Valiokunnan lausunto
PeVL
58
2018 vp
Perustuslakivaliokunta
Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Rajavartiolaitoksessa ja eräiksi siihen liittyviksi laeiksi
Hallintovaliokunnalle
JOHDANTO
Vireilletulo
Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Rajavartiolaitoksessa ja eräiksi siihen liittyviksi laeiksi (HE 241/2018 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 
Asiantuntijat
Valiokunta on kuullut: 
lainsäädäntöneuvos
Anne
Ihanus
sisäministeriö
rikostarkastaja
Jari
Nyström
sisäministeriö
tietosuojavaltuutettu
Reijo
Aarnio
tietosuojavaltuutetun toimisto
professori
Juha
Lavapuro
Valiokunta on saanut kirjallisen lausunnon: 
professori
Tomi
Voutilainen
HALLITUKSEN ESITYS
Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Rajavartiolaitoksessa, joka korvaisi voimassa olevan samannimisen lain. Lisäksi esitys sisältää ehdotukset eräiden muiden lakien muuttamiseksi.  
Lait on tarkoitettu tulemaan voimaan mahdollisimman pian. 
Esitykseen sisältyvissä säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 6 §:n yhdenvertaisuussäännöksen, perustuslain 10 §:ssä turvatun henkilötietojen ja yksityisyydensuojan ja perustuslain 21 §:ssä turvatun oikeusturvan kannalta. Huomiota kiinnitetään myös Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevaan 8 artiklaan ja Euroopan unionin yleiseen tietosuoja-asetukseen. 
Hallituksen käsityksen mukaan lakiehdotukset voidaan säätää tavallisen lain säätämisjärjestyksessä. Koska esitys kuitenkin sisältää perusoikeuksien toteutumisen kannalta merkityksellisiä muutoksia voimassa olevaan lainsäädäntöön, hallitus pitää perusteltuna, että esityksestä pyydettäisiin perustuslakivaliokunnan lausunto.  
VALIOKUNNAN PERUSTELUT
Arvion lähtökohdat
Hallituksen esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Rajavartiolaitoksessa. Samalla voimassa oleva, perustuslakivaliokunnan myötävaikutuksella säädetty (PeVL 19/2005 vp) samanniminen laki kumottaisiin. Perustuslakivaliokunta on antanut lausunnon hallituksen esityksistä laeiksi henkilötietojen käsittelystä poliisitoimessa (PeVL 51/2018 vp) ja puolustusvoimissa (PeVL 52/2018 vp). Valiokunnassa on lausuntoasiana vireillä hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa sekä eräiksi siihen liittyviksi laeiksi (HE 241/2018 vp)..  
Nyt arvioitavan esityksen tavoitteena on saattaa henkilötietojen käsittelyä Rajavartiolaitoksessa koskeva lainsäädäntö ajan tasalle. Sääntelyssä huomioitaisiin Euroopan unionin uudistunut tietosuojalainsäädäntö sekä kansalliset muutostarpeet. Tavoitteena on erityisesti selkeyttää ja yksinkertaistaa voimassa olevaa sääntelyä. Ehdotus on merkityksellinen perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan kannalta. 
Laki täydentäisi Euroopan unionin yleistä tietosuoja-asetusta ja ns. poliisidirektiivin (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta) yleistä täytäntöönpanolainsäädäntöä. Esityksen perusteluissa (s. 14) arvioidaan, että tietosuoja-asetusta ja sitä täydentävää tietosuojalakia sovelletaan Rajavartiolaitoksessa esimerkiksi rajavalvontaan, useisiin Rajavartiolaitokselle säädettyihin valvontatehtäviin, tullitehtäviin ja pelastustehtäviin liittyvään henkilötietojen käsittelyyn.  
Poliisidirektiivin soveltamisalaan arvioidaan Rajavartiolaitoksessa kuuluvaksi rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen sekä näihin liittyvät toimenpiteet yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Lisäksi Rajavartiolaitoksessa käsitellään henkilötietoja kansallisen turvallisuuden ylläpitämiseen liittyvissä tehtävissä ja meripelastustoiminnan yhteydessä. Perusteluissa (s. 15) arvioidaan, että viimeksi mainitut eivät kuulu EU:n oikeuden soveltamisalaan. 
