7
Pöytäkirjan määräykset ja niiden suhde Suomen lainsäädäntöön
Euroopan unioni on käyttänyt lainsäädäntövaltaansa jäsenvaltioiden suorittaman henkilötietojen käsittelyn osalta antamalla henkilötietojen käsittelystä säännökset, jotka sisältyvät yleiseen tietosuoja-asetukseen ja rikosasioiden tietosuojadirektiiviin. Henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös muuhun Euroopan unionin lainsäädäntöön, josta osa koskee henkilötietojen käsittelyä jäsenvaltioissa. Euroopan unionin perussopimusten mukaisesti toimivalta Euroopan unionin ja sen jäsenvaltioiden välillä on tietosuojayleissopimuksen ja sen pöytäkirjojen soveltamisalalla luonteeltaan jaettua. Toimivallan jakautumista unionin ja jäsenvaltioiden kesken selostetaan tarkemmin jäljempänä kappaleessa 12.1.
Tietosuojayleissopimuksen määräykset on pantu Suomessa alun perin täytäntöön henkilörekisterilailla (471/1987) ja myöhemmin henkilötietolailla (523/1999), jonka säännökset perustuivat suurimmaksi osaksi henkilötietodirektiiviin. Kumotun henkilötietolain korvaavat yleissopimuksen täytäntöönpanosäädöksinä yleinen tietosuoja-asetus, tietosuojalaki ja rikosasioiden tietosuojalaki. Lisäksi henkilötietojen käsittelyä koskevia säännöksiä sisältyy runsaasti erityislainsäädäntöön, joka sisältää esimerkiksi rekisterisääntelyä, tarkempia erityisten henkilötietoryhmien käsittelyä koskevia säännöksiä ja poikkeuksia rekisteröidyn oikeuksiin. Yleissopimus sisältää henkilötietojen käsittelyä koskevat yleisesti sovellettavat vaatimukset ja perusperiaatteet, jotka on kaikilta osin pantu täytäntöön Suomessa yleislainsäädännöllä. Erityislainsäädännön sisältämien perusperiaatteita koskevien poikkeusten olisi kuitenkin täytettävä yleissopimuksen vaatimukset.
1 artikla. Yleissopimuksen johdanto-osaan tehdään muutokset, joissa korostetaan tarvetta turvata jokaisen ihmisarvo, ihmisoikeuksien ja perusvapauksien suoja ja yksilön oikeus määrätä henkilötiedoistaan ja niiden käsittelystä. Muutetussa johdanto-osassa myös korostetaan tietosuojan yhteiskunnallista ja maailmanlaajuista merkitystä sekä tarvetta sovittaa oikeus henkilötietojen suojaan yhteen muiden ihmisoikeuksien ja perusvapauksien kanssa, mukaan lukien sananvapaus. Lisäksi johdanto-osassa huomioidaan, että yleissopimus mahdollistaa viranomaisen asiakirjojen julkisuusperiaatteen huomioon ottamisen, ja tunnistetaan tarve edistää yksityisyyden kunnioittamista ja henkilötietojen suojaa maailmanlaajuisesti sekä vahvistaa kansainvälistä yhteistyötä osapuolten välillä. Johdanto-osan sanamuotoa myös muutetaan sen mukaisesti, että jatkossa yleissopimukseen voisivat liittyä osapuoliksi valtioiden lisäksi kansainväliset järjestöt.
2 artikla. Yleissopimuksen 1 artiklan sanamuotoa muutetaan siten, että yleissopimuksen tarkoituksena on suojata jokaista yksilöä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta, kun on kyse hänen henkilötietojensa käsittelystä, ja siten edistää hänen ihmisoikeuksiensa ja perusvapauksiensa kunnioittamista ja erityisesti hänen yksityisyyden suojansa kunnioittamista.
3 artikla. Yleissopimuksen 2 artiklan määritelmiä muutetaan. Automaattisesti käsiteltävän rekisterin määritelmä (b alakohta) poistetaan. Automaattisen tietojenkäsittelyn käsite korvataan tietojen käsittelyn käsitteellä, joka tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin, kuten tällaisten tietojen keräämistä, tallentamista, säilyttämistä, muuttamista, hakua, luovuttamista, saataville asettamista, poistamista tai hävittämistä tai loogisten ja/tai aritmeettisten toimintojen suorittamista tällaisilla tiedoilla (uusi b alakohta). Lisäksi uuden c alakohdan mukaan, kun tietoja ei käsitellä automaattisesti, “tietojen käsittely” tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin osana jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tai haettavissa tietyillä perusteilla. Määritelmä poikkeaa vain hieman vastaavasta tietosuoja-asetuksen 4 artiklan 2 kohdan ja rikosasioiden tietosuojalain 3 §:n 1 momentin 2 kohdan määritelmästä, ja määritelmissä luetellut käsittelytoimet ovat esimerkkejä. Myös rekisterinpitäjän määritelmää muutetaan (d alakohta). Uuden määritelmän mukaan rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, laitosta, virastoa tai muuta elintä, jolla on yksin tai yhdessä toisten kanssa toimivalta päättää tietojen käsittelystä. Yleissopimukseen lisätään vastaanottajan (e alakohta) ja henkilötietojen käsittelijän (f alakohta) määritelmät. Rekisterinpitäjän, vastaanottajan ja henkilötietojen käsittelijän käsitteiden määritelmät sisältyvät myös tietosuoja-asetuksen 4 artiklan 7-9 kohtaan ja rikosasioiden tietosuojalain 3 §:n 1 momentin 6-8 kohtaan.
4 artikla. Yleissopimuksen soveltamisalaa koskevaa 3 artiklaa muutetaan. Artiklan 1 kohdan mukaan soveltamisala kattaisi voimassa olevan kohdan tavoin henkilötietojen käsittelyn julkisella ja yksityisellä sektorilla. Soveltamisalaan kuuluu voimassa olevan kohdan mukaan automaattisesti käsiteltävät henkilörekisterit ja henkilötietojen automaattinen käsittely, mutta muutosten myötä yleissopimus kattaisi henkilötietojen käsittelyn laajemmin. Määritelmät sisältävän 2 artiklan b alakohdassa tarkoitettu henkilötietojen käsittely kattaa eräin edellytyksin myös muut henkilörekisterit kuin automaattisin tietojen käsittelykeinoin ylläpidettävät rekisterit. Muutetun 3 artiklan uudessa 2 kohdassa määrätään, että yleissopimusta ei sovelleta sellaiseen tietojen käsittelyyn, jota yksilö suorittaa puhtaasti henkilökohtaisessa tai kotitalouteen liittyvässä toiminnassa. Rajaus vastaa tietosuoja-asetuksen 2 artiklan 2 kohdan c alakohdan rajausta. Yleissopimuksen 3 artiklasta poistetaan 2¬¬6 kohdan määräykset, joiden mukaisesti sopimuspuolet voivat selityksellä laajentaa tai rajoittaa omalta osaltaan yleissopimuksen soveltamisalaa.
Tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi kattavat yleissopimuksen soveltamisalan lukuun ottamatta henkilötietojen käsittelyä, jota sovelletaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan, tai jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Suomessa kuitenkin tietosuojalain ja rikosasioiden tietosuojalain soveltamisalaa on laajennettu siten, että rikosasioiden tietosuojalakia sovelletaan eräin poikkeuksin myös kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvään henkilötietojen käsittelyyn ja tietosuojalain soveltamisalan laajennuksen myötä tietosuoja-asetusta ja tietosuojalakia sovelletaan Suomessa muuhun EU:n tietosuojalainsäädännön ulkopuolelle jäävään henkilötietojen käsittelyyn, lukuun ottamatta tietosuojalain 2 §:n 2 momentissa tarkoitettua eduskunnan valtiopäivätoimintaa.
Eduskunnan valtiopäivätoiminta rajattiin tietosuojalain soveltamisalan ulkopuolelle lain eduskuntakäsittelyn yhteydessä (HaVM 13/2018 vp, s. 7). Perustuslakivaliokunta kiinnitti lausunnossaan (PeVL 14/2018 vp) huomiota siihen, että Suomen valtiojärjestyksen perusteisiin kuuluu Suomen valtiojärjestyksen rakentuminen edustuksellisen demokratian varaan ja eduskunnan asema ylimpänä valtioelimenä. Nämä periaatteet on johdettu perustuslain 2 §:n 1 momentin säännöksestä, jonka mukaan valtiovalta Suomessa kuuluu kansalle, jota edustaa valtiopäiville kokoontunut eduskunta. Tämä ilmenee nimenomaisesti myös perustuslakiuudistuksen perusteluista (HE 1/1998 vp, s. 73). Eduskunnan toiminta voidaan jakaa perustuslaissa ja eduskunnan työjärjestyksessä säänneltyyn valtiopäivätoimintaan ja eduskunnan virastojen suorittamaan hallintotoimintaan. Perustuslakivaliokunnan lausunnon mukaan eduskunnan valtiosääntöinen asema merkitsee myös sitä, ettei eduskunnan valtiopäivätoiminta voi olla ulkopuolisen valvonnan kohteena, vaan eduskunnan toiminnan laillisuusvalvonta on säädetty perustuslaissa tyhjentävästi eduskunnan omien elinten, eduskunnan puhemiehen ja perustuslakivaliokunnan, tehtäväksi. (PeVL 14/2018 vp, s.10-11) Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei ollut sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (PeVL 14/2018 vp, s. 11; PeVL 30/1998 vp, s. 6/II). Valiokunnan mielestä eduskunnan asemesta ylimpänä valtioelimenä ja EU-oikeuden rajatusta soveltamisalasta seurasi kuitenkin, että hallituksen esityksen 1. lakiehdotusta oli muutettava siten, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tällainen muutos oli edellytyksenä sille, että 1. lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. (PeVL 14/2018 vp, s.11)
Voimassa olevan tietosuojayleissopimuksen perusteluissa (Explanatory Report/ ETS 108) on kiinnitetty huomiota siihen, että yleissopimuksella on merkitystä myös julkisella sektorilla, vaikka suurin osa rajat ylittävistä tiedonsiirroista tapahtuukin yksityissektorilla. Erottelua julkisen sektorin ja yksityissektorin välillä ei käytetä muissa yleissopimuksen määräyksissä siitä syystä, että näillä termeillä voi olla erilainen merkitys eri valtioissa. Perustelujen mukaan erottelulla voi kuitenkin olla merkitystä osapuolten antamien yleissopimuksen soveltamisalaa koskevien selitysten osalta. (Perustelujen kohta 33) Tietosuojayleissopimuksen 3 artiklan perustelut jättävät siten todistusvoimaisten tekstien englanninkielisen termin ”public sector” ja ranskankielisen termin ”secteur public” merkityksen kunkin osapuolen oikeusjärjestelmän varaan. Julkisen sektorin elinten katsotaan esimerkiksi EU-oikeudessa tarkoittavan valtion, alueellisia ja paikallisia viranomaisia sekä muita julkisoikeudella säänneltyjä yhteisöjä. Se, mitä lainsäädäntöä sovelletaan valtiopäivätoimintaan, voi vaihdella osapuolten oikeusjärjestelmissä. Voimassa olevan yleissopimuksen osalta kuitenkin vain kaksi valtiota (Liechtenstein, Sveitsi) on nimenomaisesti selityksellä sulkenut valtiopäivätoiminnan sen soveltamisalan ulkopuolelle. Suomi ei ole voimassa olevan tietosuojayleissopimuksen osalta antanut valtiopäivätoiminnan osalta selitystä. Yleissopimus on sellaisenaan voimassa olevaa oikeutta, eikä myöskään sen täytäntöönpanosäädöksenä kumottu henkilötietolaki sisältänyt tietosuojalain 2 §:n 2 momenttia vastaavaa valtiopäivätoimintaa koskevaa poikkeusta.
