1.1  Valmiuslaki

Valmiuslain tarkoituksena on poikkeusoloissa suojata väestöä sekä turvata sen toimeentulo ja maan talouselämä, ylläpitää oikeusjärjestystä, perusoikeuksia ja ihmisoikeuksia sekä turvata alueellinen koskemattomuus ja itsenäisyys. Laissa säädetään viranomaisten toimivaltuuksista poikkeusolojen aikana sekä viranomaisten varautumisesta poikkeusoloihin. Lain 103 § sisältää säännökset työvelvollisuusrekisteristä, joka perustetaan laissa tarkoitetuissa poikkeusoloissa työvelvollisuuden täytäntöönpanoa ja työvoiman ohjausta varten. Rekisteriin tallennetaan tietoja työvelvollisista ja työnantajista. Rekisterisääntely täyttäisi tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen. Säännöksissä tarkoitettua henkilötietojen käsittelyä voidaan myös pitää tarpeellisena työvelvollisuuden tarkoituksenmukaisen toteuttamisen kannalta. Laissa säädetty henkilötietojen käsittely on sekä tietojen tallentamisen että tiedonsaannin osalta rajattu koskemaan työvelvollisuuden toteuttamista, ja on siten oikeasuhteisuusperiaatteen mukaisesti rajoitettu siihen, mikä on välttämätöntä lain päämäärään nähden. Pykälässä tarkoitetun henkilötietojen käsittelyn perusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. 

Säännöksiä ehdotetaan tarkistettavaksi rekisterinpidon ja erityisten henkilötietoryhmien osalta tietosuoja-asetuksen vaatimusten huomioimiseksi.  

103 §.Työvelvollisuusrekisteri. Pykälän 1 momenttiin sisältyvää kolmas virke korvattaisiin uudella virkkeellä, jossa säädettäisiin viranomaisten velvollisuudesta varmistaa rekisteriin tallentamiensa tietojen virheettömyys ennen niiden tallentamista. Tietosuoja-asetuksen mukainen vastuu henkilötietojen täsmällisyydestä sekä henkilötietojen käsittelyn lainmukaisuudesta kuuluu rekisterinpitäjälle, eikä vastuuta voi siirtää muille viranomaisille. Silloin, kun nämä muut viranomaiset itse käsittelevät henkilötietoja rekisterinpitäjinä omien tehtäviensä hoidossa, henkilötietojen käsittelyn lainmukaisuuden varmistamista koskevat vaatimukset perustuisivat suoraan tietosuoja-asetukseen. Viranomaisille asetettaisiin kuitenkin velvollisuus huolehtia tallentamiensa tietojen virheettömyydestä silloin, kun ne tallettavat niitä työ- ja elinkeinoministeriön rekisterinpitovastuulla olevaan tietojärjestelmään. 

Pykälän 2 momenttia ehdotetaan tarkennettavaksi siltä osin kuin työvelvollisen työkykyä koskevien merkintöjen yhteydessä voisi olla terveydentilaa tai mahdollista vammaisuutta koskevia tietoja. Työvoimaviranomainen voisi joutua 99 §:n 1 momentin nojalla käsittelemään työvelvollisen terveydentilaa tai mahdollista vammaisuutta koskevia tietoja sen arvioimiseksi, minkälaiseen työhön työvelvollinen voidaan määrätä, ottaen huomioon tämän terveydentilan. Työkykyyn liittyviä, terveydentilaa tai mahdollista vammaisuutta koskevia tietoja saisi ehdotetun säännöksen mukaan tallettaa työvelvollisuusrekisteriin vain, jos tällaisten tietojen käsittely on välttämätöntä niiden huomioon ottamiseksi lain 99 §:n 1 momentissa tarkoitetulla tavalla. Momenttiin lisätyllä kriteerillä ei olisi käytännössä rajoittavaa vaikutusta terveydentilaa tai mahdollista vammaisuutta koskevien tietojen käsittelyyn, koska käsittelyoikeus joka tapauksessa määräytyisi edelleen 99 §:n 1 momentin nojalla. Näiden tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin terveyttä koskeviin tietoihin rinnastuvien henkilötietojen käsittelyn oikeusperuste olisi näissä tilanteissa tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohta. Mainitun kohdan mukaan käsittelykieltoa ei sovelleta, jos käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 9 artiklan 3 kohdassa esitettyjä edellytyksiä ja suojatoimia. Tietosuoja-asetuksen 9 artiklan 3 kohta asettaa tällaisessa tapauksessa käsittelyn edellytykseksi, että henkilötietojen käsittelystä vastaa ammattilainen tai toinen henkilö, jolla on lakisääteinen salassapitovelvollisuus. Käsittelystä vastaisivat viranomaiset, joita sitoisi viranomaisten toiminnan julkisuudesta annetun lain 22 §:n perusteella asiakirjasalaisuus ja 23 §:n perusteella vaitiolovelvollisuus. Terveydentilaa koskevat tiedot ovat viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 25 kohdan mukaan salassa pidettäviä. 

1.2  Hallintolaki

Hallintolaki on yleislaki, jossa säädetään hyvän hallinnon perusteista sekä hallintoasiassa noudatettavasta menettelystä. Laki sisältää asian ja asiakirjan käsittelyyn liittyvää sääntelyä, mutta ei henkilötietojen käsittelyä koskevia erityissäännöksiä, jotka olisivat päällekkäisiä yleisen tietosuojalainsäädännön kanssa. Hallintolaissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu pääsääntöisesti tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. 

42 §. Tietojen kirjaaminen. Pykälä sisältää säännöksen henkilötietolaissa tarkoitetusta henkilörekisteristä saadun tiedon kirjaamisesta. Pykälää ehdotetaan muutettavaksi siten, että viittaus henkilötietolakiin poistetaan. 

1.3  Puoluelaki

Lakiin sisältyy sekä valtakunnalliseen puoluerekisteriin että puolueiden kannattajiin ja rahoituksen antajiin liittyviä henkilötietojen käsittelyä tarkoittavia säännöksiä. Puolueen kannattajien henkilötietojen käsittely ilmaisee kyseessä olevien henkilöiden poliittisen mielipiteen. Näiden henkilötietojen käsittely on kuitenkin sallittua tietosuoja-asetuksen 9 artiklan 2 kohdan a ja d alakohdan nojalla. Muutoin kannattajien henkilötietojen käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti rekisterinpitäjän laissa säädetty velvoite. Käsittelyllä on myös tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetty yleisen edun mukainen tavoite, joka on sen varmistaminen, että rekisteröitävällä puolueella on laissa vaadittu määrä eduskuntavaaleissa, kuntavaaleissa tai europarlamenttivaaleissa äänioikeutettuja kannattajia. Lain perusteluista ilmenee, että käsiteltävät henkilötiedot olisi rajattava tiettyihin perustietoihin, joita ei kuitenkaan ole täsmennetty laissa. 

Rahoituksen antajia koskevien henkilötietojen käsittelyä voidaan puolestaan pitää välttämättömänä puolueisiin kohdistuvien epäasianmukaisten vaikuttamisyritysten ja epäasiallisten puolueiden ja niiden rahoittajien välisten sidonnaisuuksien ehkäisemiseksi sekä tehokkaan valvonnan mahdollistamiseksi. Lainsäädäntöä on myös aiemmin tarkistettu puoluerahoituksen läpinäkyvyyttä ja valvontaa lisäävään suuntaan. (HE 6/2010 vp). Henkilötietojen käsittelyn oikeusperusteena on näissä tilanteissa tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Henkilötietojen käsittelyä koskeva sääntely on oikeasuhteisuusperiaatteen mukaisesti rajoitettu siihen, mikä on välttämätöntä valvonnan varmistamiseksi. Laissa ei kuitenkaan ole täsmennetty eri henkilötietojen käsittelytilanteiden osalta rekisterinpitäjää. Rekisterinpitäjä ehdotetaan täsmennettäväksi tällä esityksellä lukuun ottamatta 3 §:ssä tarkoitettuja tilanteita, jotka huomioidaan erillisessä puoluelain muuttamista koskevassa säädöshankkeessa. 

1 §. Puolue ja puoluerekisteri. Pykälän sanamuotoa ehdotetaan tarkistettavaksi siten, että oikeusministeriön rekisterinpitäjän tehtävä ilmenee selkeämmin. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Lisäksi pykälän otsikkoon lisättäisiin sana ”puoluerekisteri”. 

9 f §. Ilmoitusrekisteri ja sen tietojen julkisuus. Pykälässä säädetään valtiontalouden tarkastusviraston ylläpitämästä puoluerahoituksen ilmoitusrekisteristä sekä siihen talletettavien tietojen julkisuudesta. Rekisteriin talletetaan tiedot, jotka sisältyvät vaalikampanjan kuluista ja rahoituksesta tehtäviin erittelyihin sekä ennakkoilmoituksiin. Lisäksi rekisteriin saa tallettaa tiedot, jotka sisältyvät erittelyyn, joka koskee lähiyhteisön saamia tukia, sekä 9 §:ssä tarkoitettua avustusta saavien yhdistysten tilintarkastuskertomuksiin ja tilinpäätöksiin sisältyvät tiedot. Rekisteri on saatavilla yleisessä tietoverkossa. Jokaisella on pykälän mukaan oikeus saada rekisteristä jäljennöksiä ja tietoja viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentin estämättä. Momentissa tarkoitetut tiedot voivat sisältää myös yksityishenkilön henkilötietoja siltä osin kuin on kyse 1500 euroa ylittävän tuen antajista tai näiden suostumuksella myös pienemmän tuen antajista. 

Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että siitä ilmenisi nimenomaisesti valtiontalouden tarkastusviraston tehtävä puoluerahoituksen ilmoitusrekisterin rekisterinpitäjänä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Valtiontalouden tarkastusvirastolle kuuluisivat puoluerahoituksen ilmoitusrekisterin ylläpidon lisäksi myös muut tietosuoja-asetuksessa tarkoitetut rekisterinpitäjän tehtävät. 

1.4  Vaalilaki

Vaalilakia sovelletaan eduskuntavaaleihin, presidentinvaaleihin, kuntavaaleihin ja europarlamenttivaaleihin. Kuntavaaleista Ahvenanmaan maakunnassa säädetään maakunnan lainsäädännössä. Demokraattisen valtion valtiosääntöön katsotaan kuuluvan perustuslait ja ne tavalliset lait, jotka koskevat ylimpien valtioelinten järjestysmuotoa ja toimintaa sekä kansalaisten yleisiä oikeuksia ja niiden käyttämistä. Vaalilainsäädäntö on tärkeä osa valtiosääntöä. Se määrittelee sen, miten kansalaiset käyttävät aktiivisia valtiollisia oikeuksiaan kuten äänioikeuttaan ja oikeuttaan asettua vaaleissa ehdokkaaksi. (HE 48/1998 vp) Vaalilakiin sisältyy vaalien toimittamiseen liittyviä henkilörekistereitä koskevia säännöksiä sekä niiden sisältämien tietojen tarkastamiseen ja oikaisemiseen liittyviä säännöksiä. Vaaleissa äänioikeutettuja henkilöitä koskevien tietojen käsittely on myös välttämätöntä vaalien asianmukaisen toimittamisen varmistamiseksi. Laissa tarkoitettuihin rekistereihin liittyvän henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Vaalilain säännöksillä, jotka koskevat äänioikeusrekisterin tietojen tarkastamista, oikaisuvaatimusta ja itseoikaisua, mukautetaan tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti tietosuoja-asetuksen soveltamista siltä osin kuin on kyse henkilötietojen käsittelyyn liittyvistä menettelyistä. 

Vaalilain 23 §:n 1—3 momentti sisältävät yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan äänioikeusrekisterin tietojen tarkastamiseen, sekä oikaisuvaatimuksen tekemistä koskevasta tiedottamisesta. Pykälässä säädetään erityisesti siitä, miten ja missä tiedot ovat nähtävillä vaalilaissa tarkoitettua tarkastusta varten. Voimassa olevan pykälän säännökset tulevat sovellettavaksi samanaikaisesti tietosuoja-asetuksen 15 artiklan kanssa, mutta vaalilain säännöksiä sovelletaan erityislakina yksittäisiä vaaleja varten perustetun äänioikeusrekisterin tarkastamiseen. Myös muilla kuin rekisteröidyillä on oikeus saada vaalilain nojalla tietoja äänioikeusrekisteristä. Vaalilain säännökset eivät vaikuta rekisteröidyn tietosuoja-asetuksen mukaisiin oikeuksiin kaventavasti. Tietosuoja-asetusta sovellettaisiin sellaisenaan myös vaalilaissa säädetyn ajankohdan ulkopuolella. 

Vaalilain 24 § sisältää yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan äänioikeusrekisterin tietojen oikaisemista koskevan vaatimuksen tekemiseen. Pykälässä säädetään myös määräajasta, johon mennessä oikaisua voidaan vaatia. Pykälän säännökset tulevat sovellettavaksi samanaikaisesti tietosuoja-asetuksen 16 artiklan kanssa, mutta niitä sovelletaan yksittäisiä vaaleja varten perustetun äänioikeusrekisterin tietojen oikaisuvaatimukseen. Myöskään 24 §:n säännökset eivät kavenna rekisteröidyn tietosuoja-asetuksen mukaista oikeutta, jota sovelletaan myös muulloin kuin vaalilaissa tarkoitettuna ajankohtana. 

Vaalilain 26 § (itseoikaisu) sisältää yksityiskohtaisempia säännöksiä asetuksen 5 artiklan 1 kohdan d alakohdan mukaisen täsmällisyysvaatimuksen mukauttamiseksi. Rekisterinpitäjällä on aina kyseisen alakohdan mukaan velvollisuus toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Vaalilaissa säädetään tarkemmin yksittäisiä vaaleja varten perustettavaan äänioikeusrekisteriin sovellettavasta virheellisen merkinnän itseoikaisua koskevasta menettelystä ja määräajasta, johon mennessä muutokset on tehtävä. Pykälän sisältämät säännökset eivät kuitenkaan koske pelkästään rekisteröidyn henkilötietojen käsittelyä, vaikka korjattavat merkinnät koskisivat suureksi osaksi henkilötietoja tai niihin liittyviä tietoja. 

Tietosuoja-asetuksen 79 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hänen henkilötietojensa käsittelyssä ei ole noudatettu tietosuoja-asetusta. Kohta sisältää mahdollisuuden pitää voimassa myös muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja, minkä lisäksi rekisteröidyllä on oikeus käyttää 77 artiklan mukaista oikeuttaan. Vaalilain 27 §:ssä säädetään muutoksenhausta päätökseen, jolla vaalilain 24 §:n mukainen oikaisuvaatimus on hylätty tai jätetty tutkimatta sekä 26 §:n 2 momentissa tarkoitettuun päätökseen. Rekisteröity voisi halutessaan käyttää vaihtoehtoisesti suoraan tietosuoja-asetukseen perustuvia oikeussuojakeinoja silloin, kun kyse on epätarkkojen tai virheellisten henkilötietojen oikaisusta tai poistamisesta.  

Vaalilain sisältämien henkilötietojen käsittelyä ja muutoksenhakua koskevien säännösten voidaan katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on kansalaisten äänioikeuden käyttämisen turvaaminen. Vaalilain henkilötietojen käsittelyä koskevien säännösten arvioidaan myös olevan oikeasuhteisia niillä tavoiteltuun oikeutettuun päämäärään nähden. 

31 §. Ehdokashakemukset käsittelevä viranomainen. Laissa tarkoitettuihin ehdokashakemuksiin liittyy henkilötietojen käsittelyä, jonka osalta olisi tarpeen täsmentää rekisterinpitäjä. Pykälän mukaan ehdokashakemukset käsittelevällä viranomaisella tarkoitetaan eduskuntavaaleissa vaalipiirilautakuntaa, presidentinvaalissa ja europarlamenttivaaleissa Helsingin vaalipiirilautakuntaa sekä kuntavaaleissa kunnan keskusvaalilautakuntaa. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan ehdokashakemukset käsittelevä viranomainen olisi ehdokaslistojen yhdistelmän ja presidentinvaalin ehdokasluettelon rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Ehdokaslistojen yhdistelmän sisältö täsmennetään lain 41 §:ssä. Presidentinvaalin ehdokasluettelosta säädetään 42 §:ssä. 

43 §. Valtakunnallinen ehdokasrekisteri. Pykälässä säädetään valtakunnallisesta ehdokasrekisteristä. Pykälän 1 momenttiin ehdotetaan lisättäväksi nimenomainen säännös, jonka mukaan oikeusministeriö olisi ehdokasrekisterin rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Pykälän 2 momentissa säädetään ehdokashakemukset käsittelevän viranomaisen velvollisuudesta merkitä ehdokkaita koskevat henkilötiedot rekisteriin. Näitä viranomaisia ei kuitenkaan pidettäisi valtakunnallisen ehdokasrekisterin rekisterinpitäjinä. Momenttiin ei ehdoteta tarkistuksia. 