Perustuslakivaliokunta on hiljattain arvioinut (PeVL 26/2018 vp) rikosasioiden tietosuojalain säätämiseen tähdännyttä hallituksen esitystä, johon sisältyvän lakiehdotuksen tarkoituksena on muun ohella toimeenpanna poliisidirektiivi. Valiokunta on EU:n tietosuoja-asetuksen soveltamisalalla tarkistanut kantaansa henkilötietojen suojasta lailla säätämisen vaatimuksen osalta. Valiokunnan mukaan merkityksellistä on, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. myös PeVL 14/2018 vp, s. 7).Merkityksellistä on lisäksi, että kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle, eikä siten kuulu myöskään lähtökohtaisesti poliisidirektiivin soveltamisalalle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on perustuslain 10 §:n henkilötietojen suojaa koskevan turvaamisvelvoitteen johdosta säädettävä kansallisella lainsäädännöllä (ks. PeVL 26/2018 vp, s. 4).  
Perustuslakivaliokunnan mukaan (PeVL 26/2018 vp, s. 3, PeVL 14/2018 vp, s. 7) perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" (PeVL 15/1994 vp, s. 1/II, PeVL 67/2010 vp, s. 2—3). Valiokunnan mukaan henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa suuren riskin perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp, s. 7).  
Merkityksellistä tässä suhteessa oli myös, että tuolloin käsillä olleeseen esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityislainsäädännöllä (PeVL 26/2018 vp, s. 3—4). Valiokunnan käsityksen mukaan nyt arvioitavan lakiehdotuksen tarkoitus on toimia tällaisena täydentävänä erityislainsäädäntönä. Valiokunnassa on lausuntoasiana vireillä samanaikaisesti tämän esityksen kanssa myös hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa ja eräiksi siihen liittyviksi laeiksi (HE 259/2018 vp). 
Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltuuksien tulee perustuslain 2 §:n 3 momentissa vahvistetun oikeusvaltioperiaatteen vuoksi perustua lakiin (ks. myös PeVL 10/2016 vp, s. 3, PeVL 51/2006 vp, s. 2/I).Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I). 
Hallituksen esityksen säätämisjärjestysperusteluista (s. 84) ilmenee, että arkaluonteisia henkilötietoja käsitellään Rajavartiolaitoksessa sekä direktiivin että asetuksen soveltamisalaan kuuluvia Rajavartiolaitoksen tehtäviä varten. Rajavartiolaitoksen tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen 1. lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi perustuslakivaliokunnan käytännössä (ks. esim. PeVL 14/2009 vp, s. 3/I) arkaluonteisiin tietoihin rinnastettuja biometrisiä tietoja käsitellään perustelujen mukaan rajavalvonnassa ja rajaturvallisuuden ylläpitämisessä sekä rikosasioissa. 
Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3).  
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp, s. 40). 
Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6). 
Rajavartiolaitoksen henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää. Tällaisessa tilanteessa myös tietojen käytön valvontaan on kiinnitettävä korostettua huomiota (PeVL 51/2018 vp, s. 5, PeVL 42/2014 vp, s. 2/II—3/I, ks. myös PeVL 35/2018 vp, s. 34). Perustuslakivaliokunta korostaa, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa yksin rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan (PeVL 51/2018 vp, s. 5, PeVL 52/2018 vp, s . 4). 
Perustuslakivaliokunta ei ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn suhdetta EU-oikeuteen. Hallintovaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa. 
Lain soveltamisala
Henkilötietojen käsittelyä rajavartiolaitoksen toiminnassa säännellään sekä yleisessä tietosuoja-asetuksessa että sitä täydentävässä kansallisessa tietosuojalaissa, rikosasioiden tietosuojalaissa ja säädettäväksi ehdotetussa laissa. Perustelujen (s. 31) mukaan valtaosaan Rajavartiolaitoksen henkilötietojen käsittelystä sovellettaisiin yleissäädöksenä tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. 
Perustuslakivaliokunnan mielestä sovellettavan lainsäädännön kokonaisuutta ei voi luonnehtia selkeäksi ja ymmärrettäväksi, vaikka nyt arvioitavan sääntelyn rakenteessa onkin pyritty selkeyteen ja yksinkertaisuuteen. Sovellettavana olevien EU- ja kansallisten säädösten väliset suhteet muodostuvat osittain päällekkäisiksi ja osittain toisistaan erotettaviksi. Ehdotetun sääntelyn täsmällistä soveltamisalaa on hankalaa ja vaivalloista selvittää lakiehdotuksen sisältämän sääntelyn perusteella.  
Lakiehdotuksen soveltamisalaa ja suhdetta muuhun lainsäädäntöön määrittelevä 2 § ei tältä osin ole erityisen selkeä. Henkilötietojen käsittelyn lainmukaisuuden kannalta ongelmallista voi olla, että erityisesti käytännön toiminnassa sovellettavan ja noudatettavan säännöksen identifiointi voi olla vaikeaa. Vaikka valiokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu EU-oikeuden ja sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja sääntelyn soveltamisalan selkeyttämiseen. 
