Arvion lähtökohdat
Hallituksen esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Laki korvaisi ulkomaalaisrekisteristä annetun lain, joka ehdotetaan kumottavaksi.
Nyt arvioitavan esityksen tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, joka täydentää Euroopan unionin tietosuoja-asetusta, tietosuojalakia ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia. Ehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta.
Laki täydentäisi Euroopan unionin yleistä tietosuoja-asetusta ja ns. poliisidirektiivin (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta) yleistä täytäntöönpanolainsäädäntöä. Esityksen perusteluissa (s. 6) arvioidaan, että tässä esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain (jäljempänä lakiehdotus) osalta rikosasioiden tietosuojalaki tulisi sovellettavaksi silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa. Maahanmuutto sinänsä ei poliisidirektiivin mukaisesti kuulu rikosasioiden tietosuojalain soveltamisalaan eikä esimerkiksi Maahanmuuttovirasto ole rikosasioiden tietosuojalakia soveltava turvallisuusviranomainen.
Perustuslakivaliokunta on hiljattain arvioinut (PeVL 26/2018 vp) rikosasioiden tietosuojalain säätämiseen tähdännyttä hallituksen esitystä, johon sisältyvän lakiehdotuksen tarkoituksena on muun ohella toimeenpanna poliisidirektiivi. Valiokunta on EU:n tietosuoja-asetuksen soveltamisalalla tarkistanut kantaansa henkilötietojen suojasta lailla säätämisen vaatimuksen osalta. Valiokunnan mukaan merkityksellistä on, että toisin kuin suoraan sovellettava tietosuoja-asetus poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. myös PeVL 14/2018 vp, s. 7). Merkityksellistä on lisäksi, että kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle eikä siten kuulu myöskään lähtökohtaisesti poliisidirektiivin soveltamisalalle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on perustuslain 10 §:n henkilötietojen suojaa koskevan turvaamisvelvoitteen johdosta säädettävä kansallisella lainsäädännöllä (ks. PeVL 26/2018 vp, s. 4).
Perustuslakivaliokunnan mukaan (PeVL 26/2018 vp, s. 3, PeVL 14/2018 vp, s. 7) perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Hallituksen esityksen perusteluista (s. 27) ilmenee, että lakiehdotusta sovellettaisiin varsin laajaan joukkoon pääasiassa ulkomaalaisia henkilöitä, joiden osalta tulee hyvin laajasti käsiteltäväksi henkilöiden yksityiselämään kuuluvia ja usein myös arkaluonteisia tietoja.
Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp, s. 40).
Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6).
Ehdotettava maahanmuuttohallinnon henkilötietolaki perustuisi käsittelytarkoitussidonnaiseen sääntelymalliin. Ehdotettavaa maahanmuuttohallinnon henkilötietolakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Lain soveltamisala ei olisi sidottu mihinkään rekisteriin tai tietojärjestelmään vaan niihin tarkoituksiin, joissa henkilötietoja käsitellään. Perustuslakivaliokunnalla ei ole huomauttamista tähän lähtökohtaan
Perustuslakivaliokunta ei ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn suhdetta EU-oikeuteen. Hallintovaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa.
Lain soveltamisala
Henkilötietojen käsittelyä maahanmuuttohallinnossa säännellään sekä yleisessä tietosuoja-asetuksessa että sitä täydentävässä kansallisessa tietosuojalaissa, rikosasioiden tietosuojalaissa ja säädettäväksi ehdotetussa laissa. Perusteluissa (s. 50) viitataan siihen, että maahanmuuttohallinnossa sovellettavaksi tulevat myös poliisin henkilötietolaki sekä rajavartiolaitoksen henkilötietolaki. Lakiehdotuksen soveltamisalasta säädetään 1 ja 2 §:ssä.
Perustuslakivaliokunnan mielestä sovellettavan lainsäädännön kokonaisuutta ei voi luonnehtia selkeäksi ja ymmärrettäväksi, vaikka nyt arvioitavan sääntelyn rakenteessa onkin pyritty selkeyteen ja yksinkertaisuuteen. Sovellettavana olevien EU- ja kansallisten säädösten väliset suhteet muodostuvat osittain päällekkäisiksi ja osittain toisistaan erotettaviksi. Vaikka valiokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu EU-oikeuden ja sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja sääntelyn soveltamisalasäännösten selkeyttämiseen.