Yleissopimuksen soveltamisalaa olisi arvioitava edellä mainitun perustuslakivaliokunnan linjauksen valossa. Tietosuojalain soveltamisalan rajaus tarkoittaa pelkästään valtiopäivätoimintaan eikä eduskunnan virastojen toimintaan liittyvän henkilötietojen rajaamista sen soveltamisalan ulkopuolelle, jolloin tietosuojalain soveltamisalan ulkopuolisten henkilötietojen käsittelytilanteiden voidaan arvioida olevan rajallisia. Myös perustuslakivaliokunnan linjaukselle sovellettavasta lainsäädännöstä olisi annettava merkitystä. Valtiopäivätoimintaan ei sen näkemyksen mukaan voida soveltaa hallintoa koskevia yleislakeja, toisin kuin eduskunnan virastojen hallintoimintaan. Eduskunnan virastoja ovat eduskunnan virkamiehistä annetun lain (1197/2003) 2 §:n 2 momentin mukaan eduskunnan kanslia ja eduskunnan oikeusasiamiehen kanslia sekä eduskunnan yhteydessä olevat valtiontalouden tarkastusvirasto ja kansainvälisten suhteiden ja Euroopan unionin asioiden tutkimuslaitos. Tästä johtuen myös mahdollisen yleissopimuksen soveltamisalaan liittyvän poikkeuksen ala jää kapeaksi siinä tapauksessa, että valtiopäivätoiminnan katsottaisiin kuuluvan julkiseen sektoriin. Yleissopimuksen uudelleen numeroitu 11 artikla sallii poikkeamisen sen määräyksistä muun muassa merkittävän yleisen edun perusteella, mutta poikkeukset voivat kohdistua vain tiettyihin yleissopimuksen määräyksiin, joihin soveltamisalaa koskeva 3 artiklan 1 kohta ei sisälly. Käsitettä ”public sector” voitaneen kuitenkin Suomessa tulkita edellä mainitun yleishallintolakien soveltuvuutta koskevan linjauksen valossa. Ottaen huomioon, että yleissopimuksen sisältö ehdotetaan pantavaksi täytäntöön sekamuotoiseen voimaansaattamislakiin sisältyvällä blankettisäännöksellä, epäselvyyksien välttämiseksi samalla ehdotetaan hyväksyttäväksi yleissopimuksen 3 artiklan 1 kohtaa koskeva tulkintaselitys, jossa täsmennettäisiin, miten käsitettä julkinen sektori tulkitaan Suomessa yleissopimusta sovellettaessa.
Yleissopimuksen sallimien poikkeusten suhdetta lainsäädäntöön selostetaan muilta osin pöytäkirjan 14 artiklan yhteydessä.
5 artikla. Yleissopimuksen II luvun otsikoksi muutetaan ”Henkilötietojen suojaamisen perusperiaatteet”.
6 artikla. Yleissopimuksen 4 artiklan 1 ja 2 kohdan määräyksiä osapuolten lainsäädäntövelvoitteista muutetaan. Muutetun 1 kohdan mukaan osapuolen olisi toteutettava tarvittavat lainsäädäntötoimet kaikkien yleissopimuksen määräysten täytäntöönpanon ja tosiasiallisen soveltamisen varmistamiseksi. Voimassa oleva kohta edellyttää ainoastaan yleissopimuksen sisältämien tietosuojaa koskevien perusperiaatteiden täytäntöönpanoa. Käytännössä muutos laajentaa lainsäädäntövelvoitteita sisällöllisesti siten, että esimerkiksi rajat ylittäviä tiedonsiirtoja koskevat määräykset sisältyvät nimenomaisen täytäntöönpanovelvoitteen piiriin. Yleissopimuksen täytäntöönpanon edellyttämän lainsäädännön on voimassa olevan 2 kohdan mukaan tultava voimaan viimeistään, kun yleissopimus tulee voimaan kyseessä olevan osapuolen osalta. Muutetun 2 kohdan mukaan osapuolten on toteutettava lainsäädäntötoimet siihen mennessä, kun ne ratifioivat yleissopimuksen tai liittyvät siihen. Tällä olisi merkitystä erityisesti asiasisältöisten täytäntöönpanosäännösten soveltamisen kannalta. Artiklaan lisätään uusi 3 kohta, jonka mukaan osapuolet sitoutuvat sallimaan sen, että VI luvussa tarkoitettu yleissopimuksen komitea arvioi niiden lainsäädäntötoimien tehokkuuden, jotka osapuoli on toteuttanut saattaakseen yleissopimuksen määräykset voimaan (a alakohta). Osapuolet myös sitoutuvat myötävaikuttamaan aktiivisesti arviointiprosessiin (b alakohta). Myötävaikuttamisella tarkoitettaisiin esimerkiksi yleissopimuksen soveltamista koskevien raporttien antamista tai tarvittavien tietojen antamista muussa muodossa arviointiprosessia varten. Yleissopimuksen uuden 11 artiklan 3 kohdasta seuraa kuitenkin, että osapuolen ei edellytettäisi antavan salassa pidettäviä tietoja yleissopimuksen komitealle.
7 artikla. Yleissopimuksen 5 artiklan määräyksiä henkilötietojen käsittelyn oikeutuksesta täydennetään ja artiklan otsikko muutetaan muotoon ”Tietojen käsittelyn oikeutus ja tietojen laatu”.
Artiklaan lisätään uusi 1 kohta, jonka mukaan tietojen käsittelyn on oltava oikeasuhteista tavoiteltavaan oikeutettuun päämäärään nähden, ja sen on kaikissa vaiheissaan oltava oikeudenmukaisessa tasapainossa toisaalta kaikkien asiaan liittyvien julkisten tai yksityisten etujen ja toisaalta suojattavien oikeuksien ja vapauksien välillä. Artiklan 1 kohta on osittain päällekkäinen uuden 4 kohdan c alakohdan siten, että kumpikin koskee käsittelyn oikeasuhteisuuden periaatetta. Vastaavat käsittelyn oikeasuhteisuutta koskevat vaatimukset sisältyvät tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohtaan ja 6 artiklan 3 ja 4 kohtaan sekä rikosasioiden tietosuojalain 6 §:n 1 momenttiin.
Artiklaan lisätään uusi 2 kohta, jonka mukaan osapuolet varmistavat, että tietoja voidaan käsitellä rekisteröidyn vapaan, nimenomaisen, tietoon perustuvan ja yksiselitteisen suostumuksen perusteella tai jollakin muulla oikeutetulla, lailla säädetyllä perusteella. Tietosuoja-asetuksen 6 artiklan 1 kohdassa säädetään henkilötietojen käsittelyn perusteista, joista yksi on rekisteröidyn antama suostumus. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. Rikosasioiden tietosuojalaissa ei säädetä suostumuksesta henkilötietojen käsittelyn edellytyksenä, vaan käsittelyn edellytyksenä on lain 4 §:n mukaisesti kaikissa tilanteissa se, että käsittely on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, lain soveltamisalaan kuuluvan tehtävän suorittamiseksi.
Artiklaan lisätään uudet 3 ja 4 kohta, jotka tarkentavat voimassa olevan artiklan a ja b alakohdan määräyksiä henkilötietojen käsittelyn laillisuusvaatimuksesta ja käyttötarkoitussidonnaisuudesta. Artiklan 3 kohdan mukaan käsiteltäviä henkilötietoja on käsiteltävä lain mukaisesti.
Artiklan 4 kohdan a alakohdassa määrätään henkilötietojen käsittelyn oikeudenmukaisuuden ja läpinäkyvyyden periaatteesta. Kohdan b alakohdan mukaan henkilötietoja kerätään tiettyihin, nimenomaisiin ja laillisiin tarkoituksiin, eikä niitä saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten pidetään alkuperäisten tarkoitusten kanssa yhteensopivana, jos asianmukaisia takeita noudatetaan. Määräykset vastaavat tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohtaa ja rikosasioiden tietosuojalain 5 §:n säännöksiä. Tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään tarkemmin myöhemmän yhteensopivan käsittelyn kriteereistä. Uuden 4 kohdan c-e alakohta vastaavat asiasisällön osalta voimassa olevan artiklan c-e alakohtaa.
8 artikla. Yleissopimuksen 6 artiklan määräyksiä erityisistä tietoryhmistä muutetaan. Muutetun 1 kohdan mukaisesti siinä lueteltujen henkilötietojen käsittely on sallittua vain, jos lailla on säädetty asianmukaisista suojatoimista, jotka täydentävät yleissopimuksen mukaisia suojatoimia. Suojatoimista säätämistä koskeva vaatimus sisältyy jo voimassa olevaan artiklaan, mutta erityisiä tietoryhmiä täydennetään siten, että rikosoikeudellisiin tuomioihin rinnastetaan rikoksiin ja rikosoikeudenkäynteihin sekä turvaamistoimiin liittyvät tiedot, ja artiklaan lisätään biometriset tiedot, joiden avulla henkilö on yksiselitteisesti tunnistettavissa, geneettiset tiedot ja ammattiyhdistyksen jäsenyyden ilmaisevat henkilötiedot. Uuden 2 kohdan mukaan artiklassa tarkoitettujen suojatoimien on suojattava niiltä riskeiltä, joita arkaluonteisten tietojen käsittely voi aiheuttaa rekisteröidyn eduille, oikeuksille ja perusvapauksille, erityisesti syrjinnän riskiltä. Muutettua yleissopimuksen 6 artiklaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 9 ja 10 artiklaan sekä rikosasioiden tietosuojalain 11 §:ään. Rikosasioiden tietosuojalain soveltamisalasta johtuen siinä ei kuitenkaan rinnasteta tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja erityisiin henkilötietoryhmiin.
9 artikla. Yleissopimuksen 7 artiklaa muutetaan. Muutetun 1 kohdan sisältö vastaa pääosin voimassa olevaa artiklaa, jossa määrätään tietoturvallisuuteen liittyvistä turvatoimia koskevista vaatimuksista. Muutetun kohdan mukaan vaatimukset koskevat rekisterinpitäjän lisäksi tapauksen mukaan myös henkilötietojen käsittelijää. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 32 artiklaan ja rikosasioiden tietosuojalain 31 §:ään.
Artiklaan lisätään uusi 2 kohta, jonka mukaan osapuolet varmistavat, että rekisterinpitäjä ilmoittaa viipymättä ainakin yleissopimuksen 15 artiklassa tarkoitetulle toimivaltaiselle valvontaviranomaiselle sellaisista tietoturvaloukkauksista, jotka voivat vakavasti loukata rekisteröityjen oikeuksia ja perusvapauksia. Vastaava vaatimus sisältyy tietosuoja-asetuksen 33 artiklaan ja rikosasioiden tietosuojalain 34 §:ään.
