1.1  Laki henkilötietojen käsittelystä Rajavartiolaitoksessa

1 luku Yleiset säännökset

1 §.Soveltamisala. Lakia sovellettaisiin henkilötietojen käsittelyyn Rajavartiolaitokselle laissa säädettyjen tehtävien hoitamiseksi, jollei muualla laissa toisin säädetä. Lakia sovellettaisiin vain henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista ja muuhun henkilötietojen käsittelyyn, jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. 

Rajavartiolaitoksen tehtävistä säädetään rajavartiolain 3 §:ssä. Pykälän mukaan Rajavartiolaitoksen tehtävänä on rajaturvallisuuden ylläpitäminen. Rajavartiolaitos suorittaa myös erikseen säädettyjä valvontatehtäviä sekä toimenpiteitä rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi yhteistyössä muiden viranomaisten kanssa. Rajavartiolaitos suorittaa lisäksi poliisi- ja tullitehtäviä, etsintä-, pelastus- ja ensihoitotehtäviä sekä osallistuu sotilaalliseen maanpuolustukseen. Rajavartiolaitoksen tehtävistä meripelastustoimen alalla säädetään meripelastuslaissa. 

Säännöksen soveltamisala poikkeaisi voimassa olevan lain 1 §:stä, jonka mukaan kaikkeen henkilötietojen käsittelyyn Rajavartiolaitoksessa sovelletaan erityislakina Rajavartiolaitoksen henkilötietolakia lukuun ottamatta eräitä henkilörekistereitä, joista nimenomaisesti säädetään muussa laissa. Lain soveltamisalan piiriin on siten kuulunut myös esimerkiksi henkilöstöhallinto ja muu yleishallinto. Tältä osin ei kuitenkaan enää katsota olevan tarvetta yleissääntelystä poikkeavalle sääntelylle. Ehdotettavaa uutta lakia sovellettaisiin siten henkilötietojen käsittelyyn ainoastaan Rajavartiolaitokselle nimenomaisesti säädetyissä tehtävissä. Esimerkiksi henkilöstöhallinnossa ja yleishallinnossa käsiteltäviin henkilötietoihin sovellettaisiin suoraan tietosuoja-asetusta, tietosuojalakia ja muuta mahdollista erityislainsäädäntöä, kuten yksityisyyden suojasta työelämässä annettua lakia (759/2004). 

Mikäli Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi tarpeellisesta henkilötietojen käsittelystä säädetään muualla laissa Rajavartiolaitoksen henkilötietolaista poikkeavasti, sovellettaisiin muun lain säännöksiä tämän lain asemasta. Keskeisin tällainen laki on meripelastuslaki, jossa säädetään meripelastusrekisteristä sekä Rajavartiolaitoksen tiedonsaantioikeuksista meripelastustoimessa. Muuta Rajavartiolaitosta koskevaa henkilötietolainsäädäntöä on selostettu tarkemmin esityksen kohdassa 2.1.4. Rajavartiolaitoksen henkilötietolakia sovellettaisiin kuitenkin täydentävästi kaikkeen Rajavartiolaitoksen tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn siltä osin, kuin erityislainsäädäntöön ei sisälly Rajavartiolaitoksen henkilötietolaista poikkeavia säännöksiä. 

Rajavartiolaitoksen henkilötietolaki on vakiintuneesti sisältänyt säännöksiä myös Rajavartiolaitoksen oikeudesta saada tietoa viranomaisilta sekä yksityisiltä yhteisöiltä ja henkilöiltä. Säännökset täydentävät muualla laissa olevia Rajavartiolaitoksen tiedonsaantisäännöksiä, ja ne koskevat myös muita tietoja kuin henkilötietoja. Pykälän 2 momentti sisältäisi asiaa koskevan täsmentävän säännöksen. 

Rajavartiolaitoksen toimivaltuuksista hankkia tässä laissa tarkoitettuja henkilötietoja säädetään kuitenkin erikseen. Rajavartiolaitoksen toimivaltuuksista hankkia rikosten estämiseksi tarvittavaa tietoa säädetään rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018, jäljempänä Rajavartiolaitoksen rikostorjuntalaki). Toimivaltuuksista hankkia rikosten selvittämiseksi tarvittavaa tietoa säädetään Rajavartiolaitoksen rikostorjuntalain lisäksi pakkokeinolaissa (806/2011) ja esitutkintalaissa (805/2011). Rajavartiolaitoksen toimivaltuuksia koskevaa sääntelyä sisältyy myös muuhun Rajavartiolaitoksen tehtäviä koskevaan erityislainsäädäntöön. Rajavartiolaitos saa lisäksi tehtäviensä yhteydessä henkilötietoja myös tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten tehdessään havaintoja lakisääteisen toiminnan yhteydessä ja sellaisen yleisessä tietoverkossa tapahtuvan valvonnan kautta, joka ei kohdistu tiettyyn henkilöön. 

2 §. Suhde muuhun lainsäädäntöön. Pykälässä tarkennettaisiin, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin laissa tarkoitettuun henkilötietojen käsittelyyn. Valtaosaan Rajavartiolaitoksen henkilötietojen käsittelystä sovellettaisiin yleissäädöksenä tietosuoja-asetusta ja sitä täydentävää tietosuojalakia. Osaan käsittelystä sovellettaisiin kuitenkin rikosasioiden tietosuojalakia, jolla on pantu täytäntöön tietosuojadirektiivi. Ehdotettu Rajavartiolaitoksen henkilötietolaki olisi mainittuja yleissäädöksiä täydentävä erityislaki. Rajavartiolaitoksen lakisääteisten tehtävien jakaantumista eri yleissäädösten soveltamisalaan käsitellään tarkemmin yleisperustelujen kohdassa 2.3.1. 

Tietosuoja-asetuksen ja tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 5 ja pääosin 13 §:ssä säädetyt käsittelytarkoitukset. Mainittujen käsittelytarkoituksia ja käsiteltävien tietojen tyyppiä täsmentävien pykälien lisäksi lakiehdotukseen sisältyy myös muita tietosuoja-asetuksen 6 artiklassa tarkoitettuja erityisiä säännöksiä, joilla mukautettaisiin tietosuoja-asetuksen säännösten soveltamista. Nämä säännökset koskisivat henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, luovuttamista, säilytysaikaa, rekisteröidyn oikeuksien toteuttamista ja rajoituksia rekisteröidyn oikeuksiin. 

Rikosasioiden tietosuojalain soveltamisalaan kuuluvia henkilötietojen käsittelytarkoituksia olisivat 6, 8, 10 ja 11 §:ssä sekä osin 13 §:ssä säädetyt käsittelytarkoitukset. 

Jos henkilötietoja käsitellään muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen (lakiehdotuksen 14 ja 15 §), sovellettava yleissäädös määräytyisi sen mukaisesti, mihin tarkoitukseen henkilötietoja on tarkoitus käsitellä. 

Pykälän 2 momentti sisältäisi informatiivisen viittauksen viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999, jäljempänä julkisuuslaki). Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Tietosuoja-asetuksen 86 artiklan mukaan viranomaiset tai julkis- tai yksityisoikeudelliset yhteisöt voivat luovuttaa viranomaisten tai yhteisöjen hallussa yleisen edun vuoksi toteutetun tehtävän suorittamiseksi olevien virallisten asiakirjojen sisältämiä henkilötietoja sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jota viranomaiseen tai yhteisöön sovelletaan, jotta voidaan sovittaa yhteen virallisten asiakirjojen julkisuus ja oikeus henkilötietojen suojaan. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään. 

Pykälän 2 momentissa viitattaisiin myös Rajavartiolaitoksen hallintolakiin, jossa säädetään julkisuuslakia täydentävästi vaitiolovelvollisuudesta ja tietojen antamisesta vaitiolovelvollisuuden estämättä. Sääntelyä sovellettaisiin yksittäisten henkilötietojen luovuttamiseen. Ehdotettu Rajavartiolaitoksen henkilötietolaki sisältäisi säännökset henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona sekä tarvittavat yleislainsäädäntöä täydentävät säännökset henkilötietojen luovuttamisesta ulkomaille. 

3 §. Määritelmät. Pykälä sisältäisi voimassa olevaa lakia vastaavasti määritelmät rajaturvallisuuden ylläpitämisestä ja Schengenin rajasäännöstöstä. Rajaturvallisuuden ylläpitämisen määritelmä poikkeaisi kuitenkin rajavartiolain vastaavasta määritelmästä niin, että siihen ei kuuluisi rikosten estämiseen tai yleisen järjestyksen ja turvallisuuden ylläpitämiseen liittyviä toimenpiteitä. Tämä on tarkoituksenmukaista henkilötietojen käsittelyn näkökulmasta, jotta voidaan selkeästi erottaa toisistaan tietosuoja-asetuksen ja tietosuojadirektiivin soveltamisalaan kuuluvat käsittelytarkoitukset. 

Lakiin lisättäisiin määritelmät Schengenin tietojärjestelmän säädöspohjasta ja Europol-asetuksesta ehdotettavan 35 §:n vuoksi. 

Tässä laissa tarkoitettujen määritelmien ohella sovellettaisiin tietosuoja-asetuksen ja rikosasioiden tietosuojalain määritelmiä. 

2 luku Henkilötietojen käsittely

Lain 2 luvussa täsmennettäisiin ne käsittelytarkoitukset, joihin Rajavartiolaitos saisi käsitellä henkilötietoja tehtäviensä suorittamiseksi sekä kunkin käyttötarkoituksen osalta sallitut tietosisällöt. Käsiteltäviä tietosisältöjä koskevat säännökset eivät sisältäisi voimassa olevan Rajavartiolaitoksen henkilötietolain tapaan yksityiskohtaisia tietoluetteloita, vaan säännöksissä säädettäisiin käsiteltävistä tietoluokista. Tietoluokkien tarkempi sisältö määräytyisi käsittelytarkoituksen perusteella. Sääntelytekniikka olisi tältä osin nykyistä joustavampi. Käsittelytarkoituksia ja sallittua tietosisältöä koskevia säännöksiä tulisi aina soveltaa kokonaisuutena, eivätkä säännökset mahdollistaisi tarkoituksen kannalta tarpeettomien henkilötietojen käsittelyä. 

Voimassa olevan Rajavartiolaitoksen henkilötietolain 14 a §:n säännökset salaisilla tiedonhankintakeinoilla saatujen ylimääräisten tietojen käsittelystä sekä 15 §:n säännökset yksittäiseen tehtävään liittymättömien tietojen käsittelystä poistettaisiin sääntelytekniikan muutoksen myötä tarpeettomina. Mainituissa pykälissä tarkoitettuja tietoja saataisiin käsitellä ehdotetussa 2 luvussa, Rajavartiolaitoksen rikostorjuntalaissa ja pakkokeinolaissa säädettyjen käsittelyedellytysten täyttyessä. Voimassa olevan lain 4 §:n Rajavartiolaitoksen muita henkilörekistereitä koskeva sääntely poistettaisiin vastaavasti tarpeettomana. 

Poikkeuksena yleispiirteisemmästä sääntelytekniikasta olisivat erityisiin henkilötietoryhmiin kuuluvat tiedot, joiden käsittelystä säädettäisiin muita henkilötietoja täsmällisemmin. Erityisiin henkilötietoryhmiin kuuluvat tietosuoja-asetuksen ja tietosuojadirektiivin mukaan henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys sekä luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut geneettiset tiedot ja biometriset tiedot tai terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot. 

Tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on lähtökohtaisesti kielletty. Asetuksen 9 artiklan 2 kohdassa luetellaan tyhjentävästi poikkeukset, joiden nojalla käsittely on kuitenkin sallittua. Rajavartiolaitoksen kannalta keskeisin näistä on 2 kohdan g kohta, jonka mukaan käsittely on sallittua, jos se on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Rikosasioiden tietosuojalain 11 §:n mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sallittua vain, jos se on välttämätöntä ja jos käsittelystä esimerkiksi säädetään laissa. 

Erityisiin henkilötietoryhmiin kuuluvia tietoja käsitellään Rajavartiolaitoksessa sekä tietosuoja-asetuksen että tietosuojadirektiivin soveltamisalaan kuuluvissa Rajavartiolaitoksen tehtävissä. Tietoja saisi käsitellä vain, jos niiden käsittely on käsittelytarkoituksen kannalta välttämätöntä. 

Ehdotettu 2 luku sisältäisi myös säännökset henkilötietojen käsittelystä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen (14 ja 15 §). Näillä säännöksillä korvattaisiin voimassa olevan lain 25 §:n säännökset tietojen käyttämisestä muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen. 

4 §. Henkilön perustietojen käsittely. Pykälä sisältäisi yksityiskohtaisen luettelon henkilön perustiedoista, joiden käsittely olisi tarvittavin osin sallittua 5, 6, 8, 10, 11 ja 13 §:ssä säädettyihin tarkoituksiin. Perustietojen luetteloa sovellettaisiin siten kaikkiin 2 luvun mukaisiin alkuperäisiin henkilötietojen käsittelytarkoituksiin. 

Luettelossa mainitut perustiedot vastaisivat sisällöltään pääosin voimassa olevan lain mukaisiin Rajavartiolaitoksen henkilörekistereihin talletettavia henkilöllisyyttä koskevia tietoja. Luetteloon ehdotetaan lisättäväksi uusina kohtina asiointikieli, koulutus, asevelvollisuutta ja asepalvelusta koskevat tiedot, sotilaskoulutus ja sotilasarvo, henkilöllisyyden toteamiseksi tarvittavat tiedota asiakirjoista sekä edunvalvontaa, konkurssiin asettamista tai liiketoimintakieltoon määräämistä koskeva tieto. Mainittuja tietoja on voimassa olevan lain mukaisesti voinut käsitellä asiaan liittyvinä muina tietoina, mutta selvyyden vuoksi niistä säädettäisiin jatkossa henkilön perustietojen käsittelyä koskevassa säännöksessä. Pykälässä tarkoitettuja perustietoja saisi käsitellä kaikista henkilöryhmistä silloin, kun tiedot ovat käsittelytarkoituksen kannalta tarpeellisia. 

Henkilötietojen alkuperäisiä käsittelytarkoituksia koskevissa 5—13 §:ssä säädettäisiin tarkemmat edellytykset perustietojen sekä niiden lisäksi käsiteltävien muiden tarpeellisten henkilötietojen käsittelylle. 

5 §. Henkilötietojen käsittely rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi. Pykälässä säädettäisiin tietosuoja-asetuksen ja tietosuojalain mukaisesta henkilötietojen käsittelystä rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi. 

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi, rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi sekä rajavartiolain 27 §:ssä tarkoitetun tutkinnan suorittamiseksi. Sääntely korvaisi voimassa olevan lain 8 §:n mukaisen lupa-asioiden rekisterin, 9 §:n mukaisen valvonta-asioiden rekisterin sekä 12 §:n mukaisen turvallisuustietorekisterin sisältämät tiedot siltä osin kuin kyse on rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Säännös kattaisi myös käännyttämistä, pääsyn epäämistä ja maahantulokiellon määräämistä koskeviin hallinnollisiin päätöksiin liittyvien henkilötietojen käsittelyn. 

Pykälän 2 momentissa säädettäisiin tarkemmin henkilötiedoista, joita Rajavartiolaitos saisi käsitellä 4 §:ssä tarkoitettujen perustietojen lisäksi. Momentin 1 kohdassa säädettäisiin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvien tarpeellisten yksilöintien, kuvausten ja luokitusten käsittelystä. Kohta sisältäisi esimerkiksi voimassa olevan lain 9 §:n 3 momentin 7 kohdan mukaiset rajatarkastustoimenpidettä koskevat tiedot. Momentin 2 kohdassa säädettäisiin voimassa olevan lain 9 §:n 3 momentin 8 kohtaa vastaavasti nimenomaisesti Schengenin rajasäännöstön II liitteessä tarkoitettujen tietojen käsittelystä. 

Momentin 3 kohdassa säädettäisiin voimassa olevasta laista poiketen nimenomaisesti rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteista. Tallenteiden katsotaan nykyisin sisältyvän voimassa olevan lain 9 §:n 3 momentin 4 kohdan mukaisiin maa- ja merirajan valvontatietoihin, joita vastaavasta käsittelytarkoituksesta säädettäisiin momentin 4 kohdassa. Momentin 4 kohta sisältäisi myös voimassa olevan 9 §:n 3 momentin 5 kohtaa vastaavat tiedot matkustajista ja miehistöstä rajat ylittävässä henkilöliikenteessä. Säännös kattaisi myös sisärajan ylittävän liikenteen siltä osin, kuin Rajavartiolaitoksella on oikeus käsitellä sisärajaliikenteen henkilötietoja. Momentin 5 kohdassa säädettäisiin voimassa olevan 9 §:n 3 momentin 5 kohtaan sisältyvistä tiedoista liikenteenharjoittajan seuraamusmaksun määräämiseksi. 

Momentin 6 ja 7 kohdat korvaisivat voimassa olevan lain 8 §:n mukaisen lupa-asioiden rekisterin tietoluokat. Kyseessä olisivat henkilötiedot, joita on tarpeen käsitellä rajavartiolaissa tarkoitettua rajavyöhykelupaa ja rajanylityslupaa koskevan asian käsittelemiseksi sekä näihin lupiin liittyvien Rajavartiolaitokselle tehtävien ilmoitusten, kuten rajavyöhykeilmoitusten käsittelemiseksi. Rajavyöhykeluvasta ja rajavyöhykeilmoituksista säädetään tarkemmin rajavartiolain 7 luvussa. Rajanylityslupahakemuksessa ilmoitettavista tiedoista säädetään puolestaan rajanylityspaikoista sekä rajatarkastustehtävien jakamisesta niillä annetun valtioneuvoston asetuksen (901/2006) 4 §:ssä. 

Momentin 8 kohta sisältäisi voimassa olevan lain 12 §:n 3 momentin 3, 4 ja 6 kohtien mukaisesti turvallisuustietorekisteriin talletettavat tiedot muiden valtioiden rajavalvontaviranomaisten toiminnasta ja kokoonpanosta sekä rajatilanteesta Suomessa ja Euroopan unionissa. Kyseinen säännös liittyy erityisesti Euroopan unionin rajavalvontajärjestelmään (Eurosur), josta säädetään Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 1052/2013. 

Momentin 9 kohdan mukaan Rajavartiolaitos saisi käsitellä henkilöllisyyden toteamiseksi tarpeellisia tuntomerkkitietoja. Niihin kuuluisivat myös rajavalvonnan yhteydessä automaattisesti käsiteltävät valokuvat. Kyse voisi olla myös tietosuoja-asetuksen 51 johdantokappaleen tarkoittamalla tavalla biometristen tietojen käsittelyksi katsottavasta valokuvien käsittelystä. Valokuvien käsittely perustuu rajavartiolain 28 §:n 1 momentin 10 kohtaan, jonka mukaan rajavartiomiehellä on Schengenin rajasäännöstössä säädetyn rajavalvonnan suorittamiseksi oikeus ilman rikosepäilyä ottaa henkilöstä kuva. 

Momentin 10 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Rajavartiolaitos saisi käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta. 

Pykälän soveltamisalaan kuuluisi myös voimassa olevan lain 6 §:n mukaisesti perustettu Rajavartiolaitoksen kenttäjohtamisen rekisteri. Kyse on ensisijaisesti rajavalvonnan ja rajaturvallisuuden ylläpitämisen suunnittelussa ja toteuttamisessa tarpeellisista tiedoista, kuten ilmoituksista, käskyistä ja määräyksistä, tehtävää tai toimenpidettä koskevista tiedoista sekä tehtävän suorittamiseen osallistuvista henkilöistä. 

Rajavartiolaitos saisi osana pykälässä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Niitä saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti momentin 3 kohdassa tarkoitettuihin teknisen valvonnan tallenteisiin, 9 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin sekä 10 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa tietosuoja-asetuksen 9 artiklassa tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta. Henkilön fyysisiin ominaisuuksiin perustuvan matkustusasiakirjaan liitetyn sähköisen tunnisteen käsittelystä säädettäisiin tarkemmin 51 §:ssä. 

Erityisten henkilötietoryhmien käsittely perustuisi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Näitä asianmukaisia ja erityisiä toimenpiteitä olisivat tietosuoja-asetuksessa ja tietosuojalaissa määriteltyjen suojatoimien lisäksi muun muassa henkilötietojen käsittelylle 4 ja 5 §:ssä asetetut edellytykset, 14 ja 15 §:ssä asetetut edellytykset tietojen käsittelylle muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, 4 luvussa säädetyt edellytykset tietojen luovuttamiselle sekä 5 luvussa säädetyt säilytysajat. 

6 §. Henkilötietojen käsittely rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä rikosten selvittämiseksi tai syyteharkintaan saattamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten selvittämisen yhteydessä. Sääntely sisältäisi myös mainittuihin tehtäviin liittyvän virka-avun. 

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja rikoksen selvittämiseen tai syyteharkintaan saattamiseen liittyvän tehtävän suorittamiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi. Rajavartiolaitos on esitutkintalaissa tarkoitettu esitutkintaviranomainen. Pykälä kattaisi kuitenkin henkilötietojen käsittelyn myös esitutkintaa edeltävässä selvittämisessä. Rajavartiolaitos suorittaa lisäksi yleisen järjestyksen ja turvallisuuden ylläpitotehtäviä sekä itsenäisesti että poliisin pyynnöstä tai tukena siten kuin siitä rajavartiolaissa säädetään. 

Tietosuojadirektiivin johdanto-osan 12 kappaleen mukaan lainvalvontaviranomaisten suorittamat toimet keskittyvät lähinnä rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin, mukaan lukien toimet, jotka koskevat häiriöitä, joista ei ennakkoon tiedetä, onko kyse rikoksesta. Mainittuihin toimiin kuuluu myös lain ja järjestyksen ylläpitäminen, joka on annettu lainvalvontaviranomaisten tehtäväksi silloin, kun se on tarpeen sellaisilta yleiseen turvallisuuteen ja yhteiskunnan perustavanlaatuisiin lailla suojattuihin etuihin kohdistuvilta uhkilta suojelua ja niiden ehkäisyä varten, jotka voivat johtaa rikokseen. Yleisen järjestyksen ja turvallisuuden ylläpitotehtäviin liittyvä henkilötietojen käsittely kuuluisi pykälän soveltamisalaan silloin, kun sillä on tietosuojadirektiivissä ja rikosasioiden tietosuojalain 1 §:n 1 momentissa tarkoitetulla tavalla yhteys rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. 

Säännös korvaisi voimassa olevan lain säännökset, jotka koskevat rikoksesta epäillyn tai esitutkinnan, Rajavartiolaitoksen toimenpiteen taikka pakkokeinon kohteena olevan henkilön, ilmoittajan, todistajan tai asianomistajana esiintyvän tai muutoin asiaan liittyvän henkilön tietojen tallettamista Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin. Pykälä korvaisi myös sellaiset voimassa olevan lain 4 §:n mukaisesti perustetut tilapäiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden selvittäminen. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin alkuperäiseen käsittelytarkoitukseen koskevat 14 ja 15 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja saataisiin hyödyntää tässä pykälässä tarkoitettuihin käsittelytarkoituksiin. 

Pykälän 2 momentissa täsmennettäisiin henkilöryhmät, joita koskevia tietoja 1 momentin mukaisiin tarkoituksiin saisi käsitellä. Alle 15-vuotiaat rikolliseen tekoon syyllistyneet henkilöt huomioitaisiin voimassa olevan lain sääntelystä poiketen erikseen. Lisäksi muutoin 1 momentissa tarkoitettuihin tehtäviin liittyvät henkilöt mainittaisiin luettelossa omana ryhmänään. Tällaisina pidettäisiin esimerkiksi henkilöitä, joiden henkilötietoja Rajavartiolaitoksen on käsiteltävä tehtävien yhteydessä kirjattavien lastensuojeluilmoitusten käsittelyä varten. Kohdan nojalla saataisiin tarvittaessa tallettaa myös esimerkiksi sellaisen yhteyshenkilön tiedot, jota tarvitaan tehtävään liittyvään tilaan pääsemiseksi. Muutoin tehtävään liittyvä henkilö voisi olla myös asiantuntijan roolissa toimiva henkilö taikka mahdollinen lisätietojen antaja, joka ei kuitenkaan olisi todistajan asemassa. 

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

Pykälän 3 momentti olisi uusi säännös. Ehdotettu merkityksellisyyden arviointia koskeva säännös on kytköksissä käsittelytarkoitusperusteiseen sääntelytekniikkaan, jolla korvattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain rekisteriperusteinen sääntely. Rajavartiolaitoksen henkilötietolaissa säädettäisiin jatkossa kaikesta Rajavartiolaitoksen tehtävien suorittamiseksi tapahtuvasta henkilötietojen käsittelystä sen sijaan, että säädettäisiin vain tietojen tallettamisesta laissa nimettyihin henkilörekistereihin ja nimettyjen henkilörekisterien sisältämien tietojen käyttämisestä. 

Momentissa olisi kyse Rajavartiolaitoksen tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa on alkuvaiheessa epäselvää, liittyvätkö kaikki saadut tiedot suoraan käsillä olevaan yksittäiseen tehtävään. Säännöksen yhtenä tavoitteena on selventää nykytilaa niiden tilanteiden osalta, joissa Rajavartiolaitoksen tehtävien suorittamisen yhteydessä saatuja henkilötietoja on käsiteltävä automaattisen tietojenkäsittelyn avulla niiden sisällön ja merkityksellisyyden arvioimiseksi. 

Tietosuojadirektiivin johdanto-osan 18 kappaleen mukaan vakavan väärinkäytösten riskin ennalta estämiseksi luonnollisten henkilöiden suojelun olisi oltava teknologianeutraalia eli se ei saisi riippua käytetystä tekniikasta. Luonnollisten henkilöiden suojelun olisi koskettava myös henkilötietojen automaattista käsittelyä sekä sellaisten henkilötietojen manuaalista käsittelyä, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. 

Henkilötietojen automaattista käsittelyä ovat voimassa olevassa Rajavartiolaitoksen henkilötietolaissa säänneltyjen henkilötietojen tallettamisen, käyttämisen ja luovuttamisen lisäksi myös ne käsittelytoimet, joita suoritetaan ennen tietojen tallettamista Rajavartiolaitoksen tietojärjestelmiin. Voimassa oleva laki ei sisällä tätä henkilötietojen käsittelyn vaihetta koskevia säännöksiä, jolloin esimerkiksi henkilötietojen enimmäissäilytysaika jää rekisterinpitäjän tapauskohtaisesti arvioitavaksi. Merkityksellisyyden arviointia koskeva säännös toisi henkilötietojen tarpeellisuuden arvioinnin osaksi lain soveltamisalaa. Samalla merkityksellisyyden arvioimiseksi käsiteltäville henkilötiedoille ehdotetaan säädettäväksi yhdenmukainen kuuden kuukauden enimmäissäilytysaika. 

Nykytilan selventämisen lisäksi 3 momentti merkitsisi myös laajennusta Rajavartiolaitoksen nykyiseen henkilötietojen käsittelyyn. Säännös mahdollistaisi voimassa olevasta laista poiketen nimenomaisesti henkilötietojen tallettamisen erilliseen henkilörekisteriin sen selvittämiseksi, täyttyvätkö 6 ja 7 §:ssä säädetyt edellytykset tietojen käsittelylle. Henkilötietoja ei saisi käsitellä rikosten selvittämiseksi tai yleisen järjestyksen ja turvallisuuden ylläpitämiseksi, jos on epäselvää, täyttyvätkö 6 ja 7 §:ssä säädetyt kriteerit henkilötietojen käsittelylle. Rajavartiolaitoksen tehtävien kannalta selvästi merkityksettömät henkilötiedot olisi hävitettävä välittömästi, eikä niitä voitaisi tallettaa tai muuten käsitellä 3 momentin nojalla. 

Rajavartiolaitoksen toimintaympäristö on merkittävästi muuttunut voimassa olevan Rajavartiolaitoksen henkilötietolain säätämisen jälkeen. Tavat, joilla Rajavartiolaitos on perinteisesti arvioinut tietojen merkityksellisyyttä, eivät tarjoa riittäviä mahdollisuuksia rikosanalyysissa tarvittavien tietojen käsittelyyn nykyisessä digitaalisessa toimintaympäristössä. Analyysitoiminnan systemaattinen kehittäminen edellyttää mahdollisuuksia tietojen merkityksen arvioimiseen nykyaikaisen tekniikan keinoin. Momentin perusteella käsiteltävät tiedot voisivat olla myös julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä peräisin olevaa kuvamateriaalia tai tekstiä, johon voi sisältyä suuriakin määriä tietoja henkilöistä, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä. 

Tietoja saataisiin 3 momentin nojalla myös verrata Rajavartiolaitoksessa jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö 6 ja 7 §:ssä säädetyt kriteerit tietojen käsittelylle. Edellytyksenä käsittelylle olisi kuitenkin se, että tiedot on hankittu tai muutoin saatu Rajavartiolaitoksen tehtävien yhteydessä muualta laista tulevien toimivaltuuksien nojalla. Kyse voisi olla esimerkiksi pakkokeinolain 8 luvussa tarkoitetun laite-etsinnän avulla saadun tietoaineiston käsittelystä, kuten tietokoneen tai matkapuhelimen sisältämien tietojen käsittelystä. Rajavartiolaitos ei saisi 3 momentin nojalla hankkia sellaisia tietoja, joita sillä ei olisi käytettävissään muualta laista tulevien tiedonhankintavaltuuksien nojalla. 

Tietosuojalainsäädäntö edellyttää, että henkilötietoja ei käsitellä tarpeettomasti. Pykälän 3 momentissa säädettäisiin siitä, miten tehtävien yhteydessä saatujen tietojen tarpeellisuutta voidaan arvioida ja varmistaa tietojen merkityksellisyys ennen niiden pidempiaikaista käsittelyä. Rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömiksi. Momentin viimeisessä virkkeessä korostettaisiin rikosasioiden tietosuojalain 6 §:n mukaista vaatimusta tarpeettomien tietojen poistamisesta ilman aiheetonta viivytystä. Vaatimusta täydentäisi kuuden kuukauden aikarajoitus, jonka kuluessa henkilötietojen merkityksellisyys olisi viimeistään arvioitava. 

