1 §. Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus.
Ehdotuksen mukaan maahanmuuttohallinnon henkilötietolakia sovelletaan silloin, kun henkilötietoja käsitellään lain 1 §:n mukaisissa käsittelytarkoituksissa. Hallituksen esityksessä pykälän 1 momentin 6 kohdan mukaan yksi tällainen laissa säädetty alkuperäinen käsittelytarkoitus on kansallisen turvallisuuden suojaaminen.
Hallintovaliokunta on edellä mietinnön yleisperusteluissa pitänyt perusteltuna, että kansallisen turvallisuuden suojaaminen säilytetään henkilötietojen alkuperäisenä käsittelytarkoituksena, jollainen se on myös nykyisessä ulkomaalaisrekisterilaissa. Sääntelyn selventämiseksi valiokunta ehdottaa kuitenkin pykälää muutettavaksi siten, että sääntely henkilötietojen käsittelemisestä kansallisen turvallisuuden suojaamisen tarkoituksessa siirretään 1 momentista uuteen 2 momenttiin. Uuden 2 momentin mukaan silloin, kun henkilötietoja käsitellään edellä 1 momentin 1 tai 2 kohdassa säädetyissä tarkoituksissa, niitä käsitellään lisäksi myös kansallisen turvallisuuden suojaamiseksi. Muutos merkitsee sitä, että hallituksen esityksestä poiketen kansallisen turvallisuuden suojaaminen alkuperäisenä käsittelytarkoituksena rajautuu ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyyn ja niitä koskevaan päätöksentekoon ja valvontaan sekä Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusasioiden määrittämistä koskevien asioiden käsittelyyn ja päätöksentekoon. Tältä osin ehdotettu sääntely vastaa voimassa olevaa ulkomaalaisrekisterilakia, jossa valtion turvallisuuden varmistaminen on säädetty yhdeksi alkuperäiseksi käsittelytarkoitukseksi.
Ulkomaalaisrekisterin tiedot ovat tärkeitä valtion turvallisuuden kannalta ja vakavasti Suomen turvallisuutta uhkaavan teon ennalta estämisessä. Kansallisen turvallisuuden varmistaminen liittyy olennaisesti juuri oleskelulupa-, kansalaisuus- ja viisumiasioiden käsittelyä koskeviin prosesseihin. Sen sijaan kansallisen turvallisuuden suojaamisen ei voida katsoa liittyvän 1 momentin 1 ja 2 kohtaa vastaavasti muihin 1 momentin käsittelytarkoituksiin, vaikka näissä tarkoituksissa käsiteltävät tiedot voivat luonnollisesti olla yksittäistapauksessa muutoin tärkeitä kansallisen turvallisuuden suojaamiseksi.
Kansallisen turvallisuuden suojaamiseksi on tärkeää huolehtia siitä, että sille uhkan muodostavat henkilöt pystytään tunnistamaan mahdollisimman aikaisessa vaiheessa ja heidän oleskeluunsa pystytään tarvittaessa puuttumaan laissa mainitulla tavalla. Uhka kansalliselle turvallisuudelle on yksi ulkomaalaislain tarkoittamista edellytyksistä, jonka perusteella henkilön maahantulo voidaan evätä tai jonka perusteella hänet voidaan poistaa maasta. Vastaavasti kansallisen turvallisuuden vaarantaminen on peruste olla myöntämättä viisumia sellaiselle henkilölle, jonka maahantulo voi sellaisen uhan aiheuttaa.
Hallituksen esityksen mukaisesti kansallisen turvallisuuden suojaamisella tarkoitetaan maahanmuuttohallinnon henkilötietolaissa paitsi suojelupoliisin velvoitetta suojata valtion turvallisuutta myös yleisempää viranomaisten velvoitetta varmistaa kansallisen turvallisuuden toteutuminen osana lakisääteisiä tehtäviään. Maahanmuuttoviraston ja ulkoministeriön ensisijaisena tehtävänä ei ole huolehtia kansallisen turvallisuuden suojaamisesta, ja niiden keinot ottaa itsenäisesti kantaa kysymykseen siitä, vaarantaako luvanhakija kansallista turvallisuutta, ovat hyvin rajalliset. Niiden velvollisuus on kuitenkin ottaa kansallisen turvallisuuden vaarantuminen huomioon tehdessään päätöksiä maahanmuuttoon liittyvissä asioissa. Tästä johtuen kansallisen turvallisuuden varmistamisesta vastaavalle viranomaiselle eli suojelupoliisille, jolla on ainoana siviiliviranomaisena tiedustelutietoa käytössään, on säädetty laaja lausunnonantotehtävä maahanmuutosta ja viisumien myöntämisestä vastaaviin viranomaisiin nähden. Kyse on ennen kaikkea samassa prosessissa tapahtuvasta viranomaisyhteistyöstä, jossa tiedonvaihdon ja yhteistyön on toteuduttava tehokkaasti. Vastaavaa lupa- ja lausunnonantajaviranomaisen työnjakoa noudatetaan myös muissa Euroopan valtioissa. Varsinaisen lausunnonantotehtävän lisäksi ulkomaalaislaissa on säädetty poliisille myös useita muita tehtäviä, jotka kiinnittyvät kansallisen turvallisuuden suojaamiseen.
Suojelupoliisin kansallisen turvallisuuden suojaamistehtävän suorittaminen edellyttää lisäksi, että sillä on mahdollisuus hakea ja käsitellä maahanmuuton henkilötietoja muutenkin kuin lausunnonantotehtäviensä yhteydessä. Suojelupoliisin oikeudesta saada tietoja säädetään erikseen. Rekisterin sisältämien tietojen avulla kyetään havaitsemaan ja tunnistamaan sellaisia suojelupoliisille aiemmin tuntemattomia henkilöitä, joilla on yhteyksiä esimerkiksi terroristiseen toimintaan. Terrorististen toimijoiden riittävän laaja ja luotettava tunnistaminen on edellytys kyseisiä henkilöitä koskevalle suojelupoliisin jatkotiedonhankinnalle sekä terrorismin torjunnan kohdehenkilöluettelon ja toimintasektorin kokonaistilannekuvan ajantasaisuudelle. Henkilön tunnistaminen kansallista turvallisuutta vaarantavaksi henkilöksi saattaa myös johtaa johonkin ulkomaalaislain mukaiseen prosessiin, kuten henkilön karkottamiseen.
Ehdotetun muutoksen johdosta henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019, jäljempänä poliisin henkilötietolaki) ja maahanmuuttohallinnon henkilötietolain soveltamisalat rajautuvat kansallisen turvallisuuden suojaamisen osalta tarkasti. Poliisin henkilötietolain 46 §:n 1 momentin mukaan kyseisen lain 7 luvussa säädetään suojelupoliisin poliisin hallinnosta annetun lain (110/1992) 10 §:ssä tarkoitettujen tehtävien suorittamiseksi tarpeellisten poliisin henkilötietolain 1 §:n 1 momentin mukaisten henkilötietojen käsittelystä. Poliisin henkilötietolain 48 §:n mukaan suojelupoliisi saa käsitellä henkilötietoja, jotka ovat tarpeen kansallisen turvallisuuden suojaamiseksi, valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien toimintojen ja hankkeiden estämiseksi, paljastamiseksi ja selvittämiseksi sekä valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten estämiseksi ja paljastamiseksi. Suojelupoliisi toimii 47 §:n nojalla näiden henkilötietojen rekisterinpitäjänä. Suojelupoliisin valmistellessa lausuntoa ulkomaalaisasiassa poliisin hallinnosta annetun asetuksen 8 §:n nojalla sovellettavaksi tulee lähtökohtaisesti poliisin henkilötietolaki. Suojelupoliisi siis tallentaa edellä mainittuun rekisteriinsä tiedot niistä henkilöistä, jotka ovat sen kohdehenkilöitä ja johon suojelupoliisilla on tarve kohdistaa tiedon hankintaa tai muita toimenpiteitä.
Ehdotetun muutoksen myötä maahanmuuttohallinnon henkilötietolaki tulee sovellettavaksi niissä tilanteissa, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamiseksi 1 §:n 2 momentin nojalla 1 §:n 1 momentin 1 ja 2 kohdan käsittelytarkoituksissa. Näissä tarkoituksissa käsiteltävät tiedot tallennetaan tarvittaessa 3 ja 5 §:n nojalla ulkomaalaisasioiden asiankäsittelyjärjestelmään tai kansalliseen viisumitietojärjestelmään. Kansallisen turvallisuuden suojaamiseksi tapahtuva henkilötietojen käsittely ehdotetun lain soveltamisalalla rajautuu näissä tietojärjestelmissä toteutettavaan henkilötietojen käsittelyyn. Tallennettavat tiedot voivat liittyä esimerkiksi suojelupoliisin lausuntoihin tai muihin suojelupoliisin ulkomaalaislaissa tai kansalaisuuslaissa säädettyjen tehtävien hoitamisen yhteydessä rekistereihin tekemiin merkintöihin.
Valiokunta katsoo, että nykytilan säilyttämiseksi ja sääntelyn selkeyttämiseksi on perusteltua rajata niitä käsittelytarkoituksia, joissa henkilötietojen alkuperäinen käsittelytarkoitus on lisäksi myös kansallisen turvallisuuden suojaaminen, ja säätää tästä käsittelytarkoituksesta selkeästi omana momenttinaan.
Edellä ehdotetun muutoksen seurauksena 3 momentiksi siirtyneen säännöksen mukaan maahanmuuttohallinnon henkilötietolakia sovelletaan lisäksi oikeuteen käsitellä ja saada oikeushenkilöitä koskevia tietoja pykälän 1 momentin mukaisissa tarkoituksissa. Koska ehdotettu laki koskee luonnollisia henkilöitä koskevien tietojen käsittelyä, ehdotetun säännöksen tarkoituksena on ollut sen huomioiminen, että luonnollisen henkilön asian käsitteleminen voi edellyttää myös oikeushenkilön tietojen saamista ja käsittelemistä. Oikeudesta saada tietoja salassapitosäännösten estämättä säädetään ehdotetun lain 13 §:ssä.
Myöskään voimassa olevassa ulkomaalaisrekisterilaissa säädetyt tiedonsaantioikeudet eivät rajoitu yksinomaan henkilötietoihin. Esimerkiksi lain 8 §:n mukainen rekisterinpitäjän tiedonsaantioikeus Verohallinnolta on mahdollistanut myös oikeushenkilöitä koskevien tietojen saamisen. Nykyisen tiedonsaantioikeuden säilyttäminen on välttämätöntä Maahanmuuttoviraston, työ- ja elinkeinotoimiston ja elinkeino-, liikenne- ja ympäristökeskuksen lakisääteisten maahanmuuttohallinnon tehtävien hoitamiseksi. Kyseiset viranomaiset eivät voi tehdä lupa- ja kansalaistamisharkintaa tai valvontaa, jos niillä ei ole käytettävissään esimerkiksi ulkomaalaisen työllistäneen oikeushenkilön verotustietoja. Nyt ehdotetussa laissa esimerkiksi Maahanmuuttovirastolla on oikeus saada 13 §:ssä säädetyn tiedonsaantioikeuden nojalla salassapidon estämättä myös oikeushenkilöitä koskevia tietoja Verohallinnolta toimeentuloedellytyksen täyttymisen arvioimiseksi velvoitteidenhoitoselvityksen (VHS) välityksellä. Valiokunta pitää tällaisen tiedonsaantioikeuden säätämistä edellä todetuista syistä välttämättömänä.
Lain soveltajan kannalta informaatiota siitä, että ehdotettu laki sisältää myös oikeushenkilöitä koskevia säännöksiä, voidaan pitää tässä tapauksessa perusteltuna. Valiokunta ehdottaa kuitenkin, että säännöksen muotoilua tarkistetaan.
2 §. Suhde muuhun lainsäädäntöön.
Yleisperusteluissa esitettyyn viitaten valiokunta ehdottaa pykälää muutettavaksi niin, että siitä käy selkeästi ilmi ehdotetun lain suhde henkilötietojen käsittelyä koskevaan yleislainsäädäntöön. Ehdotetun 1 momentin mukaan suojelupoliisin tämän lain nojalla suorittamaan henkilötietojen käsittelyyn sovelletaan, jollei tässä laissa toisin säädetä, rikosasioiden tietosuojalakia. Muiden tässä laissa tarkoitettujen viranomaisten tämän lain nojalla suorittamasta henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa ja tietosuojalaissa.
Selvyyden vuoksi valiokunta toteaa, että esimerkiksi poliisin ulkomaalaisvalvontaan sovelletaan maahanmuuttohallinnon henkilötietolakia, kun kyse on ulkomaalaislain mukaisten tehtävien suorittamisesta. Poliisin henkilötietolakia taas sovelletaan tilanteissa, joissa ulkomaalaisvalvontaa tehdään osana rikosasioiden tietosuojalain soveltamisalaan kuuluvia poliisin lakisääteisiä tehtäviä.
Lisäksi valiokunta tähdentää, että poliisin henkilötietolaissa säädetään ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisten tunnistamistietojen käsittelystä. Tältä osin sovelletaan yleislakina rikosasioiden tietosuojalakia.
3 §. Yhteisrekisterinpitäjät.
Yleisperusteluissa esitetyin perustein valiokunta ehdottaa, että yhteisrekisterinpitäjyydestä luovutaan ja maahanmuuttohallinnon viranomaiset määritellään erillisiksi rekisterinpitäjiksi. Käsillä olevaan 3 §:ään kootaan ulkomaalaisasioiden asiankäsittelyjärjestelmän rekisterinpitäjiä ja vastuunjakoa koskeva sääntely. Pykälä on tämän vuoksi tarpeen muotoilla kokonaan uudelleen. Pykälän otsikko ehdotetaan muutettavaksi kuulumaan "Ulkomaalaisasioiden asiankäsittelyjärjestelmän rekisterinpitäjät ja vastuunjako".
Pykälän 1 momentissa ehdotetaan säädettävän siitä, mitkä lain 1 §:n mukaisissa käsittelytarkoituksissa käsiteltävät tiedot tallennetaan ulkomaalaisasioiden asiankäsittelyjärjestelmään. Käsittelytarkoitukset rajaavat tietosisältöä määrittämällä tietojärjestelmään tallennettavat tiedot. Kansallisen viisumitietojärjestelmän sisältämistä viisumien käsittelyä ja päätöksentekoa koskevista tiedoista säädetään lakiehdotuksen 5 §:ssä.