1.5  Laki ehdokkaan vaalirahoituksesta

Laissa säädetään ehdokkaan vaalirahoituksesta ja sen ilmoittamisesta eduskuntavaaleissa, presidentinvaalissa, kuntavaaleissa ja europarlamenttivaaleissa. Lain tarkoituksena on lisätä vaalirahoituksen avoimuutta ja tietoa ehdokkaiden mahdollisista sidonnaisuuksista sekä rajoittaa ehdokkaiden vaalikampanjoiden kulujen kasvua. Laki sisältää säännökset vaalirahoituksen ilmoitusrekisteristä, johon sisältyvien henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Laissa säädetty henkilötietojen käsittely täyttää tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on vaalirahoituksen avoimuuden varmistaminen. Ilmoitusmenettelyä vaalirahoituksen avoimuuden parantamiseksi on myös pidetty lain säätämisen yhteydessä välttämättömänä keinona selvittää rahoituksen mahdollisesti aiheuttamia sidonnaisuuksia (HE 8/2000 vp; HE 13/2009 vp). Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Vaalirahoitusta koskevan ilmoituksen ja ilmoitusrekisterin sisältämät henkilötiedot luetellaan laissa tyhjentävästi ja henkilötietojen käsittelyä on rajoitettu siihen, mikä on välttämätöntä lain tavoitteen toteuttamiseksi. Säännösten arvioidaan siten olevan 6 artiklan 3 kohdan edellyttämällä tavalla oikeasuhteisia lain päämäärään nähden. 

Laissa säädetään myös ilmoitusrekisterin tietojen julkisuudesta. Perustuslakivaliokunta on mietinnössään arvioinut sääntelyä perustuslain suojaaman yksityiselämän suojan kannalta. Yksittäisen henkilön tietylle ehdokkaalle antaman, laissa säädettävän rajan ylittävän tuen tuleminen julkiseksi koskettaa tämän henkilön perustuslain 10 §:ssä turvattua yksityiselämän suojaa. Perustuslakivaliokunta on kuitenkin katsonut, että tällainen tuen tuleminen julkiseksi ei koske yksityiselämän suojan keskeistä osaa. Ehdotuksella ei myöskään puututtu perustuslain 25 §:ssä turvatun vaalisalaisuuden keskeisiin tekijöihin. (Ks. PeVM 2/2009 vp, s. 4—5; PeVM 8/2000 vp, s. 2/II) 

12 §. Ilmoitusrekisteri ja sen tietojen julkisuus. Pykälässä säädetään valtiontalouden tarkastusviraston ylläpitämästä vaalirahoituksen ilmoitusrekisteristä sekä siihen talletettavien tietojen julkisuudesta. Rekisteriin talletetaan ilmoitukseen, ennakkoilmoitukseen ja jälki-ilmoitukseen sisältyvät tiedot, ehdokkaan laissa säädetyt henkilötiedot, tiedot vaalirahoituksesta ja vaalikampanjan kuluista sekä tieto vakuutuksen antamisesta, jos ehdokas on antanut vakuutuksen siitä, että hänen vaalirahoituksensa ei ole ylittänyt 800 euron rajaa. Jokaisella on oikeus saada rekisteristä jäljennöksiä ja tietoja yleisen tietoverkon kautta. 

Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että siitä ilmenisi nimenomaisesti valtiontalouden tarkastusviraston tehtävä vaalirahoituksen ilmoitusrekisterin rekisterinpitäjänä. Valtiontalouden tarkastusvirastolle kuuluvat vaalirahoituksen ilmoitusrekisterin ylläpidon lisäksi myös muut tietosuoja-asetuksessa tarkoitetut rekisterinpitäjän tehtävät. Lisäksi momentin ruotsinkielistä sanamuotoa muutettaisiin siten, että se vastaa tarkemmin suomenkielistä sanamuotoa. 

1.6  Laki saamelaiskäräjistä

Saamelaiskäräjistä annetun lain säätämisen tavoitteena on ollut turvata saamelaisille alkuperäiskansana saamelaisten kotiseutualueella omaa kieltään ja kulttuuriaan koskeva kulttuuri-itsehallinto, jonka perusteista säädetään lailla. Laissa säädetään saamelaiskäräjistä, joka hoitaa saamelaisten itsehallintoon kuuluvia tehtäviä. Saamelaiskäräjien vaalit ovat oleellinen osa itsehallinnon toteuttamista. Laki sisältää saamelaiskäräjien vaalien toimittamiseen liittyvää henkilötietojen käsittelyä koskevia erityissäännöksiä. Äänioikeus ilmenee vaaliluettelosta, johon sisältyvät henkilötiedot täsmennetään laissa. Laki sisältää myös säännökset vaaliluettelon tietojen käyttötarkoitussidonnaisuudesta ja luovuttamisesta. Lisäksi laissa säädetään ilmoituskortista sekä ehdokasluettelosta. Myös ehdokasluettelon osalta täsmennetään käsiteltävät henkilötiedot. Lain säännöksillä mukautetaan tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti tietosuoja-asetuksen säännöksiä siltä osin kuin on kyse käsiteltävien tietojen tyypeistä ja rekisteröidyistä, käyttötarkoitussidonnaisuudesta ja tietojen luovuttamistarkoituksista sekä käsittelyyn sovellettavista menettelyistä. Laissa tarkoitetun henkilötietojen käsittelyn oikeusperusteena on 6 artiklan 1 kohdan c alakohta. Lain sisältämiä erityissäännöksiä sovelletaan saamelaiskäräjien vaalien toimittamiseen liittyen. Saamelaiskäräjien tehtävien hoitamiseen liittyvään henkilötietojen käsittelyyn sovelletaan samanaikaisesti tietosuoja-asetusta ja tietosuojalakia. 

Saamelaiskäräjistä annetun lain 26 § sisältää yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan vaaliluettelon sisältämien merkintöjen oikaisemista koskevan vaatimuksen tekemiseen. Pykälässä säädetään myös määräajasta, johon mennessä oikaisua voidaan vaatia. Sääntely on osittain päällekkäistä tietosuoja-asetuksen 16 artiklan kanssa siltä osin kuin on kyse rekisteröidyn oikeudesta vaatia itseään koskevien epätarkkojen ja virheellisten henkilötietojen oikaisua. Saamelaiskäräjistä annetun lain säännöksiä sovelletaan erityislakina yksittäisiä vaaleja varten laaditun vaaliluettelon tietojen oikaisuvaatimukseen. Säännöksillä ei kavenneta rekisteröidyn tietosuoja-asetukseen perustuvaa oikeutta, jota voidaan käyttää samanaikaisesti sekä muulloin kuin saamelaiskäräjistä annetussa laissa tarkoitettuna ajankohtana. 

Saamelaiskäräjistä annetun lain 26 a § (itseoikaisu) sisältää yksityiskohtaisempia säännöksiä asetuksen 5 artiklan 1 kohdan d alakohdan mukaisen täsmällisyysvaatimuksen mukauttamiseksi. Rekisterinpitäjällä on aina kyseisen alakohdan mukaan velvollisuus toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Saamelaiskäräjistä annetussa laissa säädetään tarkemmin yksittäisiä vaaleja varten laadittavaan vaaliluetteloon sovellettavasta virheellisen merkinnän korjaamista koskevasta itseoikaisumenettelystä ja määräajasta, johon mennessä muutokset on tehtävä. Pykälän sisältämät säännökset eivät kuitenkaan koske pelkästään rekisteröidyn henkilötietojen käsittelyä, vaikka korjattavat merkinnät koskisivat suureksi osaksi henkilötietoja tai niihin liittyviä tietoja. 

Tietosuoja-asetuksen 79 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hänen henkilötietojensa käsittelyssä ei ole noudatettu tietosuoja-asetusta. Kohta sisältää mahdollisuuden pitää voimassa myös muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja, minkä lisäksi rekisteröidyllä on oikeus käyttää 77 artiklan mukaista oikeuttaan. Saamelaiskäräjistä annetun lain 26 b §:ssä säädetään muutoksenhausta lain 26 §:ssä tarkoitettuun saamelaiskäräjien hallituksen päätökseen ja 26 a §:ssä tarkoitettuun vaalilautakunnan päätökseen. Rekisteröity voisi halutessaan käyttää vaihtoehtoisesti suoraan tietosuoja-asetukseen perustuvia oikeussuojakeinoja silloin, kun kyse on epätarkkojen tai virheellisten henkilötietojen oikaisusta tai poistamisesta. 

Saamelaiskäräjistä annetun lain sisältämien henkilötietojen käsittelyä ja muutoksenhakua koskevien säännösten voidaan katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on äänioikeuden käyttämisen turvaaminen saamelaiskäräjien vaaleissa. Lain henkilötietojen käsittelyä koskevien säännösten arvioidaan myös olevan oikeasuhteisia niillä tavoiteltuun oikeutettuun päämäärään nähden. 

4 a §. Hallinto-oikeudellisten säädösten soveltaminen. Pykälän sisältämä viittaus henkilötietolakiin ehdotetaan poistettavaksi. Pykälä koskee otsikkonsa perusteella hallinto-oikeudellisia säädöksiä, eikä viittausta olisi tarpeen korvata viittauksella tietosuoja-asetukseen ja tietosuojalakiin. 

23 §. Vaaliluettelo. Vaalilautakunnan tehtävänä on laatia saamelaiskäräjien vaalissa äänioikeutetuista vaaliluettelo, johon merkitään pykälässä täsmennetyt henkilötiedot. Pykälän 1 momentissa ehdotetaan täsmennettäväksi, että vaalilautakunta on vaaliluettelon rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Momenttia tarkistettaisiin lisäksi kielellisesti. 

27 a §. Ehdokasluettelo. Pykälän 1 momentin mukaan vaalilautakunnan tehtävänä on laatia vaalikelpoisista ehdokkaista ehdokasluettelo. Momenttia ehdotetaan tarkistettavaksi siten, että täsmennetään vaalilautakunnan tehtävä ehdokasluettelon rekisterinpitäjänä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. 

1.7  Yhdistyslaki

Yhdistyslakia sovelletaan aatteelliseen yhdistystoimintaan riippumatta siitä, harjoitetaanko sitä rekisteröidyn yhdistyksen muodossa vai rekisteröimättömänä. Lain mukaan yhdistyksen saa perustaa aatteellisen tarkoituksen yhteistä toteuttamista varten. Tarkoitus ei saa olla lain tai hyvien tapojen vastainen. Laki ei koske taloudellisia yhteisöjä, joissa tarkoituksena on taloudellisen ansion hankkiminen jäsenille tai jotka muuten ovat pääasiassa taloudellisia. Yhdistyslain säännöksistä suurin osa koskee rekisteröityneitä yhdistyksiä, mutta osaa säännöksistä sovelletaan myös rekisteröitymättömiin yhdistyksiin ja uskonnollisiin yhdyskuntiin. Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Laki sisältää myös henkilötietojen käsittelyä koskevaa erityissääntelyä erityisesti siltä osin kuin on kyse jäsenluettelon ylläpitämistä koskevasta vaatimuksesta ja yhdistyksen rekisteröintiin liittyvästä henkilötietojen käsittelystä sekä henkilötietojen luovuttamisesta. Henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Säännösten arvioidaan täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämällä tavalla yleisen edun mukaisen tavoitteen, joka on sen varmistaminen, että yhdistystoiminta täyttää sille laissa säädetyt vaatimukset. Lain sisältämän rekisterisääntelyn voidaan katsoa rajoittuvan siihen, mikä on välttämätöntä lain päämäärän toteuttamiseksi. Toisaalta siltä osin kuin on kyse yhdistysrekisteristä, rekisterisääntelyä edellyttää nykyisellään myös Euroopan unionin rahanpesun ja terrorismin rahoittamisen torjuntaa koskeva lainsäädäntö, joka on osittain pantu Suomessa täytäntöön yhdistyslain säännöksillä. 

Siltä osin kuin on mahdollisesti kyse yhdistyksen toimintaan liittyvistä erityisiin henkilötietoryhmiin kuuluvista tiedoista, jotka voisivat olla erityisesti poliittisen mielipiteen, uskonnollisen tai filosofisen vakaumuksen tai ammattiliiton jäsenyyden ilmaisevat tiedot, henkilötietojen käsittely olisi sallittua 9 artiklan 2 kohdan d alakohdan mukaisesti. Kyseisen alakohdan mukaan 9 artiklan 1 kohdan käsittelykieltoa ei sovelleta, jos käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin. Näiden tietojen käsittelyä koskisivat kuitenkin kyseisen kohdan mukaisesti vaatimukset siitä, että käsittely koskee ainoastaan yhdistyksen jäseniä tai entisiä jäseniä taikka henkilöitä, joilla on kyseiseen yhdistykseen säännölliset, yhdistyksen tarkoitukseen liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta. Erityisiin henkilötietoryhmiin liittyviin suojatoimiin sovelletaan tietosuojalain 6 §:n 1 momentin 2 kohdan mukaisesti kyseisen pykälän 2 momentissa säädettyjä suojatoimia. 

11 §. Jäsenluettelo. Lain 10 §:n mukaan yhdistyksen jäsenet voivat olla joko yksityishenkilöitä tai muita yhteisöjä ja säätiöitä. Siltä osin kuin 11 §:ssä säädetyssä jäsenluettelossa on luonnollisia henkilöitä, siihen liittyy henkilötietojen käsittelyä. Voimassa olevan pykälän mukaan yhdistyksen hallituksen on pidettävä jäsenluetteloa. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka. Laki ei edellytä muita henkilötietoja merkittäväksi luetteloon, mutta yhdistykset ovat voineet esimerkiksi yhdistyksen säännöissä päättää myös muiden henkilötietojen merkitsemisestä. Käytännössä luettelon pitämisestä voi huolehtia hallituksen jäsen tai yhdistyksen toimihenkilö yksin, mutta hallituksella on tällöinkin vastuu siitä, että luetteloa pidetään asianmukaisesti. Tämä myös tarkoittaa sitä, että hallituksen jäsenet yhdessä ovat vastanneet henkilötietolain mukaisista rekisterinpitäjälle kuuluvista velvoitteista, mukaan lukien velvollisuudesta varmistaa, että jäsenluettelon tiedot ovat ajantasaisia. 

Pykälän 1 momentista ehdotetaan poistettavaksi viittaus hallituksen velvollisuuteen pitää jäsenluetteloa. Yhdistyslain 35 §:n mukainen velvollisuus hallituksen nimeämiseen ei koske lain viittaussäännösten mukaan rekisteröimättömiä yhdistyksiä. Rekisteröimättömillä yhdistyksilläkin on kuitenkin velvollisuus ylläpitää jäsenistään luetteloa 11 §:n mukaisesti. 

Pykälän 2 momenttia ehdotetaan tarkistettavaksi siten, että vanhentunut informatiivinen viittaus henkilörekisterilakiin korvataan viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Momentin viimeinen virke ehdotetaan poistettavaksi tarpeettomana huomioiden ehdotettavan uuden momentin. Lisäksi momenttiin ehdotetaan lisättäväksi virke, jonka mukaan yhdistyksen jäsenelle voitaisiin luovuttaa muita kuin 1 momentissa mainittuja tietoja vain erityisestä syystä silloin, kun yhdistys on kerännyt jäsenistään muitakin tietoja. Samalla momentin ensimmäisessä virkkeessä korvattaisiin sana ”tarkoitettuihin” sanalla ”mainittuihin”. Näillä muutoksilla selkiytettäisiin sääntelyä ja vahvistettaisiin yhdistyksen jäsenten tietosuojaa. 

Pykälän 2 momentin mukainen yhdistyksen jäsenen oikeus tutustua 1 momentissa tarkoitettuihin tietoihin kohdistuu kaikkia yhdistyksen jäseniä koskeviin tietoihin, ei pelkästään rekisteröidyn omiin henkilötietoihin. Momentti on erillinen tietosuoja-asetuksen 15 artiklan mukaisesta rekisteröidyn oikeudesta saada pääsy henkilötietoihin, eikä kavenna kyseistä rekisteröidyn oikeutta. Rekisteröidyllä on omien henkilötietojensa osalta käytettävissään tietosuoja-asetuksen mukaiset oikeudet myös muilta osin. 

