1.1
Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä
1 luku Yleiset säännökset
1 §.Soveltamisala. Pykälässä säädettäisiin ehdotetun lain soveltamisalasta. Rikosasioiden tietosuojadirektiivin soveltamisalasta säädetään sen 1 ja 2 artiklassa, joihin myös ehdotettu soveltamisalasäännös pääosin perustuu.
Pykälän 1 momentin mukaan ehdotettua lakia sovellettaisiin laissa määriteltyjen toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta (1 kohta), syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta (2 kohta), rikosasian käsittelemisestä tuomioistuimessa (3 kohta), rikosoikeudellisen seuraamuksen täytäntöönpanemisesta (4 kohta) taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä (5 kohta).
Rikosasioiden tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan poliisiviranomaisten tai muiden lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien poliisin toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Tällaisiin toimiin voi kuulua poliisilaissa tai muualla lainsäädännössä poliisille säädettyjen toimivaltuuksien käyttäminen esimerkiksi mielenosoitusten, suurten urheilutapahtumien ja mellakoiden yhteydessä. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen.
Ehdotetussa laissa tarkoitettuja toimivaltaisia viranomaisia ovat muun muassa poliisiviranomaiset, tulliviranomaiset, Rajavartiolaitos, tuomioistuimet, syyttäjälaitos, Oikeusrekisterikeskus sekä Rikosseuraamuslaitos. Lisäksi esimerkiksi eduskunnan oikeusasiamies ja oikeuskansleri ovat ehdotetussa laissa tarkoitettuja toimivaltaisia viranomaisia, sillä niillä on perustuslain 110 §:ssä säädetyn mukaisesti syyteoikeus. Ehdotettua lakia sovellettaisiin toimivaltaisiin viranomaisiin kuitenkin ainoastaan siltä osin, kuin ne suorittavat henkilötietojen käsittelyä lain 1 §:ssä lueteltuja tehtäviä varten.
Toimivaltaisille viranomaisille voidaan kansallisessa lainsäädännössä antaa sellaisiakin tehtäviä, joita ei suoriteta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten eikä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Tällöin siltä osin kuin näitä muita tarkoituksia varten suoritettava henkilötietojen käsittely kuuluu unionin oikeuden soveltamisalaan, kuuluu kyseinen toiminta asetuksen (EU) 2016/679 eli niin sanotun yleisen tietosuoja-asetuksen soveltamisalaan.
Esimerkiksi poliisilla on useita tietosuojadirektiivin ja ehdotetun lain soveltamisalaan kuuluvia tehtäviä, kuten rikosten esitutkinta. Se kuitenkin hoitaa muitakin kuin lainvalvontaan liittyviä tehtäviä esimerkiksi käsitellessään passihakemuksia. Tällaiseen käsittelyyn ei sovellettaisi ehdotettua lakia, vaan yleistä tietosuoja-asetusta ja sitä täydentävää kansallista lainsäädäntöä. Ehdotetun lain soveltamisalaan ei myöskään kuuluisi henkilötietojen käsittely henkilöstöhallinnossa, turvapaikka-asiat, maahanmuutto, rajavalvonta tai pankkien suorittama henkilötietojen käsittely. Näitä asioita ja tilanteita koskevat käsittelytoimet kuuluvat yleisen tietosuoja-asetuksen soveltamisalaan.
Lisäksi esimerkiksi Tullille säädetyistä tehtävistä rikosasioiden tietosuojadirektiivin ja ehdotetun lain soveltamisalaan kuuluisivat tullirikosten estäminen ja paljastaminen sekä niiden osalta esitutkinnan suorittaminen. Lain soveltamisalaan eivät kuuluisi Tullille säädetyistä tehtävistä esimerkiksi EU:n tullilainsäädännön toimeenpanoon liittyvät tehtävät, verotuksen toimittaminen, valvontatehtävät, ulkomaankaupan tilastointi tai laboratoriotutkimukset, vaan näiden osalta sovellettavaksi tulisi yleinen tietosuoja-asetus.
Pykälän 2 momentin 1 kohdan mukaan lakia sovellettaisiin lisäksi sellaiseen Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, jota suoritetaan puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien suorittamiseksi. Kohdassa tarkoitettu henkilötietojen käsittely ei kuulu rikosasioiden tietosuojadirektiivin soveltamisalaan, eli kyseessä olisi kansallinen lain soveltamisalan laajennus.
Puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa säädetään Puolustusvoimien päätehtävästä, joka on Suomen sotilaallinen puolustaminen. Kohta jakaantuu kolmeen alakohtaan, joissa säädetään tarkemmin tehtävän sisällöstä. Puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdan a alakohdassa säädetään Puolustusvoimien tehtäväksi Suomen maa-alueen, vesialueen ja ilmatilan valvominen sekä alueellisen koskemattomuuden turvaaminen.
Lain 2 §:n 1 momentin 1 kohdan b alakohdan mukaan Suomen sotilaalliseen puolustamiseen kuuluu kansan elinmahdollisuuksien, perusoikeuksien ja valtiojohdon toimintavapauden turvaaminen sekä laillisen yhteiskuntajärjestyksen puolustaminen. Pykälän 1 momentin 1 kohdan c alakohdassa säädetään Puolustusvoimien tehtäväksi sotilaskoulutuksen antaminen, vapaaehtoisen maanpuolustuskoulutuksen ohjaaminen ja maanpuolustustahdon edistäminen.
Puolustusvoimista annetun lain 2 §:n 1 momentin 2 kohdan mukaan puolustusvoimien tehtävänä on muiden viranomaisten tukeminen. Tehtävään kuuluvat a) virka-apu yleisen järjestyksen ja turvallisuuden ylläpitämiseksi, terrorismirikosten estämiseksi ja keskeyttämiseksi sekä muuksi yhteiskunnan turvaamiseksi sekä b) pelastustoimintaan osallistuminen antamalla käytettäväksi pelastustoimintaan tarvittavaa kalustoa, henkilöstöä ja asiantuntijapalveluja. Ehdotettua lakia sovellettaisiin vain a alakohdan mukaisten tehtävien hoitamisen yhteydessä.
Puolustusvoimien kolmantena puolustusvoimista annetun lain 2 §:n 1 momentissa säädettynä tehtävänä on osallistuminen Euroopan unionin toiminnasta tehdyn sopimuksen 222 artiklaan tai Euroopan unionista tehdyn sopimuksen 42 artiklan 7 kohtaan perustuvaan apuun, aluevalvontayhteistyöhön tai muuhun kansainvälisen avun antamiseen ja kansainväliseen toimintaan. Puolustusvoimien neljäntenä edellä mainitussa momentissa säädettynä tehtävänä on osallistuminen kansainväliseen sotilaalliseen kriisinhallintaan ja sotilastehtäviin muussa kansainvälisessä kriisinhallinnassa. Sotilaalliseen kriisinhallintaan osallistumisesta säädetään tarkemmin sotilaallisesta kriisinhallinnasta annetussa laissa.
Ehdotetun pykälän 2 momentin 2 kohdan mukaan lakia sovelletaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Poliisilain 1 luvun 1 §:n 1 momentin mukaan poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten sekä yhteisöjen ja asukkaiden kanssa ja huolehtii tehtäviinsä kuuluvasta kansainvälisestä yhteistyöstä. Suojelupoliisin tehtävänä on poliisin hallinnosta annetun lain (110/1992) 10 §:n mukaan torjua sellaisia hankkeita ja rikoksia, jotka voivat vaarantaa valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta sekä suorittaa tällaisten rikosten tutkintaa. Sen tulee myös ylläpitää ja kehittää yleistä valmiutta valtakunnan turvallisuutta vaarantavan toiminnan estämiseksi.
Suojelupoliisin käsitellessä henkilötietoja edellä mainittujen tehtäviensä suorittamiseksi, eli kansallisen turvallisuuden suojaamiseksi, sen henkilötietojen käsittely ei kuulu EU:n oikeuden alaan. Kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on säädettävä kansallisessa lainsäädännössä. Ehdotettua lakia sovellettaisiin myös muun poliisin yksikön suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.
Pykälän 2 momentin 3 kohdan mukaan lakia sovellettaisiin Rajavartiolaitoksen henkilötietojen käsittelyyn, kun tietoja käsitellään rajavartiolain 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Rajavartiolain 3 §:ssä säädetään Rajavartiolaitoksen tehtävistä. Kansallisen turvallisuuden suojaamiseen niistä liittyvät erityisesti eräät valvontatehtävät sekä sotilaallisen maanpuolustuksen tehtävät. Rajavartiolain 3 §:n 2 momentin mukaan Rajavartiolaitos suorittaa sille erikseen säädettyjä valvontatehtäviä, joihin kuuluu muiden muassa Suomen alueellisen koskemattomuuden valvonta ja turvaaminen. Rajavartiolaitos huolehtii aluevalvonnasta yhteistyössä puolustusvoimien ja muiden aluevalvontaviranomaisten kanssa siten kuin aluevalvontalaissa säädetään. Rajavartiolain 3 §:n 3 momentin mukaan Rajavartiolaitos osallistuu sotilaalliseen maanpuolustukseen. Rajavartiolain 25 §:n 1 momentin mukaan Rajavartiolaitos antaa tässä tarkoituksessa henkilöstölleen ja Rajavartiolaitoksen palvelukseen määrätyille asevelvollisille samoin kuin vapaaehtoisesti asepalvelusta suorittamaan otetuille naisille sotilaskoulutusta sekä ylläpitää ja kehittää puolustusvalmiutta yhteistoiminnassa puolustusvoimien kanssa.
Pykälän 3 momentissa säädettäisiin, ettei 2 momentissa tarkoitettuun henkilötietojen käsittelyyn kuitenkaan sovelleta ehdotetun lain 10 §:n 2 momenttia, 54 §:ää eikä 7 lukua. Ehdotetun lain 10 §:n 2 momentissa säädettäisiin tietojen luovuttamisen edellytyksistä EU:ssa sijaitsevalle vastaanottajalle, 54 §:ssä säädettäisiin tietojen antamisesta toisen EU:n jäsenvaltion valvontaviranomaiselle, ja 7 luvussa säädettäisiin henkilötietojen luovuttamisesta kolmansiin maihin. EU:n tietosuojalainsäädäntö ei koske ehdotetun 2 momentin soveltamisalalla tapahtuvaa henkilötietojen käsittelyä, eikä esimerkiksi siihen sisältyvä henkilötietojen luovuttamista koskeva sääntely tule siten sovellettavaksi.
Pykälän 4 momentin mukaisesti ehdotettua lakia sovellettaisiin kuitenkin vain sellaiseen 1 ja 2 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa. Lain soveltamisalaan kuuluisivat siten myös manuaaliset rekisterit, eikä ehdotuksessa ole tarkoitus tältä osin muuttaa nykyistä henkilötietolaissa säädettyä oikeustilaa. Direktiivin 18 johdantokappaleessa todetun mukaisesti sääntely ei koske sellaisia asiakirjoja tai asiakirjojen kokonaisuuksia, joita ei ole järjestetty tiettyjen perusteiden mukaisesti.
Pykälän 5 momentti sisältäisi informatiivisen säännöksen siitä, että ehdotetulla lailla pannaan täytäntöön rikosasioiden tietosuojadirektiivi.
2 §.Suhde muuhun lainsäädäntöön. Pykälän 1 momentissa säädettäisiin selvyyden vuoksi, että jos muussa laissa on tässä ehdotetusta laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta. Käytännössä lähes jokaista tässä laissa tarkoitettua toimivaltaista viranomaista ja sen suorittamaa henkilötietojen käsittelyä koskevaa erityislainsäädäntöä on olemassa, jolloin kyseisiä säännöksiä sovellettaisiin tähän lakiin otettujen säännösten asemesta.
Pykälän 2 momentti sisältäisi -viittaussäännöksen viranomaisten toiminnan julkisuutta koskevaan lainsäädäntöön. Oikeudesta saada tieto viranomaisten julkisista asiakirjoista säädetään erityisesti viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä laissa oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007). Esimerkiksi luovutettaessa henkilötietoja toimivaltaisten viranomaisten tulee ottaa huomioon julkisuusperiaate ja salassapitosäännökset siten kuin perustuslain 12 §:n 2 momentissa, julkisuuslaissa ja mahdollisesti soveltuvassa erityislainsäädännössä säädetään.
3 §.Määritelmät. Pykälässä määriteltäisiin ehdotetun lain keskeiset käsitteet. Pykälä perustuu rikosasioiden tietosuojadirektiivin 3 artiklaan, 1 momentin 10 kohdassa tarkoitettua asianmukaisten suojatoimien ja 15 kohdassa tarkoitetun kolmannen maan määritelmää lukuun ottamatta.
Pykälän 1 momentin 1 ja 2 kohdassa määriteltäisiin henkilötieto, rekisteröity ja henkilötietojen käsittely. Määritelmien sisältö ei muuttuisi nykylainsäädännöstä, mutta määritelmien kirjoitusasua päivitettäisiin vastaamaan paremmin rikosasioiden tietosuojadirektiivissä ja yleisessä tietosuoja-asetuksessa käytettyjä määritelmiä.
Henkilötiedoilla tarkoitettaisiin kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön välittömästi tai välillisesti liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai välillisesti tunnistaa erityisesti nimen, henkilötunnuksen tai yhden tai useamman hänelle tunnusomaisen fyysisen, geneettisen tai esimerkiksi sosiaalisen seikan perusteella. Sen arvioimiseksi, onko luonnollinen henkilö tunnistettavissa, olisi rikosasioiden tietosuojadirektiivin 21 johdantokappaleen mukaisesti otettava huomioon kaikki keinot, kuten seulonta, joita rekisterinpitäjä tai muu taho voi kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti. Sen arvioimiseksi, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset seikat, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Henkilötietojen suojaa koskevaa sääntelyä ei siten sovellettaisi anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kuten esimerkiksi tilastoihin, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista.
Momentin 3 kohdan sisältämä käsite käsittelyn rajoittaminen olisi uusi. Sillä tarkoitettaisiin tallennettujen henkilötietojen merkitsemistä siten, että tarkoituksena on rajoittaa tietojen myöhempää käsittelyä.
Momentin 4 kohdan sisältämä käsite rekisteri vastaisi sisällöllisesti olennaisilta osin henkilötietolaissa nykyisin käytettyä henkilörekisterin käsitettä. Määritelmä yhdenmukaistettaisiin rikosasioiden tietosuojadirektiivin määritelmäsäännöksen kanssa, ja rekisterillä tarkoitettaisiin mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu.
Momentin 5 kohdassa määriteltäisiin toimivaltainen viranomainen. Sillä tarkoitettaisiin kaikkia sellaisia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen, selvittämisen tai syyteharkintaan saattamisen, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Kohdassa tarkoitettuja toimivaltaisia viranomaisia olisivat esimerkiksi poliisi- ja tulliviranomaiset, Rajavartiolaitos, yleiset tuomioistuimet, syyttäjälaitos, Oikeusrekisterikeskus sekä Rikosseuraamuslaitos. Myös Metsähallituksen erävalvonnasta annetussa laissa (1157/2005) tarkoitettu erätarkastaja olisi kohdassa tarkoitettu toimivaltainen viranomainen, sillä erätarkastaja toimittaa eräissä tilanteissa rikosasian selvittämiseksi suppean esitutkinnan. Samoin esimerkiksi eduskunnan oikeusasiamies ja oikeuskansleri ovat lain tarkoittamia toimivaltaisia viranomaisia, sillä niillä on tietyissä tilanteissa syyteoikeus. Sitä vastoin esimerkiksi yksittäisen yhdyskuntaseuraamuksen täytäntöönpanosta vastaavan virkamiehen avuksi määrätty, laissa yhdyskuntaseuraamusten täytäntöönpanosta (400/2015) tarkoitettuna apuvalvojana toimiva sosiaalityöntekijä ei olisi kohdassa tarkoitettu toimivaltainen viranomainen.
Lisäksi kohdassa ulotettaisiin toimivaltaisen viranomaisen määritelmä koskemaan myös Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa ehdotetussa 1 §:n 2 momentissa tarkoitettuja tehtäviä. Tältä osin kyse olisi kansallisesta sääntelystä.
Momentin 6 kohdassa määriteltäisiin rekisterinpitäjä. Määritelmä vastaisi pitkälti nykytilaa. Rekisterinpitäjä olisi lain soveltamisalalla aina nimenomaan toimivaltainen viranomainen, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty. Säännös mahdollistaisi siten niin sanotun yhteisrekisterinpitäjyyden nykytilaa vastaavasti. Yhteisrekisterinpitäjistä säädettäisiin tarkemmin ehdotetussa 16 §:ssä.
Momentin 7 kohdassa määriteltäisiin henkilötietojen käsittelijä. Henkilötietojen käsittelijällä tarkoitettaisiin ehdotuksen mukaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun eli esimerkiksi toimeksiantosuhteen perusteella. Henkilötietojen käsittelijällä ei siten tarkoitettaisi rekisterinpitäjän palveluksessa olevaa henkilöä, eikä myöskään henkilötietojen käsittelijän palveluksessa olevaa yksittäistä henkilöä.
Momentin 8 kohdan sisältämä määritelmä olisi uusi. Sen mukaan vastaanottajalla tarkoitettaisiin luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja.
Momentin 9 kohdassa määriteltäisiin henkilötietojen tietoturvaloukkaus. Nykyiseen henkilötietolakiin ei sisälly tietoturvaloukkauksen määritelmää. Henkilötietojen tietoturvaloukkauksella tarkoitettaisiin kohdan mukaan tietoturvallisuuden loukkaamista, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Määritelmänsä mukaan henkilötietojen tietoturvaloukkaus ei edellyttäisi sitä, että loukkauksesta on aiheutunut tosiasiallista vahinkoa rekisteröidylle.
Momentin 10 kohdassa määriteltäisiin, mitä tarkoitetaan ehdotetussa laissa mainituilla asianmukaisilla suojatoimenpiteillä. Kohdan mukaan niillä tarkoitettaisiin sellaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen käsittelyn lainmukaisuus, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin kohdistuvat riskit (riskiperusteinen lähestymistapa). Tällaisiin toimenpiteisiin voisi, tapauksesta riippuen, kuulua esimerkiksi henkilötietojen pseudonymisointi tai salaaminen, lainsäädännön edellyttämää tiukempien tietojen käsittelyedellytysten käyttöön ottaminen ja tietoja käsittelevän henkilöstön kouluttaminen tietoturvallisuusasioista. Suojatoimiin voi niin ikään kuulua laissa tai asetuksessa säädettyjen, tähän lakiin sisältyviä velvollisuuksia tarkempien tietoturvallisuusvelvollisuuksien toteuttaminen. Asianmukaisia suojatoimenpiteitä ei ole mahdollista laissa tyhjentävästi määritellä, ja vaadittavien suojatoimenpiteiden luonne saattaa ajan kuluessa muun muassa teknologisen kehityksen vuoksi muuttua. Vastaavaa määritelmää ei nimenomaisesti sisälly rikosasioiden tietosuojadirektiiviin. Ehdotetussa laissa viitataan useissa kohdin asianmukaisiin suojatoimenpiteisiin.
Momentin 11 kohdassa määriteltäisiin, mitä laissa tarkoitetaan profiloinnilla. Profiloinnilla tarkoitettaisiin mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia. Profiloinnilla pyritään tyypillisesti analysoimaan tai ennakoimaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin.
Momentin 12 kohdassa määriteltäisiin geneettisiksi tiedoiksi henkilötiedot, jotka koskevat sellaisia luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta, ja jotka on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla tai muutoin. Määritelmä olisi uusi.
