1.1
Laki henkilötietojen käsittelystä maahanmuuttohallinnossa
1§. Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus. Lakia sovellettaisiin, jollei muualla laissa toisin säädetä, henkilötietojen kokonaan tai osittain automatisoituun käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa ja henkilötietoja käsitellään seuraavissa tarkoituksissa: 1) ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta; 2) Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittely ja päätöksenteko; 3) kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotto, ihmiskaupan uhrien auttaminen sekä ilman huoltajaa olevan lapsen edustajatoiminta osana vastaanottotoimintaa sekä näiden ohjaus, suunnittelu ja valvonta; 4) ulkomaalaisen sijoittaminen säilöönottoyksikköön, ulkomaalaisen kohtelu säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitäminen; 5) kuntaan osoittaminen; sekä 6) kansallisen turvallisuuden suojaaminen.
Lakiehdotuksen soveltamisala olisi sidottu henkilötietojen käsittelytarkoitukseen: lakia sovellettaisiin silloin, kun henkilötietoja käsitellään pykälässä säädetyissä tarkoituksissa. Lain soveltamisala ei olisi sidottu mihinkään rekisteriin tai tietojärjestelmään. Vaikka lain soveltamisala ei olisi sidottu henkilötietojen tekniseen käsittelyalustaan, omaksuttu lähtökohta ei tarkoita sitä, että tietojärjestelmiä ei voisi ja tulisi hyödyntää tietovarantojen hallinnoimiseen esimerkiksi niin, että tietyn lain perusteella käsiteltävät henkilötiedot tallennetaan tiettyyn tietojärjestelmään.
Lakia sovellettaisiin, jollei muualla laissa toisin säädetä. Maahanmuuttohallinnon erityispiirteenä ovat lukuisat eri viranomaiset, joista osa toimii niin sanotun maahanmuuttoviranomaisen roolin lisäksi myös muussa roolissa. Osa näistä viranomaisista soveltaisi myös muuta henkilötietolakia silloin, kun ne eivät toimi maahanmuuttolainsäädännön nojalla vaan ydintehtäviensä toteuttamiseksi. Tällöin esimerkiksi poliisi soveltaisi lakia henkilötietojen käsittelystä poliisitoimessa, Rajavartiolaitos lakia henkilötietojen käsittelystä Rajavartiolaitoksessa ja TE-toimisto julkisesta työvoima- ja yrityspalvelusta annetun lain 13 lukua. Henkilötietojen käsittelyn sääntely on pyritty jakamaan tarkoituksenmukaisesti eri henkilötietolakien soveltamisalojen välillä.
Toimivalta henkilötietojen käsittelylle perustuu useisiin eri lakeihin. Näitä ovat ulkomaalaislaki, kansalaisuuslaki, kausityölaki, ICT-laki, tutkija- ja opiskelijalaki, vastaanottolaki, säilölaki ja kotoutumislaki. Lakeihin viittaamisen sijaan lain soveltamisala määritettäisiin säätämällä niistä tarkoituksista, joissa henkilötietoja on käsiteltävä toimivaltaa luovissa laeissa säädettyjen tehtävien toteuttamiseksi. Henkilötietojen käsittelytarkoitukset perustuisivat toimivaltaa luovien lakien luomiin henkilötietojen käsittelytarpeisiin. Sääntelytekniikka on perusteltu, koska lukuisiin lakeihin ja niiden yksittäisiin pykäliin viittaaminen tekisi sääntelystä tarpeettoman raskaan, yksityiskohtaisen ja vaikeasti tulkittavan. Sääntelytekniikka myös mahdollistaa tulevaisuudessa mahdollisesti säädettäviin uusiin erillislakeihin ja EU-sääntelyyn perustuvan henkilötietojen käsittelyn nyt ehdotettavan henkilötietolain nojalla, jos henkilötietoja käsitellään tarkoituksissa, jotka kuuluvat ehdotettavan henkilölain soveltamisalan piiriin. Pykälän 1 momentin 1 kohdassa säädettävällä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyllä sekä niitä koskevalla päätöksenteolla ja valvonnalla tarkoitettaisiin ulkomaalaislain, kausityölain, ICT-lain ja opiskelijalain perusteella tarpeellista henkilötietojen käsittelyä esimerkiksi oleskelulupaprosessissa tai turvapaikkamenettelyssä prosessin koko ajallinen kaari huomioiden. Soveltamisalaan katsottaisiin kuuluviksi myös sellaiset erityistilanteet, joissa ei selkeästi ole kyse maahantulosta, maastalähdöstä tai oleskelusta, kuten pakolaisaseman lakkauttaminen ulkomailla olevalta tai Suomessa pysyvällä luvalla olevalta henkilöltä. Alakohdassa ei voimassaolevan ulkomaalaisrekisterilain 2 §:stä poiketen mainittaisi erikseen työntekoa, koska se katsotaan osaksi maassa oleskelua samoin kuin esimerkiksi opiskelu. Tämä muutos olisi tekninen eikä nykytilaa olisi tältä osin tarkoitus muuttaa.
Pykälän 1 momentin 2 kohdassa säädettävällä Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyllä ja päätöksenteolla tarkoitettaisiin kansalaisuuslaissa säädettyjen tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.
Pykälän 1 momentin 3 kohdassa säädetyllä kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotolla, ihmiskaupan uhrien tunnistamisella ja auttamisella sekä ilman huoltajaa olevan lapsen edustajatoiminnalla osana vastaanottotoimintaa sekä näiden ohjauksella, suunnittelulla ja valvonnalla tarkoitettaisiin vastaanottolaissa säädettyjen huolenpidon, toimeentulon ja asianmukaisen suojan ja palveluiden turvaamisen sekä edustajan määräämisen ja edustajan tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.
Pykälän 1 momentin 4 kohdassa säädetyllä ulkomaalaisen sijoittamisella säilöönottoyksikköön, ulkomaalaisen kohtelulla säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisellä tarkoitettaisiin säilölaissa säädettyjen toimenpiteiden toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä. Näitä toimenpiteitä ovat säilöönotetun ulkomaalaisen oikeudenmukainen ja ihmisarvoa kunnioittava kohtelu, oikeuksien rajoittaminen, oikeus ottaa vastaan vieraita ja pitää yhteyttä sekä esimerkiksi puhelimen ja muiden sähköisten viestintä- ja tallennelaitteiden käytön toteuttaminen.
Pykälän 1 momentin 5 kohdassa säädettävällä kuntaan osoittamisella tarkoitettaisiin kotoutumislaissa tarkoitettua kuntaan osoittamista eli kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamiseksi tarpeellista henkilötietojen käsittelyä. Henkilötietojen käsittelyn tavoite kuntaan osoittamisen tarkoituksessa on varmistaa kotoutumislain mukaiset vastaanottoon ja kotoutumisen edistämiseen liittyvät viranomaisten velvoitteet, kuten rekisteröidyn ohjaaminen oikeaan kuntaan.
Pykälän 1 momentin 6 kohdassa säädetyllä kansallisen turvallisuuden suojaamisella tarkoitettaisiin paitsi suojelupoliisin velvoitetta suojata valtakunnallista turvallisuutta myös yleisempää viranomaisten velvoitetta varmistaa kansallisen turvallisuuden toteutuminen osana lakisääteisiä tehtäviään. Sisältö vastaisi voimassaolevan ulkomaalaisrekisterilain 2 §:n 2 momentissa säädettyä valtion turvallisuuden suojaamista mutta sanamuoto muutettaisiin vastaamaan tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa käytettyä käsitettä kansallinen turvallisuus. Voimassaolevaan ulkomaalaisrekisterilakiin nähden ehdotettavan lain soveltamisala laajentuisi kattamaan henkilötietojen käsittelyn myös vastaanotto-, säilö- ja kotoutumislakien nojalla. Tämän johdosta laajenisivat myös ne tarkoitukset, joissa kerättyjä henkilötietoja voidaan käsitellä kansallisen turvallisuuden suojaamisen tarkoituksessa.
Käyttötarkoitussidonnaisuus huomioiden henkilötietoja käsittelyä alkuperäiseen tarkoitukseen on käsittely pykälän kunkin alakohdan sisällä. Käsittely toisen alakohdan mukaiseen tarkoitukseen ei käytännössä voi olla käsittelyä alkuperäiseen käsittelytarkoitukseen.
Voimassaolevasta ulkomaalaisrekisterilaista poiketen turvallisuusselvityksen tekeminen ei enää kuuluisi ehdotettavan lain soveltamisalaan, koska turvallisuusselvityksen tekeminen ei olisi henkilötietojen alkuperäinen käsittelytarkoitus. Koska henkilötietoja on jatkossakin tarpeen käyttää turvallisuusselvityksen tekemiseksi nykytilaa vastaavasti, ehdotettavan lain perusteella kerättävien henkilötietojen käyttäminen turvallisuusselvityksen tekemiseksi perustuisi jatkossa henkilötietojen luovuttamiseen suojelupoliisille.
Tietosuojalain mukaan tietosuoja-asetus tulee sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetuksen soveltamisalan laajentaminen ei koske tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty. Esityksessä ei ehdoteta säädettäväksi asiasta toisin. Näin ollen tietosuoja-asetus soveltuisi lain soveltamisalan piirissä tapahtuvaan henkilötietojen käsittelyyn myös silloin, kun kyse on asiasta, joka ei kuulu unionin lainsäädännön soveltamisalaan. Tällaisia ovat esimerkiksi kansalaisuusasiat.
Pykälän toisen momentin mukaan lakia sovellettaisiin henkilötietojen käsittelyn lisäksi oikeushenkilöitä koskevien tietojen käsittelemiseen ja tietojen saamiseen, sillä maahanmuuttohallinnon toimivaltaa luovaan lainsäädäntöön sisältyy lakisääteisiä tehtäviä, joissa esimerkiksi luonnollisen henkilön asian käsitteleminen edellyttää myös oikeushenkilön tietojen saamista ja käsittelemistä.
Lakia ei sovellettaisi Suomessa oleviin diplomaattisiin edustajiin. Pykälän 3 momentissa tarkoitettu immuniteetti ja koskemattomuusasema on määritelty diplomaattisia suhteita koskevassa Wienin yleissopimuksessa (SopS 4/1970) ja konsulisuhteita koskevassa Wienin yleissopimuksessa (SopS 50/1980) sekä kansainvälisten järjestöjen perustamis- ja päämajasopimuksissa. Lakia ei sovellettaisi myöskään kansainvälisten järjestöjen virkamiehiin, joiden asemasta määrätään Suomea sitovissa kansainvälisissä sopimuksissa. Momentin sanamuotoa on täsmennetty suhteessa voimassaolevan ulkomaalaisrekisterilain 1 §:n 2 momenttiin vastaamaan kansainvälisissä sopimuksissa käytettyä muotoilua. Tosiasiallista nykytilaa ei tältä osin ole tarkoitus muuttaa.
2§. Suhde muuhun lainsäädäntöön. Pykälässä säädettäisiin siitä, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin lakiehdotuksen tarkoittamaan henkilötietojen käsittelyyn, jollei tässä laissa toisin säädetä.
Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa sekä sitä täydentävässä kansallisessa tietosuojalaissa.
Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Rikosasioiden tietosuojalain soveltamisalaan kuuluvia käsittelytarkoituksia liittyy 1 §:n 1 momentin 6 kohdan mukaiseen kansallisen turvallisuuden suojaamiseen. Sekä Poliisihallituksen alaiset poliisiyksiköt, suojelupoliisi että Rajavartiolaitos suorittavat ehdotettavan lain soveltamisalalla henkilötietojen käsittelyä, johon sovelletaan yleislakina rikosasioiden tietosuojalakia.
Maahanmuuttohallinnossa sovellettavaksi tulevat myös poliisin henkilötietolaki sekä Rajavartiolaitoksen henkilötietolaki. Ehdotetun lain soveltamisalan suhde edellä mainittuihin henkilötietojen käsittelyä koskeviin erityislakeihin olisi nykytilaa vastaavasti osittain päällekkäinen. Henkilötietojen käsittelystä säädetään osittain näissä toisissa henkilötietolaeissa esimerkiksi kansallisen turvallisuuden suojaamisen, ulkomaalaisvalvonnan sekä maasta poistamisen osalta. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa.
Jollei ehdotettavassa laissa toisin säädetä, oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovellettaisiin mitä viranomaisen toiminnan julkisuudesta säädetään eli julkisuuslakia. Sen lisäksi, mitä laissa säädetään, noudatettaisiin Suomea sitovia kansainvälisiä velvoitteita.
3§. Yhteisrekisterinpitäjät. Rekisterinpitäjinä toimisivat ne viranomaiset, jotka ehdotettavan lain soveltamisalaan kuuluvissa käsittelytarkoituksissa käsittelevät henkilötietoja niille toimivaltaa luovassa lainsäädännössä säädettyjen tehtävien toteuttamiseksi omiin itsenäisiin tarkoituksiinsa. Nämä viranomaiset käyttävät näiden lakisääteisten tehtäviensä hoitamisessa harkinta- ja päätösvaltaa. Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Nämä rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan tarkoittamia yhteisrekisterinpitäjiä. Yksittäisestä yhteisrekisterinpitäjästä käytetään esityksessä muotoilua rekisterinpitäjä.
Kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuisi kyseisen viranomaisen toimivaltaa koskeviin säännöksiin. Koska tarkoitukset, joissa rekisterinpitäjät käsittelevät henkilötietoja perustuisivat rekisterinpitäjien lakisääteisiin tehtäviin, kunkin rekisterinpitäjän aineellisoikeudellinen vastuualue olisi laissa säädetty ja siten yksityiskohtaisesti ja tarkkarajaisesti määritetty.
Rekisterinpitäjien keskinäiset vastuut ja velvollisuudet rajautuisivat kolmen eri edellytyksen nojalla: 1) Tunnistamalla toimivaltaa luovasta lainsäädännöstä seuraavat tehtävät, joita toteuttaessaan kyseinen viranomainen käsittelee henkilötietoja rekisterinpitäjänä. Yhteisrekisterinpitäjien aineellisoikeudellinen työnjako kullekin rekisterinpitäjälle kuuluvien lakisääteisten tehtävien osalta perustuisi toimivaltaa luovaan lainsäädäntöön. Rekisterinpitäjien keskinäiset aineellisoikeudelliset vastuut on siten määritelty selkeästi ja tarkkarajaisesti lain tasolla; 2) Keskittämällä tietyt rekisterinpitäjälle kuuluvat vastuut tietojärjestelmien ylläpitäjille eli Maahanmuuttovirastolle sekä ulkoasiainhallinnolle. Koska ei olisi tarkoituksenmukaista, että jokainen rekisterinpitäjä vastaisi tietojärjestelmän ylläpidosta ja kehittämisestä, tämä vastuu olisi tarkoituksenmukaista ja välttämätöntä keskittää voimassaolevaa nykytilaa vastaavasti. Samat viranomaiset toimisivat myös rekisteröityjen yhteyspisteinä. Rekisteröity voisi kuitenkin tietosuoja-asetuksen mukaisesti käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. Lisäksi tietojärjestelmän ylläpitäjille keskitettäisiin tietyt tietojärjestelmään sidotut henkilötietojen käsittelytavat, kuten henkilötietojen muu kuin yksittäistapauksellinen poistaminen ja luovuttaminen; 3) Keskittämällä tietyt vastuut vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Vastuu tiedon oikeellisuudesta, tiedon korjaamisesta päättämisestä, yksittäisen tiedon luovuttamisesta sekä rekisteröidyn oikeuksien toteuttamisesta kuuluisi tiedon sisältöön vaikuttaneelle, käytännössä tiedon tallentaneelle, viranomaiselle. Kukin yhteisrekisterinpitäjä vastaisi kuitenkin aina henkilötietojen kaiken käsittelyn lainmukaisuudesta omassa toiminnassaan. Sääntely muuttaisi voimassaolevaa oikeustilaa niin, että ulkomaalaisrekisterilaissa rekisteriä pitäviksi ja käyttäviksi viranomaisiksi säädetyt tahot eivät kaikki jatkossa toimisi rekisterinpitäjinä. Jatkossa osa nykyisistä rekisteriä pitävistä ja käyttävistä tahoista käsittelisi henkilötietoja tiedonluovutussäännösten nojalla.
Maahanmuuttovirasto toimisi rekisterinpitäjänä silloin, kun se käsittelee ja ratkaisee asioita, jotka lailla tai sen nojalla on säädetty sen tehtäviksi. Tällaisia ovat maahantuloon, maassa oleskeluun, pakolaisuuteen sekä Suomen kansalaisuuteen liittyvien asioiden käsitteleminen ja ratkaiseminen. Lisäksi maahanmuuttovirasto vastaa kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanoton käytännön toiminnan ohjauksesta, suunnittelusta ja valvonnasta, säilöönottoyksiköiden käytännön toiminnan ohjauksesta ja valvonnasta, valtion vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden ylläpidosta, ihmiskaupan uhrien auttamisen toimeenpanon ohjauksesta sekä ilman huoltajaa olevien lasten edustajatoiminnan ohjauksesta, suunnittelusta ja seurannasta. Lisäksi Maahanmuuttovirasto hallinnoi muukalaispassi- ja pakolaisen matkustusasiakirjatietoja eli käytännössä myöntää, peruuttaa ja rauettaa niitä sekä mitätöi ja kumoaa viisumeita (esimerkiksi rikosperusteinen käännyttäminen).
Poliisihallitus toimisi rekisterinpitäjänä silloin, kun Poliisihallituksen alaiset poliisiyksiköt toimivaltansa puitteissa ottavat vastaan ja rekisteröivät kansainvälistä suojelua koskevia hakemuksia, osallistuvat turvapaikkapuhutteluun, antavat tiedoksi kielteisiä turvapaikkapäätöksiä, tekevät, antavat tiedoksi ja täytäntöönpanevat maastapoistamispäätöksiä sekä tekevät esityksiä Maahanmuuttovirastolle henkilön maasta poistamiseksi, määräävät maahantulokieltoja, tekevät ulkomaalaisvalvontaa, suojaavat kansallista turvallisuutta sekä lausuvat kansalaisuushakemuksista. Lisäksi Poliisihallitus toimisi rekisterinpitäjänä poliisin jatkaessa, mitätöidessä tai kumotessa viisumeita sekä kun poliisi päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla. Suojelupoliisi toimisi rekisterinpitäjänä silloin, kun se suojaa kansallista turvallisuutta.
Rajavartiolaitos toimisi rekisterinpitäjänä silloin, kun se rekisteröi turvapaikkahakemuksia, tekee pääsyn epäämis- tai käännyttämispäätöksiä, tekee tai täytäntöönpanee maastapoistamispäätöksiä sisältäen maahantulokiellot tai suorittaa ulkomaalaisvalvontaa. Rajavartiolaitos toimisi rekisterinpitäjänä myös myöntäessään viisumeita sekä niitä mitätöidessään tai kumotessaan sekä kun rajatarkastusviranomainen päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla.
Maahanmuuttovirasto, poliisi ja Rajavartiolaitos valvovat ulkomaalaislain ja sen nojalla annettujen säännösten noudattamista.
Vastaanotto- ja järjestelykeskukset vastaisivat rekisterinpitäjinä asiakkaaksi rekisteröidyn kansainvälistä suojelua hakevan tai tilapäistä suojelua saavan vastaanottopalveluiden sekä ihmiskaupan uhreille tarkoitettujen auttamistoimien suunnittelusta, järjestämisestä, toteuttamisesta ja seurannasta. Vastaanottopalveluihin kuuluvat muun muassa majoitus, vastaanotto- ja käyttöraha, sosiaalipalvelut, terveydenhuoltopalvelut, tulkki- ja käännöspalvelut sekä työ- ja opintotoiminta. Vastaanottokeskuksille kuuluisi rekisterinpitäjän vastuu myös ilman huoltajaa olevan lapsen edustajatoiminnan käytännön hallinnoinnista sekä hakemuksen tekemisestä edustajan määräämiseksi ilman huoltajaa olevalle lapselle. Joutsenon vastaanottokeskus ylläpitää ihmiskaupan uhreille tarkoitettua auttamisjärjestelmää.
Järjestelykeskus toimisi rekisterinpitäjänä, kun se vastaa maahantulijoiden rekisteröinnistä tilanteessa, jossa maahantulijoiden määrä on poikkeuksellisesti niin suuri, ettei maahantulon edellytysten selvittäminen ja maahantulijoiden rekisteröinti tavallisessa menettelyssä ole mahdollista.
Säilöönottoyksiköt toimisivat rekisterinpitäjinä, kun ne käsittelevät henkilötietoja kyseisessä säilöönottoyksikössä olevien henkilöiden säilöönoton järjestämiseen, suunnitteluun, toteuttamiseen ja seurantaan liittyen sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämiseksi.
Ulkoasiainhallintolain (204/2000) 2 §:n 1 momentin mukaan ulkoasiainhallinnon muodostavat ulkoasiainministeriö ja ulkomaanedustukseen kuuluvat edustustot. Ulkoasiainhallinto toimisi rekisterinpitäjänä viisumeihin liittyvän henkilötietojen käsittelyn osalta. Viisumit myönnetään kansallisessa viisumitietojärjestelmässä. Vaikka rekisterinpitäjyys ei olisi sidottu tietojärjestelmään, niin käytännössä ulkoasiainhallinto toimisi rekisterinpitäjänä kansallisessa viisumitietojärjestelmässä. Edustustojen ohella myös muut viranomaistahot kuten poliisi, Rajavartiolaitos ja Tulli myöntävät viisumeita kyseisessä järjestelmässä. Ulkoasiainhallinto toimisi rekisterinpitäjänä myös silloin, kun se käsittelee henkilötietoja vireyttäessään ulkomailla Suomen edustustolle jätettyjä ensimmäistä oleskelulupaa koskevia hakemuksia, kun edustustot keräävät biometrisia tunnisteita henkilöllisyyden varmistamiseksi, kun edustustot antavat päätöksiä tiedoksi ulkomailla ja myöntävät niin sanottuja protokollalupia tai laissez-passer -lupia. Lisäksi ulkoasiainhallinto toimisi rekisterinpitäjänä, kun edustustot päättävät Maahanmuuttovirastoa kuultuaan muukalaispassin myöntämisestä ulkomailla olevalle ulkomaalaiselle tai tekevät Emergency Travel Document (ETD) -päätöksiä.
Elinkeino-, liikenne- ja ympäristökeskukset toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja osoittaessaan henkilön kuntaan ja tehdessään osapäätöksen yrittäjän oleskelulupahakemukseen.
Työ- ja elinkeinotoimistot toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja tehdessään osapäätöksen työntekijän oleskelulupahakemukseen ja päättäessään ulkomaalaislain 187 §:ssä säädetystä työntekijän oleskeluluvan myöntämisestä pidättäytymisestä.
Tietosuoja-asetuksen 5 artiklan periaatteiden sekä 25 artiklan sisäänrakennetun ja oletusarvoisen tietosuojan mukaisesti kukin yhteisrekisterinpitäjä vastaisi henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan.
