1  Yleistä

Komissio antoi 15.5.2023 ehdotuksensa Euroopan parlamentin ja neuvoston asetukseksi neuvoston päätöksen 2009/917/YOS, jäljempänä tullitietojärjestelmäpäätös, muuttamisesta sen mukauttamiseksi henkilötietojen suojaa koskeviin unionin sääntöihin (COM(2023) 244 final).  

Tullitietojärjestelmäpäätöksellä perustettu tullitietojärjestelmä on tullien tarpeita varten luotu automaattinen tietojärjestelmä, jonka tarkoituksena on auttaa kansallisen lainsäädännön vakavien rikkomisten estämisessä, tutkinnassa ja syytteeseenpanossa nopeuttamalla tietojen saattamista saataville ja tehostamalla tällä tavoin tullihallintojen toimintaa. Ehdotuksen tarkoituksena on saattaa tullitietojärjestelmäpäätöksen tietosuojasäännöt Euroopan parlamentin ja neuvoston direktiivissä (EU) 2018/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä rikosasioiden tietosuojadirektiivi, vahvistettujen periaatteiden ja sääntöjen mukaisiksi. 

2  Ehdotuksen tavoite ja tausta

Rikosasioiden tietosuojadirektiivi tuli voimaan 6.5.2016. Sitä sovelletaan toimivaltaisten viranomaisten suorittamaan sekä kotimaiseen että rajat ylittävään henkilötietojen käsittelyyn rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten (1 artiklan 1 kohta).  

Direktiivin 62 artiklan 6 kohdassa edellytetään, että komissio tarkastelee muita EU:n säädöksiä, joilla säännellään toimivaltaisten viranomaisten lainvalvontatarkoituksessa suorittamaa henkilötietojen käsittelyä, arvioidakseen tarvetta yhdenmukaistaa ne lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin kanssa ja tehdäkseen tarvittaessa ehdotuksia niiden muuttamiseksi. Komissio esitti tarkastelunsa tulokset 24.6.2020 antamassaan tiedonannossa (COM (2020) 262 final) ja määritti kymmenen säädöstä, jotka olisi yhdenmukaistettava lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin kanssa. Yksi säädöksistä on neuvoston tullitietojärjestelmäpäätös, joka koskee tietotekniikan käyttöä tullialalla.  

Ehdotuksen tarkoituksena on saattaa tullitietojärjestelmäpäätöksen tietosuojasäännöt rikosasioiden tietosuojadirektiivissä vahvistettujen periaatteiden ja sääntöjen mukaisiksi vahvan ja johdonmukaisen henkilötietojen suojaa koskevan kehyksen luomiseksi unioniin. 

3  Ehdotuksen pääasiallinen sisältö

Komission asetusehdotuksen 1 artiklassa esitetään ne neuvoston tullitietojärjestelmäpäätöksen säännökset, joita tulee muuttaa rikosasioiden tietoturvadirektiivin 62 artiklan 6 kohtaan perustuvan komission vuoden 2020 tarkastelun (Komission tiedonanto: Toimet aiemman kolmannen pilarin säännöstön yhdenmukaistamiseksi tietosuojasääntöjen kanssa, 24.6.2020) perusteella. Muutettavaksi ehdotetut säännökset ovat: 

1 artikla. Artiklan 2 kohtaa ehdotetaan muutettavaksi korvaamalla käsite ”kansallisen lainsäädännön vakavat rikkomiset” viittauksella ”kansallisen lainsäädännön mukaisiin rikoksiin” selkeyden lisäämiseksi ja päätöksen yhdenmukaistamiseksi rikosasioiden tietosuojadirektiivin kanssa.  

2 artikla. Artiklan 2 alakohta, joka koskee ’henkilötietojen’ määritelmää ehdotetaan poistettavaksi, sillä tässä tulisi soveltaa lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin 3 artiklan 1 alakohdassa olevaa henkilötietojen määritelmää.  

3 artikla. Artiklan 2 kohtaa ehdotetaan muutettavaksi siten, että komission ja jäsenvaltioiden roolit henkilötietojen käsittelyn ja rekisterinpidon osalta olisivat selkeämmät. Komissio toimisi henkilötietojen käsittelijänä, joka toimisi kunkin jäsenvaltion nimeämän toimivaltaisen viranomaisen lukuun. Jäsenvaltioiden toimivaltaiset viranomaiset olisivat henkilötietojen osalta rekisterinpitäjiä.  

