Yleistä

Hallituksen esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa (1. lakiehdotus, jäljempänä poliisin henkilötietolaki). Esityksen taustalla on hallituksen esityksen HE 66/2012 vp käsittelyn yhteydessä hyväksytty eduskunnan lausuma, jossa edellytettiin, että hallitus käynnistää mahdollisimman pian poliisin henkilötietolain kokonaisuudistuksen ja että sen yhteydessä huomioidaan muiden seikkojen ohella Euroopan unionissa valmisteilla olevan uuden tietosuojalainsäädännön lopullinen sisältö ja vaatimukset kansalliselle lainsäädännölle sekä hallintovaliokunnan mietinnöstä (HaVM 26/2013 vp) ilmenevät lain rakennetta ja sisältöä koskevat huomautukset, mukaan lukien poliisin henkilötietolaissa tarkoitettujen rekisterien valvonnan kehittäminen. 

Ehdotetun sääntelyn tavoitteena on saattaa poliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyä koskeva lainsäädäntö vastaamaan Euroopan unionin tietosuojalainsäädännön vaatimuksia sekä huomioida poliisin toimintaympäristössä tapahtuneet muutokset ja niistä aiheutuneet tiedonkäsittelytarpeet, jotka koskevat erityisesti henkilötietojen käsittelyä rikosten ennalta estämiseksi. Tavoitteena on lisäksi selkeyttää ja yksinkertaistaa lain monimutkaiseksi muodostunut rakenne. Lisäksi ehdotetaan tarkistuksia eräisiin muihin lakeihin, joissa on henkilötietojen käsittelyä koskevia säännöksiä. 

Euroopan unionin uusi tietosuojalainsäädäntö on eriyttänyt säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa sääntelyä. EU:n yleistä tietosuoja-asetusta (EU 2016/679) on alettu soveltaa 25.5.2018. Sitä kansallisesti täydentää ja täsmentää 1.1.2019 voimaan tullut tietosuojalaki (1050/2013). Tietosuojalain kanssa samanaikaisesti on tullut voimaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu laki (1054/2018, rikosasioiden tietosuojalaki), jolla on pantu kansallisesti täytäntöön ns. rikosasioiden tietosuojadirektiivi (EU) 2016/680 (jäljempänä myös poliisidirektiivi). 

Tietosuoja-asetusta ja tietosuojalakia sovelletaan poliisissa lupahallintoon liittyviin tehtäviin sekä sellaisiin poliisille säädettyihin valvontatehtäviin, jotka eivät kuulu rikosasioiden tietosuojalain soveltamisalaan. Rikosasioiden tietosuojadirektiivin soveltamisalaan poliisissa kuuluvat rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen sekä näihin liittyvät toimenpiteet yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Kansallisen turvallisuuden ylläpitämiseen liittyvät tehtävät eivät kuulu EU-oikeuden soveltamisalaan eivätkä siten myöskään tietosuoja-asetuksen tai tietosuojadirektiivin soveltamisalaan. Näihin tehtäviin sovelletaan rikosasioiden tietosuojalakia eräin poikkeuksin, mikä on kansallinen ratkaisu. Ehdotettu poliisin henkilötietolaki on edellä sanottua yleislainsäädäntöä täydentävä erityislaki. 

Uuden tietosuojalainsäädännön lisäksi voimassa olevaan henkilötietojen käsittelystä poliisitoimessa annettuun lakiin (761/2003) kohdistuu muitakin muutostarpeita. Nykyinen sääntely on hyvin yksityiskohtaista etenkin tietojärjestelmiin talletettavien tietojen osalta. Sääntelytapa on joustamaton, ja säännösten pitäminen ajan tasalla on haastavaa. Esityksessä on pyritty selkeyttämään sääntelyä ja lain rakenne ehdotetaan uudistettavaksi kokonaisuudessaan. Täysin selkeyttämistavoitteisiin ei ole päästy, mikä pitkälti johtuu EU-oikeuden ja sen tietosuojasääntelyn rajoitetusta ja erityisestä soveltamisalasta. Sääntelyssä on myös noudatettava perustuslain ja ihmisoikeussopimusten tulkintakäytännöstä ilmeneviä vaatimuksia lainsäädännön yksityiskohtaisuudesta ja tarkkarajaisuudesta. 

Hallintovaliokunta pitää merkittävänä muutoksena voimassa olevaan lakiin verrattuna sitä, että nykyinen valtakunnallisia tietojärjestelmiä ja muita poliisin henkilörekistereitä koskeva sääntely korvataan säännöksillä henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Laissa säädettäisiin käsiteltävistä perustiedoista sekä asiakohtaisista tietoluokista. Ehdotuksen mukaan rekisterinpitäjänä toimii Poliisihallitus ja 7 luvussa tarkoitettujen henkilötietojen osalta suojelupoliisi. 

Poliisin perustehtävät ja henkilötietojen käsittelyn tarkoitukset eivät ole muuttuneet voimassa olevan lain säätämisen jälkeen. Sen sijaan toimintaympäristössä ja poliisin toiminnan strategisissa painopisteissä on tapahtunut merkittäviä muutoksia. Esimerkkeinä voidaan mainita terrorismin uhkan kasvaminen Euroopan laajuisesti, rajat ylittävän järjestäytyneen rikollisuuden ja pienempien liikkuvien rikollisryhmien lisääntyminen sekä tietoverkkorikollisuuden lisääntyminen. Lakiehdotuksen yhtenä tärkeänä tavoitteena on varmistaa poliisin mahdollisuudet reagoida turvallisuusympäristön muutoksiin oikean ja mahdollisimman reaaliaikaisen tiedon pohjalta ja turvata viranomaistoiminnan kannalta välttämätön tiedonkulku. 

Perustuslakivaliokunnan lausunnon mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan periaatesäännöksistä sekä 5— 9, 12, 14, 48, 49 ja 51 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 

Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. 

Ehdotettu lainsäädäntökokonaisuus on merkittävä uudistus poliisin toimintaedellytysten ja henkilötietojen suojan kannalta. Hallintovaliokunta edellyttää, että hallitus seuraa ja arvioi uuden poliisin henkilötietolainsäädännön toimeenpanoa, kiinnittäen huomiota muun ohella uuden käyttötarkoitusperusteisen sääntelyn toimivuuteen, henkilötietojen suojan toteutumiseen, vaikutuksiin poliisin ja muiden viranomaisten toimintaedellytyksiin sekä henkilötietojen käsittelyn valvontaan, ja laatii siitä seikkaperäisen selvityksen hallintovaliokunnalle vuoden 2021 loppuun mennessä (Valiokunnan lausumaehdotus). 

Käsittelytarkoituksiin perustuva sääntely

Euroopan unionin perusoikeuskirjan 8 artiklassa edellytetään, että henkilötietojen käsittelyn on tapahduttava tiettyä tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan, että 1 kohtaa on noudatettu. Tietosuoja-asetusta ei kuitenkaan sovelleta muun ohella sellaiseen henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan tai jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Ensin mainitun poikkeuksen alaan lukeutuu muun ohella lähtökohtaisesti kansallinen turvallisuus (ks. myös PeVL 35/2018 vp, PeVL 36/2018 vp), jälkimmäisen alaan lähinnä poliisidirektiivi. 

Poliisidirektiiviä sovelletaan sen 2 artiklan mukaan toimivaltaisten viranomaisten direktiivin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn. Viitatun artiklan mukaisia tarkoituksia ovat rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Direktiivin 4 artiklan 1 kohdan b alakohta edellyttää, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten. Direktiivin 4 artiklan 4 kohdan mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja on käsitelty tämän periaatteen mukaisesti. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. 

Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa lainsäädäntöä pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina muun ohella rekisteröinnin tavoitetta, tietosisältöjä ja sallittuja käyttötarkoituksia (ks. PeVL 14/1998 vp ja esimerkiksi PeVL 14/2018 vp).Valiokunnan mukaan näiden seikkojen sääntelyn lain tasolla tulee nyt arvioitavassa sääntelykontekstissa olla edelleen kattavaa ja yksityiskohtaista. 

Esityksessä ehdotetaan, että voimassa olevan lain valtakunnallisia tietojärjestelmiä ja muita poliisin henkilörekistereitä koskeva sääntely korvataan säännöksillä poliisilaissa säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Perustuslakivaliokunnalla ei ole ollut huomauttamista tähän lähtökohtaan.  

Esityksen muiden lähtökohtien arviointia

Perustuslakivaliokunta on hiljattain arvioinut (PeVL 26/2018 vp) rikosasioiden tietosuojalain säätämiseen tähdännyttä hallituksen esitystä, johon sisältyvän lakiehdotuksen tarkoituksena oli muun ohella panna kansallisesti täytäntöön ns. poliisidirektiivi. Valiokunta on EU:n tietosuoja-asetuksen soveltamisalalla tarkistanut kantaansa henkilötietojen suojasta lailla säätämisen vaatimuksen osalta. Nyt arvioitavassa sääntelykontekstissa valiokunnan mukaan merkityksellistä kuitenkin on, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. myös PeVL 14/2018 vp). Merkityksellistä on lisäksi, että kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle eikä siten kuulu lähtökohtaisesti myöskään poliisidirektiivin soveltamisalalle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on perustuslain 10 §:n henkilötietojen suojaa koskevan turvaamisvelvoitteen johdosta säädettävä kansallisella lainsäädännöllä (ks. PeVL 26/2018 vp). 

Rikosasioiden tietosuojalain 1 §:n 2 momentin 2 kohdan mukaan lakia sovelletaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain 1 luvun 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Nyt arvioitavan lakiehdotuksen 46 §:n 2 momentin mukaan suojelupoliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyyn sovelletaan lähtökohtaisesti rikosasioiden tietosuojalakia lukuun ottamatta sen 10 §:n 2 momenttia, 54 §:ää ja 7 lukua. 

Perustuslakivaliokunnan mukaan (PeVL 26/2018 vp, PeVL 14/2018 vp) perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" (PeVL 15/1994 vp, PeVL 67/2010 vp). Valiokunnan mukaan henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa suuren riskin perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp). 

Merkityksellistä tässä suhteessa oli myös, että tuolloin käsillä olleeseen esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä on soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityislainsäädännöllä (PeVL 26/2018 vp). Nyt arvioitavan lakiehdotuksen tarkoitus on toimia tällaisena täydentävänä erityislainsäädäntönä. 

Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Poliisin toimivaltuuksien tulee perustuslain 2 §:n 3 momentissa vahvistetun oikeusvaltioperiaatteen vuoksi perustua lakiin (ks. myös PeVL 10/2016 vp, PeVL 51/2006 vp). Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp). 