Erikseen säädettäisiin Maahanmuuttoviraston vastuusta ulkomaalaisasioiden asiankäsittelyjärjestelmässä sekä ulkoasiainhallinnon vastuusta kansallisessa viisumitietojärjestelmässä. Koska ei olisi tarkoituksenmukaista, että jokainen yhteisrekisterinpitäjä vastaisi tietojen käsittelyn hallinnoinnista, tietojärjestelmien ylläpitäjille keskitettäisiin nykytilaa vastaavasti tietojärjestelmien ylläpito- ja kehittämisvastuu. Lisäksi tietojärjestelmien ylläpitäjille keskitettäisiin tietyt tietojärjestelmiin sidotut henkilötietojen käsittelytavat. Tietojärjestelmien ylläpitäjille keskitetyistä vastuista säädettäisiin erikseen tämän lain 4 ja 5 §:ssä. Lain 6 §:ssä säädettäisiin erikseen myös järjestelmän ylläpitäjän roolista rekisteröidyn yhteyspisteenä.
On perusteltua, että tietyt rekisterinpitäjän vastuut kohdentuvat vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Tallentaminen on vain yksi tietosuoja-asetuksen 4 artiklan mukaisista tiedonkäsittelytavoista, mutta henkilötiedon tallentaminen edellyttää ensin muita henkilötiedon käsittelytoimenpiteitä, kuten muokkaamista, muuttamista tai poistamista. Valmistelussa on tunnistettu, että lähes kaikki tietosuoja-asetuksen 4 artiklan mukaiset tiedonkäsittelytavat edellyttävät tiedon tallentamista. Poikkeuksen muodostavat henkilötiedon kysely tai haku, joihin rinnastuu myös artiklassa mainitsematon henkilötiedon katselu. Kukin yhteisrekisterinpitäjä vastaisi tallentamistaan henkilötiedoista. Kukin yhteisrekisterinpitäjä vastaisi esimerkiksi tallentamiensa henkilötietojen virheettömyydestä ja siten myös tietojen viranomaisaloitteisesta korjaamisesta päättämisestä. Lisäksi kukin yhteisrekisterinpitäjä vastaisi tallentamiensa tietojen osalta rekisteröidyn oikeuksien toteuttamisesta. Vastuu yksittäisen tiedon luovuttamisesta ja poistamisesta kuuluisi toimivaltansa perusteella henkilötiedon käsittelyyn oikeutetulle rekisterinpitäjälle. Tiettyjen toimintojen tekninen toteutus on kuitenkin keskitetty järjestelmän ylläpitäjälle. Tällaisia teknisiä toimenpiteitä ovat henkilötiedon poistaminen, korjaaminen tai rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen.
Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Vastaanottolain 10 §:n nojalla Maahanmuuttovirasto sopii kunnan, kuntayhtymän, muun julkisoikeudellisen yhteisön taikka yksityisen yhteisön tai säätiön kanssa vastaanotto- tai järjestelykeskuksen perustamisesta, lakkauttamisesta ja toimipaikasta. Rekisterinpitäjänä toimisi tällöin muu kuin viranomainen, esimerkiksi yksityinen vastaanottokeskus sen toteuttaessa perustuslain 124 §:n nojalla laissa säädettyjä tehtäviään. Käytännössä vastaanottokeskuksia on valtion ja kuntien lisäksi ylläpitänyt lähinnä Suomen Punainen Risti, jolla on pitkä kokemus vastaanottotoiminnan järjestämisestä Suomessa. Selkeyden vuoksi esityksessä käytetään termiä viranomainen myös silloin, kun viranomaistehtäviä toteuttaa muu taho kuin viranomainen. Tilanteet ovat harvinaisia.
Ulkomaalaisrekisterilain 3 §:n 3 momentista poiketen rekisterinpitäjiä eivät jatkossa enää olisi Tulli, vankeinhoitoviranomaiset, yhdenvertaisuusvaltuutettu, korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Näiden viranomaisten tiedonsaantioikeus perustuisi jatkossa viranomaisten omiin tiedonsaantioikeuksiin yhdessä tämän lain 13 §:ssä säädettävään tiedon luovuttamista koskevaan sääntelyyn.
Erikseen säädettäisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän ja kansallisen viisumitietojärjestelmän ylläpitovastuusta.
Maahanmuuttohallintoon yleislakina sovellettavan julkisuuslain sääntely salassapidosta ja tietojen luovutuksesta salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Vaikka viranomaiset toimivat yhteisrekisterinpitäjinä, ne ovat viranomaisten erillisyysperiaatteen mukaisesti toisiinsa nähden itsenäisiä. Tiedon liikkumisesta rekisterinpitäjien välillä säädettäisiin erikseen. Kuten unionin tuomioistuimen oikeuskäytännössä on todettu, se että ehdotettavan maahanmuuttohallinnon henkilötietolain 3 §:n mukaiset rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan mukaisia yhteisrekisterinpitäjiä, ei kuitenkaan tarkoita että kaikki rekisterinpitäjät voisivat käsitellä rajoituksetta muiden rekisterinpitäjien keräämiä ja tallentamia tietoja. Tietojen käsittelyn tulee aina perustua kunkin viranomaisen toimivaltaa luovaan lainsäädäntöön. Tietoon pääsyä hallinnoidaan käyttövaltuushallinnalla.
4 §.Ulkomaalaisasioiden asiankäsittelyjärjestelmä. Ulkomaalaisasioiden asiankäsittelyjärjestelmään lukeutuu varsinaisen UMA-järjestelmän lisäksi henkilökortti- ja passitietojärjestelmä muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Maahanmuuttovirasto on henkilökortti- ja passitietojärjestelmän muukalaispasseja ja pakolaisen matkustusasiakirjoja koskevalta osalta yksinomainen rekisterinpitäjä, joten sen osalta ei välttämättä olisi tarpeen säätää erikseen järjestelmän ylläpitovastuusta. Koska muukalaispasseja ja pakolaisen matkustusasiakirjoja sisältävä järjestelmä on osa poliisin tietojärjestelmää, on selkeyden näkökulmasta pidetty tarpeellisena säätää Maahanmuuttoviraston vastuuroolista koko ulkomaalaisasioiden asiankäsittelyjärjestelmässä.
Maahanmuuttovirastolla olisi ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämis- ja ylläpitovastuu. Asiankäsittelyjärjestelmän ylläpitovastuu on erillinen 3 §:n mukaisista rekisterinpitäjän vastuista ja velvoitteista eikä siten vaikuta niiden käyttämiseen. Vastuun keskittäminen tietojärjestelmien ylläpito- ja kehittämisvastuun osalta olisi välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmien kehittämis- ja ylläpitovastuu edellyttäisi, että niistä vastaa tietty viranomainen sen sijaan, että vastuu niissä hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista nykytilaa vastaavasti. Tietojärjestelmien kehittämis- ja ylläpitovastuu olisi Maahanmuuttovirastolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- tai muista ratkaisuista. Maahanmuuttovirasto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.
Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti rekisterinpitäjille kuuluvien henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisi esimerkiksi rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.
Ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä Maahanmuuttovirasto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Maahanmuuttovirasto vastaisi tiedonhallintalain mukaisesti muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta järjestelmään. Yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta Maahanmuuttovirasto vastaisi rekisterinpitäjänä 3 §:n mukaisesti.
Ulkomaalaisasioiden asiankäsittelyjärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.
5 §.Kansallinen viisumitietojärjestelmä. Ulkoasiainhallinnolla on kansallisen viisumitietojärjestelmän kehittämis- ja ylläpitovastuu. Viisumitietojärjestelmän ylläpitovastuu on erillinen 3 §:n mukaisista rekisterinpitäjän vastuista ja velvoitteista eikä siten vaikuta niiden käyttämiseen. Vastuun keskittäminen on välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmän kehittämis- ja ylläpitovastuu edellyttää, että siitä vastaa yksi viranomainen sen sijaan, että vastuu sen osalta hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Ulkoasiainhallinto viisumitietojärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista. Järjestelmän kehittämis- ja ylläpitovastuu on ulkoasiainhallinnolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- ja muista ratkaisuista. Ulkoasiainhallinto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.
Ulkoasiainhallinto kansallisen viisumitietojärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisivat esimerkiksi rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.
Kansallisen viisumitietojärjestelmän ylläpitäjänä ulkoasiainhallinto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Ulkoasiainhallinto vastaisi tiedonhallintalain mukaisesti muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta järjestelmään. Yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta ulkoasianhallinto vastaisi rekisterinpitäjänä 3 §:n mukaisesti.
Viisumitietojärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.
6 §.Rekisteröidyn yhteyspisteet. Rekisteröidyn oikeuksien toteutumisen varmistamiseksi säädettäisiin erikseen rekisteröidyn yhteyspisteistä. Maahanmuuttovirasto toimisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä rekisteröidyn yhteyspisteenä. Ulkoasiainhallinto toimisi kansallisessa viisumitietojärjestelmässä rekisteröidyn yhteyspisteenä.
Rekisteröidyn yhteyspiste toteuttaa rekisteröidyn oikeuksia, erityisesti pääsyä henkilötietoihin vastaamalla rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden nojalla pyydetyn tiedon toimittamisesta rekisteröidylle sekä pyyntöön liittyvästä prosessista kokonaisuudessaan. Tilanteessa, jossa toimii useita yhteisrekisterinpitäjiä toimivaltuuksiensa puitteissa, on perusteltua edistää rekisteröidyn oikeuksien toteutumista säätämällä rekisteröidyn yhteyspisteistä. Rekisteröidyn yhteyspiste olisi rekisteröidyn ensisijainen kontakti myös suhteessa asiaa käsittelevään tai asian ratkaisseeseen rekisterinpitäjään.
Rekisteröidyn yhteyspisteen nimeäminen ei tietosuoja-asetuksen 26 artiklan 3 kohdan mukaan estä rekisteröityä käyttämästä oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan eli esittämästä rekisteröidyn omiin tietoihinsa tutustumista koskevia pyyntöjä myös muille rekisterinpitäjille. Rekisterinpitäjille osoitetut tutustumispyynnöt tulisi ohjata asian laadusta riippuen Maahanmuuttovirastolle tai ulkoasiainhallinnolle tarvittavia toimenpiteitä varten. Toimintamalli vastaisi hallintolain (434/2003) 21 §:n mukaista viranomaisen velvollisuutta siirtää toimivaltaan kuulumaton asiakirja toimivaltaiseksi katsomalleen viranomaiselle. Asiassa toimivaltainen rekisterinpitäjä voisi niin halutessaan itse toteuttaa rekisteröidyn oikeuden tutustua omiin tietoihinsa, mutta tutustumispyynnön tekninen toteutus kuuluisi järjestelmän ylläpitäjälle. Tavoitteena on, että riittävän tiedottamisen ja viestinnän johdosta tutustumispyynnöt kohdistuisivat suoraan rekisteröidyn yhteyspisteille tilanteissa, joissa rekisteröity ei tietoisesti valitse kohdistaa pyyntöään asiassa toimivaltaiselle rekisterinpitäjälle tai niin halutessaan myös jollekin toiselle rekisterinpitäjälle.
Yhteyspiste pyytäisi tarvittaessa käsittelystä vastaavalta tai vastanneelta viranomaiselta tämän arviota, jos esimerkiksi rekisteröidyn omia tietoja koskevan tutustumisoikeuden sisältö tai laajuus on epäselvä.
7 §.Käsiteltävät henkilötiedot. Pykälässä säädettäisiin henkilötiedoista sekä henkilötietoryhmistä, joihin kuuluvia henkilötietoja lain soveltamisalan piirissä olisi mahdollista käsitellä. Pykälä loisi ulkoreunat käsiteltävien henkilötietojen piirille. Pykälässä ei säädettäisi siitä, mitä henkilötietoja yksittäisessä tilanteessa olisi mahdollista käsitellä. Pykälä ei siten loisi toimivaltaa henkilötiedon käsittelylle. Toimivalta yksittäisen henkilötiedon käsittelylle perustuisi aina erilliseen toimivaltasäännökseen.
Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Käsiteltävien henkilötietojen tarpeellisuus olisi aina arvioitava suhteessa käyttötarkoitukseen. Yksittäisen käsiteltävän henkilötiedon tulisi aina olla tarpeellinen suhteessa käyttötarkoitukseen eli lakisääteisen tehtävän toteuttamiseksi. Jokaisen yksittäisen henkilötiedon tarpeellisuus tulisi arvioida tilannekohtaisesti. Käyttövaltuushallinnalla ja erilaisilla käyttäjäprofiileilla rajattaisiin yksittäisen käsittelijän pääsyä käsittelyn näkökulmasta tarpeellisiin tietoryhmiin. Lokitietojen avulla olisi jälkeenpäin mahdollista varmentaa ja todentaa kenen toimesta henkilötietoja on käsitelty. Käsittelijät toimivat aina virkavastuulla.
Tietosisältöä koskeva sääntelytapa olisi yleisluontoinen suhteessa ulkomaalaisrekisterilain voimassaolevaan sääntelyyn. Tietosuoja-asetuksessa omaksutun ja myös perustuslakivaliokunnan painottaman riskiperustaisen lähestymistavan mukaisesti sääntely kohdennettaisiin riskiperustaisesti tarkempaa sääntelyä edellyttäviin tilanteisiin, jolloin yksityiskohtaista sääntelyä purettaisiin nyt esitetyn kaltaisissa tilanteissa, joissa kattava ja yksityiskohtainen sääntely ei ole välttämätöntä. Yleisluontoisempi sääntelyratkaisu olisi lakiteknisesti perusteltu tietosisällön laajuuden vuoksi sekä siksi, että sääntelyssä käytettäisiin henkilötietoja kuvaavia yläkäsitteitä, joiden sisältöä voidaan pitää melko vakiintuneena. Sääntelytekniikka, jossa tietosisältö on kuvattu vakiintuneita henkilötietojen jaotteluperusteita käyttäen, olisi tarkoituksenmukainen myös siitä näkökulmasta, että se mahdollistaisi tietyin edellytyksin toimivaltaa luovissa laeissa toteutettavien muutosten johdosta käsiteltävien henkilötietojen sisältöön liittyvät yksittäiset muutostarpeet ilman jatkuvia lainsäädäntömuutoksia. Yleismuotoisempi ryhmittelytapa mahdollistaisi aiempaa laajemman tietosisällön käsittelyn, mutta vain sillä edellytyksellä, että tiedon käsittely on tarpeen ja sillä on oikeusperusta. Erityisistä henkilötietoryhmistä säädettäisiin erikseen esityksen 1. lakiehdotuksen 8 §:ssä.
Ehdotettavan lain soveltamisalan laajennus suhteessa voimassaolevaan ulkomaalaisrekisterilakiin huomioiden pykälään keskitettäisiin voimassaolevan ulkomaalaisrekisterilain 7 §:n tietosisällön lisäksi voimassaolevien vastaanottolain 48 §:ssä, säilölain 32 d §:ssä ja kotoutumislain 60 §:n 2 momentissa säädetty tietosisältö.
Pykälä jakautuisi neljään momenttiin. Pykälän 1 momentissa säädettäisiin henkilöön liittyvistä tiedoista, 2 momentissa henkilön asiaan liittyvistä tiedoista, 3 momentissa huomiotiedoista ja 4 momentissa henkilöön tai asiaan liittyviin muihin henkilöihin liittyvistä tiedoista.
Pykälän 1 momentissa säädettäisiin henkilön yksilöintitiedoista, perhesuhdetiedoista, edustajuustiedoista, osaamista kuvaavista tiedoista ja yhteystiedoista sekä matkustusasiakirjoja koskevista tiedoista ja ulkomaalaislain 96 §:n mukaisen hakemusasian vireilläoloa osoittavaa korttia koskevasta käsittelystä.
Pykälän 2 momentin 1 ja 2 kohdissa säädettäisiin hakemuksesta, esityksestä, pyynnöstä tai ilmoituksesta taikka näiden vuoksi tehdystä tiedustelusta tai kuulemisesta ilmenevistä tiedoista sekä asian käsittely-, selvitys- ja päätöstiedoista. Näissä kohdissa käsiteltäviin tietoihin voisivat sisältyä myös oikeushenkilöitä koskevat tiedot, sillä vaikka kyseessä on henkilötietolaki, rekisterinpitäjien on voitava käsitellä toimivaltaa luovan lainsäädäntönsä sallimissa rajoissa myös oikeushenkilöiden tietoja, silloin kun oikeushenkilön tiedot liittyisivät esimerkiksi luonnollisen henkilön asian käsittelyyn. Tällaisia oikeushenkilöitä koskevia tietoja voisivat esimerkiksi olla oleskelulupa- tai kansalaisuusasian ratkaisemisessa tarvittavat työnantajatiedot. Päätöstiedoilla tarkoitettaisiin myös viranomaisaloitteisia asioita koskevia päätöstietoja. Ulkomaalaisrekisterilain 7 §:n 2 momentin 2 kohdasta poiketen 2 kohdassa ei erikseen mainittaisi asiakirjoja, koska ehdotettava laki kattaisi henkilötietojen käsittelyn riippumatta siitä, missä muodossa tietoja käsitellään.
Pykälän 2 momentin 3 kohdassa säädettäisiin tiedoista, jotka koskevat vastaanottopalveluita ja muuta vastaanottoon kuuluvaa toimintaa sekä ilman huoltajaa olevan lapsen vastaanottotoimintaan liittyvän edustajan tietoja ja edustajatoiminnan ohjauksessa, suunnittelussa ja valvonnassa tarvittavia tietoja. Edustajuustiedoilla tarkoitettaisiin tietoja, jotka kuvaavat huoltajuus-, edunvalvonta-, edustaja-, avustaja- tai asiamiessuhdetta. Pykälän 2 momentin 4 kohdassa säädettäisiin tiedoista, jotka koskevat ulkomaalaisen sijoittamista säilöönottoyksikköön. Pykälän 2 momentin 5 kohdassa säädettäisiin kuntaan osoittamista koskevan tiedon käsittelystä. Kuntaan osoittamisella tarkoitetaan kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamista.
Edellä ehdotettavat muutokset ovat pääosin teknisluontoisia eivätkä lähtökohtaisesti muuttaisi käsiteltävien henkilötietojen nykytilaa suhteessa ulkomaalaisrekisterilaissa, vastanottolaissa, säilölaissa ja kotoutumislaissa säädettyjen talletettavien tietojen osalta tiettyjä erikseen kuvattuja poikkeuksia lukuun ottamatta: vastaanottolain 48 §:ään sekä säilölain 32 d §:ään sisältyneet kuvaukset tarkoituksista, joissa tiettyjä henkilötietoja voidaan käsitellä, korvattaisiin yleisellä tarpeellisuusvaatimuksella. Käsittelyn edellytyksiä koskevaa nykytilaa ei ole tarkoitus muuttaa, vaikka käsittelytarkoituksesta ei jatkossa säädettäisi tietosisältöpykälässä: tiedon olisi jatkossakin oltava tarpeellinen lakisääteiseen käsittelytarkoitukseen nähden. Pykälän 2 momentin 4 kohtaan sisältyvä säilöönottoon liittyvä tietosisältö laajenisi kattamaan tietoja säilöönoton järjestämisen, suunnittelun, toteuttamisen, seurannan ja säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 7 §:n mukaan tietosisältö kattaa tältä osin vain tiedot, jotka koskeva puhelimen ja muiden viestintälaitteiden hallussapitoa ja käyttöä tai tarkastuksia ja rajoituksia. Sääntely ei kuitenkaan vastaa tosiasiallisia tarpeita. Tarkoituksenmukaista olisi, että tallennettava tietosisältö kattaisi laajemmin säilöönoton järjestämisen, suunnittelun, toteuttamisen ja seurannan sekä säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi tarpeelliset tiedot. Säännöksen muuttaminen olisi tarpeen säilölaista ilmenevien toiminnallisten tarpeiden näkökulmasta. Säilölain 11 §:ssä säädettyjen majoituksen, ylläpidon ja muiden välttämättömien perustarpeiden turvaaminen edellyttää mahdollisuutta käsitellä näihin liittyviä henkilötietoja. Myös säilölain 12 ja 14 §:n mukaisten käyttörahan ja toimintakyvyn tukemiseen liittyvien palvelujen tarjoaminen edellyttää näihin liittyvien henkilötietojen käsittelymahdollisuutta. Ylipäätään olisi tarpeen käsitellä asiakaskertomukseksi katsottavia tietoja esimerkiksi henkilön osallistumisesta toimintaan, tehdyistä asiakastoimenpiteistä tai erityisruokavaliosta. Tietoja tulisi voida kirjata myös esimerkiksi asiakkaan käyttäytymisestä, jolla voi olla vaikutusta asiakkaan, muiden säilön asiakkaiden tai henkilökunnan turvallisuuteen esimerkiksi henkilökunnan vuorojen vaihtuessa.
Rekisterinpitäjällä olisi nykytilasta poiketen oikeus 3 momentin nojalla käsitellä havaitsemiaan tai sille ilmoitettuja huomiotietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa tai päättää Suomen kansalaisuuden saamisesta ja menettämisestä taikka velvollisuuteen huolehtia palveluksessa olevien työturvallisuudesta. Kyseessä olisi uusi tietosisältösäännös, joka mahdollistaisi sellaisten henkilötietojen käsittelyn, joiden toimivalta perustuu olemassa olevaan lainsäädäntöön. Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, jotka ovat luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyn rajaaminen perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp, s. 4 ja PeVL 71/2014 vp, s. 2) on välttämätöntä. Huomiotietojen käsittelyä koskee viranomaistoiminnan tarkoitussidonnaisuuden periaate. Huomiotietojen käsittely rajattaisiin ensiksi rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa. Ulkomaalaislain voimassaolevien 129 a §:n sekä 212 §:n nojalla viranomaiset suorittavat ulkomaalaisvalvontaa sekä valvovat ulkomaalaislain nojalla annettujen säännösten noudattamista. Esimerkiksi hallituksen esityksessä (HE 169/2014 vp) todetaan, että ulkomaalaisvalvonnan taustalla on aina oltava joku oleskeluluvan myöntöperusteeseen liittyvä tieto tai epäily, jonka perusteella Maahanmuuttovirastolla on perustellusti syytä tarkistaa jälkikäteen, vastaako henkilön maassa oleskelu edelleen oleskelun edellytyksiä. Suomen kansalaisuuden myöntämistä, sen epäämistä ja aiemmin myönnetyn Suomen kansalaisuuden menettämistä koskeva päätöksenteko kuuluvat Maahanmuuttoviraston tehtäviin kansalaisuuslain nojalla. Kansalaisuuslain 3 ja 4 luvuissa säädetään niistä edellytyksistä, joiden täyttyessä Suomen kansalaisuuden voi saada hakemuksesta ilmoituksesta. Kansalaisuuslain voimassa olevan 33 §:ssä säädetään kansalaisuuden menettämisestä väärien tietojen antamisen perusteella. Maahanmuuttovirastolla on siten perusteltu syy käsitellä sellaisia huomiotietoja, jotka voivat johtaa siihen, että henkilö ei saa Suomen kansalaisuutta tai että hän menettää Suomen kansalaisuuden. Työturvallisuuslain (738/2002) 8 §:n mukaan työnantaja on tarpeellisilla toimenpiteillä velvollinen huolehtimaan työntekijöiden turvallisuudesta ja terveydestä työssä. Tässä tarkoituksessa työnantajan on otettava huomioon työhön, työolosuhteisiin ja muuhun työympäristöön samoin kuin työntekijän henkilökohtaisiin edellytyksiin liittyvät seikat. Työnantajan on suunniteltava, valittava, mitoitettava ja toteutettava työolosuhteiden parantamiseksi tarvittavat toimenpiteet. Tällöin on mahdollisuuksien mukaan noudatettava esimerkiksi periaatetta, jonka mukaan vaara- ja haittatekijöiden syntyminen estetään. Huomiotietosäännös sisältäisi siten edellytyksen henkilötietojen käsittelystä vain nimenomaisten lakisääteisten tehtävien toteuttamiseksi.
