Esityksen lähtökohdat
Hallituksen esityksessä ehdotetaan muutettaviksi sähköisen viestinnän palveluista annettua lakia (917/2014), henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019) 29 §:ää ja henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 22 §:ää.
Esityksen tavoitteena on parantaa yhteiskunnan turvallisuutta ja perusoikeuksien, erityisesti luottamuksellisen viestinnän suojan, toteutumista parantamalla viranomaisten toimintaedellytyksiä sellaisten tietoturvaloukkausten selvittämisessä, joiden haitalliset vaikutukset voivat vakavissa tilanteissa kohdistua laajalle yhteiskunnan toiminnan kannalta keskeisiin toimintoihin. Hallituksen esityksen tavoitteena on myös parantaa viranomaisten yhteistoimintaa virka-apusääntelyä ja tiedonvaihtoa kehittämällä merkittävien ja vaikutuksiltaan vakavien tietoturvaloukkausten ja -uhkien selvittämisessä ja niiden vaikutusten poistamisessa.
Esitys on osa laajempaa kyberturvallisuuden kehittämiseen tähtäävää kokonaisuutta, jolla on tarkoitus kattaa sellaiset välittömät puutteet lainsäädännössä, jotka voidaan katsoa välttämättömiksi viranomaisten yhteistoiminnan mahdollistamiseksi yhteiskunnan toiminnan kannalta merkittävän tietoturvaloukkauksen selvittämisessä. Tietoturvaloukkaustilanteisiin liittyy myös laajempia, esimerkiksi viranomaisten tehtäväkenttiin tai laajamittaisen tilanneymmärryksen muodostamiseen liittyviä kysymyksiä, jotka osaltaan vaativat laajamittaisempaa selvittämistä ja joihin etsitään ratkaisuja sisäministeriön ja puolustusministeriön käynnissä olevassa selvityshankkeessa viranomaisten toimintaedellytyksistä kyberturvallisuudessa.
Hallintovaliokunta pitää esityksen tavoitteita kannatettavina ja katsoo, että esityksessä yksilöityjen toimijoiden välisen tiedonvaihdon ja virka-avun toimivuus on tärkeää tietoturvaloukkausten havainnoinnissa, torjunnassa ja selvittämisessä. Valiokunnan saaman selvityksen mukaan valmistelulle asetetun ajan puitteissa ei kuitenkaan ole voitu ratkaista kaikkia tiedonvaihtoon liittyviä haasteita. Valiokunta pitää kuitenkin välttämättömänä, että työtä viranomaisten yhteistoiminnan ja tiedonvaihdon parantamiseksi muuttuneessa kybertuvallisuusympäristössä ja nykyisessä turvallisuusympäristössä jatketaan.
Tiedonvaihto viranomaisten kesken
Esityksen 1. lakiehdotuksen virka-apua koskevaan 309 §:ään ehdotetaan lisättäväksi Liikenne- ja viestintäviraston oikeus saada virka-apuna poliisilta, suojelupoliisilta ja Puolustusvoimilta asiantuntija-apua, välineistöä, tiloja ja laitteita merkittävän tietoturvaloukkauksen tai sen vakavan uhkan selvittämiseksi sekä niistä aiheutuvien vaikutusten poistamiseksi. Samoin Liikenne- ja viestintävirasto voi antaa pyynnöstä samalla tavoin virka-apua toiselle viranomaiselle. Hallintovaliokunta pitää virka-apua koskevia ehdotuksia perusteltuina ja oikeansuuntaisina.
Valiokunta kuitenkin toteaa, että ehdotettu virka-avun antaminen ei oikeuta Liikenne- ja viestintävirastoa antamaan toiselle viranomaiselle tietoja viesteistä, välitystiedoista tai sijaintitiedoista. Valiokunta toteaa saamansa selvityksen perusteella, että tapausten selvittelyssä tarvitaan nimenomaisesti näitä tietoja ja esimerkiksi asiantuntija-avun yhteydessä tällaiselle tiedonvaihdolle voi olla nimenomainen tarve. Sekä virka-apua koskevassa säännöksessä 309 § että tiedonvaihdon mahdollistavan 319 a §:n tilanteissa on kyse merkittävistä tietoturvaloukkauksista.