Momentin 13 kohdassa määriteltäisiin biometriset tiedot. Vastaavaa määritelmää ei sisälly voimassa olevaan henkilötietoja koskevaan lainsäädäntöön. Biometrisillä tiedoilla tarkoitettaisiin luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Biometrisiä tietoja olisivat esimerkiksi kasvokuvat ja sormenjälkitiedot.
Momentin 14 kohdan sisältämä terveyttä koskevan tiedon määritelmä olisi uusi. Sillä tarkoitettaisiin luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa. Määritelmän piiriin kuuluisi kaikki tiedot, jotka koskevat rekisteröidyn entistä, nykyistä tai tulevaa fyysistä terveyttä tai mielenterveyttä. Terveyttä koskevalla tiedoilla tarkoitettaisiin muun muassa geneettisiä ja biologisia tietoja, tietoja sairauksista, vammoista tai sairauden riskistä samoin kuin tietoa annetuista hoidoista.
Momentin 15 kohdassa määriteltäisiin kolmas maa. Sillä tarkoitettaisiin muuta valtiota kuin EU:n jäsenvaltiota, muuta Euroopan talousalueen valtiota tai Sveitsiä. Euroopan talousalueeseen kuuluvat EU:n jäsenvaltioiden lisäksi Islanti, Liechtenstein ja Norja.
Momentin 16 kohdassa määriteltäisiin, mitä ehdotetussa laissa tarkoitetaan kansainvälisellä järjestöllä. Käsitteellä tarkoitettaisiin sellaista järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, sekä muuta elintä, joka on perustettu kahden tai useamman valtion välisellä sopimuksella tai tällaisen sopimuksen perusteella. Kohdassa tarkoitettu kansainvälinen järjestö olisi esimerkiksi Interpol.
Pykälän 2 momentissa säädettäisiin, että mitä ehdotetussa laissa säädetään toimivaltaisesta viranomaisesta, sovelletaan myös 1 momentin 5 kohdassa tarkoitettua tehtävää hoitavaan yksityiseen tahoon. Säännös perustuu rikosasioiden tietosuojadirektiivin 3 artiklan 7 kohdan b alakohtaan. Mainitun artiklan mukaan toimivaltaisella viranomaisella tarkoitetaan myös kaikkia muita elimiä tai yksiköitä kuin viranomaisia, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon liittyen. Momenttiin otettavaksi ehdotettu sääntely on tarpeen muissa EU-maissa tällaisia tehtäviä hoitavien yksityisten toimijoiden, kuten yksityisiä vankiloita ylläpitävien organisaatioiden, huomioon ottamiseksi.
Pykälän 3 momentin mukaan mitä ehdotetussa laissa säädettäisiin EU:n jäsenvaltiosta, sovellettaisiin myös muihin Euroopan talousalueeseen kuuluviin valtioihin ja Sveitsiin. Ehdotus perustuu direktiivin sääntelyyn. Euroopan talousalueeseen kuuluvat nykyisellään EU-maiden lisäksi Islanti, Liechtenstein ja Norja.
2 luku Henkilötietojen käsittelyä koskevat periaatteet
Luvussa säädettäisiin henkilötietojen käsittelyn yleisistä periaatteista, joita tulisi noudattaa aina käsiteltäessä henkilötietoja ehdotetun lain mukaisesti.
4 §.Lainmukaisuusvaatimus. Pykälässä säädettäisiin henkilötietojen käsittelyn lainmukaisuusvaatimuksesta. Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan a ja b alakohtaan sekä 8 artiklan 1 kohtaan. Pykälä vastaisi pääpiirteissään henkilötietolain 5 §:ää, jossa säädetään huolellisuusvelvoitteesta, sekä henkilötietolain 8 §:n 4 kohtaa ja 12 §:n 5 kohtaa. Henkilötietolain 5 §:n mukaan henkilötietoja tulee käsitellä laillisesti, minkä lisäksi käsittelyssä tulee noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta.
Ehdotetun pykälän 1 momentin mukaan henkilötietoja saa käsitellä ainoastaan, jos se on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, 1 §:n 1 tai 2 momentin alaan kuuluvan tehtävän suorittamiseksi. Lailla tarkoitetaan tässä yhteydessä sekä kotoperäistä että EU-lainsäädäntöä.
Käsittelyn tulisi olla tarpeen toimivaltaisen viranomaisen 1 §:n 1 tai 2 momentissa tarkoitetun tehtävän suorittamiseksi. Tarpeellisuus- ja oikeasuhtaisuusvaatimusten mukaisesti henkilötietoja tulisi käsitellä vain siinä määrin, kuin käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin.
Pykälän 2 momentissa säädettäisiin, että henkilötietoja on käsiteltävä asianmukaisesti ja huolellisesti. Nämä vaatimukset viittaisivat osaltaan muun muassa tietoturvallisuutta koskeviin vaatimuksiin, ja niistä seuraisi myös yleisempi velvollisuus käsitellä henkilötietoja hyvän tietojenkäsittelytavan mukaisesti. Huolellisuusvelvollisuus korostaa nykyisen henkilötietolain 5 §:ssä säädettyä vastaavasti rekisterinpitäjän oma-aloitteisuutta sen varmistamisessa, että henkilötietojen käsittelyssä noudatetaan henkilötietojen suojaa koskevia säännöksiä ja periaatteita.
5 §.Käyttötarkoitussidonnaisuus. Pykälässä säädettäisiin käyttötarkoitussidonnaisuuden periaatteesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan b alakohta, 2 ja 3 kohta sekä 9 artikla. Henkilötietolain 7 §:ään on sisältynyt käyttötarkoitussidonnaisuutta koskeva säännös.
Ehdotetun pykälän 1 momentin mukaan rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla.
Pykälän 2 momentin mukaan ehdotetun lain 1 §:ssä 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos tällaisesta käsittelystä säädetään laissa. Nämä säännökset kohdistuisivat niin alkuperäiseen rekisterinpitäjään kuin muihinkin rekisterinpitäjiin. Lakisääteisyyden vaatimus voisi tulla täytetyksi niin kansallisella kuin unioninkin lainsäädännöllä. Tällaisen lain olisi täytettävä rikosasioiden tietosuojadirektiivin vaatimukset käsittelyn tarpeellisuuden ja oikeasuhtaisuuden osalta siten kuin rikosasioiden tietosuojadirektiivin 4 artiklan 2 kohdan b alakohdassa edellytetään. Jos henkilötietoja käsitellään säännöksessä viitattuihin muihin tarkoituksiin, sovellettaisiin käsittelyyn lähtökohtaisesti yleistä tietosuoja-asetusta.
Pykälän 3 momentissa säädettäisiin, että henkilötietoja saa käsitellä 1 §:n 1 tai 2 momentissa säädettyyn tarkoitukseen myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten. Edellytyksenä tällöin kuitenkin olisi, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu. Siltä osin kuin momentissa tarkoitettu käsittely tapahtuu muihin kuin ehdotetun lain 1 §:n mukaisiin tarkoituksiin, käsittelyyn sovellettaisiin yleistä tietosuoja-asetusta, ehdotettua tietosuojalakia sekä mahdollista henkilötietojen käsittelyä koskevaa erityislainsäädäntöä.
Rekisterinpitäjän tulisi kyetä osoittamaan, että se on noudattanut ehdotetun pykälän säännöksiä.
6 §.Tarpeellisuusvaatimus. Ehdotetulla pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan c ja e alakohta sekä 5 artikla. Pykälässä säädettäisiin tietojen tarpeellisuusvaatimuksesta ja siihen olennaisesti liittyvästä tietojen säilyttämisen rajoituksista. Yhdessä säännökset toteuttaisivat tietojen minimoinnin periaatetta. Tarpeellisuusvaatimuksesta säädetään nykyisin henkilötietolain 9 §:n 1 momentissa.
Pykälän 1 momentin mukaan käsiteltävien henkilötietojen tulisi olla käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saisi olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot olisi niin ikään poistettava ilman aiheetonta viivytystä. Rekisterinpitäjän olisi tarvittaessa kyettävä osoittamaan henkilötietojen käsittelyn tarpeellisuus.
Pykälän 2 momentin mukaan henkilötiedot saisi säilyttää muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin se on tarpeellista henkilötietojen käsittelyn tarkoituksen kannalta.
Rikosasioiden tietosuojadirektiivin 5 artiklan mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietojen poistamista tai niiden säilyttämisen tarpeellisuuden säännöllistä tarkistamista varten vahvistetaan asianmukaiset määräajat. Henkilötietojen säilyttämisen tarpeellisuutta olisi pykälän 3 momentin mukaan arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädettäisi. Momentilla varmistettaisiin, että henkilötietojen säilyttämisen tarpeellisuus arvioidaan säännöllisesti myös siinä tapauksessa, ettei erityislainsäädännössä ole erityisiä säännöksiä säilytyksen tarpeellisuuden arvioimisesta. Rekisterinpitäjän olisi ehdotetussa 14 §:ssä säädettävät velvollisuudet huomioon ottaen toteutettava toimenpiteet, joilla varmistetaan säilyttämistä koskevan määräajan noudattaminen. Voimassa olevan henkilötietolain 12 §:n 2 momentissa säädetyn mukaisesti myös nykyisin rikosta ja sen seuraamusta koskevien tietojen sälyttämistarvetta on lähtökohtaisesti arvioitava vähintään viiden vuoden välein.
7 §.Virheettömyysvaatimus. Pykälässä säädettäisiin virheettömyysvaatimuksesta, joka on yksi henkilötietojen käsittelyä koskevista periaatteista. Pykälällä täytettäisiin rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan d alakohdan sisältämä lainsäädäntötoimeksianto. Henkilötietolain 9 §:n 2 momentti sisältää säännöksen virheettömyysvaatimuksesta. Vaikka vaatimuksen perustavanlaatuinen lähtökohta säilyisi ennallaan, tarkistettaisiin säännöksen sanamuotoa henkilötietolakiin nähden vastaamaan rikosasioiden tietosuojadirektiiviä.
Pykälän mukaan käsiteltävien henkilötietojen tulisi olla täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Vaatimus tarkoittaisi käytännössä esimerkiksi sitä, ettei sisällöltään epämääräiseksi jääviä henkilötietoja lähtökohtaisesti tule käsitellä. Säännös ei sinänsä estäisi esimerkiksi sellaisten tietojen tallettamista, joiden todenmukaisuutta ei voida välittömästi varmistaa tai joissa on kyse esimerkiksi todistajan subjektiivisista näkemyksistä. Rekisterinpitäjän tulee toteuttaa kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Toimivaltaisten viranomaisten olisi niin ikään varmistettava, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä tai aseteta saataville tai ylipäätään kerätä. Pykälässä tarkoitetun päivittämisvelvollisuutta sovellettaessa olisi otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojan ja oikeusturvan kannalta.
8 §.Eräiden henkilötietojen erottaminen toisistaan. Pykälässä säädettäisiin velvollisuudesta erottaa eräät henkilötiedot toisistaan. Pykälä perustuu rikosasioiden tietosuojadirektiivin 6 artiklaan sekä 7 artiklan 1 kohtaan. Vastaavaa säännöstä ei sisälly henkilötietolakiin. Ehdotetulla säännöksellä on kuitenkin tiivis yhteys esimerkiksi ehdotetun lain 7 §:ssä säädettyyn virheettömyysvaatimukseen.
Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. Erottamisen toteuttamiseksi tulisi toteuttaa kaikki kohtuulliset toimenpiteet, kun otetaan huomioon tietojen erillään pidon merkitys. Jos henkilön asema yksiselitteisesti ilmenee asiayhteydestä, ei tarvetta ryhtyä toimenpiteisiin tietojen erottamiseksi lähtökohtaisesti olisi.
Eri asemassa toisiinsa nähden voitaisiin katsoa olevan esimerkiksi henkilöt, joiden on syytä epäillä syyllistyneen tai olevan syyllistymässä rikokseen sekä henkilöt, jotka on tuomittu rikoksesta.
Pykälän 2 momentissa säädettäisiin, että tosiseikkoihin perustuvien henkilötietojen erottamiseksi henkilökohtaisiin arvioihin perustuvista henkilötiedoista olisi toteutettava kaikki kohtuulliset toimenpiteet. Esimerkiksi esitutkinnassa annetaan usein lausuntoja, jotka sisältävät henkilötietoja, mutta jotka perustuvat luonnollisten henkilöiden subjektiivisiin havaintoihin. Tällaiset tiedot eivät aina ole todennettavissa, joten ne tulisi lähtökohtaisesti pitää erillään tosiseikkoihin perustuvista henkilötiedoista. Tosiseikkoihin perustuvia tietoja ovat esimerkiksi televalvontatiedot, jotka osoittavat yhteydenpidon toiseen henkilöön.
9 §.Siirrettävien tai saataville asetettavien henkilötietojen laadun varmentaminen. Pykälässä asetettaisiin vaatimukset siirrettävien tai saataville asettavien henkilötietojen laadun varmentamiselle. Siirtämisellä tarkoitettaisiin sekä henkilötietojen teknistä siirtämistä että henkilötietojen varsinaista luovuttamista. Pykälässä asetettaisiin korostettu huolellisuus- ja virheettömyysvaatimus henkilötietojen siirtämiselle ja saataville asettamiselle. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 7 artiklan 2 ja 3 kohta.
Pykälän 1 momentin mukaan toimivaltaisen viranomaisen olisi toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, ettei virheellisiä, epätäydellisiä taikka vanhentuneita henkilötietoja siirretä eikä aseteta saataville. Tätä varten kunkin toimivaltaisen viranomaisen olisi varmennettava mahdollisuuksien mukaan henkilötietojen laatu aina ennen niiden siirtämistä tai saataville asettamista. Siirron tarkoituksiin nähden kohtuutonta hallinnollista taakkaa aiheuttaviin toimenpiteisiin ryhtymistä ei edellytettäisi.
Pykälän 2 momentissa säädettäisiin, että kaikkiin henkilötietojen siirtoihin olisi mahdollisuuksien mukaan lisättävä sellaiset tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voisi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä, luotettavuutta sekä sitä, miltä osin tiedot ovat ajantasaisia.
Jos ilmenee, että virheellisiä henkilötietoja on siirretty tai että henkilötietoja on siirretty lainvastaisesti, olisi asiasta pykälän 3 momentissa ehdotetun mukaisesti ilmoitettava viipymättä vastaanottajalle. Vastaanottajan olisi tällöin asiasta tiedon saatuaan oikaistava tai poistettava saamansa henkilötiedot tai rajoitettava niiden käsittelyä. Vastaanottajan käsite määriteltäisiin lain 3 §:n 1 momentin 8 kohdassa. Myös henkilötiedot siirtäneen toimivaltaisen viranomaisen olisi niin ikään toteutettava asianmukaiset toimenpiteet, kuten korjattava sillä olevat virheelliset henkilötiedot.
10 §.Ilmoittamisvelvollisuus käsittelyn erityisistä edellytyksistä. Pykälässä säädettäisiin toimivaltaisen viranomaisen ilmoittamisvelvollisuudesta käsittelyn erityisiä edellytyksiä koskien rikosasioiden tietosuojadirektiivin 9 artiklan 3 ja 4 kohdan mukaisesti.
Pykälän 1 momentin säädettäisiin siitä, että jos henkilötietojen käsittelyyn liittyy laissa säädettyjä erityisiä edellytyksiä, toimivaltaisen viranomaisen on henkilötietojen luovutuksen tai siirron yhteydessä ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä. Tällaisiin edellytyksiin voisi kuulua esimerkiksi kielto siirtää henkilötietoja edelleen tai käyttää henkilötietoja muussa kuin siinä tarkoituksessa, jota varten tiedot on toimitettu vastaanottajalle. Erityisiin edellytyksiin voisi kuulua myös kielto ilmoittaa rekisteröidylle tiedonsaantioikeuden rajoittamisesta ilman tietoja siirtävän toimivaltaisen viranomaisen etukäteen antamaa hyväksyntää. Tällaisista erityisistä edellytyksistä voitaisiin säätää toimivaltaisiin viranomaisiin sovellettavassa erityislainsäädännössä.
Pykälän 2 momentissa ehdotetaan säädettävän, että toimivaltainen viranomainen ei saa asettaa henkilötietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan kansallisesti samankaltaisiin tiedonsiirtoihin silloin, kun se siirtää henkilötietoja Euroopan unionissa sijaitsevalle vastaanottajalle.
11 §.Erityisiä henkilötietoryhmiä koskeva käsittely. Pykälässä säädettäisiin erityisistä henkilötietoryhmistä ja niitä koskevasta käsittelystä. Säännös perustuisi rikosasioiden tietosuojadirektiivin 10 artiklaan.
Erityisiin henkilötietoryhmiin kuuluvista tiedoista säädettäisiin pykälän 1 momentissa. Erityisten henkilötietoryhmien määritelmä poikkeaa eräiltä osin henkilötietolain 11 §:n vastaavasta määritelmästä. Erityisistä henkilötietoryhmistä ei enää myöskään käytettäisi nimitystä arkaluonteiset tiedot. Erityisiin henkilötietoryhmiin kuuluvia tietoja olisivat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys. Niin ikään erityisiin henkilötietoryhmiin kuuluisivat geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot, kuten sormenjälkitiedot ja kasvokuvat, sekä terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot. Etninen alkuperä pitäisi sisällään myös rikosasioiden tietosuojadirektiivin 10 artiklassa käytetyn ilmaisun ”rotu”.
Erityisten henkilötietoryhmien käsittely olisi lähtökohtaisesti kielletty. Tällaisten tietojen käsittely olisi sallittu vain pykälän 2 momentissa luetelluissa tilanteissa. Käsittely olisi ehdotetun säännöksen mukaan sallittu, jos se on välttämätöntä ja edellyttäen, että rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu. Erityisiin henkilötietoryhmiin kuuluvia tietoja ei välttämättömyysedellytyksen vuoksi saisi käsitellä, jos käsittelyn tavoitteet voidaan saavuttaa jollain muulla, rekisteröidyn oikeuksiin vähemmän puuttuvalla, keinolla. Lisäksi edellytyksenä olisi, että käsittelystä säädetään laissa, että kyse on rikosasian käsittelystä syyttäjän toiminnassa tai tuomioistuimessa tai että käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi taikka että rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaaminen sitä edellyttää. Rikosasioiden tietosuojadirektiivin 37 johdantokappaleen mukaisesti erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn edellyttämiin asianmukaisiin suojatoimiin voi kuulua esimerkiksi mahdollisuus kerätä näitä tietoja ainoastaan kyseistä luonnollista henkilöä koskevien muiden tietojen keräämisen yhteydessä, kerättyjen tietojen riittävä suojaaminen, tiukempien sääntöjen soveltaminen toimivaltaisen viranomaisen henkilöstöön tietojen käyttöön saamisen osalta ja tällaisia tietoja koskevan siirron kieltäminen.
Pykälän 3 momenttiin ehdotetaan otettavaksi profilointia koskeva säännös. Rikosasioiden tietosuojadirektiivin 11 artiklassa säädetyn mukaisesti sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään, on kielletty. Profiloinnilla tarkoitettaisiin ehdotetun lain 3 §:n 1 momentin 11 kohtaan otettavaksi ehdotetun määritelmän mukaan henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön ominaisuuksia, kuten luotettavuutta, käyttäytymistä, kiinnostuksen kohteita tai liikkeitä. Syrjinnällä puolestaan tarkoitettaisiin henkilön asettamista muihin nähden eri asemaan 1 momentissa tarkoitetun syyn perusteella ilman hyväksyttävää perustetta, sen mukaan kuin asiasta säädetään muun muassa EU:n perusoikeuskirjan 21 ja 52 artiklassa sekä perustuslain 6 §:n 2 momentissa. Käytännössä säännöksellä lähtökohtaisesti kiellettäisiin esimerkiksi sellainen algoritmeihin perustuva profilointi, jonka seurauksena johonkin tiettyyn etniseen ryhmään kuuluvat henkilöt joutuvat muita tiukemman seurannan tai tarkastusten kohteeksi.