Yhdistyksen hallitukselle voimassa olevassa pykälässä säädetty velvollisuus vastata jäsenluettelon ylläpitämisestä siirrettäisiin uuteen 3 momenttiin. Momentissa tarkennettaisiin, että jäsenluettelon sisältämien henkilötietojen rekisterinpitäjä on yhdistys. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Rekisterinpitäjälle kuuluvien tehtävien hoitamisesta vastaisi yhdistyksessä käytännössä rekisteröidyn yhdistyksen hallitus. Jos rekisteröimättömällä yhdistyksellä ei ole hallitusta, rekisterinpitäjän tehtävien hoitamisesta vastaisi yhdistyksen puheenjohtaja tai muu yhdistyksen asioita hoitava henkilö. Rekisterinpitäjän tehtävät ja velvollisuudet määräytyisivät yhdistysten osalta tietosuoja-asetuksen ja tietosuojalain mukaisesti ilman eri viittausta sovellettavaan yleissäädökseen. Ehdotettu uusi momentti kattaisi myös 2 momentista poistettavan, hallitukselle kuuluvan tehtävän päättää tietojen luovuttamisesta. Rekisteröimättömien yhdistysten osalta päätöksestä vastaisi yhdistyksen tai sen hallituksen puheenjohtaja tai muu sen asioita hoitava, huomioiden, että rekisteröimättömällä yhdistyksellä ei välttämättä ole hallitusta. 

Ehdotetuilla yhdistyksen jäsenluettelon rekisterinpitoa koskevilla säännöksillä on myös pyritty välttämään sekaannusta yhdistysrekisterin rekisterinpitäjään. Yhdistysrekisterin rekisterinpitäjä on 47 §:n 1 momentin mukaisesti Patentti- ja rekisterihallitus. Myös yhdistysrekisteriin sovelletaan tietosuoja-asetusta ja tietosuojalakia siltä osin kuin rekisteriin sisältyy henkilötietoja. 

47 §. Yhdistysrekisteri ja rekisterinpitäjä. Pykälän 1 momenttiin tehtäisiin tekninen sanamuodon tarkistus, jonka mukaan yhdistysrekisterin rekisterinpitäjä on Patentti- ja rekisterihallitus. Muutoksen tarkoituksena olisi yhtenäistää rekisterinpitäjän osalta lainsäädännössä käytettyä sanamuotoa. Pykälän otsikko muutettaisiin vastaamaan pykälän sisältöä. 

1.8  Säätiölaki

Säätiölakia sovelletaan kaikkiin sen mukaan Suomessa rekisteröityihin säätiöihin, jollei säätiölaissa tai muualla laissa säädetä toisin. Lain soveltamisalaan kuuluvilla säätiöillä on oltava hyödyllinen tarkoitus ja säätiö tukee tai harjoittaa tarkoitustaan edistävää toimintaa. Tarkoituksena ei voi olla liiketoiminnan harjoittaminen eikä taloudellisen edun tuottaminen säätiön lähipiiriin kuuluvalle, jollei kyse ole laissa tarkoitetusta tukisäätiöstä tai sukusäätiöstä. Säätiölaissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan ja säätiöiden rekisteröintiin ja valvontaan liittyvien viranomaistehtävien käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Laki sisältää täydentävää erityissääntelyä siltä osin kuin kyse on rekisteröityjen henkilöiden tai käsiteltävien henkilötietojen ryhmistä, säätiörekisteristä sekä henkilötietojen luovuttamisesta. Henkilötietojen käsittelyä liittyy erityisesti säätiön perustamiskirjaan ja säätiörekisteriin, minkä lisäksi sitä voi kytkeytyä erilaisiin tiedonluovutustilanteisiin. Nämä säännökset rajoittuvat siihen, mikä on välttämätöntä laissa säädetyn viranomaisvalvonnan toteuttamiseksi, ja sääntelyn arvioidaan siten täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen ja oikeasuhteisuuden vaatimuksen. Toisaalta siltä osin kuin on kyse säätiörekisteristä, rekisterisääntelyä edellyttää nykyisellään myös Euroopan unionin rahanpesun ja terrorismin rahoittamisen torjuntaa koskeva lainsäädäntö, joka on osittain pantu Suomessa täytäntöön säätiölain säännöksillä. 

13 luku Säätiörekisteri

1 §.Säätiörekisteri ja rekisterinpitäjä. Pykälän otsikkoa ehdotetaan tarkistettavaksi siten, että rekisteriviranomaisen sijasta käytetään tietosuojalainsäädännön mukaista termiä ”rekisterinpitäjä”. Vastaava muutos ehdotetaan tehtäväksi pykälän 2 momenttiin. Patentti- ja rekisterihallitus olisi säätiörekisterin sisältämien henkilötietojen rekisterinpitäjä. Säätiörekisterin tietosisältöön kuuluu lisäksi muita säätiölain mukaisesti rekisteriin ilmoitettavia tietoja. Momentissa ehdotetaan säilytettäväksi myös viittaus ilmaisuun ”rekisteriviranomainen”, huomioiden Patentti- ja rekisterihallituksen roolin säätiöiden valvonnassa. Rekisterin tietosisältö henkilötietojen osalta määräytyy luvun 3 ja 4 §:n mukaisesti. Rekisteröitävät henkilötiedot voivat liittyä säätiön hallituksen jäseniin ja varajäseniin, mahdolliseen toimitusjohtajaan tai toimitusjohtajan sijaiseen sekä mahdollisen hallintoneuvoston puheenjohtajaan, jäseniin ja varajäseniin, tilintarkastajiin sekä mahdollisiin henkilöihin, joille on annettu oikeus edustaa säätiötä. 

1.9  Maakaari

Kiinteistön kauppa on lain mukaan tehtävä määrämuodossa. Maakaari sisältää säännökset, jotka koskevat kaikkia kiinteistön kauppoja. Kiinteistön omistusoikeuden kirjaamiseen (lainhuudatus) liittyy oikeusvaikutuksia, jotka turvaavat kiinteistön luovutuksensaajaa ja hänen sopimuskumppaneitaan. Omistusoikeuden ja muiden kiinteistönkauppaan liittyvien asioiden kirjaamiseen liittyvän henkilötietojen käsittelyn katsotaan siten täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetyn yleisen edun mukaisen tavoitteen. 

Maakaaren 5 luvussa säädetään kiinteistönkauppaan liittyvistä kirjaamisasioista, joita ovat lainhuudatus, erityisten oikeuksien kirjaaminen sekä kiinnitys. Kirjaamisasioista pidetään lainhuuto- ja kiinnitysrekisteriä, johon tehdään myös merkintöjä muista kiinteistöön kohdistuvista oikeuksista ja rasituksista. Lainhuuto- ja kiinnitysrekisteristä säädetään lain 7 luvussa. Lisäksi henkilötietojen käsittelyyn liittyviä säännöksiä sisältyy lain 9 a lukuun, jossa säädetään sähköisistä asiointijärjestelmistä ja niiden käyttämisestä. Maakaaressa säädettyihin asioihin liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Kyseisen kohdan sallimaa kansallista liikkumavaraa antaa tietosuoja-asetusta täydentävää kansallista sääntelyä käytetään maakaaressa erityisesti rekisteröitävien tietojen ja tietojen luovuttamisen osalta. Maakaareen sisältyvät säännökset henkilötietojen käsittelystä rajoittuvat siihen, mikä on välttämätöntä lain yleisen edun mukaisen tavoitteen varmistamiseksi, ja täyttävät siten tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen oikeasuhteisuuden vaatimuksen. 

Maakaaren 8 luvussa säädetään asiavirheen ja teknisen virheen korjaamisesta sekä tällaisten virheiden korjaamiseen sovellettavasta menettelystä. Asiavirheen korjaamisella tarkoitetaan selvästi virheelliseen tai puutteelliseen selvitykseen tai ilmeisen väärään lain soveltamiseen perustuvan ratkaisun poistamista ja uudelleen ratkaisemista. Teknisen virheen korjaamisella tarkoitetaan ilmeisen kirjoitus- tai laskuvirheen, teknisestä viasta aiheutuneen virheen taikka muun näihin verrattavissa olevan virheen korjaamista. Luvun säännöksissä on siten kyse muusta kuin tietosuoja-asetuksessa tarkoitetussa epätarkkojen tai virheellisten henkilötietojen oikaisemisessa tai poistamisessa eivätkä ne ole päällekkäisiä tietosuoja-asetuksen säännösten kanssa. Tietosuoja-asetuksen mukaisesti rekisterinpitäjällä on tietosuoja-asetuksen nojalla velvollisuus oikaista tai poistaa vanhentuneet, epätarkat tai virheelliset henkilötiedot joko 5 artiklan 1 kohdan d alakohdan perusteella oma-aloitteisesti tai rekisteröidyn 16 tai 17 artiklan mukaisesta pyynnöstä. 

7 luku Lainhuuto- ja kiinnitysrekisteri

1 §. Lainhuuto- ja kiinnitysrekisteriin merkittävä tiedot. Pykälän 3 momentissa ehdotetaan poistettavaksi henkilötietolakia koskeva informatiivinen viittaus, jonka mukaan lainhuuto- ja kiinnitysrekisterin henkilötietojen käsittelyyn sovelletaan henkilötietolakia, jollei tässä laissa toisin säädetä. Tietosuoja-asetusta ja tietosuojalakia sovellettaisiin ilman erillistä viittausta. Maakaaren 8 luvussa säädetään virheen korjaamisesta. Sääntely koskee kuitenkin asiavirheen korjaamista (1 §) ja teknisen virheen korjaamista (2 §) eikä ole siten päällekkäistä henkilötietojen käsittelyä koskevan sääntelyn kanssa. Maakaari ei myöskään muutoin sisällä yleisestä tietosuojalainsäädännöstä poikkeavia henkilötietojen käsittelyä koskevia säännöksiä. 

1 a §. Lainhuuto- ja kiinnitysrekisterin käyttötarkoitus. Pykälän 2 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. 

9 a luku Sähköiset asiointijärjestelmät ja niiden käyttäminen

2 §. Tietojen käsittely asiointijärjestelmässä. Lain 5 luvun 3 §:n mukaan maakaaressa tarkoitettuja sähköisiä asiointijärjestelmiä ovat sähköinen kaupankäyntijärjestelmä ja sähköinen kiinnitysjärjestelmä. Asiointijärjestelmät ovat valtakunnallisia. Lain 9 a luku sisältää tarkemmat säännökset sähköisistä asiointijärjestelmistä ja niiden käyttämisestä. Luvun 2 §:n 2 momentissa ehdotetaan poistettavaksi vanhentunut viittaus henkilötietolakiin. Tietosuoja-asetusta ja tietosuojalakia sovellettaisiin ilman nimenomaista viittausta, vastaavasti kuin lainhuuto- ja kiinteistörekisterin osalta. Maakaari ei myöskään sisällä tältä osin yleisestä tietosuojalainsäädännöstä poikkeavia säännöksiä. Lisäksi 2 momentin toisen virkkeen sanamuotoa tarkistettaisiin siten, että sen mukaan sähköisessä asiointijärjestelmässä käsiteltävien henkilötietojen rekisterinpitäjänä olisi Maanmittauslaitos. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. 

3 §. Valtion vahingonkorvausvastuu asiointijärjestelmän virheellisestä tai puutteellisesta toiminnasta. Valtion vahingonkorvausvastuussa on kyse eri asiasta kuin rekisterinpitäjän tietojärjestelmien toimivuutta koskevassa vastuussa tietosuoja-asetuksen nojalla. Pykälän otsikkoa ehdotetaan tarkistettavaksi siten, että se ei viittaa tietosuoja-asetuksen mukaiseen rekisterinpitäjän vastuuseen. Lisäksi pykälän 3 momenttiin ehdotetaan lisättäväksi virke, jonka mukaan henkilötietojen käsittelystä aiheutuneeseen vahinkoon sovelletaan, mitä tietosuoja-asetuksessa säädetään. Momentilla selkiytettäisiin maakaaren ja tietosuoja-asetuksen välistä suhdetta vahingonkorvausvastuun määräytymisen osalta. Voimassa olevasta momentista poistettaisiin lainsäädäntöteknisenä tarkistuksena sanat ”soveltuvin osin”. 

1.10  Laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä

Laissa eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä säädetään viranomaisen rekisteröinti- ja valvontatehtävästä, joka kohdistuu sellaisiin kuluttajaluottoja myöntäviin ja vertaislainoja välittäviin toimijoihin, jotka eivät kuulu Finanssivalvonnan valvonnan piiriin. Näitä ovat pääasiassa ns. pikaluottoyritykset. Tehtävässä on kyse oikeusharkintaisista, ennakkovalvonnallisista lupa- ja rekisteröintitehtävistä sekä toimialalla toimivien toiminnan lainmukaisuuden valvonnasta. Valvontatehtävä on keskitetty Etelä-Suomen aluehallintovirastoon. 

Luotonantaja- ja vertaislainanvälittäjärekisteriin sisältyvien tietojen käsittelyyn sovelletaan tietosuoja-asetusta ja tietosuojalakia. Rekisteriin talletettavat tiedot koskevat elinkeinonharjoittajia, mutta koska elinkeinonharjoittaja voi olla joissakin tapauksissa luonnollinen henkilö, niihin sisältyy myös yksityisten elinkeinonharjoittajien henkilötietoja. Nämä henkilötiedot ovat tarpeen yksityisten elinkeinonharjoittajien yksilöimiseksi. Lisäksi rekisteriin talletetaan kaikkien rekisteröitävien yritysten osalta yritysten vastuuhenkilöiden sekä rekisteri-ilmoitusten tekijöiden henkilötietoja. Rekisteriin ei talleteta tietosuoja-asetuksen 9 artiklan 1 kohdassa tai 10 artiklassa tarkoitettuja henkilötietoja eikä muita arkaluonteisiksi katsottavia henkilötietoja. Rekisterinpitäjä on Etelä-Suomen aluehallintovirasto ja sen suorittaman henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Henkilötietojen käsittely on laissa rajattu siihen, mikä on tarpeen viranomaisvalvonnan kannalta. 

3 §. Luotonantaja- ja vertaislainanvälittäjärekisteri ja rekisteri-ilmoitus. Pykälän 1 momentissa säädetään luotonantaja- ja vertaislainanvälittäjärekisteristä. Tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohdan mukaisten henkilötietojen käsittelyn lainmukaisuutta ja käyttötarkoitussidonnaisuutta koskevien periaatteiden huomioimiseksi momentissa ehdotetaan täsmennettäväksi rekisterin käyttötarkoitus. Samalla täsmennettäisiin momentin sanamuotoa rekisterinpitäjän osalta. 

5 §. Luotettavuus. Pykälässä säädetään tekijöistä, joiden perusteella rekisteröintiä koskevan ilmoituksen tekijää ei pidetä luotettavana. Ilmoituksen tekijää ei pidetä luotettavana muun muassa, jos hänet on lainvoiman saaneella tuomiolla viiden arviota edeltäneen vuoden aikana tuomittu vankeusrangaistukseen tai kolmen arviota edeltäneen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan hänen olevan ilmeisen sopimaton harjoittamaan kuluttajaluoton tarjoamista tai vertaislainan välitystä. Näiden seikkojen arvioiminen tarkoittaa tietosuoja-asetuksen 10 artiklassa tarkoitettujen tietojen käsittelyä. Käsittelystä ei kuitenkaan nimenomaisesti ole säädetty laissa. Tietosuoja-asetus ei välttämättä edellytä laissa säätämistä, kun kyse on viranomaisen valvonnassa tapahtuvasta 10 artiklassa tarkoitettujen tietojen käsittelystä. Siinä tarkoitettuja henkilötietoja voidaan kuitenkin pitää perustuslakivaliokunnan tulkintakäytännön valossa arkaluonteisina henkilötietoina, joiden käsittelystä olisi perusteltua säätää laissa täsmällisesti ja tarkkarajaisesti. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan aluehallintovirastolla olisi nimenomaisesti oikeus 1 momentissa tarkoitetun luotettavuuden selvittämiseksi käsitellä vankeusrangaistusta tai sakkorangaistusta koskevia tietoja.  

7 §. Rekisteriin merkittävät tiedot ja muutoksista ilmoittaminen. Pykälässä säädetään luotonantaja- ja vertaislainanvälittäjärekisterin tietosisällöstä. Pykälän 1 momentin 9 kohdan mukaan rekisteriin merkitään rekisteristä poistamisen syy ja ajankohta. Lain 18 §:n mukaan aluehallintoviraston on poistettava luotonantaja tai vertaislainanvälittäjä luotonantaja- ja vertaislainanvälittäjärekisteristä, muun muassa myös silloin, kun lain 4 §:n 1 momentin 3 kohdassa rekisteröinnin edellytykseksi säädetty luotettavuus ei enää täyty. Vaikka aluehallintovirastolla on tarve käsitellä tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja osana luotettavuuden selvittämistä, tietoja ei olisi tarpeen tallettaa rekisteriin. Pykälän 2 momenttiin ehdotetaan lisättäväksi nimenomainen säännös, jonka mukaan tietoa rikosoikeudellisesta seuraamuksesta ei merkitä rekisteriin. Näin 10 artiklassa tarkoitettujen henkilötietojen käsittelyä rajoitettaisiin siihen, mikä on välttämätöntä luotettavuuden selvittämiseksi. 

