Euroopan parlamentin ja neuvoston asetus (EU) 2019/818 kehyksen vahvistamisesta poliisiyhteistyötä ja oikeudellista yhteistyötä sekä turvapaikka- ja muuttoliikeasioita koskevien EU:n tietojärjestelmien yhteentoimivuudelle (jäljempänä poliisiyhteentoimivuusasetus) ja Euroopan parlamentin ja neuvoston asetus (EU) 2019/817, kehyksen vahvistamisesta rajoja ja viisumipolitiikkaa koskevien EU:n tietojärjestelmien yhteentoimivuudelle (jäljempänä rajayhteentoimivuusasetus) ovat tulleet voimaan 9.6.2019. EU-asetukset ovat suoraan sovellettavaa oikeutta.
Yhteentoimivuusasetusten säätämisen taustalla ovat olleet muun muassa EU-tietojärjestelmien kehitys, muuttoliikekriisiin liittynyt luvattomien rajanylitysten lisääntyminen sekä terrori-iskut. EU:n tasolla on useita laajoja tietojärjestelmiä, joita rajavartio-, maahanmuutto- ja lainvalvontaviranomaiset käyttävät tehtävissään. Järjestelmien tietoarkkitehtuuri on kuitenkin hajanainen eivätkä järjestelmät keskustele keskenään. Tämä johtaa katvealueisiin, jotka helpottavat väärien henkilötietojen käyttöä. Euroopan komissio on katsonut, että EU:n sisäisen turvallisuuden vahvistamiseksi tiedonhallinnan tuloksellisuutta ja tehokkuutta tulee lisätä perusoikeuksia ja erityisesti henkilötietojen suojaa kunnioittaen. Myös Euroopan parlamentti on kiirehtinyt toimenpiteitä, joilla parannetaan ja kehitetään olemassa olevia tietojärjestelmiä, pureudutaan ongelmiin, jotka edesauttavat tietokatkoja ja pyritään kohti EU-tason tietojärjestelmien yhteentoimivuutta sekä tehokkaampaa tietojenvaihtoa EU-tasolla.
Yhteentoimivuusasetuksilla mahdollistetaan tietojen vertailu järjestelmien välillä. Asetuksilla on perustettu neljä komponenttia: Eurooppalainen hakuportaali (ESP), jonka kautta voidaan tehdä samanaikaisia hakuja useissa tietojärjestelmissä, Yhteinen biometrinen tunnistuspalvelu (yhteinen BMS), Yhteinen henkilöllisyystietovaranto (CIR) ja Rinnakkaishenkilöllisyyksien tunnistin (MID). Asetukset kytkevät yhteen EU:n viisumitietojärjestelmän (VIS) ja Schengenin tietojärjestelmän (SIS) sekä rakenteilla olevat rajanylitystietojärjestelmän (EES), Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS) sekä keskitetyn järjestelmän niiden jäsenvaltioiden tunnistamiseksi, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tuomioita koskevia tietoja (ECRIS-TCN). Asetusneuvottelut ovat käynnissä uudistetun turvapaikanhakijoiden sormenjälkitietojärjestelmän (Eurodac) liittämiseksi kokonaisuuteen.
Käsiteltävänä oleva lakiehdotus liittyy yhteen edellä mainituista komponenteista, henkilöllisyystietovarantoon, josta säädetään yhteentoimivuusasetusten 17—24 artiklassa. Asetusten 20 artiklassa poliisiviranomaiselle säädetään mahdollisuus päästä henkilöllisyystietovarantoon henkilön tunnistamista varten, kun on kyse laittoman maahanmuuton estämisen ja torjumisen edistämisestä tai korkean turvallisuustason edistämisestä unionin vapauden, turvallisuuden ja oikeuden alueella, mukaan lukien yleisen järjestyksen ylläpitäminen ja turvallisuuden takaaminen jäsenvaltioiden alueella. Asetuksissa poliisiviranomaisella tarkoitetaan kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen tai tutkimisen. Jäsenvaltioiden on nimettävä toimivaltaiset poliisiviranomaiset ja vahvistettava henkilöllisyyden selvittämisen menettelyt, edellytykset ja kriteerit. Artiklassa 20 edellytetään, että jos jäsenvaltio haluaa soveltaa artiklaa, sen tulee antaa tästä kansallista lainsäädäntöä.