Pykälän 2 momentti sisältää säännökset siitä, missä kaikissa lain 1 §:n mukaisissa tarkoituksissa kukin rekisterinpitäjä saa käsitellä tietoja ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Sääntely perustuu kunkin viranomaisen lakisääteisiin tehtäviin. Momentissa ei säädetä tiedon luovutuksesta rekisterinpitäjien välillä, eikä rekisterinpitäjä saa pääsyä muiden rekisterinpitäjien tallentamiin tietoihin 2 momentin nojalla, vaan tiedonsaantioikeudesta järjestelmän rekisterinpitäjien välillä säädettäisiin 11 §:ssä. Ehdotetussa 2 momentissa säädetään viranomaisen oikeudesta käsitellä tallentamiaan tietoja. Tämä koskee myös luovutuksen perusteella saatuja ja tallennettuja tietoja.
Verrattuna hallituksen esityksessä ehdotetun 3 §:n 1 momentin viranomaisluetteloon on ehdotetussa 2 momentissa tarpeen yksilöidä viranomaiset täsmällisemmin niin, että ilmaisut vastaavat julkisuuslakia ja julkisen hallinnon tiedonhallinnasta annettua lakia (906/2019, jäljempänä tiedonhallintalaki). Sääntelyssä tulee huomioida myös viranomaisten erillisyyden periaate. Näin myös tietojen käsittelytarkoitukset voidaan määritellä tarkemmin. Näistä syistä sana Poliisihallitus ehdotetaan korvattavaksi sanalla poliisi, minkä lisäksi poliisi ja suojelupoliisi erotetaan toisistaan selkeämmin säätämällä näistä erikseen omina kohtinaan. Sanat vastaanottokeskukset ja järjestelykeskukset muutetaan yksikköön ja erotetaan selkeämmin toisistaan säätämällä näistä omina kohtinaan. Sana säilöönottoyksiköt muutetaan yksikkömuotoon. Sana ulkoasiainhallinto korvataan sanoilla ulkoministeriö ja edustusto, ja niistä ehdotetaan säädettävän erikseen omina kohtinaan. Lisäksi monikolliset ilmaisut elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot muutetaan yksikköön.
Rekisterinpitäjäksi määrittämisen tavoite on, että henkilötietojen käsittelyyn liittyvät rekisterinpitäjän velvollisuudet ja vastuut kohdentuvat oikealle taholle. Rekisterinpitäjiksi hallituksen esityksessä ehdotetut viranomaiset käsittelevät henkilötietoja maahanmuuttohallinnon henkilötietolain soveltamisalan mukaisissa tarkoituksissa toimivaltaa luovan lainsäädännön mukaisesti harkintavaltaa käyttäen. Käytännössä nämä viranomaiset suorittavat tarvittavat käsittelytoimenpiteet ulkomaalaisasioiden asiankäsittelyjärjestelmässä ja tallentavat tiedot kyseiseen järjestelmään.
Lisäksi on lukuisia viranomaisia, jotka luovuttavat tietoja ulkomaalaisasioiden asiankäsittelyjärjestelmään olematta rekisterinpitäjiä. Tällaisesta tilanteesta on kyse esimerkiksi silloin, kun ulkomaalaislain 65 §:n nojalla selvitetään perhesidettä DNA-tutkimuksen avulla ja Terveyden ja hyvinvoinnin laitos DNA-tutkimuksen tekijänä luovuttaa omassa järjestelmässään laatimansa lausunnon Maahanmuuttovirastolle tallentamalla sen ulkomaalaisasioiden asiankäsittelyjärjestelmään. Vastaavasti omassa järjestelmässään laatimansa päätöksen tallentaa ulkomaalaisasioiden asiankäsittelyjärjestelmään korkein hallinto-oikeus tai hallinto-oikeus. Tällaisessa lausunnon tai päätöksen tallentamisessa on kyse lakiehdotuksen 13 §:n 1 momentin mukaisen tiedonsaantioikeuden nojalla tapahtuvasta tiedon luovuttamisesta. Tiedonhallintalain 22 §:ssä säädetään tietojen luovuttamisesta teknisen rajapinnan avulla viranomaisten välillä.
Valiokunnalle esitetyn selvityksen mukaan vastaavanlaiseksi määrittyy myös yhdenvertaisuusvaltuutetun asema. Selvityksen mukaan yhdenvertaisuusvaltuutettu ei käsittele ehdotetun lain soveltamisalan mukaisissa tarkoituksissa henkilötietoja ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Ulkomaalaisasioiden asiankäsittelyjärjestelmä ei siten sisällä sellaisia tietoja, joista yhdenvertaisuusvaltuutetun tulisi vastata rekisterinpitäjänä. Sen sijaan on erittäin tärkeää turvata yhdenvertaisuusvaltuutetun kattava ja sujuva tiedonsaantioikeus ja sen toteutuminen. Valiokunta katsoo, että yhdenvertaisuusvaltuutetusta annetun lain (1326/2014) 4 §:ssä säädetty laaja ja kattava tiedonsaantioikeus varmistaa yhdenvertaisuusvaltuutetun tiedonsaannin erityisesti, kun ehdotetussa laissa tiedon liikkumista koskevaa sääntelyä on pyritty selkeyttämään. Valiokunta pitää tärkeänä, että yhdenvertaisuusvaltuutetun lainmukainen tiedonsaantioikeus toteutuu myös käytännössä.
Pykälän 3 momentissa säädetään siitä, miten rekisterinpitäjän vastuu määrittyy. Kukin 2 momentissa mainittu viranomainen toimii ulkomaalaisasioiden asiankäsittelyjärjestelmän rekisterinpitäjänä tallentamiensa tietojen osalta. Tällä tarkoitetaan myös luovutuksen perusteella saatuja ja tallennettuja tietoja. Poliisin tallentamien tietojen rekisterinpitäjänä toimii Poliisihallitus ja Rajavartiolaitoksen tallentamien tietojen rekisterinpitäjänä Rajavartiolaitoksen esikunta. Tähän pääsääntöön ehdotetaan poikkeusta jäljempänä kuvatulla tavalla 3 momentin viimeisessä virkkeessä. Rekisterinpitäjän velvoitteista säädetään tietosuoja-asetuksessa ja tietosuojalaissa sekä rikosasioiden tietosuojalaissa. Rekisterinpitäjyys määrittää sen toimivaltaisen viranomaisen, joka vastaa ja päättää myös asiakirjojen käsittelystä julkisuuslain mukaisesti.
Poliisi tallentaa ja luovuttaa henkilötietoja ulkomaalaisasioiden asiankäsittelyjärjestelmään ja kansalliseen viisumitietojärjestelmään eri tavoin eri tilanteissa. Esimerkiksi poliisin suorittama maasta poistamiseen liittyvä henkilötietojen käsittely on kokonaisuudessaan poliisin suorittama ulkomaalaisasioiden asiankäsittelyjärjestelmässä tapahtuva prosessi. Toisaalta tietoja myös siirretään tähän järjestelmään poliisin omista tietojärjestelmistä.
Poliisin kannalta erään keskeisimmän ulkomaalaisasioiden asiankäsittelyjärjestelmässä käsiteltävän asiaryhmän muodostavat kansainvälistä suojelua koskevat hakemukset, joiden osalta poliisi tallentaa hakemuksen rekisteröintitiedot. Poliisin vastaanottamien hakemusten sisältämistä tiedoista osa siirretään ulkomaalaisasioiden asiankäsittelyjärjestelmään poliisiasiain tietojärjestelmästä. Osan tiedoista poliisi kuitenkin tallentaa suoraan ulkomaalaisasioiden asiankäsittelyjärjestelmään. Kansainvälistä suojelua koskevan hakemuksen tallentamisen jälkeisestä käsittelystä ja päätöksenteosta vastaa Maahanmuuttovirasto, jonka lakisääteisiin tehtäviin asia kuuluu.
Kansainvälistä suojelua koskevan hakemuksen rekisteröintitietojen rekisterinpitovastuun kohdentaminen poliisille ei ole tarkoituksenmukaista, koska poliisin tehtävät turvapaikkaprosessissa rajoittuvat pääosin hakemusten vastaanottamiseen ja Maahanmuuttoviraston päätösten tiedoksiantoon. Hakemusten tallentamisen jälkeisestä käsittelystä ja päätöksenteosta vastaa ulkomaalaislain mukaisesti Maahanmuuttovirasto. Rekisterinpitovastuun on perusteltua määrittyä vastaavalla tavalla myös Rajavartiolaitoksen tallentamien kansainvälistä suojelua koskevan hakemuksen rekisteröintitietojen osalta. Tästä ehdotetaan säädettävän 3 momentin viimeisessä virkkeessä. Poliisin ja Rajavartiolaitoksen velvollisuudesta rekisteröidä kansainvälistä suojelua koskeva hakemus säädetään ulkomaalaislain 95 §:n 3 momentissa. Rekisteröintitietoja koskeva Maahanmuuttoviraston tiedonsaantioikeus perustuu ehdotettavan lain 13 §:n 1 momenttiin.
Pykälän 4 momentin mukaan Maahanmuuttovirasto vastaa ulkomaalaisasioiden asiankäsittelyjärjestelmästä tiedonhallintalain mukaisesti. Tiedonhallintalain 1 §:n mukaan tarkoituksena on varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi, mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti, sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Tiedonhallintayksikölle säädetyt vastuut ja velvollisuudet tarkoittavat rekisterinpitäjien tehtävien järjestelyä tiedonhallintalaissa säädetyllä tavalla. Maahanmuuttovirasto esimerkiksi vastaa tiedonhallintalain 16 §:n mukaisesti ulkomaalaisasioiden asiankäsittelyjärjestelmän käyttöoikeuksien määrittelemisestä kunkin rekisterinpitäjän pyynnöstä. Maahanmuuttovirasto vastaa myös ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitämisestä ja kehittämisestä. Tietojärjestelmän sisällöstä vastaa kukin rekisterinpitäjä omien henkilötietojen käsittelytoimiensa osalta.
Lisäksi 4 momentissa mahdollistetaan se, että Maahanmuuttovirasto voi suorittaa tiettyjä toimia asianomaisen rekisterinpitäjän lukuun. Ehdotuksen mukaan Maahanmuuttovirasto toimii ulkomaalaisasioiden asiankäsittelyjärjestelmässä tietosuoja-asetuksen 28 artiklan mukaisena ja 1 §:n 2 momentin käsittelytarkoituksessa rikosasioiden tietosuojalain 17 §:n mukaisena henkilötietojen käsittelijänä, sen mukaan kuin siitä erikseen sovitaan, rekisteröidyn omiin tietoihin pääsyn sekä henkilötietojen oikaisemisen, sähköisen luovutustavan, poistamisen ja arkistoimisen toteuttajana muun rekisterinpitäjän lukuun siltä osin kuin Maahanmuuttovirasto ei ole rekisterinpitäjä. Henkilötietojen käsittelijän tehtävistä sovitaan erikseen kunkin rekisterinpitäjän ja henkilötietojen käsittelijän välisin käsittelijäsopimuksin.
4 §. Ulkomaalaisasioiden asiankäsittelyjärjestelmä.
Valiokunta ehdottaa pykälän muuttamista kokonaan. Hallituksen esityksessä ehdotetun 4 §:n sisältö on sisällytetty tarvittavilta osin ja täsmennettynä ehdotetun 3 §:n 4 momenttiin.
Hallituksen esitykseen sisältyvän lakiehdotuksen 12 §:ssä on ehdotettu säänneltävän niistä tilanteista, joissa lain soveltamisalan piirissä henkilötietoja olisi salassapitosäännösten estämättä mahdollista käsitellä muussa kuin alkuperäisessä käsittelytarkoituksessa. Kysymys ei ole mistä tahansa muusta käsittelytarkoituksesta, vaan rekisterinpitäjälle laissa säädetyistä tehtävistä, joiden suorittaminen edellyttää henkilötietojen käsittelyä muussa kuin siinä käsittelytarkoituksessa, jota varten tiedot on alun perin tallennettu. Perustuslakivaliokunnan lausunnon johdosta sääntelyä rekisterinpitäjän tiedonsaantioikeudesta tulee olennaisesti täsmentää. Sen vuoksi myös kyseistä sääntelyä on tarkennettava. Sääntelyn selkeyttämiseksi hallintovaliokunta ehdottaa, että tilanteet, joissa on kyse tiedon liikkumisesta eri rekisterinpitäjien välillä, erotetaan niistä tilanteista, joissa rekisterinpitäjä itse käsittelee järjestelmään tallentamaansa tietoa muussa kuin siinä tarkoituksessa, mihin se on alun perin ne kerännyt. Viimeksi mainittu sääntely ehdotetaan siirrettäväksi asiayhteytensä vuoksi käsillä olevan 4 §:n uudeksi sisällöksi. Pykälän otsikko ehdotetaan muutettavaksi muotoon "Ulkomaalaisasioiden asiankäsittelyjärjestelmään tallennettujen tietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa".
Tietosuoja-asetuksen 6 artiklan 4 kohdan mukaan, jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa 4 kohdan a—e alakohdissa luetellut asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopiva sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin.
Tietosuoja-asetuksen johdanto-osan kappaleessa 50 todetaan muun muassa, että henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan kuitenkin määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle.
Kappaleessa 50 todetaan myös muun muassa, että jos käsittely perustuu unionin tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen, jolla pyritään turvaamaan erityisesti yleiseen julkiseen etuun liittyviä tärkeitä tavoitteita, rekisterinpitäjälle olisi sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tietosuoja-asetuksessa vahvistettuja periaatteita. Yleiseen julkiseen etuun liittyvillä tärkeillä tavoitteilla viitataan 23 artiklan 1 kohdassa tarkoitettuihin tavoitteisiin, kuten esimerkiksi yleiseen turvallisuuteen, rikosten ennalta estämiseen, tutkintaan ja paljastamiseen tai esimerkiksi valvontatehtävään, joka satunnaisestikin liittyy julkisen vallan käyttöön 1 kohdan a—e ja g alakohdassa tarkoitetuissa tapauksissa.
