PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 14/2009 vp

PeVL 14/2009 vp - HE 234/2008 vp

Tarkistettu versio 2.0

Hallituksen esitys laiksi passilain ja eräiden siihen liittyvien lakien muuttamisesta

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 5 päivänä helmikuuta 2009 lähettäessään hallituksen esityksen laiksi passilain ja eräiden siihen liittyvien lakien muuttamisesta (HE 234/2008 vp) valmistelevasti käsiteltäväksi hallintovaliokuntaan samalla määrännyt, että perustuslakivaliokunnan on annettava asiasta lausunto hallintovaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

ylitarkastaja Tiina Nuutinen ja ylitarkastaja, poliisin tietoturvapäällikkö Kari Santalahti, sisäasiainministeriö

lainsäädäntöneuvos Leena Vettenranta, oikeusministeriö

professori Olli Mäenpää

oikeustieteen tohtori Matti Pellonpää

professori Teuvo Pohjolainen

Lisäksi kirjallisen lausunnon ovat antaneet

  • professori Mikael Hidén
  • professori Tuomas Ojanen.

HALLITUKSEN ESITYS

Passilakiin ehdotetaan tehtäväksi ne lainsäädännölliset muutokset, joita sormenjälkien käyttöönotto passeissa edellyttää. Lisäksi ehdotetaan muutettavaksi henkilötietojen käsittelystä poliisitoimessa annettua lakia, ulkomaalaislakia, ulkomaalaisrekisteristä annettua lakia ja löytötavaralakia. Tarkoituksena on säätää muun muassa passin teknisestä osasta, sormenjälkien ottamisesta ja niiden lukemisesta, sormenjälkien rekisteröinnistä sekä sormenjälkitietojen käyttämisestä, luovuttamisesta ja suojaamisesta.

Esityksessä ehdotetaan, että rekisteriin talletettuja passinhaltijan sormenjälkitietoja voidaan käyttää henkilön henkilöllisyyden varmistamiseksi silloin, kun käyttötarve liittyy passinhakijan tunnistamiseen henkilön hakiessa passia tai tilanteessa, jossa viranomaisella on henkilön matkustusoikeuteen, maastalähtöön ja maahantuloon liittyvä oikeus tarkastaa henkilön henkilöllisyys ja esitetyn asiakirjan aitous. Poliisille ehdotetaan lisäksi annettavaksi laajempi oikeus käyttää sormenjälkitietoa henkilöllisyyden selvittämiseksi myös muussa toimenkuvaansa liittyvässä henkilöllisyyden selvittämisessä. Rekisteröityjä sormenjälkitietoja voidaan ehdotuksen mukaan käyttää muun muassa vainajien tai tuntemattomien uhrien tunnistamiseksi tai henkilön henkilöllisyyden selvittämiseksi kuulustelutilanteessa.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan keväällä 2009.

Esityksen säätämisjärjestysperusteluissa arvioidaan sormenjälkien ottamista sekä niiden rekisteröintiä ja viranomaiskäyttöä perustuslain 7 §:ssä turvatun henkilökohtaisen koskemattomuuden ja perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Lakiehdotukset voidaan hallituksen mukaan käsitellä tavallisen lain säätämisjärjestyksessä, mutta esityksestä on sen mielestä kuitenkin toivottavaa hankkia perustuslakivaliokunnan lausunto.

VALIOKUNNAN KANNANOTOT

Perustelut

Arvioinnin lähtökohtia

Hallituksen esityksen keskeisenä tarkoituksena on toteuttaa Euroopan unionin passiasetuksen niin sanottu toinen vaihe eli sormenjälkien käyttöönotto passeissa. Esitykseen sisältyy kuitenkin myös sellaisia perusoikeuksien kannalta merkityksellisiä ehdotuksia, joiden tavoitteena ei ole unioniasetuksen täytäntöönpano ja jotka siten perustuvat puhtaasti kansallisiin tarpeisiin. Tällaisia ovat erityisesti passinhaltijalta passin sirua varten otettavien sormenjälkien tallentaminen passirekisteriin sekä sormenjälkitietojen käyttäminen muuhun kuin tietojen keräämis- ja tallentamistarkoitusta vastaavaan tarkoitukseen.