Käytännössä huomiotiedot olisivat peruste aloittaa viranomaisten toimivaltaan kuuluviin tehtäviin vaikuttavien olosuhteiden tarkempi selvittäminen. Viranomaisella olisi toimivaltuuksiensa puitteissa mahdollisuus tallentaa huomiotietoja vaikka tiedot eivät liity mihinkään vireillä olevaan asiaan. Huomiotietoja ei saisi käyttää päätöksenteon perusteena. Huomiotietojen luonnetta ei olisi rajattu. Huomiotietoja ei olisi lueteltu säännöksessä poliisin henkilötietolain 8 §:ää vastaavasti, koska ne rajautuisivat kunkin rekisterinpitäjän toimivaltaa luovan lainsäädäntönsä nojalla käsittelemiin tietoihin. Huomiotiedot voisivat liittyä Maahanmuuttoviraston asiakkaisiin tai sellaisiin kolmansiin henkilöihin, joilla on vaikutusta Maahanmuuttoviraston asiakkaiden maahantulon tai maassa oleskelun edellytyksiin tai kansalaisuuden saamiseen tai menettämiseen. Huomiotiedot voisivat koskea esimerkiksi olosuhteita tai tapahtumia, kuten perhesuhteita tai toimeentuloa, jotka voivat olla merkityksellisiä lupaharkinnassa tai arvioitaessa sitä, vastaako henkilön maassa oleskelu edelleen oleskeluluvan edellytyksiä. Huomiotiedot voisivat koskea myös seikkoja, jotka voivat olla merkityksellisiä kansalaisuuden myöntämisessä tai johtaa kansalaisuuden menettämiseen, kuten henkilöllisyyttä tai Suomessa oleskelua koskevia tietoja (HE 235/2002 vp). Huomiotiedot voisivat olla myös työturvallisuuteen vaikuttavia tietoja, kuten tietoja henkilön käyttäytymisestä, jotka voisivat olla merkityksellisiä esimerkiksi turvapaikkapuhuttelun järjestämisen näkökulmasta tai muita turvallisuuden varmistamiseen liittyviä toimenpiteitä ajatellen.
Huomiotietojen tulisi täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet eli niiden tulisi aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Huomiotieto saattaisi yksittäisessä tilanteessa olla erityisiin henkilötietoryhmiin kuuluva tieto, jolloin henkilötiedon käsittelyn tulisi täyttää myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat 8 §:n mukaiset edellytykset. Huomiotietojen käsittely toisen kuin tiedot tallentaneen rekisterinpitäjän toimesta olisi mahdollista 11 §:n nojalla, jos rekisterinpitäjän lakisääteisten tehtävien toteuttaminen niin edellyttää.
Huomiotietoihin olisi liitettävä tieto tietojen antajasta tai tietolähteestä sekä arvio tämän luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Näin ollen kirjauksen tulisi aina sisältää tieto siitä, mistä huomiotieto on peräisin tai jos sen lähde ei ole tiedossa, tieto siitä. Huomiotietoihin kohdistuisivat tietosuojalain 34 §:ssä säädetyt yleiset rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Huomiotietojen poistamisesta säädettäisiin erikseen. Luonteensa vuoksi huomiotietojen käsittelyn edellytyksiä tulisi tulkita suppeasti edellä mainituissa rajoissa.
Pykäläehdotuksen 4 momentin nojalla rekisterinpitäjä saisi, siltä osin kuin on tarpeen, käsitellä perheenjäsenten, samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötietoja sekä ulkomaalaisen työntekijän palvelukseensa ottavan henkilön henkilötietoja.
8 §.Käsiteltävät erityiset henkilötietoryhmät. Pykälä sisältäisi säännökset erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Erillinen sääntely olisi tarpeen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen arkaluontoisuuden johdosta huomioiden tietosuoja-asetuksessa omaksuttu ja myös perustuslakivaliokunnan painottama riskiperustainen lähestymistapa. Tietosuoja-asetuksen 9 artiklan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kielletty. Tietosuojalain 6 §:n mukaan arkaluonteisten tietojen käsittelykieltoa ei kansallisen liikkumavaran nojalla sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. On huomioitava, että maahanmuuttohallinnon henkilötietolaki ei loisi toimivaltaa henkilötietojen eikä siten myöskään erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle.
Sormenjälkien käsittelystä säädettäisiin täsmentävästi erikseen 1. lakiehdotuksen 9 ja 10 §:ssä ulkomaalaisrekisterilaissa säädettyä nykytilaa vastaavasti.
Pykälään keskitettäisiin julkisuuslain 24 §:n mukaan salassa pidettävät tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvat tiedot, tietosuoja-asetuksen 10 artiklan mukaiset erityisin edellytyksin käsiteltävät rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavat tiedot. Näitä jälkimmäisiä tietoja olisivat perustuslakivaliokunnan kannan mukaisesti (ks. PeVL 14/2018 vp ja PeVL 15/2018 vp) tietosuoja-asetuksen erityisten henkilötietoryhmien ulkopuolelle jäävät valtiosääntöoikeudellisesti arkaluonteisiksi katsotut tiedot, kuten sosiaalipalveluita koskevat tiedot. Nykyisin näistä salassa pidettävistä tietosisällöistä on säädetty osin niin voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa kuin säilölaissa. Sääntelyn selkeyden ja ymmärrettävyyden vuoksi näistä eri perusteella erityisiksi tai arkaluonteisiksi luettavista tiedoista olisi syytä säätää keskitetysti yhdessä pykälässä. Tämä myös korostaisi näiden tietojen käsittelyn edellyttämää erityistä huolellisuutta ja niiden suojaamista oikeudettomalta käytöltä. Pykälä olisi nimetty käyttäen tietosuoja-asetuksen näistä tiedoista käyttämää erityisten henkilötietoryhmien -nimitystä, vaikka sen alaan edellä mainituin tavoin kuuluisi myös muita erityisin edellytyksin käsiteltäviä henkilötietoja. Jatkossa pykälän sisältämiin tietoihin viitataan selkeyden vuoksi erityisinä henkilötietoryhminä pykälän otsikkoa vastaavasti.
Kullakin rekisterinpitäjällä olisi oikeus käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja vain toimivaltansa puitteissa. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn edellytyksenä olisi välttämättömyys tietyn tarkoituksen kannalta, mikä myös vastaisi voimassaolevan ulkomaalaisrekisterilain ja säilölain sääntelyä. Tämän lisäksi näiden henkilötietojen käyttöala täsmennettäisiin - toisin kuin sellaisten henkilötietojen, jotka eivät kuulu erityisiin henkilötietoryhmiin - rajaamalla niiden käsittelytarkoituksia, jotta voidaan minimoida tietoturvaan ja näiden tietojen väärinkäyttöön liittyviä vakavia riskejä henkilön perusoikeuksille ja -vapauksille (PeVL 15/2018 vp, s. 37).
Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyllä puututaan henkilön yksityisyyden suojan ytimeen, joten niiden käytön oikeasuhtaisuutta tulee arvioida suhteessa siihen turvaako puuttuminen kuitenkin henkilön muita oikeuksia ja muodostavatko nämä muut oikeudet niin painavan perusteen, että henkilön yksityisyyden suojaa voidaan niiden turvaamiseksi rajoittaa. Maahanmuuttohallinnossa erityisten henkilötietoryhmien käsittely olisi välttämätöntä rekisteröidyn identiteetin suojaamiseksi, oikeusturvan varmistamiseksi, edun turvaamiseksi tai terveys- tai sosiaalipalvelujen saamiseksi. Erityisten henkilötietoryhmien käsittely olisi siis tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämällä tavalla oikeasuhteinen toimenpide rajoituksella tavoiteltaviin oikeushyviin nähden.
Erityisten henkilötietoryhmien käyttöalan rajoitusten lisäksi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämät asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi toteutuisivat tietosuojalain 6 §:n 2 momentissa säädetyillä suojatoimilla. Tällaisia suojatoimia olisivat muun muassa henkilöstön osaamisen ja erilaisten valvontakeinojen toteuttaminen sekä teknisten järjestelmien toimivuuden takaaminen. Myös erityislainsäädäntö itsessään muodostaisi yhden tietosuoja-asetuksen edellyttämän suojatoimen. Lisäksi erityisiä henkilötietoryhmiä koskevien tietojen poistamisesta säädettäisiin erikseen.
Maahanmuuttohallinnossa käsiteltävien tilanteiden moninaisuuden vuoksi erityisten henkilötietoryhmien käsittelysäännöksiä ei ole mahdollista määritellä täysin yksityiskohtaisesti ilman, että viranomaisten toimivaltuudet kuvataan tehtäväkohtaisesti. Tällaista sääntelytapaa ei kuitenkaan ole pidettävä tarkoituksenmukaisena. On tunnistettavissa tilanteita, joissa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on erityisen usein tarpeen sekä sellaisia tilanteita, joissa tarvetta käsittelylle ei ole. Usein on kuitenkin kyse tilanteista, joissa tietyn erityiseen henkilötietoryhmään kuuluvan henkilötiedon käsittely saattaa toisinaan olla välttämätöntä ja toisinaan ei. Tiedon käsittelemisen välttämättömyys on arvioitava aina tilannekohtaisesti. Erityisen henkilötietoryhmän käsittely edellyttää aina tapauskohtaista arviointia.
Henkilötietoja, joista ilmenee luonnollisen henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai seksuaalinen käyttäytyminen ja suuntautuminen, voi olla välttämätöntä käsitellä erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi, mutta myös turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseksi, jotta voidaan varmistaa rekisteröidyn turvallisuus.
Ammattiliiton jäsenyyttä koskevan henkilötiedon käsittely voi olla välttämätöntä kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi sekä ihmiskaupan uhrien auttamiseksi.
Geneettisiä henkilötietoja voi olla välttämätöntä käsitellä perhesiteen selvittämiseksi dna-tutkimuksen avulla ulkomaalaislain 65 §:n nojalla sekä oikeuslääketieteellisen tutkimuksen tekemiseksi oleskelulupaa Suomessa hakevan ulkomaalaisen tai perheenkokoajan iän selvittämiseksi ulkomaalaislain 6 a §:n nojalla. Biometrisiä henkilötietoja voi olla välttämätöntä käsitellä henkilön yksiselitteistä tunnistamista varten otettaessa oleskelulupahakemuksen tai kansainvälistä suojelua koskevan hakemuksen jättämisen yhteydessä hakijalta sormenjäljet ja hakijan liittämä kasvokuva oleskelulupakorttia varten ulkomaalaislain 60 d §:n perusteella. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa. Biometrisiin tunnisteisiin kuuluvien sormenjälkien käytöstä säädettäisiin täsmentävästi 9 ja 10 §:ssä.
Geneettisillä henkilötiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 13 alakohdassa tarkoitettuja henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla. Biometrisillä tiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 14 alakohdassa tarkoitettuja kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa.
Terveyttä koskevat tiedot voivat olla välttämättömiä kaikissa lain soveltamisalaan kuuluvissa tilanteissa. Tällaisia ovat esimerkiksi kansainvälistä suojelua koskevan hakemuksen perusteiden arvioiminen, oleskeluluvan myöntämisen edellytysten arvioiminen sekä turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttaminen rekisteröidyn terveydentilan huomioimiseksi.
Tietosuoja-asetuksen 4 artiklan 15 alakohdan mukaan terveystietoja ovat luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyvät henkilötiedot, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa.
Kansallisesti on säädetty potilasasiakirjoista ja niiden sisältämistä tiedoista. Potilasasiakirjoja ovat potilaan asemasta ja oikeuksista annetun lain (785/1992, jäljempänä potilaslaki) 2 §:n 5 kohdan mukaan potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät hänen terveydentilaansa koskevia tai muita henkilökohtaisia tietoja. Potilasasiakirjoihin merkittävistä tiedoista on säädetty erikseen sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista (298/2009). Potilaslain 13 §:n 1 momentin mukaan potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Pykälän 2 momentin mukaan terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Maahanmuuttohallinnon alalla myös muiden kuin terveydenhuollon ammattihenkilöiden on poikkeuksellisesti välttämätöntä käsitellä tiettyjä terveyttä koskevia tietoja.
Lähtökohtaisesti vain terveydenhuollon ammattihenkilöt, kuten terveydenhoitajat, jotka työskentelevät esimerkiksi vastaanottokeskuksessa, ihmiskaupan uhrien auttamisjärjestelmässä tai säilöönottoyksikössä, voivat käsitellä näiden palveluiden piiriin sijoitettujen henkilöiden potilastietoja ilman potilaan kirjallista suostumusta. Eduskunnan oikeusasiamies on ratkaisussaan EOAK 3101/4/13 todennut, ettei säilöönottoyksikön lääkkeitä jakavilla ohjaajilla tässä tehtävässään ole oikeutta saada tietää säilöön otetun hoitoon, kuten lääkitykseen, liittyviä tietoja ilman tämän suostumusta. Eduskunnan oikeusasiamies on lausunut samoin myös ratkaisussaan EOAK 3998/4/07 vankien lääkkeiden jaon osalta. Esimerkiksi vastaanottokeskuksessa, ihmiskaupan uhrien auttamisjärjestelmässä tai säilöönottoyksikössä työskentelevät terveydenhuollon ammattihenkilöt, kuten terveydenhoitajat, noudattavat potilastietojen käsittelyssä potilaslakia. Myös rekisterinpitäjän muiden työntekijöiden on kuitenkin poikkeuksellisesti voitava käsitellä maahanmuuttohallinnon asiakkaan väkivalta-, itsemurha- tai tartuntatautiriskiä taikka muita vastaavia sairaudesta johtuvia riskejä tai sairautta koskevia tietoja, silloin kun ne ovat välttämättömiä kyseisen henkilön hengen, terveyden tai turvallisuuden suojaamiseksi taikka muiden henkilöiden hengen, terveyden tai turvallisuuden vaarantumisen estämiseksi. Esimerkiksi tilanteessa, jossa vastaanottokeskuksen tukiasumisyksikön tai alaikäisyksikön sosiaalityöntekijä tai nuoren omaohjaaja saattaa lapsen tai nuoren lääkäriin, työntekijän on välttämätöntä tietää minne ja miksi lapsi tai nuori saatetaan. Tämän vuoksi säännöksessä mahdollistettaisiin potilastietojen käsittely silloin kun se on välttämätöntä rekisterinpitäjän toiminnassa.
Sosiaalipalveluita koskevien tietojen välttämättömät käsittelytarpeet liittyvät erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseen, mutta myös turvapaikanhakijoiden vastaanottoon ja säilöönottoon sekä kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseen.
Rikostuomioihin ja rikkomuksiin liittyviin henkilötietoihin luettaisiin myös rangaistuksen täytäntöönpanoon liittyvät henkilötiedot. Nämä henkilötiedot voivat olla välttämättömiä kaikissa lain soveltamisalan piirissä käsiteltävissä tilanteissa. Rikostuomioilla ja rikkomuksilla sekä rangaistuksen täytäntöönpanoa koskevilla tiedoilla voi olla merkitystä maahantuloa tai maastalähtöä koskevissa asioissa, kansalaisuutta koskevissa kysymyksissä erityisesti kansalaisuutta myönnettäessä, mutta myös vastaanoton ja säilöönoton käytännön järjestämisessä sekä kuntaan osoittamisessa.
Kaikki erityisiin henkilötietoryhmiin kuuluvat henkilötiedot voivat olla välttämättömiä kansallisen turvallisuuden suojaamiseksi.
9 §.Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset muukalaispassien ja pakolaisen matkustusasiakirjojen hakijoilta otettujen sormenjälkien käsittelystä. Pykälä vastaisi sisällöllisesti voimassaolevaa ulkomaalaisrekisterilain 3 a §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän muutosehdotuksen vuoksi, jossa käsittelytarkoituslähtöisyyden seurauksena ei enää säädettäisi rekistereistä ja osarekistereistä. Tämän johdosta pykälässä myös todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Tarkoitus ei ole muuttaa nykytilaa. Sormenjälkiä käyttämään oikeutetuista viranomaisista ulkoasiainministeriö ja Suomen edustusto korvattaisiin termillä ulkoasiainhallinto. Muutos olisi tekninen ja vastaisi tässä esityksessä yleisesti käytettävää terminologiaa. Poliisilla tarkoitettaisiin edelleen myös suojelupoliisia, eikä nykytilaa ole tältä osin tarkoitus muuttaa, vaikka suojelupoliisin henkilötietojen käsittelystä säädetään nyttemmin erikseen poliisin henkilötietolain 7 luvussa.
10 §.Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkien käytöstä. Pykälä vastaisi sisällöllisesti ulkomaalaisrekisterilain 3 b §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän muutosehdotuksen vuoksi, jossa käsittelytarkoituslähtöisyyden seurauksena luovuttaisiin säätämästä rekistereistä ja osarekistereistä. Tämän johdosta pykälässä todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Käsittelyperusteisesta lähestymistavasta johtuen viittaukset hakemusasioiden osarekisteriin korvattaisiin viittauksella kyseisessä pykälässä tarkoitettuihin jo tallennettuihin tietoihin. Valtion turvallisuus korvattaisiin termillä kansallinen turvallisuus vastaamaan tiedustelulainsäädäntökokonaisuudessa käytettävää käsitettä. Valtion turvallisuuden ja kansallisen turvallisuuden katsotaan tarkoittavan samaa asiaa. Pykälän 2 momentissa säädetyt sormenjälkitiedot korvattaisiin sanalla sormenjäljet. Tarkoitus ei ole muuttaa nykytilaa.
11 §.Henkilötietojen käsittely alkuperäisessä käsittelytarkoituksessa. Lain 1 ja 3 §:ssä säädettäisiin henkilötietojen käsittelytarkoituksista ja niistä viranomaisista, jotka toimivat rekisterinpitäjinä toimivaltaa luovassa lainsäädännössä säädettyjä tehtäviään toteuttaessaan. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Perustuslakivaliokunta on esittänyt huolensa siitä, jos tiedot ovat siirrettävissä yhteisrekisterinpitäjiksi määriteltyjen viranomaisten välillä salassapitosäännösten estämättä, mikäli talletettuja arkaluonteisia ja salassa pidettäviä tietoja käsitellään myöhemmin samassa tarkoituksessa toisen yhteisrekisterinpitäjäksi määritellyn viranomaisen toimesta. Perustuslakivaliokunta on muistuttanut, että maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä (PeVL 62/2018 vp).
Perustuslakivaliokunnan lausunnossaan esiin nostama viranomaisten erillisyysperiaate huomioiden on välttämätöntä säätää erikseen arkaluonteisten ja salassa pidettävien tietojen liikkumisesta rekisterinpitäjien välillä silloinkin kun on kyse yhden rekisterinpitäjän keräämien tietojen käyttämisestä toisen rekisterinpitäjän toimesta samaan alkuperäiseen käsittelytarkoitukseen, johon ne on alun perin kerätty. Käsittelyn edellytyksenä on aina tarve käsitellä tietoa viranomaisen lakisääteisen tehtävän toteuttamiseksi. Ehdotettavan lain 8 §:n rajoitusedellytykset tulevat aina sovellettavaksi, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Muotoilu ilmentää samalla lain 1 §:ssä säädettyjen eri käsittelytarkoitusten välisen tiedon ristiin käyttämisen kieltoa, koska tämä ei olisi käsittelyä alkuperäiseen tarkoitukseen. Näin myös huomioidaan perustuslakivaliokunnan edellyttämällä tavalla yhteisrekisterinpitäjinä toimivien maahanmuuttohallinnon viranomaisten julkisuuslain mukainen erillisyys, mikä osaltaan selkeyttää 12 §:n mukaista tiedon käyttämistä muuhun kuin alkuperäiseen käsittelytarkoitukseen.
Olisi huomioitava tietyt erityistilanteet, kuten vastaanottodirektiiviin sisältyvä viranomaisen velvollisuus ottaa huomioon tietyt hakijan erityistarpeet. Henkilön tiettyjen tunnistetietojen päivittäminen olisi yhteensopivaa silloinkin, kun liikutaan lain 1 §:n soveltamisalan eri alakohtien välillä. Näin ollen, jos henkilön tunnistetiedot päivitetään esimerkiksi lupaprosessin yhteydessä, tiedot tulisi päivittää käytännössä myös vastaanottoprosessin sekä henkilön säilöön ottamista koskevan prosessin puolella.
Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohta edellyttää henkilötietojen käsittelyssä täsmällisyyttä eli henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset ja kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä.
12 §.Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa. Pykälässä säänneltäisiin niistä tilanteista, joissa lain soveltamisalan piirissä henkilötietoja olisi salassapitosäännösten estämättä mahdollista käsitellä muussa kuin alkuperäisessä käsittelytarkoituksessa. Tämä olisi mahdollista, jos käsittely olisi välttämätöntä 1 momentissa säädetyllä tavalla rekisterinpitäjän lakisääteisten tehtävien suorittamiseksi tai tarpeen 1 momentin kohdissa tarkemmin yksilöidyllä tavalla. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa säädettäisiin erikseen pykälän 2 ja 3 momentissa. Oikeusperustan käsittelylle muuhun kuin alkuperäiseen käsittelytarkoitukseen lain soveltamisalan piirissä loisivat rekisterinpitäjälle laissa säädetyt tehtävät, joiden toteuttaminen edellyttää henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa.
Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta eli henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen jatkokäsittelystä voidaan 6 artiklan 4 kohdan mukaan säätää jäsenvaltion lainsäädännössä, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi. Näitä 23 artiklassa säädettyjä tavoitteita ovat muun muassa yleiseen etuun liittyvät tärkeät tavoitteet sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Lisäksi käsittelylle on oltava 6 artiklan 1 kohdan mukainen peruste ja erityisten henkilötietoryhmien tietojen käsittelyyn 9 artiklan 2 kohdan mukainen peruste.
