtymäsäännös, jonka mukaan laissa tarkoitettu tietojenkäsittely oli toteutettava neljän vuoden kuluessa lain voimaantulosta. Vitja-hankkeen viivästymisen vuoksi tietojen poistamista koskevia säännöksiä ei ollut mahdollista toteuttaa uudistettuun poliisiasiain tietojärjestelmään lainmuutoksen 1181/2013 voimaantulosäännöksen edellyttämässä aikataulussa 1 päivään tammikuuta 2018 mennessä. Lisäksi arvioitiin tarkoituksenmukaiseksi odottaa poistamisaikojen muutostarpeiden arviointia poliisin henkilötietolain kokonaisuudistuksen yhteydessä ennen lainmuutoksen 1181/2013 muutosten toteuttamista poliisiasiain tietojärjestelmän osalta. Siirtymäaikaa jatkettiin voimassa olevan poliisiasiain tietojärjestelmän tietojen poistamista koskevan 22 §:n osalta kahdella vuodella 1 päivään tammikuuta 2020 saakka lainmuutoksella 1052/2017. Siirtymäaikaa olisi tarkoituksenmukaista edelleen jatkaa, jotta poistoajat voidaan siirtymäajan kuluessa toteuttaa tämän lain 5 luvun mukaisina.