Sisällysluettelo

Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa ja eräiksi siihen liittyviksi laeiksi HE 18/2019

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Laki korvaisi ulkomaalaisrekisteristä annetun lain, joka ehdotetaan kumottavaksi. Ehdotettavaan lakiin keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuton hallinnonalan muista laeista. Esitykseen liittyvät ehdotukset laeiksi kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain, säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain, kotoutumisen edistämisestä annetun lain, kansalaisuuslain, ulkomaalaislain, Maahanmuuttovirastosta annetun lain, viranomaisten toiminnan julkisuudesta annetun lain, turvallisuusselvityslain ja Harmaan talouden selvitysyksiköstä annetun lain muuttamisesta. Lisäksi esitykseen liittyvät teknisiä muutoksia sisältävät ehdotukset laeiksi henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain, henkilökorttilain, lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetun lain, henkilötietojen käsittelystä Puolustusvoimissa annetun lain, verotusmenettelystä annetun lain, väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain ja valtakunnallisista opinto- ja tutkintorekistereistä annetun lain muuttamisesta.

Tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, joka täydentää Euroopan unionin tietosuoja-asetusta, tietosuojalakia ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia.

Viranomaisten toiminnan julkisuudesta annettua lakia muutettaisiin siten, että siihen keskitettäisiin maahanmuuttohallinnon asiakirjojen salassapitoa koskeva sääntely.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan mahdollisimman pian. Laki Harmaan talouden selvitysyksiköstä annetun lain muuttamisesta on tarkoitettu tulemaan voimaan 1 päivänä kesäkuuta 2020.

YLEISPERUSTELUT

1 Johdanto

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Lakiin keskitettäisiin maahanmuuttohallinnon henkilötietojen käsittelyä koskevat säännökset maahanmuuttohallinnon laeista. Tavoitteena on, että henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin yhdessä, nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, jolla varmistetaan henkilötietojen käsittelyn yhdenmukaisuus kaikissa niissä tilanteissa, joissa henkilötietoja maahanmuuttohallinnossa käsitellään. Tavoitteena on varmistaa, että perustuslain 10 §:n 1 momentin mukainen yksityiselämän suoja sekä vaatimus säätää henkilötietojen suojasta lailla täyttyvät asianmukaisesti maahanmuuttohallinnossa. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön.

Laki korvaisi ulkomaalaisrekisteristä annetun lain (1270/1997), jäljempänä ulkomaalaisrekisterilaki. Ehdotettavaan lakiin keskitettäisiin rekisterisäännökset myös maahanmuuton hallinnonalan muusta lainsäädännöstä eli laista kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta (746/2011), jäljempänä vastaanottolaki ja laista säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä (116/2002), jäljempänä säilölaki. Tämän lisäksi ehdotettavaan lakiin sisällytettäisiin työ- ja elinkeinoministeriön hallinnonalalle kuuluvassa laissa kotoutumisen edistämisestä (1386/2010), jäljempänä kotoutumislaki, olevat rekisterisäännökset. Rekisterilähtöinen sääntelytapa korvattaisiin säätämällä henkilötietojen käsittelystä. Esitykseen liittyvät myös ehdotukset laeiksi kansalaisuuslain (359/2003), ulkomaalaislain (301/2004), Maahanmuuttovirastosta annetun lain (156/1995), viranomaisten toiminnan julkisuudesta annetun lain (621/1999), jäljempänä julkisuuslaki, turvallisuusselvityslain (726/2014) ja Harmaan talouden selvitysyksiköstä annetun lain muuttamisesta (1207/2010). Lisäksi esitykseen liittyvät pääosin lakiviittauksia tai käsitteitä koskevia teknisiä muutoksia sisältävät ehdotukset laeiksi henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1069/2015), henkilökorttilain (663/2016), lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetun lain (657/2019), henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019), verotusmenettelystä annetun lain (1558/1995), väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) ja valtakunnallisista opinto- ja tutkintorekistereistä annetun lain (884/2017) muuttamisesta.

Esitys liittyy Suomen tietosuojalainsäädännön kokonaisuudistukseen. Uudistuksen taustalla on Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, jäljempänä tietosuoja-asetus, sekä Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, jäljempänä rikosasioiden tietosuojadirektiivi. Tietosuoja-asetuksen soveltaminen alkoi 25.5.2018. Kansallisesti tietosuoja-asetusta täsmentää ja täydentää 1.1.2019 voimaan tullut tietosuojalaki (1050/2018). Tietosuojalaki korvasi Suomessa vuodesta 1999 sovelletun lain henkilötietojen käsittelystä (523/1999), jäljempänä henkilötietolaki. Rikosasioiden tietosuojadirektiivi on täytäntöönpantu lailla henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä, jäljempänärikosasioiden tietosuojalaki (1054/2018). Tietosuoja-asetusta ja sitä täydentävää lainsäädäntöä sovelletaan silloin, kun kyse on henkilötietojen käsittelystä muussa tarkoituksessa kuin rikosasioiden tietosuojadirektiivin ja sitä toimeenpanevan rikosasioiden tietosuojalain soveltamisalalla.

Maahanmuuttohallinnossa sovellettavaksi tulevat pääsääntöisesti tietosuoja-asetus ja tietosuojalaki. Laki henkilötietojen käsittelystä maahanmuuttohallinnossa täydentäisi ja täsmentäisi tietosuoja-asetusta ja tietosuojalakia siltä osin kuin se on jäsenvaltioiden lainsäätäjälle jätetyn kansallisen liikkumavaran puitteissa sallittua ja maahanmuuttohallinnon tarpeet huomioiden välttämätöntä henkilötietojen suojan toteuttamiseksi. Tietosuoja-asetusta, tietosuojalakia sekä sitä täydentävää erityislainsäädäntöä olisi tulkittava yhtenä kokonaisuutena. Rikosasioiden tietosuojalakia sovellettaisiin maahanmuuttohallinnossa silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa.

Sekä maahanmuuttohallinnon toimintaympäristössä että henkilötietojen suojaa koskevassa sääntelytavassa on tapahtunut merkittäviä muutoksia, joiden johdosta ulkomaalaisrekisterilaki on osin vanhentunut eikä kaikilta osin vastaa enää tarkoitustaan. Tiettyihin maahanmuuttohallinnon lakeihin sijoitettu erillinen rekisterisääntely tekee kokonaisuudesta pirstaleisen. Henkilötietojen käsittelyn merkitys on kasvanut palveluiden ja tietojen sähköistämisen myötä. Siirtyminen digitaaliseen aikakauteen asettaa vaatimuksia myös henkilötietojen käsittelylle tilanteessa, jossa palvelutuotannossa on siirrytty asiakirjakeskeisestä tiedonhallinnasta asiakeskeiseen tiedonhallintatapaan. Keskiössä ei enää ole säätäminen rekistereistä, tietojärjestelmistä tai asiakirjoista, vaan siitä, millä perusteella ja miten henkilötietoja käsitellään niin, että tarvittava tieto on käytettävissä yksityisyyden suojaa kunnioittaen ja sen toteutuminen varmistaen. Sääntelyä ei arvioida yksinomaan perusoikeuksien, kuten henkilötietojen ja yksityiselämän suojan näkökulmasta, sillä viranomaisten sujuvan tiedonvaihdon yhteensovittaminen perusoikeuksien kanssa on keskeinen osa hyvän hallinnon toteuttamista, viranomaisten toimivaa yhteistyötä sekä norminpurkua. Tiedon jakaminen mahdollistaa uuden tiedon luomisen ja jalostamisen, mikä lisää sen arvoa. Tiedon hyödyntäminen edellyttää laadukasta tiedonhallintaa, joka perustuu nykyaikaiseen lainsäädäntöön.

2 Nykytila

2.1 Lainsäädäntö ja käytäntö

2.1.1 Henkilötietojen käsittely

Perustuslaki

Perustuslain 2 §:n mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslain 10 §:ssä säädetään yksityiselämän suojasta. Pykälän 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään tarkemmin lailla. Yksityiselämän suojasta on perinteisesti johdettu valtiolle velvollisuus paitsi pidättyä loukkaamasta kansalaisten yksityiselämää myös aktiivisesti toimia yksityiselämän loukkauksia vastaan. Yksityiselämän suojan lähtökohtana on yksilön oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä.

Perustuslain lakiviittauksilla on paitsi pidätetty niissä tarkoitetut asiat lain alaan, myös viitattu siihen, että tällaista asiaa koskevan sääntelyn yksityiskohtainen sisältö määräytyy perustuslain ja tavallisen lain muodostaman kokonaisuuden pohjalta. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata nämä oikeudet tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Perustuslakivaliokunta on vakiintuneessa käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Henkilötietojen käsittelyä koskevan laintasoisen sääntelyn tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista (PeVL 14/2018 vp s. 2, PeVL 25/1998 vp s. 2). Perustuslakivaliokunta on myös aiemmin vakiintuneesti katsonut, että henkilötietojen suojaa koskeviin laintasoisiin sääntelykohteisiin kuuluu teknisestä käyttöyhteydestä säätäminen (PeVL 12/2002 vp s. 5). Perustuslakivaliokunnan lausuntokäytännön mukaan nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin.

Perustuslakivaliokunta on kuitenkin hiljattain tarkistanut käytäntöään henkilötietojen suojaa koskevasta sääntelystä (PeVL 14/2018 vp). Perustuslakivaliokunta on uudemmassa käytännössään katsonut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Perustuslakivaliokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Kansallinen erityislainsäädäntö tulisi varata vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. (PeVL 14/2018 vp s. 3—4, PeVL 2/2018 vp, s. 4—8).

Yleislainsäädäntö

Samalla perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Erityisesti perustuslakivaliokunta katsoo tällä seikalla olevan merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn laintasoisuutta koskevan käytännön pohjalta. Siinä arkaluonteisten tietojen käsittely on rajattu täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 14/2018 vp).

Henkilötietojen käsittelyyn maahanmuuttohallinnossa sovelletaan yleislakina tietosuojalakia, joka täsmentää ja täydentää tietosuoja-asetusta. Tietosuojalain 1 luku sisältää yleiset säännökset lain soveltamisalaan liittyen, jonka mukaan lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti lisäksi tietyin poikkeuksin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan, jollei laissa toisin säädetä. Tietosuojalain 2 luvussa säädetään käsittelyn oikeusperusteesta eräissä tapauksissa, kuten käsittelyn lainmukaisuudesta ja erityisiä henkilötietoryhmiä koskevasta käsittelystä. Tietosuojalain 3 luku sisältää säännökset valvontaviranomaisesta eli tietosuojavaltuutetusta ja tämän tehtävistä ja toimivaltuuksista sekä asiantuntijalautakunnasta. Tietosuojalain 4 luvussa säädetään oikeusturvasta ja seuraamuksista, kuten oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, uhkasakosta ja hallinnollisesta seuraamusmaksusta. Tietosuojalain 5 luku sisältää tietojenkäsittelyn erityistilanteet, kuten henkilötietojen käsittelyn journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten, henkilötunnuksen käsittelyn sekä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet. Tietosuojalain 6 luku sisältää erinäisiä säännöksiä sekä voimaantulo- ja siirtymäsäännökset.

Tietosuoja-asetusta sovelletaan silloin, kun kyse on henkilötietojen käsittelystä muulla kuin rikosasioiden tietosuojadirektiivin täytäntöönpanevan rikosasioiden tietosuojalain soveltamisalalla. Tässä esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain osalta rikosasioiden tietosuojalaki tulisi sovellettavaksi silloin, kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa. Rikosasioiden tietosuojalain 1 luku sisältää yleiset säännökset, 2 luku henkilötietojen käsittelyä koskevat periaatteet, 3 luku rekisterinpitäjää ja henkilötietojen käsittelijää koskevat säännökset, 4 luku rekisteröidyn oikeuksia koskevat säännökset, 5 luku tietoturvallisuutta koskevat säännökset, 6 luku tietosuojavastaavaa koskevat säännökset, 7 luku henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille koskevat säännökset, 8 luku valvontaviranomaista koskeva säännökset, 9 luku oikeusturvaa koskevat säännökset, 10 luku erinäiset säännökset sekä 11 luku voimaantulo- ja siirtymäsäännökset.

Rikosasioiden tietosuojalain esitöiden mukaan lakia soveltaisivat viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai niiden täytäntöönpanon. Tällaisia viranomaisia olisivat muun muassa poliisi, Rajavartiolaitos, Tulli, syyttäjät, tuomioistuimet ja Rikosseuraamuslaitos. Nämä viranomaiset soveltaisivat ehdotettua lakia kuitenkin vain, kun ne käsittelisivät henkilötietoja edellä mainitussa tarkoituksessa, eli esimerkiksi rikoksen selvittämisen yhteydessä tai käsiteltäessä rikosasiaa tuomioistuimessa. Lakia sovellettaisiin lisäksi toimivaltaisten viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Toimivaltaisia viranomaisia ovat tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin ehdotetun lain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta. Maahanmuuttovirastoa ei hallituksen esityksessä ole luokiteltu kansallista turvallisuutta suojaavaksi viranomaiseksi, joten tässä esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä kansallisen turvallisuuden tarkoituksessa tapahtuva henkilötietojen käsittely, johon sovelletaan rikosasioiden tietosuojalakia, koskisi poliisia ja Rajavartiolaitosta.

Yleislainsäädännön rinnalla on voimassa runsaasti henkilötietojen käsittelyä sääntelevää erityislainsäädäntöä.

Toimivaltaa luova lainsäädäntö

Maahanmuuttohallinnossa toimivien viranomaisten toimivalta perustuu useisiin lakeihin. Ulkomaalaisen maahantuloon, maastalähtöön sekä oleskeluun ja työntekoon Suomessa sovelletaan ulkomaalaislakia (301/2004) ja sen nojalla annettuja säännöksiä. Kansalaisuuslaissa (359/2003) säädetään niistä edellytyksistä, joiden nojalla henkilö saa, säilyttää tai menettää Suomen kansalaisuuden sekä menettelystä tällaista asiaa käsiteltäessä. Laki kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten (907/2017), jäljempänä kausityölaki, sisältää säännökset kolmansien maiden kansalaisten maahantulon edellytyksistä kausityöntekoa varten, kausityöntekijöille myönnettävistä luvista ja kausityöntekijöiden oikeuksista maassaolon aikana. Laki kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä (908/2017), jäljempänä ICT-laki, sisältää säännökset kolmannesta maasta Euroopan unionin alueelle lähetettävien työntekijöiden maahantulon ehdoista, sisäisille siirtyjille myönnettävistä luvista ja oikeuksista maassaolon aikana. Laki kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistyön perusteella (719/2018), jäljempänä tutkija- ja opiskelijalaki, sisältää säännökset kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistyöskentelyn perusteella. Ulkomaalaisrekisterilaki sisältää edellä mainituista laeista johdettavien toimivaltuuksien ja tehtävien toteuttamiseksi ylläpidettäviä henkilörekistereitä koskevan sääntelyn.

Vastaanottolakia sovelletaan kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanottoon sekä ihmiskaupan uhrin auttamiseen. Säilölaki sisältää säännökset siitä, miten järjestetään ulkomaalaislain 121 ja 122 §:n nojalla säilöön otettujen ulkomaalaisten kohtelu erityisesti tähän tarkoitukseen varatussa säilöönottoyksikössä. Työ- ja elinkeinoministeriön hallinnonalalle kuuluvan kotoutumislain tarkoituksena on tukea ja edistää kotoutumista ja maahanmuuttajan mahdollisuutta osallistua aktiivisesti suomalaisen yhteiskunnan toimintaan. Laki sisältää kuntaan osoittamista koskevat rekisterisäännökset. Henkilötietojen käsittely kuntaan osoittamisen tarkoituksessa tullaan keskittämään Maahanmuuttoviraston ylläpitämään tietojärjestelmään. Edellä mainittujen lakien soveltamisalalla ylläpidettävistä henkilörekistereistä säädetään kyseisissä laeissa omina rekisterilukuinaan. Rekisterisääntelyä ei tältä osin ole keskitetty.

Maahanmuuttohallinnossa toimii lukuisia viranomaisia. Tämä on maahanmuuttohallinnon erityispiirre. Keskeisiä toimijoita maahanmuuttohallinnon alalla ovat muun muassa Maahanmuuttovirasto, poliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset (ELY-keskukset) sekä työ- ja elinkeinotoimistot (TE-toimistot). On huomioitava, että monet maahanmuuttohallinnon alalla toimivista viranomaisista, esimerkiksi poliisi, Rajavartiolaitos ja TE-toimistot, toimivat maahanmuuttoviranomaisen roolin lisäksi myös omissa niin sanotuissa ydintehtävissään eli poliisi-, rajavartio- tai työvoimaviranomaisen roolissa. Tällöin näiden viranomaisten tehtävät ja toimivalta perustuvat poliisilakiin (872/2011), rajavartiolakiin (578/2005) tai julkisesta työvoima- ja yrityspalvelusta annettuun lakiin (916/2012). Nämä viranomaiset käsittelevät toiminnassaan henkilötietoja pääsääntöisesti henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019), jäljempänä poliisin henkilötietolaki, henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain (639/2019), jäljempänä Rajavartiolaitoksen henkilötietolaki, ja julkisesta työvoima- ja yrityspalvelusta annetun lain 13 luvun säännösten nojalla.

Rekisterisääntely

Henkilötietojen keräämisestä ja tallettamisesta ulkomaalaisrekisteriin sekä siihen talletettujen tietojen käyttämisestä ja luovuttamisesta säädetään ulkomaalaisrekisterilaissa. Ulkomaalaisrekisterilaki sisältää lisäksi säännökset lain soveltamisalan mukaisten tehtävien hoitamista varten saatujen tietojen ja asiakirjojen salassapidosta. Ulkomaalaisrekisterilaki on erityislaki suhteessa tietosuojalakiin ja julkisuuslakiin. Ulkomaalaisrekisterilaki sisältää seitsemäntoista pykälää.

Ulkomaalaisrekisterilain 1 luku sisältää yleiset säännökset. Lain 1 §:ssä säädetään lain soveltamisalasta. Pykälän mukaan ulkomaalaisrekisterilaissa säädetään henkilötietojen keräämisestä ja tallettamisesta ulkomaalaisrekisteriin sekä siihen talletettujen tietojen käyttämisestä ja luovuttamisesta. Pykälä sisältää viittauksen henkilötietojen suojaa koskevaan yleislakiin sekä Suomea sitoviin kansainvälisiin sopimuksiin. Ulkomaalaisrekisterilain 2 §:ssä säädetään rekisterin pidosta ja käyttötarkoituksesta. Pykälän mukaan ulkomaalaisrekisteri on automaattisen tietojenkäsittelyn avulla pidettävä henkilörekisteri. Ulkomaalaisrekisteriä pidetään ja käytetään ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten, valtion turvallisuuden suojaamiseksi sekä turvallisuusselvityslaissa (726/2014) tarkoitetun turvallisuusselvityksen tekemiseksi. Ulkomaalaisrekisteriä pidetään lisäksi Suomen kansalaisuuden saamista, säilyttämistä ja menettämistä sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyä ja päätöksentekoa varten. Ulkomaalaisrekisterin tietoja voidaan käyttää tilastojen kokoamiseen kansallisten ja kansainvälisten tarpeiden mukaan ottaen huomioon, mitä henkilötietolaissa säädetään henkilötietojen käsittelystä.

Ulkomaalaisrekisterilain 3 §:ssä säädetään rekisterinpitäjistä. Pykälän mukaan Maahanmuuttovirasto ja ulkoasiainministeriö ovat ulkomaalaisrekisterin päävastuullisia rekisterinpitäjiä. Päävastuullinen rekisterinpitäjyys on jaoteltu osapuolten välillä ulkomaalaisrekisterin kahdeksan osarekisterin perusteella niin, että ulkoasiainministeriö on vastuussa viisumiasioiden sekä maahantuloedellytysten osarekisteristä ja Maahanmuuttovirasto vastaa muista osarekistereistä. Lisäksi ulkomaalaisrekisteriä pitävät ja käyttävät myös poliisi, Rajavartiolaitos, Tulli, elinkeino-, liikenne- ja ympäristökeskukset, työ- ja elinkeinotoimistot, työsuojeluviranomaiset, vankeinhoitoviranomaiset, yhdenvertaisuusvaltuutettu sekä korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Rekisteriä pitävien ja käyttävien viranomaisten palveluksessa olevat ovat oikeutettuja näkemään ja käsittelemään teknisen käyttöyhteyden avulla ulkomaalaisrekisteriin talletettuja tietoja ainoastaan rekisterin käyttötarkoitukseen liittyvien toimivaltuuksiensa rajoissa.

Ulkomaalaisrekisterilain 3 a §:ssä säädetään muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietojen käytöstä. Muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisteriin talletetaan muukalaispassi- ja matkustusasiakirjahakemusta varten otetut sormenjäljet. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, Rajavartiolaitos ja Tulli, silloin kun se hoitaa rajatarkastusviranomaisen tehtäviä sekä ulkoasiainministeriö ja Suomen edustusto. Sormenjälkiä saa käyttää vain henkilöllisyyden varmistamiseksi ja muukalaispassin tai pakolaisen matkustusasiakirjan valmistamiseksi. Poliisilla on lisäksi oikeus käyttää hakemusasioiden osarekisteriin talletettuja sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain 15 §:n 2 momenttia.

Ulkomaalaisrekisterilain 3 b §:ssä säädetään hakemusasioiden osarekisterin sormenjälkitietojen käytöstä ja vertaamisesta. Hakemusasioiden osarekisteriin talletetaan oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetut sormenjäljet. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, rajatarkastusviranomainen sekä Suomen edustusto. Rekisteriin talletettavia sormenjälkiä saa käyttää ainoastaan lain 2 §:n 2 momentissa säädettyyn tarkoitukseen liittyvien toimivaltuuksien rajoissa oleskelulupakortin aitouden toteamiseksi ja oleskeluluvan haltijan henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten sekä valtion turvallisuuden suojaamiseksi. Tietojen käyttöön oikeutetulla viranomaisella on oikeus verrata tietoja hakemusasioiden osarekisteriin jo talletettuihin sormenjälkiin sekä muukalaispassien ja pakolaisen matkustusasiakirjojen osarekisterin sormenjälkitietoihin ja poliisin rekisteriin ulkomaalaislain (301/2004) 131 §:n perusteella talletettuihin sormenjälkiin. Lisäksi tietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 6 §:ssä tarkoitettuihin pakkokeinolain (806/2011) mukaisiin henkilötuntomerkkeihin kuuluviin sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta. Poliisilla on lisäksi oikeus käyttää hakemusasioiden osarekisteriin talletettuja sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain 15 §:n 2 momenttia.

Ulkomaalaisrekisterilain 4 §:n mukaan rekisterinpitäjä, joka tallettaa ulkomaalaisrekisteriin tietoja, vastaa rekisteriin itse tallettamiensa tietojen virheettömyydestä sekä tallettamisen ja käytön laillisuudesta omien tehtäviensä hoidossa.

Ulkomaalaisrekisterilain 4 a §:n mukaan rekisteröidyn oikeuksista poliisin pitämiin ulkomaalaisrekisterin tietoihin on voimassa, mitä henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003) säädetään.

Ulkomaalaisrekisterilain 4 b §:ssä säädetään henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tallettamisen ja muun käsittelyn tietoturvasta.

Ulkomaalaisrekisterilain 2 luku sisältää ulkomaalaisrekisterin tietosisältöä ja tietolähteitä koskevat säännökset. Lain 5 §:ssä säädetään ulkomaalaisrekisteriin kerättävien ja talletettavien tietojen henkilöllisestä ulottuvuudesta. Viisumia, oleskelulupaa, kansainvälistä suojelua, muukalaispassia tai pakolaisen matkustusasiakirjaa hakevien lisäksi tietoja saa tallettaa kansalaisuuteen liittyvistä asioista, kielitutkinnon suorittaneista, oleskeluoikeuden rekisteröivistä henkilöistä, joille on myönnetty ulkomaalaislain 52 b §:n mukainen harkinta-aika, luonnollisista ja oikeushenkilöistä, jotka ottavat palvelukseensa ulkomaalaisen työntekijän sekä henkilöistä, jotka ovat hakeneet Suomen kansalaisuutta tai Suomen kansalaisuuden säilyttämistä taikka vapautumista Suomen kansalaisuudesta tai tehneet ilmoituksen Suomen kansalaisuuden saamiseksi, menettäneet Suomen kansalaisuuden tai joiden kansalaisuusasema on määritetty taikka pyritty määrittämään. Lisäksi tietoja saa tallettaa edellä tarkoitettujen henkilöiden perheenjäsenistä, hänen kanssaan samassa taloudessa asuvista henkilöistä ja Suomessa olevista vastaanottajista silloin, kun se asian ratkaisemisen kannalta on tarpeen.

Arkaluonteisten henkilötietojen tallettamisesta on säädetty ulkomaalaisrekisterilain 6 §:ssä. Pykälä koskee käytännössä niin sanottuja rikostietoja ja henkilöllinen ulottuvuus on 5 §:ää tarkemmin rajattu. Rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot olivat tietosuojalailla kumotun henkilötietolain 11 §:n mukaan arkaluonteisia henkilötietoja. Ulkomaalaisrekisterilain 6 §:n 2 momentin mukaan muita henkilötietojen suojaa koskevassa lainsäädännössä tarkoitettuja arkaluonteisia henkilötietoja saa tallettaa vain, jos rekisteröity on antanut siihen suostumuksensa tai jos tiedon tallettaminen on asian käsittelyn kannalta välttämätöntä.

Ulkomaalaisrekisterilain 7 §:ssä on yksilöity rekisteriin talletettavat tiedot. Pykälässä luetellaan kaikki ne tiedot, joita 5 §:ssä ja 6 §:ssä tarkoitetuista henkilöistä saa tallettaa ulkomaalaisrekisteriin siltä osin kuin se on tarpeen. Tiedot on käytännössä jaoteltu koskemaan henkilön tunnistetietoja ja asiakkuutta, käsiteltävää asiaa sekä asiaan liittyviä toimenpiteitä sekä perheenjäsenten ja samassa taloudessa asuvien henkilöiden ja vastaanottajien henkilö- ja yhteystietoja.

Ulkomaalaisrekisterilain 8 §:ssä säädetään ulkopuolisista tietolähteistä. Pykälän mukaan rekisterinpitäjällä on oikeus salassapitosäännösten estämättä saada ulkomaalaisrekisteriä varten sille laissa säädettyjen tehtävien suorittamiseksi välttämättömiä tietoja kyseisessä pykälässä yksilöidyissä tilanteissa. Tietojensaantioikeudet on käytännössä yksilöity tiettyihin nimettyihin viranomais- ja muihin tahoihin ja koskemaan tiettyjä yksilöityjä tietoja. Tietoja voidaan luovuttaa siten kuin rekisterinpitäjän kanssa sovitaan, myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla.

Ulkomaalaisrekisterilain 9 §:ssä säädetään tietojen säilyttämisajoista ja poistamisesta rekisteristä. Henkilön tiedot poistetaan ulkomaalaisrekisteristä kokonaan vuoden kuluttua siitä, kun hän on saanut Suomen kansalaisuuden tai kuollut. Asian tiedot poistetaan tietyin poikkeuksin viiden vuoden kuluttua viimeisestä tiedon merkitsemisestä, jos viisumin, oleskeluluvan, oleskeluoikeuden tai asiakirjan voimassaolo on päättynyt. Poistetut tiedot arkistoidaan. Virheelliseksi todetun tiedon saa tietyin edellytyksin säilyttää viiden vuoden ajan sen tallettamisesta.

Ulkomaalaisrekisterilain 3 luvussa säädetään tietojen luovutuksesta ja salassapidosta. Lain 10 § sisältää säännökset ulkomaalaisrekisteriin talletettujen tietojen säännönmukaisesta luovuttamisesta muille viranomaisille ja muille tahoille salassapitosäännösten estämättä ja siinä määrin kuin se on vastaanottavan viranomaisen lakisääteisten tehtävien suorittamiseksi välttämätöntä pykälässä tarkemmin yksilöidyissä tilanteissa. Tietoja voidaan luovuttaa myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla. Luovuttaminen ei kuitenkaan koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Rekisterinpitäjillä on hallituksen esityksen (HE 206/1997 vp) mukaan oikeus käyttää rekisteriin talletettuja tietoja lakiehdotuksessa yksilöityjä asioita hoitaessaan eikä erillistä luovutussääntöä rekisterinpitäjien välillä tapahtuvalle tiedonluovutukselle ole säädetty.

Ulkomaalaisrekisterilain 11 §:n mukaan käyttötarkoituksenmukaisten tehtävien hoitamista varten saadut tiedot ja asiakirjat on pidettävä salassa, jos niin lailla säädetään tai lain nojalla määrätään taikka jos ei ole ilmeistä, että tiedon antaminen ei aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai muulle asianosaiselle tai hänen läheiselleen. Sellaisten asiakirjojen salassapidosta, jotka koskevat pakolaista tai turvapaikan, oleskeluluvan tai viisumin hakijaa, säädetään tietyin edellytyksin julkisuuslain 24 §:n 1 momentin 24 kohdassa.

Vastaanottolain 6 luvussa säädetään vastaanoton asiakasrekisteristä ja edustajarekisteristä. Vastaanoton asiakasrekisteri on automaattisen tietojenkäsittelyn avulla kansainvälistä suojelua hakevista, tilapäistä suojelua saavista ja ihmiskaupan uhreista pidettävä henkilörekisteri. Tosiasiassa osa käsittelystä tapahtuu automaattisen tietojenkäsittelyn avulla ja osa manuaalisesti. Vastaanoton asiakasrekisteriin kuuluvat valtakunnallinen osarekisteri ja vastaanotto- ja järjestelykeskusten osarekisterit. Valtakunnallista osarekisteriä pidetään vastaanoton sekä ihmiskaupan uhrien auttamisen ohjausta, suunnittelua ja seurantaa varten. Vastaanotto- ja järjestelykeskusten osarekistereitä pidetään vastaanottopalveluiden sekä ihmiskaupan uhreille tarkoitettujen auttamistoimien suunnittelua, järjestämistä, toteuttamista ja seurantaa varten. Maahanmuuttovirasto vastaa valtakunnallisten osarekisterien ylläpidosta ja vastaanotto- tai järjestelykeskus vastaa oman osarekisterinsä ylläpidosta. Rekisteriin saa henkilön tunnistetietojen lisäksi tallettaa tietoja, jotka koskevat esimerkiksi rekisteröidyn majoittumista, vastaanotto- tai käyttörahaa tai terveydentilaa tai tietoja, jotka ovat tarpeellisia vastaanottopalvelujen tai auttamistoimien suunnittelun, järjestämisen, toteuttamisen ja seurannan kannalta.

Edustajarekisteri on vastaanottolain 45 §:n 2 momentissa määritelty automaattisen tietojenkäsittelyn avulla pidettäväksi henkilörekisteriksi, joka sisältää tietoja ilman huoltajaa oleville lapsille 39 §:n mukaan määrätyistä edustajista. Edustajarekisteriin kuuluvat valtakunnallinen osarekisteri ja vastaanotto- ja järjestelykeskusten osarekisterit. Valtakunnallista osarekisteriä pidetään ilman huoltajaa olevien lasten edustajatoiminnan ohjausta, suunnittelua ja seurantaa varten. On huomioitava, että tätä toimivaltaa ei kuitenkaan ole kuvattu erikseen vastaanottolain säännöksissä, joissa viranomaisen toimivalta kuvataan. Vastaanotto- ja järjestelykeskusten osarekisteriä pidetään ilman huoltajaa olevien lasten edustajatoiminnan käytännön hallinnointia varten. Maahanmuuttovirasto vastaa valtakunnallisten osarekisterien ylläpidosta ja vastaanotto- tai järjestelykeskus vastaa oman osarekisterinsä ylläpidosta. Edustajarekisteriin saa tallettaa edustajan henkilöön ja määräämiseen liittyviä yksilöityjä tietoja. Tiedonsaantioikeudesta säädetään vastaanottolain 8 luvussa ja tiedonsaantioikeudesta rekisteristä erikseen 6 luvun 53 §:ssä. Lisäksi säädetään tietojen luovuttamisesta rekisteristä sekä tietojen poistamisesta ja säilyttämisestä.

Säilölain 5 a luku sisältää säännökset koskien säilöönoton asiakasrekisteriä ja säilöönottoyksikön vierailijarekisteriä. Säilöönoton asiakasrekisteri on säilöön otetuista ulkomaalaisista pidettävä henkilörekisteri, johon kuuluvat valtakunnallinen osarekisteri ja säilöönottoyksiköiden osarekisterit. Säilöönoton asiakasrekisterin valtakunnallista osarekisteriä pidetään säilöönottoyksiköiden käytännön toiminnan ohjausta, suunnittelua ja seurantaa varten. Säilöönottoyksiköiden osarekistereitä pidetään säilöön otettujen ulkomaalaisten säilöönoton järjestämisessä, suunnittelussa, toteuttamisessa ja seurannassa käytettävien asiakirjojen laatimiseen sekä niiden ja muun säilöönottoon liittyvän materiaalin säilyttämiseen sekä tilastointiin. Säilölain 32 d §:n mahdollistama tietosisältö ei kuitenkaan riitä täyttämään näitä käsittelytarpeita. Maahanmuuttovirasto toimii säilöönoton asiakasrekisterin valtakunnallisen osarekisterin rekisterinpitäjänä ja säilöönottoyksikkö oman osarekisterinsä ja säilöönottoyksikön vierailijarekisterin rekisterinpitäjänä.

Säilöönottoyksikön vierailijarekisteri on säilöön otettuja ulkomaalaisia tapaamassa käyvistä ja muista säilöönottoyksikössä vierailevista henkilöistä pidettävä henkilörekisteri. Säilöönottoyksikön vierailijarekisteriä pidetään säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämiseksi. Säilöönottoyksikkö toimii vierailijarekisterin rekisterinpitäjänä. Rekistereihin saa tallettaa yksilöidyt henkilötiedot sekä tiettyjä muita tarpeellisia ja merkityksellisiä laissa tarkemmin yksilöityjä tietoja. Tiedonsaantioikeudesta säädetään lain 6 luvussa ja tiedonsaantioikeudesta rekisteristä 32 g §:ssä. Lisäksi säädetään tietojen luovuttamisesta rekisteristä sekä tietojen poistamisesta ja säilyttämisestä.

Kotoutumislain 8 luku sisältää rekisterisäännökset. Lain 60 §:ssä säädetään kuntaanosoitusrekisteristä, joka on henkilöiden kuntaan osoittamista varten pidettävä henkilörekisteri. Rekisteriin talletetaan tieto siitä, mihin kuntaan henkilö on osoitettu sekä henkilön tunnistetiedot. Kuntaanosoitusrekisteriä pitää elinkeino-, liikenne- ja ympäristökeskus. Lain 61 §:n mukaan elinkeino-, liikenne- ja ympäristökeskus saa luovuttaa kuntaanosoitusrekisteristä Maahanmuuttovirastolle, Kansaneläkelaitokselle, kunnan viranomaiselle ja työ- ja elinkeinotoimistolle tietoja, jotka ovat tarpeen niille tässä laissa, ulkomaalaislaissa tai muussa laissa säädettyjen maahanmuuttoon liittyvien tehtävien hoitamista varten. Tiedot voidaan luovuttaa myös konekielisessä muodossa tai teknisen käyttöyhteyden avulla. Lain 62 §:n mukaan kuntaanosoitusrekisterissä olevat rekisteröityä koskevat tiedot poistetaan, kun niiden käyttötarvetta ei enää ole ja viimeistään viiden vuoden kuluttua viimeisestä rekisteröityä koskevasta merkinnästä. Kuntaanosoitusrekisterin ja siihen sisältyvien tietojen pysyvästä säilyttämisestä määrää arkistolaitos siten kuin arkistolaissa (831/1994) säädetään.

Tietojärjestelmät

Edellä kuvatuissa maahanmuuttohallinnon rekisterisäännöksissä on omaksuttu henkilötietolain 3 §:n mukainen loogisen rekisterin käsite. Rekisterillä tarkoitetaan silloin käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla. Rekisteriin voi siis kuulua niin tietojärjestelmään kirjattuja tietoja kuin manuaalisesti ylläpidettyjä tietoja, kunhan niillä on yhtenevä käyttötarkoitus.

Ulkomaalaisrekisterin tietosisältöön kuuluvia tietoja ylläpidetään automaattisen tietojenkäsittelyn avulla kolmessa tietojärjestelmässä: ulkomaalaisasioiden asiankäsittelyjärjestelmässä (UMA), henkilökortti- ja passitietojärjestelmässä (Heko-Passi) muukalaispassien ja pakolaisen matkustusasiakirjojen osalta sekä kansallisessa viisumitietojärjestelmässä.

Maahanmuuttovirasto ylläpitää ulkomaalaisasioiden asiankäsittelyjärjestelmää sekä henkilökortti- ja passitietojärjestelmää muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Poliisi vastaa muilta osin henkilökortti- ja passitietojärjestelmän ylläpidosta. Ulkoasiainhallinto ylläpitää kansallista viisumitietojärjestelmää.

UMA-järjestelmä ja henkilökortti- ja passitietojärjestelmän muukalaispasseja ja pakolaisen matkustusasiakirjoja koskeva osa on teknisesti yhdistetty niin, että henkilökortti- ja passitietojärjestelmän tietosisältö on muukalaispassien ja pakolaisen matkustusasiakirjojen osalta luettavissa UMA-järjestelmän kautta. Tämän lisäksi Heko-Passin muukalaispasseja ja pakolaisen matkustusasiakirjoja koskevia tietoja voidaan käsitellä myös Heko-Passin käyttöliittymän kautta. UMA-järjestelmä ja kansallinen viisumitietojärjestelmä ovat erillisiä järjestelmiä, joita ei ole yhdistetty toisiinsa.

UMA-järjestelmän tietosisältö muodostuu tietoryhmistä, joiden käyttöä varten on luotu useita erilaisia ryhmiä käyttäjien tarpeiden mukaisesti. Käyttöoikeudet muodostuvat käyttäjärooleista ja käyttöoikeudet ovat sitä laajemmat, mitä useampi rooli käyttäjällä on. Käyttäjille myönnetään hakemuksesta oikeuksia tarpeen mukaan työtehtävien perusteella. Maahanmuuttovirasto järjestelmän ylläpitäjänä vastaa UMA-järjestelmän käyttövaltuushallinnasta, kehittämisestä ja kustannuksista.

UMA-järjestelmässä käsitellään ulkomaalaisrekisteriin kuuluvien tietojen lisäksi myös turvapaikanhakijoiden vastaanoton asiakasrekisteriin ja edustajarekisteriin kuuluvia tietoja. Rekisterinpitäjinä toimivat Maahanmuuttovirasto ja vastaanotto- ja järjestelykeskukset käsittelevät niin vastaanoton ja ihmiskaupan uhrien auttamisjärjestelmän asiakastietoja kuin ilman huoltajaa turvapaikkaa hakevien lasten edustajatoiminnan tietoja. Vastaanotto- ja järjestelykeskukset käsittelevät vastaanoton asiakastietoja sekä edustajatietoja myös muissa tietojärjestelmissä ja tiedostoissa. Vastaanottokeskuksilla on lisäksi oma erillinen tietojärjestelmänsä turvapaikanhakijoiden vastaanoton potilasrekisterin potilastietojen käsittelyä varten.

Maahanmuuttovirasto ja säilöönottoyksiköt käsittelevät UMA-järjestelmässä säilöönoton asiakasrekisteriin kuuluvia tietoja. Säilöönottoyksiköt ylläpitävät lisäksi vierailijarekisteriä.

Kuntaanosoitusrekisteriä ylläpitävät elinkeino-, liikenne- ja ympäristökeskukset. Kuntaanosoitustietojen keskittäminen UMA-järjestelmään on valmisteilla.

Kansallinen viisumitietojärjestelmä sisältää Schengen-viisumeita koskevat tiedot.

2.1.2 Asiakirjajulkisuus

Kuten muussakin viranomaistoiminnassa, myös maahanmuuttohallinnossa lähtökohtana on asiakirjojen julkisuus. Julkisuuslain 1 §:n mukaan viranomaisten asiakirjat ovat julkisia, jollei toisin säädetä. Lain 9 §:n mukaan jokaisella on oikeus saada tieto viranomaisen asiakirjasta, joka on julkinen. Maahanmuuttohallinnossa käsiteltävien tietojen luonne kuitenkin edellyttää, että niiden julkisuutta on eräiden muiden intressien suojaamiseksi rajoitettu. Henkilötietojen salassapidosta maahanmuuttohallinnossa säädetään sekä yleislakina julkisuuslaissa että eräiltä osin myös ulkomaalaisrekisterilain erityissäännöksellä. Salassapitosäännöksillä on pyritty suojaamaan maahanmuuttohallinnon asiakasryhmiin liittyviä erityistä suojaa vaativia intressejä.

Julkisuuslaki

Julkisuuslaissa on muiden henkilötietoihin sovellettavaksi tulevien salassapitoperusteiden lisäksi erityinen maahanmuuttohallinnon asiakasryhmiin kohdistuva salassapitosäännös. Julkisuuslain 24 §:n 1 momentin 24 kohdan mukaan salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä, asiakirjat, jotka koskevat pakolaista tai turvapaikan, oleskeluluvan tai viisumin hakijaa, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna pakolaisen tai hakijan tai näiden läheisten turvallisuutta. Oikeuskirjallisuudessa julkisuuslain 24 §:n 1 momentin 24 kohdasta on todettu, että kysymyksessä on salassapitosäännös, jonka ensisijaisena tarkoituksena on taata henkilöiden turvallisuus sekä antaa suojaa kostotoimenpiteitä ja vastaavia vastaan (Wallin–Konstari, Julkisuus- ja salassapitolainsäädäntö 2000, s.162).

Julkisuuslain salassapitoperusteet ovat soveltamisalaltaan yleisiä. Salassapito määräytyy asiakirjan sisällön perusteella ja koskee kaikkia niitä viranomaisia, joiden hallussa asiakirja on (HE 30/1998 vp, s. 86–87). Julkisuuslain 24 §:n 1 momentin 24 kohdan salassapitosäännöksen soveltamisala on sen sijaan henkilöpiiriltään rajoitettu. Salassa pidettäväksi sen nojalla voivat tulla vain pakolaista tai turvapaikan, oleskeluluvan tai viisumin hakijaa koskevat asiakirjat.

Julkisuuslain 24 §:n 1 momentin 24 kohdan vahinkoedellytyslauseke on sidottu salassapito-olettamaan. Tietoja asiakirjasta voidaan antaa julkisuusperiaatteen mukaisen tiedonsaantioikeuden perusteella vain, jos asiaan liittyvät kaikki olosuhteet huomioon otettuina voidaan pitää erittäin epätodennäköisenä, että tietojen antamisella voisi olla lainkohdassa tarkoitettu vahingollinen seuraus. Julkisuuslain esitöissä on katsottu, että ehdoton salassapito voisi johtaa tarpeettoman laajaan salassapitoon asioissa, joissa on tarvetta julkisen vallan käytön valvomiseen, ja tällöin säännöksissä edellytetään viranomaisen arvioivan asiakirjakohtaisesti tiedon antamisesta aiheutuvan seurauksen vahingollisuutta (vahinkoedellytys) (HE 30/1998 vp, s. 88).

Myös oikeuskäytännössä (KHO 2013:120–121) on katsottu, että julkisuuslain 24 §:n 1 momentin 24 kohdan vahinkoedellytyslauseke edellyttää asiakirjakohtaista harkintaa siitä, aiheutuuko tiedon antamisesta säännöksessä tarkoitettuja seurauksia. Arviointia tehtäessä on kiinnitettävä huomiota siihen, mistä asiakirjassa on kyse, millaisia tietoja se sisältää ja kuinka kauan asian vireillä olosta on kulunut aikaa. Sekä korkein hallinto-oikeus että eduskunnan apulaisoikeusasiamies (AEOA 380/4/04) ovat myös katsoneet ratkaisuissaan, että tietojen salassapito on riippumaton kansainvälistä suojelua koskevaan hakemukseen annetun päätöksen lopputuloksesta. Salassapito ei myöskään rajoitu ainoastaan hakemusvaiheeseen, vaan sen ajallista ulottuvuutta on arvioitava tapauskohtaisesti. Ajan kuluminen kansainvälistä suojelua koskevan hakemuksen tekemisestä saattaa vaikuttaa vahinkoedellytysarviointiin siten, ettei salassapito henkilön ja hänen läheistensä suojaamiseksi ole enää tarpeen ainakaan samassa määrin kuin aiemmin.

Julkisuuslain 24 §:n 1 momentti sisältää 24 kohdan lisäksi useita muita maahanmuuttohallinnossa sovellettavaksi tulevia salassapitoperusteita. Esimerkiksi 23 ja 32 kohtien mukaan henkilön taloudellista asemaa ja henkilökohtaisia oloja ja perhe-elämää koskevat tiedot kuuluvat ehdottoman salassapidon piiriin. Myös maahanmuuttohallinnon asiakirjojen asianosaisjulkisuutta arvioidaan julkisuuslaissa säädetyn perusteella.

Ulkomaalaisrekisterilaki

Maahanmuuttohallinnossa sovelletaan julkisuuslain salassapitosäännösten lisäksi ulkomaalaisrekisterilain 11 §:ää, jonka mukaan ulkomaalaisrekisterilain 2 §:n mukaisten tehtävien hoitamista varten saadut tiedot ja asiakirjat on pidettävä salassa, jos niin lailla säädetään tai lain nojalla määrätään taikka jos ei ole ilmeistä, että tiedon antaminen ei aiheuta vahinkoa tai haittaa Suomen kansainvälisille suhteille, kansainväliselle yhteistyölle taikka hakijalle tai muulle asianosaiselle tai hänen läheiselleen.

Ulkomaalaisrekisterilain 2 §:ssä säädetään ulkomaalaisrekisterin pitämisestä ja käyttämisestä ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten, valtion turvallisuuden suojaamiseksi ja turvallisuusselvityslaissa (726/2014) tarkoitetun turvallisuusselvityksen tekemiseksi sekä Suomen kansalaisuuden saamista, säilyttämistä ja menettämistä sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyä ja päätöksentekoa varten. Ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa säännellään ulkomaalaislaissa sekä lisäksi kausityölaissa, ICT-laissa ja tutkija- ja opiskelijalaissa. Suomen kansalaisuuden saamisesta, säilyttämisestä, menettämisestä, siitä vapautumisesta tai kansalaisuusaseman määrittämisestä säädetään kansalaisuuslaissa. Ulkomaalaisrekisterilain säännös koskee ulkomaalaisrekisterilain 3 §:n mukaisia rekisterinpitäjiä eli Maahanmuuttovirastoa, ulkoasiainministeriötä, poliisia, Rajavartiolaitosta, Tullia, ELY-keskuksia, TE-toimistoja, vankeinhoitoviranomaisia, yhdenvertaisuusvaltuutettua, korkeinta hallinto-oikeutta ja alueellisia hallinto-oikeuksia.

Ulkomaalaisrekisterilain 11 §:n salassapitosäännös on erityissäännös suhteessa julkisuuslakiin ja myös sen 24 §:n 1 momentin 24 kohdassa säädettyyn (HaVM 31/1998 vp, s. 19). Oikeuskäytännössä (KHO 2013:120—121) on katsottu, että ulkomaalaisrekisterilain 11 §:n salassapitosäännöstä on tulkittava suppeasti, eikä sitä voida soveltaa muihin kuin lain 2 §:n mukaisten tehtävien hoitamista varten saatuihin tietoihin ja asiakirjoihin. Tehtävien hoitamista varten tietoja ja asiakirjoja voidaan saada niin yksityishenkilöiltä kuin viranomaisiltakin. Koska säännös on rajattu tehtävien hoitamista varten saatuihin tietoihin ja asiakirjoihin, sen ulkopuolelle jäävät viranomaisen itsensä tuottamat tiedot ja asiakirjat, kuten erilaiset asianosaiselle lähetettävät lausunto-, selvitys- ja täydennyspyynnöt sekä hallintopäätökset. Näiden salassapitoon sovelletaan julkisuuslakia. Ulkomaalaisrekisterilain salassapitosäännös koskee muun kuin asianosaisen oikeutta saada tieto asiakirjasta (HE 206/1997 vp, s. 18).

Ulkomaalaisrekisterilain salassapitosäännöksen vahinkoedellytyslauseke on sidottu salassapito-olettamaan. Ulkomaalaisrekisterilain salassapitosäännöksen vahinkoedellytyslauseke kuitenkin poikkeaa julkisuuslain 24 §:n 1 momentin 24 kohdassa säädetystä. Ulkomaalaisrekisterilaissa vahinkoedellytys kuuluu: "jos ei ole ilmeistä, että tiedon antaminen ei aiheuta vahinkoa tai haittaa hakijalle tai muulle asianosaiselle tai hänen läheiselleen", kun julkisuuslain 24 §:n 1 momentin 24 kohdassa vahinkoedellytys on sidottu pakolaisen tai hakijan tai näiden läheisten turvallisuuden vaarantumiseen. Suojattava intressi ulkomaalaisrekisterilaissa on perustuslain 7 §:n mukaisen henkilön turvallisuuden lisäksi perustuslain 10 §:n mukainen yksityisyyden suoja.

Maahanmuuttovirastossa korkeimman hallinto-oikeuden edellä mainittua ratkaisukäytäntöä on tulkittu siten, että siinä tarkoitetaan arkistoon siirrettyjen tai salassapidon arviointihetkellä jo päättyneen asian vireilletulon, selvittämisen, päätöksenteon, tiedoksiannon ja mahdollisen muutoksenhaun asiakirjojen salassapitoa henkilön arviointihetken tilanteen valossa. Kysymys on siitä, vaarantaisivatko vanhojen asiakirjojen tietojen antaminen henkilön tai hänen läheistensä turvallisuuden asiakirjojen pyytämisajankohtana. Päätöksen lopputuloksesta riippumattomalla salassapidolla on Maahanmuuttovirastossa omaksutun tulkinnan mukaan tarkoitettu sitä, että vaikka henkilön ei olisi katsottu olevan kansainvälisen suojelun tarpeessa hänen turvapaikkahakemustaan koskevassa päätöksessä, ei tämä poista julkisuuslain 24 §:n 1 momentin tai ulkomaalaisrekisterilain 11 §:n soveltumista mainittujen asioiden asiakirjoihin nykyhetkellä ja siten viranomaisen velvollisuutta arvioida mainittujen asiakirjojen antamisen vaikutusta henkilön tai läheistensä turvallisuuteen nykyhetken tietojen valossa.

2.2 Kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö

2.2.1 EU:n tietosuojauudistus

Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetulla Euroopan parlamentin ja neuvoston direktiivillä 95/46/EY, jäljempänä henkilötietodirektiivi, oli kaksi pääasiallista tavoitetta: turvata henkilötietojen suoja perusoikeutena ja varmistaa henkilötietojen vapaa liikkuvuus sisämarkkinoilla. Henkilötietodirektiiviä sovellettiin sekä viranomaisten että yritysten suorittamaan henkilötietojen käsittelyyn. Direktiiviä täydennettiin useilla erityissäädöksillä, mukaan lukien niin sanottu sähköisen viestinnän tietosuojadirektiivi, teletunnistetietojen säilyttämistä koskeva direktiivi ja neuvoston puitepäätös 2008/977/YOS, jota sovellettiin poliisiyhteistyössä ja rikosoikeudellisessa yhteistyössä, jäljempänä tietosuojapuitepäätös.

Euroopan komissio antoi 25 päivänä tammikuuta 2012 ehdotuksen Euroopan unionin uudeksi tietosuojalainsäädännöksi. Komissio antoi ehdotuksen tietosuoja-asetukseksi KOM (2012) 11 lopullinen osana pakettia, johon kuului myös ehdotus rikosasioiden tietosuojadirektiiviksi KOM (2012) 10 lopullinen. Tietosuoja-asetuksella vahvistetaan Euroopan unionin yleinen tietosuojakehys sekä rikosasioiden tietosuojadirektiivillä henkilötietojen suojaaminen tilanteissa, joissa niitä käsitellään rikosten torjumista, tutkimista, selvittämistä ja syytteeseenpanoa tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten. Säädökset annettiin 27.4.2016. Tietosuoja-asetus julkaistiin 4.5.2016 ja se tuli voimaan 24.5.2016. Säädöksen soveltaminen alkoi kahden vuoden kuluttua asetuksen voimaantulosta 25.5.2018. Rikosasioiden tietosuojadirektiivissä säädetyn mukaisesti jäsenvaltioiden oli annettava ja julkaistava direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset viimeistään 6 päivänä toukokuuta 2018. Tietosuojauudistus korvasi henkilötietodirektiivin sekä tietosuojapuitepäätöksen.

Uusi Euroopan unionin tietosuojalainsäädäntö perustuu Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 2 kohtaan, joka on Lissabonin sopimuksella käyttöön otettu uusi oikeusperusta henkilötietojen käsittelyä koskevalle lainsäädännölle. Sen mukaan unioni voi antaa henkilötietojen käsittelyä koskevaa lainsäädäntöä unionin oikeuden soveltamisalaan kuuluvilla aloilla. Lainsäädäntöuudistuksen tavoitteena oli luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys, vahvistaa yksilön oikeuksia ja sisämarkkinaulottuvuutta, tarkistaa rikosasioissa tehtävää poliisi- ja oikeudellista yhteistyötä koskevia tietosuojasäännöksiä, huomioida tietosuojan globaali ulottuvuus erityisesti digitaalisissa palveluissa sekä tehostaa tietosuojasääntöjen täytäntöönpanon valvontaa.

Oikeus henkilötietojen suojaan on perusoikeus, joka vahvistetaan Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan 1 kohdassa sekä Euroopan unionin perusoikeuskirjan, jäljempänä perusoikeuskirja, 8 artiklassa, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. Perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja. Artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Perusoikeuskirjan 11 artiklan mukaan jokaisella on oikeus sananvapauteen. Tämä oikeus sisältää mielipiteenvapauden sekä vapauden vastaanottaa ja levittää tietoja tai ajatuksia viranomaisten siihen puuttumatta ja alueellisista rajoista riippumatta. Tiedotusvälineiden vapautta ja moniarvoisuutta kunnioitetaan. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.

Euroopan unionin tuomioistuimen oikeuskäytännön mukaan oikeus henkilötietojen suojaan ei ole absoluuttinen vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa. Oikeuteen voidaan kohdistaa rajoituksia, jotka ovat oikeassa suhteessa tavoiteltuun päämäärään. Unionin tuomioistuimen oikeuskäytännöllä on ollut merkittävä rooli nyt jo kumotun henkilötietodirektiivin tulkinnassa ja soveltamisessa. EU:n tietosuojatyöryhmä WP 29 (tietosuojatyöryhmä) puolestaan oli riippumaton EU:n työryhmä, joka käsitteli yksilöiden suojelua henkilötietojen käsittelyssä koskevia kysymyksiä tietosuoja-asetuksen soveltamisen aloittamiseen asti. Tietosuojaneuvosto jatkaa tietosuojatyöryhmän toimintaa.

Tietosuoja-asetus sisältää 11 lukua, jotka käsittelevät yleisiä säännöksiä, periaatteita, rekisteröidyn oikeuksia, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia, yhteistyötä ja yhdenmukaisuutta, oikeussuojakeinoja, vastuuta ja seuraamuksia, tietojenkäsittelyyn liittyviä erityistilanteita, delegoituja säännöksiä ja täytäntöönpanosäännöksiä sekä loppusäännöksiä. Tietosuoja-asetus on suoraan sovellettavaa oikeutta ja sellaisenaan velvoittavaa lainsäädäntöä jäsenvaltioissa. Se ei edellytä erityistä täytäntöönpanoa. Tietosuoja-asetus tulee sovellettavaksi sekä julkisella että yksityisellä sektorilla. Vaikka tietosuoja-asetuksen tavoitteena on vahvistaa eurooppalaisen henkilötietojen suojaa koskevan lainsäädännön yhtenäisyyttä parantaen yksityisten henkilöiden oikeusturvaa ja tehostaen lainsäädännön täytäntöönpanoa, on kuitenkin pidetty välttämättömänä, että asetus jättää kohtuullisessa määrin liikkumavaraa kansalliselle lainsäätäjälle, jotta yhteiset säännökset voidaan sovittaa kansallisiin olosuhteisiin. Kansallinen lainsäädäntö on kuitenkin mahdollista ainoastaan asetuksen sen nimenomaan salliessa. Komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti, sillä kyse on asetuksesta, ei direktiivistä. Ministeriöiden hallinnonaloille kuuluvat säännökset on saatettava tietosuoja-asetuksen mukaiseksi vaikka normihierarkian näkökulmasta ristiriitatilanteiden ratkaiseminen asetuksen eduksi on selkeää. Ensimmäisessä vaiheessa on varmistuttava siitä, että kansallinen erityislainsäädäntö on mahdollista kansallisen liikkumavaran puitteissa. Tässä arvioinnissa tulee kiinnittää erityisesti huomiota henkilötietojen käsittelyn oikeudelliseen perustaan. Toisessa vaiheessa tulee arvioida, onko kansallinen erityislainsäädäntö välttämätöntä asetuksen säännösten täydentämiseksi. Mikäli kansallinen erityislainsäädäntö on välttämätöntä, tulee kolmannessa vaiheessa vielä varmistua siitä, että kansallinen erityislainsäädäntö on myös muilta osin asetuksen mukainen.

Rikosasioiden tietosuojadirektiivissä on yhdeksän lukua. Luvut käsittelevät yleisiä säännöksiä, periaatteita, rekisterinpitäjää ja henkilötietojen käsittelijää, henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille, riippumattomia valvontaviranomaisia, yhteistyötä, oikeussuojakeinoja, vastuuta ja seuraamuksia, direktiivin täytäntöönpanoa sekä direktiivin loppusäännöksiä. Rikosasioiden tietosuojadirektiivissä säädetyn mukaisesti jäsenvaltioiden on annettava ja julkaistava direktiivin noudattamisen edellyttämät lainsäädäntötoimenpiteet. Rikosasioiden tietosuojadirektiivin täytäntöönpanolaki eli rikosasioiden tietosuojalaki on luonteeltaan rikosasioiden käsittelyssä tietosuojan osalta yleislakina noudatettava laki. Lakia soveltaisivat viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai niiden täytäntöönpanon. Tällaisia viranomaisia ovat muun muassa poliisi, Rajavartiolaitos, Tulli, syyttäjät, tuomioistuimet ja Rikosseuraamuslaitos. Nämä viranomaiset soveltaisivat ehdotettua lakia kuitenkin vain, kun ne käsittelevät henkilötietoja edellä mainitussa tarkoituksessa, eli esimerkiksi rikoksen selvittämisen yhteydessä tai käsiteltäessä rikosasiaa tuomioistuimessa. Lakia sovellettaisiin lisäksi toimivaltaisten viranomaisten kansallisen turvallisuuden ylläpitämisen yhteydessä tapahtuvaan henkilötietojen käsittelemiseen. Toimivaltaisia viranomaisia ovat tältä osin Puolustusvoimat, Rajavartiolaitos ja poliisi, erityisesti suojelupoliisi. Tältä osin ehdotetun lain soveltamisala ei perustu direktiivin toimeenpanoon, vaan kysymys on kansallisesta ratkaisusta.

Asetuksen soveltamisalaan kuuluu lähtökohtaisesti kaikki viranomaisten suorittama henkilötietojen käsittely, jollei se kuulu direktiivin soveltamisalaan. Asetuksen ja direktiivin säännökset, jotka koskevat yleisiä henkilötietojen käsittelyyn liittyviä periaatteita, rekisterinpitäjää ja henkilötietojen käsittelyä sekä tietosuojaviranomaisia, ovat pääosin toisiaan vastaavia. Tällä on tarkoitus varmistaa, että yleiset henkilötietojen käsittelyä koskevat vaatimukset ovat mahdollisimman yhdenmukaiset jäsenvaltiosta tai rekisterinpitäjästä riippumatta. Oleellisimmat säädösten erot liittyvät direktiivin soveltamisalaan kuuluvien viranomaisten suorittaman henkilötietojen käsittelyn erityisluonteeseen rikosasioina, erityisesti siltä osin kuin kyse on mahdollisuuksista rajoittaa rekisteröidyn oikeuksia direktiivin soveltamisalaan kuuluvissa tapauksissa.

2.2.2 Maahanmuuttoa koskeva Euroopan unionin lainsäädäntö

Henkilötietojen käsittely sekä sen perustana olevat toimivaltasäännökset perustuvat kansallisen lainsäädännön lisäksi myös Euroopan unionin lainsäädäntöön. Useimmiten kyse on suoraan sovellettavasta oikeudesta, joka saa etusijan kansalliseen lainsäädäntöön nähden. Tarve henkilötietojen käsittelylle voi siten seurata suoraan unionin lainsäädännöstä ja henkilötietojen käsittely voi myös tapahtua suoraan unionin lainsäädännön nojalla. Sovellettavaksi voi vaihtoehtoisesti tulla ehdotettava maahanmuuttohallinnon henkilötietolaki.

Merkityksellistä sääntelyä sisältyy esimerkiksi seuraaviin instrumentteihin: Euroopan parlamentin ja neuvoston asetus (EU) N:o 604/2013, annettu 26 päivänä kesäkuuta 2013, kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta (jäljempänä vastuunmääritysasetus); Euroopan parlamentin ja neuvoston asetus (EU) 2018/1862, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, neuvoston päätöksen 2007/533/YOS muuttamisesta ja kumoamisesta sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1986/2006 ja komission päätöksen 2010/261/EU kumoamisesta (jäljempänä SIS-poliisiyhteistyöasetus); Euroopan parlamentin ja neuvoston asetus (EU) 2018/1861, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän (SIS) perustamisesta, toiminnasta ja käytöstä rajatarkastuksissa, Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen muuttamisesta ja asetuksen (EY) N:o 1987/2006 muuttamisesta ja kumoamisesta (jäljempänä SIS-rajatarkastusasetus); Euroopan parlamentin ja neuvoston asetus (EU) 2018/1860, annettu 28 päivänä marraskuuta 2018, Schengenin tietojärjestelmän käytöstä laittomasti oleskelevien kolmansien maiden kansalaisten palauttamiseksi (jäljempänä SIS-palautusasetus); Euroopan parlamentin ja neuvoston asetus (EY) N:o 1987/2006, annettu 20 päivänä joulukuuta 2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä, joka kumotaan SIS-rajatarkastusasetuksen täysimääräisestä soveltamisesta lukien; Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, annettu 26 päivänä kesäkuuta 2013, Eurodac-järjestelmän perustamisesta sormenjälkien vertailua varten kolmannen maan kansalaisen tai kansalaisuudettoman henkilön johonkin jäsenvaltioon jättämän kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämisperusteiden ja -menettelyjen vahvistamisesta annetun asetuksen (EU) N:o 604/2013 tehokkaaksi soveltamiseksi sekä jäsenvaltioiden lainvalvontaviranomaisten ja Europolin esittämistä, Eurodac-tietoihin lainvalvontatarkoituksessa tehtäviä vertailuja koskevista pyynnöistä sekä vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston perustamisesta annetun asetuksen (EU) N:o 1077/2011 muuttamisesta (uudelleenlaadittu) (jäljempänä Eurodac-asetus); Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, annettu 9 päivänä heinäkuuta 2008, viisumitietojärjestelmästä (VIS) ja lyhytaikaista oleskelua varten myönnettäviä viisumeja koskevasta jäsenvaltioiden välisestä tietojenvaihdosta (jäljempänä VIS-asetus).