8 §. Tietojen luovuttaminen. Pykälässä ehdotetaan tarkistettavaksi vanhentunut viittaus henkilötietolain 13 §:ään, joka koskee henkilötunnuksen käsittelyä. Sen korvaavat henkilötunnuksen käsittelyä koskevat säännökset sisältyvät tietosuojalain 29 §:ään. 

Voimassa olevassa pykälässä mahdollistetaan myös henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Perustuslakivaliokunta on pitänyt henkilötietojen julkistamista perustuslain puitteissa mahdollisena toteuttaa julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 2/2017 vp, s. 7, PeVL 65/2014 vp, s. 4/II—5/I, PeVL 32/2008 vp s. 2/I—3/II). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että internetiin sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina. (PeVL 2/2017 vp, s. 7, PeVL 32/2008 vp, s. 3/I) Pykälään ehdotetaan lisättäväksi virke, jonka mukaan yleisen tietoverkon kautta tapahtuvan tiedonluovutuksen edellytyksenä olisi, että henkilötietoja voidaan hakea vain yksittäisinä hakuina. 

1.11  Ulosottokaari

Ulosottokaarta sovelletaan riita- tai rikosasiassa asetetun yksityisoikeudellisen, tuomioon tai muuhun ulosottokaaressa tarkoitettuun ulosottoperusteeseen sisältyvän velvoitteen täytäntöönpanoon sekä hallintolainkäytössä ja hallintomenettelyssä asetetun velvoitteen täytäntöönpanoon, jos siitä on ulosottokaaressa tarkoitettu ulosottoperuste ja täytäntöönpano edellyttää ulosottokaaren mukaisia toimia. Ulosottokaari sisältää myös kyseisiin toimenpiteisiin liittyviä henkilötietojen käsittelyä koskevia säännöksiä, mukaan lukien ulosoton tietojärjestelmää ja ulosottorekisteriä koskevat säännökset ja tietojen luovuttamista koskevat säännökset. Laissa tarkoitettu henkilötietojen käsittely kuuluu ulosoton perusteesta riippumatta hallinnollisena menettelynä tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista liikkumavaraa käytetään rekisterin tietosisällön, tietojen poistamisen ja henkilötietojen luovuttamisen osalta, minkä lisäksi sääntelyä ehdotetaan tarkennettavaksi erityisiin henkilötietoryhmiin kuuluvien tietojen tai muiden arkaluonteisten henkilötietojen osalta. Henkilötietojen luovuttamista koskevia säännöksiä tarkistettaisiin samalla perustuslakivaliokunnan tulkintakäytännön huomioimiseksi. 

1 luku Yleiset säännökset

2 §. Suhde muuhun lainsäädäntöön. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, joka olisi informatiivinen säännös. Momentissa täsmennettäisiin ulosottoasian yhteydessä suoritettavaan henkilötietojen käsittelyyn sovellettavat yleissäädökset siitä syystä, että ulosoton perusteena voi olla myös rikosasia. Ulosottoviranomaiset voivat myös joissakin EU:n jäsenvaltioissa kuulua rikosasioiden tietosuojadirektiivissä tarkoitettuihin toimivaltaisiin viranomaisiin. Ulosottokaaressa tarkoitettuun viranomaiseen ehdotetaan kuitenkin sovellettavaksi kaikissa tilanteissa tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. 

24 §. Ulosoton tietojärjestelmä ja ulosottorekisteri. Pykälän 1 momentista ehdotetaan poistettavaksi toinen virke. Rekisterinpitäjästä säädettäisiin luvun 25 §:ssä ja momentissa tarkoitettu tietojärjestelmän ylläpitäminen ja kehittäminen kuuluisivat rekisterinpitäjän tehtäviin suoraan tietosuoja-asetuksen nojalla sen mukaisesti, mitä 25 §:ssä ehdotetaan säädettäväksi. 

25 §. Rekisterinpitäjä. Voimassa olevassa pykälässä säädetään ulosottolaitokselle kuuluvasta rekisterinpitäjän tehtävästä. Pykälästä ehdotetaan poistettavaksi toinen virke, jonka mukaan ulosottolaitoksen keskushallinto huolehtii rekisterin yleisestä ylläpidosta sekä antaa määräyksiä tietojen teknisestä tallettamis- ja käsittelytavasta. Keskushallinto on ulosottolaitoksen osa ja ulosottolaitoksella on rekisterinpitäjänä mahdollisuus ilman lain säännöstä osoittaa sille rekisterinpitäjälle kuuluvia tehtäviä. Keskushallinnon virkamiehet sekä ulosottomiehet käsittelevät henkilötietoja rekisterinpitäjän antamien ohjeiden mukaisesti suoraan tietosuoja-asetuksen nojalla. Säilytettävän ensimmäisen virkkeen suomenkielistä sanamuotoa tarkistettaisiin siten, että virkkeessä käytettäisiin nimenomaisesti termiä ”rekisterinpitäjä”. Muutos ei vaikuta ruotsinkieliseen sanamuotoon. 

26 §. Rekisterin tietosisältö. Pykälän 1 momentin 3 kohdan sanamuotoa ehdotetaan tarkistettavaksi sen huomioimiseksi, että henkilötietolaki on kumottu. Lisäksi laissa tarkoitettujen sosiaalihuollon etuuksien osalta ehdotetaan korkeampi tallettamiskynnys siten, että rekisteriin saisi tallettaa ulosmittaukseen vaikuttavat välttämättömät tiedot sosiaalihuollon etuuksista (erityistiedot). Vaikka tiedot eivät kuulu tietosuoja-asetuksen 9 artiklan 1 kohdassa eikä 10 artiklassa tarkoitettuihin tietoihin, ne ovat kumotun henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja, joihin voidaan siten edelleen soveltaa perustuslakivaliokunnan tulkintakäytännöstä ilmeneviä lailla säätämisen vaatimukseen liittyviä periaatteita. 

Momenttiin ehdotetaan lisättäväksi uusi 4 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa sellaisia asianosaiselta tai sivulliselta saatuja ja ulosottoviranomaisen muulla tavoin hankkimia velallisen terveydentilaa tai vammaisuutta koskevia tietoja, jotka ovat välttämättömiä vapaakuukauden antamiseksi tai palkan ulosmittauksen rajoittamiseksi olennaisesti heikentyneen maksukyvyn perusteella, tai joiden tallettaminen on muutoin velallisen edun vuoksi välttämätöntä. Momenttiin ehdotetaan lisättäväksi myös uusi 5 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa viranomaiselta saatuja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja, joiden tallettaminen on välttämätöntä kyseessä olevaan rikosasiaan liittyvän ulosottoviranomaisen tehtävän hoitamiseksi. Tällaisten henkilötietojen käsittelyn edellytyksistä säädetään tietosuoja-asetuksen 10 artiklassa ja tietosuojalain 7 §:ssä. Sovellettavista suojatoimista säädetään tietosuojalain 6 §:n 2 momentissa. Tietosuoja-asetus ei välttämättä edellytä laissa säätämistä siltä osin kuin on kyse 10 artiklassa tarkoitetuista henkilötiedoista, kun käsittely tapahtuu viranomaisen valvonnassa. Niitä pidetään kuitenkin perustuslakivaliokunnan tulkintakäytännöstä ilmenevinä arkaluonteisina henkilötietoina, jolloin käsittelyoikeudesta on perusteltua säätää laissa erikseen. 

Lisäksi momenttiin ehdotetaan lisättäväksi uusi 6 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa tietoja ulosottoasian yhteydessä ilmenneestä rekisteröidyn uhkailevasta tai väkivaltaisesta käytöksestä taikka muusta turvallisuuden vaarantavasta seikasta siltä osin kuin tietojen tallettaminen on välttämätöntä ulosottomiehen työturvallisuuden varmistamiseksi (työturvallisuustiedot). Tällaisten tietojen käsittelystä ei säädetä tietosuoja-asetuksen 9 tai 10 artiklassa, mutta niitä olisi pidettävä perustuslakivaliokunnan tulkintakäytännöstä ilmenevinä arkaluonteisina henkilötietoina (ks. esim. PeVL 51/2018 vp, s. 11—12 ja 13). Tallettamiselta edellytettäisiin, että tiedot ovat välttämättömiä, ja niiden olisi liityttävä sellaiseen rekisteröidyn käyttäytymiseen, jolla on yhteys ulosottomiehen toimivaltuuksien käyttämiseen kyseistä rekisteröityä kohtaan. Uhkailevan tai väkivaltaisen käytöksen ohella muu turvallisuuden vaarantava seikka voisi olla esimerkiksi tieto huumausaineiden käyttövälineistä asunnossa, mikä paljastaisi henkilön yksityiselämää koskevia olosuhteita. 

27 §. Oikeus käsitellä tietoja. Pykälän 1 momentti ehdotetaan kumottavaksi. Sen sisältämä informatiivinen viittaus huomioitaisiin tarkistettuna luvun 2 §:ssä. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä huomioitaisiin ulosottolaitoksen virkamiesten tarve eräissä tilanteissa käsitellä velallisen terveydentilaa tai vammaisuutta koskevia tietoja ja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja sekä työturvallisuustietoja. Erityistietojen korkeamman käsittelykynnyksen huomioimiseksi momenttia on jo aiemmin muutettu lailla (778/2019). Sama käsittelykynnys koskisi myös uusia henkilötietoryhmiä. 

28 §. Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Voimassa olevassa pykälässä säädetään rekisteröidyn tarkastusoikeuden lykkäämisestä sellaisissa tilanteissa, joissa rekisteröidyn tarkastusoikeus tuntuvasti vaikeuttaisi täytäntöönpanoa. Pykälään ehdotetaan tarkistuksia sen huomioimiseksi, mitä tietosuoja-asetuksessa ja tietosuojalaissa säädetään. Voimassa olevan pykälän otsikko – Rekisteröidyn tarkastusoikeus – ehdotetaan muutettavaksi siten, että otsikko vastaa pykälän muutettua sisältöä ja tietosuojalain 34 §:n otsikkoa. 

Tietosuoja-asetuksen 23 artiklan mukaisen liikkumavaran puitteissa rekisteröidyn 15 artiklan mukaista pääsyä hänestä kerättyihin tietoihin voidaan lainsäädäntötoimenpiteellä rajoittaa, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja –vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide jonkin 23 artiklan 1 kohdan alakohdassa tarkoitetun tavoitteen takaamiseksi. Voimassa olevan ulosottokaaren 1 luvun 28 §:n mukaisen rekisteröidyn tarkastusoikeuden lykkäämisen perusteena voi olla lähinnä kyseisen kohdan d alakohdassa tarkoitettu rikosoikeudellisten seuraamusten täytäntöönpano tai j alakohdassa tarkoitettu yksityisoikeudellisten kanteiden (civil law claims) täytäntöönpano. Tämä rajoitustoimi voitaisiin säilyttää, edellyttäen, että lainsäädäntötoimeen sisältyy tarpeen mukaan erityiset säännökset, jotka koskevat ainakin 23 artiklan 2 kohdassa mainittuja seikkoja. 

Pykälän otsikko muutettaisiin muotoon ”Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin”. Pykälän 1 momentissa säädettäisiin poikkeuksesta tietosuoja-asetuksen 15 artiklan mukaiseen rekisteröidyn tietoihin pääsyyn. Voimassa olevaa säännöstä vastaavasti rekisteröidyn oikeutta tutustua hänestä kerättyihin voitaisiin lykätä, kunnes tarvittavat ulosmittaukset tai muut täytäntöönpanotoimet on suoritettu ja omaisuus on otettu ulosottomiehen haltuun, enintään kuitenkin kuusi kuukautta tietoihin pääsyä koskevan pyynnön esittämisestä. Momentista poistettaisiin kuitenkin viittaus tarkastusoikeutta koskevaan pyyntöön. Lisäksi voimassa olevaa lakia vastaavasti edellytettäisiin, että tietoihin tutustuminen voisi tuntuvasti vaikeuttaa täytäntöönpanoa, ja että lykkäys rajoitetaan siihen, mikä on tarpeellista. Tutustumisoikeuden lykkäämisellä pyritään siihen, ettei velallinen voisi toimillaan tehdä täytäntöönpanoa tyhjäksi. Kyse on turvaamistoimesta, jolla pyritään estämään epäasianmukaisia ulosoton välttelykeinoja erityisesti monivaiheista selvittelyä vaativissa ja suuria saatavia koskevissa ulosottoasioissa, joissa ulosottoviranomaisen toiminta voisi vaarantua, jos velalliset voisivat seurata avoimesti ulosottoviranomaisen toimenpiteitä. Tällaisia toimenpiteitä voisivat olla esimerkiksi ulosottomiehen pankki- tai muut sivullistiedustelut. Ehdotettu momentti olisi erityissäännös suhteessa tietosuojalain 34 §:n 1 momenttiin ja sitä sovellettaisiin kyseisen tietosuojalain momentin sijasta. Tietosuojalain säännöksestä poiketen siinä ei rajattaisi tutustumisoikeutta kokonaan pois, vaan sitä ainoastaan lykättäisiin. 

Pykälän 2 momentti, joka koskee tietosuojavaltuutetun tarkastusoikeutta, on päällekkäinen tietosuojalain kanssa. Tietosuojalain 34 §:n 4 momentin mukaan, jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä. 

Muutetussa 2 momentissa säädettäisiin rekisteröidyn oikeudesta saada tietää muut itseään koskevat tiedot, jos tutustumisoikeutta lykätään vain osittain. Momentti vastaisi sisällöllisesti tietosuojalain 34 §:n 2 momenttia, mutta huomioiden tietosuojalaista poikkeavan ehdotetun 1 momentin säännökset, erityissäännös olisi tarpeen sen selventämiseksi, mitä lisäedellytyksiä tutustumisoikeuden rajoittamiseen liittyy. Ehdotettua uutta momenttia sovellettaisiin tietosuojalain 34 §:n 2 momentin sijasta. Momentin mukaisesti näissä tilanteissa sovellettaisiin muutoin, mitä tietosuojalain 34 §:n 3 ja 4 momentissa säädetään. Rekisteröidylle olisi siten annettava häntä koskevat tiedot siltä osin kuin ne voitaisiin antaa vaarantamatta ulosottoa. Rekisteröidylle olisi myös tietosuojalain mukaisesti ilmoitettava rajoituksen syyt, ellei tämä vaaranna ulosottoa. Lisäksi rekisteröidyllä olisi oikeus pyytää, että tiedot annetaan tietosuojavaltuutetulle. Rekisteröidyn tutustumisoikeutta ehdotetaan rajattavaksi ainoastaan niiltä osin ja siksi aikaa kuin se on välttämätöntä ulosottotoimien täytäntöönpanon turvaamiseksi. Näiden säännösten arvioidaan täyttävän tietosuoja-asetuksen 23 artiklan 2 kohdan vaatimukset erityisistä säännöksistä yhdessä rekisteröidyn oikeuksiin yleisesti sovellettavien tietosuoja-asetuksen ja tietosuojalain säännösten sekä muiden ulosottokaaren säännösten kanssa. 

29 §. Tietojen poistaminen. Pykälässä säädetään ulosottorekisterin sisältämien tietojen poistamisesta. Pykälän säännöksissä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa antaa yksityiskohtaisempia säännöksiä poistoajoista, jotka mahdollistavat asiainhallintatietojen osalta pitkän säilytysajan (30 vuotta). Pitkä säilytysaika on tarpeen erityisesti pitkäkestoisten ulosottotoimien huomioimiseksi. Pykälän 1 momentin 2 kohdassa on kuitenkin säädetty yhteistoimintatietojen poistamisesta, kun niitä ei enää tarvita, tai kun asian vireilläolo tai passiivirekisteröinti päättyy. Lisäksi 3 kohdassa on säädetty erityistietojen osalta asiainhallintatietoja nopeammasta poistamisesta. Voimassa olevan kohdan mukaan erityistiedot on poistettava 10 vuoden kuluttua merkinnän tekemisestä tai tätä aikaisemmin, jollei tietoja ilmeisesti enää tarvita. Pykälän 2 momentin mukaan erityistiedot saadaan säilyttää kauemmin kuin 10 vuotta, jos siihen on perusteltua aihetta, ei kuitenkaan yli 20 vuotta merkinnän tekemisestä. Huomioiden poistamisaikojen porrastuksen ja sen, että erityistietoja koskee arkaluonteisina tietoina lyhyempi säilytysaika, poistoaikoja koskevien säännösten arvioidaan olevan oikeasuhteisia. 