Hallituksen esityksen säätämisjärjestysperusteluista ilmenee lisäksi, että arkaluonteisia henkilötietoja käsitellään poliisissa sekä poliisidirektiivin että tietosuoja-asetuksen soveltamisalaan kuuluvia poliisin tehtäviä varten. Lisäksi poliisin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi perustuslakivaliokunnan käytännössä (ks. esim. PeVL 14/2009 vp) arkaluonteisiin tietoihin rinnastettuja biometrisiä tietoja käsitellään perustelujen mukaan sekä rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen liittyvissä tehtävissä että lupahallinnollisten tehtävien suorittamiseksi. Lisäksi poliisi käsittelee perustelujen mukaan tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja. 

Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp). 

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, PeVL 14/2009 vp). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp). 

Arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, perustuslakivaliokunnan mukaan edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp). 

Perustuslakivaliokunta on jo aikaisemmin todennut, että laki henkilötietojen käsittelystä poliisitoimessa on rakenteeltaan ja sisällöltään varsin monimutkainen, ja painottanut sen uudistamistarvetta (PeVL 18/2012 vp). Valiokunta on uudistanut tämän kantansa korostaen sitä, että poliisin henkilötietojen käsittelyä määrittävän lainsäädännön valtiosääntöoikeudellinen arviointi tulee tehtäväksi lainsäädännön kokonaisuuden pohjalta (PeVL 42/2014 vp, ks. myös PeVL 35/2018 vp). Valiokunta pitää valitettavana, että myös nyt ehdotettava lainsäädäntö on sisällöltään varsin monimutkainen ja vaikeaselkoinen. 

Poliisin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää. Tällaisessa tilanteessa myös tietojen käytön valvontaan on kiinnitettävä korostettua huomiota (PeVL 42/2014 vp, ks. myös PeVL 35/2018 vp). Perustuslakivaliokunta korostaa, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa yksin rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan. 

Perustuslakivaliokunta toteaa, ettei se ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn EU-oikeudenmukaisuutta. Hallintovaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden vaatimusten kanssa. 

Hallintovaliokunta toteaa, että rikosasioiden tietosuojadirektiivin mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Direktiivissä asetetaan eräänlainen minimitaso. Perustuslakivaliokunta on tietosuojauudistuksen yhteydessä todennut, että direktiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslaissa turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp). Sääntelyä on siten täydennettävä kansallisella lailla. 

Tietosuoja-asetus puolestaan on suoraan sovellettavaa oikeutta. Tietosuoja-asetus sisältää kuitenkin tietyiltä osin kansallista liikkumavaraa. Kansallisella lailla voidaan täsmentää henkilötietojen käsittelyn oikeusperustaa ja käsittelyn sisältöä sekä esimerkiksi tiettyjen edellytysten vallitessa poiketa rekisteröidyn oikeuksista. Henkilötietojen käsittelyn lainmukaisuudesta säädetään tarkemmin 6 artiklassa. Asetuksen 9 artiklan nojalla voidaan antaa tarkempia säännöksiä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Perustuslakivaliokunta on korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp). 

Hallituksen esityksen perusteluissa on tehty selkoa esitykseen sisältyvien ehdotusten suhteesta rikosasioiden tietosuojalakiin sekä tietosuoja-asetukseen. Hallintovaliokunta ehdottaa jäljempänä lakiehdotukseen muutoksia, joilla on merkitystä myös EU-oikeuden kannalta. EU:n tietosuojalainsäädännöstä ei seuraa rajoitteita sen suhteen, valitaanko sääntelyratkaisuksi nykyinen rekisteripohjainen tai esityksessä ehdotettu käyttötarkoituksiin perustuva sääntelyratkaisu. 

Lisäksi hallintovaliokunta toteaa, että tietosuoja-asetus, tietosuojalaki ja rikosasioiden tietosuojalaki sisältävät yksityiskohtaiset säännökset muun muassa henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista, tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta sekä lainvastaisen henkilötietojen käsittelyn seuraamuksista. 

Hallintovaliokunnan näkemyksen mukaan ehdotuksessa on otettu asianmukaisesti huomioon EU-oikeudesta johtuvat vaatimukset. Toimivalta arvioida sääntelyn EU-oikeuden mukaisuutta on kuitenkin Euroopan unionin tuomioistuimella. 

Lain soveltamisala

Perustuslakivaliokunta on lausunnossaan katsonut, että ehdotetun sääntelyn täsmällistä soveltamisalaa on hankalaa ja vaivalloista selvittää lakiehdotuksen sisältämän sääntelyn perusteella. Vaikka valiokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu EU-oikeuden ja sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja sääntelyn soveltamisalan selkeyttämiseen. 

Hallintovaliokunta katsoo, että säännöstasolla ehdotetun lain soveltamisalaa ei EU-sääntelystä tulevista reunaehdoista johtuen ole juuri edellytyksiä täsmentää. Soveltamisalaa koskevassa sääntelyssä on osoitettu yleis- ja erityislainsäädännön väliset suhteet. Hallintovaliokunta pitää kuitenkin aiheellisena todeta selventävästi seuraavaa. 

Poliisin henkilötietolain soveltamisen ala määrittyy soveltamisalaa koskevan 1 §:n ja suhdetta muuhun lainsäädäntöön sääntelevän 2 §:n muodostamasta kokonaisuudesta. Lakiehdotuksen 1 §:n mukaan poliisin henkilötietolakia sovelletaan nykyistä vastaavasti ainoastaan poliisin käsitellessä henkilötietoja poliisilain 1 luvun 1 §:ssä tarkoitettujen poliisille kuuluvien tehtävien suorittamiseksi. Lakia ei siten sovelleta esimerkiksi henkilöstö- ja taloushallintoon liittyvään henkilötietojen käsittelyyn. 

Lakiehdotuksen 1 §:n mukaan poliisin henkilötietolakia sovelletaan, jollei muualla laissa säädetä toisin. Jos muussa laissa säädetään poliisin tehtäviin liittyvästä henkilötietojen käsittelystä toisin kuin poliisin henkilötietolaissa, noudatetaan muun lain säännöksiä tämän lain sijasta. Erityissääntelyä sisältyy muun muassa rahanpesun ja terrorismin rahoittamisen estämisestä annettuun lakiin (444/2017), rahanpesun selvittelykeskuksesta annettuun lakiin (445/2017) ja todistajansuojeluohjelmasta annettuun lakiin (88/2015). Erityissääntelyä on myös hallituksen esityksessä HE 55/2018 vp ehdotettu laki lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa. Erikseen säädetään henkilötietojen käsittelystä hätäkeskustietojärjestelmässä (laki hätäkeskustoiminnasta 692/2010). Henkilötietojen käsittelystä ulkomaalaisrekisterissä säädetään ulkomaalaisrekisteristä annetussa laissa (1270/1997).  

Ehdotetusta 1 §:stä myös johtuu, että poliisin henkilötietolakia sovelletaan täydentävästi poliisin tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn siltä osin kuin erityislainsäädäntöön ei sisälly poliisin henkilötietolaista poikkeavia säännöksiä. 

Suurimpaan osaan lakiehdotuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä sovelletaan yleislakina rikosasioiden tietosuojalakia. Osaan poliisin henkilötietojen käsittelyä sovelletaan yleissäädöksenä EU:n yleistä tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. Kansallisen turvallisuuden ylläpitämiseen liittyvät tehtävät eivät kuulu EU-oikeuden alaan eivätkä siten myöskään tietosuoja-asetuksen tai tietosuojadirektiivin soveltamisalaan. Kansallisena ratkaisuna on kuitenkin säädetty, että rikosasioiden tietosuojalakia sovelletaan sen 1 §:n 2 momentin 2 kohdan mukaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Käsittelyyn ei kuitenkaan sovelleta rikosasioiden tietosuojalain 10 §:n 2 momenttia, 54 §:ää eikä 7 lukua. 

Poliisin henkilötietolain soveltamisalan kannalta olennaista on myös ehdotetun lain sisäinen rakenne. Suojelupoliisia koskeva sääntely on keskitetty kokonaisuudessaan lakiehdotuksen 7 lukuun. Hallintovaliokunta pitää tätä sääntelyn selkeyden kannalta perusteltuna. 

EU:n tietosuojauudistuksessa on huomioitu asiakirjojen julkisuusperiaate. Tietosuoja-asetuksen 86 artiklassa säädetään tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamisesta. Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Kuten hallituksen esityksen perusteluissa todetaan, luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään. Rikosasioiden tietosuojalakia säädettäessä on lisäksi erikseen tähdennetty, että rikosasioiden tietosuojalailla ei ole tarkoitus muuttaa julkisuuslainsäädännön ja henkilötietojen suojaa koskevan lainsäädännön keskinäissuhdetta (HaVM 14/2018 vp). Valiokunta ehdottaa jäljempänä yksityiskohtaisissa perusteluissa julkisuuslakiin kohdistuvan viittauksen tarkentamista. 

Poliisin toimivaltuuksista hankkia rikosten estämiseksi ja paljastamiseksi sekä vaaran torjumiseksi tarvittavaa tietoa säädetään poliisilaissa (872/2011) ja toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään pakkokeinolaissa (806/2011) ja esitutkintalaissa (805/2011). Poliisin toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun poliisin tehtäviä koskevaan erityislainsäädäntöön. Poliisin toimivaltuuksilla saatujen henkilötietojen käsittelyssä noudatettaisiin tietosuojan yleislainsäädännön sekä ehdotetun poliisin henkilötietolain säännöksiä. Silloin kun toimivaltuussääntelyyn sisältyy henkilötietojen käsittelyä koskevia tiukempia edellytyksiä, näitä tiukempia edellytyksiä on noudatettava poliisin henkilötietolain sijasta. 

Yleis- ja erityislainsäädännöstä muodostuu joka tapauksessa monitahoinen kokonaisuus. Erityisesti poliisin käytännön toiminnassa sovellettavan ja noudatettavan säännöksen identifiointi voi olla vaikeaa. Myös uusi käyttötarkoitusperusteinen sääntely edellyttää uudenlaista ajattelutapaa. Hallintovaliokunta korostaa, että tämä kaikki aiheuttaa merkittävää tarvetta ohjeistaa toimintaa uudella tavalla ja kouluttaa henkilöstöä entistä syvemmin. Valiokunta tähdentää, että viranomaisten henkilörekisterien ja henkilötietojen käsittelyn tulee olla joka suhteessa asianmukaisessa kunnossa ja täyttää lainsäädännössä asetetut vaatimukset. Henkilötietojen käsittelyn kokonaisuuteen kuuluu myös hyvän tiedonhallintatavan ja hyvien käytänteiden noudattaminen. 

Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi

Voimassa olevaa poliisin henkilötietolakia sovelletaan lain 1 §:n mukaan poliisilain 1 luvun 1 §:ssä tarkoitettujen poliisille kuuluvien tehtävien suorittamiseksi tarpeellisten henkilötietojen automaattiseen käsittelyyn ja muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Voimassa olevan lain lähtökohtana on kuitenkin poliisin valtakunnallisiin tietojärjestelmiin ja muihin laissa tarkoitettuihin henkilörekistereihin talletettavien tietojen sääntely. Säännökset eivät siten kata lain soveltamisalaan kuuluvaa tietojen käsittelyä ennen kuin tiedot talletetaan tiettyyn nimettyyn henkilörekisteriin tai tietojärjestelmään. 

