HALLINTOVALIOKUNNAN MIETINTÖ 16/2014 vp

HaVM 16/2014 vp - HE 57/2013 vp

Tarkistettu versio 2.0

Hallituksen esitys eduskunnalle turvallisuusselvityslaiksi sekä siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Eduskunta on 4 päivänä kesäkuuta 2013 lähettänyt hallintovaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen eduskunnalle turvallisuusselvityslaiksi sekä siihen liittyviksi laeiksi (HE 57/2013 vp).

Lausunto

Eduskunnan päätöksen mukaisesti perustuslakivaliokunta on antanut asiasta lausunnon (PeVL 3/2014 vp), joka on otettu tämän mietinnön liitteeksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

lainsäädäntöneuvos Anna-Riitta Wallin, oikeusministeriö

eduskunnan oikeusasiamies Petri Jääskeläinen

valtioneuvoston oikeuskansleri Jaakko Jonkka

valtioneuvoston turvallisuusjohtaja Timo Härkönen, valtioneuvoston kanslia

kansallisen turvallisuusviranomaisen päällikön sijainen, ulkoasiainneuvos Maarit Jalava, ulkoasiainministeriö

lainsäädäntöjohtaja Marko Viitanen ja poliisitarkastaja Pekka Aho, sisäministeriö

hallitussihteeri Jenni Herrala, puolustusministeriö

hallitusneuvos Kari Mäkinen, työ- ja elinkeinoministeriö

tietosuojavaltuutettu Reijo Aarnio

valtionsyyttäjä Jarmo Hirvonen ja valtionsyyttäjä Juha-Mikko Hämäläinen, Valtakunnansyyttäjänvirasto

poliisijohtaja Seppo Kolehmainen ja poliisijohtaja Tomi Vuori, Poliisihallitus

oikeudellisen osaston apulaisosastopäällikkö Christel Hägglund ja tutkintaosaston ylitarkastaja Terhi Vira, Pääesikunta

lausuntotoiminnon päällikkö, ylitarkastaja Astrid Geisor-Goman, suojelupoliisi

asiantuntija Vesa Vuorenkoski, Akava ry

lainopillinen asiamies Mikko Nyyssölä, Elinkeinoelämän keskusliitto EK ry

Työehdot-linjan päällikkö, päälakimies Timo Koskinen, Suomen Ammattiliittojen Keskusjärjestö SAK ry, edunvalvontaosasto

Lisäksi kirjallisen lausunnon ovat antaneet

  • Eduskunnan kanslia
  • valtiovarainministeriö
  • liikenne- ja viestintäministeriö
  • sosiaali- ja terveysministeriö
  • Viestintävirasto
  • Tulli
  • Suomen Kuntaliitto
  • Suomen Vartioliikkeitten Liitto ry
  • Toimihenkilökeskusjärjestö STTK ry
  • Finanssialan Keskusliitto FK ry
  • Suomen Turvaurakoitsijaliitto ry
  • Suomen Yrittäjät ry.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi turvallisuusselvityslaki, jolla kumottaisiin turvallisuusselvityksistä vuonna 2002 säädetty laki. Uuden lain tarkoituksena on säännellä paitsi henkilöiden myös yritysten luotettavuuden arviointia selvittämällä viranomaistoimin näiden taustoja.

Uudistuksen yleisenä tavoitteena on tehostaa kokonaisturvallisuutta vahvistamalla yleistä turvallisuutta, edistämällä yritysturvallisuutta ja kehittämällä tietoturvallisuutta valtionhallinnossa. Tavoitteena on myös lähentää Suomen lainsäädäntöä vastaamaan kansainvälisesti noudatettavaa käytäntöä, tehostaa ja yhtenäistää selvitysmenettelyä eri viranomaisissa sekä tehdä se avoimemmaksi ja vuorovaikutteisemmaksi.

Henkilöturvallisuusselvitys olisi mahdollista laatia, kuten nykyisinkin, vain selvityksen kohteen suostumuksella. Uudistuksella parannettaisiin selvityksen kohteen tiedonsaantimahdollisuuksia sekä laajennettaisiin mahdollisuuksia haastatella turvallisuusselvityksen kohdetta. Selvitys voitaisiin edelleenkin tehdä suppeana, perusmuotoisena tai laajana.

Henkilöturvallisuusselvityksissä käytettäisiin muun muassa poliisin ja oikeushallinnon tietojärjestelmiin sisältyviä tietoja. Henkilöturvallisuusselvityksissä ei kuitenkaan olisi kysymys vain rikostaustan selvittämisestä. Laajassa henkilöturvallisuusselvityksessä selvitettäisiin myös henkilön taloudellista asemaa ja läheisiä nykyisen lain tapaan.

Suojelupoliisi pitäisi yhdessä muiden selvityksiä laativien viranomaisten kanssa turvallisuusselvityksistä rekisteriä. Henkilön luotettavuutta ja nuhteettomuutta voitaisiin seurata myös henkilörekistereitä yhdistämällä. Nämä uudistukset yhdessä turvallisuusselvityksen ja sen perusteella annettavan todistuksen voimassaoloajasta ehdotettujen säännösten kanssa tehostaisivat menettelyä. Siten selvitysmenettelyyn tulevien selvityksen kohteiden määrää voidaan lisätä ilman uusia henkilöstöresursseja.

Uusi laki sisältäisi säännökset yritysturvallisuusselvityksistä, joiden avulla selvitetään yrityksen vastuuhenkilöiden taustoja, tietoturvallisuuden tasoa yrityksessä ja yrityksen sitoumusten hoitokykyä. Yritysturvallisuusselvitys voitaisiin laatia yrityksestä, joka viranomaisen sopimuskumppanina saa luokiteltuja salassa pidettäviä tietoja.

Esityksellä pyritään yhdenmukaistamaan turvallisuusselvitysmenettelyä. Tämän toteuttamiseksi ehdotetaan erityisen oikeusministeriön yhteydessä toimivan arviointikriteerilautakunnan perustamista. Lautakunnan tehtävänä olisi turvallisuusselvityksiä laativien viranomaisten tueksi esittää yleisiä tulkintasuosituksia lain soveltamisessa huomioon otettavista seikoista.

Esitykseen sisältyvät ehdotukset 22 lain muuttamisesta. Ehdotetuilla säännöksillä saatettaisiin lainsäädäntö vastaamaan uuden lain sisältöä ja uudistuksen tavoitteita.

Ehdotetut lait on tarkoitettu tulemaan voimaan vuoden 2014 alkupuoliskolla. Siirtymäsäännökset huomioon otettuina uudistus olisi täysimääräisesti voimassa kahden vuoden kuluttua lain voimaantulosta.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Uudistuksen tarve

Voimassa oleva laki turvallisuusselvityksistä (177/2012) on hieman yli kymmenessä vuodessa osoittautunut vanhentuneeksi nykyisiin tarpeisiin ja vaatimuksiin nähden. Maamme kansainvälisten velvoitteiden vuoksi on jo vuonna 2004 ollut tarve säätää erityislaki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004), jotta Suomi on voinut täyttää kansainvälisistä sopimuksista johtuvat velvoitteensa mm. yritysturvallisuusselvityksistä.

Uuden turvallisuusselvityslain säätäminen on tullut ajankohtaiseksi myös siitä syystä, että voimassa olevan lain nojalla suojattavat edut ovat nykyisiin turvallisuuskäsityksiin nähden verrattain suppeasti määriteltyjä. Noudatettavana oleva lainsäädäntö sisältää muutoinkin tämän päivän näkökulmasta liian abstraktina pidettävää normiainesta. Sääntelyssä ei esimerkiksi osoiteta niitä tehtäviä, joissa taustan selvittäminen on mahdollista. On myös huomattava, että yhteiskunnan kriittisen infrastruktuurin toimivuuden varmistamiseen liittyy tehtäviä, joissa ei ole kysymys välttämättä pääsystä tietoon, vaan mahdollisuudesta tosiasialliseen toimintaan. Yhteiskunnan kriittisiä toimintoja ei myöskään hoideta yksinomaan julkishallinnossa. Kyseiset toiminnot ovat usein yksityisomistuksessa, minkä vuoksi yksityisillä yrityksillä on merkittävä vastuu yhteiskunnan elintärkeiden toimintojen ylläpitämisessä.

Yhteiskunnan kokonaisturvallisuus käsittää turvallisuuden kaikki osa-alueet, joilla tähdätään muun muassa valtion turvallisuuden, yhteiskunnan perustoimintojen, yleisen järjestyksen ja turvallisuuden, väestön sekä tietojen saatavuuden ja virheettömyyden turvaamiseen. Puhuttaessa turvallisuuden ylläpitämiseksi käytettävissä olevista keinoista toimenpiteet voidaan jakaa tietoturvallisuuteen, fyysiseen turvallisuuteen, henkilöstöturvallisuuteen ja yritysturvallisuuteen.

Valiokunta pitää tärkeänä hallituksen esityksen tavoitetta vähentää uudella turvallisuusselvityslainsäädännöllä osaltaan yhteiskunnan haavoittuvuutta luomalla entistä tehokkaampi menettely henkilöiden ja yritysten taustojen selvittämiseksi. Käsiteltävänä olevalla lainsäädännöllä on tarkoitus suojata perinteisten yleisten etujen (valtion turvallisuus, maanpuolustus ja kansainväliset suhteet) lisäksi myös yleistä turvallisuutta ja yhteiskunnan toimivuuden kannalta kriittisen infrastruktuurin toimivuutta. Lisäksi uudistettavalla kansallisella yleislailla pannaan täytäntöön Euroopan unionin tietoturvallisuusvelvoitteet sekä julkisia puolustus- ja turvallisuushankintoja koskeva tietoturvallisuussääntely.

Valiokunta pitää perusteltuna, että uudistuksella myös lähennetään alan lainsäädäntöä vastaamaan kansainvälisiä käytäntöjä ottamalla kuitenkin huomioon suomalaisen yhteiskunnan erityispiirteet, kuten henkilön tunnistettavuus henkilötunnuksen avulla ja erilaisten tietojärjestelmien kattavuus samoin kuin työntekijän luottotietojen hankintaa ja käsittelyä sekä huumausainetodistuksen esittämisvelvoitetta koskevat erityissäännökset. Valiokunta pitää myös tärkeänä avoimuutta ja vuorovaikutteisuutta lisäävää sääntelyä turvallisuusselvitysmenettelyssä sekä tehokkuuden ja yhdenmukaisuuden varmistamista lain soveltamisessa.

Turvallisuusselvityksistä

Turvallisuusselvitysten avulla selvitetään joko luonnollisten henkilöiden (henkilöturvallisuusselvitys) tai yritysten (yritysturvallisuusselvitys) taustoja näiden luotettavuuden varmistamiseksi. Yleisesti valiokunta toteaa, että selvitysmenettelyt kohdistuvat henkilöihin ja yrityksiin, jotka pääsevät turvallisuuden kannalta kriittisiin tietoihin ja joilta edellytetään erityistä luotettavuutta tehtävien hoitamisessa.