Tietosuoja-asetuksen johdanto-osan 50 kappaleen mukaan henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan kuitenkin määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Perustuslakivaliokunta on muistuttanut, että maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle ja että viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä (PeVL 62/2018 vp). Koska henkilötietojen käsittely muussa kuin alkuperäisessä tarkoituksessa tarkoittaisi käytännössä usein henkilötietojen käsittelyä muun rekisterinpitäjän toimesta, kuin sen joka tiedot on kerännyt, asiasta on säädettävä erikseen.
Tietosuoja-asetuksen johdanto-osan 50 kappaleessa todetaan, että jotta voidaan varmistua myöhemmän käsittelyn tarkoituksen yhdenmukaisuudesta, rekisterinpitäjän olisi otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä. Myös perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp).
Henkilötietojen käsittely maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentissa säädetyn soveltamisalan käsittelytarkoituskohdissa 1—6 olisi yhteensopivaa kunkin kohdan soveltamisalan sisällä. Näin ollen kunkin kohdan nojalla kerättyjen tietojen käyttäminen kyseisen kohdan tarkoituksiin olisi yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Tietojen käsitteleminen eri kohtien välillä ei olisi yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Näin ollen 1§:n soveltamisalan kohtien välillä tapahtuvasta henkilötietojen käsittelystä tulee säätää erikseen.
Huomioiden ehdotettavan maahanmuuttohallinnon henkilötietolain aiempaa laajempi soveltamisala suhteessa ulkomaalaisrekisterilakiin, henkilötietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa tulisi mahdollistaa niissä tilanteissa, joista voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa, säilölaissa ja kotoutumislaissa on säädetty tiedonluovutuksena viranomaisten välillä. Tältä osin muutoksia voidaan pitää sikäli lähtökohtaisesti teknisinä, että voimassaolevaa oikeustilaa ei tältä osin ole tarkoitus muuttaa. Muutos nykytilaan olisi kuitenkin käsittelykynnyksen muuttaminen niin, että tietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa olisi mahdollista tarpeellisuusedellytyksen nojalla pykälässä yksilöidyissä tarkoituksissa ja yksilöityjen rekisterinpitäjien toimesta. Voimassaolevassa lainsäädännössä on pääasiassa sovellettu välttämättömyysedellytystä tiedonluovutuksen nojalla tapahtuneen käsittelyn edellytyksenä. Kotoutumislaissa tiedonsaantioikeuden edellytyksenä on ollut tarpeellisuusvaatimus ilman tarkempaa yksilöintiä. Perustuslakivaliokunnan tiedonluovutusta koskevan vakiintuneen kannan mukaan sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta silloin, kun tietosisältöjä ei ole luetteloitu tyhjentävästi (ks. esim. PeVL 15/2018 vp s. 39). Tähän kantaan on tukeuduttu ehdotettavassa pykälässä.
Pykälän 1 momentin 1 kohdan nojalla lain soveltamisalan piirissä kerättyjä tietoja olisi mahdollista käsitellä muussa kuin niiden alkuperäisessä käsittelytarkoituksessa, mikäli tiedot ovat tarpeen henkilöllisyyden selvittämiseksi.
Pykälän 1 momentin 2 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle saman momentin 2 kohdan mukaisten tehtävien hoitamista varten. Maahantuloon liittyviä tietoja tarvitaan sen arvioimista varten, täyttyvätkö kansalaisuuden saamisen edellytykset. Esimerkiksi silloin, kun henkilöllisyydestä ei ole saatavilla luotettavaa asiakirjanäyttöä, henkilöllisyyttä selvitettäessä voidaan ottaa huomioon kaikki ne tiedot, jotka asianosainen on aikaisemmin antanut omasta tai lapsensa henkilöllisyydestä. Nämä tiedot voivat perustua jo aikaisemmin kertyneisiin, henkilön maahantuloon ja maassa oleskeluun liittyviin asiakirjoihin (HE 235/2002 vp). Lisäksi 1 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voi olla tarpeen käyttää kansalaisuuslain 36 §:n mukaiseen kansalaisuusaseman määrittämisessä.
Pykälän 1 momentin 3 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 2 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai ulkoasiainhallinnolle saman momentin 1 kohdan mukaisten tehtävien hoitamista varten. Kansalaisuusaseman määrittämistä koskeva tieto voi olla tarpeellinen maahantuloa koskevassa asiassa, erityisesti kansainvälistä suojelua tai viisumia koskevassa asiassa. Toisaalta tieto vireillä olevasta kansalaisuusasiasta voi olla merkityksellinen viranomaiselle esimerkiksi maasta poistamista koskevassa asiassa tai tieto myönnetystä kansalaisuudesta esimerkiksi tilanteessa, jossa henkilöllä on vireillä myös oleskelulupahakemus.
Pykälän 1 momentin 4 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai elinkeino-, liikenne- ja ympäristökeskukselle kansainvälistä suojelua hakeviin, tilapäistä suojelua saaviin tai ihmiskaupan uhreihin liittyvien tehtävien hoitamista varten taikka ulkomaalaisen Suomessa oleskelua varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 52 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Lisäksi kohdassa olisi kyse voimassaolevan vastaanottolain 58 §:n 1 momentin nojalla Maahanmuuttovirastolle luovutettavien tietojen käsittelemisestä. Vastaanottotietoja, kuten majoitustietoja, tarvittaisiin esimerkiksi oleskelulupaprosessissa sekä maastapoistamisprosessissa, jonka johdosta käsittely olisi mahdollista myös ulkomaalaisen Suomessa oleskelua tai maahantuloon liittyvien tehtävien hoitamista varten. Tällainen voisi koskea esimerkiksi perheenjäsenen maahantuloa koskevaa tilannetta. Maasta poistamisasian yhteydessä majoitustietoja tarvittaisiin sen selvittämiseksi, onko henkilö, esimerkiksi maasta poistettavaksi esitetyn perheenjäsen, edelleen Suomessa. Perheenyhdistämisasioissa majoitustiedot voisivat olla tarpeen, kun selvitetään asuvatko puolisot yhdessä vastaanottokeskuksessa tai yksityismajoituksessa. Tällaisia tietoja tarvittaisiin useimmiten silloin kun hakija on Suomessa mutta tietoja voitaisiin tarvita myös tilanteissa, joissa hakija on ulkomailla. Koska käsittelytarkoitukset olisi yksilöity, käsittely tapahtuisi voimassaolevasta oikeustilasta poiketen tarpeellisuusedellytyksen nojalla. Kohdan sääntely olisi osittain päällekkäinen ulkomaalaislain 105 a §:n 1 momenttiin sisältyvän tiedonsaantioikeuden kanssa, mutta säännökset eivät olisi ristiriidassa keskenään.
Pykälän 1 momentin 5 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai vastaanotto- tai järjestelykeskukselle mainitun momentin 3 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 53 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Viranomaisia, jotka keräävät tietoja 1 §:n 1 momentin 1 kohdan nojalla ovat Maahanmuuttovirasto, poliisi ja Rajavartiolaitos. Voimassaolevasta sääntelystä poiketen elinkeino-, liikenne- ja ympäristökeskukset eivät esitettävän soveltamisalan uuden jaottelun mukaisesti keräisi henkilötietoja 1 §:n 1 momentin 1 kohdan nojalla, vaan 1 §:n 1 momentin 5 kohdan nojalla. Tilanteet, joissa Maahanmuuttovirastolla tai vastaanotto- tai järjestelykeskuksella on tiedontarve elinkeino-, liikenne- ja ympäristökeskukselta, liittyvät käytännössä kuntaan osoittamiseen ja olisivat siten henkilötietojen käsittelyä alkuperäiseen käsittelytarkoitukseen tai sen kanssa yhteensopivaa käsittelyä.
Pykälän 1 momentin 6 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 4 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, vastaanotto- tai järjestelykeskukselle, poliisille tai Rajavartiolaitokselle ulkomaalaisen Suomessa oleskeluun tai maasta poistamiseen, kansainvälistä suojelua hakevien tai tilapäistä suojelua saavien vastaanottoon tai ihmiskaupan uhrien auttamiseen liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 f §:ään nykyisin sisältyvistä tiedonsaanti- ja luovutusoikeuksista. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.
Pykälän 1 momentin 7 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai säilöönottoyksikölle saman momentin 4 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 g §:n nojalla luovutettavien tietojen käsittelemisestä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.
Pykälän 1 momentin 8 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 5 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle maahanmuuttoon liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 61 §:ään sisältyvistä tiedonluovutussäännöksistä.
Pykälän 1 momentin 9 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen elinkeino-, liikenne- ja ympäristökeskukselle saman momentin 5 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 87 §:n mukaisista säännöksistä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.
Henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen kansallisen turvallisuuden suojaamiseksi ei ole tarpeen säätää erikseen, koska 1 §:n mukaan henkilötietoja saa käsitellä kaikissa 1 §:n 1—5 kohdan mukaisissa tarkoituksissa kansallisen turvallisuuden suojaamiseksi.
Pykälän 2 momentin mukaan erityisiin henkilötietoryhmiin kuuluvia tietoja saisi salassapitosäännösten estämättä käsitellä muuhun kuin alkuperäiseen käsittelytarkoitukseen 1 momentin 1—9 kohdassa tarkoitetuissa tapauksissa vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Välttämättömyysedellytys korostaisi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen korkeampaa suojaamistarvetta. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Pykälän 3 momentin mukaan se mitä pykälässä säädetään, ei kuitenkaan koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen ehdotettavan maahanmuuttohallinnon henkilötietolain 9 ja 10 §:ssä.
13 §.Tiedonsaantioikeus. Pykälän tarkoituksena on luoda oikeus saada tietoja viranomaiselta tai muulta taholta, joka käsittelee henkilötietoja muussa kuin tämän lain 1 §:n mukaisessa käsittelytarkoituksessa. Merkitystä olisi nimenomaisesti käsittelytarkoituksella, eikä tiedot luovuttavalla taholla. Tällainen tarkoitus voisi olla esimerkiksi tietojen käsittely esitutkintatarkoituksessa, mikä ei kuulu maahanmuuttohallinnon henkilötietolain soveltamisalan piiriin, vaikka poliisi on yksi lain mukaisista rekisterinpitäjistä. Pykälä tulisi siis sovellettavaksi, kun esimerkiksi Maahanmuuttovirasto pyytää esitutkintatietoja poliisilta. Pykälä antaisi tiedonsaantioikeuden Maahanmuuttovirastolle, vastaanotto- ja järjestelykeskukselle, säilöönottoyksikölle, elinkeino-, liikenne- ja ympäristökeskukselle, työ- ja elinkeinotoimistolle sekä ulkoasiainhallinnolle. Ehdotettu säännös oikeuttaisi mainitut tahot saamaan henkilötietoja maksutta ja salassapitovelvollisuuden estämättä. Salassa pidettävän tiedon antaminen ei edellyttäisi suostumusta siltä, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty. Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasianhallinnon tiedonsaantioikeudet perustuisivat niille toimivaltaa luovaan lainsäädäntöön. Tiedonsaantioikeus kohdistuisi henkilötietojen lisäksi oikeushenkilöitä koskeviin tietoihin. Tiedonsaantioikeus voisi koskea myös tietoja, jotka saadaan ulkomailta, esimerkiksi kansainvälisten sopimusten nojalla. Tiedonsaantioikeus kohdistuisi julkisuuslain 4 §:ssä säädettyihin tahoihin.
Perustuslakivaliokunta on jo aiemmassa lausuntokäytännössään kiinnittänyt huomiota henkilön yksityiselämän suojan piiriin liittyvien henkilötietojen käsittelyn aiheuttamiin riskeihin, kuten kerättävien henkilötietojen tietoturvaan ja tietojen väärinkäyttöön, jotka voivat muodostua uhaksi henkilön identiteetille (PeVL 14/2009 vp, s. 3). Myös tietosuoja-asetuksessa on omaksuttu riskiperusteinen lähestymistapa. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtainen sääntely. Erityisesti tällä on merkitystä arkaluonteisten tietojen osalta. (PeVL 14/2018 vp, s. 5—6 ja PeVL 15/2018 vp, s. 36—37). Perustuslakivaliokunnan vakiintuneen kannan mukaan tilanteissa joissa tietosisältöjä ei ole luetteloitu tyhjentävästi, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta. Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 15/2018 vp, s 41, PeVL, 17/2016 vp, s. 5—6, PeVL 71/2014 vp, s. 3, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (PeVL 15/2018 vp, s. 39).
Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen ja näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla. Silloin kun tiedonsaantioikeus olisi sidottu välttämättömyyteen, sitä täsmennettäisiin sitomalla se ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Tällöin lakiehdotuksessa ei täsmennettäisi tietosisältöä. Siltä osin kuin tiedonsaantioikeus olisi sidottu tarpeellisuusvaatimukseen, käsittelytarkoitusten lisäksi täsmennettäisiin tietosisältö. Tämän lisäksi säädettäisiin täsmällisemmin niistä viranomais- ja muista tahoista, joilta tietoja voi saada.
Välttämättömät tiedot
Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasiainhallinnon tiedonsaantioikeutta ei niiden käsittelemien asioiden moninaisuuden vuoksi ole tarkoituksenmukaista säännellä niin, että säännöksessä lueteltaisiin tyhjentävästi kaikki viranomaiset ja henkilötiedot, jotka kuuluvat tiedonsaantioikeuden piiriin. Tämän takia tiedonsaantioikeus rajattaisiin pykälän 1 momentissa perustuslakivaliokunnan edellyttämällä tavalla välttämättömiin tietoihin. Sääntelyä täsmennettäisiin lisäksi niin, että elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasiainhallinnon tiedonsaantioikeus rajattaisiin maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentin 1 kohdan mukaisiin käsittelytarkoituksiin. Tiedonsaantioikeus kytkettäisiin ehdotettavassa laissa toimivaltaa luovaan lainsäädäntöön, jossa tiedontarpeet, tehtävät ja toimivaltarajat on yksilöity. Sääntely olisi näin täsmällistä ja tarkkarajaista. Sääntelytapa selkeyttää kokonaisuudessaan tiedonsaantioikeutta maahanmuuttohallinnossa.
Tieto, joka olisi ratkaiseva Maahanmuuttoviraston, vastaanotto- tai järjestelykeskuksen, säilöönottoyksikön, elinkeino-, liikenne- ja ympäristökeskuksen, työ- ja elinkeinotoimiston tai ulkoasiainhallinnon lakisääteisen tehtävän suorittamiseksi, olisi välttämätön ja tällainen tieto voisi esimerkiksi johtaa oleskeluluvan myöntämättä jättämiseen. Tieto olisi välttämätön, jos ratkaisua ei voitaisi tehdä ilman sitä. Tieto olisi välttämätön myös silloin, kun sen puuttuessa voitaisiin tehdä virheellinen päätös. Välttämättömyyteen sidottu sääntelytapa perustuisi luovuttajan arvioon välttämättömyyskynnyksen täyttymisestä. Tietojen välttämättömyys tulisi niitä pyydettäessä perustella.
Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksilla sekä säilöönottoyksiköillä olisi oikeus saada sellaisia luonnollisia henkilöitä tai oikeushenkilöitä koskevia tietoja, jotka ovat välttämättömiä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyssä sekä niitä koskevassa päätöksenteossa ja valvonnassa, Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyssä ja päätöksenteossa, kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotossa, ihmiskaupan uhrien auttamisessa ja ilman huoltajaa olevan lapsen edustajatoiminnassa osana vastaanottotoimintaa sekä näiden ohjauksessa, suunnittelussa ja valvonnassa, ulkomaalaisen sijoittamisessa säilöönottoyksikköön, ulkomaalaisen kohtelussa säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisessä sekä kuntaan osoittamisessa. Lisäksi elinkeino-, liikenne- ja ympäristökeskuksilla sekä työ- ja elinkeinotoimistolla olisi oikeus saada esimerkiksi sellaisia luonnollisia henkilöitä tai oikeushenkilöitä koskevia tietoja, jotka ovat välttämättömiä yrittäjän tai työntekijän oleskelulupahakemuksen osapäätöksen tekemiselle. Ulkoasianhallinnolla olisi oikeus saada sellaisia tietoja, jotka ovat välttämättömiä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyssä sekä niitä koskevassa päätöksenteossa ja valvonnassa. Tiedonsaantioikeus rajattaisiin siis edellä esitetyllä tavalla tietoihin, jotka Maahanmuuttovirasto, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, elinkeino-, liikenne- ja ympäristökeskukset, työ- ja elinkeinotoimistot sekä ulkoasiainhallinto välttämättä tarvitsevat niiden lakisääteisten tehtävien suorittamiseksi. Lainsäädännön selkeyden vuoksi pykälässä ei lueteltaisi edellä mainittuja tarkoituksia, vaan pykälässä viitattaisiin lain 1 §:ssä säädettyihin käsittelytarkoituksiin. Säännöksessä ei säädettäisi Poliisihallituksen, suojelupoliisin tai Rajavartiolaitoksen tiedonsaantioikeuksista tahoilta, jotka käsittelevät henkilötietoja muissa kuin 1. lakiehdotuksen 1 §:n mukaisissa tarkoituksissa. Kokonaisuuden kannalta olisi perusteltua säätää myös näiden rekisterinpitäjien tiedonsaantioikeuksista, mutta näillä rekisterinpitäjillä ei enää vuoden 2017 alusta voimaan tulleiden lainmuutosten (501–504/2016) jälkeen ole maahanmuuttohallinnon alalla tiedonsaantitarpeita muilta kuin ehdotetun maahanmuuttohallinnon henkilötietolain mukaisilta rekisterinpitäjiltä, jotka käsittelevät henkilötietoja lain 1 §:n mukaisissa tarkoituksissa. Näissä tapauksissa tieto liikkuu edellä esitetyllä tavalla eri rekisterinpitäjien välillä 1. lakiehdotuksen 11 tai 12 §:n nojalla.
Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada välttämättömiä tietoja oikeusrekisterikeskuksen pitämästä sakkorekisteristä. Sakkorekisteri sisältää seuraamuksen kohteena olevan henkilön henkilötiedot, tiedot seuraamuksen laadusta ja määrästä, suoritetuista täytäntöönpanotoimenpiteistä ja niiden ajasta, kertyneistä rahamääristä sekä täytäntöönpanon esteistä. Sakkorekisterin tiedot ovat välttämättömiä Maahanmuuttoviraston lakisääteisten tehtävien suorittamiseksi, kuten kansalaistamiseen liittyvän nuhteettomuusedellytyksen selvittämiseksi, kansainvälistä suojelua koskevan hakemuksen käsittelemiseksi, pakolaisaseman ja toissijaisen suojelun lakkauttamisen ja peruuttamisen selvittämiseksi, ulkomaalaisen maasta karkottamisen perusteiden selvittämiseksi, kausityöntekijän työnantajan velvoitteiden ja laiminlyöntien selvittämiseksi sekä sen selvittämiseksi onko ulkomaalainen uhka yleiselle järjestykselle ja turvallisuudelle. Käsittelyn tarkoitukset on yksilöity kansalaisuuslaissa, ulkomaalaislaissa sekä kausityölaissa.
Maahanmuuttovirastolla olisi myös esimerkiksi oikeus saada välttämättömät tiedot veroviranomaisilta Suomen kansalaisuuden saamisen, säilyttämisen, menettämisen ja siitä vapautumisen edellytysten selvittämiseksi sekä kansalaisuusaseman määrittämiseksi, ulkomaalaisen oleskeluluvan edellytysten selvittämiseksi, oleskelukortin myöntämisen tai peruuttamisen tai oleskeluoikeuden rekisteröinnin edellytysten selvittämiseksi, työnantajavelvoitteiden suorittamisen tarkistamiseksi ja valvomiseksi, ulkomaalaisen ilmoittaman työnantajan työnantajasuorituksista ja niiden ilmoittamisesta, verojen maksuun liittyvästä maksujärjestelystä sekä työnantajan tosiasiallisesta taloudellisesta toiminnasta. Välttämättömät tiedot eivät poikkeuksetta koske hakijaa itseään, vaan tiedot voisivat koskea myös luonnollista henkilöä tai oikeushenkilöä, jonka toiminnasta hakija tai hänen perheenjäsenensä ilmoittaa saavansa tuloja.
Velvoitteidenhoitoselvitys
Velvoitteidenhoitoselvityksellä tarkoitetaan Verohallinnon Harmaan talouden selvitysyksikön eri viranomaisrekistereistä kokoamia työnantajaa koskevia tietoja, joita viranomainen tarvitsee lakisääteisen tehtävänsä suorittamiseen. Sitä sääntelee laki Harmaan talouden selvitysyksiköstä (1207/2010). Harmaan talouden selvitysyksikön tehtävänä on tuottaa ja jakaa tietoa harmaasta taloudesta sekä sen torjunnasta ja tehdä laissa mainittujen viranomaistehtävien tueksi pyynnöstä velvoitteidenhoitoselvityksiä organisaatioista ja organisaatiohenkilöistä. Velvoitteidenhoitoselvityksen tarkoituksena on antaa pääasiassa salassa pidettäviin viranomaistietoihin perustuva kokonaiskuva selvityksen kohteena olevasta organisaatiosta tai organisaatiohenkilöstä, tukea sitä pyytävän viranomaisen tehtävää helpottamalla ja tehostamalla tehtävään liittyvää tiedonhankintaa ja tukea harmaan talouden torjuntaa lisäämällä asiaa käsittelevän viranomaisen tietoa siitä, miten organisaatio tai siihen liittyvä organisaatiohenkilö on hoitanut lakisääteiset velvoitteensa. Velvoitteidenhoitoselvityksen tietosisältö muodostuu pääosin viranomaisrekistereissä olevasta, salassa pidettäväksi määritellystä tiedosta. Velvoitteidenhoitoselvityksen tietosisältö määräytyy Harmaan talouden selvitysyksiköstä annetun lain 7 §:n 1 momentin mukaan sen perusteella, mikä on selvitystä pyytävän viranomaisen oikeus saada salassa pidettävää tietoa kyseiseen käyttötarkoitukseen. Velvoitteidenhoitoselvitys laaditaan kullekin viranomaiselle muussa laissa määritellyn toimivallan ja tiedonsaantioikeuden perusteella. Harmaan talouden selvitysyksiköstä annettu laki ei luo toimivaltaa eikä se tai velvoitteidenhoitoselvitys laajenna pyytävän viranomaisen tiedonsaantioikeuksia. Velvoitteidenhoitoselvitys on väline saada kootusti sellaista tietoa, johon tietyllä viranomaisella oman lainsäädäntönsä puitteissa on oikeus.