12 §.Henkilötunnuksen käsittely. Pykälässä säädettäisiin henkilötunnuksen käsittelystä. Rikosasioiden tietosuojadirektiiviin ei sisälly nimenomaista henkilötunnuksen käsittelyä koskevaa sääntelyä. Ehdotettu sääntely olisi siten puhtaasti kansallista. Henkilötunnuksen käsittelyä koskevia säännöksiä sisältyy myös henkilötietolain 29 §:ään.
Henkilötunnuksen käsittelyn erityisistä edellytyksistä säädettäisiin pykälän 1 momentissa. Ehdotetun momentin mukaan henkilötunnusta saa käsitellä vain, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi taikka rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi. Lisäksi käsittely olisi sallittua, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää ehdotetun lain 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
Ehdotetun 2 momentin mukaan henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. Ehdotus vastaa henkilötietolain 13 §:n 4 momentissa säädettyä.
13 §.Automatisoidut yksittäispäätökset. Pykälässä säädettäisiin automatisoiduista yksittäispäätöksistä, joita koskeva säännös sisältyy rikosasioiden tietosuojadirektiivin 11 artiklaan. Henkilötietolain 31 §:ään sisältyy automatisoituja päätöksiä koskeva, hieman erisisältöinen säännös.
Ehdotetun pykälän mukaan sellaisen päätöksen tekeminen, joka perustuu pelkästään automatisoituun henkilötietojen käsittelyyn ja jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai joka muutoin on hänen kannaltaan merkittävä, on kielletty. Tällaisen automatisoidun yksittäispäätöksen tekeminen olisi ehdotetun säännöksen mukaan sallittua ainoastaan, jos muualla laissa niin säädetään. Käytännössä tällaisesta automatisoidusta päätöksenteosta tulisi siten säätää aina erityislainsäädännössä. Tällaisen lainsäädännön tulee täyttää direktiivin 11 artiklassa säädetyt vaatimukset muun muassa rekisteröidyn oikeudesta vaatia, että käsittelyyn osallistuu rekisterinpitäjän toimesta luonnollinen henkilö.
Pykälä koskisi tilanteita, joissa päätöksenteko perustuu puhtaasti automatisoituun henkilötietojen käsittelyyn eli joissa päätöksentekoon ei osallistu luonnollista henkilöä. Se tulisi siten sovellettavaksi sellaisissa tilanteissa, joissa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö osallistuu henkilötietojen käsittelyyn vain sellaisella tavalla, jolla ei ole vaikutusta päätöksen tekemiseen. Pykälässä tarkoitettuja puhtaasti automatisoituun henkilötietojen käsittelyyn perustuvia päätöksentekomekanismeja ei Suomessa tiettävästi ole ehdotetun lain soveltamisalalla tällä hetkellä käytössä.
3 luku Rekisterinpitäjä ja henkilötietojen käsittelijä
14 §.Rekisterinpitäjän vastuu. Pykälässä säädettäisiin ehdotetussa laissa tarkoitetun rekisterinpitäjän vastuusta. Ehdotettu sääntely perustuisi rikosasioiden tietosuojadirektiivin 19 artiklan 1 kohtaan.
Pykälän 1 momentissa säädettäisiin siitä, että rekisterinpitäjä on vastuussa siitä, että henkilötietoja käsitellään lainmukaisesti. Rekisterinpitäjä toteuttaisi vastuutaan henkilöstölleen tai henkilötietojen käsittelijälle osoitetulla ohjeistuksella sekä tarpeen mukaan esimerkiksi koulutuksella. Rekisterinpitäjältä edellytetyistä teknisistä ja organisatorisista toimenpiteistä säädettäisiin pykälän 2 momentissa. Rekisterinpitäjälle asetettaisiin myös niin sanottu osoitusvelvollisuus, eli sen tulisi jälkikäteisestikin pystyä osoittamaan, että henkilötietoja on käsitelty ehdotetun lain 2 luvussa säädettyjen periaatteiden mukaisesti.
Pykälän 2 momentissa asetettaisiin rekisterinpitäjälle velvollisuus toteuttaa tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet, joilla se voi varmistaa ja myös osoittaa, että henkilötietojen käsittely on lainmukaista. Toimenpiteiden toteuttamisessa olisi ehdotetun säännöksen mukaan otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit. Toimenpiteitä suunniteltaessa olisi siten otettava huomioon esimerkiksi se, käsitelläänkö erityisen haavoittuvassa asemassa olevien henkilöiden, kuten lasten tai ihmiskaupan uhrien, henkilötietoja. Myös sillä voisi olla merkitystä, käsitelläänkö suurta määrää henkilötietoja tai erityisiin henkilötietoryhmiin kuuluvia tietoja. Tällaisissa tilanteissa tulisi suunnitella ja toteuttaa erityisiä suojatoimenpiteitä.
15 §.Sisäänrakennettu ja oletusarvoinen tietosuoja. Pykälässä säädettäisiin sisäänrakennetusta ja oletusarvoisesta tietosuojasta (privacy by design ja privacy by default) ja sillä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 20 artikla. Kyseessä olisi henkilötietolakiin nähden uudenkaltainen velvoite.
Pykälän 1 momentin mukaan rekisterinpitäjän tulisi jo henkilötietojen käsittelytapoja määrittäessään sekä itse henkilötietojen käsittelyn yhteydessä toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojaamisen varmistamiseksi. Toimenpiteiden toteuttamisessa olisi huomioitava käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa. Momentissa tarkoitettuihin toimenpiteisiin voisi kuulua esimerkiksi pseudonymisoinnin käyttö niin pian kuin se on käsittelyn tarkoituksen kannalta mahdollista. Momentissa asetettavat vaatimukset tulisi ottaa huomioon myös esimerkiksi tietojärjestelmien toteutuksessa.
Riskin todennäköisyys ja vakavuus olisi määriteltävä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitusten mukaan. Riski tulisi arvioida objektiivisten seikkojen perusteella. Merkittävän riskin voitaisiin katsoa olevan kyseessä etenkin silloin, kun riskinä on rekisteröityjen oikeuksien heikentyminen. Esimerkiksi erityisiin henkilötietoryhmiin kuuluvien tietojen tai erityisen haavoittuvien henkilöryhmien tietojen käsittely asettaa usein merkittävämmän riskin henkilön oikeuksille, jolloin toteutettaville toimenpiteille olisi lähtökohtaisesti syytä asettaa korkeammat vaatimukset. Toisaalta käsittelytyyppeinä tietojen luovuttaminen tai saataville asettaminen voivat olla myös erityisen riskipitoisia.
Pykälän 2 momentissa edellytettäisiin, että rekisterinpitäjä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskisi niin kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa kuin saatavilla oloakin. Asianmukaisilla toimenpiteillä olisi erityisesti varmistettava, ettei henkilötietoja oletusarvoisesti saateta rajoittamattoman luonnollisten henkilöiden piirin saataville ilman asianomaisen henkilön myötävaikutusta.
16 §.Yhteisrekisterinpitäjät. Pykälässä säädettäisiin erityisistä vaatimuksista tilanteissa, joissa on käsillä niin sanottu yhteisrekisterinpitäjyys. Säännös perustuisi rikosasioiden tietosuojadirektiivin 21 artiklaan. Henkilötietolainkin nojalla on mahdollista, että rekisterinpitäjiä on useampi, mutta se ei kuitenkaan sisällä ehdotetun pykälän kaltaista säännöstä, jolla täsmennetään yhteisten rekisterinpitäjien keskinäisiä suhteita.
Pykälän 1 momentissa säädettäisiin, että jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, niiden tulisi sopia keskinäisestä vastuunjaostaan ehdotetun lain mukaisten velvollisuuksien hoitamisessa, jollei vastuunjaosta ole säädetty laissa. Keskinäisessä vastuunjaon määrittämisessä tulisi huolellisesti varmistaa, että lain vaatimukset tulevat kaikilta osin huomioiduksi. Vaikka tärkeimmistä vastuunjakoon ja velvollisuuksiin liittyvistä tehtävistä säädetään vastaisuudessakin pitkälti laissa, antaisi ehdotettu säännös joustavuutta rekisterinpitäjien välisen tehtävänjaon suhteen.
Pykälän 2 momentissa säädettäisiin, että 1 momentissa tarkoitettujen rekisterinpitäjien on nimettävä keskuudestaan yhteyspisteenä toimiva rekisterinpitäjä. Yhteyspisteenä toimiva rekisterinpitäjä olisi se, johon rekisteröity voisi ensisijaisesti olla yhteydessä oikeuksiensa käyttöä koskevissa asioissa. Momentissa säädettäisiin lisäksi, että rekisteröity voi kuitenkin aina käyttää ehdotetun lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään.
17 §.Henkilötietojen käsittelijä. Pykälässä säädettäisiin henkilötietojen käsittelijästä rikosasioiden tietosuojadirektiivin 22 artiklan 1—4 kohdan edellyttämällä tavalla. Ehdotetun lain 3 §:n 1 momentin 7 kohdan mukaisesti henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.
Pykälän 1 momentin mukaan henkilötietoja rekisterinpitäjän lukuun käsittelevän olisi annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimenpiteistä, joilla se varmistaa, että henkilötietoja käsitellään ehdotetussa laissa säädettyjen vaatimusten mukaisesti. Vastaavan kaltainen säännös sisältyy henkilötietolain 32 §:n 2 momenttiin. Ehdotetun säännöksen perusteella myös henkilötietojen käsittelijän olisi otettava huomioon esimerkiksi sisäänrakennetun ja oletusarvoisen tietosuojan periaate. Momentissa tarkoitetut selvitykset ja sitoumukset voitaisiin sisällyttää myös pykälän 3 momentissa tarkoitettuun rekisterinpitäjän ja henkilötietojen käsittelijän väliseen sopimukseen.
Pykälän 2 momentissa säädettäisiin kielto henkilötietojen käsittelijälle ja sen palveluksessa olevalle käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti. Jos henkilötietojen käsittelijä tästä huolimatta määrittelisi käsittelyn tarkoitukset ja keinot, katsottaisiin käsittelijä rekisterinpitäjäksi kyseisen lainvastaisen käsittelyn osalta. Henkilötietojen käsittelijä ei ehdotetun säännöksen mukaan myöskään saa siirtää henkilötietojen käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista lupaa. Tällainen rekisterinpitäjän suostumus voisi olla joko tapauskohtainen tai yleinen. Jos rekisterinpitäjä antaisi siirtoon yleisen suostumuksen, henkilötietojen käsittelijän olisi kuitenkin ilmoitettava rekisterinpitäjälle kaikista suunnitelluista muutoksista, jotka koskevat muiden käsittelijöiden lisäämistä tai vaihtamista. Rekisterinpitäjällä olisi ehdotetun sääntelyn nojalla oikeus kieltää tällaiset muutokset.
Henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä olisi pykälän 3 momentin mukaan tehtävä kirjallinen sopimus tai annettava kirjallinen määräys. Määräys tulisi kysymykseen lähinnä tilanteessa, jossa rekisterinpitäjänä toimii ylempi viranomainen ja henkilötietojen käsittelijänä samalla hallinnonalalla toimiva viranomainen. Sopimus tai määräys voisi olla myös sähköisessä muodossa. Asiakirjasta tulisi ilmetä käsiteltävät henkilötiedot, käsittelyn kesto, luonne ja tarkoitus, käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Velvollisuus laatia sopimus tai muu asiakirja koskisi myös sellaisia tilanteita, joissa henkilötietojen käsittelijä siirtää käsittelyn toiselle käsittelijälle, jolloin myös näiden välillä tulisi laatia sopimus.
Ehdotetussa 3 momentissa tarkoitetussa sopimuksessa tai määräyksessä olisi lisäksi nimenomaisesti määrättävä, että henkilötietojen käsittelijä toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti. Lisäksi edellytettäisiin määrättävän tai sovittavan siitä, että henkilötietojen käsittelijä varmistaa, että henkilötietoja käsittelevät luonnolliset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä sitoo lakisääteinen salassapitovelvollisuus. Henkilötietojen käsittelijän tulee avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan.
Lisäksi asiakirjasta tulisi ilmetä, että henkilötietojen käsittelijä rekisterinpitäjän valinnan mukaan joko poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle sekä poistaa olemassa olevat jäljennökset, jollei laissa toisin säädettäisi. Asiakirjassa olisi myös oltava maininta siitä, että käsittelijä saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen ehdotetun pykälän noudattamisen osoittamiseksi sekä täyttää ehdotetussa pykälässä tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset.
18 §.Seloste käsittelytoimista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 24 artiklaan ja siinä asetettaisiin velvollisuus sekä rekisterinpitäjälle että henkilötietojen käsittelijälle laatia seloste henkilötietojen käsittelytoimista. Pykälässä tarkoitettujen selosteiden tulisi olla kirjallisia, ja ne voisivat olla myös sähköisessä muodossa. Rekisterinpitäjän ja henkilötietojen käsittelijän olisi pyydettäessä esitettävä saatavilla olevat selosteet valvontaviranomaiselle tämän tiedonsaantioikeuden perusteella. Ehdotettu sääntely eroaisi henkilötietolain 10 §:n mukaisesta rekisteriselosteesta, sillä ehdotetun pykälän mukaista selostetta ei tarvitsisi pitää yleisesti saatavilla.
Pykälän 1 momentissa säädettäisiin rekisterinpitäjän käsittelytoimia koskevasta selosteesta. Momentin mukaan rekisterinpitäjän olisi ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, johon sisältyy vähintään momentissa luetellut tiedot. Pakollisten tietojen lisäksi rekisteriselosteessa voisi toisinaan olla tarpeen kertoa muitakin rekisteröidyn tai ulkopuolisten informoimisen kannalta tärkeitä seikkoja. Pakollisten tietojen joukko olisi laajempi kuin mitä henkilötietolain 10 §:ssä edellytetään. Uusia vaatimuksia olisivat esimerkiksi sen kirjaaminen, käytetäänkö profilointia sekä eri henkilötietoryhmien poistamisen suunnitellut määräajat. Profiloinnin määritelmä sisältyisi ehdotetun lain 3 §:n 1 momentin 11 kohtaan. Jos henkilötietoja siirretään kolmanteen maahan tai kansainväliselle järjestölle, tulisi selosteesta käydä ilmi, mikä kolmas maa tai kansainvälinen järjestö on kyseessä.
Pykälän 2 momentissa edellytettäisiin, että henkilötietojen käsittelijä ylläpitää kirjallista selostetta kaikesta rekisterinpitäjän lukuun suoritettavasta henkilötietojen käsittelystä. Vastaavaa velvollisuutta ei sisälly voimassa olevaan henkilötietolakiin. Käsittelijän ylläpitämän selosteen tulisi sisältää tiedot ensinnäkin henkilötietojen käsittelijästä ja tietosuojavastaavasta sekä näiden yhteystiedoista. Lisäksi selosteessa tulisi ilmoittaa kaikki ne rekisterinpitäjät, joiden lukuun käsittelijä toimii sekä näiden nimet ja yhteystiedot samoin kuin kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät. Lisäksi jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, tulisi selosteessa ilmoittaa mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle. Mahdollisuuksien mukaan selosteeseen tulisi myös sisällyttää yleinen kuvaus ehdotetun lain 31 §:ssä tarkoitetuista teknisistä ja organisatorisista suojatoimenpiteistä.
19 §.Lokitiedot. Pykälässä säädettäisiin velvollisuudesta kerätä ja säilyttää lokitietoja. Pykälällä täytettäisiin rikosasioiden tietosuojadirektiivin 25 artiklaan sisältyvä lainsäädäntötoimeksianto. Vastaavaa lokitusvelvollisuutta ei sisälly henkilötietolakiin, mutta erityislainsäädäntöön, kuten henkilötietojen käsittelystä poliisitoimessa annettuun lakiin, velvollisuus on nykyisinkin sisältynyt.
Myös lokitietoja on pidettävä henkilötietoina. Ne ovat niitä henkilöitä koskevia henkilötietoja, jotka käyttävät tietojärjestelmiä. Koska muut henkilöt eivät ole tässä tarkoitettuja rekisteröityjä, ei heillä lähtökohtaisesti olisi ehdotetussa laissa säädettäväksi ehdotettua tarkastusoikeutta pykälässä tarkoitettuihin lokitietoihin. Mahdollisuus saada tietoja viranomaisen lokeista voisi kuitenkin tulla kyseeseen, jos henkilöllä on oikeus saada kyseisiä tietoja lokeista julkisuuslain 11 §:n nojalla, sillä puheena olevia lokeja on pidettävä viranomaisten asiakirjoina. Myös tietosuojavaltuutetulla olisi oikeus tiedonsaantioikeutensa nojalla saada tietoja lokeista.
Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Lisäksi edellytettäisiin, että kyselyjä ja luovutuksia koskevien lokitietojen avulla on voitava selvittää kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys. Esimerkiksi kyselyn tai luovutuksen perusteen ei siten välttämättä tarvitsisi ilmetä suoraan lokitiedoista, mutta kyseisten seikkojen tulisi ehdotetun sääntelyn mukaan olla selvitettävissä lokitietojen perusteella. Säännös edellyttäisi, että myös esimerkiksi puhelimitse tai sähköpostitse tapahtuvista tietojen luovutuksista jäisi merkintä, josta käy selville säännöksessä luetellut tiedot.
Pykälän 2 momentissa säädettäisiin niistä tarkoituksista, joihin lokitietoja saisi käyttää. Momenttiin sisältyvä luettelo olisi tyhjentävä. Lokitietoja saisi käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, henkilötietojen eheyden ja turvallisuuden varmistamiseen, rikosoikeudellisiin menettelyihin sekä sisäiseen valvontaan. Sisäiseen valvontaan voisivat kuulua myös toimivaltaisten viranomaisten sisäiset kurinpitomenettelyt.
20 §.Tietosuojaa koskeva vaikutustenarviointi. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta tehdä tietosuojaa koskeva vaikutustenarviointi. Vastaavaa säännöstä ei sisälly henkilötietolakiin. Säännöksellä on kiinteä yhteys henkilötietojen käsittelyn yleisiin periaatteisiin. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 27 artikla.
Pykälän 1 momentin mukaan rekisterinpitäjän tulisi ennen henkilötietojen käsittelyyn ryhtymistä arvioida suunnittelemiensa käsittelytoimien vaikutukset henkilötietojen suojaan. Velvollisuus olisi yleinen ja tulisi kyseeseen aina, kun rekisterinpitäjän on tarkoitus ryhtyä jollakin tavalla uudenlaiseen henkilötietojen käsittelyyn tai jos henkilötietojen käsittelyssä tapahtuu muutoksia.
Mikäli rekisterinpitäjän suunnittelema henkilötietojen käsittely vaikuttaisi 1 momentin mukaisesti tehtävän arvion mukaan saattavan aiheuttaa merkittävän riskin luonnollisen henkilön oikeuksien toteutumisen kannalta, rekisterinpitäjän olisi pykälän 2 momentin mukaisesti tehtävä kirjallinen vaikutustenarviointi. Merkittävä riski voisi tulla kyseeseen esimerkiksi silloin, kun henkilötietojen käsittelyä ulkoistetaan, kun henkilötietoja siirretään kolmansiin maihin, kun käytetään uudenlaisia tietojenkäsittelytekniikoita tai kun tehdään tietojärjestelmiin kohdistuvia uudistuksia.