Käsittelytarkoitusperusteisen sääntelyn yhtenä tavoitteena on kattaa kaikki poliisin tehtävien suorittamiseksi tarpeellinen henkilötietojen käsittely. Uusi käsittelytarkoituksiin perustuva sääntely koskee voimassa olevasta laista poiketen myös sellaista yleislainsäädännön määritelmien mukaisen henkilörekisterin muodostavaa tai automaattista käsittelyä, josta voimassa olevassa poliisin henkilötietolaissa ei ole säännöksiä. 

Näin myös henkilötietojen käsittelyä rikosten ennalta estämiseksi tai paljastamiseksi sääntelevät lakiehdotuksen 7 ja 8 § koskevat kaikkea poliisin ennalta estävän ja paljastavan toiminnan kannalta tarpeellista henkilötietojen kirjaamista ja muuta käsittelyä. Pykälillä korvattaisiin rikosten ennalta estämiseen ja paljastamiseen liittyvä tietojen käsittely voimassa olevan lain 2 §:ssä tarkoitetussa poliisiasiain tietojärjestelmässä, 4 §:ssä tarkoitetussa epäiltyjen tietojärjestelmässä sekä 6 §:ssä tarkoitetuissa poliisin muissa henkilörekisterissä. 

Lisäksi lakiehdotuksen 7 ja 8 §:n tarkoituksena on kattaa käsittelytarkoitusperusteisen sääntelyratkaisun mukaisesti myös sellainen poliisin ennalta estävään toimintaan liittyvä tietojen käsittely, josta ei säädetä nykyisessä laissa. Poliisi saa esimerkiksi poliisilain 5 luvun mukaisilla tiedonhankintakeinoilla tietoja henkilöistä, joiden voidaan perustellusti olettaa syyllistyvän rikokseen. Näiden tietojen alkuvaiheen käsittelystä ei säädetä voimassa olevassa laissa, vaikka tietoja on käsiteltävä automaattisesti muun muassa sen selvittämiseksi, täyttyykö epäiltyjen tietojärjestelmän tallettamiskynnys. Voimassa olevassa poliisin henkilötietolaissa ei toisin sanoen huomioida poliisilain 5 luvun mukaisilla salaisilla tiedonhankintakeinoilla saatujen tietojen käsittelyä ennen tietojen tallettamista laissa nimettyihin tietojärjestelmiin. Ehdotettu 7 §:n 2 momentin 1 kohdan käsittelykynnys ("voidaan perustellusti olettaa") kattaisi poliisilain 5 luvun mukaisilla tiedonhankintakeinoilla rikoksen estämiseksi saadun tiedon käsittelyn toisin kuin voimassa olevan lain mukainen "syytä epäillä" -kynnys. 

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että esityksen säätämisjärjestysperustelujen mukaan ehdotetut 7 ja 8 § merkitsisivät valtakunnallisesti käsiteltävän tietosisällön laajenemista voimassaolevaan lakiin verrattuna sekä tietosisällön että rekisteröitävien henkilöryhmien osalta. Voimassa olevassa laissa rekisteriin merkitseminen on sidottu epäillyn rikoksen rangaistuksen vakavuuteen siten, että rikokseen syyllistyvän tai siihen syyllistyneen tietoja saadaan käsitellä, jos epäillystä rikoksesta saattaa seurata vankeutta. Rikokseen myötävaikuttaneen tai myötävaikuttavan henkilön tietoja taas saadaan voimassa olevan sääntelyn mukaan käsitellä, jos epäillystä rikoksesta saattaa seurata enemmän kuin kuusi kuukautta vankeutta tai jos epäilty rikos on huumausaineen käyttörikos. Perustuslakivaliokunta toteaa, että 7 §:ssä epäilyn kohteena olevalle rikokselle ei asetettaisi lainkaan sen vakavuuteen kohdistuvaa kynnystä, vaan pykälän mukaan siinä tarkoitettujen tietojen olisi liityttävä henkilöihin, joiden "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen". Voimassa olevan lain 4 §:n 2 momentin mukaan tietojen käsittelyn edellytyksenä on, että henkilön on "syytä epäillä" syyllistyvän tai syyllistyneen rikokseen. Valiokunta huomauttaa, että viranomaisepäily rikoksesta muodostaa tietosuoja-asetuksen 10 artiklassa erityisesti säännellyn valtiosääntöisesti arkaluonteisen henkilötiedon. Hallintovaliokunnan on täydennettävä sääntelyä sitomalla käsittely epäillyn rikoksen vakavuuteen. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Lisäksi perustuslakivaliokunnan lausunnon mukaan hallintovaliokunnan on syytä korottaa perustellun olettamuksen vaatimusta esimerkiksi voimassa olevan lain mukaiseen "syytä epäillä" -vaatimukseen. 

Seuraavassa tarkastellaan lähemmin hallituksen esityksessä ehdotettuja muutoksia suhteessa voimassa olevaan lakiin. 

Epäiltyjen tietojärjestelmä

Epäiltyjen tietojärjestelmästä säädetään voimassa olevan lain 4 §:ssä. Tietojärjestelmään voidaan tallettaa poliisilain 1 luvun 1 §:n 1 momentissa säädettyjen tehtävien suorittamiseksi hankittuja rikostiedustelu-, tarkkailu- ja havaintotietoja henkilöistä, joiden on syytä epäillä 1) syyllistyvän tai syyllistyneen rikokseen, josta saattaa seurata vankeutta; tai 2) myötävaikuttavan tai myötävaikuttaneen rikokseen, josta saattaa seurata enemmän kuin kuusi kuukautta vankeutta, tai huumausaineen käyttörikokseen. 

Hallintovaliokunta on kiinnittänyt huomiota puutteisiin, joita epäiltyjen tietojärjestelmän henkilötietojen käsittelyyn liittyy (HaVL 40/2014 vp). Henkilöitä voidaan rekisteröidä vain epäiltyinä ja myötävaikuttajina. Hallintovaliokunta on todennut mietinnössään (HaVM 16/2014 vp), että kun henkilöstä syötetään tietoja epäiltyjen rekisteriin, tulee hänen osaltaan täyttyä perusteet, joiden nojalla henkilön voidaan epäillä syyllistyvän tai syyllistyneen rikokseen taikka myötävaikuttavan tai myötävaikuttaneen rikokseen. Kynnys "syytä epäillä" on sama kuin esitutkintalaissa säädetyn rikoksen johdosta esitutkinnan toimittamisen kynnys. 

Sääntelyn soveltamisen vaativuutta kuvaa hallintovaliokunnan näkemyksen mukaan se, että kysymys ei ole pelkästään epäillystä henkilön jo tapahtuneesta syyllistymisestä tai myötävaikuttamisesta, vaan epäillystä tulevaisuudessa tapahtuvasta syyllistymisestä tai myötävaikuttamisesta lainkohdassa tarkoitettuun rikokseen. Valiokunta on pitänyt selvänä, että epäilyn tulee tällöinkin perustua konkreettisiin havaintoihin, joista voidaan päätellä henkilön tuleva käyttäytyminen niin, että "syytä epäillä" -edellytys täyttyy hyväksyttävästi. Arvion tekeminen henkilön tulevasta käyttäytymisestä on sellaisen epävarman päättelyketjun varassa, että virhearvioinnin riski on varsin suuri. 

Epäiltyjen tietojärjestelmää koskevaa sääntelyä on pidetty myös poliisin toiminnan kannalta epätarkoituksenmukaisena ja puutteellisena. Epäiltyjen tietojärjestelmää koskeva säännös ei nykymuodossaan palvele kokonaisvaltaisesti poliisin ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä. Säännöstä koskevien hallituksen esityksen (HE 93/2002 vp) perusteluiden mukaan epäiltyjen rekisterin käyttötarkoituksesta johtuen rikoksen yksilöinnillä ei voitaisi edellyttää kovin suurta täsmällisyyttä. Tämä koskisi esimerkiksi tunnetun rikollisryhmän jäsenten toimintaa. Pykälän sanamuodon perustana on kuitenkin henkilölähtöinen rikostiedustelu siten, että poliisilla olisi oltava tiedossa konkreettinen yksittäiseen henkilöön kohdistuva rikosepäily, eikä sääntelyllä kateta laajemmin esimerkiksi järjestäytyneeseen rikollisuuteen tai rikollisryhmiin kohdistuvaa tehtävälähtöistä rikosanalyysiä. 

Rikosten ennalta estämiseksi ja paljastamiseksi suoritettavaa henkilötietojen käsittelyä koskevien 7 ja 8 pykälien muotoilussa on kiinnitetty huomiota edellä kuvattuihin hallintovaliokunnan epäiltyjen tietojärjestelmää koskeviin huomautuksiin (HaVL 40/2014 vp ja HaVM 16/2014 vp). Ehdotetun 7 §:n mukaan poliisi voisi käsitellä henkilötietoja tehtävälähtöisesti rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi. Käsiteltävät henkilöryhmät lueteltaisiin pykälässä tyhjentävästi. 

Hallituksen esityksen mukaan tietoja voitaisiin 7 §:n 2 momentin 1 kohdan nojalla käsitellä sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen. Perustuslakivaliokunnan lausunnon johdosta hallintovaliokunta ehdottaa jäljempänä yksityiskohtaisissa perusteluissa tarkemmin esitetyin tavoin käsittelykynnystä korotettavaksi siten, että tietoja voitaisiin käsitellä ainoastaan sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, josta laissa säädetty ankarin rangaistus on vankeutta. Voimassa olevan lain 4 §:n "syytä epäillä" -kynnys kytkeytyy käsitteenä esitutkinnan käynnistämiskynnykseen ja on vaikeasti sovellettavissa ennalta estävään ja paljastavaan toimintaan. Poliisin ennalta estävä toiminta kohdistuu tyypillisesti henkilöihin, joiden osalta ei vielä ole syntynyt velvoitetta esitutkinnan käynnistämiseen. "Syytä epäillä" -käsittelykynnystä ei ennalta estävässä ja paljastavassa toiminnassa voida tulkita samoin kuin rikosten selvittämisen yhteydessä. Käsittelykynnys on siten tarkoituksenmukaista muotoilla tavalla, joka kytkeytyy nimenomaisesti rikosten ennalta estämiseen ja paljastamiseen sekä niihin liittyviin tiedonhankintatoimivaltuuksiin. Ehdotettu uusi käsittelykynnys ("voidaan perustellusti olettaa") on siten perusteltu myös siitä syystä, että se kytkeytyy "syytä epäillä" -kynnystä selkeämmin rikoksen ennalta estämiseksi ja paljastamiseksi tapahtuvaa tiedonhankintaa sääntelevään poliisilain 5 lukuun. 

