Valiokunnan lausunto
PeVL
51
2018 vp
Perustuslakivaliokunta
Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä poliisitoimessa sekä eräiksi siihen liittyviksi laeiksi
Hallintovaliokunnalle
JOHDANTO
Vireilletulo
Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä poliisitoimessa sekä eräiksi siihen liittyviksi laeiksi (HE 242/2018 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 
Asiantuntijat
Valiokunta on kuullut: 
erityisasiantuntija
Suvi
Pato-Oja
sisäministeriö
neuvotteleva virkamies
Heli
Heikkola
sisäministeriö
lainsäädäntöneuvos
Niklas
Vainio
oikeusministeriö
ylitarkastaja
Heikki
Huhtiniemi
tietosuojavaltuutetun toimisto
professori
Juha
Lavapuro
professori
Sakari
Melander
professori
Olli
Mäenpää
professori
Tuomas
Ojanen
Valiokunta on saanut kirjallisen lausunnon: 
professori
Tomi
Voutilainen
HALLITUKSEN ESITYS
Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa. Samalla voimassa oleva samanniminen laki kumottaisiin. Lisäksi esitys sisältää ehdotukset kahdenkymmenenviiden muun lain muuttamiseksi. Lakeihin ehdotetaan pääosin lakiviittauksia koskevia teknisiä muutoksia.  
Lait on tarkoitettu tulemaan voimaan mahdollisimman pian. 
Esitykseen sisältyvissä säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 6 §:n yhdenvertaisuussäännöksen, perustuslain 10 §:ssä turvatun henkilötietojen ja yksityisyydensuojan kannalta ja perustuslain 21 §:ssä turvatun oikeusturvan kannalta. Huomiota kiinnitetään myös Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevaan 8 artiklaan ja Euroopan unionin yleiseen tietosuoja-asetukseen. Esitykseen sisältyvät lakiehdotukset voidaan hallituksen mielestä käsitellä tavallisen lain säätämisjärjestyksessä. Esityksessä ehdotettu sääntely on valtiosääntöoikeudellisesti merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta, ja sääntelyllä on liittymäkohtia myös muihin perusoikeuksiin. Hallituksen käsityksen mukaan esitys olisi näistä syistä perusteltua saattaa eduskunnan perustuslakivaliokunnan käsiteltäväksi.  
VALIOKUNNAN PERUSTELUT
Arvion lähtökohdat
Hallituksen esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä poliisitoimessa. Samalla voimassa oleva, perustuslakivaliokunnan myötävaikutuksella säädetty (PeVL 51/2002 vp, ks. myös PeVL 18/2012 vp ja PeVL 43/2014 vp) samanniminen laki kumottaisiin. Perustuslakivaliokunnan myötävaikutuksella on säädetty myös erityislait henkilötietojen käsittelystä rajavartiolaitoksessa (PeVL 19/2005 vp), tullissa (PeVL 74/2012 vp) ja rikosseuraamuslaitoksessa (PeVL 70/2014 vp).  
Nyt arvioitavan esityksen tavoitteena on saattaa poliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyä koskeva lainsäädäntö vastaamaan Euroopan unionin tietosuojalainsäädännön vaatimuksia. Esityksessä huomioidaan myös poliisin toimintaympäristössä tapahtuneet muutokset ja niistä aiheutuneet tiedonkäsittelytarpeet, jotka koskevat erityisesti henkilötietojen käsittelyä rikosten ennalta estämiseksi. Tavoitteena on lisäksi selkeyttää ja yksinkertaistaa lain monimutkaiseksi muodostunut rakenne.  
Ehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. Lakiehdotuksen 2 §:n 1 momentin mukaan henkilötietojen käsittelyyn rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi ja tällaisten uhkien ehkäisemiseksi sovelletaan lähtökohtaisesti henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia (jäljempänä myös rikosasioiden tietosuojalaki).  
Perustuslakivaliokunta on hiljattain arvioinut (PeVL 26/2018 vp) rikosasioiden tietosuojalain säätämiseen tähdännyttä hallituksen esitystä, johon sisältyvän lakiehdotuksen tarkoituksena on muun ohella toimeenpanna ns. poliisidirektiivi (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta).  
Perustuslakivaliokunta on EU:n tietosuoja-asetuksen soveltamisalalla tarkistanut kantaansa henkilötietojen suojasta lailla säätämisen vaatimuksen osalta. Nyt arvioitavassa sääntelykontekstissa valiokunnan mukaan merkityksellistä kuitenkin on, että toisin kuin suoraan sovellettava tietosuoja-asetus poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. myös PeVL 14/2018 vp, s. 7).Merkityksellistä on lisäksi, että kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle eikä siten kuulu lähtökohtaisesti myöskään poliisidirektiivin soveltamisalalle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on perustuslain 10 §:n henkilötietojen suojaa koskevan turvaamisvelvoitteen johdosta säädettävä kansallisella lainsäädännöllä (ks. PeVL 26/2018 vp, s. 4).  
Rikosasioiden tietosuojalain 1 §:n 2 momentin 2 kohdan mukaan lakia sovelletaan poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain 1 luvun 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Nyt arvioitavan lakiehdotuksen 46 §:n 2 momentin mukaan suojelupoliisin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyyn sovelletaan lähtökohtaisesti rikosasioiden tietosuojalakia lukuun ottamatta sen 10 §:n 2 momenttia, 54 §:ää ja 7 lukua.  
Perustuslakivaliokunnan mukaan (PeVL 26/2018 vp, s. 3, PeVL 14/2018 vp, s. 7) perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" (PeVL 15/1994 vp, s. 1/II, PeVL 67/2010 vp, s. 2—3). Valiokunnan mukaan henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa suuren riskin perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp, s. 7).  
Merkityksellistä tässä suhteessa oli myös, että tuolloin käsillä olleeseen esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä on soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityislainsäädännöllä (PeVL 26/2018 vp, s. 3—4). Valiokunnan käsityksen mukaan nyt arvioitavan lakiehdotuksen tarkoitus on toimia tällaisena täydentävänä erityislainsäädäntönä. Valiokunnassa on lausuntoasiana vireillä samanaikaisesti tämän esityksen kanssa myös hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Puolustusvoimissa sekä eräiksi siihen liittyviksi laeiksi (HE 13/2018 vp), hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Rajavartiolaitoksessa ja eräiksi siihen liittyviksi laeiksi (HE 241/2018 vp) sekä hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa ja eräiksi siihen liittyviksi laeiksi (HE 259/2018 vp). 
Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Poliisin toimivaltuuksien tulee perustuslain 2 §:n 3 momentissa vahvistetun oikeusvaltioperiaatteen vuoksi perustua lakiin (ks. myös PeVL 10/2016 vp, s. 3, PeVL 51/2006 vp, s. 2/I).Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I). 