Sormenjälkitietojen laajamittainen tallentaminen passirekisteriin ja näiden tietojen käyttäminen merkitsee puuttumista yksityiselämän ja henkilötietojen suojaan. Sääntelyä on siten tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. PeVL 11/2008 vp, s. 3/I ja siinä mainitut lausunnot).

Euroopan ihmisoikeussopimuksen 8 artikla sisältää määräyksiä jokaisen oikeudesta nauttia yksityiselämäänsä kohdistuvaa kunnioitusta. Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan artiklan soveltamisalaan (ks. kokoavasti Euroopan ihmisoikeustuomioistuimen tuomio tapauksessa S. and Marper v. the United Kingdom 4.12.2008, tuomion kohta 67). Euroopan neuvostossa vuonna 1981 tehty yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä sisältää yksityiskohtaisempia määräyksiä henkilötietojen rekisteröinnissä ja käsittelyssä noudatettavista periaatteista. Sopimuksessa on korostettu muun muassa tietojen käyttötarkoitussidonnaisuutta (5 artikla) ja tietoturvan merkitystä (7 artikla).

Henkilötietojen suojaa käsitellään myös Euroopan unionin perusoikeuskirjan 8 artiklassa. Sen mukaan henkilötietojen käsittelyn on muun muassa oltava asianmukaista ja tapahduttava tiettyä tarkoitusta varten. Määräys perustuu EY-sopimuksen 286 artiklaan, EU:n tietosuojadirektiiviin sekä Euroopan ihmisoikeussopimuksen 8 artiklaan ja edellä mainittuun vuoden 1981 yleissopimukseen.

Passirekisteri

Henkilöltä passia haettaessa otettavat sormenjäljet talletetaan 1. lakiehdotuksen 6 a §:n perusteella passin teknisen osan lisäksi myös lakiehdotuksen 29 §:ssä tarkoitettuun poliisin pitämään passirekisteriin. Passirekisteri on osa henkilötietojen käsittelystä poliisitoimessa annetun lain 3 §:ssä tarkoitettua hallintoasiain tietojärjestelmää. Myös tähän lakiin ehdotetaan tehtäväksi asiaa koskevat muutokset (2. lakiehdotuksen 3 §).

Passirekisteriin arvioidaan muodostuvan noin kymmenessä vuodessa tietokanta, johon sisältyy lähes kaikkien Suomen aikuisväestöön kuuluvien kaksi sormenjälkeä. Kuten esityksen perusteluissa mainitaan, kysymyksessä on suuri periaatteellinen muutos nykyiseen oikeustilaan verrattuna, sillä perinteisesti sormenjälkien ottaminen ja erityisesti niiden rekisteröinti on liittynyt rikoksesta epäiltyihin henkilöihin. Sormenjälki on biometrisenä tunnisteena pysyvä, muuttumaton ja peruuttamaton osa yksilöä. Sormenjäljet sisältävät yksilöstä sellaista informaatiota, joka mahdollistaa hänen tarkan tunnistamisensa hyvin erilaisissa yhteyksissä (ks. S. and Marper v. the United Kingdom 4.12.2008, tuomion kohta 84). Tällaiset biometriset tunnistetiedot ovat monin tavoin rinnastettavissa henkilötietolaissa määriteltyihin arkaluonteisiin tietoihin.

Ehdotetun kaltaiseen biometrisiä tunnisteita sisältävään poikkeuksellisen laajaan tietokantaan saattaa liittyä tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille. Jo sormenjälkitietojen tallentaminen tällaiseen rekisteriin voi antaa aihetta huoleen yksityiselämän suojan kannalta (ks. myös S. and Marper v. the United Kingdom, tuomion kohta 85). Rekisterin perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden vaatimusten, kannalta. Valiokunnan mielestä ehdotetun rekisterin perustamista puoltavina seikkoina voidaan henkilötietojen suojan perusperiaatteisiin kuuluvan käyttötarkoitussidonnaisuusperiaatteen vuoksi ottaa huomioon ainoastaan passilaissa määriteltyihin käyttötarkoituksiin läheisesti liittyviä perusteita, ei sen sijaan esimerkiksi poliisin muun toiminnan yhteydessä tapahtuvan tunnistamisen nopeutumista tai tehostumista.