10 artikla. Yleissopimukseen lisätään uusi 8 artikla, joka koskee tietojen käsittelyn läpinäkyvyyttä. Artikla sisältää rekisteröityjen informointiin liittyvät velvoitteet. Artiklan 1 kohta sisältää pääsäännön, jonka mukaan sopimusosapuolten tulee varmistaa, että rekisterinpitäjillä on velvollisuus ilmoittaa rekisteröidyille kyseisessä kohdassa luetellut tiedot sekä tarvittavat lisätiedot oikeudenmukaisen ja läpinäkyvän käsittelyn varmistamiseksi. Vaatimusta ei sovelleta, jos rekisteröidyllä on jo kyseiset tiedot (2 kohta). Artiklan 3 kohta sallii rekisterinpitäjän vaatimukseen poikkeuksen silloin, kun henkilötietoja ei kerätä suoraan rekisteröidyiltä, jos tietojen käsittelystä säädetään nimenomaisesti lailla tai ilmoittaminen osoittautuu mahdottomaksi tai edellyttää kohtuutonta vaivaa. Artiklaa vastaava sääntely sisältyy suureksi osaksi tietosuoja-asetuksen 12-14 artiklaan ja rikosasioiden tietosuojalain 22 §:ään, mutta erityisesti tietosuoja-asetuksen sääntely on yksityiskohtaisempaa ja sisältää rakenteellisia eroja verrattuna yleissopimuksen artiklaan. Yleissopimuksen 11 artiklan 1 kohta sallii poikkeuksen 8 artiklan 1 kohdasta rekisterinpitäjän hallinnollisen taakan keventämiseksi, edellyttäen, että poikkeuksella ei puututa rekisteröidyn perustavaa laatua olevaan oikeuteen saada pääsy itseään koskeviin tietoihin ja poikkeuksesta säädetään laissa, siinä huomioidaan oleellisin osin perusoikeuksien suoja ja se on välttämätön ja oikeasuhteinen.
11 artikla. Nykyinen 8 artikla numeroidaan uudelleen 9 artiklaksi ja sen otsikoksi muutetaan ”Rekisteröidyn oikeudet”. Artiklan sisältö korvataan uudella tekstillä.
Artiklan 1 kohdan a alakohta korvataan uudella alakohdalla, jonka mukaan jokaisella yksilöllä on oikeus joutumatta sellaisen päätöksen kohteeksi, joka vaikuttaa häneen merkittävästi ja joka perustuu yksinomaan automaattiseen tietojenkäsittelyyn hänen näkemyksiään huomioon ottamatta. Artiklan 2 kohdan mukaan 1 kohdan a alakohtaa ei sovelleta, jos päätös on rekisterinpitäjään sovellettavan lainsäädännön mukaan sallittu ja jos tässä lainsäädännössä myös säädetään sopivista toimista rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen turvaamiseksi. Uutta artiklaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 22 artiklaan ja rikosasioiden tietosuojalain 13 §:ään. Tietosuoja-asetuksen 22 artikla kuitenkin mahdollistaa poikkeamisen myös muilla perusteilla, joita ovat välttämättömyys rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemiseksi ja rekisteröidyn nimenomainen suostumus. Rikosasioiden tietosuojalain 13 §:ään sisältyy mahdollisuus poiketa kiellosta lailla säätämällä.
Artiklan 1 kohdan b alakohdassa määrätään yksilön oikeudesta saada pyynnöstä kohtuullisin väliajoin ja ilman kohtuuttomia viivästyksiä ja kuluja vahvistus henkilötietojensa käsittelystä, ilmoitus käsitellyistä henkilötiedoista ymmärrettävässä muodossa, kaikki käytettävissä olevat tiedot kyseisten henkilötietojen sisällöstä, alkuperästä ja säilytysajasta sekä muut tiedot, jotka rekisterinpitäjän on annettava varmistaakseen tietojen käsittelyn läpinäkyvyyden 8 artiklan 1 kohdan mukaisesti. Uuden alakohdan sisältämät määräykset vastaavat pääsääntöjen osalta voimassa olevaa b alakohtaa, mutta ne ovat yksityiskohtaisemmat.
Uuden 1 kohdan c alakohdan mukaan yksilöllä on oikeus saada pyynnöstä tietää henkilötietojen käsittelyn perusteet, jos käsittelyn tuloksia sovelletaan häneen. Vastaava vaatimus sisältyy tietosuoja-asetuksen 13–15 artiklaan ja rikosasioiden tietosuojalain 22 ja 23 §:ään.
Uuden 1 kohdan d alakohdan mukaan yksilöllä on oikeus vastustaa henkilökohtaiseen tilanteeseensa liittyvillä perusteilla milloin tahansa henkilötietojensa käsittelyä, jollei rekisterinpitäjä osoita henkilötietojen käsittelylle oikeutettuja perusteita, jotka syrjäyttävät kyseisen yksilön edun tai oikeudet ja perusvapaudet. Tietosuoja-asetuksen 21 artiklaan sisältyy vastaava säännös, jonka nojalla rekisteröidyllä on pääsääntöisesti oikeus erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa käsittelyä, joka perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan e tai f alakohtaan. Yleissopimuksen mukaisen poikkeuksen lisäksi tietosuoja-asetuksen nojalla oikeudesta voi poiketa myös silloin, kun käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Vastustamisoikeutta ei tietosuoja-asetuksen mukaisesti kuitenkaan ole esimerkiksi silloin, käsittely on 6 artiklan 1 kohdan c alakohdan tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Toisaalta tietosuoja-asetuksen 22 artiklan nojalla rekisteröidyllä on aina oikeus vastustaa käsittelyä suoramarkkinointia ja siihen liittyvää profilointia varten.
Soveltamisalansa vuoksi rikosasioiden tietosuojalakiin ei sisälly oikeutta vastustaa henkilötietojen käsittelyä. Yleissopimuksen 11 artiklan 1 kohdan a alakohdan nojalla rekisteröidyn vastustamisoikeudesta voidaan poiketa muun muassa silloin, kun oikeutta on tarpeen rajoittaa kansalliseen turvallisuuteen, puolustukseen, yleiseen turvallisuuteen tai rikoksen ennalta estämiseen tai selvittämiseen taikka syytetoimiin ja rangaistusten täytäntöönpanoon liittyvistä syistä edellyttäen, että poikkeuksesta säädetään lailla, siinä kunnioitetaan perusoikeuksia ja vapauksia olennaisilta osin, ja poikkeus on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimi. Rikosasioiden tietosuojalain nojalla rekisteröidyllä on kuitenkin käytettävissään muita oikeuksia, mukaan lukien oikeus virheellisten henkilötietojen oikaisemiseen tai lainvastaisesti käsiteltyjen henkilötietojen poistamiseen, sekä lain 9 luvussa säädetyt oikeusturvakeinot. Vastustamisoikeuden puuttumista rikosasioiden tietosuojalaissa voidaan pitää yleissopimuksen 11 artiklan 1 kohdan a alakohdan mukaisena poikkeuksena.
Voimassa olevan artiklan c ja d alakohta korvataan uusilla e ja f alakohdalla, jotka pääsäännön osalta vastaavat voimassa olevia kohtia. Uuden 1 kohdan e alakohdan mukaan yksilöllä on oikeus saada pyynnöstä maksutta ja ilman kohtuutonta viivästystä henkilötietonsa tapauksen mukaan oikaistuiksi tai poistetuiksi, jos niitä käsitellään tai on käsitelty yleissopimuksen määräysten vastaisesti. Vastaava vaatimus tietojen oikaisusta tai poistamisesta sisältyy tietosuoja-asetuksen 16 ja 17 artiklaan ja rikosasioiden tietosuojalain 25 §:ään. Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään muun muassa 16 ja 17 artiklan mukaisten toimenpiteiden maksuttomuudesta. Myös rikosasioiden tietosuojalain 30 §:n 2 momentissa säädetään rekisteröidyn pyyntöjen käsittelyn maksuttomuudesta, joka ei rajoitu pelkästään henkilötietojen oikaisua ja poistamista koskeviin pyyntöihin. Sekä tietosuoja-asetuksen että rikosasioiden tietosuojalain nojalla voidaan periä maksu, jos pyynnöt ovat toistuvia tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia. Yleissopimuksen 11 artiklan 1 kohta sallii oikeasuhteisen poikkeuksen maksuttomuutta koskevaan vaatimukseen.
Uuden 1 kohdan f alakohdan mukaan jokaisella yksilöllä on oikeus käyttää 12 artiklassa tarkoitettua oikeussuojakeinoa, jos hänen yleissopimuksella määrättyjä oikeuksiaan on loukattu. Tietosuoja-asetuksen VIII luvussa säädetään oikeudenloukkauksiin sovellettavista oikeussuojakeinoista, joita täydentävät tietosuojalain 4 luvussa säädetyt oikeusturvaa ja seuraamuksia koskevat säännökset. Rikosasioiden tietosuojalain 9 luvussa säädetään oikeusturvasta ja 60 §:ssä vahingonkorvauksesta.
Artiklan 1 kohdan g alakohdan mukaan jokaisella yksilöllä on oikeus saada kansalaisuudestaan ja asuinpaikastaan riippumatta 15 artiklassa tarkoitetulta valvontaviranomaiselta apua yleissopimuksen mukaisten oikeuksiensa käyttämisessä. Tietosuoja-asetuksen 57 artiklan 1 kohdan e alakohdan mukaan kansallisella valvontaviranomaisella on velvollisuus pyynnöstä antaa rekisteröidyille tietoa heille kuuluvien oikeuksien käytöstä. Vastaava säännös sisältyy rikosasioiden tietosuojalain 46 §:n 1 momentin 3 kohtaan. Tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan ja rikosasioiden tietosuojalain 51 §:n 5 kohdan nojalla tietosuojavaltuutettu voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tämän oikeuksien käyttöä. Jos rekisteröidyn tietosuoja-asetuksen 15 artiklan mukaista oikeutta tutustua hänestä kerättyihin tietoihin on rajoitettu tietosuojalain 34 §:n nojalla, tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä pykälän 4 momentin mukaisesti. Rikosasioiden tietosuojalain 29 §:ssä säädetään oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä. Tietosuojavaltuutetun toimivaltuuksia ei ole sidottu rekisteröidyn asuinpaikkaan. Euroopan unionin perusoikeuskirjan 21 artiklan 2 kohta ja perustuslain 6 §:n 2 momentti kieltävät kansalaisuuteen perustuvan syrjinnän.
12 artikla. Yleissopimukseen lisätään uusi 10 artikla, joka koskee osapuolten muita velvoitteita.
Artiklan 1 kohta koskee rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuutta toteuttaa kaikki asianmukaiset toimet noudattaakseen yleissopimuksen velvoitteita ja pystyäkseen osoittamaan, että velvoitteita on noudatettu. Kohdan määräykset vastaavat tietosuoja-asetuksen 24 artiklan 1 ja 2 kohtaa ja 28 artiklan 1 kohtaa sekä rikosasioiden tietosuojalain 14 §:ää ja 17 §:n 1 momenttia.
Artiklan 2 kohdassa asetetaan osapuolille velvollisuus varmistaa, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät selvittävät aiotun henkilötietojen käsittelyn todennäköisen vaikutuksen rekisteröityjen oikeuksiin ja perusvapauksiin ennen kuin käsittely aloitetaan, ja suunnittelevat henkilötietojen käsittelyn siten, että näiden oikeuksien ja perusvapauksien loukkaamisen riski estetään tai minimoidaan. Vaikutustenarviointia koskevat vaatimukset sisältyvät tietosuoja-asetuksen 35 artiklaan ja rikosasioiden tietosuojalain 20 §:ään.