Hallituksen esityksen säätämisjärjestysperusteluista (s. 126) ilmenee lisäksi, että arkaluonteisia henkilötietoja käsitellään poliisissa sekä poliisidirektiivin että tietosuoja-asetuksen soveltamisalaan kuuluvia poliisin tehtäviä varten. Lisäksi poliisin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi perustuslakivaliokunnan käytännössä (ks. esim. PeVL 14/2009 vp, s. 3/I) arkaluonteisiin tietoihin rinnastettuja biometrisiä tietoja käsitellään perustelujen mukaan sekä rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen liittyvissä tehtävissä että lupahallinnollisten tehtävien suorittamiseksi. Lisäksi poliisi käsittelee perustelujen mukaan tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja. 
Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).  
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp, s. 40). 
Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6). 
Perustuslakivaliokunta on jo aikaisemmin todennut, että laki henkilötietojen käsittelystä poliisitoimessa on rakenteeltaan ja sisällöltään varsin monimutkainen, ja painottanut sen uudistamistarvetta (PeVL 18/2012 vp). Valiokunta on uudistanut tämän kantansa korostaen sitä, että poliisin henkilötietojen käsittelyä määrittävän lainsäädännön valtiosääntöoikeudellinen arviointi tulee tehtäväksi lainsäädännön kokonaisuuden pohjalta (PeVL 42/2014 vp, s. 2/II—3/I, ks. myös PeVL 35/2018 vp, s. 34). Valiokunta pitää valitettavana, että myös nyt ehdotettava lainsäädäntö on sisällöltään varsin monimutkainen ja vaikeaselkoinen. 
Poliisin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää. Tällaisessa tilanteessa myös tietojen käytön valvontaan on kiinnitettävä korostettua huomiota (PeVL 42/2014 vp, s. 2/II—3/I, ks. myös PeVL 35/2018 vp, s. 34). Perustuslakivaliokunta korostaa, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa yksin rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan. 
Perustuslakivaliokunta ei ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn EU-oikeudenmukaisuutta. Hallintovaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa. 
Lain soveltamisala
Henkilötietojen käsittelyä poliisin toiminnassa säännellään sekä yleisessä tietosuoja-asetuksessa että sitä täydentävässä kansallisessa tietosuojalaissa, rikosasioiden tietosuojalaissa ja säädettäväksi ehdotetussa poliisin henkilötietolaissa. Esityksen perusteluissa esitetyn määrällisen arvion mukaan suurimpaan osaan poliisin henkilötietojen käsittelystä sovellettaisiin yleislakina rikosasioiden tietosuojalakia (s. 57). Tietosuoja-asetuksen soveltamisalalla henkilötietojen käsittelyyn sovellettaisiin kuitenkin tietosuoja-asetusta ja tietosuojalakia. Säädettäväksi ehdotettu laki muodostaa näitä kaikkia säädöksiä täydentävän erityislain.  
Perustuslakivaliokunnan mielestä sovellettavan lainsäädännön kokonaisuutta ei voi luonnehtia selkeäksi ja ymmärrettäväksi, vaikka nyt arvioitavan sääntelyn rakenteessa onkin pyritty selkeyteen ja yksinkertaisuuteen. Sovellettavana olevien EU- ja kansallisten säädösten väliset suhteet muodostuvat osittain päällekkäisiksi ja osittain toisistaan erotettaviksi. Ehdotetun sääntelyn täsmällistä soveltamisalaa on hankalaa ja vaivalloista selvittää lakiehdotuksen sisältämän sääntelyn perusteella. Lakiehdotuksen soveltamisalaa ja suhdetta muuhun lainsäädäntöön määrittelevä 2 § ei tältä osin ole erityisen informatiivinen. Henkilötietojen käsittelyn lainmukaisuuden kannalta ongelmallista voi olla, että erityisesti poliisin käytännön toiminnassa sovellettavan ja noudatettava säännöksen identifiointi voi olla vaikeaa. Vaikka valiokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu EU-oikeuden ja sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja sääntelyn soveltamisalan selkeyttämiseen. 
Henkilötietojen käsittelyn periaatteet
Rikosasioiden tietosuojalakiin sisältyy asianmukaiset ja yksityiskohtaiset säännökset henkilötietojen käsittelyn yleisistä edellytyksistä ja periaatteista, rekisteröidyn oikeuksista, valvonnasta ja esimerkiksi tietoturvasta (ks. myös PeVL 26/2018 vp, s. 4). Sen 2 luvussa säädetään yksilöidysti henkilötietojen käsittelyn yleisistä periaatteista, joita on noudatettava aina käsiteltäessä henkilötietoja sen soveltamisalalla. Perustuslakivaliokunnan mielestä olennaista on, että keskeisten henkilötietojen käsittelyä koskevien periaatteiden soveltamisala muodostuu näin arvioiden kattavaksi.  
Ehdotetun sääntelyn soveltamisessa on kuitenkin otettava huomioon myös EU-oikeudestakin seuraavat välttämättömyyden, oikeasuhtaisuuden, yhdenvertaisuuden ja syrjimättömyyden vaatimukset. Perustuslakivaliokunta on arvioidessaan poliisin toimivaltuuksia määrittävää siviilitiedustelulainsäädäntöä korostanut tarvetta säätää yleisistä periaatteista tietoliikennetiedustelulaissa ja sotilastiedustelulaissa sekä poliisilaissa yhdenmukaisesti (PeVL 35/2018 vp, s. 15). Tämä on valiokunnan mukaan tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi (ks. myös PeVL 10/2016 vp, s. 3). Vaikka poliisilain periaatesäännökset tulevat sinänsä sovellettaviksi myös nyt arvioitavan lain soveltamisessa, valiokunnan mielestä lakiehdotusta on täydennettävä poliisilain 1 luvun 2—5 §:n kaltaisilla periaatesäännöksillä. Täydennys voidaan valiokunnan mielestä toteuttaa myös viittaussäännöksellä poliisilain säännöksiin. 
