Yleistä
Hätäkeskustoiminnasta annettu laki (692/2010, hätäkeskuslaki) on tullut voimaan vuoden 2011 alusta. Hallituksen esityksessä ehdotetuilla muutoksilla pyritään osaltaan selkeyttämään Hätäkeskuslaitoksen ydintehtäviä säätämällä tehtävistä nykyistä tarkkarajaisemmin sekä määrittelemällä lainsäädännössä muut tehtävät ja muiden viranomaisten avustaminen. Hätäkeskuslaitoksen tuottamiin hätäkeskuspalveluihin, niihin liittyviin tukipalveluihin tai viranomaisten hätäkeskustoimintaan ei kuitenkaan esitetä muutoksia.
Hätäkeskuslaissa säädetään ehdotetun soveltamisalasäännöksen mukaan Hätäkeskuslaitoksen toiminnasta sekä pelastustoimen, poliisitoimen, sosiaali- ja terveystoimen ja Rajavartiolaitoksen hätäkeskuspalveluista ja hätäkeskustoiminnasta. Lisäksi laissa säädetään henkilötietojen käsittelystä hätäkeskustoiminnassa. Hätäkeskustoiminta määritellään laissa, minkä arvioidaan selkeyttävän lain soveltamista.
Esityksen keskeisenä sisältönä on hätäkeskuslain henkilötietojen käsittelyä koskevien säännösten muuttaminen vastaamaan EU:n tietosuojasääntelyn vaatimuksia. Tämä onkin valiokunnan käsityksen mukaan välttämätöntä, sillä voimassa oleva hätäkeskuslain sääntely on osin ristiriidassa EU:n tietosuojalainsäädännön kanssa. Laissa ehdotetaan säädettäväksi henkilötietojen käsittelyn lainmukaisuudesta ja rekisterinpitäjistä sekä viranomaisten tiedonsaantioikeuksista, tietojen luovutuksesta ja tietojen käytöstä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen.
Hallituksen esityksessä ehdotetaan muutettaviksi myös turvallisuustutkintalakia (525/2011), konsulipalvelulakia (498/1999) ja pelastuslakia (379/2011). Turvallisuustutkintalakiin ja konsulipalvelulakiin tehtävät muutokset mahdollistavat sen, että Hätäkeskuslaitos voi avustaa Onnettomuustutkintakeskusta ilmoitusten vastaanottamisessa ja ulkoasiainhallintoa konsulipalveluihin liittyvissä asiakaspalvelutehtävissä. Mainitut avustavat tehtävät ovat päivystysluonteisia, ja Hätäkeskuslaitos on hoitanut niitä jo nyt sopimusperusteisesti. Hätäkeskuslaitoksen johtokeskuksessa on ympärivuorokautinen päivystys, mikä mahdollistaa konsulipalveluihin liittyvien asiakasyhteydenottojen ja onnettomuusilmoitusten vastaanottamisen kaikkina vuorokaudenaikoina.
Hallintovaliokunta pitää esityksen tavoitteita kannatettavina. Henkilötietojen suojaa koskevassa sääntelyssä on olennaista, että hätäkeskustoiminnan yhteydessä henkilötietoja käsitellään siinä laajuudessa kuin se on viranomaisten tehtävien hoitamiseksi tarpeellista, henkilötietojen suojasta säädetään riittävän täsmällisesti ja sääntely on sekä henkilötietoja käsittelevien viranomaisten että rekisteröidyn näkökulmasta selkeää ja helposti ymmärrettävää.
Valiokunta pitää välttämättömänä, että Hätäkeskuslaitoksen henkilöstöllä on ajantasainen tieto voimassa olevan lainsäädännön henkilötietojen käsittelyä koskevista vaatimuksista. Tämän vuoksi on välttämätöntä varmistaa, että henkilötietojen käsittelyä ja tietosuojaa koskevat ohjeet ovat ehdotettujen muutosten voimaan tullessa ajan tasalla ja että päivystäjien koulutus lainsäädännön sisällöstä on riittävää. Valiokunta kuitenkin tähdentää, että hätäkeskuspäivystäjien tehtävät tai tietojen ja henkilötietojen käsittelyoikeudet eivät muutu nykyisestä. Keskeistä on, että ihmisten avunsaanti hätätilanteissa on jatkossakin mahdollisimman nopeaa ja sujuvaa.
Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin.
Henkilötietojen käsittelyä koskevan lainsäädännön kokonaisuus
EU:n uudistunut tietosuojalainsäädäntö on eriyttänyt säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa sääntelyä. EU:n yleistä tietosuoja-asetusta (EU 2016/679) on alettu soveltaa 25.5.2018. Sitä kansallisesti täydentää ja täsmentää 1.1.2019 voimaan tullut tietosuojalaki (1050/2018, HaVM 13/2018 vp). Tietosuojalain kanssa samanaikaisesti on tullut voimaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu laki (1054/2018, rikosasioiden tietosuojalaki, HaVM 14/2018 vp), jolla on pantu kansallisesti täytäntöön ns. rikosasioiden tietosuojadirektiivi (EU) 2016/680.
Tietosuoja-asetus on suoraan sovellettavaa oikeutta. Tietosuoja-asetus sisältää kuitenkin tietyiltä osin kansallista liikkumavaraa. Kansallisella lailla voidaan täsmentää henkilötietojen käsittelyn oikeusperustaa ja käsittelyn sisältöä sekä esimerkiksi tiettyjen edellytysten vallitessa poiketa rekisteröidyn oikeuksista. Henkilötietojen käsittelyn lainmukaisuudesta säädetään tarkemmin 6 artiklassa. Asetuksen 9 artiklan nojalla voidaan antaa tarkempia säännöksiä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Perustuslakivaliokunta on korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp).
Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5).
Perustuslakivaliokunnalla ei ole käsiteltävänä olevasta hallituksen esityksestä antamassaan lausunnossa (PeVL 55/2022 vp) huomauttamista sääntelyn perusteista. Sääntelyä on kuitenkin valiokunnan vakiintuneen käytännön mukaisesti syytä täydentää erityisesti arkaluonteisten henkilötietojen säilytysaikoja koskevalla sääntelyllä. Arkaluonteinen henkilötieto on poistettava, kun sen käsittely ei ole enää käyttötarkoituksen kannalta välttämätöntä. Hallintovaliokunnan on lisäksi syytä varmistua sääntelyn yhteensopivuudesta EU:n yleisen tietosuoja-asetuksen kanssa kiinnittäen erityistä huomiota rekisterinpitäjän määrittelyyn.
Hätäkeskustoiminnassa käsiteltävät henkilötiedot on ehdotetun 18 §:n 1 momentin mukaan poistettava viimeistään viiden vuoden kuluttua ilmoituksen vastaanottamisesta, kuten nykyisinkin. Hallintovaliokunta on katsonut vastaavissa henkilötietojen käsittelyä koskevissa sääntelyesityksissä (HaVM 39/2018 vp ja HaVM 14/2022 vp), että muita tietoja lyhyemmän säilytysajan asettaminen arkaluonteisina pidettäville tiedoille johtaisi tilanteisiin, joissa osa samaan tehtävään liittyvistä tiedoista olisi poistettava eri aikaan kuin muut. Valiokunta on todennut, että tämä olisi ongelmallista etenkin tietojen eheyden kannalta (HaVM 39/2018 vp). Valiokunta pitää mainittuihin lausuntoihinsa viitaten perusteltuna, ettei arkaluonteisille henkilötiedoille säädetä muita tietoja lyhyempää säilytysaikaa. Valiokunta toteaa kuitenkin, että erityisiin henkilötietoryhmiin kuuluvien tietojen lisäksi myös muiden arkaluonteisten tietojen käsittely ehdotetaan rajattavaksi vain käsittelytarkoituksen kannalta välttämättömään.