4 artikla. Artiklan 5 kohtaa päivitettäisiin siten, että viittaus sellaisten henkilötietoryhmien luetteloon, joita ei voida tallentaa järjestelmään puitepäätöksen 2008/977/YOS nojalla, korvataan viittauksella puitepäätöksen korvanneen rikosasioiden tietosuojadirektiivin mukaiseen vastaavaan luetteloon.  

5 artikla. Artiklan 2 kohtaa muutettaisiin tarkentamalla henkilötietojen keräämisen ja tallentamisen edellytyksiä ja säätämällä, että henkilötiedot voidaan kirjata tullitietojärjestelmään ainoastaan, jos on perusteltua syytä epäillä, etenkin aikaisemman lainvastaisen toiminnan perusteella, että kyseinen henkilö on syyllistynyt, syyllistyy parhaillaan tai syyllistyy vastaisuudessa päätöksen soveltamisalaan kuuluviin, kansallisen lainsäädännön mukaisiin rikoksiin. 

7 artikla. Artiklan 3 kohta saatettaisiin ajan tasalle niiden edellytysten selventämiseksi, joiden täyttyessä kansainvälisten tai alueellisten järjestöjen pääsy tullitietojärjestelmään voidaan lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin nojalla sallia.  

8 artikla. Artiklan 1 kohta saatettaisiin ajan tasalle, jotta voidaan rajoittaa tullitietojärjestelmään tallennettujen henkilötietojen myöhempää käsittelyä lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetussa direktiivissä säädetyn käyttötarkoituksen rajoittamisen periaatteen mukaisesti. Lisäksi siinä selvennettäisiin edellytyksiä, joiden täyttyessä muita kuin henkilötietoja voidaan käsitellä muihin tarkoituksiin. Artiklan 4 kohta muotoiltaisiin uudelleen niiden edellytysten selventämiseksi, joilla henkilötietojen ja muiden kuin henkilötietojen siirrot ja kansainväliset siirrot voidaan toteuttaa muille kuin artiklan 2 kohdassa nimetyille kansallisille viranomaisille ja kolmansien maiden toimivaltaisille viranomaisille sekä kansainvälisille ja alueellisille järjestöille. 

14 artikla. Artikla koskee henkilötietojen säilyttämistä, ja sitä päivitettäisiin rikosasioiden tietoturvadirektiivin 4 artiklan 1 kohdan e alakohdan mukaisen enimmäissäilytysajan käyttöön ottamiseksi ja aiemman menettelyn yksinkertaistamiseksi. Tietoja saisi säilyttää niin kauan kuin se on 1 artiklan 2 kohdassa mainitun tavoitteen saavuttamiseksi tarpeen, mutta ei kuitenkaan pidempään kuin viisi vuotta. Yksittäistapauksessa säilytysaikaa voitaisiin jatkaa vielä kahdella vuodella, jos se todettaisiin kyseisessä tapauksessa ehdottoman välttämättömäksi tavoitteen saavuttamiseksi.  

15 artikla. Artiklan 3 kohdan käsite ”kansallisen lainsäädännön vakavat rikkomiset” korvattaisiin 1 artiklan 2 kohtaa vastaavasti viittauksella ”kansallisen lainsäädännön mukaisiin rikoksiin”. 

20 artikla. Tässä viittaus kumottuun puitepäätökseen 2008/977/YOS korvattaisiin viittauksella puitepäätöksen korvanneeseen rikosasioiden tietoturvadirektiiviin. Neuvoston tullitietojärjestelmäpäätöksen mukaiseen henkilötietojen käsittelyyn sovellettaisiin jatkossa rikosasioiden tietosuojadirektiivin säännöksiä ja näin ollen 22 artikla (tiedonsaantioikeus ja oikeus tietojen oikaisemiseen, poistamiseen tai käyttökieltoon asettamiseen), 23 artikla (rekisteröityjen oikeudet kansallisella tasolla), 24 artikla (yhden tai useamman kansallisen valvontaviranomaisen nimeäminen) ja 25 artikla (yhteisen valvontaviranomaisen perustaminen) poistettaisiin samalla vanhentuneina. 

26 artikla. Artiklaa päivitettäisiin siten, että henkilötietojen käsittelyyn sovellettaisiin asetuksen (EU) 2018/1725 (luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta) 62 artiklassa säädettyä koordinoidun valvonnan mallia, jossa Euroopan tietosuojavaltuutettu ja kansalliset valvontaviranomaiset tekevät toimivaltojensa puitteissa aktiivisesti yhteistyötä hoitaessaan tehtäviään laaja-alaisten tietojärjestelmien ja unionin elinten ja laitosten tehokkaan valvonnan varmistamiseksi. 