Komissio antoi kevään ja kesän 2016 aikana yhteensä seitsemän ehdotusta EU:n yhteisen turvapaikkapolitiikan uudistamiseksi (Common European Asylum System, jäljempänäCEAS). Ehdotuksilla pyritään vastaamaan vuonna 2015 kärjistyneeseen pakolaistilanteeseen ja tarpeeseen parantaa unionin alueelle suuntautuvan maahanmuuton hallintaa. Olemassa oleva sääntely ei ole ollut riittävää suurien hakijamäärien aiheuttamassa paineessa. Kaikki seitsemän ehdotusta ovat edelleen käsittelyssä EU:n toimielimissä. Toteutuessaan CEAS tulisi vaikuttamaan merkittävästi myös henkilötietojen käsittelyä koskevaan sääntelykokonaisuuteen.

Henkilötietojen käsittelyssä on noudatettava unionin henkilötietojen käsittelyä koskevia säännöksiä niissä tilanteissa, joissa unionin säännökset normihierarkian johdosta saavat etusijan. On mahdollista, että esimerkiksi tietojen käsittelytarkoituksia tai tietojen luovuttamista rajoitetaan unionin lainsäädännössä enemmän kuin nyt valmistelevana olevassa maahanmuuttohallinnon henkilötietolaissa. Esimerkiksi vastuunmäärittämisasetuksen 34 artiklan 7 kohdassa nimenomaisesti kielletään luovuttamasta vaihdettuja tietoja tietyn viranomaispiirin ulkopuolelle. Maahanmuuttohallinnon henkilötietolakia koskevan lakiehdotuksen 12 §:ssä säädettäisiin ehdotettavan lain nojalla kerättyjen ja tallennettujen henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen, jolloin toimivaltaisten viranomaisten piiri voisi olla laajempi kuin 34 artiklassa. Lisäksi esimerkiksi kansainvälistä suojelua hakeneen henkilön asiaa koskevien tietojen poistamisesta on tällä hetkellä ehdotettu säädettäväksi menettelyasetusehdotuksessa ja uudelleensijoittamista koskevassa asetusehdotuksessa toisin kuin maahanmuuttohallinnon henkilötietolaissa. Näissä tapauksissa on kuitenkin kyse hyvin rajatuista poikkeuksista. Ehdotettavaan lakiin ei kuitenkaan informatiivisessa merkityksessä kirjattaisi poikkeuksia tai rajoituksia, joita unionin lainsäädäntö luo maahanmuuttohallinnon henkilötietolakiin. Valinta on perusteltu lainsäädännön säilyttämiseksi selkeänä ja ymmärrettävänä. Käytännössä on asiaa käsittelevän viranomaisen ammattitaidon ja riittävän ohjeistuksen varassa, että henkilötietojen käsittelyssä noudatetaan kaikkia asiaankuuluvia säännöksiä. Silloin, kun unionin lainsäädäntö ei sisällä henkilötietojen käsittelyä koskevaa sääntelyä, sovellettavaksi tulee kansallinen henkilötietojen käsittelyä sääntelevä normipohja, joka perustuu unionin tietosuojapakettiin.

2.2.3 Euroopan neuvoston yleissopimukset

Ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn Euroopan neuvoston yleissopimuksen (SopS 18—19/1990), jäljempänä Euroopan ihmisoikeussopimus, 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Viranomaiset eivät saa puuttua tämän oikeuden käyttämiseen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjärjestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden henkilöiden oikeuksien ja vapauksien turvaamiseksi.

Vaikka henkilötietojen suojaa ei erikseen mainita Euroopan ihmisoikeussopimuksen 8 artiklassa, on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä henkilötietojen suoja katsottu olennaiseksi osaksi 8 artiklan yksityis- ja perhe-elämän suojaa, ja toisaalta henkilötietojen suojalla on vaikutuksensa Euroopan ihmisoikeussopimuksen 10 artiklassa tarkoitetun sananvapauden käyttämiseen. Euroopan ihmisoikeustuomioistuimen ratkaisuissa on korostettu muun muassa, että lainsäädännössä pitää olla asianmukaiset takeet siitä, että henkilötietoja ei käsitellä 8 artiklan vastaisesti. Käsiteltävien tietojen tulee olla tarpeellisia sekä sisällöltään että säilytysajaltaan rajattuja rekisteröinnin käyttötarkoitukseen nähden. Niin ikään sääntelyssä tulee olla riittävät takeet, joilla estetään henkilötietojen lainvastainen käyttö. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (ks. esim. Euroopan ihmisoikeustuomioistuimen tuomio asiassa Rotaru v. Romania 4.5.2000, tuomion kohdat 45—63). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (ks. esim. S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 67 ja Leander v. Ruotsi, 26.3.1987, tuomion kohta 48).

Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä vuonna 1981 tehtyyn Euroopan neuvoston yleissopimukseen (ETS nro 108, SopS 36/1992), jäljempänä tietosuojasopimus, viitataan rikosasioiden tietosuojadirektiivin johdanto-osan 68 kappaleessa. Euroopan unionin jäsenvaltioiden välisissä tilanteissa sovelletaan ensisijaisesti Euroopan unionin tietosuojalainsäädäntöä, mutta kaikki Euroopan unionin jäsenvaltiot ovat ratifioineet tietosuojasopimuksen. Yhteensä tietosuojasopimuksen on ratifioinut tähän mennessä 50 valtiota. Tietosuojasopimukseen liittyy lisäpöytäkirja (ETS nro 181) rajat ylittävistä henkilötietojen siirroista. Tietosuojasopimuksen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Tietosuojasopimusta voitaisiin soveltaa tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin kolmansia maita koskevien säännösten lisäksi esimerkiksi niissä tilanteissa, joissa Euroopan unionin jäsenvaltion toimivaltainen viranomainen siirtää henkilötietoja kolmanteen maahan. Sovellettavaksi voisi tulla kuitenkin myös kyseessä olevan maan kanssa tehty kahdenvälinen sopimus, joka sisältää määräykset tietosuojasta tai määräykset, joissa viitataan kansalliseen lainsäädäntöön. Tietosuojasopimus on parhaillaan uudistettavana ja uusi yleissopimus korvaa nykyisen sopimuksen, kun riittävä määrä Euroopan neuvoston jäsenvaltioita on ratifioinut sen. Tietosuojasopimuksen määräysten soveltamisen rajoittaminen on mahdollista merkittävän yleisen edun vuoksi, esimerkiksi kansallisen turvallisuuden ja puolustuksen perusteella. Euroopan neuvostolla on myös eräitä muita yleissopimuksia, jotka sisältävät henkilötietojen käsittelyä koskevia säännöksiä.

2.2.4 Ulkomaiden lainsäädäntö

Euroopan unionin jäsenvaltioiden henkilötietojen käsittelyä koskeva lainsäädäntö on Euroopan unionin tietosuojauudistuksen kansallisen täytäntöönpanon vuoksi parhaillaan muuttumassa tai muuttunut. Merkittävä osa kansallisesta erityislainsäädännöstä on sidottu tietosuoja-asetuksen asettamiin kattaviin ja yksityiskohtaisiin edellytyksiin. Tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran soveltamisessa on keskeistä valita kansallisiin erityispiirteisiin liittyviä sääntelytapoja. Tässä esityksessä on kuvattu ja vertailtu hyvin lyhyesti eräiden muiden Euroopan unionin jäsenvaltioiden henkilötietojen käsittelysäännöksiä maahanmuuttohallinnon alalla. Vertailumaista vain Ruotsissa ja Itävallassa on voimassa erillinen henkilötietolaki maahanmuuttohallinnossa. Muissa vertailumaissa henkilötietojen käsittelystä säädetään osana toimivaltaa luovaa lainsäädäntöä, useimmiten niin sanotussa ulkomaalaislaissa, joissain tapauksissa erillisenä itsenäisenä lukunaan. Yleisesti ottaen voidaan varovasti arvioida, että useimmissa vertailumaissa tietosuoja-asetus ei ole erityisen merkittävästi muuttanut tai tule muuttamaan lainsäädännön lähtökohtia. Rekisterinpitäjyyden osalta ei ole havaittavissa säännönmukaista sääntelymallia. Automaattista päätöksentekoa mahdollistavaa sääntelyä on vertailumaista voimassa vain Virossa, jossa automaattista päätöksentekoa hyödynnetään vain tehtyjä hallintopäätöksiä koskevien todistusten ja asiakirjojen myöntämiseen.

Ruotsissa on erillinen laki henkilötietojen käsittelystä maahanmuuttohallinnossa (Utlänningsdatalag [2016:27]). Laissa säädetään paikallisen maahanmuuttoviraston (Migrationsverket) ja muiden ulkomaalaisviranomaisten ja poliisiviranomaisten henkilötietojen käsittelystä ulkomaalais- ja kansalaisuuslain nojalla. Lain arvioitiin vastaavan sisällöltään melko hyvin tietosuoja-asetusta mutta lakia esitettiin muutettavaksi niin, että se vain täydentää tietosuoja-asetusta tarvittavilta osin. Lainsäädäntömuutokset tulivat voimaan 1.12.2018. Maahanmuuttohallinnossa henkilötietoja käsitellään useissa tietojärjestelmissä ja rekistereissä. Rekisterinpitäjinä toimivat paikallinen maahanmuuttovirasto, ulkomaalaisviranomaiset sekä poliisiviranomaiset siltä osin kuin he käsittelevät henkilötietoja. Maahanmuuttovirasto vastaa ulkomaalaisviranomaisten automaattisesta henkilötietojen käsittelystä.

Norjassa maahanmuuttohallinnossa ei ole yhtä keskitettyä henkilötietolakia, mutta henkilötietojen käsittelystä säädetään omana kohtanaan toimivaltaa luovassa lainsäädännössä (The Immigration Act, paragraph 83 a §), jonka lisäksi käsittely voi perustua rekisteröitävän ulkomaalaisen suostumukseen. Sääntelyä on hiljattain muutettu, jotta henkilötietojen käsittely täyttäisi tietosuoja-asetuksen vaatimukset koskien erityisesti henkilötietojen käsittelyn tarpeellisuutta toimivaltalainsäädännön näkökulmasta ja tietojen minimointia. Norjassa on useita maahanmuuttohallinnon rekistereitä ja jokainen organisaatio vastaa niistä rekistereistä, joita käyttää omaan tarkoitukseensa.

Virossa henkilötietojen sääntelyä koskevassa yleislaissa (Personal Data Protection Act) säädetään yleiset edellytykset henkilötietojen käsittelylle. Maahanmuuttohallinnossa ei ole yhtä keskitettyä henkilötietolakia, vaan sääntely sisältyy useaan lakiin (Aliens Act [AA], Obligation to Leave and Prohibition on Entry Act [OLPEA], Act on Granting International Protection to Aliens [AGIPA] sekä An Identity Documents Act [IDA]). Henkilötietoja käsitellään useissa rekistereissä. Maahanmuuttohallinnossa on yksi rekisterinpitäjä (Police and Border Guard Board) ja useita henkilötietojen käsittelijöitä joiden välinen vastuu jakautuu näiden toimivallan nojalla. Virossa ei ole käytössä automaattista päätöksentekojärjestelmää asioissa, joihin liittyy harkintavallan käyttöä. Sen sijaan todistuksia voidaan tietyissä tilanteissa myöntää automaattista päätöksentekoa hyödyntäen silloin kun henkilölle on tehty hallintopäätös. Tietosuoja-asetuksen ei ole arvioitu merkittävästi muuttavan lainsäädännön lähtökohtia mutta se selkeyttää käsittelyn oikeusperustaa, tiedon suojaamista ja rekisteröidyn oikeuksia. EU:n tietosuoja-uudistuksesta seuranneet lainsäädäntömuutokset yleislakiin (Personal Data Protection Act) tulivat voimaan 15.1.2019 ja muut muutokset (AA, OLPEA AGIPA ja IDA) 15.3.2019.

Itävallassa on voimassa erillinen laki henkilötietojen käsittelystä maahanmuuttohallinnossa (Federal Act Laying Down General Stipulations Concerning Procedures Before the Federal Office for Immigration and Asylum in Relation to the Granting of International Protection, Residence Permits on Grounds Deserving of Consideration and Temporary Leave to Remain, the Imposition of Deportation Orders and Measures to Terminate Residence, and the Issuance of Austrian Documents to Aliens, so called BFA Procedures Act [BFA–VG]). Henkilötietoja käsitellään yhdessä rekisterissä. Tietosuojauudistus ei tuonut merkittäviä muutoksia lainsäädäntöön. Rekisterinpitäjinä toimivat useat viranomaiset sisäministeriön toimiessa henkilötietojen käsittelijänä. Itävallassa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

Hollannissa ei ole voimassa erillistä lakia henkilötietojen käsittelystä maahanmuuttohallinnossa vaan käsittely perustuu toimivaltaa luovaan lainsäädäntöön ja yleiseen henkilötietolakiin. Henkilötietolakia ollaan uudistamassa, mutta tietosuoja-asetus ei tuo erityisen merkittäviä muutoksia lainsäädäntöön. Henkilötietoja käsitellään useissa rekistereissä ja rekisterinpitäjinä toimivat oikeus- ja turvallisuusministeri (Minister of Justice and Security) sekä maahanmuuton hallinnonalalla toimivien organisaatioiden johtajat omien vastuualueidensa puitteissa. Hollannissa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

Belgiassa ei ole erillistä henkilötietolakia maahanmuuttohallinnon alalla, vaan sääntely sisältyy toimivaltaa luovaan lainsäädäntöön (Aliens Act 15/12/1980). Tietosuoja-asetuksen myötä lakia muutetaan niin, että siihen lisätään erillinen luku henkilötietojen käsittelystä maahanmuuton hallinnossa. Lainsäädäntöhankkeen aikataulu ei toistaiseksi ole selvillä. Henkilötietoja käsitellään useissa rekistereissä, joista vastaa yksi rekisterinpitäjä. Belgiassa ei ole käytössä tai suunnitteilla automaattista päätöksentekojärjestelmää.

3 Nykytilan arviointi

3.1 Sääntelyn hajanaisuus ja käsiteltävien henkilötietojen riskiperustaisuus

Tietosuoja-asetus on sellaisenaan suoraan sovellettavaa oikeutta, joka ei edellytä erityistä täytäntöönpanoa lukuun ottamatta täydentävää sääntelyä siltä osin kuin tietosuoja-asetus sen kansallisen liikkumavaran nojalla nimenomaisesti mahdollistaa. Asetuksen tekstiä ei lähtökohtaisesti voi kansallisessa lainsäädännössä toistaa eikä asetusta myöskään selittää tai tulkita. Kansallista erityislainsäädäntöä tulee lukea yhdessä tietosuoja-asetuksen ja tietosuojalain kanssa. Muuttuneen säädösympäristön johdosta ja selkeän oikeustilan varmistamiseksi erityislainsäädäntöä on tarkistettava ja saatettava vastaamaan tietosuoja-asetusta ja tietosuojalakia, vaikka normihierarkian näkökulmasta ristiriitatilanteiden ratkaiseminen asetuksen eduksi on selkeää.

Tietosuoja-asetuksessa säädetään henkilötietojen käsittelystä. Ulkomaalaisrekisterilain sääntelytekniikka on rekisterilähtöinen, sillä siinä säädetään ulkomaalaisrekisteristä. Rekisterilähtöinen sääntelytapa on käytössä myös muussa maahanmuuttohallinnon lainsäädännössä. Sääntelytapa on ollut perusteltu ja tavanomainen erityisesti aikana ennen rekistereiden siirtymistä sähköiseen asianhallintaan. Viimeisten vuosikymmenien aikana tapahtunut tietojärjestelmien kehitys on kuitenkin mahdollistanut luopumisen henkilötietojen käsittelyalustoina toimivia rekistereitä koskevasta sääntelystä sekä keskittymisen säätämään henkilötietojen käsittelystä, yksityisyyden suojan ytimestä. Tämä lähtökohta omaksuttiin jo vuonna 1999 voimaan tulleessa henkilötietolaissa ja tietosuojalaki noudattaa samaa lähtökohtaa. Maahanmuuttohallinnossa tähän asti noudatettu rekisterilähtöinen sääntelytapa on vanhanaikainen sekä vaikeasti yhteensovitettavissa kansallisen yleis- ja erityislainsäädännön sekä tietosuoja-asetuksen kanssa. Maahanmuuttohallinnon rekisterisääntelyn pirstaloituneisuutta ulkomaalaisrekisterilain ja muun lainsäädännön välillä on myös pidettävä epätarkoituksenmukaisena kokonaisratkaisuna. Sekä lakia soveltavan viranomaisen, että rekisteröidyn oikeuksien näkökulmasta olisi tarkoituksenmukaista käsitellä tietyssä tarkoituksessa käsiteltävää henkilötietoa lähtökohtaisesti samojen säännösten nojalla riippumatta siitä, mihin hallinnonalan useista laeista viranomaisen toimivalta perustuu tai missä tietojärjestelmässä tietoa tosiasiallisesti hallinnoidaan. Käsittelytarkoituslähtöinen sääntelymalli olisi yhtenäinen EU:n tietosuojasääntelyn sekä myös kansallisen tietosuojaa koskevan yleislainsäädännön kanssa.

Ulkomaalaisrekisterilaki sisältää sääntelyä, josta tietosuoja-asetuksen sekä tietosuojalain lisäksi ei tule enää säätää erityislainsäädännössä. Tällaisia kokonaisuuksia ovat esimerkiksi rekisteröidyn oikeudet, henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturva ja henkilötietojen käsittely tilastointitarkoituksiin. Tietosuoja-asetuksen määritelmä rekisterinpitäjälle poikkeaa voimassaolevassa ulkomaalaisrekisterilaissa omaksutusta. Tietosuoja-asetuksesta seuraa myös tiettyjä mahdollisuuksia, joiden toteuttaminen edellyttää maahanmuuttohallinnon rekisterilainsäädännön tarkistamista. Tietosuoja-asetus edellyttää säädettävän esimerkiksi automaattisesta päätöksenteosta kansallisessa lainsäädännössä, mikäli tällaista menettelyä halutaan soveltaa.

Perustuslakivaliokunta on kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 2/2018 vp, s. 4—8, 11, PeVL 49/2017 vp, s. 3, PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Perustuslakivaliokunta on tietosuoja-asetuksen soveltamisen alkamisen johdosta katsonut olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista (PeVL 14/2018 vp). Valiokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen tietosuojalain nojalla. Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita koskevan laintasoisen sääntelyn. Perustuslakivaliokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 14/2018 vp, s. 4—5, PeVL 31/2017 vp, s. 4, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa (PeVL 14/2018 vp, s. 5).

Perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Valiokunta on kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6). Maahanmuuttohallinnossa käsiteltävät tiedot koskevat usein arkaluonteisia henkilötietoja. Voimassa olevassa lainsäädännössä ei ole riittävästi huomioitu arkaluonteisten henkilötietojen erityisestä luonteesta seuraavaa tarvetta säätää näiden tietojen käsittelystä riittävän yksityiskohtaisesti. Yksilön oikeuksien toteuttamiseksi sekä oikeusturvanäkökulmasta on välttämätöntä säätää henkilötietojen käsittelystä maahanmuuttohallinnossa tietosuoja-asetusta ja tietosuojalakia täydentävästi. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön.

Perustuslakivaliokunta on lausunnossaan (PeVL 14/2018 vp, s. 4) kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Oikeusministeriön helmikuussa 2016 asettaman työryhmän (OM006:00/2016, TATTI-työryhmä) loppumietinnössä viitataan siihen, että tietosuoja-asetuksen johdanto-osan 45 kappaleen mukaan käsittelyllä tulisi joka tapauksessa olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tämä tarkoittaa, että viranomaisen tehtävä ja toimivaltuudet tulee kuvata lainsäädännössä niin, että henkilötietojen käsittelyn oikeusperusta ja tarkoitus voidaan perustellusti siitä johtaa toiminnan tavoite huomioon ottaen. Työryhmä viittaa kuitenkin myös siihen, että mainitussa johdanto-osan kappaleessa selvennetään, ettei tietosuoja-asetuksessa edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi siten olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteisen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi (TATTI-työryhmän mietintö s. 33). Perustuslakivaliokunnalla ei ole ollut huomauttamista tähän TATTI-työryhmän määrittelemään lähtökohtaan.

Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista. Niitä ovat henkilötietojen käsittelyn lainmukaisuus-, kohtuullisuus- ja läpinäkyvyysvaatimus, käyttötarkoitussidonnaisuus, tietojen minimointi, henkilötietojen täsmällisyys ja henkilötietojen säilytyksen rajaaminen. Koska asetus ei edellytä erityistä täytäntöönpanoa, periaatteiden osalta on asetuksen 6 artiklan 2 kohdan mukaisesti säädettävä täsmentävästi siltä osin kuin näillä erityisillä vaatimuksilla varmistetaan laillinen ja asianmukainen tietojenkäsittely.

3.2 Lain rakenne ja soveltamisala

Ulkomaalaisrekisterilakiin sisältyy yhteensä seitsemäntoista pykälää mutta se on useiden muutosten myötä muodostunut rakenteeltaan jossain määrin epäloogiseksi. Lain rakenteen uudelleenarviointi on edellytys perustuslakivaliokunnan edellyttämälle sääntelyn selkeydelle.

Rekisterilähtöisessä sääntelyssä lain soveltamisala on sidottu henkilötietojen keräämiseen ja tallentamiseen henkilörekisteriin sekä siihen tallennettujen tietojen käyttämiseen ja luovuttamiseen. Käyttötarkoitussidonnainen sääntelytapa puolestaan edellyttää lain soveltamisalan määrittämisen sen nojalla, missä tarkoituksessa henkilötietoja käsitellään. Lain soveltamisala olisi siten irrotettava rekistereistä ja tietojärjestelmistä. Koska henkilötietojen käsittely maahanmuuttohallinnossa olisi tarkoituksenmukaista keskittää yhteen lakiin, lain soveltamisala olisi laajennettava kattamaan voimassaolevan ulkomaalaisrekisterilain 2 §:ään sisältyvän rekisterinpitotarkoituksen lisäksi myös ne tarkoitukset, joissa vastaanottolain, säilölain ja kotoutumislain nojalla pidetään esityksessä aiemmin jaksossa 2.1.2 kuvattuja rekistereitä. Lain soveltajan näkökulmasta ja selkeyden vuoksi olisi perusteltua, että soveltamisala ei olisi päällekkäinen muiden henkilötietolakien soveltamisalojen kanssa.

Ulkomaalaisrekisterilaissa on jossain määrin ylisääntelyn piirteitä siten, että se sisältää varsin yksityiskohtaista sääntelyä tilanteissa, joissa se ei ole enää välttämätöntä, kuten tietosisällön tai henkilöllisen ulottuvuuden osalta. Yksityiskohtainen sääntely aiheuttaa myös jatkuvia lainmuutostarpeita. Lisäksi ulkomaalaisrekisterilaissa säädetään tiedonsaantioikeuksista ja tietojen luovuttamisesta silloinkin, kun niistä on jo säädetty muussa laissa. Säätämistapa on lain soveltajan kannalta ongelmallinen, koska tiedonvaihdon lainmukaisuus on tarkistettava vähintään kahdesta eri viranomaista koskevasta erityislaista. Lakiteknisesti tällainen kaksinkertainen sääntelytapa on kuitenkin omaksuttu yleisesti suomalaiseen oikeusjärjestelmään.

3.3 Rekisterinpito

Ulkomaalaisrekisterillä on laaja joukko rekisterinpitäjiä. Myös vastaanoton asiakasrekistereillä ja edustajarekisterillä sekä säilön asiakasrekistereillä ja vierailijarekisterillä on useita rekisterinpitäjiä.

Tietosuoja-asetuksen 4 artiklan 7 alakohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, "joka joko yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot". Edelleen todetaan, että jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjää tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti. Tietosuoja-asetuksen 4 artiklan 8 alakohdan mukaan henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, ”joka käsittelee henkilötietoja rekisterinpitäjän lukuun”. Tietosuoja-asetus ei määritä toimijoille muita rooleja.

Voimassaolevan lainsäädännön mukaisten rekisterinpitäjien roolia on arvioitava suhteessa tietosuoja-asetuksen asettamiin edellytyksiin eikä asiaan liity kansallista liikkumavaraa. On arvioitu, että osa voimassa olevan lainsäädännön mukaisista rekisterinpitäjistä olisi tietosuoja-asetuksen näkökulmasta rekisterinpitäjiä myös jatkossa, mutta osalla viranomaisista ei jatkossa olisi rekisterinpitäjän tai henkilötietojen käsittelijän roolia ehdotettavan maahanmuuttohallinnon henkilötietolain piirissä. Tällöin olisi säädettävä erikseen näiden toimijoiden tiedonsaantioikeuksista. Voimassaolevassa lainsäädännössä rekisterinpitäjien määrittämisessä merkitystä on annettu muun muassa mahdollisuudelle tallentaa tietoja ulkomaalaisrekisteriin, jolloin tämän oikeuden antaminen on edellyttänyt kyseisen viranomaisen määrittämistä rekisterinpitäjäksi. Esityksen valmistelussa tietosuoja-asetuksen rekisterinpitäjän määritelmää on tulkittu siten, että viranomainen on rekisterinpitäjä, jos se käsittelee henkilötietoja omiin itsenäisiin tarkoituksiinsa omaten asiassa harkintavaltaa.

Tietosuoja-asetuksen 26 artiklan mukaan ”jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot”, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Erityisesti järjestelyssä on määritettävä vastuut rekisteröityjen oikeuksien käytön sekä tietosuoja-asetuksen 13 ja 14 artiklan tietojen toimittamista koskevien velvollisuuksien osalta. Järjestelyn yhteydessä voidaan nimetä rekisteröidyille yhteyspiste. Järjestelystä on käytävä asianmukaisesti ilmi yhteisrekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Järjestelyn keskeisten osien olisi oltava rekisteröidyn saatavilla. Tietosuoja-asetuksen johdanto-osan 79 kappaleessa on lisäksi tarkennettu, että rekisterinpitäjien velvollisuudet ja vastuut esimerkiksi valvontaviranomaisen suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttävät, että asetuksessa säädetyt vastuualueet jaetaan selkeästi myös silloin, kun kyse on yhteisrekisterinpitäjistä. Ne maahanmuuttohallinnossa toimivat viranomaiset, jotka ovat tietosuoja-asetuksen nojalla rekisterinpitäjiä, ovat tosiasiallisesti myös yhteisrekisterinpitäjiä, joiden välisistä rooleista ja suhteista olisi säädettävä.

3.4 Rekisteröidyn oikeudet

Nyttemmin tietosuojalailla kumotun henkilötietolain 6 luku sisälsi säännökset rekisteröidyn oikeuksista. Ulkomaalaisrekisterilaissa ei ole säädetty erikseen rekisteröidyn oikeuksista lukuun ottamatta 4 a §:ssä poliisin ulkomaalaisrekisterissä pitämien tietojen osalta. Vastaanottolain 51 §:ssä viitataan puolestaan rekisteröidyn oikeuksien osalta henkilötietolain 6 lukuun. Rekisteröidyn oikeudet turvataan nykyään tietosuoja-asetuksessa. Tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia koskevassa luvussa on säännökset muun muassa rekisteröidyn informoinnista (12—14 artikla), rekisteröidyn oikeudesta saada pääsy tietoihin (15 artikla), oikeudesta tietojen oikaisemiseen (16 artikla), oikeudesta tietojen poistamiseen (17 artikla), oikeudesta käsittelyn rajoittamiseen (18 artikla), henkilötietojen oikaisua tai poistoa tai käsittelyn rajoitusta koskevasta ilmoitusvelvollisuudesta (19 artikla), oikeudesta siirtää tiedot järjestelmästä toiseen (artikla 20) ja vastustamisoikeudesta (21 artikla) sekä automatisoiduista yksittäispäätöksistä (22 artikla). Rekisteröidyn oikeuksien turvaaminen toteutuu lähtökohtaisesti suoraan tietosuoja-asetuksen nojalla.

Tietosuoja-asetuksen 23 artiklan nojalla rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12—22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata a) kansallinen turvallisuus; b) puolustus; c) yleinen turvallisuus; d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy; e) muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva; f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu; g) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano; h) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a—e ja g alakohdassa tarkoitetuissa tapauksissa; i) rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet; j) yksityisoikeudellisten kanteiden täytäntöönpano. Lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin a) käsittelytarkoitusta tai käsittelyn ryhmiä; b) henkilötietoryhmiä; c) käyttöön otettujen rajoitusten soveltamisalaa; d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen; e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä; f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja h) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen.

Tietosuojalaissa on säädetty tietyistä tietosuoja-asetuksen mahdollistamista rajoituksista rekisteröidyn oikeuksiin. Tietyissä tarkasti rajatuissa tilanteissa rekisteröidyn oikeuksia on kuitenkin tarpeen jatkossa rajoittaa erityislainsäädännössä rekisteröidyn yksityisyyden turvaamiseksi. Tarve rajoituksille liittyy tilanteisiin, joissa henkilön identiteettiä suojataan säätämällä yksilöidyistä tietojen poistoajoista tai virheellisen tiedon säilyttämisestä. Rekisteröidyn oikeudet tulevat näistä yksittäisistä rajoituksista huolimatta kattavasti suojatuksi tietosuoja-asetuksessa säädetyillä rekisteröidyn oikeuksilla.

3.5 Erityiset henkilötietoryhmät

Tietosuoja-asetuksen 9 artiklassa säädetään erityisten henkilötietoryhmien käsittelystä. Lähtökohtaisesti erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on kiellettyä. Tällaisina erityisinä henkilötietoryhminä pidetään 9 artiklan 1 kohdan mukaan henkilötietoja, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Tämän lisäksi geneettisten tai biometristen henkilötietojen tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Tietosuoja-asetuksen 9 artiklan 2 kohdassa on säädetty tilanteista, joissa näitä tietoja on mahdollista käsitellä. Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan mukaan tietoja voidaan käsitellä, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Tietosuoja-asetuksen 10 artiklassa säädetään rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja ei voida suoraan rinnastaa tietosuoja-asetuksen 9 artiklassa määriteltyihin erityisiin henkilötietoryhmiin. Perustuslain säädöshierarkkisesta asemasta johtuen on selvää, että myöskään valiokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioimat tiedot eivät alaltaan tyhjentävästi samaistu henkilötietolain sääntelyyn. Perustuslakivaliokunta on johdonmukaisesti katsonut, että esimerkiksi biometriset tunnistetiedot rinnastuvat arkaluonteisiin tietoihin (ks. esim. PeVL 13/2016 vp, s. 4). Perustuslakivaliokunta on todennut, että sen käsityksen mukaan tietosuoja-asetuksen riskiperustaisesta lähestymistavasta seuraa, että kansallista yksityiskohtaista ja täsmällistä lainsäädäntöä voidaan säätää myös silloin, kun tietojen käsittely muodostaa erityisen riskin muulla kuin asetuksen 9 tai 10 artiklassa säädetyllä perusteella. Kansallisen sääntelyn tulee tällöinkin olla yhteensopivaa asetuksen 6 artiklan kanssa. Valiokunnan käsityksen mukaan valtiosääntöisesti arkaluonteisiksi arvioitavien henkilötietojen käsittelystä voidaan myös tietosuoja-asetuksen puitteissa säätää yksityiskohtaisesti. Perustuslakivaliokunta on kiinnittänyt erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (PeVL 15/2018 vp s. 38—39). Perustuslakivaliokunta on todennut, että vaikka on edelleen perusteltua kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi, EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp, s. 9).

Tietosuoja-asetus mahdollistaa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä säätämisen kansallisella lailla edellyttäen, että asetuksessa säädetyt erityiset edellytykset täyttyvät. Tietosuojalain 6 §:n 1 momentin 2 kohdassa on erikseen täsmennetty, että tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Tietosuojalain 6 §:n 2 momentissa todetaan, että käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Momentti sisältää 11 kohdan listan toimenpiteistä, joilla on esimerkiksi jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty, toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista sekä rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin.

Perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn laintasoisuutta koskevan käytännön pohjalta. Siinä arkaluonteisten tietojen käsittely on rajattu täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 14/2018 vp).

Tietosuoja-asetuksen erityisiksi henkilötietoryhmiksi määrittelemiä henkilötietoja koskeva sääntely voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa ja säilölaissa ei sisällöltään kaikilta osin vastaa tietosuoja-asetuksen sääntelyä. Tietosuoja-asetuksessa erityisiksi henkilötietoryhmiksi määriteltyjen henkilötietojen sääntely edellyttää lisäksi yhteensovittamista kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavien tietojen kanssa. Kaiken kaikkiaan sääntely on lisäksi monimutkaista eikä tue riskiperusteista lähestymistapaa, joka korostaa erityisten henkilötietoryhmien käsittelyn edellyttämää erityistä huolellisuutta. Sääntelyn selkeyttämiseksi ja riskiperusteisen lähestymistavan toteuttamiseksi tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvia tietoja, tietosuoja-asetuksen 10 artiklan mukaisia erityisin edellytyksin käsiteltäviä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavia tietoja koskevaa sääntelyä tulee yhtenäistää sekä tietyin osin merkittävästi täsmentää.

3.6 Automatisoidut yksittäispäätökset

Tietosuoja-asetuksen 22 artiklan 1 kohdan lähtökohtana on rekisteröidyn oikeus olla joutumatta pelkästään automaattiseen päätöksentekoon perustuvan päätöksen kohteeksi. Artiklan toisessa kohdassa listataan puolestaan sallitut poikkeukset tähän lähtökohtaan. Säännöksen mukaan päätös voidaan tehdä automaattisessa käsittelyssä, jos se on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

Nykyisellään ulkomaalaisrekisterilakiin tai muuhun maahanmuuttohallinnon kansalliseen lainsäädäntöön ei sisälly sääntelyä pelkästään automaattiseen käsittelyyn perustuvasta päätöksenteosta eli päätöksistä, jotka perustuvat yksinomaan automatisoituun tietojenkäsittelyyn ilman luonnollisen henkilön myötävaikutusta. Tietosuoja-asetuksella kumottu henkilötietodirektiivi sisälsi jo tietosuoja-asetuksen 22 artiklaa vastaavasti automatisoituja yksittäispäätöksiä koskevan säännöksen. Direktiivin säännös pantiin Suomessa täytäntöön säätämällä kumotun henkilötietolain (523/1999) 31 §:ssä, että ainoastaan automatisoituun tietojenkäsittelyyn perustuva päätös oli sallittu vain, jos siitä oli laissa säädetty. Maahanmuuttohallinnon erityislainsäädännössä olevalle kansalliselle säännökselle ei kuitenkaan aiemmin ole ollut tarvetta, sillä Maahanmuuttovirastolla ei ole aiemmin ollut tarvittavia valmiuksia tai soveltuvaa tekniikkaa pelkästään automaattiseen käsittelyyn perustuvan päätöksenteon mahdollistamiseksi. Sinällään automaattista tietojenkäsittelyä, kuten automaattisia rekisteritarkistuksia, hyödynnetään Maahanmuuttoviraston toiminnassa jo laajasti. Maahanmuuttovirasto on sittemmin tekniikan kehittyessä ja osana ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämistä parantanut edellytyksiään ottaa myös kokonaan automaattinen päätöksenteko käyttöön.

Automaattisten yksittäispäätösten tekemisen mahdollistaminen on tullut ajankohtaiseksi erityisesti Maahanmuuttovirastossa vireille tulleiden asioiden lukumäärän kasvun myötä. Vuosikymmenen vaihteessa Maahanmuuttovirastossa tuli vireille alle 40 000 hakemusta vuodessa, kun taas huippuvuonna 2015 hakemuksia tuli yli 120 000, minkä jälkeen vuosittaisten Maahanmuuttovirastossa vireille tulleiden hakemusten määrä on vakiintunut yli 100 000 vuosittaisen hakemuksen tasolle. Osaltaan tähän on vaikuttanut esimerkiksi oleskelulupien jatkamiseen ja EU-kansalaisen oleskeluun liittyvien asioiden siirtyminen poliisilta Maahanmuuttoviraston käsiteltäväksi vuoden 2017 alussa.

Hakemusmäärän huomattava kasvu on edellyttänyt Maahanmuuttovirastolta käsittelyprosessien uudistamista ja tehostamista, sillä perustuslain 21 §:n 1 momentin viivytyksettömän ja asianmukaisen viranomaistoiminnan edellytysten mukaisesti jokaisen hakijan on saatava ratkaisu asiaansa kohtuullisessa ajassa, vaikka hakemusten käsittelyyn käytettävät resurssit eivät voi olla rajattomat. Automaattiseen käsittelyyn perustuva päätöksenteko tietyissä rajatuissa asiaryhmissä palvelisi näitä tavoitteita. Esimerkiksi suurin osa kansalaisuushakemuksista ja -ilmoituksista sekä jatko- ja pysyviä oleskelulupia koskevista hakemuksista olisi mahdollista siirtää vaiheittain automaattiseen päätöksentekojärjestelmään.

Maahanmuuttoviraston päätöksentekoprosesseja on tehostettava niin, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Perustuslakivaliokunnalla ei ole ollut huomauttamista Maahanmuuttoviraston päätöksenteon automatisoinnin tehostamispäämäärän suhteen (PeVL 62/2018 vp, s. 7). Myös oikeusturvan ja hyvän hallinnon vaatimukset edellyttävät, että tietosuoja-asetuksen 22 artiklan mukaisessa automaattisessa päätöksentekomenettelyssä noudatettavista menettelyistä säädetään erikseen lain tasolla.

Perustuslakivaliokunta kiinnitti lausunnossaan PeVL 62/2018 vp, s. 9 huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti sääntelemättömiä kysymyksiä ja edellytti oikeusministeriön tekevän selvityksen asiasta ja yleislainsäädännön alan sääntelytarpeesta. Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarjassa kesäkuussa 2019 julkaistussa Algoritmi päätöksentekijänä? -selvityshankkeessa (2019:44, s. 136–138) esitettiin algoritmisen päätöksenteon edellytyksistä sääntelemistä lailla, joskin suositeltavimpana vaihtoehtona pidettiin yleislain ja erityislainsäädännön yhdistelmää. Edellä esitetyistä syistä Maahanmuuttovirastossa automaattisen päätöksenteon mahdollistaminen on kuitenkin välttämätöntä toteuttaa.

3.7 Asiakirjajulkisuus

Sääntelyn hajanaisuus

Nykyisellään maahanmuuttohallinnossa käsiteltävien tietojen salassapidosta on säädetty sekä yleis- että erityislainsäädännössä. Ulkomaalaisrekisterilaki on tullut voimaan vuonna 1998 ja julkisuuslaki tämän jälkeen vuonna 1999. Julkisuuslain esitöiden (HE 30/1998 vp, s. 85) mukaan tavoitteena on ollut laatia sellaiset yleissäännökset, jotka vähentäisivät tarvetta erityissäännöksiin muissa laeissa.

Ulkomaalaisrekisterilain salassapitosäännöstä ei muutettu julkisuuslainsäädännön kokonaisuudistuksen (HE 30/1998 vp) yhteydessä. Uudistuksen yhteydessä kumottiin ulkomaalaislain (378/1991) 65 §, joka sisälsi julkisuusolettamaan perustuvan salassapitosäännöksen turvapaikanhakijoiden osalta. Samalla julkisuuslain 24 §:n 1 momentin 24 kohtaan lisättiin salassapito-olettamaan perustuva salassapitosäännös, jossa salassapito laajennettiin koskemaan myös pakolaista sekä oleskeluluvan ja viisumin hakijaa koskevia tietoja (HE 30/1998 vp, s. 97). Hallintovaliokunta totesi mietinnössään (HaVM 31/1998 vp, s. 18—19), että muutoksella poistetaan ulkomaalaislain ja ulkomaalaisrekisteristä annetun lain 11 §:n välinen epäjohdonmukaisuus. Hallintovaliokunta piti julkisuuslakiin lisättyä kohtaa tarpeellisena muiden viranomaisten hallussa olevien muun muassa turvapaikanhakijaa ja pakolaista koskevien tietojen suojaamiseksi.

Julkisuuslain esitöissä ehdotettiin, että lainvalmistelun ohjauksen avulla huolehdittaisiin salassapitoperusteiden yhtenäistymisestä siten, että uutta lainsäädäntöä valmisteltaessa vältettäisiin uusien salassapitosäännösten ottamista erityislakeihin ja ensisijaisesti täydennettäisiin yleislakia esiin tulevien tarpeiden mukaan (HE 30/1998 vp, s. 87). Myös eduskunta korosti julkisuuslainsäädännön kokonaisuudistuksen yhteydessä erityisesti sitä, että vastaisuudessa tulee suhtautua mahdollisimman pidättyvästi viranomaisten tietojen salassapitoa koskevien säännösten sijoittamiseen erityislainsäädäntöön (EV 303/1998 vp, s. 1, HaVM 31/1998 vp, s. 7/II, ks. myös PeVL 2/2008 vp, s. 2). Perustuslakivaliokunta muistutti maahanmuuttohallinnon henkilötietolakiesitystä koskevassa lausunnossaan (PeVL 62/2018 vp, s. 9) eduskunnan julkisuuslain kokonaisuudistuksen yhteydessä omaksumasta pidättyvästä suhtautumisesta salassapitosäännösten sijoittamiseen erityislainsäädäntöön.

Ulkomaalaisrekisterilain salassapitosäännös on aikanaan säädetty maahanmuuttohallinnon erityistarpeita silmällä pitäen. Julkisuuslain kokonaisuudistuksen yhteydessä hallintovaliokunta totesi, että ulkomaalaisrekisteristä annetun lain 11 §:n sisältöä ja tarpeellisuutta voidaan arvioida erikseen julkisuuslain tultua säädetyksi (HaVM 31/1998 vp, s. 19). Ulkomaalaisrekisterilain 11 §:n salassapitosäännöstä ei ole kuitenkaan julkisuuslain voimaantulon jälkeen tarkistettu, eikä sen suhdetta julkisuuslain 24 §:n 1 momentin 24 kohtaan ole arvioitu, vaan maahanmuuttohallinnon asiakirjojen julkisuutta on kaksikymmentä vuotta säännelty julkisuuslain ja ulkomaalaisrekisterilain yhdistelmällä. Perustuslakivaliokunta totesi lausunnossaan PeVL 62/2018 vp., että ulkomaalaisrekisterilain 11 §:ää vastaavan säännöksen sisältöä ja sen suhdetta julkisuuslakiin on välttämätöntä selkeyttää. Nykyistä sääntelykokonaisuutta voikin pitää vaikeaselkoisena sekä osin puutteellisena. Sääntelyn osittainen päällekkäisyys ja yhteismitattomuus sekä tarve sen selkeyttämiselle ja soveltamiskäytännön yhtenäistämiselle puoltavat sääntelyn keskittämistä yleislakiin.

Soveltamisala

Sekä julkisuuslaissa että ulkomaalaisrekisterilaissa on erityisesti maahanmuuttohallinnon asiakkaiden henkilötietoihin kohdistuva salassapitoperuste. Säännökset eroavat kuitenkin toisistaan soveltamisalaan kuuluvien henkilöiden ja asiakirjojen, vahinkoedellytyslausekkeen sisällön sekä säännöstä soveltavien viranomaisten osalta.

Julkisuuslain 24 §:n 1 momentin 24 kohdan salassapitoperusteen asiakirjakohtainen soveltamisala on ulkomaalaisrekisterilain säännöstä laajempi. Säännöstä sovelletaan paitsi viranomaiselle toimitettuihin tietoihin ja asiakirjoihin, myös hallintopäätöksiin ja viranomaisen itsensä tuottamiin asiakirjoihin, kuten asianosaiselle lähetettäviin lausunto-, selvitys- ja täydennyspyyntöihin. Silloin kun ulkomaalaisrekisterilain 3 §:n mukaiset rekisterinpitäjät käsittelevät asiakirjoja ja tietoja ulkomaalaislain, kansalaisuuslain, ICT-lain, kausityölain tai tutkija- ja opiskelijalain nojalla, noudatetaan niille toimitettujen tietojen salassapidon osalta niin hakija- kuin viranomaisaloitteisissakin asioissa ulkomaalaisrekisterilain 11 §:ää. Ulkomaalaisrekisterilain 11 § soveltuu kuitenkin vain, jos kyse on ulkomaalaisrekisterinpitäjän rekisterin käyttötarkoituksen mukaisessa asiassa saamasta tiedosta tai asiakirjasta. Korkein hallinto-oikeus on ratkaisukäytännössään (KHO 2013:120–121) korostanut, että ulkomaalaisrekisterilain salassapitosäännöstä on poikkeussäännöksenä tulkittava suppeasti eikä sitä voida soveltaa muihin kuin lain 2 §:n mukaisten tehtävien hoitamista varten saatuihin tietoihin ja asiakirjoihin. Viranomaisten tekemissä hallintopäätöksissä ei ole kyse ulkomaalaisrekisterilain 11 §:n mukaisista, tehtävien hoitamista varten saaduista tiedoista ja asiakirjoista, vaan niiden osalta on sovellettava julkisuuslakia. Tällöin julkisuuslain 24 §:n 1 momentin 24 kohdan mukainen salassapito täydentää ulkomaalaisrekisterilain 11 §:ssä säädettyä salassapitoa hallintopäätösten ja viranomaisten itsensä tuottamien asiakirjojen osalta.

Julkisuuslain salassapitosäännöksen henkilöllinen soveltamisala on kuitenkin ulkomaalaisrekisterilakia kapeampi. Ulkomaalaisrekisterilain säännöksen soveltamisalaan kuuluvat unionin kansalaisen ja häneen rinnastettavan henkilön sekä näiden perheenjäsenten oleskelua koskevat tiedot (jatkossa oikeuttaan vapaaseen liikkuvuuteen käyttäneet). Koska julkisuuslain säännös on rajattu koskemaan vain pakolaista, turvapaikan, oleskeluluvan tai viisumin hakijaa, oikeuttaan vapaaseen liikkuvuuteen käyttäneitä henkilöitä koskevat asiakirjat eivät kuulu soveltamisalaan. Jos unionin kansalainen oleskelee Suomessa yli kolme kuukautta, hänen on rekisteröitävä oleskelunsa ja samalla annettava selvitys siitä, että hän täyttää rekisteröinnin edellytykset. Rekisteröinnin perusteella annetaan rekisteröintitodistus. Unionin kansalaisen perheenjäsenelle, joka ei ole unionin kansalainen, myönnetään hakemuksesta unionin kansalaisen perheenjäsenen oleskelukortti, jos perheenkokoaja täyttää ulkomaalaislaissa säädetyt edellytykset. Oleskelukortti myönnetään, jos perheenjäsenellä on tarkoitus oleskella Suomessa yli kolme kuukautta.

Soveltamiskäytännössä on myös omaksuttu tulkinta, jonka mukaan kansalaisuusasioita koskevat asiakirjat eivät kuulu julkisuuslain 24 §:n 1 momentin 24 kohdassa säädetyn salassapidon piiriin. Julkisuuslaissa kansalaisuuspäätöstä ei ole mainittu salassa pidettävänä asiakirjana (KHO 3.7.2015/1905). Kansalaisuusasioissa tehdyt hallintopäätökset ja muut viranomaisten laatimat asiakirjat ovat siten jääneet nykyisessä soveltamiskäytännössä sekä julkisuuslain että ulkomaalaisrekisterilain säännösten muodostaman salassapidon soveltamisalan ulkopuolelle. Ulkomaalaisrekisterilain 11 §:n salassapitosäännöksen on kuitenkin katsottu soveltuvan kansalaisuushakemukseen ja siihen liittyviin viranomaiselle toimitettuihin asiakirjoihin sekä tietoihin. Näin myös ratkaisussa KHO 8.6.2017/2759, jossa korkein hallinto-oikeus katsoi, että kansalaisuushakemuksiin, kansalaisuuden saamisen edellytysten täyttymiseen liittyviin asiakirjoihin ja muihin asioiden käsittelyn yhteydessä kertyneisiin asiakirjoihin sisältyi tietoja, jotka ovat julkisuuslain 24 §:n 1 momentin, lähinnä sen 32 kohdan, perusteella salassa pidettäviä taikka jotka eivät olleet verotustietojen julkisuudesta ja salassapidosta annetun lain tai väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain perusteella luovutettavissa. Tämän lisäksi asiakirjat olivat ulkomaalaisrekisterilain 11 §:n perusteella salassa pidettäviä, sillä korkein hallinto-oikeus ei pitänyt ilmeisenä, että tiedon antaminen asiakirjoista ei aiheuttaisi vahinkoa tai haittaa asianosaisille tai heidän läheisilleen.

Kansalaisuuspäätökset koskevat useimmiten henkilöä, joka on ollut aiemmin julkisuuslain 24 §:n 1 momentin 24 kohdassa tarkoitettu pakolainen tai turvapaikan, oleskeluluvan tai viisumin hakija. Kansalaisuuden hakijan turvallisuuden suojaaminen saattaa eräissä tilanteissa olla edelleen yhtä välttämätöntä kuin kansainvälistä suojelua hakevan suojaaminen. Vaaran mahdollisuutta ei voida sulkea pois esimerkiksi sellaisissa tilanteissa, joissa on syytä epäillä kansalaisuuspäätöksen tietojen kiinnostavan vieraan valtion viranomaisia tavalla, joka voi vaarantaa henkilön, jonka tietoja käsitellään tai hänen läheisensä, turvallisuuden. Näissä tilanteissa vaaraa saattaa kohdistua erityisesti muualla kuin Suomessa oleskelevaan läheiseen.

Säännökset eroavat toisistaan myös siten, että julkisuuslain säännös koskee kaikkia julkisuuslain 4 §:ssä tarkoitettuja lain soveltamisalaan kuuluvia viranomaisia kun taas ulkomaalaisrekisterilain säännös on rajattu tiettyjen viranomaisten tiettyjen tehtävien hoitamista varten saamiin tietoihin ja asiakirjoihin. Silloin kun pakolaiseen tai turvapaikan, oleskeluluvan tai viisumin hakijaan liittyviä asiakirjoja käsittelee muu kuin ulkomaalaisrekisterilain 3 §:n mukainen viranomainen, asiakirjojen salassapidossa noudatetaan julkisuuslain 24 §:n 1 momentin 24 kohtaa.

Eräiden henkilöryhmien osalta voimassa olevaa sääntelyä voidaan kokonaisuudessaan pitää aukollisena. Maassa laittomasti oleskelevat jäävät sekä julkisuuslain 24 §:n 1 momentin 24 kohdan että ulkomaalaisrekisterilain 11 §:n salassapitosääntelyn soveltamisalan ulkopuolelle. Heidän tietojensa salassapitoon esimerkiksi turvallisuusperusteilla ei ole vastaavia mahdollisuuksia kuin muiden ulkomaalaisten tietojen salassapitoon, sillä maassa laittomasti oleskelemasta tavatut eivät välttämättä kuulu mihinkään julkisuuslain 24 §:n 1 momentin 24 kohdassa määriteltyyn henkilöryhmään, eivätkä myöskään ulkomaalaisrekisterilain salassapitosäännöksen soveltamisalaan. Laittomasti maassa oleskeleviin voi kohdistua vastaavia ulkomaalaislain tai kansalaisuuslain mukaisia toimenpiteitä kuin muihinkin ulkomaalaisiin. Maassa laittomasti oleskelemasta tavatun henkilön osalta viranomaisen täytyy yleensä aloittaa asiaan soveltuva prosessi, kuten maasta poistamismenettely, mutta tällaisen henkilön osalta kyseeseen voi tulla myös esimerkiksi kansalaisuuden määrittäminen. Näihin prosesseihin liittyvät asiakirjat jäävät voimassa olevan ulkomaalaisia koskevan salassapitosääntelyn ulkopuolelle, vaikka heitä koskevien tietojen julkisuuden osalta ei voitaisi sulkea pois mahdollista vaaraa heille tai heidän läheisilleen. Erityistä perustetta sille, miksi tämän voitaisiin katsoa olevan perusteltua, ei ole esitetty.

Julkisuuslain säännöksen soveltumista viranomaisaloitteisia asioita koskeviin asiakirjoihin on myös käytännössä pidetty joiltakin osin tulkinnanvaraisena. Viranomaisaloitteisissa asioissa on kyse tilanteista, joissa viranomainen, käytännössä Maahanmuuttovirasto, poliisi tai Rajavartiolaitos, käynnistää menettelyn, kuten käännyttämisen, karkottamisen, kansalaisuuden menettämisen tai pakolaisaseman peruuttamisen. Epäselvyyttä säännöksen soveltuvuudessa on aiheuttanut julkisuuslain sanamuoto, jossa salassapito on osin sidottu hakijalle tai näiden läheisille aiheutuviin seurauksiin. Ulkomaalaisrekisterilain 11 §:n salassapidon piiriin viranomaisaloitteiset asiat on lisätty 1.5.2019 voimaan tulleella lainmuutoksella. Myös viranomaisaloitteisissa asioissa on asianosaiselle tai hänen läheiselleen aiheutuvan vaaran mahdollisuus. Vaaraa voi aiheutua esimerkiksi tilanteessa, jossa turvapaikanhakijataustainen henkilö haluaa palata vapaaehtoisesti mahdollisesti hänelle hyvin kielteisiä tietoja, kuten tietoja tulojen hankkimisesta epärehellisin keinoin, seksuaalipalvelujen myymisestä, yleisen järjestyksen ja turvallisuuden vaarantamisesta tai väärien tietojen antamisesta, sisältävästä maasta poistamista koskevasta päätöksestä riippumatta. Tilanteissa, joissa asiassa aloitetaan esitutkinta, salassapito määräytyy julkisuuslain 24 §:n 1 momentin 3 kohdan nojalla.

Kahteen eri lakiin sisältyvät osin päällekkäiset, mutta osin soveltamisalaltaan epäsymmetriset salassapitosäännökset muodostavat vaikeasti hahmottuvan kokonaisuuden. Soveltamisalojen eroavuuden vuoksi myös säännösten vahinkoedellytyslausekkeet poikkeavat toisistaan.

Voimassa olevassa laissa olevat salassapitoperusteet suojaavat erityisesti maahanmuuton asiakkaalle tiedon julkisuudesta aiheutuvaa turvallisuuden vaarantumista taikka vahinkoa tai haittaa. Sen sijaan Maahanmuuttoviraston tutkintamenetelmien suojaamiseksi ei ole erityisiä salassapitoperusteita, vaikka mainittujen menetelmien tehokkuus ja samalla Maahanmuuttoviraston toimintaedellytykset perustuvat siihen, etteivät menetelmien yksityiskohdat ole yleisesti tiedossa ja asiakirjapyyntöjen perusteella rajoituksetta saatavilla.

4 Esityksen tavoitteet ja keskeiset ehdotukset

4.1 Tavoitteet

Esityksen tavoite on säätää uusi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Ehdotettavaan lakiin keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuton hallinnonalan lainsäädännöstä. Maahanmuuttohallinnon alaan kuuluvien henkilötietojen käsittelyn keskittäminen on perusteltua erityisesti siksi, että henkilötietojen käsittelytarpeet liittyvät erittäin läheisesti toisiinsa muodostaen yhtenäisen kokonaisuuden. Keskittäminen edistäisi henkilötietojen käsittelyn tavoitetta eli erityisesti rekisteröidyn etujen ja oikeuksien toteutumista parantaessaan rekisteröidyn mahdollisuutta hahmottaa henkilötietojensa käsittelyn tarkoitukset ja tunnistaa rekisterinpitäjät. Tämä mahdollistaa rekisteröidyn oikeuksien kattavamman käyttämisen. Keskittäminen palvelee myös maahanmuuttohallinnon toimintaa luodessaan yhdenmukaiset säännökset henkilötietojen käsittelylle. Laki korvaisi ulkomaalaisrekisterilain sekä rekisterisäännökset vastaanottolaissa, säilölaissa ja kotoutumislaissa. Tavoitteena on henkilötietolaki, joka vastaa toimintaympäristössä tapahtuneisiin muutoksiin ja nykyaikaisen henkilötietojen suojan vaatimuksiin sekä mahdollistaa uudet nykyaikaiset toimintatavat.

Tavoitteena on, että perustuslain 10 §:n 1 momentin mukainen vaatimus säätää henkilötietojen suojasta lailla täyttyy asianmukaisesti maahanmuuttohallinnossa. Samalla esityksen keskeinen tavoite on, että uusi henkilötietolaki täyttää EU:n tietosuojalainsäädännön vaatimukset. Tietosuoja-asetus on maahanmuuttohallinnossa käsiteltävien henkilötietojen ensisijainen säädös. Tietosuoja-asetusta täydentää kansallinen tietosuojalaki, joka on henkilötietojen käsittelyyn sovellettava yleislaki. Rikosasioiden tietosuojalaki tulee yleislakina sovellettavaksi silloin kun henkilötietoja käsitellään kansallisen turvallisuuden suojaamisen tarkoituksessa poliisin tai Rajavartiolaitoksen toimesta. Tätä kokonaisuutta täydentävä ja täsmentävä uusi maahanmuuttohallinnon henkilötietolaki ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta vaan sitä sovellettaisiin yhdessä edellä mainittujen säädösten kanssa.

Ehdotettavalla henkilötietolailla varmistettaisiin maahanmuuttohallinnon säännösten yhteensopivuus tietosuoja-asetuksen kanssa niin, että tietosuoja-asetuksen tarkentamat edellytykset henkilötietojen käsittelylle voidaan täyttää viranomaisten toiminnassa. Tietosuoja-asetusta ja kansallista tietosuojalakia täydennettäisiin nyt ehdotettavalla erityislainsäädännöllä vain siltä osin kuin se on välttämätöntä. Vastaavasti huomioitaisiin rikosasioiden tietosuojalain säännökset siltä osin kuin ehdotettava laki sisältää sen soveltamisalaan kuuluvaa sääntelyä. Sääntelyssä huomioitaisiin myös perustuslakivaliokunnan vaatimukset sääntelyn yksityiskohtaisuuden tasosta ja lainsäädännön selkeydestä (PeVL 14/2018 vp). Tavoitteena on, että jatkossa henkilötietojen käsittelystä maahanmuuttohallinnossa säädettäisiin kootusti yhdessä, nykyaikaisen henkilötietolain vaatimukset täyttävässä laissa, joka täydentää tietosuoja-asetusta, tietosuojalakia ja kansallisen turvallisuuden suojaamisen osalta rikosasioiden tietosuojalakia.

Unionin tietosuojalainsäädäntö sekä kansalliset yleis- ja erityislait muodostavat monikerroksisen ja siten melko monimutkaisen sääntelykokonaisuuden. Maahanmuuttohallinnon henkilötietolakiehdotuksen keskeisenä tavoitteena on - vallitsevat rakenteet huomioiden - henkilötietojen käsittelyä koskevan sääntelykokonaisuuden selkeyttäminen sekä lainsoveltajan että rekisteröidyn oikeuksien turvaamisen näkökulmasta. Tähän pyritään ehdottamalla maahanmuuttohallinnossa merkityksellisen henkilötietojen käsittelyä koskevan sääntelyn keskittämistä yhteen henkilötietolakiin, joka on mahdollisimman yleistajuinen, selkeä ja ymmärrettävä. Hallittu maahanmuutto on tärkeä yhteiskunnallinen tavoite, jonka toteutumiseen osaltaan vaikutetaan toimivalla ja nykyaikaisella henkilötietojen käsittelyn sääntelyllä. Esitys on välttämätön siksi, että henkilötietojen käsittely lain soveltamisalan piirissä on edellytys sille, että viranomaiset voivat toteuttaa niille asetettuja lakisääteisiä tehtäviä. Tämän lisäksi esitys on välttämätön siksi, että tavoitteena on suojata rekisteröitävien henkilöiden yksityisyyttä. Perustuslain 10 §:n mukainen yksityiselämän suoja edellyttää, että maahanmuuttohallinnossa käsiteltävien henkilötietojen suojasta on säädettävä nimenomaan lailla.

Maahanmuuttohallinnon henkilötietolakia sovellettaisiin varsin laajaan joukkoon pääasiassa ulkomaalaisia henkilöitä, joiden osalta tulee hyvin laajasti käsiteltäväksi henkilöiden yksityiselämään kuuluvia ja usein myös arkaluonteisia tietoja. Tietosuoja-asetuksen edellyttämä riskiperusteinen lähestymistapa puoltaa valittua sääntelytapaa, jossa otetaan huomioon sekä valtion että yksittäisen rekisteröidyn suojattavat edut. Näitä tavoitteita toteuttava lainsäädäntö myös lisää luottamusta suomalaiseen viranomaistoimintaan.

Esityksen keskeinen lähtökohta on, että laki henkilötietojen käsittelystä maahanmuuttohallinnossa perustuisi viranomaisten toimivaltaa koskeviin säännöksiin. Ehdotettava maahanmuuttohallinnon henkilötietolaki ei lähtökohtaisesti perustaisi toimivaltaa viranomaisille vaan viranomaisten toimivalta perustuisi muuhun hallinnonalan lainsäädäntöön. Henkilötietojen käsittelyä koskevilla säännöksillä ei voida säätää toimivallasta. Maahanmuuttohallinnon henkilötietolaissa ei säädettäisi asioista, joista toimivaltasäännöksissä on kertaalleen säädetty.

4.2 Toteuttamisvaihtoehdot

4.2.1 Rekisteri-, käyttötarkoitus- tai tietojärjestelmäperusteinen sääntely

Valmistelussa on tunnistettu käsittelytarkoituksiin sidotun lähtökohdan osalta tiettyjä haasteita liittyen maahanmuuttohallinnossa toimiviin jopa poikkeuksellisen lukuisiin viranomaisiin, jotka käsittelevät henkilötietoja useissa erilaisissa rooleissa ja varsin erilaisissa käsittelytarkoituksissa. Valmistelussa on tunnistettu haasteita myös useiden käytettävien tietojärjestelmien kokonaisuuteen sekä useiden henkilötietolakien osittain päällekkäisiin soveltamisaloihin liittyen. Kun henkilötietolakien soveltamisalat eivät ole sidoksissa helposti tunnistettaviin tietojärjestelmiin tai rekistereihin, vaan henkilötietojen käsittelytarkoituksiin, sovellettavan henkilötietolain tunnistaminen yksittäistapauksessa voi olla tulkinnanvaraista, jos on kyse usean viranomaisen henkilötietolain soveltamisalan piiriin kuuluvasta henkilötiedon käsittelytarkoituksesta. Tällainen tilanne on esimerkiksi henkilötiedon käsitteleminen kansallisen turvallisuuden suojaamisen tarkoituksessa.