Hätäkeskuslakia sovelletaan henkilötietojen käsittelyyn hätäkeskustoiminnassa rinnakkain tietosuoja-asetuksen ja tietosuojalain kanssa. Etenkin poliisi käsittelee hätäkeskustoimintaan liittyviä tietoja myös rikosasioiden tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalalla. Hätäkeskustoimintaan osallistuvien viranomaisten henkilötietojen käsittelyä koskevaa erityislainsäädäntöä on viime vuosina uudistettu. Poliisin (HaVM 39/2018 vp), Rajavartiolaitoksen (HaVM 40/2018 vp) ja Tullin (HaVM 41/2018 vp) henkilötietojen käsittelyä koskeva erityislainsäädäntö täydentää edellä mainittua yleislainsäädäntöä. Aiempi tietojärjestelmiin ja henkilörekistereihin kytkeytynyt sääntely on korvattu mainitussa erityislainsäädännössä henkilötietojen käsittelytarkoituksia ja käsiteltävien henkilötietojen sisältöä koskevalla sääntelyllä. Henkilötietojen käsittely on myös hätäkeskustoiminnassa perusteltua sitoa ehdotetuin tavoin henkilötietojen käsittelytarkoituksiin.
Hätäkeskustoiminnalla tarkoitetaan ehdotetussa laissa hätäkeskuspalveluja ja Hätäkeskuslaitoksen välittämään hätäilmoitukseen tai tehtävään liittyviä pelastustoimen, poliisin, sosiaali- ja terveystoimen ja Rajavartiolaitoksen välittömiä toimenpiteitä edellyttävien lakisääteisten tehtävien hoitamista Hätäkeskuslaitoksen tuella. Hätäkeskustoimintaan osallistuva viranomainen saa ehdotuksen mukaan käsitellä henkilötietoja, jos se on tarpeen hätäkeskustoiminnan tai laissa toimivaltaiselle viranomaiselle säädetyn hätäkeskustoimintaan liittyvän tehtävän suorittamiseksi. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja henkilötunnusta saa käsitellä vain, jos käsittely on käsittelytarkoituksen kannalta välttämätöntä. Hallintovaliokunta ehdottaa yksityiskohtaisista perusteluista ilmenevin tavoin säännöksen täydentämistä niin, että edellä sanottu koskee myös arkaluonteisia henkilötietoja.
Hallintovaliokunta toteaa, että henkilötietojen käsittely on hätäkeskustoiminnassa välttämätöntä, jotta avun tarvitsija saa hätätilanteessa oikeanlaista apua mahdollisimman nopeasti ja viranomainen voi hoitaa lakisääteiset tehtävänsä tehokkaasti, nopeasti ja käytettävissä olevat resurssit huomioiden. Henkilötietoja käsitellään hätäkeskustoiminnassa kunkin hätäkeskustoimintaan osallistuvan viranomaisen lakisääteisten tehtävien hoitamista varten, ja viranomaiset määrittävät henkilötietojen käsittelytarpeen.
Rekisterinpitäjyys
Hätäkeskuslaitoksessa on otettu vuosien 2018—2019 aikana käyttöön valtakunnallinen hätäkeskustietojärjestelmä (ERICA). Hätäkeskustietojärjestelmän päävastuullinen rekisterinpitäjä on nykyisin Hätäkeskuslaitos. Poliisin osalta rekisterinpitäjä on Poliisihallitus.
Ehdotetun hätäkeskuslain 16 a §:n mukaan laissa tarkoitettujen henkilötietojen rekisterinpitäjinä toimivat Poliisihallitus, sosiaali- ja terveydenhuollon palvelujen järjestämisestä vastaava toimivaltainen viranomainen, pelastustoimen järjestämisestä vastaava toimivaltainen viranomainen ja Rajavartiolaitoksen esikunta. Myös Hätäkeskuslaitos toimii edelleen rekisterinpitäjänä eräiden tietojen osalta. Hätäkeskuslaitoksen tehtävänä on jatkossakin hätäkeskustietojärjestelmän ylläpitäminen ja kehittäminen. Hätäkeskuslaitos vastaa tässä tehtävässä teknisten toimien toteuttamisesta henkilötietojen suojaamiseksi, mutta sille ei siirry tätä kautta muiden rekisterinpitäjien vastuita.