Ehdotetussa laissa täydennetään kansallista lainsäädäntöä siltä osin kuin se on välttämätöntä, jotta kansallisesti voidaan käyttää mahdollisuutta henkilöllisyyden selvittämiseksi 20 artiklan mukaisesti. Toimivaltaisiksi viranomaisiksi ehdotetaan nimettäviksi poliisi, Rajavartiolaitos ja Tulli. Suomessa 20 artiklan mukainen pääsy henkilöllisyystietovarantoon ehdotetaan säädettäväksi poliisille, Rajavartiolaitokselle ja Tullille laittoman maahanmuuton estämisen ja torjumisen edistämiseksi tai yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Lisäksi poliisille säädetään oikeus luonnonkatastrofin, onnettomuuden tai terrori-iskun sattuessa tehdä kyselyjä yhteisestä henkilöllisyystietovarannosta biometrisilla tiedoilla, jos se on välttämätöntä sellaisten uhrien tunnistamiseksi, jotka eivät pysty osoittamaan henkilöllisyyttään, tai tunnistamatta jääneiden ihmisten jäännösten tunnistamiseksi.
Lakiehdotuksessa on pitäydytty tarkasti yhteentoimivuusasetuksissa mainituissa tavoitteissa. Kyse on henkilötietojen mukaan luettuna biometristen tietojen käyttämisestä, joiden käsittely edellyttää täsmällisiä ja tarkkarajaista sääntelyä. Esityksessä ei ehdoteta muutoksia sääntelyyn, joka koskee kansallisiin rekistereihin tallennettujen biometristen tietojen käsittelyedellytyksiä ja luovuttamista EU:n yhteisiin tietojärjestelmiin. Yhteentoimivuusasetuksilla ja täydentävällä kansallisella sääntelyllä ei myöskään muuteta sääntöjä, jotka koskevat viranomaisten pääsyä EU:n yhteisiin tietojärjestelmiin. Näiden järjestelmien käyttöoikeudet perustuvat kunkin tietojärjestelmän oikeusperustaan ja voimassa olevaan kansalliseen sääntelyyn. Rekisteröidyn etuja turvaavat voimassa olevan tietosuojalainsäädännön mukaiset rekisteröidyn oikeudet.
Asiantuntijakuulemisessa on kiinnitetty hallintovaliokunnan huomiota siihen, että yhteentoimivuusasetusten yhtenä tarkoituksena on myös korkean turvallisuustason edistäminen unionin vapauden, turvallisuuden ja oikeuden alueella ja että ehdotetun lain kansallinen soveltamisala olisi rajoitetumpi kuin poliisi- ja rajayhteentoimivuusasetukset mahdollistaisivat. Valiokunnan saaman selvityksen perusteella jää kuitenkin jossain määrin epäselväksi, millainen olisi se käytännön tilanne, jossa poliisi tai Rajavartiolaitos tarvitsisivat pääsyn henkilöllisyystietovarantoon sellaisten toimintojen tai hankkeiden estämiseksi, jotka voivat uhata valtakunnan ulkoista tai sisäistä turvallisuutta ja joissa ei olisi kysymys laittoman maahantulon estämistä ja torjumista koskevasta tehtävästä tai yleisen järjestyksen ja turvallisuuden ylläpitämistä koskevasta tehtävästä. On myös huomattava, että kysely henkilöllisyystietovarantoon voidaan tehdä vasta, kun henkilöllisyyttä selvitettäessä jokin 20 artiklan 1 kohdan a—e alakohdissa tarkoitetuista olosuhteista täyttyy. Valiokunta puoltaa lakiehdotuksen soveltamisalaa esitetyssä muodossaan, mutta katsoo, että soveltamisalan kattavuutta ja lain toimivuutta on kuitenkin syytä seurata.
Hallintovaliokunta toteaa, että hallituksen esityksen säännöskohtaisiin perusteluihin (s. 29) sisältyy virheellinen maininta siitä, että "Viranomaisen tehdessä kyselyn CIR:ään, hän saa myös tiedon siitä missä edellä mainituissa tietojärjestelmässä tai tietojärjestelmissä on kyseistä henkilöä koskevia tarkempia tietoja. Näihin tietoihin voi päästä vain kyseisten tietojärjestelmän oikeusperustassa säädetyin edellytyksin." Saadun selvityksen mukaan, tehdessään kyselyn henkilöllisyystietovarantoon yhteentoimivuusasetusten 20 artiklan mukaisesti viranomainen ei saa tietoa siitä, missä taustajärjestelmässä kyseisestä henkilöstä on tietoa.
Lakiehdotus sisältää informatiiviset viittaukset poliisin, Rajavartiolaitoksen ja Tullin henkilötietolakeihin. Näihin lakeihin sisältyy EU:n yhteisten tietojärjestelmien käyttöä koskevaa täydentävää kansallista sääntelyä muun muassa lainvalvontatarkoituksessa tapahtuvasta tiedonsaannista, henkilötietojen luovuttamisesta, rekisteröidyn oikeuksien toteuttamisesta sekä järjestelmien rekisterinpitovastuusta. Lisäksi lakiehdotus sisältää informatiivisen viittauksen henkilötietojen käsittelyä koskevaan yleislainsäädäntöön. Vaikka yleislakeihin viittaamiseen tulee lähtökohtaisesti suhtautua pidättyvästi, valiokunta pitää viittauksia tässä laissa selvyyden vuoksi tarpeellisina ottaen huomioon, että EU- ja kansalliset säädökset muodostavat varsin monimutkaisen kokonaisuuden, mihin perustuslakivaliokuntakin (PeVL 33/2022 vp) on lausunnossaan kiinnittänyt huomiota.