Turvallisuusselvitys perustuu ensisijaisesti selvityksen kohteena olevan aikaisempaa toimintaa ja olosuhteita koskeviin tietoihin. Henkilöturvallisuusselvityksiä tulee vastaisuudessa olemaan nykyiseen tapaan kolme eri tasoa (suppea, perusmuotoinen ja laaja turvallisuusselvitys). Valiokunta pitää perusteltuna, että henkilöturvallisuusselvityksissä käytettävät tietolähteet ovat sitä laajemmat, mitä kriittisempään tehtävään henkilöä ollaan valitsemassa. Merkittävässä asemassa selvitystyössä on rikostaustan selvittäminen. Korkeimpiin turvallisuusluokkiin kuuluvien tietojen käsittelyyn osallistuvien taustaa selvitetään myös henkilöiden taloudellista tilannetta ja lähiomaisia selvittämällä. Tämä on tarpeellista sen varmistamiseksi, ettei selvityksen kohde ole sellaisessa tilanteessa, jossa on vaara esimerkiksi taloudellisia etuja tarjoamalla tai kiristystoimin vaikuttaa selvityksen kohteen käyttäytymiseen. Henkilöturvallisuusselvityksiä tekevät edelleen suojelupoliisi ja Pääesikunta sekä poliisilaitokset. Uudistuksen myötä suppeiden turvallisuusselvitysten laadinta keskitetään kuitenkin Poliisihallituksen osoittamiin poliisilaitoksiin.

Yritysturvallisuusselvityksessä selvitetään yrityksen vastuuhenkilöiden taustoja sekä yrityksen tietoturvallisuuden tasoa. Selvitys voidaan muun muassa laatia, jos yritys sopimuskumppanina saa luokiteltuja salassa pidettäviä tietoja viranomaiselta. Uusi lainsäädäntö kattaa julkisista puolustus- ja turvallisuushankinnoista annetun lain (1531/2011) ulkopuolelle jäävät tilanteet sekä selkeyttää yritysturvallisuusselvitysmenettelyä erilaisissa hankkeissa. Suojelupoliisi laatii yritysturvallisuusselvitykset ja Viestintävirasto puolestaan tietojärjestelmien ja tietoliikenteen tasoa koskevan selvityksen yritysturvallisuusselvityksen osana.

Selvityksen kohteen asema

Valiokunta pitää perusteltuna, että turvallisuusselvitykset ja niihin liittyvä nuhteettomuuden seuranta tehdään aina vain selvityksen kohteena olevan henkilön tai yrityksen suostumuksella. Turvallisuusselvityksen yhteydessä voidaan tarvittaessa suorittaa selvityksen kohteena olevan henkilön haastattelu, mikä on valiokunnan mielestä omiaan lisäämään menettelyn vuorovaikutteisuutta ja antaa viranomaiselle paremmat mahdollisuudet arvioida käytettävissä olevien tietojen merkitystä selvityksen lopputuloksen kannalta. Haastattelun ja henkilötietojen tarkistamismenettelyn yhteydessä turvallisuusselvityksen kohde voi esittää huomautuksen, josta on pääsäännön mukaan tehtävä merkintä turvallisuusselvitykseen, jollei tietoja heti oikaista. Uudistus merkitsee myös sitä, että selvityksen kohteen tiedonsaantimahdollisuudet tehostuvat. Oikeusturvaa parantaa lisäksi muutoksenhakuoikeuden laajentaminen.

Arviointikriteerilautakunta

Asiantuntijakuulemisessa on tuotu esiin, ettei arviointikriteerilautakuntaa tule perustaa, koska lautakunnan lausuntomenettely 1. lakiehdotuksen 22 §:n mukaisissa asioissa voi koskea erittäin arkaluonteisia yritysvakoiluun ja yritysten turvallisuusintresseihin liittyviä asioita. Tällaiset asiat on voitava käsitellä luottamuksellisesti yrityksen ja asianomaisen poliisihallinnon välillä.

Lakiehdotuksen 12 §:n mukaan oikeusministeriön yhteydessä toimii turvallisuusselvitysasioissa valtioneuvoston asettama arviointikriteerilautakunta, jossa ovat edustettuina julkishallinnon turvallisuuden yleisestä ohjauksesta vastaava ministeriö, puolustushallinto, ulkoasiainhallinto ja muut yleisten etujen suojaamisen kannalta keskeiset hallinnonalat, ammattijärjestöt ja elinkeinoelämä sekä tarvittava oikeudellinen asiantuntemus.

Valiokunta tähdentää, että perustettava arviointikriteerilautakunta on viranomainen ja sen työhön osallistuvia sitovat mm. julkisuuslaissa (621/1999) säädetty salassapito- ja vaitiolovelvollisuus. Viranomaistoiminnassa on muutoinkin noudatettavana periaate, että salassa pidettävien tietojen käsittely rajoitetaan kulloinkin välttämättömiin tietoihin.

Turvallisuusselvitysmenettely ja sen sääntely tulee muuttumaan merkittävästi uuden lain myötä muun muassa tehtävien nykyistä tarkemman määrittelyn ja oikeusturvaa vahvistavan sääntelyn vuoksi. Tämän vuoksi valiokunta pitää tarpeellisena toimivaltaisten viranomaisten päätöksenteon tukemista. Lautakunnan tulkintasuositukset on tarkoitettu myös varmistamaan sekä turvallisuusselvitysten hakijoiden että selvitysten kohteiden yhdenvertaista kohtelua turvallisuusselvitysmenettelyssä.

Hallintovaliokunta toteaa, että ehdotetun turvallisuusselvityslain 22 §:n mukaisissa asioissa on kysymys yritykselle annettavasta erityisestä mahdollisuudesta hakea henkilöturvallisuusselvitystä muissakin kuin laissa nimenomaisesti säädetyissä tehtävissä. Valiokunta tähdentää saamansa selvityksen perusteella, ettei lautakunnan lausuntomenettelyssä ole tarpeen käsitellä sellaista yksityiskohtaista tietoa esimerkiksi teknologisesta kehittämishankkeesta, joka voi vaarantaa yrityksen patenttioikeuksia.

Valiokunta puoltaa arviointilautakuntaa koskevan sääntelyn hyväksymistä hallituksen esityksen mukaisessa muodossa (12 §).

Epäiltyjen tietojärjestelmä (EPRI, epäiltyjen rekisteri)

Lakiehdotuksen 25 §:n 2 momentista ja 27 §:stä ilmenee, että perusmuotoista turvallisuusselvitystä ja laajaa turvallisuusselvitystä laadittaessa voidaan käyttää myös epäiltyjen rekisteriin sisältyviä sellaisia tietoja, joiden ilmoittamista keskusrikospoliisi on pitänyt välttämättömänä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toiminnalta. Hallituksen esitys merkitsee turvallisuusselvityksen tietopohjan laajentamista nykyisestä. Suojelupoliisille ei kuitenkaan ehdoteta annettavaksi suoraa käyttöyhteyttä epäiltyjen rekisteriin, vaan keskusrikospoliisin tehtävänä on välittää tapauskohtaisesti tieto varoitusluontoisena ilmoituksena.

Valiokunta pitää perusteltuna menettelyn tarkoitusta estää järjestäytyneeseen rikolliseen toimintaan osallistuvien ja sellaisesta toiminnasta epäiltyjen pääseminen erityistä suojaa vaativiin kohteisiin ja aineistoihin. Hallituksen esityksestä ilmenee, että tällaisia pyrkimyksiä on keskusrikospoliisin mukaan tullut esiin.

Henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 4 §:n mukaan epäiltyjen tietojärjestelmä on poliisin valtakunnalliseen käyttöön tarkoitettu pysyvä automaattisen tietojenkäsittelyn avulla ylläpidettävä rekisteri. Tietojärjestelmä voi sisältää poliisilain 1 luvun 1 §:n 1 momentissa säädettyjen tehtävien suorittamiseksi hankittuja rikostiedustelu-, tarkkailu- ja havaintotietoja henkilöistä, joiden on syytä 1) epäillä syyllistyvän tai syyllistyneen rikokseen, josta saattaa seurata vankeutta, tai 2) epäillä myötävaikuttavan tai myötävaikuttaneen rikokseen, josta saattaa seurata enemmän kuin kuusi kuukautta vankeutta, tai huumausaineen käyttörikokseen.

Mainitusta 4 §:stä ilmenevät myös rekisteriin merkittävät henkilötiedot. Epäiltyjen tietojärjestelmää saavat 4 §:n nojalla käyttää teknisen käyttöyhteyden avulla vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt poliisin henkilöstöön kuuluvat sekä poliisin ulkomaille lähettämät yhteyshenkilöt. Lainsäädännöstä ilmenee, että teknisen käyttöyhteyden avulla EPRIstä voidaan luovuttaa tietoja myös Rajavartiolaitokselle ja Tullille. Epäiltyjen rekisteriin on myönnetty käyttöoikeus noin 1 400 henkilölle, joista poliiseja on noin 1 100.

EPRIn tietojen syöttökynnyksen osalta on hallituksen esityksessä HE 93/2002 vp muun muassa todettu seuraavaa: "Epäilyn yksilöinnin osalta sääntely säilyisi ennallaan. Henkilön tulisi epäillä syyllistyvän tai syyllistyneen taikka myötävaikuttavan tai myötävaikuttaneen nimettyyn rikokseen, mutta rekisterin käyttötarkoituksesta johtuen rikoksen yksilöinniltä ei voitaisi edellyttää kovin suurta täsmällisyyttä. Tämä koskisi esimerkiksi tunnetun rikollisryhmän jäsenten toimintaa."

Uuden poliisilain (872/2011) 1 §:n 1 momentissa säädetään vuoden 1995 poliisilain (493/1995) tapaan poliisin tehtäviin kuuluvan muun muassa rikosten ennalta estäminen, tutkiminen ja selvittäminen. Kun henkilöstä syötetään tietoja epäiltyjen rekisteriin, tulee hänen osaltaan täyttyä perusteet, joiden nojalla henkilön voidaan epäillä syyllistyvän tai syyllistyneen rikokseen taikka myötävaikuttavan tai myötävaikuttaneen rikokseen. Kynnys "syytä epäillä" on sama kuin esitutkintalaissa (805/2011) säädetyn rikoksen johdosta esitutkinnan toimittamisen kynnys.