Esityksen 1. lakiehdotuksessa ehdotetaan laajennettavaksi 319 §:ää niiden tahojen osalta, joille Liikenne- ja viestintävirasto voi luovuttaa salassapitovelvollisuuden rajoittamatta tietoturvaloukkauksen yhteydessä saamiaan välitystietoja ja muita tietoa. Tietoja voidaan luovuttaa useille tahoille, kuten ulkomaisille hallintoviranomaisille, Euroopan unionin tai Pohjois-Atlantin liiton toimielimelle, elimelle tai virastolle, jotka selvittävät tietoturvaloukkauksia. Valiokunnan asiantuntijakuulemisissa on tuotu esiin, että tietoja ei pääsääntöisesti kuitenkaan voida luovuttaa poliisiviranomaiselle ja että tätä voidaan pitää epäsuhtana tiedon luovutussäännöksissä, ottaen huomioon poliisin roolin sisäisen turvallisuuden vastuuviranomaisena näiden tekojen selvittämisessä sekä estämisessä.
Esityksen 1. lakiehdotus sisältää myös uuden 319 a §:n, jonka mukaan Liikenne- ja viestintävirastolla, poliisilla, suojelupoliisilla ja Puolustusvoimilla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa toisilleen välttämättömiä tietoja merkittävän tietoturvaloukkauksen tai sen uhkan selvittämiseksi, ennalta ehkäisemiseksi tai vaikutusten poistamiseksi. Uusi säännös mahdollistaa tietojen vaihdon silloin, kun merkittävällä tietoturvaloukkauksella tai sen vakavalla uhalla on tai uhkaa olla vakavia haitallisia vaikutuksia pykälässä tarkemmin säädettyihin yhteiskunnan toiminnan kannalta elintärkeisiin toimintoihin, palveluihin tai niihin liittyviin tietoaineistoihin.
Hallintovaliokunta pitää uutta säännöstä tärkeänä edistysaskeleena viranomaisyhteistyön tiivistämisessä. Valiokunta pitää myös perusteltuna, että tiedonvaihtoon liittyvästä salassapitosääntelystä ja muista tiedon luovutuksen rajoituksista poikkeamisen kynnys pidetään laajassa tietojen vaihdossa verrattain korkeana, jotta muun muassa perustuslaissa turvattu yksityiselämän suoja ja luottamuksellisen viestin suoja sekä tietosuojalainsäädännön käyttötarkoitussidonnaisuuden periaate toteutuvat asianmukaisesti. Valiokunta kuitenkin toteaa, että esitys mahdollistaa kattavan tiedonvaihdon vasta hyvin laajalle eskaloituneessa tilanteessa ja vain yhteiskunnan elintärkeiden toimintojen kannalta merkityksellisissä tilanteissa. Valiokunnan saaman selvityksen mukaan tiedon vaihtamiselle asetettu korkea soveltamiskynnys voi rajoittaa uusien säännösten hyödynnettävyyttä ja jättää tiedonvaihdon ulkopuolelle sellaisia tietoturvaloukkauksia, joiden osalta yhteiskunnalla on selkeä selvittämis- ja estämisintressi.
Hallintovaliokunta toteaa, että kokonaisuudessaan esityksellä mahdollistetaan kyllä nykyistä laajempi tiedonvaihto ja yhteistyö viranomaisten välillä yhteiskunnan elintärkeiden toimintojen kannalta merkittävissä tietoturvaloukkaustilanteissa ja vakavan uhan selvittämisessä. Valiokunta pitää kuitenkin edellä 309, 319 ja 319 a §:ssä esiin nostamiinsa huomioihin viitaten välttämättömänä, että työtä tiedonvaihdon parantamiseksi viranomaisten välillä edelleen jatketaan.
Valiokunta tuo esiin esityksessäkin todetun seikan, että sääntelyn kohteena olevilla viranomaisilla on jo toiminnassaan laajat tiedonsaantioikeudet. Tehtäviensä luonteesta johtuen viranomaisilla on kuitenkin erilaiset keinot hankkia tietoa velvoitteidensa hoitamiseksi ja tiedonhankintaan saattaa liittyä myös erilaisia rajoitteita ja reunaehtoja, jotka joissain tilanteissa muodostavat kuitenkin haasteita viranomaisten väliselle tiedonvaihdolle.