Lakiehdotuksen 2 §:n 1 momentin 2 kohta sisältää viittauksen viranomaisten toiminnan julkisuudesta annettuun lakiin. Perustuslakivaliokunta huomauttaa, että yleislakina sovellettavaksi tulevan, perustuslakivaliokunnan nimenomaisella myötävaikutuksella tältä osin (PeVL 14/2018 vp, s. 15—16, PeVL 26/2018 vp, s. 7) säädetyn tietosuojalain 28 §:n ja vastaavasti rikosasioiden tietosuojalain 2 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Valiokunta pitää perustuslain 12 §:n 2 momentista johtuvista syistä välttämättömänä, että sääntelyn sanamuoto yhtenäistetään näiden yleislakien kanssa. Tämä on tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi.
Yhteisrekisterinpitäjät
Lakiehdotuksen 3 §:ssä säädetään yhteisrekisterinpitäjistä. Rekisterinpitäjinä toimisivat ne viranomaiset, jotka ehdotettavan lain soveltamisalaan kuuluvissa käsittelytarkoituksissa käsittelevät henkilötietoja niille toimivaltaa luovassa lainsäädännössä säädettyjen tehtävien toteuttamiseksi omiin itsenäisiin tarkoituksiinsa. Nämä viranomaiset käyttävät näiden lakisääteisten tehtäviensä hoitamisessa harkinta- ja päätösvaltaa. Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Nämä rekisterinpitäjät olisivat perustelujen (s. 51) mukaan tietosuoja-asetuksen 26 artiklan tarkoittamia yhteisrekisterinpitäjiä.
Lakiehdotus ja sillä perustettavaksi ehdotettava poikkeuksellisen laaja yhteisrekisterinpitäjyys vaikuttavat perustuslakivaliokunnan käsityksen mukaan koskevan käyttötarkoitukseltaan varsin erilaisia tietoja, joiden yhteinen tekijä on ainoastaan maahanmuuttoon tavalla tai toisella liittyminen. Esityksen perusteluista käy ilmi, että mainittujen viranomaisten tarpeet henkilötietojen käsittelyyn eroavat paljon toisistaan. Valiokunnan mielestä sääntelyratkaisu, jossa kaikki mainitut viranomaiset on kuitenkin määritelty rekisterinpitäjiksi sen sijaan, että niiden tarpeellinen tiedonsaanti olisi varmistettu esimerkiksi tiedon luovutusta ja saamisoikeuksia koskevalla sääntelyllä, poikkeaa tavanomaisesta.
Lakiehdotuksen 3 §:n 2 momentin mukaan kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuu kyseisen viranomaisen toimivaltaa koskeviin säännöksiin. Perustuslakivaliokunta korostaa säädettäväksi ehdotetun merkitystä. Säännös merkitsee, että lakiehdotuksen mukainen sääntely ei itsessään luo toimivaltaa henkilötietojen käsittelylle, vaan henkilötietojen käsittely edellyttää aina erillistä toimivaltasäännöstä. Tietojärjestelmien ylläpito ja siihen kuuluvat tehtävät, kuten henkilötietojen muu kuin yksittäistapauksellinen poistaminen ja luovuttaminen, keskitettäisiin nykytilaa vastaavasti kuitenkin Maahanmuuttovirastolle ja ulkoasiainhallinnolle. Nämä tahot toimisivat samalla myös rekisteröityjen yhteyspisteinä rekisteröidyn oikeuksien toteutumisen ja sujuvuuden turvaamiseksi. Lakiehdotuksessa säädettyjen rekisterinpitoon liittyvien vastuiden perusteella yhteisrekisterinpitäjyyden merkitys jää muiden viranomaisten osalta avoimeksi. Hallintovaliokunnan on syytä tarkastella sääntelymallin tarkoituksenmukaisuutta ja yhteensopivuutta tietosuoja-asetuksen sääntelyn kanssa.