Perustuslakivaliokunta katsoi arvioidessaan siviilitiedustelulainsäädäntöä, että ottaen huomioon tiedustelutoimintaan liittyvät profiloinnin riskit myös nimenomaisen ja asianmukaisesti laaditun syrjintäkiellon ottaminen lakiin oli välttämätöntä, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 35/2018 vp, s. 15). Valiokunta piti sotilastiedustelulainsäädännön arvion yhteydessä säätämisjärjestyskysymyksenä sitä, että tällaisen kiellon on vastattava perustuslain 6 §:n 2 momentin syrjintäkieltoa myös siten, että siinä lueteltujen kiellettyjen syrjintäperusteiden luettelo ei ole tyhjentävä (PeVL 36/2018 vp, s. 17—18). Valiokunnan mielestä lakiehdotusta on täydennettävä näin muotoillulla yleisellä syrjintäkiellolla. Tällainen täydennys on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Hallituksen esityksen perusteluissa viitataan (s. 64) rikosasioiden tietosuojalain 11 §:ään ja todetaan, että lakiehdotuksen 6 §:n 1—4 kohdassa tarkoitettuihin tietoihin sisältyviä arkaluonteisiin tietoihin rinnastuvia erityisiin henkilötietoryhmiin kuuluvia tietoja saisi käsitellä vain siinä säädetyin edellytyksin. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on rikosasioiden tietosuojalain 11 §:n mukaan sallittu vain, jos se on välttämätöntä ja rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja käsittelylle on osoitettavissa 11 §:ssä mainittu oikeusperuste, esimerkiksi erityislaki. Esityksen säätämisjärjestysperusteluissa (s. 126) viitataan myös siihen, että erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely rikosasioissa olisi rajoitettava EU:n tietosuojalainsäädäntö, perusoikeussääntely ja perustuslakivaliokunnan kannanotot huomioiden siihen, mikä on käsittelytarkoituksen kannalta välttämätöntä, ja että välttämättömyyskriteeristä säädetään rikosasioiden tietosuojalaissa.  
Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että välttämättömyydestä on säädetty säädösperustaisesti esimerkiksi lakiehdotuksen 6 §:n 1 momentin 3 kohdassa ja 7 §:n 1 momentin 4 kohdassa terveydentilaa ja sen seurantaa tai sairauden hoitoon liittyviä tietoja koskien. Myös lakiehdotuksen 49 §:n 2 momentissa tarkoitettu suojelupoliisin oikeus käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja on sidottu säädösperustaisesti näiden tietojen käsittelyn välttämättömyyttä koskevaan edellytykseen. Pykäläehdotusten sanamuodot ovat kuitenkin osin hajanaisia. Esimerkiksi lakiehdotuksen 6 §:n 1 momentin 3 kohdassa ja 8 §:n 1 momentin 4 kohdassa sallitaan välttämättömien terveydentilatietojen lisäksi muiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely, kun 12 §:n 1 momentin 6 kohdassa sallitaan samanlaisessa sääntely-yhteydessä ja muuten identtisen säännöksen perusteella vain välttämättömien muiden erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. 
Perustuslakivaliokunnan mielestä tällainen vain eräisiin pykäliin kiinnittyvä sääntelyratkaisu altistaa lain soveltamisen virheellisille vastakohtaispäätelmille.Koska valiokunnan vakiintuneen käytännön mukaan arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään, tulee erityisen perusoikeusherkkään lakiehdotukseen lisätä yleissäännös arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Vaihtoehtoisesti sääntelyä on täydennettävä pykäläkohtaisesti arkaluonteisten tietojen käsittelyn välttämättömyyteen sitovilla säännöksillä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Käsittelyn tarkoituksen määrittäminen
Euroopan unionin perusoikeuskirjan 8 artiklassa edellytetään, että henkilötietojen käsittelyn on tapahduttava tiettyä tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan, että 1 kohtaa on noudatettu. Tietosuoja-asetusta ei kuitenkaan sovelleta muunohella sellaiseen henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan tai jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Ensin mainitun poikkeuksen alaan lukeutuu muun ohella lähtökohtaisesti kansallinen turvallisuus (ks. myös PeVL 35/2018 vp, s. 10—11, PeVL 36/2018 vp, s. 11), jälkimmäisen alaan lähinnä poliisidirektiivi.  
Poliisidirektiiviä sovelletaan sen 2 artiklan mukaan toimivaltaisten viranomaisten direktiivin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn. Viitatun artiklan mukaisia tarkoituksia ovat rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Direktiivin 4 artiklan 1 kohdan b alakohta edellyttää, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten. Direktiivin 4 artiklan 4 kohdan mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja on käsitelty tämän periaatteen mukaisesti. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. 
Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa lainsäädäntöä pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina muun ohella rekisteröinnin tavoitetta, tietosisältöjä ja sallittuja käyttötarkoituksia (ks. PeVL 14/1998 vp, s. 2 ja esimerkiksi PeVL 14/2018 vp, s. 2).Valiokunnan edellä selostetun tarkistetun käytännön mukaan näiden seikkojen sääntelyn lain tasolla tulee nyt arvioitavassa sääntelykontekstissa olla edelleen kattavaa ja yksityiskohtaista. 
Hallituksen esitykseen sisältyvillä lakiehdotuksilla voimassa olevan lain valtakunnallisia tietojärjestelmiä ja muita poliisin henkilörekistereitä koskeva sääntely ehdotetaan korvattavaksi säännöksillä poliisilaissa säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Perustuslakivaliokunnalla ei ole huomauttamista tähän lähtökohtaan. 
Lakiehdotuksen 5 §:n 3 momentin mukaan poliisi saa kuitenkin käsitellä henkilötietoja tutkinta- ja valvontatehtävissä myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta. Vastaava säännös sisältyy myös rikosten ennalta estämistä tai paljastamista koskevaan 7 §:n 4 momenttiin sekä suojelupoliisia koskevaan 48 §:n 2 momenttiin. 
Säännöksessä olisi kyse poliisin tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Perusteluiden (s. 62) mukaan tällaisia tietoja tulisi kerätyksi muun muassa poliisilain 4 luvun 1 §:ssä tarkoitetun teknisen valvonnan yhteydessä. Toinen perusteluissa mainittu esimerkki on tietojen kerääminen rikosanalyysin yhteydessä julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä. Tietoja voitaisiin verrata poliisin tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö laissa säädetyt edellytykset käsittelylle.  
Esityksen säätämisjärjestysperusteluissa (s. 125) viitataan siihen, että rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat poliisin tehtävien kannalta merkityksettömiksi, minkä vuoksi kyseessä olisi yksityisyyden suojaa rajoittava toimenpide. Perustelujen mukaan rekisteröityjen oikeusturvaa parantaisi kuitenkin se, että tietoja saisi säilyttää korkeintaan kuuden kuukauden ajan ja tarpeettomiksi arvioidut tiedot olisi poistettava viipymättä jo ennen kuuden kuukauden määräajan täyttymistä. Tältä osin ehdotuksen voidaan perustelujen mukaan katsoa osaltaan myös parantavan yksityisyyden suojaa verrattuna nykytilaan, jossa esikäsittelyvaiheen kestosta ei nimenomaisesti säädetä. 
Perustuslakivaliokunnan käsityksen mukaan ehdotetun sääntelyn EU-oikeudellinen arviointi on hankalaa. Poliisidirektiivin soveltamisala on sen 2 artiklan mukaan sidottu käsittelyn tarkoitukseen. Toisaalta perusoikeuskirjan 8 artikla, tietosuoja-asetus ja poliisidirektiivi edellyttävät, että henkilötietoja käsitellään vain tiettyä nimenomaista tarkoitusta varten. Henkilötietojen on asetuksen ja direktiivin mukaan oltava myös asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. 