Maahanmuuttoviraston, TE-toimistojen ja ELY-keskusten toimivalta käsitellä velvoitteidenhoitoselvitykseen koostettavia eri viranomaisilta saatavia tietoja perustuu ulkomaalaislain, kansalaisuuslain, kausityölain, ICT-lain sekä tutkija- ja opiskelijalain säännöksiin. Velvoitteidenhoitoselvitys laadittaisiin tukemaan edellä mainittujen lakien mukaista ulkomaalaisen maahantuloa, maastalähtöä, oleskelua, työntekoa ja kansalaisuutta koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista. Maahanmuuttoviraston, TE-toimistojen ja ELY-keskusten tiedonsaantioikeus velvoitteidenhoitoselvitystä varten tietoja luovuttavilta viranomaisilta tai julkista tehtävää hoitavilta tahoilta perustuisi tähän säännökseen. Tiedot voitaisiin tiedonsaantioikeussäännöksen perusteella pyytää jokaiselta viranomaiselta erikseen tai kootusti velvoitteidenhoitoselvityksen muodossa.
Turvattu toimeentulo on osa ulkomaalaislain 39, 47 h, 73, 76, 77, 114 ja 115 §:n mukaista oleskelulupaharkintaa sekä ulkomaalaislain 158 a §:n mukaista oleskeluoikeuden rekisteröintiä tai oleskelukortin myöntämistä koskevaa päätösharkintaa. Toimeentulolähteen selvittäminen puolestaan on osa kansalaisuuslain 13 §:n mukaista kansalaistamispäätösharkintaa. Mikäli ulkomaalaisen työnantajalla tai ulkomaalaisella yrittäjällä on julkisten velvoitteiden laiminlyöntejä, ne voivat olla osoitus siitä, ettei ulkomaalaisen toimeentulo ole turvattu ilmoitetusta ansiotyöstä tai yritystoiminnasta saatavilla tuloilla. Sekä ulkomaalaislain 73 §:n mukainen työntekijän että ulkomaalaislain 76 §:n mukainen yrittäjän oleskelulupaharkinta on kaksivaiheinen. Ensimmäisessä vaiheessa TE-toimisto arvioi luvan myöntämisen työvoimapoliittiset ja ELY-keskus kannattavan yritystoiminnan edellytykset. TE-toimisto ja ELY-keskus arvioivat osapäätöksen yhteydessä myös ulkomaalaisen toimeentuloedellytyksen täyttymistä. Työntekijän toimeentulon tulee olla turvattu ansiotyöstä saatavalla tulolla koko oleskeluluvan voimassaolon ajan ja ulkomaalaisen yrittäjän toimeentulon on oltava turvattu ansiotyöllä, yritystoiminnalla tai muulla tavalla koko oleskeluluvan voimassaolon ajan. Toisessa vaiheessa Maahanmuuttovirasto harkitsee oleskeluluvan myöntämisen yleiset edellytykset ja tässä kohtaa oleskelulupa voidaan jättää myöntämättä myönteisestä osapäätöksestä huolimatta ulkomaalaislain 36 §:n nojalla eli käytännössä maahantulosäännösten kiertämisen perusteella. Maahanmuuttovirasto vastaa kansalaisuuslain ja muiden ulkomaalaislain säännösten mukaisesta toimeentuloedellytyksen ja toimeentulolähteen arvioinnista. Voidakseen arvioida, täyttyykö ulkomaalaisen maahantulon edellytykseksi asetettu turvattu toimeentulo työnantajan maksamalla palkalla tai yritystoiminnan tuotoilla taikka kansalaistamisen edellytykseksi asetettu luotettavan toimeentulolähteen edellytys, TE-toimistolla, ELY-keskuksella ja Maahanmuuttovirastolla on oikeus selvittää, että työnantaja tai ulkomaalainen yrittäjä on hoitanut velvoitteensa eikä sillä ole häiriöitä luottotiedoissaan. Palkkaa arvioitaessa on kiinnitettävä huomiota sen suuruuden lisäksi työnantajan todelliseen kykyyn maksaa ilmoitettu palkka ja suoriutua palkan maksuun liittyvistä muista velvoitteista. Sama koskee yritystoimintaa. Turvatun toimeentulon arvioimiseksi TE-toimiston, ELY-keskuksen ja Maahanmuuttoviraston on välttämätöntä tarkastaa ulkomaalaisen, tämän työnantajan tai yrityksen verotusta, eläkevakuutusta, tapaturmavakuutusta, työttömyysvakuutusmaksua, Tullin perimiä maksuja ja ulosottoa koskevat tiedot.
Ulkomaalaislain 72 §:n 1 momentin 3 kohdan mukainen kyky huolehtia työnantajavelvoitteistaan on työntekijän oleskeluluvan myöntämisen edellytys, jota TE-toimisto arvioi osapäätösharkinnassaan. Kyvyttömyyttä huolehtia velvoitteistaan työnantajana osoittaa se, että työnantajalla, tämän organisaatiohenkilöllä tai tämän muulla organisaatiolla on veroihin, lakisääteisiin eläke-, tapaturma- tai työttömyysvakuutusmaksuihin taikka Tullin perimiin maksuihin liittyvien rekisteröitymis-, vakuuttamis-, ilmoitus- ja maksuvelvollisuuksien laiminlyöntejä, ellei lupaviranomainen erityisistä syistä pidä työnantajaa yksittäisistä laiminlyönnistä huolimatta kykenevänä huolehtimaan velvoitteistaan työnantajana. Ulkomaalaislain 73 §:n 1 momentin 4 kohdan mukaan harkinnassa tulee varmistaa, että työnantajan hakemukseen liittämät selvitykset ja vakuutus ovat 72 §:ssä säädetyn mukaiset. Myös ulkomaalaisen yrittäjän kykyä huolehtia vastaavista velvoitteistaan selvitetään osana ulkomaalaislain 76 §:n mukaista yrittäjän oleskelulupaharkintaa, jossa arvioidaan toimeentuloedellytyksen lisäksi yritystoiminnan kannattavuutta. Yritystoimintaa ei ole katsottu kannattavaksi, jos yritys ei ole osoittanut pystyvänsä hoitamaan velvoitteitaan, kuten lakeihin perustuvia veroja tai palkan sivukuluja.
Määräaikainen oleskelulupa voidaan ulkomaalaislain 58 §:n 5 momentin nojalla peruuttaa, jos niitä edellytyksiä, joiden perusteella oleskelulupa myönnettiin, ei enää ole olemassa. Määräaikainen tai pysyvä oleskelulupa voidaan ulkomaalaislain 58 §:n 4 momentin nojalla peruuttaa, jos oleskelulupaa haettaessa on tietoisesti annettu hakijan henkilöllisyyttä koskevia tai muita päätökseen vaikuttaneita vääriä tietoja taikka salattu sellainen seikka, joka olisi saattanut estää oleskeluluvan myöntämisen. Samoin oleskeluoikeuden rekisteröinti ja määräaikainen oleskelukortti peruutetaan ulkomaalaislain 165 §:n nojalla, jos edellytyksiä, joiden perusteella oleskeluoikeus on rekisteröity tai määräaikainen oleskelukortti on myönnetty, ei enää ole tai jos se on saatu antamalla tietoisesti hakijan henkilöllisyyttä koskevia taikka muita asiaan vaikuttavia vääriä tietoja tai salaamalla tällaisia tietoja taikka muutoin oikeuksien väärinkäytöllä. Ulkomaalaislain 212 §:n 1 momentissa Maahanmuuttovirastolle on asetettu velvoite valvoa ulkomaalaislain säännösten noudattamista. Ulkomaalaisen voimassaoleva lupa voidaan peruuttaa, jos velvoitteidenhoitoselvityksestä tai muilla keinoin saaduista valvonta- tai tarkastustiedoista käy ilmi, että työnantaja ei ole noudattanut ilmoittamiaan työsuhteen ehtoja tai on laiminlyönyt huolehtia laissa säädetyistä tai työehtosopimuksessa sovituista työnantajavelvoitteistaan tai ulkomaalaisen yritys ei enää täytä kannattavan toiminnan edellytyksiä. Velvoitteidenhoitoselvityksellä saatavia tietoja voitaisiin käyttää myös arvioitaessa tarvetta kohdistaa työsuojelu- tai ulkomaalaisvalvontaa ulkomaalaisia työllistäviin työnantajiin.
Hakemus kausityöhön oikeuttavasta luvasta voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijänä työskentelyä varten annetun lain 7 §:n mukaan hylätä tai 14 §:n mukaan peruuttaa muun muassa, jos työnantaja ei ole noudattanut lakiin tai työehtosopimukseen perustuvia sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin, työoloihin tai työehtoihin liittyviä velvoitteitaan tai jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Lain 8 §:n mukaan työnantajan on annettava vakuutus, että työsuhteen ehdot ovat voimassaolevien säännösten ja työehtosopimusten mukaisia.
Maahanmuuttovirasto voi lain 20 §:n perusteella päättää, että kausityöhön oikeuttavia lupia ei myönnetä sellaisen työnantajan palveluksessa työskentelemiseksi, joka vakavasti laiminlyö kausityölaissa tai ulkomaalaislaissa säädetyt velvoitteensa. Säännöksen soveltaminen edellyttää, että ulkomaalaislaissa säädettyjen velvoitteiden noudattaminen voidaan tarkastaa Maahanmuuttovirastossa, vaikka ulkomaalaisen työnantajavelvoitteiden noudattamista koskevan ulkomaalaislain 73 §:ssä tarkoitetun osapäätöksen olisi tehnyt TE-toimisto työnantajalta ulkomaalaislain 72 § 1 momentin 3 kohdan perusteella pyydetyn selvityksen perusteella.
Hakemus yrityksen sisäisen siirron yhteydessä myönnettävän ICT-oleskeluluvan myöntämisestä voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetun lain 8 §:n mukaisin perustein hylätä tai voimassaoleva lupa 9 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos työnantaja tai vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työoloihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä tai peruuttaa, jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Vastaavat säännökset sisältyvät lain 25 §:ssä säädettyihin liikkuvan ICT-oleskeluluvan hylkäämisperusteisiin.
Kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetun lain mukainen oleskelulupahakemus voidaan 11 §:n mukaisin perustein hylätä tai voimassaoleva lupa 12 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työehtoihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä, peruuttaa tai jättää uusimatta, jos vastaanottavan yksikön yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa.
Ulkomaalaislain 146 §:n tai 168 b §:n mukaisen maasta poistamista tai karkottamista koskevan kokonaisharkinnan yhteydessä tulee arvioida paitsi henkilön taloudellinen tilanne myös mahdolliset yritystoimintaa tai työntekoa koskevat siteet Suomeen.
Velvoitteidenhoitoselvitystä käytettäisiin siis arvioitaessa työnantajan kykyä selvitä laissa säädetyistä velvoitteistaan ulkomaalaisen työnantajana, määrättäessä ulkomaalaisen työnantajaan kohdistettavia seuraamuksia ja arvioitaessa henkilön kykyä huolehtia omasta tai perheenjäsenensä toimeentulosta Suomessa. Velvoitteidenhoitoselvitystä voitaisiin käyttää myös ulkomaalaisen yrittäjän yritystoiminnan kannattavuuden ja toimeentuloedellytyksen täyttymisen arviointiin. Oleskelulupaa koskeva hakemus voidaan hylätä, jos on aihetta epäillä työnantajan kykyä tai halua maksaa ulkomaalaiselle hakemuksessa ilmoitetun suuruista palkkaa tai suoriutua muista työnantajavelvoitteistaan taikka ulkomaalaisen yrittäjän yritystoiminnan kannattavuutta tai toimeentulon riittävyyttä. Jatkolupaa koskeva hakemus voidaan evätä tai voimassaoleva lupa peruuttaa, jos työnantaja tai ulkomaalainen yrittäjä on laiminlyönyt noudattaa laissa säädettyjä velvoitteitaan. Velvoitteidenhoitoselvityksestä ilmeneviä tietoja voitaisiin myös käyttää perusteena päätökselle, jossa pidättäydyttäisiin myöntämästä lupia laissa säädettyjä velvoitteitaan laiminlyöneen työnantajan palvelukseen. Hakijan antamien tietojen tarkistaminen velvoitteidenhoitoselvityksellä olisi välttämätöntä myös tilanteissa, joissa tämä palkallaan, yritystoiminnasta tai muista lähteistä peräisin olevilla tuloillaan ilmoittaa täyttävänsä laissa säädetyn itseään tai perhettään koskevan toimeentuloedellytyksen Suomessa oleskelun aikana. Velvoitteidenhoitoselvityksellä saatavat tiedot olisivat välttämättömiä myös tehostettaessa ulkomaalaisen työvoiman käyttöön liittyvää valvontaa ja määritettäessä työnantajaan kohdistuvien seuraamusten suuruutta. Tiedot ovat välttämättömiä maahanmuuttohallinnon toimivaltaa luovan lainsäädännön mukaisen päätösharkinnan ja valvonnan toteuttamiseksi, sillä ratkaisua tai valvontaa ei voida tehdä ilman niitä ja niiden puuttuminen voi johtaa virheelliseen päätökseen.
Maahanmuuttovirastolla, TE-toimistolla tai ELY-keskuksella olisi oikeus saada viranomaiselta ja muulta julkista tehtävää hoitavalta oleskeluluvan hakijan, tämän yritystoiminnan sekä hakijan ilmoittaman työnantajan ja tähän liittyvän Harmaan talouden selvitysyksiköstä annetussa laissa tarkoitetun organisaatiohenkilön tai tämän muun organisaation välttämättömiä tietoja veroihin, lakisääteisiin eläke-, tapaturma- ja työttömyysvakuutusmaksuihin sekä Tullin perimiin maksuihin liittyvien rekisteröitymis-, ilmoitus- ja maksuvelvollisuuksien hoitamisesta, toiminnasta ja taloudesta sekä kytkennöistä. Esimerkiksi ulosottoviranomaiselta olisi välttämätöntä saada tiedot ulkomaalaisen, tämän perheenjäsenen tai työnantajan tuloista, veloista, saatavista ja ulosottotiedoista, päätöksistä sekä päätösten perusteena olevista asiakirjoista työnantajan vakavaraisuuden selvittämiseksi, toimeentuloedellytyksen selvittämiseksi, yrittäjän oleskeluluvan edellytysten selvittämiseksi, karkottamisessa tehtävän kokonaisharkinnan suorittamiseksi ja elatusvelvollisuuden laiminlyönnin poissulkemiseksi. Yksistään kansalaistamisasian ratkaisemiseksi Maahanmuuttoviraston olisi välttämätöntä saada ulosottoviranomaiselta tietoa ulosotossa olevista julkisoikeudellisista maksuista, elatusavusta ja elatustuesta sekä näiden maksamisesta, jäljellä olevasta velasta ja maksusuunnitelmasta. Tiedot olisivat välttämättömiä arvioitaessa esimerkiksi kansalaisuuden myöntämisen yleisten edellytysten täyttymistä, työnantajan todellista kykyä maksaa ilmoitettu palkka ja suoriutua palkan maksuun liittyvistä muista velvoitteista, yrityksen kannattavan toiminnan edellytyksiä sekä tehostettaessa ulkomaalaisen työvoiman käyttöön liittyvää valvontaa.
Hallintolain 31 §:n mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Hallintolain esitöiden (HE 72/2002 vp) mukaan selvittämisvelvollisuutta koskevalla säännöksellä vahvistetaan periaate, jonka mukaan aineellinen menettelyjohtovalta ja päävastuu asian selvittämisestä on viranomaisella. Kyse on hallinto-oikeudessa vakiintuneesta virallisperiaatteesta. Säännöksen tarkoituksena on korostaa virallisperiaatteen noudattamista ja pyrkimystä aineellisen totuuden saavuttamiseen asettamalla viranomaisen velvollisuudeksi huolehtia asian riittävästä ja asianmukaisesta selvittämisestä. Asian riittävällä selvittämisellä tarkoitettaisiin sitä, että viranomainen hankkii sellaiset tiedot ja selvitykset, joilla se arvioi olevan merkitystä asian ratkaisemiselle. Selvittämisen asianmukaisuus puolestaan korostaisi viranomaiselle kuuluvaa menettelyjohtovaltaa ja huolellisuutta selvitysten hankkimisessa.
Nykyään viranomaiset saavat veroihin ja muihin julkisoikeudellisiin maksuihin liittyvien velvollisuuksien hoitamista ja taloutta koskevat tiedot pyytämällä suoraan hakijalta taikka tämän ilmoittamalta työnantajalta tai perheenkokoajalta. Näille tahoille aiheutuu kuitenkin vaivaa ja kustannuksia viranomaistodistusten hankinnasta. Tämän lisäksi lisätietojen pyytäminen hidastaa hakemuksen käsittelyä ja lisätietopyyntöjen valmisteluun, lähettämiseen sekä läpikäyntiin kuluu tarpeettomasti viranomaisen työaikaa, eikä hakemuksen käsittelijä välttämättä tule pyytäneeksi kaikkia hakemuksen käsittelyn kannalta merkityksellisiä tietoja. Lisätietojen antajalla on myös joissain tapauksissa mahdollisuus vaikuttaa tietojen sisältöön ja oikeellisuuteen. Muilta viranomaisilta saatavan tiedon luotettavuus ja käsittelyn sujuvuus puoltavat viranomaisen selvitysvelvollisuuden painottamista tiedonsaantioikeus mahdollistamalla. Samalla vähennetään hakijan, hänen työnantajansa tai perheenkokoajan hallinnollista taakkaa.
Suoraan viranomaisilta saadut tiedot taloudellisesta tilanteesta ja julkisten velvoitteiden hoitamisesta parantaisivat lupaharkinnan laatua suhteessa nykytilanteeseen, jossa lupaharkinta tehdään pääosin hakijan toimittamien selvitysten perusteella. Monissa tilanteissa esimerkiksi pelkät tilinpäätöstiedot ovat riittämätön pohja taloudellisen tilan oikealle arvioinnille. Lupaharkinnassa esiintyy esimerkiksi tilanteita, joissa taloudellinen tila on tilinpäätöstietojen perusteella arvioituna niin heikko, että luvan myöntämisen edellytykset eivät välttämättä täyty, mutta varsinaisia perusteita luvan epäämiselle ei kuitenkaan ole. Näissä tilanteissa tarkemman ja laajemman selvityksen saaminen luvan hakijan kokonaistilanteesta olisi välttämätöntä oikean luparatkaisun tekemiseksi. Ajantasaisen, juuri päätöksentekohetken tilannetta vastaavan tiedon saaminen lupaharkintaa varten olisi välttämätöntä oikeansisältöisten päätösten tekemisen kannalta.
Myönnettävien lupien jälkivalvonta, kuten oleskelulupien peruuttaminen, on nykyisellään haasteellista. Viranomaisten tietojen saanti perustuu pääosin luvan haltijalta itseltään tai esim. tämän työnantajalta saatuun tietoon. Käytännössä tietoa esimerkiksi ulkomaalaisen työsuhteen päättymisestä ei tule viranomaiselle, ellei työnantaja oma-aloitteisesti ilmoita siitä, mitä tapahtuu hyvin harvoin. Yleensä väärinkäytökset tulevat viranomaisen tietoon työntekijän tai jonkin ulkopuolisen tahon kautta. Tällä hetkellä jälkivalvonta painottuukin jatkoluvan hakemisvaiheeseen. Ulkomaalaislain 212 §:n nojalla Maahanmuuttovirasto voisi kuitenkin tarvittaessa suorittaa myös oma-aloitteista jälkivalvontaa, mikä edellyttää keskitettyä ja tehokasta tiedonsaantia edellä mainituista väärinkäytöksistä.
Tarpeelliset tiedot
Tiedonsaantioikeus sidottaisiin nykytilasta poiketen tarpeellisuusvaatimukseen siltä osin kuin tiedot eivät olisi lakisääteisten tehtävien suorittamiseksi välttämättömiä. Tarpeellisia tietoja olisivat sellaiset tiedot, jotka tukevat Maahanmuuttovirastoa, vastaanotto- tai järjestelykeskusta tai säilöönottoyksikköä sen lakisääteisten tehtävien suorittamisessa. Tarpeellinen tieto voi siis olla tärkeä osa kokonaisharkintaa, mutta ratkaisua ei voi perustaa yksin sen varaan. Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada esimerkiksi oikeusrekisterikeskuksen pitämästä sakkorekisteristä tiedot henkilötiedoista, ratkaisutiedoista, täytäntöönpanoasiatiedoista, muuntorangaistusasioista ja tapahtumatiedoista, silloin kun tiedot ovat tarpeellisia muiden kuin oleskelulupaa hakevien henkilöiden rekisteritiedoista kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Sikäli kuin tietojensaantioikeus on sidottu tarpeellisuusvaatimukseen, tarkoitetut tietosisällöt on lueteltu laissa tyhjentävästi perustuslakivaliokunnan vakiintuneen kannan mukaisesti (PeVL 17/2016 vp, s. 5—6).
Laissa säädettäisiin oikeudesta saada tarpeellisia tietoja kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä muiden kuin oleskelulupaa hakevien henkilöiden tiedoista, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Kyse on vastuunmäärittämisasetuksen ("Dublin-asetus", 604/2013/EU) 8 artiklan 2 kohdan (alaikäiset turvapaikanhakijat) ja 16 artiklan 1 kohdan (riippuvuussuhteessa olevat henkilöt) mukaisen harkinnan suorittamiseksi tarvittavista tiedoista. Asetuksen mukaisen harkinnan tulee perustua siihen onko henkilö, jonka olisi tarkoitus huolehtia alaikäisestä tai riippuvuussuhteessa olevasta, kykenevä huolehtimiseen. Komissio ei ole avannut edellytysten sisältöä. Komission täytäntöönpanoasetuksella 118/2014/EU annettiin kuitenkin vakiolomakkeet helpottamaan tällaisten henkilöiden tunnistamista (liitteet VII ja VIII). Näillä lomakkeilla tietoa antavan valtion on ilmoitettava onko alustavaa näyttöä muun muassa henkilön kyvystä ja aineellisista valmiuksista huolehtia alaikäisestä tai riippuvuussuhteessa olevasta. Kyseisissä tiedoissa on kyse Suomessa oleskelevasta henkilöstä, joka voi olla myös Suomen kansalainen. Kykyä ja aineellista valmiutta arvioitaisiin esimerkiksi rikostietojen sekä tulo- ja varallisuustietojen perusteella. Maahanmuuttoviraston olisi tarpeellista saada kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä tiedot tämän huolehtimiskykyä koskevan harkinnan suorittamiseksi. Suoritettavalla harkinnalla voisi olla merkitystä erityisesti lapsen edun kannalta. Henkilön yksityisyyden suojaan puuttuminen on näin ollen oikeasuhtaista, koska tavoitteena on heikommassa asemassa olevien lasten ja läheisiinsä erityisessä riippuvuussuhteessa olevien suojaaminen.