Pääsy 3 momentissa tarkoitettuihin tietoihin rajattaisiin Rajavartiolaitoksen käyttöoikeushallinnan kautta vain niille henkilöille, joiden tehtäviin momentissa tarkoitettu merkityksellisyyden arviointi kuuluisi. Tietojen käsittely olisi muita käsittelytarkoituksia vastaavasti henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piirissä. Käsittelyä koskisivat kaikki rekisterinpitäjälle laissa asetetut velvoitteet, kuten velvoite varmistaa erityisiin henkilötietoryhmiin kuuluvien tietojen tietoturva niiltä osin kuin käsiteltävään aineistoon sisältyisi tällaisia tietoja. Rekisterinpitäjän olisi myös säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain 19 §:n vaatimusten mukaisesti. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja mahdollisuuksien mukaan näiden henkilötietojen vastaanottajien henkilöllisyys. Lokitietoja voidaan käyttää käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. 

Rekisteröidyllä ei olisi tarkastusoikeutta 3 momentissa tarkoitettuihin tietoihin, mutta rekisteröity voisi pyytää tietosuojavaltuutettua tarkastamaan tietojen käsittelyn lainmukaisuuden 49 §:n 2 momentin mukaisesti. 

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

7 §. Rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen sisältö. Pykälän 1 momentissa täsmennettäisiin henkilötiedot, joita 6 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Sisällöllisesti tiedot vastaisivat pääosin voimassa olevan Rajavartiolaitoksen henkilötietolain 7 §:n mukaisesti tutkinta- ja virka-apurekisteriin talletettavia henkilötietoja sekä niitä henkilö-, ajoneuvo- ja omaisuuskuulutustietoja, turvallisuustietoja ja tuntomerkkitietoja, jotka Rajavartiolaitos tallettaa poliisin rekisterinpitoon voimassa olevan poliisin henkilötietolain 2 §:n ja 14 §:n 1 momentin 4 kohdan mukaisesti. 

Momentin 1 kohdan mukaan käsitellä saisi Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyviä tarpeellisia yksilöintejä, kuvauksia ja luokituksia. Tapahtuma on Rajavartiolaitokselle säädettyjen tehtävien piiriin kuuluva asiakokonaisuus, josta voi seurata viranomaiselle velvoitteita, kuten selonottovelvoite tai toimintavelvoite. Tapahtuma voi olla myös Rajavartiolaitoksen oma-aloitteisen toiminnan aikaansaama. Tehtävä on edellä tarkoitettuun tapahtumaan kuuluva suorite, esimerkiksi esitutkinta tai yleisen järjestyksen ja turvallisuuden ylläpitäminen. Tapahtumaan voi liittyä useita tehtäviä. Toimenpide on tehtävän osa, jolla on kohde. Kohde voi olla luonnollinen henkilö, oikeushenkilö, esine, aine tai omaisuus. Yksittäiseen tehtävään voi liittyä useita toimenpiteitä ja eriasteista julkisen vallan käyttöä, kuten henkilöön kohdistuva pakkokeinotehtävä (kiinniottaminen, pidättäminen, matkustuskielto, vangitseminen) tai henkilö-, ajoneuvo- ja omaisuuskuulutus. 

Momentin 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti 1) rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen tiedot, 2) Rajavartiolaitokselle laissa säädettyjen yleisen järjestyksen ja turvallisuuden ylläpitämisen tehtävien tiedot, 3) tiedot pakkokeinoista, Rajavartiolaitoksen toimenpiteistä sekä esitutkinnan vaiheista, 4) tekijän, tapauksen tai teon luokittelua kuvaavat tiedot sekä rikosten sarjoittamiseen ja tekniseen tutkintaan tarvittavat tiedot, 5) tekotavat ja keinot, joita on käytetty tai voidaan käyttää rikosten valmistelussa ja tekemisessä, 6) asiaa käsittelevät viranomaiset ja niiden käyttämät asioiden tunnisteet sekä 7) henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. Rajavartiolaitos saisi momentin 1 kohdan nojalla käsitellä myös tietoa henkilöllisyyttä väärinkäyttäneen ja henkilöllisyyden väärinkäytön kohteeksi joutuneen henkilön oikeasta henkilöllisyydestä. 

Momentin 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin kuuluisivat poliisin rekisterinpitoon talletettavat 1) henkilökuulutustiedot, joita ovat valokuva, sormenjäljet sekä muuttumattomat fyysiset erityistuntomerkit muun muassa etsintäkuulutettujen tavoittamiseksi; 2) tunnistettavien tiedot, joita ovat esimerkiksi valokuvat, sormenjäljet ja DNA-tunnisteet kadonneiksi ilmoitettujen henkilöiden löytämiseksi ja tunnistamattomana löytyneiden vainajien tunnistamiseksi; sekä 3) tuntomerkkitiedot, joita ovat valokuva, sormen-, käden- ja jalanjäljet sekä käsiala-, ääni- ja hajunäyte sekä DNA-tunnisteet rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi. Rajavartiolaitoksen toimivaltuudesta kerätä kohdassa tarkoitettuja tietoja säädetään muualla lainsäädännössä, esimerkiksi rajavartiolaissa, pakkokeinolaissa ja ulkomaalaislaissa (301/2004). Sääntely ei siten oikeuttaisi käsittelemään tietoja toimivaltuussääntelyä laajemmin. 

Biometrisilla tiedoilla tarkoitettaisiin tietosuojadirektiivin 3 artiklan 13 kohtaa ja rikosasioiden tietosuojalain 3 §:n 13 kohtaa vastaavasti luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa. Esimerkiksi kasvokuvat kuuluisivat siten biometrisiin tietoihin vain silloin, kun ne on saatu henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisen käsittelyn avulla. 

Tietosuojadirektiivissä on kiinnitetty erityistä huomiota tarpeeseen rajoittaa geneettisten henkilötietojen käsittelyä (direktiivin johdanto-osan 23 kappale), joka voisi paljastaa arkaluonteista tietoa muun muassa henkilön terveydentilasta. DNA-näytteestä määritettävä DNA-tunniste on kuitenkin Rajavartiolaitokselle rikoksen selvittämisessä oleellinen tuntomerkkitieto, jonka avulla henkilö voidaan tunnistaa luotettavasti silloin, kun esimerkiksi sormenjälkiä ei ole käytettävissä. 

Rajavartiolaitos tallettaisi voimassa olevaa käytäntöä noudattaen tuntomerkkitiedot, erityisesti sormenjäljet ja DNA-tunnisteet poliisin rekisterinpitoon. Laissa olisi kuitenkin säädettävä siitä, että Rajavartiolaitos voi hetkellisesti käsitellä mainittuja tietoja ennen niiden siirtämistä poliisin rekisteriin. 

Momentin 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä. Sääntely säilyisi asiasisällöllisesti muuttumattomana. Rajavartiolaitos saisi käsitellä turvallisuustietojen osana myös sellaisia tietoja kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta, jotka eivät kuulu erityisiin henkilötietoryhmiin, sekä tietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta. 

Momentin 4 kohdassa huomioitaisiin voimassa olevaa lakia vastaavasti tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, onko syyte hylätty taikka jätetty tutkimatta tai sillensä ja tieto ratkaisun lainvoimaisuudesta. 

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti 1 momentin 2 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 3 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa rikosasioiden tietosuojalain 11 §:ssä tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta. 

8 §. Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä rikosten ennalta estämiseksi tai paljastamiseksi taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi tai tällaisten uhkien ehkäisemiseksi rikosten ennalta estämisen ja paljastamisen yhteydessä. Sääntely sisältäisi myös mainittuihin tehtäviin liittyvän virka-avun. 

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi. Pykälällä korvattaisiin voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskeva säännös, joka ei nykymuodossaan palvele kokonaisvaltaisesti Rajavartiolaitoksen ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä toimintaan johtavan päätöksenteon kaikilla tasoilla. 

Pykälä korvaisi myös sellaiset voimassa olevan lain 4 §:n nojalla rikosanalyysia varten perustetut hallintoyksikkökohtaiset rekisterit, joiden tarkoituksena on rikoksen tai rikosten muodostaman rikoskokonaisuuden estäminen tai paljastaminen. Säännös mahdollistaisi tietojen valtakunnallisen käsittelyn. 

Rajavartiolaitoksen rikostorjuntalain 2 §:n 2 kohdan mukaan rikoksen estämisellä tarkoitetaan toimenpiteitä, joiden tavoitteena on estää rikos, sen yritys tai valmistelu, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan perustellusti olettaa hänen syyllistyvän rikokseen, taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Rikoksen estämisestä on kysymys silloin, kun teko kyettäisiin estämään ennen kuin tunnusmerkistön mukaiseen täytäntöönpanotoimeen on ryhdytty. 

Rajavartiolain 3 §:n 2 momentissa tarkoitettu rikosten ennalta estäminen on kuitenkin käsitteenä laaja-alaisempi kuin rikoksen estäminen. Myös rikosten ennalta estäminen liittyy rikostorjunnan yläkäsitteeseen, joka kattaa rikosten paljastamisen, selvittämisen ja syyteharkintaan saattamisen, mutta myös sellaiset määreet kuten turvallisuus ja turvallisuuden tunne. 

Rikosten ennalta estämiseksi suoritettava rikosanalyysi edellyttää pohjakseen tietoa. Erilaisten uhkien tunnistamien jo hiljaisista signaaleista ja mahdollisesti eri lähteistä tulleiden tietojen yhdistämisen kautta parantaa Rajavartiolaitoksen toiminnan tehokkuutta sekä Rajavartiolaitoksen mahdollisuuksia torjua rikoksia ja rikollisuutta mahdollisimman aikaisessa vaiheessa. Ennen rikoksen estämistä tarkka tunnusmerkistö tai rikosnimike ei aina ole tiedossa. 

Rikoksen paljastamisella tarkoitetaan Rajavartiolaitoksen rikostorjuntalain 2 §:n 3 kohdan mukaan toimenpiteitä, joiden tavoitteena on selvittää, onko rikoksen esitutkinnan aloittamiselle esitutkintalain 3 luvun 3 §:n 1 momentissa tarkoitettua perustetta, kun henkilön toiminnasta tehtyjen havaintojen tai siitä muuten saatujen tietojen vuoksi voidaan olettaa, että rikos on tehty. Rikoksen estämisen ja paljastamisen määritelmillä on vaikutusta siihen, mitä tiedonhankintakeinoja Rajavartiolaitos saa käyttää rikoksiin liittyen eri vaiheissa sekä millä edellytyksissä eri tiedonhankintakeinoilla hankittuja tietoja saisi käsitellä ja tallettaa. 

Rikosten ennalta estämiseksi ja paljastamiseksi tapahtuvan tietojen käsittelyn intressi on tiedustelullinen. Tietoja käsiteltäisiin Rajavartiolaitoksen toiminnan suuntaamiseksi, mutta myös laaja-alaisesti turvallisuusympäristössä tapahtuvien muutosten havainnoimiseksi, pyrkimyksenä ennalta estävyys ja turvallisuuden ylläpitäminen. Tiedustelullisen tiedonintressin keskeisenä tavoitteena on paremman ymmärryksen saaminen turvallisuus- ja toimintaympäristöön liittyvien tilannetekijöiden hallinnoimiseksi. Tiedustelutoiminnassa tiedonintressi kohdistuu ensisijaisesti toiminnan suuntaamiseen, kun vastaavasti tutkinnassa tiedonintressin painopiste on tiedon rikosprosessuaalisessa käyttötarkoituksessa (todistelu- ja näyttötarkoitus yksittäisen rikosprosessin turvaamiseksi). 

Tapahtumainkulun ennakoimiseksi, tilannetietoisuuden ylläpitämiseksi ja heikkojen signaalien ja ilmiöiden tunnistamiseksi välttämätön analyysitoiminta edellyttää monipuolista tietovarantojen hyödyntämistä sekä useista lähteistä saatavan tiedon yhdistelemistä ja jalostamista. Toimintaympäristöön liittyvät haasteet ja kasvavat datamäärät edellyttävät myös sitä, että tietojen käsittelyä kyetään automatisoimaan nykyistä enemmän muun muassa analytiikkasovelluksia hyödyntämällä. Säännöstä täydentäisivät henkilötietojen käsittelyä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen koskevat 14 ja 15 §:n säännökset, joiden mukaisesti muihin 2 luvun mukaisiin käsittelytarkoituksiin kerättyjä tietoja saataisiin hyödyntää tässä pykälässä tarkoitettuihin käsittelytarkoituksiin. 

Tietosuojadirektiivin johdanto-osan 27 kappaleessa on huomioitu, että rikosten ennalta estäminen, tutkiminen ja niistä syyttäminen edellyttävät, että toimivaltaiset viranomaiset voivat käsitellä rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvien syytetoimien yhteydessä kerättyjä henkilötietoja myös muissa yhteyksissä ymmärtääkseen rikollista toimintaa ja havaitakseen yhteyksiä selvitettävien rikosten välillä. Rikosten ennalta estävässä ja paljastavassa tarkoituksessa tapahtuvan henkilötietojen käsittelyn osalta olisi huomioitava myös käyttötarkoitussidonnaisuuden periaate sekä muut direktiivissä ja rikosasioiden tietosuojalaissa asetetut käsittelyn lainmukaisuutta ja oikeasuhtaisuutta koskevat vaatimukset. 

Pykälän 2 momentissa säädettäisiin henkilöryhmistä, joita koskevia henkilötietoja 1 momentissa säädettyyn käsittelytarkoitukseen saisi pääasiassa käsitellä. Ehdotetun pykälän muotoilussa on kiinnitetty huomiota hallintovaliokunnan poliisin epäiltyjen tietojärjestelmää koskeviin huomautuksiin. Henkilöryhmät, joita pykälän mukaisiin tarkoituksiin saisi käsitellä, lueteltaisiin pykälässä tyhjentävästi. Rekisteriin tallettamiselle ja muulle näihin henkilöryhmiin liittyvälle henkilötietojen käsittelylle asetettaisiin erityiset käsittelykriteerit. Silloin, kun kyse olisi muista kuin varsinaisesta rikolliseen toimintaan oletettavasti kytkeytyvistä henkilöistä, henkilötietoja saataisiin käsitellä vain, kun se on välttämätöntä tehtävän suorittamiseksi. 

Voimassa olevassa laissa ei säädetä henkilöryhmistä, joiden tietoja 4 §:n mukaisesti perustettaviin hallintoyksikkökohtaisiin henkilörekistereihin voidaan tallettaa. Tältä osin 2 momentti selventäisi nykytilaa ja täsmentäisi rikosanalyysitarkoituksiin käsiteltäviä henkilöryhmiä. 

Momentissa ehdotetaan käsittelykynnyksen kytkemistä ilmaisuun "voidaan perustellusti olettaa". Ilmaisu kuvaa rikostiedustelutoiminnan kannalta tarkoituksenmukaisesti käsittelykynnystä, joka on alempi kuin esitutkinnan käynnistämiskynnys. Ilmaisulla "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän" viitataan tilanteeseen, jossa on saatu vihjeitä rikoksen jo tapahtuneen, mutta esitutkinnan käynnistämiskynnyksen "syytä epäillä" -tasoa ei ole vielä saavutettu, eli suunnitteilla ja tekeillä olevaan rikokseen, jonka estämiseksi rikostiedustelua tehdään. Momentissa tarkoitettaisiin henkilöitä, joiden osalta on yhteys oletettuun rikolliseen toimintaan, mutta kaikkien asiaan liittyvien henkilöiden rooli ei välttämättä ole selvä. 

Momentin 1 kohdassa tarkoitettuun henkilöryhmään kuuluisivat oletettujen rikoksentekijöiden lisäksi myös rikosoikeuden osallisuusopin mukaiset osalliset eli avunantajat, yllyttäjät ja rikoskumppanit. 

Momenttiin ehdotetaan sisällytettäväksi voimassa olevaan lakiin nähden uutena henkilöryhmänä rikokseen osallisia henkilöitä täydentävä säännös rikokseen liittyvistä henkilöistä. Momentin 2 kohdassa säädettäisiin henkilöistä, jotka ovat toistuvasti yhteydessä 1 kohdassa tarkoitettuun henkilöön tai tavataan toistuvasti tämän seurassa ja yhteydenpidolla tai tapaamisella oletetaan olevan yhteys rikokseen. Tietosuojadirektiivin 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen tai rikoksesta tuomittuihin henkilöihin. 

Rikokseen syyllistyvään henkilöön toistuvasti yhteydessä olevan henkilön suhteen merkitys tulisi jo arvioitavaksi silloin, kun rikosanalyysissa löydetään useampia kontakteja henkilöiden välillä, joista toinen on 1 kohdan mukainen henkilö ja toinen ei. Tällaisen suhteen olemassaololle voi olla luonnollinen selitys, esimerkiksi asiakassuhde. Momentin 2 kohdassa tarkoitettaisiin henkilöitä, joiden kautta voitaisiin saada 1 kohdan mukaisista henkilöistä ja analyysin kannalta merkityksellisiä tietoja. Säännöksessä kuitenkin edellytettäisiin, että tälläkin henkilöryhmällä on yhteys oletettuun rikokseen, ottaen huomioon rikostiedustelun mahdolliset vaikutukset kyseessä olevien henkilöiden asemaan ja oikeusturvaan. Näin ollen pelkkä olettamus tai tapaamisten toistuvuus ei riittäisi ylittämään rekisteriin tallettamiskynnystä. 

Momentin 3 kohdassa säädettäisiin henkilöistä, jotka ovat Rajavartiolaitoksen rikostorjuntalain 21 §:ssä tarkoitetun tarkkailun kohteena rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Tarkkailulla tarkoitetaan Rajavartiolaitoksen rikostorjuntalain 21 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa. 

Pykälän 3 momentissa säädettäisiin sellaisista henkilöryhmistä, jotka eivät olisi Rajavartiolaitoksen rikostiedustelun ensisijaisia kohdehenkilöitä. Näitä henkilöryhmiä olisivat rikoksen uhrit tai asianomistajana esiintyvät henkilöt, rikoksen ilmoittajat ja rikoksen todistajat. Todistajalla ei tässä momentissa tarkoitettaisi välttämättä henkilöitä, jotka on jo nimetty todistajiksi rikosprosessissa. Henkilötietojen käsittelylle asetettaisiin näiden ryhmien osalta erityiset suojatakeet. Näitä henkilöryhmiä koskevien henkilötietojen käsittely ei saisi mennä pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi, kuten rikoksen ennalta estämiseksi. Näiden henkilöryhmien tietojen käsittely voisi olla välttämätöntä esimerkiksi siinä tilanteessa, kun jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva rikos pyritään estämään ennalta. Rajavartiolaitoksen tutkittavien rikosten osalta kyse voisi olla esimerkiksi laittoman maahantulon järjestämiseen tai ihmiskauppaan liittyvistä tilanteista. 

Voimassa olevassa lainsäädännössä ei säädetä rikostiedustelusta tai rikostiedustelun aloittamisesta. Käytännössä rikostiedustelu voidaan käynnistää, jos henkilön voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen. Vastaavalla tavoin sellainen rikosasia, jossa epäiltyä ei ole vielä tunnistettu, voi olla peruste rikostiedustelun aloittamiselle ja siihen liittyvälle henkilötietojen käsittelylle. Henkilötietoja käsitellään lähtökohtaisesti vastaavalla tavoin kuin rikoksen selvittämisen yhteydessä. Koska kyse on kuitenkin Rajavartiolaitoksen resurssien käyttämisestä, rikostiedustelun aloittamisesta saa päättää vain pidättämiseen oikeutettu virkamies tai muu esimiesasemassa oleva rajavartiomies. Rikostiedustelun aloittamisesta tehtäisiin Rajavartiolaitoksen henkilörekisteriin rikosasian tutkintailmoitusta vastaava tiedusteluasian ilmoitus. 

Pykälän 4 momentissa säädettäisiin rikosten ennalta estämiseksi ja paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta. Rikosanalyysillä tarkoitetaan suunnitelmallista ja järjestelmällistä tiedonhankintakeinoilla hankitun tai muusta tietolähteestä saadun tiedon käsittelyä rikosten tai rikosilmiöiden samankaltaisuuksien ja erilaisuuksien havaitsemiseksi tarkoituksena ennustaa ja estää rikoksia tulevaisuudessa. Tehokas rikosanalyysitoiminta on välttämätön edellytys suunnitelmalliselle ja järjestelmälliselle rikostorjunnalle. Momentissa tarkoitetun päätöksen voisi tehdä rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu hallintoyksikkö. Päätös olisi tehtävä kirjallisesti. Lähtökohtaisesti henkilötietojen käsittelystä päättää rekisterinpitäjä. Valtakunnallisten pysyvien analyysikantojen muodostamisesta päättäisi jatkossa Rajavartiolaitoksen esikunta rekisterinpitäjänä. 

Pykälän 5 momentissa säädettäisiin havaintotietojen käsittelystä. Säännös vastaisi sisällöltään voimassa olevan lain 7 §:n 3 momentin 3 kohtaa. Havaintotiedot voisivat sisältää rajavartiomiesten havaitsemia tai Rajavartiolaitokselle ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön esittämien uhkausten tai henkilön muun käyttäytymisen vuoksi arvioida liittyvän rikolliseen toimintaan. Kyse olisi tiedoista, joita rajavartiomies saa havainnoidessaan toimintaympäristöään tai tiedoista, jotka sivullinen on saattanut Rajavartiolaitoksen tietoon. Rajavartiolaitos voisi saada esimerkiksi nimettömän vihjeen epäilyttävästi käyttäytyvistä henkilöistä tai epäilyttävästä toiminnasta, joka ei sellaisenaan välttämättä olisi lainvastaista toimintaa. Yhdistettynä muihin tekijöihin tai olosuhteisiin havaintotiedot voisivat kuitenkin viitata rikolliseen toimintaan. 

Pelkkä havaintotiedon kirjaaminen ei mahdollistaisi sellaista henkilötietojen käsittelyä, josta säädettäisiin 1—3 momentissa. Havaintotiedon kirjaaminen mahdollistaisi kuitenkin sellaisen rikostiedustelun, jossa pyrittäisiin selvittämään, voidaanko asiassa perustellusti olettaa rikoksen tapahtuneen tai tapahtuvan. Toiminnan aloittamisesta päätettäisiin kuten muunkin rikostiedustelun aloittamisesta. 

Pykälän 6 momentissa säädettäisiin 6 §:n 3 momenttia vastaavasti Rajavartiolaitoksen oikeudesta käsitellä henkilötietoja sen arvioimiseksi, ovatko tiedot tarpeellisia 8 §:n mukaisiin käsittelytarkoituksiin. 

Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain 8 §:n vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

Voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskevan 11 §:n 3 momentti sisältää rajoitussäännöksen, jonka mukaan rekisteriä saavat käyttää vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt rajavartiomiehet. Ehdotetulla pykälällä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Pykälään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Tietoturvallisuudesta säädetään rikosasioiden tietosuojalain 32 §:ssä. Kyseisen pykälän 5 kohdan mukaan rekisterinpitäjällä on velvollisuus varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin. Käyttöoikeudet Rajavartiolaitoksen tietojärjestelmiin myönnetään työtehtävien perusteella. 

9 §. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen sisältö. Pykälän 1 momentissa täsmennettäisiin henkilötiedot, joita 8 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi.  

Momentin 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti tiedustelutehtävien ja ennalta estävän toiminnan tehtävien tiedot, tiedot käytetyistä tiedonhankintakeinoista, Rajavartiolaitoksen toimenpiteistä sekä asian käsittelyn vaiheista, henkilöltä tai hänen kauttaan saadut rikosta koskevat tiedot, mukaan lukien tarvittaessa heidän suhteensa muihin henkilöihin. 

Tämän kaltainen sääntely on ennalta estävän ja paljastavan toiminnan osalta aiemmin osittain sisältynyt voimassa olevan lain 7 §:ään. Sääntelyn tulkinnanvaraisuus on kuitenkin johtanut jossain määrin epäselvään oikeustilaan. Kohdan tarkoituksena olisi selventää nykyistä oikeustilaa. Tapahtumien riittävä kuvaus ja niihin liittyvien tehtävien ja toimenpiteiden yksilöinti ovat kuitenkin tärkeitä Rajavartiolaitoksen toiminnallisten tarpeiden lisäksi myös laillisuusvalvontaa varten ja rekisteröidyn oikeuksien valvomiseksi. Toiminnan kirjaamisella varmistettaisiin sekä kohteen oikeusturva että Rajavartiolaitoksen kyky tehtäviensä suorittamiseen. Kirjattua tietoa saataisiin myös hyödyntää Rajavartiolaitoksen toiminnan suuntaamiseen tarkoituksenmukaisella tavalla ehdotetun 14 §:n 1 momentin 12 kohdan mukaisesti. 

Momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja, ja sen nojalla Rajavartiolaitos saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin ne ovat tarpeellisia rikosten ennalta estämisen ja paljastamisen kannalta. 

Momentin 3 kohdassa tarkoitetut tuntomerkkitiedot käsittäisivät muun muassa henkilön pituuden, painon ja silmien värin. Tuntomerkkitiedot kattaisivat myös muun muassa henkilön tatuoinnit tai muut vastaavat ulkoiset tuntomerkit, kuten arvet ja syntymämerkit. Lisäksi kohdalla katettaisiin biometriset tiedot, kuten sormen-, käden- ja jalanjäljet, kasvokuva, ääni-, haju- ja käsialanäyte sekä fyysinen DNA-näyte ja siitä määritetty digitaalinen tai muu DNA-tunniste. Erityisiin henkilötietoryhmiin kuuluvien biometristen tietojen käsittely olisi rajoitettu 7 §:n 1 momentin 2 kohtaa vastaavasti vain välttämättömien tietojen käsittelyyn. Rajavartiolaitoksen ja rekisteröitävän oikeusturvan kannalta on välttämätöntä, että Rajavartiolaitos pystyy varmistamaan rekisteröitävän henkilöllisyyden luotettavasti. Henkilön tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita henkilön yksilöimis- ja tunnistetietoja. Esimerkiksi henkilön kuva on usein luotettavampi tunnistetieto kuin henkilön käyttämä nimi. Ehdotus ei muuttaisi voimassa olevaa oikeustilaa, vaan sisältäisi lähinnä EU:n muuttuvan tietosuojaviitekehyksen edellyttämät tarkennukset. Rajavartiolaitos tallettaisi lähtökohtaisesti tuntomerkkitiedot, erityisesti sormenjälki- ja DNA-tiedot voimassa olevan käytännön mukaisesti jatkossakin poliisin rekisterinpitoon. 

Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5 ja 7 §:ssä. 

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Erityisiin henkilötietoryhmiin kuuluvia tietoja saisi sisältyä kaikkiin 1 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti 1 momentin 3 kohdassa tarkoitettuihin henkilöllisyyden toteamiseksi tarpeellisiin tuntomerkkitietoihin ja 4 kohdassa tarkoitettuihin turvallisuustietoihin. Kyse voisi olla lähtökohtaisesti mistä tahansa rikosasioiden tietosuojalain 11 §:ssä tarkoitetusta erityiseen henkilötietoryhmään kuuluvasta tiedosta. 

Pykälän 2 momentissa säädettäisiin velvollisuudesta liittää henkilötietoihin arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Käytännössä kyse olisi vakiintuneesta menettelystä, jossa Rajavartiolaitos arvioi tietojen luotettavuuden astetta. Säännöksellä huomioitaisiin tietosuojadirektiivin 7 artiklan 1 kohdan vaatimus siitä, että tosiseikkoihin perustuvat henkilötiedot erotetaan mahdollisuuksien mukaan henkilökohtaisiin arvioihin perustuvista henkilötiedoista. Säännöksellä myös tuettaisiin direktiivin artiklan 2 kohdan vaatimusta siitä, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja ei luovuteta eikä aseteta saataville. 

10 §. Tietolähdetietojen käsittely. Rajavartiolaitoksen rikostorjuntalain 36 §:ssä säädetään Rajavartiolaitoksen tietolähdetoiminnasta. Pykälän 1 momentin mukaan tietolähdetoiminnalla tarkoitetaan muuta kuin satunnaista luottamuksellista, Rajavartiolaitokselle laissa tutkittavaksi säädettyjen rikosten estämiseen ja selvittämiseen liittyvien tehtävien hoitamiseksi merkityksellisten tietojen vastaanottamista rajavartio- ja muun esitutkintaviranomaisen ulkopuoliselta henkilöltä. Mainitun pykälän 2 momentin mukaan tietolähdetoimintaa koskevat tiedot voidaan tallettaa henkilörekisteriin. Voimassa olevan Rajavartiolaitoksen henkilötietolain 7 §:n 3 momentin 4 kohdassa säädetään tietolähdetietojen tallettamisesta Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin. 

Pykälässä selkiytettäisiin myös tietolähteen antamien tietojen asemaa tietolähdetietoina. Säännös mahdollistaisi myös tietolähteen käytön ja valvonnan kannalta tarpeellisten lähteen antamien tietojen varmistamiseen liittyvien tietojen käsittelyn. Näihin tietoihin voisivat kuulua esimerkiksi eri järjestelmien sisältämät tiedot, joita käsiteltäisiin lähteen ilmoittaman henkilön henkilöllisyyden varmistamiseksi. 

Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi rajoitettu tietosuojadirektiivin ja rikosasioiden tietosuojalain edellyttämällä tavalla vain välttämättömien tietojen käsittelyyn. Tietolähteen rekisteröinnistä ja kirjaamisesta säädetään lisäksi esitutkinnasta, pakkokeinoista ja salaisesta tiedonhankinnasta annetun valtioneuvoston asetuksen (122/2014) 3 luvun 13 §:n 2 momentissa ja 14 §:ssä. 

11 §. Henkilötietojen käsittely sotilasoikeudenhoidossa. Pykälässä säädettäisiin tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisesta henkilötietojen käsittelystä sotilasoikeudenhoidossa. Pykälä korvaisi voimassa olevan lain säännökset sotilasoikeudenhoidon rekisteristä ja kurinpitoratkaisurekisteristä. Sääntely ehdotetaan yhdistettäväksi, jotta sotilaskurinpitoa ja sotilasrikosten selvittämistä koskevat asiat voitaisiin käsitellä koko elinkaarensa ajan yhdessä henkilörekisterissä. Sääntely vastaisi asiasisällöllisesti Puolustusvoimien henkilötietolain sääntelyä. 

Pykälän 1 momentin mukaan Rajavartiolaitos saisi käsitellä henkilötietoja Rajavartiolaitoksen hallintolain 31 §:n 3 momentissa tarkoitettuun esitutkintaan ja sotilaskurinpitomenettelyyn liittyvän tehtävän suorittamiseksi. Säännöksen sanamuoto kattaisi sekä sotilasrikosten esitutkintaan että ratkaisujen tallettamiseen liittyvät käsittelytarpeet. Näihin kuuluisivat muun muassa sotilaslakimiehen kurinpitolausunnon laatiminen sekä sotilasrikosasioissa annettavien ratkaisujen tekeminen, tallettaminen, täytäntöönpano ja valvonta. Käsittelytarkoitukset koskisivat sekä sotilaskurinpitomenettelyssä määrättäviä ratkaisuja että tuomioistuimen sotilasoikeudenkäyntiasiana käsiteltävissä asioissa annettuja ratkaisuja. 