EPRIn sääntelyn soveltamisen vaativuutta kuvaa se, että kysymys ei ole pelkästään epäillystä henkilön jo tapahtuneesta syyllistymisestä tai myötävaikuttamisesta, vaan epäillystä tulevaisuudessa tapahtuvasta syyllistymisestä tai myötävaikuttamisesta lainkohdassa tarkoitettuun rikokseen. Valiokunta pitää selvänä, että epäilyn tulee tällöinkin perustua konkreettisiin havaintoihin, joista voidaan päätellä henkilön tuleva käyttäytyminen niin, että "syytä epäillä" -edellytys täyttyy hyväksyttävästi. Arvion tekeminen henkilön tulevasta käyttäytymisestä on sellaisen epävarman päättelyketjun varassa, että virhearvioinnin riski on varsin suuri.

Asiantuntijakuulemisessa valiokunnalle esitetyn selvityksen perusteella epäiltyjen tietojärjestelmässä on henkilön epäillyn tulevaisuudessa tapahtuvan rikokseen myötävaikuttamisen perusteella merkitty epäiltyjen rekisteriin henkilötietoja, joiden osalta voidaan varsin perustellusti esittää kysymys rekisterimerkintöjen asianmukaisuudesta. Hallintovaliokunnassa onkin uudelleen, kevään 2013 jälkeen (HAO 2/2013 vp, Poliisin henkilörekisterit, henkilötietojen käsittely ja tietosuoja), noussut esiin kysymys epäiltyjen rekisterin sisällön, tehtyjen ja tehtävien merkintöjen, valvonnan, koulutuksen ja ohjeistuksen asianmukaisuudesta. Tältä osin valiokunnan keskeinen tavoite on varmistua siitä, että poliisin henkilörekisterit ja niiden käyttö on joka suhteessa lainsäädännön vaatimassa ja muutoinkin asiamukaisessa kunnossa ja että ilmenneet ja mahdollisesti ilmenevät puutteet korjataan mahdollisimman nopeasti.

Nykyisessä suomalaisessa poliisin valvontajärjestelmässä valvontaa suorittava taho vaihtelee osittain asiaryhmittäin, ja valvovan tahon toimivaltuudet myös vaihtelevat. Poliisin ulkoista laillisuusvalvontaa suorittavat erityisesti ylimmät laillisuusvalvojat ja tietosuojavaltuutettu sekä tietyllä tapaa myös tuomioistuimet. Poliisin sisäistä laillisuusvalvontaa suorittavat sisäministeriön oikeusyksikkö, osittain myös ministeriön poliisiosasto, Poliisihallitus ja muut poliisiyksiköt. Jokainen virkamies vastaa luonnollisesti virkatoimiensa laillisuudesta.

Suomen perustuslain 68 §:n mukaan ministeriö vastaa hallinnonalansa asianmukaisesta toiminnasta. Tämä sisältää ministeriön hallinnonalan ohjauksen ja valvonnan. Sisäministeriö suorittaa tehtäväänsä paitsi tulos- ja ohjausprosessissa myös päivittäisten ja yksittäisten asioiden ja asiaryhmien seurannalla ja toteutumisten arvioinneissa. Valvontatehtävään kuuluu myös sisäinen valvonta, kuten laillisuusvalvonta.

Sisäministeriö on saadun tiedon mukaan antanut hallinnonalaansa koskevan ensimmäisen laillisuusvalvontaohjeen 28.6.2011. Ohjeessa käsitellään muun muassa vastuita, sisäisen laillisuusvalvonnan laatuvaatimuksia, esimiesten suorittamaa laillisuusvalvontaa, henkilötietojen käsittelyn valvontaa, laillisuusvalvonnan seurantaa ja raportointia sekä laillisuusvalvontaan liittyvää sisäistä ja ulkoista viestintää. Sisäministeriön oikeusyksikön tehtävänä on tarkastaa yhteistyössä ministeriön osastojen ja sisäisen tarkastuksen kanssa hallinnonalan keskusvirastoja ja keskusvirastojen puolestaan alaistaan hallintoa.

Henkilötietojen käsittelystä poliisitoimessa annetun lain 7 §:stä ilmenee, että epäiltyjen tietojärjestelmän rekisterinpitäjä on Poliisihallitus. Henkilötietolain (523/1999) 3 §:n 1 momentin 4 kohdasta puolestaan käy ilmi, että rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Mainitun lain 5 §:ssä säädetään huolellisuusvelvoitteesta, jonka mukaan rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Tässä yhteydessä voidaan todeta vielä, että kyseisen lain 9 §:n 2 momentin nojalla rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus).

Sisäministeriö on 11.4.2013 pyytänyt Poliisihallitukselta selvitystä muun muassa siitä, miten henkilötietojen käsittely epäiltyjen tietojärjestelmässä on lainsäädännössä olevien säännösten lisäksi ohjeistettu. Selvitystä on myös pyydetty siitä, kuinka kyseisen järjestelmän osalta henkilötietojen käsittelyä on valvottu ja valvotaan. Sisäministeriö on pyytänyt oheistamaan selvityksen liitteeksi mahdolliset tarkastuskertomukset ja muut mahdolliset valvontaa koskevat tiedot.

Poliisihallitus on ilmoittanut valiokunnalle niistä kehittämis- ja muista toimenpiteistä, joihin on huhtikuun 2013 jälkeen Poliisihallituksessa ryhdytty. Sisäministeriöstä on puolestaan ilmoitettu, että koska epäiltyjen rekisteriin liittyvä hallinnollinen selvitys ja käynnistynyt esitutkinta koskevat samaa asiaa, hallinnollinen selvitystyö on keskeytetty vireillä olevan esitutkinnan ajaksi. Sisäministeriö on pyytänyt Valtakunnansyyttäjänvirastolta 22.4.2014 jäljennöstä esitutkintapöytäkirjasta puheena olevaa hallinnollista valvontatehtäväänsä varten. Sisäministeriön tietojen mukaan Poliisihallitus on muun muassa määrännyt epäiltyjen tietojärjestelmän tiedot tarkistettaviksi. Saadun tiedon mukaan poliisiyksiköissä on poistettu selkeästi säännösten vastaisia rekisteröintejä. Tämä työ on kuitenkin keskeytetty esitutkinnan laajennuttua koskemaan epäiltyjen tietojärjestelmää ja siihen liittyviä käytäntöjä laajemmin.

Hallintovaliokunta pitää huomionarvoisena, ettei epäiltyjen rekisteriin ole ennen hallintovaliokunnan omasta aloitteesta ehdottamaa ja vuoden 2014 alusta voimaan tullutta lainmuutosta kohdistettu poliisihallinnon sisäistä valvontaa, koska vallinneen laintulkinnan mukaan rekisterin käyttöoikeuksia ei ole katsottu voitavan myöntää laillisuusvalvonnan tarkoituksiin. Poliisihallituksen ilmoituksen mukaan EPRIn käytön valvonta toteutuu normaalina esimies- ja laillisuusvalvontana. Valiokunnan tiedossa ei ole, mitä esimiesvalvonta tässä yhteydessä konkreettisesti on tarkoittanut. Tätä käytännön esimiesvalvontaakaan ei kuitenkaan valiokunnassa esitetyn asiantuntijalausunnon mukaan ole tehty erityisen aktiivisesti. Poliisihallitus on ilmoittanut, että se tarkastaa rekistereiden lokitietoja vähintään pistokoeluonteisesti kaksi kertaa vuodessa.

Poliisin henkilörekisterilain 45 §:n mukaan epäiltyjen tietojärjestelmän tietoihin ei ole lainkaan tarkastusoikeutta. Tietosuojavaltuutettu voi kuitenkin rekisteröidyn pyynnöstä tarkastaa rekisteröityä koskevien tietojen lainmukaisuuden. Arvioitaessa tämän seikan merkitystä on otettava huomioon, että esimerkiksi tarkkailu- ja havaintotietoja koskevat merkinnät on tehty pääsääntöisesti yksittäisen poliisimiehen arvion perusteella ja niiden asianmukaisuus on siten jäänyt kyseisen poliisimiehen harkintakyvyn varaan.

Valiokunta kiinnittää huomiota siihen, että rekisterinpitäjänä siihen kuuluvine velvollisuuksineen toimii Poliisihallitus lain nojalla. Keskusrikospoliisi toimii kuitenkin rekisterin käyttöoikeuksien myöntäjänä. Tämä tapahtuu valiokunnan saaman tiedon mukaan poliisin ylijohdon ohjauksessa. Keskusrikospoliisissa on valiokunnan saaman tiedon mukaan kaksi rikosylikonstaapelia, joiden tehtäviin kuuluu oman toimensa ohella tarkastaa pistokokein epäiltyjen rekisteriin tehtyjen syöttöjen yleinen lainmukaisuus. Tässä yhteydessä yleisellä lainmukaisuudella tarkoitetaan sitä, että henkilöstä on laadittu rekisteröintikortti tietokantaan ja rikosepäilyn ollessa kyseessä häneen on liitetty kyseeseen tuleva rikosnimike. EPRIn tallennuskäytäntöjä on muutettu keväällä 2014 tuolloin julkisuudessa esillä olleiden tapahtumien jälkeen. Poliisihallitus on velvoittanut päätöksellään, että uusien henkilöiden EPRI-rekisteröinnin laillisten ja laadullisten edellytysten arvioinnin suorittaa päällystöön kuuluva virkamies.

Hallintovaliokunta tähdentää, että viranomaisten henkilörekisterien ja henkilötietojen käsittelyn tulee olla joka suhteessa asianmukaisessa kunnossa ja täyttää lainsäädännössä asetetut vaatimukset. Henkilötietojen käsittelyn kokonaisuuteen kuuluu myös hyvän tiedonhallintatavan ja hyvien käytänteiden noudattaminen. Ilmenneiden seikkojen perusteella valiokunta pitää välttämättömänä, että poliisin henkilörekisterien, erityisesti epäiltyjen tietojärjestelmän, osalta selvitetään kattavasti rekisterimerkintöjen tekijöihin ja tekemiseen, rekisterien tietosisältöön, tietojen käyttämiseen ja muuhun henkilötietojen käsittelyyn, koulutukseen ja valvontaan liittyvät eri kysymykset kunkin toimijatahon osalta. Selvitystyössä tulee erottaa mahdollisuuksien mukaan ainakin seuraavat tarkastelukulmat: käytännön toimijataso, esimiesvalvonta, rekisterinpitäjän valvonta, sisäinen valvonta ja laillisuusvalvonta. Valiokunta pitää aiheellisena, että tietosuojavaltuutettu suorittaa ainakin epäiltyjen tietojärjestelmään kokonaisvaltaisen tarkastuksen sisäasiainhallinnossa tehtyjen omien selvitys- ja kehittämistoimenpiteiden tultua tehdyiksi. Tarvittaessa on ryhdyttävä tarkastustoimenpiteiden edellyttämiin lainvalmistelutoimenpiteisiin.