Lakiehdotuksen 2 §:n 2 momentti sisältää perusteluiden mukaan informatiivisen viittauksen viranomaisten toiminnan julkisuudesta annettuun lakiin ja Rajavartiolaitoksen hallintolakiin, jossa säädetään julkisuuslakia täydentävästi vaitiolovelvollisuudesta ja tietojen antamisesta vaitiolovelvollisuuden estämättä. Säännös on kuitenkin kirjoitettu aineellisen viittauksen muotoon ("sovelletaan") ja rajoittuu sanamuodon mukaan henkilötietojen salassapitoon ja vaitiolovelvollisuuteen. Säännöksen sanamuoto on syytä korjata perusteluissa esitetyn mukaiseksi ("säädetään").  
Perustuslakivaliokunta huomauttaa lisäksi, että yleislakina sovellettavaksi tulevan, perustuslakivaliokunnan nimenomaisella myötävaikutuksella tältä osin (PeVL 14/2018 vp, s. 15—16, PeVL 26/2018 vp, s. 7) säädetyn tietosuojalain 28 §:n ja vastaavasti rikosasioiden tietosuojalain 2 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Valiokunta pitää perustuslain 12 §:n 2 momentista johtuvista syistä välttämättömänä, että sääntelyn sanamuoto yhtenäistetään yleislain kanssa. Tämä on tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi. Säännöstä on mahdollista täydentää rikosasioiden tietosuojalain 62 §:n mukaisella sääntelyllä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta. 
Henkilötietojen käsittelyn periaatteet
Tietosuoja-asetukseen ja rikosasioiden tietosuojalakiin sisältyy asianmukaiset ja yksityiskohtaiset säännökset henkilötietojen käsittelyn yleisistä edellytyksistä ja periaatteista, rekisteröidyn oikeuksista, valvonnasta ja esimerkiksi tietoturvasta (ks. myös PeVL 15/2018 vp ja PeVL 26/2018 vp, s. 4). Sen 2 luvussa säädetään yksilöidysti henkilötietojen käsittelyn yleisistä periaatteista, joita on noudatettava aina käsiteltäessä henkilötietoja sen soveltamisalalla. EU-oikeuden soveltamisalan ulkopuolelle arvioidun meripelastusta koskevan lakiehdotuksen 20 §:ään ehdotetaan säädettäväksi aineellinen viittaussäännös siitä, että meripelastusrekisterin henkilötietojen käsittelyyn sovellettaisiin tietosuoja-asetusta sen 56 artiklaa ja VII lukua lukuun ottamatta sekä tietosuojalakia, jollei meripelastuslaissa toisin säädettäisi. Perustuslakivaliokunnan mielestä olennaista on, että keskeisten henkilötietojen käsittelyä koskevien periaatteiden soveltamisala muodostuu näin arvioiden kattavaksi. Hallintovaliokunnan on kuitenkin syytä tarkastella, onko ehdotettu meripelastuslain aineellinen viittaussäännös tietosuojalain 2 §:n 1 momentin johdosta tarpeellinen, ja tarvittaessa muutettava sen sanamuoto virheellisten vastakohtaispäätelmien välttämiseksi informatiivisen viittaussäännöksen muotoon.  
Ehdotetun sääntelyn soveltamisessa on kuitenkin otettava huomioon myös EU-oikeudestakin seuraavat välttämättömyyden, oikeasuhtaisuuden, yhdenvertaisuuden ja syrjimättömyyden vaatimukset. Perustuslakivaliokunta on arvioidessaan poliisin toimivaltuuksia määrittävää siviilitiedustelulainsäädäntöä korostanut tarvetta säätää yleisistä periaatteista tietoliikennetiedustelulaissa ja sotilastiedustelulaissa sekä poliisilaissa yhdenmukaisesti (PeVL 35/2018 vp, s. 15). Tämä on valiokunnan mukaan tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi (ks. myös PeVL 10/2016 vp, s. 3). Valiokunta katsoi arvioidessaan lakiehdotusta henkilötietojen käsittelystä poliisitoimessa, että vaikka poliisilain periaatesäännökset tulevat sinänsä sovellettaviksi myös tuolloin arvioidun lain soveltamisessa, valiokunnan mielestä tuolloin arvioitua lakiehdotusta oli täydennettävä poliisilain 1 luvun2—5 §:n kaltaisilla periaatesäännöksillä. Valiokunnan mielestä myös nyt arvioitavaa lakiehdotusta on täydennettävä vastaavin periaatesäännöksin. 