Pykälän 1 momentin 3 kohtaa ehdotetaan muutettavaksi siten, että lyhyempi säilytysaika koskisi erityistietojen lisäksi myös velallisen terveydentilaa tai vammaisuutta koskevia tietoja sekä työturvallisuustietoja. Näiden tietojen arvioidaan olevan erityisen arkaluonteisia henkilön yksityiselämän suojan kannalta, jolloin rekisteröidyn oikeuksien suojatoimena olisi perusteltua varmistaa, että tietoja ei säilytetä pidempään kuin ne ovat tarpeen. Lisäksi ehdotetaan muutettavaksi pykälän 2 momenttia siten, että momentissa viitattaisiin kaikkiin 3 kohdassa tarkoitettuihin tietoihin. Perusteltu aihe terveydentilaa tai vammaisuutta koskevien tietojen yli 10 vuotta kestävälle säilyttämiselle olisi se, että tiedot olisivat edelleen välttämättömiä vapaakuukauden antamiseksi tai palkan ulosmittauksen rajoittamiseksi olennaisesti heikentyneen maksukyvyn perusteella, tai se, että tietojen tallettaminen on muutoin velallisen edun vuoksi välttämätöntä. Työturvallisuustietojen pidemmälle säilyttämiselle perusteena olisi se, että ulosottotoimien kohteena oleva henkilö muodostaisi edelleen uhkan ulosottomiehen työturvallisuudelle.  

3 luku Yleiset menettelysäännökset

65 §. Arkaluonteiset henkilötiedot ja ulkopuolista koskevat tiedot. Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että viittaus henkilötietolain 11 §:ssä tarkoitettuihin arkaluonteisiin henkilötietoihin korvataan viittauksella tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin henkilötietoihin ja 10 artiklassa tarkoitettuihin henkilötietoihin. Sivulliselta tietoja hankittaessa olisi voimassa olevan säännöksen tavoin vältettävä sitä, että ulosottomiehen haltuun joutuu tällaisia tietoja. Ulosottomiehellä olisi lain nojalla oikeus nykytilaa vastaavasti käsitellä tietoja velallisen saamista sosiaalihuollon etuuksista. Ne eivät sisälly tietosuoja-asetuksessa mainittuihin erityisiin henkilötietoryhmiin, joten viittaus sosiaalihuollon etuuksiin ehdotetaan poistettavaksi pykälästä tarpeettomana. 

69 §. Tietojen luovuttaminen hallintotehtävien hoitamista varten. Voimassa oleva 3 luvun 69 § sisältää pääosin informatiivisia säännöksiä asiakirjojen julkisuudesta ja henkilötietojen luovuttamisesta. Ottaen huomioon, että henkilötietojen luovuttamisesta säädetään luvun 70—72 §:ssä, kyseisiin pykäliin ehdotetaan siirrettäväksi 69 §:n mukainen oikeus luovuttaa tietoja salassapitosäännösten estämättä. Informatiivista viittausta viranomaisten toiminnan julkisuudesta annettuun lakiin ei olisi tarpeen säilyttää, ottaen huomioon, että yleislakia sovelletaan viranomaisen asiakirjojen julkisuuteen myös ilman eri säännöstä. Sen sijaan 70—72 §:ään ehdotetaan lisättäväksi asiasisältöinen viittaus mainittuun lakiin. Kumottavaksi ehdotetun pykälän sisältämää lain sisäistä informatiivista viittausta siihen, mitä 1 luvussa säädetään, ei myöskään olisi tarpeen säilyttää. Pykälästä ehdotetaan myös poistettavaksi yleinen ulosottoviranomaisten välinen tiedonluovutusoikeus, huomioiden, että organisaatiouudistuksen myötä ulosottolaitoksen sisäisestä tiedonluovutuksesta ei olisi tarpeen säätää. Pykälässä olisi tarpeen säätää ainoastaan tietojen luovuttamisesta oikeusministeriölle hallintotehtävien hoitamista varten. Säilytettävän säännöksen osalta ehdotetaan, että ulosottoviranomaisella olisi oikeus luovuttaa salassapitosäännösten estämättä tietoja oikeusministeriölle siltä osin kuin tiedot ovat välttämättömiä hallintotehtävien hoitamista varten, ottaen huomioon perustuslakivaliokunnan tulkintakäytännön. Myös pykälän otsikko ehdotetaan muutettavaksi vastaamaan pykälän sisältöä. 

70 §. Esitutkinta- ja eräät muut viranomaiset sekä tuomioistuimet. Pykälän 1 momentissa luetellaan viranomaiset, joille, ja tarkoitukset, joihin ulosottoviranomainen saa yksittäistapauksessa antaa ulosottoviranomaisen asiakirjasta vastaajan tunniste- ja yhteystietoja sekä vastaajan taloudellista asemaa ja toimintaa koskevia tietoja. Momentin johdantokappaleeseen ehdotetaan lisättäväksi viittaus muualla laissa oleviin säännöksiin siten, että ulosottoviranomainen saa yksittäistapauksessa luovuttaa momentissa tarkoitettuja tietoja sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Tietojen olisi myös oltava välttämättömiä momentissa lueteltuihin tarkoituksiin. 

Pykälän 1 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että ulosottoviranomaisella olisi oikeus luovuttaa välttämättömiä tietoja suojelupoliisille valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämistä varten. Tällaisia rikoksia ovat esimerkiksi terrorismirikokset ja vakoilurikokset. Voimassa olevan kohdan mukaan tietoja voidaan luovuttaa syyttäjä- ja esitutkintaviranomaiselle rikosten selvittämistä, esitutkintaa, syyteharkintaa ja tuomioistuinkäsittelyä varten sekä törkeiden rikosten ennalta estämistä varten. Kohta on kattanut myös suojelupoliisin esitutkintaviranomaisena, mutta tietojen luovuttamisoikeutta ei ole rajattu rikosnimikkeittäin, vaan rikoksen törkeyden perusteella. Siviilitiedustelua koskevan lainsäädännön voimaantulon myötä suojelupoliisi ei ole enää esitutkintaviranomainen. Poliisin hallinnosta annetun lain (110/1992) muutetun 10 §:n mukaan suojelupoliisin tehtävänä on kuitenkin edelleen estää rikoksia, jotka voivat uhata valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta. Suojelupoliisin toimivaltuuksien kattamat rikokset ovat säilyneet lainmuutoksen myötä ennallaan. Suojelupoliisilla on lisäksi henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019, jäljempänä poliisin henkilötietolaki) 48 §:n 1 momentin mukaan oikeus käsitellä muun muassa henkilötietoja, jotka ovat tarpeen valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten estämiseksi ja paljastamiseksi. Tietojen luovuttamisen osalta on syytä huomioida, että sen tulisi kytkeytyä paitsi vastaanottavan viranomaisen toimivaltuuksiin, myös sen oikeuteen käsitellä kyseessä olevia henkilötietoja. Säännöksen tarkistuksella varmistettaisiin, että ulosottoviranomainen voisi edelleen luovuttaa välttämättömiä tietoja suojelupoliisille sen toimivaltuuksien kattamien rikosten ennalta estämiseksi, mutta rikokset täsmennettäisiin poliisilainsäädännöstä seuraavien rajausten mukaisesti. 

Pykälän 2 momenttiin ehdotetaan lisättäväksi 1 momenttia vastaavasti sanat salassapitosäännösten estämättä. Lisäksi tietojen luovuttamisen olisi oltava välttämätöntä momentissa säädettyyn tarkoitukseen. 

71 §. Veroviranomaiset ja julkisia tukia myöntävät. Ulosottoviranomaisen tiedonluovutusoikeuteen ehdotetaan 1 momentin johdantokappaleessa lisättäväksi viittaus salassapitosäännöksiin siten, että tiedot saa antaa sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Lisäksi tietojen luovuttamisen olisi oltava välttämätöntä momentissa säädettyyn tarkoitukseen. 

72 §. Oma-aloitteinen tietojen antaminen. Pykälän 1 momentissa säädetään eräistä tilanteista, joissa ulosottomies saa omasta aloitteestaan luovuttaa tietoja 70 §:n 1 momentin 1 kohdassa tarkoitetulle viranomaiselle. Ottaen huomioon perustuslain 10 §:stä johtuvat vaatimukset, tällainen yleinen tietojen luovuttamisvaltuus on varsin avoin ja väljä. Säännöstä ehdotetaan tarkennettavaksi siten, että tietojen olisi oltava välttämättömiä kyseessä olevan viranomaisen tehtävän hoitamiseksi. Vastaava tarkennus ehdotetaan tehtäväksi myös 2 ja 3 momenttiin. Lisäksi 1 momenttia selkiytettäisiin rakenteellisesti. Pykälän 2 momentin toinen virke ehdotetaan kaksinkertaisen sääntelyn purkamiseksi ja selkeyden vuoksi korvattavaksi informatiivisella viittauksella rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) sovellettaviin säännöksiin, joissa ulosottoviranomaiset on säädetty ilmoitusvelvollisiksi viranomaisiksi epäilyttävien liiketoimien osalta. Lisäksi 1—3 momenttiin ehdotetaan lisättäväksi viittaus salassapitosäännöksiin siten, että tietoja saisi luovuttaa sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Pykälän 4 momentti ehdotetaan kumottavaksi päällekkäisenä tietosuoja-asetuksen 5 artiklan 1 kohdan c ja d alakohdan vaatimusten kanssa. 

4 luku Ulosmittaus

33 §. Rekisteri-ilmoitukset. Pykälän 1 momentin 6 kohdan ja 3 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. Pykälän 2 momentin ruotsinkielistä sanamuotoa tarkistettaisiin kielellisesti. 

1.12  Laki ulosottokaaren 1 luvun 2 §:n muuttamisesta

Ulosottokaaren 1 luvun 2 §:ää on muutettu ulosottokaaren 1 luvun 2 §:n muuttamisesta annetulla lailla (26/2016). Kyseisen lain mukainen pykälä ei ole tullut vielä voimaan, vaan se on tarkoitus saattaa erikseen voimaan valtioneuvoston asetuksella. Koska ulosottokaaren voimassa olevaan 1 luvun 2 §:ään on ehdotettu lisättäväksi uusi 2 momentti, myös lailla 26/2016 muutettua pykälää olisi muutettava vastaavasti. Samalla laki 26/2016 kumottaisiin. 

2 §. Suhde muuhun lainsäädäntöön. Ulosottokaaren 1 luvun 2 §:ään, sellaisena kuin se on muutettuna lailla 26/2016, ehdotetaan lisättäväksi uusi 2 momentti, joka olisi informatiivinen säännös. Momentissa täsmennettäisiin ulosottoasian yhteydessä suoritettavaan henkilötietojen käsittelyyn sovellettavat yleissäädökset siitä syystä, että ulosoton perusteena voi olla myös rikosasia. Ulosottoviranomaiset voivat myös joissakin EU:n jäsenvaltioissa kuulua rikosasioiden tietosuojadirektiivissä tarkoitettuihin toimivaltaisiin viranomaisiin. Ulosottokaaressa tarkoitettuun viranomaiseen ehdotetaan kuitenkin sovellettavaksi kaikissa tilanteissa tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. 

1.13  Laki velkajärjestelyrekisteristä

Laissa säädetyn velkajärjestelyrekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus yksityishenkilön velkajärjestelyasioista tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa, sivullisten etujen ja oikeuksien turvaamista sekä tilasto- ja tutkimustoimintaa varten. Rekisterisääntelyn voidaan siten katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen. Laissa täsmennetään tyhjentävästi rekisterin tietosisältö, joka on rajattu siihen, mikä on rekisterin käyttötarkoituksen kannalta tarpeen. Käsittely on siten myös oikeasuhteista tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämällä tavalla. Velkajärjestelyrekisteriin liittyvän henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Oikeusrekisterikeskuksella on rekisterinpitäjänä laissa säädetty velvollisuus rekisterin ylläpitoon. Kansallista liikkumavaraa antaa tietosuoja-asetusta täydentävää sääntelyä käytetään erityisesti rekisteröitävien tietojen ja niiden säilytysaikojen sekä henkilötietojen luovuttamisen osalta. 

1 §. Rekisterin tarkoitus ja ylläpito. Pykälän ensimmäisen virkkeen sanamuotoa esitetään tarkistettavaksi siten, että siitä käy selkeämmin ilmi, että Oikeusrekisterikeskus on velkajärjestelyrekisterin rekisterinpitäjä ja sillä olisi rekisterin ylläpidon lisäksi täysimääräisesti myös muut rekisterinpitäjälle kuuluvat tehtävät. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Muut laissa mainitut viranomaiset olisivat voimassa olevaa käytäntöä vastaavasti edelleen tietojen luovuttajia tiedon luovutustavasta riippumatta, erityisesti lain 2 §:ssä tarkoitettu velkajärjestelyasiaa käsittelevä tuomioistuin. 

5 §. Tietojen poistaminen rekisteristä. Pykälän 3 momentti ehdotetaan kumottavaksi tarpeettomana. Rekisteröidyn oikeudesta tietojen oikaisemiseen säädetään tietosuoja-asetuksen 16 artiklassa ja rekisterinpitäjän velvollisuudesta ilmoittaa tietojen oikaisemisesta tietojen vastaanottajille säädetään tietosuoja-asetuksen 19 artiklassa. Säännöksiä sovellettaisiin ilman nimenomaista viittausta. 

10 §. Suhde muuhun lainsäädäntöön. Pykälästä ehdotetaan poistettavaksi informatiivinen viittaus henkilötietolakiin. 

1.14  Laki liiketoimintakiellosta

Liiketoimintakiellosta annetussa laissa tarkoitettu kielto voidaan määrätä lain perusteella sopimattoman ja vahingollisen liiketoiminnan estämiseksi sekä liiketoimintaan kohdistuvan luottamuksen ylläpitämiseksi. Laki sisältää henkilötietojen käsittelyyn liittyvät erityissäännökset liiketoimintakieltorekisteristä sekä henkilötietojen luovuttamisesta. Liiketoimintakieltorekisterin rekisterinpitäjä on Oikeusrekisterikeskus. 

Liiketoimintakieltoa on luonnehdittu lähinnä elinkeino-oikeudelliseksi turvaamistoimenpiteeksi, jonka tavoitteena on sopimattoman ja vahingollisen liiketoiminnan estäminen sekä liiketoimintaan kohdistuvan luottamuksen ylläpitäminen (HE 198/1996 vp; HE 269/2016 vp; KKO 2004:131 ja KKO 1998:43). Liiketoimintakieltoa ei pidetä rikosoikeudellisena seuraamuksena, vaikka yleinen tuomioistuin määrää liiketoimintakiellon lain mukaan aina syyttäjän vaatimuksesta. Liiketoimintakieltoon voidaan määrätä liiketoimintakieltolain 2 §:ssä tarkoitettu henkilö, jos hän on liiketoiminnassa muusta kuin maksukyvyttömyydestä johtuvasta syystä olennaisesti laiminlyönyt siihen liittyviä lakisääteisiä velvollisuuksia; tai jos hän on liiketoiminnassa syyllistynyt rikolliseen menettelyyn, jota ei voida pitää vähäisenä. 

Liiketoimintakieltoon liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan ja käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa käytetään laissa rekisteröitävien henkilötietojen ja niiden luovuttamisen osalta. Lakiehdotukseen ei ole välttämätöntä tehdä tietosuoja-asetuksesta tai rikosasioiden tietosuojalaista johtuvia muutoksia. Laissa ehdotetaan kuitenkin tarkennettavaksi henkilötietojen käsittelyyn sovellettava yleislaki. Muutos olisi tarpeellinen, koska sovellettavasta laista voisi muutoin syntyä epäselvyyttä, ottaen huomioon syyttäjän roolin menettelyssä. 

1 a §. Suhde muuhun lainsäädäntöön. Lakiin ehdotetaan lisättäväksi uusi pykälä, jossa täsmennettäisiin lain suhde yleisesti henkilötietojen käsittelyyn sovellettaviin säädöksiin, jotka olisivat tietosuoja-asetus ja tietosuojalaki.  

21 §. Rekisteri. Pykälän 2 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. Momentin alkuun tehtäisiin lisäksi lainsäädäntötekninen tarkistus, jolla ilmaisu ”utan hinder av” korvattaisiin ilmaisulla ”trots vad som föreskrivs i”. 