Pykälän 2 momentin mukaan edellytyksenä olisi, että sotilasoikeudenhoidossa käsiteltävät henkilötiedot liittyvät esitutkinnan tai pakkokeinon kohteena olevaan tai olleeseen taikka ilmoittajana, todistajana, asianomistajana tai muuna kuultavana esiintyvään henkilöön. Käsite muu kuultava kattaisi henkilöt, joita kuullaan esitutkinnassa, mutta joiden asema siinä ei ole vielä kuulemisvaiheessa selvillä. Muilta osin henkilöryhmät vastaisivat voimassa olevan lainsäädännön mukaan sotilasoikeudenhoidon rekisterissä ja kurinpitoratkaisurekisterissä käsiteltäviä henkilöryhmiä. 

Pykälästä ehdotetaan voimassa olevaan säännökseen verrattuna poistettavaksi itsenäisenä henkilötietojen käsittelytarkoituksena rikos- ja seuraamustilastojen ylläpitäminen. Pelkkiä tilastointitarpeita ei voida pitää hyväksyttävänä syynä henkilötietojen käsittelylle, vaan tietojen käsittelylle tulee aina olla varsinaisiin esitutkintatehtäviin tai sotilasrikosasioiden ratkaisujen käsittelyyn liittyvä tarve. Pykälässä mainittuihin tarkoituksiin käsiteltävien henkilötietojen myöhemmästä käsittelystä tilastointitarkoituksiin säädetään rikosasioiden tietosuojalain 5 §:n 3 momentissa. 

12 §. Sotilasoikeudenhoidossa käsiteltävien henkilötietojen sisältö. Pykälässä täsmennettäisiin henkilötiedot, joita 11 §:n mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Pykälä vastaisi asiasisällöllisesti pääasiassa voimassa olevan lain sääntelyä. 

Pykälän 1 kohdassa tarkoitettuihin Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyviin tarpeellisiin yksilöinteihin, kuvauksiin ja luokituksiin sisältyisivät erityisesti rikosilmoituksen tai muuta tapahtumaa koskevan ilmoituksen numero, tapahtuma-aika ja -paikka, ilmoitusaika, rikosnimikkeet ja muut nimikkeet, törkeimmän rikoksen syyteoikeuden vanhentumisaika, tutkiva hallintoyksikkö, tutkijat, tutkinnan tila, tutkinnanjohtaja, sotilaslakimies, kurinpitoesimies, asian päättämiseksi tehdyt päätökset sekä asian ratkaisutieto, tiedot pakkokeinoista, esitutkinnan vaiheista ja sotilaslakimiehen lausunnosta sekä tietoja rikoksella menetetystä tai haltuun otetusta omaisuudesta omaisuuden löytämiseksi ja omistajalleen tai haltijalleen palauttamiseksi. 

Pykälän 2 kohdan säännös olisi uusi voimassa olevaan lakiin verrattuna. Sen mukaan Rajavartiolaitos saisi käsitellä henkilöllisyyden toteamiseksi tarpeellisia tuntomerkkitietoja, mukaan lukien ääninäyte ja kasvokuva. Rikoksen esitutkinnassa voi olla tarpeellista käsitellä muun muassa tietoja henkilön pituudesta ja painosta taikka henkilön kuvia, ja ne on tällöin voitava myös tallettaa esitutkintaa koskevina tietoina. Tuntomerkkitietoja tarvitaan henkilön luotettavaan tunnistamiseen, ja ne voivat myös olla joskus ainoita käytettävissä olevia henkilön yksilöimis- ja tunnistetietoja. Koska sotilasoikeudenhoidossa käsitellään ensisijaisesti sellaisten henkilöiden tietoja, jotka ovat Rajavartiolaitoksen palveluksessa, biometristen tietojen käsittely tuntomerkkitietoina ei useimmiten ole tarpeen. 

Uuden säännöksen lisäämisellä ei ole tarkoitus muuttaa poliisin ja Rajavartiolaitoksen toimintatapoja, vaan pääsääntönä olisi edelleen, että henkilön tunnistetiedot kirjattaisiin poliisin rekistereihin. Laissa olisi kuitenkin tarpeen säätää Rajavartiolaitoksen oikeudesta käsitellä tällaisia tietoja. 

Pykälän 3 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5, 7 ja 9 §:ssä. 

Pykälän 4 kohdan mukaan Rajavartiolaitos saisi käsitellä ratkaisutietoja kurinpitopäätöksistä sekä syyttäjän ja tuomioistuimen sotilasoikeudenkäyntiasiana käsittelemistä asioista, päätöksen tai tuomion tiedoksiantoa ja muutoksenhakua koskevia tietoja sekä seuraamuksen täytäntöönpanoa koskevia tietoja. Pykälän 5 kohta puolestaan mahdollistaisi sotilaskurinpitomenettelyn valvontaa koskevien tietojen käsittelyn. 

13 §. Henkilötietojen käsittely Rajavartiolaitoksen muissa lakisääteisissä tehtävissä. Pykälässä säädettäisiin henkilötietojen käsittelystä niissä Rajavartiolaitoksen lakisääteisissä tehtävissä, joista ei olisi muualla 2 luvussa erillisiä säännöksiä. Kyseessä olisi henkilötietojen käsittely, johon sovelletaan käsittelytarkoituksesta riippuen joko tietosuoja-asetusta ja tietosuojalakia tai rikosasioiden tietosuojalakia. 

Pykälän 1 momentissa täsmennettäisiin, että Rajavartiolaitos saisi käsitellä henkilötietoja sille säädettyjen valvontatehtävien, tullitehtävien sekä etsintä-, pelastus- ja ensihoitotehtävien sekä muiden Rajavartiolaitokselle säädettyjen tehtävien suorittamiseksi. Tehtävät kuuluisivat pääosin tietosuoja-asetuksen soveltamisalaan. Pykälän nojalla saataisiin kuitenkin käsitellä henkilötietoja myös esimerkiksi aluevalvonnassa, johon sovelletaan rikosasioiden tietosuojalakia sen 1 §:n 2 momentin nojalla. 

Pykälän 2 momentissa täsmennettäisiin henkilötiedot, joita 1 momentin mukaisiin tarkoituksiin saisi käsitellä 4 §:ssä tarkoitettujen henkilön perustietojen lisäksi. Momentin 1 kohdan mukaiset Rajavartiolaitoksen tehtävään, toimenpiteeseen tai tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset voisivat pitää sisällään esimerkiksi säilöön otettujen ulkomaalaisten tietoja (voimassa olevan lain 9 §:n 3 momentin 6 kohta), talousvyöhykkeen valvontatietoja (voimassa olevan lain 9 §:n 3 momentin 3 kohta), merenkulun turvatoimitietoja (voimassa olevan lain 12 §:n 3 momentin 1 kohta), terrorismin torjuntatietoja (voimassa olevan lain 12 §:n 3 momentin 2 kohta) sekä muuta Rajavartiolaitoksen annettavaa lupaa kuin rajavalvontaan ja rajaturvallisuuden ylläpitämiseen liittyvää lupaa koskevan asian käsittelytietoja. Tämän pykälän mukaisiin lupatietoihin kuuluisivat esimerkiksi meripelastuslain 25 §:ssä tarkoitetut hätämerkkiluvat. 

Momentin 2 kohdassa säädettäisiin nimenomaisesti meriliikennettä ja vesikulkuneuvojen sijaintia koskevista tiedoista (voimassa olevan lain 9 §:n 3 momentin 3 kohta). 

Momentin 3 kohdassa katettaisiin Rajavartiolaitoksen määräämien hallinnollisten seuraamusten käsittelemiseksi tarpeelliset tiedot. Momentissa tarkoitettuihin hallinnollisiin seuraamuksiin kuuluisivat esimerkiksi merenkulun ympäristönsuojelulain (1672/2009) 3 luvussa tarkoitettu öljypäästömaksu sekä tieliikennelain (729/2018) 160 §:ssä tarkoitettu liikennevirhemaksu ja 161 §:ssä tarkoitettu ajoneuvokohtainen liikennevirhemaksu. 

Momentin 4 kohdassa säädettäisiin niin sanottujen turvallisuustietojen käsittelystä vastaavasti kuin ehdotetussa 5, 7, 9 ja 12 §:ssä. 

Rajavartiolaitos saisi osana pykälässä tarkoitettuja tietoja käsitellä myös tietosuoja-asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvia tietoja. Niitä saisi sisältyä kaikkiin 2 momentissa tarkoitettuihin tietoryhmiin, mutta erityisesti momentin 4 kohdassa tarkoitettuihin turvallisuustietoihin. 

Erityisten henkilötietoryhmien käsittely perustuisi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Näitä asianmukaisia ja erityisiä toimenpiteitä olisivat tietosuoja-asetuksessa ja tietosuojalaissa määriteltyjen suojatoimien lisäksi muun muassa henkilötietojen käsittelylle 4 ja 13 §:ssä asetetut edellytykset, 14 ja 15 §:ssä asetetut edellytykset tietojen käsittelylle muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen, 4 luvussa säädetyt edellytykset tietojen luovuttamiselle sekä 5 luvussa säädetyt säilytysajat. 

Voimassa olevan lain 13 § sisältää rajoitussäännöksen, jonka mukaan turvallisuustietorekisteriä saavat käyttää vain rikostiedustelu-, rikosanalyysi- ja tarkkailutehtäviin määrätyt rajavartiomiehet sekä tilanteenseuranta- ja riskianalyysitehtävissä toimivat rajavartiomiehet. Esityksessä ei ole tarkoitus muuttaa käyttöoikeutettujen rajoittamisen tarvetta erityisenä suojatakeena. Pykälään ei kuitenkaan ehdoteta sisällytettäväksi vastaavaa rajoitussäännöstä, vaan rekisteriin pääsyn rajoittamisen arvioidaan toteutuvan yleisellä tietoturvallisuutta koskevalla sääntelyllä. Käyttöoikeudet Rajavartiolaitoksen tietojärjestelmiin myönnetään työtehtävien perusteella. 

14 §. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. EU:n tietosuojalainsäädäntö edellyttää, että henkilötietoja käsitellään pääsääntöisesti vain siihen laissa säädettyyn tarkoitukseen, jota varten ne on kerätty. Tietosuojalainsäädäntö mahdollistaa kuitenkin henkilötietojen käsittelyn myös muuhun tarkoitukseen, jos siitä säädetään laissa, ja käsittely on tarpeellista ja oikeasuhtaista. Pykälä vastaisi pääosin voimassa olevan lain 25 §:n säännöksiä, mutta säännöksiä laajennettaisiin ja tarkennettaisiin eräiltä osin. 

Pykälän 1 momentissa lueteltaisiin muut kuin henkilötietojen alkuperäiset käsittelytarkoitukset, joihin Rajavartiolaitos saisi käsitellä tietoja. Momentin säännöksiä sovellettaisiin, jollei muualla laissa säädettäisi tiukempia edellytyksiä jonkin tiedon käsittelylle. Tällä tarkoitettaisiin esimerkiksi Rajavartiolaitoksen rikostorjuntalain 48 §:n ja pakkokeinolain 10 luvun 56 §:n mukaisia edellytyksiä tietyillä toimenpiteillä saatujen ylimääräisten tietojen käyttämisestä. 

Momentin 1 kohdan mukaan Rajavartiolaitos saisi käsitellä tietoja rikoksen ennalta estämiseksi ja paljastamiseksi. Kohdassa huomioitaisiin voimassa olevan lain 25 §:ään nähden uutena käsittelyn tarkoituksena rikosten paljastaminen, josta säädetään Rajavartiolaitoksen rikostorjuntalaissa. Tietojen käsittely rikoksen ennalta estämiseksi on sallittua myös voimassa olevan 25 §:n 1 momentin mukaan, mutta käsittely on voimassa olevassa laissa rajoitettu ehdotetusta 1 kohdasta poiketen vankeusuhkaisen rikoksen estämiseen. 

Momentin 2 kohta vastaisi asiallisesti voimassa olevaa lakia. Tietojen käsittely rikoksen selvittämiseksi olisi 2 kohdan mukaan mahdollista voimassa olevan 25 §:n 1 momentin 3 kohtaa vastaavasti ainoastaan kun kyse on sellaisen rikoksen selvittämisestä, josta saattaa seurata vankeutta. 

Momentin 3 ja 4 kohdat olisivat voimassa olevaan lakiin nähden uusia. Momentin 3 kohdassa säädettäisiin henkilötietojen käsittelystä etsintäkuulutetun tavoittamiseksi. Etsintäkuulutuksen määritelmästä ei ole säädetty laissa. Etsintäkuulutuksella tarkoitetaan asianomaisen viranomaisen päätökseen perustuvaa ilmoitusta, joka henkilörekisterin avulla saatetaan viranomaisten tiedoksi ja jossa pyydetään tietyn henkilön tavoittamiseksi tarpeellisia tietoja. Kuulutuksen tarkoituksena on saada etsittyyn henkilöön tai hänen hallussaan olevaan omaisuuteen kohdistetuksi kuulutuksessa yksilöity virkatoimi. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen on tarpeellista etsintäkuulutetun tavoittamiseksi esimerkiksi tilanteissa, joissa etsintäkuulutetun tavoittamisen tarve liittyy asiakirjojen tiedoksi saattamiseen. Etsintäkuulutus tulee voida saattaa kaikkien niiden tahojen tietoon, jotka ovat mahdollisesti tekemisissä etsintäkuulutetun kanssa. 

Momentin 5 kohta vastaisi sisällöltään osittain voimassa olevan 25 §:n 1 momentin 2 kohtaa, mutta kohdassa säädettäisiin välittömän ja vakavan yleistä turvallisuutta uhkaavan vaaran torjumisen sijaan hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran estämisestä. Kohta sisältäisi aiemmasta poiketen käsittelyn perusteena myös huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämisen. 

Momentin 6 kohta vastaisi sisällöllisesti voimassa olevan 25 §:n 1 momentin 1 kohtaa, mutta kohdan sanamuotoa muutettaisiin vastaamaan rikosasioiden tietosuojalaissa sekä muualla lainsäädännössä omaksuttua terminologiaa. 

Momentin 7 kohta olisi voimassa olevaan lakiin nähden uusi, mutta asiasisällöllisesti säännös ei merkitsisi muutosta nykytilaan. Schengenin rajasäännöstön 8 artiklan mukaan rajatarkastuksen yhteydessä on tehtävä hakuja kansallisiin ja eurooppalaisiin tietokantoihin muun muassa sen varmistamiseksi, että henkilö ei muodosta uhkaa minkään jäsenvaltion yleiselle järjestykselle, sisäiselle turvallisuudelle, kansanterveydelle tai kansainvälisille suhteille. Voimassa olevan lain 7 ja 8 § mahdollistavat mainittujen pykälien nojalla käsiteltävien henkilötietojen käyttämisen myös rajavalvonnan suorittamiseksi. 

Momentin 8—10 kohdat olisivat voimassa olevaan lakiin nähden uusia. Säännökset mahdollistaisivat Rajavartiolaitoksen käsittelemien henkilötietojen käyttämisen myös palveluskelpoisuuden määrittämistä sekä palveluksen suunnittelua ja järjestämistä varten, poikkeusolojen tehtäviin sijoittamista tai varautumista varten sekä sotilasarvossa ylentämistä tai palkitsemista varten. Sääntely liittyy Rajavartiolaitoksen sotilaallisen maanpuolustuksen tehtäviin sekä muuhun kansallisen turvallisuuden suojaamiseen liittyviin tehtäviin. Näissä käsittelytarkoituksissa olisi tarpeen käsitellä ensisijaisesti 6 §:ssä tarkoitettuja rikosten selvittämiseksi sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltäviä henkilötietoja sekä 7 §:ssä tarkoitettuja rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja. 

Momentin 11 kohdalla korvattaisiin voimassa olevan 25 §:n 1 momentin 4 kohta. Momentin 12 kohta olisi uusi säännös, jolla mahdollistettaisiin henkilötietojen käsittely Rajavartiolaitoksen toiminnan suuntaamiseksi. 

Ehdotettujen 1, 4, 5 ja 12 kohtien mukaiset käsittelytarkoitukset vastaisivat sisällöltään Rajavartiolaitoksen rikostorjuntalain 48 §:n 4 ja 5 momentin ja pakkokeinolain 10 luvun 56 §:n 4 ja 5 momentin mukaisia säännöksiä salaisilla tiedonhankinta- ja pakkokeinoilla saatujen ylimääräisten tietojen käsittelystä. Ylimääräistä tietoa saa mainittujen lakien mukaan käyttää aina rikoksen estämiseksi ja Rajavartiolaitoksen toiminnan suuntaamiseksi (pakkokeinolaki) tai Rajavartiolaitoksen tutkittavaksi kuuluvan rikoksen estämiseksi ja Rajavartiolaitoksen rikostorjunnan toiminnan suuntaamiseksi (Rajavartiolaitoksen rikostorjuntalaki). Ylimääräistä tietoa saa käyttää myös syyttömyyttä tukevana selvityksenä sekä hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi. 

Tiedon käytöllä Rajavartiolaitoksen toiminnan suuntaamiseksi tarkoitettaisiin ehdotetussa 12 kohdassa myös tiedon välillistä hyödyntämistä niin, että tietoa ei käytetä näyttönä tai tiedonhankintakeinon käytön perusteena. Tiedon hyödyntäminen Rajavartiolaitoksen toiminnan suuntaamiseksi voi liittyä esimerkiksi rikoksen estämiseen, paljastamiseen, analyysitoimintaan, esitutkinnan aloittamiskynnyksen selvittämiseen tai esitutkinnan suuntaamiseen. 

Pykälän 2 momentissa huomioitaisiin rikosasioiden tietosuojalain 5 §:n 3 momenttiin verrattavissa olevat Rajavartiolaitoksen tarpeet käsitellä henkilötietoja laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Henkilötietoja saisi nykyistä vastaavasti käyttää myös koulutustoiminnassa, jos ne ovat välttämättömiä koulutuksen toteuttamiseksi. Ehdotettu momentti vastaisi laillisuusvalvonta-, suunnittelu-, kehittämis- ja koulutustoiminnan osalta voimassa olevan lain 25 §:n 2 momenttia. 

Voimassa olevan lain 25 §:n 2 momenttia muutettiin vuoden 2014 alusta voimaan tulleella lainmuutoksella siten, että henkilörekisteriin sisältyvien tietojen käyttäminen myös laillisuusvalvontaan mainitaan nimenomaisena käyttötarkoituksena. Tämän säännöksen säilyttäminen on tärkeää, ottaen myös huomioon tarpeen vahvistaa Rajavartiolaitoksen henkilörekisterien asianmukaista valvontaa. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi uutena kohtana analyysitoiminta, joka on luonteeltaan samankaltaista kuin voimassa olevassa 25 §:n 2 momentissa tarkoitettu suunnittelu- ja kehittämistoiminta. Analyysitoiminnalla tarkoitettaisiin erityisesti rikollisuuden tilannekuvan ylläpitämiseksi ja rikollisuuden uhkakuvien ennakoimiseksi suoritettavaa strategista analyysia, joka edellyttää mahdollisuuksia myös Rajavartiolaitoksen hallussa olevien henkilötietojen hyödyntämiseen. Momentissa tarkoitetuissa käsittelytarkoituksissa ei olisi kyse Rajavartiolaitoksen yksittäisen tehtävän suorittamisesta, vaan yleisemmästä tarpeesta käsitellä henkilötietoja tiettyihin tarkoituksiin. 

Pykälän 3 momentti sisältäisi informatiivisen säännöksen erityisiin henkilötietoryhmiin kuuluvia tietoja koskevasta tiukemmasta käsittelykynnyksestä. 

15 §. Henkilötietojen käsittely lupaharkinnassa. Pykälässä säädettäisiin edellytyksistä, joilla Rajavartiolaitos saisi käsitellä 5—7 ja 11—13 §:ssä tarkoitettuja tietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen lupahallintoon liittyvien tehtävien suorittamiseksi. Tietoja saisi säännöksen mukaan käyttää päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja. 

Luvan myöntämisen ja voimassaolon edellytyksistä säädetään muualla lainsäädännössä. Ehdotetun säännöksen kannalta merkityksellisiä ovat erityisesti rajavyöhykeluvan myöntämiselle ja voimassaololle säädetyt edellytykset, joista säädetään rajavartiolain 52—55 §:ssä. Edellä 8 ja 9 §:ssä tarkoitetut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot rajattaisiin tällaisen käsittelyn ulkopuolelle. Säännös vastaisi asiallisesti voimassa olevan lain 25 §:n 1 momentin 5 kohtaa. 

16 §. Rekisterinpitäjä. Pykälän mukaan tässä laissa tarkoitettujen tietojen rekisterinpitäjä olisi Rajavartiolaitoksen esikunta. Säännös merkitsisi muutosta nykytilaan, jonka mukaan rekisterinpitäjänä toimii joko Rajavartiolaitoksen esikunta (valtakunnalliset henkilörekisterit) tai hallintoyksikkö (paikalliset rekisterit). Koska uuden lain soveltamisala ehdotetaan rajattavaksi ainoastaan henkilötietojen käsittelyyn Rajavartiolaitokselle laissa säädettyjen tehtävien suorittamiseksi ja koska laissa säädettäisiin nimettyjen rekisterien sijaan yleisemmin henkilötietojen käsittelytarkoituksista, on perusteltua, että henkilötiedoilla on vain yksi vastuullinen rekisterinpitäjä. Sääntely myös varmistaisi nykyistä paremmin sen, että Rajavartiolaitoksen lakisääteisiin tehtäviin liittyviä henkilötietoja käsitellään yhdenmukaisesti koko Rajavartiolaitoksessa. 

Rajavartiolaitoksen hallintoyksiköt olisivat edelleen rekisterinpitäjiä siltä osin kuin ne käsittelevät henkilötietoja suoraan tietosuoja-asetuksen ja tietosuojalain nojalla. 

3 luku Oikeus tietojen saamiseen

17 §. Tietojen saanti viranomaiselta. Pykälä vastaisi asiallisesti voimassa olevan lain 17 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus saada viranomaiselta ja julkista tehtävää hoitamaan asetetulta yhteisöltä ja henkilöltä virkatehtävän suorittamiseksi tarpeelliset tiedot ja asiakirjat salassapitovelvollisuuden estämättä, jollei sellaisen tiedon tai asiakirjan antamista Rajavartiolaitokselle tai tietojen käyttöä todisteena ole laissa kielletty tai rajoitettu. Voimassa olevasta säännöksestä poiketen oikeus tietojen saamisesta maksutta sisältyisi jatkossa tietojen toimittamista Rajavartiolaitokselle koskevaan 27 §:ään. 

Pykälän 2 momentin mukaan päätöksen salassa pidettävien tietojen hankkimisesta tekisi pidättämiseen oikeutettu virkamies, jollei tietojen luovuttajan kanssa toisin sovittaisi. Päätöksentekotaso on katsottu lähtökohtaisesti edelleen tarkoituksenmukaiseksi silloin, kun tietoja pyydetään yksittäistapauksissa. Poliisilain 4 luvun 2 §:n mukaan vastaavien tietojen pyytämisestä päättää päällystöön kuuluva poliisimies. Momentti mahdollistaisi kuitenkin, että pyynnön esittäjä voisi olla muukin Rajavartiolaitoksen virkamies, jos niin olisi sovittu toisin tiedon luovuttajan kanssa. Tämä olisi tarkoituksenmukaista erityisesti silloin, kun tietoja luovutetaan Rajavartiolaitokselle teknisen käyttöyhteyden avulla tai tietojoukkona. 

18 §. Tietojen saanti yksityiseltä yhteisöltä ja henkilöltä. Pykälä vastaisi pääosin voimassa olevan lain 18 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi voimassa olevasta laista poiketen oikeus saada pidättämiseen oikeutetun virkamiehen pyynnöstä tietoja yksityiseltä yhteisöltä ja henkilöltä myös rikosten paljastamiseksi. Tämä olisi tarkoituksenmukaista, koska Rajavartiolaitos käsittelisi henkilötietoja myös muutoin tässä tarkoituksessa ehdotettavien 8 ja 9 §:n perusteella. Lisäksi voimassa olevasta säännöksestä poiketen oikeus tietojen saamisesta maksutta sisältyisi jatkossa tietojen toimittamista Rajavartiolaitokselle koskevaan 27 §:ään. 

Yrityksillä on runsaasti yrityssalaisuuden piiriin kuuluvia omalle elinkeinotoiminnalleen merkityksellisiä tietoja kuten tuotekehitystietoja. Säännöksen perusteella yrityksellä ei olisi suoranaista velvollisuutta luovuttaa omalle yritystoiminnalleen tai sopimuskumppanilleen merkityksellisiä yrityssalaisuuden ytimeen kuuluvia tietoja. Tietopyynnöissä olisi yleisimmin kyse asiakas-, työntekijä- tai muussa taloudellisessa suhteessa olevien tahojen yksilöivistä tiedoista. Säännös mahdollistaisi yksityiselle taholle tiedon luovuttamisen ilman, että tämä syyllistyisi rangaistavaksi säädettyyn tekoon. Yritys-, pankki- ja vakuutussalaisuuden alaisen tiedon luovuttaja voisi luovuttaessaan tiedon Rajavartiolaitokselle olla vakuuttunut, että hän toimisi sallitulla tavalla. Tiedot luovutettaisiin luovuttajan omien sisäisten toimintaprosessien mukaisesti. 

Pykälän 2 momentissa säädettäisiin voimassa olevaa lakia vastaavasti Rajavartiolaitoksen oikeudesta saada yksittäistapauksessa tietoja teleyrityksiltä ja yhteisötilaajalta sekä postitoimintaa harjoittavalta yhteisöltä. 

Pykälän 3 momentissa säädettäisiin voimassa olevaa lakia vastaavasti Rajavartiolaitoksen oikeudesta saada tietoja lupahallintoa varten yksityiseltä yhteisöltä ja henkilöltä noudattaen, mitä 17 §:ssä säädetään. 

19 §. Uhkasakko. Pykälä olisi uusi voimassa olevaan lakiin verrattuna. Pykälän mukaan Rajavartiolaitos voisi velvoittaa yksityistä yhteisöä tai henkilöä antamaan 18 §:ssä tarkoitetut tiedot kohtuullisessa määräajassa, jos tiedot ovat tarpeen Rajavartiolaitoksen tutkittavan rikoksen ennalta estämiseksi tai selvittämiseksi. Rajavartiolaitos voisi myös asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä olisi noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saisi asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto liittyy rikosepäilyn kohteena olevaan asiaan. Muilta osin uhkasakosta olisi voimassa, mitä uhkasakkolaissa (1113/1990) säädetään. 

Säännöksen tavoitteena olisi tehostaa tarpeellisten tietojen saamista yksittäistapauksissa sekä ehkäistä tietojen luovutukseen liittyvää mahdollista tahallista tai tarkoituksellista niskoittelua. Säännös olisi omiaan kannustamaan Rajavartiolaitosta ja tietoja luovuttavia toimijoita sopimaan jo ennalta kummankin osapuolen kannalta vähiten muita toimintoja haittaavista tavoista tietojenvaihtoon. Säännös vastaisi rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 14 §:n 5 momenttia. Tietopyynnöissä ja uhkasakon asettamisessa noudatettaisiin rajavartiolain 2 luvun mukaisia periaatteita, erityisesti suhteellisuusperiaatetta (7 §), vähimmän haitan periaatetta (7 a §), tarkoitussidonnaisuuden periaatetta (7 b §) ja esitutkintatehtävässä noudatettavia periaatteita (10 §). 

20 §. Tietojen saanti eräistä rekistereistä ja tietojärjestelmistä. Pykälä täydentäisi ehdotettuja 17—19 §:ää sekä muualla lainsäädännössä olevia säännöksiä viranomaisten oikeudesta luovuttaa henkilörekistereistään tietoa Rajavartiolaitokselle, eikä se siten olisi luonteeltaan tyhjentävä. Ehdotetusta pykälästä on karsittu voimassa olevan lain 22 §:ään verrattuna tarpeetonta kaksinkertaista sääntelyä. Lähtökohtana on, että Rajavartiolaitoksen tiedonsaantioikeudesta ei olisi tarpeen säätää, jos tiedon luovuttavan tahon lainsäädäntö mahdollistaa tietojen luovuttamisen Rajavartiolaitokselle. 

Henkilötietojen luovuttamisesta Rajavartiolaitokselle säädetään esimerkiksi poliisin henkilötietolaissa, henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015), henkilötietojen käsittelystä Puolustusvoimissa annettavassa laissa, henkilötietojen käsittelystä maahanmuuttohallinnossa annettavassa laissa, henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa (1069/2015) ja liikenteen palveluista annetussa laissa (320/2017). Lisäksi usea laki oikeuttaa luovuttamaan henkilötietoja viranomaisen lakisääteisen tehtävän suorittamiseksi. 

Rajavartiolaitoksella olisi oikeus saada pykälän 1 momentissa tarkoitetut tiedot salassapitosäännösten estämättä. Tietojen saannin maksuttomuudesta säädettäisiin 27 §:ssä. 

Momentin 1 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada merenkulkuviranomaisilta ja alusliikennepalvelun tarjoajalta tietoja meriliikenteestä, sen valvonnasta ja vesikulkuneuvojen sijainnista merivalvonnan tietojärjestelmistä, alusten ilmoittautumisjärjestelmästä, laivaliikenteen ohjaus- ja informaatiopalvelun tietojärjestelmistä, alusten ohjaus- ja tukipalvelun tietojärjestelmistä, satamaliikenteen tietojärjestelmistä sekä muista alusliikennepalvelun tietojärjestelmistä Rajavartiolaitoksen merellä suoritettavaksi säädettyä valvontatehtävää varten. Säännös korvaisi voimassa olevan lain 22 §:n 1 momentin 4 ja 11 kohdat. Säännös täydentäisi myös aluevalvontalain 30 a §:n 1 momenttia (HE 34/2018 vp), jonka mukaan Rajavartiolaitoksella on oikeus tilannekuvaa varten saada korvauksetta alusliikennepalvelun tarjoajalta tietoja meriliikenteestä sekä muita aluevalvonnan kannalta merkityksellisiä tietoja. 