Perustuslakivaliokunnan käsityksen mukaan EU-oikeuden näkökulmasta ehdotettu sääntely olisi mahdollista vain EU-oikeuden soveltamisalan ulkopuolella, esimerkiksi kansallisen turvallisuuden ylläpitämiseksi. Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan määräyksen mukaan kansallinen turvallisuus säilyy yksinomaan kunkin jäsenvaltion vastuulla. Unionilla ei ole kansallista turvallisuutta koskevaa toimivaltaa. Kansallinen turvallisuus on myös vakiintuneesti hyväksytty EUT:n oikeuskäytännössä oikeutetuksi tavoitteeksi rajoittaa perusoikeuksia (esim. tuomio komissio v. Suomi, C-284/05, 45, 47 ja 49 kohta). Valiokunnan käsityksen mukaan sanottu ei kuitenkaan merkitse kansalliselle lainsäätäjälle rajoituksetonta toimivaltaa. Valiokunnan käsityksen mukaan EU-oikeuden soveltamisala ja siitä seuraava perusoikeuskirjan soveltamisala on EU-oikeudellinen kysymys, eikä jäsenvaltiolla ole siten toimivaltaa EU-oikeuden soveltamisalan määrittelyyn edes kansallisen turvallisuuden perusteella. Kansallista turvallisuutta koskevaan perusteeseen vetoavan jäsenvaltion on siten osoitettava objektiivisin perustein tarve turvautua siihen (ks. PeVL 35/2018 vp, s. 10—11, PeVL 36/2018 vp, s. 11). Tällaista perustetta ei esityksessä ole kuitenkaan tuotu suojelupoliisia koskevaa sääntelyä lukuunottamatta esiin, eikä ehdotettu sääntely 5 ja 7 §:ssä rajoitu EU-oikeuden soveltamisalan ulkopuolelle. 
Perustuslakivaliokunta on katsonut, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6) eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 15/2018 vp, s. 49, PeVL 14/2018 vp, s. 13, PeVL 26/2017 vp, s. 42). Valiokunta on arvioinut EU-oikeudellisia lainsäädäntöhankkeita perus- ja ihmisoikeuksien kannalta kiinnittämällä huomiota myös merkitykselliseen tuomioistuinkäytäntöön (ks. myös PeVL 28/2016 vp, s. 5—6, PeVL 20/2016 vp, s. 4—5). Valiokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota EU-tuomioistuimen antamiin ratkaisuihin (PeVL 13/2017 vp, s. 4—5, PeVL 9/2017 vp, s. 5). Valiokunnan mukaan lainsäätäjän toimivaltaan ei voi kuulua yksityiselämän suojan kannalta keskeisten arkaluonteisten tietojen käsittelystä säätäminen vastoin EU:n oikeuteen kuuluvan yleisen tietosuoja-asetuksen sääntelyä (PeVL 15/2018 vp, s. 45).  
Perustuslakivaliokunnan käsityksen mukaan ehdotettu säännös merkitsee sitä, että poliisi voisi tallettaa sähköisiin tietokantoihin suuria määriä henkilötietoja, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä. Rekisteröitävien henkilötietojen sisältöä ja niiden sallittuja käyttötarkoituksia ei ole laissa määritelty. Suojelupoliisia koskevan 48 §:n perusteluissa tosin viitataan siihen, että käsittely merkityksellisyyden arvioimiseksi voisi koskea vain 48 §:n 1 momentissa tarkoitettuja tietoja. Rajausta ei kuitenkaan sisälly ehdotettuun säännökseen. Rekisteröitäviin henkilötietoihin voi ilmeisesti kuulua myös arkaluonteisia tietoja, sillä säätämisjärjestysperusteluiden (s. 126) mukaan poliisin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. Perustelujen mukaan esimerkiksi biometrisiä tietoja käsitellään sekä rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen liittyvissä tehtävissä että lupahallinnollisten tehtävien suorittamiseksi, ja lisäksi poliisi käsittelee tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja. Ehdotettua henkilötietojen käsittelyä merkityksellisyyden arviointia varten ei voisi valvoa, koska esitetty säännös mahdollistaisi poliisille oikeuden rekisteröidä tietojärjestelmään henkilötietoja rajoittamattomasti, ilman niiden käyttötarkoituksen, sisällön tai rekisteröimisedellytysten määrittelemistä. 
Perustuslakivaliokunta kiinnittää erityistä huomiota siihen, että lakiehdotuksen suojelupoliisia koskevan 48 §:n perusteluissa (s. 106) viitataan siihen, että suojelupoliisin tehtävien suorittaminen edellyttää laajaa tiedonhankintaa, eikä kaikkien saatavien tietomassojen osalta ole välttämättä mahdollista arvioida välittömästi sitä, onko tieto tehtävän kannalta merkityksellistä vai ei. Pykälän 2 momentissa sallittaisiin henkilötietojen käsittely väliaikaisesti sen selvittämiseksi, onko tieto merkityksellistä suojelupoliisin tehtävän kannalta vai ei. Valiokunta on arvioidessaan siviilitiedustelulakiehdotusta pitänyt säätämisjärjestyskysymyksenä lakiehdotuksen täydentämistä nimenomaisella säännöksellä yleiseen ja kohdentamattomaan tietoliikenteen seurantaan kohdistuvasta kiellosta (PeVL 35/2018 vp, s. 20, ks. myös PeVL 36/2018 vp, s. 23). Valiokunnan käsityksen mukaan ehdotetun 48 §:n 2 momentin tarve vaikuttaisi perustuvan ainakin osin sellaiseen tietoverkkoihin kohdistuvaan yleiseen ja kohdentamattomaan tietoliikenteen valvontaan, jota valiokunta on pitänyt perustuslain 10 §:n 4 momentin vastaisena. 
Perustuslakivaliokunnan käsityksen mukaan ehdotetun sääntelyn perusteella muodostuisi laaja, tietosisällöiltään ja käsittelyn tarkoitukseltaan oikeudellisesti kontrolloimaton rekisteri, joka voisi sisältää laajasti myös arkaluonteisia tietoja.Valiokunnan mukaan on sinänsä selvää, että kerättyjen henkilötietojen käsittely tiettyyn tarkoitukseen edellyttää niiden sisällön arvioimista tarkoituksen kannalta. Valiokunta kiinnittää kuitenkin huomiota siihen, että sekä tietosuoja-asetuksessa että poliisidirektiivissä henkilötietojen käsittelyllä tarkoitetaan myös tietojen keräämistä, mikä on mahdollista vain tiettyyn nimenomaiseen tarkoitukseen. Kyse ei siten ole säätämisjärjestysperusteluissa (s. 125) viitatuin tavoin henkilötietojen "esikäsittelystä". Myös perustuslakivaliokunnan käytännössä on edellä selostetun mukaisesti edellytetty laintasoista sääntelyä rekisteröinnin tavoitteista, tietosisällöistä ja sallituista käyttötarkoituksista.Valiokunta on edellyttänyt erityisesti arkaluonteisten tietojen käsittelyn rajoittamista täsmällisillä ja tarkkarajaisilla laintasoisilla säännöksillä vain välttämättömään.  