Artiklan 3 kohdan mukaan osapuolet varmistavat, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät toteuttavat tekniset ja organisatoriset toimet, joissa otetaan huomioon se, miten oikeus henkilötietojen suojaan vaikuttaa kaikissa tietojen käsittelyn vaiheissa. Pöytäkirjan perustelujen mukaan sisäänrakennetun tietosuojan periaate olisi otettava huomioon mahdollisimman varhaisessa henkilötietojen käsittelyn vaiheessa eli mahdollisuuksien mukaan jo suunniteltaessa käsittelyn teknisiä ja organisatorisia ratkaisuja. Henkilötietojen käsittelyn suunnittelussa pitäisi pyrkiä helppokäyttöisiin ratkaisuihin, jotka edistävät lainsäädännön noudattamista. Säännökset sisäänrakennetusta ja oletusarvoisesta tietosuojasta sisältyvät tietosuoja-asetuksen 25 artiklaan ja rikosasioiden tietosuojalain 15 §:ään.
Artiklan 4 kohdan mukaan osapuolet voivat lainsäädännössään mukauttaa 1–3 kohdan määräyksiä vastaamaan käsiteltävien tietojen luonnetta ja määrää ja tietojen käsittelyn luonnetta, laajuutta ja tarkoitusta sekä tapauksen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän kokoa. Tietosuoja-asetuksen 25 artiklan 1 kohta ja rikosasioiden tietosuojalain 15 §:n 1 momentti sisältävät rekisterinpitäjälle asetetun velvollisuuden huomioida käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä riskit rekisteröidyn oikeuksille suojatoimenpiteitä toteuttaessaan, mutta ne eivät sisällä joustoa rekisterinpitäjän tai henkilötietojen käsittelyn osalta.
13 artikla. Yleissopimuksen 9–12 artikla numeroidaan uudelleen 11–14 artiklaksi.
14 artikla. Artiklan mukaan yleissopimuksen uudelleen numeroidun 11 artiklan määräykset korvataan uusilla. Artikla koskee sallittuja poikkeuksia yleissopimuksen soveltamisalaan.
Artiklan 1 kohdan mukaan poikkeukset ovat sallittuja yleissopimuksen 5 artiklan 4 kohtaan (henkilötietojen käsittelyn läpinäkyvyys ja periaatteet), 7 artiklan 2 kohtaan (tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle), 8 artiklan 1 kohtaan (rekisteröidyn informointivelvollisuus) ja 9 artiklaan (rekisteröidyn oikeudet), kun on kyse kansallisen turvallisuuden, puolustuksen, yleisen turvallisuuden, merkittävien valtion taloudellisten intressien, tuomioistuinten riippumattomuuden ja puolueettomuuden tai rikoksen ennalta estämisen tai selvittämisen, syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon taikka muiden yleisen edun mukaisten oleellisten tavoitteiden turvaamisesta (a alakohta). Poikkeukset ovat sallittuja myös silloin, kun on kyse rekisteröidyn tai muiden perusoikeuksien suojaamisesta, erityisesti sananvapauden suojaamisesta (b alakohta). Poikkeuksen muodostavilta toimenpiteiltä edellytetään, että niistä säädetään laissa ja että ne ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia. Välttämättömyydellä tarkoitetaan, että poikkeuksella on oikeutettu päämäärä, jota ei voida saavuttaa keinoilla, jotka puuttuvat yksityiselämän suojaan vähemmän. Muutetun yleissopimuksen 11 artiklan mukaisten poikkeusten välttämättömyyttä olisi arvioitava tapauskohtaisesti ja yleiseen etuun liittyvien oleellisten tavoitteiden mukaisesti. (Perusteluosan 91 ja 93 kohta)
Kansallisen turvallisuuden käsitettä olisi tulkittava asiaan liittyvän Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti (perusteluosan 94 kohta). Asian kannalta merkityksellinen oikeuskäytäntö liittyy erityisesti valtion turvallisuuden ja demokratian suojaamiseen vakoilulta, terrorismilta sekä terrorismin ja separatismin tukemiselta. Kun kyse on kansalliseen turvallisuuteen liittyvistä poikkeuksista, vallan väärinkäyttöä vastaan on varmistettava suojatoimet.
Euroopan unionin tietosuojalainsäädäntöä ei sovelleta kansalliseen turvallisuuteen ja puolustukseen liittyvään henkilötietojen käsittelyyn. Euroopan neuvoston tietosuojayleissopimuksen soveltamisala on laajempi ja kattaa myös tällaisen henkilötietojen käsittelyn. Myös mahdollisten poikkeusten olisi pysyttävä yleissopimuksen sallimissa rajoissa.
Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa ei poiketa henkilötietojen käsittelyä koskevista periaatteista. Henkilötietojen alkuperäisen käyttötarkoituksen kanssa yhteensopivasta henkilötietojen käsittelystä säädetään tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa ja 6 artiklan 4 kohdassa sekä rikosasioiden tietosuojalain 5 §:ssä. Poikkeuksista alkuperäiseen käyttötarkoitukseen säädetään tarkemmin erityislainsäädännössä. Tietoturvaloukkauksista ilmoittamista valvontaviranomaiselle koskeva ehdoton velvollisuus on rajattu tietosuoja-asetuksen 33 artiklassa ja rikosasioiden tietosuojalain 34 §:ssä koskemaan yleissopimuksen 7 artiklan 2 kohdan tavoin tilanteita, joista aiheutuisi vaaraa rekisteröidyn oikeuksille. Tietosuoja-asetuksen 23 artiklaan sisältyvät perusteet, joilla rekisteröidyn oikeuksia voidaan rajoittaa lainsäädäntötoimenpiteellä. Rajoitusperusteet vastaavat pitkälti yleissopimuksen mukaisia poikkeusperusteita. Lisäksi tietosuoja-asetuksen 23 artiklassa säädetään lainsäädäntötoimenpiteitä koskevista edellytyksistä. Tietosuojalain 33 §:ssä säädetään poikkeuksista tietosuoja-asetuksen 13 ja 14 artiklan mukaiseen velvollisuuteen toimittaa tietoja rekisteröidylle. Tietosuojalain 34 §:ssä säädetään rajoituksista tietosuoja-asetuksen 15 artiklan mukaiseen rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Rikosasioiden tietosuojalain 24 §:ssä säädetään rekisteröidyn tarkastusoikeuden rajoituksista, minkä lisäksi 28 §:ssä säädetään yleisemmin perusteista, joilla rekisteröidyn oikeuksia voidaan rajoittaa. Erityislainsäädäntöön sisältyy myös rajoituksia ja poikkeuksia rekisteröidyn oikeuksiin.
Yleissopimuksen uudelleen numeroidun 11 artiklan 2 kohta mahdollistaa soveltamisen rajoitukset yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten, jollei ole tunnistettavissa rekisteröidyn oikeuksien ja perusvapauksien loukkaamisen riskiä. Tällaisiin tarkoituksiin suoritettavaa henkilötietojen käsittelyä pidetään tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisesti alkuperäisen henkilötietojen käsittelyn kanssa yhteensopivana käsittelynä. Tietosuoja-asetuksen 89 artiklassa säädetään tällaista käsittelyä koskevista suojatoimista sekä sallituista poikkeuksista, joista voidaan säätää kansallisessa laissa. Poikkeuksista ja suojatoimista säädetään tarkemmin tietosuojalain 31 ja 32 §:ssä. Rikosasioiden tietosuojalain 5 §:n 3 momentissa sallitaan lain soveltamisalalla yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten suoritettava henkilötietojen käsittely edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu.
Artiklan 3 kohdan mukaan, kun kyse on kansallisen turvallisuuden ja puolustuksen tarkoituksiin liittyvästä henkilötietojen käsittelystä, yleissopimuksen osapuolet voivat säätää lailla poikkeuksia myös 4 artiklan 3 kohdasta (velvollisuus sallia sopimusta koskevien lainsäädäntötoimien tehokkuuden arviointi ja velvollisuus myötävaikuttaa aktiivisesti arviointiin), 14 artiklan 5 ja 6 kohdasta (valvontaviranomaisen tiedonsaantioikeus rajat ylittävistä henkilötietojen siirroista) sekä 15 artiklan 2 kohdan a, b, c ja d alakohdasta (eräät valvontaviranomaisen toimivaltuudet). Poikkeus on sallittu kuitenkin ainoastaan siltä osin kuin tämä on välttämätön ja oikeasuhteinen toimi tämän päämäärän saavuttamiseksi demokraattisessa yhteiskunnassa. Kunkin osapuolen on joka tapauksessa varmistettava, että kansalliseen turvallisuuteen ja puolustustarkoituksiin liittyvää tietojenkäsittelytoimintaa arvioidaan ja valvotaan riippumattomasti ja tehokkaasti osapuolen kansallisen lainsäädännön mukaisesti. Rikosasioiden tietosuojalain 45 §:n mukaisesti tietosuojavaltuutettu valvoo kaikkea henkilötietojen käsittelyä kansallisen turvallisuuden ylläpitämisen yhteydessä.
Tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa ei ole säädetty kansallisen valvontaviranomaisen tiedonsaantioikeuksia ja toimivaltuuksia koskevista rajoituksista, joita tarkoitetaan 14 artiklan 5 ja 6 kohdassa. Yleissopimuksen 15 artiklan 2 kohdan c alakohdan mukaista valvontaviranomaisen toimivaltuutta määrätä hallinnollisia seuraamuksia on eräiltä osin rajoitettu tietosuojalaissa. Rajoitus on sallittu kyseiseen alakohtaan ja muutettu yleissopimus myös sallii vaihtoehtoisesti muunlaisen seuraamusjärjestelmän. Näiden rajoitusten suhdetta yleissopimuksen määräyksiin selostetaan jäljempänä pöytäkirjan 15 artiklan yhteydessä.
15 artikla. Yleissopimuksen 10 artiklaa (uusi 12 artikla) täsmennetään siten, että osapuolten velvollisuus ottaa käyttöön asianmukaiset seuraamukset ja oikeussuojakeinot koskee sekä lainkäyttöelimissä että muissa elimissä määrättäviä seuraamuksia ja niissä käytettäviä oikeussuojakeinoja. Uuden 12 artiklan perustelujen mukaan osapuoli voi itse määritellä sovellettavien seuraamusten luonteen. Seuraamukset voivat olla yksityisoikeudellisia, hallinnollisia tai rikosoikeudellisia. Seuraamusten olisi kuitenkin oltava tehokkaita, oikeasuhteisia ja ennalta estäviä. Osapuoli voi myös määritellä sovellettavat oikeussuojakeinot edellyttäen, että rekisteröidyllä on tosiasiallinen mahdollisuus käyttää oikeussuojakeinoja päätöksen tai käytännön riitauttamiseksi.
Yleisen tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisesta sakosta (jäljempänä hallinnollinen seuraamusmaksu), jota sovelletaan yleisen tietosuoja-asetuksen ja tietosuojalain soveltamisalalla. Hallinnollista seuraamusmaksua ei kuitenkaan tietosuojalain 24 §:n 4 momentin mukaan voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Hallinnollista seuraamusmaksua ei myöskään voida määrätä rikosasioiden tietosuojalain soveltamisalalla, joka koskee pelkästään viranomaisten toimintaa. Näissä tilanteissa, joissa seuraamusmaksua ei voida määrätä, sovellettavaksi tulevat rikoslain, virkamieslain ja vahingonkorvauslain mukaiset seuraamukset ja oikeussuojakeinot. Tietosuojavaltuutetulla on lisäksi tietosuojalain 22 §:n ja rikosasioiden tietosuojalain 52 §:n nojalla oikeus asettaa uhkasakko kyseisissä säännöksissä tarkoitettujen määräystensä tehosteeksi. Tietosuojalain 21 §:ssä säädetään oikeudesta saattaa henkilötietojen käsittelyä koskevan lainsäädännön rikkomista koskeva asia tietosuojavaltuutetun käsiteltäväksi ja 25 §:ssä säädetään oikeudesta hakea muutosta tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen. Vastaavat säännökset sisältyvät rikosasioiden tietosuojalain 56 §:ään ja 59 §:ään. Tietosuojalain ja rikosasioiden tietosuojalain sääntely vastaa muutetun 12 artiklan vaatimuksia.