1.15  Laki kriminologian ja oikeuspolitiikan instituutista

Kriminologian ja oikeuspolitiikan instituutista annetun lain mukaan instituutin tehtävänä on harjoittaa riippumatonta kriminologista ja muuta oikeuspoliittista tutkimusta ottaen huomioon oikeusministeriön ja yhteiskunnan tietotarpeet; seurata ja analysoida rikollisuutta, rikollisuuden kontrollin ja seuraamusjärjestelmän toimintaa, oikeusoloja ja lainsäädännön vaikutuksia sekä raportoida niiden kehityspiirteistä; ja ylläpitää sille laissa säädettyjen tehtävien hoitamiseksi tarvittavia tutkimusrekistereitä. Tutkimukseen käytettävät ja siihen liittyviin rekistereihin talletettavat tiedot voivat olla peräisin lähteistä, jotka kuuluvat alkuperäisen henkilötietojen käsittelyn tarkoituksen osalta joko tietosuoja-asetuksen tai rikosasioiden tietosuojalain soveltamisalaan. Instituutin suorittama henkilötietojen käsittely olisi suhteessa näihin alkuperäisiin käsittelytarkoituksiin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa ja 89 artiklassa sekä rikosasioiden tietosuojalain 5 §:n 3 momentissa tarkoitettua, alkuperäiseen käsittelytarkoitukseen nähden yhteensopivaa henkilötietojen käsittelyä. Vaikka instituutti käsittelisi henkilötietoja rikosasioiden tietosuojalain soveltamisalaan kuuluvista lähteistä, sitä ei pidettäisi kyseisessä laissa tarkoitettuna toimivaltaisena viranomaisena. Siten sen harjoittamaan tutkimustoimintaan liittyvään henkilötietojen käsittelyyn sovelletaan kaikilta osin tietosuoja-asetusta ja tietosuojalakia ja käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta (yleistä etua koskevan tehtävän suorittaminen). Oikeudesta käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja tutkimustarkoituksiin ei kuitenkaan olisi tarpeen säätää tässä laissa, sillä tietosuojalain 6 §:n 1 momentin 7 kohdassa on jo säädetty erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tieteellistä tai historiallista tutkimusta taikka tilastointia varten. Tietosuojalain säännös perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohtaan. Tietosuoja-asetuksen erityisiä tietoryhmiä koskevan 9 artiklan 2 kohdan j alakohdan mukaan 1 kohdassa tarkoitettujen tietojen käsittely on sallittua silloin, kun se on tarpeen tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Tällöin edellytetään, että lainsäädäntö on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely siis edellyttää, että rekisterinpitäjänä toimiva instituutti toteuttaa tietosuojalain 6 §:n 2 momentin mukaisesti asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tietosuoja-asetuksen 5 artiklan 2 kohdan osoitusvelvollisuudesta seuraa, että instituutin on kyettävä myös osoittamaan valittujen suojatoimien asianmukaisuus ja oikeasuhtaisuus. 

Myös tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos tietoja käsitellään edellä tarkoiteussa tietosuojalain 6 §:n 1 momentin 7 kohdassa säädetyssä tarkoituksessa. Mitä tietosuojalain 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tietosuoja-asetuksen 10 artiklassa tarkoitettuja henkilötietoja. Näin ollen myös tietosuoja-asetuksen 10 artiklassa tarkoitettujen henkilötietojen käsittely tutkimustarkoituksiin voisi olla mahdollista suoraan yleislain nojalla, jos rekisterinpitäjä tai henkilötietojen käsittelijä toteuttaa asianmukaiset suojatoimenpiteet tietosuojalain 6 §:n 2 momentin mukaisesti. Tietosuoja-asetuksen mukaista kansallista liikkumavaraa käytetään laissa kuitenkin täydentävien säännösten antamiseksi instituutin tiedonsaantioikeudesta. 

1 §.Hallinnollinen asema ja tehtävät. Pykälän 2 momentin 3 kohdan mukaisesti instituutin tehtäviin kuuluu sille laissa säädettyjen tehtävien hoitamiseksi tarvittavien tutkimusrekistereiden ylläpito. Ottaen huomioon instituutin 4 a §:n mukaiset tiedonsaantioikeudet sekä voimassa olevan lain 4 b §:n mukaisen oikeuden ylläpitää henkilörekistereitä, tutkimusrekistereihin voisi sisältyä myös henkilötietoja. Instituutille laissa säädetyt seurantatehtävät ja rekisterien ylläpitotehtävä on yksityiselle annettu julkinen hallintotehtävä (HE 121/2014 vp). Näihin rekistereihin kuuluu myös rikoksia ja seuraamuksia koskevia tietoja sisältävä tutkimusrekisteri. Tietosuoja-asetuksen 10 artiklan mukaan kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa. Vastaava säännös sisältyi kumotun henkilötietodirektiivin 8 artiklan 5 kohtaan. Instituutti toimisi nykytilaa vastaavasti rikoksia ja tuomioita koskevien henkilötietojen rekisterinpidon osalta tietosuoja-asetuksessa tarkoitettuna julkisena viranomaisena. Kohtaa ehdotetaan täsmennettäväksi siten, että siitä kävisi nimenomaisesti ilmi oikeus ylläpitää rikosten ja seuraamusten tutkimusrekisteriä, joka käytännössä rinnastuu 10 artiklassa tarkoitettuun kattavaan rikosrekisteriin.  

Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jossa täsmennettäisiin instituutin tehtävä tutkimusrekistereihin sisältyvien henkilötietojen rekisterinpitäjänä. 

4 b §. Tietojen käsittely ja salassapito. Pykälässä säädetään tutkimuksiin ja selvityksiin liittyvistä henkilörekistereistä sekä tutkimuksessa käytettävien tietojen salassapidosta. Voimassa olevan 1 momentin perustelujen mukaan säännöksen tarkoituksena on ollut mahdollistaa myös pysyvän rikosten ja seuraamusten tutkimusrekisterin perustaminen. Muutoin momentin nojalla rekisteröitävät henkilötiedot liittyvät lain 4 a §:n 1 momentissa tarkoitettuihin tietoryhmiin, joista osa kuuluu tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin ja osaa voidaan muutoin pitää perustuslakivaliokunnan tulkintakäytännössä tarkoitettuina arkaluonteisina henkilötietoina. Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaisesti henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. Henkilötietoja voidaan kuitenkin alakohdan mukaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Lisäksi edellytetään, että asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi. Erityisten henkilötietoryhmien osalta käsittely on vastaavasti sallittua, jos se on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden tai jäsenvaltion lainsäädännön nojalla ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuoja-asetuksen 89 artiklan 1 kohdan perusteella käsittelyyn sovelletaan asianmukaisia suojatoimia asetuksen mukaisesti, mukaan lukien erityisesti tietojen minimoinnin periaatteen noudattaminen. Tietojen minimointiperiaatetta voitaisiin toteuttaa esimerkiksi rajoittamalla henkilötietojen säilyttämistä. 

Pykälän 1 momentti ehdotetaan kumottavaksi, huomioiden, että siinä säädetty instituutin oikeus muodostaa ja ylläpitää henkilörekistereitä on päällekkäinen 1 §:n 2 momentin 3 kohdan kanssa. Henkilörekisterien ylläpidosta ei olisi tarpeen säätää toistamiseen 4 b §:ssä. Henkilötietojen käsittelyyn sovellettaisiin edellä kuvatulla tavalla suoraan tietosuoja-asetuksen ja tietosuojalain säännöksiä. 

Pykälän 4 momentista ehdotetaan poistettavaksi tarpeettomana viittaus henkilötietojen käsittelyyn sovellettavaan henkilötietolakiin. Sen korvanneet tietosuoja-asetus ja tietosuojalaki tulisivat sovellettavaksi ilman nimenomaista informatiivista viittausta. Sen sijaan asiasisältöinen viittaus viranomaisten toiminnan julkisuudesta annettuun lakiin on tarpeen säilyttää. 

1.16  Laki yhdyskuntaseuraamusten täytäntöönpanosta

Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu rikosasioiden tietosuojalain sekä henkilötietojen käsittelystä rikosseuraamuslaitoksessa annetun lain (1069/2015) soveltamisalaan. Laki ei sisällä muita tarkentavia henkilötietojen käsittelyä koskevia säännöksiä kuin tiedonsaantioikeutta koskevat säännökset. 

45 §. Menettely rangaistusajan suunnitelmaa laadittaessa. Pykälän 1 momentissa ehdotetaan muutetavaksi vanhentunut viittaus henkilötietojen käsittelystä rangaistusten täytäntöönpanossa annettuun lakiin. 

1.17  Laki eläintenpitokieltorekisteristä

Oikeusrekisterikeskus pitää valtakunnallista rekisteriä eläintenpitokielloista, jotka määrätään rikoslain 17 luvun 23 §:n nojalla turvaamistoimena. Eläintenpitokieltorekisteriä kuitenkin pidetään kiellon noudattamisen valvomiseksi, jota rikosasioiden tietosuojalain 1 §:n soveltamisalasäännökset eivät kata. Laissa tarkoitettu henkilötietojen käsittely kuuluu siten tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Laissa käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa rekisteröitävien henkilötietojen ja niiden luovuttamisen sekä säilytysaikojen osalta. Eläintenpitokielto on verrattavissa liiketoimintakieltoon turvaamistoimena. Eläintenpitokiellon tavoitteena on toisaalta pyrkimys estää uuden rikoksen tekeminen, ja toisaalta tavoitteena on suojella eläimiä ja turvata niiden hyvinvointi kieltämällä eläintenpito henkilöltä, joka on osoittautunut soveltumattomaksi tai kykenemättömäksi huolehtimaan eläimistä. Se, että tietoja voidaan luovuttaa eläintenpitokieltorekisteristä esimerkiksi esitutkintatarkoitukseen, ei vaikuta eläintenpitokieltorekisterin alkuperäiseen käyttötarkoitukseen, joka on valvonta. 

2 §. Suhde muuhun lainsäädäntöön. Pykälässä ehdotetaan korvattavaksi vanhentunut viittaus henkilötietolakiin viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Informatiivista viittausta pidetään perusteltuna epäselvyyksien välttämiseksi. 

5 §. Tietojen luovuttaminen rekisteriotteella. Pykälän 4 momentti ehdotetaan kumottavaksi. Informatiivinen viittaus tietosuoja-asetuksen mukaiseen rekisteröidyn tarkastusoikeuteen ei olisi tarpeen, ottaen huomioon 2 §:ään lisättävän viittauksen. 

1.18  Turvallisuusselvityslaki

Turvallisuusselvityslain tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä. Vaikka turvallisuusselvitys voidaan tehdä myös erittäin merkittävän yksityisen taloudellisen edun turvaamiseksi, laissa tarkoitetun toiminnan pääpaino on kuitenkin turvallisuuden varmistaminen ennalta ehkäisemällä turvallisuutta vaarantavaa toimintaa. Voimassa olevan lain mukaan pääasiallinen rekisterinpitäjä on suojelupoliisi, mutta puolustusvoimien henkilökunnan osalta turvallisuusselvityksistä vastaa Pääesikunta. Laissa tarkoitetun henkilötietojen käsittelyn voidaan katsoa kuuluvan rikosasioiden tietosuojalain soveltamisalaan, jonka kansallista soveltamisalaa on laajennettu suhteessa rikosasioiden tietosuojadirektiivin soveltamisalaan siten, että se kattaa myös kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvän henkilötietojen käsittelyn, kun kyse on rikosasioiden tietosuojalain 3 §:n 1 momentin 5 kohdassa tarkoitetuista toimivaltaisista viranomaisista. Muiden turvallisuusselvityslaissa tarkoitettujen viranomaisten suorittamaan henkilötietojen käsittelyyn olisi sovellettava tietosuoja-asetusta ja tietosuojalakia. Rikosasioiden tietosuojalaki mahdollistaa myös sitä täydentävän erityislainsäädännön antamisen. 

2 §. Lain soveltamisala ja sen suhde muuhun lainsäädäntöön. Pykälän 1 momentin 6 kohdan sanamuoto ehdotetaan yhtenäistettäväksi 51 §:ssä käytetyn ilmaisun kanssa. Ilmaisu ”tietojen yhdistämisestä” vastaisi myös paremmin rikosasioiden tietosuojadirektiivin johdanto-osan 22 kappaleen tarkoitusta. Kyseisen kappaleen mukaan viranomaisten tietojenluovutuspyyntö olisi aina tehtävä kirjallisesti, se olisi perusteltava, sen olisi oltava tilapäinen ja se ei saisi koskea koko rekisteriä tai johtaa rekisterien yhteenliittämiseen. Turvallisuusselvityslaissa ei tarkoiteta kokonaisten rekisterien, vaan niiden sisältämien henkilötietojen ja niihin liittyvien tietojen yhdistämistä. 

Pykälään lisättäisiin selkeyden vuoksi informatiivisena säännöksenä uusi 3 momentti, jossa täsmennettäisiin, missä yleissäädöksessä säädettäisiin kunkin viranomaisen suorittamasta henkilötietojen käsittelystä. Ainoastaan suojelupoliisia ja Pääesikuntaa (rekisterinpitäjät) voidaan pitää rikosasioiden tietosuojalaissa tarkoitettuina toimivaltaisina viranomaisina, joiden suorittamasta henkilötietojen käsittelystä säädetään rikosasioiden tietosuojalaissa. Ulkoasiainministeriön (kansallinen turvallisuusviranomainen) suorittama henkilötietojen käsittely kuuluisi kaikissa tilanteissa tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. 

Viestintäviraston on Liikenne- ja viestintävirastosta annetun lain (935/2018) 3 §:n 1 momentin mukaisesti toimivaltaisena viranomaisena korvannut Liikenne- ja viestintävirasto. Käytännössä tehtävä on organisaatiouudistuksen myötä sijoitettu Liikenne- ja viestintäviraston kyberturvallisuuskeskukseen. Kyberturvallisuuskeskus ei käsittele henkilötietoja turvallisuusselvityslain nojalla. Siinä tapauksessa, että kyberturvallisuuskeskuksella olisi osana tietojärjestelmän tietoturvallisuuden arviointia pääsy henkilötietoihin, siihen sovellettaisiin tietosuoja-asetusta. 

7 §. Selvityksen kohteen huomautusoikeus. Voimassa olevan lain pykälässä säädetään henkilöturvallisuusselvityksen kohteen oikeudesta tehdä huomautus haastattelun tai lain 28 §:ssä tarkoitetun henkilötietolomakkeen tarkistamismenettelyn yhteydessä esiin tulleista seikoista. lain 4—6 §:n tavoin myös 7 §:ssä tarkoitettu menettely liittyy turvallisuusselvityksen perusteena olevien seikkojen, eikä pelkästään henkilötietojen oikeellisuutta koskeviin huomautuksiin. Pykälän 4 momentti sisältää informatiivisen viittauksen henkilötietolain mukaiseen rekisteröidyn tarkastusoikeuteen ja siihen kytkeytyvään oikeuteen virheellisten henkilötietojen korjaamiseen. Rikosasioiden tietosuojalaki sisältää vastaavat säännökset. Momentti ehdotetaan kumottavaksi tarpeettomana. 

9 §. Toimivaltaiset viranomaiset. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta Liikenne- ja viestintävirastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus. 

46 §. Yritysturvallisuusselvitystodistuksen antaminen. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus. 

48 §. Turvallisuusselvitysrekisteri, rekisterin käyttötarkoitus ja tietojen tallettaminen rekisteriin. Turvallisuusselvitysrekisteri on osaksi henkilörekisteri, jonka käyttötarkoituksista säädetään voimassa olevan lain 48 §:ssä. Rekisterin käyttötarkoituksia ei ehdoteta laajennettavaksi, mutta pykälän 1 momenttiin ehdotetaan lisättäväksi teknisenä tarkistuksena turvallisuusselvitysten tekeminen, jolloin rekisterin pääasiallinen käyttötarkoitus kävisi otsikkoa vastaavasti selvästi ilmi myös pykälän tekstistä. Pykälän otsikkoon ehdotetaan selkeyden vuoksi myös teknistä tarkistusta, jolla sana sen korvattaisiin sanalla rekisterin.  