Valiokunnan ehdottamassa 4 §:ssä on kyse rekisterinpitäjän lakisääteisten tehtävien hoitamiseksi välttämättömien henkilötietojen käsittelystä. Pykälän 1 momentissa mainittujen käsittelytarkoitusten on arvioitu niiden välisen kiinteän yhteyden vuoksi sopivan yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin tallennettu. Valiokunta katsoo tämän palvelevan myös rekisteröidyn etua, sillä hänen ei tällöin tarvitse toimittaa jo kertaalleen antamiaan tietoja uudestaan, millä on vaikutusta myös asian käsittelyn sujuvuuteen ja käsittelyaikaan.
Valiokunnalle esitetyn selvityksen mukaan Maahanmuuttoviraston on välttämätöntä käyttää esimerkiksi ulkomaalaislain nojalla käsittelemiään maahantuloon liittyviä tietoja sen arvioimisessa, täyttyvätkö kansalaisuuslain (359/2003) 13 §:n mukaiset edellytykset kansalaisuuden saamiseksi. Kansalaisuuslain mukainen kansalaisuusaseman määrittämistä koskeva tieto voi olla välttämätön maahantuloa koskevassa asiassa esimerkiksi ulkomaalaislain mukaista kansainvälistä suojelua koskevassa asiassa. Tieto kansalaisuuslain nojalla myönnetystä kansalaisuudesta on välttämätön tieto esimerkiksi tilanteessa, jossa henkilöllä on vireillä myös ulkomaalaislain mukainen oleskelulupahakemus. Maahanmuuttovirasto hallinnoi osaa vastaanottokeskuksista ja säilöönottoyksiköistä, ja sen on voitava käsitellä näissä yhteyksissä tallentamiaan tietoja myös muissa käsittelytarkoituksissaan. Vastaanottolain mukaisia vastaanottotietoja, kuten majoitustietoja, tai säilölain mukaisia sijoitustietoja on käsiteltävä esimerkiksi ulkomaalaislain (301/2004) mukaisen oleskelulupaprosessin yhteydessä.
Järjestelykeskuksen on esimerkiksi voitava käyttää ulkomaalaislain 133 §:n mukaisen maahantulijan rekisteröintitehtävänsä yhteydessä käsittelemiään tietoja järjestääkseen tälle vastaanottolain mukaiset vastaanottopalvelut.
Valiokunnan saaman selvityksen mukaan edustuston ei ole tunnistettu olevan välttämätöntä käsitellä 1 §:n 1 momentin 1 kohdan nojalla ulkomaalaislain mukaisten tehtäviensä hoitamiseksi keräämiään tietoja 2 kohdan käsittelytarkoituksessa kansalaisuuslain mukaisten tehtäviensä hoitamiseksi tai päinvastoin. Selvityksen mukaan sama koskee vastaavasti myös elinkeino-, liikenne- ja ympäristökeskuksia, jotka käsittelevät 1 §:n 1 momentin 1 ja 5 kohdan nojalla tallentamiaan tietoja vain alkuperäisessä tarkoituksessa.
Poliisin henkilötietolain 16 §:ssä säädetyt tiedonsaantioikeudet mahdollistavat muiden rekisterinpitäjien tietojen luovuttamisen poliisille muihin kuin maahanmuuttohallinnon henkilötietolain mukaisiin tarkoituksiin. Poliisilla on pykälän 1 momentin 6 kohdan perusteella oikeus saada tietoja Rajavartiolaitoksen ja Tullin henkilörekistereistä, 7 kohdan perusteella oikeus saada tietoja ulkoministeriön tietojärjestelmistä sekä 8 kohdan perusteella oikeus saada tietoja Maahanmuuttoviraston tietojärjestelmistä.
Poliisin henkilötietolaissa säädettyjä tiedonsaantioikeuksia ei kuitenkaan voida soveltaa poliisin omassa rekisterinpidossa olevien tietojen käsittelyyn. Poliisin rekisterinpidossa olevien henkilötietojen käyttämisestä muuhun kuin alkuperäiseen käsittelytarkoitukseen säädetään poliisin henkilötietolain 13 ja 14 §:ssä. Poliisin rekisterinpidossa olevia maahanmuuttohallinnon henkilötietolain soveltamisalaan kuuluvia tietoja on kuitenkin tarpeen voida käyttää muuhun kuin alkuperäiseen käsittelytarkoitukseen samojen periaatteiden mukaisesti kuin muita poliisin rekisterinpidossa olevia tietoja. Koska tietojen ei voida katsoa olevan välttämättömiä poliisin lupaharkinnassa ja -valvonnassa, valiokunta ehdottaa sääntelyn rajaamista siten, että 2 momentissa säädetään poliisin oikeudesta käyttää omassa rekisterinpidossaan olevia, ulkomaalaisasioiden asiankäsittelyjärjestelmään tallentamiaan tietoja poliisin henkilötietolain 13 §:n 1 ja 2 momentin mukaisesti.
Henkilötietojen käsittelystä Rajavartiolaitoksessa annettuun lakiin (639/2019, jäljempänä Rajavartiolaitoksen henkilötietolaki) sisältyvät vastaavanlaiset säännökset (16 §) kuin poliisin henkilötietolakiin. Myös Rajavartiolaitoksen osalta on todettu vastaava tarve täydentää sääntelyä. Valiokunta ehdottaa tätä koskevan säännöksen lisäämistä pykälän 3 momentiksi.
Tullin henkilötietolainsäädännössä ei ole havaittu vastaavaa sääntelytarvetta ulkomaalaisasioiden asiankäsittelyjärjestelmään tallennettujen tietojen osalta, koska Tulli ei tallenna tietoja ulkomaalaisasioiden asiankäsittelyjärjestelmään.
Pykälän 4 momentin tarkoituksena on rajata sormenjälkitiedot selvästi pykälässä säädetyn ulkopuolelle. Muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettujen sormenjälkien käsittelystä säädettäisiin nykytilaa vastaavasti lakiehdotuksen 9 §:ssä ja oleskeluluvan, oleskelulupakortin tai unionin kansalaisen perheenjäsenen oleskelukortin hakijalta otettujen sormenjälkien käsittelystä nykytilaa vastaavasti lakiehdotuksen 10 §:ssä. Ehdotetulla 4 §:llä ei siten laajenneta viranomaisten oikeuksia sormenjälkien käsittelyyn siitä, mitä 9 ja 10 §:ssä säädetään.
5 §. Kansallinen viisumitietojärjestelmä.
Yleisperusteluissa todetun mukaisesti valiokunta ehdottaa, että käsillä olevaan 5 §:ään kootaan kansallisen viisumitietojärjestelmän rekisterinpitäjiä ja vastuunjakoa koskeva sääntely. Pykälä on tämän vuoksi tarpeen muotoilla kokonaan uudelleen. Pykälän otsikko ehdotetaan muutettavaksi muotoon "Kansallisen viisumitietojärjestelmän rekisterinpitäjät ja vastuunjako".
Pykälän 1 momentissa ehdotetaan säädettävän siitä, missä lain 1 §:n mukaisissa käsittelytarkoituksissa käsiteltävät tiedot tallennetaan kansalliseen viisumitietojärjestelmään. Käsittelytarkoitukset rajaavat tietosisältöä määrittämällä tietojärjestelmään tallennettavat tiedot.
Pykälän 2 momentti sisältää säännökset siitä, missä kaikissa lain 1 §:n mukaisissa tarkoituksissa kukin rekisterinpitäjä saa käsitellä tietoja kansallisessa viisumitietojärjestelmässä. Sääntely perustuu kunkin viranomaisen lakisääteisiin tehtäviin. Momentin on tarkoitus kattaa kansalliseen viisumitietojärjestelmään liittyvät kunkin rekisterinpitäjän kaikki tietojenkäsittelytarpeet. Momentissa ei säädetä tiedon luovutuksesta rekisterinpitäjien välillä, eikä rekisterinpitäjä saa pääsyä muiden rekisterinpitäjien tallentamiin tietoihin 2 momentin nojalla, vaan tiedonsaantioikeudesta järjestelmän rekisterinpitäjien välillä säädetään 12 §:ssä. Ehdotetussa 2 momentissa säädetään viranomaisen oikeudesta käsitellä tallentamiaan tietoja. Tämä koskee myös luovutuksen perusteella saatuja ja tallennettuja tietoja.
Rekisterinpitäjäksi määrittämisen tavoite on, että henkilötietojen käsittelyyn liittyvät rekisterinpitäjän velvollisuudet ja vastuut kohdentuvat oikealle taholle. Rekisterinpitäjiksi hallituksen esityksessä ehdotetut viranomaiset käsittelevät henkilötietoja maahanmuuttohallinnon henkilötietolain soveltamisalan mukaisissa tarkoituksissa toimivaltaa luovan lainsäädännön mukaisesti harkintavaltaa käyttäen. Käytännössä nämä viranomaiset suorittavat tarvittavat käsittelytoimenpiteet kansallisessa viisumitietojärjestelmässä ja tallentavat tiedot kyseiseen järjestelmään.
Hallituksen esityksestä poiketen valiokunta ehdottaa, että Tulli lisätään kansallisen viisumitietojärjestelmän rekisterinpitäjäksi. Tulli on voimassa olevan ulkomaalaisrekisterilain 3 §:ssä säädetty rekisterinpitäjäksi ("rekisteriä pitävä ja käyttävä viranomainen") yhdessä useiden muiden viranomaisten kanssa. Selvityksen mukaan esitystä valmisteltaessa on arvioitu, että Tulli ei olisi ehdotetun lain mukainen rekisterinpitäjä. Viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 767/2008 (VIS-asetus) 4 artiklan 3 alakohdan määritelmän mukaisia viisumiviranomaisia ovat ulkomaalaislain 30 ja 31 §:n nojalla ulkoministeriö, Suomen edustusto, Rajavartiolaitos, poliisi, Maahanmuuttovirasto ja Tulli. Valiokuntakäsittelyn yhteydessä on käynyt ilmi, että Tullin rooli viisumeita myöntävänä viranomaisena ei lähtökohdiltaan eroa lainkaan ulkoministeriön, edustuston, Rajavartiolaitoksen, poliisin tai Maahanmuuttoviraston rekisterinpitäjän toimivallasta kansallisessa viisumitietojärjestelmässä. Tästä syystä on perusteltua, että myös Tulli nimetään rekisterinpitäjäksi tallentamiensa viisumitietojen osalta.
Pykälän 3 momentissa säädetään siitä, miten rekisterinpitäjän vastuu määräytyy. Kukin 2 momentissa mainittu viranomainen toimii kansallisen viisumitietojärjestelmän rekisterinpitäjänä tallentamiensa tietojen osalta. Tällä tarkoitetaan myös luovutuksen perusteella saatuja ja tallennettuja tietoja. Poliisin tallentamien tietojen rekisterinpitäjänä toimii Poliisihallitus ja Rajavartiolaitoksen tallentamien tietojen rekisterinpitäjänä Rajavartiolaitoksen esikunta. Rekisterinpitäjyys määrittää sen toimivaltaisen viranomaisen, joka vastaa ja päättää myös asiakirjojen käsittelystä julkisuuslain mukaisesti.
Ehdotetun 4 momentin mukaan ulkoministeriö vastaa kansallisesta viisumitietojärjestelmästä tiedonhallintalain mukaisesti. Tiedonhallintalain 1 §:n mukaan tarkoituksena on varmistaa viranomaisten tietoaineistojen yhdenmukainen ja laadukas hallinta sekä tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi, mahdollistaa viranomaisten tietoaineistojen turvallinen ja tehokas hyödyntäminen, jotta viranomainen voi hoitaa tehtävänsä ja tarjota palvelunsa hallinnon asiakkaille hyvää hallintoa noudattaen tuloksellisesti ja laadukkaasti, sekä edistää tietojärjestelmien ja tietovarantojen yhteentoimivuutta. Tiedonhallintayksikölle säädetyt vastuut ja velvollisuudet tarkoittavat rekisterinpitäjien tehtävien järjestelyä tiedonhallintalaissa säädetyllä tavalla. Ulkoministeriö esimerkiksi vastaa tiedonhallintalain 16 §:n mukaisesti kansallisen viisumitietojärjestelmän käyttöoikeuksien määrittelemisestä kunkin rekisterinpitäjän pyynnöstä. Ulkoministeriö vastaa myös kansallisen viisumitietojärjestelmän ylläpitämisestä ja kehittämisestä. Tietojärjestelmän sisällöstä vastaa kukin rekisterinpitäjä omien henkilötietojen käsittelytoimiensa osalta.
Lisäksi 4 momentissa mahdollistetaan se, että ulkoministeriö voi suorittaa tiettyjä toimia asianomaisen rekisterinpitäjän lukuun. Ehdotuksen mukaan ulkoministeriö toimii kansallisessa viisumitietojärjestelmässä tietosuoja-asetuksen 28 artiklan ja 1 §:n 2 momentin käsittelytarkoituksessa rikosasioiden tietosuojalain 17 §:n mukaisena henkilötietojen käsittelijänä, sen mukaan kuin siitä erikseen sovitaan, rekisteröidyn omiin tietoihin pääsyn sekä henkilötietojen oikaisemisen, sähköisen luovutustavan, poistamisen ja arkistoimisen toteuttajana muun rekisterinpitäjän lukuun siltä osin kuin ulkoministeriö ei ole rekisterinpitäjä. Henkilötietojen käsittelijän tehtävistä sovitaan erikseen kunkin rekisterinpitäjän ja henkilötietojen käsittelijän välisin käsittelijäsopimuksin.
6 §. Rekisteröidyn yhteyspisteet.
Koska valiokunta on edellä ehdottanut, että yhteisrekisterinpitäjyydestä luovutaan, se ei myöskään ehdota säädettäväksi siihen liittyvistä rekisteröidyn yhteyspisteistä. Valiokunta on yleisperusteluissa todennut, että tilanteessa, jossa rekisterinpitäjiä on lukuisia, vastaavan tyyppinen käytännön järjestely on kuitenkin välttämätön rekisteröidyn oikeuksien toteuttamisen turvaamiseksi. Tällaisesta järjestelystä on mahdollista sopia rekisterinpitäjän ja henkilötietojen käsittelijänä toimivan järjestelmän ylläpitäjän välillä, ja valiokunta viittaa tältä osin ehdotetun 3 §:n 4 momenttiin ja 5 §:n 4 momenttiin. Rekisteröidyllä on aina myös oikeus kääntyä suoraan toimivaltaisen rekisterinpitäjän puoleen.