Edellä lausutun johdosta hallintovaliokunta ehdottaa eduskunnan hyväksyttäväksi seuraavan sisältöisen lausuman: Eduskunta edellyttää hallituksen huolehtivan siitä, että hallintovaliokunnalle annetaan viimeistään vuoden 2015 loppuun mennessä kattava selvitys 1) niistä toimenpiteistä, joihin on ryhdytty erityisesti epäiltyjen tietojärjestelmän, mutta myös muiden poliisin henkilörekisterien osalta, sen varmistamiseksi, että tietojärjestelmät ovat virheettömiä ja että henkilötietojen käsitteleminen tapahtuu kaikilta osin lainsäädännön edellyttämällä tavalla ja muutoinkin asianmukaisesti, sekä 2) niistä toimenpiteistä, joihin on ryhdytty kyseisten henkilörekisterien ja henkilötietojen käsittelyn sekä niihin liittyvän koulutuksen, ohjeistuksen ja valvonnan kehittämiseksi. (Valiokunnan lausumaehdotus)

Valiokunta ehdottaa jäljempänä 25 §:n yksityiskohtaisissa perusteluissa säädettävän turvallisuusselvityslain 25 §:n 2 momentin muuttamista siten, että epäiltyjen rekisterin tietoja voidaan turvallisuusselvityksen kohteen oikeusturvaa vaarantamatta käyttää turvallisuusselvitysten laatimisessa.

Yhteenveto

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa 2. ja 3. sekä 5. ja 7—23. lakiehdotuksen hyväksymistä muuttamattomina sekä 1., 4. ja 6. lakiehdotuksen hyväksymistä muutettuina tästä mietinnöstä ilmenevin kannanotoin ja muutosehdotuksin.

Yksityiskohtaiset perustelut

1. Turvallisuusselvityslaki

9 §. Toimivaltaiset viranomaiset.

Lakiehdotuksen 9 §:n 1 momentin mukaan suojelupoliisilla on yleinen toimivalta päättää turvallisuusselvityksistä. Pykälän 3 momentista ilmenee tarkoituksena olevan, että pääesikunta laatii henkilöturvallisuusselvityksen kaikissa niissä tapauksissa, joissa selvityksen kohde toimii tai hänen on tarkoitus toimia puolustusvoimissa taikka hoitaa puolustusvoimien antamaa tehtävää tai joissa selvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Lisäksi momentin nojalla pääesikunta päättää yritysturvallisuusselvityksen tekemisestä yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka joka liittyy puolustusvoimien hankintoihin.

Saadun selvityksen mukaan hallituksen esityksen antamisen jälkeen puolustushallinnossa on tehty organisaatiota koskevia uudistussuunnitelmia. Suunnitelmana on ollut, että pääesikunta voi antaa turvallisuusselvityksen laatimiseksi tarvittavien rekisteritietojen tarkistamisen ja luovuttaa tätä varten pääsyn tarkistuksessa käytettäviin rekistereihin määräämälleen ja valvonnassaan toimivalle puolustusvoimien yksikölle. Tarkoituksena on, että kyseinen puolustusvoimien yksikkö on sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain (HaVM 5/2013 vpHE 30/2013 vp) voimaan tultua perustettava Puolustusvoimien Tiedustelulaitos.

Puolustusvoimauudistuksessa on nyttemmin saadun selvityksen perusteella sotilastiedustelun puolustusvoimien laajuiset ja valtakunnalliset toimijat yhdistetty toukokuun 2014 alusta Puolustusvoimien Tiedustelulaitokseksi. Tavoitteena on terävöittää sotilastiedustelun ydintoimintoja yhdistämällä organisaatioita, vahvistamalla henkilöstön osaamista sekä poistamalla hallinnollisia ja analyysitoimintaan liittyviä päällekkäisyyksiä. Laitos on pääesikunnan alainen ja tuottaa asiakaslähtöisesti puolustusvoimien tarvitsemat tiedustelun palvelut. Toiminnan tarkoituksenmukaisen järjestämisen vuoksi tiedustelulaitoksen palvelukseen siirtyvät pääosin myös turvallisuusselvityksien nykyisen pääesikunnan tutkintaosastolla tekevät henkilöt. Turvallisuusselvitysmenettelyn johdosta ja valvonnasta vastaa kuitenkin myös vastaisuudessa pääesikunta.

Edellä lausutun johdosta valiokunta ehdottaa saamansa selvityksen perusteella lakiehdotuksen 9 §:n 3 momentin hyväksymistä näin kuuluvana: "Henkilöturvallisuusselvityksen tekemisestä päättää pääesikunta, jos selvityksen kohde toimii tai hänen on tarkoitus toimia puolustusvoimissa tai hoitaa puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Pääesikunta päättää yritysturvallisuusselvityksen tekemisestä yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää, taikka yrityksestä, joka liittyy puolustusvoimien hankintoihin. Pääesikunta voi antaa turvallisuusselvityksen laatimiseksi tarvittavien rekisteritietojen tarkistamisen ja luovuttaa tätä varten pääsyn tarkistuksessa käytettäviin rekistereihin määräämälleen ja valvonnassaan toimivalle puolustusvoimien yksikölle. Pääesikunta voi antaa myös edellä tarkoitetulle yksikölle oikeuden ilmoittaa henkilöturvallisuusselvitystä hakeneelle puolustusvoimien yksikölle siitä, että rekisteritiedoissa ei ole ilmennyt henkilön luotettavuuden kannalta kielteisiä tietoja."

16 §. Valtionhallinnon viranomaisen velvollisuus henkilöturvallisuusselvityksen hakemiseen.

Lakiehdotuksen 15 §:ssä säädetään niistä tahoista, jotka voivat hakea henkilöturvallisuusselvitystä. Lähtökohtana sääntelyehdotuksessa on, että selvitystä voi hakea kohteen työnantaja.

Lakiehdotuksen 16 § koskee puolestaan pelkästään valtion viranomaisia. Valtionhallinnossa ollaan asteittain nostamassa tieto- ja henkilöturvallisuustasoa. Tämän kehittämistyön ohjaamiseksi ja tukemiseksi sekä yhdenmukaisten menettelyjen aikaansaamiseksi lakiehdotuksessa ehdotetaan valtioneuvostolle annettavaksi oikeus asetuksella säätää valtion viranomaiselle velvollisuus hankkia henkilöturvallisuusselvitys tietyissä 16 §:stä ilmenevissä tilanteissa.

Hallintovaliokunta toteaa saamansa selvityksen perusteella eduskunnan kannalta olevan riittävää, että eduskunnan kanslialla on oikeus 15 §:n nojalla turvallisuusselvityksen hakemiseen. Sen sijaan eduskunnan kanslian osalta ei ole tarvetta mainitun velvollisuuden säätämiseen. Hallintovaliokunta painottaa, ettei velvoitetta henkilöturvallisuusselvityksen hankkimiseen voida muutoinkaan perustaa eduskunnan kanslialle asetuksella. Koska valiokunnan mielestä on selvää, ettei valtioneuvoston asetuksenantovalta ulotu eduskunnan kansliaan, valiokunta ei pidä välttämättömänä lakiehdotuksen 16 §:n täsmentämistä.

18 §. Turvallisuusvaatimusten toteuttaminen yleisenä edellytyksenä.

Henkilöturvallisuusselvityksen laatimisen yleisenä edellytyksenä on lakiehdotuksen 18 §:n mukaan, että hakija on rajoittanut teknisin ja muin toimenpitein pääsyä suojattaviin tiloihin sekä huolehtinut toimitilojen ja tietojärjestelmien suojaamisesta ja ryhtynyt muihin asianmukaisiin toimenpiteisiin tietoturvallisuuden sekä muiden turvallisuusjärjestelyjen toteuttamiseksi. Valiokunta toteaa, että ehdotetun sääntelyn tarkoituksena on edistää yleistä turvallisuutta sekä varmistaa, että turvallisuusselvityksiä käytetään vain osana laajempia turvallisuusjärjestelyjä eikä niiden sijasta.

Asiantuntijakuulemisessa on esitetty näkemyksiä, että henkilöturvallisuusselvitysten tekemiseen yleiseksi edellytykseksi on tulossa huomattavan raskas auditointimenettely tai vastaava selvitys. Uuden vaatimuksen on nähty lisäävän yritysten hallinnollista taakkaa eikä kohdistuvan selvitysten saamisen kannalta olennaisiin seikkoihin. Tämän vuoksi eräissä asiantuntijalausunnoissa on katsottu, ettei lakiehdotuksen 18 §:ää tule hyväksyä.

Valiokunta toteaa, että oikeustilan muutoksen arvioinnissa on tarpeen ottaa huomioon voimassa olevan turvallisuusselvityksistä annetun lain nojalla annettu sisäasiainministeriön asetus (710/2002), jonka 1 §:n 2 momentin 4 kohdan mukaan perusmuotoista turvallisuusselvitystä ensimmäistä kertaa haettaessa sekä tarvittaessa sen jälkeenkin hakemukseen on liitettävä kirjallinen selvitys siitä, miten turvallisuusselvityksen hakija on toteuttanut turvallisuuden ylläpitämiseen liittyvät muut ennalta estävät toimenpiteet. Näin ollen esitetty kritiikki kohdistuu edellytyksiin, joista säädetään jo voimassa olevissa säännöksissä.

Valiokunta tähdentää, että henkilöturvallisuusselvityksen merkitys olennaisesti heikentyy tai voi jopa mitätöityä, jollei muista tietoturvallisuuden osa-alueista ole huolehdittu. Tällainen tilanne on kysymyksessä esimerkiksi silloin, kun kulunvalvontaa ei ole järjestetty tiloihin, joissa suojattavia tietoja käsitellään, taikka tietojärjestelmissä ei ole toteutettu asianmukaista käyttöoikeuksien hallintaa ja niiden käytön valvontaa. Valiokunta pitää turvallisuustoimia koskevien vaatimusten asettamista lakiehdotuksessa ehdotetulla tavalla välttämättömänä.

Lakiehdotuksen 18 §:n 2 momentissa säädetään, että edellä 1 momentissa tarkoitettu vaatimuksen täyttyminen voidaan osoittaa momentissa mainitulla tavalla tai muulla suojelupoliisin hyväksymällä tavalla. Asianmukaisten tietoturvallisuustoimien suorittaminen on momentin nojalla kysymyksessä esimerkiksi silloin, kun yritys on saanut tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn arviointilaitoksen antaman todistuksen.

Valiokunta toteaa, että myös muut annettavasta turvallisuusselvityslaista ilmenevät viranomaiset kuin suojelupoliisi laativat turvallisuusselvityksiä. Tämän vuoksi hallintovaliokunta ehdottaa 18 §:n 2 momenttiin teknisluonteista korjausta seuraavasti: "Edellä 1 momentissa tarkoitettu vaatimuksen täyttyminen voidaan osoittaa tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn arviointilaitoksen antamalla todistuksella ja viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti annetulla todistuksella, turvallisuussuunnitelmalla tai muulla turvallisuusselvityksen tekemisestä päättävän toimivaltaisen viranomaisen hyväksymällä tavalla."