Hallituksen esityksen perusteluissa on tehty selkoa esitykseen sisältyvien ehdotusten suhteesta tietosuoja-asetukseen ja rikosasioiden tietosuojalakiin. Valiokunta toteaa, että tietosuoja-asetus, tietosuojalaki ja rikosasioiden tietosuojalaki sisältävät yksityiskohtaiset säännökset muun muassa henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista, tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta sekä lainvastaisen henkilötietojen käsittelyn seuraamuksista. Hallintovaliokunnan näkemyksen mukaan ehdotetussa sääntelyssä on otettu asianmukaisesti huomioon EU-oikeudesta johtuvat vaatimukset. Toimivalta arvioida sääntelyn EU-oikeuden mukaisuutta on kuitenkin Euroopan unionin tuomioistuimella.
Hallintovaliokunta on käsitellyt rekisterinpitäjyyteen liittyviä kysymyksiä laajasti esimerkiksi maahanmuuttohallinnon henkilötietolainsäädäntöä koskevassa mietinnössään (HaVM 10/2020 vp). Valiokunta toteaa tässä yhteydessä, että tietosuoja-asetuksen määritelmän mukaan rekisterinpitäjä on se, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rikosasioiden tietosuojalain mukaan rekisterinpitäjällä tarkoitetaan toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty. Tietosuoja-asetuksen 24 artiklassa rekisterinpitäjän vastuusta säädetään, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tietosuoja-asetusta. Teknisistä toimenpiteistä vastaa käytännössä tietojärjestelmän ylläpitäjä, mutta organisatoristen toimenpiteiden toteuttamista voidaan pitää yhtenä rekisterinpitäjää määrittävänä osatekijänä. Rikosasioiden tietosuojalaissa rekisterinpitäjän vastuusta säädetään vastaavasti lain 14 §:ssä.
Hallituksen esityksen perusteluista ilmenee seikkaperäisesti, että valmistelun yhteydessä on tarkasteltu eri vaihtoehtoja rekisterinpitäjiksi. Perustelujen mukaan pelastustoimi, poliisi, sosiaali- ja terveystoimi ja Rajavartiolaitos määrittävät kukin omalta osaltaan henkilötietojen käsittelytarkoituksen hätäkeskustoiminnassa. Jokainen hätäkeskustoimintaan osallistuva viranomainen antaa toimialaansa liittyvät tehtävien käsittelyä ja välittämistä ja muuta ilmoituksen tai tehtävän hoitamista koskevat ohjeet ja suunnitelmat Hätäkeskuslaitokselle. Hätäkeskuslaitos vastaanottaa ja arvioi hätäilmoituksen ja välittää tehtävän viranomaisten antamien ohjeiden mukaisesti. Hätäkeskustoimintaan osallistuvat viranomaiset määrittävät henkilötietojen käsittelytarkoituksen hätäkeskustoiminnassa, jotta ne voivat toteuttaa lakisääteiset velvoitteensa. Hätäkeskustoimintaan osallistuvat edellä mainitut viranomaiset ovat näin ollen rekisterinpitäjiä omien tietojensa osalta. Ehdotettu rekisterinpitäjyyttä koskeva sääntely vastaa saadun selvityksen mukaan tosiasiallista nykytilaa.
Jokainen rekisterinpitäjä vastaa omien tehtävätietojensa osalta myös hätäilmoituksista ja niihin liittyvistä tallenteista. Hätäkeskuslaitos toimii perustelujen mukaan muiden viranomaisten rekisterinpidossa olevien henkilötietojen käsittelijänä toimivaltaisen rekisterinpitäjän lukuun. Rekisterinpitäjä vastaa esimerkiksi tietopyyntöihin omien tietojensa osalta. Tietojen luovuttamiseen liittyy monenlaisia tietojen salassapitoon liittyviä intressejä, joita vain toimivaltainen viranomainen voi arvioida.