Valmistelussa on, edellä esitetyt näkökannat huomioiden, arvioitu mahdollisuutta pitäytyä rekisteri- tai tietojärjestelmäpohjaisessa sääntelyssä käsittelytarkoituksiin sidotun sääntelyn sijaan. Käsittelytarkoituslähtöisyyden omaksumista puoltaa kuitenkin se, että se on lähtökohta sekä tietosuoja-asetuksessa, tietosuojalaissa että pääsääntöisesti muussa kansallisessa erityislainsäädännössä erityisesti sisäministeriön hallinnonalalla. Henkilötietolainsäädännössä ei muutenkaan tulisi säätää teknisistä ratkaisuista, vaan henkilötietojen käsittelyä koskevista säännöistä ja periaatteista, jotka ohjaavat käsittelyn mahdollistavia ja käsittelyä tukevia teknisiä ratkaisuja.

Koska tietosuoja-asetuksen lähtökohta on, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla, henkilötietojen käsittelyn sitominen tiettyyn rekisteriin tai osarekisteriin ei välttämättä toteuta käyttötarkoitussidonnaisuutta. Koska tietosuoja-asetuksen käyttötarkoituslähtöisyys velvoittaa suoraan sovellettavana joka tapauksessa, henkilötietojen käsittelyn sitominen tiettyyn alustaan olisi tietojen käsittelyn näkökulmasta merkityksetöntä.

On kuitenkin huomioitava, että rekisteriperusteinen ja käyttötarkoituslähtöinen sääntely eivät käytännössä tosiasiallisesti välttämättä eroa merkittävästi toisistaan, vaan kyse on lähinnä erilaisesta säännösten kirjoitustavasta.

4.2.2 Keskitetty tai hajautettu henkilötietojen sääntely

Maahanmuuttohallinnolla ei ole ollut keskitettyä henkilötietolakia, vaan henkilötietojen käsittelyä koskeva sääntely on hajautettu eri lakeihin. Ulkomaalaisrekisterilakiin on keskitetty tietyt säännökset, mutta osittain sääntely sisältyy muihin lakeihin. Hankkeessa on arvioitu mahdollisuutta pitäytyä jaottelussa, jossa henkilötietojen käsittelyä koskeva sääntely toteutettaisiin nykyistä jaottelua vastaavasti osittain nyt ehdotettavassa maahanmuuttohallinnon henkilötietolaissa ja osittain muussa lainsäädännössä. Tällöin maahanmuuttohallinnon uuden henkilötietolain soveltamisala olisi tässä esityksessä esitettyä rajatumpi. Muualle lainsäädäntöön jäävät säännökset olisi kuitenkin joka tapauksessa uudistettava paitsi kansallisista tarpeista niin myös EU:n tietosuojauudistuksen johdosta. Lisäksi voimassaolevan jaottelun on arvioitu perustuvan käytännössä enemmän historialliseen kehitykseen kuin perusteltuun ratkaisuun. On pidetty perusteltuna, että henkilötietoja käsitellään maahanmuuttohallinnon alalla jatkossa samojen säännösten nojalla riippumatta siitä, minkä lain mukaisesta käsittelytarkoituksesta on kyse. Keskitettyä sääntelytapaa puoltaa myös se, että henkilötietoja käytännössä käsitellään suurelta osin Maahanmuuttoviraston ylläpitämässä UMA-järjestelmässä. On tarkoituksenmukaista, vaikkakaan ei välttämätöntä, että samassa tietojärjestelmässä olevia henkilötietoja käsitellään samojen säännösten nojalla huomioiden kuitenkin tarvittavat käsittelyn erityispiirteet riittävän kattavasti.

4.2.3 Lain soveltamisala

Valmistelussa on arvioitu vaihtoehtoa, jossa kansallisen turvallisuuden suojaamisen tarkoituksessa toteutettu henkilötietojen käsittely jäisi maahanmuuttohallinnon henkilötietolain soveltamisalan ulkopuolelle silloin kun henkilötietoja ei käsitellä osana maahanmuuttoprosessia. Tällöin henkilötietojen käsittely tapahtuisi kyseisen viranomaisen, esimerkiksi poliisin, henkilötietolain nojalla. Tällöin maahanmuuttohallinnon henkilötietolain nojalla kerättyjen henkilötietojen käyttäminen kansallisen turvallisuuden suojaamisen tarkoituksessa toteutettaisiin joko tiedonluovutussäännöksellä tai säätämällä henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa. Tämä vaihtoehto sulkisi pois myös soveltamisalan kiinnittymisen rikosasioiden tietosuojalakiin, jota olisi lain selkeyden näkökulmasta pidettävä tarkoituksenmukaisena.

Esityksessä kuitenkin ehdotetaan, että maahanmuuttohallinnon henkilötietolain soveltamisala kattaisi henkilötietojen käsittelyn myös kansallisen turvallisuuden suojaamisen tarkoituksessa, koska henkilötietojen käsittely maahanmuuttohallinnossa on keskeinen osa sisäisen turvallisuuden toteuttamista. Tämän takia on edelleen välttämätöntä varmistaa maahanmuuttohallinnossa kerättyjen henkilötietojen käsittely kansallisen turvallisuuden suojaamisen tarkoituksessa nykytilaa vastaavasti.

4.2.4 Rekisterinpitäjät

Vaihtoehtona on arvioitu mallia, jossa rekisterinpitäjänä ulkomaalaisasioiden asiankäsittelyjärjestelmässä toimisi vain Maahanmuuttovirasto ja kansallisessa viisumitietojärjestelmässä vain ulkoministeriö. Tällöin muut viranomaiset toimisivat henkilötietojen käsittelijöinä tai asia ratkaistaisiin säätämällä tiedonluovutuksesta viranomaisten välillä. Valmisteluvaiheessa perusteena näille ratkaisuvaihtoehdolle on esitetty selkeys sekä se, että tiettyjen muiden viranomaisten osuus maahanmuuttohallinnon alalla käsiteltävistä henkilötiedoista on melko pieni ja tietoja käsitellään myös osana muiden viranomaisten prosesseja.

Eräät viranomaiset henkilötietojen käsittelijöinä

Maahanmuuttohallinnon henkilötietojen käsittelysäännösten keskittämistä on kansallisista tarpeista lähes poikkeuksetta pidetty tarkoituksenmukaisena sekä rekisteröidyn että lainsoveltajan näkökulmasta. Keskittämisen väistämätön seuraus on, että ehdotettavan lain soveltamisalan piirissä toimii paljon viranomaisia, koska maahanmuuttohallinnon alalla toimii poikkeuksellisen suuri määrä viranomaisia tehtävissä, joissa he käsittelevät henkilötietoja ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä. Lisäksi julkista hallintotehtävää hoitavat myös esimerkiksi yksityiset vastaanottokeskukset. Valmistelussa on arvioitu näiden maahanmuuttohallinnon henkilötietolain näkökulmasta merkityksellisten toimijoiden roolia tietosuoja-asetuksen näkökulmasta. Tietosuoja-asetuksen näkökulmasta toimijat ovat aina joko rekisterinpitäjiä (4 artiklan 7 alakohta) ollen tietyissä tilanteissa yhteisrekisterinpitäjiä (26 artikla) tai henkilötietojen käsittelijöitä (4 artiklan 8 alakohta).

Rekisterinpitäjän käsitteen tulkinta on kaiken kaikkiaan jossain määrin täsmentymätön sekä kansallisessa että unionin oikeudessa. Rekisterinpitäjä määriteltiin jo tietosuojadirektiivin (95/46/EY) 2 artiklan d alakohdassa ja määritelmä omaksuttiin tietosuoja-asetuksen 4 artiklan 7 alakohdassa. Tietosuoja-asetus itsessään ei tarjoa erityisen selkeitä kriteereitä rekisterinpitäjän määrittämiseksi tilanteessa, jossa näiden tehtävät ja toimivalta perustuvat lainsäädäntöön. Tietosuoja-asetuksen 24 artiklassa rekisterinpitäjän vastuusta säädetään, että rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan asetusta. Teknisistä toimenpiteistä vastaa käytännössä tietojärjestelmän ylläpitäjä, mutta organisatoristen toimenpiteiden toteuttamista voidaan pitää yhtenä rekisterinpitäjää määrittävänä osatekijänä. Tietosuojatyöryhmä on ottanut kantaa rekisterinpitäjän, henkilötietojen käsittelijän ja yhteisrekisterinpitäjän määritelmiin lausunnossaan 1/2010. Lausunnossaan tietosuojatyöryhmä on tuonut esiin rekisterinpitäjiä määrittävinä tekijöinä muun muassa sen, miksi henkilötietoja käsitellään, kenen tarkoituksiin henkilötietoja käsitellään, kuka henkilötietojen käsittelyn on aloittanut, onko tehtäviä mahdollista hoitaa ilman henkilötietojen käsittelyä sekä kenellä asiassa on harkinta- ja päätösvaltaa. Vaikka lausunto on melko vanha, sen peruslinjaukset ovat edelleen hyväksyttyjä EU-oikeudessa. Tietosuojatyöryhmä on lausunnossaan korostanut, että vastuuta jaetaan sinne, missä asiaan tosiasiallisesti vaikutetaan.

Ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalalla toimivien viranomaisten osalta tulee säätää, että ne ovat paitsi rekisterinpitäjiä niin myös yhteisrekisterinpitäjiä, koska ne määrittävät yhdessä käsittelyn tarkoitukset ja keinot. Tietosuojatyöryhmän antaman lausunnon 1/2010 mukaan pluralistisen vastuun mahdollisuuteen kuuluu yhä lukuisia tilanteita, joissa eri osapuolet toimivat rekisterinpitäjinä. Tämän yhteisvastuun arvioinnissa olisi otettava huomioon "yksinkertaisen" vastuun määrittäminen käyttäen aineellista ja toiminnallista lähestymistapaa ja keskittymällä siihen, onko tarkoituksen ja keinojen olennaisten osien määrittelijöinä ollut useampi osapuoli. Osapuolten osallistuminen tarkoituksen ja keinojen määrittelemiseen yhteisvastuun yhteydessä voi tapahtua eri muodoissa, eikä sen tarvitse olla tasapuolista. Itse asiassa jos toimijoita on monia, niillä voi olla tiiviit suhteet (esimerkiksi kaikki tietojen käsittelyn tarkoitukset ja keinot voivat olla samat) tai löyhemmät suhteet (esimerkiksi niillä voi olla yhteiset tarkoitus ja keinot, tai vain osa niistä voi olla yhteistä). Tämän vuoksi typologian suuri vaihtelevuus yhteisvastuussa olisi otettava huomioon ja arvioitava siitä aiheutuvat oikeudelliset seuraukset. Olisi myös hyväksyttävä tietty joustavuus, jotta pystyttäisiin kattamaan tietojen käsittelyn nykytilanteen mutkikkuus.

Unionin tuomioistuin totesi Google-tapauksen yhteydessä, että tietosuojadirektiivin 95/46/EY 2 artiklan d alakohdan rekisterinpitäjää koskevan säännöksen tavoitteena on varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti. (C-131/12, Google, 13.5.2014, kohta 34). Unionin tuomioistuimen mukaan rekisterinpitäjän käsitteellä ei välttämättä viitata yhteen ainoaan elimeen ja se voi koskea useita toimijoita, jotka osallistuvat mainittuun käsittelyyn, jolloin kuhunkin niistä sovelletaan tietosuojan alalla sovellettavia säännöksiä. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, kohta 29 ja C-25/17, Jehovan todistajat, 10.7.2018, kohta 65). Koska kyseisen säännöksen tavoitteena on varmistaa rekisteröityjen tehokas ja kattava suojelu määrittelemällä rekisterinpitäjän käsite laajasti, yhteisvastuu ei välttämättä merkitse henkilötietojen käsittelyyn osallistuvien eri toimijoiden samanlaista vastuuta. Kyseiset toimijat voivat päinvastoin osallistua henkilötietojen käsittelyyn eri vaiheissa ja eriasteisesti, joten niiden vastuun taso on arvioitava ottaen huomioon kaikki kyseisessä tapauksessa merkitykselliset seikat (C-210/16, Wirtschaftsakade-mie Schleswig-Holstein (Facebook), 5.6.2018, kohdat 28 ja 43 sekä C-25/17, Jehovan todistajat, 10.7.2018, kohta 66). Säännöksessä ei myöskään edellytetä, että silloin kun useampi toimija vastaa yhdessä samasta henkilötietojen käsittelystä, kaikilla niistä on pääsy kyseisiin henkilötietoihin. (C-210/16, Wirtschaftsakademie Schleswig-Holstein (Facebook), 5.6.2018, kohta 38).

Valmistelussa on tarkasteltu maahanmuuttohallinnossa toimivien viranomaisten lakisääteisiä tehtäviä. Ottaen huomioon tietosuoja-asetuksen, tietosuojatyöryhmän lausunnon ja unionin tuomioistuimen rekisterinpitäjälle ja yhteisrekisterinpitäjyydelle antaman määritelmän, ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalalla toimivaltaa luovan lainsäädännön nojalla toimivien viranomaisten tulee olla rekisterinpitäjiä ja näin ollen myös yhteisrekisterinpitäjiä. Maahanmuuttovirastoa ja ulkoasiainhallintoa ei voida määrittää ainoiksi rekisterinpitäjiksi maahanmuuttohallinnon henkilötietolain soveltamisalalla, koska tällöin muut maahanmuuttohallinnon henkilötietoja käsittelevät viranomaiset toimisivat henkilötietojen käsittelijöinä, joita ne niiden lakisääteiset tehtävät ja niihin liittyvä vastuuasema huomioiden eivät ole. Kahden rekisterinpitäjän malli ei ole asetuksenmukainen ratkaisu, vaikka siihen sisältyisi tiettyjä selkeyteen liittyviä etuja. Viranomaisten säätämisessä yhteisrekisterinpitäjiksi ei ole kyse tarkoituksenmukaisuusharkinnasta vaan tietosuoja-asetuksen edellytysten täyttämisestä.

Eräät viranomaiset tiedonluovuttajina ja -saajina

Valmistelussa on arvioitu vaihtoehtona usealle rekisterinpitäjälle myös sääntelyratkaisua, jossa rekisterinpitäjänä ulkomaalaisasioiden asiankäsittelyjärjestelmässä toimisi vain Maahanmuuttovirasto ja kansallisessa viisumitietojärjestelmässä vain ulkoministeriö mutta muut merkitykselliset viranomaiset eivät olisi henkilötietojen käsittelijöitä vaan näiden osalta säädettäisiin tietojen saamisesta ja luovuttamisesta. Näin on toimittu esimerkiksi poliisin henkilötietolaissa erityisesti Tullin ja Rajavartiolaitoksen osalta tilanteissa, joissa voimassa olevan lainsäädännön ja käytännön mukaisesti viranomaiset luovuttavat tietoja poliisille suorakäyttöisesti tallettamalla ne poliisin järjestelmään. Valmistelussa on kuitenkin tunnistettu, että poliisin tilanteessa on kyse toimimisesta eri henkilötietosäädösten välillä, jolloin tieto liikkuu luontevasti tiedonluovutussäännöksin: yksi viranomainen käsittelee henkilötietoja oman henkilötietolainsäädäntönsä nojalla ja luovuttaa ne toiselle viranomaiselle käsiteltäväksi tämän henkilötietolain nojalla. Tällöin kumpikaan viranomainen ei ole rekisterinpitäjä (tai henkilötietojen käsittelijä) toisen viranomaisen henkilötietolain nojalla. Nyt käsiteltävässä tilanteessa on kuitenkin kyse henkilötietojen käsittelystä yhden henkilötietolain eli maahanmuuttohallinnon henkilötietolain soveltamisalalla, jonka piirissä toimittaessa mikään viranomainen ei voi käsitellä henkilötietoja olematta käsiteltävän lain nojalla joko rekisterinpitäjä tai henkilötietojen käsittelijä. Tässä esityksessä rekisterinpitäjiksi ehdotettavista viranomaisista osalla on voimassa oleva henkilötietolaki mutta enemmistöllä ei. Näin ollen tiedonluovutuksen perustuva ratkaisu edellyttäisi erillisten henkilötietolakien säätämistä kaikille viranomaisille, jota ei ole pidettävä tarkoituksenmukaisena ratkaisuna eikä se vastaisi valmistelussa lähes poikkeuksetta tuettua sääntelymallia, jossa maahanmuuttohallinnossa toimivien viranomaisten henkilötietojen käsittelyä koskeva sääntely keskitettäisiin yhteen lakiin.

4.2.5 Henkilötietojen tiedonsaantioikeutta koskeva sääntely

Tiedonsaantioikeus on toimivaltaa viranomaiselle luova oikeus. Tämän johdosta tiedonsaantioikeuksien sijoittaminen toimivaltaa viranomaisille luovaan lainsäädäntöön olisi sekä perusteltu että esityksen kokonaisuuden mukainen ratkaisu. Maahanmuuttohallinnossa on kuitenkin suuri määrä viranomaisille toimivaltaa luovia lakeja. Toimivaltaa luovien lakien lukumäärä vaikuttaisi tulevaisuudessa todennäköisesti ennemmin kasvavan kuin vähenevän. Tiedonsaantioikeuksien sijoittaminen toimivaltaa luovaan lainsäädäntöön tarkoittaisi varsin samantyyppisten säännösten monistamista useisiin lakeihin. Tästä syystä esityksessä on päädytty ehdottamaan Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden lain soveltamisalan piiriin kuuluvien tiedonsaantioikeuksien keskittämistä ehdotettavaan maahanmuuttohallinnon henkilötietolakiin. Lisäksi ehdotuksessa säädettäisiin ELY-keskusten ja TE-toimistojen sekä ulkoasiainhallinnon tiedonsaantioikeuksista. Valinta on perusteltu kokonaisuuden selkeyden näkökulmasta. Muiden toimijoiden tiedonsaantioikeudet on jätetty nykytilaa vastaavasti toimivaltaa luoviin lakeihin.

4.2.6 Automatisoidut yksittäispäätökset

Tietosuoja-asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Poikkeuksena tähän pääsääntöön artiklan 2 kohdan b alakohdan mukaan edellä mainittua ensimmäistä kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tämän vuoksi tietosuoja-asetuksen 22 artiklan mukaisen automaattisen päätöksentekomenettelyn edellytyksistä on säädettävä erikseen kansallisessa laissa.

Automaattisten yksittäispäätösten osalta valmistelussa on pohdittu keinoja rajata automaattiseen päätöksentekoprosessiin soveltuvat asiat riittävän yksityiskohtaisella tasolla ja niin että sääntelyssä huomioitaisiin perustuslain 21 §:n mukaiset oikeusturvan ja hyvän hallinnon edellytykset perustuslakivaliokunnan (PeVL 62/2018 vp, s. 7–8) edellyttämällä tavalla.

Perustuslakivaliokunnan esiin nostama hyvän hallinnon ja erityisesti kuulemisen vaatimus huomioiden automaattinen päätöksenteko päätettiin rajata niihin tilanteisiin, joissa hallintolain (434/2003) 34 §:n mukainen asianosaisen kuuleminen ei ole asian luonteen vuoksi tarpeen. Valmistelussa on pyritty tunnistamaan Maahanmuuttovirastossa käsiteltäviä asiaryhmiä, joissa asianosaista ei olisi hallintolain 34 §:n 2 momentin 5 kohdan nojalla tarpeen kuulla. Tällaisia asiaryhmiä voisivat olla esimerkiksi sellaiset tapaukset, joissa asia ratkaistaan hakijan hakemuksen mukaisesti tai hakemus raukeaa ulkomaalaislain nojalla. Säännöksen edellytysten sitominen hallintolain 34 §:n 2 momentin 5 kohtaan muodostaisi tarkkarajaisen ja selkeän edellytyksen edellä kuvatuille automaattiseen päätöksentekoon soveltuville asioille. Nämä asiaryhmät muodostavat ison osan Maahanmuuttovirastossa tehtävistä päätöksistä, joten kokonaan automaattisen päätöksenteon mahdollistaminen näissä asiaryhmissä tehostaisi Maahanmuuttoviraston päätöksentekojärjestelmää. Automatisoidun päätöksenteon mahdollistaminen sellaisissa asiaryhmissä, joissa hallintolain 34 §:n pääsäännön mukainen asianosaisen kuuleminen ei asian luonteen vuoksi olisi tarpeen, ei kuitenkaan tarkoittaisi, etteivätkö kuitenkin hallintolain muut menettelysäännökset ja hallintolainkäyttölain (586/1996) oikeussuojasäännökset tulisi normaalisti sovellettaviksi myös automaattisiin päätöksiin perustuslain 21 §:n edellyttämällä tavalla. Asianosaisella olisi siis esimerkiksi oikeus saada automaattisessa päätöksentekomenettelyssä tehdystä yksittäispäätöksestä perusteltu päätös ja valittaa päätöksestä, siten kuin siitä erikseen säädetään.

Valmistelussa on myös arvioitu sitä, antaako tietosuoja-asetus rekisteröidylle oikeuden vaatia luonnollisen henkilön osallistumista tietojensa käsittelyyn. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan nojalla automatisoitu yksittäispäätös voidaan tehdä, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan tällaisessa käsittelyssä olisi sovellettava aina asianmukaisia suojatoimia, joihin olisi kuuluttava oikeus vaatia luonnollisen henkilön osallistumista tietojen käsittelemiseen.

Tietosuojatyöryhmä on todennut lausunnossaan (WP 251/17, s. 37–38), että tietosuoja-asetuksen 22 artikla ei ole 21 artiklan mukainen vastustamisoikeus vaan sitä on tulkittava kieltona käsitellä tietoja automaattisesti artiklan 2 kohdan mukaisia poikkeuksia lukuun ottamatta. Kyse on rekisteröidyn passiivisesta suojasta, ei rekisteröidyn aktiivisesta oikeuksiensa käytöstä. Tietosuoja-asetuksen 22 artikla sisältää kuitenkin osana 2 kohdan a–c alakohtien mukaisia suojatoimia aktiivisen oikeuden vaatia ihmisen osallistumista, ilmaista kantansa ja riitauttaa päätös. Valmistelussa on tästä syystä arvioitu, tulevatko tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan asianmukaisten suojatoimien vaatimukset turvatuiksi jo olemassa olevalla kansallisella sääntelyllä.

Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan asetuksen 22 artiklan 2 kohdan mukaisen poikkeuksen mahdollistamaan käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Myös tietosuojatyöryhmä on lausunnossaan (WP 251/17, s. 29) pitänyt näitä suojatoimia kaikkia tietosuoja-asetuksen 22 artiklan 2 kohdan mukaisia poikkeuksia koskevina, vaikka 2 kohdan b alakohdan osalta asianmukaisia suojatoimia ei ole yksilöity itse artiklassa. Tietosuojatyöryhmän hyviä käytänteitä koskevien ehdotusten mukaan rekisterinpitäjän tulisi tarjota ihmisen osallistumisen mahdollistava mekanismi tietyissä määritellyissä tapauksissa, esimerkiksi tarjoamalla linkki muutoksenhakuprosessiin, kun automatisoitu päätös toimitetaan rekisteröidylle, sekä sovitut uudelleentarkastelun määräajat ja nimetty yhteyspiste kyselyjä varten (WP 251/17, s. 34—35).

Suomessa perustuslain 21 §:n velvoite säätää lailla oikeusturvan ja hyvän hallinnon edellytyksistä on toteutettu hallintomenettelyä ja -prosessia koskevilla kansallisilla yleislaeilla, joiden sisältämät säännökset täyttävät jo useimmat tietosuoja-asetuksen 22 artiklassa edellytetyistä asianmukaisista suojatoimista. Näennäisesti poikkeuksen muodostaa nimenomainen oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, sillä näissä kansallisissa hallinto-oikeudellisissa säännöksissä ei ole huomioitu automaattista päätöksentekomenettelyä, vaan lähtökohtana on ollut luonnollisten henkilöiden hallintotoiminnan säänteleminen. Toisaalta, kuten tietosuojatyöryhmän edellä esitetystä suosituksesta ilmenee, oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen tulisi suojatuksi riittävällä tavalla mahdollistamalla muutoksenhakuoikeus ja rekisteröityjen yhteyspiste. Näin ollen tämäkin oikeus tulisi suojatuksi hallintolainkäyttölain ja ulkomaalaislain muutoksenhakuoikeutta koskevin säännöksin. Tämän esityksen 1. lakiehdotuksen 6 §:ssä säädettäisiin lisäksi rekisteröityjen yhteyspisteestä.

Tämän lisäksi valmistelussa arvioitiin, onko tietosuoja-asetuksen 22 artiklan mukaista oikeutta tarpeen rajoittaa asetuksen 23 artiklan edellyttämällä tavalla. Tietosuoja-asetuksen 23 artikla mahdollistaa 22 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalan rajoittamisen kansallisessa lainsäädännössä edellyttäen, että rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. TATTI-työryhmä on arvioinut, että vaikka 23 artikla mahdollistaa rekisteröityjen oikeuksien rajoittamisen kansallisella lailla, yleisestä rajoituksesta 22 artiklaan ei kuitenkaan sääntelyn yksiselitteisyyden ja tarkkarajaisuuden vaatimuksesta johtuen voida säätää yleislaissa. Koska automaattinen päätöksenteko mahdollistettaisiin Maahanmuuttoviraston toiminnassa vain silloin, kun on kyse asioista, joissa asianosaisella ei ole intressiä tulla kuulluksi, rekisteröidyllä ei näissä tapauksissa olisi tarvetta vaatia myöskään ihmisen osallistumista tietojen käsittelemiseen. Tämäkin suojatoimi toteutuisi kuitenkin myös edellä esitetyllä tavalla muutoksenhakuoikeuden myötä, joten rekisteröidyn oikeudet tulisivat asianmukaisesti suojatuiksi myös automaattisessa päätöksentekomenettelyssä. Näin ollen rekisteröidyn oikeutta vaatia ihmisen osallistumista käsittelyyn ei olisi tarpeen erikseen rajoittaa. Maahanmuuttoviraston automaattinen päätöksentekojärjestelmä luotaisiin siten, että jos asiassa esimerkiksi toimivaltaa luovan lainsäädännön mukaan tai puutteellisesti täytettyjen tai ristiriitaisten tietojen takia tulisi kuulla asianosaista tai se edellyttäisi kokonaisharkintaa, päätös ohjautuisi aina luonnollisen henkilön käsiteltäväksi.

Valmistelussa on myös arvioitu sitä, voidaanko automaattisessa päätöksentekomenettelyssä tehdä lapsia koskevia päätöksiä. Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan automaattista päätöksentekoa ei saisi kohdistaa lapseen. Tietosuojatyöryhmä on kuitenkin todennut automatisoitua päätöksentekoa koskevassa lausunnossaan (WP 251/17, s. 30), että johdanto-osaan kirjattu tulkintaohje ei muodosta lapsiin kohdistuvan automaattisen käsittelyn ehdotonta kieltoa, koska kyseistä muotoilua ei ole otettu osaksi 22 artiklaa. Huomioiden asetuksen johdanto-osan tulkintaohje, tietosuojatyöryhmä on kuitenkin suosittanut, että rekisterinpitäjien ei yleensä pitäisi käyttää 22 artiklan 2 kohdan mukaisia poikkeuksia tällaisen käsittelyn perusteina. Tietosuojatyöryhmä on toisaalta huomioinut, että saattaa kuitenkin olla tilanteita, joissa rekisterinpitäjien on välttämätöntä tehdä lapsiin kohdistuvia pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna, joilla on oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia, esimerkiksi lasten hyvinvoinnin suojelemiseksi. Tällaisessa tapauksessa käsittely voidaan suorittaa soveltuvin osin 22 artiklan 2 kohdassa säädettyjen poikkeusten perusteella edellyttäen, että toteutetaan 22 artiklan 2 kohdan b alakohdan mukaiset asianmukaiset ja näin ollen lapsille soveltuvat suojatoimet. Tietosuojatyöryhmä on erikseen painottanut, että rekisterinpitäjän on varmistettava, että näillä suojatoimilla suojellaan tehokkaasti niiden lasten oikeuksia, vapauksia ja oikeutettuja etuja, joiden tietoja se käsittelee.

Tietosuoja-asetuksen johdanto-osan 71 kappaleen tulkintaohjeen kategorinen noudattaminen ei aina turvaisi parhaalla mahdollisella tavalla lapsen edun toteutumista maahanmuuttohallinnossa käsiteltävissä asioissa. Esimerkiksi tapauksessa, jossa on kyse jatkoluvan myöntämisestä silloin, kun luvan myöntämisen edellytykset ovat säilyneet ennallaan, olisi lapsen edun mukaista käsitellä asia automaattisessa päätöksentekojärjestelmässä. Mikäli automaattista päätöstä ei voitaisi tällaisessakaan tapauksessa kohdistaa lapsiin, joutuisivat esimerkiksi kaikki lapsiperheeseen kuuluvat odottamaan, että luonnollinen henkilö käsittelisi heidän jatkolupahakemuksensa, koska vanhempien hakemukset käsiteltäisiin yhdessä lapsen hakemuksen kanssa. Maahanmuuttoviraston käytännön toiminnassa toki asetetaan lapset ja lapsiperheet etusijalle, mutta luonnollinen henkilö ei kuitenkaan voi käsitellä asiaa yhtä nopeasti kuin automaattinen päätöksentekojärjestelmä. Tämä asettaisi lapset ja heidän perheenjäsenensä systemaattisesti muita huonompaan asemaan, minkä vuoksi on välttämätöntä mahdollistaa myös lapsiin kohdistuvien pelkästään automaattisten päätösten tekeminen silloin, kun se on lapsen edun mukaista. Käsittelyn joutuisuus automaattisessa päätöksentekomenettelyssä lapsen etua tukevana seikkana korostuisi myös esimerkiksi tilanteissa, joissa lapsella on lain mukaan oikeus saada huoltajien suostumuksella Suomen kansalaisuus vanhemman saatua Suomen kansalaisuuden. Näin ollen valmistelussa ei ole rajattu säännöksen ulkopuolelle lapsiin kohdistuvia automaattisessa käsittelyssä tehtäviä päätöksiä.

4.2.7 Säätäminen kansallisesti Euroopan unionin asetuksesta seuraavasta velvoitteesta tallentaa henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin

Valmistelussa on arvioitu tarvetta säätää kansallisesti Euroopan unionin asetuksesta seuraavasta velvoitteesta tallentaa henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin ottaen huomioon tietosuoja-asetuksen 6 artiklan 3 alakohdan mukainen edellytys, jonka mukaan lakisääteisen velvoitteen noudattamiseksi tarpeellisen henkilötietojen käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Nyttemmin kumotun poliisin henkilötietolain (761/2003) 36 §:ssä oli säädetty Maahanmuuttoviraston, poliisin ja Rajavartiolaitoksen oikeudesta luovuttaa salassapitosäännösten estämättä Schengenin tietojärjestelmään toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskevan Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1987/2006 mukaisia henkilötietoja. Poliisin henkilötietolain uudistuksen yhteydessä säännöstä kavennettiin koskemaan vain poliisia. Rajavartiolaitos arvioi henkilötietolakiuudistuksensa yhteydessä tarpeelliseksi säätää tietojen luovutuksesta Schengenin tietojärjestelmään jatkossa Rajavartiolaitoksen henkilötietolaissa. Valmistelussa on huomioitu myös, että Schengenin tietojärjestelmän lisäksi Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuja Euroopan unionin yhteisiä tietojärjestelmiä on useita. Tällaisia ovat Eurodac-järjestelmä, viisumitietojärjestelmä (VIS), Rajanylitystietojärjestelmä (EES) sekä EU:n matkustustieto- ja -lupajärjestelmä (ETIAS). Näiden tietojärjestelmien säädöspohjan muodostavat Eurodac-järjestelmää koskeva Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, viisumitietojärjestelmää (VIS) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, rajanylitystietojärjestelmää (EES) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226 sekä EU:n matkustustieto- ja -lupajärjestelmää (ETIAS) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240.

Valmistelussa on arvioitu, että kaikista näistä asetuksista seuraa asetuksessa täsmällisesti yksilöityjä velvoitteita kansallisille viranomaisille henkilötietojen käsittelyyn. Se voi tarkoittaa tiettyjen kussakin asetuksessa nimettyjen henkilötietojen, myös arkaluoteisten tietojen kuten sormenjälkien, tallentamista tai päivittämistä yhteiseen eurooppalaiseen tietojärjestelmään tai yhteiseen tietojärjestelmään kerättyjen henkilötietojen käyttämistä kansallisen viranomaisen omassa toiminnassa. Valmistelussa on todettu, ettei tällaisesta suoraan asetuksesta seuraavasta tietojen käsittelyn velvoitteesta ole välttämätöntä säätää erikseen johtuen asetuksen suorasta sovellettavuudesta, ja siitä, että käsiteltävien henkilötietojen sisältö on määritelty tyhjentävästi asetuksissa. Asetuksissa ei ole määritelty henkilötietojen käsittelyyn oikeutettua viranomaista, mutta asetus velvoittaa jäsenvaltion notifioimaan tällaiset viranomaiset erikseen komissiolle, joten henkilötietojen käsittelyyn oikeutettujen viranomaisten piiriä on tältä osin rajattu. Näiden asetusten nojalla käsiteltävät henkilötiedot ovat kuitenkin pääsääntöisesti salassa pidettäviä, joten sääntelyratkaisussa tulee myös huomioida julkisuuslain 29 §:n laissa säätämisen edellytys salassa pidettävien tietojen antamiselle. Julkisuuslain ja hallinnonalan muiden viranomaisten kanssa yhdenmukaisen ratkaisun saavuttamiseksi sekä selkeyden näkökulmasta on kuitenkin päädytty säätämään henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

4.3 Keskeiset ehdotukset

4.3.1 Maahanmuuttohallinnossa käsiteltävien henkilötietojen sääntelyn keskittäminen ja selkeyttäminen

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin henkilötietojen käsittelyyn maahanmuuton hallinnonalalla. Laki korvaisi ulkomaalaisrekisteristä annetun lain, joka ehdotetaan kumottavaksi. Ehdotettavaan lakiin keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuton hallinnonalan muista laeista. Esitykseen liittyvät siten ehdotukset laeiksi kansainvälistä suojelua hakevan vastaanotosta ja ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain ja kotoutumisen edistämisestä annetun lain muuttamisesta. Maahanmuuttohallinnossa tapahtuvan henkilötietojen käsittelyn sääntelyn keskittämistä yhteen henkilötietolakiin on viranomaisten moninaisuus huomioiden pidetty esityksessä annetuissa lausunnoissa lähtökohdiltaan kannatettavana ja tavoitteiltaan oikeana. Keskittämisen on todettu esimerkiksi edistävän rekisteröidyn mahdollisuutta ymmärtää henkilötietojensa käsittelyn tarkoitukset ja tunnistaa rekisterinpitäjät paremmin kuin nykyinen malli, jossa henkilötietojen käsittelysäännökset jakautuvat useisiin lakeihin niin, että osa sääntelystä on henkilötietolaeissa ja osa sektorikohtaisissa toimivaltaa luovissa erityissäädöksissä. Valinta myös toteuttaa tavoitetta selkeyttää sääntelyä yhdenmukaistamalla käsittelysäännöksiä.

Unionin tietosuojalainsäädäntö sekä kansalliset yleis- ja erityislait muodostavat monikerroksisen ja siten melko monimutkaisen sääntelykokonaisuuden. Maahanmuuttohallinnon henkilötietolakiehdotuksen keskeisenä tavoitteena on - vallitsevat rakenteet huomioiden - henkilötietojen käsittelyä koskevan sääntelykokonaisuuden selkeyttäminen sekä lainsoveltajan että rekisteröidyn oikeuksien turvaamisen näkökulmasta. Tähän pyritään ehdottamalla maahanmuuttohallinnossa merkityksellisen henkilötietojen käsittelyä koskevan sääntelyn keskittämistä yhteen henkilötietolakiin, joka on mahdollisimman yleistajuinen, selkeä ja ymmärrettävä. Selkeyttämisen tavoitetta toteutettaisiin tietosuoja-asetuksen ja perustuslakivaliokunnan edellyttämällä riskiperustaisella sääntelytavalla, jossa sääntely ehdotetaan kohdennettavaksi uhkien ja riskien perusteella tarkempaa sääntelyä edellyttäviin tilanteisiin, kuten erityisiin henkilötietoryhmiin kuuluviin henkilötietoihin. Samalla sääntelyä ehdotetaan purettavaksi kaikissa niissä tilanteissa, joissa yksityiskohtainen sääntely ei ole välttämätöntä henkilötietojen suojan toteuttamiseksi. Sääntelyn tulee kuitenkin tällöinkin täyttää perusoikeuksien rajoitusedellytykset, kuten oikeasuhtaisuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset.

4.3.2 Henkilötietojen käsittelyn oikeusperusta

Tietosuoja-asetusta täydentävä tai täsmentävä kansallinen lainsäädäntö on mahdollista ainoastaan silloin, kun se tietosuoja-asetuksessa nimenomaisesti sallitaan. Kansallinen liikkumavara perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohtiin sekä erityisten henkilötietoryhmien osalta 9 artiklan 2 kohdan b, g, h, i ja j alakohtiin. Lisäksi asetuksessa on useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta.

Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Rekisterinpitäjillä on siten oltava toimivaltansa puitteissa lakisääteisiä tehtäviä, joiden toteuttamiseksi henkilötietojen käsittely on tarpeen. Pelkästään henkilötietojen käsittelyä koskevan säännöksen perusteella ei voi käsitellä henkilötietoja eikä sitä voi tehdä laajemmin kuin mitä on perusteltua tehtävä- ja toimivaltasäännöksen kannalta. Koska viranomaisten toimesta tapahtuva henkilötietojen käsittely maahanmuuttohallinnossa on lakisääteistä, sovellettava oikeusperusta on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetus edellyttää täydentävää sääntelyä silloin, kun henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteeseen. Henkilötietojen käsittelyä maahanmuuttohallinnossa ei voi tarkoituksenmukaisesti toteuttaa ilman tietosuoja-asetusta täsmentävää kansallisen liikkumavaran puitteissa toteutettua sääntelyä tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdassa tarkoitetulla tavalla. Tämän esityksen henkilötietojen käsittelyn oikeusperusta on siten tietosuoja-asetuksen mukainen.

Kun henkilötietojen käsittelystä säädetään kansallisessa laissa asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperuste voi sisältää 6 artiklan 2 ja 3 kohdan mukaan erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista. Kansallinen lainsäädäntö voi koskea yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta, käsiteltävien tietojen tyyppiä, asianomaisia rekisteröityjä, yhteisöjä, joille ja tarkoituksia, joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

4.3.3 Henkilötietojen käsittelyn tavoite

Maahanmuuttohallinnon henkilötietolain tavoitteena on turvata rekisteröidyn perustuslaissa turvattu yksityisyyden suoja parhaalla mahdollisella tavalla. Tavoitteena on varmistaa henkilötietojen käsittelyn lainmukaisuus sekä yleinen järjestys ja turvallisuus mahdollistamalla viranomaisten toimivaltaan kuuluvien lakisääteisten tehtävien hoitaminen.

Henkilötietojen käsittelyyn liittyvää lainsäädäntöä maahanmuuttohallinnossa on kuvattu edellä jaksossa 2.1.1. Viranomaisille näissä laeissa säädettyjä tehtäviä ei ole mahdollista toteuttaa ilman henkilötietojen käsittelyä, koska tehtävät liittyvät henkilöille myönnettäviin oikeuksiin, palveluihin ja velvoitteisiin. Henkilöiden yksilöiminen on paitsi välttämätöntä, myös henkilöiden itsensä edun mukaista.

Henkilötietoja käsiteltäessä lähtökohtana ovat tietosuoja-asetuksen sisältämät henkilötietojen käsittelyä koskevat periaatteet. Tietosuoja-asetus edellyttää, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

4.3.4 Käsittelytarkoituksiin perustuva henkilötietojen käsittely ja lain soveltamisala

Euroopan unionin tietosuojalainsäädännöstä ei seuraa rajoitteita sen suhteen, valitaanko kansalliseen lainsäädäntöön rekisteripohjainen vai käsittelytarkoituksiin perustuva sääntelyratkaisu. Ulkomaalaisrekisterilaissa omaksuttu rekisterilähtöinen sääntely ehdotetaan korvattavaksi henkilötietojen käsittelytarkoituksia koskevalla sääntelyllä. Lain soveltamisala ei olisi sidottu mihinkään rekisteriin tai tietojärjestelmään vaan niihin tarkoituksiin, joissa henkilötietoja käsitellään. Sääntelytapa olisi yhdenmukainen tietosuoja-asetuksen, tietosuojalain, rikosasioiden tietosuojalain sekä sisäministeriön hallinnonalan muussa erityislainsäädännössä omaksutun lähtökohdan kanssa. Tietosuoja-asetus edellyttää, että käsittelyn tarkoitukset ilmenevät riittävän täsmällisesti käsittelytarkoituksia koskevista säännöksistä. Esityksessä ehdotetaan säädettävän henkilötietojen käsittelytarkoituksista pääperiaatteiltaan nykyistä ulkomaalaisrekisterilain sisältöä vastaavasti mutta laajentamalla henkilötietojen käsittelytarkoitukset kattamaan lisäksi voimassaolevan vastaanottolain, säilölain sekä kotoutumislain rekisterisäännösten sisältämät henkilötietojenkäsittelytarkoitukset. Henkilötietojen käsittely perustuisi kullekin rekisterinpitäjälle toimivaltaa luovaan lainsäädäntöön.

Lakiehdotuksessa henkilötietojen käsittelytarkoitukset muodostaisivat ehdotettavan lain soveltamisalan. Maahanmuuttohallinnon henkilötietolakia sovellettaisiin silloin, kun henkilötietoja käsitellään lain 1 §:ssä ehdotetuissa tarkoituksissa.

Tietosuojalakia koskevan hallituksen esityksen mukaan tietosuoja-asetus tulisi sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetuksen soveltamisalan laajentaminen ei koske tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty. Esityksessä ei ehdoteta säädettäväksi asiasta toisin.

Käsittelytarkoituksiin perustuva sääntelytekniikka tarkoittaa, että nykymuotoisesta rekistereihin ja tietojärjestelmiin sidotusta henkilötietojen sääntelystä irtaudutaan. Tietojärjestelmät toimisivat teknisinä käsittelyalustoina henkilötietojen käsittelylle mutta niistä ei olisi enää tarpeen säätää erikseen. Jatkossa lain soveltamisala olisi siis sidottu henkilötietojen käsittelytarkoituksiin riippumatta siitä, missä yksittäisessä tietojärjestelmässä henkilötietoja käsitellään. Valittu sääntelytekniikka edellyttää toimiakseen, että maahanmuuttohallinnon henkilötietolain ja muiden henkilötietolakien käsittelytarkoitusten ja siten soveltamisalojen päällekkäisyydet pyritään minimoimaan.

Vaikka käsittelytarkoituslähtöisessä sääntelytekniikassa lain soveltamisala ei olisi sidottu henkilötietojen tekniseen käsittelyalustaan, omaksuttu lähtökohta ei tarkoita sitä, että tietojärjestelmiä ei voisi ja tulisi hyödyntää tietovarantojen hallinnoimiseen esimerkiksi niin, että tietyn lain perusteella käsiteltävät henkilötiedot tallennetaan tiettyyn tietojärjestelmään. Yksittäisen henkilötietolain perusteella kerättävien henkilötietojen käsittelyn keskittäminen tiettyyn tai tiettyihin tietojärjestelmiin voi käytännössä selkeyttää kokonaisuutta. Lisäksi säädettäisiin erikseen Maahanmuuttoviraston ja ulkoasiainhallinnon toimivallasta ylläpitää ja kehittää omia tietojärjestelmiään vastuun selkeyttämiseksi yhteisrekisterinpitäjien kesken. Vastuun määrittäminen tietojärjestelmän ylläpidon ja kehittämisen osalta ei kuitenkaan vaikuttaisi henkilötietojen käsittelyyn sovellettavan lain valintaan.

Ehdotettavassa laissa säädettäisiin käsiteltävistä henkilötiedoista, käsittelyn edellytyksistä ja menettelystä sekä rekisteröidyn oikeusturvasta, silloin kun henkilötietoja käsitellään niissä tarkoituksissa, joihin ehdotettavan lain soveltamisala on sidottu.

4.3.5 Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa ja tietosuojalaissa, joita ehdotettava maahanmuuttohallinnon henkilötietolaki erityislakina täydentäisi ja täsmentäisi.

Rikosasioiden tietosuojalakia sovelletaan tietosuoja-asetuksen ja tietosuojalain sijaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Maahanmuuttohallinnon henkilötietolain soveltamisalaan kuuluvista käsittelytarkoituksista kansallisen turvallisuuden suojaaminen kuuluisi rikosasioiden tietosuojalain soveltamisalan piiriin. Koska esityksessä ehdotettavan lain soveltamisala laajenisi, laajenisivat myös ne tarkoitukset, joissa kerättyjä henkilötietoja voidaan käsitellä kansallisen turvallisuuden suojaamisen tarkoituksessa.

Maahanmuuttohallinnon alalla tulevat sovellettavaksi myös poliisin henkilötietolaki sekä Rajavartiolaitoksen henkilötietolaki. Ehdotetun lain soveltamisalan suhde edellä mainittuihin henkilötietojen käsittelyä koskeviin erityislakeihin olisi nykytilaa vastaavasti osittain päällekkäinen esimerkiksi kansallisen turvallisuuden suojaamisen, ulkomaalaisvalvonnan ja maasta poistamisen osalta.

Jollei ehdotettavassa laissa toisin säädetä, oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovellettaisiin julkisuuslakia.

4.3.6 Yhteisrekisterinpitäjät

Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Tietosuoja-asetuksen lähtökohtana on suojella luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan. Lähtökohta on, että vastuu henkilötietojen käsittelystä kohdentuu sille viranomaiselle, jolle vastuu tosiasiallisesti kuuluu. Viranomainen, joka käsittelee henkilötietoja tarkoituksessa, joka kuuluu ehdotettavan lain soveltamisalan piiriin ja tekee sen laissa sille määrättyjen tehtävien hoitamiseksi omiin itsenäisiin tarkoituksiinsa, toimisi rekisterinpitäjänä. Koska useat viranomaiset käsittelevät henkilötietoja lain soveltamisalan piirissä rekisterinpitäjänä, he toimisivat kaikki yhteisrekisterinpitäjinä tietosuoja-asetuksen 26 artiklan nojalla. Yksittäisestä yhteisrekisterinpitäjästä käytetään esityksessä muotoilua rekisterinpitäjä. Maahanmuuttohallintoon yleislakina sovellettavan julkisuuslain sääntely salassapidosta ja tietojen luovutuksesta salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Vaikka viranomaiset toimivat yhteisrekisterinpitäjinä, ne ovat viranomaisten erillisyysperiaatteen mukaisesti toisiinsa nähden itsenäisiä. Tiedon liikkumisesta rekisterinpitäjien välillä säädettäisiin erikseen. Kuten unionin tuomioistuimen oikeuskäytännössä on todettu, se että ehdotettavan maahanmuuttohallinnon henkilötietolain 3 §:n mukaiset rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan mukaisia yhteisrekisterinpitäjiä, ei kuitenkaan tarkoita että kaikki rekisterinpitäjät voisivat käsitellä rajoituksetta muiden rekisterinpitäjien keräämiä ja tallentamia tietoja. Tietojen käsittelyn tulee aina perustua kunkin viranomaisen toimivaltaa luovaan lainsäädäntöön. Tietoon pääsyä hallinnoidaan käyttövaltuushallinnalla.

Tietosuoja-asetuksen johdanto-osan 79 kappaleen mukaan rekisteröidyn oikeuksien ja vapauksien suojelu sekä rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuudet ja vastuut esimerkiksi valvontaviranomaisten suorittaman seurannan ja niiden toteuttamien toimenpiteiden yhteydessä edellyttävät, että asetuksessa säädetyt vastuualueet jaetaan selkeästi. Myös silloin kun rekisterinpitäjä määrittää käsittelyn tarkoitukset ja keinot yhdessä muiden rekisterinpitäjien kanssa tai kun käsittely suoritetaan rekisterinpitäjän puolesta. Rekisterinpitäjän yksilöinti lainsäädännössä on näin ollen tärkeää, koska tietosuoja-asetuksesta seuraa useita rekisterinpitäjälle kuuluvia velvoitteita, minkä vuoksi henkilötietojen käsittelyä koskevien erityissäännösten osalta tulee olla selvää, mikä taho vastaa rekisterinpitäjän velvoitteista.

Tietosuoja-asetuksen 26 artiklassa säädetään siitä, että yhteisrekisterinpitäjien keskinäisen järjestelyn ehdoista riippumatta rekisteröity voi käyttää tietosuoja-asetuksen mukaisia oikeuksiaan suhteessa kuhunkin yhteisrekisterinpitäjään ja kutakin yksittäistä yhteisrekisterinpitäjää vastaan. Yhteisrekisterinpitäjät eivät siis voi keskinäisellä järjestelyllään tehokkaasti ohjata rekisteröityä asioimaan vain tietyn yhteisrekisterinpitäjän kanssa.

Maahanmuuttohallinnon alalla toimii poikkeuksellisen suuri määrä viranomaisia tehtävissä, joissa ne käsittelevät henkilötietoja ehdotettavan uuden maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä. Lisäksi perustuslain 124 §:n mukaisesti vastaanottolain 10 §:ssä säädetyn sopimuksen nojalla julkista hallintotehtävää hoitavat esimerkiksi yksityiset vastaanottokeskukset. Selkeyden vuoksi esityksessä käytetään termiä viranomainen myös silloin, kun viranomaistehtäviä toteuttaa muu taho kuin viranomainen.

Lisäksi useat vastaanottokeskusten, säilöönottoyksiköiden, ihmiskaupan uhrien auttamisjärjestelmän sekä Maahanmuuttoviraston palveluntarjoajat puolestaan käsittelevät henkilötietoja tietosuoja-asetuksen 28 artiklassa ja 4 artiklan 8 alakohdassa säädetyssä henkilötietojen käsittelijän roolissa.

4.3.7 Henkilötietojen käsittely

Tietosuoja-asetus edellyttää, että henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Käyttötarkoitussidonnaisuus on henkilötietojen käsittelyn kulmakivi. Lain 1 §:ssä säädetään henkilötietojen käsittelytarkoituksista. Henkilötietoja käsittely pykälän kunkin alakohdan sisällä on käsittelyä henkilötiedon alkuperäiseen tarkoitukseen. Käsittely muun kuin sen alakohdan mukaiseen tarkoitukseen, johon henkilötiedot on kerätty, ei käytännössä voisi olla käsittelyä alkuperäiseen käsittelytarkoitukseen.

Lain 3 §:ssä säädetään niistä viranomaisista, jotka toimivat rekisterinpitäjinä toimivaltaa luovassa lainsäädännössä säädettyjä tehtäviään toteuttaessaan. Viranomaisten erillisyysperiaate huomioiden toisen rekisterinpitäjän keräämien arkaluonteisten ja salassa pidettävien tietojen käyttämisestä alkuperäiseen käsittelytarkoitukseen toisen rekisterinpitäjän toimesta on välttämätöntä säätää erikseen (11 §). Lain 11 §:n muotoilu ilmentää samalla eri käsittelytarkoitusten välisen tiedon ristiin käyttämisen kieltoa, koska tämä ei olisi käsittelyä alkuperäiseen tarkoitukseen.

Henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen säädettäisiin erikseen 12 §:ssä. Tällä tarkoitettaisiin 1 §:n alakohdan nojalla kerätyn tiedon käyttämistä muun alakohdan kuin sen, jossa henkilötieto on kerätty, tarkoitukseen. Sääntelymalli olisi uusi suhteessa voimassaolevaan ulkomaalaisrekisterilakiin. Säätäminen henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen olisi tarpeen, koska esityksessä ehdotettavan lain soveltamisala laajenisi kattamaan erilaisiin käsittelytarkoituksiin kerättäviä tietoja, joiden käsitteleminen myös muussa kuin alkuperäisessä tarkoituksessa olisi tarpeen. Sääntely pohjautuisi siihen, mitä voimassa olevassa ulkomaalaisrekisterilaissa, vastaanottolaissa sekä säilölaissa on säädetty tietojen luovuttamisesta sellaisiin tarkoituksiin, jotka tässä esityksessä ehdotetaan koottavaksi maahanmuuttohallinnon henkilötietolakiin. Jatkossa kyse ei olisi enää tiedonluovutuksesta, vaan henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa.

Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp).

4.3.8 Käsiteltävät henkilötiedot

Tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Käsiteltäviä henkilötietoja ja erityisiä henkilötietoryhmiä koskevat pykälät kattaisivat kaikki ne henkilötiedot, joita esityksessä ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisala huomioiden olisi mahdollista käsitellä. Yksittäisen henkilötiedon tulisi kuitenkin nykytilaa vastaavasti olla tarpeellinen yksittäisen lakisääteisen tehtävän toteuttamiseksi.

Tietosisältöä koskeva sääntelytapa olisi yleisluontoinen suhteessa voimassaolevaan sääntelyyn. Pykälä sisältäisi tiedon henkilötiedoista sekä henkilötietoryhmistä, joihin kuuluvia tietoja lain soveltamisalan piirissä on mahdollista käsitellä. Pykälä loisi ulkoreunat käsiteltävien henkilötietojen piirille. Pykälässä ei säädettäisi siitä, mitä henkilötietoja yksittäisessä tilanteessa on mahdollista käsitellä. Pykälä ei siis loisi toimivaltaa henkilötiedon käsittelylle. Toimivallan yksittäisen henkilötiedon käsittelylle tietyssä tarkoituksessa tulisi aina perustua erilliseen toimivaltasäännökseen.

Tietosisältöpykälä laajenisi sisältämään voimassaolevien vastaanotto-, säilö- ja kotoutumislakien rekisterisäännösten tietosisällön. Tältä osin muutokset ovat teknisiä eikä tarkoitus ole muuttaa nykytilaa. Kuitenkin voimassaolevien vastaanotto-, säilö-, ja kotoutumislakien tallennettavia tietoja koskeviin pykäliin sisältyneet kuvaukset tarkoituksista, joissa tiettyjä henkilötietoja voidaan käsitellä, korvattaisiin ehdotettavassa pykälässä yleisellä tarpeellisuusvaatimuksella. Koska henkilötiedon käsittelyn tulisi aina olla tarpeen tietyn lakisääteisen tehtävän toteuttamiseksi, nykytilaa ei tältä osin ole tosiasiallisesti tarkoitus muuttaa.

Esitys mahdollistaisi aiemmasta poiketen huomiotietojen käsittelyn. Rekisterinpitäjällä olisi oikeus tallentaa havaitsemiaan tai sille ilmoitettuja tietoja henkilöistä, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan käsitellä ja valvoa henkilön maahantuloa, maassaoleskelua tai Suomen kansalaisuutta koskevien edellytysten olemassaoloa tai velvollisuuteen huolehtia palveluksessaan olevien työturvallisuudesta. Huomiotietojen oikeudellinen asema on ollut epäselvä, koska näitä tietoja koskevaa sääntelyä ei ole ollut. Tosiasiallinen toimivalta huomiotiedoiksi nyt luokiteltavien havaintojen käsittelyyn on ollut jo olemassa. Viranomaisilla on tarve huomiotietojen käsittelylle, joten oikeus siihen ja selkeät pelisäännöt tarvitaan. Luonteensa vuoksi huomiotietoihin olisi liitettävä tieto tietojen antajasta tai tietolähteestä sekä arvio tämän luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Lisäksi huomiotietojen käsittelyä rajattaisiin perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp, s. 4).

Tietojen poistamisesta säädettäisiin tarkentavasti tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Henkilötietojen poistamista koskevat määräajat määrittyisivät rekisterinpitäjän tehtävien hoidon tarpeen sekä rekisteröidyn oikeuksien perusteella. Henkilötietoja säilytettäisiin niin kauan kuin se on tarpeellista rekisterinpitäjän tai rekisteröidyn etujen, oikeuksien tai velvollisuuksien määrittelemiseksi tai toteuttamiseksi. Maahanmuuttohallinnossa on leimallista, että aiemmin vireillä olleet asiat voivat olla merkityksellisiä myöhemmissä prosesseissa. Henkilötietojen poistamista koskevat määräajat perustuisivat viranomaisen tarpeeseen käsitellä henkilöön ja tämän asiaan liittyviä tietoja vielä yksittäisen asian käsittelyn päättymisen jälkeen esimerkiksi uutta oleskelulupaa haettaessa, myöhemmin vireille tulevassa perheenjäsenen oleskelulupa-asiassa, kansalaisuuden myöntämistä koskevassa asiassa tai kansalaisuuden menettämisasian yhteydessä.

Voimassaolevaan lakiin verrattuna tietojen poistamiseen liittyvät säännökset muuttuisivat niin, että henkilön tiettyjen perustietojen poistamista koskeva määräaika pidennettäisiin vuodesta kymmeneen vuoteen siitä, kun henkilö on saanut kansalaisuuden, kuollut tai häneen liittyvien asioiden tiedot on poistettu. Nykytilasta poiketen henkilöä koskevien asioiden tiedot poistettaisiin samalla kertaa eikä yksitellen, koska aiemman asian tiedot voivat vaikuttaa myöhemmän asian käsittelyyn. Näin ollen asian poistamista koskevat määräajat pitenisivät nykyisestä. Henkilötietojen poistoa koskevassa säännöksessä eriteltäisiin lisäksi muut henkilötiedot ja erityisiin henkilötietoryhmiin kuuluvat tiedot. Erityisiin henkilötietoryhmiin kuuluvat tiedot tulisi poistaa heti kun ne ovat käyneet tarpeettomiksi.

Myös huomiotietojen osalta säädettäisiin huomattavasti lyhyemmästä säilytysajasta. Virheelliseksi todetun tiedon poistamisesta säädettäisiin erikseen. Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista olisi voimassa, mitä siitä erikseen säädetään tai määrätään.

4.3.9 Erityisiä henkilötietoryhmiä koskeva käsittely

Esityksessä ehdotetaan säädettävän erikseen erityisistä henkilötietoryhmistä. Tällaisia henkilötietoja olisivat tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvat tiedot, tietosuoja-asetuksen 10 artiklan mukaiset erityisin edellytyksin käsiteltävät rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavat tiedot. Näitä jälkimmäisiä tietoja olisivat perustuslakivaliokunnan kannan mukaisesti (ks. PeVL 14/2018 vp ja PeVL 15/2018 vp) tietosuoja-asetuksen erityisten henkilötietoryhmien ulkopuolelle jäävät kansallisen valtiosääntöperinteen mukaan arkaluonteisiksi katsotut tiedot, kuten sosiaalipalveluita koskevat tiedot. Tämä korostaisi näiden tietojen käsittelyn edellyttämää erityistä huolellisuutta. Ehdotetun henkilötietolain pykälä olisi nimetty käyttäen tietosuoja-asetuksen näistä tiedoista käyttämää erityisten henkilötietoryhmien -nimitystä, vaikka sen alaan edellä mainituin tavoin kuuluisi myös muita erityisin edellytyksin käsiteltäviä henkilötietoja.

Sääntely olisi tarpeen, koska tietosuoja-asetuksen 9 artiklan nojalla tällaisten henkilötietoryhmien käsittely on kielletty. Käsittely on kuitenkin sallittu 9 artiklan 2 kohdan g alakohdan nojalla, mikäli käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuojalakiesityksen 6 §:n mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä.

Erikseen säädettäisiin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käyttämisestä muuhun kuin alkuperäiseen keräämistarkoitukseen, niiden luovuttamisesta ja poistamisesta. Sormenjälkien käsittelystä säädettäisiin nykytilaa vastaavasti vielä erikseen. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen riskiperustaisuutta korostettaisiin sekä säätämällä niitä koskevasta tietosisällöstä keskitetysti omassa pykälässä rajaten samalla niiden käsittelytarkoituksia että säätämällä erikseen tarkemmin tietosisällöstä, käsittelystä, käyttämisestä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä luovuttamisesta ja poistamisesta rajaamalla käsittely-, luovutus- ja poistamisedellytyksiä tarkemmin kuin muiden henkilötietojen osalta. Tämän lisäksi sormenjälkien käsittelemisestä säädettäisiin voimassaolevaa ulkomaalaisrekisterilakia vastaavasti vielä erikseen. Henkilötietojen käsittelemistä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä henkilötietojen luovuttamista koskevat yleiset säännökset eivät koskisi sormenjälkitietoja. Sormenjälkiä koskeva sääntely vastaisi tältä osin asiallisesti nykytilaa. Erikseen säädettäisiin henkilötietojen, mukaan lukien sormenjälkitietojen, luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

4.3.10 Henkilötietojen luovuttamista ja tiedonsaantia koskeva sääntely

Henkilötietojen luovuttamista ja tiedonsaantia koskeva sääntely koskisi salassa pidettäväksi julkisuuslain tai erityislainsäädännön nojalla säädettyä tietoa. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty.

Henkilötietojen käsittelyä koskevaan kansalliseen erityislainsäädäntöön on perinteisesti sisältynyt sekä henkilötietojen luovuttamista että tiedonsaantia koskevaa sääntelyä. Vaikka sääntelytekniikkaa ei ole pidetty valtiosääntöoikeudellisesti ongelmallisena, säätämistapa on lain soveltajan kannalta ongelmallinen, koska tiedonvaihdon lainmukaisuus on tarkistettava vähintään kahdesta eri viranomaista koskevasta erityislaista, jotka eivät aina ole vastanneet toisiaan. Kaksinkertaisen sääntelyn välttämiseksi tarkoituksenmukaista olisi säätää samasta asiasta vain toisen viranomaisen lainsäädännössä. Esityksessä on omaksuttu lähtökohta, jonka mukaan tiedonsaantioikeudesta säädettäisiin tiedonsaajan päässä, koska on kyse tämän oikeudesta saada henkilötietoja. Ehdotuksessa valittua tiedonsaantioikeuteen sidottua lähtökohtaa puoltaisi lisäksi se, että se on valittu lähtökohdaksi myös yleislain tasolla, sillä laissa julkisen hallinnon tiedonhallinnasta (906/2019), jäljempänätiedonhallintalaki teknistä rajapintaa ja katseluoikeuden myöntämistä koskevat säännökset pohjautuisivat vastaanottajan laissa säädettyyn tiedonsaantioikeuteen. Laajempi kaksinkertaisen tietojen luovutusta koskevan sääntelyn purkaminen edellyttäisi kautta linjan valtionhallinnossa omaksuttua yhtenäistä linjaa siitä, onko tiedonluovuttamisesta tarkoituksenmukaista säätää tiedon luovuttajan vai vastaanottajan lainsäädännössä.