Vaikutustenarviointiin olisi sisällytettävä yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin kohdistuvista riskeistä ja toimet niiden vähentämiseksi sekä toimet, joilla henkilötietojen suoja ja lain noudattaminen varmistetaan. Arviossa olisi otettava huomioon etenkin suunnitellun käsittelyn luonne, laajuus, asiayhteys ja tarkoitus. Momentissa tarkoitettu vaikutustenarviointi olisi siten yksityiskohtaisempi kuin 1 momentissa tarkoitettu ensivaiheen vaikutustenarviointi. Vaikutustenarviointi olisi kohdistettava esimerkiksi asianomaisiin käsittelytoimien järjestelmiin ja prosesseihin, eikä yksittäisiin tapauksiin.
21 §.Tietosuojavaltuutetun ennakkokuuleminen. Pykälässä säädettäisiin velvollisuudesta kuulla tietosuojavaltuutettua ennakolta ja se perustuisi rikosasioiden tietosuojadirektiivin 28 artiklan 1, 3, 4 ja 5 kohtaan.
Pykälän 1 momentin mukaan rekisterinpitäjän tai henkilötietojen käsittelijän olisi eräissä tilanteissa kuultava tietosuojavaltuutettua ennen henkilötietojen käsittelyn aloittamista. Velvollisuus valtuutetun ennakkokuulemiseen olisi ensinnäkin silloin, kun edellä ehdotetun 20 §:n 2 momentissa tarkoitettu kirjallinen vaikutustenarviointi osoittaa, että suunnitelluista suojatoimenpiteistä huolimatta käsittely aiheuttaa merkittävän jäännösriskin rekisteröidyn oikeuksille. Lisäksi ennakkokuulemisvelvollisuus aktualisoituisi silloin, kun henkilötietojen käsittely muutoin ja erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käyttämisen johdosta aiheuttaisi merkittävän riskin rekisteröityjen oikeuksien kannalta. Esimerkiksi automaattiseen päätöksentekoon perustuvan profiloinnin käyttöönotto voisi olla tällainen merkittävän riskin tilanne, joka velvoittaisi rekisterinpitäjän kuulemaan tietosuojavaltuutettua ennakolta. Tietosuojavaltuutettu voisi direktiivin 28 artiklan 3 kohdan mukaisesti laatia yleisten toimivaltuuksiensa nojalla luettelon sellaisista momentissa tarkoitetuista toimenpiteistä, joiden yhteydessä rekisterinpitäjän tulisi pyytää ennakkokuulemista.
Pykälän 2 momentissa asetettaisiin rekisterinpitäjälle velvollisuus toimittaa tietosuojavaltuutetulle kirjallinen vaikutustenarviointi ja pyynnöstä kaikki muut sellaiset tiedot, joiden avulla se voisi arvioida henkilötietojen käsittelyn lainmukaisuutta.
Pykälän 3 momentissa säädettäisiin tilanteista, joissa tietosuojavaltuutettu katsoo, että 1 momentissa tarkoitettu käsittely muodostuisi ehdotetun lain vastaiseksi. Tällöin tietosuojavaltuutetun tulisi kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta antaa rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle ohjausta käsittelyn saattamiseksi lainmukaiseksi. Ohjauksella tarkoitettaisiin yleistä ohjeiden ja neuvonnan antamista. Tietosuojavaltuutettu voisi jatkaa määräaikaa kuukaudella, jos suunnitellun käsittelyn monimutkaisuus sitä edellyttää. Monimutkaisissa tapauksissa voi esimerkiksi syntyä tarve hankkia erinäisiä aikaa vieviä selvityksiä. Tietosuojavaltuutetun olisi tällaisissa tapauksissa ilmoitettava kuukauden kuluessa kuulemispyynnön vastaanottamisesta rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä.
4 luku Rekisteröidyn oikeudet
22 §.Tietosuojaseloste ja ilmoitusvelvollisuus. Pykälän 1 momentissa säädettäisiin yleisesti saataville asetettavasta tietosuojaselosteesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 13 artikla. Tietosuojaselosteen tarkoitus on informoida rekisteröityjä ja muita henkilöitä rekisterinpitäjän suorittamasta henkilötietojen käsittelystä ja toteuttaa siten tietojenkäsittelyn avoimuutta. Pykälä vastaisi osittain henkilötietolain rekisteriselostetta koskevaa 10 §:ää. Ehdotettuun tietosuojaselosteeseen kuitenkin sisältyisi sellaisia tietoja, joita ei nykyään tarvitse rekisteriselosteeseen sisällyttää.
Pykälän 1 momentin mukaan rekisterinpitäjän olisi ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä selostetta, joka on asetettava julkisesti saataville. Selosteen ylläpitämisellä viitattaisiin siihen, että seloste tulisi pyrkiä pitämään mahdollisimman ajantasaisena. Kirjallisella selosteella tarkoitetaan myös sähköisessä muodossa olevaa selostetta, ja seloste voisi olla saatavilla esimerkiksi rekisterinpitäjän verkkosivuilla. Rekisterinpitäjä voisi niin halutessaan yhdistää 18 ja 22 §:ssä tarkoitetut selosteet yhdeksi julkisesti saatavilla olevaksi tietosuojaselosteeksi.
Selosteessa tulisi momentin 1 kohdan mukaan ilmoittaa ensinnäkin rekisterinpitäjän yhteystiedot. Jos rekisterinpitäjä on nimennyt tietosuojavastaavan, myös tämän yhteystiedot on ilmoitettava, samoin kuin rekisterinpitäjän harkinnan mukaan myös tietosuojavastaavan nimi.
Momentin 2 kohdan mukaan niin sanotuissa yhteisrekisterinpidon tilanteissa tulisi tietosuojaselosteessa ilmoittaa myös yhteisrekisterinpitäjien yhteyspisteenä toimivan rekisterinpitäjän nimi ja yhteystiedot. Lisäksi tulisi antaa tieto siitä, että rekisteröity voi käyttää ehdotetun lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. Ehdotetut säännökset eivät perustu direktiivin lainsäädäntötoimeksiantoon, vaan kyse olisi kansallisesta sääntelystä.
Momentin 3 kohdan mukaan tietosuojaselosteessa tulisi ilmoittaa henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, kuten esimerkiksi lain säännös, johon henkilötietojen käsittely perustuu.
Momentin 4 kohdan mukaan selosteesta tulisi käydä ilmi henkilötietojen säilytysaika. Mikäli säilytysajan ilmoittaminen ei ole mahdollista esimerkiksi siksi, että säilytysaikaa ei ole numeerisesti määritelty, tulisi selosteessa ilmoittaa sen sijaan säilytysajan määrittämiskriteerit, kuten esimerkiksi tieto siitä, kuinka usein tietojen säilyttämisen tarpeellisuutta arvioidaan.
Momentin 5 kohdan mukaan tietosuojaselosteeseen tulisi sisällyttää tieto mahdollisista säännönmukaisista henkilötietojen vastaanottajista tai vastaanottajaryhmistä, mukaan lukien kolmansiin maihin sijoittautuneet vastaanottajat sekä kansainväliset järjestöt. Selosteessa ei siten tarvitsisi välttämättä nimetä kaikkia vastaanottajia, joille henkilötietoja mahdollisesti siirretään tai luovutetaan. Riittävää olisi, että selosteesta kävisi ilmi joko yksilöidysti tai asianmukaisesti ryhmiteltynä ne vastaanottajat, joille henkilötietoja säännönmukaisesti siirretään tai luovutetaan.
Selosteessa tulisi momentin 6 kohdan mukaan antaa myös tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin (tarkastusoikeus) sekä oikeus pyytää kyseisten henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista siten kuin 25 §:ssä säädettäisiin. Momentin 7 kohdan mukaan selosteessa niin ikään tulisi olla tieto siitä, että rekisteröidyllä on oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle, ja tietosuojavaltuutetun yhteystiedot.
Pykälän 2 momentissa ehdotetaan säädettäväksi tilanteista, joissa rekisterinpitäjän on annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja eräitä muita tietoja. Näissä tilanteissa ei riittäisi, että rekisterinpitäjä asettaa mainitut tiedot yleisesti saataville esimerkiksi verkkosivuillaan. Rekisterinpitäjän ilmoitusvelvollisuus toteutuisi käytännössä sellaisissa tilanteissa, joissa rekisteröidyn oikeusturva edellyttää hänen informoimistaan momentissa tarkoitetuista seikoista. Tällaisesta tilanteesta voisi olla kyse esimerkiksi silloin, kun erityislainsäädännössä on säädetty tämän lain 13 §:ssä tarkoitetusta automatisoidusta yksittäispäätöksestä, jolla on rekisteröityä koskevia kielteisiä oikeusvaikutuksia. Tällöin rekisteröidyn oikeusturva edellyttää hänen informoimistaan hänen tässä laissa tarkoitettujen oikeuksiensa käyttämisen kannalta merkityksellisistä seikoista. Velvollisuus informoida rekisteröityä voisi syntyä esimerkiksi myös sellaisessa tapauksessa, kun rekisteröity ei ole tietoinen siitä, että hänen henkilötietojaan on kerätty, ja rekisteröidyn oikeusturva käsittelyn luonteen tai siinä tapahtuneen menettelytapavirheen vuoksi sitä edellyttää. Rekisterinpitäjän olisi momentissa tarkoitetuissa tapauksissa annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja muut sellaiset tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi, erityisesti kyseisen henkilön kannalta merkitykselliset tarkemmat tiedot 1 momentissa luetelluista seikoista.
Rekisterinpitäjä voisi jättää momentissa tarkoitetut tiedot antamatta, jos se on välttämätöntä rikoksen selvittämisen, kansallisen turvallisuuden tai muiden 28 §:ssä säädettäväksi ehdotettujen perusteiden nojalla.
Momentissa ehdotettu sääntely perustuu rikosasioiden tietosuojadirektiivin 13 artiklan 2 ja 3 kohtaan.
23 §.Rekisteröidyn tarkastusoikeus. Pykälässä säädettäisiin rekisteröidyn oikeudesta saada pääsy henkilötietoihin rikosasioiden tietosuojadirektiivin 14 artiklan mukaisesti. Henkilötietolain 26 §:ää vastaavasti tästä oikeudesta käytettäisiin ehdotetussa laissa nimitystä tarkastusoikeus.
Pykälässä säädettäisiin, että rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitelläänkö häntä koskevia henkilötietoja. Säännös edellyttäisi tiedon antamista myös siinä tilanteessa, että henkilöä koskevia tietoja ei käsitellä. Rekisteröidyn tulisi tiedon saamiseksi esittää tiedon etsimiseksi tarpeelliset seikat, kuten esimerkiksi antaa asianmukainen selvitys henkilöllisyydestään Tarkastusoikeuden rajoituksista säädettäisiin ehdotetun lain 24 §:ssä.
Lisäksi mikäli rekisteröityä koskevia henkilötietoja käsitellään, olisi rekisteröidyllä oikeus saada rekisterinpitäjältä momentissa luetellut tiedot. Tieto olisi momentin 1 kohdan mukaan annettava käsiteltävistä henkilötiedoista ja kaikista tietojen alkuperästä käytettävissä olevista tiedoista, kuten siitä, onko tieto peräisin esimerkiksi rekisteröidyltä itseltään vai toiselta viranomaiselta.
Momentin 2 kohdan mukaan rekisteröidylle tulisi ilmoittaa henkilötietojen käsittelyn tarkoitukset ja oikeusperuste, kuten esimerkiksi lain säännös, johon henkilötietojen käsittely perustuu. Pykälän 3 kohdan mukaan rekisteröidylle tulisi antaa myös tieto käsittelyn kohteena olevista henkilötietoryhmistä.
Momentin 4 kohdan mukaan rekisteröidylle annettaviin tietoihin tulisi sisällyttää tieto niistä mahdollisista henkilötietojen vastaanottajista tai vastaanottajaryhmistä, joille hänen tietojaan on luovutettu, mukaan lukien kolmansiin maihin sijoittautuneet vastaanottajat sekä kansainväliset järjestöt.
Momentin 5 kohdan mukaan rekisteröidylle tulisi ilmoittaa myös henkilötietojen säilytysaika. Mikäli säilytysajan ilmoittaminen ei olisi mahdollista esimerkiksi siksi, että säilytysaikaa ei ole numeerisesti määritelty, tulisi selosteessa ilmoittaa toissijaisesti säilytysajan määrittämiskriteerit.
Rekisterinpitäjän tulisi antaa myös tiedot rekisteröidyn oikeuksien käyttämisestä. Momentin 6 ja 7 kohdan mukaisesti tieto tulisi antaa rekisteröidyn oikeudesta vaatia rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista sekä oikeudesta tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle ja valtuutetun yhteystiedot.
Pykälän 2 momentissa säädettäisiin 1 momenttiin liittyvästä menettelytavasta. Asiasta säädetään voimassa olevan henkilötietolain 28 §:n 1 momentissa. Säännöksen mukaisesti sen, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, olisi esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Säännös olisi teknologianeutraali, eli se mahdollistaisi tarkastusoikeuden toteuttamisen esimerkiksi sähköisen käyttöliittymän kautta, mikäli se on mahdollista toteuttaa ehdotettujen edellytysten mukaisesti. Tarkastuspyyntö tulisi nykytilaa vastaten esittää aina ensin asianomaiselle rekisterinpitäjälle, jollei laissa toisin säädettäisi. Esimerkiksi sellaisten rekistereiden osalta, joihin rekisteröidyllä ei lainkaan ole tarkastusoikeutta, voisi rekisteröity olla suoraan yhteydessä tietosuojavaltuutettuun.
24 §.Tarkastusoikeuden rajoitukset. Pykälässä säädettäisiin 23 §:ssä säädetyn tarkastusoikeuden rajoituksista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 15 artiklan 1, 3 ja 4 kohtaan. Mainitun artiklan mukaan jäsenvaltiot voivat lailla rajoittaa joko kokonaan tai osittain rekisteröidyn tarkastusoikeuden käyttämistä siltä osin ja niin pitkäksi aikaa kuin osittainen tai täydellinen rajoittaminen on välttämätön ja oikeasuhteinen toimenpide demokraattisessa yhteiskunnassa. Tarkastusoikeuden rajoittaminen on nykyäänkin mahdollista henkilötietolain 27 §:n nojalla. Mainitun pykälän 1 momentin 1 kohdan mukaan tarkastusoikeutta ei ole, jos tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Tältä osin oikeustila ei siten merkittävästi muuttuisi.
Pykälän 1 momentin mukaan rekisteröidyn tarkastusoikeutta voitaisiin kokonaan tai osittain lykätä tai rajoittaa tai se voitaisiin evätä siltä osin kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla. Tarkastusoikeutta voisi olla tarpeen lykätä esimerkiksi silloin kun asianosaista on kuultu, mutta esitutkinta ei ole vielä päättynyt. Momentissa säädettäisiin, että jos rekisteröidyn tarkastusoikeutta lykätään, rajoitetaan tai se evätään, rekisterinpitäjän olisi ilman aiheetonta viivytystä ilmoitettava tästä rekisteröidylle. Rekisteröidylle tulisi voimassa olevan henkilötietolain tapaan antaa asiasta kirjallinen todistus. Myös lykkäämisen, rajoittamisen tai epäämisen perustelut tulisi tässä yhteydessä momentin mukaan ilmoittaa, jollei niiden ilmoittaminen vaaranna epäämisen tai rajoittamisen tarkoitusta. Edelleenkin mahdollista olisi erityislainsäädännössä säätää rekisterikohtaisista tarkastusoikeuden rajoituksista tilanteissa, joissa rajoitus on direktiivissä edellytetyllä tavalla välttämätön ja oikeasuhteinen demokraattisessa yhteiskunnassa, ottaen asianmukaisesti huomioon kyseisen luonnollisen henkilön perusoikeudet ja oikeutetut edut.
Tarkastusoikeuden epäämisenä pidettäisiin momentin mukaan sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rikosasioiden tietosuojadirektiiviin ei sisälly vastaavaa säännöstä, eli kyse olisi kansallisesta sääntelystä. Vastaava säännös sisältyy kuitenkin henkilötietolain 28 §:n 2 momenttiin. Mikäli rekisteröity ei saisi tietoja kolmen kuukauden kuluessa, hän voisi kääntyä asiassa tietosuojavaltuutetun puoleen.
Pykälän 2 momentin mukaan rekisterinpitäjän tulisi rajoittaessaan rekisteröidyn tarkastusoikeutta ilmoittaa rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle tarkastusoikeuden lykkäämisen, rajoittamisen tai epäämisen johdosta sekä oikeudesta käyttää tarkastusoikeutta 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.
Pykälän 3 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta säilyttää tieto niistä perusteista, joihin tarkastusoikeuden epääminen tai rajoittaminen perustuu. Näiden tietojen tulisi olla pyynnöstä valvontaviranomaisen saatavilla. Tietojen dokumentoinnilla voitaisiin tarvittaessa jälkikäteen varmistaa, ovatko perusteet tarkastusoikeuden rajoittamiselle olleet käsillä.
25 §.Henkilötietojen oikaiseminen, poistaminen ja käsittelyn rajoittaminen. Pykälässä säädettäisiin henkilötietojen oikaisemisesta ja poistamisesta sekä käsittelyn rajoittamisesta siten kuin rikosasioiden tietosuojadirektiivin 16 artiklan 1—3 kohdassa edellytetään.
Pykälän 1 momentin mukaan rekisterinpitäjän olisi oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn kannalta virheellinen tai puutteellinen henkilötieto. Rekisteröity voisi saattaa oikaisu- tai täydentämisvaatimuksen vireille hallintolain yleisiä vireillepanosäännöksiä noudattaen. Rekisteröity voisi toimittaa lisäselvitystä, joiden nojalla puutteellista henkilötietoa voitaisiin täydentää. Jos tieto on käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen, olisi se oikaistava tai täydennettävä. Esimerkiksi tilanteessa, jossa tieto pohjautuu todistajan kertomukseen, ei tietoa tulisi pitää käsittelyn tarkoituksen kannalta virheellisenä, vaikka myöhemmin tiedot osoittautuisivat valheellisessa tarkoituksessa esitetyiksi. Momentissa tarkoitettua menettelyä ei ole myöskään tarkoitettu sovellettavaksi esimerkiksi tilanteeseen, jossa rekisteröity haluaa muuttaa kuulustelupöytäkirjaan merkittyjä tietoja, vaan tällöin sovellettaisiin esitutkintalain säännöksiä.
Pykälän 2 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä poistaa rekisteröityä koskevat henkilötiedot, jos niiden käsittely on vastoin 4 tai 5 §:ssä, 6 §:n 1 tai 2 momentissa taikka 7 tai 11 §:ssä säädettyä. Kyse olisi tällöin tilanteesta, jossa henkilötietojen käsittelyn jatkaminen rikkoisi jotakin mainituista lainkohdista. Direktiivin 16 artiklan 2 kohdan mainintaa siitä, että tiedot tulee poistaa rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ei ole tarpeen sisällyttää momenttiin, koska velvollisuus poistaa tiedot perustuu tällöin suoraan kyseiseen sääntelyyn.
Poistamisen sijasta rekisterinpitäjän olisi momentin mukaan kuitenkin ainoastaan rajoitettava käsittelyä, jos rekisteröity kiistää tietojen paikkansapitävyyden eikä tietojen paikkansapitävyyttä tai virheellisyyttä voida todentaa (momentin 1 kohta) taikka jos henkilötiedot on säilytettävä todistelua varten (momentin 2 kohta). Virheellisiä ja sittemmin korjattuja henkilötietoja voi olla tarve säilyttää myöhempää todistelua varten tai esimerkiksi virkavirheen mahdollista todentamista varten. Käytännössä usein voi esiintyä tilanteita, joissa joko rekisteröidyn tai viranomaisen perustellut oikeudet edellyttävät, että virheellinen tieto säilytetään korjatun tiedon lisäksi.