Lakiehdotuksen 8—10 §:ssä säädetään arkaluonteisten tietojen käsittelystä ja niiden sallituista käyttötarkoituksista. Käsittely on asianmukaisesti sidottu välttämättömyyteen. Perustuslakivaliokunta kiinnittää huomiota siihen, että 8 §:n mukaan siinä mainittuja arkaluonteisia tietoja saa käsitellä rekisterinpitäjä. Henkilötietojen käsittelemistä muussa kuin alkuperäisessä käsittelytarkoituksessa tosin rajaa lakiehdotuksen 11 §:n sääntely. Sääntely voi merkitä valiokunnan käsityksen mukaan sitä, että säännöksessä mainitut arkaluonteiset tiedot ovat siirrettävissä yhteisrekisterinpitäjiksi määriteltyjen viranomaisten välillä salassapitosäännösten estämättä, mikäli esimerkiksi lakiehdotuksen 1 §:n 1 momentin 1 kohdassa säädetyssä tarkoituksessa ("ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta") talletettuja arkaluonteisia ja salassapidettäviä tietoja käsitellään myöhemmin samassa tarkoituksessa toisen yhteisrekisterinpitäjäksi määritellyn viranomaisen toimesta.
Viranomaisen henkilörekisteriin talletettavat tiedot ovat perustuslain 12 §:n 2 momentissa tarkoitettuja viranomaisen hallussa olevia tallenteita (PeVL 3/2009 vp, s. 2/I). Maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä.
Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Erityisesti tilanteessa, jossa ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan myös tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 14/2018 vp, s. 5).
Perustuslakivaliokunta painottaa, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 48/2017 vp, s. 5 ja siinä viitatut lausunnot).
Lakiehdotuksen 12 §:ssä säädetään sinänsä asianmukaisesti tiedonsaantioikeudesta. Sen perustelujen (s. 64) mukaan laissa mainittujen viranomaisten tiedonsaantioikeudet perustuisivat niille toimivaltaa luovaan lainsäädäntöön. Perustuslakivaliokunnan mielestä lakiehdotuksen yhteisrekisterinpitäjyyttä koskevan sääntelyn suhde 12 §:n sääntelyyn, viranomaisten tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaan sääntelyyn liittyvään vakiintuneeseen käytäntöön ei ole selvä. Hallintovaliokunnan on täsmennettävä sääntelyä olennaisesti. Tällaisen täsmennyksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
Automatisoidut yksittäispäätökset
Lakiehdotuksen 20 §:n mukaan päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voidaan tehdä menettelyssä, joka perustuu pelkästään automaattiseen käsittelyyn, ellei asian laatu tai laajuus, yhdenmukainen kohtelu, lapsen etu taikka muu erityinen syy muuta edellytä. Rekisteröidyllä on oikeus saada selvitys hänelle automaattisessa käsittelyssä tehdystä yksittäispäätöksestä.
Hallituksen esityksen perustelujen (s. 74) mukaan kyse on siitä, että Maahanmuuttovirasto voisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä tehdä päätöksen täysin automatisoidusti, jolloin tietojärjestelmä suorittaisi kaikki asiankäsittelyn ja päätöksenteon vaiheet ilman, että kukaan luonnollinen henkilö käsittelee asiaa. Pykälä mahdollistaisi tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitetun automaattisen käsittelyn Maahanmuuttoviraston lakisääteisen tehtävän toimeenpanossa. Hallintovaliokunnan on syytä tarkoin varmistua sääntelyn yhteensopivuudesta tietosuoja-asetuksessa edellytetyn kannalta.
Perusteluissa menettelyä kuvataan siten, että automaattiset päätökset perustuvat teknisiin sääntöihin, joiden avulla tietoa prosessoidaan. Teknisissä säännöissä lainsäädäntö muutetaan koneellisesti käsiteltäviksi numeraalisiksi operaatioiksi, jotka perustuvat tiedon prosessointiin loogisten ehtojen avulla. Tarkoituksena on, että automaattisen päätöksenteon avulla parannetaan tehokkuutta esimerkiksi siten, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Luonnollisten henkilöiden tekemissä päätöksissä on olemassa virheen mahdollisuus, kun taas automaattisissa päätöksissä inhimillisten virheiden mahdollisuus minimoidaan. Automaattisessa päätöksenteossa harkintavaltaa ei ole mahdollista käyttää väärin, sillä lain säännöksiä ei voi jättää soveltamatta eikä ratkaisun kannalta merkityksellisiä säännöksiä ohittaa.