Maahanmuuttoviraston, vastaanotto- ja järjestelykeskuksen, säilöönottoyksikön elinkeino- liikenne- ja ympäristökeskuksen, työ- ja elinkeinotoimiston sekä ulkoasiainhallinnon tiedonsaantioikeus lain soveltamisalan ulkopuolisilta tahoilta olisi sidottu siihen, että niillä on toimivaltaa luovassa lainsäädännössään lakisääteisiä tehtäviä, joiden toteuttaminen edellyttää henkilötiedon käsittelyä. Henkilötiedon käsittelyn edellytyksenä on siis julkisuuslain 29 §:n mukaisesti laissa säädetty tiedonsaantioikeus. Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen. Näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla.

Verohallinnon Harmaan talouden selvitysyksikkö on arvioinut oleskelulupia koskevan lainsäädännön muutostarpeita selvityksessä 15/2014. Selvityksen mukaan velvoitteidenhoitoselvitys palvelisi maahanmuuttohallinnon päätöksentekoprosesseja ja valvontatehtävien hoitoa, mutta sen käyttöönotto edellyttäisi lainsäädäntömuutoksia. Esityksessä mahdollistettaisiin velvoitteidenhoitoselvityksen käyttöönotto säätämällä välttämättömyyteen sidotusta tiedonsaantioikeudesta. Esityksessä ehdotetaan lisättäväksi velvoitteidenhoitoselvitykselle uusi käyttötarkoitus niin, että jatkossa velvoitteidenhoitoselvitys laadittaisiin tukemaan myös ulkomaalaislaissa, kansalaisuuslaissa, kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten annetussa laissa ja kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetussa laissa ja kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetussa laissa säädettyjen ulkomaalaisen maahantuloa, maastalähtöä, oleskelua, työntekoa ja kansalaisuutta koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.

Esityksessä ehdotettava tiedonluovutussäännös olisi yleinen, koska tiedonsaajan tiedonsaantioikeus olisi sidottu siihen, mitä sen oikeudesta saada tietoa on erikseen säädetty. Tiedonsaajan tulisi tietoa tai tietoja tai järjestelmään pääsyä pyytäessään perustella tiedon käyttötarkoitus sekä se, mihin lakiin sen oikeus saada kyseistä tietoa perustuu.

Erityisiin henkilötietoryhmiin kuuluvien tietojen luovuttamisesta säädettäisiin erikseen. Samoin erikseen säädettäisiin henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

Nykytilasta poiketen jatkossa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Tiedonhallintalaissa säännellään yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään. Luovutettavia tietoja koskeva teknisen suojaamisen vaatimus seuraa puolestaan suoraan tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan mukaisesta käsittelyn turvallisuudesta. Tietosuoja-asetus edellyttää korkeaa tietosuojan ja tietoturvallisuuden tasoa.

4.3.11 Rekisteröidyn oikeudet ja niiden rajoittaminen

Esitys sisältää rekisteröidyn oikeuksia rajoittavaa sääntelyä koskien tietosuoja-asetuksen 18 artiklan mukaista rekisteröidyn oikeutta rajoittaa käsittelyä. Lisäksi rekisteröidyn oikeuksia on rajoitettu tietosuoja-asetuksen mahdollistamalla tavalla säätämällä erikseen tietojen poistoajoista ja virheellisen tiedon säilyttämisestä sen oikaisemisen jälkeen.

4.3.12 Automatisoidut yksittäispäätökset

Esityksessä ehdotetaan tietosuoja-asetuksen 22 artiklan mukaisen automaattisen päätöksentekomenettelyn mahdollistamista tiettyjen Maahanmuuttoviraston ulkomaalaisasioiden asiankäsittelyjärjestelmässä tekemien päätösten osalta. Säännös sisältäisi valikoitumiskriteerin automaattiseen päätöksentekomenettelyyn ohjautumiselle sekä edellytykset koskien algoritmin julkisuutta ja virkavastuun kohdentumista.

Automaattiseen päätöksentekoprosessiin valikoituvat asiat rajattaisiin säännöksessä hallintolain 34 §:n 2 momentin 5 kohdan mukaisiin päätöksiin. Näin ollen päätöksen voisi tehdä pelkästään automaattisessa menettelyssä vain silloin, kun asian voisi ratkaista hallintolain mukaisesti asianosaista kuulematta. Automaattinen päätöksentekomenettely voisi pääsääntöisesti tulla kyseeseen esimerkiksi silloin, kun asia ratkaistaan hakijan hakemuksen mukaisesti tai hakemus raukeaa ulkomaalaislain nojalla.

Automatisoidun päätöksenteon mahdollistaminen sellaisissa asiaryhmissä, joissa asianosaisella ei ole intressiä tulla kuulluksi, ei kuitenkaan tarkoittaisi, etteivätkö hallintolain muut menettelysäännökset ja hallintolainkäyttölain oikeussuojasäännökset tulisi normaalisti sovellettaviksi myös automaattisiin päätöksiin perustuslain 21 §:n edellyttämällä tavalla. Asianosaisella olisi siis esimerkiksi oikeus saada automaattisessa päätöksentekomenettelyssä tehdystä yksittäispäätöksestä perusteltu päätös ja valittaa päätöksestä, siten kuin siitä erikseen säädetään.

Ehdotettavan säännöksen mukaan Maahanmuuttoviraston tulee julkistaa automaattisessa päätöksenteossa lopulliseen päätökseen johtanut algoritmi rekisteröidylle ymmärrettävässä muodossa. Kansallisten yleislakien mukaista suojaa täydentävän tietosuoja-asetuksen johdanto-osan 71 kohdan mukaisen suojakeinon tarjoaisi ehdotetussa 20 §:n 2 momentissa säädetty rekisteröidyn oikeus saada selvitys hänelle automaattisessa päätöksenteossa tehdystä lopulliseen yksittäispäätökseen johtaneesta käsittelyalgoritmista. Maahanmuuttoviraston tulisi siis rekisteröidyn sitä pyytäessä avata ymmärrettävällä tavalla hänen tapauksessaan lopulliseen ratkaisuun johtanut algoritmi.

Virkavastuu ehdotetaan kohdennettavaksi säännöksessä siten, että Maahanmuuttoviraston ylijohtaja vastaa automaattisen päätöksenteon menettelystä ja siinä tehtävästä automatisoidusta yksittäispäätöksestä.

4.3.13 Asiakirjajulkisuus

Julkisuuslain 24 §:n 1 momenttia ehdotetaan muutettavaksi siten, että maahanmuuttoon kohdistuvat erityiset salassapitoperusteet koottaisiin julkisuuslakiin. Säännöksiä myös täsmennettäisiin sisällöllisesti. Samalla ulkomaalaisrekisterilaissa oleva salassapitosääntely kumottaisiin.

5 Esityksen vaikutukset

Tässä luvussa on arvioitu esityksen vaikutuksia yhdessä tietosuoja-asetuksen suorien vaikutusten kanssa. Ratkaisu on perusteltu, koska esitystä on luettava yhdessä tietosuoja-asetuksen sekä myös kansallisen tietosuojalain ja rikosasioiden tietosuojalain kanssa. Vaikutusten arvioinnin rajaaminen vain esitykseen antaisi epätäsmällisen kuvan tietosuojauudistuksen vaikutuksista, jossa vain osa vaikutuksista seuraa puhtaasti tästä esityksestä.

5.1 Taloudelliset vaikutukset

Maahanmuuttohallinnon henkilötietolain sekä EU:n tietosuojauudistuksesta seuraavan yleislainsäädännön vaikutukset kohdistuisivat pääosin yksityishenkilöihin, ottaen huomioon, että henkilötietojen käsittely liittyy oleellisesti perusoikeussääntelyyn ja erityisesti yksityisyyden suojaan.

Lakiehdotuksen taloudelliset vaikutukset kohdistuisivat kuitenkin pääosin viranomaisiin, joita ovat rekisterinpitäjien lisäksi kaikki henkilötietoja luovutussäännösten nojalla käsittelevät viranomaiset sekä mahdolliset muut tahot, jotka käsittelevät henkilötietoja. Euroopan komission alkuperäinen vaikutusten arviointi ja tietosuojalainsäädännön täytäntöönpanoa valmistelevien työryhmien arviot poikkeavat toisistaan. Esimerkiksi tietosuoja-asetuksen täytäntöönpanoa valmistelevan TATTI-työryhmän mietinnössä (s. 133) on todettu, että tietosuoja-asetuksen säännökset aiheuttavat moninaisia kustannuksia sekä valvontaviranomaisille että rekisterinpitäjille ja henkilötietojen käsittelijöille niin yksityisellä kuin julkisella sektorilla. Sen sijaan Euroopan komission laatimassa Euroopan unionin tietosuojalainsäädännön vaikutustenarvioinnissa on alun perin arvioitu, että uudella aiempaa yhtenäisemmällä sääntelyllä ei olisi merkittäviä taloudellisia vaikutuksia, eikä ole viitteitä siitä, että uusi sääntely vaatisi lisäresursseja. Tietosuoja-asetuksen taloudellisten vaikutusten arvioinnin hankaluudesta riippumatta voidaan kuitenkin arvioida, että esityksellä ei ole ainakaan erityisen merkittäviä taloudellisia vaikutuksia. On arvioitavissa, että uudistuksen edellyttämä valtion rahoitus voitaisiin hoitaa valtiontalouden kehysten puitteissa tarvittaessa kohdentamalla määrärahoja uudelleen.

Lainsäädännön edellyttämät muutokset aiheuttaisivat joitain kustannuksia tietojärjestelmien muutoksina ja henkilöstön koulutuksena sekä pysyviä kustannuksia tietosuojavastaavan palkkana. Välillisinä taloudellisina vaikutuksina voidaan pitää tarpeita kehittää valvontaa ja tietojärjestelmiä muiltakin osin siten, että tietosuojan ja tietoturvallisuuden taso paranee.

Olemassa oleva ulkomaalaisasioiden asiankäsittelyjärjestelmä sekä kansallinen viisumitietojärjestelmä on toteutettu siten, että ne täyttävät pitkälti jo nykyisellään tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa sekä käsittelyn turvallisuutta koskevat vaatimukset. Tietojärjestelmävaikutuksia aiheutuisi kuitenkin esimerkiksi rekisterinpitäjiä koskevien muutosten johdosta tehtävistä muutoksista tietojärjestelmien käyttöoikeuksiin ja käyttövaltuushallintaan. Lisäksi tietojärjestelmävaikutuksia aiheutuisi uusista käsittelytarkoituksista ja tietosisältöä koskevista lisäyksistä, kuten mahdollisuudesta tallentaa jatkossa niin sanottuja huomiotietoja sekä uusien toimintojen luomisesta, kuten tietojen luovuttamisesta Euroopan unionin tietojärjestelmiin ja velvoitteidenhoitoselvityspalvelun käyttöönotosta.

Joitain suoria taloudellisia vaikutuksia seuraisi myös Maahanmuuttoviraston säätämisestä rekisteröityjen yhteyspisteeksi ulkomaalaisasioiden asiankäsittelyjärjestelmän osalta ja ulkoasiainhallinnon puolestaan kansallisen viisumitietojärjestelmän osalta. Vaikutukset seuraisivat uudesta roolista ennakoidusta yhteydenottojen määrän kasvusta sekä jossain määrin myös tarpeesta saattaa asiaa koskevaa tietoa laajasti saataville yhteydenottojen kohdistamiseksi oikealle taholle.

Nykyistä joustavamman tiedon liikkumisen mahdollistava sääntely henkilötietojen luovuttamisen ja tiedonsaannin osalta sekä automaattisen päätöksenteon mahdollistaminen puolestaan edistäisi hallituksen viranomaistoiminnan tehostamisen ja normien purkamisen tavoitteita. Näiden voidaan arvioida aiheuttavan myönteisiä taloudellisia vaikutuksia.

Suurelta osin esitykseen sisältyvä sääntely on luonteeltaan mahdollistavaa siinä merkityksessä, että se edistäisi esimerkiksi UMA-järjestelmän laajempaa käyttöä ehdotettavan uuden maahanmuuttohallinnon henkilötietolain aiempaa laajemman soveltamisalan myötä tai automaattisen päätöksenteon muodossa siihen kuitenkaan suoraan velvoittamatta.

5.2 Vaikutukset viranomaisten toimintaan

Esityksellä on eri viranomaisiin kohdistuvia vaikutuksia, jotka perustuvat osittain välillisesti tietosuoja-asetuksen vaatimuksiin ja osittain valittuihin kansallisiin sääntelyratkaisuihin.

Maahanmuuttohallintoa koskevan henkilötietosääntelyn kokoamisella yhteen lakiin pyritään ensisijaisesti yhtenäistämään sääntelyä ja luomaan siitä selkeä ja helposti sovellettava kokonaisuus. Esityksessä pyritään helpottamaan viranomaisten välistä tiedonvaihtoa. Lisäksi esityksessä pyritään varmistamaan, että maahanmuuttohallinnossa on riittävät oikeudet käsitellä henkilötietoja tarpeen mukaan myös muuhun kuin tietojen alkuperäiseen keräämis- ja tallentamistarkoitukseen. Näillä ehkäistään tarvetta kysyä samoja tietoja useaan otteeseen ja puretaan tarpeettomia tiedonvaihdon lainsäädännöllisiä esteitä. Tämä ei kuitenkaan tarkoita, että kaikki ehdotettavan maahanmuuttohallinnon henkilötietolain 3 §:n mukaiset rekisterinpitäjät voisivat käsitellä rajoituksetta muiden rekisterinpitäjien keräämiä ja tallentamia tietoja. Tietojen käsittelyn tulee aina perustua kunkin viranomaisen toimivaltaa luovaan lainsäädäntöön. Tietoon pääsyä hallinnoidaan käyttövaltuushallinnalla. Kaikkien edellä mainittujen muutosten voidaan arvioida sujuvoittavan lainsäädännön soveltamista ja parantavan maahanmuuttohallinnon mahdollisuuksia toimintansa kannalta tarpeellisten tietojen käsittelyyn.

Esityksen lähtökohdaksi valittu käyttötarkoitussidonnainen lähtökohta, jossa sovellettava laki ei ole sidottu tiettyyn rekisteriin tai tietojärjestelmään, asettaa erityisiä vaatimuksia rekisterinpitäjän antaman ohjeistuksen ja valvonnan riittävyydelle. Henkilötietojen käsittelyyn sovellettavan lain sekä toisaalta käsittelyn näkökulmasta oikean tietojärjestelmän tunnistaminen edellyttää riittävää ohjeistusta ja koulutusta. On huomioitava, että ohjeistuksella ei kuitenkaan saa täydentää sääntelyä vaan ainoastaan tarkentaa, millä tavalla säännöksiä olisi tulkittava.

Automatisoitujen yksittäispäätösten tekeminen mahdollistaisi viranomaistoiminnan keskittymisen erityisesti niihin tehtäviin, joissa viranomaistoimijoiden rooli on merkityksellinen.

Maahanmuuttoviraston käsitellessä henkilötietoja ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisissa käyttötarkoituksissa sen velvollisuutena on huolehtia asianmukaisista teknisistä ja organisatorisista käsittelyn valvonnan toimenpiteistä. Työntekijöiden perehdytyksessä ja koulutuksessa painotetaan, että henkilötietoja saa käsitellä vain virkatehtävien hoitamiseksi. Samalla korostetaan käsiteltävien henkilötietojen luonnetta arkaluonteisina ja lähtökohtaisesti salassa pidettävinä tietoina. Esimiehet huolehtivat alaistensa neuvomisesta, ohjaamisesta ja valvonnasta henkilötietojen käsittelyyn liittyvissä asioissa. Ulkomaalaisasioiden asiankäsittelyjärjestelmässä henkilötietojen käsittelyä ohjataan käyttövaltuushallinnalla. Henkilötietojen käsittelijälle myönnetään järjestelmään vain sen laajuiset käyttöoikeudet kuin hän tarvitsee virkatehtäviensä hoitamiseksi. Maahanmuuttovirasto kerää ulkomaalaisasioiden asiankäsittelyjärjestelmässä tapahtuvasta henkilötietojen käsittelystä kattavasti lokitietoja, joiden avulla henkilötietojen käsittelyn asianmukaisuus käyttäjätasolla voidaan jälkikäteen selvittää. Maahanmuuttovirasto toteuttaa säännönmukaista sisäistä laillisuusvalvontaa, joka kohdistuu myös henkilötietojen käsittelyyn. Kansalaisuus-, oleskelulupa- ja turvapaikkapäätöksiä valmistelevien ja ratkaisevien virkamiesten tekemää asiakkaiden henkilötietojen käsittelyä tarkastetaan käsittelyjärjestelmään kohdistuvin pistokokein. Henkilötietojen käsittelyn asianmukaisuutta valvotaan siis paitsi edellä mainituilla lokitarkastuksilla ja oma-aloitteisilla kohdennetuilla laillisuusvalvontatarkastuksilla, myös selvityspyyntöjen yhteydessä ja osana kanteluiden tutkimista.

5.3 Yhteiskunnalliset vaikutukset

Sääntelyn kokoaminen yhteen lakiin johtaisi siihen, että rekisteröidyn olisi nykyistä helpompi muodostaa kokonaiskuva siitä, mihin tarkoituksiin maahanmuuttohallinto hänen tietojaan käsittelee, mihin tietoja luovutetaan ja kuinka kauan niitä säilytetään. Rekisteröidyn yhteyspisteistä säätäminen edistäisi myös rekisteröidyn oikeuksien toteutumista.

Päätöksenteon automatisointi soveltuvin osin lyhentäisi paitsi automatisoitujen päätösten käsittelyaikoja myös muiden päätösten käsittelyaikoja viranomaisten voidessa keskittyä niihin. Tämä todennäköisesti näkyisi kaikille asiakkaille lupahakemusten edullisempana hintana ja yhtenäisempänä ratkaisukäytäntönä. Toisaalta automatisoidun päätöksenteon hyödyntäminen edellyttäisi käytännössä hakijalta hakemusten täyttämistä oikein asiaankuuluvine liitteineen ja siltä osin kuin automaattinen käsittely ei olisi mahdollista, käsittelyajat vaihtelisivat merkittävästi suhteessa automaattisesti tehtyihin päätöksiin.

Esityksellä ei arvioida olevan suoria vaikutuksia yhdenvertaisuuteen, lapsiin tai sukupuolten tasa-arvoon.

6 Asian valmistelu

6.1 Valmisteluvaiheet ja -aineisto

Esitys on valmisteltu sisäministeriössä virkatyönä. Valmistelutyötä tekemään perustettiin hanke SMDno-2016-1584 (Hanke ulkomaalaisrekisterilainsäädännön uudistamiseksi ja saattamiseksi vastaamaan EU:n yleistä tietosuoja-asetusta). Valmistelun tueksi perustettiin työryhmä, jossa olivat mukana edustajat sisäministeriön maahanmuutto-osastolta, poliisiosastolta ja rajavartio-osastolta, ulkoministeriöstä, työ- ja elinkeinoministeriöstä, Maahanmuuttovirastosta ja Poliisihallituksesta. Työryhmä kuuli työn edetessä suojelupoliisia. Työryhmän toimikausi on 24.10.2016—31.12.2018. Työryhmä kokoontui virallisesti 24 kertaa. Epävirallisia valmistelukokouksia järjestettiin lukuisia. Valmistelun aikana on tehty erityisen tiivistä yhteistyötä sisäministeriön poliisiosaston ja Rajavartiolaitoksen esikunnan sekä Maahanmuuttoviraston kanssa. Hallitus antoi syysistuntokaudella 2018 eduskunnalle esityksen (HE 224/2018 vp) laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa ja eräiksi siihen liittyviksi laeiksi. Hallituksen esitys raukesi 16.4.2019 eduskunnan kirjelmän mukaisesti (EK 56/2018 vp) valtiopäivien päättymisen ja toimitettavien eduskuntavaalien johdosta.

Valmistelutyön jatkamiseksi perustettiin uusi hanke SMDno-2019-816 (Maahanmuuttohallinnon henkilötietolainsäädäntöä koskeva kokonaisuudistus, hallituksen esityksen valmistelu). Hankkeessa laadittiin esitys eduskunnalle laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa ja eräiksi siihen liittyviksi laeiksi. Esitys laadittiin rauenneen hallituksen esityksen (HE 224/2018 vp) pohjalta. Esitystä korjattiin perustuslakivaliokunnan hallituksen esitystä 224/2018 vp koskevan lausunnon (PeVL 62/2018 vp) pohjalta täydentämällä automatisoituja yksittäispäätöksiä koskevaa sääntelyä ja täsmentämällä viranomaisten erillisyysperiaatteen toteutumista yhteisrekisterinpitäjien osalta. Lisäksi esitystä muutettiin keskittämällä maahanmuuttohallinnon salassapitoa koskeva sääntely julkisuuslakiin. Esitykseen tehtiin myös muita vähäisiä täsmennyksiä.

6.2 Lausunnot ja niiden huomioon ottaminen

Sisäministeriö pyysi 16.5.2018 päivätyllä kirjeellään lausuntoa valmistelemastaan hallituksen esityksestä, joka sisälsi ehdotuksen laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi. Lausuntoa pyydettiin yhteensä 53 viranomais-, organisaatio- ja kansalaisjärjestötaholta. Lausuntoaika päättyi 15.6.2018. Sisäministeriön maahanmuutto-osasto sai hallituksen esitysluonnoksesta yhteensä 32 lausuntoa. Yksittäiset lausunnot löytyvät valtioneuvoston hankerekisteristä (HARE), asianumerolla SM055:00/2016. Hankerekisteristä myös löytyy lausunnoista laadittu lausuntoyhteenveto.

Lausunnon antoivat oikeusministeriö, ulkoministeriö, työ- ja elinkeinoministeriö, valtiovarainministeriö, opetus- ja kulttuuriministeriö, sosiaali- ja terveysministeriö, sisäministeriön poliisiosasto ja hallinto- ja kehittämisosasto, Eduskunnan oikeusasiamiehen kanslia, Valtioneuvoston oikeuskanslerinvirasto, Tietosuojavaltuutetun toimisto, Maahanmuuttovirasto, Poliisihallitus, suojelupoliisi, Rajavartiolaitos, Uudenmaan elinkeino-, liikenne- ja ympäristökeskus, Etelä-Suomen aluehallintovirasto, Helsingin hallinto-oikeus, Kansaneläkelaitos, korkein hallinto-oikeus, Uudenmaan maistraatti, Oikeusrekisterikeskus, Opetushallitus, Rikosseuraamuslaitos, Sosiaali- ja terveysalan lupa- ja valvontavirasto, Tulli, Verohallinto, Verohallinnon harmaan talouden selvitysyksikkö, Väestörekisterikeskus, Eläketurvakeskus, Suomen asianajajaliitto ja Suomen Punainen Risti.

Useat lausunnonantajat pitivät maahanmuuttohallinnon henkilötietosääntelyn keskittämistä kannatettavana ratkaisuna sääntelyn selkeyden ja rekisteröidyn oikeusturvan kannalta. Myös valittua käsittelytarkoitusperusteista sääntelytapaa pidettiin tarkoituksenmukaisena. Lausuntojen mukaan lakiluonnoksessa on huomioitu hyvin maahanmuuttohallinnon sääntelyn selkeyttämisen ja yksinkertaistamisen sekä ajantasaistamisen tavoitteet. Useat lausunnot sisälsivät muutos- tai tarkennusehdotuksia yksityiskohtiin sekä toiveita jatkovalmistelussa huomioon otettavista asioista. Huomiot liittyvät lähinnä soveltamisalaa, yhteisrekisterinpitäjiä ja näiden välistä toimivallanjakoa, erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä ja tiedonsaantioikeutta koskeviin täsmennystarpeisiin. Useimmat lausunnonantajat keskittyivät kuitenkin lausunnossaan johonkin esityksen yksittäiseen kohtaan.

Lausunnonantajia pyydettiin kiinnittämään lausunnoissaan erityistä huomiota ehdotettavasta maahanmuuttohallinnon henkilötietolaista seuraaviin muutoksiin koskien tiedonsaantioikeuksia tilanteissa, joissa oikeus on aiemmin perustunut rekisterinpitäjän oikeuteen, mutta oikeus lakkaa rekisterinpitäjiä koskevien muutosesitysten johdosta. Tahoista, jotka eivät enää ehdotettavassa maahanmuuttohallinnon henkilötietolaissa olisi rekisterinpitäjiä, Tulli, Rikosseuraamuslaitos ja Helsingin hallinto-oikeus arvioivat lausunnoissaan tiedonsaantioikeuksiaan muuttuvan asemansa myötä. Nämä tahot lausuivat tiedonsaantioikeuksiensa olevan jatkossakin pääosin riittävät.

Lisäksi lausunnonantajia pyydettiin kiinnittämään huomiota ehdotettavan maahanmuuttohallinnon henkilötietolain tiedonluovutusta koskevasta yleisestä sääntelytavasta seuraavaan tarpeeseen tarkistaa lausunnonantajien omien tiedonsaantioikeuksien kattavuus maahanmuuttohallinnolta. Myös tältä osin asiasta lausuneet pitivät tiedonsaantioikeuksiaan riittävinä. Ehdotetun sääntelyn ei nähty rajoittavan nykyisiä tiedonsaantioikeuksia, vaan paremminkin ehdotetun muutoksen nähtiin selkeyttävän tiedonsaantioikeutta maahanmuuttohallinnolta.

Jatkovalmistelussa täsmennettiin maahanmuuttohallinnon henkilötietolain suhdetta rikosasioiden tietosuojalakiin. Tämän lisäksi eri yhteisrekisterinpitäjien välistä toimivallanjakoa sekä täsmennettiin säädöstekstissä että avattiin kattavammin perusteluissa. Järjestelmiä koskevien pykälien sanamuodoissa huomioitiin tiedonhallintalain vaikutukset sääntelyyn. Käsiteltävistä henkilötiedoista siirrettiin erilliseen erityisiä henkilötietoryhmiä koskevaan pykälään biometriset tiedot ja rikostiedot. Myös huomiotietojen sisältöä täsmennettiin ja niiden käsittelyä sekä säilytysaikaa rajattiin.

Suurimmat sisällölliset ja rakenteelliset muutokset tehtiin 8 §:n erityisiä henkilötietoryhmiä koskevan käsittelyn osalta. Pykälän tietosisältöä täsmennettiin ja tiedon käyttö rajattiin niin välttämättömyysedellytykseen kuin lain soveltamisalan yksilöityihin käyttötarkoituksiin. Lisäksi näiden erityisiin henkilötietoryhmiin kuuluvien tietojen säilytysaikaa rajattiin samalla kun muitakin poistosäännöksiä täsmennettiin ja säilytysaikoja lyhennettiin aiemmin ehdotetusta. Välttämättömyys asetettiin edellytykseksi myös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelylle muuhun kuin alkuperäiseen käyttötarkoitukseen. Tiedonluovutus puolestaan sidottiin erityisten henkilötietoryhmien osalta vastaanottajan välttämättömään tiedonsaantioikeuteen. Perusteluissa selkeytettiin yhteyttä tietosuoja-asetukseen ja perustuslakivaliokunnan käytäntöön sekä lisättiin esimerkkejä erilaisista erityisiin henkilötietoryhmiin kuuluvien tietojen käyttötilanteista.

Tiedonsaantioikeutta koskevaa pykälää täsmennettiin rajaamalla tiedonsaantiin oikeutettuja tahoja, yksilöimällä tarpeellisten tietojen tietosisältöä ja niiden käyttötarkoituksia sekä avaamalla perusteluihin laajemmin tarpeellisten tietojen kontekstia. Lisäksi jatkovalmistelussa tarkennettiin yksittäisiä pykälien sanamuotoja ja perusteluita.

Esitystä täydennettiin ELY-keskusten ja TE-toimistojen oleskelulupatehtäviin liittyvän henkilötietojen käsittelyn osalta.

Lausuntokierroksen jälkeen maahanmuuttohallinnon henkilötietolakia koskevaan lakiehdotukseen lisättiin lisäksi uudet pykälät tietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin ja rajoituksesta tietosuoja-asetuksen 18 artiklan mukaiseen rekisteröidyn oikeuteen rajoittaa henkilötietojensa käsittelyä. Lakiehdotukseen lisättiin myös siirtymäsäännös.

Sisäministeriö pyysi 17.5.2019 päivätyllä kirjeellään lausuntoa valmistelemastaan hallituksen esityksestä, joka sisälsi ehdotuksen laiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi. Lausuntokierros oli suppea, koska hallituksen esityksen pohjana olevaa hallituksen esitystä HE 224/2018 vp valmisteltaessa järjestettiin laaja kuulemiskierros. Lausuntoa pyydettiin yhteensä 14 viranomais-, organisaatio- ja kansalaisjärjestötaholta. Lausuntoaika oli kolme viikkoa, lausuntoaika päättyi 7.6.2019. Sisäministeriön maahanmuutto-osasto sai hallituksen esitysluonnoksesta yhteensä 15 lausuntoa. Yksittäiset lausunnot löytyvät valtioneuvoston hankerekisteristä (HARE), asianumerolla SM010:00/2019. Hankerekisteristä myös löytyy lausunnoista laadittu lausuntoyhteenveto.

Lausunnon antoivat oikeusministeriö, ulkoministeriö, valtiovarainministeriö, opetus- ja kulttuuriministeriö, sosiaali- ja terveysministeriö, puolustusministeriö, Eduskunnan oikeusasiamiehen kanslia, Valtioneuvoston oikeuskanslerinvirasto, Tietosuojavaltuutetun toimisto, Maahanmuuttovirasto, Poliisihallitus, korkein hallinto-oikeus, Suomen asianajajaliitto, Suomen Punainen Risti ja Pakolaisneuvonta ry.

Toisen lausuntokierroksen lausunnonantajia pyydettiin kiinnittämään huomiota hallituksen esitysluonnokseen erityisesti niiltä osin, kun esitys oli muuttunut suhteessa 8.11.2018 annettuun hallituksen esitykseen 224/2018 vp. Hallituksen esitykseen tehdyt muutokset koskivat erityisesti salassapitoa koskevan sääntelyn keskittämistä julkisuuslakiin, automaattiseen päätöksentekomenettelyyn valikoituvien asioiden täsmällisempää sääntelyä sekä virkavastuun kohdentumista ja algoritmien julkisuutta automaattisessa päätöksentekomenettelyssä, viranomaisten erillisyyden periaatteen täsmällisempää sääntelyä yhteisrekisterinpitäjien osalta, huomiotietojen soveltamisalan muuttumista sisältämään myös kansalaisuusasiat, lisättyä tietosuojarikosta koskevaa säännöstä sekä esitykseen lisättyjä teknisiä muutoksia sisältäviä liitelakeja.

Useimmat lausunnonantajat keskittyivät lausunnossaan johonkin tai joihinkin näistä yllä mainituista muutoksista, mutta osassa lausunnoista otettiin uudestaan kantaa myös esityksessä jo aiemmin ehdotettuihin säännöksiin. Salassapitosääntelyn ja automaattisen päätöksentekomenettelyn osalta lausunnonantajien näkemykset hajautuivat, osa kannatti ja osa vastusti esitettyjä muutoksia. Yhteisrekisterinpitäjien ja huomiotietojen osalta sääntelyä esitettiin vielä selkeytettäväksi.

Lausuntokierroksen jälkeen lain soveltamisalaa laajennettiin koskemaan myös oikeushenkilöitä koskevat tiedot. Salassapitoa koskevia säännöksiä ja perusteluita täsmennettiin yhteistyössä oikeusministeriön kanssa. Myös automaattiseen päätöksentekomenettelyyn valikoituvien asioiden kriteeriä täsmennettiin aiemmin esitetystä. Yhteisrekisterinpitäjiä koskevaa sääntelyä avattiin laajemmin perusteluihin ja huomiotietoja koskevaan säännökseen lisättiin edellytys tiedon antajan tietojen tallentamisesta. Lisäksi säännöksiin tehtiin vielä joitakin terminologisia täsmennyksiä.

7 Riippuvuus muista esityksistä

Esitys liittyy lisäksi eduskunnassa käsiteltävänä olevaan hallituksen esitykseen Digi- ja väestötietoviraston toimialaa koskevien lakien muuttamiseksi (HE 10/2019 vp). Molemmissa esityksissä muutetaan väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 10 §:ää. Muutosehdotukset eivät ole ristiriidassa keskenään.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

YKSITYISKOHTAISET PERUSTELUT

1 Lakiehdotusten perustelut

1.1 Laki henkilötietojen käsittelystä maahanmuuttohallinnossa

1 §. Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus. Lakia sovellettaisiin, jollei muualla laissa toisin säädetä, henkilötietojen kokonaan tai osittain automatisoituun käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa ja henkilötietoja käsitellään seuraavissa tarkoituksissa: 1) ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta; 2) Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittely ja päätöksenteko; 3) kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotto, ihmiskaupan uhrien auttaminen sekä ilman huoltajaa olevan lapsen edustajatoiminta osana vastaanottotoimintaa sekä näiden ohjaus, suunnittelu ja valvonta; 4) ulkomaalaisen sijoittaminen säilöönottoyksikköön, ulkomaalaisen kohtelu säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitäminen; 5) kuntaan osoittaminen; sekä 6) kansallisen turvallisuuden suojaaminen.

Lakiehdotuksen soveltamisala olisi sidottu henkilötietojen käsittelytarkoitukseen: lakia sovellettaisiin silloin, kun henkilötietoja käsitellään pykälässä säädetyissä tarkoituksissa. Lain soveltamisala ei olisi sidottu mihinkään rekisteriin tai tietojärjestelmään. Vaikka lain soveltamisala ei olisi sidottu henkilötietojen tekniseen käsittelyalustaan, omaksuttu lähtökohta ei tarkoita sitä, että tietojärjestelmiä ei voisi ja tulisi hyödyntää tietovarantojen hallinnoimiseen esimerkiksi niin, että tietyn lain perusteella käsiteltävät henkilötiedot tallennetaan tiettyyn tietojärjestelmään.

Lakia sovellettaisiin, jollei muualla laissa toisin säädetä. Maahanmuuttohallinnon erityispiirteenä ovat lukuisat eri viranomaiset, joista osa toimii niin sanotun maahanmuuttoviranomaisen roolin lisäksi myös muussa roolissa. Osa näistä viranomaisista soveltaisi myös muuta henkilötietolakia silloin, kun ne eivät toimi maahanmuuttolainsäädännön nojalla vaan ydintehtäviensä toteuttamiseksi. Tällöin esimerkiksi poliisi soveltaisi lakia henkilötietojen käsittelystä poliisitoimessa, Rajavartiolaitos lakia henkilötietojen käsittelystä Rajavartiolaitoksessa ja TE-toimisto julkisesta työvoima- ja yrityspalvelusta annetun lain 13 lukua. Henkilötietojen käsittelyn sääntely on pyritty jakamaan tarkoituksenmukaisesti eri henkilötietolakien soveltamisalojen välillä.

Toimivalta henkilötietojen käsittelylle perustuu useisiin eri lakeihin. Näitä ovat ulkomaalaislaki, kansalaisuuslaki, kausityölaki, ICT-laki, tutkija- ja opiskelijalaki, vastaanottolaki, säilölaki ja kotoutumislaki. Lakeihin viittaamisen sijaan lain soveltamisala määritettäisiin säätämällä niistä tarkoituksista, joissa henkilötietoja on käsiteltävä toimivaltaa luovissa laeissa säädettyjen tehtävien toteuttamiseksi. Henkilötietojen käsittelytarkoitukset perustuisivat toimivaltaa luovien lakien luomiin henkilötietojen käsittelytarpeisiin. Sääntelytekniikka on perusteltu, koska lukuisiin lakeihin ja niiden yksittäisiin pykäliin viittaaminen tekisi sääntelystä tarpeettoman raskaan, yksityiskohtaisen ja vaikeasti tulkittavan. Sääntelytekniikka myös mahdollistaa tulevaisuudessa mahdollisesti säädettäviin uusiin erillislakeihin ja EU-sääntelyyn perustuvan henkilötietojen käsittelyn nyt ehdotettavan henkilötietolain nojalla, jos henkilötietoja käsitellään tarkoituksissa, jotka kuuluvat ehdotettavan henkilölain soveltamisalan piiriin. Pykälän 1 momentin 1 kohdassa säädettävällä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyllä sekä niitä koskevalla päätöksenteolla ja valvonnalla tarkoitettaisiin ulkomaalaislain, kausityölain, ICT-lain ja opiskelijalain perusteella tarpeellista henkilötietojen käsittelyä esimerkiksi oleskelulupaprosessissa tai turvapaikkamenettelyssä prosessin koko ajallinen kaari huomioiden. Soveltamisalaan katsottaisiin kuuluviksi myös sellaiset erityistilanteet, joissa ei selkeästi ole kyse maahantulosta, maastalähdöstä tai oleskelusta, kuten pakolaisaseman lakkauttaminen ulkomailla olevalta tai Suomessa pysyvällä luvalla olevalta henkilöltä. Alakohdassa ei voimassaolevan ulkomaalaisrekisterilain 2 §:stä poiketen mainittaisi erikseen työntekoa, koska se katsotaan osaksi maassa oleskelua samoin kuin esimerkiksi opiskelu. Tämä muutos olisi tekninen eikä nykytilaa olisi tältä osin tarkoitus muuttaa.

Pykälän 1 momentin 2 kohdassa säädettävällä Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyllä ja päätöksenteolla tarkoitettaisiin kansalaisuuslaissa säädettyjen tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.

Pykälän 1 momentin 3 kohdassa säädetyllä kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotolla, ihmiskaupan uhrien tunnistamisella ja auttamisella sekä ilman huoltajaa olevan lapsen edustajatoiminnalla osana vastaanottotoimintaa sekä näiden ohjauksella, suunnittelulla ja valvonnalla tarkoitettaisiin vastaanottolaissa säädettyjen huolenpidon, toimeentulon ja asianmukaisen suojan ja palveluiden turvaamisen sekä edustajan määräämisen ja edustajan tehtävien toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä.

Pykälän 1 momentin 4 kohdassa säädetyllä ulkomaalaisen sijoittamisella säilöönottoyksikköön, ulkomaalaisen kohtelulla säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisellä tarkoitettaisiin säilölaissa säädettyjen toimenpiteiden toteuttamiseksi tapahtuvaa henkilötietojen käsittelyä. Näitä toimenpiteitä ovat säilöönotetun ulkomaalaisen oikeudenmukainen ja ihmisarvoa kunnioittava kohtelu, oikeuksien rajoittaminen, oikeus ottaa vastaan vieraita ja pitää yhteyttä sekä esimerkiksi puhelimen ja muiden sähköisten viestintä- ja tallennelaitteiden käytön toteuttaminen.

Pykälän 1 momentin 5 kohdassa säädettävällä kuntaan osoittamisella tarkoitettaisiin kotoutumislaissa tarkoitettua kuntaan osoittamista eli kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamiseksi tarpeellista henkilötietojen käsittelyä. Henkilötietojen käsittelyn tavoite kuntaan osoittamisen tarkoituksessa on varmistaa kotoutumislain mukaiset vastaanottoon ja kotoutumisen edistämiseen liittyvät viranomaisten velvoitteet, kuten rekisteröidyn ohjaaminen oikeaan kuntaan.

Pykälän 1 momentin 6 kohdassa säädetyllä kansallisen turvallisuuden suojaamisella tarkoitettaisiin paitsi suojelupoliisin velvoitetta suojata valtakunnallista turvallisuutta myös yleisempää viranomaisten velvoitetta varmistaa kansallisen turvallisuuden toteutuminen osana lakisääteisiä tehtäviään. Sisältö vastaisi voimassaolevan ulkomaalaisrekisterilain 2 §:n 2 momentissa säädettyä valtion turvallisuuden suojaamista mutta sanamuoto muutettaisiin vastaamaan tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa käytettyä käsitettä kansallinen turvallisuus. Voimassaolevaan ulkomaalaisrekisterilakiin nähden ehdotettavan lain soveltamisala laajentuisi kattamaan henkilötietojen käsittelyn myös vastaanotto-, säilö- ja kotoutumislakien nojalla. Tämän johdosta laajenisivat myös ne tarkoitukset, joissa kerättyjä henkilötietoja voidaan käsitellä kansallisen turvallisuuden suojaamisen tarkoituksessa.

Käyttötarkoitussidonnaisuus huomioiden henkilötietoja käsittelyä alkuperäiseen tarkoitukseen on käsittely pykälän kunkin alakohdan sisällä. Käsittely toisen alakohdan mukaiseen tarkoitukseen ei käytännössä voi olla käsittelyä alkuperäiseen käsittelytarkoitukseen.

Voimassaolevasta ulkomaalaisrekisterilaista poiketen turvallisuusselvityksen tekeminen ei enää kuuluisi ehdotettavan lain soveltamisalaan, koska turvallisuusselvityksen tekeminen ei olisi henkilötietojen alkuperäinen käsittelytarkoitus. Koska henkilötietoja on jatkossakin tarpeen käyttää turvallisuusselvityksen tekemiseksi nykytilaa vastaavasti, ehdotettavan lain perusteella kerättävien henkilötietojen käyttäminen turvallisuusselvityksen tekemiseksi perustuisi jatkossa henkilötietojen luovuttamiseen suojelupoliisille.

Tietosuojalain mukaan tietosuoja-asetus tulee sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetuksen soveltamisalan laajentaminen ei koske tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty. Esityksessä ei ehdoteta säädettäväksi asiasta toisin. Näin ollen tietosuoja-asetus soveltuisi lain soveltamisalan piirissä tapahtuvaan henkilötietojen käsittelyyn myös silloin, kun kyse on asiasta, joka ei kuulu unionin lainsäädännön soveltamisalaan. Tällaisia ovat esimerkiksi kansalaisuusasiat.

Pykälän toisen momentin mukaan lakia sovellettaisiin henkilötietojen käsittelyn lisäksi oikeushenkilöitä koskevien tietojen käsittelemiseen ja tietojen saamiseen, sillä maahanmuuttohallinnon toimivaltaa luovaan lainsäädäntöön sisältyy lakisääteisiä tehtäviä, joissa esimerkiksi luonnollisen henkilön asian käsitteleminen edellyttää myös oikeushenkilön tietojen saamista ja käsittelemistä.

Lakia ei sovellettaisi Suomessa oleviin diplomaattisiin edustajiin. Pykälän 3 momentissa tarkoitettu immuniteetti ja koskemattomuusasema on määritelty diplomaattisia suhteita koskevassa Wienin yleissopimuksessa (SopS 4/1970) ja konsulisuhteita koskevassa Wienin yleissopimuksessa (SopS 50/1980) sekä kansainvälisten järjestöjen perustamis- ja päämajasopimuksissa. Lakia ei sovellettaisi myöskään kansainvälisten järjestöjen virkamiehiin, joiden asemasta määrätään Suomea sitovissa kansainvälisissä sopimuksissa. Momentin sanamuotoa on täsmennetty suhteessa voimassaolevan ulkomaalaisrekisterilain 1 §:n 2 momenttiin vastaamaan kansainvälisissä sopimuksissa käytettyä muotoilua. Tosiasiallista nykytilaa ei tältä osin ole tarkoitus muuttaa.

2 §. Suhde muuhun lainsäädäntöön. Pykälässä säädettäisiin siitä, mitä yleisesti sovellettavia henkilötietojen käsittelyä koskevia säädöksiä sovellettaisiin lakiehdotuksen tarkoittamaan henkilötietojen käsittelyyn, jollei tässä laissa toisin säädetä.

Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa sekä sitä täydentävässä kansallisessa tietosuojalaissa.

Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovelletaan kansallisen ratkaisun pohjalta myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Rikosasioiden tietosuojalain soveltamisalaan kuuluvia käsittelytarkoituksia liittyy 1 §:n 1 momentin 6 kohdan mukaiseen kansallisen turvallisuuden suojaamiseen. Sekä Poliisihallituksen alaiset poliisiyksiköt, suojelupoliisi että Rajavartiolaitos suorittavat ehdotettavan lain soveltamisalalla henkilötietojen käsittelyä, johon sovelletaan yleislakina rikosasioiden tietosuojalakia.

Maahanmuuttohallinnossa sovellettavaksi tulevat myös poliisin henkilötietolaki sekä Rajavartiolaitoksen henkilötietolaki. Ehdotetun lain soveltamisalan suhde edellä mainittuihin henkilötietojen käsittelyä koskeviin erityislakeihin olisi nykytilaa vastaavasti osittain päällekkäinen. Henkilötietojen käsittelystä säädetään osittain näissä toisissa henkilötietolaeissa esimerkiksi kansallisen turvallisuuden suojaamisen, ulkomaalaisvalvonnan sekä maasta poistamisen osalta. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa.

Jollei ehdotettavassa laissa toisin säädetä, oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovellettaisiin mitä viranomaisen toiminnan julkisuudesta säädetään eli julkisuuslakia. Sen lisäksi, mitä laissa säädetään, noudatettaisiin Suomea sitovia kansainvälisiä velvoitteita.

3 §. Yhteisrekisterinpitäjät. Rekisterinpitäjinä toimisivat ne viranomaiset, jotka ehdotettavan lain soveltamisalaan kuuluvissa käsittelytarkoituksissa käsittelevät henkilötietoja niille toimivaltaa luovassa lainsäädännössä säädettyjen tehtävien toteuttamiseksi omiin itsenäisiin tarkoituksiinsa. Nämä viranomaiset käyttävät näiden lakisääteisten tehtäviensä hoitamisessa harkinta- ja päätösvaltaa. Rekisterinpitäjiä olisivat Maahanmuuttovirasto, Poliisihallitus ja suojelupoliisi, Rajavartiolaitos, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, ulkoasiainhallinto, elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Nämä rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan tarkoittamia yhteisrekisterinpitäjiä. Yksittäisestä yhteisrekisterinpitäjästä käytetään esityksessä muotoilua rekisterinpitäjä.

Kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuisi kyseisen viranomaisen toimivaltaa koskeviin säännöksiin. Koska tarkoitukset, joissa rekisterinpitäjät käsittelevät henkilötietoja perustuisivat rekisterinpitäjien lakisääteisiin tehtäviin, kunkin rekisterinpitäjän aineellisoikeudellinen vastuualue olisi laissa säädetty ja siten yksityiskohtaisesti ja tarkkarajaisesti määritetty.

Rekisterinpitäjien keskinäiset vastuut ja velvollisuudet rajautuisivat kolmen eri edellytyksen nojalla: 1) Tunnistamalla toimivaltaa luovasta lainsäädännöstä seuraavat tehtävät, joita toteuttaessaan kyseinen viranomainen käsittelee henkilötietoja rekisterinpitäjänä. Yhteisrekisterinpitäjien aineellisoikeudellinen työnjako kullekin rekisterinpitäjälle kuuluvien lakisääteisten tehtävien osalta perustuisi toimivaltaa luovaan lainsäädäntöön. Rekisterinpitäjien keskinäiset aineellisoikeudelliset vastuut on siten määritelty selkeästi ja tarkkarajaisesti lain tasolla; 2) Keskittämällä tietyt rekisterinpitäjälle kuuluvat vastuut tietojärjestelmien ylläpitäjille eli Maahanmuuttovirastolle sekä ulkoasiainhallinnolle. Koska ei olisi tarkoituksenmukaista, että jokainen rekisterinpitäjä vastaisi tietojärjestelmän ylläpidosta ja kehittämisestä, tämä vastuu olisi tarkoituksenmukaista ja välttämätöntä keskittää voimassaolevaa nykytilaa vastaavasti. Samat viranomaiset toimisivat myös rekisteröityjen yhteyspisteinä. Rekisteröity voisi kuitenkin tietosuoja-asetuksen mukaisesti käyttää asetuksen mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. Lisäksi tietojärjestelmän ylläpitäjille keskitettäisiin tietyt tietojärjestelmään sidotut henkilötietojen käsittelytavat, kuten henkilötietojen muu kuin yksittäistapauksellinen poistaminen ja luovuttaminen; 3) Keskittämällä tietyt vastuut vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Vastuu tiedon oikeellisuudesta, tiedon korjaamisesta päättämisestä, yksittäisen tiedon luovuttamisesta sekä rekisteröidyn oikeuksien toteuttamisesta kuuluisi tiedon sisältöön vaikuttaneelle, käytännössä tiedon tallentaneelle, viranomaiselle. Kukin yhteisrekisterinpitäjä vastaisi kuitenkin aina henkilötietojen kaiken käsittelyn lainmukaisuudesta omassa toiminnassaan. Sääntely muuttaisi voimassaolevaa oikeustilaa niin, että ulkomaalaisrekisterilaissa rekisteriä pitäviksi ja käyttäviksi viranomaisiksi säädetyt tahot eivät kaikki jatkossa toimisi rekisterinpitäjinä. Jatkossa osa nykyisistä rekisteriä pitävistä ja käyttävistä tahoista käsittelisi henkilötietoja tiedonluovutussäännösten nojalla.

Maahanmuuttovirasto toimisi rekisterinpitäjänä silloin, kun se käsittelee ja ratkaisee asioita, jotka lailla tai sen nojalla on säädetty sen tehtäviksi. Tällaisia ovat maahantuloon, maassa oleskeluun, pakolaisuuteen sekä Suomen kansalaisuuteen liittyvien asioiden käsitteleminen ja ratkaiseminen. Lisäksi maahanmuuttovirasto vastaa kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanoton käytännön toiminnan ohjauksesta, suunnittelusta ja valvonnasta, säilöönottoyksiköiden käytännön toiminnan ohjauksesta ja valvonnasta, valtion vastaanotto- ja järjestelykeskusten sekä säilöönottoyksiköiden ylläpidosta, ihmiskaupan uhrien auttamisen toimeenpanon ohjauksesta sekä ilman huoltajaa olevien lasten edustajatoiminnan ohjauksesta, suunnittelusta ja seurannasta. Lisäksi Maahanmuuttovirasto hallinnoi muukalaispassi- ja pakolaisen matkustusasiakirjatietoja eli käytännössä myöntää, peruuttaa ja rauettaa niitä sekä mitätöi ja kumoaa viisumeita (esimerkiksi rikosperusteinen käännyttäminen).

Poliisihallitus toimisi rekisterinpitäjänä silloin, kun Poliisihallituksen alaiset poliisiyksiköt toimivaltansa puitteissa ottavat vastaan ja rekisteröivät kansainvälistä suojelua koskevia hakemuksia, osallistuvat turvapaikkapuhutteluun, antavat tiedoksi kielteisiä turvapaikkapäätöksiä, tekevät, antavat tiedoksi ja täytäntöönpanevat maastapoistamispäätöksiä sekä tekevät esityksiä Maahanmuuttovirastolle henkilön maasta poistamiseksi, määräävät maahantulokieltoja, tekevät ulkomaalaisvalvontaa, suojaavat kansallista turvallisuutta sekä lausuvat kansalaisuushakemuksista. Lisäksi Poliisihallitus toimisi rekisterinpitäjänä poliisin jatkaessa, mitätöidessä tai kumotessa viisumeita sekä kun poliisi päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla. Suojelupoliisi toimisi rekisterinpitäjänä silloin, kun se suojaa kansallista turvallisuutta.

Rajavartiolaitos toimisi rekisterinpitäjänä silloin, kun se rekisteröi turvapaikkahakemuksia, tekee pääsyn epäämis- tai käännyttämispäätöksiä, tekee tai täytäntöönpanee maastapoistamispäätöksiä sisältäen maahantulokiellot tai suorittaa ulkomaalaisvalvontaa. Rajavartiolaitos toimisi rekisterinpitäjänä myös myöntäessään viisumeita sekä niitä mitätöidessään tai kumotessaan sekä kun rajatarkastusviranomainen päättää harkinta-ajan antamisesta, jatkamisesta ja keskeyttämisestä ihmiskaupan uhrille ulkomaalaislain 52 c §:n nojalla.

Maahanmuuttovirasto, poliisi ja Rajavartiolaitos valvovat ulkomaalaislain ja sen nojalla annettujen säännösten noudattamista.

Vastaanotto- ja järjestelykeskukset vastaisivat rekisterinpitäjinä asiakkaaksi rekisteröidyn kansainvälistä suojelua hakevan tai tilapäistä suojelua saavan vastaanottopalveluiden sekä ihmiskaupan uhreille tarkoitettujen auttamistoimien suunnittelusta, järjestämisestä, toteuttamisesta ja seurannasta. Vastaanottopalveluihin kuuluvat muun muassa majoitus, vastaanotto- ja käyttöraha, sosiaalipalvelut, terveydenhuoltopalvelut, tulkki- ja käännöspalvelut sekä työ- ja opintotoiminta. Vastaanottokeskuksille kuuluisi rekisterinpitäjän vastuu myös ilman huoltajaa olevan lapsen edustajatoiminnan käytännön hallinnoinnista sekä hakemuksen tekemisestä edustajan määräämiseksi ilman huoltajaa olevalle lapselle. Joutsenon vastaanottokeskus ylläpitää ihmiskaupan uhreille tarkoitettua auttamisjärjestelmää.

Järjestelykeskus toimisi rekisterinpitäjänä, kun se vastaa maahantulijoiden rekisteröinnistä tilanteessa, jossa maahantulijoiden määrä on poikkeuksellisesti niin suuri, ettei maahantulon edellytysten selvittäminen ja maahantulijoiden rekisteröinti tavallisessa menettelyssä ole mahdollista.

Säilöönottoyksiköt toimisivat rekisterinpitäjinä, kun ne käsittelevät henkilötietoja kyseisessä säilöönottoyksikössä olevien henkilöiden säilöönoton järjestämiseen, suunnitteluun, toteuttamiseen ja seurantaan liittyen sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämiseksi.

Ulkoasiainhallintolain (204/2000) 2 §:n 1 momentin mukaan ulkoasiainhallinnon muodostavat ulkoasiainministeriö ja ulkomaanedustukseen kuuluvat edustustot. Ulkoasiainhallinto toimisi rekisterinpitäjänä viisumeihin liittyvän henkilötietojen käsittelyn osalta. Viisumit myönnetään kansallisessa viisumitietojärjestelmässä. Vaikka rekisterinpitäjyys ei olisi sidottu tietojärjestelmään, niin käytännössä ulkoasiainhallinto toimisi rekisterinpitäjänä kansallisessa viisumitietojärjestelmässä. Edustustojen ohella myös muut viranomaistahot kuten poliisi, Rajavartiolaitos ja Tulli myöntävät viisumeita kyseisessä järjestelmässä. Ulkoasiainhallinto toimisi rekisterinpitäjänä myös silloin, kun se käsittelee henkilötietoja vireyttäessään ulkomailla Suomen edustustolle jätettyjä ensimmäistä oleskelulupaa koskevia hakemuksia, kun edustustot keräävät biometrisia tunnisteita henkilöllisyyden varmistamiseksi, kun edustustot antavat päätöksiä tiedoksi ulkomailla ja myöntävät niin sanottuja protokollalupia tai laissez-passer -lupia. Lisäksi ulkoasiainhallinto toimisi rekisterinpitäjänä, kun edustustot päättävät Maahanmuuttovirastoa kuultuaan muukalaispassin myöntämisestä ulkomailla olevalle ulkomaalaiselle tai tekevät Emergency Travel Document (ETD) -päätöksiä.

Elinkeino-, liikenne- ja ympäristökeskukset toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja osoittaessaan henkilön kuntaan ja tehdessään osapäätöksen yrittäjän oleskelulupahakemukseen.

Työ- ja elinkeinotoimistot toimisivat rekisterinpitäjänä silloin, kun ne käsittelevät henkilötietoja tehdessään osapäätöksen työntekijän oleskelulupahakemukseen ja päättäessään ulkomaalaislain 187 §:ssä säädetystä työntekijän oleskeluluvan myöntämisestä pidättäytymisestä.

Tietosuoja-asetuksen 5 artiklan periaatteiden sekä 25 artiklan sisäänrakennetun ja oletusarvoisen tietosuojan mukaisesti kukin yhteisrekisterinpitäjä vastaisi henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan.

Erikseen säädettäisiin Maahanmuuttoviraston vastuusta ulkomaalaisasioiden asiankäsittelyjärjestelmässä sekä ulkoasiainhallinnon vastuusta kansallisessa viisumitietojärjestelmässä. Koska ei olisi tarkoituksenmukaista, että jokainen yhteisrekisterinpitäjä vastaisi tietojen käsittelyn hallinnoinnista, tietojärjestelmien ylläpitäjille keskitettäisiin nykytilaa vastaavasti tietojärjestelmien ylläpito- ja kehittämisvastuu. Lisäksi tietojärjestelmien ylläpitäjille keskitettäisiin tietyt tietojärjestelmiin sidotut henkilötietojen käsittelytavat. Tietojärjestelmien ylläpitäjille keskitetyistä vastuista säädettäisiin erikseen tämän lain 4 ja 5 §:ssä. Lain 6 §:ssä säädettäisiin erikseen myös järjestelmän ylläpitäjän roolista rekisteröidyn yhteyspisteenä.

On perusteltua, että tietyt rekisterinpitäjän vastuut kohdentuvat vain niille rekisterinpitäjille, jotka tosiasiallisesti vaikuttavat käsittelemiensä henkilötietojen sisältöön. Tallentaminen on vain yksi tietosuoja-asetuksen 4 artiklan mukaisista tiedonkäsittelytavoista, mutta henkilötiedon tallentaminen edellyttää ensin muita henkilötiedon käsittelytoimenpiteitä, kuten muokkaamista, muuttamista tai poistamista. Valmistelussa on tunnistettu, että lähes kaikki tietosuoja-asetuksen 4 artiklan mukaiset tiedonkäsittelytavat edellyttävät tiedon tallentamista. Poikkeuksen muodostavat henkilötiedon kysely tai haku, joihin rinnastuu myös artiklassa mainitsematon henkilötiedon katselu. Kukin yhteisrekisterinpitäjä vastaisi tallentamistaan henkilötiedoista. Kukin yhteisrekisterinpitäjä vastaisi esimerkiksi tallentamiensa henkilötietojen virheettömyydestä ja siten myös tietojen viranomaisaloitteisesta korjaamisesta päättämisestä. Lisäksi kukin yhteisrekisterinpitäjä vastaisi tallentamiensa tietojen osalta rekisteröidyn oikeuksien toteuttamisesta. Vastuu yksittäisen tiedon luovuttamisesta ja poistamisesta kuuluisi toimivaltansa perusteella henkilötiedon käsittelyyn oikeutetulle rekisterinpitäjälle. Tiettyjen toimintojen tekninen toteutus on kuitenkin keskitetty järjestelmän ylläpitäjälle. Tällaisia teknisiä toimenpiteitä ovat henkilötiedon poistaminen, korjaaminen tai rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen.

Perustuslain 124 §:n mukaan julkinen hallintotehtävä voidaan antaa muulle kuin viranomaiselle vain lailla tai lain nojalla, jos se on tarpeen tehtävän tarkoituksenmukaiseksi hoitamiseksi eikä vaaranna perusoikeuksia, oikeusturvaa tai muita hyvän hallinnon vaatimuksia. Merkittävää julkisen vallan käyttöä sisältäviä tehtäviä voidaan kuitenkin antaa vain viranomaiselle. Vastaanottolain 10 §:n nojalla Maahanmuuttovirasto sopii kunnan, kuntayhtymän, muun julkisoikeudellisen yhteisön taikka yksityisen yhteisön tai säätiön kanssa vastaanotto- tai järjestelykeskuksen perustamisesta, lakkauttamisesta ja toimipaikasta. Rekisterinpitäjänä toimisi tällöin muu kuin viranomainen, esimerkiksi yksityinen vastaanottokeskus sen toteuttaessa perustuslain 124 §:n nojalla laissa säädettyjä tehtäviään. Käytännössä vastaanottokeskuksia on valtion ja kuntien lisäksi ylläpitänyt lähinnä Suomen Punainen Risti, jolla on pitkä kokemus vastaanottotoiminnan järjestämisestä Suomessa. Selkeyden vuoksi esityksessä käytetään termiä viranomainen myös silloin, kun viranomaistehtäviä toteuttaa muu taho kuin viranomainen. Tilanteet ovat harvinaisia.

Ulkomaalaisrekisterilain 3 §:n 3 momentista poiketen rekisterinpitäjiä eivät jatkossa enää olisi Tulli, vankeinhoitoviranomaiset, yhdenvertaisuusvaltuutettu, korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Näiden viranomaisten tiedonsaantioikeus perustuisi jatkossa viranomaisten omiin tiedonsaantioikeuksiin yhdessä tämän lain 13 §:ssä säädettävään tiedon luovuttamista koskevaan sääntelyyn.

Erikseen säädettäisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän ja kansallisen viisumitietojärjestelmän ylläpitovastuusta.

Maahanmuuttohallintoon yleislakina sovellettavan julkisuuslain sääntely salassapidosta ja tietojen luovutuksesta salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Vaikka viranomaiset toimivat yhteisrekisterinpitäjinä, ne ovat viranomaisten erillisyysperiaatteen mukaisesti toisiinsa nähden itsenäisiä. Tiedon liikkumisesta rekisterinpitäjien välillä säädettäisiin erikseen. Kuten unionin tuomioistuimen oikeuskäytännössä on todettu, se että ehdotettavan maahanmuuttohallinnon henkilötietolain 3 §:n mukaiset rekisterinpitäjät olisivat tietosuoja-asetuksen 26 artiklan mukaisia yhteisrekisterinpitäjiä, ei kuitenkaan tarkoita että kaikki rekisterinpitäjät voisivat käsitellä rajoituksetta muiden rekisterinpitäjien keräämiä ja tallentamia tietoja. Tietojen käsittelyn tulee aina perustua kunkin viranomaisen toimivaltaa luovaan lainsäädäntöön. Tietoon pääsyä hallinnoidaan käyttövaltuushallinnalla.

4 §. Ulkomaalaisasioiden asiankäsittelyjärjestelmä. Ulkomaalaisasioiden asiankäsittelyjärjestelmään lukeutuu varsinaisen UMA-järjestelmän lisäksi henkilökortti- ja passitietojärjestelmä muukalaispassien ja pakolaisen matkustusasiakirjojen osalta. Maahanmuuttovirasto on henkilökortti- ja passitietojärjestelmän muukalaispasseja ja pakolaisen matkustusasiakirjoja koskevalta osalta yksinomainen rekisterinpitäjä, joten sen osalta ei välttämättä olisi tarpeen säätää erikseen järjestelmän ylläpitovastuusta. Koska muukalaispasseja ja pakolaisen matkustusasiakirjoja sisältävä järjestelmä on osa poliisin tietojärjestelmää, on selkeyden näkökulmasta pidetty tarpeellisena säätää Maahanmuuttoviraston vastuuroolista koko ulkomaalaisasioiden asiankäsittelyjärjestelmässä.