Perustuslakivaliokunta katsoi arvioidessaan siviilitiedustelulainsäädäntöä, että ottaen huomioon tiedustelutoimintaan liittyvät profiloinnin riskit myös nimenomaisen ja asianmukaisesti laaditun syrjintäkiellon ottaminen lakiin oli välttämätöntä, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 35/2018 vp, s. 15). Valiokunta piti sotilastiedustelulainsäädännön arvion yhteydessä säätämisjärjestyskysymyksenä sitä, että tällaisen kiellon on vastattava perustuslain 6 §:n 2 momentin syrjintäkieltoa myös siten, että siinä lueteltujen kiellettyjen syrjintäperusteiden luettelo ei ole tyhjentävä (PeVL 36/2018 vp, s. 17—18). Valiokunta edellytti myös lakia henkilötietojen käsittelystä poliisitoimessa täydennettävän näin muotoillulla yleisellä syrjintäkiellolla, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 51/2018 vp, s. 6, ks. myös PeVL 52/2018 vp, s. 5). Valiokunnan mielestä tällainen täydennys on myös nyt arvioitavan ehdotuksen kohdalla edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Hallituksen esityksen säätämisjärjestysperusteluissa (s. 126) viitataan myös siihen, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi lakiehdotuksessa sidottu Rajavartiolaitoksen lakisääteisiin tehtäviin ja välttämättömyyteen. Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että välttämättömyydestä ehdotetaan säädettäväksi esimerkiksi lain 5 §:n 10 kohdassa ja 7 §:n 3 kohdassa terveydentilaa ja sen seurantaa tai sairauden hoitoon liittyviä tietoja koskien. Pykäläehdotusten sanamuodot ovat kuitenkin osin hajanaisia. Esimerkiksi lakiehdotuksen 15 §:ssä sallitaan henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen silloin, kun se on tarpeen päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja.  
Perustuslakivaliokunnan vakiintuneen käytännön mukaan arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään. Erityisen perusoikeusherkkään lakiehdotukseen tulee lisätä yleissäännös arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Vaihtoehtoisesti sääntelyä on täydennettävä pykäläkohtaisesti arkaluonteisten tietojen käsittelyn välttämättömyyteen sitovilla säännöksillä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Käsittelyn tarkoituksen määrittäminen
Euroopan unionin perusoikeuskirjan 8 artiklassa edellytetään, että henkilötietojen käsittelyn on tapahduttava tiettyä tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan, että 1 kohtaa on noudatettu. Tietosuoja-asetusta ei kuitenkaan sovelleta muunohella sellaiseen henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan tai jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Ensin mainitun poikkeuksen alaan lukeutuu muun ohella lähtökohtaisesti kansallinen turvallisuus (ks. myös PeVL 35/2018 vp, s. 10—11, PeVL 36/2018 vp, s. 11), jälkimmäisen alaan lähinnä poliisidirektiivi.  
Poliisidirektiiviä sovelletaan sen 2 artiklan mukaan toimivaltaisten viranomaisten direktiivin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn. Viitatun artiklan mukaisia tarkoituksia ovat rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Direktiivin 4 artiklan 1 kohdan b alakohta edellyttää, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten. Direktiivin 4 artiklan 4 kohdan mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja on käsitelty tämän periaatteen mukaisesti. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. 
Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa lainsäädäntöä pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina muun ohella rekisteröinnin tietosisältöjä, tavoitetta ja sallittuja käyttötarkoituksia (ks. PeVL 14/1998 vp, s. 2 ja esimerkiksi PeVL 14/2018 vp, s. 2).Valiokunnan edellä selostetun tarkistetun käytännön mukaan näiden seikkojen sääntelyn lain tasolla tulee nyt arvioitavassa sääntelykontekstissa olla edelleen kattavaa ja yksityiskohtaista. 
Hallituksen esitykseen sisältyvillä lakiehdotuksilla voimassa olevan lain sääntely Rajavartiolaitoksen henkilörekistereistä ehdotetaan korvattavaksi säännöksillä Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Perustuslakivaliokunnalla ei ole huomauttamista tähän lähtökohtaan. 
Lakiehdotuksen 6 §:n 3 momentin mukaan Rajavartiolaitos saa kuitenkin käsitellä henkilötietoja tutkinta- ja valvontatehtävissä myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta. Vastaava säännös sisältyy myös rikosten ennalta estämistä tai paljastamista koskevaan 8 §:n 6 momenttiin. 
Säännöksessä olisi kyse viranomaisen tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Perusteluiden (s. 37) mukaan tällaisia tietoja tulisi kerätyksi muun muassa rikosanalyysin yhteydessä julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä. Tietoja voitaisiin verrata tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö laissa säädetyt edellytykset käsittelylle.  