16 artikla. Yleissopimuksen III luvun otsikoksi muutetaan ”Rajat ylittävät henkilötietojen siirrot”.
17 artikla. Yleissopimuksen 12 artiklan (uusi 14 artikla) otsikoksi muutetaan ”Rajat ylittävät henkilötietojen siirrot”. Artiklan teksti korvataan uudella tekstillä.
Uudelleen numeroidun 14 artiklan 1 kohdan mukaan osapuoli ei saa yksinomaan henkilötietoja suojatakseen kieltää tällaisten tietojen siirtämistä vastaanottajalle, joka kuuluu yleissopimuksen toisen osapuolen lainkäyttövaltaan, tai edellyttää erillistä lupaa tällaiseen siirtoon. Tämä sopimusmääräys vastaa voimassa olevaa yleissopimuksen 12 artiklan 2 kohtaa. Muutoksena aiempaan verrattuna osapuoli voi kuitenkin toimia siten, jos on olemassa tosiasiallinen ja vakava riski, että siirto toisen osapuolen alueelle tai kyseisen toisen osapuolen alueelta muu kuin jonkin osapuolen alueelle johtaisi yleissopimuksen määräysten kiertämiseen. Osapuoli voi toimia siten myös, jos sitä sitovat alueelliseen kansainväliseen järjestöön kuuluvien valtioiden yhteiset, yhdenmukaistetut tietosuojaa koskevat säännöt. Artiklan 1 kohta siten sallii EU:n jäsenvaltioiden soveltavan yleissopimuksen vaatimusten sijasta EU-oikeuden ja sen täytäntöönpanolainsäädännön säännöksiä.
Artiklan 2 kohdan mukaan, jos henkilötietojen vastaanottaja kuuluu sellaisen valtion tai kansainvälisen järjestön lainkäyttövaltaan, joka ei ole yleissopimuksen osapuoli, henkilötietoja saisi siirtää vain, jos varmistetaan yleissopimuksen määräyksiin perustuva asianmukainen tietosuojan taso. Kohta vastaa voimassa olevaa lisäpöytäkirjan 2 artiklan 1 kohtaa. Artiklan 3 kohdan mukaisesti asianmukainen tietosuojan taso voisi perustua kansalliseen tai kansainväliseen lainsäädäntöön, mukaan lukien sovellettavat kansainväliset sopimukset (a alakohta), taikka erityistilannetta koskeviin tai hyväksyttyihin vakiomuotoisiin suojatoimiin, joista määrätään oikeudellisesti sitovassa ja täytäntöönpanokelpoisessa asiakirjassa, jonka henkilötietojen siirtoon ja jatkokäsittelyyn osallistuvat henkilöt hyväksyvät ja panevat täytäntöön (b alakohta). Kohta on uusi verrattuna lisäpöytäkirjaan. Kohtaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 44–47 artiklaan ja rikosasioiden tietosuojalain 41–42 §:ään.
Artiklan 4 kohdan mukaisesti osapuoli voi kuitenkin tietosuojan tasoa koskevien määräysten estämättä säätää, että henkilötietoja saa siirtää rekisteröidyn suostumuksella, rekisteröidyn erityisten etujen sitä edellyttäessä yksittäistapauksessa, laissa säädetyn oikeutetun edun tai merkittävän yleisen edun perusteella tai sananvapauden turvaamiseksi. Kohta vastaa osittain voimassa olevaa lisäpöytäkirjan 2 artiklan 2 kohtaa, mutta sopimuslausekkeet (contractual clauses) on poistettu poikkeusperusteena. Lisäksi oikeutettua etua tai merkittävää yleistä etua koskevaa perustetta on tiukennettu. Tältä osin edellytetään edelleen nimenomaisesti laissa säätämistä, mutta sen lisäksi lain säännösten osalta olisi varmistettava välttämättömyys ja oikeasuhteisuus. Tietosuoja-asetuksen 49 artiklaan ja rikosasioiden tietosuojalain 43 §:ään sisältyy sääntelyä yksityiseen tai yleiseen etuun perustuvista tietojen siirroista. Rikosasioiden tietosuojalain pykälä ei koske kansallisen turvallisuuden ylläpitämiseen liittyvää henkilötietojen käsittelyä.
Artiklan 2 ja 3 kohta eivät salli poikkeuksia, vaan niiden vaatimuksia olisi sovellettava kaikkeen henkilötietojen käsittelyyn. EU:n tietosuojalainsäädäntöä ei sovelleta sellaisenaan muun muassa henkilötietojen käsittelyyn, joka liittyy EU-oikeuden ulkopuolelle jäävään toimintaan. Tällaista henkilötietojen käsittelyä on erityisesti kansalliseen turvallisuuteen ja puolustukseen liittyvä henkilötietojen käsittely, joka on Suomessa saatettu suureksi osaksi rikosasioiden tietosuojalain soveltamisalaan, mutta lain 7 luku henkilötietojen siirroista kolmansiin maihin ja kansainvälisille järjestöille ei koske tällaista henkilötietojen käsittelyä. Poliisin henkilötietolain 51 §:n 4 momentissa säädetään velvollisuudesta ottaa huomioon muun muassa Suomea sitovat kansainväliset sopimukset ja henkilötietoja vastaan ottavan valtion tietosuojan taso. Vastaavasti tietosuojan tason huomioimista koskeva vaatimus sisältyy puolustusvoimien henkilötietolain 31 §:n 2 momenttiin ja 32 §:n 1 momenttiin. Viimeksi mainittu momentti edellyttää myös kansainvälisten sopimusten huomioon ottamista. Lisäksi artiklan 2 kohdan mukainen pääsääntö koskee jo tällä hetkellä näitä viranomaisia lisäpöytäkirjan voimaansaattamislain kautta. Muutospöytäkirjan voimaansaattamislaki saattaisi voimaan lisäksi artiklan 3 kohdan määräykset siitä, mihin tietosuojan tason riittävyyttä koskeva arviointi voi perustua. Artiklan 4 kohdan täytäntöönpano edellyttäisi aineellisia säännöksiä, mutta kyseessä on yleissopimuksen osapuolille annettu mahdollisuus eikä kohtaa ole välttämätöntä panna täytäntöön voimassa olevia rikosasioiden tietosuojalain säännöksiä laajemmin. Kohtien suhdetta rikosasioiden tietosuojalakiin arvioidaan tarkemmin 3. lakiehdotuksen yksityiskohtaisissa perusteluissa.
Artiklan 5 kohdan mukaan osapuolten tulee säätää velvollisuudesta ilmoittaa toimivaltaiselle valvontaviranomaiselle erityistilannetta koskeviin tai hyväksyttyihin vakiomuotoisiin suojatoimiin perustuvista siirroista sekä pyynnöstä erityiseen etuun, oikeutettuun etuun tai merkittävään yleiseen etuun perustuvista siirroista. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 30 artiklaan ja rikosasioiden tietosuojalain 42–44 §:ään. Kohta mahdollistaisi poikkeamisen muun muassa kansalliseen turvallisuuteen ja puolustukseen liittyvän henkilötietojen käsittelyn osalta, mutta kyseessä olevat henkilötietojen siirtojen perusteet eivät koske voimassa olevan lainsäädännön mukaan kansallisen turvallisuuden ylläpitämiseen liittyvää henkilötietojen käsittelyä. Poliisin henkilötietolain 51 §:n ja puolustusvoimien henkilötietolain 31 ja 32 §:n mukaiset henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille on kuitenkin ilmoitettava valvontaviranomaiselle rikosasioiden tietosuojalain 18 §:n ja 47 §:n edellyttämässä laajuudessa.
Artiklan 6 kohdan mukaan osapuolten tulee säätää valvontaviranomaiselle oikeus pyytää tiedot siirtävää henkilöä osoittamaan suojatoimien tehokkuus tai pakottavien oikeutettujen etujen olemassaolo ja että valvontaviranomainen voi kieltää siirrot, keskeyttää ne tai määrätä niille ehtoja. Pääperiaatteiltaan vastaava sääntely sisältyy tietosuoja-asetuksen 44–49 ja 58 artiklaan ja rikosasioiden tietosuojalain 41–44 ja 51 §:ään. Kohta mahdollistaisi poikkeamisen muun muassa kansalliseen turvallisuuteen ja puolustukseen liittyvän henkilötietojen käsittelyn osalta, mutta tietosuoja-asetuksen 58 artiklan ja rikosasioiden tietosuojalain 51 §:n mukaiset valvontaviranomaisen toimivaltuudet koskevat kaikkea henkilötietojen käsittelyä poikkeuksetta.
Muutospöytäkirjan artiklan 3 kohdan mukaan artiklaan sisältyvät määräykset, jotka tällä hetkellä sisältyvät lisäpöytäkirjan 2 artiklaan. Muutospöytäkirjan 37 artiklan 4 kohdan mukaisesti lisäpöytäkirja kumotaan muutospöytäkirjan voimaantulopäivästä lukien.
18 artikla. Yleissopimuksen III luvun jälkeen lisätään uusi IV luku, jonka otsikko on ”Valvontaviranomaiset”.
19 artikla.Uuteen 15 artiklaan sisällytetään määräykset, jotka sisältyvät voimassa olevan lisäpöytäkirjan 1 artiklaan.
Valvontaviranomaisia koskevia määräyksiä laajennetaan. Yleissopimuksen 15 artiklan 1 kohdan mukaan osapuolet varmistavat, että yhden tai useamman viranomaisen tehtävänä on valvoa yleissopimuksen määräysten noudattamista. Tietosuojalain 8 §:n ja rikosasioiden tietosuojalain 45 §:n mukaisesti näiden säädösten ja tietosuoja-asetuksen noudattamista valvovana viranomaisena toimii tietosuojavaltuutettu. Tietosuojalaki ja rikosasioiden tietosuojalaki eivät sisällä viittausta tietosuojayleissopimukseen. Myöskään kumottu laki tietosuojalautakunnasta ja tietosuojavaltuutetusta (389/1994) ei sisältänyt nimenomaista viittausta. Käytännössä tietosuojavaltuutettu on kuitenkin hoitanut yleissopimuksen mukaista valvontatehtävää kumotun henkilötietolain 38 §:n nojalla, joka sisälsi yleisluontoisen viittauksen myös muun lainsäädännön nojalla tapahtuvaan henkilötietojen käsittelyyn. Tietosuojavaltuutettu valvoo suoraan tietosuoja-asetuksen, tietosuojalain ja rikosasioiden tietosuojalain nojalla henkilötietojen siirtoja EU:n ulkopuolisiin maihin, joita ovat muun muassa muut tietosuojayleissopimuksen osapuolet, vaikka sille ei ole nimenomaisesti säädetty vastaavaa tehtävää yleissopimuksen osalta. Tietosuojavaltuutettu olisi selkeyden vuoksi erikseen nimettävä myös yleissopimuksessa tarkoitetuksi valvontaviranomaiseksi.