Ehdotetun 7 §:n 2 momentin 2 kohdan perusteella voisi käsitellä tietoja henkilöistä, jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen. Henkilöryhmä on voimassa olevaan lakiin verrattuna uusi. Tarve käsitellä kontaktien ja kumppanien tietoja on huomioitu myös rikosasioiden tietosuojadirektiivissä, jonka 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen, tai rikoksesta tuomittuihin henkilöihin. 

Perustuslakivaliokunnan edellyttämä käsittelyn sitominen rikoksen vakavuusasteeseen rajaa myös 2 kohdassa tarkoitettua henkilöryhmää hallituksen esityksessä ehdotettua suppeammaksi. Kyseisen kohdan nojalla voidaan käsitellä tietoja ainoastaan sellaisista henkilöistä, jotka ovat yhteydessä vankeusuhkaisiin rikoksiin rajatussa 1 kohdassa tarkoitettuihin henkilöihin. Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

Ehdotetun 7 §:n 2 momentin 3 kohdan perusteella poliisi voisi käsitellä tietoja henkilöistä, jotka ovat poliisilain 5 luvun 13 §:ssä tarkoitetun tarkkailun kohteena. Tarkkailulla tarkoitetaan poliisilain 5 luvun 13 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa. Kohdassa tarkoitettuihin henkilöihin kuuluisivat sellaiset tarkkailun kohteena olevat henkilöt, joiden tietojen käsittely ei ole mahdollista momentin 1 ja 2 kohdan nojalla. Asian käsittelyn yhteydessä on ilmennyt tarve lisätä kohtaan myös muiden poliisin toimenpiteiden kohteena olevien henkilöiden tietojen kirjaaminen, jota käsitellään tarkemmin jäljempänä poliisiasiain tietojärjestelmän kohdalla. 

Hallintovaliokunta on kiinnittänyt huomiota siihen, että täydentävään "selostusosaan" on lisäksi saattanut olla merkittynä esimerkiksi henkilö, johon epäillyn väkivallan uhka kohdistuu tai voi kohdistua (HaVL 40/2014 vp). Myös perustuslakivaliokunta on jo aiemmin kiinnittänyt huomiota siihen, että epäiltyjen tietojärjestelmään saadaan perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Lain 4 §:n sisältö ei kuitenkaan ulotu tähän tarkoitukseen asti (PeVL 51/2002 vp). Sitä, että uhrien tietojen tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää perustuslakivaliokunnan tulkintakäytännössä edellytettynä tarkkarajaisena sääntelynä. 

Poliisin on tietyissä tilanteissa välttämätöntä käsitellä myös muiden kuin rikostiedustelun ensisijaisten kohdehenkilöiden tietoja. Näiden henkilöiden tietojen käsittelylle asetettaisiin 7 §:n 3 momentissa korkeampi kynnys. Rikoksen uhrien, asianomistajina esiintyvien henkilöiden, ilmoittajien ja todistajien tietojen käsittely voi olla välttämätöntä esimerkiksi silloin, kun pyritään estämään ennalta jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva uusi rikos. Sääntely selventää nykytilaa ja mahdollistaa nimenomaisesti esimerkiksi uhrien tietojen käsittelyn, joka epäiltyjen tietojärjestelmän osalta on ilmennyt vain säännöksen perusteluista. 

Tilapäiset rikosanalyysirekisterit

Voimassa olevan lain poliisin muita henkilörekistereitä koskevan 6 §:n 2 momentin 2 kohdassa säädetään tilapäisistä rikosanalyysirekistereistä. Lainkohtaa muutettiin vuoden 2014 alusta voimaan tulleella lailla siten, että siihen lisättiin mahdollisuus perustaa rikosanalyysia varten tilapäinen rekisteri yksittäisen rikoksen lisäksi myös rikosten muodostaman rikoskokonaisuuden estämiseksi, paljastamiseksi tai selvittämiseksi (1181/2013). Saadun selvityksen mukaan tämä lisäys on parantanut paikallisten vakavien rikosten ja erityisesti laajojen rikossarjojen selvittämistä. Voimassa olevat säännökset ohjaavat kuitenkin analyysitoimintaa yksittäisten rikosten tai rikoskokonaisuuksien suuntaan eikä niinkään tietoon rikollisuuden kokonaistilanteesta tai toimintaympäristössä tapahtuvista muutoksista. Rikosanalyysirekisterien ongelmana toiminnalliselta kannalta on myös se, että niihin sisältyvät tiedot eivät ole käytettävissä valtakunnallisesti. Tietojen hajanainen tallentaminen on ongelmallista myös valvonnan kannalta. 

Ehdotetussa 7 §:ssä käsittelykynnys olisi eräiden henkilöryhmien osalta nykyistä korkeampi. Voimassa olevassa laissa ei säädetä lainkaan tilapäisiin analyysirekistereihin talletettavista henkilöryhmistä, joten sääntely täsmentyisi huomattavasti nykytilaan verrattuna. Tietoja voitaisiin kuitenkin jatkossa käsitellä valtakunnallisesti rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Näin ollen tietoja käsiteltäisiin Poliisihallituksen rekisterinpidossa yhtenäisten valtakunnallisten prosessien mukaisesti, mikä helpottaisi käsittelyn ohjausta ja valvontaa sekä tietojen suojaamista. 

Poliisiasiain tietojärjestelmä

Poliisiasiain tietojärjestelmän havaintotietoja koskeva sääntely (voimassa olevan 2 §:n 3 momentin 11 kohta) on hallituksen esityksessä sisällytetty rikosten ennalta estämistä ja paljastamista koskevien säännösten yhteyteen (7 §:n 5 momentti). Havaintotietojen osalta sääntelyyn ei ehdoteta sisällöllisiä muutoksia, vaan käsittelykynnys säilyisi nykyistä vastaavana. 

Havaintotietojen lisäksi poliisi tallettaa poliisiasiain tietojärjestelmään rikosten ennalta estämiseksi myös voimassa olevan lain 2 §:n 2 momentissa tarkoitettujen todistajien, ilmoittajien ja muuten asiaan liittyvien henkilöiden tietoja. Näistä henkilöistä järjestelmään talletetaan 2 §:n 3 momentin 1 kohdan c) alakohdassa tarkoitettuja tietoja muista poliisin tehtävään, toimenpiteeseen ja tapahtumaan liittyvistä tarpeellisista kuvauksista, olosuhteista ja yksilöinneistä. Poliisiasiain tietojärjestelmään talletetaan tällä perusteella tietoja esimerkiksi henkilöistä, joiden käytös, puheet, toiminta tai kirjoittelu on huolta aiheuttavaa tavalla, josta seuraa poliisille selonottovelvoite tai velvoite ryhtyä toimenpiteisiin. Toimenpiteet pitävät sisällään esimerkiksi erilaisia lisäselvityksiä (kuten rekisterikyselyitä), joiden pohjalta poliisi arvioi jatkotoimenpiteiden tarpeellisuutta. Huolta aiheuttavan henkilön auttamiseksi ja tilanteen hallintaan ottamiseksi tarvitaan usein eri viranomaisten yhdessä tekemiä ennalta estäviä toimenpiteitä, joilla pyritään radikalisoitumisen, päihdekierteen tai muun huolta aiheuttavan käyttäytymisen katkaisemiseen, sekä erilaisia tukitoimenpiteitä yhteistyössä muiden viranomaisten kanssa esimerkiksi Ankkuri-toimintamallin mukaisesti tai muuten hoidon tarpeen arviointiin liittyen. Toimenpiteiden tavoitteena on estää rikoksia ja henkilön käyttäytymisen kärjistymistä. 

Hallituksen esityksessä 7 §:n 2 momenttiin ehdotetut henkilöryhmät eivät kata esimerkiksi edellä kuvattua huolta aiheuttavien henkilöiden tietojen käsittelyä. Poliisin toimenpiteen kohteena on ennalta estävässä toiminnassa usein myös sellaisia henkilöitä, joiden ei voida perustellusti olettaa syyllistyvän vankeusuhkaiseen rikokseen tavalla, jota valiokunnan 7 §:n 2 momentin 1 kohtaan ehdottama käsittelykynnys edellyttää. Poliisille voi syntyä selonottovelvoite tai velvoite ryhtyä toimenpiteisiin myös tilanteissa, joissa henkilön ei vielä voida perustellusti olettaa syyllistyvän rikokseen. Lisäksi toimenpiteen kohteena voi olla myös henkilöitä, joiden voidaan perustellusti olettaa syyllistyvän rikokseen (tai olevan 7 §:n 2 momentin 2 kohdassa tarkoitetulla tavalla yhteydessä rikolliseen toimintaan), mutta rikoksen vakavuusaste ei ole selvillä. Pykälissä tarkoitetun käsittelyn ulkopuolelle jäisi siten myös osa sellaisista henkilötiedoista, joita voidaan käsitellä voimassa olevan lain mukaisessa poliisiasiain tietojärjestelmässä ilman, että käsittely on sidottu rikoksen vakavuusasteeseen. Näin ollen muutos heikentäisi poliisin mahdollisuuksia ennalta estävän toiminnan tietojen kirjaamiseen joiltain osin nykytilaan verrattuna. 

Huolta aiheuttavien henkilöiden ja muiden poliisin ennalta estävään toimintaan liittyvän toimenpiteen kohteiden käsittelyn kattamiseksi 7 §:n 2 momentin 3 kohtaan on hallintovaliokunnan näkemyksen mukaan tarve lisätä uusi henkilöryhmä, poliisin toimenpiteen kohteena olevat henkilöt. Poliisin olisi voitava käsitellä myös näiden toimenpiteen kohteena olevien henkilöiden tietoja rikosten ennalta estämiseen ja paljastamiseen liittyvien tehtävien suorittamiseksi, kunnes selviää, täyttyykö 7 §:n 2 momentin 1 tai 2 kohdan mukainen käsittelykynnys. Poliisin toimenpiteet luonnollisten henkilöiden osalta liittyvät aina yksittäiseen tehtävään, ja niihin voi liittyä eriasteista julkisen vallan käyttöä. 

Ennalta estävän toiminnan kirjaamista ei ole nimenomaisesti huomioitu poliisiasiain tietojärjestelmää koskevissa säännöksissä lukuun ottamatta 2 §:n 1 momentissa määriteltyä käsittelytarkoitusta, joka kattaa kaikki poliisilain 1 luvun 1 §:n 1 momentin mukaiset poliisin tehtävät. Ehdotettu 7 ja 8 § selventäisivät tältä osin poliisin mahdollisuuksia toimenpiteen kohteena olevien henkilöiden tietojen käsittelyyn voimassa olevaan lakiin verrattuna. Valiokunta huomauttaa, että voimassa oleva 2 § mahdollistaa tietojen käsittelyn myös tarkemmin määrittelemättömistä "muista asiaan liittyvistä henkilöistä", joten käsiteltävät henkilöryhmät rajautuisivat valiokunnan ehdottamassa 7 §:n muotoilussa huomattavasti voimassa olevaa lakia tiukemmin. Valiokunta viittaa yksityiskohtaisissa perusteluissa esitettyyn.  