Esityksen perusteluissa (s. 37) viitataan siihen, että rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömiksi. Momentin viimeisessä virkkeessä korostettaisiin kuitenkin rikosasioiden tietosuojalain 6 §:n mukaista vaatimusta tarpeettomien tietojen poistamisesta ilman aiheetonta viivytystä, mitä täydentäisi kuuden kuukauden aikarajoitus, jonka kuluessa henkilötietojen merkityksellisyys olisi viimeistään arvioitava. 
Perustuslakivaliokunnan käsityksen mukaan ehdotetun sääntelyn EU-oikeudellinen arviointi on hankalaa. Perusoikeuskirjan 8 artikla, tietosuoja-asetus ja poliisidirektiivi edellyttävät, että henkilötietoja käsitellään vain tiettyä nimenomaista tarkoitusta varten. Henkilötietojen on asetuksen ja direktiivin mukaan oltava myös asianmukaisia ja olennaisia eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. 
Perustuslakivaliokunnan käsityksen mukaan EU-oikeuden näkökulmasta ehdotettu sääntely olisi mahdollista vain EU-oikeuden soveltamisalan ulkopuolella, esimerkiksi kansallisen turvallisuuden ylläpitämiseksi. Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan määräyksen mukaan kansallinen turvallisuus säilyy yksinomaan kunkin jäsenvaltion vastuulla. Unionilla ei ole kansallista turvallisuutta koskevaa toimivaltaa. Kansallinen turvallisuus on myös vakiintuneesti hyväksytty EUT:n oikeuskäytännössä oikeutetuksi tavoitteeksi rajoittaa perusoikeuksia (esim. tuomio komissio v. Suomi, C-284/05, 45, 47 ja 49 kohta). Valiokunnan käsityksen mukaan sanottu ei kuitenkaan merkitse kansalliselle lainsäätäjälle rajoituksetonta toimivaltaa. Valiokunnan käsityksen mukaan EU-oikeuden soveltamisala ja siitä seuraava perusoikeuskirjan soveltamisala on EU-oikeudellinen kysymys, eikä jäsenvaltiolla ole siten toimivaltaa EU-oikeuden soveltamisalan määrittelyyn edes kansallisen turvallisuuden perusteella. Kansallista turvallisuutta koskevaan perusteeseen vetoavan jäsenvaltion on siten osoitettava objektiivisin perustein tarve turvautua siihen (ks. PeVL 35/2018 vp, s. 10—11, PeVL 36/2018 vp, s. 11). Tällaista perustetta ei esityksessä ole kuitenkaan ehdotetun sääntelyn osalta tuotu esiin, eikä ehdotettu sääntely 6 ja 8 §:ssä rajoitu EU-oikeuden soveltamisalan ulkopuolelle. 
Perustuslakivaliokunta on katsonut, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6) eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 15/2018 vp, s. 49, PeVL 14/2018 vp, s. 13, PeVL 26/2017 vp, s. 42). Valiokunta on arvioinut EU-oikeudellisia lainsäädäntöhankkeita perus- ja ihmisoikeuksien kannalta kiinnittämällä huomiota myös merkitykselliseen tuomioistuinkäytäntöön (ks. myös PeVL 28/2016 vp, s. 5—6, PeVL 20/2016 vp, s. 4—5). Valiokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota EU-tuomioistuimen antamiin ratkaisuihin (PeVL 13/2017 vp, s. 4—5, PeVL 9/2017 vp, s. 5). Valiokunnan mukaan lainsäätäjän toimivaltaan ei voi kuulua yksityiselämän suojan kannalta keskeisten arkaluonteisten tietojen käsittelystä säätäminen vastoin EU:n oikeuteen kuuluvan yleisen tietosuoja-asetuksen sääntelyä (PeVL 15/2018 vp, s. 45).  
Perustuslakivaliokunnan käsityksen mukaan ehdotettu säännös merkitsee sitä, että Rajavartiolaitos voisi tallettaa sähköisiin tietokantoihin suuria määriä henkilötietoja, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä. Rekisteröitävien henkilötietojen sisältöä ja niiden sallittuja käyttötarkoituksia ei ole laissa määritelty. Rekisteröitäviin henkilötietoihin voi ilmeisesti kuulua myös arkaluonteisia tietoja, sillä säätämisjärjestysperusteluiden mukaan Rajavartiolaitoksen tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. Ehdotettua henkilötietojen käsittelyä merkityksellisyyden arviointia varten ei voisi valvoa, koska esitetty säännös mahdollistaisi rajavartiolaitokselle oikeuden rekisteröidä tietojärjestelmään henkilötietoja rajoittamattomasti, ilman niiden käyttötarkoituksen, sisällön tai rekisteröimisedellytysten määrittelemistä. 