28 artikla. Artiklan 2 kohtaa muutettaisiin käsittelyn turvallisuutta koskevien lisävaatimusten säätämiseksi siten, että yhdenmukaistettaisiin edellytettyjen turvatoimien luettelo rikosasioiden tietosuojadirektiivin 29 artiklan kanssa. Kohtaan lisättäisiin järjestelmän toimintakunnon palauttamista, luotettavuutta ja eheyttä koskevia vaatimuksia.  

30 artikla. Artiklan 1 kohta, jossa on viittaus kumottuun puitepäätökseen 2008/977/YOS poistettaisiin vanhentuneena samoin perustein kuin artiklojen 22–25 poistot. 

Ehdotuksen 2 artiklassa vahvistettaisiin asetuksen voimaantulopäivä. Asetus tulisi voimaan kahdentenakymmenentenä päivänä asetuksen julkaisemisesta Euroopan unionin virallisessa lehdessä. 

4  Ehdotuksen oikeusperusta sekä suhde suhteellisuus- ja toissijaisuusperiaatteisiin

Komissio ehdottaa asetusehdotuksen oikeusperustaksi Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artiklan 2 kohtaa. SEUT-sopimuksen 16 artiklan 2 kohdan perusteella voidaan hyväksyä sääntöjä, jotka koskevat yksilöiden suojelua jäsenvaltioiden toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä, kun ne toteuttavat toimia rikosten ennalta estämistä, tutkimista, paljastamista, rikoksiin liittyviä syytetoimia tai unionin oikeuden soveltamisalaan kuuluvien rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Sen perusteella voidaan hyväksyä myös henkilötietojen vapaata liikkuvuutta koskevia sääntöjä, jotka koskevat esimerkiksi toimivaltaisten viranomaisten suorittamaa henkilötietojen vaihtoa EU:ssa.  

Valtioneuvoston näkemyksen mukaan ehdotettu oikeusperusta on asianmukainen. Ehdotus käsitellään tavallisessa lainsäätämisjärjestyksessä ja hyväksymisestä päätetään neuvostossa määräenemmistöllä. 

Komissio katsoo, että ehdotus rajoittuu siihen, mikä on tarpeen neuvoston tullitietojärjestelmäpäätöksen mukauttamiseksi henkilötietojen suojaa koskevaan unionin lainsäädäntöön (rikosasioiden tietoturvadirektiiviin) muuttamatta tullitietojärjestelmäpäätöksen soveltamisalaa millään tavoin. Komissio katsoo myös, ettei tässä direktiivissä Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdan mukaisesti ylitetä sitä, mikä on tarpeen aiottujen tavoitteiden saavuttamiseksi. 

Komission mukaan asetuksen kohde kuuluu unionin yksinomaiseen toimivaltaan, koska ainoastaan unioni voi hyväksyä sääntöjä, jotka koskevat toimivaltaisten viranomaisten lainvalvontatarkoituksia varten suorittamaa henkilötietojen käsittelyä. Ainoastaan unioni voi mukauttaa EU:n säädöksiä vastaamaan rikosasioiden tietoturvadirektiivissä vahvistettuja sääntöjä. Näin ollen ainoastaan unioni voi antaa säädöksen, jolla muutetaan neuvoston tullitietojärjestelmäpäätöstä.  

Valtioneuvosto pitää ehdotusta suhteellisuusperiaatteen mukaisena. Toissijaisuusperiaate ei tule sovellettavaksi unionin yksinomaiseen toimivaltaan kuuluvissa asioissa. 

5  Ehdotuksen suhde perustuslakiin ja perus- ja ihmisoikeusvelvoitteisiin

Komission ehdotukset ovat merkityksellisiä perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3―4).  

Oikeus henkilötietojen suojaan on vahvistettu Euroopan unionin perusoikeuskirjan 8 artiklassa ja SEUT-sopimuksen 16 artiklassa. Tietosuoja liittyy läheisesti myös yksityis- ja perhe-elämän kunnioittamiseen, josta määrätään perusoikeuskirjan 7 artiklassa. Euroopan ihmisoikeussopimuksen 8 artiklan 2 kohdan mukaan viranomaiset eivät saa puuttua yksityiselämään, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä esimerkiksi kansallisen ja yleisen turvallisuuden vuoksi tai rikollisuuden estämiseksi tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.  

Perustuslakivaliokunta on painottanut, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp, s. 2/II). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on katsonut, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 14/2018 vp, s. 8, PeVL 26/2018 vp, s. 4, PeVL 54/2014 vp, s. 2/II ja PeVL 10/2014 vp, s. 4/II).  