Pykälän 3 momentissa säädettäisiin, että tilanteissa, joissa käsittelyä on rajoitettu 2 momentin 1 kohdan nojalla, olisi rekisterinpitäjän ennen rajoituksen poistamista ilmoitettava siitä rekisteröidylle.
26 §.Rekisteröidyn vaatimuksen epääminen. Pykälässä säädettäisiin rekisteröidyn 25 §:n mukaisesti tekemän vaatimuksen epäämiseen liittyvistä menettelytavoista siten kuin rikosasioiden tietosuojadirektiivin 16 artiklan 4 kohdassa edellytetään.
Pykälän 1 momentin mukaan tilanteissa, joissa rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta, sen tulisi ilmoittaa rekisteröidylle kieltäytymisestä ja sen perusteista. Rekisterinpitäjän tulisi antaa asiasta kirjallinen todistus. Tiedot kieltäytymisen syistä voitaisiin momentin mukaan kuitenkin kokonaan tai osittain jättää antamatta, mikäli se on välttämätöntä 28 §:ssä mainituilla perusteilla.
Pykälän 2 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle kieltäytymisen johdosta sekä oikeudesta käyttää 25 §:ssä tarkoitettuja oikeuksia 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.
27 §.Rekisterinpitäjän velvollisuus ilmoittaa oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 16 artiklan 5 ja 6 kohta.
Pykälän 1 momentin mukaan rekisterinpitäjän olisi ilmoitettava virheellisten henkilötietojen oikaisemisesta sille viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin. Näin myös tiedot alun perin luovuttanut viranomainen voi tarvittaessa oma-aloitteisesti oikaista sillä olevat virheelliset henkilötiedot.
Pykälän 2 momentissa säädettäisiin, että mikäli henkilötietoja on oikaistu tai poistettu taikka niiden käsittelyä on rajoitettu, tulisi rekisterinpitäjän ilmoittaa tästä niille vastaanottajille, joille rekisterinpitäjä on luovuttanut kyseiset tiedot. Momentissa tarkoitettuihin luovutuksiin sisältyisivät myös mahdolliset henkilötietojen luovutukset kolmansiin maihin. Tiedot saaneen vastaanottajan tulisi omassa toiminnassaan asianmukaisesti huomioida rekisterinpitäjän ilmoittamat henkilötietoihin kohdistuneet toimenpiteet sekä niiden käsittelyyn kohdistuvat rajoitukset, ja esimerkiksi oikaista sillä oleva virheellinen henkilötieto.
28 §.Rekisteröidyn oikeuksien rajoittaminen. Pykälässä säädettäisiin niistä edellytyksistä, joiden täyttyessä eräistä käsillä olevassa luvussa säädetyistä rekisteröidyn oikeuksista voidaan poiketa. Rekisteröidyn oikeuksia voidaan rajoittaa 22 §:n 2 momentissa, 24 §:n 1 momentissa, 26 §:n 1 momentissa ja 35 §:ssä tarkoitetulla tavalla, jos se on rekisteröidyn oikeudet huomioon ottaen oikeasuhtaista ja välttämätöntä ja mikäli jokin pykälässä luetelluista tilanteista on käsillä. Oikeuksien rajoittaminen edellyttäisi siten tapauskohtaista punnintaa, ja esimerkiksi rajoitustoimenpiteeksi tulisi valita sellainen rajoituksen tarkoituksen kannalta tehokas toimenpide, joka rajoittaa rekisteröidyn oikeuksia mahdollisimman vähän.
Pykälän 1 kohdan mukaan oikeuksien rajoittaminen olisi sallittua tilanteessa, joissa rajoittamisella vältetään tuottamasta haittaa rikosten ennalta estämiselle, paljastamiselle, tutkimiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle. Kyse voisi olla esimerkiksi tilanteesta, jossa henkilötietojen käsittelyn rajoittamatta jättäminen vaarantaisi rikostutkinnan toteutumisen.
Pykälän 2 kohdan mukaan rajoittaminen olisi sallittua, jos se on tarpeen viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi. Kyse voisi olla esimerkiksi veroviranomaisen tai muun viranomaisen valvontamenettelyn turvaamisesta. Kyse voisi olla myös esimerkiksi toisen EU-maan toimivaltaisen viranomaisen valvontamenettelyn turvaamisesta.
Pykälän 3—5 kohdan mukaan rajoittaminen voisi tulla kyseeseen myös yleisen turvallisuuden, kansallisen turvallisuuden tai muiden henkilöiden oikeuksien suojelemiseksi. Rekisteröidyn oikeuksien rajoittaminen edellyttäisi myös näiden perusteiden osalta välttämättömyys- ja oikeasuhtaisuusperiaatteiden noudattamista.
29 §.Oikeuksien käyttäminen tietosuojavaltuutetun välityksellä. Pykälässä säädettäisiin rekisteröidyn oikeudesta käyttää eräitä oikeuksiaan tietosuojavaltuutetun välityksellä. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 17 artiklan 1 ja 3 kohta.
Pykälän 1 momentissa säädettäisiin rekisteröidyn välillisestä tarkastusoikeudesta. Momentin mukaan rekisteröidyllä olisi oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos rekisteröidyn tarkastusoikeutta on tämän tai muun lain nojalla lykätty, rajoitettu tai evätty, taikka jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai rajoittamisesta. Rekisteröity voisi käyttää näitä oikeuksiaan kuitenkin vasta sen jälkeen, kun rekisteröity on yrittänyt käyttää oikeuksiaan itse suhteessa rekisterinpitäjään, mutta rekisterinpitäjä on rajoittanut rekisteröidyn oikeuksien käyttöä joko kokonaan tai osittain. Kuitenkin tilanteissa, joissa rekisteröidyn tarkastusoikeutta on rajoitettu suoraan laissa, tulisi välillisen tarkastusoikeuden käyttö kyseeseen välittömästi, eli rekisteröity voisi lähestyä rekisterinpitäjän sijaan suoraan tietosuojavaltuutettua.
Pykälän 2 momentin mukaan tilanteissa, joissa tietosuojavaltuutettu toimii rekisteröidyn puolesta 1 momentissa tarkoitetussa tavalla, sen olisi ilmoitettava rekisteröidylle toimenpiteistä, joihin se on ryhtynyt asian johdosta. Tietosuojavaltuutetun olisi myös ilmoitettava rekisteröidylle hänen oikeudestaan tehdä tietosuojavaltuutetulle 56 §:ssä tarkoitettu toimenpidepyyntö.
30 §.Rekisteröidyn oikeuksien käytön edistäminen ja toimenpiteiden maksuttomuus. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 12 artikla. Osittain mainitun artiklan vaatimukset tulisivat täytettyä yleisillä hallinto-oikeudellisilla säännöillä. Esimerkiksi hallintolain 23 §:ssä säädetään käsittelyn viivytyksettömyydestä. Pykälän mukaan asia on käsiteltävä ilman aiheetonta viivytystä ja viranomaisen on esitettävä asianosaiselle tämän pyynnöstä arvio päätöksen antamisajankohdasta sekä vastattava käsittelyn etenemistä koskeviin tiedusteluihin.
Pykälän 1 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta edistää rekisteröityjen mahdollisuuksia käyttää puheena olevassa luvussa tarkoitettuja rekisteröidyn oikeuksia. Kyseiset oikeudet koskevat muun muassa tarkastusoikeutta ja oikeutta vaatia tietojen oikaisemista. Kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot olisi lisäksi annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedot olisi toimitettava millä tahansa asianmukaisella tavalla, kuten sähköisesti. Rekisterinpitäjän olisi pääsääntöisesti toimitettava tiedot samassa muodossa kuin pyyntö. Myös rekisterinpitäjän verkkosivustolla olevien tietojen olisi oltava helposti saatavilla ja ymmärrettävissä, mikä edellyttää selkeän ja yksinkertaisen kielen käyttöä. Tietojen ymmärrettävyys edellyttää myös kohderyhmän moninaisuuden huomioon ottamista tietoja annettaessa
Pykälän 2 momentin mukaan rekisteröidylle annettavien ilmoitusten ja tietojen sekä rekisteröidyn lain mukaisesti tekemien pyyntöjen käsitteleminen olisivat rekisteröidylle lähtökohtaisesti maksuttomia. Jos rekisteröidyn pyynnöt olisivat pyyntöjen toistuvuudesta tai muusta syystä kuitenkin ilmeisen kohtuuttomia tai perusteettomia, rekisterinpitäjä voisi periä toimenpiteistä maksun siten kuin valtion maksuperustelaissa (150/1992) säädetään. Mainitussa laissa säädetään valtion viranomaisten suoritteiden maksullisuuden ja suoritteista perittävien maksujen suuruuden yleisistä perusteista sekä maksujen muista perusteista.
Henkilötietolain 26 §:n nykyisessä 3 momentissa säädetään, että rekisterinpitäjä saa periä tietojen antamisesta korvauksen, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Tätä useammin rekisterinpitäjälle osoitetut tarkastusoikeutta koskevat pyynnöt eivät kuitenkaan välttämättä aina ole kohtuuttomia. Kuitenkin esimerkiksi samansisältöisten pyyntöjen toimittamista monta kertaa lyhyen ajan sisällä voitaisiin lähtökohtaisesti pitää kohtuuttomana, jolloin toimenpiteistä voitaisiin periä maksu.
Pykälän 3 momentissa säädettäisiin, että jos rekisterinpitäjä 2 momentin nojalla perii maksun, sen on tarvittaessa voitava osoittaa pyynnön ilmeinen perusteettomuus tai kohtuuttomuus. Näin ollen rekisterinpitäjän tulisi käytännössä dokumentoida selvitys siitä, minkä vuoksi toimenpiteestä on peritty maksu.
5 luku Tietoturvallisuus
31 §.Henkilötietojen suojaaminen. Pykälässä säädettäisiin yleisestä henkilötietojen suojaamisvelvoitteesta. Velvollisuus koskisi niin rekisterinpitäjää kuin henkilötietojen käsittelijääkin. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan f alakohtaan sekä 29 artiklan 1 kohtaan. Tietojen suojaamista koskeva säännös sisältyy nykyisin henkilötietolain 32 §:ään.
Pykälässä säädettäisiin, että rekisterinpitäjän ja henkilötietojen käsittelijän on teknisin ja organisatorisin toimenpitein huolehdittava henkilötietojen riittävästä suojaamisesta varmistaakseen rekisteröidyn oikeuksiin kohdistuvaa riskiä vastaava tietoturvallisuuden taso. Henkilötiedot olisi erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Rekisterinpitäjän olisi nykytilaa vastaavasti esimerkiksi määriteltävä tietojen käyttöoikeudet ja otettava käyttöön salasanajärjestelmät ja muut asianmukaiset turvajärjestelyt, jotta varmistetaan, että tietoja pääsevät käsittelemään vain ne henkilöt, joilla on siihen oikeus.
Pykälässä tarkoitettuja toimenpiteitä suunniteltaessa, arvioitaessa ja toteutettaessa tulisi asianmukaisesti ottaa huomioon uusin tekniikka, toimenpiteiden toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit.
Suojauksen vaatimustasoa arvioitaessa voitaisiin siten yhtäältä ottaa huomioon suojaukseen käytettävissä olevat tekniset keinot ja niiden aiheuttamat kustannukset. Toisaalta vaadittavaan tietoturvallisuuden tasoon vaikuttaisi myös se, minkälaisia henkilötietoja ja missä laajuudessa niitä käsitellään. Esimerkiksi erityisiin henkilötietoryhmiin kuuluvien tietojen suojaamiseen ja tietoturvalliseen käsittelyyn olisi kiinnitettävä erityisen paljon huomiota ja niiden osalta kattavammat suojatoimet ovat pääsääntöisesti perusteltuja. Vaikka henkilötietoja käsiteltäisiinkin muissa kuin automatisoiduissa käsittelyjärjestelmissä, olisi rekisterinpitäjällä ja mahdollisella henkilötietojen käsittelijällä oltava käytössään tehokkaat menetelmät, kuten lokitiedot ja muunlainen dokumentaatio, jolla voidaan osoittaa käsittelyn laillisuus, ja jolla mahdollistetaan omaehtoinen valvonta sekä varmistetaan tietojen eheys ja tietoturva.
32 §.Henkilötietojen suojaaminen automatisoidussa käsittelyssä. Pykälässä säädettäisiin erityisistä suojaamisvaatimuksista tilanteissa, joissa henkilötietoja käsitellään automatisoidun tietojen käsittelyn avulla. Säännöksillä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 29 artiklan 2 kohta.
Automatisoidun käsittelyn osalta rekisterinpitäjän tai henkilötietojen käsittelijän tulisi, sen lisäksi mitä 31 §:ssä säädetään, toteuttaa riskien arvioinnin pohjalta asianmukaiset toimenpiteet henkilötietojen suojaamiseksi. Automatisoidussa käsittelyssä esimerkiksi henkilötietojen käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä siten, että siitä käy selvästi ilmi, että henkilötietojen käsittely on rajoitettua.
Pykälässä tarkoitettujen toimenpiteiden tarkoituksena on evätä asiattomilta pääsy käsittelyssä käytettäviin laitteisiin, estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen ja poistaminen sekä estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen. Lisäksi tällaisilla toimenpiteillä tulisi estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla ja varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet tulisi määrittää tarpeellisuusharkinnan perusteella. Käyttöoikeuksia tulisi myöntää siten ainoastaan siinä laajuudessa kuin henkilö tarvitsee tiettyjä henkilötietoja tehtäviensä suorittamisessa. Käyttöoikeuksien tulisi olla henkilökohtaisia.
Pykälässä tarkoitetuilla suojatoimenpiteillä olisi lisäksi tarkoitus varmistaa, että jälkikäteisestikin on mahdollista tarkastaa ja todeta, minne henkilötietoja on siirretty tai asetettu saataville. Lisäksi niillä tulisi pyrkiä varmistamaan, että jälkikäteen on mahdollista tarkistaa ja todeta, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka niitä on syöttänyt.
Ehdotetun sääntelyn mukaan asianmukaisin toimenpitein tulisi myös pyrkiä estämään henkilötietojen oikeudeton lukeminen, jäljentäminen, muuttaminen ja poistaminen tietoja siirrettäessä tai tietovälineitä kuljetettaessa. Rekisterinpitäjän ja henkilötietojen käsittelijän tulisi lisäksi varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen ja että järjestelmän toimintahäiriö ei vahingoita tallennettuja henkilötietoja.
33 §.Henkilötietojen käsittelijän velvollisuus ilmoittaa tietoturvaloukkauksesta. Pykälässä säädettäisiin henkilötietojen käsittelijän velvollisuudesta ilmoittaa sen havaitsemasta tai sen tietoon tulleesta tietoturvaloukkauksesta. Pykälän mukaan käsittelijän olisi tällaisessa tilanteessa ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle. Lain 3 §:n 1 momentin 9 kohtaan otettavaksi ehdotetun määritelmän mukaan henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvallisuuden loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin. Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 30 artiklan 2 kohtaan.
34 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetulle. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 30 artiklan 1, 2 ja 5 kohta.
Pykälän 1 momentissa edellytettäisiin, että rekisterinpitäjä ilmoittaa henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle, paitsi jos loukkauksesta ei todennäköisesti aiheudu vaaraa rekisteröidyn oikeuksille. Sellaisella henkilötietojen pseudonymisoinnilla ja muilla tekniikoilla, joita käyttämällä tietoja ei enää voida yhdistää tiettyyn rekisteröityyn, voidaan vähentää mahdollisesta tietoturvaloukkauksesta rekisteröidylle aiheutuvan vaaran todennäköisyyttä.
Rekisterinpitäjän olisi pykälän 2 momentin mukaisesti tehtävä 1 momentissa tarkoitettu ilmoitus ilman aiheetonta viivytystä ja joka tapauksessa 72 tunnin kuluessa siitä, kun se sai tietoturvaloukkauksen tietoonsa, jos se on mahdollista. Jos ilmoitus tehdään tätä ajankohtaa myöhemmin, ilmoituksessa olisi kerrottava viivytyksen syyt ja perustelut.
Pykälän 3 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta säilyttää tiedot tietoturvaloukkauksista ja niihin liittyvistä seikoista, kuten niiden vaikutuksista ja toteutetuista korjaavista toimenpiteistä ja ilmoituksista.
35 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta rekisteröidylle. Pykälässä säädettäisiin velvollisuudesta informoida rekisteröityä tapahtuneesta tietoturvaloukkauksesta sen mukaan kuin rikosasioiden tietosuojadirektiivin 31 artiklan 1, 3 ja 5 kohdassa edellytetään.
Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän tulisi ilman aiheetonta viivytystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidylle, mikäli tietoturvaloukkaus todennäköisesti aiheuttaa merkittävän riskin kyseisen rekisteröidyn oikeuksille. Tällaisen riskin todennäköisyyttä arvioitaessa olisi syytä ottaa huomioon muun muassa tietoturvaloukkauksen kohteena olevien henkilötietojen laji, kohteena olevien rekisteröityjen ryhmä sekä loukkauksen kohteena olleiden tietojen laajuus.
Ilmoittamisvelvollisuutta ei kuitenkaan olisi, jos loukkauksen kohteena oleviin henkilötietoihin on sovellettu sellaisia asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä, joiden voidaan arvioida estävän tehokkaasti tietojen väärinkäyttöä. Ilmoittamisvelvollisuutta ei myöskään ole, jos rekisterinpitäjä on loukkauksen jälkeen ryhtynyt toimenpiteisiin sen varmistamiseksi, ettei rekisteröidyn oikeuksiin kohdistuva riski todennäköisesti toteudu. Tällaisesta tilanteesta voi olla kyse esimerkiksi siinä tapauksessa, että tietoturvaloukkauksen yhteydessä muutetut henkilötiedot on saatu palautettua alkuperäisiksi, ja on varmistettu, ettei muutettuja tietoja tällä välin ole luovutettu tai muutoin käsitelty.
Rekisterinpitäjä voisi pykälän 2 momentin mukaan rekisteröidylle tehtävän ilmoituksen sijaan tiedottaa tietoturvaloukkauksesta julkisella ilmoituksella, jos ilmoituksen tekeminen rekisteröidyille vaatisi kohtuutonta vaivaa. Henkilökohtainen ilmoittaminen jokaiselle rekisteröidylle erikseen saattaisi olla kohtuutonta esimerkiksi, kun tietoturvaloukkaus on kohdistunut poikkeuksellisen laajaan rekisteröityjen joukkoon tai kun rekisteröityjen yhteystiedot eivät ole rekisterinpitäjän tiedossa. Julkinen ilmoitus voitaisiin tehdä vapaamuotoisella tavalla, mutta valitun tavan tulisi tehokkaalla tavalla tavoittaa rekisteröidyt. Tapauskohtaisesti vaatimuksen julkisesta ilmoituksesta saattaa täyttää esimerkiksi näkyvä ilmoitus rekisterinpitäjän verkkosivujen etusivulla.
Pykälän 3 momentin mukaan rekisteröidylle ilmoittamista voitaisiin kuitenkin lykätä tai rajoittaa tai se voitaisiin poikkeuksellisesti jättää kokonaan tekemättä, jos 28 §:ssä säädetyt edellytykset täyttyvät. Koska kyseessä olisi rajoitus rekisteröidyn oikeuksiin, tulisi poikkeusta tulkita tiukasti.