Maahanmuuttovirastolla olisi ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämis- ja ylläpitovastuu. Asiankäsittelyjärjestelmän ylläpitovastuu on erillinen 3 §:n mukaisista rekisterinpitäjän vastuista ja velvoitteista eikä siten vaikuta niiden käyttämiseen. Vastuun keskittäminen tietojärjestelmien ylläpito- ja kehittämisvastuun osalta olisi välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmien kehittämis- ja ylläpitovastuu edellyttäisi, että niistä vastaa tietty viranomainen sen sijaan, että vastuu niissä hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista nykytilaa vastaavasti. Tietojärjestelmien kehittämis- ja ylläpitovastuu olisi Maahanmuuttovirastolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- tai muista ratkaisuista. Maahanmuuttovirasto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.

Maahanmuuttovirasto ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti rekisterinpitäjille kuuluvien henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisi esimerkiksi rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.

Ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpitäjänä Maahanmuuttovirasto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Maahanmuuttovirasto vastaisi tiedonhallintalain mukaisesti muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta järjestelmään. Yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta Maahanmuuttovirasto vastaisi rekisterinpitäjänä 3 §:n mukaisesti.

Ulkomaalaisasioiden asiankäsittelyjärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.

5 §. Kansallinen viisumitietojärjestelmä. Ulkoasiainhallinnolla on kansallisen viisumitietojärjestelmän kehittämis- ja ylläpitovastuu. Viisumitietojärjestelmän ylläpitovastuu on erillinen 3 §:n mukaisista rekisterinpitäjän vastuista ja velvoitteista eikä siten vaikuta niiden käyttämiseen. Vastuun keskittäminen on välttämätöntä tilanteessa, jossa tietojärjestelmässä käsiteltävien henkilötietojen yhteisrekisterinpitäjiä on useita. Tietojärjestelmän kehittämis- ja ylläpitovastuu edellyttää, että siitä vastaa yksi viranomainen sen sijaan, että vastuu sen osalta hajautuisi kaikkien yhteisrekisterinpitäjien kesken. Ulkoasiainhallinto viisumitietojärjestelmän omistajana vastaisi järjestelmän kehittämistä ja ylläpitoa koskevista kustannuksista, kehittämistä koskevasta tärkeysjärjestyksestä ja aikatauluista. Järjestelmän kehittämis- ja ylläpitovastuu on ulkoasiainhallinnolla myös silloin, kun tarpeet ovat seurausta muilla hallinnonaloilla tehtävistä, mutta ehdotettavan lain soveltamisalan kautta merkityksellisiksi tulevista lainsäädäntö- ja muista ratkaisuista. Ulkoasiainhallinto vastaisi järjestelmän käyttövaltuushallinnasta ja teknisestä konfiguraatiosta.

Ulkoasiainhallinto kansallisen viisumitietojärjestelmän ylläpitäjänä vastaisi nykytilaa vastaavasti henkilötietojen tiettyjen käsittelytoimien teknisestä toteutuksesta. Tällaista teknistä toteuttamista olisivat esimerkiksi rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden tekninen toteutus, tietojen korjaamisen tekninen toteutus sekä tiedon yksittäistapauksellisen poistamisen tekninen toteutus.

Kansallisen viisumitietojärjestelmän ylläpitäjänä ulkoasiainhallinto vastaisi lisäksi tietyistä järjestelmään sidotuista käsittelytoimista. Ulkoasiainhallinto vastaisi tiedonhallintalain mukaisesti muiden kuin yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta järjestelmästä ja katseluyhteyden avaamisesta järjestelmään. Tiedonhallintalaki sisältää säännökset henkilötietojen luovuttamisesta teknisen rajapinnan avulla sekä katseluyhteyden avaamisesta järjestelmään. Yksittäisten henkilötietojen poistamisesta sekä luovuttamisesta ulkoasianhallinto vastaisi rekisterinpitäjänä 3 §:n mukaisesti.

Viisumitietojärjestelmästä säätäminen ei vaikuttaisi lain soveltamisalaan, joka ei olisi sidottu tietojärjestelmiin.

6 §. Rekisteröidyn yhteyspisteet. Rekisteröidyn oikeuksien toteutumisen varmistamiseksi säädettäisiin erikseen rekisteröidyn yhteyspisteistä. Maahanmuuttovirasto toimisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä rekisteröidyn yhteyspisteenä. Ulkoasiainhallinto toimisi kansallisessa viisumitietojärjestelmässä rekisteröidyn yhteyspisteenä.

Rekisteröidyn yhteyspiste toteuttaa rekisteröidyn oikeuksia, erityisesti pääsyä henkilötietoihin vastaamalla rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden nojalla pyydetyn tiedon toimittamisesta rekisteröidylle sekä pyyntöön liittyvästä prosessista kokonaisuudessaan. Tilanteessa, jossa toimii useita yhteisrekisterinpitäjiä toimivaltuuksiensa puitteissa, on perusteltua edistää rekisteröidyn oikeuksien toteutumista säätämällä rekisteröidyn yhteyspisteistä. Rekisteröidyn yhteyspiste olisi rekisteröidyn ensisijainen kontakti myös suhteessa asiaa käsittelevään tai asian ratkaisseeseen rekisterinpitäjään.

Rekisteröidyn yhteyspisteen nimeäminen ei tietosuoja-asetuksen 26 artiklan 3 kohdan mukaan estä rekisteröityä käyttämästä oikeuksiaan suhteessa kuhunkin rekisterinpitäjään ja kutakin rekisterinpitäjää vastaan eli esittämästä rekisteröidyn omiin tietoihinsa tutustumista koskevia pyyntöjä myös muille rekisterinpitäjille. Rekisterinpitäjille osoitetut tutustumispyynnöt tulisi ohjata asian laadusta riippuen Maahanmuuttovirastolle tai ulkoasiainhallinnolle tarvittavia toimenpiteitä varten. Toimintamalli vastaisi hallintolain (434/2003) 21 §:n mukaista viranomaisen velvollisuutta siirtää toimivaltaan kuulumaton asiakirja toimivaltaiseksi katsomalleen viranomaiselle. Asiassa toimivaltainen rekisterinpitäjä voisi niin halutessaan itse toteuttaa rekisteröidyn oikeuden tutustua omiin tietoihinsa, mutta tutustumispyynnön tekninen toteutus kuuluisi järjestelmän ylläpitäjälle. Tavoitteena on, että riittävän tiedottamisen ja viestinnän johdosta tutustumispyynnöt kohdistuisivat suoraan rekisteröidyn yhteyspisteille tilanteissa, joissa rekisteröity ei tietoisesti valitse kohdistaa pyyntöään asiassa toimivaltaiselle rekisterinpitäjälle tai niin halutessaan myös jollekin toiselle rekisterinpitäjälle.

Yhteyspiste pyytäisi tarvittaessa käsittelystä vastaavalta tai vastanneelta viranomaiselta tämän arviota, jos esimerkiksi rekisteröidyn omia tietoja koskevan tutustumisoikeuden sisältö tai laajuus on epäselvä.

7 §. Käsiteltävät henkilötiedot. Pykälässä säädettäisiin henkilötiedoista sekä henkilötietoryhmistä, joihin kuuluvia henkilötietoja lain soveltamisalan piirissä olisi mahdollista käsitellä. Pykälä loisi ulkoreunat käsiteltävien henkilötietojen piirille. Pykälässä ei säädettäisi siitä, mitä henkilötietoja yksittäisessä tilanteessa olisi mahdollista käsitellä. Pykälä ei siten loisi toimivaltaa henkilötiedon käsittelylle. Toimivalta yksittäisen henkilötiedon käsittelylle perustuisi aina erilliseen toimivaltasäännökseen.

Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Käsiteltävien henkilötietojen tarpeellisuus olisi aina arvioitava suhteessa käyttötarkoitukseen. Yksittäisen käsiteltävän henkilötiedon tulisi aina olla tarpeellinen suhteessa käyttötarkoitukseen eli lakisääteisen tehtävän toteuttamiseksi. Jokaisen yksittäisen henkilötiedon tarpeellisuus tulisi arvioida tilannekohtaisesti. Käyttövaltuushallinnalla ja erilaisilla käyttäjäprofiileilla rajattaisiin yksittäisen käsittelijän pääsyä käsittelyn näkökulmasta tarpeellisiin tietoryhmiin. Lokitietojen avulla olisi jälkeenpäin mahdollista varmentaa ja todentaa kenen toimesta henkilötietoja on käsitelty. Käsittelijät toimivat aina virkavastuulla.

Tietosisältöä koskeva sääntelytapa olisi yleisluontoinen suhteessa ulkomaalaisrekisterilain voimassaolevaan sääntelyyn. Tietosuoja-asetuksessa omaksutun ja myös perustuslakivaliokunnan painottaman riskiperustaisen lähestymistavan mukaisesti sääntely kohdennettaisiin riskiperustaisesti tarkempaa sääntelyä edellyttäviin tilanteisiin, jolloin yksityiskohtaista sääntelyä purettaisiin nyt esitetyn kaltaisissa tilanteissa, joissa kattava ja yksityiskohtainen sääntely ei ole välttämätöntä. Yleisluontoisempi sääntelyratkaisu olisi lakiteknisesti perusteltu tietosisällön laajuuden vuoksi sekä siksi, että sääntelyssä käytettäisiin henkilötietoja kuvaavia yläkäsitteitä, joiden sisältöä voidaan pitää melko vakiintuneena. Sääntelytekniikka, jossa tietosisältö on kuvattu vakiintuneita henkilötietojen jaotteluperusteita käyttäen, olisi tarkoituksenmukainen myös siitä näkökulmasta, että se mahdollistaisi tietyin edellytyksin toimivaltaa luovissa laeissa toteutettavien muutosten johdosta käsiteltävien henkilötietojen sisältöön liittyvät yksittäiset muutostarpeet ilman jatkuvia lainsäädäntömuutoksia. Yleismuotoisempi ryhmittelytapa mahdollistaisi aiempaa laajemman tietosisällön käsittelyn, mutta vain sillä edellytyksellä, että tiedon käsittely on tarpeen ja sillä on oikeusperusta. Erityisistä henkilötietoryhmistä säädettäisiin erikseen esityksen 1. lakiehdotuksen 8 §:ssä.

Ehdotettavan lain soveltamisalan laajennus suhteessa voimassaolevaan ulkomaalaisrekisterilakiin huomioiden pykälään keskitettäisiin voimassaolevan ulkomaalaisrekisterilain 7 §:n tietosisällön lisäksi voimassaolevien vastaanottolain 48 §:ssä, säilölain 32 d §:ssä ja kotoutumislain 60 §:n 2 momentissa säädetty tietosisältö.

Pykälä jakautuisi neljään momenttiin. Pykälän 1 momentissa säädettäisiin henkilöön liittyvistä tiedoista, 2 momentissa henkilön asiaan liittyvistä tiedoista, 3 momentissa huomiotiedoista ja 4 momentissa henkilöön tai asiaan liittyviin muihin henkilöihin liittyvistä tiedoista.

Pykälän 1 momentissa säädettäisiin henkilön yksilöintitiedoista, perhesuhdetiedoista, edustajuustiedoista, osaamista kuvaavista tiedoista ja yhteystiedoista sekä matkustusasiakirjoja koskevista tiedoista ja ulkomaalaislain 96 §:n mukaisen hakemusasian vireilläoloa osoittavaa korttia koskevasta käsittelystä.

Pykälän 2 momentin 1 ja 2 kohdissa säädettäisiin hakemuksesta, esityksestä, pyynnöstä tai ilmoituksesta taikka näiden vuoksi tehdystä tiedustelusta tai kuulemisesta ilmenevistä tiedoista sekä asian käsittely-, selvitys- ja päätöstiedoista. Näissä kohdissa käsiteltäviin tietoihin voisivat sisältyä myös oikeushenkilöitä koskevat tiedot, sillä vaikka kyseessä on henkilötietolaki, rekisterinpitäjien on voitava käsitellä toimivaltaa luovan lainsäädäntönsä sallimissa rajoissa myös oikeushenkilöiden tietoja, silloin kun oikeushenkilön tiedot liittyisivät esimerkiksi luonnollisen henkilön asian käsittelyyn. Tällaisia oikeushenkilöitä koskevia tietoja voisivat esimerkiksi olla oleskelulupa- tai kansalaisuusasian ratkaisemisessa tarvittavat työnantajatiedot. Päätöstiedoilla tarkoitettaisiin myös viranomaisaloitteisia asioita koskevia päätöstietoja. Ulkomaalaisrekisterilain 7 §:n 2 momentin 2 kohdasta poiketen 2 kohdassa ei erikseen mainittaisi asiakirjoja, koska ehdotettava laki kattaisi henkilötietojen käsittelyn riippumatta siitä, missä muodossa tietoja käsitellään.

Pykälän 2 momentin 3 kohdassa säädettäisiin tiedoista, jotka koskevat vastaanottopalveluita ja muuta vastaanottoon kuuluvaa toimintaa sekä ilman huoltajaa olevan lapsen vastaanottotoimintaan liittyvän edustajan tietoja ja edustajatoiminnan ohjauksessa, suunnittelussa ja valvonnassa tarvittavia tietoja. Edustajuustiedoilla tarkoitettaisiin tietoja, jotka kuvaavat huoltajuus-, edunvalvonta-, edustaja-, avustaja- tai asiamiessuhdetta. Pykälän 2 momentin 4 kohdassa säädettäisiin tiedoista, jotka koskevat ulkomaalaisen sijoittamista säilöönottoyksikköön. Pykälän 2 momentin 5 kohdassa säädettäisiin kuntaan osoittamista koskevan tiedon käsittelystä. Kuntaan osoittamisella tarkoitetaan kotoutumislain 2 §:n 2 ja 3 momentissa tarkoitetun henkilön kuntaan osoittamista.

Edellä ehdotettavat muutokset ovat pääosin teknisluontoisia eivätkä lähtökohtaisesti muuttaisi käsiteltävien henkilötietojen nykytilaa suhteessa ulkomaalaisrekisterilaissa, vastanottolaissa, säilölaissa ja kotoutumislaissa säädettyjen talletettavien tietojen osalta tiettyjä erikseen kuvattuja poikkeuksia lukuun ottamatta: vastaanottolain 48 §:ään sekä säilölain 32 d §:ään sisältyneet kuvaukset tarkoituksista, joissa tiettyjä henkilötietoja voidaan käsitellä, korvattaisiin yleisellä tarpeellisuusvaatimuksella. Käsittelyn edellytyksiä koskevaa nykytilaa ei ole tarkoitus muuttaa, vaikka käsittelytarkoituksesta ei jatkossa säädettäisi tietosisältöpykälässä: tiedon olisi jatkossakin oltava tarpeellinen lakisääteiseen käsittelytarkoitukseen nähden. Pykälän 2 momentin 4 kohtaan sisältyvä säilöönottoon liittyvä tietosisältö laajenisi kattamaan tietoja säilöönoton järjestämisen, suunnittelun, toteuttamisen, seurannan ja säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 7 §:n mukaan tietosisältö kattaa tältä osin vain tiedot, jotka koskeva puhelimen ja muiden viestintälaitteiden hallussapitoa ja käyttöä tai tarkastuksia ja rajoituksia. Sääntely ei kuitenkaan vastaa tosiasiallisia tarpeita. Tarkoituksenmukaista olisi, että tallennettava tietosisältö kattaisi laajemmin säilöönoton järjestämisen, suunnittelun, toteuttamisen ja seurannan sekä säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi tarpeelliset tiedot. Säännöksen muuttaminen olisi tarpeen säilölaista ilmenevien toiminnallisten tarpeiden näkökulmasta. Säilölain 11 §:ssä säädettyjen majoituksen, ylläpidon ja muiden välttämättömien perustarpeiden turvaaminen edellyttää mahdollisuutta käsitellä näihin liittyviä henkilötietoja. Myös säilölain 12 ja 14 §:n mukaisten käyttörahan ja toimintakyvyn tukemiseen liittyvien palvelujen tarjoaminen edellyttää näihin liittyvien henkilötietojen käsittelymahdollisuutta. Ylipäätään olisi tarpeen käsitellä asiakaskertomukseksi katsottavia tietoja esimerkiksi henkilön osallistumisesta toimintaan, tehdyistä asiakastoimenpiteistä tai erityisruokavaliosta. Tietoja tulisi voida kirjata myös esimerkiksi asiakkaan käyttäytymisestä, jolla voi olla vaikutusta asiakkaan, muiden säilön asiakkaiden tai henkilökunnan turvallisuuteen esimerkiksi henkilökunnan vuorojen vaihtuessa.

Rekisterinpitäjällä olisi nykytilasta poiketen oikeus 3 momentin nojalla käsitellä havaitsemiaan tai sille ilmoitettuja huomiotietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa tai päättää Suomen kansalaisuuden saamisesta ja menettämisestä taikka velvollisuuteen huolehtia palveluksessa olevien työturvallisuudesta. Kyseessä olisi uusi tietosisältösäännös, joka mahdollistaisi sellaisten henkilötietojen käsittelyn, joiden toimivalta perustuu olemassa olevaan lainsäädäntöön. Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, jotka ovat luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyn rajaaminen perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp, s. 4 ja PeVL 71/2014 vp, s. 2) on välttämätöntä. Huomiotietojen käsittelyä koskee viranomaistoiminnan tarkoitussidonnaisuuden periaate. Huomiotietojen käsittely rajattaisiin ensiksi rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassaoleskelua koskevien edellytysten olemassaoloa. Ulkomaalaislain voimassaolevien 129 a §:n sekä 212 §:n nojalla viranomaiset suorittavat ulkomaalaisvalvontaa sekä valvovat ulkomaalaislain nojalla annettujen säännösten noudattamista. Esimerkiksi hallituksen esityksessä (HE 169/2014 vp3 ja 4 luvuissa säädetään niistä edellytyksistä, joiden täyttyessä Suomen kansalaisuuden voi saada hakemuksesta ilmoituksesta. Kansalaisuuslain voimassa olevan 33 §:ssä säädetään kansalaisuuden menettämisestä väärien tietojen antamisen perusteella. Maahanmuuttovirastolla on siten perusteltu syy käsitellä sellaisia huomiotietoja, jotka voivat johtaa siihen, että henkilö ei saa Suomen kansalaisuutta tai että hän menettää Suomen kansalaisuuden. Työturvallisuuslain (738/2002) 8 §:n mukaan työnantaja on tarpeellisilla toimenpiteillä velvollinen huolehtimaan työntekijöiden turvallisuudesta ja terveydestä työssä. Tässä tarkoituksessa työnantajan on otettava huomioon työhön, työolosuhteisiin ja muuhun työympäristöön samoin kuin työntekijän henkilökohtaisiin edellytyksiin liittyvät seikat. Työnantajan on suunniteltava, valittava, mitoitettava ja toteutettava työolosuhteiden parantamiseksi tarvittavat toimenpiteet. Tällöin on mahdollisuuksien mukaan noudatettava esimerkiksi periaatetta, jonka mukaan vaara- ja haittatekijöiden syntyminen estetään. Huomiotietosäännös sisältäisi siten edellytyksen henkilötietojen käsittelystä vain nimenomaisten lakisääteisten tehtävien toteuttamiseksi.

Käytännössä huomiotiedot olisivat peruste aloittaa viranomaisten toimivaltaan kuuluviin tehtäviin vaikuttavien olosuhteiden tarkempi selvittäminen. Viranomaisella olisi toimivaltuuksiensa puitteissa mahdollisuus tallentaa huomiotietoja vaikka tiedot eivät liity mihinkään vireillä olevaan asiaan. Huomiotietoja ei saisi käyttää päätöksenteon perusteena. Huomiotietojen luonnetta ei olisi rajattu. Huomiotietoja ei olisi lueteltu säännöksessä poliisin henkilötietolain 8 §:ää vastaavasti, koska ne rajautuisivat kunkin rekisterinpitäjän toimivaltaa luovan lainsäädäntönsä nojalla käsittelemiin tietoihin. Huomiotiedot voisivat liittyä Maahanmuuttoviraston asiakkaisiin tai sellaisiin kolmansiin henkilöihin, joilla on vaikutusta Maahanmuuttoviraston asiakkaiden maahantulon tai maassa oleskelun edellytyksiin tai kansalaisuuden saamiseen tai menettämiseen. Huomiotiedot voisivat koskea esimerkiksi olosuhteita tai tapahtumia, kuten perhesuhteita tai toimeentuloa, jotka voivat olla merkityksellisiä lupaharkinnassa tai arvioitaessa sitä, vastaako henkilön maassa oleskelu edelleen oleskeluluvan edellytyksiä. Huomiotiedot voisivat koskea myös seikkoja, jotka voivat olla merkityksellisiä kansalaisuuden myöntämisessä tai johtaa kansalaisuuden menettämiseen, kuten henkilöllisyyttä tai Suomessa oleskelua koskevia tietoja (HE 235/2002 vp). Huomiotiedot voisivat olla myös työturvallisuuteen vaikuttavia tietoja, kuten tietoja henkilön käyttäytymisestä, jotka voisivat olla merkityksellisiä esimerkiksi turvapaikkapuhuttelun järjestämisen näkökulmasta tai muita turvallisuuden varmistamiseen liittyviä toimenpiteitä ajatellen.

Huomiotietojen tulisi täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet eli niiden tulisi aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Huomiotieto saattaisi yksittäisessä tilanteessa olla erityisiin henkilötietoryhmiin kuuluva tieto, jolloin henkilötiedon käsittelyn tulisi täyttää myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat 8 §:n mukaiset edellytykset. Huomiotietojen käsittely toisen kuin tiedot tallentaneen rekisterinpitäjän toimesta olisi mahdollista 11 §:n nojalla, jos rekisterinpitäjän lakisääteisten tehtävien toteuttaminen niin edellyttää.

Huomiotietoihin olisi liitettävä tieto tietojen antajasta tai tietolähteestä sekä arvio tämän luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Näin ollen kirjauksen tulisi aina sisältää tieto siitä, mistä huomiotieto on peräisin tai jos sen lähde ei ole tiedossa, tieto siitä. Huomiotietoihin kohdistuisivat tietosuojalain 34 §:ssä säädetyt yleiset rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Huomiotietojen poistamisesta säädettäisiin erikseen. Luonteensa vuoksi huomiotietojen käsittelyn edellytyksiä tulisi tulkita suppeasti edellä mainituissa rajoissa.

Pykäläehdotuksen 4 momentin nojalla rekisterinpitäjä saisi, siltä osin kuin on tarpeen, käsitellä perheenjäsenten, samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötietoja sekä ulkomaalaisen työntekijän palvelukseensa ottavan henkilön henkilötietoja.

8 §. Käsiteltävät erityiset henkilötietoryhmät. Pykälä sisältäisi säännökset erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Erillinen sääntely olisi tarpeen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen arkaluontoisuuden johdosta huomioiden tietosuoja-asetuksessa omaksuttu ja myös perustuslakivaliokunnan painottama riskiperustainen lähestymistapa. Tietosuoja-asetuksen 9 artiklan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on lähtökohtaisesti kielletty. Tietosuojalain 6 §:n mukaan arkaluonteisten tietojen käsittelykieltoa ei kansallisen liikkumavaran nojalla sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. On huomioitava, että maahanmuuttohallinnon henkilötietolaki ei loisi toimivaltaa henkilötietojen eikä siten myöskään erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelylle.

Sormenjälkien käsittelystä säädettäisiin täsmentävästi erikseen 1. lakiehdotuksen 9 ja 10 §:ssä ulkomaalaisrekisterilaissa säädettyä nykytilaa vastaavasti.

Pykälään keskitettäisiin julkisuuslain 24 §:n mukaan salassa pidettävät tietosuoja-asetuksen 9 artiklan erityisiin henkilötietoryhmiin kuuluvat tiedot, tietosuoja-asetuksen 10 artiklan mukaiset erityisin edellytyksin käsiteltävät rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot sekä kansallisesti valtiosääntöoikeudellisesti edelleen arkaluonteisiksi katsottavat tiedot. Näitä jälkimmäisiä tietoja olisivat perustuslakivaliokunnan kannan mukaisesti (ks. PeVL 14/2018 vp ja PeVL 15/2018 vp) tietosuoja-asetuksen erityisten henkilötietoryhmien ulkopuolelle jäävät valtiosääntöoikeudellisesti arkaluonteisiksi katsotut tiedot, kuten sosiaalipalveluita koskevat tiedot. Nykyisin näistä salassa pidettävistä tietosisällöistä on säädetty osin niin voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa kuin säilölaissa. Sääntelyn selkeyden ja ymmärrettävyyden vuoksi näistä eri perusteella erityisiksi tai arkaluonteisiksi luettavista tiedoista olisi syytä säätää keskitetysti yhdessä pykälässä. Tämä myös korostaisi näiden tietojen käsittelyn edellyttämää erityistä huolellisuutta ja niiden suojaamista oikeudettomalta käytöltä. Pykälä olisi nimetty käyttäen tietosuoja-asetuksen näistä tiedoista käyttämää erityisten henkilötietoryhmien -nimitystä, vaikka sen alaan edellä mainituin tavoin kuuluisi myös muita erityisin edellytyksin käsiteltäviä henkilötietoja. Jatkossa pykälän sisältämiin tietoihin viitataan selkeyden vuoksi erityisinä henkilötietoryhminä pykälän otsikkoa vastaavasti.

Kullakin rekisterinpitäjällä olisi oikeus käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja vain toimivaltansa puitteissa. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn edellytyksenä olisi välttämättömyys tietyn tarkoituksen kannalta, mikä myös vastaisi voimassaolevan ulkomaalaisrekisterilain ja säilölain sääntelyä. Tämän lisäksi näiden henkilötietojen käyttöala täsmennettäisiin - toisin kuin sellaisten henkilötietojen, jotka eivät kuulu erityisiin henkilötietoryhmiin - rajaamalla niiden käsittelytarkoituksia, jotta voidaan minimoida tietoturvaan ja näiden tietojen väärinkäyttöön liittyviä vakavia riskejä henkilön perusoikeuksille ja -vapauksille (PeVL 15/2018 vp, s. 37).

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyllä puututaan henkilön yksityisyyden suojan ytimeen, joten niiden käytön oikeasuhtaisuutta tulee arvioida suhteessa siihen turvaako puuttuminen kuitenkin henkilön muita oikeuksia ja muodostavatko nämä muut oikeudet niin painavan perusteen, että henkilön yksityisyyden suojaa voidaan niiden turvaamiseksi rajoittaa. Maahanmuuttohallinnossa erityisten henkilötietoryhmien käsittely olisi välttämätöntä rekisteröidyn identiteetin suojaamiseksi, oikeusturvan varmistamiseksi, edun turvaamiseksi tai terveys- tai sosiaalipalvelujen saamiseksi. Erityisten henkilötietoryhmien käsittely olisi siis tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämällä tavalla oikeasuhteinen toimenpide rajoituksella tavoiteltaviin oikeushyviin nähden.

Erityisten henkilötietoryhmien käyttöalan rajoitusten lisäksi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämät asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi toteutuisivat tietosuojalain 6 §:n 2 momentissa säädetyillä suojatoimilla. Tällaisia suojatoimia olisivat muun muassa henkilöstön osaamisen ja erilaisten valvontakeinojen toteuttaminen sekä teknisten järjestelmien toimivuuden takaaminen. Myös erityislainsäädäntö itsessään muodostaisi yhden tietosuoja-asetuksen edellyttämän suojatoimen. Lisäksi erityisiä henkilötietoryhmiä koskevien tietojen poistamisesta säädettäisiin erikseen.

Maahanmuuttohallinnossa käsiteltävien tilanteiden moninaisuuden vuoksi erityisten henkilötietoryhmien käsittelysäännöksiä ei ole mahdollista määritellä täysin yksityiskohtaisesti ilman, että viranomaisten toimivaltuudet kuvataan tehtäväkohtaisesti. Tällaista sääntelytapaa ei kuitenkaan ole pidettävä tarkoituksenmukaisena. On tunnistettavissa tilanteita, joissa erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on erityisen usein tarpeen sekä sellaisia tilanteita, joissa tarvetta käsittelylle ei ole. Usein on kuitenkin kyse tilanteista, joissa tietyn erityiseen henkilötietoryhmään kuuluvan henkilötiedon käsittely saattaa toisinaan olla välttämätöntä ja toisinaan ei. Tiedon käsittelemisen välttämättömyys on arvioitava aina tilannekohtaisesti. Erityisen henkilötietoryhmän käsittely edellyttää aina tapauskohtaista arviointia.

Henkilötietoja, joista ilmenee luonnollisen henkilön rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai seksuaalinen käyttäytyminen ja suuntautuminen, voi olla välttämätöntä käsitellä erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi, mutta myös turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseksi, jotta voidaan varmistaa rekisteröidyn turvallisuus.

Ammattiliiton jäsenyyttä koskevan henkilötiedon käsittely voi olla välttämätöntä kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseksi sekä ihmiskaupan uhrien auttamiseksi.

Geneettisiä henkilötietoja voi olla välttämätöntä käsitellä perhesiteen selvittämiseksi dna-tutkimuksen avulla ulkomaalaislain 65 §:n nojalla sekä oikeuslääketieteellisen tutkimuksen tekemiseksi oleskelulupaa Suomessa hakevan ulkomaalaisen tai perheenkokoajan iän selvittämiseksi ulkomaalaislain 6 a §:n nojalla. Biometrisiä henkilötietoja voi olla välttämätöntä käsitellä henkilön yksiselitteistä tunnistamista varten otettaessa oleskelulupahakemuksen tai kansainvälistä suojelua koskevan hakemuksen jättämisen yhteydessä hakijalta sormenjäljet ja hakijan liittämä kasvokuva oleskelulupakorttia varten ulkomaalaislain 60 d §:n perusteella. Ulkomaalaislain 131 §:n nojalla poliisin rekistereihin tallennettavien ulkomaalaisen tunnistamistietojen käsittelystä säädetään poliisin henkilötietolaissa. Biometrisiin tunnisteisiin kuuluvien sormenjälkien käytöstä säädettäisiin täsmentävästi 9 ja 10 §:ssä.

Geneettisillä henkilötiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 13 alakohdassa tarkoitettuja henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla. Biometrisillä tiedoilla tarkoitettaisiin tietosuoja-asetuksen 4 artiklan 14 alakohdassa tarkoitettuja kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa.

Terveyttä koskevat tiedot voivat olla välttämättömiä kaikissa lain soveltamisalaan kuuluvissa tilanteissa. Tällaisia ovat esimerkiksi kansainvälistä suojelua koskevan hakemuksen perusteiden arvioiminen, oleskeluluvan myöntämisen edellytysten arvioiminen sekä turvapaikanhakijoiden vastaanottoon, säilöönottoon ja kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttaminen rekisteröidyn terveydentilan huomioimiseksi.

Tietosuoja-asetuksen 4 artiklan 15 alakohdan mukaan terveystietoja ovat luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyvät henkilötiedot, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa.

Kansallisesti on säädetty potilasasiakirjoista ja niiden sisältämistä tiedoista. Potilasasiakirjoja ovat potilaan asemasta ja oikeuksista annetun lain (785/1992, jäljempänä potilaslaki) 2 §:n 5 kohdan mukaan potilaan hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita asiakirjoja taikka teknisiä tallenteita, jotka sisältävät hänen terveydentilaansa koskevia tai muita henkilökohtaisia tietoja. Potilasasiakirjoihin merkittävistä tiedoista on säädetty erikseen sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista (298/2009). Potilaslain 13 §:n 1 momentin mukaan potilasasiakirjoihin sisältyvät tiedot ovat salassapidettäviä. Pykälän 2 momentin mukaan terveydenhuollon ammattihenkilö tai muu terveydenhuollon toimintayksikössä työskentelevä taikka sen tehtäviä suorittava henkilö ei saa ilman potilaan kirjallista suostumusta antaa sivulliselle potilasasiakirjoihin sisältyviä tietoja. Maahanmuuttohallinnon alalla myös muiden kuin terveydenhuollon ammattihenkilöiden on poikkeuksellisesti välttämätöntä käsitellä tiettyjä terveyttä koskevia tietoja.

Lähtökohtaisesti vain terveydenhuollon ammattihenkilöt, kuten terveydenhoitajat, jotka työskentelevät esimerkiksi vastaanottokeskuksessa, ihmiskaupan uhrien auttamisjärjestelmässä tai säilöönottoyksikössä, voivat käsitellä näiden palveluiden piiriin sijoitettujen henkilöiden potilastietoja ilman potilaan kirjallista suostumusta. Eduskunnan oikeusasiamies on ratkaisussaan EOAK 3101/4/13 todennut, ettei säilöönottoyksikön lääkkeitä jakavilla ohjaajilla tässä tehtävässään ole oikeutta saada tietää säilöön otetun hoitoon, kuten lääkitykseen, liittyviä tietoja ilman tämän suostumusta. Eduskunnan oikeusasiamies on lausunut samoin myös ratkaisussaan EOAK 3998/4/07 vankien lääkkeiden jaon osalta. Esimerkiksi vastaanottokeskuksessa, ihmiskaupan uhrien auttamisjärjestelmässä tai säilöönottoyksikössä työskentelevät terveydenhuollon ammattihenkilöt, kuten terveydenhoitajat, noudattavat potilastietojen käsittelyssä potilaslakia. Myös rekisterinpitäjän muiden työntekijöiden on kuitenkin poikkeuksellisesti voitava käsitellä maahanmuuttohallinnon asiakkaan väkivalta-, itsemurha- tai tartuntatautiriskiä taikka muita vastaavia sairaudesta johtuvia riskejä tai sairautta koskevia tietoja, silloin kun ne ovat välttämättömiä kyseisen henkilön hengen, terveyden tai turvallisuuden suojaamiseksi taikka muiden henkilöiden hengen, terveyden tai turvallisuuden vaarantumisen estämiseksi. Esimerkiksi tilanteessa, jossa vastaanottokeskuksen tukiasumisyksikön tai alaikäisyksikön sosiaalityöntekijä tai nuoren omaohjaaja saattaa lapsen tai nuoren lääkäriin, työntekijän on välttämätöntä tietää minne ja miksi lapsi tai nuori saatetaan. Tämän vuoksi säännöksessä mahdollistettaisiin potilastietojen käsittely silloin kun se on välttämätöntä rekisterinpitäjän toiminnassa.

Sosiaalipalveluita koskevien tietojen välttämättömät käsittelytarpeet liittyvät erityisesti kansainvälistä suojelua koskevan hakemuksen perusteiden arvioimiseen, mutta myös turvapaikanhakijoiden vastaanottoon ja säilöönottoon sekä kuntaan osoittamiseen liittyvien käytännön järjestelyiden toteuttamiseen.

Rikostuomioihin ja rikkomuksiin liittyviin henkilötietoihin luettaisiin myös rangaistuksen täytäntöönpanoon liittyvät henkilötiedot. Nämä henkilötiedot voivat olla välttämättömiä kaikissa lain soveltamisalan piirissä käsiteltävissä tilanteissa. Rikostuomioilla ja rikkomuksilla sekä rangaistuksen täytäntöönpanoa koskevilla tiedoilla voi olla merkitystä maahantuloa tai maastalähtöä koskevissa asioissa, kansalaisuutta koskevissa kysymyksissä erityisesti kansalaisuutta myönnettäessä, mutta myös vastaanoton ja säilöönoton käytännön järjestämisessä sekä kuntaan osoittamisessa.

Kaikki erityisiin henkilötietoryhmiin kuuluvat henkilötiedot voivat olla välttämättömiä kansallisen turvallisuuden suojaamiseksi.

9 §. Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset muukalaispassien ja pakolaisen matkustusasiakirjojen hakijoilta otettujen sormenjälkien käsittelystä. Pykälä vastaisi sisällöllisesti voimassaolevaa ulkomaalaisrekisterilain 3 a §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän muutosehdotuksen vuoksi, jossa käsittelytarkoituslähtöisyyden seurauksena ei enää säädettäisi rekistereistä ja osarekistereistä. Tämän johdosta pykälässä myös todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Tarkoitus ei ole muuttaa nykytilaa. Sormenjälkiä käyttämään oikeutetuista viranomaisista ulkoasiainministeriö ja Suomen edustusto korvattaisiin termillä ulkoasiainhallinto. Muutos olisi tekninen ja vastaisi tässä esityksessä yleisesti käytettävää terminologiaa. Poliisilla tarkoitettaisiin edelleen myös suojelupoliisia, eikä nykytilaa ole tältä osin tarkoitus muuttaa, vaikka suojelupoliisin henkilötietojen käsittelystä säädetään nyttemmin erikseen poliisin henkilötietolain 7 luvussa.

10 §. Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely. Pykälä sisältäisi säännökset oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkien käytöstä. Pykälä vastaisi sisällöllisesti ulkomaalaisrekisterilain 3 b §:ää. Pykälään tehtäisiin tarvittavat tekniset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän muutosehdotuksen vuoksi, jossa käsittelytarkoituslähtöisyyden seurauksena luovuttaisiin säätämästä rekistereistä ja osarekistereistä. Tämän johdosta pykälässä todettaisiin yksinkertaisesti, että otetut sormenjäljet tallennetaan. Käsittelyperusteisesta lähestymistavasta johtuen viittaukset hakemusasioiden osarekisteriin korvattaisiin viittauksella kyseisessä pykälässä tarkoitettuihin jo tallennettuihin tietoihin. Valtion turvallisuus korvattaisiin termillä kansallinen turvallisuus vastaamaan tiedustelulainsäädäntökokonaisuudessa käytettävää käsitettä. Valtion turvallisuuden ja kansallisen turvallisuuden katsotaan tarkoittavan samaa asiaa. Pykälän 2 momentissa säädetyt sormenjälkitiedot korvattaisiin sanalla sormenjäljet. Tarkoitus ei ole muuttaa nykytilaa.

11 §. Henkilötietojen käsittely alkuperäisessä käsittelytarkoituksessa. Lain 1 ja 3 §:ssä säädettäisiin henkilötietojen käsittelytarkoituksista ja niistä viranomaisista, jotka toimivat rekisterinpitäjinä toimivaltaa luovassa lainsäädännössä säädettyjä tehtäviään toteuttaessaan. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Perustuslakivaliokunta on esittänyt huolensa siitä, jos tiedot ovat siirrettävissä yhteisrekisterinpitäjiksi määriteltyjen viranomaisten välillä salassapitosäännösten estämättä, mikäli talletettuja arkaluonteisia ja salassa pidettäviä tietoja käsitellään myöhemmin samassa tarkoituksessa toisen yhteisrekisterinpitäjäksi määritellyn viranomaisen toimesta. Perustuslakivaliokunta on muistuttanut, että maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä (PeVL 62/2018 vp).

Perustuslakivaliokunnan lausunnossaan esiin nostama viranomaisten erillisyysperiaate huomioiden on välttämätöntä säätää erikseen arkaluonteisten ja salassa pidettävien tietojen liikkumisesta rekisterinpitäjien välillä silloinkin kun on kyse yhden rekisterinpitäjän keräämien tietojen käyttämisestä toisen rekisterinpitäjän toimesta samaan alkuperäiseen käsittelytarkoitukseen, johon ne on alun perin kerätty. Käsittelyn edellytyksenä on aina tarve käsitellä tietoa viranomaisen lakisääteisen tehtävän toteuttamiseksi. Ehdotettavan lain 8 §:n rajoitusedellytykset tulevat aina sovellettavaksi, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Muotoilu ilmentää samalla lain 1 §:ssä säädettyjen eri käsittelytarkoitusten välisen tiedon ristiin käyttämisen kieltoa, koska tämä ei olisi käsittelyä alkuperäiseen tarkoitukseen. Näin myös huomioidaan perustuslakivaliokunnan edellyttämällä tavalla yhteisrekisterinpitäjinä toimivien maahanmuuttohallinnon viranomaisten julkisuuslain mukainen erillisyys, mikä osaltaan selkeyttää 12 §:n mukaista tiedon käyttämistä muuhun kuin alkuperäiseen käsittelytarkoitukseen.

Olisi huomioitava tietyt erityistilanteet, kuten vastaanottodirektiiviin sisältyvä viranomaisen velvollisuus ottaa huomioon tietyt hakijan erityistarpeet. Henkilön tiettyjen tunnistetietojen päivittäminen olisi yhteensopivaa silloinkin, kun liikutaan lain 1 §:n soveltamisalan eri alakohtien välillä. Näin ollen, jos henkilön tunnistetiedot päivitetään esimerkiksi lupaprosessin yhteydessä, tiedot tulisi päivittää käytännössä myös vastaanottoprosessin sekä henkilön säilöön ottamista koskevan prosessin puolella.

Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohta edellyttää henkilötietojen käsittelyssä täsmällisyyttä eli henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset ja kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä.

12 §. Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa. Pykälässä säänneltäisiin niistä tilanteista, joissa lain soveltamisalan piirissä henkilötietoja olisi salassapitosäännösten estämättä mahdollista käsitellä muussa kuin alkuperäisessä käsittelytarkoituksessa. Tämä olisi mahdollista, jos käsittely olisi välttämätöntä 1 momentissa säädetyllä tavalla rekisterinpitäjän lakisääteisten tehtävien suorittamiseksi tai tarpeen 1 momentin kohdissa tarkemmin yksilöidyllä tavalla. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa säädettäisiin erikseen pykälän 2 ja 3 momentissa. Oikeusperustan käsittelylle muuhun kuin alkuperäiseen käsittelytarkoitukseen lain soveltamisalan piirissä loisivat rekisterinpitäjälle laissa säädetyt tehtävät, joiden toteuttaminen edellyttää henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa.

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta eli henkilötiedot on kerättävä tiettyä nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen jatkokäsittelystä voidaan 6 artiklan 4 kohdan mukaan säätää jäsenvaltion lainsäädännössä, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23 artiklassa tarkoitettujen tavoitteiden turvaamiseksi. Näitä 23 artiklassa säädettyjä tavoitteita ovat muun muassa yleiseen etuun liittyvät tärkeät tavoitteet sekä rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Lisäksi käsittelylle on oltava 6 artiklan 1 kohdan mukainen peruste ja erityisten henkilötietoryhmien tietojen käsittelyyn 9 artiklan 2 kohdan mukainen peruste.

Tietosuoja-asetuksen johdanto-osan 50 kappaleen mukaan henkilötietojen käsittely muita tarkoituksia varten kuin niitä tarkoituksia, joita varten henkilötiedot on alun perin kerätty, olisi sallittava vain, jos käsittely sopii yhteen niiden tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. Tällöin henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi ei edellytetä muuta erillistä käsittelyn oikeusperustetta. Jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan kuitenkin määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Perustuslakivaliokunta on muistuttanut, että maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle ja että viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä (PeVL 62/2018 vp). Koska henkilötietojen käsittely muussa kuin alkuperäisessä tarkoituksessa tarkoittaisi käytännössä usein henkilötietojen käsittelyä muun rekisterinpitäjän toimesta, kuin sen joka tiedot on kerännyt, asiasta on säädettävä erikseen.

Tietosuoja-asetuksen johdanto-osan 50 kappaleessa todetaan, että jotta voidaan varmistua myöhemmän käsittelyn tarkoituksen yhdenmukaisuudesta, rekisterinpitäjän olisi otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen, henkilötietojen luonne, suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä. Myös perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp).

Henkilötietojen käsittely maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentissa säädetyn soveltamisalan käsittelytarkoituskohdissa 1—6 olisi yhteensopivaa kunkin kohdan soveltamisalan sisällä. Näin ollen kunkin kohdan nojalla kerättyjen tietojen käyttäminen kyseisen kohdan tarkoituksiin olisi yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Tietojen käsitteleminen eri kohtien välillä ei olisi yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Näin ollen 1§:n soveltamisalan kohtien välillä tapahtuvasta henkilötietojen käsittelystä tulee säätää erikseen.

Huomioiden ehdotettavan maahanmuuttohallinnon henkilötietolain aiempaa laajempi soveltamisala suhteessa ulkomaalaisrekisterilakiin, henkilötietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa tulisi mahdollistaa niissä tilanteissa, joista voimassaolevassa ulkomaalaisrekisterilaissa, vastaanottolaissa, säilölaissa ja kotoutumislaissa on säädetty tiedonluovutuksena viranomaisten välillä. Tältä osin muutoksia voidaan pitää sikäli lähtökohtaisesti teknisinä, että voimassaolevaa oikeustilaa ei tältä osin ole tarkoitus muuttaa. Muutos nykytilaan olisi kuitenkin käsittelykynnyksen muuttaminen niin, että tietojen käsitteleminen muussa kuin niiden alkuperäisessä käsittelytarkoituksessa olisi mahdollista tarpeellisuusedellytyksen nojalla pykälässä yksilöidyissä tarkoituksissa ja yksilöityjen rekisterinpitäjien toimesta. Voimassaolevassa lainsäädännössä on pääasiassa sovellettu välttämättömyysedellytystä tiedonluovutuksen nojalla tapahtuneen käsittelyn edellytyksenä. Kotoutumislaissa tiedonsaantioikeuden edellytyksenä on ollut tarpeellisuusvaatimus ilman tarkempaa yksilöintiä. Perustuslakivaliokunnan tiedonluovutusta koskevan vakiintuneen kannan mukaan sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta silloin, kun tietosisältöjä ei ole luetteloitu tyhjentävästi (ks. esim. PeVL 15/2018 vp s. 39). Tähän kantaan on tukeuduttu ehdotettavassa pykälässä.

Pykälän 1 momentin 1 kohdan nojalla lain soveltamisalan piirissä kerättyjä tietoja olisi mahdollista käsitellä muussa kuin niiden alkuperäisessä käsittelytarkoituksessa, mikäli tiedot ovat tarpeen henkilöllisyyden selvittämiseksi.

Pykälän 1 momentin 2 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle saman momentin 2 kohdan mukaisten tehtävien hoitamista varten. Maahantuloon liittyviä tietoja tarvitaan sen arvioimista varten, täyttyvätkö kansalaisuuden saamisen edellytykset. Esimerkiksi silloin, kun henkilöllisyydestä ei ole saatavilla luotettavaa asiakirjanäyttöä, henkilöllisyyttä selvitettäessä voidaan ottaa huomioon kaikki ne tiedot, jotka asianosainen on aikaisemmin antanut omasta tai lapsensa henkilöllisyydestä. Nämä tiedot voivat perustua jo aikaisemmin kertyneisiin, henkilön maahantuloon ja maassa oleskeluun liittyviin asiakirjoihin (HE 235/2002 vp). Lisäksi 1 §:n 1 momentin 1 kohdan nojalla kerättyjä tietoja voi olla tarpeen käyttää kansalaisuuslain 36 §:n mukaiseen kansalaisuusaseman määrittämisessä.

Pykälän 1 momentin 3 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 2 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai ulkoasiainhallinnolle saman momentin 1 kohdan mukaisten tehtävien hoitamista varten. Kansalaisuusaseman määrittämistä koskeva tieto voi olla tarpeellinen maahantuloa koskevassa asiassa, erityisesti kansainvälistä suojelua tai viisumia koskevassa asiassa. Toisaalta tieto vireillä olevasta kansalaisuusasiasta voi olla merkityksellinen viranomaiselle esimerkiksi maasta poistamista koskevassa asiassa tai tieto myönnetystä kansalaisuudesta esimerkiksi tilanteessa, jossa henkilöllä on vireillä myös oleskelulupahakemus.

Pykälän 1 momentin 4 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai elinkeino-, liikenne- ja ympäristökeskukselle kansainvälistä suojelua hakeviin, tilapäistä suojelua saaviin tai ihmiskaupan uhreihin liittyvien tehtävien hoitamista varten taikka ulkomaalaisen Suomessa oleskelua varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 52 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Lisäksi kohdassa olisi kyse voimassaolevan vastaanottolain 58 §:n 1 momentin nojalla Maahanmuuttovirastolle luovutettavien tietojen käsittelemisestä. Vastaanottotietoja, kuten majoitustietoja, tarvittaisiin esimerkiksi oleskelulupaprosessissa sekä maastapoistamisprosessissa, jonka johdosta käsittely olisi mahdollista myös ulkomaalaisen Suomessa oleskelua tai maahantuloon liittyvien tehtävien hoitamista varten. Tällainen voisi koskea esimerkiksi perheenjäsenen maahantuloa koskevaa tilannetta. Maasta poistamisasian yhteydessä majoitustietoja tarvittaisiin sen selvittämiseksi, onko henkilö, esimerkiksi maasta poistettavaksi esitetyn perheenjäsen, edelleen Suomessa. Perheenyhdistämisasioissa majoitustiedot voisivat olla tarpeen, kun selvitetään asuvatko puolisot yhdessä vastaanottokeskuksessa tai yksityismajoituksessa. Tällaisia tietoja tarvittaisiin useimmiten silloin kun hakija on Suomessa mutta tietoja voitaisiin tarvita myös tilanteissa, joissa hakija on ulkomailla. Koska käsittelytarkoitukset olisi yksilöity, käsittely tapahtuisi voimassaolevasta oikeustilasta poiketen tarpeellisuusedellytyksen nojalla. Kohdan sääntely olisi osittain päällekkäinen ulkomaalaislain 105 a §:n 1 momenttiin sisältyvän tiedonsaantioikeuden kanssa, mutta säännökset eivät olisi ristiriidassa keskenään.

Pykälän 1 momentin 5 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai vastaanotto- tai järjestelykeskukselle mainitun momentin 3 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan vastaanottolain 53 §:n nojalla luovutettavien tietojen käsittelemisestä jatkossa muussa kuin niiden alkuperäisessä käsittelytarkoituksessa. Viranomaisia, jotka keräävät tietoja 1 §:n 1 momentin 1 kohdan nojalla ovat Maahanmuuttovirasto, poliisi ja Rajavartiolaitos. Voimassaolevasta sääntelystä poiketen elinkeino-, liikenne- ja ympäristökeskukset eivät esitettävän soveltamisalan uuden jaottelun mukaisesti keräisi henkilötietoja 1 §:n 1 momentin 1 kohdan nojalla, vaan 1 §:n 1 momentin 5 kohdan nojalla. Tilanteet, joissa Maahanmuuttovirastolla tai vastaanotto- tai järjestelykeskuksella on tiedontarve elinkeino-, liikenne- ja ympäristökeskukselta, liittyvät käytännössä kuntaan osoittamiseen ja olisivat siten henkilötietojen käsittelyä alkuperäiseen käsittelytarkoitukseen tai sen kanssa yhteensopivaa käsittelyä.

Pykälän 1 momentin 6 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 4 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, vastaanotto- tai järjestelykeskukselle, poliisille tai Rajavartiolaitokselle ulkomaalaisen Suomessa oleskeluun tai maasta poistamiseen, kansainvälistä suojelua hakevien tai tilapäistä suojelua saavien vastaanottoon tai ihmiskaupan uhrien auttamiseen liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 f §:ään nykyisin sisältyvistä tiedonsaanti- ja luovutusoikeuksista. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Pykälän 1 momentin 7 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai säilöönottoyksikölle saman momentin 4 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan säilölain 32 g §:n nojalla luovutettavien tietojen käsittelemisestä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Pykälän 1 momentin 8 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 5 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle maahanmuuttoon liittyvien tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 61 §:ään sisältyvistä tiedonluovutussäännöksistä.

Pykälän 1 momentin 9 kohdassa säädettäisiin tietojen käyttämisestä muussa kuin alkuperäisessä käsittelytarkoituksessa, kun 1 §:n 1 momentin 1, 2 ja 3 kohtien nojalla kerätyt tiedot ovat tarpeen elinkeino-, liikenne- ja ympäristökeskukselle saman momentin 5 kohdan mukaisten tehtävien hoitamista varten. Kohdassa olisi kyse voimassaolevan kotoutumislain 87 §:n mukaisista säännöksistä. Voimassaolevaa oikeustilaa ei ole tarkoitus muuttaa muuten kuin käsittelykynnyksen osalta.

Henkilötietojen käsittelystä muuhun kuin alkuperäiseen käsittelytarkoitukseen kansallisen turvallisuuden suojaamiseksi ei ole tarpeen säätää erikseen, koska 1 §:n mukaan henkilötietoja saa käsitellä kaikissa 1 §:n 1—5 kohdan mukaisissa tarkoituksissa kansallisen turvallisuuden suojaamiseksi.

Pykälän 2 momentin mukaan erityisiin henkilötietoryhmiin kuuluvia tietoja saisi salassapitosäännösten estämättä käsitellä muuhun kuin alkuperäiseen käsittelytarkoitukseen 1 momentin 1—9 kohdassa tarkoitetuissa tapauksissa vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Välttämättömyysedellytys korostaisi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen korkeampaa suojaamistarvetta. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Pykälän 3 momentin mukaan se mitä pykälässä säädetään, ei kuitenkaan koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen ehdotettavan maahanmuuttohallinnon henkilötietolain 9 ja 10 §:ssä.

13 §. Tiedonsaantioikeus. Pykälän tarkoituksena on luoda oikeus saada tietoja viranomaiselta tai muulta taholta, joka käsittelee henkilötietoja muussa kuin tämän lain 1 §:n mukaisessa käsittelytarkoituksessa. Merkitystä olisi nimenomaisesti käsittelytarkoituksella, eikä tiedot luovuttavalla taholla. Tällainen tarkoitus voisi olla esimerkiksi tietojen käsittely esitutkintatarkoituksessa, mikä ei kuulu maahanmuuttohallinnon henkilötietolain soveltamisalan piiriin, vaikka poliisi on yksi lain mukaisista rekisterinpitäjistä. Pykälä tulisi siis sovellettavaksi, kun esimerkiksi Maahanmuuttovirasto pyytää esitutkintatietoja poliisilta. Pykälä antaisi tiedonsaantioikeuden Maahanmuuttovirastolle, vastaanotto- ja järjestelykeskukselle, säilöönottoyksikölle, elinkeino-, liikenne- ja ympäristökeskukselle, työ- ja elinkeinotoimistolle sekä ulkoasiainhallinnolle. Ehdotettu säännös oikeuttaisi mainitut tahot saamaan henkilötietoja maksutta ja salassapitovelvollisuuden estämättä. Salassa pidettävän tiedon antaminen ei edellyttäisi suostumusta siltä, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty. Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasianhallinnon tiedonsaantioikeudet perustuisivat niille toimivaltaa luovaan lainsäädäntöön. Tiedonsaantioikeus kohdistuisi henkilötietojen lisäksi oikeushenkilöitä koskeviin tietoihin. Tiedonsaantioikeus voisi koskea myös tietoja, jotka saadaan ulkomailta, esimerkiksi kansainvälisten sopimusten nojalla. Tiedonsaantioikeus kohdistuisi julkisuuslain 4 §:ssä säädettyihin tahoihin.

Perustuslakivaliokunta on jo aiemmassa lausuntokäytännössään kiinnittänyt huomiota henkilön yksityiselämän suojan piiriin liittyvien henkilötietojen käsittelyn aiheuttamiin riskeihin, kuten kerättävien henkilötietojen tietoturvaan ja tietojen väärinkäyttöön, jotka voivat muodostua uhaksi henkilön identiteetille (PeVL 14/2009 vp, s. 3). Myös tietosuoja-asetuksessa on omaksuttu riskiperusteinen lähestymistapa. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtainen sääntely. Erityisesti tällä on merkitystä arkaluonteisten tietojen osalta. (PeVL 14/2018 vp, s. 5—6 ja PeVL 15/2018 vp, s. 36—37). Perustuslakivaliokunnan vakiintuneen kannan mukaan tilanteissa joissa tietosisältöjä ei ole luetteloitu tyhjentävästi, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta. Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 15/2018 vp, s 41, PeVL, 17/2016 vp, s. 5—6, PeVL 71/2014 vp, s. 3, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (PeVL 15/2018 vp, s. 39).

Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen ja näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla. Silloin kun tiedonsaantioikeus olisi sidottu välttämättömyyteen, sitä täsmennettäisiin sitomalla se ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Tällöin lakiehdotuksessa ei täsmennettäisi tietosisältöä. Siltä osin kuin tiedonsaantioikeus olisi sidottu tarpeellisuusvaatimukseen, käsittelytarkoitusten lisäksi täsmennettäisiin tietosisältö. Tämän lisäksi säädettäisiin täsmällisemmin niistä viranomais- ja muista tahoista, joilta tietoja voi saada.

Välttämättömät tiedot

Maahanmuuttoviraston, vastaanotto- ja järjestelykeskusten, säilöönottoyksiköiden, elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasiainhallinnon tiedonsaantioikeutta ei niiden käsittelemien asioiden moninaisuuden vuoksi ole tarkoituksenmukaista säännellä niin, että säännöksessä lueteltaisiin tyhjentävästi kaikki viranomaiset ja henkilötiedot, jotka kuuluvat tiedonsaantioikeuden piiriin. Tämän takia tiedonsaantioikeus rajattaisiin pykälän 1 momentissa perustuslakivaliokunnan edellyttämällä tavalla välttämättömiin tietoihin. Sääntelyä täsmennettäisiin lisäksi niin, että elinkeino-, liikenne- ja ympäristökeskusten, työ- ja elinkeinotoimistojen sekä ulkoasiainhallinnon tiedonsaantioikeus rajattaisiin maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentin 1 kohdan mukaisiin käsittelytarkoituksiin. Tiedonsaantioikeus kytkettäisiin ehdotettavassa laissa toimivaltaa luovaan lainsäädäntöön, jossa tiedontarpeet, tehtävät ja toimivaltarajat on yksilöity. Sääntely olisi näin täsmällistä ja tarkkarajaista. Sääntelytapa selkeyttää kokonaisuudessaan tiedonsaantioikeutta maahanmuuttohallinnossa.

Tieto, joka olisi ratkaiseva Maahanmuuttoviraston, vastaanotto- tai järjestelykeskuksen, säilöönottoyksikön, elinkeino-, liikenne- ja ympäristökeskuksen, työ- ja elinkeinotoimiston tai ulkoasiainhallinnon lakisääteisen tehtävän suorittamiseksi, olisi välttämätön ja tällainen tieto voisi esimerkiksi johtaa oleskeluluvan myöntämättä jättämiseen. Tieto olisi välttämätön, jos ratkaisua ei voitaisi tehdä ilman sitä. Tieto olisi välttämätön myös silloin, kun sen puuttuessa voitaisiin tehdä virheellinen päätös. Välttämättömyyteen sidottu sääntelytapa perustuisi luovuttajan arvioon välttämättömyyskynnyksen täyttymisestä. Tietojen välttämättömyys tulisi niitä pyydettäessä perustella.

Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksilla sekä säilöönottoyksiköillä olisi oikeus saada sellaisia luonnollisia henkilöitä tai oikeushenkilöitä koskevia tietoja, jotka ovat välttämättömiä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyssä sekä niitä koskevassa päätöksenteossa ja valvonnassa, Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittelyssä ja päätöksenteossa, kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotossa, ihmiskaupan uhrien auttamisessa ja ilman huoltajaa olevan lapsen edustajatoiminnassa osana vastaanottotoimintaa sekä näiden ohjauksessa, suunnittelussa ja valvonnassa, ulkomaalaisen sijoittamisessa säilöönottoyksikköön, ulkomaalaisen kohtelussa säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitämisessä sekä kuntaan osoittamisessa. Lisäksi elinkeino-, liikenne- ja ympäristökeskuksilla sekä työ- ja elinkeinotoimistolla olisi oikeus saada esimerkiksi sellaisia luonnollisia henkilöitä tai oikeushenkilöitä koskevia tietoja, jotka ovat välttämättömiä yrittäjän tai työntekijän oleskelulupahakemuksen osapäätöksen tekemiselle. Ulkoasianhallinnolla olisi oikeus saada sellaisia tietoja, jotka ovat välttämättömiä ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittelyssä sekä niitä koskevassa päätöksenteossa ja valvonnassa. Tiedonsaantioikeus rajattaisiin siis edellä esitetyllä tavalla tietoihin, jotka Maahanmuuttovirasto, vastaanotto- ja järjestelykeskukset, säilöönottoyksiköt, elinkeino-, liikenne- ja ympäristökeskukset, työ- ja elinkeinotoimistot sekä ulkoasiainhallinto välttämättä tarvitsevat niiden lakisääteisten tehtävien suorittamiseksi. Lainsäädännön selkeyden vuoksi pykälässä ei lueteltaisi edellä mainittuja tarkoituksia, vaan pykälässä viitattaisiin lain 1 §:ssä säädettyihin käsittelytarkoituksiin. Säännöksessä ei säädettäisi Poliisihallituksen, suojelupoliisin tai Rajavartiolaitoksen tiedonsaantioikeuksista tahoilta, jotka käsittelevät henkilötietoja muissa kuin 1. lakiehdotuksen 1 §:n mukaisissa tarkoituksissa. Kokonaisuuden kannalta olisi perusteltua säätää myös näiden rekisterinpitäjien tiedonsaantioikeuksista, mutta näillä rekisterinpitäjillä ei enää vuoden 2017 alusta voimaan tulleiden lainmuutosten (501–504/2016) jälkeen ole maahanmuuttohallinnon alalla tiedonsaantitarpeita muilta kuin ehdotetun maahanmuuttohallinnon henkilötietolain mukaisilta rekisterinpitäjiltä, jotka käsittelevät henkilötietoja lain 1 §:n mukaisissa tarkoituksissa. Näissä tapauksissa tieto liikkuu edellä esitetyllä tavalla eri rekisterinpitäjien välillä 1. lakiehdotuksen 11 tai 12 §:n nojalla.

Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada välttämättömiä tietoja oikeusrekisterikeskuksen pitämästä sakkorekisteristä. Sakkorekisteri sisältää seuraamuksen kohteena olevan henkilön henkilötiedot, tiedot seuraamuksen laadusta ja määrästä, suoritetuista täytäntöönpanotoimenpiteistä ja niiden ajasta, kertyneistä rahamääristä sekä täytäntöönpanon esteistä. Sakkorekisterin tiedot ovat välttämättömiä Maahanmuuttoviraston lakisääteisten tehtävien suorittamiseksi, kuten kansalaistamiseen liittyvän nuhteettomuusedellytyksen selvittämiseksi, kansainvälistä suojelua koskevan hakemuksen käsittelemiseksi, pakolaisaseman ja toissijaisen suojelun lakkauttamisen ja peruuttamisen selvittämiseksi, ulkomaalaisen maasta karkottamisen perusteiden selvittämiseksi, kausityöntekijän työnantajan velvoitteiden ja laiminlyöntien selvittämiseksi sekä sen selvittämiseksi onko ulkomaalainen uhka yleiselle järjestykselle ja turvallisuudelle. Käsittelyn tarkoitukset on yksilöity kansalaisuuslaissa, ulkomaalaislaissa sekä kausityölaissa.