Passimenettelyyn liittyviä rekisteröinnin tavoitteita on hallituksen esityksessä perusteltu laajasti. Tällaisia näkökohtia ovat muun muassa passinhaltijan matkustusoikeuden osoittamiseen ja passin myöntämiseen liittyvä tunnistamisen luotettavuuden parantaminen sekä kaksoishenkilöllisyyden ja identiteettivarkauksien eliminoiminen. Näiden tavoitteiden toteuttamisella pyritään osaltaan myös suojaamaan henkilökohtaista turvallisuutta ja estämään yksityiselämän suojaa loukkaavaa henkilöllisyyden väärinkäyttöä. Sormenjälkirekisterin perustamiselle on siten passin myöntämismenettelyyn ja passin käyttöön matkustusasiakirjana liittyviä perusoikeusjärjestelmän kannalta sinänsä hyväksyttäviä syitä.

Sääntelyn oikeasuhtaisuuden kannalta olennaista on arvioida, onko sormenjälkien rekisteröinti sillä tavoin välttämätöntä, että passimenettelyyn liittyvä tavoite ei ole saavutettavissa yksityiselämän suojaan vähemmän puuttuvin keinoin. Lisäksi on arvioitava, merkitseekö rekisteröinti pidemmälle menevää rajoitusta kuin on perusteltua ottaen huomioon rekisteröinnin taustalla olevien passimenettelyyn liittyvien intressien painavuus suhteessa rajoitettavaan perusoikeuteen (ks. PeVM 25/1994 vp, s. 5). Henkilötietojen suojan perusperiaatteisiin puolestaan kuuluu se, että tietojen säilyttäminen on oikeassa suhteessa niiden keräämisen tarkoitukseen (ks. esim. S. and Marper v. the United Kingdom, tuomion kohta 107).

Hallituksen esityksen perusteluissa on useassa kohdin (ks. esim. HE 234/2008 vp, s. 63/II) tuotu esiin niitä uhkia, joita sormenjälkien tallentaminen ehdotetun kaltaiseen keskusrekisteriin saattaisi muodostaa. Tällaisia ovat erityisesti tietojen luonteeseen (pysyvyys, muuttumattomuus ja peruuttamattomuus) ja sähköisen tunnisteen kopioitavuuteen ja levittämiseen liittyvät seikat. Sormenjälkitietojen joutuminen vääriin käsiin saattaisi aiheuttaa erittäin merkittävää haittaa sekä yksittäisille henkilöille että rekisterin luotettavuudelle. Riskin suuruutta korostaa se, että rekisterissä olisivat ajan oloon lähes koko aikuisväestön sormenjälkitiedot.

Henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturvasta huolehtimisesta on sinänsä asianmukaiset säännökset 2. lakiehdotuksen 10 a §:ssä. Sormenjälkirekisterin kaltaisen biometrisiä tunnisteita sisältävän rekisterin osalta on kuitenkin tärkeää, että korkeatasoiset väärinkäytön estävät tietoturvajärjestelyt ovat todellisuudessa valmiina heti rekisteröinnin alkaessa. Saamansa selvityksen perusteella valiokunta katsoo, että riittäviä takeita tietoturvajärjestelyjen turvallisuudesta ei ainakaan tällä hetkellä ole olemassa.