Lakiehdotus ei sisällä säännöksiä kansallisen viisumitietojärjestelmän tietojen käsittelemisestä muussa kuin alkuperäisessä käsittelytarkoituksessa. Valiokunnan saaman selvityksen mukaan tarvetta ehdotetun 4 §:n 1 momentin kaltaiselle sääntelylle ei tältä osin ole. Sen sijaan poliisin, Rajavartiolaitoksen ja Tullin osalta on tarpeen täydentää sääntelyä vastaavalla tavalla ja samoin perustein kuin 4 §:n 2 ja 3 momentissa on ehdotettu poliisin ja Rajavartiolaitoksen osalta. Valiokunta ehdottaa tällaisen sääntelyn sisällyttämistä ehdotetun 6 §:n uudeksi sisällöksi. Samalla valiokunta ehdottaa, että pykälän otsikko muutetaan kuulumaan "Kansalliseen viisumitietojärjestelmään tallennettujen tietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa".
Selvyyden vuoksi valiokunta toteaa, että kansalliseen viisumitietojärjestelmään ei tallenneta viisumeita varten otettavia sormenjälkiä, vaan ne tallennetaan suoraan EU:n viisumitietojärjestelmään (VIS).
7 §. Käsiteltävät henkilötiedot.
Pykälässä ehdotetaan säädettäväksi henkilötiedoista, joita viranomaisen on lain soveltamisalan piirissä mahdollista käsitellä. Toimivalta yksittäisen henkilötiedon käsittelylle perustuu aina erilliseen toimivaltasäännökseen.
Valiokunta ehdottaa pykälästä poistettavaksi ilmaisut "siltä osin kuin on tarpeen". Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja, mikäli henkilötietojen käsittely kuuluu rikosasioiden tietosuojalain soveltamisalaan, rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettävän tämän lain 8 §:ssä.
Pykälän 3 momentissa ehdotetaan säädettävän uutena henkilötietoryhmänä huomiotietojen käsittelystä. Huomiotietojen erityisen luonteen vuoksi hallituksen esityksessä on niiden asemaa lakiteknisesti korostettu keskittämällä kaikki niitä koskeva sääntely selkeäksi omaksi momentikseen. Huomiotietojen poistamisesta säädetään lakiehdotuksen 16 §:n 4 kohdassa.
Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, johon sisältyvät tiedot voivat olla luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyä on rajattava perustuslakivaliokunnan vakiintuneen lausuntokäytännön (esim. PeVL 18/2012 vp, PeVL 71/2014 vp) mukaisesti. Huomiotietojen käsittelyä koskee viranomaistoiminnan tarkoitussidonnaisuuden periaate. Hallituksen esityksen mukaan oikeus käsitellä huomiotietoja koskee vain sellaisia tietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassa oleskelua koskevien edellytysten olemassaoloa tai päättää Suomen kansalaisuuden saamisesta ja menettämisestä taikka velvollisuuteen huolehtia palveluksessaan olevien työturvallisuudesta. Säännös huomiotiedoista sisältää edellytyksen henkilötietojen käsittelystä vain nimenomaisten lakisääteisten tehtävien toteuttamiseksi.
Esityksen perustelujen mukaan huomiotiedot voivat koskea esimerkiksi olosuhteita tai tapahtumia, kuten perhesuhteita tai toimeentuloa, jotka voivat olla merkityksellisiä lupaharkinnassa tai arvioitaessa sitä, vastaako henkilön maassa oleskelu edelleen oleskeluluvan edellytyksiä. Huomiotiedot voivat koskea myös seikkoja, jotka voivat olla merkityksellisiä kansalaisuuden myöntämisessä tai johtaa kansalaisuuden menettämiseen, kuten henkilöllisyyttä tai Suomessa oleskelua koskevia tietoja (HE 235/2002 vp). Huomiotiedot voivat olla myös työturvallisuuteen vaikuttavia tietoja, kuten tietoja henkilön käyttäytymisestä, jotka voivat olla merkityksellisiä esimerkiksi turvapaikkapuhuttelun järjestämisen näkökulmasta tai muita turvallisuuden varmistamiseen liittyviä toimenpiteitä ajatellen.
Huomiotietojenkin tulee täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet, eli niiden tulee aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Huomiotieto saattaa yksittäisessä tilanteessa olla erityisiin henkilötietoryhmiin kuuluva tieto, jolloin henkilötiedon käsittelyn on täytettävä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat 8 §:n mukaiset vaatimukset. Valiokunta katsoo, että soveltamisalan rajauksella ja käsittelylle asetetuilla rajoituksilla voidaan varmistaa huomiotietojen käsittelyn oikeasuhtaisuus. Valiokunta korostaa myös esityksen perustelujen mainintaa siitä, että huomiotietojen käsittelyn edellytyksiä tulee tulkita suppeasti.
Hallituksen esityksen perustelujen mukaan huomiotietojen kirjauksen tulee aina sisältää tieto siitä, mistä huomiotieto on peräisin, tai, jos lähde ei ole tiedossa, tieto siitä. Esityksen mukaan tietoihin olisi liitettävä myös arvio tietojen antajan tai tietolähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Huomiotietojen luonne huomioiden valiokunta kuitenkin katsoo, että huomiotietoihin on mahdollista ja syytä liittää aina myös tällainen arvio. Tämän vuoksi valiokunta ehdottaa, että säännöksestä poistetaan maininta "jos se on mahdollista".
Esityksen perustelujen mukaan huomiotietoja ei saisi käyttää päätöksenteon perusteena. Valiokunta toteaa, että tällaisen kiellon tulee ilmetä suoraan lakitekstistä, ja valiokunta ehdottaa sitä koskevan säännöksen lisäämistä 3 momentin loppuun.
8 §. Käsiteltävät erityiset henkilötietoryhmät.
Tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan erityisiä henkilötietoryhmiä koskevien henkilötietojen käsittely on lähtökohtaisesti kielletty. Artiklan 2 kohdan mukaan kyseisiä tietoja voidaan kuitenkin käsitellä, jos joku 2 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Osa näistä alakohdista on suoraan sovellettavaa oikeutta, osa edellyttää kansallista lainsäädäntöä. Pääsääntöisesti ehdotetussa laissa tarkoitettuun henkilötietojen käsittelyyn tulee sovellettavaksi tietosuoja-asetus.
Rikosasioiden tietosuojalain 11 §:n mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä ja rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja käsittelylle on osoitettavissa 11 §:ssä mainittu oikeusperuste, esimerkiksi erityislaki. Valiokunta viittaa myös esimerkiksi poliisin henkilötietolakia koskevan esityksen (HE 242/2018 vp) säätämisjärjestysperusteluihin, joiden mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely rikosasioissa olisi rajoitettava EU:n tietosuojalainsäädäntö, perusoikeussääntely ja perustuslakivaliokunnan kannanotot huomioiden siihen, mikä on käsittelytarkoituksen kannalta välttämätöntä, ja että välttämättömyyskriteeristä säädetään rikosasioiden tietosuojalaissa.
Kuten perustuslakivaliokunnan lausunnossa PeVL 7/2019 vp todetaan, lakiehdotusta sovellettaisiin varsin laajaan joukkoon pääasiassa ulkomaalaisia henkilöitä, joiden osalta tulee hyvin laajasti käsiteltäväksi henkilöiden yksityiselämään kuuluvia ja usein myös arkaluonteisia tietoja.
Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (PeVL 42/2016 vp ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (esim. PeVL 29/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (esim. PeVL 38/2016 vp).
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, PeVL 14/2009 vp). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (esim. PeVL 3/2017 vp). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (esim. PeVL 15/2018 vp).
Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on tietosuoja-asetuksen mahdollistamissa puitteissa edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp).
Perustuslakivaliokunnan lausuntoon ei sisälly tätä pykälää koskevaa huomautusta. Hallintovaliokunta kuitenkin katsoo, että hallituksen esityksessä ehdotetun 8 §:n hyvin yksityiskohtainen sääntely on altis virheellisille vastakohtaispäätelmille, minkä vuoksi hallintovaliokunta ehdottaa sen sijaan yleissäännöstä arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Välttämättömyysvaatimus koskee kaikkea käsittelyä. Vastaava sääntelyratkaisu on omaksuttu myös poliisin, Rajavartiolaitoksen ja Tullin henkilötietolaeissa (esim. PeVL 51/2018 vp). Valiokunta ehdottaa samalla pykälän otsikon tarkentamista.
Hallituksen esityksen perusteluissa (s. 71—73) on esitetty havainnollisia esimerkkejä erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä maahanmuuttohallinnossa. Hallintovaliokunta korostaa, että arkaluonteisten tietojen käsittely edellyttää aina tapauskohtaista harkintaa.
9 §. Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely.
Valiokunta ehdottaa, että 1 momenttia täsmennetään. Muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otetut sormenjäljet tallennetaan nimenomaan ulkomaalaisasioiden asiankäsittelyjärjestelmään. Ulkomaalaisasioiden asiankäsittelyjärjestelmään lukeutuu myös henkilökortti- ja passitietojärjestelmä muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Säännöksen sanamuotoa on muutoinkin tarpeen tarkentaa. Lisäksi ulkoasiainhallinto on aiheellista täsmentää muotoon "ulkoministeriö ja edustusto".
Valiokunta on poistanut 2 momentista säädöskokoelmanumeron, koska kyseinen laki mainitaan jo aiemmin tässä laissa.
10 §. Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely.
Valiokunta ehdottaa, että 1 momenttia täsmennetään. Oleskeluluvan, oleskelulupakortin tai unionin kansalaisen perheenjäsenen oleskelukortin hakijalta otetut sormenjäljet tallennetaan nimenomaan ulkomaalaisasioiden asiankäsittelyjärjestelmään. Säännöksen sanamuotoa on muutoinkin tarpeen tarkentaa. Valiokunta on pyrkinyt täsmentämään viranomaisten yksilöintiä ehdotetussa laissa. Valiokunta toteaa, että 1 momentin toisessa virkkeessä viranomaiset on syytä yksilöidä vastaavalla tavalla kuin 9 §:n 1 momentissa. Kansallisen turvallisuuden suojaaminen on voimassa olevan säännöksen mukainen käsittelytarkoitus, joten suojelupoliisi on tarpeen mainita ehdotetussa säännöksessä erikseen. Selvityksen mukaan ulkoministeriö ei tallenna eikä käsittele tässä pykälässä tarkoitettuja sormenjälkitietoja, joten sen mainitseminen tässä yhteydessä ei ole tarpeen.
Pykälän 2 momentissa viittaus 1 §:n 1 momentin 6 kohtaan on aiheeton, koska valiokunta on ehdottanut kyseisen 6 kohdan poistamista. Kansallisen turvallisuuden suojaaminen on muutoin huomioitu ehdotetussa 2 momentissa.
11 §. Henkilötietojen käsittely alkuperäisessä käsittelytarkoituksessa.
Yleisperusteluissa esitetyn perusteella hallintovaliokunta ehdottaa pykälän muuttamista uudensisältöiseksi niin, että siinä säädetään tiedonsaantioikeudesta ulkomaalaisasioiden asiankäsittelyjärjestelmän rekisterinpitäjien välillä. Pykälän otsikko on myös tarpeen muuttaa tämän mukaiseksi.
Perustuslakivaliokunta on edellyttänyt, että yhteisrekisterinpitäjyyttä ja henkilötietojen käsittelyä sen puitteissa koskevan sääntelyn suhde viranomaisten toimivaltuuksien ja tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaan sääntelyyn liittyvään vakiintuneeseen käytäntöön on täsmennettävä ja sääntelyä on selkeytettävä olennaisesti. Sääntelyn on kaikilta osiltaan täytettävä perustuslakivaliokunnan käytännössä selostetut vaatimukset. Tällaisen täsmennyksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.
Hallintovaliokunta on edellä ehdottanut, että yhteisrekisterinpitäjyydestä luovutaan ja maahanmuuttohallinnon viranomaiset määritellään erillisiksi rekisterinpitäjiksi. Se ei valiokunnan käsityksen mukaan kuitenkaan poista sitä, että on välttämätöntä yksilöidä asiankäsittelyjärjestelmittäin ja hallituksen esityksessä ehdotettua huomattavasti täsmällisemmin kunkin rekisterinpitäjän oikeus saada välttämättömiä tietoja salassapitosäännösten estämättä kultakin toiselta rekisterinpitäjältä ja sitoa kunkin rekisterinpitäjän tiedonsaantioikeus tiettyihin ehdotetun lain 1 §:n mukaisiin käsittelytarkoituksiin ja rekisterinpitäjän ulkomaalaislain, kansalaisuuslain, kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten annetun lain (907/2017, jäljempänä kausityölaki), kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetun lain (908/2017, jäljempänä ICT-laki), kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetun lain (719/2018, jäljempänä tutkija- ja opiskelijalaki), vastaanottolain, säilölain ja kotoutumislain mukaisten tehtävien hoitamiseen. Sääntelyn päällekkäisyyden välttämiseksi pykälässä ei kuitenkaan säädettäisi sellaisesta tiedonsaantioikeudesta, josta säädetään erikseen muualla henkilötietolainsäädännössä, vaan tältä osin ehdotettu pykälä sisältää ainoastaan informatiivisen viittauksen kyseisen viranomaisen henkilötietolain tiedonsaantioikeuteen. Muuttuneesta muodostaan huolimatta pykälässä on kyse voimassa olevan lainsäädännön säilyttämisestä eikä tavoitteena ole muuttaa oikeustilaa.
Ehdotettu 1 momentti sisältää säännökset Maahanmuuttoviraston, vastaanottokeskuksen, järjestelykeskuksen, säilöönottoyksikön, ulkoministeriön, edustuston, elinkeino-, liikenne- ja ympäristökeskuksen sekä työ- ja elinkeinotoimiston tiedonsaantioikeudesta.