Maahanmuuttovirastolla olisi myös esimerkiksi oikeus saada välttämättömät tiedot veroviranomaisilta Suomen kansalaisuuden saamisen, säilyttämisen, menettämisen ja siitä vapautumisen edellytysten selvittämiseksi sekä kansalaisuusaseman määrittämiseksi, ulkomaalaisen oleskeluluvan edellytysten selvittämiseksi, oleskelukortin myöntämisen tai peruuttamisen tai oleskeluoikeuden rekisteröinnin edellytysten selvittämiseksi, työnantajavelvoitteiden suorittamisen tarkistamiseksi ja valvomiseksi, ulkomaalaisen ilmoittaman työnantajan työnantajasuorituksista ja niiden ilmoittamisesta, verojen maksuun liittyvästä maksujärjestelystä sekä työnantajan tosiasiallisesta taloudellisesta toiminnasta. Välttämättömät tiedot eivät poikkeuksetta koske hakijaa itseään, vaan tiedot voisivat koskea myös luonnollista henkilöä tai oikeushenkilöä, jonka toiminnasta hakija tai hänen perheenjäsenensä ilmoittaa saavansa tuloja.

Velvoitteidenhoitoselvitys

Velvoitteidenhoitoselvityksellä tarkoitetaan Verohallinnon Harmaan talouden selvitysyksikön eri viranomaisrekistereistä kokoamia työnantajaa koskevia tietoja, joita viranomainen tarvitsee lakisääteisen tehtävänsä suorittamiseen. Sitä sääntelee laki Harmaan talouden selvitysyksiköstä (1207/2010). Harmaan talouden selvitysyksikön tehtävänä on tuottaa ja jakaa tietoa harmaasta taloudesta sekä sen torjunnasta ja tehdä laissa mainittujen viranomaistehtävien tueksi pyynnöstä velvoitteidenhoitoselvityksiä organisaatioista ja organisaatiohenkilöistä. Velvoitteidenhoitoselvityksen tarkoituksena on antaa pääasiassa salassa pidettäviin viranomaistietoihin perustuva kokonaiskuva selvityksen kohteena olevasta organisaatiosta tai organisaatiohenkilöstä, tukea sitä pyytävän viranomaisen tehtävää helpottamalla ja tehostamalla tehtävään liittyvää tiedonhankintaa ja tukea harmaan talouden torjuntaa lisäämällä asiaa käsittelevän viranomaisen tietoa siitä, miten organisaatio tai siihen liittyvä organisaatiohenkilö on hoitanut lakisääteiset velvoitteensa. Velvoitteidenhoitoselvityksen tietosisältö muodostuu pääosin viranomaisrekistereissä olevasta, salassa pidettäväksi määritellystä tiedosta. Velvoitteidenhoitoselvityksen tietosisältö määräytyy Harmaan talouden selvitysyksiköstä annetun lain 7 §:n 1 momentin mukaan sen perusteella, mikä on selvitystä pyytävän viranomaisen oikeus saada salassa pidettävää tietoa kyseiseen käyttötarkoitukseen. Velvoitteidenhoitoselvitys laaditaan kullekin viranomaiselle muussa laissa määritellyn toimivallan ja tiedonsaantioikeuden perusteella. Harmaan talouden selvitysyksiköstä annettu laki ei luo toimivaltaa eikä se tai velvoitteidenhoitoselvitys laajenna pyytävän viranomaisen tiedonsaantioikeuksia. Velvoitteidenhoitoselvitys on väline saada kootusti sellaista tietoa, johon tietyllä viranomaisella oman lainsäädäntönsä puitteissa on oikeus.

Maahanmuuttoviraston, TE-toimistojen ja ELY-keskusten toimivalta käsitellä velvoitteidenhoitoselvitykseen koostettavia eri viranomaisilta saatavia tietoja perustuu ulkomaalaislain, kansalaisuuslain, kausityölain, ICT-lain sekä tutkija- ja opiskelijalain säännöksiin. Velvoitteidenhoitoselvitys laadittaisiin tukemaan edellä mainittujen lakien mukaista ulkomaalaisen maahantuloa, maastalähtöä, oleskelua, työntekoa ja kansalaisuutta koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista. Maahanmuuttoviraston, TE-toimistojen ja ELY-keskusten tiedonsaantioikeus velvoitteidenhoitoselvitystä varten tietoja luovuttavilta viranomaisilta tai julkista tehtävää hoitavilta tahoilta perustuisi tähän säännökseen. Tiedot voitaisiin tiedonsaantioikeussäännöksen perusteella pyytää jokaiselta viranomaiselta erikseen tai kootusti velvoitteidenhoitoselvityksen muodossa.

Turvattu toimeentulo on osa ulkomaalaislain 39, 47 h, 73, 76, 77, 114 ja 115 §:n mukaista oleskelulupaharkintaa sekä ulkomaalaislain 158 a §:n mukaista oleskeluoikeuden rekisteröintiä tai oleskelukortin myöntämistä koskevaa päätösharkintaa. Toimeentulolähteen selvittäminen puolestaan on osa kansalaisuuslain 13 §:n mukaista kansalaistamispäätösharkintaa. Mikäli ulkomaalaisen työnantajalla tai ulkomaalaisella yrittäjällä on julkisten velvoitteiden laiminlyöntejä, ne voivat olla osoitus siitä, ettei ulkomaalaisen toimeentulo ole turvattu ilmoitetusta ansiotyöstä tai yritystoiminnasta saatavilla tuloilla. Sekä ulkomaalaislain 73 §:n mukainen työntekijän että ulkomaalaislain 76 §:n mukainen yrittäjän oleskelulupaharkinta on kaksivaiheinen. Ensimmäisessä vaiheessa TE-toimisto arvioi luvan myöntämisen työvoimapoliittiset ja ELY-keskus kannattavan yritystoiminnan edellytykset. TE-toimisto ja ELY-keskus arvioivat osapäätöksen yhteydessä myös ulkomaalaisen toimeentuloedellytyksen täyttymistä. Työntekijän toimeentulon tulee olla turvattu ansiotyöstä saatavalla tulolla koko oleskeluluvan voimassaolon ajan ja ulkomaalaisen yrittäjän toimeentulon on oltava turvattu ansiotyöllä, yritystoiminnalla tai muulla tavalla koko oleskeluluvan voimassaolon ajan. Toisessa vaiheessa Maahanmuuttovirasto harkitsee oleskeluluvan myöntämisen yleiset edellytykset ja tässä kohtaa oleskelulupa voidaan jättää myöntämättä myönteisestä osapäätöksestä huolimatta ulkomaalaislain 36 §:n nojalla eli käytännössä maahantulosäännösten kiertämisen perusteella. Maahanmuuttovirasto vastaa kansalaisuuslain ja muiden ulkomaalaislain säännösten mukaisesta toimeentuloedellytyksen ja toimeentulolähteen arvioinnista. Voidakseen arvioida, täyttyykö ulkomaalaisen maahantulon edellytykseksi asetettu turvattu toimeentulo työnantajan maksamalla palkalla tai yritystoiminnan tuotoilla taikka kansalaistamisen edellytykseksi asetettu luotettavan toimeentulolähteen edellytys, TE-toimistolla, ELY-keskuksella ja Maahanmuuttovirastolla on oikeus selvittää, että työnantaja tai ulkomaalainen yrittäjä on hoitanut velvoitteensa eikä sillä ole häiriöitä luottotiedoissaan. Palkkaa arvioitaessa on kiinnitettävä huomiota sen suuruuden lisäksi työnantajan todelliseen kykyyn maksaa ilmoitettu palkka ja suoriutua palkan maksuun liittyvistä muista velvoitteista. Sama koskee yritystoimintaa. Turvatun toimeentulon arvioimiseksi TE-toimiston, ELY-keskuksen ja Maahanmuuttoviraston on välttämätöntä tarkastaa ulkomaalaisen, tämän työnantajan tai yrityksen verotusta, eläkevakuutusta, tapaturmavakuutusta, työttömyysvakuutusmaksua, Tullin perimiä maksuja ja ulosottoa koskevat tiedot.

Ulkomaalaislain 72 §:n 1 momentin 3 kohdan mukainen kyky huolehtia työnantajavelvoitteistaan on työntekijän oleskeluluvan myöntämisen edellytys, jota TE-toimisto arvioi osapäätösharkinnassaan. Kyvyttömyyttä huolehtia velvoitteistaan työnantajana osoittaa se, että työnantajalla, tämän organisaatiohenkilöllä tai tämän muulla organisaatiolla on veroihin, lakisääteisiin eläke-, tapaturma- tai työttömyysvakuutusmaksuihin taikka Tullin perimiin maksuihin liittyvien rekisteröitymis-, vakuuttamis-, ilmoitus- ja maksuvelvollisuuksien laiminlyöntejä, ellei lupaviranomainen erityisistä syistä pidä työnantajaa yksittäisistä laiminlyönnistä huolimatta kykenevänä huolehtimaan velvoitteistaan työnantajana. Ulkomaalaislain 73 §:n 1 momentin 4 kohdan mukaan harkinnassa tulee varmistaa, että työnantajan hakemukseen liittämät selvitykset ja vakuutus ovat 72 §:ssä säädetyn mukaiset. Myös ulkomaalaisen yrittäjän kykyä huolehtia vastaavista velvoitteistaan selvitetään osana ulkomaalaislain 76 §:n mukaista yrittäjän oleskelulupaharkintaa, jossa arvioidaan toimeentuloedellytyksen lisäksi yritystoiminnan kannattavuutta. Yritystoimintaa ei ole katsottu kannattavaksi, jos yritys ei ole osoittanut pystyvänsä hoitamaan velvoitteitaan, kuten lakeihin perustuvia veroja tai palkan sivukuluja.

Määräaikainen oleskelulupa voidaan ulkomaalaislain 58 §:n 5 momentin nojalla peruuttaa, jos niitä edellytyksiä, joiden perusteella oleskelulupa myönnettiin, ei enää ole olemassa. Määräaikainen tai pysyvä oleskelulupa voidaan ulkomaalaislain 58 §:n 4 momentin nojalla peruuttaa, jos oleskelulupaa haettaessa on tietoisesti annettu hakijan henkilöllisyyttä koskevia tai muita päätökseen vaikuttaneita vääriä tietoja taikka salattu sellainen seikka, joka olisi saattanut estää oleskeluluvan myöntämisen. Samoin oleskeluoikeuden rekisteröinti ja määräaikainen oleskelukortti peruutetaan ulkomaalaislain 165 §:n nojalla, jos edellytyksiä, joiden perusteella oleskeluoikeus on rekisteröity tai määräaikainen oleskelukortti on myönnetty, ei enää ole tai jos se on saatu antamalla tietoisesti hakijan henkilöllisyyttä koskevia taikka muita asiaan vaikuttavia vääriä tietoja tai salaamalla tällaisia tietoja taikka muutoin oikeuksien väärinkäytöllä. Ulkomaalaislain 212 §:n 1 momentissa Maahanmuuttovirastolle on asetettu velvoite valvoa ulkomaalaislain säännösten noudattamista. Ulkomaalaisen voimassaoleva lupa voidaan peruuttaa, jos velvoitteidenhoitoselvityksestä tai muilla keinoin saaduista valvonta- tai tarkastustiedoista käy ilmi, että työnantaja ei ole noudattanut ilmoittamiaan työsuhteen ehtoja tai on laiminlyönyt huolehtia laissa säädetyistä tai työehtosopimuksessa sovituista työnantajavelvoitteistaan tai ulkomaalaisen yritys ei enää täytä kannattavan toiminnan edellytyksiä. Velvoitteidenhoitoselvityksellä saatavia tietoja voitaisiin käyttää myös arvioitaessa tarvetta kohdistaa työsuojelu- tai ulkomaalaisvalvontaa ulkomaalaisia työllistäviin työnantajiin.

Hakemus kausityöhön oikeuttavasta luvasta voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijänä työskentelyä varten annetun lain 7 §:n mukaan hylätä tai 14 §:n mukaan peruuttaa muun muassa, jos työnantaja ei ole noudattanut lakiin tai työehtosopimukseen perustuvia sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin, työoloihin tai työehtoihin liittyviä velvoitteitaan tai jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Lain 8 §:n mukaan työnantajan on annettava vakuutus, että työsuhteen ehdot ovat voimassaolevien säännösten ja työehtosopimusten mukaisia.

Maahanmuuttovirasto voi lain 20 §:n perusteella päättää, että kausityöhön oikeuttavia lupia ei myönnetä sellaisen työnantajan palveluksessa työskentelemiseksi, joka vakavasti laiminlyö kausityölaissa tai ulkomaalaislaissa säädetyt velvoitteensa. Säännöksen soveltaminen edellyttää, että ulkomaalaislaissa säädettyjen velvoitteiden noudattaminen voidaan tarkastaa Maahanmuuttovirastossa, vaikka ulkomaalaisen työnantajavelvoitteiden noudattamista koskevan ulkomaalaislain 73 §:ssä tarkoitetun osapäätöksen olisi tehnyt TE-toimisto työnantajalta ulkomaalaislain 72 § 1 momentin 3 kohdan perusteella pyydetyn selvityksen perusteella.

Hakemus yrityksen sisäisen siirron yhteydessä myönnettävän ICT-oleskeluluvan myöntämisestä voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetun lain 8 §:n mukaisin perustein hylätä tai voimassaoleva lupa 9 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos työnantaja tai vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työoloihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä tai peruuttaa, jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Vastaavat säännökset sisältyvät lain 25 §:ssä säädettyihin liikkuvan ICT-oleskeluluvan hylkäämisperusteisiin.

Kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetun lain mukainen oleskelulupahakemus voidaan 11 §:n mukaisin perustein hylätä tai voimassaoleva lupa 12 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työehtoihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä, peruuttaa tai jättää uusimatta, jos vastaanottavan yksikön yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa.

Ulkomaalaislain 146 §:n tai 168 b §:n mukaisen maasta poistamista tai karkottamista koskevan kokonaisharkinnan yhteydessä tulee arvioida paitsi henkilön taloudellinen tilanne myös mahdolliset yritystoimintaa tai työntekoa koskevat siteet Suomeen.

Velvoitteidenhoitoselvitystä käytettäisiin siis arvioitaessa työnantajan kykyä selvitä laissa säädetyistä velvoitteistaan ulkomaalaisen työnantajana, määrättäessä ulkomaalaisen työnantajaan kohdistettavia seuraamuksia ja arvioitaessa henkilön kykyä huolehtia omasta tai perheenjäsenensä toimeentulosta Suomessa. Velvoitteidenhoitoselvitystä voitaisiin käyttää myös ulkomaalaisen yrittäjän yritystoiminnan kannattavuuden ja toimeentuloedellytyksen täyttymisen arviointiin. Oleskelulupaa koskeva hakemus voidaan hylätä, jos on aihetta epäillä työnantajan kykyä tai halua maksaa ulkomaalaiselle hakemuksessa ilmoitetun suuruista palkkaa tai suoriutua muista työnantajavelvoitteistaan taikka ulkomaalaisen yrittäjän yritystoiminnan kannattavuutta tai toimeentulon riittävyyttä. Jatkolupaa koskeva hakemus voidaan evätä tai voimassaoleva lupa peruuttaa, jos työnantaja tai ulkomaalainen yrittäjä on laiminlyönyt noudattaa laissa säädettyjä velvoitteitaan. Velvoitteidenhoitoselvityksestä ilmeneviä tietoja voitaisiin myös käyttää perusteena päätökselle, jossa pidättäydyttäisiin myöntämästä lupia laissa säädettyjä velvoitteitaan laiminlyöneen työnantajan palvelukseen. Hakijan antamien tietojen tarkistaminen velvoitteidenhoitoselvityksellä olisi välttämätöntä myös tilanteissa, joissa tämä palkallaan, yritystoiminnasta tai muista lähteistä peräisin olevilla tuloillaan ilmoittaa täyttävänsä laissa säädetyn itseään tai perhettään koskevan toimeentuloedellytyksen Suomessa oleskelun aikana. Velvoitteidenhoitoselvityksellä saatavat tiedot olisivat välttämättömiä myös tehostettaessa ulkomaalaisen työvoiman käyttöön liittyvää valvontaa ja määritettäessä työnantajaan kohdistuvien seuraamusten suuruutta. Tiedot ovat välttämättömiä maahanmuuttohallinnon toimivaltaa luovan lainsäädännön mukaisen päätösharkinnan ja valvonnan toteuttamiseksi, sillä ratkaisua tai valvontaa ei voida tehdä ilman niitä ja niiden puuttuminen voi johtaa virheelliseen päätökseen.

Maahanmuuttovirastolla, TE-toimistolla tai ELY-keskuksella olisi oikeus saada viranomaiselta ja muulta julkista tehtävää hoitavalta oleskeluluvan hakijan, tämän yritystoiminnan sekä hakijan ilmoittaman työnantajan ja tähän liittyvän Harmaan talouden selvitysyksiköstä annetussa laissa tarkoitetun organisaatiohenkilön tai tämän muun organisaation välttämättömiä tietoja veroihin, lakisääteisiin eläke-, tapaturma- ja työttömyysvakuutusmaksuihin sekä Tullin perimiin maksuihin liittyvien rekisteröitymis-, ilmoitus- ja maksuvelvollisuuksien hoitamisesta, toiminnasta ja taloudesta sekä kytkennöistä. Esimerkiksi ulosottoviranomaiselta olisi välttämätöntä saada tiedot ulkomaalaisen, tämän perheenjäsenen tai työnantajan tuloista, veloista, saatavista ja ulosottotiedoista, päätöksistä sekä päätösten perusteena olevista asiakirjoista työnantajan vakavaraisuuden selvittämiseksi, toimeentuloedellytyksen selvittämiseksi, yrittäjän oleskeluluvan edellytysten selvittämiseksi, karkottamisessa tehtävän kokonaisharkinnan suorittamiseksi ja elatusvelvollisuuden laiminlyönnin poissulkemiseksi. Yksistään kansalaistamisasian ratkaisemiseksi Maahanmuuttoviraston olisi välttämätöntä saada ulosottoviranomaiselta tietoa ulosotossa olevista julkisoikeudellisista maksuista, elatusavusta ja elatustuesta sekä näiden maksamisesta, jäljellä olevasta velasta ja maksusuunnitelmasta. Tiedot olisivat välttämättömiä arvioitaessa esimerkiksi kansalaisuuden myöntämisen yleisten edellytysten täyttymistä, työnantajan todellista kykyä maksaa ilmoitettu palkka ja suoriutua palkan maksuun liittyvistä muista velvoitteista, yrityksen kannattavan toiminnan edellytyksiä sekä tehostettaessa ulkomaalaisen työvoiman käyttöön liittyvää valvontaa.

Hallintolain 31 §:n mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Hallintolain esitöiden (HE 72/2002 vp) mukaan selvittämisvelvollisuutta koskevalla säännöksellä vahvistetaan periaate, jonka mukaan aineellinen menettelyjohtovalta ja päävastuu asian selvittämisestä on viranomaisella. Kyse on hallinto-oikeudessa vakiintuneesta virallisperiaatteesta. Säännöksen tarkoituksena on korostaa virallisperiaatteen noudattamista ja pyrkimystä aineellisen totuuden saavuttamiseen asettamalla viranomaisen velvollisuudeksi huolehtia asian riittävästä ja asianmukaisesta selvittämisestä. Asian riittävällä selvittämisellä tarkoitettaisiin sitä, että viranomainen hankkii sellaiset tiedot ja selvitykset, joilla se arvioi olevan merkitystä asian ratkaisemiselle. Selvittämisen asianmukaisuus puolestaan korostaisi viranomaiselle kuuluvaa menettelyjohtovaltaa ja huolellisuutta selvitysten hankkimisessa.

Nykyään viranomaiset saavat veroihin ja muihin julkisoikeudellisiin maksuihin liittyvien velvollisuuksien hoitamista ja taloutta koskevat tiedot pyytämällä suoraan hakijalta taikka tämän ilmoittamalta työnantajalta tai perheenkokoajalta. Näille tahoille aiheutuu kuitenkin vaivaa ja kustannuksia viranomaistodistusten hankinnasta. Tämän lisäksi lisätietojen pyytäminen hidastaa hakemuksen käsittelyä ja lisätietopyyntöjen valmisteluun, lähettämiseen sekä läpikäyntiin kuluu tarpeettomasti viranomaisen työaikaa, eikä hakemuksen käsittelijä välttämättä tule pyytäneeksi kaikkia hakemuksen käsittelyn kannalta merkityksellisiä tietoja. Lisätietojen antajalla on myös joissain tapauksissa mahdollisuus vaikuttaa tietojen sisältöön ja oikeellisuuteen. Muilta viranomaisilta saatavan tiedon luotettavuus ja käsittelyn sujuvuus puoltavat viranomaisen selvitysvelvollisuuden painottamista tiedonsaantioikeus mahdollistamalla. Samalla vähennetään hakijan, hänen työnantajansa tai perheenkokoajan hallinnollista taakkaa.

Suoraan viranomaisilta saadut tiedot taloudellisesta tilanteesta ja julkisten velvoitteiden hoitamisesta parantaisivat lupaharkinnan laatua suhteessa nykytilanteeseen, jossa lupaharkinta tehdään pääosin hakijan toimittamien selvitysten perusteella. Monissa tilanteissa esimerkiksi pelkät tilinpäätöstiedot ovat riittämätön pohja taloudellisen tilan oikealle arvioinnille. Lupaharkinnassa esiintyy esimerkiksi tilanteita, joissa taloudellinen tila on tilinpäätöstietojen perusteella arvioituna niin heikko, että luvan myöntämisen edellytykset eivät välttämättä täyty, mutta varsinaisia perusteita luvan epäämiselle ei kuitenkaan ole. Näissä tilanteissa tarkemman ja laajemman selvityksen saaminen luvan hakijan kokonaistilanteesta olisi välttämätöntä oikean luparatkaisun tekemiseksi. Ajantasaisen, juuri päätöksentekohetken tilannetta vastaavan tiedon saaminen lupaharkintaa varten olisi välttämätöntä oikeansisältöisten päätösten tekemisen kannalta.

Myönnettävien lupien jälkivalvonta, kuten oleskelulupien peruuttaminen, on nykyisellään haasteellista. Viranomaisten tietojen saanti perustuu pääosin luvan haltijalta itseltään tai esim. tämän työnantajalta saatuun tietoon. Käytännössä tietoa esimerkiksi ulkomaalaisen työsuhteen päättymisestä ei tule viranomaiselle, ellei työnantaja oma-aloitteisesti ilmoita siitä, mitä tapahtuu hyvin harvoin. Yleensä väärinkäytökset tulevat viranomaisen tietoon työntekijän tai jonkin ulkopuolisen tahon kautta. Tällä hetkellä jälkivalvonta painottuukin jatkoluvan hakemisvaiheeseen. Ulkomaalaislain 212 §:n nojalla Maahanmuuttovirasto voisi kuitenkin tarvittaessa suorittaa myös oma-aloitteista jälkivalvontaa, mikä edellyttää keskitettyä ja tehokasta tiedonsaantia edellä mainituista väärinkäytöksistä.

Tarpeelliset tiedot

Tiedonsaantioikeus sidottaisiin nykytilasta poiketen tarpeellisuusvaatimukseen siltä osin kuin tiedot eivät olisi lakisääteisten tehtävien suorittamiseksi välttämättömiä. Tarpeellisia tietoja olisivat sellaiset tiedot, jotka tukevat Maahanmuuttovirastoa, vastaanotto- tai järjestelykeskusta tai säilöönottoyksikköä sen lakisääteisten tehtävien suorittamisessa. Tarpeellinen tieto voi siis olla tärkeä osa kokonaisharkintaa, mutta ratkaisua ei voi perustaa yksin sen varaan. Esimerkiksi Maahanmuuttovirastolla olisi siten oikeus saada esimerkiksi oikeusrekisterikeskuksen pitämästä sakkorekisteristä tiedot henkilötiedoista, ratkaisutiedoista, täytäntöönpanoasiatiedoista, muuntorangaistusasioista ja tapahtumatiedoista, silloin kun tiedot ovat tarpeellisia muiden kuin oleskelulupaa hakevien henkilöiden rekisteritiedoista kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Sikäli kuin tietojensaantioikeus on sidottu tarpeellisuusvaatimukseen, tarkoitetut tietosisällöt on lueteltu laissa tyhjentävästi perustuslakivaliokunnan vakiintuneen kannan mukaisesti (PeVL 17/2016 vp, s. 5—6).

Laissa säädettäisiin oikeudesta saada tarpeellisia tietoja kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä muiden kuin oleskelulupaa hakevien henkilöiden tiedoista, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi. Kyse on vastuunmäärittämisasetuksen ("Dublin-asetus", 604/2013/EU) 8 artiklan 2 kohdan (alaikäiset turvapaikanhakijat) ja 16 artiklan 1 kohdan (riippuvuussuhteessa olevat henkilöt) mukaisen harkinnan suorittamiseksi tarvittavista tiedoista. Asetuksen mukaisen harkinnan tulee perustua siihen onko henkilö, jonka olisi tarkoitus huolehtia alaikäisestä tai riippuvuussuhteessa olevasta, kykenevä huolehtimiseen. Komissio ei ole avannut edellytysten sisältöä. Komission täytäntöönpanoasetuksella 118/2014/EU annettiin kuitenkin vakiolomakkeet helpottamaan tällaisten henkilöiden tunnistamista (liitteet VII ja VIII). Näillä lomakkeilla tietoa antavan valtion on ilmoitettava onko alustavaa näyttöä muun muassa henkilön kyvystä ja aineellisista valmiuksista huolehtia alaikäisestä tai riippuvuussuhteessa olevasta. Kyseisissä tiedoissa on kyse Suomessa oleskelevasta henkilöstä, joka voi olla myös Suomen kansalainen. Kykyä ja aineellista valmiutta arvioitaisiin esimerkiksi rikostietojen sekä tulo- ja varallisuustietojen perusteella. Maahanmuuttoviraston olisi tarpeellista saada kunnan sosiaaliviranomaiselta, Verohallinnolta, poliisilta, Rikosseuraamuslaitokselta sekä oikeusrekisterikeskuksen ylläpitämästä sakkorekisteristä ja oikeushallinnon valtakunnallisesta tietojärjestelmästä tiedot tämän huolehtimiskykyä koskevan harkinnan suorittamiseksi. Suoritettavalla harkinnalla voisi olla merkitystä erityisesti lapsen edun kannalta. Henkilön yksityisyyden suojaan puuttuminen on näin ollen oikeasuhtaista, koska tavoitteena on heikommassa asemassa olevien lasten ja läheisiinsä erityisessä riippuvuussuhteessa olevien suojaaminen.

Esimerkiksi oikeusrekisterikeskukselta Maahanmuuttovirasto tarvitsisi henkilön Dublin-asetuksen mukaisen huolehtimiskyvyn selvittämiseksi tiedot rangaistuksista ja niiden laadusta, sillä esimerkiksi ehdoton vankeusrangaistus vaikuttaa suoraan henkilön kykyyn huolehtia toisesta henkilöstä. Tämän lisäksi tarvitaan Rikosseuraamuslaitokselta tieto vapautumisajankohdasta ja vapautumiseen liittyvistä ehdoista, kuten ehdonalaiseen vapauteen liittyvästä valvonnasta, joilla on myös merkitystä henkilön huolehtimiskyvyn kannalta.

Maahanmuuttovirastolla olisi esimerkiksi oikeus saada ulkoasiainhallinnolta tieto asiakirjojen laillistamisesta. Laillistamisen tarkoituksena on edustustossa varmentaa asiakirjan antaneen viranomaisen toimivalta antaa kyseinen asiakirja kyseisessä vieraassa valtiossa. Edustustoissa suoritetuista notaaritoimituksista pidetään ns. notaaritoimitusten luetteloa. Maahanmuuttovirasto tarvitsisi tiedon kielteisestä asiakirjan laillistamispäätöksestä ulkomaisen asiakirjan luotettavuuden arvioimiseksi. Tieto siitä, miksi asiakirjaa ei ole laillistettu, on tarpeellinen erityisesti kansalaisuusasioiden käsittelyssä.

Tiedon saamisesta teknisen käyttöyhteyden avulla ei olisi enää tarpeen säätää erikseen, koska perustuslakivaliokunta ei ole enää viimeaikaisessa lausuntokäytännössään nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Muutoinkin tietojen siirtämisen teknisistä edellytyksistä tulisi säätää vain tiedon luovuttajan osalta, koska tämä taho vastaa hallussaan olevista tiedoista. Tiedon luovuttamisen tavasta teknisen rajapinnan avulla tai katseluyhteys avaamalla säädetään tiedonhallintalaissa.

14 §. Henkilötietojen luovuttaminen. Pykälän 1 momentissa säädettäisiin, että sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin, kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi. Pykälän nojalla henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla. Henkilötietojen luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin säädetään erikseen.

Raskaan sääntelyrakenteen synnyttävän ja tulkintaongelmia luovan kaksinkertaisen sääntelyn purkamiseksi henkilötietojen luovuttamista koskevaa sääntelyä yksinkertaistettaisiin voimassaolevaan lainsäädäntöön nähden siirtymällä sääntelymalliin, jossa tiedonluovutus olisi sidottu vastaanottavan viranomaisen lakisääteisiin tehtäviin perustuviin tiedonsaantioikeuksiin. Tiedonluovutuksen luova käsittelytarkoitus, tietosisältö ja luovutuksen kohde olisi sidottu tietojen pyytäjän lainsäädäntöön sisältyviin tiedonsaantioikeuksiin. Lähtökohta olisi, että tiedonsaantioikeus loisi vastanottajalle yksilöidyn oikeuden saada tietoa. Tiedonluovutuksesta olisi kuitenkin edelleen tarpeen säätää ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu. Koska tiedonsaantioikeudesta säätäminen olisi lähtökohta säänneltäessä tiedon liikkumista, tiedonluovutuksen osalta olisi mahdollista siirtyä yleisluontoisempaan sääntelymalliin. Voimassaolevaan ulkomaalaisrekisterilain 10 §:ään verrattuna muuttuneella muotoilulla ei ole tarkoitus muuttaa tiedonsaajien oikeutta saada tietoja. Valmistelussa on varmistuttu voimassaolevan ulkomaalaisrekisterilain 10 §:n mukaisten tiedonsaajien tiedonsaantioikeuksien riittävyydestä pyytämällä näitä tahoja huomioimaan lausunnoissaan mahdolliset puutteet tiedonsaantioikeuksissaan. Nyt esitettävä muotoilu mahdollistaisi tiedonluovutuksen jatkossa myös sellaisissa tilanteissa, joissa tiedonsaanti perustuu vastanottajan tiedonsaantioikeuksiin, mutta tiedonluovutuksesta ei nykyään ole erikseen säädetty ulkomaalaisrekisterilaissa.

Rekisterinpitäjät päättäisivät itsenäisesti tietojen luovuttamisesta rekisterinpitäjän vastuun nojalla. Yhteisrekisterinpitäjyys ei loisi oikeutta luovuttaa kaikkia lain soveltamisalan piiriin kuuluvia tietoja, vaan kukin rekisterinpitäjä voisi luovuttaa ainoastaan sellaisia tietoja, joita kyseinen viranomainen on toimivaltainen käsittelemään ja joista se rekisterinpitäjänä vastaa.

Tietoja luovuttavan tahon tulisi arvioida tiedonsaantia koskeva pyyntö luovuttamisen laillisten edellytysten kannalta. Rekisterinpitäjän vastuu sisältää velvollisuuden arvioida, mitä tietoa se luovuttaa vastaanottavan viranomaisen tiedonsaantioikeuden nojalla. Käyttötarkoitussidonnaisuuden toteutumisen varmistamiseksi tiedonsaajan tulisi tietoa tai tietoja tai järjestelmään pääsyä pyytäessään perustella se, mihin sen oikeus saada kyseistä tietoa perustuu, tiedon käsittelytarkoitus sekä tarvittavat tiedot. Rekisterinpitäjä arvioisi tiedonpyytäjän pyynnön perusteella tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan henkilötietojen minimointia koskeva periaatteen huomioiden luovutettavien henkilötietojen tietosisällön sekä sen, missä muodossa tiedot luovutetaan. Tietoa luovuttavan viranomaisen tulisi luovutuksen edellytyksiä arvioidessaan huomioida muun muassa tiedon tarve eli mihin tarkoitukseen henkilötietoa pyydetään, onko pyydetty tieto yksilöity riittävällä tavalla käyttötarkoitus huomioiden, onko tieto sekä tietoa pyytävä viranomainen yksilöity riittävällä tarkkuudella, onko tieto saatavissa muusta tietolähteestä tai esimerkiksi hakijalta itseltään ja mikäli näin on, puoltaako esimerkiksi tiedon luotettavuusvaatimus (tiedon nojalla tehdään henkilöä velvoittava päätös) tiedon saamista juuri luovuttavalta taholta sekä onko intressin ja riskin välillä riittävä tasapaino erityisesti, jos kyseessä on pääsyoikeuden avaaminen tietojärjestelmään. Arvioinnin ei tarvitsisi olla tiukan tapauskohtaista tilanteissa, joissa tietoa luovutetaan säännönmukaisesti tietylle viranomaiselle tiettyä käyttötarkoitusta varten.

Laissa ei eriteltäisi tilanteita sen mukaan, onko kyse tiedon yksittäistapauksellisesta luovutuksesta vai muiden kuin yksittäisten tietojen luovuttamisesta. Laissa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Tiedonhallintalaissa säännellään yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään. Ulkomaalaisasioiden asiankäsittelyjärjestelmän osalta Maahanmuuttovirasto ja kansallisen viisumijärjestelmän osalta ulkoasiainhallinto toimisi järjestelmän ylläpitäjänä, joka päättäisi tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluyhteyden avaamisesta järjestelmään. Luovutettavia tietoja koskeva teknisen suojaamisen vaatimus seuraa puolestaan suoraan tietosuoja-asetuksen 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta sekä 32 artiklan mukaisesta käsittelyn turvallisuudesta. Tietosuoja-asetus edellyttää korkeaa tietosuojan ja tietoturvallisuuden tasoa.

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Luovuttamisen edellytyksiä arvioitaessa tulisi erityistä painoarvoa antaa sille, että kyseessä on erityisiin henkilötietoryhmiin kuuluva henkilötieto. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp). Tämä edellyttäisi suppeaa luovutussäännösten tulkintaa. Henkilötietoja voitaisiin luovuttaa vain kansallisessa säädöksessä annetun tiedonsaantioikeuden nojalla.

Tietojen luovuttaminen ei koskisi oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä taikka huomiotietoja, ellei muualla laissa toisin säädetä. Sormenjälkien käsittelystä säädettäisiin erikseen lain 9 ja 10 §:ssä.

15 §. Henkilötietojen luovuttaminen Euroopan unionin yhteisiin tietojärjestelmiin. Pykälässä säädettäisiin Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin henkilötietoja sen mukaan kuin mainituissa asetuksissa säädetään. Toimivalta luovuttaa henkilötietoja asetuksella perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin seuraa suoraan kustakin perustamisasetuksesta.

Euroopan unionin yhteisiä tietojärjestelmiä on useita, joista osa on vasta valmisteilla. Tällaisia ovat toisen sukupolven Schengenin tietojärjestelmä (SIS II), Eurodac-järjestelmä, viisumitietojärjestelmä (VIS), Rajanylitystietojärjestelmä (EES) sekä EU:n matkustustieto- ja -lupajärjestelmä (ETIAS).

Näiden tietojärjestelmien säädöspohjan muodostavat toisen sukupolven Schengenin tietojärjestelmää (SIS II) koskeva Euroopan parlamentin ja neuvoston SIS-poliisiyhteistyöasetus (EU) N:o 2018/1862 ja SIS-rajatarkastusasetus (EU) N:o 2018/1861 sekä niitä täydentävä SIS-palautusasetus (EU) N:o 2018/1860, Eurodac-järjestelmää koskeva Euroopan parlamentin ja neuvoston asetus (EU) N:o 603/2013, viisumitietojärjestelmää (VIS) koskeva Euroopan parlamentin ja neuvoston asetus (EY) N:o 767/2008, rajanylitystietojärjestelmää (EES) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2017/2226 sekä EU:n matkustustieto- ja -lupajärjestelmää (ETIAS) koskeva Euroopan parlamentin ja neuvoston asetus (EU) 2018/1240.

Schengen tietojärjestelmän osalta säännös vastaisi voimassa olevan poliisin henkilötietolain 36 §:n mukaista säännöstä. Säännös on tarkoituksenmukaista sisällyttää maahanmuuttohallinnon henkilötietolakiin, koska valmisteilla olevan poliisin henkilötietolain kokonaisuudistuksessa voimassaolevaa säännöstä on tarkoitus kaventaa koskemaan vain poliisia. Tarkoituksena on tuoda näkyväksi Maahanmuuttoviraston oikeus luovuttaa tietoa Schengenin tietojärjestelmään nykytilaa vastaavasti. Myös Rajavartiolaitos on arvioinut tarpeelliseksi säätää tietojen luovutuksesta Rajavartiolaitoksen henkilötietolaissa. Velvoite tietojen luovuttamiselle on seurannut toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annetusta Euroopan parlamentin ja neuvoston asetuksesta (EY) N:o 1987/2006, joka kumotaan siitä päivästä alkaen, kun SIS-rajatarkastusasetusta (EU) N:o 2018/1861 sovelletaan kokonaisuudessaan. Valmistelussa on arvioitu, että vaikka velvoite seuraa suoraan asetuksesta, luovutuksesta olisi tarpeen säätää erikseen, koska esimerkiksi biometristen tietojen, kuten sormenjälkien, luovutus koskisi tietosuoja-asetuksen 9 artiklan mukaisiin erityisiin henkilötietoryhmiin kuuluvien tietojen luovutusta. Tietosuoja-asetuksen johdanto-osan 53 kappaleessa todetaan, että jäsenvaltioiden olisi voitava pitää voimassa tai ottaa käyttöön lisäehtoja, kuten rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Tämän ei kuitenkaan pitäisi saada vaikeuttaa henkilötietojen vapaata kulkua unionissa niissä tapauksissa, joissa näitä ehtoja sovelletaan kyseisten henkilötietojen rajatylittävään käsittelyyn. Myös perustuslakivaliokunta on aiemmassa lausuntokäytännössään rinnastanut biometriset tiedot arkaluonteisiin tietoihin, joiden asianmukaiseksi suojaamiseksi niiden luovuttamisesta tulee säätää erikseen (PeVL 14/2009 vp, s. 3 ja PeVL 47/2010 vp, s. 3). Tiedonluovutuksesta olisi tarpeen säätää myös ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu.

16 §. Tietojen poistaminen. Tietosuoja-asetuksen 6 artiklan 3 kohdassa mahdollistetaan tietojen säilytysajoista säätäminen kansallisessa lainsäädännössä. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan tietojen minimointia ja 5 artiklan 1 kohdan e alakohdan säilytyksen rajoittamista koskevan lähtökohdan mukaisesti henkilötietojen poistamista koskevat määräajat perustuisivat tarpeeseen säilyttää tietoa vain ajan, joka on rekisterinpitäjän lainmukaisten tehtävien suorittamiseksi ja lakien noudattamisen valvomiseksi tarpeen sekä henkilön oikeusturvan kannalta perusteltua.

Perustuslakivaliokunta on käytännössään korostanut arkaluonteisten tietojen käsittelyn rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (PeVL 13/2017 vp, s. 6), kun taas muun tyyppisten henkilötietojen kohdalla valiokunta on suhtautunut sallivammin pidempiin säilytysaikoihin (PeVL 2/2018 vp, s. 6). Henkilötietojen säilyttämiseen liittyvien riskien ja niiden säilyttämisellä tavoiteltujen oikeusturvan varmistamisen ja identiteetin suojaamisen välillä on tehty punnintaa varsinkin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta.

Säännöksen johtolauseessa olisi informatiivinen säännös, jolla pyrittäisiin huomioimaan Euroopan unionin lainsäädännöstä mahdollisesti seuraavat poikkeavat henkilötietojen poistoajat. Unionissa on tällä hetkellä valmisteltavana menettelyasetus ja uudelleensijoittamista koskeva asetus, joissa säädetään kansainvälistä suojelua hakeneen henkilön asiaa koskevien tietojen poistamisesta.

Tietojen poistamista koskeva aika pitenisi tietyissä tilanteissa. Voimassaolevaan lakiin verrattuna tietojen poistamiseen liittyvät säännökset pitenisivät, kun 1 kohdan mukaan henkilön tunnistetiedoista asiakasnumero, nimi, syntymäaika, henkilötunnus, ulkomainen henkilönumero, muu ulkomainen henkilön yksilöimiseksi annettu tunnus, kansalaisuus ja henkilön perhesuhdetiedot poistettaisiin kymmenen vuoden kuluttua siitä, kun hän on kuollut tai saanut Suomen kansalaisuuden tai häneen liittyvien asioiden tiedot on poistettu.

Maahanmuuttohallinnolle on leimallista, että aiemmin vireillä olleet asiat voivat olla merkityksellisiä myöhemmissä asioissa, esimerkiksi uutta oleskelulupaa haettaessa, myöhemmin vireille tulevassa perheenjäsenen oleskelulupa-asiassa, kansalaisuuden myöntämistä koskevassa asiassa tai kansalaisuuden menettämisasian yhteydessä. Rekisteröidyn oikeuksien turvaamiseksi on tärkeää, että merkitykselliset perustiedot säilytetään riittävän pitkään. Henkilön perustietojen riittävän pitkää säilyttämisaikaa puoltaa lisäksi väärinkäytöstilanteiden ennalta ehkäiseminen esimerkiksi estämällä useamman päällekkäisen henkilöllisyyden luominen. Ilman riittävän pitkää perustietojen säilytysaikaa usean henkilöllisyyden luominen on mahdollista tilanteissa, joissa henkilö on ensin esimerkiksi opiskellut Suomessa ja palaa maahan myöhemmin esimerkiksi työntekijänä. Usean eri henkilöllisyyden tilanteet aiheuttavat hankalia heijastusvaikutuksia myös muiden viranomaisten rekisterimerkintöihin. Tällaisten päällekkäisyyksien välttäminen on myös hakijan edun mukaista. Riittävän pitkä määräaika olisi perusteltu myös kansalaisuuden menettämistä koskevan asian vireille tulemisen näkökulmasta. Päätöstä kansalaisuuden menettämisestä ei voida tehdä, jos kansalaisuushakemuksen tai -ilmoituksen ratkaisusta on kulunut yli viisi vuotta. Jos kansalaisuuden menettämistä koskeva asia on tullut vireille ennen kuin viisi vuotta on kulunut kansalaisuuspäätöksen tekemisestä, päätös voidaan kuitenkin tehdä vielä tämän jälkeen. Määräaika on perusteltu myös siksi, että perheenjäsenen oleskelulupa-asian vireille tuleminen on mahdollista vielä pitkään esimerkiksi henkilön kuoleman jälkeen.

Tietosuoja-asetuksen johdanto-osan 27 kappaleen mukaan tietosuoja-asetusta ei sovelleta kuolleita henkilöitä koskeviin tietoihin, mutta niistä voidaan säätää kansallisessa lainsäädännössä. Maahanmuuttohallinnon alalla henkilötietojen säilyttämisestä olisi edellä esitetyn johdosta tarpeellista säätää vielä henkilön kuoleman jälkeen.

Pykälän 2 kohdan mukaan muut henkilötiedot poistettaisiin viimeistään, kun oleskeluoikeuden päättymisestä tai viimeisimmän vireillä olleen asian viimeisestä tiedon merkitsemisestä on kulunut viisi vuotta. Myös henkilöön liittyvien asioiden tiedot poistettaisiin samalla.

Tietojen poistamista koskevat määräajat kaikkien vireillä olleiden asioiden osalta laskettaisiin viimeisimmän vireillä olleen asian päättymisestä. Tämä olisi muutos nykytilaan verrattuna. Tämä pidentäisi osa henkilötiedoista säilytysaikaa. Kaikkien asioiden samanaikainen poistaminen olisi kuitenkin perusteltua sen välttämiseksi, että henkilön asiaa koskevissa tiedoissa olisi ajallisia aukkoja, jota ei voida pitää perusteltuna rekisteröidyn oikeusturvankaan näkökulmasta.

Pykälän 3 kohdan mukaan perustuslakivaliokunnan edellä esitetyn kannan mukaisesti erityisiin henkilötietoryhmiin kuuluvat tiedot poistettaisiin kuitenkin heti kun ne olisivat käyneet tarpeettomiksi. Erityisiin henkilötietoryhmiin kuuluvan henkilötiedon käsittelyn edellytyksenä on välttämättömyys jonkin tarkoituksen kannalta. Näin ollen erityisiin henkilötietoryhmiin kuuluva henkilötieto olisi tarpeeton silloin, kun se ei enää ole käsittelyn näkökulmasta välttämätön.

Luonteensa vuoksi myös huomiotiedot poistettaisiin erillisen määräajan puitteissa kuuden kuukauden kuluttua tiedon merkitsemisestä. Huomiotietojen, kuten muidenkin tietojen osalta, olisi huomioitava tietojen minimointia koskeva lähtökohta, jonka mukaan tietojen on oltava rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.

Esityksessä omaksutun käyttötarkoitussidonnaisen lähtökohdan mukaisesti henkilötietojen poistaminen ei olisi sidottu mihinkään järjestelmään, vaan henkilötiedot poistettaisiin niistä järjestelmistä, joissa niitä käsitellään. Lakisääteisen säilytysajan päätyttyä henkilötiedot tulisi poistaa joko hävittämällä ne tai siirtämällä ne arkistoon sen mukaan mitä Arkistolaitos määrää asiakirjojen tai asiakirjoihin sisältyvien tietojen säilyttämisestä pysyvästi. Poistetut tiedot arkistoitaisiin siis siten kuin siitä erikseen säädetään tai määrätään. Virheelliseksi todetun tiedon poistamisesta säädettäisiin erikseen.

Tietojen poistamisesta vastaavasta viranomaisesta säädettäisiin 4 ja 5 §:ssä.

17 §. Virheelliseksi todettu henkilötieto. Sen estämättä mitä tietosuoja-asetuksessa säädetään virheellisen tiedon poistamisesta, virheelliseksi todetun henkilötiedon saisi säilyttää korjatun henkilötiedon yhteydessä, jos se olisi tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista henkilötietoa saisi käsitellä vain mainitussa tarkoituksessa.

Tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä; on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan ja oikaistaan viipymättä. Tietosuoja-asetuksen 16 artiklan mukaan rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Tietosuoja-asetuksen 17 artiklassa säädetään tietojen poistamisesta erikseen luetelluissa tilanteissa, mutta tietojen virheellisyyttä ei ole artiklassa luettu poistamisen perusteeksi. Tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan mukaan 5 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa voidaan rajoittaa lainsäädännössä, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, kunhan rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällaisista rajoituksista säätäminen edellyttää tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan myös erityisiä säännöksiä muun muassa suojatoimista ja tietojen säilytysajoista. Suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa. Virheelliseksi todetun tiedon säilyttäminen on välttämätön ja oikeasuhtainen toimenpide rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien ja vapauksien turvaamiseksi.

Pykälä ei rajoittaisi oikeutta tietojen oikaisemiseen, mutta virheelliseksi todetut tiedot olisi 1 momentissa tarkoitetuissa tilanteissa mahdollista säilyttää oikaistujen tietojen yhteydessä. Pykälässä säädettäisiin virheelliseksi todetun tiedon säilyttämisestä tilanteissa, joissa se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Voimassaolevan ulkomaalaisrekisterilain 9 §:n 2 momenttiin verrattuna oikeustila muuttuisi niin, että merkityksellistä olisi myös muun asianosaisen oikeuksien turvaaminen esimerkiksi perheenjäsenen oleskelulupaa koskevissa tilanteissa.

Virheellisten tietojen luonne huomioiden niiden käsittelemisen tapaan tulisi kiinnittää erityistä huomiota. Virheelliset tiedot eivät saisi esimerkiksi joutua myöhemmin käsittelytoimien kohteeksi eikä niitä tulisi voida muuttaa. Virheelliseksi todettu tieto, jota säilytetään, olisi poistettava heti kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää olisi tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta. Viiden vuoden määräajan alkamistapa muuttuisi, kun määräaika laskettaisiin virheellisen henkilötiedon tallentamisen sijaan virheen havaitsemisesta. Virheellisen tiedon viiden vuoden säilyttämisaika on perusteltu esimerkiksi tilanteissa, joissa on kyse virheellisen tiedon tallentaneen virkamiehen oikeusturvasta virkavastuuta koskevassa asiassa.

18 §. Tietojen arkistointi. Pykälä sisältäisi informatiivisen säännöksen, jossa todettaisiin, että arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen. Tällä hetkellä muotoilulla tarkoitettaisiin sitä, mitä voimassa olevassa arkistolaissa (831/1994) tai sen nojalla säädetään.

Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa yleisen edun mukaista arkistokäyttötarkoitusta ei pidetä yhteensopimattomana alkuperäisen käyttötarkoituksen kanssa. Tällä perusteella henkilötietoja sisältäviä tietoaineistoja voidaan arkistoida, jos se on yleisen edun mukaista.

19 §. Rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen. Pykälässä säädettäisiin menettelystä tietosuoja-asetuksen 15 artiklan mukaisen oikeuden toteuttamiseksi. Tietosuoja-asetuksen 15 artiklan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin. Tietosuojalaissa tähän rekisteröidyn oikeuteen saada pääsy tietoihinsa viitataan rekisteröidyn oikeudella tutustua hänestä kerättyihin tietoihin ja rikosasioiden tietosuojalaissa rekisteröidyn tarkastusoikeutena. Säännöksessä noudatettaisiin edellä mainituissa yleislaeissa omaksuttua termistöä.

Henkilön yksityisyyttä tulisi suojata rekisteröidyn omiin tietoihin pääsyn oikeutta käytettäessä varmistumalla henkilötietojen vastaanottajan henkilöllisyydestä. Oikeuden toteuttamisen kohteena olevissa henkilötiedoissa on useimmiten kyse arkaluonteisista tai salassa pidettävistä tiedoista. Tämän johdosta on oltava varmuus siitä, että henkilö, jolle tiedot luovutetaan, on tosiasiassa se henkilö, jota koskevista henkilötiedoista on kyse. Rekisteröidyn oikeuksien toteutumisen edistämiseksi säädettäisiin 6 §:ssä rekisteröidyn yhteyspisteistä, joita olisivat Maahanmuuttovirasto ja ulkoasiainhallinto. Rekisteröidyn yhteyspisteen nimeäminen ei kuitenkaan estäisi rekisteröityä esittämästä omiin tietoihinsa tutustumista koskevaa pyyntöä myös muille rekisterinpitäjille.

Tietosuoja-asetuksen johdanto-osan 63 kappaleen mukaan rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Johdanto-osan 64 kappaleen mukaan rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten.

Tietosuoja-asetuksen 12 artiklan mukaan rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, jos rekisterinpitäjällä on perusteltua syytä epäillä 15—21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä, sanotun kuitenkaan rajoittamatta 11 artiklan soveltamista.

Rekisteröidyn olisi omiin tietoihinsa tutustumista koskevaa oikeutta toteuttaessaan esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava ennen henkilötietojen luovuttamista henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.

Tutustumisoikeuden toteuttaminen edellyttäisi aina pyynnön esittämistä rekisterinpitäjälle kirjallisesti. Pyyntö voisi tapahtua esimerkiksi sähköpostilla tai postilla lähetettävällä pyynnöllä tai henkilökohtaisen käynnin yhteydessä esimerkiksi lomakkeella. Pyynnön voisi esittää rekisteröidyn puolesta myös muu henkilö, esimerkiksi edustaja tai avustaja.

Tutustumisoikeuttaan käyttävän rekisteröidyn henkilöllisyydestä tulisi varmistua ennen oikeuden toteutumista eli viimeistään oikeuden kohteena olevien henkilötietojen luovuttamisen yhteydessä. Rekisteröity voisi todistaa henkilöllisyytensä luotettavana pidetyillä asiakirjoilla rekisterinpitäjän luona tai esimerkiksi niin, että oikeuden kohteena olevat pyydetyt tiedot toimitettaisiin rekisteröidylle kirjatulla kirjeellä, jolloin rekisteröidyn henkilöllisyyden todentaminen voisi tapahtua kirjattua kirjettä koskevaa normaalia luovutusmenettelyä noudattaen. Maahanmuuttoviraston palveluverkoston harvalukuisuuden johdosta olisi perusteltua, että rekisteröidyn tutustumisoikeuden toteuttaminen ei edellyttäisi henkilökohtaista käyntiä Maahanmuuttoviraston palvelupisteessä, mikäli henkilöllä on luotettavana pidetty asiakirja. Luotettavana pidettyjä asiakirjoja ovat ainakin voimassa oleva henkilöllisyyden osoittava asiakirja sekä voimassa oleva passi. On kuitenkin huomioitava, että kaikkia passeja ei niiden voimassaolosta huolimatta pidetä luotettavina. Rekisteröidyillä, erityisesti turvapaikanhakijoina maahan tulleilla, ei aina ole luotettavana pidettäviä asiakirjoja. Näissä tilanteissa rekisteröity olisi mahdollista tunnistaa henkilökohtaisen käynnin yhteydessä rekisterinpitäjän luona esimerkiksi tietojärjestelmään tallennetuista tiedoista, kuten turvapaikkahakemuksen yhteydessä otettuun valokuvaan vertaamalla. Rekisteröidyn olisi myös mahdollista käyttää vahvaa sähköistä tunnistamista.

Tietosuoja-asetuksen 15 artiklassa säädettyä rekisteröidyn oikeutta saada pääsy tietoihin vastaa rikosasioiden tietosuojalain 23 §:ssä säädetty rekisteröidyn tarkastusoikeus. Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen poliisille sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain 41 §:ää ja rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen Rajavartiolaitokselle henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain 50 §:ää. Rekisteröidyn olisi tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti poliisille tai Rajavartiolaitokselle ja todistettava henkilöllisyytensä. Pyynnön voisi esittää myös käyttämällä varmennetulla tavalla luotettavaa sähköistä tunnistamista, jos tällainen palvelu on käytössä. Tarkastusoikeuden toteuttamista koskeva erilainen menettelytapa poliisille ja Rajavartiolaitokselle osoitettujen tarkastuspyyntöjen osalta olisi perusteltua yhtenäisen prosessin varmistamiseksi poliisin toiminnassa. Tilanteissa, joissa rekisteröidyn yhteyspiste, esimerkiksi Maahanmuuttovirasto, toteuttaisi rekisteröidyn tarkastusoikeutta poliisin tai Rajavartiolaitoksen tietojen osalta, rekisteröidyn yhteyspiste vastaisi siitä, että henkilöllisyys tulee todennetuksi muussa prosessin vaiheessa ja tiedot luovutetaan oikealle henkilölle.

20 §. Rekisteröidyn oikeus käsittelyn rajoittamiseen. Tietosuoja-asetuksen 18 artiklan mukaan rekisteröidyllä on oikeus rajoittaa henkilötietojensa käsittelyä. Mitä Euroopan unionin lainsäädännössä tai muualla laissa säädetään rekisteröidyn oikeudesta rajoittaa rekisterinpitäjän toteuttamaa henkilötietojen käsittelyä, ei kuitenkaan sovellettaisi tässä laissa säädettyyn henkilötietojen käsittelyyn. Rekisteröidyn oikeutta voidaan rajoittaa tietosuoja-asetuksen 23 artiklan jäsenvaltioille jättämän liikkumavaran puitteissa. Tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan nojalla on mahdollisuus kansallisella lainsäädäntötoimenpiteellä rajoittaa myös 18 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata niin julkisen vallan käyttöön liittyvä valvonta-, tarkastus- ja sääntelytehtävä kuin rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet. Tällöin lainsäädäntötoimenpiteissä on huomioitava 23 artiklan 2 kohdan mukaiset erityiset säännökset. Näistä suojatoimista on erityisten henkilötietoryhmien osalta säädetty erikseen tietosuojalain 6 §:n 2 momentissa.

Maahanmuuttohallinnossa rekisteröidyn rajoituspyynnön perusteena olisi todennäköisesti aina tietojen paikkansapitämättömyys. Jos henkilötiedon käsittely rajoitettaisiin rekisteröidyn pyynnön perusteella automaattisesti siihen saakka, kunnes rekisterinpitäjä on voinut varmistaa tiedon paikkansapitävyyden, olisi tiedosta riippuen mahdollista, että päätöksenteko sekä maahanmuuttohallinnossa että maahanmuuttohallinnon tietoja päätöksenteossaan käyttävässä viranomaisessa pysähtyisi varmistamismenettelyn ajaksi. Maahanmuuttohallinnon päätöksenteko perustuu lakiin. Päätöksenteossa käytettävän tiedon oikeellisuudesta varmistuminen on ratkaisevaa oikean päätöksen ja siten henkilön oikeusturvan varmistamiseksi. Maahanmuuttohallinnon menettelyille asetetut muut lakiin perustuvat vaatimukset sekä rekisteröidyn mahdollisuus käyttää muita oikeuksiaan tietojensa oikeellisuuden varmistamiseen täyttävät tietosuoja-asetuksen 23 artiklan 1 kohdan h ja i alakohdan edellyttämät välttämättömyyden ja oikeasuhtaisuuden vaatimukset rekisterinpitäjän lakisääteisten tehtävien toteuttamiseksi, mikä osaltaan suojaa rekisteröityä.

21 §. Automatisoidut yksittäispäätökset. Pykälässä säädettäisiin Maahanmuuttoviraston automaattiseen käsittelyyn perustuvasta päätöksentekomenettelystä ulkomaalaisasioiden asiankäsittelyjärjestelmässä. Menettelyssä asiankäsittelyjärjestelmä suorittaisi kaikki asiankäsittelyn ja päätöksenteon vaiheet ilman luonnollisen henkilön myötävaikutusta.

Tietosuoja-asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Poikkeuksena tähän pääsääntöön artiklan 2 kohdan b alakohdan mukaan edellä mainittua ensimmäistä kohtaa ei sovelleta, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

Perustuslain 21 §:n 2 momentin mukaan käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. Hallintomenettelyssä noudatettavista hyvän hallinnon mukaisista menettelysäännöksistä säädetään hallintolaissa ja valitusoikeudesta hallintolainkäyttölaissa. Tämän lisäksi ulkomaalaislaki sisältää näitä edellä mainittuja yleislakeja täydentävää sääntelyä. Esityksessä ei ehdoteta säädettävän poikkeuksia näihin hallinnon yleislakeihin eli asianosaisella olisi myös automaattisessa päätöksentekomenettelyssä oikeus saada perusteltu päätös ja valittaa saamastaan päätöksestä, siten kuin siitä on säädetty hallintolainkäyttölaissa tai ulkomaalaislaissa. Kansalliset yleislait toteuttavat osaltaan myös tietosuoja-asetuksen 22 artiklan edellyttämiä asianmukaisia suojatoimia, sillä ne turvaavat paitsi käsittelyn avoimuuden myös oikeuden saada perusteltu päätös ja valittaa päätöksestä.

Automaattiseen päätöksentekomenettelyyn valikoituvat asiat

Esityksessä ehdotetaan säädettäväksi, että päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voitaisiin tehdä menettelyssä, joka perustuisi pelkästään automaattiseen käsittelyyn, jos asian saisi ratkaista hallintolain 34 §:n 2 momentin 5 kohdan nojalla asianosaista kuulematta. Hallintolain 34 §:n 1 momentti sisältää kuulemista koskevan pääsäännön, jonka mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Automaattinen päätöksentekomenettely perustuisi paitsi hakijan sähköisesti toimittamiin tietoihin myös ulkomaalaisasioiden asiankäsittelyjärjestelmän sisältämiin tietoihin ja muilta viranomaisilta sähköisten rajapintojen kautta saatuihin tietoihin. Yleensä hakijalähtöisessä lupaharkinnassa hakemus voidaan ratkaista hakijan toimittamien tietojen perusteella, mutta jos hakemus ratkaistaan käyttäen ulkomaalaisasioiden asiankäsittelyjärjestelmän sisältämiä tietoja, joita hakija ei ole hakemuksessaan ilmoittanut, hakijaa kuullaan tarvittaessa hallintolain 34 §:n 1 momentin mukaisesti. Samoin, jos esimerkiksi hakemuksessa esitetyissä tiedoissa olisi puutteita tai ristiriitaisuuksia verrattuna Maahanmuuttoviraston käytettävissä oleviin sähköisiin tietoihin, asia siirtyisi ratkaistavaksi tavanomaiseen päätöksentekomenettelyyn. Tällainen voisi olla esimerkiksi tilanne, jossa automaattiset rekisteritarkastukset tuottavat tietoa, josta asiakasta on kuultava. Tällöin asia ohjautuu kokonaisharkintaan luonnollisen henkilön käsiteltäväksi.

Pykälän toisessa momentissa säädetään poikkeuksista hallintolain 34 §:n 1 momentin pääsääntöön. Hallituksen esityksen (HE 72/2002 vp, s. 96) yksityiskohtaisten perusteluiden mukaan poikkeussäännösten soveltamisalaa on tarkasteltava erityisesti hyvän hallinnon vaatimusten kannalta. Oikeus tulla kuulluksi omassa asiassaan on yksi perustuslain 21 §:ssä lausutuista hallinnon keskeisistä oikeusturvaperiaatteista, jotka edellytetään turvattavan lailla. Kuulluksi tulemisen oikeus koskee lähtökohdiltaan kaikkia sellaisia asioita, joissa asianosaisella voidaan katsoa olevan intressi antaa selvitystä. Hallintolain 34 §:n 2 momentin 5 kohdan mukaan asian saa ratkaista asianosaista kuulematta, jos hyväksytään vaatimus, joka ei koske toista asianosaista tai kuuleminen on muusta syystä ilmeisen tarpeetonta. Kuuleminen voisi olla ilmeisen tarpeetonta esimerkiksi silloin, kun Maahanmuuttovirasto tekee raukeamispäätöksen ulkomaalaislain säännösten nojalla. Tällöin raukeamispäätöstä on joko edeltänyt viranomaisen muu päätös, asetettu määräaika tai hakijalla ei enää hänestä johtuvasta syystä ole tarvetta hakemuksen vireilläololle.