Esimerkiksi oikeusrekisterikeskukselta Maahanmuuttovirasto tarvitsisi henkilön Dublin-asetuksen mukaisen huolehtimiskyvyn selvittämiseksi tiedot rangaistuksista ja niiden laadusta, sillä esimerkiksi ehdoton vankeusrangaistus vaikuttaa suoraan henkilön kykyyn huolehtia toisesta henkilöstä. Tämän lisäksi tarvitaan Rikosseuraamuslaitokselta tieto vapautumisajankohdasta ja vapautumiseen liittyvistä ehdoista, kuten ehdonalaiseen vapauteen liittyvästä valvonnasta, joilla on myös merkitystä henkilön huolehtimiskyvyn kannalta.
Maahanmuuttovirastolla olisi esimerkiksi oikeus saada ulkoasiainhallinnolta tieto asiakirjojen laillistamisesta. Laillistamisen tarkoituksena on edustustossa varmentaa asiakirjan antaneen viranomaisen toimivalta antaa kyseinen asiakirja kyseisessä vieraassa valtiossa. Edustustoissa suoritetuista notaaritoimituksista pidetään ns. notaaritoimitusten luetteloa. Maahanmuuttovirasto tarvitsisi tiedon kielteisestä asiakirjan laillistamispäätöksestä ulkomaisen asiakirjan luotettavuuden arvioimiseksi. Tieto siitä, miksi asiakirjaa ei ole laillistettu, on tarpeellinen erityisesti kansalaisuusasioiden käsittelyssä.
Tiedon saamisesta teknisen käyttöyhteyden avulla ei olisi enää tarpeen säätää erikseen, koska perustuslakivaliokunta ei ole enää viimeaikaisessa lausuntokäytännössään nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Muutoinkin tietojen siirtämisen teknisistä edellytyksistä tulisi säätää vain tiedon luovuttajan osalta, koska tämä taho vastaa hallussaan olevista tiedoista. Tiedon luovuttamisen tavasta teknisen rajapinnan avulla tai katseluyhteys avaamalla säädetään tiedonhallintalaissa.
14 §.Henkilötietojen luovuttaminen. Pykälän 1 momentissa säädettäisiin, että sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin, kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi. Pykälän nojalla henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla. Henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin säädetään erikseen.
Raskaan sääntelyrakenteen synnyttävän ja tulkintaongelmia luovan kaksinkertaisen sääntelyn purkamiseksi henkilötietojen luovuttamista koskevaa sääntelyä yksinkertaistettaisiin voimassaolevaan lainsäädäntöön nähden siirtymällä sääntelymalliin, jossa tiedonluovutus olisi sidottu vastaanottavan viranomaisen lakisääteisiin tehtäviin perustuviin tiedonsaantioikeuksiin. Tiedonluovutuksen luova käsittelytarkoitus, tietosisältö ja luovutuksen kohde olisi sidottu tietojen pyytäjän lainsäädäntöön sisältyviin tiedonsaantioikeuksiin. Lähtökohta olisi, että tiedonsaantioikeus loisi vastanottajalle yksilöidyn oikeuden saada tietoa. Tiedonluovutuksesta olisi kuitenkin edelleen tarpeen säätää ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu. Koska tiedonsaantioikeudesta säätäminen olisi lähtökohta säänneltäessä tiedon liikkumista, tiedonluovutuksen osalta olisi mahdollista siirtyä yleisluontoisempaan sääntelymalliin. Voimassaolevaan ulkomaalaisrekisterilain 10 §:ään verrattuna muuttuneella muotoilulla ei ole tarkoitus muuttaa tiedonsaajien oikeutta saada tietoja. Valmistelussa on varmistuttu voimassaolevan ulkomaalaisrekisterilain 10 §:n mukaisten tiedonsaajien tiedonsaantioikeuksien riittävyydestä pyytämällä näitä tahoja huomioimaan lausunnoissaan mahdolliset puutteet tiedonsaantioikeuksissaan. Nyt esitettävä muotoilu mahdollistaisi tiedonluovutuksen jatkossa myös sellaisissa tilanteissa, joissa tiedonsaanti perustuu vastanottajan tiedonsaantioikeuksiin, mutta tiedonluovutuksesta ei nykyään ole erikseen säädetty ulkomaalaisrekisterilaissa.
Rekisterinpitäjät päättäisivät itsenäisesti tietojen luovuttamisesta rekisterinpitäjän vastuun nojalla. Yhteisrekisterinpitäjyys ei loisi oikeutta luovuttaa kaikkia lain soveltamisalan piiriin kuuluvia tietoja, vaan kukin rekisterinpitäjä voisi luovuttaa ainoastaan sellaisia tietoja, joita kyseinen viranomainen on toimivaltainen käsittelemään ja joista se rekisterinpitäjänä vastaa.
Tietoja luovuttavan tahon tulisi arvioida tiedonsaantia koskeva pyyntö luovuttamisen laillisten edellytysten kannalta. Rekisterinpitäjän vastuu sisältää velvollisuuden arvioida, mitä tietoa se luovuttaa vastaanottavan viranomaisen tiedonsaantioikeuden nojalla. Käyttötarkoitussidonnaisuuden toteutumisen varmistamiseksi tiedonsaajan tulisi tietoa tai tietoja tai järjestelmään pääsyä pyytäessään perustella se, mihin sen oikeus saada kyseistä tietoa perustuu, tiedon käsittelytarkoitus sekä tarvittavat tiedot. Rekisterinpitäjä arvioisi tiedonpyytäjän pyynnön perusteella tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan henkilötietojen minimointia koskeva periaatteen huomioiden luovutettavien henkilötietojen tietosisällön sekä sen, missä muodossa tiedot luovutetaan. Tietoa luovuttavan viranomaisen tulisi luovutuksen edellytyksiä arvioidessaan huomioida muun muassa tiedon tarve eli mihin tarkoitukseen henkilötietoa pyydetään, onko pyydetty tieto yksilöity riittävällä tavalla käyttötarkoitus huomioiden, onko tieto sekä tietoa pyytävä viranomainen yksilöity riittävällä tarkkuudella, onko tieto saatavissa muusta tietolähteestä tai esimerkiksi hakijalta itseltään ja mikäli näin on, puoltaako esimerkiksi tiedon luotettavuusvaatimus (tiedon nojalla tehdään henkilöä velvoittava päätös) tiedon saamista juuri luovuttavalta taholta sekä onko intressin ja riskin välillä riittävä tasapaino erityisesti, jos kyseessä on pääsyoikeuden avaaminen tietojärjestelmään. Arvioinnin ei tarvitsisi olla tiukan tapauskohtaista tilanteissa, joissa tietoa luovutetaan säännönmukaisesti tietylle viranomaiselle tiettyä käyttötarkoitusta varten.
Laissa ei eriteltäisi tilanteita sen mukaan, onko kyse tiedon yksittäistapauksellisesta luovutuksesta vai muiden kuin yksittäisten tietojen luovuttamisesta. Laissa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Tiedonhallintalaissa säännellään yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään. Ulkomaalaisasioiden asiankäsittelyjärjestelmän osalta Maahanmuuttovirasto ja kansallisen viisumijärjestelmän osalta ulkoasiainhallinto toimisi järjestelmän ylläpitäjänä, joka päättäisi tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluyhteyden avaamisesta järjestelmään. Luovutettavia tietoja koskeva teknisen suojaamisen vaatimus seuraa puolestaan suoraan tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan mukaisesta käsittelyn turvallisuudesta. Tietosuoja-asetus edellyttää korkeaa tietosuojan ja tietoturvallisuuden tasoa.
Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Luovuttamisen edellytyksiä arvioitaessa tulisi erityistä painoarvoa antaa sille, että kyseessä on erityisiin henkilötietoryhmiin kuuluva henkilötieto. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Tämä edellyttäisi suppeaa luovutussäännösten tulkintaa. Henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla.
Tietojen luovuttaminen ei koskisi oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä taikka huomiotietoja, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen lain 9 ja 10 §:ssä.
15 §.Henkilötietojen luovuttaminenEuroopan unionin yhteisiin tietojärjestelmiin. Pykälässä säädettäisiin Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin henkilötietoja sen mukaan kuin mainituissa asetuksissa säädetään. Toimivalta luovuttaa henkilötietoja asetuksella perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin seuraa suoraan kustakin perustamisasetuksesta.
Euroopan unionin yhteisiä tietojärjestelmiä on useita, joista osa on vasta valmisteilla. Tällaisia ovat toisen sukupolven Schengenin tietojärjestelmä (SIS II), Eurodac-järjestelmä, viisumitietojärjestelmä (VIS), Rajanylitystietojärjestelmä (EES) sekä EU:n matkustustieto- ja -lupajärjestelmä (ETIAS).
Näiden tietojärjestelmien säädöspohjan muodostavat toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskeva Euroopan parlamentin ja neuvoston SIS-poliisiyhteistyöasetus (EU) N:o 2018/1862 ja SIS-rajatarkastusasetus (EU) N:o 2018/1861 sekä niitä täydentävä SIS-palautusasetus (EU) N:o 2018/1860, Eurodac-järjestelmää koskeva Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, viisumitietojärjestelmää (VIS) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, rajanylitystietojärjestelmää (EES) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226 sekä EU:n matkustustieto- ja -lupajärjestelmää (ETIAS) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240.
Schengen tietojärjestelmän osalta säännös vastaisi voimassa olevan poliisin henkilötietolain 36 §:n mukaista säännöstä. Säännös on tarkoituksenmukaista sisällyttää maahanmuuttohallinnon henkilötietolakiin, koska valmisteilla olevan poliisin henkilötietolain kokonaisuudistuksessa voimassaolevaa säännöstä on tarkoitus kaventaa koskemaan vain poliisia. Tarkoituksena on tuoda näkyväksi Maahanmuuttoviraston oikeus luovuttaa tietoa Schengenin tietojärjestelmään nykytilaa vastaavasti. Myös Rajavartiolaitos on arvioinut tarpeelliseksi säätää tietojen luovutuksesta Rajavartiolaitoksen henkilötietolaissa. Velvoite tietojen luovuttamiselle on seurannut toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annetusta Euroopan parlamentin ja neuvoston asetuksesta (EY) N:o 1987/2006, joka kumotaan siitä päivästä alkaen, kun SIS-rajatarkastusasetusta (EU) N:o 2018/1861 sovelletaan kokonaisuudessaan. Valmistelussa on arvioitu, että vaikka velvoite seuraa suoraan asetuksesta, luovutuksesta olisi tarpeen säätää erikseen, koska esimerkiksi biometristen tietojen, kuten sormenjälkien, luovutus koskisi tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovutusta. Tietosuoja-asetuksen johdanto-osan 53 kappaleessa todetaan, että jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön lisäehtoja, kuten rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tämän ei kuitenkaan pitäisi saada vaikeuttaa henkilötietojen vapaata kulkua unionissa niissä tapauksissa, joissa näitä ehtoja sovelletaan kyseisten henkilötietojen rajatylittävään käsittelyyn. Myös perustuslakivaliokunta on aiemmassa lausuntokäytännössään rinnastanut biometriset tiedot arkaluonteisiin tietoihin, joiden asianmukaiseksi suojaamiseksi niiden luovuttamisesta tulee säätää erikseen (PeVL 14/2009 vp, s. 3 ja PeVL 47/2010 vp, s. 3). Tiedonluovutuksesta olisi tarpeen säätää myös ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu.
16 §.Tietojen poistaminen. Tietosuoja-asetuksen 6 artiklan 3 kohdassa mahdollistetaan tietojen säilytysajoista säätäminen kansallisessa lainsäädännössä. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan tietojen minimointia ja 5 artiklan 1 kohdan e alakohdan säilytyksen rajoittamista koskevan lähtökohdan mukaisesti henkilötietojen poistamista koskevat määräajat perustuisivat tarpeeseen säilyttää tietoa vain ajan, joka on rekisterinpitäjän lainmukaisten tehtävien suorittamiseksi ja lakien noudattamisen valvomiseksi tarpeen sekä henkilön oikeusturvan kannalta perusteltua.
Perustuslakivaliokunta on käytännössään korostanut arkaluonteisten tietojen käsittelyn rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (PeVL 13/2017 vp, s. 6), kun taas muun tyyppisten henkilötietojen kohdalla valiokunta on suhtautunut sallivammin pidempiin säilytysaikoihin (PeVL 2/2018 vp, s. 6). Henkilötietojen säilyttämiseen liittyvien riskien ja niiden säilyttämisellä tavoiteltujen oikeusturvan varmistamisen ja identiteetin suojaamisen välillä on tehty punnintaa varsinkin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta.
Säännöksen johtolauseessa olisi informatiivinen säännös, jolla pyrittäisiin huomioimaan Euroopan unionin lainsäädännöstä mahdollisesti seuraavat poikkeavat henkilötietojen poistoajat. Unionissa on tällä hetkellä valmisteltavana menettelyasetus ja uudelleensijoittamista koskeva asetus, joissa säädetään kansainvälistä suojelua hakeneen henkilön asiaa koskevien tietojen poistamisesta.
Tietojen poistamista koskeva aika pitenisi tietyissä tilanteissa. Voimassaolevaan lakiin verrattuna tietojen poistamiseen liittyvät säännökset pitenisivät, kun 1 kohdan mukaan henkilön tunnistetiedoista asiakasnumero, nimi, syntymäaika, henkilötunnus, ulkomainen henkilönumero, muu ulkomainen henkilön yksilöimiseksi annettu tunnus, kansalaisuus ja henkilön perhesuhdetiedot poistettaisiin kymmenen vuoden kuluttua siitä, kun hän on kuollut tai saanut Suomen kansalaisuuden tai häneen liittyvien asioiden tiedot on poistettu.
Maahanmuuttohallinnolle on leimallista, että aiemmin vireillä olleet asiat voivat olla merkityksellisiä myöhemmissä asioissa, esimerkiksi uutta oleskelulupaa haettaessa, myöhemmin vireille tulevassa perheenjäsenen oleskelulupa-asiassa, kansalaisuuden myöntämistä koskevassa asiassa tai kansalaisuuden menettämisasian yhteydessä. Rekisteröidyn oikeuksien turvaamiseksi on tärkeää, että merkitykselliset perustiedot säilytetään riittävän pitkään. Henkilön perustietojen riittävän pitkää säilyttämisaikaa puoltaa lisäksi väärinkäytöstilanteiden ennalta ehkäiseminen esimerkiksi estämällä useamman päällekkäisen henkilöllisyyden luominen. Ilman riittävän pitkää perustietojen säilytysaikaa usean henkilöllisyyden luominen on mahdollista tilanteissa, joissa henkilö on ensin esimerkiksi opiskellut Suomessa ja palaa maahan myöhemmin esimerkiksi työntekijänä. Usean eri henkilöllisyyden tilanteet aiheuttavat hankalia heijastusvaikutuksia myös muiden viranomaisten rekisterimerkintöihin. Tällaisten päällekkäisyyksien välttäminen on myös hakijan edun mukaista. Riittävän pitkä määräaika olisi perusteltu myös kansalaisuuden menettämistä koskevan asian vireille tulemisen näkökulmasta. Päätöstä kansalaisuuden menettämisestä ei voida tehdä, jos kansalaisuushakemuksen tai -ilmoituksen ratkaisusta on kulunut yli viisi vuotta. Jos kansalaisuuden menettämistä koskeva asia on tullut vireille ennen kuin viisi vuotta on kulunut kansalaisuuspäätöksen tekemisestä, päätös voidaan kuitenkin tehdä vielä tämän jälkeen. Määräaika on perusteltu myös siksi, että perheenjäsenen oleskelulupa-asian vireille tuleminen on mahdollista vielä pitkään esimerkiksi henkilön kuoleman jälkeen.
Tietosuoja-asetuksen johdanto-osan 27 kappaleen mukaan tietosuoja-asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin, mutta niistä voidaan säätää kansallisessa lainsäädännössä. Maahanmuuttohallinnon alalla henkilötietojen säilyttämisestä olisi edellä esitetyn johdosta tarpeellista säätää vielä henkilön kuoleman jälkeen.
Pykälän 2 kohdan mukaan muut henkilötiedot poistettaisiin viimeistään, kun oleskeluoikeuden päättymisestä tai viimeisimmän vireillä olleen asian viimeisestä tiedon merkitsemisestä on kulunut viisi vuotta. Myös henkilöön liittyvien asioiden tiedot poistettaisiin samalla.
Tietojen poistamista koskevat määräajat kaikkien vireillä olleiden asioiden osalta laskettaisiin viimeisimmän vireillä olleen asian päättymisestä. Tämä olisi muutos nykytilaan verrattuna. Tämä pidentäisi osa henkilötiedoista säilytysaikaa. Kaikkien asioiden samanaikainen poistaminen olisi kuitenkin perusteltua sen välttämiseksi, että henkilön asiaa koskevissa tiedoissa olisi ajallisia aukkoja, jota ei voida pitää perusteltuna rekisteröidyn oikeusturvankaan näkökulmasta.
Pykälän 3 kohdan mukaan perustuslakivaliokunnan edellä esitetyn kannan mukaisesti erityisiin henkilötietoryhmiin kuuluvat tiedot poistettaisiin kuitenkin heti kun ne olisivat käyneet tarpeettomiksi. Erityisiin henkilötietoryhmiin kuuluvan henkilötiedon käsittelyn edellytyksenä on välttämättömyys jonkin tarkoituksen kannalta. Näin ollen erityisiin henkilötietoryhmiin kuuluva henkilötieto olisi tarpeeton silloin, kun se ei enää ole käsittelyn näkökulmasta välttämätön.
Luonteensa vuoksi myös huomiotiedot poistettaisiin erillisen määräajan puitteissa kuuden kuukauden kuluttua tiedon merkitsemisestä. Huomiotietojen, kuten muidenkin tietojen osalta, olisi huomioitava tietojen minimointia koskeva lähtökohta, jonka mukaan tietojen on oltava rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
Esityksessä omaksutun käyttötarkoitussidonnaisen lähtökohdan mukaisesti henkilötietojen poistaminen ei olisi sidottu mihinkään järjestelmään, vaan henkilötiedot poistettaisiin niistä järjestelmistä, joissa niitä käsitellään. Lakisääteisen säilytysajan päätyttyä henkilötiedot tulisi poistaa joko hävittämällä ne tai siirtämällä ne arkistoon sen mukaan mitä Arkistolaitos määrää asiakirjojen tai asiakirjoihin sisältyvien tietojen säilyttämisestä pysyvästi. Poistetut tiedot arkistoitaisiin siis siten kuin siitä erikseen säädetään tai määrätään. Virheelliseksi todetun tiedon poistamisesta säädettäisiin erikseen.
Tietojen poistamisesta vastaavasta viranomaisesta säädettäisiin 4 ja 5 §:ssä.
17 §.Virheelliseksi todettu henkilötieto. Sen estämättä mitä tietosuoja-asetuksessa säädetään virheellisen tiedon poistamisesta, virheelliseksi todetun henkilötiedon saisi säilyttää korjatun henkilötiedon yhteydessä, jos se olisi tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista henkilötietoa saisi käsitellä vain mainitussa tarkoituksessa.
Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä. Tietosuoja-asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Tietosuoja-asetuksen 17 artiklassa säädetään tietojen poistamisesta erikseen luetelluissa tilanteissa, mutta tietojen virheellisyyttä ei ole artiklassa luettu poistamisen perusteeksi. Tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan mukaan 5 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa voidaan rajoittaa lainsäädännössä, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, kunhan rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällaisista rajoituksista säätäminen edellyttää tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan myös erityisiä säännöksiä muun muassa suojatoimista ja tietojen säilytysajoista. Suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa. Virheelliseksi todetun tiedon säilyttäminen on välttämätön ja oikeasuhtainen toimenpide rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien ja vapauksien turvaamiseksi.
Pykälä ei rajoittaisi oikeutta tietojen oikaisemiseen, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä. Pykälässä säädettäisiin virheelliseksi todetun tiedon säilyttämisestä tilanteissa, joissa se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 9 §:n 2 momenttiin verrattuna oikeustila muuttuisi niin, että merkityksellistä olisi myös muun asianosaisen oikeuksien turvaaminen esimerkiksi perheenjäsenen oleskelulupaa koskevissa tilanteissa.
Virheellisten tietojen luonne huomioiden niiden käsittelemisen tapaan tulisi kiinnittää erityistä huomiota. Virheelliset tiedot eivät saisi esimerkiksi joutua myöhemmin käsittelytoimien kohteeksi eikä niitä tulisi voida muuttaa. Virheelliseksi todettu tieto, jota säilytetään, olisi poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää olisi tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta. Viiden vuoden määräajan alkamistapa muuttuisi, kun määräaika laskettaisiin virheellisen henkilötiedon tallentamisen sijaan virheen havaitsemisesta. Virheellisen tiedon viiden vuoden säilyttämisaika on perusteltu esimerkiksi tilanteissa, joissa on kyse virheellisen tiedon tallentaneen virkamiehen oikeusturvasta virkavastuuta koskevassa asiassa.
18 §.Tietojen arkistointi. Pykälä sisältäisi informatiivisen säännöksen, jossa todettaisiin, että arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen. Tällä hetkellä muotoilulla tarkoitettaisiin sitä, mitä voimassa olevassa arkistolaissa (831/1994) tai sen nojalla säädetään.
Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa yleisen edun mukaista arkistokäyttötarkoitusta ei pidetä yhteensopimattomana alkuperäisen käyttötarkoituksen kanssa. Tällä perusteella henkilötietoja sisältäviä tietoaineistoja voidaan arkistoida, jos se on yleisen edun mukaista.
19 §.Rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen. Pykälässä säädettäisiin menettelystä tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttamiseksi. Tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin. Tietosuojalaissa tähän rekisteröidyn oikeuteen saada pääsy tietoihinsa viitataan rekisteröidyn oikeudella tutustua hänestä kerättyihin tietoihin ja rikosasioiden tietosuojalaissa rekisteröidyn tarkastusoikeutena. Säännöksessä noudatettaisiin edellä mainituissa yleislaeissa omaksuttua termistöä.
Henkilön yksityisyyttä tulisi suojata rekisteröidyn omiin tietoihin pääsyn oikeutta käytettäessä varmistumalla henkilötietojen vastaanottajan henkilöllisyydestä. Oikeuden toteuttamisen kohteena olevissa henkilötiedoissa on useimmiten kyse arkaluonteisista tai salassa pidettävistä tiedoista. Tämän johdosta on oltava varmuus siitä, että henkilö, jolle tiedot luovutetaan, on tosiasiassa se henkilö, jota koskevista henkilötiedoista on kyse. Rekisteröidyn oikeuksien toteutumisen edistämiseksi säädettäisiin 6 §:ssä rekisteröidyn yhteyspisteistä, joita olisivat Maahanmuuttovirasto ja ulkoasiainhallinto. Rekisteröidyn yhteyspisteen nimeäminen ei kuitenkaan estäisi rekisteröityä esittämästä omiin tietoihinsa tutustumista koskevaa pyyntöä myös muille rekisterinpitäjille.