Perustuslakivaliokunnan mielestä automaattisen päätöksenteon sääntely on merkityksellistä erityisesti perustuslain 21 §:ssä turvattujen hyvän hallinnon periaatteiden ja 118 §:ssä säädetyn virkavastuun kannalta. Valiokunnalla ei ole sinänsä huomauttamista hallituksen esityksessä kuvattuihin päätöksenteon automatisoinnin päämääriin. Valiokunta kiinnittää huomiota siihen, että päätöksenteon perustuminen automaattiseen käsittelyyn ei olisi säännöksen mukaan mahdollista, mikäli asian laatu tai laajuus, yhdenmukainen kohtelu, lapsen etu taikka muu erityinen syy niin edellyttäisi. Perusteluiden (s. 75) mukaan pykälässä ei kuitenkaan säädettäisi yksityiskohtaisesti siitä, missä tilanteissa tai mihin asiaryhmiin liittyviä päätöksiä olisi mahdollista käsitellä täysin automaattisesti. Automatisoitujen päätösten tekeminen edellyttäisi perustelujen mukaan, että tosiseikasto ja oikeudelliset edellytykset ovat riittävän yksiselitteisiä, jotta tekniset säännöt, joiden avulla tietoa prosessoitaisiin, pystytään luomaan.
Perustuslakivaliokunnan mielestä sääntelyä on kuitenkin välttämätöntä täsmentää. Säännöksessä on säänneltävä ehdotettua täsmällisemmin, millaisin perustein asioita voidaan valikoida automaattisen päätöksenteon piiriin. Valiokunta painottaa myös sitä, että ehdotetulla säännöksellä ei ole tarkoitettu poikettavan hallintolain säännöksistä esimerkiksi asianosaisen kuulemisen osalta. Perustuslain 21 §:n 2 momentissa turvattuun hyvään hallintoon kuuluu esimerkiksi oikeus tulla kuulluksi. Hallintovaliokunnan on tarkasteltava hallintolain suhdetta lakiehdotukseen ja täsmennettävä sääntelyä myös tästä näkökulmasta. Perustuslakivaliokunta on kiinnittänyt perustuslain 21 §:n ja julkisen vallan käytön lakiperustaisuuden näkökulmasta huomiota siihen, ettei automaattisessa päätöksenteossa massaluonteisessakaan toiminnassa saa vaarantaa hyvän hallinnon vaatimuksia tai asianosaisen oikeusturvaa (PeVL 49/2017 vp, s. 5, PeVL 35/2005 vp, s. 2/I). Hallintovaliokunnan on siten kiinnitettävä erityistä huomiota myös oikeusturvan merkitykseen asiassa. Automatisoituja yksittäispäätöksiä koskevan sääntelyn täsmentäminen lakiehdotuksen 20 §:ssä on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
Lakiehdotuksen 20 §:n 2 momentissa säädettäisiin rekisteröidyn oikeudesta saada selvitys automaattisessa käsittelyssä tehdystä yksittäispäätöksestä. Kyseessä olisi perustelujen (s. 76) mukaan tietosuoja-asetuksen edellyttämä suojatoimi. Maahanmuuttoviraston tulisi selvityksessä esittää rekisteröidylle perusteet ja syyt sille, miksi rekisteröidylle tehtiin automaattinen päätös. Käytännössä tämä tarkoittaisi perustelujen mukaan selvitystä siitä, miksi rekisteröidyn päätöstä ei käsitellyt luonnollinen henkilö. Tarkoituksena ei siten ole säätää hallintopäätöksen perustelemisesta hallintolain 45 §:ssä säädetystä poikkeavasti. Säännöksen sanamuoto on syytä korjata perusteluissa esitetyn mukaiseksi.
Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin, ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslain 118 §:ssä säädetään vastuusta virkatoimista. Pykälän 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Hän on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut. Pykälän 2 momentin mukaan esittelijä on vastuussa siitä, mitä hänen esittelystään on päätetty, jollei hän ole jättänyt päätökseen eriävää mielipidettään. Pykälän 3 momentin ensimmäisen virkkeen mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään.
Perustuslakivaliokunnan mukaan perustuslain säännökset hallinnon lainalaisuusperiaatteesta sekä valtion ja virkamiehen vastuusta ilmentävät virkamieshallinnon periaatetta (PeVL 19/1985 vp, s. 3/II). Valiokunnan käytännössä on lisäksi vakiintuneesti katsottu esimerkiksi, että annettaessa julkinen hallintotehtävä muun kuin viranomaisen tehtäväksi oikeusturvan ja hyvän hallinnon vaatimusten toteutumisen varmistaminen edellyttää muun muassa, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 26/2017 vp, s. 49, PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10).