Hallituksen esityksessä on 2. lakiehdotuksessa ehdotettu vastaanottolain 58 §:n 1 momenttia muutettavaksi niin, että Maahanmuuttoviraston, vastaanottokeskuksen ja järjestelykeskuksen tiedonsaantioikeus poistetaan säännöksestä, koska näiden rekisterinpitäjien tiedonsaantioikeudesta säädettäisiin maahanmuuttohallinnon henkilötietolaissa. Hallituksen esitykseen sisältyvässä 3. lakiehdotuksessa on säilölain kumottavaksi ehdotetussa 34 §:n 1 momentissa puolestaan ollut viittaus vastaanottolain 58 §:n mukaiseen tiedonsaantioikeuteen. Koska vastaanottokeskukset, järjestelykeskukset ja säilöönottoyksiköt ovat itsenäisiä laitoksia, on tarpeen säätää myös niiden oikeudesta saada tietoja toisilta vastaavilta keskuksilta tai yksiköiltä. Vastaanottokeskus esimerkiksi tarvitsee toisen vastaanottokeskuksen tietoja tilanteessa, jossa majoituspalveluita saava asukas siirtyy vastaanottokeskuksesta toiseen. Sama tilanne koskee säilöönottoyksiköitä ja voi koskea myös järjestelykeskuksia. Tämän vuoksi on tarpeen, että ehdotetun 1 momentin 2 kohdassa säädetään, muun ohella, vastaanottokeskuksen oikeudesta saada tietoja toiselta vastaanottokeskukselta, momentin 3 kohdassa vastaavasti järjestelykeskuksen oikeudesta saada tietoja toiselta järjestelykeskukselta ja momentin 4 kohdassa säilöönottoyksikön oikeudesta saada tietoja toiselta säilöönottoyksiköltä.
Mainitussa 2. lakiehdotuksessa kumottavaksi ehdotetussa vastaanottolain 53 §:ssä säädetään vastaanotto- ja järjestelykeskuksen oikeudesta saada tietoja elinkeino-, liikenne- ja ympäristökeskukselta. Vastaanottokeskuksen ja järjestelykeskuksen on edelleen välttämätöntä saada elinkeino-, liikenne- ja ympäristökeskukselta tietoja, jotka liittyvät kotouttamislain mukaiseen kansainvälistä suojelua saaneiden henkilöiden kuntiin osoittamiseen. Sen vuoksi on tarpeen, että 1 momentin 2 ja 3 kohdassa säädetään, muun ohella, nykytilaa vastaavasti vastaanottokeskuksen ja järjestelykeskuksen tiedonsaantioikeudesta elinkeino-, liikenne- ja ympäristökeskukselta.
Maahanmuuttohallinnon henkilötietolain 3 §:ssä mainituista rekisterinpitäjistä poliisin ja Rajavartiolaitoksen henkilötietolainsäädännössä säädetään jo nykyisin tiedonsaantioikeudesta varsin kattavasti. Poliisin henkilötietolain 16 §:n 1 momentin 7 ja 8 kohdan mukaan poliisilla on oikeus saada tietoja Maahanmuuttoviraston ja ulkoministeriön tietojärjestelmistä ulkomaalaislain mukaisten tehtäviensä suorittamiseksi. Poliisin henkilötietolain 7 luvussa säädetään suojelupoliisin henkilötietojen käsittelystä. Rajavartiolaitoksen henkilötietolain 19 § puolestaan sisältää yleisen tiedonsaantioikeuden muilta viranomaisilta.
Sääntelyn päällekkäisyyden välttämiseksi hallintovaliokunta ehdottaa hallituksen esityksestä poiketen, että poliisin, suojelupoliisin ja Rajavartiolaitoksen tiedonsaantioikeudesta ulkomaalaislain, kansalaisuuslain ja säilölain mukaisten tehtävien hoitamiseksi säädetään näitä viranomaisia koskevissa henkilötietolaeissa. Käsillä olevaan 11 §:ään ehdotetaan sisällytettäväksi selvyyden vuoksi informatiivinen viittaus asianomaisiin henkilötietolakeihin (2 ja 3 momentti).
Rajavartiolaitoksen henkilötietolain 19 §:n mukainen tiedonsaantioikeus on nykyisellään riittävä turvaamaan Rajavartiolaitoksen ulkomaalaislain mukaisten tehtävien hoitamisen. Poliisin henkilötietolain 16 §:n 7 ja 8 kohdassa säädettyä tiedonsaantioikeutta on kuitenkin nykyisen oikeustilan säilyttämiseksi tarpeen eräiltä osin tarkistaa. Valiokunta viittaa jäljempänä ehdottamaansa uuteen 18. lakiehdotukseen.
Poliisin henkilötietolain 3 luvun 16 § muodostaa perustan myös suojelupoliisin tiedonsaantioikeudelle. Poliisin henkilötietolain 52 §:n 2 momentin mukaan suojelupoliisilla on tehtäviensä suorittamiseksi oikeus saada 3 luvussa tarkoitetut tiedot kyseisessä luvussa säädetyllä tavalla.
Sanamuodon mukaisesti suojelupoliisilla on poliisin henkilötietolain 52 §:n nojalla oikeus saada tietoja esimerkiksi ulkomaalaislaissa, kansalaisuuslaissa ja poliisin hallinnosta annetussa laissa säädettyjen tehtävien suorittamiseksi. Tietoja käytettäisiin kansallisen turvallisuuden suojaamiseksi sekä rikosten estämiseksi siltä osin kuin tämä on säädetty suojelupoliisin toimivaltaan.
Ehdotettu sääntelytapa poikkeaa voimassa olevasta laista, jossa suojelupoliisin tiedonsaantioikeus valtion turvallisuuden varmistamiseksi on lisäksi perustunut nyt kumottavaksi ehdotetun ulkomaalaisrekisterilain 3 §:n mukaiseen ulkomaalaisrekisterin rekisterinpitäjän asemaan, ilman erillistä tiedon luovutussäännöstä. Uudella sääntelytavalla ei ole tarkoitus tehdä asiallista muutosta suojelupoliisin tiedonsaantioikeuteen, vaan ulkomaalaisasioiden asiankäsittelyjärjestelmän ja kansallisen viisumitietojärjestelmän tiedot ovat suojelupoliisin käytettävissä aikaisempaa vastaavalla tavalla.
Pykälän 4 momentin tarkoituksena on rajata sormenjälkitiedot selvästi pykälässä säädetyn ulkopuolelle. Muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettujen sormenjälkien käsittelystä säädettäisiin nykytilaa vastaavasti lakiehdotuksen 9 §:ssä ja oleskeluluvan, oleskelulupakortin tai unionin kansalaisen perheenjäsenen oleskelukortin hakijalta otettujen sormenjälkien käsittelystä niinikään nykytilaa vastaavasti lakiehdotuksen 10 §:ssä. Ehdotetulla 11 §:llä ei siten laajenneta viranomaisten oikeuksia sormenjälkien käsittelyyn siitä, mitä 9 ja 10 §:ssä säädetään. Tämä tarkoittaa myös sitä, että sormenjälkitietojen liikkuminen 9 §:ssä säädettyjen viranomaisten välillä tapahtuu 9 §:n nojalla ja 10 §:n mukaisten sormenjälkitietojen liikkuminen vastaavasti 10 §:n nojalla.
12 §. Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa.
Yleisperusteluissa esitetyn perusteella hallintovaliokunta ehdottaa pykälän muuttamista kokonaan niin, että siinä säädetään tiedonsaantioikeudesta kansallisen viisumitietojärjestelmän rekisterinpitäjien välillä. Pykälän otsikko on myös tarpeen muuttaa tämän mukaiseksi.
Perustuslakivaliokunnan valtiosääntöisen huomautuksen johdosta myös kansallisen viisumitietojärjestelmän osalta on välttämätöntä säätää hallituksen esityksessä ehdotettua huomattavasti täsmällisemmin kunkin rekisterinpitäjän oikeus saada välttämättömiä tietoja salassapitosäännösten estämättä kultakin toiselta rekisterinpitäjältä ja sitoa kunkin rekisterinpitäjän tiedonsaantioikeus tiettyihin ehdotetun lain 1 §:n mukaisiin käsittelytarkoituksiin ja rekisterinpitäjän ulkomaalaislain mukaisten tehtävien hoitamiseen. Sääntelyn päällekkäisyyden välttämiseksi pykälässä ei kuitenkaan säädettäisi sellaisesta tiedonsaantioikeudesta, josta säädetään erikseen muualla henkilötietolainsäädännössä, vaan tältä osin pykälä sisältää ainoastaan informatiivisen viittauksen kyseisen viranomaisen henkilötietolain tiedonsaantioikeuteen. Ehdotetussa pykälässä on kyse voimassa olevan lainsäädännön säilyttämisestä eikä tavoitteena ole muuttaa oikeustilaa.
Ehdotettu 1 momentti sisältää säännökset ulkoministeriön, edustuston ja Maahanmuuttoviraston tiedonsaantioikeudesta.
Ehdotetun lain 5 §:n mukaisista rekisterinpitäjistä poliisin, Rajavartiolaitoksen ja Tullin henkilötietolainsäädännössä säädetään jo nykyisin näiden viranomaisten oikeudesta saada tietoa varsin kattavasti. Poliisin henkilötietolain 16 §:n 1 momentin 7 ja 8 kohdan mukaan poliisilla ja Tullin henkilötietolain 16 §:n 1 momentin 12 ja 13 kohdan mukaan Tullilla on oikeus saada tietoja Maahanmuuttoviraston ja ulkoministeriön tietojärjestelmistä ulkomaalaislain mukaisten tehtäviensä suorittamiseksi. Rajavartiolaitoksen henkilötietolain 19 § sisältää yleisen tiedonsaantioikeuden muilta viranomaisilta.
Sääntelyn päällekkäisyyden välttämiseksi hallintovaliokunta ehdottaa hallituksen esityksestä poiketen, että poliisin, Rajavartiolaitoksen ja Tullin tiedonsaantioikeudesta ulkomaalaislain mukaisten tehtävien hoitamiseksi säädetään näitä viranomaisia koskevissa henkilötietolaeissa. Käsillä olevaan 12 §:ään ehdotetaan sisällytettäväksi selvyyden vuoksi informatiivinen viittaus asianomaisiin henkilötietolakeihin (2—4 momentti).
Selvityksen mukaan Rajavartiolaitoksen henkilötietolain 19 §:n mukainen tiedonsaantioikeus on nykyisellään riittävä turvaamaan Rajavartiolaitoksen ulkomaalaislain mukaisten tehtävien hoitamisen. Myös Tullin henkilötietolain 16 §:n 1 momentin 12 kohdan mukaisen tiedonsaantioikeuden on arvioitu riittävän Tullin viisumien käsittelyä ja päätöksentekoa koskevan ulkomaalaislain mukaisen tehtävän hoitamiseksi. Tullin henkilötietolain 16 §:n 1 momentin 12 kohdan viittauksen ulkoministeriön tietojärjestelmiin voidaan katsoa koskevan myös muiden viranomaisten kansalliseen viisumitietojärjestelmään tallentamia tietoja, koska maahanmuuttohallinnon henkilötietolain 5 §:n 4 momentissa säädetään vastuu kansallisesta viisumitietojärjestelmästä ulkoministeriölle.
Poliisin henkilötietolain 16 §:n 1 momentin 7 ja 8 kohdan mukaista tiedonsaantioikeutta ulkoministeriön tietojärjestelmistä on kuitenkin nykyisen oikeustilan säilyttämiseksi tarpeen eräiltä osin tarkistaa. Valiokunta viittaa jäljempänä ehdottamaansa uuteen 18. lakiehdotukseen.
13 §. Tiedonsaantioikeus.
Valiokunta on ehdottanut lain 11 ja 12 §:ssä säädettäväksi tiedonsaantioikeudesta rekisterinpitäjien välillä. Käsillä oleva 13 § sisältää hallituksen esityksen tapaan säännökset rekisterinpitäjien muusta tiedonsaantioikeudesta, toisin sanoen oikeudesta saada tietoja ulkomaalaisasioiden asiankäsittelyjärjestelmän ja kansallisen viisumitietojärjestelmän ulkopuolisilta tahoilta. Pykälän otsikkoa on syytä täsmentää tämän mukaisesti.
Ehdotetulla sääntelyllä ei laajenneta oikeutta saada voimassa olevan aineellisen lainsäädännön mukaisiin tehtäviin välttämättömiä erityisiin henkilötietoryhmiin kuuluvia tietoja. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä säädetään lain 8 §:ssä. Maahanmuuttohallinnon alalla tiedonsaantiin toimivaltaa luovia lakeja ovat ulkomaalaislaki, kansalaisuuslaki, kausityölaki, ICT-laki, tutkija- ja opiskelijalaki, vastaanottolaki, säilölaki ja kotoutumislaki. Selvyyden vuoksi valiokunta toteaa, että esimerkiksi toimeentulotukitiedot ovat Maahanmuuttovirastolle ulkomaalaislain 39 §:n ja kansalaisuuslain 13 §:n mukaisen tehtävän hoitamiseksi välttämättömiä tietoja, joita ilman päätöstä ei voida tehdä tai joiden ollessa puutteellisia voitaisiin tehdä virheellinen päätös.
Hallituksen esityksessä ehdotettuun 13 §:ään ei ole kohdistunut perustuslakivaliokunnan huomautusta. Hallintovaliokunta pitää kuitenkin sääntelyn johdonmukaisuuden vuoksi aiheellisena täsmentää sääntelyä siten, että pykälän 1 momenttiin lisätään 11 §:ää vastaavasti maininnat ulkomaalaislaista, kansalaisuuslaista, kausityölaista, ICT-laista, tutkija- ja opiskelijalaista, vastaanottolaista, säilölaista ja kotoutumislaista, joiden mukaisten tehtävien hoitamiseksi Maahanmuuttoviraston, vastaanottokeskuksen, järjestelykeskuksen, säilöönottoyksikön, elinkeino-, liikenne- ja ympäristökeskuksen, työ- ja elinkeinotoimiston, ulkoministeriön ja edustuston on välttämätöntä saada tietoja salassapitosäännösten estämättä ja maksutta säännöksessä nimetyiltä tahoilta. Lisäksi tiedonsaantioikeus sidotaan kunkin rekisterinpitäjän tiettyihin ehdotetun lain 1 §:n mukaisiin käsittelytarkoituksiin.