Artiklan 2 kohdan mukaan viranomaisilla on toimivalta tutkia määräysten noudattamista ja määrätä korjaavia toimenpiteitä (a alakohta), rajat ylittäviin henkilötietoihin siirtoihin liittyvät tehtävät, erityisesti vakiomuotoisten suojatoimien hyväksyminen (b alakohta), ja toimivalta tehdä päätöksiä, jotka koskevat yleissopimuksen määräysten rikkomista (c alakohta). Tähän toimivaltaan voi c alakohdan mukaan sisältyä erityisesti toimivalta määrätä hallinnollisia seuraamuksia. Yleissopimuksen perustelujen mukaan 2 kohdan määräyksiä voidaan soveltaa myös siten, että seuraamuksen määrää toimivaltainen tuomioistuin, jos osapuolen oikeusjärjestelmä ei mahdollista hallinnollisia seuraamuksia (perustelujen 119 kohta). Artiklan 2 kohdan mukaan valvontaviranomaisella on myös toimivalta osallistua oikeudenkäynteihin tai saattaa yleissopimuksen määräysten rikkomiset toimivaltaisten lainkäyttöviranomaisten käsiteltäväksi (d alakohta), sekä tehtävä edistää yleistä tietoisuutta valvontaviranomaisen tehtävistä, toimivallasta ja toiminnasta, rekisteröityjen oikeuksista ja rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksista (e alakohta).
Yleissopimus sallii osapuolille liikkumavaraa sen osalta, miten nämä järjestävät valvontaviranomaisen tehtävät ja toimivaltuudet. Valvontaviranomaisen toimivalta määrätä rekisterinpitäjä toteuttamaan korjaavia toimenpiteitä voi esimerkiksi kattaa erilaisia toimenpiteitä kuten virheellisten tai lainvastaisesti käsiteltyjen henkilötietojen oikaiseminen, poistaminen tai hävittäminen. Valvontaviranomainen voi käyttää toimivaltuuksiaan oma-aloitteisesti tai rekisteröidyn pyynnöstä, jos tämä ei itse voi käyttää oikeuksiaan. (Perustelujen 119 ja 121 kohta) Yleissopimuksen 2 kohdassa tarkoitettuja tehtäviä ja toimivaltuuksia vastaavat säännökset sisältyvät tietosuoja-asetuksen 57 ja 58 artiklaan, tietosuojalain 15, 18, 22 ja 24 §:ään ja rikosasioiden tietosuojalain 46-48 §:ään sekä 51 ja 52 §:ään.
Artiklan 3 kohdan mukaan toimivaltaisia valvontaviranomaisia on kuultava ehdotuksista lainsäädäntö- ja hallintotoimiksi, jotka mahdollistavat henkilötietojen käsittelyä. Vastaavat säännökset sisältyvät tietosuoja-asetuksen 52 artiklan 3 kohdan b alakohtaan ja rikosasioiden tietosuojalain 53 §:n 2 momenttiin.
Artiklan 4 kohdan mukaan kukin toimivaltainen valvontaviranomainen käsittelee rekisteröityjen tietosuojaa koskevia pyyntöjä ja valituksia sekä tiedottaa rekisteröidyille käsittelyn etenemisestä. Vastaavat säännökset sisältyvät tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohtaan ja rikosasioiden tietosuojalain 29 §:n 2 momenttiin ja 46 §:n 1 momentin 7 kohtaan.
Artiklan 5 kohdan mukaan valvontaviranomaiset toimivat täysin riippumattomasti ja puolueettomasti hoitaessaan tehtäviään ja käyttäessään toimivaltaansa, eivätkä ne saa pyytää tai ottaa vastaan ohjeita. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 52 artiklan 1-3 kohtaan ja tietosuojalain 8 §:n 2 momenttiin.
Artiklan 6 kohdan mukaan osapuolet varmistavat, että valvontaviranomaisille annetaan tarvittavat resurssit tehtäviensä tehokasta hoitamista ja toimivaltuuksiensa tehokasta käyttöä varten. Vastaava vaatimus sisältyy tietosuoja-asetuksen 52 artiklan 4 kohtaan. Tietosuojavaltuutetun toimiston henkilökunnasta säädetään tietosuojalain 9 §:n 1 momentissa ja asiantuntijalautakunnasta 12 §:n 1 momentissa.
Artiklan 7 kohdan mukaan kukin valvontaviranomainen laatii ja julkaisee määräajoin kertomuksen toiminnastaan. Vastaava vaatimus sisältyy tietosuoja-asetuksen 59 artiklaan ja tietosuojalain 14 §:n 4 momenttiin.
Artiklan 8 kohdan mukaan valvontaviranomaisten jäsenten ja henkilöstön on pidettävä salassa sellainen tieto, johon niillä on pääsy tai on ollut pääsy hoitaessaan tehtäviään ja käyttäessään toimivaltuuksiaan. Tietosuojavaltuutetun, apulaistietosuojavaltuutetun ja tietosuojavaltuutetun toimiston henkilökunnan salassapitovelvollisuudesta säädetään valtion virkamieslain (750/1994) 17 §:ssä ja viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 23 §:ssä.
Artiklan 9 kohdan mukaan valvontaviranomaisten päätöksiin on voitava hakea muutosta tuomioistuimissa. Muutoksenhausta säädetään tietosuoja-asetuksen 78 artiklassa ja tietosuojalain 25 §:ssä sekä rikosasioiden tietosuojalain 59 §:ssä.
Artiklan 10 kohdan mukaan valvontaviranomaisilla ei ole toimivaltaa eri elinten lainkäyttötoiminnassa tapahtuvaan tietojen käsittelyyn nähden. Tietosuoja-asetuksen 55 artiklan 3 kohdan mukaan valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Rikosasioiden tietosuojalain 45 §:n mukaan lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen.
Voimassa oleva lisäpöytäkirjan 5 kohta poistetaan. Kohta sisältää valvontaviranomaisten yhteistyötä koskevat määräykset, jotka sisällytetään uuteen 17 artiklaan.
20 artikla. Yleissopimuksen IV–VII luku numeroidaan uudelleen V–VIII luvuksi (1 kohta). Yleissopimuksen V luvun otsikko korvataan otsikolla ”Yhteistyö ja keskinäinen avunanto” (2 kohta). Yleissopimukseen lisätään uusi 17 artikla ja 13–27 artikla numeroidaan uudelleen 16–31 artiklaksi (3 kohta).
21 artikla. Yleissopimuksen 13 artiklan (uusi 16 artikla) otsikko korvataan otsikolla ”Valvontaviranomaisten nimeäminen”. Uudelleen numeroidun 16 artiklan 1 kohta vastaa sisällöllisesti voimassa olevaa osapuolten keskinäistä avunantovelvoitetta yleissopimuksen täytäntöönpanossa, mutta siihen lisätään myös nimenomainen yhteistyövelvoite. Artiklan 2 kohtaa vastaavat viranomaisen nimeämistä ja ilmoittamista koskevat osapuolten velvollisuudet sisältyvät voimassa olevaan yleissopimukseen eikä 16 artikla sisällä uusia velvollisuuksia. Tarve nimetä viranomainen kansallisessa lainsäädännössä selostetaan tarkemmin edellä 15 artiklan yhteydessä sekä 1. lakiehdotuksen perusteluissa.
22 artikla. Yleissopimukseen lisätään uusi 17 artikla, joka koskee valvontaviranomaisten yhteistyön muotoja. Artikla korvaa lisäpöytäkirjan 1 artiklan 5 kohdan, mutta uuden artiklan määräykset ovat yksityiskohtaisemmat. Artiklan 1 kohdan mukaan valvontaviranomaiset tekevät keskenään yhteistyötä siltä osin kuin on tarpeen niiden tehtävien hoitamiseksi ja toimivaltuuksien käyttämiseksi erityisesti avustamalla toisiaan vaihtamalla tietoja (a alakohta), sovittamalla yhteen tutkintansa tai toimenpiteensä tai toteuttamalla yhteisiä operaatioita (b alakohta) ja luovuttamalla tietoja ja asiakirjoja tietosuojaa koskevasta lainsäädännöstään ja hallinnollisesta käytännöstään (c alakohta). Luovutettavat tiedot eivät artiklan 2 kohdan mukaan saa sisältää käsiteltävänä olevia henkilötietoja, jos henkilötiedot eivät ole yhteistyön kannalta olennaisia tai jos kyseinen rekisteröity ei ole antanut suostumustaan henkilötietojen luovuttamiseen. Suostumuksen on oltava nimenomainen, yksilöity, vapaa ja tietoon perustuva. Artiklan 3 kohdan mukaan valvontaviranomaiset muodostavat keskenään verkoston artiklan mukaisen yhteistyönsä ja tehtäviensä hoitamista varten.
Artiklan määräykset eivät vaikuta EU:n tietosuojaviranomaisten väliseen yhteistyöhön, joka tapahtuu tietosuoja-asetuksen mukaisesti Euroopan tietosuojaneuvoston puitteissa. Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa tarkoitettu valvontaviranomaisten yhteistyö käsittää vain EU:n jäsenvaltioiden viranomaisten kanssa tehtävän yhteistyön. Tietosuojavaltuutetun toimivaltuudet tietosuojayleissopimuksessa tarkoitetun valvontayhteistyön osalta eivät siten yksiselitteisesti ilmene laista. Valvontaviranomaisten yhteistyötä koskevat yleissopimuksen määräykset olisivat kuitenkin sellaisenaan voimassa 1. lakiehdotuksen 1 §:n nojalla, ja niitä sovellettaisiin yhteistyöhön silloin, kun yhteistyötä tehtäisiin muiden kuin EU:n jäsenvaltioiden viranomaisten kanssa. Tietosuojavaltuutetun oikeuteen luovuttaa salassa pidettävä tieto ulkomaan viranomaiselle sovelletaan, mitä julkisuuslain 30 §:ssä säädetään. Tieto voitaisiin luovuttaa samoin edellytyksin kuin tieto voidaan luovuttaa lain 29 §:n nojalla Suomen viranomaiselle. Lainmuutosten tarvetta arvioidaan tarkemmin jäljempänä 2. ja 3. lakiehdotuksen perusteluissa.
Tietosuojavaltuutetun toimivaltuuksia on rajoitettu valtiopäivätoiminnan lisäksi siltä osin kuin on kyse tuomioistuinten, valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen suorittamasta henkilötietojen käsittelystä. Lisäksi rikosasioiden tietosuojalaissa on rajoitettu tietosuojavaltuutetun ylikansallisia toimivaltuuksia siltä osin kuin on kyse kansallisen turvallisuuden ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Rikosasioiden tietosuojalain 54 §:ää ei sovelleta lain 1 §:n 2 momentissa tarkoitetussa henkilötietojen käsittelyssä. Valvontaa koskevilla rajoituksilla voi olla vaikutusta valvontaviranomaisten yhteistyöhön siltä osin kuin rajoitusten kattamaan henkilötietojen käsittelyyn liittyy rajat ylittäviä henkilötietojen siirtoja. Kansallisen turvallisuuden ylläpitämiseen liittyvät rajoitukset ovat kuitenkin tältä osin yleissopimuksen mukaisia, huomioiden sovellettavat rikosasioiden tietosuojalain 18 §:n ja 47 §:n säännökset.