Rikosasioiden tietosuojalain sisältämän rekisterinpitäjää koskevan sääntelyn huomioimiseksi ja pykälässä käytettyjen käsitteiden suhteen selkiyttämiseksi pykälän 1 momentista ehdotetaan poistettavaksi viittaukset rekisterinpitäjään ja rekisteriin tietoja tallettavaan viranomaiseen. Rekisteriin tietoja tallettava toimivaltainen viranomainen on ilmaisuna epäselvä suhteessa rekisterinpitäjän käsitteeseen. Henkilötietoja turvallisuusselvitysrekisteriin voivat toimivaltaisina viranomaisina tallettaa suojelupoliisi, Pääesikunta ja kansallinen turvallisuusviranomainen. Rekisterinpitäjiä koskeva sääntely ehdotetaan siirrettäväksi erilliseen pykälään.  

Pykälän 2 momentissa ehdotetaan selkeyden vuoksi korvattavaksi sanat ”toimivaltaisen viranomaisen” sanoilla ”suojelupoliisin ja Pääesikunnan”, jotka ovat ainoat laissa tarkoitetuista toimivaltaisista viranomaisista, jotka tekevät turvallisuusselvityksiä. Momentissa mainittu kansallinen turvallisuusviranomainen olisi henkilötietojen luovuttaja, kun se tallettaa tiedon antamastaan henkilöturvallisuusselvitystodistuksesta tai yritysturvallisuustodistuksesta. Tietojen luovuttamisesta kansalliselle turvallisuusviranomaiselle säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 11 §:ssä. Suojelupoliisin (selvityksen laatineen viranomaisen) on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista. Sama koskee lain 12 §:n nojalla kansainvälisessä tietoturvallisuusvelvoitteessa edellytettyä yritysturvallisuusselvitystodistusta. Pykälän 1 ja 2 momentin ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti. 

Pykälän 4 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus. 

Pykälään ehdotetaan lisättäväksi uusi 6 momentti jonka mukaan kansallisella turvallisuusviranomaisella ja Liikenne- ja viestintävirastolla olisi velvollisuus huolehtia turvallisuusselvitysrekisteriin tallettamiensa tietojen osalta siitä, että tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä, ja että merkinnät on tehty suojelupoliisin asettamien teknisten vaatimusten mukaisesti. Kansallinen viranomainen tallettaa turvallisuusselvitysrekisteriin tiedon myöntämästään turvallisuusselvitystodistuksesta, ja näihin merkintöihin liittyy vain vähäisessä määrin henkilötietoja. Liikenne- ja viestintäviraston tallettamiin tietoihin ei sisälly henkilötietoja. Suojelupoliisin ja Pääesikunnan osalta voimassa olevan pykälän 1 momentin mukainen vastuu merkintöjen oikeellisuudesta sisältyy tietosuoja-asetuksen mukaiseen rekisterinpitäjän vastuuseen, joten säännös ehdotetaan sisällytettäväksi ainoastaan kansallisen turvallisuusviranomaisen ja Liikenne- ja viestintäviraston osalta. Ehdotetussa uudessa momentissa suojelupoliisille ehdotettu rooli liittyisi sille uudessa 48 a §:ssä ehdotettuihin rekisterinpitäjän tehtäviin. 

48 a §. Rekisterinpitäjät. Lakiin ehdotetaan lisättäväksi uusi 48 a §, jossa säädettäisiin rekisterinpitäjistä. Suojelupoliisi ja pääesikunta toimisivat turvallisuusselvitysrekisterin yhteisrekisterinpitäjinä kuitenkin siten, että Suojelupoliisin vastuulle kuuluisi suurin osa rekisterinpitäjän tehtävistä, joista säädetään rikosasioiden tietosuojalaissa. Pääesikunta vastaisi rekisterinpitäjän tehtävistä silloin, kun käsiteltävät henkilötiedot koskevat selvityksen kohdetta, joka toimii tai jonka on tarkoitus toimia puolustusvoimissa tai hoitaa puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Suojelupoliisi vastaisi rekisterinpitäjän tehtävistä muihin selvityksen kohteisiin liittyvien henkilötietojen käsittelyn osalta sekä henkilötietojen luovuttamiseen turvallisuusselvitysrekisteristä ja turvallisuusselvitysrekisterin ylläpitoon ja tietoturvallisuuteen liittyvistä tehtävistä, jotka kattaisivat myös teknisten käyttöyhteyksien avaamisen. Suojelupoliisin oikeudesta luovuttaa henkilötietoja turvallisuusselvitysrekisteristä salassapitosäännöksistä riippumatta säädetään lain 50 §:ssä. Rekisteröidyn oikeuksien käyttöä koskevien asioiden osalta yhteisrekisterinpitäjät voisivat nimetä yhteyspisteenä toimivan rekisterinpitäjän esimerkiksi siten, että Pääesikunta olisi rekisteröityjen ensisijainen yhteyspiste silloin, kun kyse on pääesikunnan henkilökunnan henkilötietojen käsittelystä, ja muiden osalta yhteyspiste olisi suojelupoliisi. Rikosasioiden tietosuojalain mukaisesti yhteisrekisterinpito tarkoittaisi kuitenkin yhteyspisteestä riippumatta sitä, että rekisteröity voisi käyttää oikeuksiaan suhteessa kumpaankin rekisterinpitäjään. 

Ehdotettu säännös yhteisrekisterinpidosta perustuu rikosasioiden tietosuojalain 16 §:ään. Kyseisen pykälän 1 momentin mukaisesti yhteisrekisterinpitäjien tulisi sopia keskinäisestä vastuunjaostaan, jollei vastuunjaosta ole säädetty laissa. Vaikka säännös jättää liikkumavaraa tältä osin, ehdotetussa laissa olisi perusteltua määrittää pääpiirteittäin rekisterinpitäjien vastuut ja velvollisuudet, jotka perustuisivat rikosasioiden tietosuojalain sisältämiin tarkempiin säännöksiin. Perustuslakivaliokunta on myös etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti (PeVL 21/2001 vp, s. 4/I) tai muuten täsmällisesti (PeVL 47/2001 vp, s. 3/II) tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat (PeVL 45/2001 vp, s. 5/I) samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 7/2001 vp, s. 4/II; ks. myös PeVL 11/2002 vp, s. 6, PeVL 52/2001 vp, s. 5, PeVL 47/2002 vp, s. 4—5, PeVL 65/2002 vp, s. 4/II). Lisäksi perustuslakivaliokunta on äskettäin kiinnittänyt huomiota siihen, että yhteisrekisterinpitoa koskevan sääntelyn suhde viranomaisten toimivaltuuksien ja tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä liittyvään vakiintuneeseen käytäntöön tulisi olla perustuslain 10 §:n näkökulmasta riittävän selvä (PeVL 7/2019 vp, s. 7). Perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen ja perustuslain 2 §:n 3 momentissa säädetyn julkisen vallan käytön lakiperustaisuuden vaatimuksen johdosta yhteisrekisterinpitäjyyttä koskevasta sääntelystä olisi selkeästi käytävä ilmi tiedon luovuttamiseen toimivaltainen viranomainen (ks. PeVL 7/2019 vp, s. 6). 

Suojelupoliisille ehdotettu suurempi vastuu turvallisuusselvitysrekisteriin liittyvästä henkilötietojen käsittelystä vastaisi nykytilaa, mutta säännöksiä selkiytettäisiin siten, että laissa käytettäisiin rikosasioiden tietosuojalain terminologiaa ja rekisterinpitäjien tehtävien jakautuminen ilmenisi selkeämmin laista. Ehdotetussa yhteisrekisterinpitoa koskevassa sääntelyratkaisussa on myös huomioitu edellä selostetut perustuslaista johtuvat vaatimukset. 

49 §. Turvallisuusselvitysrekisterin tietojen poistaminen. Pykälästä ehdotetaan poistettavaksi toinen virke, joka sisältää viittaussäännöksen henkilötietolakiin. Lisäksi pykälän alkuun ehdotetaan lisättäväksi viittaus rikosasioiden tietosuojalain 6 §:n 3 momenttiin, jonka säännöksistä pykälässä poikettaisiin säätämällä nimenomaisesti tietojen poistamista koskevasta ajankohdasta. Muilta osin kyseisen lain 6 §:n vaatimuksia sovellettaisiin myös turvallisuusselvitysrekisteriin. 

50 §. Tietojen luovuttaminen turvallisuusselvitysrekisteristä. Pykälän 3 momenttia ehdotetaan tarkistettavaksi sen huomioimiseksi, että epäiltyjen tietojärjestelmästä ei enää säädetä uudessa laissa henkilötietojen käsittelystä poliisitoimessa (616/2019). Muutos vastaisi sanamuodoltaan jo aiemmin muutettua 25 §:n 2 momenttia. Momentin ruotsinkielistä sanamuotoa tarkistettaisiin kielellisesti lisäksi siten, että verbi ”prövats” korvataan verbillä ”bedömts”. 

Pykälään ehdotetaan lisättäväksi uusi 5 momentti, jonka mukaan henkilötietojen luovuttamiseen kansalliselle turvallisuusviranomaiselle sovelletaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään. Suojelupoliisilla on kyseisen lain 11 §:n 1 momentin nojalla velvollisuus salassapitosäännösten estämättä luovuttaa tietoja kansalliselle turvallisuusviranomaiselle henkilöturvallisuusselvitystodistuksen antamiseksi kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi. Ottaen huomioon turvallisuusselvityslain 50 §:n 2 momentin, jonka perusteella suojelupoliisi voi luovuttaa tietoja ministeriön nimeämälle virkamiehelle, sekä edellä 48 a §:n yhteydessä selostetut perustuslakiin liittyvät näkökohdat, aineellinen viittaussäännös olisi tarpeellinen. 

51 §. Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien tietojen yhdistämisen avulla. Voimassa olevasta pykälästä poiketen sen otsikkoon ehdotetaan lisättäväksi sana ”tietojen”. Muutos perustuisi rikosasioiden tietosuojadirektiivin johdanto-osan 22 kappaleeseen, jonka mukaan viranomaisten tietojenluovutuspyyntö olisi aina tehtävä kirjallisesti, se olisi perusteltava, sen olisi oltava tilapäinen ja se ei saisi koskea koko rekisteriä tai johtaa rekisterien yhteenliittämiseen. Pykälässä ei ole kyse kokonaisten henkilörekisterien, vaan niiden sisältämien tietojen yhdistämisestä viranomaisen tehtävän suorittamiseksi. 

56 §. Tietosuojavaltuutetun valvontaoikeus. Pykälä ehdotetaan kumottavaksi päällekkäisenä rikosasioiden tietosuojalain sisältämän sääntelyn kanssa. Pykälän 1 momentin mukainen tietosuojavaltuutetun oikeus tutustua lain nojalla laadittuun turvallisuusselvitykseen sen henkilötietojen lainmukaisuuden tarkastamiseksi tulee katetuksi rikosasioiden tietosuojalain 47 §:n mukaisen tiedonsaantioikeuden kanssa. Kyseinen pykälä kattaa laajalti tietosuojavaltuutetun tehtävien hoidon kannalta tarpeelliset tiedot ja selvitykset. Pykälän 2 momentti sisältää informatiivisen viittauksen kumotun henkilötietolain mukaisiin valvontaan ja tiedonsaantiin, joihin sovelletaan rikosasioiden tietosuojalain 23 ja 47 §:ää. Lakia sovellettaisiin ilman erillistä viittausta. 

60 §. Turvallisuusselvityksen maksullisuus. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa uusi Liikenne- ja viestintävirasto. 

61 §. Viittaus rangaistussäännöksiin. Perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen ydinsisällön mukaan kunkin rikoksen tunnusmerkistö on ilmaistava riittävällä täsmällisyydellä siten, että säännöksen sanamuodon perusteella on ennakoitavissa, onko jokin toiminta tai laiminlyönti rangaistavaa. Euroopan ihmisoikeustuomioistuimen ja EU-tuomioistuimen käytännössä periaatteelle on annettu käytännössä vastaava ydinsisältö, jossa on korostettu sääntelyn ennustettavuutta eli sitä, että säännöksen sanamuodon perusteella voidaan ennakoida, mikä on rangaistavaa. (PeVL 14/2018 vp, s. 21) 

Voimassa oleva pykälä sisältää vaitiolovelvollisuuden ja salassapitovelvollisuuden rikkomista koskevat viittaussäännökset. Pykälän momentit yhdistettäisiin. Pykälän sisältämät viittaukset sovellettaviin rangaistussäännöksiin ehdotetaan korvattavaksi uusilla viittauksilla, joissa huomioitaisiin uusi rikoslain 38 luvun 9 §:ssä tarkoitettu tietosuojarikos sekä tarkemmin muut soveltuvat rikosnimikkeet, minkä lisäksi poistettaisiin viittaus henkilötietolain mukaiseen henkilörekisteririkkomukseen vanhentuneena. Pykälässä täsmennettäisiin lisäksi voimassa olevan lain säännöstä vastaavasti, että salassapitovelvollisuuden rikkomisena pidetään myös lain 40 §:ssä tarkoitetun sitoumuksen rikkomista. 

62 §. Muutoksenhaku. Pykälän 1 momentissa ehdotetaan muutettavaksi sen sisältämä viittaus hallintolainkäyttölakiin (586/1996). Laki on kumottu oikeudenkäynnistä hallintoasioissa annetulla lailla (808/2019), joka tulee voimaan 1.1.2020. 

1.19  Laki oikeusrekisterikeskuksesta

Oikeusrekisterikeskuksesta annetussa laissa säädetään sen organisaatiosta ja tehtävistä. Laki ei sisällä henkilötietojen käsittelyä koskevia säännöksiä. Sen 1 §:n 1 kohdassa kuitenkin täsmennetään oikeusrekisterikeskuksen rekisterinpitotehtävä. 

1 §. Oikeusrekisterikeskus. Pykälän 1 momentin 1 kohdan mukaisesti oikeusrekisterikeskuksen tehtävänä on toimia oikeusministeriön hallinnonalan tietojärjestelmien ja rekisterien rekisterinpitäjänä sekä välittää hallinnonalan viranomaisten ilmoittamia tietoja muille viranomaisille. Oikeusrekisterikeskuksen tehtävistä säädetään lisäksi lukuisissa muissa laeissa. Oikeusrekisterikeskuksen rekisterinpitovastuu ja tietojenluovutusvelvollisuus on määritelty tarkemmin eri rekistereitä koskevassa lainsäädännössä. Oikeusrekisterikeskuksen pitämiä rekistereitä ovat esimerkiksi rikos-, sakko-, kuulutus-, liiketoimintakielto-, konkurssi- ja yrityssaneeraus- sekä velkajärjestelyrekisterit. Oikeusrekisterikeskus on myös oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjä. Lainkohtaa koskevien perustelujen mukaan aiemmilla lainmuutoksilla ei ole myöskään ollut tarkoitus muuttaa sitä, että eri tietojärjestelmien ja rekisterien rekisterinpitovastuu määräytyisi niitä koskevien lakien ja asetusten mukaan. (HE 122/2012 vp) Kaikesta Oikeusrekisterikeskuksen rekisterinpitovastuulle kuuluvasta henkilötietojen käsittelystä ei kuitenkaan säädetä erityislainsäädännössä. Suoraan tietosuoja-asetukseen perustuvaa henkilötietojen käsittelyä on esimerkiksi henkilöstöhallintoon liittyvä käsittely. 

Pykälän 1 momentin 1 kohdan sanamuoto voisi aiheuttaa sen, että oikeusrekisterikeskuksen rekisterinpitotehtävän ymmärrettäisiin koskevan kaikkia oikeusministeriön hallinnonalan tietojärjestelmiä ja rekistereitä. Kohtaa ehdotetaan täsmennettäväksi siten, että oikeusrekisterikeskuksen rekisterinpitovastuulle kuuluvista tietojärjestelmistä ja rekistereistä säädetään erikseen.  

1.20  Laki konkurssi- ja yrityssaneerausrekisteristä

Laissa säädetään konkurssi- ja yrityssaneerausasioita varten pidettävästä rekisteristä. Rekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa sekä sivullisten etujen ja oikeuksien turvaamista varten. Rekisteriin liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa käytetään laissa rekisteröitävien henkilötietojen ja niiden luovuttamisen osalta. Tiedon korjaamisen osalta laki sisältää säännöksiä, jotka ovat osittain päällekkäisiä tietosuoja-asetuksen säännösten kanssa. 

1 §. Rekisterin tarkoitus ja rekisterinpitäjä. Pykälän ensimmäistä virkettä ehdotetaan muutettavaksi siten, että sanamuoto vastaisi muita esityksellä muutettavia säännöksiä, joissa täsmennetään rekisterinpitäjä. Muutos olisi tekninen. 