Hallituksen esityksessä on pyritty sääntelyn selkeyden vuoksi keskittämään rekisterinpitäjien tiedonsaantioikeudet maahanmuuttohallinnon henkilötietolakiin. Tämän vuoksi vastaanottolain rekistereitä koskeva 6 luku (2. lakiehdotus) ja säilölain rekistereitä koskeva 5 a luku (3. lakiehdotus) on ehdotettu kumottaviksi. Rekisterinpitäjien välisistä tiedonsaantioikeuksista säädettäisiin lain 11 §:ssä. Vastaanottolain 58 §:n 1 momenttia on ehdotettu muutettavaksi niin, että Maahanmuuttoviraston, vastaanottokeskuksen ja järjestelykeskuksen tiedonsaantioikeus poistetaan säännöksestä, koska myös näiltä osin tiedonsaantioikeudesta säädettäisiin maahanmuuttohallinnon henkilötietolaissa. Lisäksi säilölain 34 § on ehdotettu muutettavaksi niin, ettei siinä enää viitata vastaanottolain 58 §:ään, koska maahanmuuttohallinnon henkilötietolain mukaisten rekisterinpitäjien oikeudesta saada tietoja järjestelmien ulkopuolisilta tahoilta säädettäisiin kootusti käsillä olevassa 13 §:ssä.
Perustuslakivaliokunnan lausunnossa edellytetyn mukaisesti maahanmuuttohallinnon henkilötietolain tiedonsaantioikeuksia koskevaa sääntelyä on pyritty täsmentämään olennaisesti. Tässä yhteydessä on arvioitu vielä uudestaan muutettavaksi ja kumottavaksi ehdotettuja vastaanottolain ja säilölain säännöksiä. Samalla on havaittu, että, jotta voidaan säilyttää voimassa olevien vastaanottolain 58 §:n 1 momentin ja säilölain 34 §:n 1 momentin mukaiset tiedonsaantioikeudet sekä valittu perusratkaisu sääntelyn keskittämisestä maahanmuuttohallinnon henkilötietolakiin, ehdotettuun 13 §:ään on lisättävä Maahanmuuttoviraston, vastaanottokeskuksen, järjestelykeskuksen sekä säilöönottoyksikön oikeus saada tietoja vastaanottolain 3 ja 4 luvun ja säilölain 3 luvun mukaisia palveluja tarjoavalta yksityiseltä palveluntuottajalta sekä ilman huoltajaa olevalle lapselle määrätyltä edustajalta. Säännöksessä ei ole tarvetta toistaa vastaanottolain 58 §:n 1 momentissa mainittuja julkisia palveluntuottajia, koska ehdotetun säännöksen tiedonsaantioikeus koskee julkisuuslain 4 §:n mukaisia tahoja, jollainen julkinen palveluntuottaja on.
Vastaanottolain 3 ja 4 luvun sekä säilölain 3 luvun mukaiset terveyden- ja sairaanhoidon palvelut voidaan ostaa yksityiseltä tai julkiselta palvelujen tuottajalta. Tämän vuoksi Maahanmuuttoviraston, vastaanottokeskuksen ja säilöönottoyksikön on saatava tehtäviensä hoitamiseksi välttämättömät tiedot näitä palveluita tuottavalta julkiselta ja yksityiseltä palveluntuottajalta. Koska alaikäinen ilman huoltajaa oleva lapsi voi olla vastaanottopalveluiden piirissä ja lapsikin voidaan tietyissä ulkomaalaislaissa säädetyissä tapauksissa sijoittaa säilöönottoyksikköön, on Maahanmuuttoviraston, vastaanottokeskuksen ja säilöönottoyksikön saatava tehtäviensä hoitamiseksi välttämättömät tiedot myös ilman huoltajaa olevalle lapselle määrätyltä edustajalta. Näistä syistä valiokunta ehdottaa, että 1 momenttiin lisätään maininnat yksityisestä palveluntuottajasta ja ilman huoltajaa olevalle lapselle määrätystä edustajasta.
Ehdotettua pykälää sovelletaan säännöksessä mainittujen rekisterinpitäjien oikeuteen saada tietoa ulkomaalaisasioiden asiankäsittelyjärjestelmän ja kansallisen viisumitietojärjestelmän ulkopuolisilta tahoilta. Poliisin tässä tarkoitetusta tiedonsaantioikeudesta säädetään poliisin henkilötietolaissa ja Rajavartiolaitoksen vastaavasta tiedonsaantioikeudesta Rajavartiolaitoksen henkilötietolaissa. Valiokunta ehdottaa selvyyden vuoksi pykälään lisättäväksi näitä koskevat informatiiviset viittaukset (uusi 2 ja 3 momentti). Esimerkiksi poliisin henkilötietolain 16 §:n 2 kohdassa säädetään poliisin oikeudesta saada tietoa Rikosseuraamuslaitokselta. Tullin henkilötietolaissa ei ole poliisin henkilötietolakia vastaavaa tiedon käyttötarkoitusta esimerkiksi Rikosseuraamuslaitokselta saatavien tietojen suhteen, eikä Tullilla ole arvioitu olevan viisumien myöntämisen, epäämisen, mitätöimisen tai kumoamisen hoitamiseen liittyviä tiedonsaantioikeustarpeita kansallisen viisumitietojärjestelmän ulkopuolisilta viranomaisilta.
Uusien momenttien lisäämisen seurauksena hallituksen esityksessä ehdotetusta 2 momentista tulee pykälän 4 momentti. Momentin 1, 2, 4, 6, 7 ja 9 kohdassa on ehdotettu säädettävän Maahanmuuttoviraston oikeudesta saada Oikeusrekisterikeskukselta, poliisilta, kunnan sosiaaliviranomaiselta, Verohallinnolta ja Rikosseuraamuslaitokselta tarpeellisia tietoja kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 604/2013 (jäljempänä vastuunmäärittämisasetus) 8 ja 16 artiklan mukaisen harkinnan suorittamiseksi. Vastuunmäärittämisasetuksen 8 artikla koskee alaikäistä turvapaikanhakijaa ja 16 artikla tilannetta, jossa joko kansainvälistä suojelua hakenut henkilö on riippuvainen Suomessa oleskelevan henkilön huolenpidosta tai Suomessa oleskeleva henkilö on riippuvainen kansainvälistä suojelua hakeneesta henkilöstä. Määritettäessä vastuunmäärittämisasetuksen mukaisesti kansainvälisen suojelun hakemuksesta vastuussa olevaa jäsenvaltiota selvitetään, onko kansainvälisen suojelun hakemuksen jättäneellä henkilöllä perheenjäseniä tai sukulaisia toisessa vastuunmäärittämisasetusta soveltavassa maassa. Jos tällaisia perheenjäseniä tai sukulaisia on, tulee vastuunmäärittämisasetuksen mukaan alaikäisen kansainvälistä suojelua hakeneen ja riippuvuussuhteessa olevan henkilön osalta harkita, onko henkilö, jonka olisi tarkoitus huolehtia alaikäisestä tai riippuvuussuhteessa olevasta, kykenevä huolehtimiseen. Henkilön huolehtimiskykyä koskeva harkinta on siis osa asetuksen mukaista kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämistä. Harkinnan tavoitteena on suojata kansainvälistä suojelua hakenutta alaikäistä sekä toisesta henkilöstä riippuvaista henkilöä.
Harkintaa varten tarvittavissa tiedoissa on kyse Suomessa oleskelevasta henkilöstä, joka voi olla myös Suomen kansalainen. Vastuunmäärittämisasetus ei itsessään sisällä sääntelyä henkilön huolehtimiskyvyn arvioimiseksi tarvittavista tiedoista, joten 4 momentissa ehdotetut Maahanmuuttoviraston harkinnan tekemiseksi tarvitsemat tiedot pohjaavat komission täytäntöönpanoasetuksella (EU) 118/2014 antamissa vakiolomakkeissa edellytettyihin tietoihin. Henkilön huolehtimiskyvyn arvioimiseksi Maahanmuuttovirasto tarvitsee tietoja niin henkilön elatuskyvystä, etuuksista, tuloista ja varallisuudesta sekä sosiaali- ja terveyspalveluista kuin henkilön tekemiksi epäillyistä rikoksista, esitutkinnasta sekä hänelle määrätyistä sakoista, rangaistuksista ja niiden suorittamisesta.
Perustuslakivaliokunnan tiedon saamista ja luovuttamista salassapitosäännösten estämättä koskevan lausuntokäytännön (PeVL 7/2019 vp sekä PeVL 17/2016 vp ja siinä viitatut lausunnot) mukaan viranomaisen tietojensaantioikeus ja tietojen luovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Hallituksen esityksessä ehdotetun säännöksen 2, 4 ja 6 kohdassa ei ole määritetty vastuunmäärittämisasetuksen mukaisen harkinnan suorittamiseksi tarvittavien tietojen tietosisältöä, joten hallintovaliokunta ehdottaa kyseisiä säännöksiä täsmennettäväksi lisäämällä niihin tarvittavien tietojen tietosisältö. Saadun selvityksen mukaan 4 kohdassa tarvittava tietosisältö poliisilta vastaa 3 kohdan tietosisältöä esitutkintaviranomaiselta, joten hallituksen esityksessä ehdotetusta poiketen säännöksessä ehdotetaan viitattavan esitutkintaviranomaiselta tarvittaviin tietoihin. Momentin 1 d ja 3 kohdan mukainen oikeus saada tietoja esitutkintaviranomaisilta ei kuitenkaan koske rikosten ennalta estämiseksi tai paljastamiseksi käsiteltäviä henkilötietoja.
Samalla on arvioitu uudelleen vastuunmäärittämisasetuksen mukaisen harkinnan suorittamiseksi tarvittavia tietoja koskevien säännösten hajautumista momentin eri kohtiin ja näiden säännösten sanamuotoa. Jotta säännös olisi ymmärrettävämpi, hallintovaliokunta ehdottaa, että kaikki vastuunmäärittämisasetuksen mukaiset tietotarpeet keskitetään 4 momentin 1 kohdan a—g alakohdiksi. Lisäksi säännöksen kirjoitusasua ehdotetaan muutettavaksi niin, että siinä viitataan suoraan vastuunmäärittämisasetuksen mukaisiin artikloihin, joiden edellyttämän henkilön huolehtimiskyvyn arvioinnin tekemiseksi säännöksessä luetellut tiedot ovat tarpeen. Uusi muotoilu ei kuitenkaan sisällöllisesti poikkea hallituksen esityksessä ehdotetusta. Ehdotetun muutoksen johdosta momentin muihin kohtiin sisältyvät viittaukset vastuunmäärittämisasetuksen mukaisen harkinnan tekemiseksi tarvittaviin tietoihin eivät enää ole tarpeen.
Rikosrekisterilain (770/1993) 4 a §:n mukaan rikosrekisteristä luovutetaan henkilöä koskevat tiedot Suomen viranomaiselle asiassa, joka koskee passia, Suomen kansalaisuutta tai ulkomaalaislaissa tarkoitettua viisumia, lupaa tai muuta toimenpidettä. Lain 5 §:n mukaan tiedot rikosrekisteristä luovutetaan rikosrekisterin otteella, jossa ovat henkilöstä rekisteriin talletetut tiedot tai ilmoitus siitä, ettei henkilöstä ole merkintää rekisterissä. Jotta varmistetaan Maahanmuuttoviraston oikeus saada rikosrekisterin tietoja myös vastuunmäärittämisasetuksen mukaista henkilön huolehtimiskyvyn arviointia varten sekä osana oleskeluluvan ja oleskeluoikeuden kokonaisharkintaa tehtävää lapsen edun, yhteiselämän mahdollisuuksien tai toimeentuloedellytyksen arviointia varten, hallintovaliokunta ehdottaa, että niistä säädetään erikseen 4 momentin 1 kohdan c alakohdassa sekä 2 kohdan f alakohdassa. Lisäksi 2 kohdan johdanto-osaa ehdotetaan täydennettäväksi maininnalla rikosrekisteristä, koska se ei ole oikeushallinnon valtakunnallisen tietojärjestelmän osa, vaan se on erillinen rekisteri.
Hallintovaliokunnan 4 momenttiin ehdottamien muutosten seurauksena momentin 5—8 kohdista tulee 4—7 kohdat ja 10 ja 11 kohdasta 8 ja 9 kohta.
Lisäksi 4 momentin 8 kohtaa ehdotetaan täsmennettäväksi siten, että sana ulkoasiainhallinto korvataan tiedot luovuttavan viranomaisen tarkemmin yksilöivällä ilmaisulla "ulkoministeriö tai edustusto".
14 §. Henkilötietojen luovuttaminen.
Pykälän 1 momentin mukaan sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi. Pykälän 2 momentissa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamisesta ja 3 momentissa sormenjälkitietoja koskevasta rajauksesta. Perustelujen mukaan pykälän nojalla henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla. Henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin säädetään erikseen.
Hallintovaliokunta viittaa yleisperusteluissa mainittuun perustuslakivaliokunnan lausuntokäytäntöön viranomaisen oikeudesta saada tai luovuttaa tietoja salassapitosäännösten estämättä. Hallintovaliokunta on ehdottanut, että tiedonsaantioikeudesta rekisterinpitäjien välillä säädetään lain 11 ja 12 §:ssä ja muusta tiedonsaantioikeudesta 13 §:ssä. Erityisten henkilötietoryhmien käsittelystä säädetään 8 §:ssä. Sormenjälkitietojen käsittelystä säädetään erikseen lain 9 ja 10 §:ssä. Esityksen perustelujen mukaan 14 § mahdollistaisi jatkossa tietojen luovuttamisen myös muille kuin ulkomaalaisrekisterilain 10 §:n mukaisille tahoille. Säännöksen nojalla ei kuitenkaan olisi mahdollista luovuttaa tietoja ilman, että vastaanottavalla taholla on omassa lainsäädännössään tiedonsaantioikeus kyseisiin tietoihin. Edellä esitetty huomioiden valiokunta katsoo, että ehdotettu 14 § on tarpeeton, ja valiokunta ehdottaa sen poistamista. Tämän seurauksena jäljempien pykälien numerointi muuttuu vastaavasti.
Hallituksen esityksessä ehdotetun 14 §:n poistamisella ei ole vaikutusta esityksessä kumottavaksi ehdotettujen vastaanottolaissa, säilölaissa ja kotoutumislaissa säädettyjen tiedon luovutussäännösten osalta, sillä kumottaviksi ehdotetuissa säännöksissä luovutuksen saajina mainitut viranomaiset ovat ehdotetun maahanmuuttohallinnon henkilötietolain mukaisia rekisterinpitäjiä, joiden välisestä tiedonsaantioikeudesta säädetään lain 11 §:ssä.