Momentin 2 kohdan mukaan Rajavartiolaitoksella olisi oikeus saada ilmailu-, kalastus-, merenkulku-, ympäristö- ja pelastusviranomaisilta sekä poliisilta, Tullilta ja Puolustusvoimilta tietoja kulkuneuvoista, liikenteestä, viranomaisten toimintavalmiudesta ja hälyttämisestä rajaturvallisuuden ylläpitämistä, pelastustehtävää sekä merellä tai maarajalla Rajavartiolaitoksen suoritettavaksi säädettyä valvontatehtävää varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 8 kohtaa. 

Momentin 3 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada hätäkeskustietojärjestelmästä henkilön oman turvallisuuden tai Rajavartiolaitoksen virkamiehen työturvallisuuden kannalta tarpeellisia tietoja Rajavartiolaitoksen lakisääteisen tehtävän suorittamista varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 22 kohtaa. 

Sakon täytäntöönpanosta annetun lain (672/2002) 50 §:n 2 momentin mukaan Oikeusrekisterikeskus saa salassapitovelvollisuuden estämättä pyynnöstä luovuttaa tietoja niille, joiden oikeudesta mainittujen tietojen saamiseen säädetään erikseen lailla. Momentin 4 kohta sisältäisi tätä tarkoittavat tiedonsaantisäännökset. Momentin 5 kohdassa säädettäisiin tiedonsaantioikeuksista muilta oikeushallinnon viranomaisilta. 

Momentin 6 kohdan mukaan Rajavartiolaitoksella olisi oikeus saada ulkoministeriön tietojärjestelmistä tietoja Suomessa lähettäjävaltiota edustavan diplomaatti- tai konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen tai muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista sekä heidän perheenjäsenistään ja yksityisessä palveluksessaan olevista henkilöistä rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa sekä Rajavartiolaitokselle ulkomaalaislaissa säädetyn tehtävän suorittamista varten. Säännös vastaisi voimassa olevan lain 22 §:n 1 momentin 17 kohtaa. 

Momentin 7 kohdassa säädettäisiin Rajavartiolaitoksen oikeudesta saada tietoja yhteisen kalastuspolitiikan seuraamusjärjestelmästä ja valvonnasta annetun lain (1188/2014) 29 §:ssä tarkoitetusta valvonnan tietojärjestelmästä kalastuksenvalvontaa, vesiliikenteen valvontaa, rajaturvallisuuden ylläpitämistä, esitutkintaa, muuta tutkintaa, pelastustehtävää, merenkulun turvatoimilaissa tarkoitettua tehtävää sekä liikenteenharjoittajan seuraamusmaksun määräämistä varten. Valvonnan tietojärjestelmä muodostuu mainitun lain mukaisesta saalisrekisteristä (30 §), ensiostajarekisteristä (31 §), myynti-ilmoitusrekisteristä (32 §), aluksen satelliittiseurantajärjestelmästä (33 §), kalastuksen valvontaan liittyvästä ilmoitus- ja luparekisteristä (34 §), valvontatapahtumarekisteristä (35 §), saalistodistusrekisteristä (36 §) ja rikkomusrekisteristä (64 §), merellä toimivien kalastus- ja vesiviljelyalusten rekisteröinnistä annetussa laissa (690/2010) tarkoitetusta kalastusalusrekisteristä sekä Euroopan unionin yhteisen kalastuspolitiikan kansallisesta täytäntöönpanosta annetussa laissa (1048/2016) tarkoitetuista sisävesien kalastusalusrekisteristä ja siirrettävien käyttöoikeuksien ja toimijakohtaisten kalastuskiintiöiden rekistereistä.  

Voimassa olevan lain vastaava säännös viittaa jo kumottuun Euroopan yhteisön yhteisen kalastuspolitiikan täytäntöönpanosta annettuun lakiin (1139/1994). Euroopan unionin kalastuspolitiikkaa koskeva sääntely on sittemmin jakaantunut useaan eri lakiin, ja siihen liittyvien rekisterien määrä on lisääntynyt. Rajavartiolaitos on nimetty laissa eräiden edellä mainittujen rekisterien käyttäjäksi, mutta sääntely ei ole tältä osin kattavaa. Ehdotettu säännös täydentäisi siten Rajavartiolaitoksen oikeutta saada tietoa rekistereistä, jotka ovat tarpeen sen lakisääteisten tehtävien suorittamiseksi. 

Momentin 8 kohta sisältäisi voimassa olevan lain 22 §:n 1 momentin 20 kohtaa vastaavan säännöksen tietojen saamisesta virka-apua pyytäneeltä viranomaiselta. 

Momentin 9 kohta olisi uusi voimassa olevaan lakiin verrattuna. Siinä säädettäisiin Rajavartiolaitoksen oikeudesta saada yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa koskevia tietoja PTR-laissa tarkoitetussa yhteistoiminnassa suoritettavaa tehtävää varten. Säännös ei edellyttäisi sitä, että matkustaja- ja miehistötietoja käsittelevä rajavartiomies olisi organisatorisesti sijoitettu PTR-rakenteeseen. Tietojen käsittelyoikeus olisi kuitenkin sidottu yksinomaan PTR-lain mukaiseen yhteistoimintaan, eikä tietoja siten saisi käsitellä ehdotettavan säännöksen nojalla muissa Rajavartiolaitoksen lakisääteisissä tehtävissä. Säännöksen nojalla Rajavartiolaitos saisi käsitellä myös suorakäyttöisesti liikenteenharjoittajien tietojärjestelmissä, kuten varausjärjestelmissä olevia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Lisäksi Rajavartiolaitos saisi säännöksen perusteella käsitellä tietoja, jotka liikenteenharjoittaja on jo toimittanut toiselle viranomaiselle. Tällä varmistettaisiin se, ettei liikenteenharjoittajan tarvitse toimittaa samoja tietoja useaan kertaan eri viranomaisille. 

21 §. Muiden viranomaisten tietojen luovuttaminen Rajavartiolaitokselle suorakäyttöisesti tallettamalla. Pykälässä säädettäisiin Rajavartiolaitoksen mahdollisuudesta antaa toiselle viranomaiselle oikeus tallettaa tietoja suoraan Rajavartiolaitoksen henkilörekistereihin. Pykälä vastaisi asiasisällöllisesti pääasiassa voimassa olevan lain 23 §:ää. 

Pykälän 1 momentin 1 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden oikeushallintoviranomaisille, Rikosseuraamuslaitokselle ja Oikeusrekisterikeskukselle. Nämä saisivat tallettaa Rajavartiolaitoksen henkilörekistereihin esimerkiksi etsintäkuuluttamiaan henkilöitä koskevia tietoja ja Rikosseuraamuslaitos myös tuntomerkkitietoja vapauteen kohdistuvaa rangaistusta suorittavista tai suorittaneista henkilöistä. 

Momentin 2 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden poliisille, Tullille ja Puolustusvoimille. Poliisilla tarkoitettaisiin myös suojelupoliisia. Mainitut viranomaiset tallettaisivat Rajavartiolaitoksen henkilörekisteriin voimassa olevan käytännön mukaisesti esimerkiksi etsintäkuuluttamiaan henkilöitä sekä poliisi ja Tulli myös suorittamiinsa rajatarkastuksiin liittyviä tietoja. 

Momentin 3 kohdan mukaan Rajavartiolaitos saisi antaa tallettamisoikeuden myös ulkoasiainhallinnolle. Sen sijaan pykälässä ei enää säädettäisi voimassa olevan lain tavoin työ- ja elinkeinoministeriön oikeudesta tallettaa tietoja, koska säännökselle ei ole ollut käytännön tarvetta. 

Suorakäyttöinen tallettamisoikeus koskisi kaikkia laissa säädettyjä henkilötietojen käsittelytarkoituksia ja perustuisi tietoja tallettavan viranomaisen lakisääteisiin tehtäviin. Säännös ei velvoittaisi Rajavartiolaitosta, vaan ainoastaan mahdollistaisi luvan antamisen. Tietojen tallettamisen yksityiskohdista ja vastuukysymyksistä tulisi sopia rekisterinpitäjän ja tietoja tallettavan tahon välillä erikseen. Säännös ei vaikuttaisi rekisterinpitäjän vastuuseen, vaan rekisterinpitäjä vastaisi suhteessa rekisteröityyn täysimääräisesti myös tiedoista, jotka toinen viranomainen on rekisteriin tallettanut. Pykälän tarkoituksena on ensisijaisesti vähentää turhaa kaksinkertaista työtä, joka aiheutuisi siitä, että tiedot ensin erikseen luovutettaisiin Rajavartiolaitokselle, joka kirjaisi ne itse henkilörekisteriinsä. Osapuolten olisi kuitenkin aina varmistettava tietosuojan toteutuminen ja erityisesti kirjattujen tietojen oikeellisuus ja eheys. 

22 §. Tiedot ulkorajan ylittävässä kulkuneuvossa olevista henkilöistä. Pykälä vastaisi pääosin voimassa olevan lain 19 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi salassapitosäännösten estämättä oikeus saada ja käsitellä yhteisöjen ja yhtymien matkustajia ja kulkuneuvojen henkilökuntaa koskevia tarpeellisia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Voimassa olevaan lakiin verrattuna säännöksestä poistettaisiin ehdotetun 18 §:n kanssa päällekkäisenä oikeus tietojen saantiin rikosten estämiseksi, selvittämiseksi ja syytteeseen saattamiseksi. 

Tiedonsaanti- ja käsittelyoikeus koskisi pykälän otsikon mukaisesti ainoastaan ulkorajaliikenteen matkustaja- ja miehistötietoja. Oikeus ei kuitenkaan ulottuisi PNR-direktiivin mukaisiin lisätietoihin, josta säädettäisiin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa annettavassa laissa (HE 55/2018 vp). Säännöksen nojalla Rajavartiolaitos saisi käsitellä myös suorakäyttöisesti liikenteenharjoittajien tietojärjestelmissä, kuten varausjärjestelmissä olevia tietoja rajavalvonnan suorittamiseksi ja rajaturvallisuuden ylläpitämiseksi. Lisäksi Rajavartiolaitos saisi säännöksen perusteella käsitellä tietoja, jotka liikenteenharjoittaja on jo toimittanut toiselle viranomaiselle. Tällä varmistettaisiin se, ettei liikenteenharjoittajan tarvitse toimittaa samoja tietoja useaan kertaan eri viranomaisille. 

Pykälän 2 momentissa säädettäisiin maahan saapuvan ja maasta lähtevän ulkorajan ylittävän ajoneuvon kuljettajan velvollisuudesta toimittaa maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle tiedot ajoneuvossa olevista henkilöistä. Vastaavasti säädettäisiin aluksen tai ilma-aluksen päällikön, junan tai muun liikennevälineen omistajan tai haltijan taikka näiden edustajan velvollisuudesta antaa maahantulo- tai maastalähtöpaikan rajatarkastusviranomaiselle matkustaja- ja miehistöluettelo tai muutoin tiedot liikennevälineen henkilökunnasta, matkustajista ja muista liikennevälineessä olevista henkilöistä, jollei tietoja jo ole toimitettu 23 tai 24 §:n perusteella. 

Pykälän 3 momentissa säädettäisiin tarkemmin, mitä tietoja matkustaja- ja miehistöluettelosta tulee käydä ilmi. 

Pykälän 4 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä. 

23 §. Lentoliikenteen matkustajatiedot. Pykälä vastaisi voimassa olevan lain 20 §:ää sekä hallituksen esityksessä HE 201/2017 vp pykälään ehdotettavia muutoksia. Voimassa olevan lain vastaavalla pykälällä on pantu kansallisesti täytäntöön neuvoston direktiivi 2004/82/EY liikenteenharjoittajien velvollisuudesta toimittaa tietoja matkustajista (jäljempänä API-direktiivi). 

Pykälän 1 momentissa säädettäisiin lentoliikenteen harjoittajan velvollisuudesta toimittaa rajatarkastusviranomaiselle tämän pyynnöstä lentoliikenteen matkustajatiedot ulkorajaliikenteessä. 

Pykälän 2 momentti sisältäisi API-direktiivin mukaiset edellytykset siitä, mitä tietoja matkustajatietoihin on sisällyttävä. Tiedot olisi luovutettava nykyiseen tapaan sähköisesti, tai jos se ei ole mahdollista, muulla asianmukaisella tavalla. Voimassa olevan lain säännös siitä, mihin tarkoituksiin lentoliikenteen matkustajatietoja ja 22 §:ssä tarkoitettuja tietoja saa käyttää, siirrettäisiin ehdotettavaan uuteen 25 §:ään. Vastaavasti lentoliikenteen matkustajatietojen poistamista koskevat säännökset siirrettäisiin ehdotettavaan uuteen 39 §:ään. 

Pykälän 3 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä. 

24 §. Matkustajia ja miehistöä koskevat tiedot alus- ja junaliikenteessä. Pykälä vastaisi voimassa olevan lain 20 a §:ää sekä hallituksen esityksessä HE 201/2017 vp pykälään ehdotettavia muutoksia. 

Pykälän 1 momentin mukaan ammattimaisesti henkilöiden tai tavaroiden kuljetusta vesiteitse tai rautateitse harjoittavan luonnollisen henkilön tai oikeushenkilön olisi toimitettava rajatarkastusviranomaiselle 22 §:n 2 ja 3 momentissa tarkoitetut matkustaja- ja miehistötiedot ennen rajatarkastukseen saapumista. 

Pykälän 2 momentin mukaan junaliikenteessä tiedot olisi toimitettava viimeistään junan lähdettyä viimeiseltä asemalta, jolta se on ottanut matkustajia. Alusliikenteen tietojen ennakkotoimitusvelvollisuuteen sovellettaisiin, mitä Schengenin rajasäännöstössä ja muualla säädetään tai määrätään. 

Pykälän 3 momentin mukaan pykälää sovellettaisiin myös sisärajan ylittävässä liikenteessä, jos rajavalvonta on väliaikaisesti palautettu sisärajoille Schengenin rajasäännöstön III osaston 2 luvun ja rajavartiolain 15 §:n mukaisesti. Säännös sisältyy hallituksen esitykseen HE 201/2017 vp, joka on eduskunnan käsiteltävänä. 

25 §. Matkustaja- ja miehistötietojen käsittely. Pykälä olisi uusi voimassa olevaan lakiin verrattuna, mutta ehdotettu sääntely vastaisi asiallisesti voimassa olevan lain 20 §:n 2 momentin viimeistä virkettä. Pykälän 1 momentin mukaan 22—24 §:ssä tarkoitettuja matkustajia ja miehistöä koskevia tietoja saisi ensinnäkin käsitellä rajatarkastusten helpottamiseksi sekä laittoman maahantulon ja laittoman maahanmuuton torjumiseksi. Säännös ilmaisisi matkustaja- ja miehistötietojen ensisijaisen käyttötarkoituksen. Lentoliikenteen matkustajatietojen osalta API-direktiivi kuitenkin mahdollistaa sen, että kansallisessa laissa säädetään matkustajatietojen käyttämisestä myös muissa tarkoituksissa. Tämän vuoksi säädettäisiin voimassa olevan lain tavoin, että tietoja saisi käsitellä Rajavartiolaitokselle, poliisille tai Tullille säädetyssä muussa tehtävässä. Muiden liikennemuotojen sekä miehistötietojen osalta sääntely perustuisi kansalliseen tarpeeseen. Sääntely ei asiasisällöllisesti käytännössä muuttuisi nykyisestä. 

Pykälän 2 momentin säännös olisi uusi. Se vahvistaisi lain tasolla jo voimassa olevan käytännön, jossa matkustajia ja miehistöä koskevia tietoja vertaillaan automaattisesti 1 momentissa tarkoitetun käsittelyn kannalta tarpeellisiin rekistereihin ja tietokantoihin. Vertailu tapahtuisi käytännössä pian matkustaja- ja miehistötietojen saamisen jälkeen. 

26 §. Seuraamukset. Pykälä sisältäisi informatiiviset viittaukset ulkomaalaislainseuraamussäännöksiin. Ulkomaalaislain 179 §:ssä säädetään liikenteenharjoittajan seuraamusmaksusta, joka määrätään muun muassa Rajavartiolaitoksen henkilötietolain 23 ja 24 §:ssä (aiemmin 20 ja 20 a §) tarkoitetun liikenteenharjoittajan tiedonantovelvollisuuden laiminlyönnistä. Lisäksi lain 185 §:n mukaan ulkomaalaisrikkomuksesta tuomitaan se, joka tahallaan tai törkeästä huolimattomuudesta laiminlyö Rajavartiolaitoksen henkilötietolain 22 §:ssä (aiemmin 19 §) säädetyn velvollisuutensa. 

27 §. Tietojen toimittaminen Rajavartiolaitokselle. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus saada tässä luvussa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä. Säännös olisi lakiteknisesti uusi, mutta oikeus tietojen saamiseen maksutta sisältyy jo voimassa olevan lain 17 ja 18 §:n yleisiin tiedonsaantisäännöksiin. Sääntely kuitenkin selkeyttäisi sitä, että oikeus tietojen saamiseen maksutta käsittäisi yksittäisten tiedonluovutusten lisäksi myös tietojen saamisen teknisen käyttöyhteyden avulla. 

Pykälän 1 momentti sisältäisi myös voimassa olevan lain 43 §:ää vastaavan säännöksen siitä, että Rajavartiolaitoksella olisi oikeus saada tässä luvussa tarkoitetut tiedot myös teknisen käyttöyhteyden avulla tai tietojoukkona siten kuin siitä rekisterinpitäjän kanssa sovitaan. Sopimisella tarkoitettaisiin niitä käytännön menettelyjä, joita teknisen käyttöyhteyden avaaminen toisen viranomaisen henkilörekisteriin edellyttää. 

Pykälän 2 momentin mukaan Rajavartiolaitoksen olisi pyynnöstä annettava henkilötietoja luovuttaneelle rekisterinpitäjälle tietoja teknisen käyttöyhteyden avulla, tietojoukkona tai suorakäyttöisen tallettamisen kautta saamiensa henkilötietojen käsittelystä. Vastaava säännös sisältyy voimassa olevan lain 22 §:n 2 momenttiin ja 23 §:n 2 momenttiin. Momenttiin ei kuitenkaan sisältyisi voimassa olevassa laissa Rajavartiolaitokselle asetettua velvoitetta varmistaa vastaanotettujen henkilötietojen tarpeellisuus, jos henkilötietoja on luovutettu pyytämättä. Rekisterinpitäjän velvollisuudesta käsitellä vain asianmukaisia ja tarpeellisia henkilötietoja sekä velvollisuudesta poistaa tarpeettomat henkilötiedot ilman aiheetonta viivytystä säädetään tietosuoja-asetuksessa sekä rikosasioiden tietosuojalaissa.  

28 §. Euroopan unionin viisumitietojärjestelmä. Pykälässä säädettäisiin Rajavartiolaitoksen oikeudesta saada teknisen käyttöyhteyden avulla tietoja Euroopan unionin viisumitietojärjestelmästä. Pykälän 1 momentti koskisi henkilötietojen vastaanottamista Rajavartiolaitokselle säädetyn tehtävän suorittamiseksi. Pykälän 2 momentissa säädettäisiin oikeudesta saada tietoja terrorismirikosten ja muiden vakavien rikosten selvittämiseksi. Säännökset vastaisivat asiasisällöltään voimassa olevan lain 39 b §:ää. 

29 §.Kansainvälisessä yhteistyössä saatujen tietojen käsittely. Säännös vastaisi sisällöltään osittain voimassaolevan lain 39 d §:ää. Voimassa olevan 39 d §:n 3 ja 4 momentit ehdotetaan kuitenkin poistettavaksi tarpeettomina, koska niiden vaatimukset sisältyvät rikosasioiden tietosuojalakiin. Ehdotettu pykälä koskisi vain kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyä. 

Pykälän 1 momentissa säädettäisiin voimassa olevaa sääntelyä vastaavasti salassapito- ja vaitiolovelvollisuudesta sekä velvollisuudesta noudattaa henkilötietojen luovuttajan asettamia rajoituksia henkilötietojen käytölle. Momentti sisältäisi pääsäännön, jonka tarkoituksena olisi varmistaa luottamuksen suoja kansainvälisessä yhteistyössä. 

Pykälän 2 momentissa säädettäisiin mahdollisuudesta käyttää vastaanotettuja henkilötietoja muuhun kuin niiden alkuperäiseen tarkoitukseen silloin, kun 1 momentissa tarkoitettuja rajoituksia ei ole asetettu. Voimassa olevan lain 39 d §:n 2 momentin tiukempi säännös tietojen käyttämisestä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen perustui kumottuun EU:n tietosuojapuitepäätökseen ja koski kaikkien toiselta valtiolta tai kansainväliseltä elimeltä saatujen henkilötietojen, myös toiselta EU-maalta saatujen henkilötietojen käsittelyä. Momenttia ehdotetaan tarkistettavaksi siten, että kolmannelta maalta taikka kansainväliseltä järjestöltä tai virastolta saatuja henkilötietoja saataisiin käsitellä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen ehdotetun 14 §:n 1 momentin mukaisin edellytyksin. Toiselta EU-jäsenvaltiolta saatujen henkilötietojen käsittelyyn voimassa olevan lain 39 d §:n 2 momentissa tarkoitetuissa tilanteissa sovellettaisiin jatkossa rikosasioiden tietosuojalakia.  

4 luku Henkilötietojen luovuttaminen

Luvussa säädettäisiin teknisen käyttöyhteyden avulla tai tietojoukkona tapahtuvasta henkilötietojen luovuttamisesta muille viranomaisille sekä tietojen luovuttamisesta yleisen tietoverkon avulla. Luku sisältäisi myös kansainväliseen tiedonvaihtoon liittyviä säännöksiä. 

Siltä osin kuin kyse on tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta käsittelystä, henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin yleissäädöksenä rikosasioiden tietosuojalain 7 lukua. Ehdotettu 4 luku sisältäisi tarvittavat täydentävät säännökset tietojen luovuttamisesta kolmansiin maihin ja kansainvälisille järjestöille. Luvussa säädettäisiin myös tietojen luovuttamisesta Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisille. Lisäksi luvussa huomioitaisiin voimassa olevan lain tavoin myös lainvalvontaviranomaisten käytössä olevat EU:n laajuiset tietojärjestelmät. Kansainväliseen yhteistyöhön liittyvää henkilötietojen luovuttamista koskeviin säännöksiin ei ehdoteta merkittäviä sisällöllisiä muutoksia verrattuna voimassa olevan lain säännöksiin. 

Ehdotettu 4 luku sisältäisi myös säännöksiä yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen luovuttamisesta. Tältä osin sääntelyssä olisi kyse asetuksen 6 artiklassa tarkoitetuista erityisistä säännöksistä, joilla mukautetaan asetuksen sääntöjen soveltamista. Erityiset säännökset voivat 6 artiklan mukaan koskea myös henkilötietojen luovuttamista. 

Henkilötietoja saataisiin 4 luvun säännösten mukaan luovuttaa salassapitosäännösten estämättä. Tietoja luovutettaessa olisi kuitenkin kaikissa tilanteissa huomioitava henkilötietojen suojaa koskevat säännökset. Henkilötietojen luovuttamiseen yksittäistapauksissa (muuten kuin teknisen käyttöyhteyden avulla tai tietojoukkona) sovellettaisiin nykyistä vastaavasti Rajavartiolaitoksen hallintolain vaitiolovelvollisuussääntelyä sekä täydentävästi henkilötietolainsäädäntöä silloin, kun kyse on henkilötietojen luovuttamisesta kolmanteen maahan tai kansainväliselle järjestölle. 

30 §. Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle. Pykälässä säädettäisiin henkilötietojen luovuttamisesta rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, jotka kuuluvat mainitun lain soveltamisalaan. Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. 

Puolustusvoimille saataisiin luovuttaa tietoja tämän pykälän nojalla erityisesti asevelvollisen koulutukseen ja tehtävään määräämistä sekä palveluksen järjestämistä varten, kriisinhallintatehtävään määräämistä ja kriisinhallintapalveluksen järjestämistä varten, aluevalvontatehtävien ja sotilastiedustelutehtävien hoitamiseksi, sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain 9 luvussa tarkoitettua rikosten ennalta estämis- ja paljastamistehtävää varten ja mainitun lain 5 luvussa tarkoitetun esitutkintatehtävän hoitamiseksi sekä sotilasarvossa ylentämistä ja palkitsemista varten. 

Henkilötiedot saisi luovuttaa pykälässä tarkoitetuille viranomaisille teknisen käyttöyhteyden avulla tai tietojoukkona. Pykälässä tarkoitetuissa tilanteissa teknisen käyttöyhteyden avulla luovuttaminen olisi käytännössä pääsääntö. Säännös olisi uusi ja voimassa olevaa lakia yleispiirteisempi, mutta se ei käytännössä merkitsisi muutosta nykytilaan. 

Rikosasioiden tietosuojalain 11 §:n mukaisesti erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa vain, jos se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä. 

31 §. Henkilötietojen muu luovuttaminen viranomaisille. Pykälässä säädettäisiin henkilötietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona muihin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin käsittelytarkoituksiin. Pykälä sisältäisi säännökset henkilötietojen luovuttamisesta myös rikosasioiden tietosuojalaissa tarkoitetuille toimivaltaisille viranomaisille käsittelytarkoituksiin, joihin ei sovelleta mainittua lakia. Pykälässä on otettu huomioon hallituksen esityksen HE 61/2018 vp yhteydessä hyväksytyt muutokset sekä esityksessä HE 157/2018 vp ehdotetut muutokset. 

Pykälän 1 momentissa lueteltaisiin viranomaiset, joille Rajavartiolaitos saisi luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Momentissa säädettäisiin myös niistä henkilötietojen käsittelytarkoituksista, joihin henkilötietoja saisi luovuttaa. Säännökset vastaisivat sisällöltään pääosin voimassa olevan lain 28 §:ää eräitä tarkennuksia lukuun ottamatta. 

Ehdotetun 1 momentin luettelo ei olisi tyhjentävä eikä rajoittaisi muualla laissa olevien tiedon luovuttamista tai tiedonsaantia koskevien säännösten soveltamista. Oikeus luovuttaa tietoja pykälän mukaisesti ei toisaalta myöskään edellyttäisi, että vastaanottavan viranomaisen lainsäädännössä säädetään vastaavasta tiedonsaantioikeudesta, vaan tietojen luovuttaminen olisi mahdollista ehdotetun pykälän nojalla myös ilman vastaanottajalle muualla laissa säädettyä tiedonsaantioikeutta. Rajavartiolaitoksen käsittelemien henkilötietojen luovuttamisesta tai tiedonsaannista teknisen käyttöyhteyden avulla olisi kuitenkin perustuslakivaliokunnan kannanottojen mukaisesti aina säädettävä laissa. Tietoja luovutettaessa olisi aina arvioitava, mitkä tiedot ovat tarpeen vastaanottajan lakisääteisen tehtävän hoitamiseksi ja kohdistuuko luovutettaviin tietoihin mahdollisesti muualla laissa säädettyjä käsittelyrajoituksia. Pykälä ei siten mahdollistaisi kaikkien Rajavartiolaitoksen käsittelemien henkilötietojen rajoittamatonta luovutusta mihin tahansa pykälässä mainittuun käsittelytarkoitukseen. 

Henkilötietojen luovuttamiseen muille viranomaisille yksittäistapauksissa sovellettaisiin jatkossakin Rajavartiolaitoksen hallintolain 17 ja 17 a—17 d §:n säännöksiä salassa pidettävän tiedon antamisesta viranomaiselle tai julkista tehtävää hoitavalle yhteisölle. Mainitun sääntelyn perusteella voidaan luovuttaa tietoja myös oma-aloitteisesti. Lisäksi julkisia tietoja saataisiin luovuttaa muille viranomaisille tietojoukkona muissakin kuin pykälän 1 momentin mukaisissa tapauksissa. Myös näissä luovutustilanteissa olisi kuitenkin huomioitava henkilötietojen suojaa koskevat säännökset. 

Pykälän 2 momentti sisältäisi voimassa olevasta laista poiketen säännöksen, jonka mukaan Rajavartiolaitos saisi 1 momentissa säädetyn lisäksi perustellusta syystä luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona viranomaiselle henkilötietoja, jotka ovat välttämättömiä viranomaisen laissa säädetyn tehtävän suorittamiseksi. Tällä mahdollistettaisiin viranomaisen lakisääteisen tehtävän kannalta välttämättömien tietojen luovuttaminen siltä osin kuin luovutusoikeudesta ei olisi säännöksiä 1 momentissa. 

Pykälän 3 momentissa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamista koskevasta korkeammasta kynnyksestä. Säännös vastaisi sitä, millä edellytyksillä kyseisiä tietoja voidaan Rajavartiolaitoksessa ylipäänsä käsitellä. 

32 §. Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Pykälä olisi uusi voimassa olevaan lakiin verrattuna. Pykälässä säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa henkilötietoja yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi. Säännöksen tarkoituksena on mahdollistaa rajaturvallisuuden ylläpitämistä tai rikostorjuntaa koskeva tiedotus Rajavartiolaitoksen internetsivuilla. Yleisen tietoverkon välityksellä saisi luovuttaa ainoastaan voimassa olevan lain 7 §:n 3 momentin 2 kohdassa tarkoitettuja tiedotustietoja vastaavia henkilötietoja, joista olisi asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, rajaturvallisuuden ylläpitämisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Yleiseen tietoverkkoon luovutettavien henkilötietojen määrä olisi rajoitettava mahdollisimman suppeaksi. 

33 §. Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle. Pykälän 1 momentissa huomioitaisiin niin sanottu tietojen saatavuusperiaate, jonka mukaan henkilötietojen ja muiden tietojen tulisi olla toisen EU:n jäsenvaltion lainvalvontaviranomaisen saatavilla samoin edellytyksin kuin ne ovat Rajavartiolaitoksen käytettävissä rikoksen ennalta estämiseen, paljastamiseen ja selvittämiseen. 

Säännös vastaisi sisällöllisesti pääosin voimassa olevan lain 38 §:ää. Voimassa olevassa laissa tietojen luovuttamista Euroopan unionin jäsenvaltion lainvalvontaviranomaisille on kuitenkin tietyiltä osin rajattu tiukemmin kuin Rajavartiolaitoksen mahdollisuuksia käsitellä henkilötietoja muuhun kuin alkuperäiseen käsittelytarkoitukseen. Tietoja saisi siten ehdotetun säännöksen nojalla tietyissä tilanteissa luovuttaa voimassa olevaa sääntelyä laajemmin. 