23 artikla. Yleissopimuksen 14 artiklan (uusi 18 artikla) otsikko korvataan otsikolla ”Rekisteröityjen avustaminen” ja artiklan 1 kohtaa muutetaan siten, että osapuolten on avustettava rekisteröityä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta käyttämään yleissopimuksen mukaisia oikeuksiaan. Vaikka kyseessä on osapuolille asetettu velvoite, käytännössä avustamisesta vastaisivat valvontaviranomaiset. Kumottu henkilötietolaki ei rajannut tietosuojavaltuutetun toimivaltuuksia rekisteröidyn asuinpaikan tai kansallisuuden perusteella, vaan koski sellaista henkilötietojen käsittelyä, jossa rekisterinpitäjän toimipaikka oli Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä. Myöskään tietosuojalaki ei rajaa tietosuojavaltuutetun toimivaltuuksia rekisteröidyn asuinpaikan tai kansallisuuden perusteella. Voimassa oleva tietosuojayleissopimus jo edellyttää ulkomailla asuvien rekisteröityjen avustamista. Näin ollen artiklan 1 kohdan muutokset eivät merkitse sisällöllisiä laajennuksia Suomen lainsäädäntöön. Artiklan muihin kohtiin tehdään muutettuja määritelmiä vastaavat tekniset muutokset, mutta kohdat säilyvät muutoin sisällöllisesti ennallaan. Rekisteröity voisi perustelujen mukaan käyttää oikeuksiaan joko suoraan tai välillisesti valvontaviranomaisen kautta. Ulkomailla olevilla rekisteröidyillä voisi olla myös mahdollisuus käyttää oikeuksiaan diplomaattisen edustuston tai konsulaatin välityksellä. (Perustelujen kohdat 145 ja 146)
24 artikla. Yleissopimuksen 15 artiklan (uusi 19 artikla) otsikko korvataan otsikolla ”Suojatoimet”. Artiklassa rajoitetaan valvontaviranomaisen vastaanottamien tietojen hyödyntäminen koskemaan pyynnössä mainittuja tietoja (1 kohta) sekä valvontaviranomaisen avustamista koskeva pyyntö rekisteröidyn puolesta koskemaan tilanteita, joissa rekisteröity on antanut siihen suostumuksensa (uudelleen numeroitu 2 kohta). Artiklan 1 kohdan ja 3 kohdan (uuden 2 kohdan) sanamuotoa yksinkertaistetaan, mutta ne säilyvät sisällöllisesti ennallaan. Artiklasta poistetaan voimassa oleva 2 kohta, joka koskee valvontaviranomaisen henkilökunnan salassapitovelvollisuutta. Vastaava määräys on sisällytetty 15 artiklan 8 kohtaan.
25 artikla. Yleissopimuksen 16 artiklan (uusi 20 artikla) otsikkoon ja a alakohtaan tehdään teknisiä tarkistuksia. Artiklan b alakohta säilyy ennallaan. Lisäksi c alakohtaan tehdään käsitteellinen täsmennys, jonka mukaan valvontaviranomainen voi kieltäytyä noudattamasta 17 artiklan mukaista yhteistyöpyyntöä, jos se olisi ristiriidassa valvontaviranomaisen nimenneen osapuolen kansallisen turvallisuuden kanssa. Yleissopimuksen voimassa olevassa alakohdassa käytetty käsite on turvallisuus.
26 artikla. Yleissopimuksen 17 artiklan (uusi 21 artikla) otsikkoon sekä 1 ja 3 kohtaan tehdään teknisiä muutoksia. Artikla ei muutu sisällöllisesti, mutta keskinäisen avunannon lisäksi valvontaviranomaisten välinen yhteistyö mainitaan nimenomaisesti sanamuodossa.
27 artikla. Yleissopimuksen V luvun (uusi VI luku) otsikoksi muutetaan ”Yleissopimuksen komitea”.
28 artikla. Yleissopimuksen 18 artiklan (uusi 22 artikla) 1 kohdassa mainittu neuvoa-antava komitea korvataan termillä ”yleissopimuksen komitea”. Vastaava muutos tehdään artiklan 3 kohtaan. Artiklan 3 kohtaa muutetaan lisäksi siten, että yleissopimuksen komitea voi osapuolten edustajien kahden kolmasosan enemmistöllä tehdyllä päätöksellä pyytää tarkkailijaa lähettämään edustajansa komitean kokouksiin. Voimassa olevan kohdan mukaan tarkkailijan pyytäminen edellyttää yksimielistä päätöstä.
Artiklaan lisätään uusi 4 kohta, jonka mukaan osapuoli, joka ei ole Euroopan neuvoston jäsen, osallistuu yleissopimuksen komitean toiminnan rahoittamiseen sellaisten yksityiskohtaisten sääntöjen mukaisesti, jotka ministerikomitea vahvistaa kyseisen osapuolen kanssa sopien.
29 artikla. Yleissopimuksen 19 artiklan (uusi 23 artikla) johdantokappaleessa neuvoa-antava komitea korvataan termillä ”yleissopimuksen komitea”. Artiklan a-d alakohta säilyvät pääosin sisällöllisesti ennallaan. Artiklan a alakohdassa komitean oikeus antaa ehdotuksia korvataan oikeudella antaa suosituksia yleissopimuksen soveltamisen helpottamiseksi. Lisäksi d alakohdan mukaan komitealla on oikeus antaa oma-aloitteisesti lausuntoja yleissopimuksen tulkinnasta tai soveltamisesta. Voimassa olevan alakohdan mukaan lausunnon antaminen tapahtuu osapuolen pyynnöstä, ja koskee vain yleissopimuksen soveltamista. Perustelujen mukaan muutoksella on huomioitu se, että yleissopimus koskee jatkuvasti kehittyvää henkilötietojen käsittelyä, jolloin on mahdollista, että kysymyksiä nousee myös yleissopimuksen merkityksestä sen käytännön soveltamista koskevien kysymysten lisäksi (kohta 157).
Artiklaan lisätään uudet alakohdat (e–i), joilla yleissopimuksen komitealle annetaan uusia tehtäviä. Artiklan uuden e alakohdan mukaan komitea laatii ennen kutakin uutta yleissopimukseen liittymistä ministerikomitealle lausunnon liittyjäehdokkaan henkilötietojen suojan tasosta ja suosittelee tarvittaessa toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi. Voimassa olevan yleissopimuksen osalta on noudatettu käytäntöä, jossa Euroopan neuvoston ministerikomitea päättää Euroopan neuvoston ulkopuolisen valtion kutsumisesta liittymään yleissopimukseen ja hankkii sitä ennen neuvoa-antavan komitean lausunnon. Lausunnon antamista varten jokaiselta komiteassa edustetulta valtiolta on pyydetty erikseen näkemys siitä, onko liittymistä haluava valtio toteuttanut tarvittavat lainsäädäntötoimet yleissopimuksen noudattamiseksi. Käytäntö vastaa muita Euroopan neuvoston yleissopimusten mukaisia menettelyitä, kun yleissopimus mahdollistaa Euroopan neuvoston ulkopuolisen valtion liittymisen, mutta nykyisen komitean rooli ei ole yhtä merkittävä kuin se on tietosuojayleissopimuksen muutosten voimaantulon myötä. Voimassa olevasta käytännöstä poiketen komitealla on uusien toimivaltuuksien myötä avainrooli sen arvioimisessa, täyttääkö liittymistä hakeva valtio riittävän tietosuojan tason.
Artiklan uuden f alakohdan mukaan komitea voi valtion tai kansainvälisen järjestön pyynnöstä arvioida, onko niiden antaman henkilötietojen suojan taso yleissopimuksen määräysten mukainen, ja voi tarvittaessa suositella toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi.
Artiklan uuden g alakohdan mukaan komitea voi kehittää tai hyväksyä 14 artiklassa tarkoitettujen vakiomuotoisten suojatoimien malleja.
Artiklan uuden h alakohdan mukaan komitea arvioi sitä, miten osapuolet ovat panneet yleissopimuksen täytäntöön, ja suosittelee toimia niissä tapauksissa, joissa osapuoli ei noudata yleissopimusta. Menettelyä selostetaan tarkemmin pöytäkirjan 30 artiklan yhteydessä.
Artiklan uuden i alakohdan mukaan komitea helpottaa tarvittaessa kaikkien yleissopimuksen soveltamiseen liittyvien ongelmien ratkaisemista sovintoteitse. Perustelujen mukaan riitatilanteessa yleissopimuksen komitea hakisi ratkaisua neuvottelujen tai muiden sovinnollisten menettelyjen avulla (kohta 165).
30 artikla. Yleissopimuksen 20 artiklan (uusi 24 artikla) teksti korvataan uudella. Artiklan 1 kohtaa muutetaan siten, että yleissopimuksen komitea kokoontuu vähintään kerran vuodessa. Voimassa olevan kohdan mukaan komitea kokoontuu vähintään kerran kahdessa vuodessa. Muutettu kohta ei kuitenkaan käytännössä merkinne juurikaan muutoksia komitean nykykäytäntöön, jossa se on kokoontunut viime aikoina kaksi kertaa vuodessa. Artiklan voimassa oleva 2 kohta poistetaan. Voimassa oleva 3 kohta numeroidaan uudelleen 2 kohdaksi, eikä siihen tehdä sisällöllisiä muutoksia, vaan ainoastaan tarkistetaan komitean nimi.
Artiklaan lisätään uusi 3 kohta, jonka mukaan yleissopimuksen komitean äänestysjärjestelyistä määrätään lisäpöytäkirjan liitteenä olevissa työjärjestyksen perusteissa. Tullessaan yleissopimuksen osapuoleksi EU antaa ilmoituksen, jossa se täsmentää toimivaltansa jakautumisen unionin ja jäsenvaltioiden kesken siltä osin kuin on kyse yleissopimuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä. EU:n olisi myös ilmoitettava toimivallan jakautumista koskevista muutoksista Euroopan neuvoston pääsihteerille. (Perustelujen kohta 160)
Artiklaan lisätään uusi 4 kohta, jonka mukaan yleissopimuksen komitea laatii muut työjärjestyksensä perusteet ja vahvistaa erityisesti 4 artiklan 3 kohdassa ja 23 artiklan e, f ja h alakohdassa tarkoitetut arviointimenettelyt puolueettomilla perusteilla. Nämä menettelyt koskevat liittyvien valtioiden tai kansainvälisten järjestöjen tietosuojan tason riittävyyden sekä yleissopimuksen osapuolten täytäntöönpanolainsäädännön tehokkuuden arviointia.
Komitean uudet toimivaltuudet arvioida osapuolina olevien valtioiden ja kansainvälisten järjestöjen osalta lainsäädäntötoimien tehokkuutta merkitsee uudenlaista arviointimenettelyä sen takaamiseksi, että yleissopimuksessa määrätyt tietosuojaa koskevat periaatteet toteutuvat ja että osapuolet noudattavat sen vaatimuksia (perustelujen kohta 162). Seurantamenettely samalla vahvistaa komitean toimivaltuuksia. Osapuolilla puolestaan on tarkistetun yleissopimuksen 4 artiklan 3 kohdan mukaisesti velvollisuus aktiivisesti myötävaikuttaa arviointimenettelyyn. Euroopan unionin jäsenvaltioiden osalta arviointimenettely käytännössä kohdistuisi sekä EU:n tietosuojalainsäädäntöön että sitä täydentävään ja täytäntöönpanevaan kansalliseen lainsäädäntöön. Arviointi voisi myös kohdistua erityislainsäädännön arviointiin esimerkiksi siltä osin kuin erityislainsäädännössä poiketaan rekisteröidyn oikeuksista. Tällä on erityistä merkitystä kansallisen turvallisuuden ylläpitämiseen liittyvän henkilötietojen käsittelyä koskevan lainsäädännön osalta huomioiden, että se ei kuulu EU:n tietosuojalainsäädännön soveltamisalaan eikä Euroopan komissiolla ole toimivaltuuksia arvioida sitä osana EU-oikeuden täytäntöönpanolainsäädännön sisällöllistä arviointia.