36 §.Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle. Pykälän mukaan rekisterinpitäjän olisi ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta sellaiselle Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle, jonka toimittamiin tai jolle toimitettuihin tietoihin loukkaus kohdistuu. Tällaiselle toiselle rekisterinpitäjälle olisi ehdotetun säännöksen mukaan aina ilmoitettava tietoturvaloukkauksesta riippumatta siitä, aiheutuuko loukkauksesta todennäköisesti vaaraa rekisteröidyn oikeuksille vai ei. Näin myös toinen rekisterinpitäjä voisi tarvittaessa ryhtyä asianmukaisiin toimenpiteisiin loukkauksen johdosta,
Ehdotettu pykälä perustuu rikosasioiden tietosuojadirektiivin 30 artiklan 6 kohtaan. Mainittu artikla edellyttää säätämistä ainoastaan siitä, että loukkauksesta ilmoitetaan toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjällä. Ehdotetussa pykälässä kuitenkin ulotettaisiin ilmoittamisvelvollisuus koskemaan myös niitä kotimaisia rekisterinpitäjiä, joille annetuista tai joiden antamista tiedoista on kyse.
37 §.Tietoturvaloukkauksesta annettavan ilmoituksen sisältö. Pykälässä säädettäisiin tietoturvaloukkauksen johdosta annettavan ilmoituksen sisällöstä. Ilmoitukselle asetetut vähimmäisedellytykset riippuisivat siitä, kenelle ilmoitus tehdään. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 30 artiklan 3 ja 4 kohtaan sekä 31 artiklan 2 kohtaan. Direktiivin 31 artiklan 2 kohta pantaisiin kuitenkin osittain täytäntöön ehdotetun lain 30 §:n 1 momentilla, jonka mukaan kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot on annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.
Pykälän 1 momentissa säädettäisiin, että 34 ja 36 §:ssä tarkoitetussa tietosuojavaltuutetulle ja toiselle rekisterinpitäjälle annettavassa ilmoituksessa on kuvattava henkilötietojen tietoturvaloukkaus. Kuvaukseen olisi mahdollisuuksien mukaan sisällytettävä tiedot asianomaisten rekisteröityjen ryhmistä, rekisteröityjen arvioidusta lukumäärästä, henkilötietotyyppien ryhmistä ja henkilötietojen arvioidusta lukumäärästä.
Ehdotetussa 35 §:ssä tarkoitetussa rekisteröidylle annettavassa ilmoituksessa olisi pykälän 2 momentin mukaan kuvattava tietoturvaloukkauksen luonne. Ilmoituksesta olisi siten tyypillisesti käytävä ilmi muun muassa se, mitkä tiedot ovat joutuneet tietoturvaloukkauksen kohteeksi, ja onko loukkauksessa kyse esimerkiksi tietojen tuhoutumisesta vai oikeudettomasta pääsystä tietoihin.
Lisäksi pykälän 3 momentissa säädettäisiin, että 1 ja 2 momentissa tarkoitetuista ilmoituksista on käytävä ilmi tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa asiasta, sekä tietoturvaloukkauksen todennäköiset seuraukset. Ilmoituksessa tulisi myös kuvata ne toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut toteutettavaksi tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet loukkauksen haittavaikutusten lieventämiseksi.
Pykälän 4 momentin mukaan tietosuojavaltuutetulle ja toiselle rekisterinpitäjälle annettavat tiedot voitaisiin toimittaa useammassa vaiheessa, mikäli tietoja ei kaikilta osin ole mahdollista toimittaa kerralla.
6 luku Tietosuojavastaava
38 §.Tietosuojavastaavan nimeäminen. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta nimetä tietosuojavastaava sen mukaan kuin rikosasioiden tietosuojadirektiivin 32 artiklassa edellytetään.
Pykälän 1 momentin mukaan rekisterinpitäjän tulisi nimetä organisaatiolleen tietosuojavastaava. Tietosuojavastaavalla tulisi olla riittävä asiantuntemus henkilötietojen käsittelyä koskevasta lainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa 40 §:ssä tarkoitetut tehtävät. Useaa toimivaltaista viranomaista varten voitaisiin nimetä yksi tietosuojavastaava, jos se on perusteltua viranomaisten organisaatiorakenne ja koko huomioon ottaen. Yhteisen tietosuojavastaavan nimeämisessä tulisi ottaa huomioon, että tietosuojavastaavalla tulee olla tosiasiallinen mahdollisuus hoitaa tehtävänsä tehokkaasti kaikkien toimivaltaisten viranomaisten osalta.
Tietosuojavastaava voisi olla esimerkiksi sellainen rekisterinpitäjän palveluksessa oleva henkilö, joka on saanut tietosuojaoikeutta ja alan käytänteitä koskevaa koulutusta tarvittavan asiantuntemuksen saamiseksi. Riittävän erityisasiantuntemuksen ja momentissa tarkoitetun valmiuksien tason voidaan katsoa määräytyvän etenkin rekisterinpitäjän toiminnan luonteen ja sen suorittaman tietojenkäsittelyn sekä käsiteltävien tietojen edellyttämän suojan perusteella. Tietosuojavastaava voisi olla myös rekisterinpitäjään nähden ulkopuolinen henkilö, joka hoitaa tietosuojavastaavan tehtäviä toimeksiantosopimuksen perusteella. Tietosuojavastaava voisi suorittaa tehtäviään osa-aikaisesti tai kokoaikaisesti. Sama henkilö voisi toimia sekä ehdotetussa laissa että yleisessä tietosuoja-asetuksessa tarkoitettuna tietosuojavastaavana sillä edellytyksellä, että kummassakin säädöksessä asetetut vaatimukset tulevat täytetyksi.
Pykälän 2 momentissa edellytettäisiin, että rekisterinpitäjä ilmoittaa tietosuojavastaavan yhteystiedot ja niissä tapahtuvista mahdollisista muutoksista tietosuojavaltuutetulle.
39 §.Tietosuojavastaavan asema. Pykälässä säädettäisiin tietosuojavastaavan asemasta ja se perustuisi rikosasioiden tietosuojadirektiivin 33 artiklaan.
Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjän on otettava tietosuojavastaava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn. Esimerkiksi suunniteltaessa uusia tietojärjestelmähankintoja tulisi tietosuojavastaavalle varata asianmukaisesti mahdollisuus osallistua hankinnan suunnitteluun. Tietosuojavastaava ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta.
Pykälän 2 momentin mukaan rekisterinpitäjän olisi turvattava tietosuojavastaavan toimintaedellytykset tälle 40 §:ssä säädettyjen tehtävien hoitamiseksi sekä annettava pääsy henkilötietoihin ja käsittelytoimiin. Riittävien resurssien määrittelyssä tulisi ottaa huomioon myös esimerkiksi se, että tietosuojavastaava saa riittävät resurssit asiantuntemuksensa ylläpitämiseksi.
40 §.Tietosuojavastaavan tehtävät. Pykälässä säädettäisiin tietosuojavastaavan tehtävistä rikosasioiden tietosuojadirektiivin 32 artiklan 1 momentin ja 34 artiklan mukaisesti.
Tietosuojavastaavan tehtävänä olisi pykälän 1 momentin 1 kohdan mukaan ensinnäkin neuvoa rekisterinpitäjää ja henkilötietoja sen palveluksessa käsitteleviä henkilötietojen suojaa koskevissa asioissa. Momentin 2 kohdan mukaan tietosuojavastaava myös valvoisi henkilötietojen käsittelyä koskevan sääntelyn ja rekisterinpitäjän henkilötietojen käsittelyyn liittyvien menettelytapojen noudattamista. Näihin tehtäviin kuuluisivat esimerkiksi henkilötietojen käsittelyyn liittyvän vastuunjaon noudattamisen valvonta, tietoisuuden lisääminen tietosuoja-asioista ja henkilötietojen käsittelyyn osallistuvan henkilöstön koulutus sekä käsittelyyn liittyvät tarkastukset.
Tietosuojavastaavan tulisi momentin 3 kohdan mukaan pyydettäessä antaa neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa, että se toteutetaan 20 §:n mukaisesti. Lisäksi tietosuojavastaavan tehtävänä olisi momentin 4 kohdan mukaan tehdä yhteistyötä tietosuojavaltuutetun kanssa ja toimia sen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Näihin kysymyksiin kuuluisivat muun muassa 21 §:ssä tarkoitettu tietosuojavaltuutetun ennakkokuuleminen ja tarvittaessa kuuleminen muista mahdollisista kysymyksistä.
Pykälän 2 momentissa ehdotetaan säädettäväksi siitä, että tietosuojavastaavan tehtävät eivät ulotu tuomioistuinten lainkäyttötoimintaan eikä valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen laillisuusvalvontaan. Ehdotus perustuu rikosasioiden tietosuojadirektiivin 32 artiklan 1 kohtaan.
7 luku Henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille
41 §.Henkilötietojen siirtoja koskevat yleiset periaatteet. Pykälässä säädettäisiin henkilötietojen siirtoja kolmansiin maihin ja kansainvälisille järjestöille koskevista yleisistä periaatteista. Säännös perustuisi rikosasioiden tietosuojadirektiivin 35 artiklaan sekä 36 artiklan 1 kohtaan.
Henkilötietojen siirtämiseksi katsottaisiin nykytilaa vastaavasti kaikki tilanteet, joissa rekisterinpitäjä saattaa henkilötietoja kolmannessa maassa sijaitsevalle taholle tai kansainväliselle järjestölle. Siirtämiseksi katsottaisiin siten esimerkiksi henkilötietojen siirtäminen sähköpostitse tai muutoin sähköisesti, kuten katseluoikeuden avaaminen sähköisen yhteyden avulla sekä henkilötietojen tallentaminen pilvipalveluun. Varsinaisena luovuttamisena sen sijaan pidettäisiin puolestaan tilanteita, joissa rekisterinpitäjä luovuttaa henkilötiedot toiselle rekisterinpitäjälle, joka voi käsitellä niitä omiin käyttötarkoituksiinsa. Myös luovuttamista pidettäisiin nykytilaa vastaavasti henkilötietojen siirtämisenä.
Henkilötietojen ulkomaille siirtämistä koskevat säännökset koskisivat kaikkea henkilötietojen tosiasiallista siirtämistä ulkomaille. Säännökset kattaisivat siten sekä henkilötietojen varsinaisen luovuttamisen että niiden siirtämisen kolmansille maille esimerkiksi tietojenkäsittelyn ulkoistamisen seurauksena. Ehdotettujen säännösten sovellettavuuteen ei vaikuta siirrettävien tietojen määrä tai siirron kesto. Ainoastaan rekisterinpitäjinä toimiva toimivaltainen viranomainen voisi siirtää henkilötietoja, vaikkakin se voisi antaa henkilötietojen käsittelijälle tehtäväksi siirtää tiedot rekisterinpitäjän puolesta.
Pykälän 1 momentissa säädettäisiin, että toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos ehdotetussa laissa tarkoitettuun henkilötietojen käsittelyyn sovellettavia muita säännöksiä noudatetaan ja jos kaikki momentissa luetellut edellytykset täyttyvät. Momentissa tarkoitettuihin siirtoihin luettaisiin mukaan henkilötietojen siirrot edelleen toiseen kolmanteen maahan tai toiselle kansainväliselle järjestölle.
Momentin 1 kohdassa edellytettäisiin, että siirto on ensinnäkin tarpeen ehdotetun lain 1 §:n 1 momentissa mainittua tarkoitusta varten. Henkilötietoja tulisi siirtää kolmanteen maahan tai kansainväliselle järjestölle siten ainoastaan, jos se on tarpeen kyseisessä momentissa lueteltuja tarkoituksia varten, kuten esimerkiksi rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia varten.
Momentin 2 kohdassa ehdotetaan säädettäväksi, että jotta siirto olisi lainmukainen, tulisi henkilötiedot siirtää kolmannen maan rekisterinpitäjälle tai kansainväliselle järjestölle, joka on toimivaltainen käsittelemään henkilötietoja 1 §:n 1 momentissa mainitussa tarkoituksessa. Momentin 3 kohdassa edellytettäisiin lisäksi, että kolmannen maan, jonne henkilötiedot on tarkoitus siirtää, tietosuojan riittävyydestä on rikosasioiden tietosuojadirektiivin 36 artiklassa tarkoitettu Euroopan komission voimassaoleva päätös. Jollei tällaista komission voimassaolevaa päätöstä olisi, tulisi olla olemassa asianmukaiset suojatoimet ehdotetun 42 §:n mukaisesti. Jollei tällaisia asianmukaisia suojatoimiakaan ole toteutettu, saa henkilötietoja siirtää vain, jos 43 §:ssä säädetyt erityistilanteita koskevat poikkeukset tulevat sovellettaviksi.
Ehdotetun pykälän 2 momentin mukaan mikäli henkilötiedot on saatu toisesta EU:n jäsenvaltiosta, siirron edellytyksenä on lisäksi, että kyseinen jäsenvaltio on antanut siirrolle etukäteen luvan. Ilman tällaista lupaa tehtävä siirto olisi kuitenkin sallittu poikkeuksellisesti, jos siirto on välttämätön jonkin valtion yleiseen turvallisuuteen tai EU:n jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä lupaa voida saada ajoissa. Siirrosta olisi kuitenkin ilmoitettava viipymättä ennakkoluvan antamisesta vastaavalle viranomaiselle.
Pykälän 3 momentissa säädettäisiin, että jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen voisi antaa luvan edelleen siirtämiselle noudattaen, mitä 1 ja 2 momentissa säädetään ja ottaen asianmukaisesti huomioon rikoksen vakavuus, henkilötietojen alkuperäisen siirron tarkoitus ja henkilötietojen suojan taso siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen, sekä muut asian kannalta merkittävät seikat.
42 §.Siirto asianmukaisten suojatoimien perusteella. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 37 artikla. Pykälän 1 momentin mukaan mikäli komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä, henkilötietoja voisi kuitenkin eräissä tilanteissa siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos 41 §:ssä säädetyt muut edellytykset täyttyvät. Siirron edellytyksenä muiden edellytysten lisäksi olisi, että oikeudellisesti sitovassa asiakirjassa määrätään asianmukaisista henkilötietojen suojatoimista tai vaihtoehtoisesti, että rekisterinpitäjä kaikkia henkilötietojen siirtoon liittyviä seikkoja arvioituaan katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet.
Ehdotetussa 1 momentin 1 kohdassa tarkoitettuja oikeudellisesti sitovia asiakirjoja voisivat olla esimerkiksi oikeudellisesti sitovat kahdenväliset sopimukset, jotka on kansallisen lain mukaan pantu täytäntöön. Tällaisessa välineessä tulisi varmistaa tietosuojaa koskevien vaatimusten noudattaminen ja rekisteröityjen oikeuksien kunnioittaminen, mukaan lukien tehokkaiden oikeussuojakeinojen olemassaolo. Momentin 2 kohdassa tarkoitettujen asianmukaisten suojatoimien osalta rekisterinpitäjä voisi ottaa huomioon muun muassa sen, että henkilötietojen siirtoihin sovelletaan salassapitovelvollisuutta ja tietyn käsittelytarkoituksen periaatetta, jolla varmistetaan, ettei tietoja käsitellä muita kuin kunkin siirron nimenomaisia tarkoituksia varten. Lisäksi rekisterinpitäjän olisi otettava huomioon henkilötietojen käyttötarkoitus ja etenkin se, ettei tietoja käytetä esimerkiksi kuolemanrangaistuksen tai muun epäinhimillisen kohtelun määräämiseen.
Pykälän 2 momentissa säädettäisiin, että rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle 1 momentin 2 kohdan perusteella toteutettujen siirtojen sarjat. Tiedot kyseisistä siirroista olisi säilytettävä, jolloin ne voitaisiin pyynnöstä asettaa tietosuojavaltuutetun saataville. Tietoihin olisi sisällytettävä ainakin tiedot siirtojen päivämääristä ja ajankohdista, vastaanottaneesta toimivaltaisesta viranomaisesta, siirtojen perusteista sekä siirretyistä henkilötiedoista.
43 §.Erityistilanteita koskevat poikkeukset. Pykälässä säädettäisiin poikkeusperusteista, joiden nojalla henkilötietoja voitaisiin siirtää kolmanteen maahan tai kansainväliselle järjestölle silloin, kun komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä eikä 42 §:ssä edellytettyjä asianmukaisia suojatoimia tiedonsiirrolle ole. Siirto edellyttäisi sitä, että 41 §:ssä säädettäväksi ehdotetut yleiset tietojen siirtämistä koskeva edellytykset täyttyvät. Koska pykälään otettavissa edellytyksissä on kyse poikkeuksista tietojen siirtämistä koskeviin edellytyksiin, tulee edellytyksiä tulkita supistavasti. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 38 artiklaan.
Pykälän 1 momentin 1—3 kohdassa säädettäisiin, että tällöin siirto olisi mahdollinen vain, jos siirto on välttämätön rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi, rekisteröidyn oikeutettujen ja merkitykseltään painavien etujen turvaamiseksi taikka EU:n jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi. Elintärkeän edun suojaamisesta voisi olla kyse esimerkiksi niissä tilanteissa, joissa tiedon siirtäminen on tarpeen rekisteröidyn tain jonkin toisen henkilön hengen suojelemiseksi. Henkilötietojen siirto rekisteröidyn oikeutettujen etujen turvaamiseksi edellyttäisi, että rekisteröidyn etu on luonteeltaan painava. Tältä osin kyse olisi direktiivin sallimasta lisäedellytyksestä henkilötietojen siirtämiselle.
Lisäksi momentin 4 kohdan mukaan siirto olisi mahdollinen yksittäistapauksissa 1 §:n 1 momentissa mainittuja tarkoituksia varten tai niihin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. Sanamuotonsa mukaisesti 4 kohdassa tarkoitettu siirtoperuste voisi tulla kyseeseen vain yksittäistapauksessa, eikä säännöstä voitaisi käyttää oikeusperusteena silloin, kun kyse on esimerkiksi säännönmukaisesta tietojensiirrosta.
Pykälän 2 momentissa asetettaisiin kuitenkin velvollisuus suorittaa intressipunnintaa eri oikeuksien välillä ennen kuin henkilötietoja siirretään 1 momentin 4 kohdan perusteella. Henkilötietoja ei saa siirtää ehdotetun kohdan nojalla, jos asianomaisen rekisteröidyn oikeuksia on pidettävä siirtoa puoltavaa yleistä etua painavampana. Esimerkiksi jos rekisteröity todennäköisesti joutuisi tietojen siirron johdosta väkivallan uhan tai vainon kohteeksi, olisi perusteltua yleensä olla siirtämättä tällaisia tietoja.
Tiedot siirroista, jotka perustuvat ehdotettuun 1 momenttiin, olisi pykälän 3 momentin mukaan säilytettävä ja asetettava pyynnöstä tietosuojavaltuutetun saataville. Tällaisiin tietoihin tulisi sisältyä ainakin tiedot siirron päivämäärästä ja ajankohdasta sekä tiedot vastaanottaneesta toimivaltaisesta viranomaisesta, siirron perusteista ja siirretyistä henkilötiedoista.
44 §.Henkilötietojen siirto kolmansiin maihin yksityisille ja muille vastaanottajille. Pykälässä säädettäisiin henkilötietojen siirrosta kolmansiin maihin yksityisille ja muille vastaanottajille. Tällaiset vastaanottajat määritelmänsä mukaisesti ovat pääsääntöisesti muita kuin toimivaltaisiin viranomaisiin rinnastettavissa olevia viranomaisia. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 39 artiklaan. Mainitussa artiklassa annetaan mahdollisuus asiasta säätämiseen, mutta siinä ei kuitenkaan velvoiteta siihen.