Perustuslakivaliokunnan käsityksen mukaan ehdotetun sääntelyn perusteella muodostuisi laaja, tietosisällöiltään ja käsittelyn tarkoitukseltaan oikeudellisesti kontrolloimaton rekisteri, joka voisi sisältää laajasti myös arkaluonteisia tietoja.Valiokunnan mukaan on sinänsä selvää, että kerättyjen henkilötietojen käsittely tiettyyn tarkoitukseen edellyttää niiden sisällön arvioimista tarkoituksen kannalta. Valiokunta kiinnittää kuitenkin huomiota siihen, että sekä tietosuoja-asetuksessa että poliisidirektiivissä henkilötietojen käsittelyllä tarkoitetaan myös tietojen keräämistä, mikä on mahdollista vain tiettyyn nimenomaiseen tarkoitukseen. Kyse ei siten ole säätämisjärjestysperusteluissa (s. 83) viitatuin tavoin henkilötietojen "esikäsittelystä". Myös perustuslakivaliokunnan käytännössä on edellä selostetun mukaisesti edellytetty laintasoista sääntelyä rekisteröinnin tavoitteista, tietosisällöistä ja sallituista käyttötarkoituksista.Valiokunta on edellyttänyt erityisesti arkaluonteisten tietojen käsittelyn rajoittamista täsmällisillä ja tarkkarajaisilla laintasoisilla säännöksillä vain välttämättömään.  
Säännösehdotukset mahdollistaisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömien tietojen keräämisen ja tallettamisen rekisteriin jopa kuuden kuukauden ajaksi. Perustuslakivaliokunnan mukaan vastaavat säännösehdotukset hallituksen esityksessä laiksi henkilötietojen käsittelystä poliisitoimessa (PeVL 51/2018 vp, s. 19) ja esityksessä laiksi henkilötietojen käsittelystä puolustusvoimissa (PeVL 52/2018 vp, s. 8) olivat ehdotetussa muodossa perustuslainvastaisia. Tuolloin arvioitua vastaavat 6 §:n 3 momentin ja 8 §:n 6 momentin säännökset käsittelystä tietojen merkityksellisyyden arvioimiseksi on ehdotetussa muodossa poistettava lakiehdotuksesta. Tällaiset muutokset ovat edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Valiokunta huomauttaa, että henkilötietojen käsittelyn perusteiden arvioinnista voidaan perustuslain estämättä säätää esimerkiksi perustuslakivaliokunnan myötävaikutuksella (PeVL 60/2010 vp, s. 4/II—5/I) säädetyn poliisilain 5 luvun 55 §:n kaltaisella tiedon hävittämistä koskevalla sääntelyllä (ks. myös pakkokeinolain 57 § ja PeVL 66/2010 vp, s. 10 sekä PeVL 32/2013 vp, s. 6—7).  
Sääntelyn täsmällisyys ja tarkkarajaisuus sekä arkaluonteisten tietojen käsittelyn välttämättömyys
Lakiehdotuksen 6 §:n 1 momentissa säädetään henkilötietojen käsittelystä rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Säännöksen mukaan Rajavartiolaitos saa käsitellä henkilötietoja rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän suorittamiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Pykälän 2 momentin mukaan edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat rikoksesta tai rikokseen osallisuudesta epäiltyjä, alle 15-vuotiaita rikollisesta teosta epäiltyjä, esitutkinnan tai Rajavartiolaitoksen toimenpiteen kohteena, rikoksen ilmoittajia tai asianomistajina esiintyviä henkilöitä, todistajia, uhreja tai muutoin kuin 1—6 kohdassa tarkoitetulla tavalla 1 momentissa tarkoitettuun tehtävään liittyviä. Perustelujen mukaan 2 momentissa on kyse täsmentävästä sääntelystä (s. 36). Momentissa mainituista henkilöistä saadaan käsitellä 7 §:n mukaan myös eräitä arkaluonteisia tietoja, esimerkiksi biometrisiä tunnisteita ja terveydentilatietoja. 
Perustuslakivaliokunnan mielestä 6 §:n 2 momentin 8 kohdan sanamuoto on ongelmallisen avoin. Perustelujen mukaan (s. 63) kyseessä voisi olla esimerkiksi mahdollinen lisätietojen antaja, joka ei kuitenkaan olisi todistajan asemassa, tai asiantuntijan roolissa toimiva henkilö. Säännös laajentaa ehdotetun 6 §:n 1 momentin soveltamisalan 2 momentin muun sääntelyn estämättä ketä tahansa säännöksen 1 momentissa tarkoitettuun tehtävään liittyvää henkilöä koskevaksi. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 11). Valiokunnan mielestä säännöstä on myös nyt välttämätöntä täsmentää olennaisesti esimerkiksi perustelulausumissa esitetyillä näkökohdilla. Tällainen muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. 