Säännösehdotukset mahdollistaisivat poliisin tehtävien kannalta merkityksettömien tietojen keräämisen ja tallettamisen rekisteriin jopa kuuden kuukauden ajaksi.Ehdotetut 5 §:n 3 momentin, 7 §:n 4 momentin ja 48 §:n 2 momentin säännökset käsittelystä tietojen merkityksellisyyden arvioimiseksi on ehdotetussa muodossa poistettava lakiehdotuksesta. Tällaiset muutokset ovat edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Valiokunta huomauttaa, että henkilötietojen käsittelyn perusteiden arvioinnista voidaan perustuslain estämättä säätää esimerkiksi perustuslakivaliokunnan myötävaikutuksella (PeVL 60/2010 vp, s. 4/II—5/I) säädetyn poliisilain 5 luvun 55 §:n kaltaisella tiedon hävittämistä koskevalla sääntelyllä (ks. myös pakkokeinolain 57 § ja PeVL 66/2010 vp, s. 10 sekä PeVL 32/2013 vp, s. 6—7).  
Sääntelyn täsmällisyys ja tarkkarajaisuus sekä arkaluonteisten tietojen käsittelyn välttämättömyys
Lakiehdotuksen 5 §:n 1 momentissa säädetään henkilötietojen käsittelystä tutkinta- ja valvontatehtävissä. Säännöksen mukaan poliisi saa käsitellä henkilötietoja esitutkinnan, poliisitutkinnan tai muun rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän, yleisen järjestyksen ja turvallisuuden ylläpitämiseen liittyvän tehtävän ja muun poliisille säädetyn valvontatehtävän suorittamiseksi. Pykälän 2 momentin mukaan edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat: 1) rikoksesta tai rikokseen osallisuudesta epäiltyjä; 2) alle 15-vuotiaita rikollisesta teosta epäiltyjä; 3) esitutkinnan, poliisitutkinnan tai poliisin toimenpiteen kohteena; 4) rikoksen ilmoittajia tai asianomistajina esiintyviä henkilöitä; 5) todistajia; 6) uhreja; 7) poliisin kenttätehtäviin tai laissa erikseen säädettyihin valvontatehtäviin välittömästi liittyviä; 8) muutoin kuin 1—7 kohdassa tarkoitetulla tavalla 1 momentissa tarkoitettuun tehtävään liittyviä. Perustelujen mukaan 2 momentissa on kyse täsmentävästä sääntelystä (s. 61). Momentissa mainituista henkilöistä saadaan käsitellä 6 §:n mukaan myös eräitä arkaluonteisia tietoja, esimerkiksi biometrisiä tunnisteita ja terveydentilatietoja. 
Perustuslakivaliokunnan mielestä 5 §:n 2 momentin 8 kohdan sanamuoto on ongelmallisen avoin. Perustelujen mukaan (s. 61) kyseessä voisi olla esimerkiksi mahdollinen lisätietojen antaja, joka ei kuitenkaan olisi todistajan asemassa, tai asiantuntijan roolissa toimiva henkilö. Säännös laajentaa ehdotetun 5 §:n 1 momentin soveltamisalan 2 momentin muun sääntelyn estämättä ketä tahansa säännöksen 1 momentissa tarkoitettuun tehtävään liittyvää henkilöä koskevaksi. Valiokunta on arvioidessaan kumottavaksi ehdotetun poliisin henkilötietolain rekisterikohtaista sääntelyäpitänyt tarpeellisena muotoilla tietosisältöjen sääntely tyhjentäviksi luetteloiksi (PeVL 18/2012 vp, s. 3/I). Valiokunnan mielestä säännöstä on myös nyt valitussa sääntelyratkaisussa välttämätöntä täsmentää olennaisesti esimerkiksi perustelulausumissa esitetyillä näkökohdilla. Tällainen muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. 
Lakiehdotuksen 6 §:n 1 momentin 3 kohdassa säädetään ns. turvallisuustietojen tallettamisesta. Säännöksen perusteella poliisi saa käsitellä toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeellisia tietoja, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömiä tietoja ja muita erityisiin henkilötietoryhmiin kuuluvia tietoja. Perustuslakivaliokunta on arvioinut vastaavia säännösehdotuksia aiemmin katsoen, että ehdotus näyttää tekevän mahdolliseksi terveystietojen ja sosiaalihuollon toimenpiteiden rekisteröinnin hyvin laajasti (ks. myös PeVL 18/2012 vp, s. 3/II, PeVL 51/2002 vp, s. 2/II ja PeVL 37/2002 vp, s. 4/II). Valiokunnan mukaan säännöstä oli syytä täsmentää määrittelemällä tarkemmin sallitut terveydentilatiedot ja sosiaalihuollon toimenpiteet, vaikka välttämättömyysvaatimus sinänsä asianmukaisesti rajoittaakin talletettavien tietojen alaa (PeVL 18/2012 vp, s. 3/II). Valiokunnan käsityksen mukaan myös nyt ehdotettavaa säännöstä rasittaa samanlainen arkaluonteisten tietojen käsittelyyn kytkeytyvä avoimuus erityisesti viitattujen muiden arkaluonteisten tietojen osalta, vaikka säännösehdotuksessa ei sosiaalihuollon asiakkuutta koskevia tietoja mainitakaan. Säännöstä on välttämätöntä täsmentää. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu myös 1. lakiehdotuksen 8 §:n 1 momentin 4 ja 12 §:n 1 momentin 6 kohtaan. 