Pykälän 1 momentissa säädettäisiin niistä edellytyksistä, joiden täyttyessä toimivaltainen viranomainen voi yksittäistapauksessa 41 §:n 1 momentin 2 kohdassa säädetyn estämättä siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille yksityisille ja muille vastaanottajille. Kaikkien momentissa lueteltujen edellytysten tulisi täyttyä samanaikaisesti. Pykälässä tarkoitetut siirrot tulisivat kyseeseen varsin poikkeuksellisesti ja yksittäistapauksissa.
Siirto olisi sallittu ensinnäkin vain silloin, kun se on 1 kohdan mukaisesti välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi suorittaa sille säädetyt 1 §:n 1 momentissa tarkoitetut tehtävät. Tietoja ei välttämättömyysedellytyksen vuoksi saisi siirtää, jos mainitut tehtävät voidaan hoitaa jollakin muulla, rekisteröidyn oikeuksiin vähemmän puuttuvalla, keinolla. Momentin 2 kohdan mukaan siirron edellytyksenä olisi myös se, että tietoja siirtävä toimivaltainen viranomainen asiaa arvioituaan toteaa johtopäätöksenään, että asianomaisen rekisteröidyn oikeudet eivät syrjäytä sitä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen. Siirtävän viranomaisen olisi siis suoritettava huolellinen intressipunninta tältä osin.
Edellytyksenä siirrolle momentin 3 kohdan mukaan olisi myös se, että tietoja siirtävä toimivaltainen viranomainen katsoo, että siirto kolmannen maan toimivaltaiselle viranomaiselle olisi asian kiireellisyydestä tai muusta syystä tehoton tai epätarkoituksenmukainen. Momentin 4 kohdassa kuitenkin edellytettäisiin, että tällaisen kolmannen maan toimivaltaiselle viranomaiselle ilmoitetaan tapahtuneesta siirrosta ilman aiheetonta viivästystä, jollei se olisi tehotonta tai epätarkoituksenmukaista.
Momentin 5 kohdan mukaan tietoja siirtävän toimivaltaisen viranomaisen olisi ilmoitettava vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa käsitellä henkilötietoja ja että tietoja saa käsitellä vain sillä edellytyksellä, että tällainen käsittely on välttämätöntä. Vastaanottajalle on ilmoitettava myös siitä, ettei tietoja saa käsitellä muita tarkoituksia varten.
Momentin 6 kohdassa edellytettäisiin, että siirto ei saa olla vastoin Suomen kansainvälisiä sopimusvelvoitteita.
Lisäksi siirrossa tulisi noudattaa ehdotetun lain muita säännöksiä.
Pykälän 2 momentissa asetettaisiin toimivaltaiselle viranomaiselle velvollisuus säilyttää tiedot 1 momentin nojalla tehdyistä siirrosta sekä ilmoittaa niistä tietosuojavaltuutetulle. Momentissa tarkoitettu ilmoitus olisi tehtävä ilman aiheetonta viivytystä.
8 luku Valvontaviranomainen
45 §.Tietosuojavaltuutettu. Pykälässä säädettäisiin kansallisesta valvontaviranomaisesta lain soveltamisalalla. Kansallinen valvontaviranomainen olisi Suomessa sama elin kuin yleisen tietosuoja-asetuksen ja ehdotetun tietosuojalain alalla, eli tietosuojavaltuutettu.
Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 41, 42 ja 45 artikla tarpeellisin osin. Suurin osa tietosuojavaltuutetun toimiston organisaatiota koskevista säännöksistä tulisivat säädetyksi ehdotetussa tietosuojalaissa. Esimerkiksi 42 artiklan 5 kohtaa ei ehdoteta tässä laissa täytäntöön pantavaksi, sillä ehdotetussa tietosuojalaissa säädettäisiin tietosuojavaltuutetun henkilöstöstä ja siitä, että tietosuojavaltuutettu valitsee valtuutetun toimiston henkilöstön.
Ehdotetun lain noudattamista valvoisi pykälän 1 momentin mukaan ehdotetun tietosuojalain 8 §:ssä tarkoitettu tietosuojavaltuutettu.
Pykälän 2 momentissa säädettäisiin, että ehdotetun lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen. Sääntely perustuu rikosasioiden tietosuojadirektiivin 45 artiklan 2 kohtaan. Sääntelyllä pyrittäisiin ennen kaikkea turvaamaan tuomioistuinten ja ylinten laillisuusvalvojien riippumattomuus niiden hoitaessa ehdotetun lain soveltamisalan piiriin kuuluvia tehtäviään.
Perustuslain 108 ja 109 §:ssä säädetyn mukaisesti oikeuskansleri ja oikeusasiamies valvovat tuomioistuinten toiminnan lainmukaisuutta. Ne valvovat siten myös sitä, että tuomioistuimet noudattavat kaikessa toiminnassaan henkilötietojen suojaa koskevaa lainsäädäntöä.
Pykälän 3 momentin mukaan tietosuojavaltuutettu on itsenäinen ja riippumaton hoitaessaan ehdotetussa laissa sille säädettyjä tehtäviä. Tämä tarkoittaisi muun muassa, että valvontaviranomaisen palveluksessa oleviin ei tulisi voida vaikuttaa ulkopuolelta suoraan eikä välillisesti näiden hoitaessa tehtäviään ja käyttäessä valtuuksiaan. Näiden ei myöskään tulisi ottaa tältä osin vastaan ohjeita miltään ulkopuoliselta taholta.
46 §.Tehtävät. Pykälässä säädettäisiin tietosuojavaltuutetun tehtävistä ehdotetun lain soveltamisalalla. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 46 artiklaan. Tietosuojavaltuutetun ehdotetun lain mukaiset tehtävät poikkeaisivat joiltain osin niistä tehtävistä, joita valtuutetulle on yleisen tietosuoja-asetuksen 59 artiklassa säädetty.
Pykälän 1 momentissa lueteltaisiin tietosuojavaltuutetun tehtävät. Niihin kuuluisi ehdotetun lain noudattamisen yleisen valvonnan lisäksi momentin 1 kohdan mukaan yleisen tietoisuuden lisääminen henkilötietojen käsittelyyn liittyvistä riskeistä, lainsäädännöstä, suojatoimista ja oikeuksista. Momentin 2 kohdan mukaan tietosuojavaltuutetun tulisi niin ikään edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta niille ehdotetun lain mukaan kuuluvista velvollisuuksista. Näitä tehtäviä voitaisiin täyttää esimerkiksi julkaisemalla ohjeistuksia ja kouluttamalla rekisterinpitäjiä.
Tietosuojavaltuutetun tehtäviin kuuluisi momentin 3 ja 4 kohdan mukaan tietojen antaminen pyynnöstä rekisteröidylle hänelle ehdotetun lain nojalla kuuluvien oikeuksien käyttämiseen liittyen sekä neuvonnan antaminen 21 §:ssä tarkoitetun ennakkokuulemismenettelyn yhteydessä. Tietosuojavaltuutetun tulisi momentin 5 kohdan mukaan tehdä selvityksiä ehdotetun lain noudattamisesta. Valtuutettu päättäisi itsenäisesti tarpeellisiksi katsomiensa selvitysten laatimisesta. Selvitys voisi esimerkiksi koskea jotakin tiettyä hallinnonalaa tai jotakin tietynlaista tietojenkäsittelytapaa. Tietosuojavaltuutettu tehtävänä olisi momentin 6 kohdan mukaan myös tarkistaa käsittelyn lainmukaisuus siten kuin 29 §:ssä säädetään.
Momentin 7 kohdan mukaan tietosuojavaltuutettu käsittelisi rekisteröidyn tai 56 §:ssä tarkoitetun yhteisön tekemät toimenpidepyynnöt. Valtuutetun tulisi ilmoittaa toimenpidepyynnön tekijälle tutkinnan etenemisestä ja tutkinnan tuloksista kohtuullisen ajan kuluessa sen mukaan kuin hallintolaissa säädetään. Tietosuojavaltuutetun olisi rikosasioiden tietosuojadirektiivin 46 artiklan 2 kohdan mukaisesti helpotettava tässä kohdassa tarkoitettujen toimenpidepyyntöjen tekemistä toimenpitein, kuten tarjoamalla yleisesti saatavilla oleva toimenpidepyyntölomake esimerkiksi verkkosivuillaan.
Momentin 8 kohdan mukaan valtuutetun tulisi seurata henkilötietojen suojaan vaikuttavaa teknologista ja muuta kehitystä.
Pykälän 2 momentissa säädettäisiin siitä, että tietosuojavaltuutettu osallistuu yleisellä tietosuoja-asetuksella perustetun tietosuojaneuvoston toimintaan. Rikosasioiden tietosuojadirektiivin 51 artiklassa luetellaan tietosuojaneuvoston tehtävät direktiivin soveltamisalalla. Neuvoston tehtävänä on muun muassa antaa suosituksia ja tuoda esille parhaita käytänteitä direktiivin soveltamisesta. Tietosuojavaltuutettu ei siten voisi viedä neuvostoon käsiteltäväksi asiaa, jossa on kyse direktiivin soveltamisalan ulkopuolelle jäävästä henkilötietojen käsittelystä eli 1 §:n 2 momentissa tarkoitetun toiminnan yhteydessä tapahtuvasta käsittelystä.
Pykälän 3 momentissa säädettäisiin, että tietosuojavaltuutetun toimenpiteet ovat rekisteröidylle ja tietosuojavastaavalle maksuttomia. Jos rekisteröidyn tai tietosuojavastaavan pyynnöt kuitenkin olisivat pyyntöjen toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, tietosuojavaltuutettu voisi periä toimenpiteistä maksun siten kuin valtion maksuperustelaissa säädetään tai jättää pyynnön kohteena olevan asian tutkimatta. Asian tutkimatta jättäminen voisi tulla kyseeseen varsin poikkeuksellisesti. Tällainen tilanne voisi olla käsillä esimerkiksi tilanteessa, jossa asia on jo vireillä tietosuojavaltuutetun toimistossa.
Pykälän 4 momentin mukaan tietosuojavaltuutetun olisi tarvittaessa voitava osoittaa pyynnön ilmeinen perusteettomuus tai kohtuuttomuus, jos se 3 momentissa tarkoitetulla tavalla perii toimenpiteestä maksun tai jättää asian tutkimatta.
47 §.Tiedonsaantioikeus. Pykälässä säädettäisiin tietosuojavaltuutetun tiedonsaantioikeudesta. Pykälällä pantaisiin täytäntöön sekä rikosasioiden tietosuojadirektiivin 26 artikla että 47 artiklan 1 kohta. Rikosasioiden tietosuojadirektiivissä edellytetään, että valvontaviranomaisella on tehokkaat tutkintavaltuudet. Näihin valtuuksiin on sisällyttävä ainakin valtuudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin käsiteltävänä oleviin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävien suorittamisessa.
Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot.
Pääpiirteissään vastaavanlainen säännös sisältyy henkilötietolain 39 §:n 1 momenttiin, jonka mukaan tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa.
Pykälän 2 momentissa säädettäisiin tietosuojavaltuutetun oikeudesta saada rekisterinpitäjältä ja henkilötietojen käsittelijältä selvitys seikoista, jotka ovat tarpeen tietosuojavaltuutetun tehtävien hoitamiseksi. Selvitystä voitaisiin pyytää esimerkiksi sellaisista valtuutetun tehtävien hoitamisen kannalta tarpeellisista seikoista, jotka selventävät valtuutetun tiedonsaantioikeutensa nojalla saamia tietoja tai joista valtuutetun on muutoin tarpeen saada selvitystä tehtäviensä hoitamiseksi. Rekisterinpitäjä ja henkilötietojen käsittelijä olisivat lisäksi muutoinkin pyynnöstä velvollisia tekemään yhteistyötä valtuutetun kanssa sen tehtävien suorittamiseksi.
48 §.Oikeus tehdä tarkastuksia. Pykälässä säädettäisiin tietosuojavaltuutetun oikeudesta tehdä tarkastuksia siten kuin rikosasioiden tietosuojadirektiivin 47 artiklan 1 ja 4 kohdassa edellytetään. Säännöksillä pyritään turvaamaan tietosuojavaltuutetun tehokkaat tutkintavaltuudet sekä näihin liittyvien oikeussuojatakeiden toteutuminen.
Pykälän 1 momentin mukaan tietosuojavaltuutettu voi tehdä tarkastuksen rekisterinpitäjän tai henkilötietojen käsittelijän tiloissa, jos tarkastus on tarpeen ehdotetun lain noudattamisen valvomiseksi.
Pykälän 2 momentissa säädettäisiin tarkastuksen toimittamista koskevasta lisäedellytyksestä, kun tarkastus kohdistuu pysyväisluonteiseen asumiseen käytettyyn tilaan. Tarkastuksen saisi tällöin toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena rikoslaissa säädetty rangaistus.
Pykälän 3 momenttiin ehdotetaan selvyyden vuoksi ottavaksi säännös siitä, että tarkastuksen yhteydessä on noudatettava hallintolain 39 §:ää. Hallintolain 39 §:ssä säädetään eräistä tarkastuksen toimittamista koskevista menettelyvaatimuksista.
49 §.Virka-apu. Pykälässä säädettäisiin tietosuojavaltuutetun oikeudesta saada poliisilta virka-apua tehtäviensä suorittamiseksi. Virka-apua annettaisiin valtuutetun tekemän pyynnön perusteella. Voimassa olevan tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 8 §:ssä on nykyisinkin vastaavat säännökset. Virka-apu voisi tulla kyseeseen esimerkiksi 48 §:ssä tarkoitetun tarkastuksen yhteydessä, jos tietosuojavaltuutettua estetään suorittamasta virkatehtäviään, taikka jos valtuutetun tehtävissä muutoin tarvitaan poliisin toimivaltuuksien käyttämistä.
50 §.Asiantuntijoiden käyttö. Pykälä sisältäisi säännökset tietosuojavaltuutetun oikeudesta käyttää ulkopuolisia asiantuntijoita. Henkilötietojen suoja koskee laaja-alaisesti yhteiskunnan eri osa-alueita. Erityisasiantuntemus, jota tietosuojavaltuutetun tehtävien hoitaminen edellyttää, voi joissakin tapauksissa edellyttää ulkopuolisen asiantuntija-avun käyttämistä. Ulkopuolista asiantuntijaa voitaisiin käyttää esimerkiksi tilanteessa, jossa tarvitaan erityistä salaustekniikoiden tai muiden kehittyneiden tietoturvallisuusmenetelmien tuntemusta. Rikosasioiden tietosuojadirektiivi ei nimenomaisesti edellytä, että jäsenvaltion lainsäädännössä säädetään asiasta, mutta ehdotettu sääntely tukee tietosuojavaltuutetun tehtävien tehokasta hoitamista.
Pykälän 1 momentin mukaan tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita ja pyytää näiltä lausuntoja. Myös tietosuojalautakunnasta ja tietosuojavaltuutusta annetun lain 7 §:ssä säädetään tietosuojavaltuutetun ja tietosuojalautakunnan oikeudesta kuulla asiantuntijoita ja pyytää näiltä lausuntoja.
Pykälän 2 momentissa ehdotetaan säädettäväksi, että tietosuojavaltuutettu voi 48 §:ssä tarkoitetun tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tietosuojavaltuutettu voisi momentin mukaan nimetä asiantuntijaksi suostumuksensa tehtävään antaneen henkilön, jolla on tietosuojavaltuutetun tehtävän hoitamisen kannalta merkityksellistä asiantuntemusta. Asiantuntija ei voisi suorittaa tarkastusta itsenäisesti, vaan hänen tehtävänsä olisi luonteeltaan avustava.
Pykälän 3 momentissa säädettäisiin, että asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan pykälässä tarkoitettuja tehtäviä. Lisäksi momentissa olisi viittaus vahingonkorvauslain mukaiseen vahingonkorvausvastuuseen.
51 §.Toimenpiteet. Pykälässä säädettäisiin tietosuojavaltuutetun toimivaltuuksista. Pykälä perustuisi rikosasioiden tietosuojadirektiivin 47 artiklaan. Pykälässä ehdotetaan tietosuojavaltuutetulle laajempia toimivaltuuksia, kuin mitä rikosasioiden tietosuojadirektiivissä edellytetään. Toimivaltuuksien määrittämisessä on pyritty siihen, että ne olisivat soveltuvin osin mahdollisimman yhdenmukaisia yleisessä tietosuoja-asetuksessa säädettyjen valtuuksien kanssa ja että henkilötietojen suojan tehokas valvonta toteutuisi myös ehdotetun lain alalla.
Tietosuojavaltuutettu voisi pykälän mukaan ehdotetun lain soveltamisalaan kuuluvassa asiassa antaa rekisterinpitäjälle ohjausta 21 §:ssä tarkoitetussa ennakkokuulemismenettelyssä (1 kohta), ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle ehdotetun lain väitetystä rikkomisesta (2 kohta) sekä varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet voivat olla ehdotetun lain vastaisia (3 kohta). Lisäksi pykälän 4 kohdan mukaan tietosuojavaltuutettu voisi antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos tämä on käsitellyt henkilötietoja lainvastaisesti. Huomautus pitäisi käytännössä sisällään valtuutetun hänen valvontansa kohteelle lähinnä vastaisuuden varalle antaman perustellun kannanoton siitä, miten henkilötietojen käsittelyä koskevia säännöksiä olisi tietyssä tilanteessa tullut valtuutetun käsityksen mukaan soveltaa. Huomautuksen antaminen tulisi kyseeseen sellaisessa tilanteessa, jossa tarvetta ryhtyä ankarampiin toimenpiteisiin ei ole.
Pykälän 1—4 kohdassa luetellut toimenpiteet olisivat luonteeltaan hieman kevyempiä kuin kohdassa 5—10 luetellut toimenpiteet. Viimeksi mainittujen säännösten nojalla tietosuojavaltuutettu voisi muun muassa määrätä rekisterinpitäjän tai henkilötietojen käsittelijän noudattamaan rekisteröidyn pyyntöjä, jotka koskevat ehdotettuun lakiin perustuvien oikeuksien käyttöä taikka asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen käsittelylle. Lisäksi tietosuojavaltuutettu voisi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet ehdotetun lain säännösten mukaisiksi, tarvittaessa määrätyllä tavalla ja kohtuullisen määräajan kuluessa.
Rikosasioiden tietosuojadirektiivin 47 artiklan 5 kohdassa edellytetään, että jäsenvaltio säätää laissa siitä, että kansallisella valvontaviranomaisella on valtuudet saattaa direktiivin nojalla hyväksyttyjen säännösten rikkomiset oikeusviranomaisten tietoon ja tarvittaessa panna vireille tai käynnistää oikeustoimet direktiivin nojalla hyväksyttyjen säännösten täytäntöönpanemiseksi. Vaikka ehdotettuun lakiin ei otettaisi asiasta nimenomaista säännöstä, olisi tietosuojavaltuutetulla oikeus tehdä rikosilmoitus, jos se epäilee, että ehdotetun lain säännöksiä on rikottu rangaistavaksi säädetyllä tavalla.
52 §.Uhkasakko. Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutettu voi asettaa ehdotetun 51 §:n 5—10 kohdassa tarkoitetun päätöksen sekä 47 §:ään perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).
Pykälän 2 momenttiin ehdotetaan otettavan säännökset luonnollisen henkilön niin sanotusta itsekriminointisuojasta tietojen luovuttamisvelvollisuuden yhteydessä. Uhkasakkoa ei voitaisi kohdistaa henkilöön, jota on syytä epäillä rikoksesta, josa tiedot koskevat rikosepäilyn kohteena olevaa asiaa.