Hallintovaliokunta tunnistaa, että tietojen luovuttamisessa on kyse hyvin haastavasta kokonaisuudesta ottaen huomioon viranomaisten eri roolit ja tehtävät, yksityiselämän suoja ja viestinnän luottamuksellisuus. Tästä syystä hallintovaliokunta korostaakin, että toimintaedellytyksiä ja tiedonvaihtoa tulee tarkastella yksittäisten pykälien sijasta uudella tavalla kokonaisuutena, jotta viranomaisilla on tehokkaat, nopeasti käyttöön otettavissa ja toteutettavissa olevat keinot toimia vakavissa häiriötilanteissa tai niiden selvästi uhatessa.
Eräitä huomioita
Hallintovaliokunnan saamassa selvityksessä on kiinnitetty huomiota siihen, että esityksen 1. lakiehdotuksen 319 a §:n 3 momentissa säädettyä Liikenne- ja viestintäviraston oikeutta luovuttaa tietoja edelleen, tulisi täsmentää siten, että poliisilta sekä mahdollisesti muilta turvallisuusviranomaisilta saatuja tietoja saisi luovuttaa edelleen vain tiedot luovuttaneen tahon suostumuksella. Valiokunnan saaman arvion mukaan edellytys ei hidasta tietojen luovutusprosessia merkittävästi. Hallintovaliokunta esittää liikenne- ja viestintävaliokunnan harkittavaksi säännöksen täsmentämistä edellä todetulla tavalla.
Lisäksi valiokunnan asiantuntijakuulemisissa on kiinnitetty huomiota siihen, että rekisteröidyn omien tietojen suoraa tarkastusoikeutta on rajoitettu henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 42 §:ssä, jotta tarkastusoikeus ei vaaranna poliisin lakisääteisten tehtävien suorittamista. Huomioiden nyt esitetyt käsiteltävät tiedot ja jo olemassa olevat turvallisuusviranomaisten tarkastusoikeuden rajoittamista koskevat säännökset, hallintovaliokunta esittää liikenne- ja viestintävaliokunnan arvioitavaksi, olisiko perusteltua lisätä lakiin tarkastusoikeuden rajoitus edellä mainitulla tavalla siten, että rekisteröidyn oikeus tarkastaa tietonsa tapahtuisi tietosuojavaltuutetun välityksellä, eikä suoraa tarkastusoikeutta olisi. Tällä tavoin voidaan välttää poliisin lakisääteisten tehtävien suorittamisen vaarantuminen siitä syystä, että henkilö saisi toisen viranomaisen kautta pääsyn poliisin luovuttamiin tietoihin, joihin kohdistuu poliisissa tarkastusoikeuden rajoituksia.
Esityksen 3. lakiehdotuksen 22 §:n muutoksella on täsmennetty ja nimenomaisesti todettu poliisin oikeus luovuttaa tietoja Liikenne- ja viestintävirastolle. Hallintovaliokunnan saamassa selvityksessä on tuotu esiin, että poliisin pyynnöstä tapahtuva ja oma-aloitteinen tietojen luovuttaminen toiselle viranomaiselle on pohjautunut poliisilain 7 luvun 2 §:ään. Selvityksen mukaan oikeuskäytännössä on esiintynyt näkemyksiä, joiden mukaan tietojen oma-aloitteiden luovuttaminen ei kuitenkaan ole mahdollista kyseessä olevan säännöksen nojalla. Oma-aloitteinen tietojen luovuttaminen mahdollistuu poliisille esityksen uuden 319 a §:n mukaisissa tilanteissa. Näin ollen muissa kuin 319 a §:n mukaisissa tilanteissa Liikenne- ja viestintäviraston olisi aina nimenomaisesti tunnistettava ensin tapaus ja tämän jälkeen tiedusteltava tietoja poliisilta ennen tietojen luovuttamisen mahdollistumista. Poliisi ei voi näissä tilanteissa luovuttaa tietoja, ellei Liikenne- ja viestintävirasto niitä osaisi tiedustella. Hallintovaliokunta esittää liikenne- ja viestintävaliokunnalle harkittavaksi, onko poliisilain 7 luvun 2 §:ssä syytä huomioida vastaava säännös oma-aloitteisesta tietojen luovuttamisesta.