Perustuslakivaliokunta on katsonut, että mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). Valiokunta on viitannut arkaluonteisten tietojen muodostaman riskin lisäksi nimenomaisesti siihen, että valiokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslakivaliokunnan mielestä perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. (PeVL 26/2018 vp, s. 3)  

Rikosasioihin liittyvien henkilötietojen käsittely kohdistuu valtiosääntöisesti arkaluonteisiin tietoihin, minkä lisäksi sääntelykonteksti on perusoikeusherkkä. Rikosasioihin liittyvän henkilötietojen käsittelyn luonne on huomioitu rikosasioiden tietosuojadirektiivissä. Ehdotuksen tarkoituksena on varmistaa, että kaikkeen tullitietojärjestelmäpäätöksen mukaiseen tietojen vaihtoon ja -käsittelyyn sovelletaan EU:n tietosuojalainsäädännön horisontaalisia periaatteita ja sääntöjä, mikä edistää perusoikeuskirjan 8 artiklan täytäntöönpanoa. Se, että yhdenmukaisia tietosuojalainsäädännön periaatteita ja sääntöjä sovelletaan myös muutettavan tullitietojärjestelmäpäätöksen mukaiseen tietojenkäsittelyyn, vaikuttaa myönteisesti myös perustuslain ja kansainvälisten ihmisoikeusvelvoitteiden mukaiseen yksityiselämän ja henkilötietojen suojaan. 

6  Ehdotuksen vaikutukset

7  Ahvenanmaan toimivalta

Asia kuuluu Ahvenanmaan itsehallintolain (1144/1991) 27 §:n 3 kohdan perusteella valtakunnan lainsäädäntövaltaan. 

8  Ehdotuksen käsittely Euroopan unionin toimielimissä ja muiden jäsenvaltioiden kannat

Ehdotuksen käsittely alkoi neuvoston lainvalvontatyöryhmän tullikokoonpanossa 12.6.2023, jolloin komissio esitteli ehdotustaan työryhmälle ensimmäisen kerran ja asiasta käytiin alustava keskustelu. Asian varsinainen käsittely tulee jatkumaan vuoden toisen puoliskon aikana neuvoston seuraavan puheenjohtajavaltion Espanjan johdolla. Työryhmäkäsittely ja sen hyväksyntä ehdotukselle saataneen valmiiksi Espanjan puheenjohtajuuskaudella.  

Euroopan parlamentissa ehdotuksen käsittelystä vastaa Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunta (LIBE). Mietinnön esittelijää ei ole vielä nimetty. 

9  Ehdotuksen kansallinen käsittely

Luonnos U-kirjelmäksi on laadittu yhteistyössä oikeusministeriön kanssa ja sen on käsitelty EU 7-oikeus- ja sisäasiat valmistelujaoston kirjallisessa menettelyssä 21.–26.6.2023. 

10  Valtioneuvoston kanta

Valtioneuvosto suhtautuu myönteisesti komission asetusehdotukseen. On tärkeää, että kaikki henkilötietojen käsittelysäännöksiä sisältävät eri EU:n lainsäädäntöinstrumentit saatetaan yhdenmukaiseksi EU:n henkilötietojen suojaa koskevan lainsäädännön kanssa, sillä näin varmistetaan henkilötietojen suojan korkea taso EU:ssa.  

Valtioneuvosto kannattaa asetusehdotuksen tavoitetta selkeyttää sovellettavaa lainsäädäntöä siten, että neuvoston tullitietojärjestelmäpäätöksen mukaiseen tullihallintojen henkilötietojen käsittelyyn sovelletaan EU:n henkilötietojen suojaa koskevan yleislainsäädännön sisältämiä yleisiä periaatteita ja sääntöjä niiden kanssa päällekkäisten erityissäännösten sijasta. Samalla varmistetaan osaltaan henkilötietojen suojan yhdenmukainen ja korkea taso tullihallintojen lainvalvontaan ja rikostorjuntaan liittyvässä yhteistyössä ja tiedonvaihdossa. Tämä on omiaan yhdenmukaistamaan EU:n ja sen jäsenvaltioiden tullihallintojen henkilötietojen käsittelytoimia ja rikosasioiden tietosuojadirektiivin soveltamista. 

Valtioneuvosto pitää asetusehdotuksessa esitettyjä yksittäisiä muutoksia neuvoston tullitietojärjestelmäpäätökseen tarpeellisina ja hyvin perusteltuina päätöksen saattamiseksi yhdenmukaiseksi rikosasioiden tietosuojadirektiivin säännösten kanssa.