53 §.Tietosuojavaltuutetun kuuleminen. Pykälä sisältäisi säännökset siitä, millaisissa tilanteissa muiden viranomaisten on kuultava tietosuojavaltuutettua. Ehdotus perustuu ennen kaikkea rikosasioiden tietosuojadirektiivin 28 artiklan 2 kohdan ja 47 artiklan 3 kohdan sisältämiin lainsäädäntötoimeksiantoihin. Mainittujen artiklojen mukaisesti jäsenvaltioiden on säädettävä siitä, että valvontaviranomaista kuullaan valmisteltaessa kansallisen parlamentin hyväksyntää varten ehdotusta lainsäädäntötoimenpiteeksi tai tällaiseen lainsäädäntötoimenpiteeseen perustuvaa sääntelytoimenpidettä, joka liittyy käsittelyyn ja että valvontaviranomainen voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja kaikista henkilötietojen suojaan liittyvistä kysymyksistä.
Pykälän 1 momentissa säädettäisiin rikosasioiden tietosuojadirektiivin edellyttämällä tavalla, että tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja lain 1 §:ssä tarkoitettuun henkilötietojen käsittelyyn liittyvistä kysymyksistä.
Pykälän 2 momentin mukaan tietosuojavaltuutetulle olisi varattava tilaisuus tulla kuulluksi valmisteltaessa lain 1 §:ssä tarkoitettua henkilötietojen käsittelyä koskevia lainsäädännöllisiä tai hallinnollisia uudistuksia. Ehdotetun säännöksen tarkoitus on antaa tietosuojavaltuutetulle mahdollisuus vaikuttaa henkilötietojen käsittelyyn liittyviin lainsäädännöllisiin ja hallinnollisiin uudistuksiin jo niiden valmisteluvaiheessa. Sisällöllisesti vastaava säännös sisältyy henkilötietolain 41 §:n 1 momenttiin.
Rikoslaissa säädetään tietosuojavaltuutetun kuulemisesta, kun syyttäjä tai tuomioistuin käsittelee rikosasiaa. Rikoslain (39/1889) 38 luvun 10 §:n mukaan syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa taikka henkilörekisteririkosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. Mainittuun pykälään ehdotetaan tietosuojalakia koskevassa hallituksen esityksessä eräitä muutoksia.
54 §.Keskinäinen avunanto. Pykälässä säädettäisiin keskinäisestä avunannosta valvontaviranomaisten välillä. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 50 artiklan 1, 2 ja 7 kohta.
Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutetun on maksutta annettava toisen EU:n jäsenvaltion vastaavalle valvontaviranomaiselle tämän valvontatehtävässään välttämättä tarvitsemat henkilötiedot sekä muut tarpeelliset tiedot, ja tarvittaessa muutoinkin avustettava tätä valvonnan toteuttamisessa. Tiedot olisi annettava myös salassapidettävistä tiedoista. Lisäksi tietosuojavaltuutetun olisi ryhdyttävä muihinkin tarvittaviin toimenpiteisiin tehokkaan keskinäisen yhteistyön varmistamiseksi. Keskinäisen avunannon lähtökohtaisesta maksuttomuudesta huolimatta valvontaviranomaiset voivat keskenään sopia säännöistä, jotka koskevat keskinäisestä avunannosta poikkeuksellisissa olosuhteissa aiheutuvista erityisistä kustannuksista maksettavia korvauksia.
Keskinäinen avunanto kattaisi erityisesti tietopyynnöt ja valvontatoimet, kuten kuulemisten, tarkastusten ja tutkimusten toteuttamista koskevat pyynnöt. Avunantopyynnössä on esitettävä kaikki tarvittavat tiedot, kuten pyynnön tarkoitus ja perustelut sen esittämiselle. Vaihdettuja tietoja saisi käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty. Tietosuojavaltuutetun olisi toimitettava muiden valvontaviranomaisten pyytämät tiedot lähtökohtaisesti sähköisesti vakiomuodossa, kuten rikosasioiden tietosuojadirektiivin 50 artiklan 6 kohdassa edellytetään.
Pykälän 2 momentin mukaan tietosuojavaltuutetun olisi vastattava 1 momentissa tarkoitetun valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta. Tällaisiin toimenpiteisiin voisi kuulua erityisesti asiaankuuluvien tietojen välittäminen tutkimuksen toteuttamisesta.
9 luku Oikeusturva
55 §.Lain rikkomisista koskeva ilmoitusmenettely. Pykälässä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 48 artikla, jossa edellytetään jäsenvaltioiden säätävän siitä, että toimivaltaiset viranomaiset ottavat käyttöön tehokkaita mekanismeja, jotka kannustavat ilmoittamaan tämän direktiivin rikkomisista luottamuksellisesti. Vastaavaa säännöstä ei sisälly nykyiseen henkilötietojen suojaa koskevaan kansalliseen lainsäädäntöön. Vastaavan kaltaiset ilmoituskanavat, joiden kautta voidaan raportoida lain rikkomisista (engl. whistleblowing) ovat kuitenkin pakollisia esimerkiksi luottolaitoksille luottolaitostoiminnasta annetun lain (610/2014) 7 luvun 6 §:n nojalla sekä vakuutusyhtiöille vakuutusyhtiölain (521/2008) 6 luvun 17 a §:n nojalla.
Pykälän 1 momentissa asetettaisiin toimivaltaiselle viranomaiselle velvollisuus ylläpitää menettelytapoja, joita noudattamalla sille voidaan luottamuksellisesti ilmoittaa ehdotetun lain epäillystä rikkomisesta. Ilmoitusmenettelyn tulisi sisältää asianmukaiset ja riittävät toimenpiteet, joilla järjestetään ilmoitusten asianmukainen käsittely. Ilmoitusmenettelyn tulisi myös sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja. Järjestelmän toimivuus edellyttää, että menettelytavoista on selkeät ohjeet ja että järjestelmä on helposti käytettävä.
Pykälän 2 momentin mukaan toimivaltaisen viranomaisen olisi säilytettävä 1 momentissa tarkoitettua ilmoitusta koskevat tarpeelliset tiedot. Tiedot olisi poistettava viiden vuoden kuluttua ilmoituksen tekemisestä, jollei tietojen edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi. Tietojen edelleen säilyttämisen tarpeellisuus olisi joka tapauksessa tutkittava viimeistään kolmen vuoden kuluttua edellisestä tarkistamisesta, josta tulisi tehdä merkintä. Vääriksi tai tarpeettomiksi osoittautuneet tiedot olisi kuitenkin poistettava rekisteristä viivytyksettä.
Pykälän 3 momentissa säädettäisiin rajoituksesta rekisteröidyn oikeuteen saada tietää ilmoituksen tekijän henkilöllisyys. Jos luonnollinen henkilö on tehnyt toimivaltaiselle viranomaiselle 1 momentissa tarkoitetun ilmoituksen ehdotetun lain epäillystä rikkomisesta, ilmoittajan henkilöllisyys olisi pidettävä salassa, jos henkilöllisyyden paljastamisesta voitaisiin olosuhteiden perusteella arvioida aiheutuvan ilmoittajalle haittaa, kuten vastatoimenpiteitä tai syrjintää.
56 §.Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Pykälässä säädettäisiin rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi. Pykälällä pantaisiin täytäntöön erityisesti rikosasioiden tietosuojadirektiivin 52 artiklan 1 kohta sekä 55 artikla. Mahdollisuus saattaa asia kansallisen valvontaviranomaisen käsiteltäväksi on merkittävä oikeussuojakeino, josta on rikosasioiden tietosuojadirektiivin mukaan säädettävä jäsenvaltion lainsäädännössä.
Pykälän 1 momentin ensimmäisen virkkeen mukaan rekisteröidyllä olisi oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan ehdotettua lakia tai muuta henkilötietojen käsittelyä koskevaa lakia. Tästä rekisteröidyn oikeudesta käytettäisiin laissa myös ilmaisua ”toimenpidepyyntö”. Momentin sääntelyn nojalla rekisteröidyllä olisi oikeus saattaa asia valtuutetun käsiteltäväksi siinäkin tilanteessa, kun ehdotetun lain soveltamisalaan kuuluvassa toiminnassa rikotaan erityislainsäädännössä olevia henkilötietojen käsittelyä koskevia, kyseisessä toiminnassa sovellettavaksi tulevia säännöksiä.
Henkilötietolaissa ei nimenomaisesti säädetä vastaavasta yleisestä rekisteröidyn oikeudesta saattaa asia vireille tietosuojavaltuutetun toimistossa. Tietosuojavaltuutetun on henkilötietolain 40 §:n 2 momentin mukaan kuitenkin ratkaistava asia, jonka rekisteröity on saattanut 28 (tarkastusoikeuden toteuttaminen) ja 29 §:n (tiedon korjaaminen) nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Rekisteröity ei voi henkilötietolain mukaan saattaa asiaa vireille myöskään tietosuojalautakunnassa. Ehdotettu säännös olisi siten merkittävä laajennus rekisteröidyn käytettävissä oleviin oikeussuojakeinoihin.
Ehdotetun momentin mukaisesti rekisteröity voi tehdä toimenpidepyynnön missä tahansa tilanteessa, jossa hän katsoo häneen liittyvässä henkilötietojen käsittelyssä rikottavan henkilötietojen käsittelyä koskevia säännöksiä. Toimenpidepyyntö voisi koskea esimerkiksi rekisteröidyn tarkastusoikeuden tai tietojen korjausoikeuden toteuttamista taikka käsittelyperusteen laillisuutta. Valituksen tekemiseen noudatettaisiin hallintolain säännöksiä asian vireillepanosta.
Momentin toisessa virkkeessä säädettäisiin, että toimenpidepyynnön voi rekisteröidyn suostumuksella saattaa tietosuojavaltuutetun käsiteltäväksi myös yleishyödyllinen henkilötietojen suojaa edistävä yhteisö. Tällainen yleishyödyllinen henkilötietojen suojaa edistävä yhteisö voisi edustaa useaakin rekisteröityä tietosuojavaltuutetulle tehtävässä toimenpidepyyntöä koskevassa asiassa. Lainkohta ei rajoittaisi esimerkiksi rekisteröidyn mahdollisuutta käyttää asiamiestä tehdessään toimenpidepyynnön tietosuojavaltuutetulle.
Ehdotettu lainkohta perustuu rikosasioiden tietosuojadirektiivin 55 artiklaan, jossa velvoitetaan säätämään kansallisen prosessioikeuden mukaisesti siitä, että rekisteröidyllä on oikeus valtuuttaa sellainen voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu ja jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröityjen oikeuksien ja vapauksien suojelemisen alalla heidän henkilötietojensa suojan osalta, tekemään toimenpidepyyntö puolestaan ja käyttämään puolestaan direktiivin 52, 53 ja 54 artiklassa tarkoitettuja oikeuksia.
57 §.Toimenpidepyynnön käsitteleminen. Pykälässä säädettäisiin 56 §:ssä tarkoitetun toimenpidepyynnön käsittelemisestä.
Pykälän 1 momentilla pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 46 artiklan 1 kohdan f alakohta sekä 52 artiklan 4 kohta. Tietosuojavaltuutetun tulisi tutkia asia, jollei asia ole vireillä tuomioistuimessa. Asian käsittelyyn sovellettaisiin yleislakina hallintolakia. Hallintolain 23 §:ssä säädetyn mukaisesti valtuutetun on käsiteltävä asia ilman aiheetonta viivytystä, ja sen on muun muassa vastattava asianosaisen esittämiin käsittelyn etenemistä koskeviin tiedusteluihin. Ehdotetun 1 momentin toisessa virkkeessä säädettäisiin täydentävästi siitä, että valtuutetun on kohtuullisen ajan kuluessa ilmoitettava asian vireillepanijalle asian käsittelemisen etenemisestä, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen. Kohtuullista aikaa arvioitaessa merkityksellisiä seikkoja voivat olla esimerkiksi asian laatu, monimutkaisuus ja laajuus.
Pykälän 2 momentissa säädettäisiin tilanteista, joissa tietosuojavaltuutettu pitää sillä vireillä olevassa asiassa tarpeellisena selvittää, onko Euroopan komission 41 §:n 1 momentin 3 kohdassa tarkoitettu päätös tietosuojan tason riittävyydestä tietosuojadirektiivin mukainen. Tällaisissa tilanteissa tietosuojavaltuutetun olisi saatettava tältä osin asia hallinto-oikeuden ratkaistavaksi. Hallinto-oikeus voisi puolestaan tehdä asiassa ennakkoratkaisupyynnön EU:n tuomioistuimelle. Tapaukset olisi niiden oletettavasti vähäisen määrän ja asiassa tarvittavan asiantuntemuksen vuoksi syytä keskittää yhteen hallinto-oikeuteen, minkä vuoksi tietosuojavaltuutetun tulisi lainkohdan mukaan saattaa asia Helsingin hallinto-oikeuden käsiteltäväksi. Momentin sääntely ei perustuisi suoraan rikosasioiden tietosuojadirektiiviin, vaan unionin tuomioistuimen oikeuskäytäntöön ja erityisesti ennakkoratkaisuun asiassa Schrems (C-362/14).
58 §.Muutoksenhaku. Pykälässä säädettäisiin muutoksenhausta. Pykälällä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 53 artiklan 1 ja 3 kohta, joilla on tarkoitus turvata henkilön oikeus tehokkaisiin oikeussuojakeinoihin kansallista valvontaviranomaista eli tietosuojavaltuutettua vastaan.
Pykälän 1 momentissa säädettäisiin valitusoikeudesta tietosuojavaltuutetun päätökseen. Lainkohdan mukaan tietosuojavaltuutetun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Momentti vastaisi sisällöllisesti henkilötietolain 45 §:n 1 momenttia. Valtuutetun tekemän päätöksen valituskelpoisuus määräytyisi hallintolainkäyttölain nojalla.
Pykälän 2 momentin mukaan hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Säännös vastaisi henkilötietolain 45 §:n 2 momenttia. Momentin toisessa virkkeessä säädettäisiin siitä, että myös tietosuojavaltuutetulla on oikeus hakea muutosta hallinto-oikeuden tekemään päätökseen. Valtuutetun muutoksenhakuoikeus on tarpeellinen erityisesti oikeuskäytännön yhtenäisyyden varmistamiseksi, ottaen huomioon myös valtuutetun jäsenyys Euroopan tietosuojaneuvostossa.
Pykälän 3 momentin mukaan tietosuojavaltuutetun päätöksessä voitaisiin määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistettaisiin se, että tietosuojavaltuutetulla on mahdollisuus puuttua tehokkaasti erityisesti sellaiseen lainvastaiseen henkilötietojen käsittelyyn, joka voi muodostaa riskin rekisteröidyn oikeuksien kannalta. Nykyisinkin henkilötietolain 45 §:n 3 momentin mukaan tietosuojalautakunnan päätöksessä voidaan määrätä ehdotettua säännöstä vastaavasti velvollisuudesta noudattaa päätöstä muutoksenhausta huolimatta.
10 luku Erinäiset säännökset
59 §.Vahingonkorvaus. Pykälässä säädettäisiin rekisterinpitäjän velvollisuudesta korvata henkilötietojen lainvastaisesta käsittelystä rekisteröidylle tai muulle henkilölle aiheutunut taloudellinen ja muu vahinko. Rikosasioiden tietosuojadirektiivin 56 artikla velvoittaa jäsenvaltiot säätämään siitä, että jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, on hänellä oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta.
Pykälän 1 momentissa säädettäisiin, että rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. Nykytilaa vastaavasti korvausvastuu koskisi siten myös muulle henkilölle kuin rekisteröidylle aiheutuneen vahingon korvaamista. Korvausvastuu olisi lainkohdan mukaisesti aina rekisterinpitäjällä.
Ehdotetuissa säännöksissä on säilytetty nykyiseen henkilötietolain 47 §:ään sisältyvä rekisterinpitäjän tuottamuksesta riippumaton vahingonkorvausvastuu. Pykälän perusteella olisi korvattava nykytilan mukaisesti esimerkiksi sellainen taloudellinen vahinko, joka rekisteröidylle on aiheutunut virheellisen tiedon käytöstä tai lainvastaisesta tietojen luovuttamisesta. Vastuu koskisi myös kaikesta muusta laittomasta henkilötietojen käsittelystä aiheutuvaa taloudellista ja muuta vahinkoa. Näin ollen vastuu kattaisi myös henkilölle laittomasta henkilötietojen käsittelystä aiheutuneen kärsimyksen.
Pykälän 2 momentti olisi informatiivinen ja ilmaisisi sen, että muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa.
60 §.Rangaistussäännökset. Pykälään ehdotetaan otettavan viittaussäännökset rikoslain säännöksiin, jotka voivat tulla kyseeseen lain rikkomisten johdosta määrättävinä seuraamuksina, joista säätämistä edellytetään rikosasioiden tietosuojadirektiivin 57 artiklassa.
Pykälä sisältäisi viittaussäännöksen rikoslain 38 luvun 9 §:ään, jossa säädettäisiin vastaisuudessa tietosuojarikoksesta. Uutta tietosuojarikosta koskevaa rangaistussäännöstä, jolla kumottaisiin nykyinen henkilörekisteririkosta koskeva rangaistussäännös, ehdotetaan hallituksen esityksessä tietosuojalaiksi.
Pykälässä viitattaisiin myös henkilötietolain 48 §:ää vastaavalla tavalla rikoslain 38 luvun 3, 4, 8 ja 8 a §:ään, jossa säädetään rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta sekä tietomurrosta ja törkeästä tietomurrosta. Rangaistus 61 §:ssä säädettäväksi ehdotetun vaitiolovelvollisuuden rikkomisesta tuomittaisiin rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.
61 §.Vaitiolovelvollisuus. Pykälässä säädettäisiin vaitiolovelvollisuudesta henkilölle, joka on osallistunut henkilötietojen käsittelyyn. Henkilötietojen käsittelyyn osallistunut henkilö ei saisi oikeudettomasti ilmaista sivulliselle näin tietoonsa saamiaan henkilötietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Tällainen henkilötietojen käsittelyyn osallistuva henkilö voisi olla muun muassa rekisterinpitäjän tai toimivaltaisen viranomaisen palveluksessa oleva henkilö, tietosuojavastaava tai henkilötietoja rekisterinpitäjän lukuun käsittelevä henkilö.
Sisällöllisesti vastaavankaltainen vaitiolovelvollisuussäännös sisältyy nykyisen henkilötietolain 33 §:ään, jonka mukaan se, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa henkilötietolain vastaisesti sivulliselle ilmaista näin saamiaan tietoja. Vastaava pykälä sisältyy myös ehdotettuun tietosuojalakiin.
11 luku Voimaantulo- ja siirtymäsäännökset
62 §.Voimaantulo. Pykälä sisältää tavanomaisen voimaantulosäännöksen. Rikosasioiden tietosuojadirektiivin 63 artiklan 1 kohdan mukaan jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Jäsenvaltioiden on myös sovellettava näitä säännöksiä mainitusta päivästä lukien.
63 §.Siirtymäsäännökset. Pykälän 1 momentissa säädetään siirtymäsäännöksestä, jonka mukaan ennen 6 päivänä toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät voidaan saattaa ehdotetun 19 §:n mukaisiksi 6 päivään toukokuuta 2023 mennessä.
Siirtymäsäännös perustuu rikosasioiden tietosuojadirektiivin 63 artiklan 2 kohtaan. Siirtymäsäännöksellä ei ole vaikutusta 6 päivänä toukokuuta 2016 jälkeen luotuihin automatisoituihin käsittelyjärjestelmiin, jotka on kaikilta osin saatettava ehdotetun lain mukaisiksi 6 toukokuuta 2018 mennessä.