Yhteenveto

Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa perustuslakivaliokunnan valtiosääntöisen huomautuksen huomioon ottamiseksi, että henkilötietojen käsittely sidotaan epäillyn rikoksen vakavuuteen. Henkilötietojen käsittelykynnystä korotetaan siten, että tietoja voitaisiin käsitellä ainoastaan sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, josta laissa säädetty ankarin rangaistus on vankeutta. 

Hallintovaliokunta toteaa, että mikäli käsittelykynnys nostettaisiin "syytä epäillä" -tasolle, korostuisi tarve toimenpiteen kohteena olevien henkilöiden tietojen käsittelyyn entisestään. Toimenpiteen kohteiden tietoja olisi tässä tilanteessa käsiteltävä 7 §:n 2 momentin 3 kohdan nojalla, kunnes käy ilmi, onko henkilön syytä epäillä syyllistyneen tai syyllistyvän vankeusuhkaiseen rikokseen. Edellä rikosten ennalta estämistä ja paljastamista koskevien säännösten ja niitä koskevan rekisterivertailun yhteydessä esitetyin perustein valiokunta toteaa, että se pitää hallituksen esityksessä ehdotettua 7 §:n 2 momentin 1 kohdan käsittelykynnystä "voidaan perustellusti olettaa" perusteltuna eikä ehdota sen muuttamista. 

Hallintovaliokunta korostaa, että poliisin toimintaan johtavan päätöksenteon tulee pohjautua asianmukaiseen, oikeaan ja ajantasaiseen tietoon. Tietojen käsittelyllä varmistetaan tehtävien ja toimenpiteiden oikeasuhtainen kohdentuminen eli tietojohtoinen toiminta. Tietojen käsittely ja dokumentointi on myös oikeussuojakeino, jolla varmistetaan sekä toimenpiteen kohteiden sekä toimenpiteitä suorittavien henkilöiden oikeusturva. Toiminnan jälkikäteinen arviointi voi lähtökohtaisesti perustua vain dokumentoituun tietoon. 

Suojelupoliisin henkilötietojen käsittely

Suojelupoliisin henkilötietojen käsittelystä säädetään lain 7 luvussa. Lakiehdotuksessa on huomioitu suojelupoliisin nykyinen asema sisäministeriön alaisena valtakunnallisena poliisiyksikkönä. Laissa ehdotetaan säädettäväksi henkilötietojen luovuttamisesta suojelupoliisin ja muiden poliisiyksiköiden välillä. Poliisihallituksen rekisterinpitoon kuuluvien henkilötietojen luovuttamisesta suojelupoliisille säädetään lain 4 luvussa ja suojelupoliisin tietojen luovuttamisesta muille poliisiyksiköille lain 7 luvussa. Suojelupoliisia koskevassa 7 luvussa säädetään lisäksi suojelupoliisin tiedonsaantioikeuksista myös Poliisihallituksen rekisterinpidossa olevien henkilötietojen osalta. Lain 3 luvussa ja 7 luvussa huomioidaan myös suojelupoliisin mahdollisuus luovuttaa henkilötietoja poliisin henkilörekistereihin suorakäyttöisesti tallettamalla tai tietojoukkona. 

Eduskunta on 11.3.2019 hyväksynyt siviilitiedustelua koskevan lainsäädännön (HE 202/2017 vp — HaVM 36/2018 vp). Siviilitiedustelulainsäädännön voimaantullessa suojelupoliisilta poistuvat esitutkintatoimivaltuudet. Tästä aiheutuu muutostarve ehdotetun poliisin henkilötietolain 48 §:ään, jossa säädetään suojelupoliisin henkilötietojen käsittelytarkoituksista. Muilta osin esityksessä on otettu huomioon siviilitiedustelulainsäädännön vaikutukset suojelupoliisin henkilötietojen käsittelyyn. Hallintovaliokunta viittaa tarkemmin yksityiskohtaisissa perusteluissa esitettyyn. 

Suojelupoliisin pääasiallisena tehtävänä on hankkia tietoa kansallisen turvallisuuden suojaamiseksi. Tässä tarkoituksessa tietoja on myös oltava mahdollisuus salassapitosäännösten estämättä luovuttaa. Henkilötietoja on voitava luovuttaa sekä toimivaltaisille viranomaisille, julkista tehtävää hoitaville yhteisöille että joissain tapauksissa myös yksityisille toimijoille. Tätä koskevat säännökset sisältyvät lakiehdotuksen 50 §:ään. Pykälässä ei esitetä mitään asiallista muutosta voimassaolevaan lainsäädäntöön nähden. Ainoa muutos on kansallisen turvallisuuden termin käyttäminen voimassa olevan valtion turvallisuuden sijaan. Termit kuitenkin vastaavat asiallisesti toisiaan. 

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty erityisesti lain 50 §:n 2 momenttiin. Sen mukaan suojelupoliisi saa lisäksi salassapitosäännösten estämättä luovuttaa henkilötietoja muille poliisiyksiköille 13 §:ssä tarkoitettuihin käsittelytarkoituksiin sekä muulle viranomaiselle tai julkista tehtävää hoitavalle yhteisölle 4 luvussa tarkoitettuihin käsittelytarkoituksiin. Huomiota on kiinnitetty myös siihen, että tiettyjä tietoja olisi mahdollista luovuttaa yksityiselle yhteisölle tai elinkeinonharjoittajalle. Näiltä osin hallintovaliokunta toteaa seuraavaa. 

Tiedon luovuttaminen viranomaisille

Hallituksen esityksessä ehdotetun 50 §:n 2 momentin mukaan suojelupoliisi voisi luovuttaa henkilötietoja myös muiden viranomaisten tehtävien suorittamiseksi samalla tavoin kuin muukin poliisi. Tältä osin momentissa on viittaus lain 4 lukuun ja muun poliisin vastaavaan sääntelyyn. Momentissa tarkoitetaan siten tiedonluovutusta sellaisissa tilanteissa, joissa tiedonluovutus ei ole tarpeen suojelupoliisin oman tehtävän vuoksi vaan toiselle viranomaiselle tai poliisiyksikölle säädetyn tehtävän suorittamiseksi. Näin tämän momentin nojalla suojelupoliisi voi luovuttaa muille poliisiyksiköille henkilötietoja silloin, kun se on tarpeen 13 §:ssä säädettyihin tarkoituksiin. Tältä osin suojelupoliisin tulee noudattaa myös sitä, mitä toimivaltuuksien osalta säädetään. Kun siviilitiedustelusta säädettäessä tietojen luovuttamista rikostorjuntaan on rajoitettu, niin näitä säännöksiä on noudatettava. Kyseisen käyttörajoitussääntelyn osalta tarkoitetaan siviilitiedustelulainsäädännön niin sanottua palomuurisäännöstä eli poliisilain 5 a luvun 44 §:ää. Silloin, kun henkilötiedot ja niihin liittyvät rikostiedot on saatu tiedustelumenetelmällä, on tietojen luovutuksessa rikostorjuntaa varten noudatettava kyseistä sääntelyä. Siten suojelupoliisi voi luovuttaa henkilötietoja muille poliisiyksiköille tai viranomaisille niiden tehtävän suorittamiseksi, jos tietojen luovuttamista ei ole muun sääntelyn perusteella rajoitettu tai kielletty. 

Suojelupoliisilla on käytössään muitakin tiedonhankintamenetelmiä kuin tiedustelumenetelmät, minkä lisäksi suojelupoliisi saa tietoa muun muassa muilta viranomaisilta, kansainvälisessä yhteistyössä sekä avoimista lähteistä. Tiedustelumenetelmiä koskeva ns. palomuuri koskee ainoastaan siviilitiedustelumenetelmillä saadun tiedon eteenpäin luovuttamista. 

Suojelupoliisin on voitava luovuttaa tietoa muille viranomaisille niiden tehtävien suorittamiseksi siten kuin voimassa olevan lain mukaan. Suojelupoliisilla on poliisilain 5 a luvun lisäksi tehtäviä muun muassa seuraavien lakien perusteella: turvallisuusselvityslaki (726/2014), kansalaisuuslaki (359/2003), ulkomaalaislaki (301/2004), poliisilain muut luvut, puolustustilalaki (1083/1991), kansainvälisistä tietoturvallisuusvelvoitteista annettu laki (588/2004), tietoturvallisuuden arviointilaitoksista annettu laki (1405/2011), puolustustarvikkeiden viennistä annettu laki (282/2012) ja rikostorjunnasta Tullissa annettu laki (623/2015). 

Suojelupoliisin moninaisten tehtävien osalta ei ehdoteta mitään muutosta voimassa olevaan verrattuna. Siviilitiedustelulainsäädäntö ei poista tai muuta suojelupoliisin tekemää viranomaisyhteistyötä siten, että suojelupoliisia pitäisi estää tukemasta muiden viranomaisten toimintaa nykytilaa vastaavasti. Siviilitiedustelulainsäädännön myötä ei myöskään ehdoteta poistettavaksi suojelupoliisin keskeisimpiä muiden lakien nojalla säädettyjä tehtäviä. Suojelupoliisin on pystyttävä edelleen suorittamaan tehtävänsä myös siten, että toisille viranomaisille luovutetaan henkilötietoja. 

Hallintovaliokunta katsoo, että selvyyden vuoksi 50 §:n 2 momenttia on aiheellista täydentää viittauksella poliisilain 5 a luvun 44 §:ään, jolloin on täysin selvää, että palomuurisäännös rajoittaa myös henkilötietojen luovuttamista silloin, kun kyse on tiedustelumenetelmillä saaduista henkilötiedoista. Valiokunta viittaa yksityiskohtaisissa perusteluissa tarkemmin esitettyyn. 

Tietojen luovuttaminen yksityisille tahoille

Suojelupoliisin ensisijainen tehtävä on hankkia tietoa, jonka avulla voidaan suojata kansallista turvallisuutta. Suomessa esimerkiksi suuri osa kriittisestä infrastruktuurista samoin kuin ulkomaisia toimijoita kiinnostavasta kansantalouden kannalta merkittävästä tietotaidosta ja innovaatioista on yksityisten toimijoiden hallussa. Jotta suojelupoliisi pystyisi toteuttamaan tehtäväänsä, on sen pystyttävä luovuttamaan yksityisille toimijoille tietoja ja myös henkilötietoja. 

Kaikki kansallista turvallisuutta uhkaava toiminta on aina viime kädessä inhimillistä, ja myös esimerkiksi valtiollinen toimija toimii aina ihmisen tai ihmisten välityksellä. Näitä toimijoita koskeva henkilötieto on voitava luovuttaa yksityiselle taholle, jota esimerkiksi valtiollisen toimijan edustama henkilö uhkaa. 