Käsiteltävänä oleva lakiehdotus on hallintovaliokunnan mielestä varsin selkeä, mutta kiinnittyy monitahoiseen EU- ja kansallisen lainsäädännön muodostamaan kokonaisuuteen. Valiokunta katsoo, että EU-lainsäädännön vuoksi sääntelyä ei ole juurikaan edellytyksiä selkeyttää. Euroopan unionin tietosuojalainsäädäntö on eriyttänyt säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole mahdollista soveltaa samaa sääntelyä. Lisäksi arkaluonteisten henkilötietojen käsittelystä on säädettävä täsmällisesti ja tarkkarajaisesti. Hallintovaliokunta pitää ensiarvoisen tärkeänä lainsäädännön soveltamisesta annettavaa koulutusta ja ohjeistusta. Tulevissa ja vireillä olevissa EU-säädöshankkeissa Suomen tulee pyrkiä nykyistä vahvemmin ja etupainotteisemmin vaikuttamaan sääntelyn selkeyteen.
Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä perusteltuna ja tarkoituksenmukaisena. Saadun selvityksen perusteella myös henkilötietojen käsittelyn oikeusperustaa ja kansallisen liikkumavaran käyttöä on valiokunnan mielestä arvioitu esityksessä asianmukaisesti. Toimivalta arvioida sääntelyn EU-oikeuden mukaisuutta on kuitenkin Euroopan unionin tuomioistuimella. Perustuslakivaliokunnan lausunnon (PeVL 33/2022 vp) mukaan lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Hallintovaliokunta puoltaa lakiehdotuksen hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja vähäisin tarkennuksin.
Hallintovaliokunta tähdentää, että EU-tason tietojärjestelmien yhteentoimivuuden aikaansaaminen edellyttää resurssilisäyksiä myös kansallisella tasolla. Yhteentoimivuusasetukset edellyttävät muutoksia kansallisiin tietojärjestelmiin, jotka koskevat useampaa hallinnonalaa ja virastoa (Poliisihallitus, Rajavartiolaitos, Maahanmuuttovirasto, Tulli, ulkoministeriö, oikeusministeriö ja Oikeusrekisterikeskus). Lisäksi tulee huolehtia tarvittavista tietoverkkoympäristöjen muutoksista ja järjestelmien ylläpidosta. Yhteentoimivuus nopeuttaa prosesseja, mutta toistaiseksi joudutaan edelleen tekemään myös manuaalista selvitystyötä. Yhteentoimivuuteen on mahdollista saada rahoitusta EU:n sisäasioiden rahastosta, mutta lisäksi tarvitaan merkittävää kansallista panostusta.
Hallintovaliokunta toteaa lopuksi, että yhteentoimivuusasetusten piiriin kuuluvista EU-tietojärjestelmistä Schengenin tietojärjestelmän (SIS) tietoja ei tallenneta nyt puheena olevaan henkilöllisyystietovarantoon, mikä johtuu SIS-järjestelmän erilaisesta teknisestä rakenteesta. Laajemmassa EU-tason tietojärjestelmien yhteentoimivuudessa SIS-järjestelmässä olevilla biometrisilla tunnisteilla on kuitenkin suuri merkitys. Se, että kansallinen lainsäädäntö rajoittaa esimerkiksi ulkomaalaislain 131 §:n nojalla tallennettujen biometristen tietojen tallentamista SIS-kuulutuksiin, aiheuttaa viranomaisille lisätietojenvaihdon tarvetta ja lisää manuaalista tarkistamistyötä. SIS- ja muiden EU-tietojärjestelmien välisiä linkkejä voi jäädä myös kokonaan muodostumatta, mikäli henkilöllä on käytössään useampi erilainen henkilöllisyys, mutta biometriset tiedot puuttuvat SIS-järjestelmästä. Tämä heikentää viranomaisten mahdollisuuksia torjua henkilöllisyyspetoksia, mikä on kuitenkin yksi yhteentoimivuusasetusten keskeisistä päämääristä. Valiokunta viittaa Schengenin tietojärjestelmän käyttöä koskevia asetuksia täydentävästä lainsäädännöstä antamaansa mietintöön ja mietinnön pohjalta hyväksyttyyn eduskunnan lausumaan (HaVM 14/2021 vp — HE 35/2021 vp, EV 92/2022 vp).