Laajennus koskisi esimerkiksi lupahallinnollisten tehtävien suorittamiseksi kerättyjen henkilötietojen luovuttamista. Laajempaa mahdollisuutta tietojen luovuttamiseen merkitsisivät tietojen saatavuusperiaatteen vuoksi myös Rajavartiolaitokselle 14 ja 15 §:ssä ehdotetut laajemmat mahdollisuudet käsitellä henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. EU:n jäsenvaltioiden lainvalvontaviranomaiset käyttävät tiedonvaihtoon suojattua kanavaa. 

Pykälän 2 momentissa säädettäisiin henkilötietojen luovuttamisesta vakavan rikollisuuden torjunnan tehostamiseksi perustetulle Eurojust-yksikölle ja muille Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perustetuille toimielimille. Momentissa tarkoitettuihin toimielimiin kuuluisi Eurojust-yksikön lisäksi esimerkiksi Euroopan petostentorjuntavirasto. 

Pykälän 3 momentissa täsmennettäisiin, että tiedot voidaan luovuttaa 1 ja 2 momentin mukaisissa tilanteissa myös tietojoukkona. 

Pykälän 4 momentti sisältäsi informatiivisen viittauksen Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettuun lakiin (26/2009) sen varmistamiseksi, että puitepäätös on asianmukaisesti pantu täytäntöön henkilötietojen luovuttamisen osalta. Puitepäätöksen täytäntöönpanolaki olisi erityissäädös suhteessa lakiehdotukseen. 

34 §. Henkilötietojen luovuttaminen Euroopan unionin rajavalvontayhteistyössä. Pykälä olisi uusi voimassa olevaan lakiin verrattuna, mutta asiallisesti säännös ei merkitsisi muutosta nykytilaan. Sääntely oikeuttaisi Rajavartiolaitoksen luovuttamaan 5—9 ja 13 §:ssä tarkoitettuja henkilötietoja salassapitosäännösten estämättä. 

Pykälän 1 momentin 1 kohdan mukaan Rajavartiolaitos saisi luovuttaa henkilötietoja toisen Euroopan unionin jäsenvaltion ja Schengenin rajasäännöstöä soveltavan muun valtion rajavalvonnasta vastaavalle viranomaiselle rajavalvonnan suorittamista varten. Säännös vastaisi asiallisesti voimassa olevan lain 39 §:n 1 momentin 1 kohtaa. Rajavalvontaan kuuluvat Schengenin rajasäännöstön mukaisesti rajatarkastukset ja rajojen valvonta. 

Momentin 2 kohdan mukaan Rajavartiolaitos saisi luovuttaa henkilötietoja Euroopan raja- ja merivartiovirastolle, viraston yhteyshenkilölle sekä viraston koordinoimaan operaatioon tai pilottihankkeeseen Suomessa osallistuvalle jäsenvaltion virkamiehelle noudattaen, mitä viraston perustamista koskevassa EU-asetuksessa säädetään. Kuten edellä yleisperustelujen 2.2.2 kohdassa todetaan, Euroopan raja- ja merivartioviraston oikeus käsitellä henkilötietoja on rajoitettu vain tiettyihin tilanteisiin. Säännökset vastaisivat voimassa olevan lain 39 §:n 1 momentin 3 kohtaa. Säännös mahdollistaisi yhdessä ehdotetun 1 kohdan kanssa myös tietojen luovuttamisen Euroopan rajavalvontajärjestelmään (Eurosur) järjestelmän perustamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1052/2013 mukaisesti. 

Momentin 3 kohta sisältäisi voimassa olevan lain 39 §:n 1 momentin 8 kohtaa vastaavan säännöksen henkilötietojen luovuttamisesta rajavartiolain 15 d §:n 1 momentissa tarkoitettua rajaturvallisuusapua antavalle Euroopan unionin jäsenvaltion virkamiehelle Suomen esittämän avunpyynnön edellyttämien toimenpiteiden suorittamista varten. 

Pykälän 2 momentin mukaan pykälässä tarkoitetut tiedot saataisiin luovuttaa myös tietojoukkona. EU-valtioiden välillä on käytössä sähköinen suojattu tiedonvaihtokanava. 

35 §. Eräät kansainväliset tietojärjestelmät. Pykälän 1 momentissa säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Schengenin tietojärjestelmään talletettaviksi. Lisätiedot olisi luovutettava keskusrikospoliisin välityksellä. Tiedot saataisiin luovuttaa myös tietojoukkona. Sääntely vastaisi asiasisällöllisesti voimassa olevaa lainsäädäntöä, mutta aineellinen säännös oikeudesta luovuttaa järjestelmään Rajavartiolaitoksen henkilötietoja siirtyisi poliisin henkilötietolaista Rajavartiolaitoksen henkilötietolakiin. 

Pykälän 2 momentissa säädettäisiin Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Euroopan unionin lainvalvontayhteistyövirastolle noudattaen, mitä Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/794 ja sitä täydentävässä laissa (214/2017) säädetään. 

36 §. Tietojen muu luovuttaminen ulkomaille. Henkilötietojen luovuttamiseen kolmansiin maihin ja kansainvälisille järjestöille sovellettaisiin kaikilta osin tietosuoja-asetuksen V luvun sekä rikosasioiden tietosuojalain 7 luvun säännöksiä. Pykälä sisältäisi kuitenkin eräitä tarkentavia säännöksiä tältä osin. Sääntely vastaisi asiasisällöllisesti pääosin voimassa olevan lain 39 §:ää. 

Pykälän 1 momentti sisältäisi rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen osalta säännöksen, joka oikeuttaisi Rajavartiolaitoksen luovuttamaan tietoja salassapitosäännösten estämättä. 

Pykälän 2 momentin 1 kohta sisältäisi voimassa olevan lain 39 §:n 1 momentin 5 kohtaa vastaavan säännöksen henkilötietojen luovuttamisesta Suomen ja Venäjän rajajärjestyssopimuksessa (SopS 32/1960) tarkoitetulle viranomaiselle sopimuksessa tarkoitettuja tehtäviä varten. 

Momentin 2 kohta korvaisi voimassa olevan lain 39 §:n 1 momentin 6 ja 7 kohdat ja oikeuttaisi Rajavartiolaitoksen luovuttamaan henkilötietoja salassapitosäännösten estämättä toisen valtion rajavalvonnasta vastaavalle viranomaiselle, jos tiedot ovat välttämättömiä rajavalvonnan suorittamista varten. 

Momentin 3 kohdassa säädettäisiin voimassa olevan lain 39 §:n 1 momentin 4 kohdan tavoin henkilötietojen luovuttamisesta laittomasti maahan saapuneiden ja maassa oleskelevien henkilöiden takaisinottamista koskevissa kansainvälisissä velvoitteissa tarkoitetuille toimivaltaisille viranomaisille kyseisissä kansainvälisissä velvoitteissa tarkoitettuja tehtäviä varten. Kohtaan lisättäisiin myös maininta muista takaisinottamista koskevista järjestelyistä niitä tilanteita varten, joissa henkilö palautetaan valtioon, jonka kanssa Suomella ei ole takaisinottosopimusta. 

Pykälän 2 momentti sisältäisi voimassa olevan lain 39 §:n 3 momenttia vastaavan säännöksen henkilötietojen luovuttamisesta ampuma-aseiden, aseen osien, patruunoiden ja erityisen vaarallisten ammusten hankkimista, hallussapitoa, siirtoa, tuontia ja vientiä koskevia henkilötietoja muun valtion asevalvonnasta vastaavalle viranomaiselle, jos tietojen luovuttaminen on asevalvonnan kannalta välttämätöntä. Säännös koskisi myös tietojen luovuttamista EU-jäsenvaltioiden viranomaisille. Säännöksellä katettaisiin myös aseiden hankinnan ja hallussapidon valvonnasta annetun neuvoston direktiivin 91/477/ETY muuttamisesta toukokuun 17 päivänä 2017 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2017/853 (jäljempänä asedirektiivi) 13 artiklan 4 kohdassa tarkoitettu tiedonvaihto. Asedirektiivin 13 artiklan 4 kohdan mukaan jäsenvaltioiden toimivaltaisten viranomaisten on vaihdettava sähköisesti tietoja luvista, joita on myönnetty ampuma-aseiden siirtämiseksi toiseen jäsenvaltioon, ja tietoja lupien epäämisestä 6 ja 7 artiklassa säädetyn mukaisesti turvallisuuteen tai asianomaisen henkilön luotettavuuteen liittyvistä syistä. 

Pykälän 3 momentin mukaan pykälässä tarkoitetut tiedot saataisiin luovuttaa myös tietojoukkona. 

37 §. Tietojen luovuttamista koskeva menettely. Pykälässä säädettäisiin päätöksenteosta, joka koskisi oikeutta luovuttaa Rajavartiolaitoksen henkilörekisterin tietoja, jos luovuttaminen tapahtuu teknisen käyttöyhteyden avulla tai tietojoukkona tai jos kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille (1 momentti). Yksittäisten henkilötietojen luovuttamiseen sovellettaisiin jatkossakin Rajavartiolaitoksen hallintolain 17 ja 17 a—17 d §:ää. 

Kun tietoja luovutetaan teknisen käyttöyhteyden avulla, rekisterinpitäjän on vaikeampi valvoa henkilötietojen suojaamista ja käyttöä. Teknisen käyttöyhteyden avulla tapahtuvasta tietojen luovuttamisesta sovittaisiin nykyistä vastaavasti aina erikseen rekisterinpitäjän ja tietojen luovuttajan tai vastaanottajan välillä. Ehdotetun 4 luvun säännökset eivät siten itsessään loisi esimerkiksi vastaanottajille oikeutta saada Rajavartiolaitoksen käsittelemiä henkilötietoja teknisen käyttöyhteyden avulla ilman erillistä päätöstä. Päätöksen tietojen luovuttamisesta tekisi rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä muu hallintoyksikkö. Rekisterinpitäjä voisi kussakin tapauksessa erikseen arvioida, onko teknisen käyttöyhteyden avaaminen perusteltua. 

Pykälän 2 momentin mukaan luovuttamisesta päätettäessä olisi voimassa olevan lain 29 §:n 2 momenttia vastaavasti otettava huomioon luovutettavien tietojen laatu. Momentissa säädettäisiin myös henkilötietojen vastaanottajalle velvollisuus esittää rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta ennen kuin henkilötietoja luovutetaan. 

Pykälän 3 momentin mukaan luovutettavien tietojen laatu olisi varmennettava ja niihin olisi mahdollisuuksien mukaan lisättävä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Virheellisten tai lainvastaisesti luovutettujen tietojen luovuttamisesta olisi myös viipymättä ilmoitettava vastaanottajalle. Säännös vastaisi voimassa olevan lain 28 §:n 4 momenttia. Vaatimuksilla pyrittäisiin takaamaan sekä rekisterinpitäjän että tiedon vastaanottajien mahdollisuudet varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön edellyttämällä tavalla. Rekisterinpitäjän olisi myös huomioitava luovutustilanteissa henkilötietojen käsittelyä koskevat erityiset edellytykset, jotka perustuvat tietosuoja-asetukseen tai rikosasioiden tietosuojalakiin. Näitä olisivat muun muassa toiselta viranomaiselta tai toiselta valtiolta vastaanotettuihin henkilötietoihin liittyvät käyttörajoitukset, joista olisi tehtävä merkintä. 

5 luku Henkilötietojen poistaminen ja arkistointi

Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja tietosuojadirektiivin 4 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten. Luvussa säädettäisiin henkilötietojen enimmäissäilytysajoista. Luvun säännökset eivät rajoittaisi muualla laissa olevien tietojen poistamista tai tarpeellisuuden arviointia koskevien säännösten soveltamista, vaan luvussa mainittuja poistoaikoja olisi noudatettava, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin. 

Voimassa olevassa laissa viitataan poliisin ylläpitämiin tietojärjestelmiin talletettavien henkilötietojen osalta poliisin henkilötietolain poistosäännöksiin ja sotilasoikeudenhoidossa käsiteltävien henkilötietojen osalta rikostorjunnasta ja sotilaskurinpidossa puolustusvoimissa annetun lain poistosäännöksiin. Tätä ei voida pitää lainsäädännön selkeyden kannalta toimivana ratkaisuna, vaan Rajavartiolaitoksen henkilötietolain mukaisesti käsiteltävien henkilötietojen poistoaikojen tulisi ilmetä samasta laista. Siltä osin kuin kyse on poliisin ylläpitämissä järjestelmissä käsiteltävistä henkilötiedoista ja sotilasoikeudenhoidossa käsiteltävistä henkilötiedoista, ehdotetut poistosäännökset vastaisivat sitä, mitä poliisin henkilötietolaissa ja uudessa Puolustusvoimien henkilötietolaissa kyseisten tietojen osalta ehdotetaan. 

38 §. Rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävien henkilötietojen poistaminen. Pääsäännön mukaan rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävät henkilötiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisimmän tiedon merkitsemisestä. Säännös vastaisi voimassa olevan lain 32 §:n 2 momenttia. Säännöksen perusteella poistettaisiin Rajavartiolaitoksen tehtävään, toimenpiteeseen ja tapahtumaan liittyvät tarpeelliset yksilöinnit, kuvaukset ja luokitukset, Schengenin rajasäännöstön II liitteessä tarkoitetut tiedot, tiedot henkilöiden ja kulkuneuvojen liikkeistä ja sijainnista rajan läheisyydessä sekä henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot. 

Viiden vuoden poistosäännös koskisi myös voimassa olevan lain 6 §:n nojalla perustetun Rajavartiolaitoksen kenttäjohtamisen rekisterin tietoja. Tältä osin säännös merkitsisi muutosta voimassa olevaan sääntelyyn, jonka mukaan mainitut tiedot poistetaan viimeistään kahden vuoden kuluttua tallettamisesta, jolleivät tiedot ole edelleen tarpeellisia toiminnan suunnittelussa, toteutuksessa ja valvomisessa (voimassa olevan lain 30 §). Säilytysajan pidentäminen yhdenmukaistaisi rajavalvonnassa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseksi käsiteltävien henkilötietojen käsittelyä tilanteessa, jossa luovuttaisiin rekisterikohtaisesta sääntelystä. 

Pykälän 2 momentti sisältäisi pääsäännöstä poikkeavat poistoajat. Lupatiedot poistettaisiin kymmenen vuoden kuluttua luvan voimassaolon päättymisestä (1 kohta) ja ilmoitustiedot poistettaisiin kymmenen vuoden kuluttua tiedon rekisteriin merkitsemisestä (2 kohta). Sääntely vastaisi tältä osin voimassa olevaa sääntelyä eräitä lakiteknisiä tarkistuksia lukuun ottamatta. 

Momentin 3 kohta olisi uusi voimassa olevaan lakiin verrattuna. Kohdassa säädettäisiin nimenomaisesti rajavartiolain 29 §:ssä tarkoitetun teknisen valvonnan tallenteiden poistamisesta. Voimassa olevan lain mukaan teknisen valvonnan tallenteiden on katsottu olevan osa valvonta-asioiden rekisterin maa- ja merirajan valvontatietoja, joiden poistoaika on viisi vuotta. Viiden vuoden poistoaika on kuitenkin teknisen valvonnan tallenteille tarpeettoman pitkä, ja käytännössä tallenteita on säilytetty huomattavasti lyhyemmän ajan, korkeintaan muutamia kuukausia. Ehdotetun 3 kohdan mukaan teknisen valvonnan tallenteet olisi poistettava viimeistään kuuden kuukauden kuluttua tallenteen syntymisestä. Tätä voidaan pitää operatiivisesti riittävänä säilytysaikana sekä kohtuullisena myös yksityisyyden suojan näkökulmasta. 

Momentin 4 kohdan mukaan liikenteenharjoittajan seuraamusmaksun määräämistä koskevat tiedot poistettaisiin kymmenen vuoden kuluttua rekisteriin merkitsemisestä. Sääntely vastaisi voimassa olevaa lakia. Momentin 5 kohta sisältäisi voimassa olevaan lakiin verrattuna uuden säännöksen maahantulokieltoja koskevien tietojen poistamisesta. Säännös vastaisi sitä, mitä poliisin henkilötietolaissa ehdotetaan maahantulokieltojen poistamisesta. 

Momentin 6 kohdassa säädettäisiin muiden rajavalvontaviranomaisten toimintaa ja kokoonpanoa sekä rajatilannetta Suomessa ja Euroopan unionissa koskevien tietojen poistamisesta. Säilytysaika olisi voimassa olevan lain 34 §:ää vastaavasti 25 vuotta viimeisen tiedon merkitsemisestä. Pitkä säilytysaika on tarkoituksenmukainen, koska tiedoilla on merkitystä myös kansallisen turvallisuuden suojaamisessa. 

Momentin 7 kohdassa säädettäisiin poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi. 

Pykälän 3 momentin mukaan kaikki 1 ja 2 momentissa tarkoitetut tiedot saataisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Momentissasäädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi. Säännös vastaisi 40—42 ja 45 §:ään ehdotettavaa sääntelyä. 

39 §. Lentoliikenteen matkustajatietojen poistaminen.Pykälän 1 momentin mukaan 23 §:ssä tarkoitetut matkustajatiedot poistettaisiin viimeistään 24 tunnin kuluttua niiden toimittamisesta rajatarkastusviranomaiselle matkustajien saavuttua maahan tai lähdettyä maasta, jollei tietoja tarvita Rajavartiolaitoksen, poliisin tai Tullin muussa lakisääteisessä tehtävässä. Sääntely vastaisi tältä osin voimassa olevassa lain 20 §:n 3 momenttia, joka perustuu API-direktiiviin. Muita liikennemuotoja koskevat matkustaja- ja miehistötiedot poistettaisiin sen 2 luvussa säädetyn käsittelytarkoituksen poistosäännösten mukaisesti, jossa niitä käsitellään. 

Pykälän 1 momentti sisältäisi uutena asiana informatiivisen viittauksen siitä, miten ehdotettavassa 23 §:ssä tarkoitettuja lentoliikenteen matkustajatietoja (API-tiedot) käsiteltäisiin niin sanotun PNR-direktiivin soveltamisalalla (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 matkustajarekisteritietojen (PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten). Direktiivin I liitteen mukaisesti PNR-tietoihin kuuluvat myös API-tiedot, jos sellaisia on kerätty. Tältä osin API-tietojen käsittelyyn sovellettaisiin 24 tunnin jälkeen myös, mitä lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa säädetään. Käytännössä tämä tarkoittaisi sitä, että API-tiedot poistettaisiin Rajavartiolaitoksen henkilörekisteristä, ellei yksittäisen tiedon säilyttämiseen ole 1 momentissa tarkoitettua perustetta. Tiedot siirrettäisiin tietojoukkona poliisin rekisterinpitoon, minkä jälkeen niitä käsiteltäisiin mainitun lain mukaisesti. 

Pykälän 2 momentissa olisi voimassa olevan lain 20 §:n 3 momenttia vastaava säännös siitä, että jollei muuta säädetä, lentoliikenteen matkustajatietojen luovuttajan olisi hävitettävä hankkimansa ja rajatarkastusviranomaisille toimittamansa henkilötiedot viimeistään 24 tunnin kuluttua kuljetuksessa käytetyn liikennevälineen saapumisesta määränpäähänsä. 

40 §. Rikosasiaan liittyvien henkilötietojen poistaminen. Voimassa olevan lain 31 §:ssä viitataan rikosasiaan liittyvien tietojen poistamisen osalta poliisin henkilötietolain 22 §:ään. Ehdotetussa pykälässä säännökset kirjoitettaisiin auki ja niihin tehtäisiin poliisin henkilötietolakiin ehdotettavat sisällölliset tarkistukset. Henkilötietojen säilytysaikoihin ei esitetä suuria muutoksia. 

Kyse olisi rikosilmoitustietojen, rikosten esitutkintaan liittyvien tietojen, tuntomerkkitietojen ja muiden rikosasiaan liittyvien henkilötietojen poistamisesta. Rikosasiaan liittyvillä henkilötiedoilla tarkoitettaisiin kaikkia esitutkintatarkoituksiin kerättyjä henkilötietoja, joiden poistamisajat on tarkoituksenmukaista yhdenmukaistaa rikosilmoitusta koskevien tietojen poistamisaikojen kanssa. Esimerkiksi tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot sekä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tai tutkintaa suorittavien viranomaisten valvonnan suuntaamiseksi käsiteltävät tiedotustiedot poistettaisiin jatkossa noudattaen sen rikosasian säilytysaikaa, johon tiedot liittyisivät. Säilytysajat olisivat edelleen porrastettuja sen mukaan, miten törkeästä teosta on kysymys. Lisäksi säännöksessä huomioitaisiin alaikäisten rikolliseen tekoon syyllistyneiden henkilöiden haavoittuvampi asema. 

Pykälän 1 momentin mukaisesti rikosasian tiedot poistettaisiin viiden vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus, kymmenen vuoden kuluttua, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata enintään viiden vuoden vankeusrangaistus ja kahdenkymmenen vuoden kuluttua, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta. Esitetyillä säilytysajoilla varmistettaisiin voimassa olevaa sääntelyä vastaavasti, että tiedot säilyvät Rajavartiolaitoksen henkilörekisterissä vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Säilytysaikaa lyhennettäisiin kymmenestä vuodesta viiteen vuoteen niiden syyttäjälle siirrettyjen rikosasioiden osalta, joissa törkeimmästä epäillystä rikoksesta voi seurata enintään vuoden vankeusrangaistus. Lyhyemmän säilytysajan arvioidaan riittävän turvaamaan tietojen säilyminen lainvoimaisen ratkaisun saamiseen saakka.  

Edellä 1 momentissa tarkoitetut tiedot poistettaisiin 2 momentin mukaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta. 

Muun rikosasian tiedot poistettaisiin 3 momentin mukaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta. Vähintään viiden vuoden säilytysaika vastaisi virkarikosten syyteoikeuden vanhentumisaikaa ja olisi tarpeen sekä asianomistajan että Rajavartiolaitoksen virkamiehen oikeusturvan takaamiseksi. 

Pykälän 4 momentissa säädettäisiin rikoksesta epäiltyjen henkilöiden tunnistamiseksi, rikoksen selvittämiseksi ja rikoksentekijöiden rekisteröimiseksi talletettujen tuntomerkkitietojen poistamisesta. Tiedot poistettaisiin viimeistään kymmenen vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä. Tiedot poistettaisiin kuitenkin viimeistään kymmenen vuoden kuluttua rekisteröidyn kuolemasta, jos törkeimmästä rekisteröintiperusteena käytetystä rikoksesta säädetty ankarin rangaistus on vähintään vuosi vankeutta. Esitetyillä muutoksilla lyhennettäisiin voimassa olevan lain mukaisia poistoaikoja huomattavasti lievempien rikosasioiden osalta. Tunnistamattomiksi jääneiden rikokseen liittyvän tuntemattoman tekijän taltioitujen jälkien poistamisesta ei enää säädettäisi erikseen, vaan tiedot poistettaisiin 2 momentin mukaista muun rikosasian poistoaikaa noudattaen vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta. 

Pykälän 5 momentissa huomioitaisiin alaikäiset rikollisesta teosta epäillyt. Momentin tarkoituksena on varmistaa lapsen edun huomioon ottaminen lapsen oikeuksien yleissopimuksen mukaisesti. Voimassa olevan sääntelyn mukaan rekisteröidyn, joka oli rikoksen tekohetkellä alle 15-vuotias, tiedot poistetaan hänen täytettyään 18 vuotta, ellei hän 15 vuotta täytettyään ole syyllistynyt rikokseen. Tietoja ei kuitenkaan tällä perusteella poisteta, jos ilmoitukseen liittyy muita syylliseksi epäiltyjä, joiden tietoja ei vielä poisteta tai jokin merkinnöistä koskee rikollista tekoa, josta on seuraamukseksi säädetty ainoastaan vankeutta. Mainitun säännöksen asianmukainen toteuttaminen on kuitenkin osoittautunut ongelmalliseksi. Voimassa olevan poistosäännön merkitys rekisteröidyn yksityisyyden suojan kannalta jäisi myös pieneksi sen takia, että alle 15-vuotiaita koskevissa rikosilmoituksissa on useissa tapauksissa muitakin kirjattuja henkilöitä, minkä takia poistosääntö johtaisi käytännössä tietojen poistamiseen vain vähäisellä osalla alle 15-vuotiaana rekisteröidyistä. 

Ehdotetun 5 momentin mukaan alle 15-vuotiaiden rekisteröityjen tuntomerkkitiedot poistettaisiin viimeistään viiden vuoden kuluttua viimeisen rikoksesta epäiltyä henkilöä koskevan merkinnän tekemisestä, jollei jokin merkinnöistä koske rikosta, josta on seuraamukseksi säädetty ainoastaan vankeutta. Muutoin alle 15-vuotiaiden rekisteröityjen tiedot poistettaisiin noudattaen pykälän ehdotettuja yleisiä säännöksiä. Esimerkiksi rikosilmoitus, jossa kirjattuna on ainoastaan alle 15-vuotias henkilö, poistettaisiin 2 momentin mukaisesti viiden vuoden kuluttua rikosasian kirjaamisesta, koska rikosasiaa ei siirrettäisi syyttäjälle. 

Pykälän 6 momentissa säädettäisiin rekisteröidyn yksityisyyden suojan takaamiseksi poikkeussäännöstä, jonka mukaan henkilöllisyyden toteamiseksi tarpeelliset tuntomerkkitiedot poistettaisiin viimeistään vuoden kuluttua merkinnän tekemisestä, jos tutkinnassa on selvinnyt, ettei rikosta ole tehty tai henkilöä ei enää ole syytä epäillä rikoksesta. 

Pykälän 7 momentin mukaan kaikki edellä 1—5 momentissa tarkoitetut tiedot saataisiin kuitenkin säilyttää, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Myös esimerkiksi ajoneuvoja koskevien kuulutusten voimassaoloaikaa voi olla tarve jatkaa omaisuuden omistajalleen palauttamisen mahdollistamiseksi. 

Ehdotetun 7 momentin mukaan tietojen säilyttäminen olisi nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Muu perusteltu syy tietojen säilyttämiseen voisi olla esimerkiksi tarve jatkaa kateissa olevaa ampuma-asetta koskevan kuulutuksen voimassaolo-aikaa, vaikka asian tutkinta on jo päättynyt. Momentissa säädettäisiin myös velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. Tarpeellisuuden arvioinnille asetettu viiden vuoden määräaika vastaisi rikosasioiden tietosuojalain 6 §:ssä arvioinnille säädettyä määräaikaa. Tietojen edelleen säilyttämisen tarpeellisuus voitaisiin nykyistä vastaavasti arvioida myös tietoryhmäkohtaisesti siten, että erillisellä päätöksellä voitaisiin poistaa esimerkiksi tiettyjä ryhmiä koskevat tiedot, ilman tarvetta käydä tietoja yksitellen läpi. Säännös vastaisi 38, 41, 42 ja 45 §:ään ehdotettavaa sääntelyä. 

41 §.Rikosten selvittämisessä käsiteltävien muiden henkilötietojen sekä yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävien henkilötietojen poistaminen. Voimassa olevan lain 31 §:ssä viitataan pykälässä tarkoitettujen henkilötietojen poistamisen osalta poliisin henkilötietolain 22 §:ään. Ehdotetussa pykälässä säännökset kirjoitettaisiin auki ja niihin tehtäisiin poliisin henkilötietolakiin ehdotettavat sisällölliset tarkistukset. Säännöksellä katettaisiin ne 6 ja 7 §:n mukaisiin tarkoituksiin käsiteltävät henkilötiedot, jotka eivät liittyisi esitutkintaan. Pykälän nojalla poistettaisiin siten erityisesti yleisen järjestyksen ja turvallisuuden ylläpitämiseksi käsiteltävät henkilötiedot. Kyse olisi esimerkiksi mainittuihin tehtäviin liittyvien ilmoitusten tietojen poistamisesta sekä eräiden henkilökuulutustietojen ja turvallisuustietojen poistamisesta. 

Pykälän 1 momentin mukaisesti muihin kuin esitutkintatarkoituksiin käsiteltävät henkilötiedot säilytettäisiin viiden vuoden ajan ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan. 

Pykälän 2 momentin 1 kohdassa säädettäisiin muiden henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävien etsintäkuulutusta ja matkustuskieltoa koskevien tietojen poistamisesta. Mainittujen tietojen säilytysajat perustuisivat 1 momentin pääsäännöstä poiketen kuulutuksen tai kiellon määräämiseen, peruuttamiseen tai päättymiseen. Ilmoituksen tai asian kirjaamiseen perustuva säilytysaika voisi johtaa tilanteisiin, joissa asiaan liittyvät henkilötiedot olisi poistettava kuulutuksen tai kiellon ollessa vielä voimassa tai välittömästi voimassaolon päätyttyä. Maahantulokieltojen poistamisesta säädettäisiin 38 §:ssä. 

Etsittävien ajoneuvojen tiedoille ja omaisuustiedoille ei voimassa olevista säännöksistä poiketen ehdotettaisi erillistä poistosäännöstä, vaan tutkinnallisiin tarkoituksiin liittyvät kuulutustiedot poistettaisiin noudattaen sen ilmoituksen tai asian säilytysaikaa, johon kuulutustiedot liittyisivät. Tiedot poistettaisiin, kun ne eivät ole enää tarpeen asian käsittelemiseksi, tehtävän suorittamiseksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. 

Momentin 2 kohdassa säädettäisiin voimassa olevaa lakia vastaavasta poikkeuksesta, joka koskisi turvallisuustietojen poistamista. Ensimmäisen momentin pääsäännöstä poiketen turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi. 

Pykälän 3 momentissa säädettäisiin poikkeuksesta, joka koskisi kaikkia 1 ja 2 momentissa tarkoitettuja tietoja. Tiedot saataisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen taikka Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tietojen säilyttäminen olisi siten mahdollista esimerkiksi vireillä olevan virkarikostutkinnan ajan. Tietojen säilyttäminen olisi nykyisestä poiketen mahdollista myös muun perustellun syyn vuoksi. Momentissa säädettäisiin myös 38, 40, 42 ja 45 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. 

Edellä 6 §:n 3 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 6 §:n 3 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 6 ja 7 §:ssä säädetyt käsittelyedellytykset, poistettaisiin noudattaen 6 ja 7 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja. 