Suojelupoliisi toimittaa tietoja aina ainoastaan yksittäistapaukselliseen harkintaan perustuen ja vain silloin, kun se on välttämätöntä. Suojelupoliisin tietojärjestelmään ei anneta käyttöoikeuksia kenellekään suojelupoliisin organisaation ulkopuoliselle taholle, ja käyttöoikeudet rajautuvat suojelupoliisin sisälläkin vain sellaisiin henkilöihin, jotka tietoja työtehtäviensä suorittamiseksi tarvitsevat. 

Suojelupoliisi voi luovuttaa voimassa olevan poliisilain 7 luvun 2 §:n perusteella henkilötietoja yksityisille tahoille. Koska siviilitiedustelua koskevassa poliisilain 5 a luvun 55 §:ssä ehdotetaan säädettäväksi tietojen luovuttamisesta siviilitiedustelussa ja koska perustuslakivaliokunta (PeVL 35/2018 vp) on edellyttänyt, että kyseistä tietojenluovutuspykälää rajataan siten, että siitä poistetaan henkilötietojen luovuttaminen, tulee henkilötietojen luovuttamisesta yksityisille tahoille säätää poliisin henkilötietolaissa. Näin ollen ehdotetaan edellä mainituilla perusteilla, että suojelupoliisi voi luovuttaa henkilötietoja yksittäistapauksessa tehtäviensä suorittamiseksi yksityisille tahoille, kuten nykyisinkin (50 §:n 4 momentti). 

Koska kyse on, kuten voimassa olevankin lain mukaan, aina yksittäistapauksesta ja tilanteesta, jossa luovuttamiseen on painava syy, hallintovaliokunta ehdottaa 50 §:n 4 momentin sääntelyä tarkennettavaksi tätä koskevilla maininnoilla yksityiskohtaisista perusteluista ilmenevin tavoin. 

Tietojen luovuttaminen ja vastaanottaminen

Perustuslakivaliokunta on poliisin henkilötietolaista antamassaan lausunnossa kiinnittänyt huomiota tietojen luovuttamista ja vastaanottamista koskevaan sääntelyyn ainoastaan suojelupoliisiin sovellettavan 51 §:n kohdalla, jossa säädetään henkilötietojen luovuttamisesta kansainvälisessä yhteistyössä (PeVL 51/2018 vp). Lausuntoon sisältyy tätä koskeva valtiosääntöinen huomautus. Tältä osin hallintovaliokunta viittaa yksityiskohtaisissa perusteluissa ehdotettuun pykälämuutokseen. 

Muilta osin perustuslakivaliokunnan lausunnossa ei ole ollut huomauttamista tietojen luovuttamisesta tai vastaanottamisesta ehdotettuihin säännöksiin. 

Hallituksen esitykseen HE 241/2018 vp sisältyvästä Rajavartiolaitoksen henkilötietolaista antamassaan lausunnossa perustuslakivaliokunta viittaa lakiehdotuksen 17 §:ään, jossa säädetään Rajavartiolaitoksen oikeudesta saada tietoja viranomaiselta (PeVL 58/2018 vp). Lausunnossa viitataan siihen, että perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 14/2018 vp, s. 5). Valiokunnan mukaan samanlaisia lähtökohtia voidaan soveltaa myös tietojen saamiseen ja luovuttamiseen yksityiseltä esimerkiksi pankkisalaisuuden estämättä. (ks. PeVL 48/2018 vp, s. 5). 

Perustuslakivaliokunta katsoo, että Rajavartiolaitoksen henkilötietolakiin ehdotettua 17 §:n sääntelyä on täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu lakiehdotuksen 18 §:n sääntelyyn tietojen saannista yksityiseltä yhteisöltä ja henkilöltä, 20 §:n sääntelyyn tietojen saannista eräistä rekistereistä ja tietojärjestelmistä, 30 §:n sääntelyyn henkilötietojen luovuttamisesta toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle sekä 31 §:n sääntelyyn henkilötietojen muusta luovuttamisesta viranomaiselle. 

Hallituksen esitykseen HE 259/2018 vp sisältyvästä Tullin henkilötietolaista annetun perustuslakivaliokunnan lausunnon (PeVL 60/2018 vp) mukaan lakiehdotuksen 14 §:n sääntelyä Tullin oikeudesta saada tietoja eräistä rekistereistä ja tietojärjestelmistä on täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu 15 §:n lakiehdotuksen sääntelyyn muiden viranomaisten tietojen luovuttamiseen Tullille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten, 18 §:n sääntelyyn henkilötietojen luovuttamisesta toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle ja 19 §:n sääntelyyn muusta henkilötietojen luovuttamisesta viranomaisille. 

Vastaavat säännökset tietojen luovuttamisesta ja saamisesta sisältyvät myös poliisin henkilötietolakiin. Hallintovaliokunta katsoo, että sääntelyn tulisi olla mahdollisimman yhdenmukaista ottaen huomioon poliisin, Tullin ja Rajavartiolaitoksen PTR-yhteistyön ja muun viranomaisten välisen yhteistyön. Sääntely ei myöskään saisi johtaa siihen, että tietoja voi luovuttaa muihin EU-/ETA-maihin tai kolmansiin maihin väljemmin kriteerein kuin kansallisesti. 

Lisäksi on huomioitava se, että yleisen käytännön mukaan tietojen luovuttamista ja tiedonsaantioikeutta koskevat säännökset on sisällytetty sekä luovuttavan että vastaanottavan viranomaisen lainsäädäntöön. Tällainen sääntelytapa ei kuitenkaan ole ollut kattavaa. Hallintovaliokunta on kiinnittänyt huomiota kaksinkertaiseen sääntelyyn muun muassa mietinnössään HaVM 36/2014 vp. 

Kaksinkertaisen sääntelyn lisäksi tiedonvaihtoa on säännelty erityislainsäädännössä myös siten, että tiedonsaantioikeudesta säädetään vain tiedon luovuttajaa koskevissa säädöksissä, sekä siten, että tiedonsaantioikeudet sisältyvät vain vastaanottajaa koskevaan lainsäädäntöön. Kaikilta osin poliisin henkilötietolain mukaista tiedonsaantioikeutta vastaavaa luovutussäännöstä ei olisi mahdollista sijoittaa mihinkään voimassa olevaan erityislakiin. Tiedonvaihtoon liittyvien tarpeiden huomioimiseksi poliisin henkilötietolakiin on siten sisällytettävä sekä tiedonluovutusta että tiedonsaantia koskevia säännöksiä riippuen siitä, millainen sääntelyratkaisu tiedonvaihdon toista osapuolta koskevassa lainsäädännössä on omaksuttu. Poliisin henkilötietolakiin sisältyvän kaksinkertaisen sääntelyn poistaminen ei näin ollen selkeyttäisi tilannetta merkittävästi. 

Hallintovaliokunta toteaa, että ehdotettu sääntely olisi nyt muodostumassa erilaiseksi yhtäältä poliisin ja Rajavartiolaitoksen/Tullin välillä, toisaalta eräiltä osin myös Tullin ja Rajavartiolaitoksen välillä. Edellytetyt muutokset johtaisivat myös siihen, että tietoja voisi luovuttaa muihin EU-/ETA-maihin tai kolmansiin maihin väljemmin kriteerein kuin kansallisesti. 

Perustuslakivaliokunta on lausunnoissaan antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). 

Hallintovaliokunta toteaa, että arkaluonteisia henkilötietoja käsitellään poliisissa sekä poliisidirektiivin että tietosuoja-asetuksen soveltamisalaan kuuluvia poliisin tehtäviä varten. Lisäksi poliisin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. 

Tietosuojasääntely on EU:n tietosuojauudistuksen myötä tiukentunut. Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyssä noudatettavista periaatteista ja 6 artiklassa käsittelyn lain mukaisuudesta. Henkilötietojen käsittely on lainmukaista muun muassa silloin, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. 

Tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan erityisiä henkilötietoryhmiä koskevien henkilötietojen käsittely on lähtökohtaisesti kielletty. Erityisiä henkilötietoryhmiä ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisten henkilötietoryhmien käsittelyä on myös geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Artiklan 2 kohdan mukaan kyseisiä tietoja voidaan kuitenkin käsitellä, jos joku 2 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Osa näistä alakohdista on suoraan sovellettavaa oikeutta, osa edellyttää kansallista lainsäädäntöä. 

Tietosuoja-asetusta täydentävän kansallisen tietosuojalain 6 §:ssä säädetään tilanteista, joissa arkaluonteisia henkilötietoja saa käsitellä siltä osin kuin kyseinen henkilötietojen käsittely ei ole mahdollista suoraan tietosuoja-asetuksen 9 artiklan 2 kohdan nojalla. Tässä yhteydessä on kuitenkin tärkeä huomata, että erityisten henkilötietoryhmien käsite ei ole täysin sama kuin aiemmin voimassa olleen henkilötietolain 12 §:ssä tarkoitetut henkilötiedot. Tietosuoja-asetus edellyttää lisäksi, että jäsenvaltion lainsäädännössä säädetään tällöin myös asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. 

Rikosasioiden tietosuojalain 6 §:n mukaan käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Erityisiin henkilötietoryhmiin kuuluvista tiedoista säädetään rikosasioiden tietosuojalain 11 §:ssä. Sen mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä ja rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja käsittelylle on osoitettavissa 11 §:ssä mainittu oikeusperuste, esimerkiksi erityislaki. 

Käsittelyllä tarkoitetaan tietosuoja-asetuksessa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojen käsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista (4 artiklan 2 kohta). Rikosasioiden tietosuojalain 3 §:ssä käsittely määritellään vastaavalla tavalla. 

Perustuslakivaliokunta on lausunnossaan pitänyt säätämisjärjestyskysymyksenä sitä, että erityisen perusoikeusherkkään lakiehdotukseen tulee lisätä yleissäännös arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Vaihtoehtoisesti sääntelyä on täydennettävä pykäläkohtaisesti arkaluonteisten tietojen käsittelyn välttämättömyyteen sitovilla säännöksillä. Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon johdosta tällaisen yleissäännöksen ottamista hallituksen esityksessä ehdotettuun 14 §:ään (valiokunnan mietinnössä 15 §) yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Kun tietojen luovuttaminen ja vastaanottaminen ovat edellä todetulla tavalla kummankin tietosuojasäädöksen soveltamisalalla tietojen käsittelyä, koskee hallintovaliokunnan ehdottama uusi säännös erityisiä henkilötietoryhmiä koskevien tietojen käsittelyn välttämättömyys-kriteeristä myös tietojen luovuttamista ja saamista, minkä johdosta säännös täyttää myös perustuslakivaliokunnan käytännössä arkaluonteisten tietojen käsittelyä viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevalta sääntelyltä edellytetyn. 