Henkilötietojen suoja
Hallintovaliokunta toteaa, että EU:n tietosuojasääntely jättää jäsenvaltioille kansallista liikkumavaraa säätää tietosuojasääntelyä täsmällisemmin henkilötietojen käsittelystä ja mahdollisuuden myös rajoittaa tiettyjä rekisteröidylle kuuluvia oikeuksia ja vapauksia. On kuitenkin tärkeää, että annettaessa tällaista kansallista erityissääntelyä, huomioidaan samalla EU:n tietosuojasääntelyn asettamat reunaehdot. Tällä varmistetaan se, että ehdotettavassa sääntelyssä noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja että sääntely on demokraattisessa yhteiskunnassa välttämätöntä ja oikeasuhteista. Hallintovaliokunta katsoo, että liikenne- ja viestintävaliokunnan tulee varmistua henkilötietojen suojan näkökulmasta siitä, että ehdotettavassa sääntelyssä on huomioitu EU:n tietosuojasääntelyssä ja perustuslakivaliokunnan lausuntokäytännössä asetetut reunaehdot. Henkilötietojen suojan osalta valiokunta kiinnittää erityistä huomiota esityksen 1. lakiehdotuksen 316 a §:ään sekä 319 a §:ään.
Kansallinen liikkumavara. Hallintovaliokunta korostaa kansallisen liikkumavaran käytön osalta, että henkilötietojen käsittely kuuluu osittain tietosuoja-asetuksen ((EU) 2016/679) ja osittain henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018, jäjempänä rikosasioiden tietosuojalain) soveltamisalaan. Esityksestä ei kuitenkaan käy selkeästi ilmi, milloin tietojenvaihto perustuu tietosuoja-asetuksen ja milloin rikosasioiden tietosuojalain soveltamisalaan. Siltä osin, kun kyse on tietosuoja-asetusta täsmentävän kansallisen sääntelyn antamisesta, esityksestä puuttuu selostus, mihin tietosuoja-asetuksen kohtiin liikkumavaran käyttö perustuu. Hallintovaliokunnan käsityksen mukaan esityksen henkilötietojen käsittelyä koskevaa sääntelyä sisältyy tai voi sisältyä esityksen 1. lakiehdotuksen 316, 316 a, 319, ja 319 a §:ään, 2. lakiehdotuksen 29 §:ään sekä 3. lakiehdotuksen 22 §:ään. Valiokunta toteaa, että siltä osin kuin kyse on tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä, esityksessä käytetään näin ollen ainakin tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdissa tarkoitettua kansallista liikkumavaraa.
Hallintovaliokunta toteaa, että esityksessä ei ole selkeästi mainittu, mihin tietosuoja-asetuksen 23 artiklan 1 kohdan a-j alakohdan tavoitteiden turvaamiseksi sääntelyä ehdotetaan. Perusteluiden mukaan kyse voi olla ainakin 23 artiklan 1 kohdan a alakohdasta (kansallinen turvallisuus), mutta myös d alakohdasta (rikosten ennalta ehkäiseminen). Esitys jättää tietyiltä osin epäselväksi, voiko kyse olla myös muiden tavoitteiden turvaamisesta (esimerkiksi 23 artiklan 1 kohdan c alakohta yleinen turvallisuus), johon on sähköisen viestinnän tietosuojan osalta viitattu säätämisjärjestysperusteluissa (s. 63). Esitys jättää epäselväksi myös, onko sääntelyssä otettu huomioon tietosuoja-asetuksen 23 artiklan 2 kohdan reunaehdot.
Arkaluonteisten tietojen käsittely. Hallintovaliokunta toteaa, että esitys jättää avoimeksi, miltä osin esityksen 1. lakiehdotuksen 316 a §:ssä ja 319 a §:ssä vaihdetaan erityisiin henkilötietoryhmiin kuuluvia tietoja, rikoksiin ja rikostuomioihin liittyviä tietoja sekä muita arkaluonteisina pidettäviä tietoja. Esityksen säätämisjärjestysperusteluissa (s. 61) on esimerkiksi todettu, että 1.lakiehdotuksen 319 a § sinällään mahdollistaa kaiken välttämättömän tiedon vaihtamisen, mikä ei kategorisesti sulje pois mahdollisuutta erityisiin henkilötietoryhmiin kuuluvien henkilötietojen vaihtamiselle. Tietosuoja-asetus ja rikosasioiden tietosuojalaki sisältävät tiukat reunaehdot erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelylle. Tietosuoja-asetus sallii erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn vain, kun käsittelylle on 6 artiklan 1 kohdassa luetellun käsittelyperusteen ohella jokin 9 artiklan 2 kohdassa mainittu käsittelyperuste. Valiokunta toteaa, että esimerkiksi asetuksen 9 artiklan 2 kohdan g alakohdan mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun se on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Alakohta edellyttää, että sääntely on oikeasuhtaista, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan sekä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.