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet.

Pykälässä määritellään ne henkilörekisterit, joihin talletettuihin tietoihin perusmuotoinen henkilöturvallisuusselvitys voi perustua. Lakiehdotuksen 25 §:n 1 momentin 12 kohdan mukaan henkilöturvallisuusselvitystä laadittaessa saadaan käyttää myös 1 momentin 1—3 kohdissa tarkoitettuja rekistereitä vastaavista toisen valtion rekisteristä saatuja tietoja. Hallituksen esityksen yksityiskohtaisissa perusteluissa todetaan, että kansainvälisen yhteistoiminnan lisääntymisen vuoksi selvityksen kohde voi olla joko ulkomaalainen tai suomalainen, joka on oleskellut pidempiä aikoja ulkomailla. Ehdotuksessa on lähdetty siitä, että tällaiset tilanteet otetaan säädettävässä laissa huomioon.

Asiantuntijakuulemisessa valiokunnan huomiota on kiinnitetty siihen, että suomalaiset, jotka käsittelevät työssään kansainvälistä korkealle luokiteltua tietoa, tarvitsevat henkilöturvallisuustodistuksen (Personal Security Clearance, PSC) ja yritykset puolestaan oman todistuksensa (Facility Security Clearance, FSC). Hallituksen esityksen perusteella kansainvälisiin tarpeisiin myönnettävät henkilöturvallisuusselvitystodistukset on tarkoitus keskittää nykyistä selkeämmin ulkoasiainministeriössä toimivalle kansalliselle turvallisuusviranomaiselle, mikä varmistaa osaltaan yhdenmukaisen todistuskäytännön ja selkeyttää viranomaisten toimivallan jakoa.

Lisäksi asiantuntijakuulemisessa on kiinnitetty huomiota siihen, että lakiehdotus mahdollistaa toisten valtioiden viranomaisten rekisteritietojen osittaisen hyödyntämisen, mikä parantaa turvallisuusselvitysten laatua. Euroopan unionin jäsenmaiden käytäntöihin verrattuna ulkomaisten rekisteritietojen käytön rajaaminen väestörekisteritietoihin, rikosrekisteritietoihin sekä oikeushallinnon käsittelyjärjestelmän rekisteritietoihin sulkee kuitenkin selvityksen ulkopuolelle asioita, joilla saattaa olla suurta merkitystä harkittaessa, voidaanko henkilölle myöntää pääsy korkean tason luokiteltuun salassa pidettävään tietoon.

Edellä lausutun lisäksi asiantuntijakuulemisessa on katsottu, että ulkomaisen viranomaisen hallussa olevien tietojen käyttömahdollisuuden rajaaminen hallituksen esityksessä ehdotetulla tavalla tarkoittaa sitä, etteivät Suomen turvallisuusviranomaiset voi käyttää tietoja esimerkiksi Suomeen rekrytoitavien henkilöiden terrorismi- ja ääriliikeyhteyksistä, kytköksistä ulkomaalaisiin tiedusteluorganisaatioihin tai järjestäytyneeseen rikollisuuteen, vaikka kyseiset tiedot ovat saatavilla ulkomaiselta viranomaiselta. Myös meneillään olevat rikostutkinnat niiden vakavuudesta riippumatta rajautuisivat ulkomaisilta viranomaisilta saatavien tietojen ulkopuolelle.

Hallintovaliokunta pitää asiantuntijakuulemisessa esiin nousseita mainittuja näkökohtia perusteltuina. Valiokunta ei kuitenkaan katso saamansa selvityksen perusteella kansainvälisten ihmisoikeussopimusten vuoksi mahdolliseksi pelkällä viittaussäännöksellä 25 §:n 1 momentin 4 kohtaan laajentaa ulkomaisen tiedon hyödyntämistä. Ulkomaan viranomaisen pitämistä rekistereistä saadut tiedot on myös tarpeen tallettaa suojelupoliisin tietojärjestelmään, jotteivät ne jäisi tietosuojavaltuutetun tarkastusoikeuden ulkopuolelle. Hallintovaliokunta ehdottaa, että henkilöturvallisuusselvitys voidaan perustaa myös lakiehdotuksen 25 §:n 1 momenttiin otettavan uuden 13 kohdan nojalla toisen valtion viranomaisen tietoihin seuraavasti: "13) edellä 4 kohdassa tarkoitettuja rekistereitä vastaaviin toisen valtion viranomaisen rekisterin tietoihin, jos: a) tiedot vastaavat edellä 4 kohdassa tarkoitettuun rekisteriin talletettavissa olevia tietoja; b) tiedot on saatu toiselta Euroopan unionin jäsenvaltiolta tai kansainvälisen tietoturvallisuusvelvoitteen perusteella taikka edellä tarkoitettuja vaatimuksia vastaavasta toisen valtion viranomaisen rekisteristä; ja c) jos tiedot talletetaan toimivaltaisen viranomaisen ylläpitämään henkilörekisteriin. (Uusi 13 kohta) Valiokunta tähdentää, että kohdissa a—c edellytysten tulee samanaikaisesti täyttyä, jotta uutta 13 kohtaa voidaan soveltaa.

Lakiehdotuksen 25 §:n 2 momentin mukaan perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää myös epäiltyjen rekisteriin sisältyviä sellaisia tietoja, joiden ilmoittamista keskusrikospoliisi on pitänyt välttämättömänä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta. Lakiehdotuksen 27 §:n johdantokappaleesta ilmenee, että epäiltyjen rekisteriä voidaan hyödyntää myös laajan henkilöturvallisuusselvityksen tietolähteenä.

Hallintovaliokunta katsoo, että yhteiskunnalla on perusteltu syy suojautua eri keinoin järjestäytyneeltä rikollisuudelta ja muun muassa sen soluttautumiselta julkisen hallinnon hankintoihin ja tehtäviin. Tämän vuoksi hallintovaliokunta ehdottaa, samalla yleisperusteluissa lausuttuun viitaten, lakiehdotuksen 25 §:n 2 momentin kehittämistä ja täsmentämistä muotoilemalla se uudelleen. Valiokunnan ehdottamassa muodossa säädösteksti vahvistaa selvityksen kohteen oikeusturvaa. Momenttiin valiokunta ehdottaa kirjattavaksi tietojen välittämisen muodoksi keskusrikospoliisin ilmoituksen. Tiedot välitetään asiakirjana, johon tulee kirjata myös sellaiset tiedot, jotka ovat tarpeen suojelupoliisin harkitessa EPRIin sisältyvien tietojen käyttöä. Tämän on tarkoitus olla oikeusturvaan liittyvä asiantuntijakuulemisessa esiin noussut menettelyllinen täydentävä elementti.

Valiokunnan ehdottamassa muodossa momentissa on kolme eri kohtaa niistä edellytyksistä, joiden vallitessa keskusrikospoliisi voi tehdä ilmoituksen. Valiokunta on kiinnittänyt erityisesti huomiota henkilötietojen käsittelystä poliisitoimessa annetun lain 4 §:n 2 kohdassa tarkoitettuihin niin sanottuihin myötävaikuttajatietoihin. Uudessa muotoilussa 25 §:n 2 momentin 1 kohdassa osoitetaan ne tilanteet, joissa niin sanottua myötävaikuttajaa koskevia EPRIn tietoja voidaan käyttää turvallisuusselvitystä laadittaessa. Edellytyksenä on ensinnäkin, että selvityksen kohteella on epäiltyjen rekisteristä saatavissa olevien tietojen perusteella toistuvia ja pysyväisluonteisia yhteyksiä sellaiseen henkilöön, jonka on tuomioistuimen päätöksen mukaisesti katsottu osallistuneen järjestäytyneen rikollisryhmän toimintaan tai jonka vireillä olevassa esitutkinnassa tai syyteharkinnassa epäillään osallistuneen tällaiseen toimintaan. Näin ollen mikä tahansa satunnaista paikallaoloa tai muuta satunnaista yhteydenpitoa koskeva merkintä ei oikeuta tietojen antamiseen suojelupoliisille tai tiedon käyttämiseen turvallisuusselvitystä laadittaessa. Pelkkä epäily toisen osapuolen osallistumisesta järjestäytyneen rikollisryhmän toimintaan ei myöskään olisi riittävä, vaan häntä koskevan asian on tullut edetä vähintään esitutkintaan. Rikoslain 17 luvun 1 a §:ssä säädetään osallistumisesta järjestäytyneen rikollisryhmän toimintaan.

Edellytyksenä on lisäksi, että yhteys järjestäytyneeseen rikollisryhmään on omiaan saattamaan selvityksen kohteen alttiiksi ulkopuoliselle epäasialliselle vaikuttamiselle sekä siten vaarantamaan turvallisuusselvityksen perusteena olevan edun suojaamisen.

Tässä yhteydessä valiokunta korostaa, ettei tiedon käytön tarkoituksena ole edellä mainitussa tilanteessa kuvata selvityksen kohteen syyllistymistä mihinkään rikokseen, vaan häneen liittyviä riskejä turvallisuusselvityksen avulla suojattavan edun kannalta.

Säädettävän lain 25 §:n 2 momentin 2 kohdassa valiokunta ehdottaa säänneltäväksi sellaisten tietojen käyttöä, jotka koskevat selvityksen kohteen osallistumista järjestäytyneen rikollisryhmän toimintaan. Tällaisia tietoja voidaan käyttää, jos keskusrikospoliisi epäiltyjen rekisterissä olevien tietojen ja mahdollisten muiden selvitysten perusteella katsoo olevan perusteltu syy epäillä henkilön syyllistyneen osallistumiseen järjestäytyneen rikollisryhmän toimintaan ja tiedon välittäminen on välttämätöntä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta taikka rikoksen torjumiseksi.

Valiokunnan ehdottama muotoilu merkitsee sitä, että kynnys tietojen käyttämiselle on korkeampi kuin tietojen rekisteröinnille epäiltyjen rekisteriin. Kysymys on siten käytännössä asiasta, joka on suhteellisen lyhyen ajan kuluessa siirtymässä esitutkintaan.

Momentin 3 kohtaan valiokunta ehdottaa otettavaksi erityissäännöksen, joka koskee henkilöitä, jotka pääsevät erityistä suojaa vaativien ja korkeimpiin tietoturvallisuustasoihin luokiteltuihin asiakirjoihin ja tietoihin (suojaustaso I ja II).

Keskusrikospoliisi voi tehdä 3 kohdan nojalla suojelupoliisille ilmoituksen kahden eri edellytyksen vallitessa. Ensinnäkin edellytetään, että henkilöstä on epäiltyjen rekisterissä useita sellaisia merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa suojaustasoon I tai II kuuluvien asiakirjojen ja niiden tietojen suojan ja siten edistävän järjestäytyneen rikollisryhmän toimia. Keskusrikospoliisin kokonaisharkintaan kuuluu se, onko merkintöjen laatu tai sisältö merkittävä henkilön luotettavuutta arvioitaessa.