14 (15) §. Henkilötietojen luovuttaminen Euroopan unionin yhteisiin tietojärjestelmiin.
Pykälässä ehdotetaan säädettävän Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä Euroopan unionin toiminnasta tehdyn sopimuksen V osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin henkilötietoja sen mukaan kuin mainituissa asetuksissa säädetään.
Asetukset, joilla EU:n yhteiset tietojärjestelmät perustetaan, ovat suoraan sovellettavaa oikeutta. Julkisuuslain 29 §:n mukaisesti salassa pidettävien tietojen luovuttamisesta tulee kuitenkin säätää erikseen. Asetuksissa määritellään yksiselitteisesti järjestelmiin tallennettavat tiedot. Nämä asetusten mukaisesti tietojärjestelmiin tallennettavat tiedot voivat olla joko rekisterinpitäjän itse keräämiä ja ulkomaalaisasioiden asiankäsittelyjärjestelmään tai kansalliseen viisumitietojärjestelmään tallentamia tietoja tai rekisterinpitäjän sille säädetyn tiedonsaantioikeuden nojalla toiselta viranomaiselta saamia ja tallentamia tietoja.
Esimerkiksi Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 1987/2006 toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä säädetään jäsenmaiden viranomaisille velvollisuus tallentaa Schengenin tietojärjestelmään maahantulokieltokuulutuksia. Myös mainitun asetuksen kumoavissa ns. SIS-asetuksissa (Euroopan parlamentin ja neuvoston asetus (EU) 2018/1860 Schengenin tietojärjestelmän käytöstä laittomasti oleskelevien kolmansien maiden kansalaisten palauttamiseksi, Euroopan parlamentin ja neuvoston asetus (EU) 2018/1861 Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä rajatarkastuksissa, Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen muuttamisesta ja asetuksen (EY) N:o 1987/2006 muuttamisesta ja kumoamisesta sekä Euroopan parlamentin ja neuvoston asetus (EU) 2018/1862 Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, neuvoston päätöksen 2007/533/YOS muuttamisesta ja kumoamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1986/2006 ja komission päätöksen 2010/261/EU kumoamisesta) säädetään jäsenmaiden viranomaisille velvollisuus tallentaa Schengenin tietojärjestelmään maahantulokieltokuulutuksia ja uutena kuulutusluokkana palautuskuulutuksia.
Schengen-tietojärjestelmään tallennettavat maahantulokieltokuulutukset laaditaan ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Myös uusi kuulutusluokka palautuskuulutukset on tarkoitus toteuttaa ulkomaalaisasioiden asiankäsittelyjärjestelmään. Ulkomaalaislain 151 ja 152 §:n nojalla toimivaltaisia palautus- ja maahantulokieltopäätöksen tekeviä viranomaisia ovat poliisi ja rajatarkastusviranomainen sekä Maahanmuuttovirasto. Ulkomaalaislain 3 §:n 21 kohdan mukaan rajatarkastusviranomaisella tarkoitetaan Rajavartiolaitosta ja muuta viranomaista, jolla on oikeus henkilöiden liikkumista rajojen yli koskevasta yhteisön säännöstöstä (Schengenin rajasäännöstö) annetussa Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 562/2006 tarkoitetun rajatarkastuksen tekemiseen. Schengenin rajasäännöstö on sittemmin kodifioitu Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/399. Rajavartiolain (578/2005) 12 §:n mukaan rajatarkastustehtävien jakamisesta rajavartiolaitoksen, poliisin ja Tullin kesken eri rajanylityspaikoilla säädetään valtioneuvoston asetuksella. Rajanylityspaikoista sekä rajatarkastustehtävien jakamisesta niillä annetun valtioneuvoston asetuksen (901/2006) 10 §:ssä säädetään rajatarkastustehtävien jakamisesta poliisin, Tullin ja Rajavartiolaitoksen välillä. Tosiasiallisesti kuulutuksia ovat ulkomaalaisasioiden asiankäsittelyjärjestelmässä laatineet Maahanmuuttovirasto, poliisi ja Rajavartiolaitos.
Toisin kuin hallituksen esityksen perusteluissa on todettu, poliisin ja Rajavartiolaitoksen henkilötietolakien säännökset tietojen luovuttamisesta esimerkiksi Schengenin tietojärjestelmään eivät selvityksen mukaan sovellu poliisin ja Rajavartiolaitoksen ulkomaalaisasioiden asiankäsittelyjärjestelmään tallentamien tietojen luovutukseen EU:n yhteisiin tietojärjestelmiin. Siksi ehdotetussa laissa on tarpeen tältä osin säätää myös poliisin ja Rajavartiolaitoksen oikeudesta tietojen luovuttamiseen.
Maahantulokieltokuulutuksiin ja palautuskuulutuksiin sisällytettävät tiedot ovat Maahanmuuttoviraston, poliisin ja Rajavartiolaitoksen ehdotetun lain 3 §:n mukaisesti 1 §:n 1 momentin 1 kohdan käsittelytarkoituksessa käsittelemiä ulkomaalaislain 9 luvun mukaisten tehtävien hoitamiseksi tarvittavia tietoja.
VIS-asetuksen II luvussa säädetään tietojen tallentamisesta ja käytöstä viisumiviranomaisten toimesta. VIS-asetuksen 4 artiklan 3 alakohdan määritelmän mukaisia viisumiviranomaisia ovat ulkomaalaislain 30 ja 31 §:n nojalla ulkoministeriö, Suomen edustusto, poliisi, Rajavartiolaitos, Tulli ja Maahanmuuttovirasto. Ulkoministeriö on viisumiasioista vastaava keskusviranomainen, joka luetaan VIS-asetuksen 4 artiklan 3 alakohdan mukaisiin viisumiviranomaisiin.
Muutettaessa ulkomaalaislain viisumisäännöksiä vastaamaan Euroopan parlamentin ja neuvoston asetusta (EY) N:o 810/2009 yhteisön viisumisäännöstön laatimisesta (viisumisäännöstö) on hallituksen esityksessä (HE 275/2010 vp) todettu, että Suomella, toisin kuin eräillä muilla jäsenvaltioilla, ei ole käytössä sellaista järjestelyä, jossa viisumiasioista vastaava keskusviranomainen osallistuisi viisumipäätösten tekemiseen siten, että keskusviranomainen tekisi itse viisumipäätöksen viisumisäännöstön 4 artiklan 1 ja 2 kohdassa tarkoitetun edustuston tai henkilötarkastuksista vastaavan viranomaisen sijasta. Nykyään myös ulkoministeriön on kuitenkin mahdollista osallistua viisumipäätösten tekemiseen. Viisumisäännöstöä on muutettu asetuksella (EU) 2019/1155 niin, että jäsenvaltiot voivat päättää, että keskusviranomaiset käsittelevät hakemukset ja tekevät niistä päätökset.
Selvityksen mukaan EU:n viisumitietojärjestelmään (VIS) tallennettavat tiedot ovat ulkoministeriön, edustuston, Maahanmuuttoviraston, poliisin, Rajavartiolaitoksen ja Tullin ehdotetun lain 5 §:n mukaisesti 1 §:n 1 momentin 1 kohdan käsittelytarkoituksessa kansallisessa viisumitietojärjestelmässä käsittelemiä ulkomaalaislain 3 luvun mukaisten tehtävien hoitamiseksi tarvittavia tietoja.
Edellä todetun perusteella valiokunta ehdottaa säännöstä täydennettäväksi siten, että siinä mainitaan Maahanmuuttoviraston lisäksi ulkoministeriö, edustusto, poliisi, Rajavartiolaitos ja Tulli.
15 (16) §. Tietojen poistaminen.
Ehdotetussa pykälässä säädetään henkilötietojen poistamisesta niistä järjestelmistä, joissa niitä käsitellään. Tietosuoja-asetuksen 6 artiklan 3 kohdassa mahdollistetaan tietojen säilytysajoista säätäminen kansallisessa lainsäädännössä. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan tietojen minimointia ja 5 artiklan 1 kohdan e alakohdan säilytyksen rajoittamista koskevan lähtökohdan mukaisesti henkilötietojen poistamista koskevat määräajat perustuvat tarpeeseen säilyttää tietoa vain ajan, joka on rekisterinpitäjän lainmukaisten tehtävien suorittamiseksi ja lakien noudattamisen valvomiseksi tarpeen sekä henkilön oikeusturvan kannalta perusteltua.
Selvyyden vuoksi valiokunta toteaa, että lakisääteisen säilytysajan päätyttyä henkilötiedot poistetaan joko hävittämällä ne tai siirtämällä ne arkistoon sen mukaan, mitä arkistolaitos määrää asiakirjojen tai asiakirjoihin sisältyvien tietojen säilyttämisestä pysyvästi. Virheelliseksi todetun tiedon poistamisesta säädetään lakiehdotuksen 17 §:ssä. Tietojen poistamisesta vastaavasta viranomaisesta säädetään lakiehdotuksen 3 ja 5 §:ssä, joiden mukaan henkilötietojen poistaminen on tiedosta vastaavan rekisterinpitäjän vastuulla, mutta tiedon poistamisen toteuttaminen on käsittelijäsopimuksin mahdollista keskittää ulkomaalaisasioiden asiankäsittelyjärjestelmässä Maahanmuuttovirastolle ja kansallisessa viisumitietojärjestelmässä ulkoministeriölle.
Arkistolaitos on arkistolain (831/1994) 8 §:n 3 momentin nojalla määrännyt ulkomaalaisasioiden asiankäsittelyjärjestelmään tallennetut tiedot säilytettäväksi pysyvästi. Poistamisen jälkeen ulkomaalaisasioiden asiankäsittelyjärjestelmään tallennetut tiedot säilytetään arkistolaitoksen määräyksen nojalla pysyvästi ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Ulkomaalaisasioiden asiankäsittelyjärjestelmää käyttävillä virkamiehillä ei ole pääsyä arkistoituihin tietoihin.
16 (17) §. Virheelliseksi todettu henkilötieto.
Hallituksen esityksessä ehdotetun pykälän 1 momentin mukaan virheelliseksi todettu henkilötieto saadaan säilyttää korjatun henkilötiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saa käsitellä vain mainitussa tarkoituksessa. Pykälän 2 momentin mukaan virheelliseksi todettu henkilötieto on poistettava heti, kun henkilötiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta.
Tietosuoja-asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Hallituksen esityksen perustelujen mukaan ehdotettu 17 § ei rajoita oikeutta tietojen oikaisemiseen, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä. Pykälässä ehdotetaan säädettäväksi virheelliseksi todetun henkilötiedon säilyttämisestä tilanteissa, joissa se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 9 §:n 2 momenttiin verrattuna ehdotus muuttaa oikeustilaa niin, että merkityksellistä on myös muun asianosaisen oikeuksien turvaaminen esimerkiksi perheenjäsenen oleskelulupaa koskevissa tilanteissa.
Esityksen perusteluissa viitataan muun muassa tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohtaan, jonka mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä ("täsmällisyys"). Lisäksi 1 kohdan e alakohdan mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten ("säilytyksen rajoittaminen").
Tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. Artiklan 3 kohdan toisen kappaleen mukaan käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa säilytysaikoja. Unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.
Lisäksi tietosuoja-asetuksen johdantokappaleessa 39 tähdennetään muun muassa, että "Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan."
Tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan mukaan 5 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa voidaan rajoittaa lainsäädännössä siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Artiklan 2 kohdan mukaan tällaisten lainsäädäntötoimien on sisällettävä tarpeen mukaan erityisiä säännöksiä muun muassa tietojen säilytysajoista ja sovellettavista suojatoimista ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset.
Valiokunnan näkemyksen mukaan tietosuoja-asetukseen sisältyy ehdotetun pykälän mahdollistavaa kansallista liikkumavaraa. Ehdotus ei rajoita rekisteröidyn oikeutta tietojen oikaisemiseen, ja virheelliseksi todetun tiedon säilyttämistä voidaan tässä yhteydessä pitää välttämättömänä ja oikeasuhtaisena toimenpiteenä rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien ja vapauksien turvaamiseksi. Valiokunta korostaa, että kaikkia henkilötietoja on käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö.
Hallituksen esityksessä ehdotetun 2 momentin mukaan virheelliseksi todettu henkilötieto on poistettava heti, kun henkilötiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta. Virheellisten tietojen säilyttämisen minimoimiseksi (tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohta) valiokunta ehdottaa, että viiden vuoden enimmäismääräaika poistetaan.
17 (18) §. Tietojen arkistointi.
Ehdotuksen mukaan arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen. Esityksen yksityiskohtaisten perustelujen mukaan muotoilulla tarkoitetaan sitä, mitä voimassa olevassa arkistolaissa tai sen nojalla säädetään. Vastaava viittaussäännös sisältyy myös esimerkiksi poliisin henkilötietolakiin ja Rajavartiolaitoksen henkilötietolakiin.
Selvyyden vuoksi valiokunta toteaa, että arkistonmuodostajana toimii kukin rekisterinpitäjä, joiden lukuun Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmässä ja ulkoministeriö kansallisessa viisumitietojärjestelmässä toteuttaa henkilötietojen käsittelijänä käsittelijäsopimuksen nojalla tarvittavat arkistointitoimenpiteet.
18 (19) §. Rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen.
Pykälän 1 momentin mukaan rekisteröidyn on omiin tietoihinsa tutustumista koskevan oikeuden toteuttamiseksi esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.
Tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy häntä koskeviin tietoihin. Artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin sekä artiklassa luetellut tiedot. Artiklassa ei säädetä siitä, missä muodossa rekisteröidyn on esitettävä pyyntönsä. Artiklan 3 kohdan mukaan, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.
Tietosuoja-asetuksen johdantokappaleessa 63 todetaan muun ohella, että rekisteröidyn oikeus ei saisi vaikuttaa epäedullisesti muiden oikeuksiin ja vapauksiin. Näiden seikkojen huomioon ottaminen ei kuitenkaan saisi johtaa siihen, että rekisteröidylle ei anneta minkäänlaista tietoa. Jos rekisterinpitäjä käsittelee merkittäviä määriä rekisteröityä koskevia tietoja, rekisterinpitäjän olisi voitava pyytää rekisteröityä täsmentämään riittävällä tavalla ennen tietojen luovuttamista, mitä tietoja tai mitä käsittelytoimia rekisteröidyn pyyntö koskee.