Rekisteripitäjien määrä kasvaa merkittävästi nykyisin hätäkeskuslaissa säädetystä, sillä hyvinvointialueet ja Helsingin kaupunki vastaavat vuoden 2023 alusta pelastustoimen järjestämisestä ja näiden lisäksi HUS-yhtymä Uudenmaan alueella sosiaali- ja terveydenhuollon palvelujen järjestämisestä. Rekisterinpitäjiä on jatkossa enimmillään lähes 50. Hätäkeskuslain 14 §:n mukaisessa Hätäkeskuslaitoksen valtakunnallisessa yhteistyöryhmässä koordinoidaan nykyisin muun muassa eri toimialojen tehtävänkäsittelyohjeet. Sääntelyä täsmennetään tältä osin niin, että valtakunnalliset suunnitelmat ja ohjeet on käsiteltävä ja sovitettava yhteen mainitussa yhteistyöryhmässä. Valiokunta pitää tärkeänä, että eri toimialojen ja rekisterinpitäjien yhteistoiminta on mahdollisimman sujuvaa ja ohjeistus yhdenmukaista. Rekisterinpitäjien yhdenmukaisilla käytännöillä on keskeinen merkitys sääntelyn toimivuuden kannalta
Henkilötietojen käsittely, tiedonsaantioikeudet ja tietojen luovuttaminen
Hätäkeskuslaitoksella on välttämätön tarve saada lakisääteisten tehtäviensä hoitamiseksi tietoja muiden viranomaisten rekistereistä. Näistä rekistereistä saatuja tietoja käytetään voimassa olevan ja ehdotetun sääntelyn mukaan esimerkiksi hätäilmoituksen arvioimiseen, tehtävän välittämiseen ja toimivaltaisen viranomaisen tehtävän suorittamiseen. Lain 19 §:ssä luetellaan nykyiseen tapaan tyhjentävästi ne rekisterit, joista Hätäkeskuslaitos saa tietoja.
Hallintovaliokunta kiinnittää huomiota siihen, että eduskunnan käsiteltävänä olevassa hallituksen esityksessä (HE 140/2022 vp) ehdotetaan säädettäväksi rakennetun ympäristön tietojärjestelmästä. Hätäkeskuslaitokselle ja pelastusviranomaiselle ehdotetaan oikeutta saada tehtäviensä hoitamisen kannalta välttämättömät tiedot mainitusta järjestelmästä. Valiokunta pitää perusteltuna myöhemmin arvioida, aiheuttaako mainittu sääntely muutostarpeita hätäkeskuslakiin tai pelastuslakiin.
Hallintovaliokunta painottaa, että päivystystehtävää hoitavan henkilöstön henkilötietojen käsittelyoikeudet eivät ehdotetun sääntelyn myötä muutu nykyisestä. Hätäkeskuspäivystäjä voi jatkossakin lakisääteistä tehtävää hoitaessaan käsitellä tarvitsemiaan tietoja ja henkilötietoja hätäkeskustietojärjestelmässä. Päivystäjä voi tarkastella esimerkiksi toisen tehtävän tehtävätietoja varmistaessaan, onko kyseessä sama tapahtuma tai onko paikalle jo hälytetty toimivaltainen viranomainen. Hätäkeskuspäivystäjällä ei kuitenkaan ole nykyisinkään voimassa olevan lainsäädännön tai Hätäkeskuslaitoksen sisäisen ohjeistuksen perusteella yleistä oikeutta selailla tehtävätietoja, jos se ei ole perusteltua yksittäisen tehtävän hoitamiseksi. Valiokunta toteaa, että arvio siitä, liittyykö uusi tehtävä alkuperäiseen hätäilmoitukseen, tehdään aina tapauskohtaisesti. Valiokunta pitää selvänä, ettei lainsäädännössä voida kattavasti ennakoida kaikkia käytännön lainsoveltamistilanteita. Tärkeintä on, että hätäkeskuspäivystäjä voi hoitaa lakisääteiset tehtävänsä kaikissa tilanteissa asianmukaisesti ilman aiheettomia viiveitä.