Tietosuoja-asetuksen johdanto-osan 63 kappaleen mukaan rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Johdanto-osan 64 kappaleen mukaan rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.
Tietosuoja‐asetuksen 12 artiklan mukaan rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, jos rekisterinpitäjällä on perusteltua syytä epäillä 15—21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.
Rekisteröidyn olisi omiin tietoihinsa tutustumista koskevaa oikeutta toteuttaessaan esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava ennen henkilötietojen luovuttamista henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.
Tutustumisoikeuden toteuttaminen edellyttäisi aina pyynnön esittämistä rekisterinpitäjälle kirjallisesti. Pyyntö voisi tapahtua esimerkiksi sähköpostilla tai postilla lähetettävällä pyynnöllä tai henkilökohtaisen käynnin yhteydessä esimerkiksi lomakkeella. Pyynnön voisi esittää rekisteröidyn puolesta myös muu henkilö, esimerkiksi edustaja tai avustaja.
Tutustumisoikeuttaan käyttävän rekisteröidyn henkilöllisyydestä tulisi varmistua ennen oikeuden toteutumista eli viimeistään oikeuden kohteena olevien henkilötietojen luovuttamisen yhteydessä. Rekisteröity voisi todistaa henkilöllisyytensä luotettavana pidetyillä asiakirjoilla rekisterinpitäjän luona tai esimerkiksi niin, että oikeuden kohteena olevat pyydetyt tiedot toimitettaisiin rekisteröidylle kirjatulla kirjeellä, jolloin rekisteröidyn henkilöllisyyden todentaminen voisi tapahtua kirjattua kirjettä koskevaa normaalia luovutusmenettelyä noudattaen. Maahanmuuttoviraston palveluverkoston harvalukuisuuden johdosta olisi perusteltua, että rekisteröidyn tutustumisoikeuden toteuttaminen ei edellyttäisi henkilökohtaista käyntiä Maahanmuuttoviraston palvelupisteessä, mikäli henkilöllä on luotettavana pidetty asiakirja. Luotettavana pidettyjä asiakirjoja ovat ainakin voimassa oleva henkilöllisyyden osoittava asiakirja sekä voimassa oleva passi. On kuitenkin huomioitava, että kaikkia passeja ei niiden voimassaolosta huolimatta pidetä luotettavina. Rekisteröidyillä, erityisesti turvapaikanhakijoina maahan tulleilla, ei aina ole luotettavana pidettäviä asiakirjoja. Näissä tilanteissa rekisteröity olisi mahdollista tunnistaa henkilökohtaisen käynnin yhteydessä rekisterinpitäjän luona esimerkiksi tietojärjestelmään tallennetuista tiedoista, kuten turvapaikkahakemuksen yhteydessä otettuun valokuvaan vertaamalla. Rekisteröidyn olisi myös mahdollista käyttää vahvaa sähköistä tunnistamista.
Tietosuoja-asetuksen 15 artiklassa säädettyä rekisteröidyn oikeutta saada pääsy tietoihin vastaa rikosasioiden tietosuojalain 23 §:ssä säädetty rekisteröidyn tarkastusoikeus. Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen poliisille sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain 41 §:ää ja rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen Rajavartiolaitokselle henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 50 §:ää. Rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti poliisille tai Rajavartiolaitokselle ja todistettava henkilöllisyytensä. Pyynnön voisi esittää myös käyttämällä varmennetulla tavalla luotettavaa sähköistä tunnistamista, jos tällainen palvelu on käytössä. Tarkastusoikeuden toteuttamista koskeva erilainen menettelytapa poliisille ja Rajavartiolaitokselle osoitettujen tarkastuspyyntöjen osalta olisi perusteltua yhtenäisen prosessin varmistamiseksi poliisin toiminnassa. Tilanteissa, joissa rekisteröidyn yhteyspiste, esimerkiksi Maahanmuuttovirasto, toteuttaisi rekisteröidyn tarkastusoikeutta poliisin tai Rajavartiolaitoksen tietojen osalta, rekisteröidyn yhteyspiste vastaisi siitä, että henkilöllisyys tulee todennetuksi muussa prosessin vaiheessa ja tiedot luovutetaan oikealle henkilölle.
20 §.Rekisteröidyn oikeus käsittelyn rajoittamiseen. Tietosuoja-asetuksen 18 artiklan mukaan rekisteröidyllä on oikeus rajoittaa henkilötietojensa käsittelyä. Mitä Euroopan unionin lainsäädännössä tai muualla laissa säädetään rekisteröidyn oikeudesta rajoittaa rekisterinpitäjän toteuttamaa henkilötietojen käsittelyä, ei kuitenkaan sovellettaisi tässä laissa säädettyyn henkilötietojen käsittelyyn. Rekisteröidyn oikeutta voidaan rajoittaa tietosuoja-asetuksen 23 artiklan jäsenvaltioille jättämän liikkumavaran puitteissa. Tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan nojalla on mahdollisuus kansallisella lainsäädäntötoimenpiteellä rajoittaa myös 18 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata niin julkisen vallan käyttöön liittyvä valvonta-, tarkastus- ja sääntelytehtävä kuin rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällöin lainsäädäntötoimenpiteissä on huomioitava 23 artiklan 2 kohdan mukaiset erityiset säännökset. Näistä suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa.
Maahanmuuttohallinnossa rekisteröidyn rajoituspyynnön perusteena olisi todennäköisesti aina tietojen paikkansapitämättömyys. Jos henkilötiedon käsittely rajoitettaisiin rekisteröidyn pyynnön perusteella automaattisesti siihen saakka, kunnes rekisterinpitäjä on voinut varmistaa tiedon paikkansapitävyyden, olisi tiedosta riippuen mahdollista, että päätöksenteko sekä maahanmuuttohallinnossa että maahanmuuttohallinnon tietoja päätöksenteossaan käyttävässä viranomaisessa pysähtyisi varmistamismenettelyn ajaksi. Maahanmuuttohallinnon päätöksenteko perustuu lakiin. Päätöksenteossa käytettävän tiedon oikeellisuudesta varmistuminen on ratkaisevaa oikean päätöksen ja siten henkilön oikeusturvan varmistamiseksi. Maahanmuuttohallinnon menettelyille asetetut muut lakiin perustuvat vaatimukset sekä rekisteröidyn mahdollisuus käyttää muita oikeuksiaan tietojensa oikeellisuuden varmistamiseen täyttävät tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan edellyttämät välttämättömyyden ja oikeasuhtaisuuden vaatimukset rekisterinpitäjän lakisääteisten tehtävien toteuttamiseksi, mikä osaltaan suojaa rekisteröityä.
21 §.Automatisoidut yksittäispäätökset. Pykälässä säädettäisiin Maahanmuuttoviraston automaattiseen käsittelyyn perustuvasta päätöksentekomenettelystä ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Menettelyssä asiankäsittelyjärjestelmä suorittaisi kaikki asiankäsittelyn ja päätöksenteon vaiheet ilman luonnollisen henkilön myötävaikutusta.
Tietosuoja-asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Poikkeuksena tähän pääsääntöön artiklan 2 kohdan b alakohdan mukaan edellä mainittua ensimmäistä kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.
Perustuslain 21 §:n 2 momentin mukaan käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. Hallintomenettelyssä noudatettavista hyvän hallinnon mukaisista menettelysäännöksistä säädetään hallintolaissa ja valitusoikeudesta hallintolainkäyttölaissa. Tämän lisäksi ulkomaalaislaki sisältää näitä edellä mainittuja yleislakeja täydentävää sääntelyä. Esityksessä ei ehdoteta säädettävän poikkeuksia näihin hallinnon yleislakeihin eli asianosaisella olisi myös automaattisessa päätöksentekomenettelyssä oikeus saada perusteltu päätös ja valittaa saamastaan päätöksestä, siten kuin siitä on säädetty hallintolainkäyttölaissa tai ulkomaalaislaissa. Kansalliset yleislait toteuttavat osaltaan myös tietosuoja-asetuksen 22 artiklan edellyttämiä asianmukaisia suojatoimia, sillä ne turvaavat paitsi käsittelyn avoimuuden myös oikeuden saada perusteltu päätös ja valittaa päätöksestä.
Automaattiseen päätöksentekomenettelyyn valikoituvat asiat
Esityksessä ehdotetaan säädettäväksi, että päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voitaisiin tehdä menettelyssä, joka perustuisi pelkästään automaattiseen käsittelyyn, jos asian saisi ratkaista hallintolain 34 §:n 2 momentin 5 kohdan nojalla asianosaista kuulematta. Hallintolain 34 §:n 1 momentti sisältää kuulemista koskevan pääsäännön, jonka mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Automaattinen päätöksentekomenettely perustuisi paitsi hakijan sähköisesti toimittamiin tietoihin myös ulkomaalaisasioiden asiankäsittelyjärjestelmän sisältämiin tietoihin ja muilta viranomaisilta sähköisten rajapintojen kautta saatuihin tietoihin. Yleensä hakijalähtöisessä lupaharkinnassa hakemus voidaan ratkaista hakijan toimittamien tietojen perusteella, mutta jos hakemus ratkaistaan käyttäen ulkomaalaisasioiden asiankäsittelyjärjestelmän sisältämiä tietoja, joita hakija ei ole hakemuksessaan ilmoittanut, hakijaa kuullaan tarvittaessa hallintolain 34 §:n 1 momentin mukaisesti. Samoin, jos esimerkiksi hakemuksessa esitetyissä tiedoissa olisi puutteita tai ristiriitaisuuksia verrattuna Maahanmuuttoviraston käytettävissä oleviin sähköisiin tietoihin, asia siirtyisi ratkaistavaksi tavanomaiseen päätöksentekomenettelyyn. Tällainen voisi olla esimerkiksi tilanne, jossa automaattiset rekisteritarkastukset tuottavat tietoa, josta asiakasta on kuultava. Tällöin asia ohjautuu kokonaisharkintaan luonnollisen henkilön käsiteltäväksi.
Pykälän toisessa momentissa säädetään poikkeuksista hallintolain 34 §:n 1 momentin pääsääntöön. Hallituksen esityksen (HE 72/2002 vp, s. 96) yksityiskohtaisten perusteluiden mukaan poikkeussäännösten soveltamisalaa on tarkasteltava erityisesti hyvän hallinnon vaatimusten kannalta. Oikeus tulla kuulluksi omassa asiassaan on yksi perustuslain 21 §:ssä lausutuista hallinnon keskeisistä oikeusturvaperiaatteista, jotka edellytetään turvattavan lailla. Kuulluksi tulemisen oikeus koskee lähtökohdiltaan kaikkia sellaisia asioita, joissa asianosaisella voidaan katsoa olevan intressi antaa selvitystä. Hallintolain 34 §:n 2 momentin 5 kohdan mukaan asian saa ratkaista asianosaista kuulematta, jos hyväksytään vaatimus, joka ei koske toista asianosaista tai kuuleminen on muusta syystä ilmeisen tarpeetonta. Kuuleminen voisi olla ilmeisen tarpeetonta esimerkiksi silloin, kun Maahanmuuttovirasto tekee raukeamispäätöksen ulkomaalaislain säännösten nojalla. Tällöin raukeamispäätöstä on joko edeltänyt viranomaisen muu päätös, asetettu määräaika tai hakijalla ei enää hänestä johtuvasta syystä ole tarvetta hakemuksen vireilläololle.
Tällaisia hallintolain 34 §:n 2 momentin 5 kohdan mukaisia maahanmuuttohallinnossa käsiteltäviä asiaryhmiä voisivat olla esimerkiksi sellaiset tapaukset, joissa asia ratkaistaan hakijan hakemuksen mukaisesti tai hakemus taikka esitys raukeaa ulkomaalaislain nojalla. Näitä automaattiseen päätöksentekoon soveltuvia ulkomaalaislain mukaisia asiatyyppejä olisivat esimerkiksi oleskeluluvan myöntäminen opiskelun, työnteon, yritystoiminnan tai perhesiteen perusteella, oleskelulupahakemuksen raukeaminen hakijan peruutettua hakemuksensa, kuoltua tai saatua Suomen kansalaisuuden, tai sen johdosta, että käsittelymaksua ei ole kohtuullisessa ajassa maksettu, oleskeluluvan tai EU-rekisteröinnin raukeaminen haltijan kuoltua tai saatua Suomen kansalaisuuden, pysyvän oleskeluluvan myöntäminen, Euroopan unionin kansalaisen tai tähän rinnastettavan oleskeluoikeuden rekisteröiminen, EU-kansalaisen perheenjäsenen, joka on kolmannen maan kansalainen, oleskelukortin myöntäminen, oleskelu- tai oleskelulupakortin uusiminen, Euroopan unionin sisäistä liikkuvuutta koskevan ilmoituksen hyväksyminen, kausityötodistuksen antaminen, Suomen kansalaisuuden saaminen hakemuksesta tai ilmoituksesta sekä karkottamista koskevan esityksen raukeaminen sen johdosta, että ulkomaalainen on saanut oleskeluluvan. Säännöksen sitominen hallintolain 34 §:n 2 momentin 5 kohtaan muodostaisi tarkkarajaisen ja selkeän edellytyksen edellä kuvatuille automaattiseen päätöksentekoon soveltuville asioille. Vaikka Maahanmuuttovirastossa käsiteltävistä asiaryhmistä on tunnistettavissa tiettyjä asiaryhmiä, joihin kuuluvat asiat voisivat pääsääntöisesti tulla käsiteltäväksi automaattisessa päätöksentekojärjestelmässä, kunkin yksittäistapauksen seikat ratkaisisivat lopulta sen voidaanko asiassa laatia päätös pelkästään automaattisessa menettelyssä. Käytännössä asia, jossa asianosaisen kuuleminen ei lähtökohtaisesti olisi tarpeen, etenisi Maahanmuuttoviraston automaattisessa järjestelmässä tarkistuspisteeltä toiselle ja jos yksittäistapauksen olosuhteet eivät esimerkiksi täyttäisi toimivaltaa luovan lainsäädännön mukaista edellytystä, asiaan liittyvissä asiakirjoissa olisi puutteita tai asia edellyttäisi kokonaisharkintaa, asia ohjautuisi aina luonnollisen henkilön käsiteltäväksi. Näin ollen automaattisessa päätöksentekomenettelyssä ei voitaisi ratkaista asiaa, jossa edellytettäisiin kokonaisharkintaa esimerkiksi riittävän toimeentulon osalta tai hakijan yleiselle järjestykselle tai turvallisuudelle aiheuttamaa vaaraa, vaan tällöin asia ohjautuisi aina tavanomaiseen päätöksentekomenettelyyn luonnollisen henkilön harkittavaksi.
Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarjassa julkaistussa Algoritmi päätöksentekijänä? -selvityshankkeessa (2019:44, s. 67) kansalaisuushakemuksen kulku automaattisessa päätöksentekomenettelyssä on kuvattu seuraavasti: Maahanmuuttovirasto tekee päätöksen kansalaisuuden myöntämisestä automatisoidusti, eli kukaan yksittäinen virkamies ei käsittele hakemusta. Päätöksentekojärjestelmässä käytetään sääntöpohjaista ohjelmistorobotiikkaa. Se tarkastaa kansalaisuuden täyttymisen edellytykset ns. binääristen vaihtoehtojen avulla. Jos hakijan antamat tiedot ja liitteet täyttävät lain edellyttämät vaatimukset kansalaisuuden saamiseksi, järjestelmä hyväksyy kansalaisuushakemuksen automaattisesti. Jos kansalaisuuden saamisen ehdot eivät täyty, tapaus menee luonnollisen henkilön tarkastettavaksi.
Automaattisen päätöksenteon mahdollistaminen tietyissä edellä esitetyllä tavalla rajatuissa Maahanmuuttohallinnon asiaryhmissä toteuttaisi osaltaan myös perustuslain 21 §:n 1 momentin vaatimusta viivytyksettömästä ja asianmukaisesta viranomaistoiminnasta, sillä se nopeuttaisi sellaisten asioiden käsittelyä, joissa asianosaisella ei ole intressiä tulla kuulluksi. Edellä luetellut asiaryhmät muodostavat ison osan Maahanmuuttovirastossa tehtävistä päätöksistä, joten automaattisen päätöksenteon mahdollistaminen näissä asiaryhmissä tehostaisi myös Maahanmuuttoviraston päätöksentekojärjestelmää heikentämättä kuitenkaan hyvän hallinnon menettelysäännösten tai oikeussuojan käsittelylle asettamia edellytyksiä. Rekisteröidyn näkökulmasta automatisointi sekä nopeuttaisi asiankäsittelyä että loisi puitteet yhdenmukaiselle ja yhdenvertaiselle käsittelylle. Näin automatisointi edistäisi myös yhdenvertaisuus- ja luottamuksensuojaperiaatetta.
Maahanmuuttoviraston päätöksentekoprosesseja tulisi tehostaa niin, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Automaattisessa päätöksenteossa käytettävät algoritmit ja niiden taustalla olevat lainsäädäntöön pohjaavat säännöt laadittaisiin huolellisesti Maahanmuuttovirastossa ja niiden toimivuus testattaisiin Maahanmuuttovirastossa ennen käyttöönottoa ja säännöllisesti käytön aikana. Maahanmuuttovirasto hyväksyisi käyttöön otettavat algoritmit vielä erillisellä hallintopäätöksellä. Näin yhdenmukaistettaisiin ratkaisukäytäntöä näissä yksinkertaisimmissa asiaryhmissä ja parannettaisiin siten ennakoitavuutta ja oikeusvarmuutta. Perustuslakivaliokunnalla ei ole ollut huomauttamista Maahanmuuttoviraston päätöksenteon automatisoinnin tehostamispäämäärän suhteen (PeVL 62/2018 vp, s. 7).
Tietosuojatyöryhmä on antanut lausunnossaan (WP 251/17, s. 34—35) joitain ehdotuksia hyvistä käytännöistä, joita rekisterinpitäjät voivat harkita tehdessään tietosuoja-asetuksen 22 artiklan 1 kohdassa määriteltyjä pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna. Rekisterinpitäjän tulisi esimerkiksi suorittaa järjestelmien säännöllisiä laadunvarmistustarkastuksia, joilla varmistetaan, että henkilöitä kohdellaan oikeudenmukaisesti eikä heitä syrjitä erityisten henkilötietoryhmien perusteella tai muutoin. Rekisterinpitäjän tulisi tarkistaa algoritmit ja testata koneoppimisjärjestelmien käyttämät ja kehittämät algoritmit, jolla osoitetaan, että ne todella toimivat tarkoitetulla tavalla eivätkä tuota syrjiviä, virheellisiä tai perusteettomia tuloksia. Riippumattoman ”kolmannen osapuolen” tarkastuksen yhteydessä (jos profilointiin perustuvalla päätöksellä on suuri vaikutus henkilöihin) rekisterinpitäjän tulisi toimittaa tarkastajalle kaikki tarvittavat tiedot algoritmin tai koneoppimisjärjestelmän toiminnasta. Käytettäessä kolmansien osapuolten algoritmeja rekisterinpitäjän tulisi hankkia sopimukseen perustuvat vakuudet siitä, että algoritmi on tarkastettu ja testattu ja sovittujen standardien mukainen. Rekisterinpitäjän tulisi myös toteuttaa erityiset tietojen minimointia koskevat toimenpiteet, joilla otetaan käyttöön selvät säilytysajat profiileille ja niiden luomisessa tai soveltamisessa käytetyille henkilötiedoille. Rekisterinpitäjän tulisi mahdollistaa myös anonymisointi- tai pseudonymisointitekniikoiden käyttö profiloinnin yhteydessä. Rekisterinpitäjän tulisi mahdollistaa keinot, joiden avulla rekisteröity voi ilmaista kantansa ja vastustaa päätöstä sekä turvata ihmisen osallistumisen mahdollistava mekanismi tietyissä määritellyissä tapauksissa, esimerkiksi tarjoamalla linkki muutoksenhakuprosessiin, kun automatisoitu päätös toimitetaan rekisteröidylle, sekä sovitut uudelleentarkastelun määräajat ja nimetty yhteyspiste kyselyjä varten. Rekisterinpitäjät voivat tutkia vaihtoehtona myös käsittelytoimien sertifiointimekanismeja, koneoppimista sisältäviä tarkastusprosesseja koskevia käytännesääntöjä, eettisiä tarkastuslautakuntia, jotka arvioivat tiettyjen profilointisovellusten mahdollisia yhteiskunnallisia haittoja ja hyötyjä. Maahanmuuttoviraston tulisi noudattaa soveltuvin osin näitä tietosuojatyöryhmän hyvien käytänteiden suosituksia automaattista päätöksentekomenettelyä koskevassa prosessissaan.
Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan asetuksen 22 artiklan 2 kohdan mukaisen poikkeuksen mahdollistamaan käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Myös tietosuojatyöryhmä on lausunnossaan (WP 251/17, s. 29) pitänyt näitä suojatoimia kaikkia tietosuoja-asetuksen 22 artiklan 2 kohdan mukaisia poikkeuksia koskevina, vaikka 2 kohdan b alakohdan osalta asianmukaisia suojatoimia ei ole yksilöity itse artiklassa. Tämän lisäksi tietosuojatyöryhmä on antanut lausunnossaan (WP 251/17, s. 34—35) joitain edellä esitettyjä ehdotuksia hyvistä käytännöistä, joita rekisterinpitäjät voivat harkita tehdessään tietosuoja-asetuksen 22 artiklan 1 kohdassa määriteltyjä pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna. Yhden ehdotuksen mukaan rekisterinpitäjän tulisi tarjota ihmisen osallistumisen mahdollistava mekanismi tietyissä määritellyissä tapauksissa, esimerkiksi tarjoamalla linkki muutoksenhakuprosessiin, kun automatisoitu päätös toimitetaan rekisteröidylle, sekä sovitut uudelleentarkastelun määräajat ja nimetty yhteyspiste kyselyjä varten.
Suomessa perustuslain 21 §:n velvoite säätää lailla oikeusturvan ja hyvän hallinnon edellytyksistä on toteutettu hallintomenettelyä ja -prosessia koskevilla kansallisilla yleislaeilla, joiden sisältämät säännökset täyttävät jo useimmat tietosuoja-asetuksen 22 artiklassa edellytetyistä asianmukaisista suojatoimista. Kuten tietosuojatyöryhmän edellä esitetystä suosituksesta ilmenee, oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen tulisi suojatuksi riittävällä tavalla mahdollistamalla muutoksenhakuoikeus ja rekisteröityjen yhteyspiste. Näin ollen tämäkin oikeus tulisi suojatuksi hallintolainkäyttölain ja ulkomaalaislain muutoksenhakuoikeutta koskevin säännöksin. Tämän esityksen 1. lakiehdotuksen 6 §:ssä säädettäisiin lisäksi rekisteröityjen yhteyspisteestä.
Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely automaattisessa päätöksentekomenettelyssä
Tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan 22 artiklan 2 kohdan mukaiset päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu. Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan siis käsitellä kokonaan automaattisessa päätöksenteossa vain jos on olemassa tietosuoja-asetuksen 22 artiklan 2 kohdan mukainen poikkeus ja sovelletaan asetuksen 9 artiklan 2 kohdan a tai g alakohtaa. Tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen lähtökohtaisesta käsittelykiellosta voidaan poiketa, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Tietosuoja-asetuksen johdanto-osan 43 kappaleen mukaan suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen. Näin ollen automaattisessa menettelyyn perustuva erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely ei voisi perustua rekisteröidyn suostumukseen. Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen lähtökohtaisesta käsittelykiellosta voidaan poiketa, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 52 kappaleen mukaan henkilötietojen erityisryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi. Yleistä etua koskevina syinä kappaleessa mainitaan henkilötietojen käsittely työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla. Myös ennakoitava, oikeisiin tietoihin perustuva ja tehokkaasti toimiva viranomaisen päätöksentekojärjestelmä olisi paitsi yksilön, myös yhteiskunnan etujen mukainen ja toteuttaisi siten yleistä etua. Painavan yleisen edun mukaisena on pidetty esimerkiksi riittävän tietopohjan turvaamista viranomaisen päätöksenteolle (HE 20/2005 vp, s. 13). Maahanmuuttoviraston automaattinen päätöksentekomenettely perustuisi maahanmuuttohallinnon toimivaltaa luovaan lainsäädäntöön. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on olennaista Maahanmuuttoviraston lakisääteisten asiaryhmien käsittelyssä. Jotta esimerkiksi hakemus voidaan ratkaista, on välttämätöntä tarkistaa tiettyjen lain mukaisten edellytysten täyttyminen ja tässä yhteydessä käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Näin ollen käsittely olisi myös oikeasuhteista tavoitteeseen nähden. Lisäksi rekisterinpitäjän on kummankin tietosuoja-asetuksen säännöksen nojalla toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.
Tietosuojalain 6 §:n mukaiset erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevat suojatoimet tulisivat soveltuvin osin sovellettavaksi myös ehdotettavan maahanmuuttohallinnon henkilötietolain mukaiseen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen turvaamiseen. Yleislaissa säädettyjen suojatoimien lisäksi automaattisessa menettelyssä henkilötietojen käsittelyn tulisi täyttää erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat ehdotettavan maahanmuuttohallinnon henkilötietolain 8 §:n mukaiset edellytykset. Tietosuojalain 6 §:n 1 momentin mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa eli erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelykieltoa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä ovat toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty, toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista, tietosuojavastaavan nimittäminen, rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin, henkilötietojen pseudonymisointi sekä henkilötietojen salaaminen. Samoin toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa, menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi ja erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tietosuojalain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen, tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen sekä muut tekniset, menettelylliset ja organisatoriset toimenpiteet. Nämä tietosuojalain 6 §:n 2 momentin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat suojatoimet vastaavat pitkälti tietosuojatyöryhmän lausunnossaan (WP 251/2017) suosittelemia suojakeinoja.
Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetään velvollisuudesta käsitellä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Näitä tietojen käsittelyn periaatteita täydentävät lisäksi tietosuoja-asetuksen 12 artiklan yleiset säännökset läpinäkyvästä informoinnista ja rekisteröidyn oikeuksien käyttämisestä. Tietosuoja-asetuksen 13 ja 14 artikla sisältävät nimenomaiset säännökset rekisterinpitäjän velvollisuudesta tiedottaa rekisteröityä asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi.
Sekä tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdassa että 14 artiklan 2 kohdan g alakohdassa edellytetään, että rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Rekisterinpitäjien tulee siis antaa merkityksellisiä ja helposti saatavilla olevia tietoja pelkästään automaattiseen käsittelyyn, profilointi mukaan luettuna, perustuvista automatisoiduista päätöksistä, jotka tuottavat oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia. Tietosuoja-asetuksen johdanto-osan 60 kappaleen mukaan rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista.
Tämän lisäksi rekisteröidyllä on erityinen oikeus saada tietoja pelkästään automaattiseen käsittelyyn perustuvasta päätöksenteosta. Tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.
Tietosuojatyöryhmä on lausunnossaan (WP 251/2017, s. 26–27) todennut, että jos rekisterinpitäjä tekee 22 artiklan 1 kohdan mukaisia automatisoituja päätöksiä, sen on ilmoitettava rekisteröidylle harjoittavansa tällaista toimintaa, annettava merkityksellisiä tietoja käsittelyyn liittyvästä logiikasta sekä selitettävä käsittelyn merkittävyys ja mahdolliset seuraukset. Tietosuojatyöryhmän mukaan näiden tietojen toimittaminen auttaa lisäksi rekisterinpitäjiä varmistamaan, että ne toteuttavat joitakin 22 artiklan 3 kohdassa ja johdanto-osan 71 kappaleessa tarkoitetuista suojaamistoimenpiteistä. Tietosuojatyöryhmä tuo lausunnossaan lisäksi esiin, että koneoppimisen yleistymisen ja monimutkaisuuden vuoksi voi olla haastavaa ymmärtää, miten automatisoitu päätöksentekoprosessi tai profilointi toimii. Monimutkaisuus ei kuitenkaan ole peruste olla toimittamatta tietoja rekisteröidylle. Rekisterinpitäjän olisikin tietosuojatyöryhmän mukaan löydettävä yksinkertaisia tapoja kertoa rekisteröidylle päätöksen taustalla olevista syistä tai sen tekemisessä käytetyistä perusteista. Tietosuojatyöryhmän mukaan tietosuoja-asetuksen mukainen rekisterinpitäjän velvollisuus toimittaa rekisteröidylle merkityksellisiä tietoja käsittelyyn liittyvästä logiikasta ei välttämättä edellytä monimutkaista selitystä siinä käytettävistä algoritmeista tai koko algoritmin paljastamista. Toimitettujen tietojen olisi kuitenkin oltava riittävän kattavat, jotta rekisteröity ymmärtää päätöksen perusteet.
Tietosuojatyöryhmä ehdottaakin lausunnossaan (WP 251/2017, s. 33–34), että algoritmien tai koneoppimisen toimintatapaa koskevien monimutkaisten matemaattisten selitysten esittelyn sijasta rekisterinpitäjän olisi pohdittava selkeitä ja ymmärrettäviä tapoja esimerkiksi seuraavien tietojen toimittamiseksi rekisteröidylle: tietoryhmät, joita on käytetty tai käytetään profiloinnissa tai päätöksentekoprosessissa, miksi näitä tietoryhmiä pidetään merkityksellisinä, miten automatisoidussa päätöksentekoprosessissa käytetty profiili on luotu, analyysissa mahdollisesti käytetyt tilastot mukaan luettuna, miksi tämä profiili on merkityksellinen automatisoidun päätöksentekoprosessin kannalta sekä, miten sitä käytetään rekisteröityä koskevan päätöksen tekemisessä. Tietosuojatyöryhmän mukaan tällaiset tiedot ovat yleensä hyödyllisempiä rekisteröidyn kannalta, ja ne lisäävät käsittelyn läpinäkyvyyttä. Tämän lisäksi rekisterinpitäjien saattaa olla hyödyllistä harkita visualisointia ja vuorovaikutteisia tekniikoita algoritmien läpinäkyvyyden edistämiseksi.
Tietosuoja-asetuksen johdanto-osan 58 kappaleen mukaan läpinäkyvyyden periaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä, ne on ilmaistava selkeällä ja yksinkertaisella kielellä ja lisäksi tarvittaessa ne on havainnollistettava. Tällaiset tiedot voidaan antaa sähköisessä muodossa esimerkiksi internetsivuston kautta silloin kun ne on tarkoitettu yleisölle. Tämä on erityisen tärkeää tilanteissa, joissa rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten.
Maahanmuuttoviraston toimivallasta tehdä asianosaisen oikeudelliseen asemaan vaikuttavia hallintopäätöksiä säädetään ulkomaalaislaissa, kansalaisuuslaissa, kausityölaissa, ICT-laissa sekä tutkija- ja opiskelijalaissa. Maahanmuuttoviraston automaattiset päätökset perustuisivat teknisiin sääntöihin, joiden avulla ulkomaalaisasioiden asiankäsittelyjärjestelmässä olevaa tietoa prosessoidaan. Teknisissä säännöissä Maahanmuuttovirastolle toimivaltaa luovien säädösten normit muutettaisiin koneellisesti käsiteltäviksi numeraalisiksi operaatioiksi, jotka perustuisivat tiedon prosessointiin loogisten ehtojen avulla. Teknisissä säännöissä olisi otettu huomioon läpinäkyvyys. Ulkomaalaisasioiden asiankäsittelyjärjestelmän käyttöliittymässä sääntö ja siihen liittyvät tiedot olisi esitetty käyttäjälle ymmärrettävällä tavalla. Automaattisella päätöksenteolla tarkoitettaisiin Maahanmuuttoviraston tapauksessa niin sanotun päätöksentekokoneen luomista, jolloin asia algoritmilla toteutettujen ehtojen täyttyessä etenisi pitkin päätöksentekojärjestelmää kohti automaattisesti laadittua päätöstä ja ehtojen jäädessä täyttymättä ohjautuisi luonnollisen henkilön käsiteltäväksi. Kyse ei siis olisi tekoälystä, joka oppisi sille syötetyn laajan tietomassan pohjalta laatimaan ratkaisuja tai käyttäisi itsenäisesti harkintavaltaa.
Maahanmuuttoviraston virkamiehet laatisivat automaattisessa käsittelyssä käytettävät säännöt, joihin perustuvat algoritmit hyväksyttäisiin Maahanmuuttovirastossa erillisillä hallintopäätöksillä. Maahanmuuttoviraston tulisi toteuttaa tietosuojatyöryhmän (WP 251/2017, s. 34–35) ehdottamat asianmukaiset suojatoimet, kuten suorittaa järjestelmien säännöllisiä laadunvarmistustarkastuksia, joilla varmistetaan, että henkilöitä kohdellaan oikeudenmukaisesti eikä heitä syrjitä erityisten henkilötietoryhmien perusteella tai muutoin. Maahanmuuttoviraston tulisi tarkistaa ja testata algoritmit, jolla osoitettaisiin, että ne todella toimivat tarkoitetulla tavalla eivätkä tuota syrjiviä, virheellisiä tai perusteettomia tuloksia. Mahdollisen riippumattoman ”kolmannen osapuolen” tarkastuksen yhteydessä Maahanmuuttoviraston tulisi toimittaa tarkastajalle kaikki tarvittavat tiedot algoritmin toiminnasta. Käytettäessä kolmansien osapuolten algoritmeja Maahanmuuttoviraston tulisi hankkia sopimukseen perustuvat vakuudet siitä, että algoritmi on tarkastettu ja testattu ja sovittujen standardien mukainen. Maahanmuuttoviraston tulisi myös toteuttaa erityiset tietojen minimointia koskevat toimenpiteet, joilla otettaisiin käyttöön selvät säilytysajat profiileille ja niiden luomisessa tai soveltamisessa käytetyille henkilötiedoille.
Algoritmin julkisuus
Perustuslakivaliokunta on edellyttänyt ns. perustulokokeilua arvioidessaan, että otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta säädetään erikseen (PeVL 51/2016 vp, s. 5). Lentoliikenteen matkustajarekisteritietojen käyttöä sääntelevän lakiehdotuksen arvioinnin yhteydessä valiokunta katsoi, että perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä oli tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta viranomaisten toiminnan julkisuudesta annettuun lakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5). Arvioidessaan maahanmuuttohallinnon henkilötietolakiesitystä perustuslakivaliokunta lausui, että edellä mainittuihin seikkoihin on kiinnitettävä huomiota myös maahanmuuttohallinnon henkilötietolaissa (PeVL 62/2018 vp, s. 8).
Perustuslain 12 §:n 2 momentissa säädetään julkisuusperiaatteesta, jonka mukaan viranomaisen hallussa olevat asiakirjat ovat julkisia. Asiakirjajulkisuus on myös perustuslain 21 §:n 2 momentissa turvatun käsittelyn julkisuuden ja hyvän hallinnon edellytys. Julkisuuslaki ei sisällä nimenomaista sääntelyä päätöksentekoalgoritmin julkisuudesta, mutta lain 5 §:n mukainen viranomaisen asiakirjan käsite on laaja ja oikeuskäytännössä viranomaisen asiakirjoina on pidetty esimerkiksi näiden asiakirjojen lokitietoja (Kuopion HAO 11.11.2011 11/0424/2, KHO:2014:69 ja KHO 27.5.2015/1419). Näin ollen myös automaattisen päätöksentekomenettelyn algoritmia olisi lähtökohtaisesti pidettävä julkisena, ellei sen salassapitoon sovellu jokin julkisuuslain 24 §:n 1 momentin mukaisista salassapitoperusteista.
Maahanmuuttohallinnon toimivaltaa luova lainsäädäntö muodostaisi reunaehdot Maahanmuuttoviraston automaattisen päätöksentekomenettelyn algoritmille. Algoritmi sisältäisi sen logiikan, jolla esimerkiksi oleskeluluvan myöntämisen edellytykset raja-arvoineen on selvitetty, ja jolla on arvioitu luvan tyyppi, laji, alkupäivämäärä ja päättymispäivämäärä. Lopulliseen päätökseen johtava algoritmi olisi jo lähtökohtaisesti julkinen perustuslain 12 §:n 2 momentin julkisuusperiaatteen mukaisesti. Rekisterinpitäjän velvoite julkistaa automaattisessa päätöksentekomenettelyssä käytetyt käsittelyalgoritmit ymmärrettävällä tavalla seuraa suoraan tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdasta ja 14 artiklan 2 kohdan g alakohdasta. Hyvän hallinnon edellytykset, julkisuusperiaate ja perustuslakivaliokunnan edellä esitetty lausuntokäytäntö huomioiden pykälän 2 momentissa algoritmien julkisuuden toteuttamisesta säädettäisiin kuitenkin vielä erikseen velvoittamalla Maahanmuuttovirasto julkistamaan automaattisessa päätöksenteossa lopulliseen päätökseen johtanut algoritmi. Säännöksessä ei viitattaisi erikseen algoritmin taustalla olevaan lähdekoodiin. Julkaistavan algoritmin tulisi olla rekisteröidylle ymmärrettävässä muodossa. Tietosuojatyöryhmän mukaan tällainen yleisluonteinen velvollisuus täyttäisi myös tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan edellytykset (WP 251/2017, s. 28–29). Maahanmuuttovirasto voisi täyttää tämän velvoitteensa esimerkiksi julkistamalla lopulliseen päätökseen johtavan algoritmin tai algoritmit verkkosivuillaan. Algoritmin osat, jotka ohjaisivat automaattisessa menettelyssä olevan asian luonnollisen henkilön käsittelyyn, eivät olisi julkisia. Tämä on välttämätöntä, koska Maahanmuuttoviraston toimintaedellytykset vaarantuisivat, jos yleisiin edellytyksiin, kuten nuhteettomuuteen, yleiseen järjestykseen ja turvallisuuteen tai maahantulosäännösten kiertämiseen liittyvät yksityiskohtaiset algoritmit olisivat julkisia. Myöskään tietosuoja-asetuksen säännökset eivät velvoita julkistamaan kaikkia käsittelyssä käytettyjä algoritmeja.
Tämän lisäksi tietosuoja-asetuksen johdanto-osan 71 kohdan mukaisen täydentävän suojakeinon tarjoaisi pykälän 2 momentin toisessa virkkeessä säädetty rekisteröidyn oikeus saada erillinen selvitys hänelle automaattisessa käsittelyssä tehdyn yksittäispäätöksen algoritmista. Siinä Maahanmuuttoviraston tulisi esittää rekisteröidylle ymmärrettävällä tavalla, mikä on hänen tapauksessaan lopulliseen päätökseen johtaneen algoritmin toimintatapa. Velvoite lopulliseen päätökseen johtaneiden algoritmien yksittäistapauksellisen merkityksen selvittämiseen ei korvaisi hallintolain 45 §:n mukaista päätöksen perusteluvelvollisuutta, vaan kyse olisi edellä kuvatulla tavalla tietosuoja-asetuksen 22 artiklan tulkintaohjeen mukaisesta suojakeinosta, joka täydentäisi kansallisten yleislakien mukaista suojaa.
Virkavastuu
Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin, ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Tätä säännöstä täydentävät perustuslain 118 §:n säännökset virkavastuusta. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Hän on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut. Pykälän 2 momentin mukaan esittelijä on vastuussa siitä, mitä hänen esittelystään on päätetty, jollei hän ole jättänyt päätökseen eriävää mielipidettään. Pykälän 3 momentin ensimmäisen virkkeen mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään. Näin ollen viranomainen vastaa mahdollisesta virheellisestä päätöksestään asianosaiselle ja rekisterinpitäjänä virheellisestä henkilötietojen käsittelystä rekisteröidylle rikos-, vahingonkorvaus- ja tietosuojalainsäädännön mukaisesti.
Perustuslakivaliokunta on todennut lausunnossaan PeVL 62/2018 vp, s. 8, että välillinen virkavastuu tehdystä päätöksestä ei täytä perustuslain 118 §:n mukaisia virkavastuun edellytyksiä. Automaattisessa päätöksentekomenettelyssä virkavastuu ei kohdennu suoraan automaattisessa menettelyssä tehtyyn päätökseen, joten vastuu täytyy sitoa tiettyyn virka-asemaan organisaatiossa. Maahanmuuttovirastosta annetun valtioneuvoston asetuksen (193/2002) 1 §:n mukaan Maahanmuuttoviraston toimintaa johtaa, valvoo ja kehittää ylijohtaja. Ylijohtaja vastaa toiminnan tuloksellisuudesta ja tavoitteiden saavuttamisesta sekä raportoi näistä sisäasiainministeriölle. Ylijohtajan vastuulle kuuluisi varmistua siitä, että Maahanmuuttovirastossa on käytössä selkeät toimintamallit menettelyn huolelliselle käyttöön ottamiselle sekä tehokkaalle seurannalle ja valvonnalle ja että näitä toimintamalleja tosiasiallisesti noudatetaan ja toteutetaan. Asetuksen 2 §:n mukaan ylijohtaja ratkaisee Maahanmuuttovirastolle kuuluvat asiat. Ylijohtaja voi ottaa yksittäistapauksessa ratkaistavakseen asian, joka muutoin olisi muun virkamiehen ratkaistava.
Tulee kuitenkin huomioida, että automaattiseen päätöksentekoon ohjautuvat asiat on ehdotettu rajattavaksi hallintolain 34 §:n 2 momentin 5 kohtaan, jolloin pääosa käsiteltävistä asioista olisi myönteisiä tai koskisi asian raukeamista. Tällöin asian ratkaisu tuskin vaarantaisi yksittäisen rekisteröidyn oikeusturvaa. Ei kuitenkaan voida sulkea pois, etteikö mahdollinen virheellinen menettely voisi puolestaan aiheuttaa rajattuja yhteiskunnallisia vaikutuksia virheellisen myönteisen ratkaisun muodossa. Kuten edellä on esitetty, automaattinen päätöksenteko edellyttää erinäisiä suojatoimia. Maahanmuuttoviraston olisi esimerkiksi tarkistettava automaattisessa päätöksenteossa käytettyjen käsittelyalgoritmien tekniset säännöt säännöllisesti ja noudatettava muutoinkin tietosuojatyöryhmän lausunnossaan WP 251/17 antamia suosituksia tarpeellisista suojatoimista.
Ottaen huomioon perustuslakivaliokunnan lausunto sekä asianmukaisen käsittelyn turvaaminen pykälän kolmannen momentin mukaan Maahanmuuttoviraston ylijohtaja vastaisi sekä automaattisen päätöksenteon menettelystä että automatisoidusta yksittäispäätöksestä.
22 §. Tietosuojarikos. Pykälässä viitattaisiin rikoslain 38 luvun 9 §:n tietosuojarikoksesta säädettyyn rangaistukseen. Rikoslain 38 luvun 9 §:n tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Tietosuojarikosta koskeva säännös on niin sanottu blankorikossäännös. Laillisuusperiaatteeseen liittyvistä syistä blankorangaistussääntelyyn on ollut syytä suhtautua torjuvasti (esim. PeVL 10/2016 vp, s. 8, PeVL 31/2002 vp, s. 3, PeVL 15/1996 vp, s. 2/II ja PeVL 20/1997 vp, s. 3/II). Perusoikeusuudistuksen yhteydessä valiokunta korosti, että blankosääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp). Tuoreemmassa käytännössään valiokunta on pitänyt blankorikossääntelyn täsmentämistä edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 10/2016 vp, s. 8—9). Myös tilanteessa, jossa säännöksessä luetellaan niitä tekotapoja, jotka voivat tulla rangaistaviksi, sääntelyä on perustuslakivaliokunnan käytännön mukaan ollut täsmennettävä viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla (PeVL 14/2018 vp, s. 21—22). Maahanmuuttohallinnon henkilötietolaki on sellainen henkilötietojen käsittelyä koskeva muu laki, jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa (PeVL 62/2018 vp). Tämän johdosta on välttämätöntä viitata rikoslain tietosuojarikosta koskevaan säännökseen.
Rikoslain 38 luvun 9 §:n mukaan rekisterinpitäjä tai henkilötietojen käsittelijä ei voi syyllistyä tietosuojarikokseen. Rekisterinpitäjä ja henkilötietojen käsittelijä ovat rikosoikeudellisen vastuun sijaan hallinnollisen seuraamusmaksun kohteena. Tietosuojalain 24 §:n 4 momentin mukaan seuraamusmaksua ei voida määrätä esimerkiksi valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille tai itsenäisille julkisoikeudellisille laitoksille. Rikoslain 40 luvun 5 §:ssä säädetään erikseen virkasalaisuuden rikkomisesta.
23 §.Voimaantulo. Pykälässä säädettäisiin lain voimaantulosta. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 1 päivänä tammikuuta 1998 annettu laki (1270/1997) ulkomaalaisrekisteristä.
24 §.Siirtymäsäännös. Pykälässä säädettäisiin siirtymäsäännöksestä lain 16 §:n osalta, jotta sen mukaiset tekniset poistosäännökset ehditään toteuttaa ulkomaalaisasioiden asiankäsittelyjärjestelmään ja kansalliseen viisumitietojärjestelmään. Pykälän mukaan kyseiset tietojärjestelmät on saatettava maahanmuuttohallinnon henkilötietolain 16 §:n mukaisiksi vuoden kuluessa lain voimaantulosta. Siirtymäaikana sovelletaan maahanmuuttohallinnon henkilötietolain voimaan tullessa voimassa olleita henkilötietojen poistamista koskevia säännöksiä. Tällaisia ovat ulkomaalaisrekisterilain 9 §:n, vastaanottolain 54 §:n 1 momentin, säilölain 32 h §:n 1 momentin, kotoutumislain 62 §:n 1 momentin säännökset.