Valiokunnan mielestä sormenjälkien tallettaminen passirekisteriin ei näyttäisi olevan hallituksen esityksessä esitettyjen rekisterin perustamista puoltavien perusteiden kannalta täysin välttämätöntä ja oikeasuhtaista, etenkin kun otetaan huomioon rekisterin olemassaoloon ja käyttöön liittyvät huomattavat riskit. Valiokunta kiinnittää huomiota myös siihen, että useissa EU:n jäsenvaltioissa — muun muassa Ruotsissa ja Tanskassa — sormenjälkirekisteriä ei aiota perustaa. Euroopan ihmisoikeustuomioistuin on lisäksi huomauttanut vastaavan kaltaisen oikeasuhtaisuusarvioinnin yhteydessä, että jokainen valtio, joka ottaa edelläkävijän roolin uusien teknologioiden kehittämisessä, kantaa erityisen vastuun oikean tasapainon saavuttamisessa (S. and Marper v. the United Kingdom, tuomion kohta 112). Hallintovaliokunnan onkin henkilötietojen ja yksityiselämän suojaan liittyvistä syistä tarpeen vakavasti harkita sormenjälkitietojen rekisteröimistä koskevan sääntelyn poistamista lakiehdotuksesta ainakin siinä tapauksessa, jos tietoturvajärjestelyjä ei ole rekisterin käyttöönottohetkeen mennessä saatettu vaadittavalle korkealle tasolle. Lähes koko Suomen aikuisväestön kattavaa sormenjälkirekisteriä ja siihen liittyviä korostettuja tietoturvavaatimuksia voidaan valiokunnan mielestä tarvittaessa jatkossa paremmin arvioida laajempana kysymyksenä esimerkiksi biometrisiä tunnisteita ja niiden käyttöä koskevan yleisen henkilötietojen suojaa koskevan lainsäädännön valmistelun yhteydessä (ks. HE 234/2008 vp, s. 64/I).

Passin sormenjälkitietojen käyttäminen muuhun kuin tietojen keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen

Passirekisterin tietojen käytöstä on 1. lakiehdotuksen 29 §:n 2 momentin mukaan voimassa, mitä henkilötietojen käsittelystä poliisitoimessa annetun lain 15, 16 ja 16 a §:ssä säädetään. Mainitun lain (2. lakiehdotus) 16 a §:n nojalla poliisi saa käyttää passin sormenjälkitietoja muuhun kuin niiden keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen vain, jos tiedot ovat tarpeen henkilöllisyyden selvittämiseksi suoritettaessa sellaista poliisin yksittäistä tehtävää, joka välttämättä edellyttää henkilöllisyyden varmistamista.

Esityksen perustelujen mukaan käyttötarkoitussidonnaisuudesta voidaan poiketa muun muassa silloin, kun kyse on esitutkintaan tai muuhun poliisitutkintaan lain nojalla liittyvästä henkilön tunnistamisesta. Käytännössä ehdotettu sääntely näyttäisi merkitsevän, että passirekisteriin tallennetut sormenjälkitiedot olisivat yleisesti käytettävissä poliisin operatiivisissa tehtävissä, mikäli henkilön tunnistaminen on niissä välttämätöntä. Käytön rajaaminen poliisin yksittäisiin tehtäviin ei juurikaan rajoita tietojen käyttöä, koska poliisin käytännön toiminta koostuu lähinnä yksittäisistä tehtävistä. Välttämättömyysvaatimus ei asianmukaisuudestaan huolimatta lievennä sääntelyyn sisältyvää väljyyttä.

Tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on perustuslakivaliokunnan mielestä kyseessä olevan kaltaisten laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi. Ehdotettu sääntely ei ole asianmukaista etenkään käyttötarkoituksen määrittelyltä edellytettävän täsmällisyys- ja tarkkarajaisuusvaatimuksen kannalta. Tämän vuoksi 2. lakiehdotuksen 16 a § on poistettava tai sitä on ainakin olennaisesti täsmennettävä, jotta lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Lausunto

Lausuntonaan perustuslakivaliokunta esittää,

että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 2. lakiehdotus kuitenkin vain, jos valiokunnan sen 16 a §:stä tekemä valtiosääntöoikeudellinen huomautus otetaan asianmukaisesti huomioon.

Helsingissä 28 päivänä toukokuuta 2009

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Kimmo Sasi /kok
  • vpj. Jacob Söderman /sd
  • jäs. Tuomo Hänninen /kesk
  • Heli Järvinen /vihr
  • Ulla Karvo /kok
  • Elsi Katainen /kesk
  • Esko Kiviranta /kesk
  • Kari Kärkkäinen /kd
  • Tuula Peltonen /sd
  • Veijo Puhjo /vas
  • Tapani Tölli /kesk
  • Tuulikki Ukkola /kok
  • Ilkka Viljanen /kok
  • Antti Vuolanne /sd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Petri Helander