Tällaisia hallintolain 34 §:n 2 momentin 5 kohdan mukaisia maahanmuuttohallinnossa käsiteltäviä asiaryhmiä voisivat olla esimerkiksi sellaiset tapaukset, joissa asia ratkaistaan hakijan hakemuksen mukaisesti tai hakemus taikka esitys raukeaa ulkomaalaislain nojalla. Näitä automaattiseen päätöksentekoon soveltuvia ulkomaalaislain mukaisia asiatyyppejä olisivat esimerkiksi oleskeluluvan myöntäminen opiskelun, työnteon, yritystoiminnan tai perhesiteen perusteella, oleskelulupahakemuksen raukeaminen hakijan peruutettua hakemuksensa, kuoltua tai saatua Suomen kansalaisuuden, tai sen johdosta, että käsittelymaksua ei ole kohtuullisessa ajassa maksettu, oleskeluluvan tai EU-rekisteröinnin raukeaminen haltijan kuoltua tai saatua Suomen kansalaisuuden, pysyvän oleskeluluvan myöntäminen, Euroopan unionin kansalaisen tai tähän rinnastettavan oleskeluoikeuden rekisteröiminen, EU-kansalaisen perheenjäsenen, joka on kolmannen maan kansalainen, oleskelukortin myöntäminen, oleskelu- tai oleskelulupakortin uusiminen, Euroopan unionin sisäistä liikkuvuutta koskevan ilmoituksen hyväksyminen, kausityötodistuksen antaminen, Suomen kansalaisuuden saaminen hakemuksesta tai ilmoituksesta sekä karkottamista koskevan esityksen raukeaminen sen johdosta, että ulkomaalainen on saanut oleskeluluvan. Säännöksen sitominen hallintolain 34 §:n 2 momentin 5 kohtaan muodostaisi tarkkarajaisen ja selkeän edellytyksen edellä kuvatuille automaattiseen päätöksentekoon soveltuville asioille. Vaikka Maahanmuuttovirastossa käsiteltävistä asiaryhmistä on tunnistettavissa tiettyjä asiaryhmiä, joihin kuuluvat asiat voisivat pääsääntöisesti tulla käsiteltäväksi automaattisessa päätöksentekojärjestelmässä, kunkin yksittäistapauksen seikat ratkaisisivat lopulta sen voidaanko asiassa laatia päätös pelkästään automaattisessa menettelyssä. Käytännössä asia, jossa asianosaisen kuuleminen ei lähtökohtaisesti olisi tarpeen, etenisi Maahanmuuttoviraston automaattisessa järjestelmässä tarkistuspisteeltä toiselle ja jos yksittäistapauksen olosuhteet eivät esimerkiksi täyttäisi toimivaltaa luovan lainsäädännön mukaista edellytystä, asiaan liittyvissä asiakirjoissa olisi puutteita tai asia edellyttäisi kokonaisharkintaa, asia ohjautuisi aina luonnollisen henkilön käsiteltäväksi. Näin ollen automaattisessa päätöksentekomenettelyssä ei voitaisi ratkaista asiaa, jossa edellytettäisiin kokonaisharkintaa esimerkiksi riittävän toimeentulon osalta tai hakijan yleiselle järjestykselle tai turvallisuudelle aiheuttamaa vaaraa, vaan tällöin asia ohjautuisi aina tavanomaiseen päätöksentekomenettelyyn luonnollisen henkilön harkittavaksi.

Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarjassa julkaistussa Algoritmi päätöksentekijänä? -selvityshankkeessa (2019:44, s. 67) kansalaisuushakemuksen kulku automaattisessa päätöksentekomenettelyssä on kuvattu seuraavasti: Maahanmuuttovirasto tekee päätöksen kansalaisuuden myöntämisestä automatisoidusti, eli kukaan yksittäinen virkamies ei käsittele hakemusta. Päätöksentekojärjestelmässä käytetään sääntöpohjaista ohjelmistorobotiikkaa. Se tarkastaa kansalaisuuden täyttymisen edellytykset ns. binääristen vaihtoehtojen avulla. Jos hakijan antamat tiedot ja liitteet täyttävät lain edellyttämät vaatimukset kansalaisuuden saamiseksi, järjestelmä hyväksyy kansalaisuushakemuksen automaattisesti. Jos kansalaisuuden saamisen ehdot eivät täyty, tapaus menee luonnollisen henkilön tarkastettavaksi.

Automaattisen päätöksenteon mahdollistaminen tietyissä edellä esitetyllä tavalla rajatuissa Maahanmuuttohallinnon asiaryhmissä toteuttaisi osaltaan myös perustuslain 21 §:n 1 momentin vaatimusta viivytyksettömästä ja asianmukaisesta viranomaistoiminnasta, sillä se nopeuttaisi sellaisten asioiden käsittelyä, joissa asianosaisella ei ole intressiä tulla kuulluksi. Edellä luetellut asiaryhmät muodostavat ison osan Maahanmuuttovirastossa tehtävistä päätöksistä, joten automaattisen päätöksenteon mahdollistaminen näissä asiaryhmissä tehostaisi myös Maahanmuuttoviraston päätöksentekojärjestelmää heikentämättä kuitenkaan hyvän hallinnon menettelysäännösten tai oikeussuojan käsittelylle asettamia edellytyksiä. Rekisteröidyn näkökulmasta automatisointi sekä nopeuttaisi asiankäsittelyä että loisi puitteet yhdenmukaiselle ja yhdenvertaiselle käsittelylle. Näin automatisointi edistäisi myös yhdenvertaisuus- ja luottamuksensuojaperiaatetta.

Maahanmuuttoviraston päätöksentekoprosesseja tulisi tehostaa niin, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Automaattisessa päätöksenteossa käytettävät algoritmit ja niiden taustalla olevat lainsäädäntöön pohjaavat säännöt laadittaisiin huolellisesti Maahanmuuttovirastossa ja niiden toimivuus testattaisiin Maahanmuuttovirastossa ennen käyttöönottoa ja säännöllisesti käytön aikana. Maahanmuuttovirasto hyväksyisi käyttöön otettavat algoritmit vielä erillisellä hallintopäätöksellä. Näin yhdenmukaistettaisiin ratkaisukäytäntöä näissä yksinkertaisimmissa asiaryhmissä ja parannettaisiin siten ennakoitavuutta ja oikeusvarmuutta. Perustuslakivaliokunnalla ei ole ollut huomauttamista Maahanmuuttoviraston päätöksenteon automatisoinnin tehostamispäämäärän suhteen (PeVL 62/2018 vp, s. 7).

Tietosuojatyöryhmä on antanut lausunnossaan (WP 251/17, s. 34—35) joitain ehdotuksia hyvistä käytännöistä, joita rekisterinpitäjät voivat harkita tehdessään tietosuoja-asetuksen 22 artiklan 1 kohdassa määriteltyjä pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna. Rekisterinpitäjän tulisi esimerkiksi suorittaa järjestelmien säännöllisiä laadunvarmistustarkastuksia, joilla varmistetaan, että henkilöitä kohdellaan oikeudenmukaisesti eikä heitä syrjitä erityisten henkilötietoryhmien perusteella tai muutoin. Rekisterinpitäjän tulisi tarkistaa algoritmit ja testata koneoppimisjärjestelmien käyttämät ja kehittämät algoritmit, jolla osoitetaan, että ne todella toimivat tarkoitetulla tavalla eivätkä tuota syrjiviä, virheellisiä tai perusteettomia tuloksia. Riippumattoman ”kolmannen osapuolen” tarkastuksen yhteydessä (jos profilointiin perustuvalla päätöksellä on suuri vaikutus henkilöihin) rekisterinpitäjän tulisi toimittaa tarkastajalle kaikki tarvittavat tiedot algoritmin tai koneoppimisjärjestelmän toiminnasta. Käytettäessä kolmansien osapuolten algoritmeja rekisterinpitäjän tulisi hankkia sopimukseen perustuvat vakuudet siitä, että algoritmi on tarkastettu ja testattu ja sovittujen standardien mukainen. Rekisterinpitäjän tulisi myös toteuttaa erityiset tietojen minimointia koskevat toimenpiteet, joilla otetaan käyttöön selvät säilytysajat profiileille ja niiden luomisessa tai soveltamisessa käytetyille henkilötiedoille. Rekisterinpitäjän tulisi mahdollistaa myös anonymisointi- tai pseudonymisointitekniikoiden käyttö profiloinnin yhteydessä. Rekisterinpitäjän tulisi mahdollistaa keinot, joiden avulla rekisteröity voi ilmaista kantansa ja vastustaa päätöstä sekä turvata ihmisen osallistumisen mahdollistava mekanismi tietyissä määritellyissä tapauksissa, esimerkiksi tarjoamalla linkki muutoksenhakuprosessiin, kun automatisoitu päätös toimitetaan rekisteröidylle, sekä sovitut uudelleentarkastelun määräajat ja nimetty yhteyspiste kyselyjä varten. Rekisterinpitäjät voivat tutkia vaihtoehtona myös käsittelytoimien sertifiointimekanismeja, koneoppimista sisältäviä tarkastusprosesseja koskevia käytännesääntöjä, eettisiä tarkastuslautakuntia, jotka arvioivat tiettyjen profilointisovellusten mahdollisia yhteiskunnallisia haittoja ja hyötyjä. Maahanmuuttoviraston tulisi noudattaa soveltuvin osin näitä tietosuojatyöryhmän hyvien käytänteiden suosituksia automaattista päätöksentekomenettelyä koskevassa prosessissaan.

Tietosuoja-asetuksen johdanto-osan 71 kappaleen mukaan asetuksen 22 artiklan 2 kohdan mukaisen poikkeuksen mahdollistamaan käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Myös tietosuojatyöryhmä on lausunnossaan (WP 251/17, s. 29) pitänyt näitä suojatoimia kaikkia tietosuoja-asetuksen 22 artiklan 2 kohdan mukaisia poikkeuksia koskevina, vaikka 2 kohdan b alakohdan osalta asianmukaisia suojatoimia ei ole yksilöity itse artiklassa. Tämän lisäksi tietosuojatyöryhmä on antanut lausunnossaan (WP 251/17, s. 34—35) joitain edellä esitettyjä ehdotuksia hyvistä käytännöistä, joita rekisterinpitäjät voivat harkita tehdessään tietosuoja-asetuksen 22 artiklan 1 kohdassa määriteltyjä pelkästään automaattiseen käsittelyyn perustuvia päätöksiä, profilointi mukaan luettuna. Yhden ehdotuksen mukaan rekisterinpitäjän tulisi tarjota ihmisen osallistumisen mahdollistava mekanismi tietyissä määritellyissä tapauksissa, esimerkiksi tarjoamalla linkki muutoksenhakuprosessiin, kun automatisoitu päätös toimitetaan rekisteröidylle, sekä sovitut uudelleentarkastelun määräajat ja nimetty yhteyspiste kyselyjä varten.

Suomessa perustuslain 21 §:n velvoite säätää lailla oikeusturvan ja hyvän hallinnon edellytyksistä on toteutettu hallintomenettelyä ja -prosessia koskevilla kansallisilla yleislaeilla, joiden sisältämät säännökset täyttävät jo useimmat tietosuoja-asetuksen 22 artiklassa edellytetyistä asianmukaisista suojatoimista. Kuten tietosuojatyöryhmän edellä esitetystä suosituksesta ilmenee, oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen tulisi suojatuksi riittävällä tavalla mahdollistamalla muutoksenhakuoikeus ja rekisteröityjen yhteyspiste. Näin ollen tämäkin oikeus tulisi suojatuksi hallintolainkäyttölain ja ulkomaalaislain muutoksenhakuoikeutta koskevin säännöksin. Tämän esityksen 1. lakiehdotuksen 6 §:ssä säädettäisiin lisäksi rekisteröityjen yhteyspisteestä.

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely automaattisessa päätöksentekomenettelyssä

Tietosuoja-asetuksen 22 artiklan 4 kohdan mukaan 22 artiklan 2 kohdan mukaiset päätökset eivät saa perustua 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin, paitsi jos sovelletaan 9 artiklan 2 kohdan a tai g alakohtaa ja asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi on toteutettu. Erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan siis käsitellä kokonaan automaattisessa päätöksenteossa vain jos on olemassa tietosuoja-asetuksen 22 artiklan 2 kohdan mukainen poikkeus ja sovelletaan asetuksen 9 artiklan 2 kohdan a tai g alakohtaa. Tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen lähtökohtaisesta käsittelykiellosta voidaan poiketa, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Tietosuoja-asetuksen johdanto-osan 43 kappaleen mukaan suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen. Näin ollen automaattisessa menettelyyn perustuva erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely ei voisi perustua rekisteröidyn suostumukseen. Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen lähtökohtaisesta käsittelykiellosta voidaan poiketa, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuoja-asetuksen johdanto-osan 52 kappaleen mukaan henkilötietojen erityisryhmien käsittelykiellosta olisi voitava poiketa myös siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi. Yleistä etua koskevina syinä kappaleessa mainitaan henkilötietojen käsittely työlainsäädännön ja sosiaalista suojelua koskevan lainsäädännön aloilla. Myös ennakoitava, oikeisiin tietoihin perustuva ja tehokkaasti toimiva viranomaisen päätöksentekojärjestelmä olisi paitsi yksilön, myös yhteiskunnan etujen mukainen ja toteuttaisi siten yleistä etua. Painavan yleisen edun mukaisena on pidetty esimerkiksi riittävän tietopohjan turvaamista viranomaisen päätöksenteolle (HE 20/2005 vp, s. 13). Maahanmuuttoviraston automaattinen päätöksentekomenettely perustuisi maahanmuuttohallinnon toimivaltaa luovaan lainsäädäntöön. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on olennaista Maahanmuuttoviraston lakisääteisten asiaryhmien käsittelyssä. Jotta esimerkiksi hakemus voidaan ratkaista, on välttämätöntä tarkistaa tiettyjen lain mukaisten edellytysten täyttyminen ja tässä yhteydessä käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Näin ollen käsittely olisi myös oikeasuhteista tavoitteeseen nähden. Lisäksi rekisterinpitäjän on kummankin tietosuoja-asetuksen säännöksen nojalla toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

Tietosuojalain 6 §:n mukaiset erityisiin henkilötietoryhmiin kuuluvia henkilötietoja koskevat suojatoimet tulisivat soveltuvin osin sovellettavaksi myös ehdotettavan maahanmuuttohallinnon henkilötietolain mukaiseen erityisiin henkilötietoryhmiin kuuluvien henkilötietojen turvaamiseen. Yleislaissa säädettyjen suojatoimien lisäksi automaattisessa menettelyssä henkilötietojen käsittelyn tulisi täyttää erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat ehdotettavan maahanmuuttohallinnon henkilötietolain 8 §:n mukaiset edellytykset. Tietosuojalain 6 §:n 1 momentin mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa eli erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelykieltoa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Tietosuojalain 6 §:n 2 momentin mukaan käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä ovat toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty, toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista, tietosuojavastaavan nimittäminen, rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin, henkilötietojen pseudonymisointi sekä henkilötietojen salaaminen. Samoin toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa, menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi ja erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tietosuojalain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen, tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen sekä muut tekniset, menettelylliset ja organisatoriset toimenpiteet. Nämä tietosuojalain 6 §:n 2 momentin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevat suojatoimet vastaavat pitkälti tietosuojatyöryhmän lausunnossaan (WP 251/2017) suosittelemia suojakeinoja.

Tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdassa säädetään velvollisuudesta käsitellä henkilötietoja lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Näitä tietojen käsittelyn periaatteita täydentävät lisäksi tietosuoja-asetuksen 12 artiklan yleiset säännökset läpinäkyvästä informoinnista ja rekisteröidyn oikeuksien käyttämisestä. Tietosuoja-asetuksen 13 ja 14 artikla sisältävät nimenomaiset säännökset rekisterinpitäjän velvollisuudesta tiedottaa rekisteröityä asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi.

Sekä tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdassa että 14 artiklan 2 kohdan g alakohdassa edellytetään, että rekisterinpitäjän on toimitettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn kannalta asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle. Rekisterinpitäjien tulee siis antaa merkityksellisiä ja helposti saatavilla olevia tietoja pelkästään automaattiseen käsittelyyn, profilointi mukaan luettuna, perustuvista automatisoiduista päätöksistä, jotka tuottavat oikeusvaikutuksia tai vastaavalla tavalla merkittäviä vaikutuksia. Tietosuoja-asetuksen johdanto-osan 60 kappaleen mukaan rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys. Rekisteröidylle olisi myös ilmoitettava profiloinnin olemassaolosta ja sen seurauksista.

Tämän lisäksi rekisteröidyllä on erityinen oikeus saada tietoja pelkästään automaattiseen käsittelyyn perustuvasta päätöksenteosta. Tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: automaattisen päätöksenteon, muun muassa 22 artiklan 1 ja 4 kohdassa tarkoitetun profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle.

Tietosuojatyöryhmä on lausunnossaan (WP 251/2017, s. 26–27) todennut, että jos rekisterinpitäjä tekee 22 artiklan 1 kohdan mukaisia automatisoituja päätöksiä, sen on ilmoitettava rekisteröidylle harjoittavansa tällaista toimintaa, annettava merkityksellisiä tietoja käsittelyyn liittyvästä logiikasta sekä selitettävä käsittelyn merkittävyys ja mahdolliset seuraukset. Tietosuojatyöryhmän mukaan näiden tietojen toimittaminen auttaa lisäksi rekisterinpitäjiä varmistamaan, että ne toteuttavat joitakin 22 artiklan 3 kohdassa ja johdanto-osan 71 kappaleessa tarkoitetuista suojaamistoimenpiteistä. Tietosuojatyöryhmä tuo lausunnossaan lisäksi esiin, että koneoppimisen yleistymisen ja monimutkaisuuden vuoksi voi olla haastavaa ymmärtää, miten automatisoitu päätöksentekoprosessi tai profilointi toimii. Monimutkaisuus ei kuitenkaan ole peruste olla toimittamatta tietoja rekisteröidylle. Rekisterinpitäjän olisikin tietosuojatyöryhmän mukaan löydettävä yksinkertaisia tapoja kertoa rekisteröidylle päätöksen taustalla olevista syistä tai sen tekemisessä käytetyistä perusteista. Tietosuojatyöryhmän mukaan tietosuoja-asetuksen mukainen rekisterinpitäjän velvollisuus toimittaa rekisteröidylle merkityksellisiä tietoja käsittelyyn liittyvästä logiikasta ei välttämättä edellytä monimutkaista selitystä siinä käytettävistä algoritmeista tai koko algoritmin paljastamista. Toimitettujen tietojen olisi kuitenkin oltava riittävän kattavat, jotta rekisteröity ymmärtää päätöksen perusteet.

Tietosuojatyöryhmä ehdottaakin lausunnossaan (WP 251/2017, s. 33–34), että algoritmien tai koneoppimisen toimintatapaa koskevien monimutkaisten matemaattisten selitysten esittelyn sijasta rekisterinpitäjän olisi pohdittava selkeitä ja ymmärrettäviä tapoja esimerkiksi seuraavien tietojen toimittamiseksi rekisteröidylle: tietoryhmät, joita on käytetty tai käytetään profiloinnissa tai päätöksentekoprosessissa, miksi näitä tietoryhmiä pidetään merkityksellisinä, miten automatisoidussa päätöksentekoprosessissa käytetty profiili on luotu, analyysissa mahdollisesti käytetyt tilastot mukaan luettuna, miksi tämä profiili on merkityksellinen automatisoidun päätöksentekoprosessin kannalta sekä, miten sitä käytetään rekisteröityä koskevan päätöksen tekemisessä. Tietosuojatyöryhmän mukaan tällaiset tiedot ovat yleensä hyödyllisempiä rekisteröidyn kannalta, ja ne lisäävät käsittelyn läpinäkyvyyttä. Tämän lisäksi rekisterinpitäjien saattaa olla hyödyllistä harkita visualisointia ja vuorovaikutteisia tekniikoita algoritmien läpinäkyvyyden edistämiseksi.

Tietosuoja-asetuksen johdanto-osan 58 kappaleen mukaan läpinäkyvyyden periaatteen mukaisesti yleisölle tai rekisteröidylle tarkoitettujen tietojen on oltava tiiviisti esitettyjä sekä helposti saatavilla ja ymmärrettäviä, ne on ilmaistava selkeällä ja yksinkertaisella kielellä ja lisäksi tarvittaessa ne on havainnollistettava. Tällaiset tiedot voidaan antaa sähköisessä muodossa esimerkiksi internetsivuston kautta silloin kun ne on tarkoitettu yleisölle. Tämä on erityisen tärkeää tilanteissa, joissa rekisteröidyn on toimijoiden suuren määrän ja käytänteiden teknisen monimutkaisuuden vuoksi vaikea tietää ja ymmärtää, kerätäänkö hänen henkilötietojaan tai ketkä niitä keräävät ja mitä tarkoitusta varten.

Maahanmuuttoviraston toimivallasta tehdä asianosaisen oikeudelliseen asemaan vaikuttavia hallintopäätöksiä säädetään ulkomaalaislaissa, kansalaisuuslaissa, kausityölaissa, ICT-laissa sekä tutkija- ja opiskelijalaissa. Maahanmuuttoviraston automaattiset päätökset perustuisivat teknisiin sääntöihin, joiden avulla ulkomaalaisasioiden asiankäsittelyjärjestelmässä olevaa tietoa prosessoidaan. Teknisissä säännöissä Maahanmuuttovirastolle toimivaltaa luovien säädösten normit muutettaisiin koneellisesti käsiteltäviksi numeraalisiksi operaatioiksi, jotka perustuisivat tiedon prosessointiin loogisten ehtojen avulla. Teknisissä säännöissä olisi otettu huomioon läpinäkyvyys. Ulkomaalaisasioiden asiankäsittelyjärjestelmän käyttöliittymässä sääntö ja siihen liittyvät tiedot olisi esitetty käyttäjälle ymmärrettävällä tavalla. Automaattisella päätöksenteolla tarkoitettaisiin Maahanmuuttoviraston tapauksessa niin sanotun päätöksentekokoneen luomista, jolloin asia algoritmilla toteutettujen ehtojen täyttyessä etenisi pitkin päätöksentekojärjestelmää kohti automaattisesti laadittua päätöstä ja ehtojen jäädessä täyttymättä ohjautuisi luonnollisen henkilön käsiteltäväksi. Kyse ei siis olisi tekoälystä, joka oppisi sille syötetyn laajan tietomassan pohjalta laatimaan ratkaisuja tai käyttäisi itsenäisesti harkintavaltaa.

Maahanmuuttoviraston virkamiehet laatisivat automaattisessa käsittelyssä käytettävät säännöt, joihin perustuvat algoritmit hyväksyttäisiin Maahanmuuttovirastossa erillisillä hallintopäätöksillä. Maahanmuuttoviraston tulisi toteuttaa tietosuojatyöryhmän (WP 251/2017, s. 34–35) ehdottamat asianmukaiset suojatoimet, kuten suorittaa järjestelmien säännöllisiä laadunvarmistustarkastuksia, joilla varmistetaan, että henkilöitä kohdellaan oikeudenmukaisesti eikä heitä syrjitä erityisten henkilötietoryhmien perusteella tai muutoin. Maahanmuuttoviraston tulisi tarkistaa ja testata algoritmit, jolla osoitettaisiin, että ne todella toimivat tarkoitetulla tavalla eivätkä tuota syrjiviä, virheellisiä tai perusteettomia tuloksia. Mahdollisen riippumattoman ”kolmannen osapuolen” tarkastuksen yhteydessä Maahanmuuttoviraston tulisi toimittaa tarkastajalle kaikki tarvittavat tiedot algoritmin toiminnasta. Käytettäessä kolmansien osapuolten algoritmeja Maahanmuuttoviraston tulisi hankkia sopimukseen perustuvat vakuudet siitä, että algoritmi on tarkastettu ja testattu ja sovittujen standardien mukainen. Maahanmuuttoviraston tulisi myös toteuttaa erityiset tietojen minimointia koskevat toimenpiteet, joilla otettaisiin käyttöön selvät säilytysajat profiileille ja niiden luomisessa tai soveltamisessa käytetyille henkilötiedoille.

Algoritmin julkisuus

Perustuslakivaliokunta on edellyttänyt ns. perustulokokeilua arvioidessaan, että otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta säädetään erikseen (PeVL 51/2016 vp, s. 5). Lentoliikenteen matkustajarekisteritietojen käyttöä sääntelevän lakiehdotuksen arvioinnin yhteydessä valiokunta katsoi, että perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä oli tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta viranomaisten toiminnan julkisuudesta annettuun lakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5). Arvioidessaan maahanmuuttohallinnon henkilötietolakiesitystä perustuslakivaliokunta lausui, että edellä mainittuihin seikkoihin on kiinnitettävä huomiota myös maahanmuuttohallinnon henkilötietolaissa (PeVL 62/2018 vp, s. 8).

Perustuslain 12 §:n 2 momentissa säädetään julkisuusperiaatteesta, jonka mukaan viranomaisen hallussa olevat asiakirjat ovat julkisia. Asiakirjajulkisuus on myös perustuslain 21 §:n 2 momentissa turvatun käsittelyn julkisuuden ja hyvän hallinnon edellytys. Julkisuuslaki ei sisällä nimenomaista sääntelyä päätöksentekoalgoritmin julkisuudesta, mutta lain 5 §:n mukainen viranomaisen asiakirjan käsite on laaja ja oikeuskäytännössä viranomaisen asiakirjoina on pidetty esimerkiksi näiden asiakirjojen lokitietoja (Kuopion HAO 11.11.2011 11/0424/2, KHO:2014:69 ja KHO 27.5.2015/1419). Näin ollen myös automaattisen päätöksentekomenettelyn algoritmia olisi lähtökohtaisesti pidettävä julkisena, ellei sen salassapitoon sovellu jokin julkisuuslain 24 §:n 1 momentin mukaisista salassapitoperusteista.

Maahanmuuttohallinnon toimivaltaa luova lainsäädäntö muodostaisi reunaehdot Maahanmuuttoviraston automaattisen päätöksentekomenettelyn algoritmille. Algoritmi sisältäisi sen logiikan, jolla esimerkiksi oleskeluluvan myöntämisen edellytykset raja-arvoineen on selvitetty, ja jolla on arvioitu luvan tyyppi, laji, alkupäivämäärä ja päättymispäivämäärä. Lopulliseen päätökseen johtava algoritmi olisi jo lähtökohtaisesti julkinen perustuslain 12 §:n 2 momentin julkisuusperiaatteen mukaisesti. Rekisterinpitäjän velvoite julkistaa automaattisessa päätöksentekomenettelyssä käytetyt käsittelyalgoritmit ymmärrettävällä tavalla seuraa suoraan tietosuoja-asetuksen 13 artiklan 2 kohdan f alakohdasta ja 14 artiklan 2 kohdan g alakohdasta. Hyvän hallinnon edellytykset, julkisuusperiaate ja perustuslakivaliokunnan edellä esitetty lausuntokäytäntö huomioiden pykälän 2 momentissa algoritmien julkisuuden toteuttamisesta säädettäisiin kuitenkin vielä erikseen velvoittamalla Maahanmuuttovirasto julkistamaan automaattisessa päätöksenteossa lopulliseen päätökseen johtanut algoritmi. Säännöksessä ei viitattaisi erikseen algoritmin taustalla olevaan lähdekoodiin. Julkaistavan algoritmin tulisi olla rekisteröidylle ymmärrettävässä muodossa. Tietosuojatyöryhmän mukaan tällainen yleisluonteinen velvollisuus täyttäisi myös tietosuoja-asetuksen 15 artiklan 1 kohdan h alakohdan edellytykset (WP 251/2017, s. 28–29). Maahanmuuttovirasto voisi täyttää tämän velvoitteensa esimerkiksi julkistamalla lopulliseen päätökseen johtavan algoritmin tai algoritmit verkkosivuillaan. Algoritmin osat, jotka ohjaisivat automaattisessa menettelyssä olevan asian luonnollisen henkilön käsittelyyn, eivät olisi julkisia. Tämä on välttämätöntä, koska Maahanmuuttoviraston toimintaedellytykset vaarantuisivat, jos yleisiin edellytyksiin, kuten nuhteettomuuteen, yleiseen järjestykseen ja turvallisuuteen tai maahantulosäännösten kiertämiseen liittyvät yksityiskohtaiset algoritmit olisivat julkisia. Myöskään tietosuoja-asetuksen säännökset eivät velvoita julkistamaan kaikkia käsittelyssä käytettyjä algoritmeja.

Tämän lisäksi tietosuoja-asetuksen johdanto-osan 71 kohdan mukaisen täydentävän suojakeinon tarjoaisi pykälän 2 momentin toisessa virkkeessä säädetty rekisteröidyn oikeus saada erillinen selvitys hänelle automaattisessa käsittelyssä tehdyn yksittäispäätöksen algoritmista. Siinä Maahanmuuttoviraston tulisi esittää rekisteröidylle ymmärrettävällä tavalla, mikä on hänen tapauksessaan lopulliseen päätökseen johtaneen algoritmin toimintatapa. Velvoite lopulliseen päätökseen johtaneiden algoritmien yksittäistapauksellisen merkityksen selvittämiseen ei korvaisi hallintolain 45 §:n mukaista päätöksen perusteluvelvollisuutta, vaan kyse olisi edellä kuvatulla tavalla tietosuoja-asetuksen 22 artiklan tulkintaohjeen mukaisesta suojakeinosta, joka täydentäisi kansallisten yleislakien mukaista suojaa.

Virkavastuu

Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin, ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Tätä säännöstä täydentävät perustuslain 118 §:n säännökset virkavastuusta. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Hän on myös vastuussa sellaisesta monijäsenisen toimielimen päätöksestä, jota hän on toimielimen jäsenenä kannattanut. Pykälän 2 momentin mukaan esittelijä on vastuussa siitä, mitä hänen esittelystään on päätetty, jollei hän ole jättänyt päätökseen eriävää mielipidettään. Pykälän 3 momentin ensimmäisen virkkeen mukaan jokaisella, joka on kärsinyt oikeudenloukkauksen tai vahinkoa virkamiehen tai muun julkista tehtävää hoitavan henkilön lainvastaisen toimenpiteen tai laiminlyönnin vuoksi, on oikeus vaatia tämän tuomitsemista rangaistukseen sekä vahingonkorvausta julkisyhteisöltä taikka virkamieheltä tai muulta julkista tehtävää hoitavalta sen mukaan kuin lailla säädetään. Näin ollen viranomainen vastaa mahdollisesta virheellisestä päätöksestään asianosaiselle ja rekisterinpitäjänä virheellisestä henkilötietojen käsittelystä rekisteröidylle rikos-, vahingonkorvaus- ja tietosuojalainsäädännön mukaisesti.

Perustuslakivaliokunta on todennut lausunnossaan PeVL 62/2018 vp, s. 8, että välillinen virkavastuu tehdystä päätöksestä ei täytä perustuslain 118 §:n mukaisia virkavastuun edellytyksiä. Automaattisessa päätöksentekomenettelyssä virkavastuu ei kohdennu suoraan automaattisessa menettelyssä tehtyyn päätökseen, joten vastuu täytyy sitoa tiettyyn virka-asemaan organisaatiossa. Maahanmuuttovirastosta annetun valtioneuvoston asetuksen (193/2002) 1 §:n mukaan Maahanmuuttoviraston toimintaa johtaa, valvoo ja kehittää ylijohtaja. Ylijohtaja vastaa toiminnan tuloksellisuudesta ja tavoitteiden saavuttamisesta sekä raportoi näistä sisäasiainministeriölle. Ylijohtajan vastuulle kuuluisi varmistua siitä, että Maahanmuuttovirastossa on käytössä selkeät toimintamallit menettelyn huolelliselle käyttöön ottamiselle sekä tehokkaalle seurannalle ja valvonnalle ja että näitä toimintamalleja tosiasiallisesti noudatetaan ja toteutetaan. Asetuksen 2 §:n mukaan ylijohtaja ratkaisee Maahanmuuttovirastolle kuuluvat asiat. Ylijohtaja voi ottaa yksittäistapauksessa ratkaistavakseen asian, joka muutoin olisi muun virkamiehen ratkaistava.

Tulee kuitenkin huomioida, että automaattiseen päätöksentekoon ohjautuvat asiat on ehdotettu rajattavaksi hallintolain 34 §:n 2 momentin 5 kohtaan, jolloin pääosa käsiteltävistä asioista olisi myönteisiä tai koskisi asian raukeamista. Tällöin asian ratkaisu tuskin vaarantaisi yksittäisen rekisteröidyn oikeusturvaa. Ei kuitenkaan voida sulkea pois, etteikö mahdollinen virheellinen menettely voisi puolestaan aiheuttaa rajattuja yhteiskunnallisia vaikutuksia virheellisen myönteisen ratkaisun muodossa. Kuten edellä on esitetty, automaattinen päätöksenteko edellyttää erinäisiä suojatoimia. Maahanmuuttoviraston olisi esimerkiksi tarkistettava automaattisessa päätöksenteossa käytettyjen käsittelyalgoritmien tekniset säännöt säännöllisesti ja noudatettava muutoinkin tietosuojatyöryhmän lausunnossaan WP 251/17 antamia suosituksia tarpeellisista suojatoimista.

Ottaen huomioon perustuslakivaliokunnan lausunto sekä asianmukaisen käsittelyn turvaaminen pykälän kolmannen momentin mukaan Maahanmuuttoviraston ylijohtaja vastaisi sekä automaattisen päätöksenteon menettelystä että automatisoidusta yksittäispäätöksestä.

22 §. Tietosuojarikos. Pykälässä viitattaisiin rikoslain 38 luvun 9 §:n tietosuojarikoksesta säädettyyn rangaistukseen. Rikoslain 38 luvun 9 §:n tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Tietosuojarikosta koskeva säännös on niin sanottu blankorikossäännös. Laillisuusperiaatteeseen liittyvistä syistä blankorangaistussääntelyyn on ollut syytä suhtautua torjuvasti (esim. PeVL 10/2016 vp, s. 8, PeVL 31/2002 vp, s. 3, PeVL 15/1996 vp, s. 2/II ja PeVL 20/1997 vp, s. 3/II). Perusoikeusuudistuksen yhteydessä valiokunta korosti, että blankosääntelyn osalta tavoitteena tulee olla, että niiden edellyttämät valtuutusketjut ovat täsmällisiä, rangaistavuuden edellytykset ilmaisevat aineelliset säännökset ovat kirjoitetut rikossäännöksiltä vaaditulla tarkkuudella ja nämä säännökset käsittävästä normistosta käy ilmi myös niiden rikkomisen rangaistavuus sekä kriminalisoinnin sisältävässä säännöksessä on jonkinlainen asiallinen luonnehdinta kriminalisoitavaksi tarkoitetusta teosta (PeVM 25/1994 vp). Tuoreemmassa käytännössään valiokunta on pitänyt blankorikossääntelyn täsmentämistä edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 10/2016 vp, s. 8—9). Myös tilanteessa, jossa säännöksessä luetellaan niitä tekotapoja, jotka voivat tulla rangaistaviksi, sääntelyä on perustuslakivaliokunnan käytännön mukaan ollut täsmennettävä viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla (PeVL 14/2018 vp, s. 21—22). Maahanmuuttohallinnon henkilötietolaki on sellainen henkilötietojen käsittelyä koskeva muu laki, jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa (PeVL 62/2018 vp). Tämän johdosta on välttämätöntä viitata rikoslain tietosuojarikosta koskevaan säännökseen.

Rikoslain 38 luvun 9 §:n mukaan rekisterinpitäjä tai henkilötietojen käsittelijä ei voi syyllistyä tietosuojarikokseen. Rekisterinpitäjä ja henkilötietojen käsittelijä ovat rikosoikeudellisen vastuun sijaan hallinnollisen seuraamusmaksun kohteena. Tietosuojalain 24 §:n 4 momentin mukaan seuraamusmaksua ei voida määrätä esimerkiksi valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille tai itsenäisille julkisoikeudellisille laitoksille. Rikoslain 40 luvun 5 §:ssä säädetään erikseen virkasalaisuuden rikkomisesta.

23 §. Voimaantulo. Pykälässä säädettäisiin lain voimaantulosta. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian. Lailla kumottaisiin 1 päivänä tammikuuta 1998 annettu laki (1270/1997) ulkomaalaisrekisteristä.

24 §. Siirtymäsäännös. Pykälässä säädettäisiin siirtymäsäännöksestä lain 16 §:n osalta, jotta sen mukaiset tekniset poistosäännökset ehditään toteuttaa ulkomaalaisasioiden asiankäsittelyjärjestelmään ja kansalliseen viisumitietojärjestelmään. Pykälän mukaan kyseiset tietojärjestelmät on saatettava maahanmuuttohallinnon henkilötietolain 16 §:n mukaisiksi vuoden kuluessa lain voimaantulosta. Siirtymäaikana sovelletaan maahanmuuttohallinnon henkilötietolain voimaan tullessa voimassa olleita henkilötietojen poistamista koskevia säännöksiä. Tällaisia ovat ulkomaalaisrekisterilain 9 §:n, vastaanottolain 54 §:n 1 momentin, säilölain 32 h §:n 1 momentin, kotoutumislain 62 §:n 1 momentin säännökset.

1.2 Laki kansainvälistä suojelua hakevan vastaanotosta sekä ihmiskaupan uhrin tunnistamisesta ja auttamisesta

6 luku. Rekisterit. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin tämän esityksen 1. lakiehdotuksessa, johon keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuttohallinnossa.

39 §. Edustajan määrääminen. Pykälään lisättäisiin uusi 4 momentti. Momentissa säädettäisiin, että edustajatoiminnan ohjaus, suunnittelu ja valvonta kuuluvat Maahanmuuttovirastolle ja että vastaanotto- tai järjestelykeskus, jonka asiakkaaksi lapsi on rekisteröity, vastaa edustajatoiminnan käytännön hallinnoinnista. Lisäys seuraa tarpeesta varmistaa viranomaisille riittävät toimivaltasäännökset myös jatkossa. Asiasta on säädetty vain voimassa olevan vastanottolain 46 §:n 2 momentissa rekisterinpitotarkoituksena. Kyseinen momentti esitetään kumottavaksi osana 6 lukua eikä rekisterisäännöksiä sisällytetä tämän esityksen 1. lakiehdotukseen, koska rekisteristä säätämisestä luovutaan osana käyttötarkoitussidonnaista sääntelytekniikkaa. Selkeyden vuoksi toimivaltasäännöksistä tulisikin säätää toimivaltaa luovassa lainsäädännössä. Muutoksella on käytännössä tarkoitus säilyttää voimassa oleva tosiasiallinen nykytila. Sanamuotoa muutettaisiin kuitenkin niin, että seuranta-sana korvattaisiin valvonta-sanalla. Tämä mahdollistaisi esimerkiksi kanteluiden tutkimisen.

58 §. Tiedonsaantioikeus. Pykälän 1 momenttiin tehtäisiin tiedonsaantioikeuksia koskevat tarpeelliset muutokset tämän esityksen 1. lakiehdotukseen sisältyvän sääntelyn johdosta. Maahanmuuttoviraston sekä vastaanotto- ja järjestelykeskuksen tiedonsaantioikeudesta säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 13 §:ssä osana esitettävässä 1. lakiehdotuksessa säädettävien rekisterinpitäjien tiedonsaantioikeuksia koskevaa systematiikkaa. Maahanmuuttoviraston oikeudesta käyttää 1 momentissa säädettyjä tietoja säädettäisiin jatkossa esitettävän 1. lakiehdotuksen 12 §:n 1 momentin 4 kohdassa. Vastaanotto- ja järjestelykeskusten oikeus käyttää momentissa säädettyjä tietoja olisi tietojen käsittelemistä niiden keräämistarkoitukseen. Pykälän 3 momenttia muutettaisiin lisäämällä Kansaneläkelaitos tietoja luovuttavaksi viranomaistahoksi, jotta ilman huoltajaa olevalle lapselle määrätyllä edustajalla olisi oikeus suoraan lainsäädännön nojalla saada salassa pidettäviä alaikäisen tulotietoja tehtävänsä hoitamiseksi.

1.3 Laki säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä

5 a luku. Rekisterit. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksessa, johon keskitettäisiin henkilötietojen käsittelyä koskeva sääntely maahanmuuttohallinnossa.

34 §. Salassapitovelvollisuus. Pykälän 1 momentti poistettaisiin tarpeettomana, koska momentissa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 13 §:ssä. Pykälän 2 momentin sanamuotoa muutettaisiin mutta muutos olisi tekninen. Pykälän otsikko muutettaisiin vastaamaan pykälän muuttunutta sisältöä.

1.4 Laki kotoutumisen edistämisestä

8 luku. Rekisterisäännökset. Luku kumottaisiin, koska luvussa säädetyistä asioista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksessa, johon sisällytettäisiin henkilötietojen käsittelyä kuntaan osoittamista koskevassa tarkoituksessa koskeva sääntely.

87 §. Tiedonsaantioikeus. Pykälän 3 momenttia muutettaisiin lisäämällä Kansaneläkelaitos tietoja luovuttavaksi viranomaistahoksi, jotta ilman huoltajaa olevalle lapselle määrätyllä edustajalla olisi oikeus suoraan lainsäädännön nojalla saada salassa pidettäviä alaikäisen tulotietoja tehtävänsä hoitamiseksi.

1.5 Kansalaisuuslaki

48 §. Tiedonsaantioikeus rekistereistä. Pykälä kumottaisiin, koska pykälässä säädetyistä tiedonsaantioikeuksista säädettäisiin jatkossa tämän esityksen 1. lakiehdotuksen 13 §:ssä.

1.6 Ulkomaalaislaki

59 §. Oleskeluluvan raukeaminen. Rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisen teknisen muutostarpeen säännökseen. Pykälän 2 momentissa ulkomaalaisrekisterin käsite korvattaisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän käsitteellä.

60 f §. Oleskelulupakortin voimassaolon päättyminen. Rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisen teknisen muutostarpeen säännökseen. Pykälän 2 momenttiin päivitettäisiin ulkomaalaisasioiden asiankäsittelyjärjestelmä ulkomaalaisrekisterin käsitteen tilalle.

131 §. Henkilötuntomerkkien ottaminen. Ulkomaalaisrekisterilain kumoamisen myötä sen 3 a ja 3 b §:n säännökset korvattaisiin tämän esityksen 1. lakiehdotukseen sisältyvillä 9 ja 10 §:llä. Pykälän 2 momentin viittaus ulkomaalaisrekisterilain 3 b §:ään korvattaisiin viittauksella 1. lakiehdotuksen 10 §:ään. Pykälän 3 momentin viittaukset ulkomaalaisrekisterilain 3 a ja 3 b §:ään korvattaisiin viittauksella 1. lakiehdotuksen 9 ja 10 §:ään. Pykälän 2 ja 3 momenttiin tehtäisiin lisäksi muutama kielellinen täsmennys muuttamalla sana tallettaa muotoon tallentaa.

171 §. Toimivaltaiset viranomaiset. Rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisen teknisen muutostarpeen säännökseen. Pykälän 1 momentissa ulkomaalaisrekisterin käsite korvattaisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän käsitteellä.

1.7 Laki Maahanmuuttovirastosta

1 §. Maahanmuuttovirasto. Pykälässä säädettäisiin, että sisäministeriön hallinnonalalla toimii Maahanmuuttovirasto. Muutos olisi nimenmuutoksen osalta tekninen, koska ministeriön nimi muuttui 1.1.2014. Myöskään muilta osin ei ole tarkoitus muuttaa nykytilaa, vaan kuvata maahanmuuttoviraston asemaa aiempaa selkeämmin.

2 §. Tehtävät. Pykälän 2 momentin sanamuotoa täsmennettäisiin. Pykälän 3 momentista kumottaisiin ensimmäinen virke, jonka mukaan Maahanmuuttovirasto pitää ulkomaalaisrekisteriä, vastaanoton asiakasrekisteriä ja edustajarekisteriä. Kumoamisen perusteena on esityksen 1. lakiehdotus, jossa säädettäisiin Maahanmuuttoviraston ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuusta. Rekistereistä ei säädettäisi erikseen. Pykälän 3 momentissa säädettäisiin, että Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuu ja että Maahanmuuttovirasto tuottaa toimialaansa koskevissa asioissa tietopalveluita sisäministeriölle ja muille viranomaisille sekä kansainvälisille järjestöille. Muutos ei käytännössä muuttaisi nykytilaa.

3 § Muutoksenhaku. Pykälässä säädettäisiin, että muutoksenhausta Maahanmuuttoviraston päätökseen säädetään erikseen. Pykälässä ei nykytilasta poiketen kuvattaisi lakeja, joissa muutoksenhausta säädetään. Tällä hetkellä muutoksenhausta säädetään ulkomaalaislaissa, kansalaisuuslaissa, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä, laissa kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella.

1.8 Laki viranomaisten toiminnan julkisuudesta

24 §. Salassa pidettävät viranomaisen asiakirjat. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että maahanmuuttoon kohdistuvat erityiset salassapitoperusteet koottaisiin julkisuuslakiin. Säännöksiä myös täsmennettäisiin sisällöllisesti.

Momentin 5 kohdan soveltamisalaa ehdotetaan laajennettavaksi koskemaan paitsi poliisin, Rajavartiolaitoksen, Tullin ja vankeinhoitoviranomaisen myös Maahanmuuttoviraston taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältäviä asiakirjoja. Salassa pidettäviä olisivat nykyiseen tapaan poliisin, Rajavartiolaitoksen, Tullin ja vankeinhoitoviranomaisen taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävät asiakirjat, jos tiedon antaminen niistä vaarantaisi rikosten ehkäisemistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden taikka rangaistuslaitoksen järjestyksen ylläpitämistä. Lisäksi säännöksessä mainitut asiakirjat olisivat salassa pidettäviä myös silloin, jos tiedon antaminen niistä vaarantaisi maahanmuuttoviraston ulkomaalaista koskevan selvityksen luotettavuutta. Vahinkoedellytyslauseke tarkoittaisi olettamaa asiakirjojen julkisuudesta. Ulkomaalaisella tarkoitetaan säännöksessä ulkomaalaislain 3 §:ää vastaavalla tavalla henkilöä, joka ei ole Suomen kansalainen.

Maahanmuuttovirastolla on ulkomaalaislakiin, kansalaisuuslakiin, ICT-lakiin, kausityölakiin sekä tutkija- ja opiskelijalakiin perustuva velvoite selvittää täyttääkö asianosainen laeissa säädetyt edellytykset esimerkiksi tietyn luvan, suojan tai muun etuisuuden tai oikeuden saamiseksi tai pitämiseksi. Säädösten mukaisina yleisinä edellytyksinä selvitettäviksi tulevat nuhteettomuus, vaara yleiselle järjestykselle ja turvallisuudelle sekä maahantulosäännösten kiertäminen. Osana lakisääteisiä tehtäviään Maahanmuuttoviraston tulee muun muassa selvittää asianosaisen henkilöllisyys, kansalaisuus ja kotimaa sekä mahdollisesti lapsen etuun liittyviä seikkoja tai avioliiton tai perhesuhteen aitoutta. Tämän lisäksi Maahanmuuttovirasto tekee tarkistuksia erilaisista viranomaisten rekistereistä ja asiakirjoista, joiden joukossa on myös eri perustein salassa pidettäviä tietoja. Selvittämällä annettujen tietojen todenperäisyyttä Maahanmuuttovirasto torjuu erilaisia väärinkäytöksiä, kuten ihmiskauppaa.

Säännöksellä pyrittäisiin estämään taktisten ja teknisten selvittämismenetelmien ja suunnitelmien poikkeuksettoman julkisuuden mahdollistamia väärinkäytöksiä, jotka myös vaarantaisivat Maahanmuuttovirastossa tehtävien selvitysten luotettavuuden ja samalla myös viraston toimintaedellytykset. Menetelmien tehokkuus ja vaikuttavuus edellyttää usein niiden salassapitoa. Taktisten ja teknisten selvittämismenetelmien yksityiskohtiin ulottuva poikkeukseton julkisuus mahdollistaisi esimerkiksi vääriin tietoihin perustuvat maahantulosäännösten kiertämiseen tähtäävät räätälöidyt hakemukset, joiden todenperäisyyden selvittäminen olisi menetelmiä kuvaavien asiakirjojen julkisuuden vuoksi hyvin vaikeaa. Laittoman maahanmuuton järjestäjät voisivat käyttää haltuunsa saamia tietoja arviointiperusteista tai selvittämiskeinoista sellaisten henkilöiden maahanpääsyn järjestämiseen, joilla ei todellisuudessa olisi säännösten edellyttämiä perusteita saada maahantulo- ja oleskeluoikeutta. Äärimmäisessä tapauksessa tämä voisi johtaa sellaisen henkilön maahan pääsyyn, joka aiheuttaa uhan yleiselle järjestykselle ja turvallisuudelle. Maahanmuuttovirastolla tulee lakisääteisten tehtäviensä toteuttamiseksi olla keinot tunnistaa väärät tiedot ja näiden keinojen tehokkuus voi edellyttää niiden salaamista.

Momentin 5 kohdan viranomaislistaan ehdotetaan tehtäväksi tekninen nimenmuutos, jossa tullilaitos korvattaisiin Tullilla.

Momentin 24 kohta ehdotetaan uudistettavaksi kokonaan. Nykyisin 24 kohdassa säädetään pakolaista tai turvapaikan, oleskeluluvan tai viisumin hakijaa koskevia tietoja sisältävien asiakirjojen salassapidosta. Mainitut asiakirjat ovat voimassa olevan lain mukaan salassa pidettäviä, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna pakolaisen tai hakijan tai näiden läheisten turvallisuutta. Kohdassa ehdotetaan jatkossakin säädettäväksi maahanmuuttohallinnon asiakkaisiin kohdistuvista erityisistä salassapitoperusteista.

Ehdotetun säännöksen mukaan salassa pidettäviä olisivat säännöksessä erikseen mainittujen viranomaisten asiakirjat, jotka koskevat ulkomaalaisten maahantuloa ja maastalähtöä tai maassa oleskelua koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa taikka Suomen kansalaisuuden saamista, säilyttämistä, menettämistä, kansalaisuudesta vapautumista tai kansalaisuusaseman määrittämistä. Maassa oleskelulla tarkoitetaan ulkomaalaislain, kausityölain, ICT-lain sekä tutkija- ja opiskelijalain säännöksiin perustuvaa maassa oleskelua.

Maahanmuuttohallinnossa asia tulee tyypillisesti vireille hakijan aloitteesta hallintolain 20 §:n mukaisesti, kun asian vireillepanoon tarvittavat asiakirjat ovat saapuneet toimivaltaiselle viranomaiselle. Maahanmuuttohallinnossa tällaisia ulkomaalaislain, kansalaisuuslain, ICT-lain, kausityölain tai tutkija- ja opiskelijalain mukaisia hakija-aloitteisia asioita ovat esimerkiksi turvapaikka- tai oleskelulupahakemus, EU-kansalaisen oleskeluoikeuden rekisteröintihakemus, hakemus Suomen kansalaisuuden saamiseksi tai siitä vapautumiseksi tai muukalaispassihakemus. Silloin kun viranomainen laittaa asian vireille, on kyse viranomaisaloitteisista asioista. Maahanmuuttohallinnossa tällaisia viranomaisen aloittamia edellä mainitun lainsäädännön mukaisia asioita ovat esimerkiksi maasta poistamista, käännyttämistä ja karkottamista koskevat asiat sekä erilaisten asemien, lupien ja asiakirjojen peruuttamisasiat, kuten kansalaisuuden menettäminen, oleskeluluvan peruuttaminen ja poisottaminen.

Maahan tuloon, maasta lähtöön, oleskelulupaan tai kansalaisuuteen liittyvässä asiassa asianosainen hakee jotain etuisuutta viranomaiselta tai pyrkii säilyttämään saamansa edun ja antaa tässä tarkoituksessa viranomaiselle hyvin laajasti yksityisyytensä piiriin kuuluvia tietoja, joiden hän ei oleta tulevan julkisiksi ja kaikkien ihmisten tietoon. Maahanmuuttohallinnossa kyse on tyypillisesti henkilön yksityiselämää ja henkilökohtaisia oloja koskevista tiedoista, jotka henkilö luovuttaa siinä tarkoituksessa, että saa hakemansa edun tai säilyttää sen. Asioiden ratkaisuun käytetään tarvittaessa myös muilta viranomaisilta saatuja tietoja, jotka koskevat usein henkilöiden yksityiselämää ja sisältävät suurelta osin arkaluonteisia tietoja. Asianosaisen luottamus tietojensa salassapitoon on edelleen välttämätöntä turvata erillisellä salassapitosäännöksellä. Maahanmuuttohallinnon viranomaisten toimintaedellytykset ja asianosaisten oikeusturva vaarantuisivat, jos asianosaiset eivät haluaisi tai uskaltaisi tuoda esiin kaikkia ratkaisun kannalta oleellisia seikkoja pelätessään niiden päätymistä yleiseen tietoon, ja siitä johtuvia itseensä tai läheisiinsä kohdistuvia haitallisia seuraamuksia. Tällöin viranomainen ei saisi asian ratkaisuun tarvittavia oikeita tietoja. Luottamuksellisuus korostuu erityisesti tapauksissa, jotka koskevat lapsen etua tai väärinkäytösten tai ihmiskaupan uhriksi joutunutta henkilöä. Asiakirjan yleisöjulkisuus tarkoittaisi sitä, että kenellä tahansa, myös vieraan valtion tiedusteluorganisaatioilla, saattaisi olla mahdollisuus saada kyseiset asiakirjat ja tiedot haltuunsa. Asian selvittämistä varten saatujen tietojen julkisuus voisi johtaa yksilön kannalta odottamattomiin haitallisiin seurauksiin, sillä esimerkiksi tieto henkilön Suomessa olosta ja sen perusteesta voi herättää kielteistä huomiota henkilön kotimaassa. Tämä voi aiheuttaa kielteisiä seurauksia paitsi kotimaahansa palaavalle ulkomaalaiselle myös hänen kotimaahan jääneille perheenjäsenilleen ja omaisuudelleen. Myös muiden maiden edustajat voivat olla kiinnostuneita ulkomaalaisen tiedoista. Tämän vuoksi 1. lakiehdotuksen 1 §:n 1 momentin 1 tai 2 kohdan mukaisissa käsittelytarkoituksissa käsiteltävien tietojen ja asiakirjojen julkisuuden rajoittamista voidaan jatkossakin pitää yksityiselämän ja henkilötietojen suojan näkökulmasta perusteltuna.

Maahanmuuttohallinnon toimivaltaa luova lainsäädäntö on muuttunut sitten 90-luvun lopun, jolloin ulkomaalaisrekisterilaki ja julkisuuslaki säädettiin. Mukaan on tullut uusia asiaryhmiä, kuten EU-kansalaisen rekisteröintiin liittyvät asiat. Myös laittomasti maassa oleskelevia koskevat asiat ovat esillä eri tavoin kuin pari vuosikymmentä sitten. Näissä uusissa asiaryhmissä on kuitenkin salassapitosääntelyyn liittyvien kysymysten osalta kyse vastaavasta tilanteesta kuin voimassa olevan julkisuuslain 24 kohdan maahantuloa koskevissa asioissa.

Maahanmuuttohallinnon asiakkaiden luottamuksen suojaamiseksi ja sitä kautta myös maahanmuuttohallinnon viranomaisten toimintaedellytysten turvaamiseksi maahanmuuttohallinnon henkilötietolain 1 §:n 1 momentin 1 tai 2 kohdan mukaisissa käsittelytarkoituksissa käsiteltäviä tietoja ja asiakirjoja koskeva salassapitosäännös olisi edelleen välttämätön asianosaisen tai tämän läheisen yksityisyyden ja henkilötietojen suojaamiseksi yleisöjulkisuuden aiheuttamalta vahingolta tai haitalta. Julkisuuden rajoitus ei olisi kuitenkaan ehdoton, vaan se olisi nykytilaa vastaavalla tavalla sidottu salassapito-olettamaan. Voimassa olevan 24 kohdan vahinkoedellytys on ollut sidottu henkilön tai hänen läheisensä turvallisuuden vaarantumiseen, kun taas ulkomaalaisrekisterilain nojalla salassapitoon on riittänyt tiedon paljastumisesta syntyvä vahinko tai haitta.

Kohdassa tarkoitettujen maahantuloa, maastalähtöä ja maassa oleskelua sekä kansalaisuusasioita koskevien asiakirjojen salassapito ehdotetaan porrastettavaksi kahdella eri sisältöisellä vahinkoedellytyslausekkeella. Viranomaiselle toimitettujen tietojen ja asiakirjojen salassapito määräytyisi sillä perusteella, aiheutuuko tällaisen tiedon antamisesta asianosaiselle tai tämän läheiselle vahinkoa tai haittaa. Jotta julkisuuden rajoitus ei vaikuttaisi heikentävästi mahdollisuuksiin valvoa julkisen vallan käyttöä, ehdotettu vahingon tai haitan aiheutumiseen sidottu vahinkoedellytyslauseke ei kuitenkaan koskisi hallintopäätöksiä. Hallintopäätösten julkisuuden rajoittamiseen sovellettaisiin jatkossakin voimassa olevan julkisuuslain 24 §:n 1 momentin 24 kohdan mukaista vahinkoedellytyslauseketta, jossa salassapidon perusteena on henkilön tai hänen läheisensä turvallisuuden vaarantuminen. Sen sijaan muut viranomaisen laatimat asiakirjat kuin päätökset kuuluisivat nykyisestä poiketen jatkossa matalamman salassapitokynnyksen piiriin. Muutoksen tarkoituksena on selkeyttää säännöksen tulkintaa.

Voimassa olevan ulkomaalaisrekisterilain 11 §:stä poiketen uuden 24 kohdan perusteella ei olisi välttämätöntä suojata Suomen kansainvälisiä suhteita ja kansainvälistä yhteistyötä, sillä näihin tilanteisiin voidaan soveltaa myös 24 §:n 1 momentin 2 kohtaa. Esimerkiksi Yhdistyneiden kansakuntien pakolaisjärjestön (UNHCR) kiintiöpakolaisia koskevissa yhteissopimuksissaan edellyttämällä ehdottomalla salassapidolla on vaikutusta erityisesti Maahanmuuttoviraston toimintaan. Pakolaisjärjestö on edellyttänyt kiintiöpakolaisia koskevissa yhteistyösopimuksissaan, ettei pakolaisjärjestön laatimia asiakirjoja, kuten vainokertomusta ja pakolaisjärjestön arviota pakolaisen vainokertomuksen uskottavuudesta ja uudelleensijoittamisen tarpeesta tai tietoja järjestön virkailijoiden henkilöllisyydestä, luovuteta sellaisenaan henkilölle, josta pakolaisjärjestö on tehnyt asiakirjassa arvionsa. Rajoituksen tarkoituksena on suojata pakolaisjärjestön virkailijoiden turvallisuutta ja järjestön toimintaedellytyksiä. Myös oikeuskäytännössä (KHO 2012:124) Suomen kansainvälisiä suhteita ja kansainvälistä yhteistyötä koskevien asiakirjojen salassapito on perustettu julkisuuslain 24 §:n 1 momentin 2 kohtaan.

Valtion turvallisuuden suojaaminen on ulkomaalaisrekisterilain 2 §:n mukainen ulkomaalaisrekisterin käyttötarkoitus. Julkisuuslain 24 §:n 1 momentin 24 kohdassa ei olisi kuitenkaan tarpeen viitata kansalliseen turvallisuuteen, sillä sitä koskevat jo muut julkisuuslaissa säädetyt salassapitoperusteet, kuten 9 kohta, jonka mukaan salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä, suojelupoliisin ja muiden viranomaisten asiakirjat, jotka koskevat valtion turvallisuuden ylläpitämistä, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna valtion turvallisuutta. Myös oikeuskäytännössä kansallista turvallisuutta koskevien asiakirjojen salassapito on perustettu julkisuuslain 24 §:n 1 momentin 9 kohtaan.

Myös turvallisuusselvityksen laatimista varten tarvittavien tietojen salassapitoa arvioidaan julkisuuslain muiden salassapitoperusteiden nojalla.

Ulkomaalaisrekisterilain 11 §:n salassapitosäännös on koskenut mainitun lain 2 §:n mukaisten tehtävien hoitamista varten saatuja tietoja ja asiakirjoja. Mainitussa 2 §:ssä säädetään rekisterinpidosta ja siitä mitä tarkoituksia varten ulkomaalaisrekisteriä pidetään ja käytetään. Ulkomaalaisrekisterissä rekisterinpitäjiä ja sitä käyttäviä viranomaisia ovat Maahanmuuttovirasto, ulkoministeriö, poliisi, rajavartiolaitos, Tulli, elinkeino-, liikenne- ja ympäristökeskukset, työ- ja elinkeinotoimistot, työsuojeluviranomaiset, vankeinhoitoviranomaiset ja yhdenvertaisuusvaltuutettu sekä korkein hallinto-oikeus ja alueelliset hallinto-oikeudet. Säännösehdotuksen mukaan se koskisi kuitenkin vain Maahanmuuttoviraston, poliisin, Rajavartiolaitoksen, ulkoasiainhallinnon sekä työntekijän ja yrittäjän oleskelulupahakemuksia käsittelevien valtion aluehallintoviranomaisten, eli elinkeino-, liikenne- ja ympäristökeskusten ja työ- ja elinkeinotoimistojen lainkohdissa mainituissa tilanteissa toimivaltaa luovan lainsäädäntönsä mukaisesti käsittelemiä asiakirjoja. TE-toimiston tai ELY-keskuksen asiakirjoihin ehdotettavaa 24 kohtaa sovellettaisiin silloin, kun ne käsittelevät 1. lakiehdotuksen 1 §:n 1 momentin 1 kohdan maahantulon tai maassa oleskelun tarkoituksessa ulkomaalaislain mukaisesti työntekijän tai yrittäjän oleskelulupaa koskevia asiakirjoja.

Koska ulkoasiainministeriö korvattaisiin 1. lakiehdotuksen 3 §:ssä ulkoasiainhallinnolla, ehdotettava salassapitosäännös koskisi paitsi ulkoministeriön, myös edustustojen ulkomaalaisen maahantuloa varten käsittelemiä tietoja ja asiakirjoja. Ulkomaalaisrekisterilaista poiketen säännöstä ei enää jatkossa sovellettaisi Tullin, työsuojeluviranomaisten, vankeinhoitoviranomaisten, yhdenvertaisuusvaltuutetun tai korkeimman hallinto-oikeuden ja alueellisten hallinto-oikeuksien asiakirjojen salassapitoon. Momentin 24 kohdassa mainittujen viranomaisten asiakirjat olisivat kuitenkin 24 kohdan nojalla salassa pidettäviä myös silloin, kun ne luovutetaan muulle julkisuuslain soveltamisalaan kuuluvalle viranomaiselle sen tehtävien hoitamista varten. Näin ollen käytännössä säännöstä soveltavien viranomaisten joukko olisi säännöksessä mainittua laajempi. Muilta osin aiempien ulkomaalaisrekisterilain 11 §:n soveltamisalaan kuuluneiden viranomaisten asiakirjoihin sovellettaisiin muita julkisuuslain 24 pykälän 1 momentin salassapitoperusteita, kuten uutta 31 c kohtaa.