Lakiehdotuksen 7 §:ssä säädetään henkilötietojen käsittelystä rikosten ennalta estämiseksi tai paljastamiseksi. Lakiehdotuksen 8 §:ssä säädetään tiedoista, joita 4 §:ssä säädettyjen perustietojen lisäksi saadaan käsitellä. Perustuslakivaliokunnan käsityksen mukaan tietoihin voi sisältyä arkaluonteisia tietoja. Valiokunta yhtyy perusteluissa (s. 71) esitettyyn luonnehdintaan, jonka mukaan momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja. Kohdan nojalla poliisi saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat perustelujen mukaan koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin tiedot ovat tarpeellisia rikosten ennalta estämisen ja selvittämisen kannalta. Säännöstä on välttämätöntä täsmentää esimerkiksi perusteluissa esitetyillä luonnehdinnoilla. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Lakiehdotuksen 8 §:ssä säädetään rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisällöstä. Esityksen säätämisjärjestysperustelujen (s. 126) mukaan ehdotetut 7 ja 8 § merkitsisivät valtakunnallisesti käsiteltävän tietosisällön laajenemista voimassaolevaan lakiin verrattuna sekä tietosisällön että rekisteröitävien henkilöryhmien osalta. Voimassa olevassa laissa rekisteriin merkitseminen on sidottu epäillyn rikoksen rangaistuksen vakavuuteen siten, että rikokseen syyllistyvän tai siihen syyllistyneen tietoja saadaan käsitellä, jos epäillystä rikoksesta saattaa seurata vankeutta. Rikokseen myötävaikuttaneen tai myötävaikuttavan henkilön tietoja taas saadaan voimassa olevan sääntelyn mukaan käsitellä, jos epäillystä rikoksesta saattaa seurata enemmän kuin kuusi kuukautta vankeutta tai jos epäilty rikos on huumausaineen käyttörikos. Lakiehdotuksen 7 §:ssä epäilyn kohteena olevalle rikokselle ei asetettaisi lainkaan sen vakavuuteen kohdistuvaa kynnystä, vaan pykälän mukaan siinä tarkoitettujen tietojen olisi liityttävä henkilöihin, joiden "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen". Voimassa olevan lain 4 §:n 2 momentin mukaan tietojen käsittelyn edellytyksenä on, että henkilön on "syytä epäillä" syyllistyvän tai syyllistyneen rikokseen. Valiokunta huomauttaa, että viranomaisepäily rikoksesta muodostaa tietosuoja-asetuksen 10 artiklassa erityisesti säännellyn valtiosääntöisesti arkaluonteisen henkilötiedon. Hallintovaliokunnan on täydennettävä sääntelyä sitomalla käsittely epäillyn rikoksen vakavuuteen. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Lisäksi hallintovaliokunnan on syytä korottaa perustellun olettamuksen vaatimusta esimerkiksi voimassa olevan lain mukaiseen "syytä epäillä" -vaatimukseen. 
Lakiehdotuksen 9 §:ssä säädetään tietolähdetietojen käsittelystä. Pykälän mukaan poliisi saa käsitellä tietoja tietolähteenä käytetystä poliisilain 5 luvun 40 §:ssä tai pakkokeinolain 10 luvun 39 §:ssä tarkoitetusta henkilöstä, tietolähteen käytöstä ja valvonnasta sekä tietolähteen antamien tietojen pääasiallisesta sisällöstä. Säännöksestä ei käy lainkaan ilmi, mitä tietoja henkilöstä on tarkoitus sen nojalla käsitellä. Säännöksen perusteluista tosin ilmenee, että arkaluonteisia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä (s. 73). Sääntelyä on täydennettävä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Lakiehdotuksen 11 §:ssä säädetään henkilötietojen käsittelystä poliisin muissa lakisääteisissä tehtävissä ja 12 §:ssä säädetään näiden tehtävien suorittamiseksi käsiteltävien henkilötietojen sisällöstä. Sääntely rakentuu osin kaksinkertaisen ei-tyhjentävän ja poissulkevan sääntelyn varaan. Poliisi voisi erikseen säädetyn ohella käsitellä myös muita kuin 12 §:n 1 momentin 1—7 kohdassa erikseen määriteltyjä henkilötietoja, jos ne ovat välttämättömiä sellaisten poliisille laissa erikseen säädettyjen valvontatehtävien suorittamiseksi, jotka eivät liity rikoksen ennalta estämiseen, paljastamiseen, selvittämiseen tai syyteharkintaan saattamiseen tai yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseen tai tällaisten uhkien ehkäisemiseen.Sääntelyyn ei sisälly rajausta, jonka mukaan arkaluonteisia tietoja ei sanotun perusteella saa käsitellä. Sääntelyä on täsmennettävä tai täydennettävä rajauksella, jonka mukaan 12 §:n 1 momentin 8 kohdan perusteella ei voi käsitellä arkaluonteisia tietoja. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Lakiehdotuksen 7 luvussa säädetään suojelupoliisin henkilötietojen käsittelystä. Lakiehdotuksen 48 §:n mukaan suojelupoliisi saa käsitellä henkilötietoja, jotka ovat tarpeen kansallisen turvallisuuden suojaamiseksi sekä valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien toimintojen, hankkeiden ja rikosten estämiseksi, paljastamiseksi ja selvittämiseksi. Lakiehdotuksen 49 §:ssä säädetään henkilön perustietojen käsittelystä. Sen 1 momentin 8 kohdan perusteella suojelupoliisi saisi käsitellä tarpeellisina henkilön perustietoina muun ohella matkustamiseen liittyviä tietoja sekä 12 kohdan perusteella toimintaa ja käyttäytymistä koskevia tietoja. Säännösten keskinäinen suhde ei ole selvä, vaikka 49 §:n perusteluissa (s. 106) viitataankin siihen, että suojelupoliisi voisi käsitellä ainoastaan tehtävänsä kannalta tarpeellisia henkilötietoja. 
Perustuslakivaliokunta on arvioidessaan voimassaolevaa lakia katsonut, että suojelupoliisia koskevassa asiayhteydessä rekisterisääntelyn yleisluonteisuus on tavallaan ymmärrettävää (PeVL 51/2002 vp, s. 2/II). Nyt ehdotetun sääntelyn sanamuoto jättää kuitenkin eräiltä osin täysin avoimeksi sen, millaisia tietoja perustietoina olisi tältä osin mahdollista käsitellä. Matkustamiseen liittyvät tiedot kattaisivat käytännössä kaikki tilanteet, joissa henkilö käyttää perustuslain 9 §:ssä suojattua liikkumisvapauttaan. Erityisen ongelmallisena voidaan pitää 12 kohdan mainintaa toimintaa ja käyttäytymistä koskevista tiedoista, joka sanamuodon mukaisena kattaa käytännössä koko yksityisen henkilön elinpiirin. Tällaisiin tietoihin voi sisältyä arkaluonteisia tietoja. Sääntelyä on välttämätöntä täsmentää esimerkiksi rajaamalla tietojen käsittely selkeästi ja säädösperustaisesti sellaiseen matkustamiseen, toimintaan ja käyttäytymiseen, jota koskevien tietojen käsittelyä voidaan pitää suojelupoliisin toimivaltuuksien kannalta välttämättömänä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Käyttötarkoitussidonnaisuudesta poikkeaminen
Perustuslakivaliokunta on korostanut erityisesti arkaluonteisten tietojen käsittelyn käyttötarkoitussidonnaisuuden vaatimusta. Valiokunta on pitänyt mahdollisena tehdä siitä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Tällainen sääntely ei myöskään saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (ks. PeVL 15/2018 vp, s. 45, PeVL 1/2018 vp, s. 4; PeVL 14/2017 vp, s. 5—6). 