11 §. Tiedon korjaaminen. Pykälän 1 momentin mukaan Oikeusrekisterikeskuksen on ilman aiheetonta viivytystä oma-aloitteisesti tai esitetystä vaatimuksesta korjattava rekisterissä oleva virheellinen tieto. Oikeusrekisterikeskuksen on ilmoitettava tiedon korjaamisesta sille, jolle se on luovuttanut virheellisen tiedon, jollei ilmoittaminen ole mahdotonta tai vaadi kohtuutonta vaivaa. Pykälää koskevien perustelujen mukaan momentin tarkoituksena on ollut, että luonnollista henkilöä koskevien tietojen korjaamiseen sovelletaan henkilötietojen käsittelyä koskevaa lainsäädäntöä (henkilötietolaki), mutta rekisteri sisältää muitakin kuin luonnollisia henkilöitä koskevia tietoja (HE 153/2003 vp). Pykälässä ei kuitenkaan suljeta pois henkilötietojen korjaamista sen nojalla. Rekisterin tietosisältö ilmenee lain 3—6 §:stä. Pykälän säännökset ovat siten päällekkäisiä tietosuoja-asetuksen kanssa siltä osin kuin on kyse virheellisen henkilötiedon korjaamisesta. Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan virheellisen ja epätarkan henkilötiedon oikaisemiseen ja poistamiseen sovelletaan, mitä tietosuoja-asetuksessa säädetään. Säännös olisi tarpeen sen selventämiseksi, että henkilötietojen korjaamiseen sovellettaisiin aina suoraan tietosuoja-asetusta. Pykälän 1—2 momenttia sovellettaisiin muun virheen korjaamiseen. 

1.21  Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Rikosasioiden tietosuojalain soveltamisalasta säädetään lain 1 §:ssä. Laissa on määritelty toimivaltaisiksi viranomaisiksi eräissä tilanteissa myös Puolustusvoimat ja poliisi. Lain soveltamisalasäännöksessä mainitut tehtävät eivät yksiselitteisesti kata Puolustusvoimien ja poliisin tehtäviä, joista säädetään turvallisuusselvityslaissa. Soveltamisalasäännöksiä ehdotetaan täsmennettäväksi tältä osin. 

1 §. Soveltamisala. Pykälän 2 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että lakia sovellettaisiin Puolustusvoimien suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään turvallisuusselvityslain 9 §:n 3 momentissa tarkoitettujen tehtävien hoitamiseksi. Näistä vastaa turvallisuusselvityslain mukaisesti Puolustusvoimien pääesikunta. Momentin 2 kohtaa muutettaisiin vastaavasti siten, että se kattaisi turvallisuusselvityslain 9 §:n 1 momentissa tarkoitetut tehtävät, joista vastaa poliisin osalta suojelupoliisi. Muutokset selkiyttäisivät lain suhdetta turvallisuusselvityslakiin. 

47 §. Tiedonsaantioikeus. Pykälän mukaan tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot. Pykälässä olisi kuitenkin 22 §:n sijasta viitattava 18 §:ssä tarkoitettuun selosteeseen käsittelytoimista, joka olisi pyydettäessä esitettävä valvontaviranomaiselle tämän tiedonsaantioikeuden perusteella (HE 31/2018 vp, s. 45). Pykälä perustuu rikosasioiden tietosuojadirektiivin 24 artiklaan. Sen sijaan 22 §:n mukainen seloste on asetettava julkisesti saataville. Vaikka pykälässä tarkoitetut muut tehtävien hoidon kannalta tarpeelliset tiedot on ilmaisuna varsin väljä ja kattaisi myös 18 §:n mukaisen selosteen, pykälää ehdotetaan selkeyden vuoksi tarkistettavaksi muuttamalla viittaus koskemaan kyseistä pykälää. Muutos olisi luonteeltaan tekninen. 

3.1  Henkilötietojen suoja

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 10 §:ssä turvatun henkilötietojen ja yksityisyydensuojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Perustuslakivaliokunta on pitänyt aiemmin henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (PeVL 25/1998 vp). Näiden seikkojen sääntelyn lain tasolla on tullut lisäksi olla kattavaa ja yksityiskohtaista. 

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

3.2  Tietosuoja-asetus

Perustuslakivaliokunta on todennut, että tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (PeVL 1/2018 vp). Perustuslakivaliokunta on myös todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita unionin lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). 

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin (ks. PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta painottaa edelleen, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II). Valiokunta on korostanut erityisesti asiakirjajulkisuuden ja henkilötietojen suojan välistä tasapainoa (PeVL 22/2008 vp, s. 4/I). 

Perustuslakivaliokunta on tietosuoja-asetusta täydentävää lainsäädäntöä koskevassa lausunnossaan pitänyt perusteltuna tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4) Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. (PeVL 14/2018 vp, s. 5) 

Esitykseen sisältyvissä lakiehdotuksissa on pyritty huomioimaan tietosuoja-asetuksen sallima kansallinen liikkumavara karsimalla tarpeetonta päällekkäistä sääntelyä toisaalta tietosuoja-asetuksen ja toisaalta sitä täydentävän tietosuojalain kanssa. Toisaalta lakiehdotuksissa on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin ja arvioitu sääntelyn riittävyyttä siltä osin. Ehdotettujen tarkistusten myötä lakiehdotusten arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset sen mukaisesti kuin perustuslakivaliokunta on tarkistanut tulkintaansa. Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä kappaleessa 2.3 sekä lakiehdotusten yksityiskohtaisissa perusteluissa. 

3.3  Rikosasioiden tietosuojadirektiivi

Perustuslakivaliokunta katsoi osana perustuslain 10 §:n tulkintakäytäntöön kohdistuvaa tarkistusta, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 7). Rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta piti merkityksellisenä myös, että siltä osin kuin lakia sovelletaan Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä on kyse tietosuoja-asetuksen ja mainitun poliisidirektiivin EU-oikeuden soveltamisalaan kiinnittyvän soveltamisalan johdosta osin kansallisesta ratkaisusta eikä ehdotetun sääntelyn taustalle ole siten kaikilta osin osoitettavissa EU-sääntelyä. Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (PeVL 26/2018 vp, s. 3 ja 4. Ks. myös PeVL 14/2018 vp, s. 7). Merkityksellistä perustuslakivaliokunnan mukaan tässä suhteessa on, että laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityslainsäädännöllä (PeVL 26/2018 vp, s. 4). 

Perustuslakivaliokunta on toisaalta kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta muistuttaa tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös tietosuoja- asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 14/2018 vp, s. 7, PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4). Myös rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta huomautti, että sen valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Valiokunta korostaa kuitenkin edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/ 2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). Perustuslakivaliokunta on edelleen tarkentanut linjauksiaan rikosasioiden tietosuojalain soveltamisalalla, kiinnittäen huomiota muun muassa tarpeeseen antaa yleislakia tarkentavaa sääntelyä (PeVL 51/2018 vp ja PeVL 52/2018 vp). 

Rikosasioiden tietosuojadirektiivi sallii jäsenvaltioille enemmän liikkumavaraa sen arvioimisessa, millä tavalla EU-oikeus pannaan kansallisesti täytäntöön. Esityksessä on kuitenkin lähdetty siitä, että myös rikosasioiden tietosuojalain kanssa päällekkäistä sääntelyä on syytä välttää siltä osin kuin se on mahdollista. Osaa rikosasioiden tietosuojalain soveltamisalaan kuuluvista laeista on muutettu jo sen käsittelyn yhteydessä. Toisaalta lakiehdotuksissa on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin ja arvioitu sääntelyn riittävyyttä siltä osin. Siltä osin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin lakeihin ehdotetaan tarkistuksia, ehdotettujen lainmuutosten arvioidaan varmistavan, että lakien sisältämät henkilötietojen käsittelyä koskevat säännökset täyttävät perustuslain 10 §:n vaatimukset. Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä kappaleessa 2.3 sekä lakiehdotusten yksityiskohtaisissa perusteluissa. 

3.4  Erityiset henkilötietoryhmät

Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. (PeVL 14/2018 vp ja PeVL 15/2018 vp). Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi (PeVL 15/2018 vp). Näillä tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät (ks. tältä osin myös esim. PeVL 17/2018 vp.). Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 15/2018 vp, myös 13/2016 vp, PeVL 14/2009 vp). 

Myös tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Perustuslakivaliokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp). Perustuslakivaliokunta on varhaiskasvatusta koskevien tietovarantojen osalta lausunnossaan PeVL 17/2018 vp edellyttänyt, että terveydentilatietojen ja muiden arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamisissa puitteissa yksityiskohtaista ja kattavaa. 

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja sekä muutoin arkaluonteisiksi katsottavia henkilötietoja koskevia säännöksiä ehdotetaan tarkistettavaksi valmiuslaissa ja ulosottokaaressa. Lisäksi ehdotettujen säännösten yksityiskohtaisissa perusteluissa on arvioitu näihin henkilötietojen käsittelyyn liittyviä erityisiä suojatoimia rekisteröidyn oikeuksien turvaamiseksi. Myös näitä koskevia säännöksiä on eräiltä osin ehdotettu tarkennettavaksi. Valmiuslain säännösten tarkennuksilla ei olisi rekisteröidyn yksityiselämän suojaa rajoittavia vaikutuksia, huomioiden, että jo voimassa oleva laki sallii työkykyyn liittyvien terveystietojen käsittelyn. Niiden rekisteriin tallettamisedellytystä ehdotetaan säädettäväksi tietojen välttämättömyyden tasolle, mikä tehostaisi terveydentilaa ja vammaisuutta koskevien tietojen suojaa. Sen sijaan ulosottokaareen ehdotetaan lisättäväksi nimenomainen oikeus tallettaa ulosottorekisteriin eräitä erityisiin henkilötietoryhmiin tai muutoin arkaluonteisiksi katsottaviin tietoihin kuuluvia henkilötietoja, joita rekisterin tietosisältöä koskevat säännökset eivät nykyisellään kata. Rekisteriin talletettavilla uusilla henkilötietoryhmillä olisi rekisteröidyn yksityiselämän suojaa kaventavaa vaikutusta, vaikka ehdotetuissa rekisterin tietosisältöä koskevissa säännöksissä pyrittäisiin tarkkarajaisuuteen. Tällä olisi merkitystä myös henkilötietojen luovuttamisen kannalta. Näiden henkilötietojen rekisteröinti ja muu käsittely sekä henkilötietojen luovuttamiskynnys rajattaisiin lisäksi siihen, mikä on välttämätöntä ulosottoviranomaisen tai tietoja vastaanottavan viranomaisen tehtävän hoitamisen kannalta. Näiden tiukennusten myötä ulosottokaaren tarkistusten arvioidaan yhdessä tietosuojalain suojatoimia koskevien säännösten kanssa täyttävän perustuslain 10 §:stä seuraavat vaatimukset. 

3.5  Henkilötietojen luovuttaminen

Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esim. PeVL 19/2012 vp). 

Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. PeVL 15/2018 vp ja esim. PeVL 38/2016 vp). Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 7/2019 vp, PeVL 15/2018 vp ja PeVL 17/2016 vp, s. 6 ja siinä viitatut lausunnot). 

Ulosottokaaren henkilötietojen luovuttamista koskeviin säännöksiin on kiinnitetty lainmuutosten valmistelun yhteydessä huomiota. Ulosottokaaren säännöksiä ehdotetaan tarkennettavaksi siten, että henkilötietojen olisi oltava välttämättömiä laissa säädettyyn tarkoitukseen. Erityistä huomiota on sen osalta kiinnitetty väljäksi arvioituihin säännöksiin sekä sellaisiin henkilötietojen luovutustilanteisiin, joihin voisi liittyä erityisiin henkilötietoryhmiin kuuluvia tai muita arkaluonteisiksi katsottavia henkilötietoja. 

Ulosottokaareen ehdotetaan myös tehtäväksi tarkistus, jolla huomioitaisiin se, että suojelupoliisi ei ole enää esitutkintaviranomainen. Suojelupoliisille voitaisiin luovuttaa ulosottorekisterin tietoja valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämiseksi, mikä vastaisi aiempaa sääntelyä. Tarkemmin määrittelemättömien törkeiden rikosten sijasta henkilötietojen luovuttamistarkoitus sidottaisiin kuitenkin nimenomaisesti niihin rikoksiin, jotka liittyvät suojelupoliisin toimivaltuuksiin ja henkilötietojen käsittelyoikeuteen. Toisaalta sillä, että suojelupoliisi on aiempaa selvemmin tiedusteluviranomainen, voisi olla vaikutusta rekisteröidyn yksityiselämän suojaan. Yksityiselämän suojaa kaventavaa vaikutusta syntyisi erityisesti siitä, millä tavalla henkilötietoja yhdistettäisiin muihin suojelupoliisin käsittelemiin tietoihin. Suojelupoliisilla on esimerkiksi poliisin henkilötietolain 52 §:n nojalla oikeus saada kyseisen lain 2 luvun perusteella käsiteltävät tehtäviensä suorittamiseksi tarpeelliset tiedot. 

Valtiolla on pitkään katsottu olevan eräissä tilanteissa laaja harkintamarginaali sen osalta, mikä on välttämätöntä, esimerkiksi henkilötietojen tallentamisessa henkilöistä, joita epäillään terrorismirikoksista. Rajoituksen on kuitenkin perustuttava lakiin ja sen on oltava välttämätön ja oikeasuhteinen toimenpide (ks. esim. Leander v. Ruotsi, 26.3.1987, tuomion kohdat 58-59, Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohdat 87 ja 88). Yksityiselämään puuttumiseksi on katsottava jo se, että viranomainen kerää ja tallentaa tietoja myöhempää käyttöä varten (S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, kohta 85). Jotta yksityiselämän rajoitustoimenpide olisi lain mukainen, edellytyksenä ei ole pelkästään se, että toimenpide perustuu lakiin, vaan sen on oltava rekisteröityjen henkilöiden saatavilla ja ennakoitavissa vaikutusten osalta. (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohta 76), Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä on korostettu muun muassa toimivaltaperusteiden täsmällistä ja ennakoitavaa laintasoista määrittelyä, välttämättömyyskriteerin tiukkaa tulkintaa, objektiivisia perusteita välttämättömien tietojen saamiselle, tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa, riippumatonta jälkikäteisvalvontaa ja tuomioistuimessa toteutettavan oikeusturvan saatavuutta. (Weber ja Saravia v. Saksa, 29.6.2006, kohta 95, Liberty ja muut v. Yhdistynyt Kuningaskunta, 1.10.2008, kohta 59—60, Zakharov v. Venäjä, 4.12.2015, kohta 229-230 ja Szabó ja Vissy v. Unkari, 12.1.2016, kohta 89) 

Merkityksellistä rekisteröidyn oikeusturvan kannalta on erityisesti se, että rikosasioiden tietosuojalain soveltamisalan laajennus kansallisen turvallisuuden ylläpitämiseen täyttää henkilötietojen turvaamista koskevan perustuslaillisen velvoitteen (PeVL 26/2018 vp, s. 4). Rikosasioiden tietosuojalaista seuraavat erityisesti rekisteröidyn oikeuksia koskevat säännökset sekä valvovan viranomaisen toimivaltuudet. Tietosuojavaltuutetulla on pitkälle menevät tiedonsaantioikeus ja toimivaltuudet. Laissa säädetään myös oikeussuojakeinoista. Vaikka suojelupoliisin käsittelemiin henkilötietoihin ei ole rekisteröidyllä suoraa tarkastusoikeutta, suojelupoliisin henkilötietojen käsittelyyn kohdistuisi tietosuojavaltuutetun kautta käytettävän välillisen tarkastusoikeuden lisäksi myös tuomioistuinkontrolli. Ehdotettu henkilötietojen luovutustarkoitus täyttäisi hyväksyttävän päämäärän vaatimuksen. Huomioiden henkilötietojen käsittelyä koskevat oikeusturvan takeet sekä ehdotettavat tarkennukset tietojen luovuttamista koskeviin säännöksiin, ehdotetun tiedonluovutussäännöksen arvioidaan täyttävän oikeasuhteisuuden vaatimuksen. 

Perustuslakivaliokunta on pitänyt mahdollisena toteuttaa henkilötietojen luovuttamisen julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 65/2014 vp, s. 4/II—5/I, PeVL 32/2008 vp s. 2/I—3/II). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että internetiin sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina. Tällaista rajausta on pidetty edellytyksenä lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä (ks. esim. PeVL 2/2017 vp, s. 7, PeVL 32/2008 vp, s. 3/I). Eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annetun lain 8 §:ää ehdotetaan muutettavaksi yleisen tietoverkon välityksellä tapahtuvien tiedonluovutusten osalta siten, että tietoja voidaan hakea vain yksittäisinä hakuina. Ehdotettujen muutosten myötä säännösten arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset. 

Hallituksen arvion mukaan esitys voidaan käsitellä tavallisen lain säätämisjärjestyksessä.