Toisena edellytyksenä on, että tietojen välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi. Valtion keskeisillä turvallisuuseduilla viitataan erityisesti niihin salassapitosäännöksiin, joiden suojaamiseksi voidaan julkisuuslain mukaan tehdä asiakirjaan turvallisuusluokitusta koskeva merkintä. Näitä ovat asiakirjat, joiden oikeudeton paljastuminen voi aiheuttaa vahinkoa maanpuolustukselle, valtion turvallisuudelle, kansainvälisille suhteille tai muille yleisille eduille julkisuuslain 24 §:n 1 momentin 2 ja 7—10 kohdassa tarkoitetulla tavalla.

Edellä olevan perusteella hallintovaliokunta ehdottaa säädettäväksi turvallisuusselvityslain 25 §:n 2 momentin hyväksymistä näin kuuluvana: "Perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää keskusrikospoliisin epäiltyjen rekistereistä ilmenevien tietojen perusteella tekemää ilmoitusta, josta ilmenevät ne tiedot, jotka ovat tarpeen tietojen merkityksen arvioimiseksi suojelupoliisissa. Keskusrikospoliisi voi tehdä ilmoituksen, jos:

1) selvityksen kohteella on epäiltyjen rekisteristä saatavissa olevien tietojen perusteella toistuvia ja pysyväisluonteisia yhteyksiä sellaiseen henkilöön, jonka on tuomioistuimen päätöksen mukaisesti katsottu osallistuneen järjestäytyneen rikollisryhmän toimintaan tai jonka vireillä olevassa esitutkinnassa tai syyteharkinnassa epäillään osallistuneen tällaiseen toimintaan, jos yhteydet ovat omiaan saattamaan selvityksen kohteen alttiiksi ulkopuoliselle epäasialliselle vaikuttamiselle sekä siten vaarantamaan turvallisuusselvityksen perusteena olevan edun suojaamisen; tai

2) keskusrikospoliisi katsoo epäiltyjen rekisterissä olevien tietojen ja mahdollisten muiden selvitysten perusteella olevan perusteltu syy epäillä selvityksen kohteen syyllistyneen osallistumiseen järjestäytyneen rikollisryhmän toimintaan ja tiedon välittäminen on välttämätöntä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutukselta taikka rikoksen ennalta estämiseksi;

3) selvityksen kohteesta on epäiltyjen tietojärjestelmässä useita sellaisia laadultaan ja sisällöltään henkilön luotettavuuden arvioinnin kannalta merkittäviä merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa suojaustasoon I tai II kuuluvien asiakirjojen ja niiden tietojen suojan ja siten edistävän järjestäytyneen rikollisryhmän toimia, jos tiedon välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi."

27 §. Laajan henkilöturvallisuusselvityksen tietolähteet.

Laajaa henkilöturvallisuusselvitystä laadittaessa voidaan pykälän nojalla käyttää perusmuotoisen henkilöturvallisuusselvityksen tietolähteiden lisäksi tietoja selvityksen kohteena olevan henkilön 1) elinkeinotoiminnasta tai osallistumisesta siihen, 2) varallisuudesta ja veloista sekä muista taloudellisista sidonnaisuuksista ja 3) perhe- ja sukulaisuussuhteista.

Tämän tasoinen selvitys tehdään vain korkeimpiin suojaustasoluokkiin kuuluviin aineistoihin pääsevistä henkilöistä. Ehdotetun lain mukaan myös luotto- ja rahoituslaitoksista tietoja hankitaan vain asianomaisen henkilön erikseen ja nimenomaisesti tätä tiedonhankintaa koskevan suostumuksen perusteella.

Valiokunta toteaa turvallisuusselvityslainsäännön kokonaisuudistuksen keskeisiin tavoitteisiin kuuluvan Suomen lainsäädännön lähentäminen vastaamaan kansainvälisiä käytäntöjä ja vaatimuksia. Tässä suhteessa erityisen merkityksellisiä ovat Euroopan unionissa asetetut vaatimukset.

Neuvoston turvallisuussäännöissä (2001/292/EU) määrätään perusperiaatteista ja vähimmäisvaatimuksista EU:n turvallisuusluokitellun tiedon suojaamiseksi. Jäsenvaltioiden tulee noudattaa näitä perusperiaatteita ja vähimmäisvaatimuksia kansallisten lakiensa ja asetustensa mukaisesti. Suomessa on katsottu, että neuvoston turvallisuussäännöt ovat Suomea sitova kansainvälinen tietoturvallisuusvelvoite, jota Suomen on noudatettava. (HE 66/2004 vp ja KHO 18.9.2012 T 2483).

Neuvoston turvallisuussääntöjen mukaan EU TOP SECRET -tasolla, jonka on katsottu Suomessa edellyttävän laajaa turvallisuusselvitystä, tulee tutkia mahdollisimman laajasti kansallisten lakien ja asetusten sallimissa rajoissa henkilön taloudellinen asema.

Tässä yhteydessä on myös syytä todeta, että EU:n jäsenvaltiot ovat allekirjoittaneet 25.5.2011 jäsenvaltioiden välisen sopimuksen EU:n edun vuoksi vaihdettavan turvallisuusluokitellut tiedot suojaamisesta. Sopimuksen tarkoituksena on varmistaa, että jäsenvaltiot toteuttavat kaikki asianmukaiset kansallisten lakien ja asetusten mukaiset toimenpiteet varmistaakseen, että EU:n turvallisuusluokiteltujen tietojen suojan taso jäsenvaltioissa on vastaavanlainen kuin se, jota neuvoston turvallisuussäännöt edellyttävät. Sopimus ja laki sopimuksen lainsäädännön alaan kuuluvien määräysten voimaan saattamisesta (224/2012) on hyväksytty eduskunnassa maaliskuussa 2012 (HaVM 3/2012 vp).

32 §. Tietojen käyttörajoitukset henkilöturvallisuusselvitystä laadittaessa.

Henkilöturvallisuusselvitystä tehtäessä ei saa lakiehdotuksen 32 §:n 1 momentin 3 kohdan perusteella käyttää tietoja kymmentä vuotta aikaisemmin tapahtuneista rikoksista, elleivät tiedot ole saatavissa rikosrekisteristä. Asiantuntijakuulemisessa on katsottu muun muassa, että joissakin tapauksissa tietoja vakavistakin vankeusrangaistukseen johtaneista teoista ei voitaisi käyttää turvallisuusselvitystä tehtäessä, koska yli 10 vuotta vanhat ja alle 2 vuoden mittaiset vankeusrangaistukset rajautuisivat ulos turvallisuusselvityksen piiristä. Tällä voisi olla merkitystä eräissä tapauksissa esimerkiksi valittaessa henkilöitä poliisin virkoihin.

Hallintovaliokunta toteaa, että voimassa olevan lain mukaan kymmentä vuotta vanhempia tietoja ei saa käyttää, ellei tällaisten tietojen käyttäminen ole välttämätöntä selvityksen tarkoituksen saavuttamiseksi. Käsiteltävänä olevan hallituksen esityksen perusteella rikosrekisteriin talletettuja tietoja rangaistuksista saa aina käyttää turvallisuusselvitystä laadittaessa riippumatta siitä, kuinka vanhasta teosta on kysymys. Rikosrekisterilain (770/1993) 10 §:ssä säädetään tietojen poistamisesta. Ehdotonta 2—5 vuoden vankeusrangaistusta koskeva tieto poistetaan 20 vuoden kuluttua lain voiman saaneen tuomion antamispäivästä, jollei uusista tuomioista muuta johdu. Yli 5 vuoden vankeusrangaistusta koskeva tieto poistetaan rikosrekisteristä, kun henkilö täyttää 90 vuotta tai kuolee. Hallintovaliokunta toteaa hallituksen esityksen tavoin rikosrekisterilain säännösten merkitsevän sitä, että vakavimmat rikokset tai toistuva rikollinen toiminta voi vaikuttaa turvallisuusselvityksen sisältöön silloinkin, kun on kysymys yli 10 vuotta aikaisemmin tehdyistä rikoksista. Valiokunta pitää hallituksen esitykseen sisältyvää sääntelyä asianmukaisena.

50 §. Tietojen luovuttaminen turvallisuusselvitysrekisteristä.

Suojelupoliisi antaa lakiehdotuksen 50 §:n 1 momentin nojalla salassapitosäännöksistä riippumatta turvallisuusselvitysrekisteristä teknisen käyttöyhteyden avulla tietoja pääesikunnalle ja Poliisihallituksen määräämälle suppeita turvallisuusselvityksiä laativalle poliisin yksikölle. Pääesikunta saa suojelupoliisin hyväksymällä tavalla luovuttaa edelleen niille puolustusvoimien yksiköiden nimeämille virkamiehille sellaisia tietoja, jotka ovat tarpeen turvallisuusselvityksen hankkimisen tarpeen arvioimiseksi taikka puolustusvoimista annetun lain (551/2007) 15 §:ssä tarkoitetun oleskelu- tai vierailuluvan käsittelyä varten.

Pykälän 2 momentin nojalla suojelupoliisi voi salassapitosäännöksistä riippumatta antaa hyväksymällään tavalla teknisen käyttöyhteyden avulla ministeriön nimeämälle virkamiehelle turvallisuusselvityksen hankkimisen arviointia varten turvallisuusselvitysrekisteristä kyseisestä momentista ilmeneviä tietoja.

Hallintovaliokunta toteaa, että lakiehdotuksen 50 §:n 2 momentti koskee suojelupoliisin toimivaltuutta antaa ainoastaan ministeriölle teknisen käyttöyhteyden avulla turvallisuusselvityksen hankkimisen arviointia varten edellä mainittuja tietoja turvallisuusselvitysrekisteristä. Eduskunta on maamme korkein valtioelin, ja eduskunnan kanslian tehtävänä on luoda eduskunnalle edellytykset suorittaa sille valtioelimenä kuuluvat tehtävät. Tämän vuoksi valiokunta ehdottaa 50 §:n 2 momentin sanamuodon tarkistamista siten, että suojelupoliisi voi luovuttaa myös eduskunnan kanslian nimeämälle virkamiehelle kyseessä olevat tiedot turvallisuusrekisteristä teknisen käyttöyhteyden avulla. Nykyisin eduskunnan kanslia on pyytänyt vuositasolla yli 1 000 henkilöturvallisuusselvitystä. Suurehkoon määrään vaikuttaa tällä hetkellä meneillään oleva laaja eduskunnan peruskorjaushanke.

51 §. Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien yhdistämisen avulla.