Lakiehdotuksen 5 §:n 2 momentin 10 kohdassa säädetään ns. turvallisuustietojen tallettamisesta. Säännöksen perusteella Rajavartiolaitos saa käsitellä toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeellisia tietoja, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömiä tietoja ja muita erityisiin henkilötietoryhmiin kuuluvia tietoja. Perustuslakivaliokunta on arvioinut vastaavia säännösehdotuksia aiemmin katsoen, että ehdotus näyttää tekevän mahdolliseksi terveystietojen ja sosiaalihuollon toimenpiteiden rekisteröinnin hyvin laajasti (ks. myös PeVL 18/2012 vp, s. 3/II, PeVL 51/2002 vp, s. 2/II ja PeVL 37/2002 vp, s. 4/II). Valiokunnan mukaan säännöstä oli syytä täsmentää määrittelemällä tarkemmin sallitut terveydentilatiedot ja sosiaalihuollon toimenpiteet, vaikka välttämättömyysvaatimus sinänsä asianmukaisesti rajoittikin talletettavien tietojen alaa (PeVL 18/2012 vp, s. 3/II). Valiokunnan käsityksen mukaan myös nyt ehdotettavaa säännöstä rasittaa samanlainen arkaluonteisten tietojen käsittelyyn kytkeytyvä avoimuus, vaikka säännösehdotuksessa ei sosiaalihuollon asiakkuutta koskevia tietoja mainitakaan. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 11). Myös nyt ehdotettua säännöstä on välttämätöntä täsmentää erityisesti siinä viitattujen muiden arkaluonteisten tietojen osalta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu myös 1. lakiehdotuksen 12 §:n 3 ja 13 §:n 2 momentin 4 kohtaan. 
Lakiehdotuksen 8 §:ssä säädetään henkilötietojen käsittelystä rikosten ennalta estämiseksi tai paljastamiseksi. Lakiehdotuksen 9 §:ssä säädetään tiedoista, joita 4 §:ssä säädettyjen perustietojen lisäksi saadaan käsitellä. Perustuslakivaliokunnan käsityksen mukaan ainakin 1 momentin 2—4 kohdan mukaisiin tietoihin voi sisältyä arkaluonteisia tietoja. Valiokunta yhtyy perusteluissa (s. 43) esitettyyn luonnehdintaan, jonka mukaan momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja. Kohdan nojalla Rajavartiolaitos saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat perustelujen mukaan koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin tiedot ovat tarpeellisia rikosten ennalta estämisen ja selvittämisen kannalta. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 11). Säännöstä on välttämätöntä täsmentää esimerkiksi perusteluissa esitetyillä luonnehdinnoilla. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Esityksen säätämisjärjestysperustelujen (s. 85) mukaan ehdotetut 8 ja 9 § merkitsisivät valtakunnallisesti käsiteltävän tietosisällön laajenemista voimassaolevaan lakiin verrattuna sekä tietosisällön että rekisteröitävien henkilöryhmien osalta. Lakiehdotuksen 8 §:ssä epäilyn kohteena olevalle rikokselle ei asetettaisi lainkaan sen vakavuuteen kohdistuvaa kynnystä, vaan pykälän mukaan siinä tarkoitettujen tietojen olisi liityttävä henkilöihin, joiden "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen". Valiokunta huomauttaa, että viranomaisepäily rikoksesta muodostaa tietosuoja-asetuksen 10 artiklassa erityisesti säännellyn valtiosääntöisesti arkaluonteisen henkilötiedon. Hallintovaliokunnan on täydennettävä sääntelyä sitomalla käsittely epäillyn rikoksen vakavuuteen. Perustuslakivaliokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 12). Tällainen muutos on myös nyt edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Lisäksi hallintovaliokunnan on syytä korottaa perustellun olettamuksen vaatimusta esimerkiksi "syytä epäillä" -vaatimukseen. 
Lakiehdotuksen 10 §:ssä säädetään tietolähdetietojen käsittelystä. Pykälän mukaan Rajavartiolaitos saa käsitellä tietoja rikostorjunnasta Rajavartiolaitoksessa annetun lain 36 §:ssä tarkoitetusta tietolähteestä, tietolähteen käytöstä ja valvonnasta sekä tietolähteen antamien tietojen pääasiallisesta sisällöstä. Säännöksestä ei käy lainkaan ilmi, mitä tietoja henkilöstä on tarkoitus sen nojalla käsitellä. Säännöksen perusteluista tosin ilmenee, että arkaluonteisia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä (s. 44). Sääntelyä on täydennettävä. Perustuslakivaliokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 12). Tällainen muutos on myös nyt edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Tietojen saanti ja luovuttaminen
Lakiehdotuksen 17 §:ssä säädetään tietojensaantioikeudesta. Pykälän mukaan Rajavartiolaitoksella on oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä ja henkilöltä virkatehtävän suorittamiseksi tarpeelliset tiedot ja asiakirjat salassapitovelvollisuuden estämättä, jollei sellaisen tiedon tai asiakirjan antamista Rajavartiolaitokselle tai tietojen käyttöä todisteena ole laissa kielletty tai rajoitettu.  
Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 14/2018 vp, s. 5).Valiokunnan mukaan samanlaisia lähtökohtia voidaan soveltaa myös tietojen saamiseen ja luovuttamiseen yksityiseltä esimerkiksi pankkisalaisuuden estämättä (ks. PeVL 48/2018 vp, s. 5). 
Ehdotettua 17 §:n sääntelyä on täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu lakiehdotuksen 18 §:n sääntelyyn tietojen saannista yksityiseltä yhteisöltä ja henkilöltä, 20 §:n sääntelyyn tietojen saannista eräistä rekistereistä ja tietojärjestelmistä, 30 §:n sääntelyyn henkilötietojen luovuttamisesta toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle sekä 31 §:n sääntelyyn henkilötietojen muusta luovuttamisesta viranomaiselle. 
Lakiehdotuksen 27 §:n mukaan Rajavartiolaitoksella on oikeus saada tässä luvussa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä. Tiedot on oikeus saada myös teknisen käyttöyhteyden avulla tai tietojoukkona siten kuin siitä rekisterinpitäjän kanssa sovitaan. Perustelujen mukaan (s. 56) sopimisella tarkoitettaisiin niitä käytännön menettelyjä, joita teknisen käyttöyhteyden avaaminen toisen viranomaisen henkilörekisteriin edellyttää. Säännöstä on välttämätöntä täsmentää perustelulausumien mukaiseksi. 
Tietosuojarikos
Lakiehdotukseen ei sisälly viittausta rikoslain 38 luvun 9 §:n tietosuojarikosta koskevaan säännökseen. Tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Säännös on perustuslain 8 §:ssä tarkoitetun rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallinen, koska siinä ei tarkemmin yksilöidä niitä henkilötietojen käsittelyä koskevia muita lakeja, joiden vastainen toiminta voi tulla tietosuojarikoksena rangaistavaksi (ks. PeVL 14/2018 vp, s. 21—22). 
Tietosuojarikosta koskeva säännös on niin sanottu blankorikossäännös. Laillisuusperiaatteeseen liittyvistä syistä blankorangaistussääntelyyn on ollut syytä suhtautua torjuvasti (esim. PeVL 10/2016 vp, s. 8, PeVL 31/2002 vp, s. 3, PeVL 15/1996 vp, s. 2/II ja PeVL 20/1997 vp, s. 3/II). Perusoikeusuudistuksen yhteydessä valiokunta korosti, että blankosääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp). Tuoreemmassa käytännössään valiokunta on pitänyt blankorikossääntelyn täsmentämistä edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 10/2016 vp, s. 8—9). Myös tilanteessa, jossa säännöksessä luetellaan niitä tekotapoja, jotka voivat tulla rangaistavaksi, sääntelyä on perustuslakivaliokunnan käytännön mukaan ollut täsmennettävä viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla (PeVL 14/2018 vp, s. 21—22). Valiokunnan käsityksen mukaan henkilötietojen käsittelystä Rajavartiolaitoksessa annettava laki on sellainen "henkilötietojen käsittelyä koskeva muu laki", jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa. Lakiehdotusta on täydennettävä viittauksella rikoslain tietosuojarikosta koskevaan säännökseen. 
VALIOKUNNAN PÄÄTÖSESITYS
Perustuslakivaliokunta esittää,
että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan periaatesäännöksistä sekä 5, 6, 8, 9, 10, 12, 13, 17, 18, 20, 30 ja 31 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon.  
Helsingissä 6.2.2019 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Annika
Lapintie
vas
varapuheenjohtaja
Tapani
Tölli
kesk
jäsen
Hannu
Hoskonen
kesk
jäsen
Ilkka
Kantola
sd
jäsen
Kimmo
Kivelä
sin
jäsen
Antti
Kurvinen
kesk
jäsen
Markus
Lohi
kesk
jäsen
Leena
Meri
ps
jäsen
Ville
Niinistö
vihr
jäsen
Wille
Rydman
kok
jäsen
Ville
Skinnari
sd
varajäsen
Mats
Löfström
r
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Mikael
Koillinen
Viimeksi julkaistu 26.3.2019 15:45