Valiokunnan asiantuntijakuulemisen mukaan suuronnettomuuksiin, laajempiin rikostilanteisiin, päällekkäisiin ilmoituksiin ja ns. liikkuviin tilanteisiin liittyy korostettu tarve ajantasaisen tilannekuvan muodostamiseen. Valiokunnan saaman selvityksen mukaan hätäkeskustietojärjestelmään on rakennettu tekninen ominaisuus, jonka tarkoituksena on tukea Hätäkeskuslaitoksen ja hätäkeskuspäivystäjän tilannetietoisuuden hallintaa. Päivystäjä näkee hätäilmoituksen yhteydessä hätäkeskustietojärjestelmässä aina tapahtumapaikan kartan sekä reaaliaikaisen tilannekuvan hätäkeskusviranomaisen käytössä olevista resursseista, lähialueella käynnissä olevista tehtävistä ja niiden otsikkotason tiedot. Tämä tieto on käytössä jatkossakin vuoromestarilla, tehtävänseurannasta vastaavilla päivystäjillä ja ilmoituksen vastaanottamisesta vastaavilla päivystäjillä kunkin tehtävien edellyttämällä tavalla. Yksittäinen hätäkeskus tai Hätäkeskuslaitoksen johtokeskus voi myös tiedottaa edellä mainitun kaltaisesta tilanteesta sisäisesti hätäkeskuksia. Esityksellä ei ole tarkoitus tältä osin muuttaa nykytilaa. Hallintovaliokunta korostaa, että ehdotettu sääntely mahdollistaa hätäkeskuspäivystäjän tarvitseman tilannetietoisuuden ylläpitämisen jatkossakin, ja hätäkeskuspäivystäjä voi edellä kuvatuin tavoin käsitellä henkilötietoja, jos se on tarpeen lakisääteisten tehtävien ja kyseessä olevan yksittäisen tehtävän hoitamiseksi.
Jokainen toimiala vastaa jatkossa rekisterinpitäjyydestä omien tehtävätietojensa osalta, joten tietojen luovuttamisesta niille itselleen ei ole tarpeen säätää. Sen sijaan Hätäkeskuslaitoksen oikeudesta saada jatkossakin hätäkeskustietojärjestelmästä sisäistä laillisuusvalvontaa ja työnantajan työnjohto- ja valvontaoikeuden toteuttamista varten tarvittavat tiedot tulee rekisterinpitäjyyden muuttuessa säätää erikseen. Hätäkeskuslaitoksella on ehdotetun 20 §:n 3 momentin mukaan oikeus saada näitä tarkoituksia varten tarvittavat hätäilmoitustallenteet ja kyseiseen tallenteeseen liittyvät tehtävätiedot ja muut välttämättömät tiedot. Tällaiselle voi olla perustelujen mukaan tarvetta esimerkiksi kantelun käsittelyn yhteydessä.
Ehdotettu sääntely mahdollistaa sen, että tietojen käsittelystä voidaan sopia Hätäkeskuslaitoksen ja rekisterinpitäjän välillä tietolupamenettelyssä, jota käytetään jo nykyisin Poliisihallituksen ja Hätäkeskuslaitoksen kesken. Rekisterinpitäjä voi myös avata katseluyhteyden tietovarannon sellaisiin tietoihin, joihin Hätäkeskuslaitoksella on tiedonsaantioikeus. Vastaavaa katseluoikeutta käytetään jo nyt voimassa olevan hätäkeskuslain 19 §:n määriteltyjen tiedonsaantioikeuksien osalta viranomaisten eri rekistereihin. Valiokunta pitää tärkeänä, että tietojen luovuttamiseen löydetään toimivat menettelyt sen varmistamiseksi, että tietojen luovuttaminen hätäkeskustoimintaan osallistuvien viranomaisten välillä on mahdollisimman sujuvaa.
Toiminnan kehittäminen ja tietojen käyttö koulutustarkoitukseen
Rekisterinpitäjät saavat ehdotetun 21 §:n 2 momentin mukaan luovuttaa toisilleen välttämättömiä tietoja laillisuusvalvonta-, suunnittelu- ja kehittämistoiminnan sekä koulutuksen toteuttamiseksi. Lakiehdotuksen henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen koskevassa 22 §:ssä puolestaan mahdollistetaan tietojen käyttö muun ohella edellä mainittuihin tarkoituksiin. Sääntelyllä varmistetaan mahdollisuus hätäkeskustoiminnan ja Hätäkeskuslaitoksen oman toiminnan kehittämiseen. Rekisterinpitäjät voivat luovuttaa säännöksen perusteella esimerkiksi hätäpuhelutallenteita Hätäkeskuslaitokselle käytettäviksi sisäisessä koulutuksessa.