Ehdotetun pykälän tarkoituksena ei ole rajoittaa rekisteröidyn tietosuoja-asetuksen 15 artiklassa säädettyä oikeutta tutustua omiin tietoihinsa. Valiokunta toteaa, että henkilön yksityisyyttä tulee suojata rekisteröidyn omiin tietoihin pääsyn oikeutta käytettäessä varmistumalla henkilötietojen vastaanottajan henkilöllisyydestä. Oikeuden toteuttamisen kohteena olevissa henkilötiedoissa voi olla kyse arkaluonteisista tai salassa pidettävistä tiedoista. Tämän johdosta on oltava varmuus siitä, että henkilö, jolle tiedot luovutetaan, on tosiasiassa se henkilö, jota koskevista henkilötiedoista on kyse. Samalla olisi huomioitava myös johdantokappaleessa 63 tarkoitetut muiden oikeudet. Tietosuoja-asetuksen johdantokappaleessa 64 todetaan lisäksi, että rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pidä säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.
Tietosuoja-asetuksen 12 artiklassa säädetään siitä, miten ja missä muodossa rekisterinpitäjän on toimitettava tiedot rekisteröidylle. Lisäksi sen 2 kohdan mukaan rekisterinpitäjän on helpotettava rekisteröidyn 15—22 artiklan mukaisten oikeuksien käyttämistä. Asetuksen 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15—22 artiklan mukaisten oikeuksien käyttämiseksi, ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.
Valiokunta katsoo, että hallituksen esityksessä ehdotetun 19 §:n sääntely ei ole päällekkäistä tietosuoja-asetuksessa säädetyn kanssa, vaan sillä pyritään edistämään rekisteröidyn oikeuksien toteutumista tietosuoja-asetuksen edellytysten mukaisesti. Ehdotuksen mukaan rekisteröidyn olisi omiin tietoihinsa tutustumista koskevan oikeuden toteuttamiseksi esitettävä tätä koskeva pyyntö kirjallisesti sekä todistettava henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista. Hallituksen esityksen perustelujen mukaan pyyntö voi tapahtua esimerkiksi sähköpostilla tai postilla lähetettävällä pyynnöllä tai henkilökohtaisen käynnin yhteydessä esimerkiksi lomakkeella. Valiokunta korostaa, että kirjalliselta pyynnöltä ei edellytetä määrämuotoisuutta. Pyynnön voi esittää rekisteröidyn puolesta myös muu henkilö, esimerkiksi edustaja tai avustaja.
Pykälän 2 momentissa on poliisille ja Rajavartiolaitokselle osoitettavien omien tietojen tarkastusoikeutta koskevien pyyntöjen osalta hallituksen esityksessä ehdotettu pääsäännöstä poikkeavaa sääntelyä niin, että näille esitettäviin pyyntöihin sovellettaisiin poliisin ja Rajavartiolaitoksen henkilötietolakeihin sisältyvää menettelyä. Tavoitteena on ollut varmistaa, että poliisille ja Rajavartiolaitokselle osoitettaviin pyyntöihin sovelletaan aina samaa menettelyä riippumatta siitä, perustuuko pyyntö asianomaisen viranomaisen omaan henkilötietolakiin vai maahanmuuttohallinnon henkilötietolakiin. Hallintovaliokunta pitää tätä selkeänä ja johdonmukaisena ratkaisuna sekä viranomaisen että rekisteröidyn näkökulmasta. Valiokunta katsoo, että 2 momenttia on aiheellista tämä tarkoitus huomioon ottaen vielä täsmentää.
Lisäksi 2 momenttiin on edellä mainituista syistä tarpeen lisätä vastaavanlainen viittaus myös Tullin henkilötietolain 35 §:ään. Valiokunta ehdottaa sitä koskevan säännöksen lisäämistä 2 momentin loppuun.
Ehdotetussa 2 momentissa viitataan poliisin, Rajavartiolaitoksen ja Tullin rekisterinpidossa oleviin tietoihin. Käytännössä rekisterinpito on sidottu viranomaisen tallentamiin tietoihin, mutta muotoilu huomioi myös sen, mitä 3 §:n 3 momentissa säädetään pääsäännöstä poiketen Migrin rekisterinpitovastuusta.
Maahanmuuttohallinnon henkilötietolain soveltamisalalla suojelupoliisin toimesta tapahtuvaan henkilötietojen käsittelyyn sovelletaan ehdotetun 2 §:n mukaisesti yleislakina rikosasioiden tietosuojalakia, jonka johdosta käsillä olevan pykälän uudessa 3 momentissa käytetään kyseisen lain terminologiaa. Rikosasioiden tietosuojalaissa rekisteröidyn tarkastusoikeutta koskevalla 23 §:llä on pantu täytäntöön rikosasioiden tietosuojadirektiivin 14 artiklassa säädetty rekisteröidyn oikeus päästä omiin henkilötietoihin.
Ehdotetun uuden 3 momentin mukaan suojelupoliisin rekisterinpidossa oleviin tietoihin kohdistuva tarkastusoikeuden käyttöä koskeva pyyntö on esitettävä poliisille henkilötietojen käsittelystä poliisitoimessa annetun lain 41 §:n 2 momentin mukaisesti. Tavoitteena on varmistaa, että vastaavasti kuin poliisin, Rajavartiolaitoksen ja Tullin osalta myös suojelupoliisin rekisterinpidossa olevia tietoja koskeviin pyyntöihin sovelletaan aina samaa menettelyä riippumatta siitä, onko kyse asianomaisen viranomaisen oman henkilötietolain vai maahanmuuttohallinnon henkilötietolain piiriin kuuluvista tiedoista. Poliisin henkilötietolain 41 §:n 2 momentissa rekisterinpitäjällä tarkoitetaan Poliisihallitusta. Tarkastusoikeutta voisi käyttää, kuten poliisin henkilötietolainkin mukaan, jättämällä pyynnön tarkastusoikeuden käyttämisestä poliisilaitokselle ja todistamalla samalla henkilöllisyytensä. Mikäli poliisi mahdollistaa tarkastusoikeuspyynnön jättämisen sähköisesti, niin suojelupoliisin käsittelemiä henkilötietoja koskevan tarkastusoikeuspyynnön voi jättää samalla tavoin poliisin kautta.
19 (20) §. Rekisteröidyn oikeus käsittelyn rajoittamiseen.
Hallituksen esityksessä ehdotetaan, että pykälässä rajoitettaisiin tietosuoja-asetuksen 18 artiklan mukaista rekisteröidyn oikeutta rajoittaa henkilötietojensa käsittelyä. Perustelujen mukaan tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan nojalla on mahdollisuus kansallisella lainsäädäntötoimenpiteellä rajoittaa myös 18 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata niin julkisen vallan käyttöön liittyvä valvonta-, tarkastus- ja sääntelytehtävä (h alakohta) kuin rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet (i alakohta).
Esityksen perustelujen mukaan maahanmuuttohallinnossa rekisteröidyn esittämän rajoituspyynnön perusteena olisi todennäköisesti aina tietojen paikkansapitämättömyys. Jos henkilötiedon käsittely rajoitettaisiin rekisteröidyn pyynnön perusteella automaattisesti siihen saakka, kunnes rekisterinpitäjä on voinut varmistaa tiedon paikkansapitävyyden, olisi tiedosta riippuen mahdollista, että päätöksenteko sekä maahanmuuttohallinnossa että maahanmuuttohallinnon tietoja päätöksenteossaan käyttävässä viranomaisessa pysähtyisi varmistamismenettelyn ajaksi. Maahanmuuttohallinnon päätöksenteko perustuu lakiin. Päätöksenteossa käytettävän tiedon oikeellisuudesta varmistuminen on ratkaisevaa oikean päätöksen ja siten henkilön oikeusturvan varmistamiseksi.
Rekisteröidyn oikeudesta rajoittaa henkilötietojensa käsittelyä sillä perusteella, että rekisteröity kiistää tietojen paikkansapitävyyden, säädetään tietosuoja-asetuksen 18 artiklan 1 kohdan a alakohdassa. Hallituksen esityksessä ehdotettu pykälä on kuitenkin muotoiltu niin, että rekisteröidyn oikeuden rajoittaminen kohdistuu koko 18 artiklan soveltamisalaan. Vaikka lähtökohtaisesti voidaan olettaa, että maahanmuuttohallinnossa rekisteröidyn rajoituspyyntö perustuu todennäköisesti 18 artiklan 1 kohdan a alakohtaan, on tietosuoja-asetuksen tulkinta vasta muodostumassa eikä kaikkia soveltamistapauksia voida valiokunnan käsityksen mukaan täysin ennakoida. Perustelut tietojen käytettävyydestä ja välttämättömyydestä viranomaistoiminnalle koskevat kaikkia tilanteita, joissa tietoja olisi rajoitettava. Siltä varalta, että asetuksen tulkinta myöhemmin osoittaa, että myös muiden alakohtien nojalla voidaan pyytää rajoittamista, säännöstä ei valiokunnan arvion mukaan tulisi rajoittaa ainoastaan 18 artiklan 1 kohdan a alakohtaan.
Hallintovaliokunta toteaa, että tietosuoja-asetuksen 18 artiklan 2 kohta sisältää jo itsessään mahdollisuuden rajoittaa kyseisen artiklan soveltamista esimerkiksi jäsenvaltion tärkeää yleistä etua koskevasta syystä. Vaikuttaisikin siltä, että rekisteröidyn oikeuksia olisi mahdollista rajoittaa suoraan tietosuoja-asetuksen nojalla sen ollessa välttämätöntä viranomaisen lakisääteisten tehtävien hoitamiseksi.
Tietosuoja-asetuksen johdantokappale 67 kuvailee tapoja, joilla käsittelyä voidaan rajoittaa. Sen mukaan henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi.
Valiokunnalle esitetyn selvityksen mukaan rekisteröidyn 18 artiklan mukaisen oikeuden toteuttamisella voi olla merkittäviä vaikutuksia henkilötietojen käsittelyyn maahanmuuttohallinnon palvelujen tuottamisessa, päätöksenteossa ja valvonnassa, esimerkiksi vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden järjestyksen ja turvallisuuden ylläpitämisen sekä ulkomaalaisvalvonnan tehtävien suorittamisen kannalta. Myös maahanmuuttohallinnon viranomaisten päätösharkinnan ja ulkomaalaislain 212 §:n mukaisen valvonnan edellytykset voivat vaarantua, jos rekisteröity esimerkiksi kiistää oleskeluluvan myöntämisen tai voimassaolon estettä koskevan tiedon paikkansapitävyyden, eikä kyseinen lupaharkinnan kannalta mahdollisesti olennainen tieto siten olisi käytettävissä siihen liittyvässä päätöksenteossa tai oleskeluoikeuden valvonnassa. Mikäli tietosuoja-asetuksen 18 artiklan 2 kohdan mukaiseen tärkeään yleiseen etuun pohjaavan rajoituksen soveltamisen katsotaan edellyttävän johdantokappaleessa 67 mainittua käsittelyn rajoittamiseen vaadittavien toiminnallisuuksien automatisointia, tästä aiheutuu lisäksi merkittäviä muutostarpeita ulkomaalaisasioiden asiankäsittelyjärjestelmään ja kansalliseen viisumitietojärjestelmään.
Muille kuuluvien oikeuksien ja vapauksien takaamisesta olisi kysymys esimerkiksi tapauksissa, joissa pyritään turvaamaan vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden järjestys ja turvallisuus ja näin mahdollistamaan palveluiden saatavuus, tai tilanteessa, jossa rekisteröity voisi estää esimerkiksi perheenjäsenensä hakemuksen käsittelyn kiistämällä tietojen oikeellisuuden. Ulkomaalaislain 1 §:n mukaan lain tarkoituksena on toteuttaa ja edistää hyvää hallintoa ja oikeusturvaa ulkomaalaisasioissa. Lain tarkoituksena on lisäksi edistää hallittua maahanmuuttoa ja kansainvälisen suojelun antamista ihmisoikeuksia ja perusoikeuksia kunnioittaen sekä ottaen huomioon Suomea velvoittavat kansainväliset sopimukset. Maahanmuuttohallinnon päätöksenteko on itsessään ulkomaalaislain 1 §:n mukaisesti maahantulon edellytysten ja maassaoleskeluoikeuden valvontaa.
Koska tietosuoja-asetuksen soveltamisesta ei näiltä osin ole kehittynyt vielä viranomais- eikä oikeuskäytäntöä, hallintovaliokunta katsoo, että tässä nimenomaisessa tapauksessa on edellä todetut seikat huomioon ottaen mahdollista rajoittaa rekisteröidyn oikeutta tietosuoja-asetuksen 23 artiklaan perustuen hallituksen esityksessä ehdotetulla tavalla.
Tietosuoja-asetuksen 23 artiklan 2 alakohdan mukaan rekisteröidyn oikeuksia rajoittavien lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat kyseisessä alakohdassa lueteltuja seikkoja, muun muassa suojatoimia.
Valiokunta toteaa, että säännöksellä ei rajoiteta rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoo, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä on mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voi myös saattaa hallintolain (434/2003) nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Tällöin rekisterinpitäjän on ratkaistava asia hallintolain menettelysäännöksiä noudattaen. Valiokunnan arvion mukaan ehdotettua poikkeusta voidaan siten pitää rekisteröidyn oikeusturvan kannalta vähäisenä, kun otetaan huomioon se, miten muutoin turvataan hyvä hallinto ja oikeusturva rekisterinpitäjän suorittamassa henkilötietojen käsittelyssä.
Rikosasioiden tietosuojalaissa säädetään rekisteröidyn oikeuksien rajoittamisesta lain 28 §:ssä.
21 §. Automatisoidut yksittäispäätökset.
Perustuslakivaliokunnan lausuntoon ja yleisperusteluissa todettuun viitaten valiokunta ehdottaa, että pykälä poistetaan lakiehdotuksesta. Tämän seurauksena jäljempien pykälien numerointi muuttuu vastaavasti.
20 (22) §. Tietosuojarikos.
Valiokunta ehdottaa, että pykälän otsikko muutetaan muotoon "Viittaus rikoslakiin", koska tässä ei säädetä tietosuojarikoksesta, vaan ainoastaan informatiivisesta viittaussäännöksestä. Tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä.
22 (24) §. Siirtymäsäännös.
Valiokunta on korjannut säännösviittauksen muuttuneen pykälänumeroinnin mukaiseksi.