42 §. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen poistaminen. Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät henkilötiedot olisi ehdotetun 1 momentin mukaan poistettava viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan merkinnän tekemisestä. Ehdotettu pääsääntö vastaisi pääosin voimassa olevan lain 33 §:n säännöstä rikoksesta epäiltyjen Rajavartiolaitoksen rekisterin tietojen poistamisesta, mutta säännös koskisi jatkossa kaikkia 8 ja 9 §:n nojalla rikosten ennalta estämiseksi ja paljastamiseksi käsiteltäviä henkilötietoja. 

Havaintotietoja koskisi nykyistä vastaava lyhyempi säilytysaika. Tiedot olisi poistettava kuuden kuukauden kuluttua merkinnän tekemisestä. Tällä huomioitaisiin se, että havaintotiedot ovat luonteeltaan epävarmoja eikä niitä tulisi säilyttää pidempään kuin on välttämätöntä. 

Rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät turvallisuustiedot olisi poistettava 38 ja 41 §:ssä tarkoitettuja turvallisuustietoja vastaavasti viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi.  

Ehdotetun pykälän mukaisesti poistettaisiin esimerkiksi rikosten ennalta estämiseksi tai paljastamiseksi suoritettavaan rikosanalyysiin liittyvät henkilötiedot, joita käsitellään nykyisin voimassa olevan lain 4 §:n nojalla perustetuissa hallintoyksikkö- tai työryhmäkohtaisissa henkilörekistereissä. Voimassa olevan lain 35 §:n mukaan tiedot poistetaan yhden tai useamman hallintoyksikön tai työryhmän käyttöön perustetuista henkilörekistereistä kymmenen vuoden kuluttua rekisteröinnin aiheuttaneen teon, toimenpiteen tai tapahtuman merkitsemisestä, jollei tietojen edelleen säilyttäminen ole tutkinnallisen tai valvonnallisen syyn vuoksi tarpeen. Voimassa olevan lain mukaan henkilötietoja ei kuitenkaan poisteta, jos henkilön tietoihin on liitetty henkilöä koskevia, hänen omaan turvallisuuteensa tai Rajavartiolaitoksen työturvallisuuteen liittyviä tietoja. 

Kaikkien 8 ja 9 §:n mukaisesti rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävien henkilötietojen tuominen samojen systemaattisten säilytysaikojen piiriin selkeyttäisi ja yksinkertaistaisi tietojen poistamista sekä järjestelmien toteutuksen että rekisteröidyn oikeusturvan kannalta. Samalla varmistettaisiin mahdollisuudet uhkapotentiaaliltaan suurimpien ja vakavimpien rikosten ennalta estämiseen ja paljastamiseen. 

Pykälän ehdotettu 2 momentti sisältäisi 38 §:n 3 momenttia, 40 §:n 7 momenttia ja 41 §:n 3 momenttia vastaavan säännöksen, jonka mukaan henkilötiedot saataisiin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta olisi arvioitava 38, 40, 41 ja 45 §:ää vastaavasti vähintään viiden vuoden välein. Yksityisyyden suojan takeena toimisivat myös rikosasioiden tietosuojalain 6 §:n yleisesti sovellettavat säännökset henkilötietojen käsittelyn tarpeellisuudesta. 

Edellä 8 §:n 6 momentissa tarkoitetut tiedot, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi, olisi poistettava viipymättä sen jälkeen, kun ne on arvioitu tarpeettomiksi. Tiedot olisi poistettava kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä. Tietojen poistamisesta säädettäisiin käsittelyn poikkeuksellisen luonteen vuoksi suoraan käsittelyä koskevan 8 §:n 6 momentin yhteydessä. Tarpeelliseksi arvioidut tiedot, jotka täyttäisivät 8 ja 9 §:ssä säädetyt käsittelyedellytykset, poistettaisiin noudattaen 8 ja 9 §:ssä tarkoitetuille tiedoille säädettyjä poistamisaikoja. 

Sääntely vastaisi poliisin henkilötietolakiin ehdotettavaa sääntelyä. 

43 §. Tietolähdetietojen poistaminen. Tietolähdetietojen poistamisesta ehdotetaan säädettäväksi erillisessä pykälässä. Ehdotus vastaisi lain 2 lukuun ehdotettuja muutoksia, joilla tietolähdetietojen käsittelyä koskevat säännökset siirrettäisiin erilliseen 10 §:ään. Voimassa olevan lain mukaan tietolähdetiedot ovat osa tutkinta- ja virka-apurekisteriä, ja niiden poistamiseen sovelletaan voimassa olevan poliisin henkilötietolain 22 §:n 1 momentin 9 kohtaa. Voimassa olevan säännöksen mukaan tietolähdetiedot poistetaan kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. Sääntelyä ehdotetaan muutettavaksi siten, että tiedoille säädettäisiin kymmenen vuoden enimmäissäilytysaika. Muutoksella huomioitaisiin, että tiedot olisi voitava poistaa myös aiemmin kuin kymmenen vuoden kuluttua esimerkiksi silloin, jos tiedot eivät enää olisi käsittelytarkoituksen kannalta tarpeellisia. 

44 §. Sotilasoikeudenhoidossa käsiteltävien henkilötietojen poistaminen. Voimassa olevassa laissa säädetään sotilasoikeudenhoidossa käsiteltävien henkilötietojen poistamisesta viittaamalla sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annettuun lakiin. Sääntelyn selkeyttämiseksi poistosäännökset kirjoitettaisiin auki. Sääntely vastaisi Puolustusvoimien henkilötietolakiin ehdotettavaa sääntelyä. Ehdotetut poistoajat eroaisivat esitutkintaa koskevien tietojen osalta jossakin määrin ehdotetun 40 §:n säännöksistä. 

Pykälän 1 momentissa säädettäisiin muistutusta, ylimääräistä palvelusta, poistumiskieltoa, kurinpitosakkoa ja arestia koskevien tietojen säilytysajoista. Ehdotetut säilytysajat olisivat samat kuin nykyisen kurinpitoratkaisurekisterin tietojen säilytysajat, eli oikeustila pysyisi tältä osin ennallaan. 

Pykälän 2 momentissa säädettäisiin tuomioistuimen sotilasoikeudenkäyntimenettelyssä määräämien rangaistusten säilytysajoista. Momentti kattaisi muut kuin 1 momentissa tarkoitetut seuraamukset. Säännös olisi luonteeltaan viittaus, eli säilytysajat määräytyisivät momentissa tarkoitetussa tilanteessa rikosrekisterilain (770/1993) ja sakon täytäntöönpanosta annetun lain (672/2002) mukaisesti. Nykyinen sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annettu laki ei sisällä vastaavaa viittaussäännöstä, mutta tosiasiallisesti sakko- ja vankeusrangaistusten osalta lainsäädäntöä on vakiintuneesti tulkittu ehdotetun säännöksen mukaisesti. Oikeustila ei siten ehdotuksessa muuttuisi, mutta se kirjoitettaisiin yksiselitteisesti lakiin. 

Rikosrekisterilain 10 §:n 1 momentin 1 kohdan mukaan rikosrekisteristä poistetaan tieto ehdollisesta vankeudesta, ehdollisen vankeuden ohessa tuomitusta sakosta, yhdyskuntapalvelusta tai valvonnasta, nuorisorangaistuksesta, nuorisorangaistuksen sijasta tuomitusta sakosta, viraltapanosta ja yhteisösakosta viiden vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Momentin 2 kohdan mukaan rikosrekisteristä poistetaan tieto ehdottomasta, enintään kahden vuoden vankeusrangaistuksesta, valvontarangaistuksesta ja yhdyskuntapalvelusta kymmenen vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Momentin 3 kohdan mukaan rikosrekisteristä poistetaan tieto ehdottomasta, yli kahden ja enintään viiden vuoden vankeusrangaistuksesta sekä rikoslain 3 luvun 4 §:n 1 ja 2 momentin nojalla rangaistukseen tuomitsematta jättämisestä kahdenkymmenen vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Pykälän 2 momentin mukaan yksittäistä rangaistusta koskevaa tietoa ei kuitenkaan poisteta, jos henkilöstä on rikosrekisterissä sellainen tieto, jota 1 momentin nojalla ei vielä voida poistaa. Kaikki henkilöä koskevat tiedot poistetaan kuitenkin rikosrekisteristä silloin, kun asianomainen henkilö on kuollut tai hänen syntymästään on kulunut 90 vuotta. Armahduspäätös ei vaikuta rikosrekisterimerkintöjen poistamiseen.  

Sakon täytäntöönpanosta annetun lain 52 §:n mukaan sakkorekisterin sisältämät tiedot poistetaan viiden vuoden kuluttua siitä, kun niitä koskevan kyseisessä laissa tarkoitetun seuraamuksen täytäntöönpano on päättynyt. 

Pykälän 3 momentin mukaan jos henkilöä on rangaistu tuomioistuimen päätöksellä tai kurinpitomenettelyssä useammin kuin kerran, tiedot poistettaisiin sotilasoikeudenhoitorekisteristä viiden vuoden kuluttua viimeisestä kurinpitorangaistuksesta. Säännös vastaisi voimassa olevaa sääntelyä. 

Pykälän 4 momentissa säädettäisiin esitutkintatietojen säilyttämisestä. Ehdotetut säilytysajat vastaisivat 5 kohtaa lukuun ottamatta voimassa olevaa sääntelyä. Momentin 5 kohtaa ehdotetaan muutettavaksi siten, että käsite ”rekisteröity” muutettaisiin muotoon ”rikoksesta epäilty”. Sotilasoikeudenhoitorekisteriin rekisteröity henkilö voi olla rikoksesta epäillyn lisäksi myös esimerkiksi rikoksen asianomistaja tai todistaja. Voimassa oleva säännös edellyttää henkilötietojen poistamista rekisteristä myös esimerkiksi asianomistajan kuollessa, mikä on selvästi ongelmallista rikoksen selvittämisen kannalta. Muun asianosaisen kuolema ei yleensä johda asian käsittelyn päättymiseen, eikä tällaisen muun asianosaisen kuolema siten voi myöskään johtaa velvollisuuteen poistaa häntä koskevat henkilötiedot rekisteristä. Momentin 6 kohdassa tarkoitettu tietojen säilyttäminen kymmenen vuoden ajan viimeisen tiedon merkitsemisestä olisi viimesijainen vaihtoehto tilanteisiin, joissa mikään momentin 1—5 kohdista ei täyty. 

Pykälän 5 momentin mukaan turvallisuustiedot poistettaisiin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Tällä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi. 

45 §. Muiden henkilötietojen poistaminen. Pykälässä säädettäisiin 13 §:ssä tarkoitettujen, Rajavartiolaitoksen muissa lakisääteisissä tehtävissä käsiteltävien henkilötietojen poistamisesta. Pykälän 1 momentin mukaan henkilötiedot poistettaisiin viiden vuoden kuluttua tietojen rekisteriin merkitsemisestä, jollei ole erityistä syytä henkilötietojen edelleen säilyttämiseen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi taikka rekisteröidyn, muun asian-osaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Momentissa säädettäisiin myös 38 ja 40—42 §:ää vastaavasti velvollisuudesta arvioida tietojen säilyttämisen tarpeellisuutta vähintään viiden vuoden välein. 

Pykälän 2 momentin mukaan säilöön otettujen ulkomaalaisten tiedot poistettaisiin kuitenkin viiden vuoden kuluttua henkilöä koskevan viimeisen tiedon merkitsemisestä, liiketoimintakieltoa koskevat tiedot viiden vuoden kuluttua liiketoimintakiellon päättymisestä ja 13 §:n 2 momentin 4 kohdassa tarkoitetut turvallisuustiedot viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. Turvallisuustietoja koskevalla poistosäännöksellä mahdollistettaisiin esimerkiksi henkilön vaarallisuuteen tai terveydentilaan liittyvien tietojen säilyttäminen niin pitkään kuin se on tarpeen kyseisen henkilön oman tai Rajavartiolaitoksen henkilöstöön kuuluvan turvallisuuden varmistamiseksi. Tarpeettomat tai virheelliset tiedot poistettaisiin kuitenkin välittömästi. 

Pykälä korvaisi voimassa olevan lain 32 §:n 2 momentin säännökset valvonta-asioiden rekisteriin talletettavien meriliikenteen ja talousvyöhykkeen valvontatietojen ja säilöön otettavien ulkomaalaisten tietojen poistoajoista sekä 34 §:n säännökset tietojen poistamisesta turvallisuustietorekisteristä. Poistoajat eivät muuttuisi nykyisestä. 

46 §. Virheelliseksi todettu tieto.Pykälä vastaisi sisällöltään voimassa olevan lain 36 §:ää. Ehdotetulla säännöksellä mahdollistettaisiin rekisterissä olevan virheellisen tiedon säilyttäminen korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Rajavartiolaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi (1 momentti). Virheellisiä tietoja ei saisi käyttää muuhun tarkoitukseen. Pykälän 2 momentin mukaan virheelliseksi todettu tieto olisi poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei ole enää tarpeen. 

Tietosuoja-asetuksen 5 artiklan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Rekisterinpitäjän on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ehdotettu säännös täydentäisi 5 ja 13 §:ssä säädettyjen käsittelytarkoitusten osalta rekisteröidylle tietosuoja-asetuksen 16 artiklassa säädettyä oikeutta tietojen oikaisemiseen. Säännös ei rajoittaisi mainittua oikeutta, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä. 

Rikosasioiden tietosuojalain 7 §:ssä säädetään, että käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. Mainitun lain 25 §:n 1 momentin mukaan rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto. Pykälä ei korvaisi rikosasioiden tietosuojalain 25 § 2 momentin vaatimusta henkilötietojen käsittelyn rajoittamisesta, vaan pykälän säilyttämisellä ennallaan varmistettaisiin ongelmaton siirtyminen uuden lain mukaiseen sääntelyyn. 

47 §. Tietojen arkistointi. Pykälä sisältäisi voimassa olevan lain 37 §:ää vastaavan informatiivisen säännöksen arkistotoimen tehtäviin ja arkistoon siirrettäviin asiakirjoihin sovellettavasta lainsäädännöstä. 

6 luku Rekisteröidyn oikeudet

Rekisteröidyn oikeuksia koskevat säännökset sisältyisivät pääosin tietosuoja-asetuksen III lukuun ja rikosasioiden tietosuojalain 4 lukuun. Tässä luvussa tarkennettaisiin kyseisiä säännöksiä rekisteröidyn tarkastusoikeuden toteuttamisen ja rekisteröidyn oikeuksiin kohdistuvien rajoitusten osalta. 

Henkilötietojen käsittelyyn sovellettavat rekisteröidyn oikeudet määräytyvät tietosuoja-asetuksessa osittain säädetyn oikeusperustan mukaan. Asetuksen 17 artiklan mukaista oikeutta tietojen poistamiseen ei sovelleta, kun henkilötietoja käsitellään rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Asetuksen 20 artiklassa säädettyä oikeutta siirtää tiedot järjestelmästä toiseen puolestaan sovelletaan vain käsittelyyn, joka perustuu suostumukseen tai sopimukseen. Lisäksi 21 artiklan mukainen oikeus vastustaa tietojen käsittelyä kattaa ainoastaan käsittelyn, joka perustuu yleistä etua koskevan tehtävän suorittamiseen, rekisterinpitäjälle kuuluvan julkisen vallan käyttöön tai rekisterinpitäjän tai kolmannen oikeutetun edun toteuttamiseen. Koska tässä laissa tarkoitettu henkilötietojen käsittely tapahtuisi Rajavartiolaitoksen lakisääteisten tehtävien suorittamiseksi, siihen ei sovellettaisi asetuksen 17, 20 tai 21 artiklaa. 

48 §. Rekisteröidyn tarkastusoikeuden toteuttaminen. Pykälän 1 momentissa täsmennettäisiin, että rekisterinpitäjä vastaisi tarvittavien henkilötietojen ja muiden tietojen antamisesta tarkastamista varten, kun kyse on tietosuoja-asetuksen 15 artiklassa tarkoitetusta rekisteröidyn tietoon pääsystä ja rikosasioiden tietosuojalain 23 §:ssä tarkoitetusta tarkastusoikeudesta. Rekisterinpitäjä voisi myös määrätä tehtävän muun viranomaisen, esimerkiksi Rajavartiolaitoksen toisen hallintoyksikön hoidettavaksi. 

Rikosasioiden tietosuojalain 23 §:ssä säädetään, että rekisteröity voi esittää tarkastusoikeuden toteuttamista koskevan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. Tietosuoja-asetuksen 15 artiklassa ei säädetä nimenomaisesti tarkastusoikeuden toteuttamistavoista, mutta artiklan mukaan tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, jos rekisteröity esittää pyynnön sähköisesti eikä pyydä toisenlaista toimitusta. 

Pyynnön esittäminen omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla ei kuitenkaan riittäisi varmistamaan pyynnön esittäjän henkilöllisyyttä Rajavartiolaitoksen käsittelemien henkilötietojen kannalta riittävän luotettavalla tavalla. Tämän vuoksi pykälän 2 momentissa säädettäisiin rikosasioiden tietosuojalaista poiketen, että rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle viranomaiselle ja todistettava henkilöllisyytensä. Pyyntö voitaisiin vaihtoehtoisesti esittää myös rekisterinpitäjän tarjoaman sähköisen palvelun avulla käyttämällä varmennetulla tavalla luotettavaa sähköistä tunnistautumista. Tunnistautumisessa noudatettaisiin sähköistä asiointia viranomaistoiminnassa koskevan lainsäädännön mukaisia vaatimuksia. Sähköisen palvelun tarjoamisella helpotettaisiin rekisteröidyn mahdollisuuksia tarkastusoikeuden käyttämiseen tietosuoja-asetuksen ja rikosasioiden tietosuojalain edellyttämällä tavalla. Säännöksessä huomioitaisiin kuitenkin, että sähköinen palvelu ei välttämättä ole käytössä välittömästi lain voimaantullessa, vaan palvelu toteutettaisiin mahdollisuuksien mukaan rekisterinpitäjän tarkemmin määrittelemänä ajankohtana.  

Rekisteröidyn henkilöllisyyden vahvistamiseksi pyydettyjä lisätietoja voitaisiin direktiivin johdanto-osan 41 kappaleen mukaisesti käsitellä ainoastaan tätä erityistarkoitusta varten, eikä niitä saisi säilyttää kauempaa kuin kyseisen erityistarkoituksen edellyttämän ajan. 

49 §. Tarkastusoikeuden rajoitukset. Rekisteröidyn tarkastusoikeuden rajoittamisesta yksittäistapauksissa säädetään rikosasioiden tietosuojalain 24 ja 28 §:ssä. Ehdotetussa pykälässä säädettäisiin mainittuja säännöksiä täydentävästi Rajavartiolaitoksen henkilötietojen käsittelyä koskevista yleisistä poikkeuksista rikosasioiden tietosuojalain 23 §:n mukaiseen rekisteröidyn tarkastusoikeuteen. Tietosuoja-asetuksen soveltamisalaan kuuluvien henkilötietojen tarkastusoikeuden rajoituksista on voimassa, mitä tietosuoja-asetuksessa ja tietosuojalain 34 §:ssä säädetään. 

Pykälän 1 momentin 1 kohdan mukaan rekisteröidyllä ei olisi tarkastusoikeutta 6 §:n 3 momentissa ja 8 §:n 6 momentissa tarkoitettuihin tietoihin, joiden merkityksellisyys Rajavartiolaitoksen tehtävien kannalta ei ole vielä selvillä, eikä 10 §:ssä tarkoitettuihin tietolähdetietoihin. joihin kohdistuvaa tarkastusoikeutta on rajoitettu myös voimassa olevan lain 42 §:n 1 momentin 4 kohdassa. 

Momentin 3 kohdassa rajattaisiin pois tarkastusoikeus 6—9 §:ssä tarkoitettuihin henkilötietoihin sisältyviin Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- tai tietolähdetietoihin tai tekniseen tutkintaan käytettäviin tietoihin. Kohta korvaisi ja pitäisi sisällään aikaisemmassa laajuudessa voimassa olevan 42 §:n 1 momentin 1 ja 4 kohdat, mutta säännös muotoiltaisiin uudelleen 2 lukuun esitettyjen muutosten huomioimiseksi. Samalla muotoilua yhdenmukaistettaisiin julkisuuslain 24 §:n 1 momentin 5 kohdan kanssa, jossa säädetään poliisin, Rajavartiolaitoksen ja Tullin sekä vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävien asiakirjojen salassapidosta, sekä Rajavartiolaitoksen hallintolain 17 b §:n kanssa, jonka mukaan Rajavartiolaitoksen henkilöstöön kuuluva ei ole velvollinen ilmaisemaan salassa pidettäviä taktisia ja teknisinä menetelmiä. 

Myös asianosaisen tiedonsaantioikeutta on edellä mainittujen tietojen osalta rajoitettu julkisuuslain 11 §:n 2 momentin 1 kohdan mukaisen erittäin tärkeän yleisen edun vuoksi. Näiden tietojen paljastuminen johtaisi vaaratilanteisiin tai luottamussuhteiden menettämiseen tai menetelmien paljastumiseen, sekä haittaisi rikosten estämistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden ylläpitämistä. 

Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskeviin tietoihin kuuluisivat myös tiedot salaisten tiedonhankintamenetelmien käyttämisestä ja itse menetelmistä. Näiden tiedonhankintamenetelmien erityisluonteeseen kuuluu, että niitä koskeva asian käsittely, päätöksenteko ja toteuttaminen tapahtuvat kohdehenkilön tietämättä tuomioistuimen päätöksellä ja kohdehenkilön informoimisesta on säädetty erikseen. Näihin menetelmien käytön valvomiseksi on toteutettu erillinen valvontamenettely. Salaisen pakkokeinon kohdehenkilölle voidaan kuitenkin luovuttaa häntä itseään koskevia tietoja noudattaen, mitä esitutkintalaissa ja julkisuuslaissa säädetään. 

Momentin 3 kohta rajaisi taktisena tietona tarkastusoikeuden ulkopuolelle voimassa olevaa lakia vastaavasti henkilöä koskevat, hänen omaan turvallisuuteensa tai Rajavartiolaitoksen työturvallisuuteen vaikuttavat tiedot, etsintäkuulutustietoihin talletetut henkilön tarkkailemiseksi tehdyt kuulutustiedot, etsittävien moottoriajoneuvojen tietoihin talletetut moottoriajoneuvoilla liikkuvien tarkkailtavien henkilöiden kuulutustiedot, pidätettyjen tietoihin talletetut kohdehenkilön säilytysturvallisuuteen liittyvät tiedot, tekotapatiedot, sekä tuntomerkkitiedoista esimerkiksi asiasanat, erityistuntomerkit ja valokuvat. 

Rekisteröidyllä olisi 2 momentin mukaisesti oikeus pyytää tietosuojavaltuutettua tarkastamaan 1 momentissa tarkoitettujen henkilötietojen käsittelyn lainmukaisuus rikosasioiden tietosuojalain 29 §:ssä säädetyllä tavalla. Rekisteröidyn olisi jätettävä oikeuksien käyttämistä koskeva pyyntö tietosuojavaltuutetulle, rekisterinpitäjälle tai 48 §:n 1 momentissa tarkoitetulle muulle viranomaiselle 48 §:n 2 momentissa säädetyllä tavalla. Rekisterinpitäjän tai muun viranomaisen olisi toimitettava pyyntö viipymättä tietosuojavaltuutetulle. Ehdotettu säännös vastaisi nykyistä käytäntöä, jonka mukaan tietosuojavaltuutetulle tarkoitetut pyynnöt voidaan jättää Rajavartiolaitokselle. Rajavartiolaitos voi tällöin varmistaa pyytäjän henkilöllisyyden ja tarkastaa pyytäjän henkilötietojen oikeellisuuden. Edellä 48 §:ssä tarkoitetun tarkastusoikeuden toteuttamista koskevan pyynnön lisäksi myös tietosuojavaltuutetulle toimitettavan välillisen tarkastusoikeuden käyttöä koskevan pyynnön esittäjän henkilöllisyyden varmistaminen on tarpeellista, koska pyynnön käsitteleminen edellyttää usein laajamittaistakin henkilötietojen käsittelyä. 

50 §.Rekisteröidyn oikeus käsittelyn rajoittamiseen. Pykälässä rajoitettaisiin rekisteröidylle tietosuoja-asetuksen 18 artiklan nojalla kuuluvaa oikeutta rajoittaa henkilötietojensa käsittelyä. Rajoitus perustuisi tietosuoja-asetuksen 23 artiklassa jäsenvaltioille mahdollistettuun liikkumavaraan. 

Rekisteröidyllä on tietosuoja-asetuksen 18 artiklan nojalla oikeus vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojen paikkansapitävyyden tai katsoo henkilötietojen käsittelyn olevan lainvastaista. Jos käsittelyä on rajoitettu, henkilötietoja saa käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä. Tietosuoja-asetuksen johdanto-osan 67 kappaleen mukaan henkilötietojen käsittelyä rajoittavia menetelmiä voisivat olla muun muassa valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään, käyttäjien pääsyn estäminen valittuihin henkilötietoihin tai julkaistujen tietojen väliaikainen poistaminen verkkosivustolta. Automaattisissa rekistereissä käsittelyn rajoittaminen olisi lähtökohtaisesti varmistettava teknisin keinoin niin, että henkilötiedot eivät enää myöhemmin joudu käsittelytoimien kohteeksi eikä niitä enää voi muuttaa. Henkilötietojen käsittelyn rajoittaminen olisi ilmaistava järjestelmässä selvästi. 

Rekisteröidyn 18 artiklan mukaisen rajoittamisoikeuden toteuttamisella olisi merkittäviä vaikutuksia henkilötietojen käsittelyyn rajavalvonnassa ja rajaturvallisuuden ylläpitämiseksi sekä Rajavartiolaitokselle säädetyissä muissa valvontatehtävissä. Esimerkiksi rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämiseen liittyvien tehtävien kannalta voidaan pitää ongelmallisena, jos rekisteröity voisi rajoittaa rajavartiomiehen tekemien havaintojen taikka rajatarkastuksen yhteydessä kirjattujen tietojen käsittelyä. Rajavartiolaitoksen myöntämien lupien kannalta ongelmallisia olisivat erityisesti tilanteet, joissa rekisteröity kiistäisi luvan myöntämisen tai voimassaolon estettä koskevan tiedon paikkansapitävyyden, eikä mainittu lupaharkinnan kannalta mahdollisesti olennainen tieto siten olisi käytettävissä lupahallintoon liittyvässä päätöksenteossa. Rajavartiolaitoksella ei näin ollen olisi mahdollisuutta kattavasti hyödyntää lupapäätösten tekemiseksi tarpeellisia rekisteritietoja tai seurata luvan voimassaolon edellytyksiä. Käsittelyn rajoittamiseen vaadittavien toiminnallisuuksien automatisointi aiheuttaisi lisäksi merkittäviä muutostarpeita Rajavartiolaitoksen tietojärjestelmiin. 

Ehdotetulla säännöksellä ei rajoitettaisi rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimisivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoisi, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä olisi mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voisi myös saattaa hallintolain nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Viimeksi mainitussa tilanteessa rekisterinpitäjän olisi ratkaistava asia hallintolain menettelysäännöksiä noudattaen. 

7 luku Erinäiset säännökset

51 §. Henkilön fyysisiin ominaisuuksiin perustuva sähköinen tunniste. Pykälä vastaisi asiallisesti voimassa olevan lain 16 §:ää. Pykälän 1 momentin mukaan Rajavartiolaitoksella olisi oikeus ottaa vastaan henkilön fyysisiin ominaisuuksiin perustuva matkustusasiakirjaan liitetty sähköinen tunniste henkilön tunnistamista ja asiakirjan aitouden varmistamista varten, jollei muuta säädetä. 

Pykälän 2 momentin mukaan Rajavartiolaitoksella olisi oikeus verrata asiakirjassa olevaa tunnistetta henkilöön. Sähköistä tunnistetta ei kuitenkaan saisi tallettaa, jollei muuta säädetä. Pykälä ei sisältäisi voimassa olevan lain 16 §:n mukaista säännöstä siitä, että sähköisessä muodossa olevia henkilön fyysisiin ominaisuuksiin perustuvia tunnistetietoja käsiteltäessä tulee erityisesti huolehtia tietoturvasta. Erityisten henkilötietoryhmien tietoturvasta säädetään tarkemmin tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa. 

52 §. Voimaantulo. Laki ehdotetaan tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 15 päivänä heinäkuuta 2005 annettu laki (579/2005) henkilötietojen käsittelystä rajavartiolaitoksessa. Pykälän 3 momentti sisältäisi siirtymäsäännöksen, joka koskisi henkilötietojen poistamisaikoja. Tietojen poistamiseen saataisiin soveltaa tämän lain voimaan tullessa voimassa olleita säännöksiä neljän vuoden ajan lain voimaantulosta. 

Mainitun neljän vuoden aikana 6 ja 7 §:ssä tarkoitettujen henkilötietojen poistamiseen sovellettaisiin kuitenkin, mitä uuden poliisin henkilötietolain 61 §:n 3 momentissa säädettäisiin mainitun lain 5 ja 6 §:ssä tarkoitettujen henkilötietojen poistamisesta. Siirtymäaikaa edellyttäisivät erityisesti 6 ja 7 §:ssä tarkoitettujen henkilötietojen sekä voimassa olevan lain 4 §:n mukaisesti perustettujen henkilörekisterien tietojen poistaminen. Voimassa olevassa laissa viitataan 6 ja 7 §:ssä tarkoitettujen henkilötietojen poistamisen osalta poliisin henkilötietolakiin, koska kyseiset tiedot ovat pääosin poliisin teknisesti ylläpitämässä tietojärjestelmässä. Tämän vuoksi siirtymäsäännöksessä olisi otettava huomioon, mitä uudessa poliisin henkilötietolaissa säädettäisiin poliisin käsittelemien vastaavien henkilötietojen poistamisesta. 

1.2  Meripelastuslaki

12 §.Meripelastusrekisteri. Voimassa olevan pykälän mukaan Rajavartiolaitoksen esikunta pitää meripelastusrekisteriä vaaratilanteiden varalta laatimistaan toimintasuunnitelmista sekä vastaanottamistaan hätäilmoituksista ja niiden perusteella suoritetuista toimenpiteistä. Säännöksen sanamuotoa tarkistettaisiin niin, että Rajavartiolaitoksen esikunta mainittaisiin ainoastaan meripelastusrekisterin rekisterinpitäjänä. Tietojen tallettaminen meripelastusrekisteriin tapahtuu lähtökohtaisesti muualla kuin Rajavartiolaitoksen esikunnassa. Esimerkiksi hätäilmoitusten vastaanottajina toimivat meripelastuksen johtokeskukset. 