Voimassa olevassa lainsäädännössä ei säädetä hätäilmoitustallenteiden luovuttamisesta Pelastusopistolle tai tallenteiden käytöstä koulutustarkoituksiin esimerkiksi Hätäkeskuslaitoksessa. Hätäilmoitustallenteita luovutetaan kuitenkin käytännössä Hätäkeskuslaitoksesta omaan sisäiseen käyttöön ja Pelastusopistolle koulutusta varten. Hätäilmoitustallenteet luovutetaan saadun selvityksen mukaan sellaisina, että soittajan ja päivystäjän äänet on muutettu äänen taajuutta muuttamalla, eivätkä henkilöt ole tunnistettavissa. Lisäksi tallenteista poistetaan kaikki henkilötiedot, kuten nimi, osoite, henkilötunnus tai auton rekisterinumero. Tallenteesta on äänen muuttamisen jälkeenkin kuultavissa soittajan äänenkäyttö (esim. huuto, kuiskaus) tai hengitysääni sekä taustaäänet, jotka ovat olennaisia esimerkiksi riskiarvioinnin opettelussa ja koulutuksessa.
Hätäilmoituksen vastaanotossa henkilötietojen alkuperäinen käsittelytarkoitus on hätäkeskustoiminnan ja tukipalvelujen sekä viranomaisten lakisääteisten tehtävien toteuttaminen. Luovutettaessa tietoja tai käytettäessä niitä koulutustarkoitukseen tietoja käytetään muuhun kuin alkuperäiseen käsittelytarkoitukseen. Hallituksen esityksen perustelujen mukaan tietojen käyttö koulutustoimintaan poikkeaa tietojen alkuperäisestä käsittelytarkoituksesta selkeämmin kuin tietojen käyttäminen laillisuus- ja laadunvalvontaan tai suunnittelu- ja kehittämistoimintaan. Tietosuoja-asetuksen 6 artiklan mukaan tietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen edellyttää asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaoloa.
Tietosuoja-asetuksessa tietojen pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Esityksen perustelujen mukaan koulutuksessa ei ole välttämätöntä opetuksen ja koulutuksen näkökulmasta käyttää autenttisia hätäilmoitustallenteita, joissa henkilöt ovat tunnistettavissa. Tietojen pseudonymisoinnin tarkoituksena on suojata henkilön yksityisyyttä. Saadun selvityksen mukaan hätäkeskustietojärjestelmän käyttöön ja tehtävien käsittelyyn liittyvässä koulutuksessa käytetään pääsääntöisesti aitojen hätäilmoitusten pohjalta rakennettua aineistoa. Valiokunta pitää tärkeänä, että hätäkeskuspäivystäjien koulutuksessa voidaan käyttää myös aitoja hätäilmoitustallenteita. Tästä syystä on perusteltua, että hätäkeskuspäivystäjällä on mahdollisuus ainakin opintojen aikaisessa työharjoittelussa harjoitella ohjattuna aitojen hätäilmoitusten käsittelyä. Valiokunta katsoo, ettei hätäilmoitustallenteiden muokkaaminen niin, ettei henkilö ole niistä tunnistettavissa, saa vaikuttaa hätäkeskuspäivystäjän työssä tarvittavien keskeisten elementtien oppimiseen. Ehdotetulla sääntelyllä mahdollistetaan edellä mainitun nykykäytännön jatkuminen.
Muita huomioita
Valiokunnan saaman selvityksen mukaan Hätäkeskuslaitoksessa on annettu vuonna 2020 sisäinen ohje tietosuojasta ja tietojen käsittelystä, jossa on otettu huomioon muun ohella EU:n voimassa oleva tietosuojalainsäädäntö. Valiokunta pitää tärkeänä, että riittävästä ohjeistuksesta ja kouluttamisesta huolehditaan ehdotettujen lainmuutosten voimaantulon yhteydessä.
Hallituksen esitys on alun perin tarkoitettu käsiteltäväksi vuoden 2023 talousarvion yhteydessä, ja lakien on ollut tarkoitus tulla voimaan pääosin vuoden 2023 alussa. Henkilötietojen käsittelyä koskevien säännösten on kuitenkin määrä tulla voimaan 1.1.2024. Saadun selvityksen mukaan muutos on edelleen toteutettavissa mainitussa aikataulussa, eikä voimaantuloa ole tarpeen siirtää. Muutoksen toteuttamiseen on varattava riittävät resurssit.