Muiden kuin erityisiä henkilötietoryhmiä koskevien tietojen osalta tulee sovellettavaksi yleislainsäädäntö, toisin sanoen tietosuoja-asetus ja tietosuojalaki sekä rikosasioiden tietosuojalaki, joiden mukaan henkilötietoja saa käsitellä vain, jos se on tarpeen viranomaiselle säädetyn tehtävän suorittamiseksi. 

Hallintovaliokunta katsoo, että sääntely hallintovaliokunnan ehdottamassa muodossa täyttää EU-oikeudessa ja perustuslakivaliokunnan vakiintuneessa tulkintakäytännössä henkilötietojen käsittelylle asetetut edellytykset. 

Tietojen säilytysajat

Henkilötietojen säilytysajoista ehdotetaan säädettävän poliisin henkilötietolain 5 luvussa ja suojelupoliisin osalta 57 §:ssä. Perustuslakivaliokunta on kiinnittänyt huomiota tietojen säilytysaikojen pituuksiin. Lakiehdotuksen 35 §:n mukaan rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan tiedon merkitsemisestä. Lakiehdotuksen 36 §:n mukaan tietolähdetiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Myös 33 §:n 7 momentissa, 34 §:n 4 momentissa ja 35 §:n 2 momentissa sallitaan tietojen säilytyksen toistuva jatkaminen varsin väljillä perusteilla. Suojelupoliisia koskevan 57 §:n mukaan tiedot poistetaan 25 vuoden kuluttua viimeisen tiedon merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen. 

Perustuslakivaliokunnan mukaan tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita (ks. PeVL 31/2017 vp). Valiokunta on pitänyt myös viiden vuoden säilytysaikaa arkaluonteisten tietojen osalta pitkänä (PeVL 13/2017 vp) ja korostanut, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp). Hallintovaliokunnan on syytä tarkastella, ovatko näin pitkät säilytysajat tarpeen, ja rajoittaa erityisesti arkaluonteisten henkilötietojen säilytysaikoja välttämättömään säilytyksen tarkoituksen kannalta. 

Hallintovaliokunta toteaa, että poliisin henkilötietolain 5 luvussa säädetään henkilötietojen enimmäisajoista. Näin ollen 5 luvun poistoaikoja noudatetaan, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin. Valiokunnan mielestä on kuitenkin perusteltua, että säilytysajat ilmaistaan joiltain osin absoluuttisessa muodossa. Esimerkiksi 33 §:n 1 momentin mukaisella viiden vuoden säilytysajalla varmistetaan, että tiedot säilytetään vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Toisaalta esimerkiksi 35 ja 36 §:ssä on valiokunnan näkemyksen mukaan tarkoituksenmukaista korostaa sitä, että tiedot on poistettava jo ennen säännösten mukaisen 10 vuoden säilytysajan päättymistä, mikäli ne käyvät käsittelytarkoituksen kannalta tarpeettomiksi. 

Hallintovaliokunta pitää tarkoituksenmukaisena myös varmistaa, että 5 luvussa tarkoitetut säilytysajat eivät estä tietojen säilyttämistä tilanteissa, joissa tietojen voidaan edelleen perustellusti katsoa olevan tarpeellisia (33 §:n 7 momentti, 34 §:n 4 momentti ja 35 §:n 2 momentti). Tietojen edelleen säilyttämisen tarpeellisuutta tulee näissä tilanteissa arvioida vähintään viiden vuoden välein. Tältä osin sääntely vastaa rikosasioiden tietosuojalain 6 §:n 3 momenttia, jonka mukaan henkilötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä. Hallintovaliokunta toteaa lisäksi, että muita tietoja lyhyemmän säilytysajan asettaminen arkaluonteisina pidettäville tiedoille johtaisi tilanteisiin, joissa osa samaan tehtävään liittyvistä tiedoista olisi poistettava eri aikaan kuin muut. Tämä olisi ongelmallista etenkin tietojen eheyden kannalta. 

Suojelupoliisin osalta henkilötietojen säilytysajasta säädetään lakiehdotuksen 57 §:ssä. Ehdotuksen mukaan tiedot poistetaan kahdenkymmenenviiden vuoden kuluttua viimeisen tiedon merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein. 

Hallintovaliokunta toteaa, että sääntely vastaa pääosin voimassa olevan lain 25 §:ää. Uutena sääntelynä lakiin lisättäisiin mahdollisuus säilyttää tietoja yli 25 vuotta, mikäli siihen on erityistä suojelupoliisin tehtävään liittyvää tarvetta. Lakiin lisättäisiin myös velvollisuus arvioida tietojen tarpeellisuutta ja käsittelyn perustetta viiden vuoden välein, mikäli tietoja olisi tarpeen säilyttää yli laissa säädetyn enimmäisajan. Jos tietojen todetaan olevan edelleen tarpeen, tehdään henkilötiedon yhteyteen merkintä arvioinnin suorittamisesta. 

Suojelupoliisin tehtävien hoitaminen edellyttää asioiden pitkäkestoista seuraamista. Tuotettavat tiedot ja niistä tehtävä analyysi tulisi käsittää syklinä, joka tietoa tuottaessaan synnyttää lähes aina mahdollisia uusia tietotarpeita. Tiedustelutarkoitukset eroavat tässä suhteessa esimerkiksi rikostorjunnasta, jossa aikajänne voidaan sitoa yhteen muun muassa tekoja koskevien vanhentumissäännösten kanssa. Käsiteltävät tiedot eivät ole tarpeellisia ainoastaan selvitettäessä yksittäistä tekoa, vaan niiden avulla pyritään hahmottamaan kokonaisuuksia ja tuottamaan ennakollista tietoa. 

Suojelupoliisin toimialaan liittyy erityispiirteitä, jotka vaikuttavat tietojen säilytystarpeeseen. Tiedonhankinta valtiollisista toimijoista on pitkäjänteistä ja jatkuvaa, ja esimerkiksi vieraan valtion yhteiskuntaan valehenkilöllisyydellä soluttamat henkilöt voivat toimia yhteiskuntaan integroituneina erittäin pitkiä aikoja. Tiedustelutoimintaan ammattimaisesti osallistuvien henkilöiden normaaliin uraan kuuluu siirtyä asemapaikasta toiseen. Ei ole mitenkään epätavanomaista, että sama henkilö palaa monen vuoden jälkeen takaisin vanhaan asemapaikkaansa, jolloin aiemmin kerätyn tiedon merkitys konkretisoituu uudelleen. 

Terrorismin torjunnan osalta puolestaan on huomioitava se, että kohdehenkilöiden ajattelu tai arvomaailma harvoin muuttuu. Yksittäisen henkilön muodostama uhka voi siten muodostua pitkäkestoiseksi. Henkilö saattaa esimerkiksi toimia kontaktina ja organisoijana muiden kohdehenkilöiden välillä ilman, että hän syyllistyy rikoslaissa tarkoitettuun terrorismirikokseen. Jotta voidaan ymmärtää eri henkilöiden välisiä riippuvaisuuksia, on tärkeää, että tietoa on käytettävissä riittävän pitkältä aikaväliltä. Lisäksi on huomioitava, että myös terrorismiin liittyvät henkilöt voivat poistua Suomesta pitkäksikin aikaa ja palata myöhemmin takaisin. Tämä koskee etenkin niin sanottuja vierastaistelijoita. 

Molemmissa esimerkeissä huomio kääntyy henkilöllisen ulottuvuuden lisäksi tarpeeseen seurata henkilön taustalla vaikuttavaa tahoa tai ideologiaa pidemmällä aikavälillä. On lisäksi syytä tuoda esiin, että kaikissa tapauksissa ei voida tehdä selvää eroa terroristisen ja valtiollisen toimijan välillä. 

Vertailun vuoksi voidaan todeta, että puolustusvoimien henkilötietolain 43 §:n (HE 13/2018 vp — PuVM 3/2018 vp) mukaan rekisteröityä koskevat henkilötiedot poistetaan sotilastiedustelurekisteristä viimeistään 50 vuoden kuluttua viimeisen tiedon merkitsemisestä. Sotilastiedustelutarkoituksia varten esitetty poistoaika myös osaltaan kuvastaa, miten merkittävistä tarkasteluajanjaksoista tiedustelussa voidaan puhua. 

Hallintovaliokunnan saaman selvityksen mukaan tietojen säilytysaikojen porrastaminen, kuten esimerkiksi sähköisen viestinnän palveluista annetun lain (917/2014) 157 §:ssä on tehty, muodostuisi erittäin ongelmalliseksi. Suojelupoliisin toimialalla on välttämätöntä käsitellä esimerkiksi arkaluontoisia henkilötietoja, kuten tietoa henkilön etnisestä alkuperästä tai uskonnollisesta vakaumuksesta, osana tiedustelun hoitamista. Jos henkilön perustietojen ohella on välttämätöntä käsitellä arkaluontoisia henkilötietoja, ei tämä tarve useinkaan poistu ennen kuin tiedot voidaan kokonaisuudessaan poistaa rekisteristä. Tämän johdosta esimerkiksi arkaluontoisiin tietoihin ei tulisi kohdistaa yleisistä poistosäännöistä poikkeavia käsittelysääntöjä. 

Kuten perustuslakivaliokunnan lausunnossa todetaan, mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta. Suojelupoliisin toiminnallinen tietojärjestelmä on luokiteltu korkean tietoturvatason tietojärjestelmäksi, joka tarkoittaa poikkeuksellisen voimakasta suojausta ja järjestelmän käytön valvontaa. Tietojen arkaluonteisuuden johdosta rekisterin käyttäjäpiiri on rajattu ainoastaan suojelupoliisin henkilöstöön kuuluviin. Suojelupoliisin toiminnallista tietojärjestelmää valvoo tulevaisuudessakin tietosuojavaltuutettu, jonka lisäksi valvontaa suorittaa uusi tiedusteluvalvontavaltuutettu tiedustelutoiminnan valvonnasta annetussa laissa (121/2019) säädetyllä tavalla. Näiden seikkojen johdosta suojelupoliisin käsittelemien henkilötietojen voidaan katsoa olevan paitsi poikkeuksellisen hyvin suojattu myös erittäin kattavasti valvottu. 

Edellä todetun perusteella hallintovaliokunta pitää ehdotettuja säilytysaikoja asianmukaisina ja myös arkaluonteisten tietojen osalta harkittuina. 

Valvonta

Eduskunta edellytti vastauksessaan hallituksen esitykseen HE 66/2012 vp, että poliisin henkilötietolain uudistuksen yhteydessä huomioidaan muiden seikkojen ohella myös poliisin henkilötietolaissa tarkoitettujen rekisterien valvonnan kehittäminen. Hallintovaliokunta totesi esityksestä antamassaan mietinnössä (HaVM 26/2013 vp), että lakiin tuolloin ehdotetut uudet tietoryhmät, kuten myös tietojen sisällön tarkempi määritteleminen tarpeellisuusharkinnan perusteella, edellyttävät lisäpanostusta henkilötietojen käsittelyn valvontaan. Henkilötietojen käsittelyn valvonta sekä tietojen sisällön että tietojen käytön osalta on välttämätöntä. Myös valvonnan tulosten raportointia tulisi tehostaa. Hallituksen esityksen perusteluissa tehdään selkoa poliisin henkilötietojen käsittelyn sisäisestä ja ulkoisesta laillisuusvalvonnasta. 