14 §.Oikeus tietojen saamiseen viranomaisilta sekä alus- ja ilmaliikennepalvelujen tarjoajilta. Pykälässä säädetään Rajavartiolaitoksen oikeudesta saada tietoja meripelastustoimen valmiussuunnittelua ja vaaratilanteessa meripelastustoimen tehtävien suorittamista varten. Pykälässä on otettu huomioon hallituksen esityksen HE 61/2018 vp yhteydessä hyväksytyt muutokset, joiden voimaantulosta säädetään erikseen lailla. 

Pykälän mukaisiin tiedonsaantioikeuksiin tehtäisiin pääsääntöisesti vastaava kaksinkertaisen sääntelyn purku kuin mitä 1. lakiehdotuksen 20 §:ssä ehdotetaan. Pykälässä säädettäisiin siten vain niistä tiedonsaantioikeuksista, joista ei säädetä tiedot luovuttavaa tahoa koskevassa lainsäädännössä. Pykälän ohella sovellettaisiin täydentävästi 1. lakiehdotuksen 3 luvun mukaisia tiedonsaantisäännöksiä. Asiasisällöllisesti tiedonsaantioikeudet säilyisivät ennallaan. 

Kaksinkertaisen tiedonluovutussääntelyn välttämiseksi pykälästä poistettaisiin muun muassa oikeus saada Väestörekisterikeskukselta väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 13—17 §:ssä tarkoitettuja tietoja. Mainittu laki mahdollistaa kyseisten tietojen luovuttamisen viranomaiselle, minkä lisäksi hallinnonalan lainsäädäntö on muutoinkin parhaillaan uudistettavana. Lisäksi poistettaisiin säännökset turvallisuustietojen saamisesta poliisin ja Tullin henkilörekistereistä, koska Rajavartiolaitoksen tiedonsaantioikeuksista säädettäisiin kattavasti mainittujen viranomaisten omassa henkilötietolainsäädännössä. Pykälään tehtäisiin myös eräitä lakiteknisiä muutoksia. 

Voimassa olevan pykälän 3 momentin mukaan Rajavartiolaitoksen toiminnallisen tietojärjestelmän tietoja voidaan vaaratilanteessa tarvittaessa käyttää etsintä- ja pelastustoimenpiteiden järjestämiseksi. Pykälän sanamuotoa tarkennettaisiin 1. lakiehdotuksen mukaiseksi. Lisäksi viitattaisiin aluevalvontalain (755/2000) 30 §:ssä tarkoitetun teknisen valvonnan tallenteisiin Rajavartiolaitoksessa. 

15 §. Oikeus tietojen saamiseen yksityisiltä yrityksiltä ja yhteisöiltä. Pykälään lisättäisiin uusi 2 momentti, joka sisältäisi informatiivisen viittauksen sähköisen viestinnän palveluista annetun lain (917/2014) 321 §:ään. Kyseisessä pykälässä säädetään teleyritysten velvollisuudesta luovuttaa tietoja meripelastuskeskukselle ja meripelastuslohkokeskukselle. Muutoksen johdosta lain 16 § esitetään kumottavaksi. 

16 §.Oikeus tietojen saamiseen teleyrityksiltä. Pykälä kumottaisiin 15 §:ään esitettävän muutoksen johdosta sekä kaksinkertaisen tiedonluovutussääntelyn välttämiseksi. Teleyritysten velvollisuudesta tietojen luovuttamiseen meripelastuskeskukselle ja meripelastuslohkokeskukselle säädetään sähköisen viestinnän palveluista annetun lain 321 §:ssä. 

17 §. Tietojen luovutustapa. Pykälään tehtäisiin lakitekninen muutos 16 §:n kumoamisen vuoksi. 

20 §.Meripelastusrekisterin henkilötietojen käsittelyä ja tietojen julkisuutta koskevat säännökset ja määräykset. Meripelastus ei kuulu Euroopan unionin oikeuden soveltamisalaan, joten kansallisesti on tarpeen säätää siitä, mitä tietosuojasääntelyä henkilötietojen käsittelyyn meripelastustoimessa sovelletaan. Sääntelyn pohjaksi on tarkoituksenmukaisinta valita tietosuoja-asetus, jotta tietosuojasäännökset olisivat mahdollisimman yhteneväisiä muun pelastustoiminnan sääntelyn kanssa. Tietosuoja-asetusta täydentävän tietosuojalain mukaan tietosuoja-asetusta sovelletaan myös Euroopan unionin oikeuden soveltamisalan ulkopuolelle jäävään toimintaan, jollei muuta säädetä. Meripelastustoimen osalta on kuitenkin tarpeen erikseen lainsäädännössä korostaa sitä, että tietosuoja-asetuksen soveltaminen on harkittu valinta. Vastaavaa periaatetta noudatetaan niin ikään Euroopan unionin toimivallan ulkopuolelle jäävään kansallisen turvallisuuden ylläpitämiseen, jonka osalta on nimenomaisesti valittu tietosuojadirektiivin soveltaminen. 

Edellä mainitun johdosta pykälässä olisi aineellinen viittaussäännös siitä, että meripelastusrekisterin henkilötietojen käsittelyyn sovellettaisiin tietosuoja-asetusta sen 56 artiklaa ja VII lukua lukuun ottamatta sekä tietosuojalakia, jollei meripelastuslaissa toisin säädettäisi. Tietosuoja-asetuksen 56 artiklassa ja VII luvussa säädetään niin sanotuista yhdenluukunmekanismista ja yhdenmukaisuusmekanismista. Ne koskevat tilanteita, joissa rekisterinpitäjä käsittelee henkilötietoja useamman jäsenvaltion alueella ja tavoitteena on tietosuoja-asetuksen yhdenmukainen soveltaminen Euroopan unionin alueella. Koska meripelastustoimi ei kuulu Euroopan unionin oikeuden soveltamisalaan, kyseiset säännökset eivät ole tarpeen. 

Henkilötietojen käsittelyyn meripelastustoimessa sovellettaisiin lisäksi täydentävästi 1. lakiehdotusta. Tältä osin kyseeseen tulisivat esimerkiksi rekisteröidyn oikeuksia koskevat säännökset, kuten oikeus omien tietojen tarkastamiseen ja henkilötietojen käsittelyn rajoittamiseen sekä Rajavartiolaitoksen tiedonsaantioikeussäännökset siltä osin kuin niistä ei säädetä meripelastuslaissa. 

Pykälässä säilyisivät voimassa olevan pykälän viittaukset julkisuuslakiin ja meripelastustoimessa sovellettaviin kansainvälisiin sopimuksiin. 

1.3  Laki rajavartiolaitoksen hallinnosta

18 §. Viittaus tietojen luovuttamista koskeviin säännöksiin. Pykälä olisi uusi ja se täydentäisi voimassa olevan lain 17 a §:ää Rajavartiolaitoksen virkamiehen oikeudesta luovuttaa tietoja vaitiolovelvollisuuden estämättä yksittäistapauksissa. Oikeus tietojen luovuttamiseen 17 a §:n nojalla koskee myös henkilötietoja. Ehdotettavan uuden pykälän mukaan Rajavartiolaitoksen henkilörekisteriin talletettujen tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai tietojoukkona ja ulkomaille säädettäisiin kuitenkin Rajavartiolaitoksen henkilötietolaissa. 

Rajavartiolaitoksen henkilötietolakiin ehdotettavan 37 §:n mukaan rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä hallintoyksikkö päättäisi henkilötietojen luovuttamisesta, jos luovuttaminen tapahtuu teknisen käyttöyhteyden avulla tai tietojoukkona tai jos kysymys on muiden kuin yksittäisten tietojen luovuttamisesta ulkomaille. Rajavartiolaitoksen hallintolain 17 a §:ää sovellettaisiin siten edelleen yksittäisten tietojen luovuttamiseen sekä kotimaassa että ulkomaille. Ehdotettavan uuden pykälän mukaan henkilötietojen luovuttamisessa ulkomaille olisi kuitenkin noudatettava Rajavartiolaitoksen henkilötietolaissa ja tietosuojaa koskevassa yleislainsäädännössä säädettyjä edellytyksiä. Sääntely vastaisi poliisilain 7 luvun 6 §:ää. 

28 c §. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. Pykälän 1 momentissa oleva viittaus henkilötietolain 11 §:n 3 ja 4 kohdassa tarkoitettujen arkaluonteisten tietojen käsittelyyn muutettaisiin säännökseksi opiskelijan ja opiskelijaksi pyrkivän terveydentilaa koskevien ja rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä. Säännöksen asiasisältö säilyisi ennallaan. Pykälän otsikko muutettaisiin vastaamaan tietosuoja-asetuksen terminologiaa, ja 2 ja 3 momenttiin tehtäisiin lakiteknisiä tarkistuksia. 

31 a §.Sotilaskurinpitoratkaisujen tarkastukset. Voimassa olevan pykälän mukaan Rajavartiolaitoksen esikunta tarkastaa hallintoyksiköiden kurinpitorekisterit vähintään kerran vuodessa. Käytännössä säännös tarkoittaa kurinpitoratkaisujen sisällön lainmukaisuuden valvontaa, ei niinkään henkilörekisterin pitämiseen liittyvää valvontaa. Pykälän sanamuotoa tarkennettaisiin tätä vastaavasti. 

1.4  Rajavartiolaki

1 §.Soveltamisala. Pykälän 2 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen. 

28 §.Rajavalvontaa koskevat toimivaltuudet. Pykälän 1 momentin 11 kohtaan tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos. 

28 a §.Henkilöntarkastus rajavalvonnassa. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 9 §:n mukaiseen valvonta-asioiden rekisteriin korvattaisiin yleisemmällä säännöksellä henkilöntarkastustietojen merkitsemistä Rajavartiolaitoksen henkilörekisteriin. 

31 §.Rajanylityspaikan teknisessä valvonnassa kertyvän kuvan ja äänen käyttäminen. Voimassa olevan pykälän mukaan Rajavartiolaitoksella on oikeus käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi. Teknistä valvontaa koskevan 29 §:n mukaan teknisen valvonnan tietojen tallettamisesta henkilörekisteriin säädetään henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa. Pykälä kumottaisiin tarpeettomana, koska teknisen valvonnan tietojen käsittelystä säädettäisiin nimenomaisesti 1. lakiehdotuksessa. 

Esityksen 1. lakiehdotuksen 5 ja 38 § sisältäisivät säännökset teknisen valvonnan tallenteiden käsittelystä ja tallenteiden poistoajasta. Sääntely laajenisi voimassa olevaan rajavartiolain 31 §:n verrattuna siten, että henkilöiden reaaliaikainen tunnistaminen teknisen valvonnan tallenteista olisi mahdollista myös rajanylityspaikkojen ulkopuolella. Rajavartiolain 29 § asettaisi kuitenkin edelleen rajoitukset sille, missä rajavalvontaan liittyvää teknistä valvontaa saa ylipäänsä suorittaa. Lisäksi 1. lakiehdotuksen 14 §:ssä säädettäisiin tietojen käsittelystä muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen. Yhtenä käsittelytarkoituksena olisi 14 §:n 1 momentin 3 kohdan mukaisesti etsintäkuulutettujen tavoittaminen. Sääntely koskisi myös teknisen valvonnan tallenteita. Schengenin rajasäännöstö edellyttää, että rajatarkastuksissa tehdään tarvittavat tarkastukset kansallisiin ja kansainvälisiin rekistereihin muun muassa mahdollisten etsintäkuulutusten havaitsemiseksi. Teknisen valvonnan kuvan avulla on mahdollista tunnistaa etsintäkuulutettuja, joiden nimi ei ole tiedossa. Tunnistaminen onnistuu myös silloin, kun etsintäkuulutettu on muuttanut henkilötietojaan. 

35 f §.Rajaturvallisuusapua antavan Euroopan unionin jäsenvaltion virkamiehen muut oikeudet ja velvollisuudet. Pykälän 4 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos. 

1.5  Laki rikostorjunnasta Rajavartiolaitoksessa

1 §.Soveltamisala. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen. 

6 §.Rajavartiomiehen tehtävät ja toimivaltuudet rikostorjunnassa. Pykälän 1 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos. 

49 §.Tietojen hävittäminen. Pykälän 2 momenttiin tehtäisiin Rajavartiolaitoksen henkilötietolain nimikettä koskeva lakitekninen muutos. Jos ylimääräinen tieto on talletettu Rajavartiolaitoksen henkilörekisteriin, sen poistamisessa noudatetaan Rajavartiolaitoksen henkilötietolain säännöksiä. 

54 §.Asianosaisjulkisuuden rajoittaminen eräissä tapauksissa. Pykälän 1 momenttia muutettaisiin siten, että siinä viitattaisiin henkilötietolain ja voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan rikosasioiden tietosuojalakiin, jota sovellettaisiin rekisteröidyn tarkastusoikeuteen. 

1.6  Ulkomaalaislaki

174 §.Ajoneuvon kuljettajan ja liikenteenharjoittajan ilmoitus- ja valvontavelvollisuus. Pykälän 2 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

179 §.Liikenteenharjoittajan seuraamusmaksu. Pykälän 1 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

181 §.Liikenteenharjoittajan seuraamusmaksun määrääminen. Pykälän 1 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

182 §.Liikenteenharjoittajan seuraamusmaksun poistaminen. Pykälän 2 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

185 §.Ulkomaalaisrikkomus. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain säännökseen muutettaisiin viittaukseksi 1. lakiehdotuksen säännökseen. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

1.7  Esitutkintalaki

11 luku Erinäiset säännökset

8 §.Tietojen saaminen viranomaiselta sekä yksityiseltä yhteisöltä tai henkilöltä. Pykälän viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

1.8  Laki Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta

10 §.Henkilötietojen luovuttaminen Eurojustille. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 38 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 33 §:ään, jota sovellettaisiin Rajavartiolaitoksen henkilörekisterien tietojen luovuttamiseen Eurojustille. 

1.9  Laki Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta

3 §.Tiedon ja tiedustelutiedon määritelmä. Pykälän viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi 1. lakiehdotuksen säännöksiin. Asiallisesti sääntely vastaisi voimassa olevaa lakia. 

5 §.Tietojen ja tiedustelutietojen luovuttaminen pyynnöstä. Pykälän 2 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta. 

6 §.Oma-aloitteinen tietojen ja tiedustelutietojen luovuttaminen. Pykälän 2 ja 3 momentin viittaukset voimassa olevan Rajavartiolaitoksen henkilötietolain säännöksiin muutettaisiin viittauksiksi niihin 1. lakiehdotuksen säännöksiin, joissa säädettäisiin tietojen luovuttamisen edellytyksistä ja tietojen luovuttamista koskevasta päätöksenteosta. 

1.10  Laki Harmaan talouden selvitysyksiköstä

12 §.Henkilötietojen käsittely ja tarkastusoikeus. Pykälän 2 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 42 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 49 §:ään, joka sisältäisi rekisteröidyn tarkastusoikeuden rajoituksia koskevat säännökset. 

1.11  Laki hätäkeskustoiminnasta

19 §.Tiedonsaantioikeus rekistereistä. Pykälän 1 momentin 12 kohdan viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 28 §:n 1 momentin 2 kohtaan korvattaisiin viittauksella 1. lakiehdotuksen 31 §:n 1 momentin 4 kohtaan. Asiallisesti säännös vastaisi voimassa olevaa lakia. 

20 §.Tietojen luovuttaminen. Pykälän 4 momentin viittaus voimassa olevan Rajavartiolaitoksen henkilötietolain 22 §:ään korvattaisiin viittauksella 1. lakiehdotuksen 20 §:ään. Asiallisesti säännös vastaisi voimassa olevaa lakia. 

1.12  Pakkokeinolaki

10 luku Salaiset pakkokeinot

57 §.Tietojen hävittäminen. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen. 

1.13  Poliisilaki

2 luku Yleiset toimivaltuudet

21 §.Rajatarkastus ja tullitoimenpiteet. Voimassa olevan pykälän 1 momentin mukaan poliisilla on sama toimivalta käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä kuin Rajavartiolaitoksella on rajavartiolain 31 §:n nojalla. Koska rajavartiolain 31 § ehdotetaan kumottavaksi, kyseinen säännös poistettaisiin. Teknisen valvonnan tietojen käsittely määräytyy henkilötietolainsäädännön perusteella. Poliisin oikeus käyttää rajanylityspaikan teknisen valvonnan tallenteita ei käytännössä muuttuisi. 

Kuten edellä rajavartiolain 31 §:n yhteydessä on kuvattu, rajanylityspaikan teknisen valvonnan tallenteiden käyttäminen henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi olisi 1. lakiehdotuksen 14 §:n 1 momentin 3 kohdan mukaan sallittu muu käsittelytarkoitus. Siltä osin kuin kyse on Rajavartiolaitoksen teknisen valvonnan tallenteiden käyttämisestä poliisin toiminnassa, asiasta säädettäisiin 1. lakiehdotuksen 30 ja 31 §:ssä. 

1.14  Laki sähköisen viestinnän palveluista

322 §.Eräiden muiden viranomaisten tiedonsaantioikeus. Pykälän 1 momenttiin tehtäisiin lakitekninen muutos, jossa viitattaisiin voimassa olevan Rajavartiolaitoksen henkilötietolain sijaan 1. lakiehdotukseen. 

1.15  Tullilaki

31 §.Rajatarkastus. Voimassa olevan pykälän 1 momentin mukaan Tulli voi käyttää rajanylityspaikalla teknisessä valvonnassa kertyvää kuvaa ja ääntä siten kuin siitä rajavartiolain 31 §:ssä Rajavartiolaitoksen osalta säädetään. Koska rajavartiolain 31 § ehdotetaan kumottavaksi, kyseinen säännös poistettaisiin. Teknisen valvonnan tietojen käsittely määräytyy henkilötietolainsäädännön perusteella. Tullin oikeus käyttää rajanylityspaikan teknisen valvonnan tallenteita ei käytännössä muuttuisi. 

Kuten edellä rajavartiolain 31 §:n yhteydessä on kuvattu, rajanylityspaikan teknisen valvonnan tallenteiden käyttäminen henkilöiden automaattiseen tunnistamiseen toimivaltaisen viranomaisen antaman etsintäkuulutuksen mukaan haastettavien, kiinniotettavien, pidätettävien, säilöön otettavien, vangittavien tai viranomaisten seurantaan otettavien henkilöiden tunnistamiseksi olisi 1. lakiehdotuksen 14 §:n 1 momentin 3 kohdan mukaan sallittu muu käsittelytarkoitus. Siltä osin kuin kyse on Rajavartiolaitoksen teknisen valvonnan tallenteiden käyttämisestä Tullin toiminnassa, asiasta säädettäisiin 1. lakiehdotuksen 30 ja 31 §:ssä. 

Pykälän ruotsinkieliseen versioon tehtäisiin lisäksi kielellinen tarkistus. 

1.16  Turvallisuusselvityslaki

25 §.Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälän 1 momentin 6 kohdan viittaus Rajavartiolaitoksen tutkinta- ja virka-apurekisteriin, lupa-asioiden rekisteriin ja valvonta-asioiden rekisteriin korvattaisiin viittauksella 1. lakiehdotuksen säännöksiin. Perusmuotoinen turvallisuusselvitys voisi perustua tietoihin, jotka sisältyvät 1. lakiehdotuksen 5 §:ssä, 6 §:n 1 ja 2 momentissa ja 7, 11 ja 12 §:ssä tarkoitettuja tietoja sekä 13 §:ssä tarkoitettuja valvontatehtävien suorittamiseksi käsiteltäviä tietoja sisältävään Rajavartiolaitoksen henkilörekisteriin. 

Asiallisesti kohta vastaisi pääosin voimassa olevaa lakia. Ensimmäisen lakiehdotuksen 5 §:ssä tarkoitetut tiedot sisältyvät pääosin nykyiseen valvonta-asioiden rekisteriin ja lupa-asioiden rekisteriin. Uutena sisältönä 5 §:ssä olisivat Rajavartiolaitoksen kenttäjohtamisen rekisterin tiedot (voimassa olevan lain 6 §) sekä nykyisin turvallisuustietorekisteriin talletettavat tiedot muiden valtioiden rajavalvontaviranomaisten toiminnasta ja kokoonpanosta sekä rajatilannetta Suomessa ja Euroopan unionissa (5 §:n 2 momentin 8 kohta). Kenttäjohtamisen rekisteriin talletetaan rajavalvonnan ja rajaturvallisuuden ylläpitämisen suunnittelussa ja toteuttamisessa tarpeellisia tietoja, joista turvallisuusselvitysten laatimisen kannalta olennaisia olisivat esimerkiksi Rajavartiolaitokselle tehtyihin ilmoituksiin ja niiden perusteella tehtäviin toimenpiteisiin liittyvien henkilöiden henkilöllisyyttä koskevat perustiedot ja muut henkilön yksilöintitiedot sekä tehtävään tai toimenpiteeseen liittyvät tapahtuma- ja toimenpidekuvaukset. Muiden valtioiden rajaviranomaisten tiedot tai rajatilannetiedot eivät useimmiten olisi ensisijaisia tietolähteitä turvallisuusselvitysten laadinnassa.  

Ensimmäisen lakiehdotuksen 6 ja 7 §:ssä tarkoitetut tiedot ovat pääosin nykyisessä tutkinta- ja virka-apurekisterissä. Lisäksi vastaavia rikosten selvittämiseen tai syyteharkintaan saattamiseen liittyviä tietoja on voimassa olevan lain 4 §:n mukaisesti perustetuissa tilapäisissä tai hallintoyksikkökohtaisissa henkilörekistereissä. Perusmuotoinen henkilöturvallisuusselvitys ei kuitenkaan voisi perustua tietoihin, joita käsiteltäisiin niiden merkityksellisyyden arvioimiseksi 6 §:n 3 momentin nojalla eikä tietoihin, joiden käsittelyä on muualla lainsäädännössä rajoitettu. Tällaisia rajoituksia liittyy esimerkiksi Rajavartiolaitoksen rikostorjuntalain tai pakkokeinolain nojalla saadun ylimääräisen tiedon käsittelyyn. 

Ensimmäisen lakiehdotuksen 13 §:ssä tarkoitetut valvontatehtävien suorittamiseksi käsiteltävät tiedot olisivat sellaisia tietoja, joita voimassa olevan lain perusteella voidaan tallettaa valvonta-asioiden rekisteriin. Muilta osin 13 §:ssä tarkoitetut, Rajavartiolaitoksen muiden lakisääteisten tehtävien suorittamiseksi käsiteltävät henkilötiedot jäisivät edelleen turvallisuusselvitysten ulkopuolelle. 

Rajavartiolaitoksen 5 §:n, 6 §:n 1 ja 2 momenttien sekä 7 ja 13 §:n nojalla käsittelemien henkilöryhmien ja tietosisällön muutokset voimassa olevaan lakiin verrattuna on kuvattu tarkemmin 1. lakiehdotuksen yksityiskohtaisissa perusteluissa. 

Perusmuotoisen henkilöturvallisuusselvityksen tietolähteisiin lisättäisiin 1. lakiehdotuksen 11 ja 12 §:ssä tarkoitetut, sotilasoikeudenhoidossa käsiteltävät henkilötiedot. Asiallisesti kyse ei olisi suuresta muutoksesta, koska kyseiset tiedot voivat jo nykyisin tulla osittain turvallisuusselvitysten piiriin, mikäli sotilasrikosten tutkinnasta vastaa poliisi. Voimassa olevan 25 §:n 1 momentin 5 kohdan mukaan perusmuotoisessa turvallisuusselvityksessä voidaan käyttää tietolähteenä Puolustusvoimien käsittelemiä vastaavia henkilötietoja. Rajavartiolaitoksen käsittelemien sotilasoikeudenhoidon tietojen lisääminen perusmuotoisen turvallisuusselvityksen tietolähteisiin olisi perusteltua sotilasvirassa olevien henkilöiden yhdenvertaisen kohtelun varmistamiseksi. 

3.1  Henkilötietojen käsittely

Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa lisäksi se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan lukien tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (esimerkiksi PeVL 31/2017 vp, PeVL 13/2016 vp). Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Lailla on säädettävä lisäksi mahdollisuudesta yhdistää rekisteritietoja (PeVL 17/2007 vp ja PeVL 30/2005 vp). Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista. 

Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (esimerkiksi Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (esimerkiksi S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, kohta 67 ja Leander v. Ruotsi, 26.3.1987, kohta 48). Jotta yksityisyyden suojan rajoittaminen olisi sallittua, sen tulee perustua lakiin, olla välttämätöntä demokraattisessa yhteiskunnassa ja olla oikeassa suhteessa tavoiteltuun päämäärään. Esimerkiksi kansallisen turvallisuuden ylläpitoa on oikeuskäytännössä yleisesti pidetty hyväksyttävänä perusteena yksityisyyden suojan rajoituksille (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, kohdat 87 ja 88). 

Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on todennut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimuksia voidaan täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp ja siinä mainitut lausunnot). Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Henkilötietojen suojan toteuttaminen tulisi valiokunnan mukaan jatkossa ensisijaisesti taata tietosuoja-asetuksen ja tietosuojalain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PevL 14/2018 vp, PeVL 2/2018 vp). 

Sen sijaan tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvan henkilötietojen käsittelyn osalta on siten edelleen otettava huomioon yllä mainittu perustuslakivaliokunnan lausuntokäytäntö. Perustuslakivaliokunnan mielestä henkilötietoja koskevan lainsäädännön selvyys kuitenkin edellyttää, että erityislainsäädäntöön ei sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella rikosasioiden tietosuojalaissa. 

Perustuslakivaliokunta on lausunnossaan (PeVL 14/2018 vp) kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. 

Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla (PeVL 14/2018 vp). 

Perustuslakivaliokunta on kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (esimerkiksi PeVL 14/2018 vp, PeVL 2/2018 vp, PeVL 49/2017 vp, PeVL 31/2017 vp ja PeVL 71/2014 vp). Voimassa olevassa Rajavartiolaitoksen henkilötietolaissa on jossain määrin ylisääntelyn piirteitä. Laki sisältää varsin yksityiskohtaista sääntelyä tilanteissa, joissa se ei ole välttämätöntä, ja lisäksi laissa säädetään tiedonsaantioikeuksista silloinkin, kun niistä on jo säädetty muussa laissa. Rajavartiolaitoksessa käsiteltävät henkilötietoihin liittyy kuitenkin usein myös erityisiin henkilötietoryhmiin kuuluvia tietoja. Yksilön oikeuksien toteuttamiseksi sekä oikeusturvanäkökulmasta on välttämätöntä säätää henkilötietojen käsittelystä Rajavartiolaitoksessa tietosuoja-asetusta ja tietosuojalakia täydentävästi. Esitys sisältää myös säännöksiä tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta henkilötietojen käsittelystä. Tältä osin käsittelyn oikeusperustaa ja henkilötietojen käsittelyn tietosisältöä on välttämätöntä tarkentaa erityislainsäädännössä. 

Perustuslakivaliokunta on pitänyt riittävän tarkkarajaisena sääntelyä, jossa henkilörekistereihin talletettavat tiedot on yksilöity riittävän tarkasti (PeVL 51/2002 vp ja PeVL 18/2012 vp). Sen sijaan perustuslakivaliokunta on pitänyt ongelmallisena sitä, jos säännöksen muotoilu jättää rekisteröitävien henkilötietojen sisällön viime kädessä paljolti viranomaisen omin toimin määriteltäväksi (PeVL 18/2012 vp). Perustuslakivaliokunta on katsonut, että laissa olevan sääntelyn tulee kaiken kaikkiaan olla siinä määrin täsmällistä, että sääntelyllä annetaan riittävä ennustettavuus viranomaistoimista (PeVL 15/1996 vp). Rajavartiolaitoksen henkilötietolain 2 luvussa säädettäisiin voimassa olevan lain tavoin alkuperäisistä henkilötietojen käsittelytarkoituksista sekä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen. Rekisteröitävistä henkilötiedoista säädettäisiin kattavasti ja yksityiskohtaisesti, mutta sääntelytekniikka poikkeaisi voimassa olevasta laista. Sääntelyn voidaan katsoa täyttävän perustuslakivaliokunnan asettamat edellytykset. Meripelastuslaissa säilytettäisiin voimassa olevan lain mukainen rekisterikohtainen sääntely. 

Voimassa olevan lainsäädännön tavoin myös henkilötietojen säilytysajoista säädettäisiin yksityiskohtaisesti kunkin käsittelytarkoituksen osalta. Euroopan ihmisoikeustuomioistuin on kiinnittänyt huomiota siihen, että myös säilytysaikojen tulisi olla oikeasuhtaisia henkilötietojen käsittelyn tarkoitukseen nähden, ja että säilytysaikoja olisi rajoitettava (S. ja Marper v. Yhdistynyt Kuningaskunta, tuomion kohdat 107 ja 108). Myös perustuslakivaliokunta on katsonut, että säilytysaikaa koskevan sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista ja että säilytysaikaa koskeviin säännöksiin tulee sisällyttää aikamääre (esimerkiksi PeVL 20/2006 vp). Esityksen 1. lakiehdotuksen säilytysaikoja koskevissa säännöksissä on huomioitu tarve säilyttää asian tiedot riittävän ajan sekä rekisteröidyn että Rajavartiolaitoksen oikeusturvan takaamiseksi. 

Esityksen 1. lakiehdotukseen ehdotetaan uutta sääntelyä, jonka mukaan Rajavartiolaitos saisi käsitellä henkilötietoja myös ennen niiden merkityksellisyyden varmistamista (6 §:n 3 momentti ja 8 §:n 6 momentti). Rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Rajavartiolaitoksen tehtävien kannalta merkityksettömiksi. Kyseessä olisi yksityisyyden suojaa rajoittava toimenpide. Rekisteröidyn oikeusturvaa parantaisi kuitenkin se, että tietoja saisi säilyttää korkeintaan kuuden kuukauden ajan ja tarpeettomiksi arvioidut tiedot olisi poistettava viipymättä jo ennen kuuden kuukauden määräajan täyttymistä. Yleisen tietosuojalainsäädännön vaatimusten mukaan tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä. Ehdotetulla kuuden kuukauden säilytysajalla täsmennettäisiin tätä yleislainsäädännön vaatimusta ja varmistettaisiin, että henkilötietojen välttämätön esikäsittelyvaihe kestäisi vain rajoitetun ajan. Tältä osin ehdotuksen voidaan katsoa osaltaan myös parantavan yksityisyyden suojaa verrattuna nykytilaan, jossa esikäsittelyvaiheen kestosta ei nimenomaisesti säädetä. 