Käyttötarkoitussidonnaisuudesta poikkeamista voimassaolevaan lakiin nähden laajentavat ehdotukset kohdistuvat lakiehdotuksen mukaan lähinnä passi- ja henkilökorttilain mukaisiin biometrisiin tietoihin, ulkomaalaislain 131 §:n perusteella käsiteltäviin ulkomaalaisten tunnistamistietoihin ja lupahallinnollisen päätöksenteon tietopohjaan. Perusteluna laajentamiselle on pyrkimys tehostaa rikoksen ennalta estämistä, paljastamista ja selvittämistä tilanteissa, jotka edellyttävät henkilötietojen tarkistamista useammasta henkilörekisteristä (s. 129). 
Lakiehdotuksen 14 §:n 4 momentin mukaan ulkomaalaislain 131 §:n perusteella käsiteltäviä biometrisiä tietoja voitaisiin jatkossa käyttää alkuperäisen käyttötarkoituksen lisäksi silloin, jos tietojen käyttäminen on välttämätöntä Eurodac-asetuksessa tarkoitettujen terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi.  
Perustuslakivaliokunta on ulkomaalaislain muuttamista koskevassa lausunnossaan (PeVL 47/2010 vp, s. 4) pitänyt säätämisjärjestyskysymyksenä, että ulkomaalaislain 131 §:n perusteella kerättyjen sormenjälkien käyttäminen rajoitetaan vain niiden keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen. Tällainen tarkoitus voi valiokunnan mukaan sinänsä liittyä myös tarkasti määriteltyjen rikosten estämiseen ja selvittämiseen, mutta ainoastaan siinä laajuudessa kuin tällä toiminnalla on kiinteä yhteys alkuperäiseen keräämis- ja tallettamistarkoitukseen. Ulkomaalaisten tunnistamistietojen alkuperäisestä keräämis- ja tallettamistarkoituksesta säädetään ulkomaalaislain 131 §:ssä, jonka mukaan poliisi tai rajatarkastusviranomainen saa henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten ja valtion turvallisuuden suojaamiseksi ottaa sormenjäljet, valokuvan sekä muut henkilötuntomerkit säännöksessä määritellyistä ulkomaalaisista. 
Lakiehdotuksen 14 §:n 4 momenttia perustellaan (s. 136) sillä, että poliisilla on ulkomaalaislain 131 §:n nojalla oikeus ottaa tuntomerkkitiedot valtion turvallisuuden varmistamiseksi ja että valtiolla on katsottu ihmisoikeustuomioistuimen oikeuskäytännössä olevan laaja harkintamarginaali muun muassa sen arvioimiseksi, onko yksityisyyden suojan rajoittaminen välttämätöntä valtion turvallisuuden varmistamiseksi. Valtion turvallisuuden varmistamiseksi pidetään tärkeänä muun muassa sen selvittämistä, ketä on syytä epäillä valtion turvallisuutta vaarantavan rikoksen tekemisestä tai sellaisen suunnittelusta. Terrorismirikosten ja muiden vakavien rikosten ennalta estämistä, paljastamista ja selvittämistä olisi perustelujen mukaan pidettävä valtion turvallisuuden varmistamisen kanssa yhteensopivana henkilötietojen käsittelytarkoituksena. Terroristisiin tekoihin ehdotetaan rinnastettavaksi Eurodac-asetusta vastaavasti muut asetuksessa tarkoitetut vakavat rikokset. 
Viitatun Eurodac-asetuksen 2 artiklan määritelmäsäännöksen mukaan terrorismirikoksilla tarkoitetaan tekoja, jotka kansallisessa lainsäädännössä määritellään rikoksiksi ja jotka ovat puitepäätöksen 2002/475/YOS 1—4 artiklassa tarkoitettuja tai niitä vastaavia rikoksia, ja vakavilla rikoksilla rikoksia, jotka ovat puitepäätöksen 2002/584/YOS 2 artiklan 2 kohdassa tarkoitettuja tai niitä vastaavia rikoksia, jos niistä voi seurata kansallisen lainsäädännön mukaan vapaudenmenetyksen käsittävä rangaistus tai vapaudenmenetystä koskeva määräys, jonka enimmäisaika on vähintään kolme vuotta. Lakiehdotuksen 14 §:n 4 momentti laajenee siten rikoksiin, jotka törkeässäkään tekomuodossaan eivät kohdistu valtion turvallisuuteen tai muuhun ulkomaalaislain 131 §:ssä lueteltuun tarkoitukseen. Näiden rikosten torjunnalla ei siten ole perustuslakivaliokunnan edellyttämää kiinteää yhteyttä alkuperäiseen keräämis- ja tallettamistarkoitukseen. Mikäli lakiehdotuksen 14 §:n 4 momentin sääntely ei tältä osin ole Eurodac-asetuksen edellyttämää, on sitä täsmennettävä olennaisesti siten, että käsittelyllä on kiinteä yhteys alkuperäiseen keräämis- ja tallettamistarkoitukseen. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Tietojen luovuttaminen
Lakiehdotuksen 51 §:ssä säädetään henkilötietojen luovuttamisesta kansainvälisessä yhteistyössä. Pykälän 4 momentin mukaan päätettäessä tietojen luovuttamisesta on lisäksi otettava huomioon henkilötietoja vastaanottavan valtion ihmisoikeustilanne, luovutuksen merkitys Suomen kansainvälisille suhteille sekä Suomea sitovat kansainväliset sopimukset ja muut velvoitteet. Lisäksi on otettava huomioon henkilötietoja vastaanottavan valtion tietosuojan taso ja luovutuksen merkitys rekisteröidyn oikeuksille.  
Säännöksen perustelujen (s. 110) mukaan suojelupoliisin olisi kunnioitettava kaikessa toiminnassaan perusoikeuksia ja ihmisoikeuksia sekä valittava perusteltavissa olevista vaihtoehdoista se, joka parhaiten edistää näiden oikeuksien toteutumista. Näin suojelupoliisin olisi toimittava henkilötietoja käsitellessään ja niitä luovuttaessaan ulkomaille. Lisäksi harkinnassa olisi mahdollisuuksien mukaan huomioitava henkilötietoja vastaanottavan tietosuojan taso ja luovutuksen merkitys rekisteröidyn oikeuksille. Perustuslakivaliokunta pitää säännöstä perusteltuna.  