Lakiehdotuksen 50 §:n 3 momentissa ja 51 §:ssä säädetään rekisteritietojen yhdistämisestä. Hallituksen esityksen 50 §:n 3 momentista ilmenee, että suojelupoliisi voi salassapitosäännöksistä riippumatta antaa teknisen käyttöyhteyden avulla keskusrikospoliisille turvallisuusselvityksen hakemista koskevat tiedot niiden yhdistämiseksi epäiltyjen rekisterin tietoihin 25 §:n 2 momentissa tarkoitettujen ilmoitusten tekemistä ja sitä koskevaa harkintaa varten. Momentista ilmenee lisäksi, että keskusrikospoliisin on hävitettävä yhdistämisen kautta saadut tiedot välittömästi sen jälkeen, kun tarve ilmoituksen tekemiseen on arvioitu tai ilmoitus on lähetetty suojelupoliisille.

Lakiehdotuksen 51 § koskee nuhteettomuuden ja luotettavuuden seurantaa henkilörekisterien yhdistämisen avulla. Pykälän 1 momentin mukaan suojelupoliisi voi yhdistää turvallisuusselvitysrekisterin tietoihin poliisiasian tietojärjestelmän osarekistereihin sekä oikeushallinnon valtakunnalliseen tietojärjestelmään sisältyviä rikosasioiden vireilläolo- ja ratkaisutietoja sen selvittämiseksi, voidaanko turvallisuusselvitys tai sen perusteella annettu todistus edelleenkin pitää voimassa.

Perustuslakivaliokunnan lausunnosta ilmenee, että ehdotettu sääntely vastaa muutoin lailla säätämiselle asetettuja vaatimuksia, mutta lakiehdotukseen on aiheellista ottaa säännös kiellosta luovuttaa yhdistettyjä henkilötietoja edelleen.

Hallintovaliokunta katsoo, että hallituksen esityksessä on pyritty yksityiskohtaisesti ja tyhjentävästi osoittamaan, miten rekisterien yhdistämisestä syntyviä tietoja saa käyttää ja luovuttaa. Valiokunta toteaa, että sääntelyä voidaan kuitenkin vielä selkeyttää. Tämän vuoksi hallintovaliokunta ehdottaa lakiehdotuksen 51 §:n 3 momentin hyväksymistä näin kuuluvana: "Suojelupoliisin on hävitettävä yhdistämisen seurauksena syntyneet tiedot heti, kun 52 §:ssä tarkoitetut toimenpiteet on saatettu loppuun, viimeistään kuitenkin vuoden kuluttua rekisterien yhdistämisestä. Yhdistettyjä tietoja saa käyttää tai luovuttaa vain 52 §:ssä säädetyissä tapauksissa taikka sen nojalla tehdyn ratkaisun ja siitä tehtävän muutoksenhakuasian käsittelemiseksi."

62 §. Muutoksenhaku.

Lakiehdotuksen 62 §:n 2 momentin mukaan muutosta ei saa hakea päätökseen, jolla on kieltäydytty antamasta yritysturvallisuusselvitystä. Perustuslakivaliokunnan mielestä on aiheellista vielä harkita, onko asianmukaisinta ulottaa momentin mukainen valitusoikeus koskemaan myös yritysturvallisuusselvitystodistusta koskevaa kielteistä päätöstä, koska kielteisellä päätöksellä voi olla vaikutusta yrityksen oikeuteen tai etuun.

Yritysturvallisuusselvitykset liittyvät kansallisissa toimissa viranomaisten hankintoihin, joissa hankinnan toteuttamiseksi tai useimmiten jo tarjousten laatimiseksi on yksityiselle yritykselle annettava salassa pidettäviä ja tietoturvallisuusluokiteltavia tietoja.

Julkisista puolustus- ja turvallisuushankinnoista annettu laki (1531/2011) oikeuttaa asettamaan hankintakilpailussa tietoturvallisuutta koskevia vaatimuksia. Niiden osoittamisessa yksi keino on yritysturvallisuusselvityksen hankkiminen, jonka viranomainen hakee. Viranomaisella ei ole kuitenkaan oikeutta yritysturvallisuusselvityksen saamiseen.

Valiokunta toteaa saamansa selvityksen perusteella, että yritysturvallisuusselvitys tai sen perusteella annettava todistus ei ole ehdoton edellytys hankintakilpailuun osallistumiselle, vaan viranomainen voi käyttää arvioidessaan vaatimusten täyttymistä muitakin keinoja. Viranomaisen on tehtävä päätös ehdokkaiden ja tarjoajien asemaan vaikuttavista ratkaisuista, ja laissa julkisista puolustus- ja turvallisuushankinnoista säännellään muutoksenhakuoikeudesta näihin päätöksiin.

Toimivaltaisen viranomaisen päätökseen, jolla turvallisuusselvitystä ei laadita tai turvallisuusselvitystodistusta ei anneta, ei turvallisuusselvityksen hakijalla ole muutoksenhakuoikeutta. Tähän nähden ja edellä sanottu huomioon ottaen hallintovaliokunta ei puolla muutoksenhakuoikeuden laajentamista.

Valiokunta ehdottaa muutoksenhakukieltoa koskevan 62 §:n 2 momentin ensimmäisen virkkeen viittaussäännöksen tarkistamista siten, että virkkeessä viitataan hallituksen esityksessä ehdotetun 22 ja 23 §:n sijasta ainoastaan lain 22 §:ään, koska 23 § koskee rekisteritietojen käyttöä ja tarkistamista sekä selvityksen kohteen haastattelua. Kyseessä on momentin teknisluontoinen tarkistaminen.

64 §. Siirtymäsäännökset.

Turvallisuusselvitysrekisteri on osa laajempaa poliisissa meneillään olevaa tietojärjestelmäuudistusta. Valiokunnalle esitetyn selvityksen mukaan turvallisuusselvitysrekisterin rakentaminen voidaan aloittaa vasta vuoden 2014 loppupuolella, ja se valmistuu tästä aikaisintaan noin vuoden kuluttua. Ehdotetut siirtymäsäännökset ovat mainitusta syystä ongelmallisia niiden kaksivaiheisuuden vuoksi. Tietojärjestelmän rakentaminen siihen valmiusasteeseen, että siihen voidaan konvertoida aiemmin tehdyt turvallisuusselvitykset, on saadun selvityksen mukaan työnä yhtä iso kuin koko järjestelmän rakentaminen. Tämän vuoksi valiokunta pitää perusteltuna, että siirtymäsäännöksessä luovutaan turvallisuusselvitysrekisteriin ja siihen liittyvään tietojen käsittelyyn kohdistuvasta kaksivaiheisuudesta ja että tietojärjestelmän ja tietojenkäsittelyn kuntoon saamiselle on yksi enintään kahden vuoden siirtymäaika.

Hallintovaliokunta ehdottaa edellä lausutun johdosta, että lakiehdotuksen 64 § hyväksytään seuraavan sisältöisenä: "Ennen tämän lain voimaantuloa vireille saatettuun asiaan sovelletaan tämän lain voimaan tullessa voimassa ollutta lakia. Tämän lain 48 §:ssä tarkoitettu turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely on saatettava lainmukaiseen kuntoon kahden vuoden kuluessa lain voimaantulosta.

Turvallisuusselvitysrekisteriin voidaan siirtää tiedot sellaisista kumottavan turvallisuusselvityksistä annetun lain (177/2002) nojalla annetuista turvallisuusselvityksistä ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla annetuista todistuksista, jotka on annettu aikaisintaan kolme vuotta ennen tämän lain voimaantuloa.

Ennen kuin turvallisuusselvitysrekisteri on saatettu lainmukaiseen kuntoon, toimivaltaiset viranomaiset voivat salassapitosäännösten estämättä luovuttaa toisilleen myös sähköisesti taikka muutoin käsitellä sellaisia tietoja 2 momentissa tarkoitetuista turvallisuusselvityksistä ja todistuksista, jotka ovat tarpeen tämän lain 10 §:ssä säädetyn velvoitteen toteuttamiseksi." (Uusi 3 mom.)

4. Laki henkilötietojen käsittelystä poliisitoimessa annetun lain muuttamisesta

19 §. Tietojen luovuttaminen muille viranomaisille.

Valiokunta ehdottaa lakiehdotuksen johtolauseeseen ja 19 §:ään säädettävästä uudesta turvallisuusselvityslaista johtuvia teknisiä tarkistuksia.

6. Laki kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta

Johtolause.

Valiokunta ehdottaa johtolauseeseen teknisluonteisia täsmennyksiä.

Perustuslakivaliokunnan lausunto

Perustuslakivaliokunnan lausunnosta ilmenee, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Päätösehdotus

Edellä esitetyn perusteella hallintovaliokunta ehdottaa,

että 2. ja 3., 5. sekä 7.—23. lakiehdotus hyväksytään muuttamattomina,

että 1., 4. ja 6. lakiehdotus hyväksytään muutettuina (Valiokunnan muutosehdotukset) ja

että hyväksytään yksi lausuma (Valiokunnan lausumaehdotus).

Valiokunnan muutosehdotukset

1.

Turvallisuusselvityslaki

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1—3 §

(Kuten HE)

2 luku

Selvityksen kohteen asema ja oikeudet

4—8 §

(Kuten HE)

3 luku

Toimivaltaiset viranomaiset ja niiden harkintavallan ohjaus

9 §

Toimivaltaiset viranomaiset

(1 ja 2 mom. kuten HE)

Henkilöturvallisuusselvityksen tekemisestä päättää pääesikunta, jos selvityksen kohde toimii tai hänen on tarkoitus toimia puolustusvoimissa tai hoitaa puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Pääesikunta päättää yritysturvallisuusselvityksen tekemisestä yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää, taikka yrityksestä, joka liittyy puolustusvoimien hankintoihin. Pääesikunta voi antaa turvallisuusselvityksen laatimiseksi tarvittavien rekisteritietojen tarkistamisen ja luovuttaa tätä varten pääsyn tarkistuksessa käytettäviin rekistereihin määräämälleen ja valvonnassaan toimivalle puolustusvoimien yksikölle. Pääesikunta voi antaa myös edellä tarkoitetulle yksikölle oikeuden ilmoittaa henkilöturvallisuusselvitystä hakeneelle puolustusvoimien yksikölle siitä, että rekisteritiedoissa ei ole ilmennyt henkilön luotettavuuden kannalta kielteisiä tietoja.

(4 ja 5 mom. kuten HE)

10—13 §

(Kuten HE)

4 luku

Henkilöturvallisuusselvitys

Henkilöturvallisuusselvityksen tasot

14 §

(Kuten HE)

Henkilöturvallisuusselvityksen hakeminen

15—17 §

(Kuten HE)

Henkilöturvallisuusselvityksen laatimisen edellytykset

18 §

Turvallisuusvaatimusten toteuttaminen yleisenä edellytyksenä

(1 mom. kuten HE)

Edellä 1 momentissa tarkoitettu vaatimuksen täyttyminen voidaan osoittaa tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn arviointilaitoksen antamalla todistuksella, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti annetulla todistuksella, turvallisuussuunnitelmalla tai muulla turvallisuusselvityksen tekemisestä päättävän toimivaltaisen viranomaisen hyväksymällä tavalla.