Poliisin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää (PeVL 42/2014 vp, PeVL 18/2012 vp). Perustuslakivaliokunta on myös kiinnittänyt huomiota siihen, että lakiin aiemmin lisättyjen säännösten myötä tietosisältöjen määrä on edelleen kasvanut. Tällaisessa tilanteessa tietojen käytön valvontaan on kiinnitettävä korostettua huomiota (PeVL 42/2014 vp). 

Poliisin hallinnosta annetun lain 1 §:n 1 momentin mukaan sisäministeriö vastaa poliisin toimialan ohjauksesta ja valvonnasta. Sisäministeriön työjärjestyksestä annetun sisäministeriön asetuksen (1078/2013) 13 §:n 2 momentin mukaan ministeriön poliisiosasto käsittelee poliisin laillisuusvalvontaan kuuluvat asiat. Poliisiosasto toteuttaa laillisuusvalvontaansa sisäministeriön ja sen hallinnonalan laillisuusvalvontaohjeen (SMDno-2016-329) mukaisesti. Poliisiosaston suorittama laillisuusvalvonta tarkoittaa esimerkiksi hallintokantelujen ja kansalaispalautteen käsittelyä, henkilötietojen käsittelyn valvontaa, tarkastustoimintaa sekä lausuntojen antamista erityisesti ylimmille laillisuusvalvojille. 

Sisäministeriön hallinnonalan virastojen ja laitosten johto on vastuussa siitä, että henkilötietojen käsittely ja henkilörekisterin käytön valvonta on järjestetty lainmukaisesti ja tarkoituksenmukaisella ja tehokkaalla tavalla. Poliisiyksikön päällikkö vastaa laillisuusvalvonnan järjestämisestä ja sen resursoinnista yksikössään. 

Poliisin sisäisessä laillisuusvalvonnassa korostuu yksiköiden päälliköiden, päällystön sekä lähiesimiesten toiminta sekä henkilötietojen käsittelyä koskevan ohjeistuksen merkitys. Henkilötietojen käsittelyn valvonta perustuu päivittäisen esimiesvalvonnan lisäksi käyttöoikeuskäytäntöihin ja lokiseurantaan sekä erilaisiin tarkastuksiin. Käyttöoikeuksien myöntämiskäytännöillä voidaan vaikuttaa siihen, että henkilötietoja käsittelevät ainoastaan sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely kuuluu ja jotka täyttävät lakisääteiset edellytykset käyttöoikeuksien saamiselle. Poliisihallitus suorittaa lisäksi pistokoeluontoisia tarkastuksia poliisin ylläpitämien rekistereiden käyttölokitietoihin poliisin tietojärjestelmien ja henkilötietojen käytön valvomiseksi. Tarkastuksia tehdään suunnitelmallisesti ja aina kun siihen ilmenee aihetta. Myös poliisiyksiköt voivat suorittaa lokitietojen tarkastuksia. 

Poliisiyksiköissä toimivilla oikeusyksiköillä on ollut viime vuosina merkittävää vaikutusta poliisissa suoritettavan laillisuusvalvonnan järjestämiseen ja organisointiin sekä rekisterien käytön valvontaan poliisiyksiköissä. Selvityksen mukaan rekisterinpitoon ja tietosuojaan liittyvien tehtävien organisointia poliisissa on täsmennetty vuosien 2015—2018 aikana ja resursseja on vahvistettu. Poliisin tietosuojaorganisaatiossa poliisiyksikön tietosuojavastaavan tehtäviä hoitavat henkilöt ovat pääosin oikeusyksiköiden edustajia. Poliisissa on lisäksi otettu vuoden 2019 alussa valtakunnalliseen käyttöön rikosasioiden tietosuojalain 55 §:n edellyttämä lain rikkomista koskeva ilmoitusmenettely osana laajempaa poliisihallinnon sisäistä ilmoituskanavaa. 

Poliisihallitus antaa poliisiyksiköiden edellisen vuoden laillisuusvalvontakertomuksista kootun, koko poliisihallintoa koskevan kertomuksen sisäministeriölle ja toimittaa sen tiedoksi valtioneuvoston oikeuskanslerille ja eduskunnan oikeusasiamiehelle. Kertomuksissa käsitellään muun muassa lokitarkastuksia, niiden tuloksia ja tarkastuksen johdosta vaadittuja ja suoritettuja toimenpiteitä sekä muita henkilötietojen käsittelyn valvontaan liittyviä toimenpiteitä. 

Suojelupoliisin toiminnallinen tietojärjestelmä on luokiteltu korkean tietoturvatason tietojärjestelmäksi, joka tarkoittaa poikkeuksellisen voimakasta suojausta ja järjestelmän käytön valvontaa. Tietojen arkaluonteisuuden johdosta rekisterin käyttäjäpiiri on rajattu ainoastaan suojelupoliisin henkilöstöön kuuluviin. Suojelupoliisin sisällä suojelupoliisin päällikkö vastaa laillisuusvalvonnan järjestämisestä, sen resursoinnista ja kehittämisestä. Suojelupoliisin päällikön tulee valvoa, että suojelupoliisissa tehdään säännönmukaisia laillisuustarkastuksia ja muuta laillisuusvalvontaa sisäministeriön laillisuusvalvontaohjeen ja suojelupoliisin oman ohjeistuksen mukaisesti (Suojelupoliisin sisäinen laillisuusvalvonta, määräys, Dnro 20/2017). Suojelupoliisi soveltaa henkilötietojen käsittelyn valvonnassa sisäministeriön laillisuusvalvontaohjeen lisäksi Poliisihallituksen laillisuusvalvontaohjetta (Sisäinen laillisuusvalvonta ja eräät muut oikeudelliset asiat poliisissa, POL-2016-17212). 

Suojelupoliisi tekee säännönmukaisia vuosittaiseen suunnitelmaan perustuvia sisäisiä laillisuusvalvontatarkastuksia. Suojelupoliisi laatii vuosittain suojelupoliisin päällikön vahvistaman tarkastussuunnitelman, joka toimitetaan tiedoksi sisäministeriön poliisiosastolle. Laillisuusvalvontatarkastuksesta laaditaan tarkastuskertomus. Kertomus käsitellään sillä tasolla, jolla on myös toimivalta päättää tarkastuksen aiheuttamista toimenpiteistä. Merkittävistä virheistä ja puutteista sekä lainvastaisesta toiminnasta on ilmoitettava viipymättä suojelupoliisin päällikölle. Tarkastushavaintojen käsittely, määrättävät toimenpiteet ja toimenpiteiden toteutuksen seuranta on dokumentoitava. Suojelupoliisin sisäisessä laillisuusvalvonnassa kiinnitetään erityistä huomiota salaisiin pakkokeinoihin ja salaisiin tiedonhankintakeinoihin sekä henkilötietojen ja asiakirjojen käsittelyyn. 

Poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009, PTR-laki) nojalla annetun valtioneuvoston asetuksen (1126/2009) 7 §:n mukaan PTR-rikostiedusteluyksikön henkilötietojen käsittelyn valvonnasta vastaa asianomaisen henkilörekisterin perustanut PTR-viranomainen. Saman pykälän mukaan PTR-viranomaiset järjestävät henkilötietojen valvontaan liittyen yhteisiä tarkastuksia ja muuta valvontaa sen mukaan kuin PTR-viranomaisten valtakunnallisessa yhteistoimintasopimuksessa tarkemmin sovitaan. 

Henkilötietojen käsittelyn valvonnan kannalta merkittävä lainsäädäntömuutos on ollut EU:n tietosuojauudistus. Uudessa tietosuojalainsäädännössä korostuu henkilötietojen käsittelyn lainmukaisuuden varmistaminen ja valvonta. Tietosuoja-asetuksessa säädetään valvontaviranomaisesta ja valvontaviranomaisen toimivaltuuksista. Tietosuojalain mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. 

Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana erityisviranomaisena. Tietosuojavaltuutettu valvoo lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon. 

Suojelupoliisiin kohdistuu lisäksi tiedusteluvalvontavaltuutetun laillisuusvalvonta tiedustelutoiminnan valvonnasta annetun lain (121/2019) mukaisesti. Tiedusteluvalvontavaltuutetun tehtävänä on tiedustelutoiminnan laillisuuden valvojana valvoa tiedustelumenetelmien käytön lainmukaisuutta, valvoa perus- ja ihmisoikeuksien toteutumista tiedustelutoiminnassa, edistää oikeusturvan toteutumista ja siihen liittyviä hyviä käytäntöjä tiedustelutoiminnassa sekä seurata ja arvioida toimialallaan lainsäädännön toimivuutta ja tehdä tarpeelliseksi katsomiaan kehittämisehdotuksia. 

Eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat ylimpinä laillisuusvalvojina henkilötietojen käsittelyä koskevan lainsäädännön noudattamista osana yleistä viranomaisten ja virkamiesten toiminnan laillisuusvalvontaa. Molemmat tekevät myös säännönmukaisia tarkastuksia toiminnan laillisuuden ja henkilötietojen käsittelyn tarkastamiseksi. Eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat myös tietosuojavaltuutetun ja tiedusteluvalvontavaltuutetun toiminnan lainmukaisuutta. 

Esitys poliisin henkilötietolainsäädännön uudistamiseksi sisältää ehdotuksia, jotka ovat omiaan lisäämään valvonnan tarvetta. Samalla sääntelyä pyritään kuitenkin kehittämään niin, että se helpottaisi henkilötietojen käsittelyn ohjausta ja valvontaa sekä tietojen suojaamista. Hallintovaliokunnan näkemyksen mukaan uuden valvontaa sääntelevän lainsäädännön, valvontaa koskevan muun normipohjan ja käytännön tehostamistoimien voidaan arvioida antavan aikaisempaa paremmat edellytykset henkilötietojen käsittelyn valvontaan. Henkilötietojen suojan toteutuminen ja valvonnan tehokkuus edellyttävät kuitenkin myös riittävien resurssien varmistamista. 

Uusi tietosuojalainsäädäntö sisältää yksityiskohtaiset säännökset paitsi henkilötietojen käsittelyn valvonnasta ja lainvastaisen henkilötietojen käsittelyn seuraamuksista myös muun muassa rekisterinpitäjän vastuusta ja velvollisuuksista, rekisteröidyn oikeuksista ja tietoturvallisuudesta. EU:n tietosuojauudistus on terävöittänyt rekisterinpitäjän vastuuta. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Rekisterinpitäjän on lisäksi kyettävä osoittamaan, että henkilötietojen käsittely on tietosuojalainsäädännön mukaista myös käytännössä. Myös tällä on merkitystä valvonnan kannalta.