3.2  Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely

Tietosuoja-asetus ja tietosuojadirektiivi sisältävät erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevat säännökset, joissa asetetaan aiempaa tiukemmat vaatimukset näiden tietojen käsittelylle, mukaan lukien henkilötietojen suojaamista koskevat vaatimukset. Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että arkaluonteisten tietojen käsitteleminen koskettaa yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä vuoksi tällaisien tietojen käsittelyn sallivien säännösten on oltava täsmällisiä (PeVL 25/1998 vp, PeVL 51/2002 vp). Perustuslakivaliokunta on myös katsonut poliisin henkilötietojen käsittelyn osalta, että arkaluonteisten tietojen käsittelyä tarkoittavasta toimivallasta on säädettävä lailla täsmällisesti, sillä yleislainsäädäntö ei luo tällaista toimivaltaa (PeVL 51/2002 vp). 

Perustuslakivaliokunta on lausunnossaan PeVL 15/2018 vp kiinnittänyt huomiota siihen, että henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja ei voida suoraan rinnastaa tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Myöskään perustuslakivaliokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samaistu henkilötietolain sääntelyyn. Perustuslakivaliokunta on katsonut, että esimerkiksi biometriset tunnistetiedot rinnastuvat arkaluonteisiin tietoihin (esimerkiksi PeVL 13/2016 vp). EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (PeVL 15/2018 vp, PeVL 14/2018 vp). Valiokunta pitää kuitenkin edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi. Myös tietosuoja-asetuksen johdantokappaleessa 51 painotetaan erityisten henkilötietoryhmien erityistä arkaluonteisuutta. 

Arkaluonteisia henkilötietoja käsitellään Rajavartiolaitoksessa sekä direktiivin että asetuksen soveltamisalaan kuuluvia Rajavartiolaitoksen tehtäviä varten. Tietosuoja-asetus ja tietosuojadirektiivi sisältävät erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskevat säännökset, joissa asetetaan aiempaa tiukemmat vaatimukset näiden tietojen käsittelylle, mukaan lukien henkilötietojen suojaamista koskevat vaatimukset. Yleisen tietosuojalainsäädännön aiempaa tiukemmat säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä parantavat rekisteröidyn oikeuksia. Tällä on merkitystä erityisesti silloin, kun käsittely kohdistuu biometrisiin ja geneettisiin tietoihin, joita voisi tietosuojadirektiivin ja rikosasioiden tietosuojalain soveltamisalalla käsitellä ainoastaan kun se on välttämätöntä. Arkaluonteisten henkilötietojen käsittelyedellytykset tiukentuisivat myös asetuksen soveltamisalalla. Asetuksen 9 artiklassa tarkoitettuihin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on pääsääntöisesti kielletty. Asetuksen 9 artiklan 1 kohdassa luetellaan tyhjentävästi poikkeukset, joiden nojalla käsittely on sallittua. Arkaluonteisten henkilötietojen suojalle asetettaisiin myös erityisiä vaatimuksia kummankin tietosuojasäädöksen soveltamisalalla. 

Rajavartiolaitoksen tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen 1. lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi biometrisiä tietoja käsitellään rajavalvonnassa ja rajaturvallisuuden ylläpitämisessä sekä rikosasioissa. Lisäksi Rajavartiolaitos käsittelee tehtäviensä suorittamiseksi myös muita erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilaa koskevia tietoja tai henkilön etnistä alkuperää kuvaavia tietoja. Myös 2. lakiehdotuksen mukaisessa meripelastusrekisterissä saataisiin käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. 

Erityisten henkilötietoryhmien käsittely 1. ja 2. lakiehdotuksessa perustuisi tietosuoja-asetuksen soveltamisalaan kuuluvien käsittelytarkoitusten osalta asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan erityisiä henkilötietoryhmiä voidaan käsitellä, kun käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Sääntelyn on myös oltava oikeasuhtaista tavoitteeseen nähden, siinä on noudatettava keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä on säädettävä asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Rikosasioiden tietosuojalain soveltamisalaan kuuluvien käsittelytarkoitusten osalta sääntely täydentäisi mainitun lain 11 §:ää. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi 1. ja 2. lakiehdotuksessa sidottu Rajavartiolaitoksen lakisääteisiin tehtäviin ja välttämättömyyteen. Yleislainsäädännössä määriteltyjen suojatoimien lisäksi erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä täsmentäisivät muun muassa henkilötietojen käsittelylle asetetut kriteerit, edellytykset tietojen luovuttamiselle sekä tietojen säilytysajat. 

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely rikosasioissa olisi rajoitettava EU:n tietosuojalainsäädäntö, perusoikeussääntely ja perustuslakivaliokunnan kannanotot huomioiden siihen, mikä on käsittelytarkoituksen kannalta välttämätöntä. Välttämättömyyskriteeristä säädetään rikosasioiden tietosuojalaissa. 

3.3  Henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi

Voimassa olevan lain rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä koskeva säännös ehdotetaan korvattavaksi säännöksellä henkilötietojen käsittelystä rikosten ennalta estämiseksi ja paljastamiseksi. Ehdotetut 8 ja 9 § merkitsisivät henkilötietojen käsittelyn laajenemista sekä tietosisällön että käsiteltävien henkilöryhmien osalta. Myös tämän säännöksen soveltamisen kannalta olisi kiinnitettävä huomiota oikeasuhteisuuden ja käyttötarkoitussidonnaisuuden vaatimuksiin, joiden mukaan rekisteröidyn yksityiselämän suojaa saisi rajoittaa ainoastaan siinä määrin kuin se on välttämätöntä ja oikeassa suhteessa tavoiteltuun päämäärään nähden. Säännöksessä ehdotetaan tarkennettavaksi henkilöryhmiä, joita koskevia tietoja kyseiseen käsittelytarkoitukseen saisi tallettaa ja käsitellä. Lisäksi säädettäisiin tietoryhmistä, joita kyseisessä käsittelytarkoituksessa saisi käsitellä. Käsiteltäviin tietoihin olisi liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. 

Ehdotetussa rikosten ennalta estämiseksi tai paljastamiseksi tapahtuvaa henkilötietojen käsittelyä koskevassa säännöksessä on kiinnitetty erityistä huomiota eri henkilöryhmiä koskeviin tallettamis- ja käsittelykriteereihin. Säännökseen ehdotetaan alempaa tallettamis- ja käsittelykynnystä siltä osin kuin on kyse varsinaisesti rikolliseen toimintaan liittyvistä henkilöistä. Säännöksellä mahdollistettaisiin laajasti eri tavoin rikolliseen toimintaan kytkeytyvien henkilöiden tietojen käsittely esimerkiksi näiden välisten yhteyksien selvittämiseksi. 

Perustuslakivaliokunta on aiemmin kiinnittänyt huomiota siihen, että rikoksesta epäiltyjen Rajavartiolaitoksen rekisteriä asiasisällöllisesti vastaavaan poliisin epäiltyjen tietojärjestelmään saataisiin perustelujen mukaan tallettaa tekoon liittyvinä tietoina myös tietoja rikosten potentiaalisista tai todellisista uhreista. Voimassa olevien säännösten sanamuoto ei kuitenkaan ulotu tähän tarkoitukseen asti (PeVL 51/2002 vp). Sitä, että uhrien nimien tallettaminen rekisteriin ilmenee vain säännöksen perusteluista, ei voida pitää tarkkarajaisena sääntelynä perustuslakivaliokunnan tulkintakäytännöstä ilmenevällä tavalla. 

Rajavartiolaitoksen on tietyissä tilanteissa tarpeen käsitellä myös sellaisten henkilöiden tietoja, joihin epäillyn väkivallan uhka kohdistuu tai voi kohdistua. Tietojen käsittely voi olla välttämätöntä sen takaamiseksi, että Rajavartiolaitos kykenee antamaan tarvittaessa suojaa asianomistajaksi, uhriksi tai todistajaksi katsottavalle henkilölle. Näitä henkilöitä koskisi kuitenkin ehdotetun pykälän mukaan korotettu henkilötietojen käsittelykynnys. Korkeammalla käsittelykynnyksellä varmistettaisiin, että yksityiselämän suojaa rajoitettaisiin ainoastaan siinä määrin kuin se on välttämätöntä oletetun rikollisen toiminnan estämiseksi, paljastamiseksi tai selvittämiseksi. Näiden henkilöryhmien osalta olisi myös kiinnitettävä erityistä huomioita oikeusturvan takeisiin. Rekisterinpitäjän olisi rekisteröidyn oikeusturvan takaamiseksi muun muassa erotettava tietosuojadirektiivin ja rikosasioiden tietosuojalain vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

Havaintotietojen osalta ei ehdoteta muutosta suhteessa voimassa olevaan sääntelyyn. Perustuslakivaliokunta on todennut havaintotietojen osalta, että kysymys on potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta (PeVL 18/2012 vp). Lisäksi havaintotiedot ovat usein luonteeltaan epävarmoja ja niiden käyttämiseen sisältyy leimautumisen riski. Perustuslakivaliokunta on tämän luonteisten tietojen käsittelyssä kiinnittänyt edellä mainittujen yleisten seikkojen lisäksi huomiota tarpeeseen varmistaa tietojen virheettömyys ja luotettavuus (PeVL 27/2006 vp) ja liittää tietoon arviot tietojenantajan luotettavuudesta ja tietojen oikeellisuudesta (PeVL 51/2002 vp). Lisäksi havaintotietojen säilytysaika olisi lyhyt, jolloin luonteeltaan varmentamattomien tai merkityksen osalta epävarmojen henkilötietojen käsittely rajoittaisi yksityiselämän suojaa ainoastaan siinä määrin kuin se on välttämätöntä Rajavartiolaitoksen tehtävän suorittamiseksi. Perustuslakivaliokunta ei ole pitänyt sääntelyä tällä tavoin tietosisältöjen, käyttötarkoituksen ja säilytysajan osalta rajoitettuna henkilötietojen suojan kannalta ongelmallisena. Perustuslakivaliokunta on kuitenkin katsonut havaintotietojen luonteen vuoksi olevan tärkeää, että tietojen tallettamisen edellytyksiä tulkitaan suppeasti ja etenkin niin, että havaintotieto voidaan tallettaa vain, jos on olemassa epäilys rikollisesta toiminnasta (PeVL 18/2012 vp). 

3.4  Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen ja henkilötietojen luovuttaminen

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta. Sen mukaan henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Asetuksen johdanto-osan 50 kappaleen mukaan unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille sekä asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä. 

Kun henkilötietojen käsittely perustuu asetuksen 6 artiklan 1 kohdan c tai e alakohtiin voidaan kansallisen liikkumavaran puitteissa asetuksen 6 artiklaa 3 kohdan mukaisesti säätää niistä tahoista ja tarkoituksista, joihin henkilötietoja voidaan luovuttaa. Mikäli katsotaan, että tietojen käyttötarkoitus muuttuu luovutuksen seurauksena, on luovutuksen edellytyksiä arvioitava käyttötarkoitussidonnaisuuden periaatetta vasten siten kuten tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään. Luovutussäännöksen on oltava välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. 

Jäsenvaltioiden on tietosuojadirektiivin 4 artiklan mukaan säädettävä muun muassa siitä, että henkilötietoja käsitellään lainmukaisesti ja että niitä kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Saman tai toisen rekisterinpitäjän suorittama käsittely muuta kuin alkuperäistä tarkoitusta varten on kuitenkin sallittua, jos käsittelystä säädetään laissa ja käsittely tätä muuta tarkoitusta varten on tarpeellista ja oikeasuhtaista. Käsittelyn lainmukaisuuden vaatimusta täsmennetään direktiivin 8 artiklassa, jonka mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin se on tarpeen toimivaltaisen viranomaisen tehtävän suorittamiseksi direktiivin soveltamisalalla ja jos se perustuu lakiin. 

Käyttötarkoitussidonnaisuudesta säädetään rikosasioiden tietosuojalain 5 §:ssä. Mainitun pykälän 1 momentin mukaan rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla. Mainitun pykälän 2 momentin mukaan rikosasioiden tietosuojalain 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saisi käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa. 

Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (PeVL 20/2016 vp, PeVL 13/2016 vp, PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 25/2009 vp). Esityksen 1. lakiehdotuksessa määriteltäisiin ja täsmennettäisiin ne tehtävät ja tarkoitukset, joita varten henkilötietojen myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Säännöksiä henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen laajennettaisiin eräiltä osin. Säännöksillä pyritään varmistamaan Rajavartiolaitoksen toimintaedellytykset esimerkiksi sellaisissa tilanteissa, joissa on vaikeaa määrittää etukäteen, onko kyse yleisen järjestyksen ja turvallisuuden varmistamisesta vai rikoksen ennalta estämisestä, paljastamisesta ja selvittämisestä, sekä tilanteissa, joissa tehokas rikoksen ennalta estäminen, paljastaminen ja selvittäminen edellyttää henkilötietojen tarkistamista useammasta henkilörekisteristä. Sääntelyssä on huomioitu myös tietosuojadirektiivin ja rikosasioiden tietosuojalain mukaisiin käsittelytarkoituksiin alun perin kerättyjen ja talletettujen tietojen käyttäminen luvan myöntämisen tai voimassaolon edellytysten selvittämisessä. Säännökset varmistaisivat voimassa olevan lain tavoin myös Schengenin rajasäännöstössä säädetyn rajavalvonnan vuoksi tarpeelliset rekisterikyselyt. 

Perustuslakivaliokunta on erityisesti biometristen tunnistetietojen käsittelyn kansallisen sääntelyn arvioinnin yhteydessä korostanut, että tietojen käyttämiseen alkuperäisen käsittelytarkoituksen ulkopuolisiin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta on valiokunnan mielestä voitu tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei ole saanut johtaa siihen, että muu kuin alkuperäiseen käsittelytarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (esimerkiksi PeVL 47/2010 vp). Rajavartiolaitoksella olisi 1. lakiehdotuksen mukaan oikeus käsitellä myös biometrisiä tunnisteita. Käytännössä Rajavartiolaitoksen tietojärjestelmiin talletettaisiin lähinnä henkilön valokuvia, sillä sormenjäljet ja DNA-tunnisteet talletettaisiin jatkossakin poliisin rekisterinpitoon. Rajavartiolaitoksella olisi voimassa olevan lainsäädännön tavoin oikeus ottaa vastaan henkilön fyysisiin ominaisuuksiin perustuva matkustusasiakirjaan liitetty sähköinen tunniste henkilön tunnistamista ja asiakirjan aitouden varmistamista varten, mutta tunnistetta ei saisi tallettaa (1. lakiehdotuksen 51 §). Rajavartiolaitoksen käsittelemiä biometrisiä tunnisteita ei siten käytännössä käytettäisi tai luovutettaisi laajamittaisesti muihin käsittelytarkoituksiin. 

Perustuslakivaliokunta on lausuntokäytännössään kiinnittänyt huomiota siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta tarpeellisiin tietoihin, jos tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on valiokunnan mukaan pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta (esimerkiksi PeVL 31/2017 sekä PeVL 17/2016 vp ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojen-saantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esimerkiksi PevL 71/2014 vp, PeVL 62/2010 vp, ja PeVL 59/2010 vp). Valiokunta on käytännössään arvioinut myös arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (esimerkiksi PeVL 38/2016 vp). 

Esityksen 1. ja 2. lakiehdotuksiin sisällytettäisiin voimassa olevien lakien tavoin yksityiskohtaiset säännökset siitä, mille viranomaisille ja mihin käsittelytarkoituksiin henkilötietoja saataisiin luovuttaa. Erityisiin henkilötietoryhmiin kuuluvia tietoja saataisiin luovuttaa ainoastaan, kun se on viranomaisen laissa säädetyn tehtävän suorittamiseksi välttämätöntä. Perustuslakivaliokunnan käytännön mukaan lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Ehdotettu sääntely koskisi voimassa olevan lainsäädännön tavoin nimenomaisesti henkilötietojen luovuttamista teknisen käyttöyhteyden avulla tai tietojoukkona. Perustuslakivaliokunta on myös katsonut, että on tarpeellista asettaa tietoja pyytävälle etukäteen vaatimus esittää selvitys siitä, että tietojen suojauksesta huolehditaan asianmukaisesti ennen teknisen käyttöyhteyden avaamista (PeVL 12/2002 vp). Ensimmäiseen lakiehdotukseen sisältyisi tätä tarkoittava säännös. Rekisterinpitäjän valvontavastuun toteuttamiseksi rekisterinpitäjän olisi jatkossakin erikseen arvioitava, millä edellytyksillä tekninen käyttöyhteys voitaisiin avata. 

3.5  Oikeusturva ja rekisteröidyn oikeudet

Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö mahdollistaa kansallista sääntelyä, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 31/2017 vp ja PeVL 25/2005 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 14/2018 vp, PeVL 31/2017 vp, PeVL 26/2017 vp, PeVL 2/2017 vp ja PeVL 44/2016 vp). 

Tietosuoja-asetuksen 23 artiklan mukaan kansallisella lailla on tiettyjen edellytysten täyttyessä mahdollista rajoittaa rekisteröityjen oikeuksia. Kansallisella lailla voidaan säätää rajoituksista muun muassa asetuksen 12—22 artiklaan. Tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, että poikkeuksen sisältävät lainsäädäntötoimenpiteet sisältävät tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin käsittelytarkoitusta tai käsittelyn ryhmiä, henkilötietoryhmiä, käyttöön otettujen rajoitusten soveltamisalaa, suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen, rekisterinpitäjän ja rekisterinpitäjien ryhmien määrittämistä, tietojen säilytysaikoja ja sovellettavia suojatoimia, rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä sekä rekisteröidyn oikeutta saada tietoa rajoituksesta. Myös rikosasioiden tietosuojalaki mahdollistaa rekisteröidyn oikeuksista poikkeamisen erityislainsäädännössä. 

Rekisteröidyn tarkastusoikeus 

Rekisteröidyn tarkastusoikeuden osalta pääsäännöt sisältyisivät rikosasioiden tietosuojalakiin sekä tietosuoja-asetukseen ja sitä täydentävään tietosuojalakiin. Esityksen 1. lakiehdotuksessa ehdotetaan säädettäväksi rekisteröidyn tarkastusoikeutta koskevista rajoituksista siltä osin kuin kyse on rikosasioiden tietosuojalain soveltamisalaan kuuluvien henkilötietojen käsittelystä. Tietosuoja-asetuksen soveltamisalaan kuuluvissa tilanteissa rekisteröidyn tarkastusoikeuden rajoittamiseen sovellettaisiin tietosuojalain yleissääntelyä. 

Tarkastusoikeuden rajoituksia ehdotetaan tarkennettavaksi nykyisestä siten, että rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävistä henkilötiedoista suoran tarkastusoikeuden ulkopuolelle jäisivät Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskevat tiedot, havainto- tai tietolähdetiedot sekä tekniseen tutkintaan käytettävät tiedot. Rekisteröidyllä olisi näihin tietoihin rikosasioiden tietosuojalain 29 §:ssä tarkoitettu välillinen tarkastusoikeus tietosuojavaltuutetun kautta. Muut rikosten ennalta estämiseksi ja paljastamiseksi käsiteltävät tiedot olisivat rekisteröidyn tarkastusoikeuden piirissä. 

Lisäksi esityksen 1. lakiehdotuksen 6 §:n 3 momentin ja8 §:n 6 momentin nojalla käsiteltävät henkilötiedot olisivat ehdotuksen mukaan välillisen tarkastusoikeuden piirissä. Näiden tietojen osalta suoraa tarkastusoikeutta olisi rajoitettava, koska tietoihin sisältyisi tyypillisesti Rajavartiolaitoksen taktisia ja teknisiä menetelmiä koskevia tietoja. Kun tietojen merkityksellisyys Rajavartiolaitoksen tehtävien kannalta olisi arvioitu, tarkastusoikeuden rajoituksiin sovellettaisiin samoja säännöksiä kuin muihin 6—9 §:ssä tarkoitettuihin tietoihin. 

Yksityiselämän suojan rajoituksella tulisi olla hyväksyttävä yhteiskunnallinen intressi ja rajoituksen tulisi olla oikeassa suhteessa tavoiteltuun päämäärään. Tämä merkitsee, että rajoitusten tulee olla välttämättömiä hyväksyttävän tarkoituksen saavuttamiseksi. Perusoikeuden rajoittaminen on sallittua ainoastaan, jos tavoite ei ole saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoitus ei saa mennä pidemmälle kuin on perusteltua ottaen huomioon rajoituksen taustalla olevan yhteiskunnallisen intressin painavuus suhteessa rajoitettavaan oikeushyvään (PeVM 25/1994 vp ja esimerkiksi PeVL 56/2014 vp ja PeVL 18/2013 vp). 

Rajoitukset 1. lakiehdotuksessa liittyisivät rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen. Tätä on vakiintuneesti Euroopan ihmisoikeustuomioistuimen ja EU:n tuomioistuimen sekä korkeimman oikeuden oikeuskäytännössä pidetty sellaisena painavana yhteiskunnallisena intressinä, jonka osalta tavoitteet eivät olisi saavutettavissa perusoikeuteen vähemmän puuttuvin keinoin. Rajoituksista säädettäisiin täsmällisesti ja tarkkarajaisesti, minkä lisäksi rekisteröity voisi aina käyttää oikeuksiaan valvontaviranomaisen välityksellä. Rekisteröidyltä ei siten kokonaan evättäisi mahdollisuutta valvoa henkilötietojensa käsittelyä, vaan rajoitustilanteissakin tämä voisi käyttää oikeuttaan välillisesti tietosuojavaltuutetun välityksellä. Rajoitukset eivät menisi pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi. 

Tietosuoja-asetuksen 18 artikla 

Esityksessä ehdotetaan säädettäväksi poikkeus myös tietosuoja-asetuksen18 artiklaan, jonka mukaan rekisteröity voi vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojensa paikkansapitävyyden. Säännös on perusteltu erityisesti rajavalvontaan ja rajaturvallisuuden ylläpitoon liittyvien henkilötietojen käsittelyssä. 

Säännöksellä ei rajoitettaisi rekisteröidyn oikeutta vaatia epätarkkojen tai virheellisten tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Rekisteröidyn oikeusturvan takeena toimisivat myös muut tietosuoja-asetuksen rekisteröidyn oikeuksia koskevassa III luvussa sekä oikeussuojakeinoja, vastuuta ja seuraamuksia koskevassa VIII luvussa säädetyt oikeudet. Mikäli rekisteröity katsoisi, että hänen henkilötietojensa käsittely on lainvastaista, rekisteröidyllä olisi mahdollisuus esimerkiksi saattaa asia vireille tietosuoja-asetuksen 77 artiklan mukaisesti tekemällä valitus valvontaviranomaiselle. Rekisteröity voisi myös saattaa hallintolain nojalla vireille vaatimuksen siitä, että lainvastainen henkilötietojen käsittely on lopetettava. Viimeksi mainitussa tilanteessa rekisterinpitäjän olisi ratkaistava asia hallintolain menettelysäännöksiä noudattaen. Ehdotettua poikkeusta voidaan siten pitää rekisteröidyn oikeusturvan kannalta vähäisenä, kun otetaan huomioon se, miten muutoin turvataan hyvä hallinto ja oikeusturva rekisterinpitäjän suorittamassa henkilötietojen käsittelyssä. 

Oikeussuojakeinot 

Perustuslain 21 §:n mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. 

Tietosuoja-asetuksessa on henkilötietolakia tiukemmat seuraamukset asetuksen vastaisesta henkilötietojen käsittelystä. Asetuksen VIII luvussa säädetään oikeussuojakeinoista, vastuusta ja seuraamuksista. Luvussa säädetään oikeudesta tehokkaisiin oikeussuojakeinoihin niin valvontaviranomaista kuin rekisterinpitäjää tai henkilötietojen käsittelijääkin vastaan. Asetuksen 82 artiklassa säädetään rekisterinpitäjän vastuusta vahingosta ja rekisteröidyn oikeudesta korvaukseen ja 84 artiklassa asetetaan jäsenvaltioille velvollisuus vahvistaa säännöt asetuksen rikkomisen vuoksi määrättäviä seuraamuksia varten. 

Tietosuojadirektiivin VIII luvussa säädetään rekisteröidyn oikeussuojakeinoista, rekisterinpitäjän vastuusta ja direktiivin nojalla annettuihin säännöksiin kohdistuvien rikkomisten johdosta määrättävistä seuraamuksista. Rekisteröidyllä on oltava oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että häneen liittyvässä henkilötietojen käsittelyssä rikotaan direktiivin nojalla annettuja säännöksiä. Mikäli valvontaviranomainen, jolle valitus on tehty, ei ole toimivaltainen, tulee viranomaisen omatoimisesti siirtää valitus toimivaltaiselle viranomaiselle. Niin luonnollisella henkilöllä kuin oikeushenkilölläkin tulee olla oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan. Jos henkilölle aiheutuu aineellista tai aineetonta vahinkoa lainvastaisesta käsittelystä tai muusta direktiivin nojalla annettuja säännöksiä rikkovasta menettelystä, hänellä on oikeus saada korvaus aiheutuneesta vahingosta rekisterinpitäjältä tai muulta jäsenvaltion lainsäädännön mukaisesti toimivaltaiselta viranomaiselta. 

Tietosuoja-asetuksen säännöksiä täydennetään tietosuojalailla, jossa säädetään oikeusturvasta ja seuraamuksista. Tietosuojalaissa säädetään muun muassa rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Lisäksi lakiin sisältyvät säännökset tietosuojavaltuutetun oikeudesta asettaa uhkasakko tiettyjen päätösten ja tiedonsaantioikeuksien tehosteeksi. Laissa säädetään myös muutoksenhausta tietosuojavaltuutetun päätökseen. Päätöksen valituskelpoisuus määräytyy hallintolainkäyttölain mukaan. Tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa nykyistä henkilötietolakia vastaavasti hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Tietosuojavaltuutetun päätöksessä voidaan määrätä, että sen päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistetaan, että tietosuojavaltuutetulla on mahdollisuus puuttua tehokkaasti lainvastaiseen henkilötietojen käsittelyyn. 

Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana viranomaisena. Tietosuojavaltuutettu valvoo lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi myös asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon. 

Tietosuojalaissa säädetään, että tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja ei voida määrätä valtion viranomaisille, kuten Rajavartiolaitokselle. Sääntelyssä on kyse kansallisen liikkumavaran käytöstä. Myöskään rikosasioiden tietosuojalaissa ei säädetä hallinnollisesta seuraamusmaksusta laissa tarkoitetuille toimivaltaisille viranomaisille. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. Perustuslakivaliokunnalla ei ole ollut huomauttamista edellä mainittuihin tietosuojalakia koskevassa hallituksen esityksessä mainittuihin perusteluihin (PeVL 14/2018 vp). 

3.6  Yhdenvertaisuus

Perustuslain 6 §:ssä ilmaistaan yleinen yhdenvertaisuuslauseke, jonka mukaan ihmiset ovat yhdenvertaisia lain edessä. Ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Yleistä yhdenvertaisuuslauseketta täydentää syrjinnän kielto. 

Yleinen yhdenvertaisuuslauseke kohdistuu myös lainsäätäjään. Lailla ei voida mielivaltaisesti asettaa ihmisiä tai ihmisryhmiä toisia edullisempaan tai epäedullisempaan asemaan. Lausekkeella ei kuitenkaan edellytetä kaikkien ihmisten kaikissa suhteissa samanlaista kohtelua, jos asiaan vaikuttavat olosuhteet eivät ole samanlaisia. Perustuslakivaliokunta onkin vakiintuneesti todennut, ettei yleisestä yhdenvertaisuusperiaatteesta johdu tiukkoja rajoja lainsäätäjän harkinnalle pyrittäessä kulloisenkin yhteiskuntakehityksen vaatimaan sääntelyyn (esimerkiksi PeVL 11/2012 vp, PeVL 2/2011 vp, PeVL 64/2010 vp ja PeVL 35/2010 vp). Keskeistä on, voidaanko kulloisetkin erottelut perustella perusoikeusjärjestelmän kannalta hyväksyttävällä tavalla (PeVL 46/2006 vp, PeVL 16/2006 vp ja PeVL 73/2002 vp). Valiokunta on eri yhteyksissä johtanut perustuslain yhdenvertaisuussäännöksistä vaatimuksen, että erottelut eivät saa olla mielivaltaisia eivätkä ne saa muodostua kohtuuttomiksi (esimerkiksi PeVL 11/2012 vp, PeVL 37/2010 vp, PeVM 11/2009 vp ja PeVL 18/2006 vp). 

Perustuslain 6 §:n 2 momentissa on luettelo eräistä kielletyistä erotteluperusteista. Luettelo ei kuitenkaan ole tyhjentävä. Erikseen mainittuihin kiellettyihin erotteluperusteisiin rinnastetaan muut henkilöön liittyvät syyt. Perustuslakivaliokunnan käytännössä on erottelun hyväksyttävyyden lisäksi kiinnitetty huomiota valitun keinon oikeasuhtaisuuteen (PeVL 38/2006 vp ja PeVL 23/2012 vp). 

Erityisesti erityisiin henkilötietoryhmiin kuuluvien tietojen keräämistä koskevilla säännöksillä on merkitystä arvioitaessa yhdenvertaisuusperiaatteen toteutumista. Rajavartiolaitos voi joutua käsittelemään rikoksen ennalta estämiseksi, paljastamiseksi ja selvittämiseksi laajastikin arkaluonteisia henkilötietoja, kuten tietoja rikoksesta epäillyn kansallisuudesta tai etnisestä alkuperästä, terveydentilaa koskevia tietoja taikka geneettisiä tietoja (DNA-jäljet) ja sormenjälkitietoja. Rajavartiolaitoksen henkilötietojen käsittelyä koskevat toimenpiteet eivät saa johtaa syrjivään kohteluun. Tämä on pyritty esityksessä varmistamaan sillä, että erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi kytketty käsittelyn välttämättömyyteen. 

3.7  Säätämisjärjestyksen arviointi

Esityksessä on otettu huomioon henkilötietojen käsittelyä koskevan lainsäädännön asettamat yleiset edellytykset sekä perustuslain 10 §:n 1 momentin tulkintaa ohjaava perustuslakivaliokunnan lausuntokäytäntö. 

Hallituksen käsityksen mukaan lakiehdotukset voidaan säätää tavallisen lain säätämisjärjestyksessä. Koska esitys kuitenkin sisältää perusoikeuksien toteutumisen kannalta merkityksellisiä muutoksia voimassa olevaan lainsäädäntöön, hallitus pitää perusteltuna, että esityksestä pyydettäisiin perustuslakivaliokunnan lausunto.