Perustuslakivaliokunta on katsonut, että perustuslain 9 §:n 4 momentin kiellosta karkottaa ulkomaalaista, jos häntä tämän vuoksi uhkaa kuolemanrangaistus, kidutus tai muu ihmisarvoa loukkaava kohtelu, seuraa valiokunnan käsityksen mukaan myös sellainen tulkintavaikutus, että tietojen luovuttaminen ei ole sallittua, jos niiden käyttäminen voi johtaa esimerkiksi kuolemanrangaistukseen tuomitsemiseen tai jo tuomitun rangaistuksen täytäntöönpanoon (PeVL 51/2002 vp). Valiokunta on lisäksi tiedustelulakien arvioinnin yhteydessä pitänyt säätämisjärjestyskysymyksenä kansainvälistä tietojen vaihtoa koskevan sääntelyn täydentämistä siten, että siitä ilmenee säädösperustaisesti ja nimenomaisesti kielto luovuttaa tietoja sellaisille valtioille, joiden voidaan katsoa syyllistyvän järjestelmällisiin ihmisoikeusloukkauksiin tai joissa tiedonhankintakeinot eivät noudata kansainvälisissä ihmisoikeussopimuksissa vahvistettuja standardeja. Rajaus voitiin valiokunnan mielestä toteuttaa esimerkiksi säännökseen otettavalla viittauksella siihen, että tietojen luovuttamisessa ja vastaanottamisessa on noudatettava Suomea velvoittavia kansainvälisiä sopimuksia, ja kieltämällä nimenomaisesti kansainvälinen yhteistyö ja tietojen vaihto, jos on perusteltua aihetta epäillä, että jotakin henkilöä tämän yhteistyön tai tietojen luovuttamisen vuoksi uhkaa kuolemanrangaistus, kidutus, muu ihmisarvoa loukkaava kohtelu, vaino, mielivaltainen vapaudenriisto tai epäoikeudenmukainen oikeudenkäynti(PeVL 35/2018 vp, s. 25—26, PeVL 36/2018 vp, s. 28). Valiokunnan mielestä myös nyt ehdotettua sääntelyä tulee täydentää tällaisella nimenomaisella kiellolla. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Säilytysajat
Henkilötietojen säilytysajoista säädettäisiin 5 luvussa ja suojelupoliisin osalta 57 §:ssä.Lakiehdotuksen 35 §:n mukaan rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot poistettaisiin viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan tiedon merkitsemisestä. Pitkästä säilytysajasta säädetään myös tietolähdetietojen osalta 36 §:ssä, jonka mukaan ne poistetaan viimeistään kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Joidenkin henkilöiden kohdalla säilytetyksi voi tulla siis hyvin pitkän aikavälin tietoja, jos uusia tietoja säännöllisesti lisätään. Myös 33 §:n 7 momentissa, 34 §:n 4 momentissa ja 35 §:n 2 momentissa sallitaan tietojen säilytyksen toistuva jatkaminen varsin väljillä perusteilla. Suojelupoliisia koskevan 57 §:n mukaan tiedot poistettaisiin 25 vuoden kuluttua viimeisen tiedon merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen.  
Perustuslakivaliokunnan mukaan tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita (ks. PeVL 31/2017 vp). Valiokunta on pitänyt myös viiden vuoden säilytysaikaa arkaluonteisten tietojen osalta pitkänä (PeVL 13/2017 vp, s. 6) ja korostanut, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp, s. 7). Hallintovaliokunnan on syytä tarkastella, ovatko näin pitkät säilytysajat tarpeen, ja rajoittaa erityisesti arkaluonteisten henkilötietojen säilytysaikoja välttämättömään säilytyksen tarkoituksen kannalta. 
Tietosuojarikos
Lakiehdotukseen ei sisälly viittausta rikoslain 38 luvun 9 §:n tietosuojarikosta koskevaan säännökseen. Tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Säännös on perustuslain 8 §:ssä tarkoitetun rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallinen, koska siinä ei tarkemmin yksilöidä niitä henkilötietojen käsittelyä koskevia muita lakeja, joiden vastainen toiminta voi tulla tietosuojarikoksena rangaistavaksi (ks. PeVL 14/2018 vp, s. 21—22). 
Tietosuojarikosta koskeva säännös on niin sanottu blankorikossäännös. Laillisuusperiaatteeseen liittyvistä syistä blankorangaistussääntelyyn on ollut syytä suhtautua torjuvasti (esim. PeVL 10/2016 vp, s. 8, PeVL 31/2002 vp, s. 3, PeVL 15/1996 vp, s. 2/II ja PeVL 20/1997 vp, s. 3/II). Perusoikeusuudistuksen yhteydessä valiokunta korosti, että blankosääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp). Tuoreemmassa käytännössään valiokunta on pitänyt blankorikossääntelyn täsmentämistä edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 10/2016 vp, s. 8—9). Myös tilanteessa, jossa säännöksessä luetellaan niitä tekotapoja, jotka voivat tulla rangaistaviksi, sääntelyä on perustuslakivaliokunnan käytännön mukaan ollut täsmennettävä viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla (PeVL 14/2018 vp, s. 21—22). Valiokunnan käsityksen mukaan henkilötietojen käsittelystä poliisitoimessa annettava laki on sellainen "henkilötietojen käsittelyä koskeva muu laki", jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa. Lakiehdotusta on täydennettävä viittauksella rikoslain tietosuojarikosta koskevaan säännökseen. 
Muita seikkoja
Eduskunta on vuoden 2018 valtiopäivillä hyväksynyt eduskunnan työjärjestykseen uuden 17 a §:n, jossa viitataan voimassaolevaan henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:ään (PeVM 10/2018 vp). Valiokunta muistuttaa tarpeesta ajantasaistaa viittaus nyt säädettävän lain yhteydessä. 
VALIOKUNNAN PÄÄTÖSESITYS
Perustuslakivaliokunta esittää,
että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan periaatesäännöksistä sekä 5—9, 12, 14, 48, 49 ja 51 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon.  
Helsingissä 10.1.2019 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Annika
Lapintie
vas
varapuheenjohtaja
Tapani
Tölli
kesk
jäsen
Maria
Guzenina
sd
jäsen
Anna-Maja
Henriksson
r
jäsen
Hannu
Hoskonen
kesk
jäsen
Ilkka
Kantola
sd
jäsen
Kimmo
Kivelä
sin (osittain)
jäsen
Antti
Kurvinen
kesk
jäsen
Mia
Laiho
kok
jäsen
Markus
Lohi
kesk
jäsen
Leena
Meri
ps
jäsen
Ville
Niinistö
vihr
jäsen
Wille
Rydman
kok
jäsen
Ville
Skinnari
sd
jäsen
Kaj
Turunen
kok
varajäsen
Mats
Löfström
r
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Mikael
Koillinen
Viimeksi julkaistu 19.2.2019 13:39