Yleissopimuksen arviointi- ja seurantamenettelyä koskevista yksityiskohdista ei ole vielä päätetty. Yleissopimuksen komitealla on toimivaltuudet päättää niistä, kun muutospöytäkirja on tullut voimaan. Suoraan pöytäkirjan määräysten nojalla komitea kuitenkin antaisi suosituksia mahdollisten yleissopimuksen vastaisten säännösten tai menettelyjen korjaamiseksi. Saatavilla olevien tietojen valossa komitea kiinnittänee huomiota sekä lainsäädäntöön että sen soveltamista koskevaan käytäntöön. Vaikka kyseessä ovat suositukset eivätkä juridisesti sitovat määräykset, niillä voidaan olettaa olevan erityisesti julkisuusvaikutuksen kautta myönteistä vaikutusta tietosuojaa koskevien vaatimusten noudattamiseen ja siten arviointi- ja seurantamenettely vaikuttanee yleissopimuksen yleiseen tavoitteeseen varmistaa yhdenmukainen tietosuojan taso osapuolten keskuudessa.
31 artikla. Yleissopimuksen 21 artiklan (uusi 25 artikla) 1, 3 ja 4 kohdassa tarkistetaan komitean nimi. Lisäksi artiklan 2 kohtaa muutetaan sen huomioimiseksi, että yleissopimuksen osapuoliksi voivat valtioiden lisäksi tulla myös kansainväliset järjestöt.
Artiklaan lisätään uusi 7 kohta, jonka mukaan ministerikomitea voi yleissopimuksen komiteaa kuultuaan päättää yksimielisesti, että yleissopimukseen tehty yksittäinen muutos tulee voimaan kolmen vuoden kuluttua päivästä, jona muutos on avattu hyväksyttäväksi, jollei jokin osapuoli ilmoita Euroopan neuvoston pääsihteerille vastustavansa muutoksen voimaantuloa. Siinä tapauksessa muutos tulisi voimaan seuraavan kuukauden ensimmäisenä päivänä, kun vastustuksesta ilmoittanut osapuoli on tallettanut hyväksymiskirjansa.
32 artikla. Yleissopimuksen 22 artiklan (uusi 26 artikla) 1 kohtaa muutetaan sen huomioimiseksi, että yleissopimuksen on avoinna allekirjoittamista sekä ratifiointia tai hyväksymistä varten Euroopan neuvoston jäsenvaltioiden lisäksi myös Euroopan unionille. Artiklan 3 kohdassa termi ”jäsenvaltio” korvataan vastaavasti termillä ”osapuoli”.
Euroopan unionin ja sen jäsenvaltioiden toimivallan jakautumista selostetaan tarkemmin kappaleessa 10.1.
33 artikla. Yleissopimuksen 23 artiklan (uusi 27 artikla) otsikkoa ja tekstiä muutetaan sen huomioimiseksi, että yleissopimukseen voivat liittyä Euroopan neuvoston ulkopuolisten valtioiden lisäksi myös kansainväliset järjestöt. Lisäksi artiklan 1 kohtaa muutetaan siten, että yleissopimuksen osapuolten ja yleissopimuksen komitean roolia vahvistetaan menettelyssä, jossa ministerikomitea voi kutsua valtion tai kansainvälisen järjestön liittymään yleissopimukseen. Euroopan neuvoston ministerikomitea voi yleissopimuksen osapuolia kuultuaan ja niiden yksimielisen suostumuksen saatuaan sekä yleissopimuksen komitean 23 artiklan e alakohdan mukaisesti laatiman lausunnon huomioiden kutsua valtion, joka ei ole Euroopan neuvoston jäsen, tai kansainvälisen järjestön liittymään yleissopimukseen, päättämällä asiasta Euroopan neuvoston perussäännön 20 artiklan d kappaleessa määrätyllä enemmistöllä ja niiden sopimusvaltioiden edustajien yksimielisellä äänestyspäätöksellä, joilla on oikeus osallistua ministerikomitean istuntoihin.
34 artikla. Yleissopimuksen 24 artikla (uusi 28 artikla) koskee yleissopimuksen alueellista soveltamista koskevien selitysten antamista. Artiklan 1 ja 2 kohtaa muutetaan sen huomioimiseksi, että tarkistetun yleissopimuksen osapuolena voi olla myös Euroopan unioni tai muu kansainvälinen järjestö.
35 artikla. Yleissopimuksen 27 artiklan (uusi 31 artikla) johdantokappaleessa termi ”valtio” korvataan termillä ”osapuoli”. Lisäksi artiklan c alakohdassa viittaus ”22, 23 ja 24 artiklaan” korvataan viittauksella ”26, 27 ja 28 artiklaan”.
36 artikla.Allekirjoittaminen, ratifiointi ja liittyminen. Artiklan mukaan pöytäkirja on avoinna allekirjoittamista varten yleissopimuksen sopimusvaltioille. Se ratifioidaan tai hyväksytään. Ratifioimis- ja hyväksymiskirjat talletetaan Euroopan neuvoston pääsihteerin huostaan. Sen jälkeen, kun pöytäkirja on avattu allekirjoittamista varten, ja ennen sen voimaantuloa muu valtio ilmaisee suostumuksensa tulla pöytäkirjan sitomaksi liittymällä siihen. Valtio ei voi tulla yleissopimuksen osapuoleksi liittymättä samanaikaisesti sen muutospöytäkirjaan.
37 artikla.Voimaantulo. Artiklan 1 kohdan mukaan pöytäkirja tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta päivästä, jona kaikki yleissopimuksen osapuolet ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 36 artiklan 1 kohdan määräysten mukaisesti.
Artiklan 2 kohdan mukaan, jollei pöytäkirja ole tullut voimaan 1 kohdan mukaisesti, se tulee voimaan niiden valtioiden osalta, jotka ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 1 kohdan mukaisesti, viiden vuoden kuluttua sen avaamisesta allekirjoittamista varten, edellyttäen, että pöytäkirjassa on vähintään kolmekymmentäkahdeksan osapuolta. Kaikki muutetun yleissopimuksen määräykset tulevat voimaan pöytäkirjan osapuolten välillä välittömästi pöytäkirjan tullessa voimaan.
Artiklan 3 kohdan mukaan ennen pöytäkirjan voimaantuloa yleissopimuksen osapuoli voi tämän pöytäkirjan allekirjoittaessaan tai milloin tahansa myöhemmin antaa selityksen, jonka mukaan se soveltaa pöytäkirjan määräyksiä väliaikaisesti, sanotun vaikuttamatta voimaantuloa ja Euroopan neuvoston ulkopuolisten valtioiden ja kansainvälisten järjestöjen liittymistä koskeviin määräyksiin. Tällaisissa tapauksissa pöytäkirjan määräyksiä sovelletaan ainoastaan suhteessa muihin sellaisiin yleissopimuksen osapuoliin, jotka ovat antaneet saman sisältöisen selityksen. Tällainen selitys tulee voimaan kolmannen kuukauden ensimmäisenä päivänä sen jälkeen, kun Euroopan neuvoston pääsihteeri on vastaanottanut selityksen.
Artiklan 4 kohdan mukaan lisäpöytäkirja muutospöytäkirjan tullessa voimaan. Lisäpöytäkirjan määräykset sisältyvät muutetun yleissopimuksen 14 ja 15 artiklaan.
Artiklan 5 kohdan mukaan tietosuojayleissopimuksen muutokset, jotka ministerikomitea hyväksyi Strasbourgissa 15 päivänä kesäkuuta 1999, menettävät merkityksensä muutospöytäkirjan tullessa voimaan.
38 artikla.Yleissopimukseen liittyvät selitykset. Artiklan mukaan osapuolten antamat voimassa olevan yleissopimuksen 3 artiklan mukaiset soveltamisalaa koskevat selitykset raukeavat muutospöytäkirjan tullessa voimaan.
Suomi on lisäpöytäkirjan ratifioimiskirjan tallettamisen yhteydessä antanut selityksen, jonka mukaan Suomi ei sovella yleissopimusta sellaiseen henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Suomi on lisäksi antanut selityksen, jonka mukaan Suomi soveltaa yleissopimusta henkilötietojen automaattisen käsittelyn ohella myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Näiden selitysten raukeamisella ei olisi oikeusvaikutuksia, koska yleissopimuksen soveltamisalaa koskevat määräykset vastaavat muutospöytäkirjan voimaan tullessa Suomen selitysten sisältöä.
Muutettu yleissopimus ei sisällä selityksiä koskevia määräyksiä lukuun ottamatta 28 artiklan mukaisia alueellisia selityksiä koskevat määräykset. Jos osapuoli tallettaisi allekirjoittamisen, ratifioinnin tai hyväksynnän yhteydessä selityksen, kyseessä olisi siten sopimusmääräyksiin perustumaton tulkintaselitys. Tulkintaselitys ei saisi muodostaa varaumaa.
39 artikla.Varaumat. Artiklan mukaan pöytäkirjan määräyksiin ei voida tehdä varaumia. Myöskään voimassa oleva yleissopimus ja tarkistettu yleissopimus eivät salli varaumia.
40 artikla.Ilmoitukset. Artiklan mukaan Euroopan neuvoston pääsihteeri ilmoittaa Euroopan neuvoston jäsenvaltioille ja muille yleissopimuksen osapuolille allekirjoittamisista (a alakohta), ratifioimis-, hyväksymis- ja liittymiskirjojen tallettamisista (b alakohta), pöytäkirjan 37 artiklan mukaisesta voimaantulopäivästä (c alakohta) ja muista pöytäkirjaan liittyvistä toimista, ilmoituksista ja tiedonannoista (d alakohta).
Pöytäkirjan liite.Yleissopimuksen komitean työjärjestyksen perusteet. Muutospöytäkirjaan sisältyy liite. Liitteen oikeudellinen asema ei ilmene nimenomaisesti pöytäkirjan tekstistä, mutta pöytäkirjan 30 artiklan 3 ja 4 kohta viittaisivat siihen, että liite on erottamaton osa pöytäkirjaa, koska 3 kohdan mukaan äänestysjärjestelyistä määrätään liitteenä olevissa työjärjestyksen perusteissa ja 4 kohdan mukaan yleissopimuksen komitea laatii muut työjärjestyksensä perusteet. Liitteellä olisi siten sama oikeusvaikutus kuin muilla pöytäkirjan määräyksillä. Liite sisältää äänestystä koskevat yksityiskohtaiset säännöt. Näihin sisältyvät myös säännöt tilanteissa, joissa alueellisen yhdentymisen järjestöt kuten Euroopan unioni käyttävät toimivaltaansa kuuluvissa asioissa äänioikeutta. Euroopan unioni voisi käyttää äänioikeuttaan siinä tapauksessa, että sen jäsenvaltiot eivät käytä omaa äänioikeuttaan.