(3 mom. kuten HE)

19—22 §

(Kuten HE)

Henkilöturvallisuusselvitysasian käsittely

23 ja 24 §

(Kuten HE)

Käytettävät tietolähteet

25 §

Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:

(1—11 kohta kuten HE)

12) edellä 1—3 kohdassa tarkoitettuja rekistereitä vastaaviin toisen valtion viranomaisen pitämiin rekistereihin;

13) edellä 4 kohdassa tarkoitettuja rekistereitä vastaaviin toisen valtion viranomaisen rekisterin tietoihin, jos: a) tiedot vastaavat edellä 4 kohdassa tarkoitettuun rekisteriin talletettavissa olevia tietoja; b) tiedot on saatu toiselta Euroopan unionin jäsenvaltiolta tai kansainvälisen tietoturvallisuusvelvoitteen perusteella taikka edellä tarkoitettuja vaatimuksia vastaavasta toisen valtion viranomaisen rekisteristä; ja c) jos tiedot talletetaan toimivaltaisen viranomaisen ylläpitämään henkilörekisteriin. (Uusi 13 kohta)

Perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää keskusrikospoliisin epäiltyjen tietojärjestelmästä ilmenevien tietojen perusteella tekemää ilmoitusta, josta ilmenevät ne tiedot, jotka ovat tarpeen tietojen merkityksen arvioimiseksi suojelupoliisissa. Keskusrikospoliisi voi tehdä ilmoituksen, jos:

1) selvityksen kohteella on epäiltyjen tietojärjestelmästä saatavissa olevien tietojen perusteella toistuvia ja pysyväisluonteisia yhteyksiä sellaiseen henkilöön, jonka on tuomioistuimen päätöksen mukaisesti katsottu osallistuneen järjestäytyneen rikollisryhmän toimintaan tai jonka vireillä olevassa esitutkinnassa tai syyteharkinnassa epäillään osallistuneen tällaiseen toimintaan, jos yhteydet ovat omiaan saattamaan selvityksen kohteen alttiiksi ulkopuoliselle epäasialliselle vaikuttamiselle sekä siten vaarantamaan turvallisuusselvityksen perusteena olevan edun suojaamisen; tai

2) keskusrikospoliisi katsoo epäiltyjen tietojärjestelmässä olevien tietojen ja mahdollisten muiden selvitysten perusteella olevan perusteltu syy epäillä selvityksen kohteen syyllistyneen osallistumiseen järjestäytyneen rikollisryhmän toimintaan ja tiedon välittäminen on välttämätöntä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutukselta taikka rikoksen ennalta estämiseksi; tai

3) selvityksen kohteesta on epäiltyjen tietojärjestelmässä useita sellaisia laadultaan ja sisällöltään henkilön luotettavuuden arvioinnin kannalta merkittäviä merkintöjä, joiden muodostaman kokonaisuuden perusteella keskusrikospoliisi katsoo olevan perusteltu syy epäillä, että selvityksen kohde voi vaarantaa selvityksen perusteena olevassa työtehtävässään saamiensa suojaustasoon I tai II kuuluvien asiakirjojen ja niiden tietojen suojan ja siten edistävän järjestäytyneen rikollisryhmän toimia, jos tiedon välittäminen on välttämätöntä valtion keskeisten turvallisuusetujen suojaamiseksi järjestäytyneen rikollisryhmän toimilta tai vaikutuksilta taikka rikoksen ennalta estämiseksi.

26—32 §

(Kuten HE)

5 luku

Yritysturvallisuusselvitys

33—40 §

(Kuten HE)

6 luku

Turvallisuusselvitysmenettelyn päättäminen ja siitä saatujen tietojen käsittely

41—47 §

(Kuten HE)

7 luku

Turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely

48 ja 49 §

(Kuten HE)

50 §

Tietojen luovuttaminen turvallisuusselvitysrekisteristä

(1 mom. kuten HE)

Suojelupoliisi voi salassapitosäännöksistä riippumatta antaa hyväksymällään tavalla teknisen käyttöyhteyden avulla eduskunnan kanslian tai ministeriön nimeämälle virkamiehelle turvallisuusselvityksen hankkimisen arviointia varten turvallisuusselvitysrekisteristä tietoja:

(1—4 kohdat kuten HE)

(3 ja 4 mom. kuten HE)

51 §

Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien yhdistämisen avulla

(1 ja 2 mom. kuten HE)

Suojelupoliisin on hävitettävä yhdistämisen seurauksena syntyneet tiedot heti, kun 52 §:ssä tarkoitetut toimenpiteet on saatettu loppuun, viimeistään kuitenkin vuoden kuluttua rekisterien yhdistämisestä. Yhdistettyjä tietoja saa käyttää tai luovuttaa vain 52 §:ssä säädetyissä tapauksissa taikka sen nojalla tehdyn ratkaisun ja siitä tehtävän muutoksenhakuasian käsittelemiseksi.

(4 mom. kuten HE)

52 §

(Kuten HE)

8 luku

Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaolo

53—55 §

(Kuten HE)

9 luku

Erinäiset säännökset

56—61 §

(Kuten HE)

62 §

Muutoksenhaku

(1 mom. kuten HE)

Toimivaltaisen viranomaisen päätökseen, jolla on kieltäydytty laatimasta turvallisuusselvitystä, taikka suojelupoliisin lain 22 §:ssä (poist.) tarkoitetussa asiassa tekemään päätökseen ei saa hakea valittamalla muutosta. Päätökseen, jolla on kieltäydytty antamasta turvallisuusselvitystodistusta, saa hakea valittamalla muutosta vain, jos turvallisuusselvitystodistus on lain tai sen nojalla annetun säännöksen mukaan edellytyksenä virkaan tai tehtävään valitsemiselle taikka sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus.

(3 ja 4 mom. kuten HE)

10 luku

Voimaantulo- ja siirtymäsäännökset

63 §

(Kuten HE)

64 §

Siirtymäsäännökset

Ennen tämän lain voimaantuloa vireille saatettuun asiaan sovelletaan tämän lain voimaan tullessa voimassa ollutta lakia. Tämän lain 48 §:ssä tarkoitettu turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely on saatettava lainmukaiseen kuntoon kahden vuoden kuluessa lain voimaantulosta.

Turvallisuusselvitysrekisteriin voidaan siirtää tiedot sellaisista kumottavan turvallisuusselvityksistä annetun lain (177/2002) nojalla annetuista turvallisuusselvityksistä ja kansainvälisistä tietotuvallisuusvelvoitteista annetun lain nojalla annetuista todistuksista, jotka on annettu aikaisintaan kolme vuotta ennen tämän lain voimaantuloa.

Ennen kuin turvallisuusselvitysrekisteri on saatettu lainmukaiseen kuntoon, toimivaltaiset viranomaiset voivat salassapitosäännösten estämättä luovuttaa toisilleen myös sähköisesti taikka muutoin käsitellä sellaisia tietoja 2 momentissa tarkoitetuista turvallisuusselvityksistä ja todistuksista, jotka ovat tarpeen tämän lain 10 §:ssä säädetyn velvoitteen toteuttamiseksi. (Uusi 3 mom.)

_______________

4.

Laki

henkilötietojen käsittelystä poliisitoimessa annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 3 §:n 3 momentin 5 kohta, 21 § ja 23 §:n 1 momentin 4 kohta, sellaisina kuin ne ovat, 3 §:n 3 momentin 5 kohta laissa 457/2009, 21 § laissa 402/2010 ja 23 §:n 1 momentin 4 kohta laissa 1181/2013, sekä

muutetaan 5 §:n 4 momentti, 19 §:n 1 momentin 5 kohta ja 25 §, sellaisina kuin niistä ovat 19 §:n 1 momentin 5 kohta ja 25 § laissa 1181/2013, seuraavasti:

5 §

(Kuten HE)

19 §

Tietojen luovuttaminen muille viranomaisille

Poliisi saa luovuttaa henkilörekistereistään (poist.) salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tietoja, jotka ovat tarpeen, seuraavasti:

- - - - - - - - - - - - - - - - - - -

(2 kohta poist.)

- - - - - - - - - - - - - - - - - - -

5) puolustusvoimien pääesikunnalle sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetussa laissa (255/2014) tarkoitettuja turvallisuus- ja valvontatehtäviä ja rikostutkintaa varten sekä turvallisuusselvityslaissa (/20) tarkoitettujen turvallisuusselvitysten tekemistä varten;

- - - - - - - - - - - - - - - - - - -

25 §

(Kuten HE)

_______________

Voimaantulosäännös

(Kuten HE)

_______________

6.

Laki

kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 1 §:n 3 momentti ja 13 §, sellaisina kuin ne ovat, 1 §:n 3 momentti laissa 1534/2011 ja 13 § laissa 885/2010,

muutetaan 4 §:n 3 momentti sekä 11, 12 ja 14 §, sellaisina kuin niistä ovat 4 §:n 3 momentti ja 12 § laissa 885/2010, sekä

lisätään lakiin uusi 20 a § seuraavasti:

4, 11, 12, 14 ja 20 a §

(Kuten HE)

_______________

Voimaantulosäännös

(Kuten HE)

_______________

Valiokunnan lausumaehdotus

Eduskunta edellyttää hallituksen huolehtivan siitä, että hallintovaliokunnalle annetaan viimeistään vuoden 2015 loppuun mennessä kattava selvitys 1) niistä toimenpiteistä, joihin on ryhdytty erityisesti epäiltyjen tietojärjestelmän, mutta myös muiden poliisin henkilörekisterien osalta, sen varmistamiseksi, että tietojärjestelmät ovat virheettömiä ja että henkilötietojen käsitteleminen tapahtuu kaikilta osin lainsäädännön edellyttämällä tavalla ja muutoinkin asianmukaisesti, sekä 2) niistä toimenpiteistä, joihin on ryhdytty kyseisten henkilörekisterien ja henkilötietojen käsittelyn sekä niihin liittyvän koulutuksen, ohjeistuksen ja valvonnan kehittämiseksi.

Helsingissä 10 päivänä kesäkuuta 2014

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Pirkko Mattila /ps
  • vpj. Mika Kari /sd
  • jäs. Heikki Autto /kok
  • Jussi Halla-aho /ps
  • Risto Kalliorinne /vas
  • Elsi Katainen /kesk
  • Antti Lindtman /sd
  • Markus Lohi /kesk
  • Tapani Mäkinen /kok
  • Osmo Soininvaara /vihr (osittain)
  • Ulla-Maj Wideroos /r
  • vjäs. Anne Holmlund /kok
  • Mikael Jungner /sd
  • Antti Rantakangas /kesk

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Ossi Lantto