Perustuslakivaliokunta kiinnittää huomiota siihen, että automaattisen päätöksenteon osalta perusteluissa viitataan siihen, että asiantuntijat, jotka päättävät automaattisen päätöksen käsittelyn säännöistä ja joilla on tosiasiallinen valta ja kompetenssi muuttaa tiettyyn päätökseen johtanutta sääntöä, toimivat viranomaisessa virkavastuulla. Valiokunnan mielestä tällainen välillinen virkavastuu tehdystä päätöksestä ei ole riittävää perustuslain 118 §:n kannalta. Hallintovaliokunnan on tarkasteltava virkavastuun kohdentumista ja tarvittaessa täsmennettävä sääntelyä.
Perustuslakivaliokunta on arvioidessaan ns. perustulokokeilua kiinnittänyt lailla säätämisen vaatimuksen johdosta huomiota tuolloin ehdotettuun otantamenettelyyn ja sen läpinäkyvyyteen. Valiokunnan mielestä laissa oli syytä säätää otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta (PeVL 51/2016 vp, s. 5). Lentoliikenteen matkustajarekisteritietojen käyttöä sääntelevän lakiehdotuksen arvioinnin yhteydessä valiokunta katsoi, että hallintovaliokunnan oli perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta viranomaisten toiminnan julkisuudesta annettuun lakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5). Hallintovaliokunnan on myös nyt kiinnitettävä huomiota mainittuihin seikkoihin.
Perustuslakivaliokunta kiinnittää valtioneuvoston huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti säätelemättömiä kysymyksiä. Asiasta ja oikeusministeriön valmisteluvastuulle kuuluvan hallinnon yleislainsäädännön alan sääntelytarpeesta tulee tehdä selvitys. Selvityksessä on tarkasteltava, millä tavoin automatisoidun hallintomenettelyn ja päätöksenteon sääntely täyttää hallinnon lainalaisuuden, julkisuusperiaatteen ja hyvän hallinnon perusteisiin kuuluvien hallinnon oikeusperiaatteiden asettamia vaatimuksia sekä turvaa oikeusturvan ja virkamiesten virkavastuun asianmukaisen toteutumisen.
Tietosuojarikos
Lakiehdotukseen ei sisälly viittausta rikoslain 38 luvun 9 §:n tietosuojarikosta koskevaan säännökseen. Tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Säännös on perustuslain 8 §:ssä tarkoitetun rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallinen, koska siinä ei tarkemmin yksilöidä niitä henkilötietojen käsittelyä koskevia muita lakeja, joiden vastainen toiminta voi tulla tietosuojarikoksena rangaistavaksi (ks. PeVL 14/2018 vp, s. 21—22).
Tietosuojarikosta koskeva säännös on niin sanottu blankorikossäännös. Laillisuusperiaatteeseen liittyvistä syistä blankorangaistussääntelyyn on ollut syytä suhtautua torjuvasti (esim. PeVL 10/2016 vp, s. 8, PeVL 31/2002 vp, s. 3, PeVL 15/1996 vp, s. 2/II ja PeVL 20/1997 vp, s. 3/II). Perusoikeusuudistuksen yhteydessä valiokunta korosti, että blankosääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp). Tuoreemmassa käytännössään valiokunta on pitänyt blankorikossääntelyn täsmentämistä edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 10/2016 vp, s. 8—9). Myös tilanteessa, jossa säännöksessä luetellaan niitä tekotapoja, jotka voivat tulla rangaistaviksi, sääntelyä on perustuslakivaliokunnan käytännön mukaan ollut täsmennettävä viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla (PeVL 14/2018 vp, s. 21—22). Valiokunnan käsityksen mukaan henkilötietojen käsittelystä maahanmuuttohallinnossa annettava laki on sellainen henkilötietojen käsittelyä koskeva muu laki, jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa. Lakiehdotusta on täydennettävä viittauksella rikoslain tietosuojarikosta koskevaan säännökseen.
Muita seikkoja
Lakiehdotuksen 20 §:ssä säädetään salassapidosta. Säännöksen sisältöä ja sen suhdetta viranomaisten toiminnan julkisuudesta annettuun lakiin on välttämätöntä selkeyttää. Perustuslakivaliokunta muistuttaa lisäksi, että eduskunta on julkisuuslainsäädännön kokonaisuudistuksen yhteydessä korostanut pidättyvää suhtautumista viranomaisten tietojen salassapitoa koskevien säännösten sijoittamiseen erityislainsäädäntöön (EV 303/1998 vp, HaVM 31/1998 vp, s. 7/II, ks. myös PeVL 2/2008 vp, s. 2).