Pykälän 1 momenttiin ehdotetaan myös lisättäväksi uusi 31 c kohta, jossa säädetty täydentäisi henkilön turvallisuuteen liittyviä muita salassapitoperusteita. Uusi säännös vastaisi tarkoitukseltaan pitkälti voimassa olevassa 24 kohdassa säädettyä, mutta sen soveltamisalaan kuuluva henkilöpiiri laajentuisi nykyisestä. Säännöstä sovellettaisiin ulkomaalaiseen, jolla myös tässä kohdassa tarkoitettaisiin henkilöä, joka ei ole Suomen kansalainen. Näin ollen säännöstä sovellettaisiin paitsi nykyistä 24 kohtaa vastaavalla tavalla pakolaiseen, turvapaikan, oleskeluluvan tai viisumin hakijaan, myös unionin kansalaisen oleskeluoikeuden rekisteröinnin tai unionin kansalaisen perheenjäsenen oleskelukortin hakijaan, kansalaisuuden hakijaan taikka maassa laittomasti oleskelevaan. Muutoksen tarkoituksena on ulottaa henkilön tai hänen läheisensä turvallisuutta suojaava salassapitoperuste kattavasti kaikkiin maassa oleskeleviin ulkomaalaisiin ja poistaa samalla voimassa olevan 24 kohdan tulkintaan liittyvä epäselvyys salassapitoperusteen soveltuvuudesta esimerkiksi kansainvälistä suojelua koskevan hakemuksen ratkaisemisen jälkeiseen aikaan. Säännöksen soveltamisen kannalta merkitystä ei myöskään olisi sillä, minkä vuoksi asia on viranomaisessa vireillä tai kuka on asian vireillepanija.

Säännös mahdollistaisi esimerkiksi kansainvälistä suojelua saavan henkilöllisyyden salaamisen hänen oman tai hänen läheisensä turvallisuuden vaarantumisen perusteella tilanteissa, joissa hänen henkilötietojaan käsitellään muissa viranomaisissa kuin maahanmuuttohallinnossa. Maassa oleskelevaan ulkomaalaiseen sovellettaisiin normaaliin tapaan myös muita salassapitoperusteita, joten esimerkiksi henkilön terveydentilaan, taloudelliseen asemaan tai yksityiselämään liittyvät tiedot kuuluisivat muiden salassapitoperusteiden nojalla ehdottoman salassapidon piiriin.

Säännöksen vahinkoedellytyslauseketta muutettaisiin nykyisestä. Voimassa olevan 24 kohdan vahinkoedellytyslauseke on salassapito-olettamainen, mutta ehdotetussa 31 c kohdassa olettamana olisi asiakirjojen julkisuus. Koska säännös koskisi kaikkia maassa oleskelevia ulkomaalaisia, salassapito-olettamaan perustuva vahinkoedellytyslauseke johtaisi säännöksen soveltamisalan kuuluvan henkilöpiirin laajentumisen myötä perusteettoman laajaan salassapitoon. Vahinkoedellytys vastaisi 31 kohdassa säädettyä henkilön yhteystietojen salaamisen kynnystä. Salassapito ei kuitenkaan edellyttäisi, että asianosainen pyytää tietojensa salassapitoa.

Maahanmuuttohallinnossa käsiteltävät maahan tuloon, maassa oleskeluun ja maastalähtöön liittyvien asioiden käsittelyyn, päätöksentekoon ja valvontaan taikka Suomen kansalaisuuden saamiseen, säilyttämiseen, menettämiseen, kansalaisuudesta vapautumiseen tai kansalaisuusaseman määrittämiseen liittyvät asiakirjat olisivat salassa pidettäviä muutettavaksi ehdotetun 24 kohdan perusteella, ja niihin sovellettaisiin myös muissa viranomaisissa 24 kohdan mukaista salassapito-olettamaista vahinkoedellytyslauseketta.

Vaikka salassapitoperuste edellyttää kansainvälistä suojelua hakevankin osalta perusteltua syytä epäillä asianosaisen tai hänen läheisensä turvallisuuden vaarantumista, niin asiakirjojen tai niissä olevien tietojen salaamisratkaisu on erillinen varsinaisesta kansainvälisen suojelun tarpeen arvioinnista.

1.9 Turvallisuusselvityslaki

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Pykälän 1 momentin 10 kohdan viittaus voimassaolevaan ulkomaalaisrekisteriin ja viisumirekisteriin korvattaisiin viittauksella tämän esityksen 1. lakiehdotuksen mukaisesti ulkomaalaisasioiden asiankäsittelyjärjestelmään tai kansalliseen viisumitietojärjestelmään. Henkilöturvallisuusselvitys voisi perustua sellaisiin rekisteritietoihin, joista säädetään tämän esityksen 1. lakiehdotuksen 7 §:n 1 momentissa, 2 momentin 1 tai 2 kohdassa tai 4 momentissa siltä osin kuin on kyse mainitun pykälän 1 momenttiin tai 2 momentin 1 tai 2 kohtaan liittyvistä perheenjäsenten, samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötiedoista taikka 8 §:ssä. Turvallisuusselvityslain 25 §:n 3 ja 4 momentin ulkomaansidonnaisuuksien selvittäminen myös osana perusmuotoista turvallisuusselvitystä edellyttää, että selvityksen kohteen rekisteritiedot myös sukulaisten kansalaisuuksien osalta tarkastetaan, jotta henkilön itsensä antamat tiedot voidaan luotettavasti tarkistaa viranomaisrekisteristä. Tältä osin kyse ei siten olisi varsinaisesti selvityksen ulottamisesta läheisiin. Asiallisesti kohta vastaisi voimassa olevaa lakia. Voimassa olevassa ulkomaalaisrekisterilain 6 tai 7 §:ssä ei kuitenkaan ole erikseen säädetty kaikista erityisiin henkilötietoryhmiin kuuluvista tiedoista, jotka ovat asian käsittelytietoina muodostaneet osan käytettävissä olevasta tietosisällöstä.

37 §. Yritysturvallisuusselvityksessä käytettävät tietolähteet. Pykälän 1 momentin 7 kohdan viittaus voimassaolevaan ulkomaalaisrekisteriin korvattaisiin viittauksella tämän esityksen 1. lakiehdotuksen 7 §:n 1 momenttiin tai 2 momentin 1 tai 2 kohtaan. Turvallisuusselvityslain 37 §:n 2 momentin mukaan yrityksen vastuuhenkilöitä koskevien henkilöturvallisuusselvitysten laadinnassa käytettävistä tietolähteistä noudatetaan 4 luvun säännöksiä henkilöturvallisuusselvityksestä. Yritysturvallisuusselvitystä laadittaessa voidaan 37 §:n 1 momentin 1 kohdan mukaan käyttää tietoja myös sen omistajista ja näiden kansalaisuudesta, jos tällainen tieto on saatavissa. Yritysselvityksen laatiminen saattaa edellyttää myös muihin henkilöihin liittyvien henkilötietojen käsittelyä. Asiallisesti kohta vastaisi voimassa olevaa lakia.

1.10 Laki Harmaan talouden selvitysyksiköstä

6 §. Velvoitteidenhoitoselvityksen käyttötarkoitus. Pykälän 1 momentin 25 kohtaan tehtäisiin tekninen tarkistus sen johdosta, että momenttiin ehdotetaan lisättäväksi uusi 26 kohta.

Ehdotetun 26 kohdan mukaan velvoitteidenhoitoselvitys laadittaisiin tukemaan ulkomaalaisen maahantuloa, maastalähtöä, oleskelua, työntekoa ja kansalaisuutta koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.

Turvatun toimeentulon selvittäminen on ulkomaalaislain mukaisen oleskeluluvan ja luotettavan toimeentulolähteen selvittäminen kansalaisuuslain mukaisen kansalaisuuden myöntämisen edellytys, jota viranomaisen on arvioitava päätösharkinnassaan. Ulkomaalaislain 39 §:n mukaan ulkomaalaisen toimeentulo katsotaan turvatuksi ensimmäistä oleskelulupaa myönnettäessä, jos hänen maassa oleskelunsa kustannetaan tavanomaiseksi katsottavilla ansiotyöstä, yrittäjätoiminnasta, eläkkeistä, varallisuudesta tai muista lähteistä saatavilla tuloilla siten, että hänen ei voida olettaa joutuvan toimeentulotuesta annetussa laissa (1412/1997) tarkoitetun toimeentulotuen tai vastaavan muun toimeentuloa turvaavan etuuden tarpeeseen. Pykälän 4 momentin mukaan hakijan on esitettävä viranomaiselle selvitys siitä, millä tavoin hänen toimeentulonsa Suomessa turvataan. Ulkomaalaislain 73 §:n 3 momentin ja 77 §:n 3 momentin mukaan työntekijän oleskelulupaharkinnassa on huomioitava, että ulkomaalaisen toimeentulon on oltava turvattu ansiotyöstä saatavalla tulolla oleskeluluvan voimassaolon ajan. Samoin ulkomaalaislain 76 §:n 2 momentin mukaan yrittäjän oleskelulupapäätöstä koskevassa harkinnassa on huomioitava, että ulkomaalaisen toimeentulon on oltava turvattu ansiotyöllä, yritystoiminnalla tai muulla tavalla oleskeluluvan voimassaolon ajan. Ulkomaalaislain 47 h §:n mukaisessa kasvuyrittäjän oleskelulupapäätöstä koskevassa harkinnassa tulee puolestaan arvioida lain 39 §:n mukaisen toimeentuloedellytyksen täyttyminen. Ulkomaalaislain 114 §:n 4 momentin ja 115 §:n 2 momentin mukaan oleskeluluvan myöntäminen kansainvälistä suojelua tai tilapäistä suojelua saaneen perheenjäsenelle tai muulle omaiselle edellyttää, että ulkomaalaisen toimeentulo on turvattu. Myös oleskelukortin myöntämisen ja unionin kansalaisen oleskeluoikeuden rekisteröinnin edellytysten arvioinnissa on huomioitava ulkomaalaislain 158 a §:n mukainen toimeentuloedellytys.

Kansalaisuuslain 13 §:ssä säädetään kansalaistamisen yleisistä edellytyksistä, joiden tulee täyttyä hakemusta ratkaistaessa, jotta ulkomaalaiselle myönnetään hakemuksesta Suomen kansalaisuus. Osana päätösharkintaa on välttämätöntä arvioida kansalaisuuslain 13 §:n 1 momentin 4 ja 5 kohdan mukaista edellytystä siitä, onko ulkomaalainen olennaisesti laiminlyönyt elatusvelvollisuuttaan tai julkisoikeudellisia maksuvelvoitteitaan ja pystyykö hän luotettavasti selvittämään, miten saa toimeentulonsa.

Ulkomaalaislain 72 §:n 3 kohdan mukaan työnantajan on työ- ja elinkeinotoimiston vaatimuksesta liitettävä työntekijän oleskelulupahakemukseen selvitys siitä, että työnantaja on huolehtinut ja vastaisuudessa kykenee huolehtimaan velvoitteistaan työnantajana. Lain 73 §:n 1 momentin 4 kohdan mukaan työntekijän oleskeluluvan myöntäminen perustuu harkintaan, jossa tulee varmistaa, että työnantajan hakemukseen liittämät selvitykset ja vakuutus ovat 72 §:ssä säädetyn mukaiset.

Ulkomaalaislain 76 §:n mukaisessa yrittäjän oleskelulupaharkinnassa tulee arvioida toimeentuloedellytyksen täyttymisen lisäksi yritystoiminnan kannattavuutta. Kannattavuusarvioinnissa arvioidaan lähtökohtaisesti se, kykeneekö yritys tekemään riittävästi voittoa. Yritystoimintaa ei ole katsottu kannattavaksi, jos yritys ei ole osoittanut pystyvänsä hoitamaan velvoitteitaan, kuten esimerkiksi lakeihin perustuvia veroja tai palkan sivukuluja. Velvoitteiden laiminlyönti voi olla myös osoitus siitä, ettei ulkomaalaisen toimeentulo ole turvattu yritystoiminnasta saatavilla tuloilla.

Asioiden käsittelyssä ja päätöksenteossa velvoitteidenhoitoselvitystä käytettäisiin arvioitaessa paitsi työnantajan kykyä selvitä velvoitteistaan ulkomaalaisen työnantajana myös ulkomaalaisen yrittäjän kykyä selvitä velvoitteistaan. Hakemus voidaan hylätä tai jatkolupa evätä, jos velvoitteidenhoitoselvityksestä ilmenevien tietojen perusteella olisi aihetta epäillä työnantajan kykyä tai halua maksaa ulkomaalaiselle hakemuksessa ilmoitetun suuruista palkkaa tai suoriutua muista työnantajavelvoitteistaan taikka ulkomaalaisen yrittäjän yritystoiminnan kannattavuutta tai kykyä hankkia toimeentulonsa yritystoiminnallaan.

Määräaikainen oleskelulupa voidaan ulkomaalaislain 58 §:n 5 momentin nojalla peruuttaa, jos niitä edellytyksiä, joiden perusteella oleskelulupa myönnettiin, ei enää ole olemassa. Määräaikainen tai pysyvä oleskelulupa voidaan ulkomaalaislain 58 §:n 4 momentin nojalla peruuttaa, jos oleskelulupaa haettaessa on tietoisesti annettu hakijan henkilöllisyyttä koskevia tai muita päätökseen vaikuttaneita vääriä tietoja taikka salattu sellainen seikka, joka olisi saattanut estää oleskeluluvan myöntämisen. Samoin oleskeluoikeuden rekisteröinti ja määräaikainen oleskelukortti peruutetaan ulkomaalaislain 165 §:n nojalla, jos edellytyksiä, joiden perusteella oleskeluoikeus on rekisteröity tai määräaikainen oleskelukortti on myönnetty, ei enää ole tai jos se on saatu antamalla tietoisesti hakijan henkilöllisyyttä koskevia taikka muita asiaan vaikuttavia vääriä tietoja tai salaamalla tällaisia tietoja taikka muutoin oikeuksien väärinkäytöllä. Ulkomaalaislain 212 §:n 1 momentissa Maahanmuuttovirastolle on asetettu velvoite valvoa ulkomaalaislain säännösten noudattamista. Ulkomaalaisen voimassaoleva lupa voidaan peruuttaa, jos velvoitteidenhoitoselvityksestä tai muilla keinoin saaduista valvonta- tai tarkastustiedoista käy ilmi, että työnantaja ei ole noudattanut ilmoittamiaan työsuhteen ehtoja tai on laiminlyönyt huolehtia laissa säädetyistä tai työehtosopimuksessa sovituista työnantajavelvoitteistaan tai ulkomaalaisen yritys ei enää täytä kannattavan toiminnan edellytyksiä. Velvoitteidenhoitoselvityksellä saatavia tietoja voitaisiin käyttää myös arvioitaessa tarvetta kohdistaa työsuojelu- tai ulkomaalaisvalvontaa ulkomaalaisia työllistäviin työnantajiin.

Hakemus kausityöhön oikeuttavasta luvasta voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijänä työskentelyä varten annetun lain 7 §:n mukaan hylätä tai 14 §:n mukaan peruuttaa muun muassa, jos työnantaja ei ole noudattanut lakiin tai työehtosopimukseen perustuvia sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin, työoloihin tai työehtoihin liittyviä velvoitteitaan tai jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Lain 8 §:n mukaan työnantajan on annettava vakuutus, että työsuhteen ehdot ovat voimassaolevien säännösten ja työehtosopimusten mukaisia.

Maahanmuuttovirasto voi lain 20 §:n perusteella päättää, että kausityöhön oikeuttavia lupia ei myönnetä sellaisen työnantajan palveluksessa työskentelemiseksi, joka vakavasti laiminlyö kausityölaissa tai ulkomaalaislaissa säädetyt velvoitteensa. Säännöksen soveltaminen edellyttää, että ulkomaalaislaissa säädettyjen velvoitteiden noudattaminen voidaan tarkastaa Maahanmuuttovirastossa, vaikka ulkomaalaisen työnantajavelvoitteiden noudattamista koskevan ulkomaalaislain 73 §:ssä tarkoitetun osapäätöksen olisi tehnyt TE-toimisto työnantajalta ulkomaalaislain 72 § 1 momentin 3 kohdan perusteella pyydetyn selvityksen perusteella.

Hakemus yrityksen sisäisen siirron yhteydessä myönnettävän ICT-oleskeluluvan myöntämisestä voidaan kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetun lain 8 §:n mukaisin perustein hylätä tai voimassaoleva lupa 9 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos työnantaja tai vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työoloihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä tai peruuttaa, jos yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa. Vastaavat säännökset sisältyvät lain 25 §:ssä säädettyihin liikkuvan ICT-oleskeluluvan hylkäämisperusteisiin.

Kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetun lain mukainen oleskelulupahakemus voidaan 11 §:n mukaisin perustein hylätä tai voimassaoleva lupa 12 §:n mukaisesti peruuttaa tai jättää uusimatta muun muassa, jos vastaanottava yksikkö ei ole täyttänyt sosiaaliturvaan, verotukseen, työntekijöiden oikeuksiin tai työehtoihin liittyviä oikeudellisia velvoitteitaan. Lisäksi lupa voidaan hylätä, peruuttaa tai jättää uusimatta, jos vastaanottavan yksikön yritys on haettu konkurssiin tai sillä ei ole mitään taloudellista toimintaa.

Ulkomaalaislain 146 §:n tai 168 b §:n mukaisen maasta poistamista tai karkottamista koskevan kokonaisharkinnan yhteydessä tulee arvioida paitsi henkilön taloudellinen tilanne myös mahdolliset yritystoimintaa tai työntekoa koskevat siteet Suomeen.

Velvoitteidenhoitoselvityspalvelun käyttöönottamiseksi selvitystietojärjestelmään ja ulkomaalaisasioiden asiankäsittelyjärjestelmään tulisi toteuttaa tarvittavat rajapinnat ja tekniset valmiudet. Tämän vuoksi laki ehdotetaan tulevaksi voimaan 1 päivänä kesäkuuta 2020.

1.11 Laki henkilötietojen käsittelystä Rikosseuraamuslaitoksessa

28 §. Oikeus saada tietoja muilta viranomaisilta ja tiedonantovelvollisilta. Rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisen teknisen muutostarpeen säännökseen. Pykälän 1 momentin 6 kohdan ulkomaalaisrekisterin käsite korvattaisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän käsitteellä.

1.12 Henkilökorttilaki

13 §. Henkilötietojen tarkastaminen ja vastaavuus. Ulkomaalaisrekisterilain kumoaminen ja rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisiä teknisiä muutostarpeita säännökseen. Pykälän 1 momenttiin päivitettäisiin viittaus ulkomaalaisrekisterilakiin viittaukseksi 1. lakiehdotukseen. Lisäksi ulkomaalaisrekisterin käsite korvattaisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän käsitteellä pykälän 1 ja 2 momentissa.

1.13 Laki lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa

7 §. Matkustajarekisteritietojen käsittely. Ulkomaalaisrekisterilain kumoaminen ja rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisiä teknisiä muutostarpeita säännökseen. Pykälän 3 momentin 6 kohdan viittaus ulkomaalaisrekisterilakiin päivitettäisiin viittaukseksi 1. lakiehdotuksen 1 §:n 1 momentin 1, 2 ja 6 kohdan mukaisessa tarkoituksessa tallennettuihin tietoihin, joiden voidaan katsoa vastaavan säännöksessä tarkoitettua ulkomaalaisrekisterilain 1 §:n soveltamisalaa.

1.14 Laki henkilötietojen käsittelystä puolustusvoimissa

37 §. Oikeus saada henkilötietoja sotilastiedustelutehtävien sekä rikosten ennalta estämis- ja paljastamistehtävien hoitamista varten. Ulkomaalaisrekisterilain kumoaminen ja rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisiä teknisiä muutostarpeita säännökseen. Pykälän 1 momentin 3 kohtaan päivitettäisiin viittaus ulkomaalaisrekisterilakiin viittaukseksi 1. lakiehdotukseen. Lisäksi samaisessa 3 kohdassa ulkomaalaisrekisterin käsite korvattaisiin kansallisen viisumitietojärjestelmän käsitteellä. Pykälän 1 momentin 12 kohdassa korvattaisiin viittaus Maahanmuuttoviraston tietojärjestelmiin viittauksella ulkomaalaisasioiden asiankäsittelyjärjestelmään. Kohdassa ei enää toistettaisi viittausta kansalliseen viisumitietojärjestelmään, koska sen sisältämät tiedot on jo huomioitu pykälän 1 momentin 3 kohdassa.

1.15 Verotusmenettelylaki

18 §. Viranomaisen yleinen tiedonantovelvollisuus. Ulkomaalaisrekisterilain kumoaminen aiheuttaa vähäisen teknisen muutostarpeen säännökseen. Pykälän 7 momentin viittaus ulkomaalaisrekisterilakiin korvattaisiin viittauksella 1. lakiehdotukseen.

1.16 Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista

10 §. Ulkomaan kansalaista koskevien tietojen luotettavuuden varmistaminen. Ulkomaalaisrekisterilain kumoaminen ja rekisterilähtöisestä sääntelytavasta irtautuminen aiheuttaa vähäisiä teknisiä muutostarpeita säännökseen. Pykälän 1 momentin viittaus ulkomaalaisrekisterilakiin päivitettäisiin viittaukseksi 1. lakiehdotukseen. Lisäksi ulkomaalaisrekisterin käsite korvattaisiin ulkomaalaisasioiden asiankäsittelyjärjestelmän käsitteellä pykälän 1 ja 2 momentissa.

1.17 Laki valtakunnallisista opinto- ja tutkintorekistereistä

21 §. Tietojen luovuttaminen opiskelijavalintarekisteristä. Ehdotettava ulkomaalaisrekisterilain kumoaminen ja vuoden 2017 alusta voimaan tulleet ulkomaalaislain (501/2016) ja kansalaisuuslain (502/2016) muutokset, joilla tietyt maahanmuuttohallinnon tehtävät siirrettiin poliisilta Maahanmuuttovirastolle, aiheuttaa teknisen muutostarpeen säännökseen. Ulkomaalaislakiin ja kansalaisuuslakiin tehdyillä muutoksilla Maahanmuuttovirastosta tuli käytännössä yksinomainen ulkomaalaisasioiden lupaviranomainen niin ulkomaalaisen oleskeluoikeutta koskevissa asioissa ja ulkomaalaisille Suomessa myönnettävissä matkustusasiakirja-asioissa kuin kansalaisuusasioissa. Pykälän 1 momentin 6 kohdan viittaus ulkomaalaisrekisterilain 3 §:n mukaisiin rekisterinpitäjiin päivitettäisiin viittaukseksi Maahanmuuttovirastoon, sillä vuoden 2017 alusta voimaan tulleiden muutosten myötä Maahanmuuttovirasto on ainoa 1. lakiehdotuksen 3 §:n mukainen maahanmuuttohallinnon viranomainen, jolla on edellytykset saada opiskelijavalintarekisterin mukaisia tietoja ulkomaalaislain tai kansalaisuuslain mukaisten tehtäviensä hoitamista varten.

2 Voimaantulo

Lait ehdotetaan tulemaan voimaan mahdollisimman pian. Laki Harmaan talouden selvitysyksiköstä annetun lain muuttamisesta ehdotetaan tulemaan voimaan 1 päivänä kesäkuuta 2020. Tietosuoja-asetusta sovelletaan 25 päivästä toukokuuta 2018.

3 Suhde perustuslakiin ja säätämisjärjestys

Hallituksen esitys on valtiosääntöoikeudellisesti merkityksellinen erityisesti perustuslain 10 §:ssä turvatun henkilötietojen suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa lisäksi se, että henkilötietojen suoja osittain sisältyy samassa säännöksessä turvatun yksityiselämän suojan piiriin (esim. PeVL 71/2014 vp, s. 2). Perustuslakivaliokunta on vakiintuneesti katsonut, että lainsäätäjän on turvattava henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (esim. PeVL 18/2012 vp, s. 2 ja PeVL 71/2012, s. 2). Perustuslakivaliokunta on myös vakiintuneesti katsonut, että erityisesti rekisteröinnin tavoitteista, rekisteröitävien henkilötietojen sisällöstä, henkilötietojen sallituista käyttötarkoituksista, henkilötietojen luovutettavuudesta ja erityisesti teknisellä käyttöyhteydellä luovuttamisesta, henkilötietojen säilytysajoista sekä rekisteröidyn oikeusturvasta tulee säätää lain tasolla kattavasti ja yksityiskohtaisesti (esim. PeVL 12/2002 vp, s. 5, 19/2012 vp, s. 2 ja PeVL 71/2014 vp, s. 2). Nämä näkökohdat soveltuvat henkilötietojen käytön sääntelyyn laajemminkin (ks. esim. PeVL 29/2016 vp, PeVL 13/2016 vp, s. 3—4, PeVL 14/2009 vp, s. 2, PeVL 11/2008 vp, s. 3/I ja PeVL 51/2002 vp, s. 1—2).

Perustuslakivaliokunta on hiljattain tarkistanut käytäntöään henkilötietojen suojaa koskevasta sääntelystä. Perustuslakivaliokunta on uudemmassa käytännössään pitänyt lähtökohtaisesti riittävänä perustuslain 10 §:n 1 momentin kannalta, että sääntely täyttää tietosuoja-asetuksessa asetetut vaatimukset (ks. PeVL 14/ 2018 vp, s. 3—5, PeVL 15/2018 vp, PeVL 2/2018 vp). Perustuslakivaliokunta on todennut, että henkilötietojen suojan toteuttaminen tulisi jatkossa ensisijaisesti taata tietosuoja-asetuksen ja säädettävän kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp, s. 5). Perustuslakivaliokunnan mukaan lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa (PeVL 14/ 2018 vp, s. 3—5).

Perustuslakivaliokunta on kuitenkin todennut, että on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Perustuslakivaliokunnan mukaan tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. Valiokunnan mukaan arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös tietosuoja-asetuksen johdanto-osan 51 kappaleessa painotetaan, että asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5). Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 5—6).

Ehdotettavan henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain (1. lakiehdotus) tavoitteena on varmistaa, että perustuslain 10 §:n 1 momentin mukainen vaatimus säätää henkilötietojen suojasta lailla täyttyy asianmukaisesti maahanmuuttohallinnossa. Maahanmuuttohallinnossa käsiteltävien henkilötietojen arkaluonteinen luonne huomioiden, ehdotettava henkilötietolaki on käsittelyn aiheuttamien riskien ja uhkien perusteella välttämätön. Ehdotetussa henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa yksityiskohtaista sääntelyä purettaisiin silloin, kun kattava ja yksityiskohtainen sääntely ei ole enää yksityisyyden suojan kannalta välttämätöntä. Samalla yksityiskohtaisempaa sääntelyä kohdennettaisiin riskiperusteisesti sitä edellyttäviin sääntelykohteisiin. Koska maahanmuuttohallinnon alalla suuri osa käsiteltävistä henkilötiedoista on luonteeltaan arkaluonteista, on niiden osalta edelleen noudatettava perustuslakivaliokunnan aiempaa sääntelyn laintasoisuutta koskevaa käytäntöä.

Esityksen 1. lakiehdotuksen 1 §:ssä säädettäisiin niistä tarkoituksista, joissa henkilötietoja voi käsitellä. Henkilötietojen käsittely perustuisi kullekin rekisterinpitäjälle toimivaltaa luovaan lainsäädäntöön, jossa kustakin käsittelytarkoituksesta on säädetty tyhjentävästi. Selkeän ja ymmärrettävän lainsäädännön edellytys tukee valintaa olla toistamatta lainsäädännössä toisaalla jo erikseen säädettyä. Henkilötietojen käsittelyn tarkoitus olisi mahdollistaa toimivaltaa luovassa laissa rekisterinpitäjälle säädettyjen lakisääteisten tehtävien toteuttaminen. Lakiehdotuksessa henkilötietojen käsittelytarkoitukset muodostaisivat ehdotettavan lain soveltamisalan.

Esityksen 1. lakiehdotuksen 3 §:ssä säädettäisiin yhteisrekisterinpitäjistä. Perustuslakivaliokunta on korostanut yhteisrekisterinpitäjyyttä koskevan sääntelyn suhdetta tiedonluovutusta koskevaan sääntelyyn, viranomaisten tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaan sääntelyyn liittyvään vakiintuneeseen käytäntöön (PeVL 62/2018 vp s. 4—6). Maahanmuuttohallinnossa toimivista poikkeuksellisen lukuisista viranomaisista sekä henkilötietojen käsittelysäännösten keskittämisestä seuraavaan yhteisrekisterinpitäjyyteen ei liity kansallista liikkumavaraa. Tämä tietosuoja-asetuksen edellyttämä lähtökohta on kuitenkin sovitettavissa yhteen kansallisen viranomaisten erillisyysperiaatteen kanssa. Julkisuuslain viranomaisten erillisyysperiaate huomioiden on välttämätöntä säätää lain tasolla tiedon liikkumisesta rekisterinpitäjien välillä silloinkin kun on kyse toisen rekisterinpitäjän keräämien tietojen käyttämisestä alkuperäiseen käsittelytarkoitukseen toisen rekisterinpitäjän toimesta. Ehdotettavan lain 8 §:n rajoitusedellytykset tulevat aina sovellettavaksi, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia henkilötietoja.

Esityksen 1. lakiehdotuksen 7 §:ssä säädettäisiin käsiteltävien henkilötietojen tietosisällöstä. Tietosisällöt perustuisivat viranomaiselle toimivaltaa luovaan lainsäädäntöön. Tietosisällöistä ei pääosin säädettäisi yksittäisten henkilötietojen tasolla, vaan laissa säädettäisiin ylätason tietoluokista, joihin kuuluvia henkilötietoja saisi käsitellä. Aiempaa yleisluonteisempi sääntelytapa olisi perusteltu huomioiden perustuslakivaliokunnan kanta kansallisen erityislainsäädännön varaamisesta henkilötietojen suojan toteuttamiseksi vain välttämättömään. Uutena henkilötietoryhmänä säädettäisiin niin sanottujen huomiotietojen käsittelystä. Myös huomiotietojen tulisi täyttää henkilötietojen käsittelyä koskevat tietosuoja-asetuksen 5 artiklan mukaiset periaatteet eli niiden tulisi aina olla asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Koska huomiotiedoissa on kysymys potentiaalisesti hyvin laajasta ihmisten yksityiselämään puuttuvasta tietojoukosta, jotka ovat luonteeltaan epävarmoja ja joiden käsittelyyn sisältyy leimautumisen riski, tietojen käsittelyn rajaaminen perustuslakivaliokunnan edellyttämällä tavalla (PeVL 18/2012 vp s. 4 ja PeVL 71/2014 vp, s. 2) on välttämätöntä. Huomiotietoihin olisi liitettävä tieto tietojen antajasta tai tietolähteestä sekä arvio tämän luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Huomiotietojen poistamisesta säädettäisiin erikseen. Luonteensa vuoksi huomiotietojen käsittelyn edellytyksiä tulisi tulkita suppeasti edellä mainituissa rajoissa.

Esityksen 1. lakiehdotuksen 8 §:ssä säädettäisiin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Selkeän ja ymmärrettävän lainsäädännön luomiseksi käytettäisiin ilmaisua "erityiset henkilötietoryhmät" kattamaan eri perustein erityisen riskialttiiksi arvioitavat henkilötiedot. Perustuslakivaliokunnan riskiperusteisuuden takia edellyttämä laintasoinen sääntely on välttämätöntä erityisiin henkilötietoryhmiin kuuluvien henkilötietojen suojaamiseksi. Koska näiden tietojen käsittely voi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille, niitä on suojattava erityisen tarkasti. Tämän takia niiden käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään ja tiettyihin ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen tietosisällöstä, käsittelystä, käyttämisestä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä luovuttamisesta ja poistamisesta säädettäisiin erikseen rajaamalla käsittely-, luovutus- ja poistamisedellytyksiä tarkemmin kuin muiden henkilötietojen osalta. Tämän lisäksi sormenjälkien käsittelemisestä säädettäisiin voimassaolevaa ulkomaalaisrekisterilakia vastaavasti erikseen ehdotetun maahanmuuttohallinnon henkilötietolain 9 ja 10 §:ssä. Henkilötietojen käsittelemistä muuhun kuin alkuperäiseen käsittelytarkoitukseen sekä henkilötietojen luovuttamista koskevat yleiset säännökset eivät koskisi sormenjälkitietoja. Sormenjälkiä koskeva sääntely vastaisi tältä osin asiallisesti nykytilaa. Erikseen säädettäisiin henkilötietojen, mukaan lukien sormenjälkitietojen, luovuttamisesta Euroopan unionin yhteisiin tietojärjestelmiin.

Henkilötietojen käsittelyä koskevaan kansalliseen erityislainsäädäntöön on perinteisesti sisältynyt sekä henkilötietojen luovuttamista että tiedonsaantia koskevaa sääntelyä. Vaikka sääntelytekniikkaa ei ole pidetty valtiosääntöoikeudellisesti ongelmallisena, säätämistapa on lain soveltajan kannalta ongelmallinen. Kaksinkertaisen sääntelyn välttämiseksi on tarkoituksenmukaista säätää samasta asiasta vain toisen viranomaisen lainsäädännössä. Esityksessä on omaksuttu lähtökohta, jonka mukaan tiedonsaantioikeudesta säädettäisiin tiedonsaajan päässä, koska on kyse tämän oikeudesta saada henkilötietoja. Maahanmuuttoviraston, vastaanotto- ja järjestelykeskuksen, säilöönottoyksikön sekä elinkeino-, liikenne- ja ympäristökeskuksen, työ- ja elinkeinotoimiston ja ulkoasiainhallinnon oikeudesta saada tietoja säädettäisiin esityksen 1. lakiehdotuksen 13 §:ssä. Rekisterinpitäjien tiedonsaantioikeudet perustuisivat laissa säädettyjen tehtävien toteuttamiseen. Tiedonsaantioikeuden perusteesta säädettäisiin siten laissa.

Perustuslakivaliokunnan vakiintuneen kannan mukaan tilanteissa, joissa tietosisältöjä ei ole luetteloitu tyhjentävästi, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta. Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 15/2018 vp, s. 41, PeVL, 17/2016 vp, s. 5—6, PeVL 71/2014 vp, s. 3, PeVL 62/2010 vp, s. 4/I ja PeVL 59/2010 vp, s. 4/I). Esityksessä yksilöitäisiin ne rekisterinpitäjät, joiden tiedonsaantioikeudesta olisi kyse. Tiedonsaantioikeussäännökset olisi sidottu osittain välttämättömyysvaatimukseen ja osittain tarpeellisuusvaatimukseen ja näiden sääntely poikkeaisi yksityiskohtaisuuden ja tarkkarajaisuuden osalta toisistaan perustuslakivaliokunnan edellyttämällä tavalla. Silloin kun tiedonsaantioikeus olisi sidottu välttämättömyyteen, sitä täsmennettäisiin sitomalla se ehdotettavan maahanmuuttohallinnon henkilötietolain 1 §:n mukaisiin käsittelytarkoituksiin. Tällöin lakiehdotuksessa ei täsmennettäisi tietosisältöä. Siltä osin kuin tiedonsaantioikeus olisi sidottu tarpeellisuusvaatimukseen, käsittelytarkoitusten lisäksi täsmennettäisiin tietosisältö. Tämän lisäksi säädettäisiin niistä viranomais- ja muista tahoista, joilta tietoja voi saada.

Tämän lisäksi perustuslakivaliokunnan tiedonluovutusta koskeva kanta edellyttää tiedonluovutuksesta säätämistä yhteisrekisterinpitäjien välillä. Esityksen 1. lakiehdotuksen 11 §:ssä säädettäisiin henkilötietojen käsittelystä alkuperäisessä käsittelytarkoituksessa rekisterinpitäjien toimesta lain soveltamisalalla. Lain 1 ja 3 §:ssä säädetään henkilötietojen käsittelytarkoituksista ja niistä viranomaisista, jotka toimivat rekisterinpitäjinä toimivaltaa luovassa lainsäädännössä säädettyjä tehtäviään toteuttaessaan. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Perustuslakivaliokunta on esittänyt huolensa siitä, jos tiedot ovat siirrettävissä yhteisrekisterinpitäjiksi määriteltyjen viranomaisten välillä salassapitosäännösten estämättä, mikäli talletettuja arkaluonteisia ja salassa pidettäviä tietoja käsitellään myöhemmin samassa tarkoituksessa toisen yhteisrekisterinpitäjäksi määritellyn viranomaisen toimesta. Perustuslakivaliokunta muistutti lausunnossaan, että maahanmuuttohallintoon yleislakina sovellettavan viranomaisten toiminnan julkisuudesta annetun lain sääntely salassapidosta ja tietojen luovutukseen salassapidon estämättä perustuu viranomaisten erillisyyden periaatteelle. Viranomaiset ovat lakia sovellettaessa toisiinsa nähden itsenäisiä (PeVL 62/2018 vp).

Korkein hallinto-oikeus on ratkaisuissaan (KHO 2013:120–121) kuvannut maahanmuuttohallinnon eri viranomaisten välisen tiedon liikkumisen tosiasiallista nykytilaa. Sen mukaan maahanmuuttoviraston ylläpitämän ulkomaalaisrekisterin pääasiallisena tarkoituksena on sujuvan päätöksenteon varmistamiseksi yhdistää useita eri viranomaistoimijoita, jotka tekevät joko päätöksiä ulkomaalaisasioissa tai toimittavat selvitystä toiselle viranomaiselle tällaisten päätösten tekemiseksi. Usean viranomaisen käytettävissä olevan rekisterin avulla tiedot saadaan nopeammin ja tietoturvallisesti varmemmalla tavalla kuin selvityspyyntökirjelmin ja niihin annetuin vastauksin. Viranomaisilta saatavat tiedot koskevat usein henkilöiden yksityiselämää ja sisältävät suurelta osin arkaluonteisia tietoja. Tämän johdosta maahanmuuttohallinnon viranomaisten on välttämätöntä käsitellä tietoja ulkomaalaisasioiden asiankäsittelyjärjestelmässä toimivaltaa luovan lainsäädäntönsä mukaisesti vaikka sääntelyssä luovuttaisiin ulkomaalaisrekisterilain kasuistisista tiedon luovutusta ja saamista koskevista säännöksistä. Sääntelytapa poikkeaa jonkin verran perustuslakivaliokunnan tiedonluovutusta koskevasta lausuntokäytännöstä siten, että säädöksessä määritellään yleisemmin tietosisältö ja tiedon liikkuminen lain 3 §:n mukaisten rekisterinpitäjien välillä, mutta kuitenkin niin, että kullekin viranomaiselle toimivaltaa luova lainsäädäntö rajaa aina käsiteltävien tietojen tietosisällön.

Ehdotettavan 11 §:n tarkoituksena on järjestää salassa pidettävien tietojen luovuttaminen 3 §:n mukaiselta rekisterinpitäjältä toiselle silloin, kun ne käsittelevät henkilön tietoja lain 1 §:n mukaisissa käsittelytarkoituksissa toimivaltaa luovan lainsäädäntönsä mukaisesti. Maahanmuuttoviranomaisten toimintaedellytysten turvaamiseksi perustuslakivaliokunnan lausuntokäytäntö ja julkisuuslain viranomaisten erillisyysperiaate huomioiden on välttämätöntä säätää lain tasolla tiedon liikkumisesta rekisterinpitäjien välillä silloinkin kun on kyse toisen rekisterinpitäjän keräämien tietojen käyttämisestä alkuperäiseen käsittelytarkoitukseen toisen rekisterinpitäjän toimesta.

Esityksen 1. lakiehdotuksen 12 §:ssä säädettäisiin henkilötietojen käsittelystä muussa kuin alkuperäisessä käsittelytarkoituksessa. Perustuslakivaliokunnan mukaan tietojen käyttämiseen varsinaisen keräämis- ja tallettamistarkoituksen ulkopuolelle jääviin tarkoituksiin on laajojen biometrisiä tunnisteita sisältävien rekisterien yhteydessä syytä suhtautua kielteisesti. Käyttötarkoitussidonnaisuudesta voidaan tällöin tehdä vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Sääntely ei saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 14/2009 vp s. 4, PeVL 14/2017 vp, PeVL 1/2018 vp).

Esityksen 1. lakiehdotuksen 14 §:ssä säädettäisiin tietojen luovuttamisesta. Tiedon luovuttamista koskeva säännös viittaisi tiedonsaajan lainsäädännössä säädettyyn tiedonsaantioikeuteen. Tiedonluovutuksesta olisi kuitenkin edelleen tarpeen säätää ottaen huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen ja sormenjälkien luovuttamisesta säädettäisiin rajoittavasti erikseen. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi. Sormenjälkiä koskeva sääntely keskitettäisiin 1. lakiesityksen 9 ja 10:§:ään.

Lisäksi esityksen 1. lakiehdotuksen 15 §:ssä säädettäisiin Maahanmuuttoviraston oikeudesta luovuttaa salassapitosäännösten estämättä henkilötietoja Euroopan unionin yhteisiin tietojärjestelmiin. Osa tämän säännöksen nojalla luovutettavista tiedoista olisi arkaluonteisiin henkilötietoihin rinnastuvia biometrisiä tietoja, kuten sormenjälkiä, joten niiden asianmukaiseksi suojaamiseksi niiden luovuttamisesta tulee säätää, jotta henkilön yksityisyyttä voidaan suojata. Tämän lisäksi säätämällä tiedonluovutuksesta otettaisiin huomioon ne edellytykset, jotka salassapidon murtavalle sääntelylle on julkisuuslain 29 §:ssä asetettu.

Ehdotettavassa maahanmuuttohallinnon henkilötietolaissa ei enää säädettäisi tietojen luovuttamisesta teknisen käyttöyhteyden avulla, eikä luovutettavien tietojen teknisestä suojaamisesta. Perustuslakivaliokunta on aiemmin edellyttänyt teknisestä käyttöyhteydestä säätämistä osana rekisterisääntelyä (PeVL 12/2002 vp, s. 5), mutta viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta ei ole enää nostanut sitä esiin henkilötietojen suojaa koskevana tärkeänä sääntelykohteena (PeVL 14/2018 vp, PeVL 2/2018 vp ja PeVL 31/2017 vp). Tiedonhallintalaissa säännellään yleislain tasolla tiedon luovuttamisesta teknisen rajapinnan avulla tai katseluoikeuden antamisesta järjestelmään.

Henkilötietojen poistamisesta säädettäisiin esityksen 1. lakiehdotuksen 16 ja 17 §:ssä. Perustuslakivaliokunnan vakiintuneen lausuntokäytännön mukaan perustuslain 10 §:ssä säädetyn henkilötietojen suojaa koskevan lakiviittauksen johdosta lailla säätämisen tärkeisiin sääntelykohteisiin kuuluu tietojen säilytysaika henkilörekisterissä. Lisäksi perustuslakivaliokunta on edellyttänyt sääntelyn kattavuutta ja yksityiskohtaisuutta lain tasolla. Tästä syystä säilytysaikaa koskevissa säännöksissä on oltava aikamääre (PeVL 20/2006 vp, s. 3). Henkilötietojen poistamista koskevat määräajat perustuisivat viranomaisen tarpeeseen käsitellä henkilöön ja tämän asiaan liittyviä tietoja vielä yksittäisen asian käsittelyn päättymisen jälkeen esimerkiksi kyseisen hakijan muun asian vireille tulon yhteydessä. Tällä tavoiteltaisiin niin hakijan oikeusturvan toteutumista, yksityisyyden suojaamista kuin maahantulosäännösten noudattamisen valvontaa. Henkilötietojen poistamista koskevat määräajat jakautuisivat niin, että henkilön tiettyjen perustietojen säilytysaika olisi muita pidempi. Erityisiin henkilötietoryhmiin kuuluvien tietojen, huomiotietojen sekä virheelliseksi todettujen tietojen poistamisesta säädettäisiin riskiperustaisen lähestymistavan johdosta erikseen.

Tietosuoja-asetuksen 22 artiklan mukaisista automatisoiduista yksittäispäätöksistä säädettäisiin 1. lakiehdotuksen 21 §:ssä. Ehdotettavalla säännöksellä olisi yhteys useisiin perustuslain säännöksiin, kuten hallinnon lainalaisuuteen, julkisuusperiaatteeseen, oikeusturvaan, hyvään hallintoon ja virkavastuuseen.

Perustuslakivaliokunta on kiinnittänyt perustuslain 21 §:n ja julkisen vallan käytön lakiperustaisuuden näkökulmasta huomiota siihen, ettei automaattisessa päätöksenteossa massaluonteisessakaan toiminnassa saa vaarantaa hyvän hallinnon vaatimuksia tai asianosaisen oikeusturvaa (PeVL 62/2018 vp, s. 7, PeVL 49/2017 vp, s. 5, PeVL 35/2005 vp, s. 2/I). Ehdotetussa säännöksessä automaattinen päätöksenteko olisi rajattu Maahanmuuttoviraston käsittelemiin asioihin, joissa asianosaisella ei ole hallintolain 34 §:n 2 momentin 5 kohdan mukaisesti intressiä tulla kuuluksi asiassa. Pääsääntöisesti kyse olisi siis asioista, joissa henkilö saa myönteisen päätöksen tai jotka raukeavat ulkomaalaislain nojalla. Automaattiseen päätöksentekomenettelyyn tulisivat sovellettavaksi niin hallintolain menettelysäännökset kuin hallintolainkäyttölain tai ulkomaalaislain muutoksenhakua koskevat säännökset. Asianosaisella olisi siis oikeus saada perusteltu päätös. Automaattisessa päätöksentekomenettelyssä tehdyn päätöksen osalta asianosaisella olisi lisäksi oikeus pyytäessään saada ymmärrettävällä tavalla avattu selostus hänen asiassaan ratkaisuun vaikuttaneista algoritmeista. Asianosainen voisi valittaa yhtäläisesti automaattisessa päätöksentekomenettelyssä tehdystä päätöksestä, kuten muustakin Maahanmuuttoviraston päätöksestä. Lisäksi säännöksessä täsmennettäisiin tietosuoja-asetuksen edellyttämää tiedonantovelvollisuutta ja 1. lakiehdotuksen 6 §:ssä säädettäisiin rekisteröityjen yhteyspisteestä, mikä osaltaan parantaisi asianosaisten oikeussuojaa tietosuoja-asetuksen edellyttämällä tavalla.

Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin, ja kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslain 118 §:ssä säädetään vastuusta virkatoimista. Perustuslakivaliokunnan mukaan oikeusturvan ja hyvän hallinnon ja vaatimusten toteutumisen varmistaminen edellyttää muun muassa, että asian käsittelyssä noudatetaan hallinnon yleislakeja ja että asioita käsittelevät toimivat virkavastuulla (PeVL 62/2018 vp, s. 8, PeVL 26/2017 vp, s. 49, PeVL 33/2004 vp, s. 7/II, PeVL 46/2002 vp, s. 10). Automaattisessa päätöksentekomenettelyssä virkavastuu ei kohdentuisi suoraan automaattisessa menettelyssä tehtyyn päätökseen, joten vastuu olisi sidottu tiettyyn virka-asemaan organisaatiossa. Tämän vuoksi säännöksessä ehdotetaan säädettäväksi, että Maahanmuuttoviraston ylijohtaja vastaisi automaattisen päätöksenteon menettelystä ja siinä syntyvästä päätöksestä.

Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarjassa kesäkuussa 2019 julkaistussa Algoritmi päätöksentekijänä? -selvityshankkeessa (2019:44) todettiin, että vastuutahon määrittämisen ja nimeämisen tulee olla edellytys algoritmisen päätöksenteon käyttöönotolle, jotta voidaan varmistua erityisesti hallinnon asiakkaan perusoikeudellisen suojan riittävyydestä. Vastuun syntyminen algoritmisen päätöksenteon kohdalla edellyttää yhteyttä virkamiehen ja päätöksentekoprosessin välillä. Kun järjestelmä tuottaa päätöksen kokonaan tai osittain automatisoidusti, päätöksenteko osittain irtautuu siitä yksittäisen virkamiehen toiminnasta, mihin virkavastuu yleisesti kiinnitetään. Hallinnon asiakkaan näkökulmasta keskeinen PL 118.3 §:n mukainen vahingonkorvausvastuu on sinällään kohdennettavissa yksittäisen virkamiehen sijasta myös julkisyhteisöön, jolloin ainakin periaatteessa voidaan katsoa osan virkavastuun kautta toteutettavista oikeusturvatakeista soveltuvan sellaisenaan myös algoritmiseen päätöksentekoon. Sen sijaan rikosoikeudellinen vastuu on sidottu yksittäisen virkamiehen toimintaan, minkä vuoksi rikoslain 40 luvun kriminalisoinnit eivät sellaisenaan sovellu algoritmiseen päätöksentekoon.

Tällaisessa uudessa tilanteessa, jossa algoritminen järjestelmä luo suoraan hallintopäätöksen, virkamies ei ole enää selkeästi esittelijä eikä päätöksentekijä. Tutkimuksen mukaan selkeimpänä tapana päätöksenteon perustuslainmukaisuuden takaamiseksi voidaan pitää laintasoista sääntelyä, jossa otettaisiin kantaa vastuun jakautumiseen ja paikantamiseen hyödynnettäessä algoritmisen päätöksenteon sovelluksia. Vastuutahon määrittämiseksi virkavastuu olisi ehdotettavassa säännöksessä sidottu Maahanmuuttoviraston ylijohtajaan. Tällöin hallinnon asiakkaan kannalta keskeinen vahingonkorvausvastuu kohdistuu käytännössä usein Maahanmuuttovirastoon, sillä vahingonkorvausvastuun realisoivan tuottamuksen voi arvioida täyttyvän harvoin ylijohtajan toiminnassa. Vahingonkorvauslain (412/1974) 3 luvun 1 §:n mukaan korvausvastuu voi kohdistua viranomaiseen yksittäisen virkamiehen sijasta. Maahanmuuttovirastosta annetun valtioneuvoston asetuksen 1 §:n mukaan Maahanmuuttoviraston toimintaa johtaa, valvoo ja kehittää ylijohtaja. Ylijohtaja vastaa toiminnan tuloksellisuudesta ja tavoitteiden saavuttamisesta sekä raportoi näistä sisäasiainministeriölle. Maahanmuuttoviraston ylijohtajalla on viime kädessä vastuu viraston toiminnan lainmukaisuudesta ja siitä, että automaattisessa päätöksentekomenettelyssä noudatetaan paitsi soveltuvaa maahanmuuttohallinnon lainsäädäntöä, myös kansallisia hallinnon yleislakeja sekä tietosuojatyöryhmän edellyttämiä suojatoimia. Näin ollen, vaikka vahingonkorvausvastuun osalta vastuu voisi kohdentua myös pelkästään Maahanmuuttovirastoon, rikosoikeudellisen vastuun osalta säännös on sidottava henkilöön.

Ehdotettava säännös poikkeaa perustuslakivaliokunnan vakiintuneesta virkavastuuta koskevasta lausuntokäytännöstä, koska automaattisessa päätöksenteossa irtaudutaan virkamiehen inhimillisen toimijuuden varaan rakentuvasta vastuukonstruktiosta. Päätöksenteon perustuslainmukaisuuden takaamiseksi virkavastuusta on kuitenkin säädettävä lain tasolla niin, että henkilön oikeusturvanäkökulmasta turvataan se, että vastuutaho on osoitettavissa myös tilanteissa, joissa se ei ole ilmeistä. Perustuslakivaliokunta kiinnitti lausunnossaan PeVL 62/2018 vp, s. 9 huomiota siihen, että automatisoituun päätöksentekoon vaikuttaa sisältyvän useita hallinnon yleislaeilla nimenomaisesti sääntelemättömiä kysymyksiä ja edellytti oikeusministeriön tekevän selvityksen asiasta ja yleislainsäädännön alan sääntelytarpeesta. Maahanmuuttoviraston päätöksentekoprosesseja on tehostettava niin, että henkilöresursseja voidaan kohdentaa harkintaa vaativaan ratkaisutoimintaan. Perustuslakivaliokunnalla ei ole ollut huomauttamista Maahanmuuttoviraston päätöksenteon automatisoinnin tehostamispäämäärän suhteen (PeVL 62/2018 vp, s. 7). Myös oikeusturvan ja hyvän hallinnon vaatimukset edellyttävät, että tietosuoja-asetuksen 22 artiklan mukaisessa automaattisessa päätöksentekomenettelyssä noudatettavista menettelyistä säädetään erikseen lain tasolla. Näiden syiden johdosta automaattisesta päätöksentekomenettelystä on välttämätöntä säätää ennen oikeusministeriön selvityksen valmistumista.

Perustuslain 12 §:n 2 momentissa säädetään julkisuusperiaatteesta. Viranomaisten toiminnan julkisuudesta säädetään tarkemmin julkisuuslaissa. Asiakirjajulkisuus on myös perustuslain 21 §:n 2 momentissa turvatun käsittelyn julkisuuden ja hyvän hallinnon edellytys. Perustuslakivaliokunta on edellyttänyt ns. perustulokokeilua arvioidessaan, että otantamenettelyyn liittyvän ohjelmistokoodin julkaisemisesta ja julkisuudesta säädetään erikseen (PeVL 51/2016 vp, s. 5). Lentoliikenteen matkustajarekisteritietojen käyttöä sääntelevän lakiehdotuksen arvioinnin yhteydessä valiokunta katsoi, että perustuslain 12 §:n 2 momentista ja 21 §:stä johtuvista syistä oli tarkasteltava huolellisesti ehdotettujen kriteerien ja niitä mahdollisesti soveltavien automatisoitujen menettelyjen algoritmien suhdetta viranomaisten toiminnan julkisuudesta annettuun lakiin ja tarvittaessa selkeytettävä sääntelyä (PeVL 29/2018 vp, s. 5). Arvioidessaan maahanmuuttohallinnon henkilötietolakiesitystä perustuslakivaliokunta lausui, että edellä mainittuihin seikkoihin on kiinnitettävä huomiota myös maahanmuuttohallinnon henkilötietolaissa (PeVL 62/2018 vp, s. 8).

Maahanmuuttohallinnon toimivaltaa luova lainsäädäntö muodostaisi reunaehdot Maahanmuuttoviraston automaattisen päätöksentekomenettelyn algoritmille. Algoritmi sisältäisi sen logiikan, jolla esimerkiksi oleskeluluvan myöntämisen edellytykset raja-arvoineen on selvitetty, ja jolla on arvioitu luvan tyyppi, laji, alkupäivämäärä ja päättymispäivämäärä. Lopulliseen päätökseen johtava algoritmi olisi lähtökohtaisesti julkinen perustuslain 12 §:n 2 momentin julkisuusperiaatteen mukaisesti. Rekisterinpitäjän on myös tietosuoja-asetuksen 13 ja 14 artiklan mukaan julkaistava mielekkäitä tietoja käsittelyyn liittyvästä logiikasta eli käytetyistä käsittelyalgoritmeista. Hyvän hallinnon edellytykset, julkisuusperiaate ja perustuslakivaliokunnan edellä esitetty lausuntokäytäntö huomioiden esityksen 1. lakiehdotuksen 21 §:n 2 momentissa säädettäisiin vielä erikseen Maahanmuuttoviraston velvollisuudesta julkaista automaattisessa päätöksentekomenettelyssä lopulliseen päätökseen johtanut algoritmi.

Tämän lisäksi ehdotettavassa säännöksessä edellytettäisiin, että asianosainen voisi halutessaan pyytää Maahanmuuttovirastolta ymmärrettävän selvityksen saamansa automaattisessa päätöksentekomenettelyssä laaditun lopullisen päätöksen algoritmista. Tämä ei kuitenkaan tarkoittaisi, ettei myös automaattisessa päätöksentekomenettelyssä tehdystä päätöksestä saisi normaalisti hallintolain 45 §:n mukaisen perustellun päätöksen tai ettei päätöksestä voisi valittaa hallintolainkäyttölain tai ulkomaalaislain säännösten mukaisesti. Automaattista päätöksentekoa koskevalla säännöksellä ei rajoitettaisi hallintolain tai hallintolainkäyttölain säännöksiä.

Automaattista päätöksentekoa koskeva sääntely vastaa tietosuoja-asetuksen vaatimuksia sekä turvaa niin hyvän hallinnon ja oikeusturvan kuin julkisuusperiaatteen toteutumisen Maahanmuuttoviraston automaattisessa päätöksentekomenettelyssä.

Esityksessä ehdotetaan muutettavaksi viranomaisten toiminnan julkisuudesta annetun lain salassapitoa koskevia säännöksiä. Säännökset ehdotetaan säilytettäväksi pääosin sisällöllisesti ennallaan, kuitenkin eräin esityksestä ilmenevin välttämättömin muutoksin. Aiemmin erityislakiin ja yleislakiin hajautuneet maahanmuuttohallinnon toimintaa erityisesti koskevat salassapitoperusteet ehdotetaan kuitenkin perustuslakivaliokunnan lausunnossaan PeVL 62/2018 vp (s. 9) esittämän perusteella keskitettäväksi julkisuuslakiin.

Julkisuuslain 24 §:n uuden 31 c kohdan sekä 24 kohdassa tarkoitettujen hallintopäätösten osalta salassapitoperusteena olisi perustuslain 7 §:ssä säädetty henkilökohtainen turvallisuus. Toisen perusoikeuden edistämistä on perustuslakivaliokunnan lausuntokäytännössä (PeVL 39/2009 vp, PeVL 2/2008 vp s. 2, PeVL 40/2005 vp) pidetty välttämättömänä syynä, jonka vuoksi viranomaisen asiakirjojen julkisuutta on mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa. Muilta osin ehdotetun 24 kohdan salassapitoperuste kiinnittyisi perustuslain 10 §:ssä ja EU:n perusoikeuskirjan 7 ja 8 artiklassa säädettyyn yksityisyyden ja henkilötietojen suojaan. Valiokunta on katsonut, että esimerkiksi arkaluonteisten henkilötietojen salassapitoa voidaan pitää välttämättömänä perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojaamiseksi (PeVL 14/2018 vp, PeVL 39/2009 vp, s. 2/I). Vaikka salassa pidettäväksi tulisi säännöksen perusteella myös muita kuin arkaluonteisia henkilötietoja, voidaan julkisuuden rajoitusta edelleen pitää maahanmuuttohallinnon henkilön yksityiselämään merkittävästi kajoavaa henkilötietojen käsittelyä edellyttävässä toiminnassa välttämättömänä. Julkisuuden rajoitus turvaa osaltaan myös viranomaisen toimintaedellytyksiä ja yksilön henkilökohtaista turvallisuutta. Rajoituksen oikeasuhtaisuudesta sekä asiakirjajulkisuuden ja henkilötietojen suojan välisestä tasapainosta on huolehdittu paitsi käyttämällä hallintopäätösten osalta eri vahinkoedellytyslauseketta myös rajoittamalla salassapitoperuste koskemaan poikkeuksellisesti vain tiettyjen viranomaisten asiakirjoja (ks. PeVL 14/2018 vp. PeVL 22/2008 vp, s. 4/I). Pykälän 5 kohtaan ehdotettu salassapidon ulottaminen myös Maahanmuuttoviraston taktisten ja teknisten selvittämismenetelmien ja suunnitelmien salassapitoon on puolestaan välttämätöntä viraston tekemien ulkomaalaiseen kohdistuvien selvitysten luotettavuuden ja samalla myös viraston ydintoimintoihin kohdistuvien toimintaedellytysten säilyttämiseksi.

Salassapidon ulottuvuus ehdotetaan rajoitettavaksi siihen, mikä kussakin tilanteessa on katsottava suojattavien intressien kannalta perustuslain edellyttämällä tavalla välttämättömäksi tapauskohtaista tulkintaa edellyttävien vahinkoedellytyslausekkeiden avulla (ks. PeVL 43/1998 vp, s. 4).

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Tästä huolimatta pidetään suotavana, että hallituksen esityksestä hankitaan perustuslakivaliokunnan lausunto.

Lakiehdotukset

1.

Laki henkilötietojen käsittelystä maahanmuuttohallinnossa

Eduskunnan päätöksen mukaisesti säädetään:

1 §
Lain soveltamisala ja henkilötietojen käsittelyn tarkoitus

Tätä lakia sovelletaan, jollei muualla laissa toisin säädetä, henkilötietojen kokonaan tai osittain automatisoituun käsittelyyn sekä muuhun henkilötietojen käsittelyyn, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa ja henkilötietoja käsitellään seuraavissa tarkoituksissa:

1) ulkomaalaisen maahantuloa ja maastalähtöä sekä oleskelua koskevien asioiden käsittely sekä niitä koskeva päätöksenteko ja valvonta;

2) Suomen kansalaisuuden saamista, säilyttämistä, menettämistä ja kansalaisuudesta vapautumista sekä kansalaisuusaseman määrittämistä koskevien asioiden käsittely ja päätöksenteko;

3) kansainvälistä suojelua hakevan ja tilapäistä suojelua saavan vastaanotto, ihmiskaupan uhrien auttaminen sekä ilman huoltajaa olevan lapsen edustajatoiminta osana vastaanottotoimintaa sekä näiden ohjaus, suunnittelu ja valvonta;

4) ulkomaalaisen sijoittaminen säilöönottoyksikköön, ulkomaalaisen kohtelu säilöönottoyksikössä sekä säilöönottoyksikön järjestyksen ja turvallisuuden ylläpitäminen;

5) kuntaan osoittaminen;

6) kansallisen turvallisuuden suojaaminen.


Tätä lakia sovelletaan lisäksi oikeuteen käsitellä ja saada oikeushenkilöitä koskevia tietoja 1 momentin mukaisissa tarkoituksissa.


Tätä lakia ei sovelleta Suomessa oleviin diplomaattisiin edustajiin eikä niihin kansainvälisten järjestöjen virkamiehiin, joiden asemasta määrätään Suomea sitovissa kansainvälisissä sopimuksissa.


2 §
Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa (1050/2018).


Jollei tässä laissa toisin säädetä, sovelletaan:

1) henkilötietojen käsittelyyn kansallisen turvallisuuden suojaamisen tarkoituksessa henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia (1054/2018);

2) oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä, mitä viranomaisen toiminnan julkisuudesta säädetään. 


3 §
Yhteisrekisterinpitäjät

Käsiteltäessä henkilötietoja tämän lain nojalla yhteisrekisterinpitäjiä ovat:

1) Maahanmuuttovirasto;

2) Poliisihallitus ja suojelupoliisi;

3) Rajavartiolaitos;

4) vastaanotto- ja järjestelykeskukset;

5) säilöönottoyksiköt;

6) ulkoasiainhallinto;

7) elinkeino-, liikenne- ja ympäristökeskukset;

8) työ- ja elinkeinotoimistot.


Kunkin rekisterinpitäjän toimivalta käsitellä henkilötietoja perustuu kyseisen viranomaisen toimivaltaa koskeviin säännöksiin.


Kukin rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta omassa toiminnassaan. Kukin rekisterinpitäjä vastaa tallentamistaan henkilötiedoista.


4 §
Ulkomaalaisasioiden asiankäsittelyjärjestelmä

Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän kehittämis- ja ylläpitovastuu.


Maahanmuuttovirasto vastaa muiden kuin yksittäisten henkilötietojen poistamisesta ja luovuttamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmästä sekä katseluyhteyden avaamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmään.


5 §
Kansallinen viisumitietojärjestelmä

Ulkoasiainhallinnolla on kansallisen viisumitietojärjestelmän kehittämis- ja ylläpitovastuu.


Ulkoasiainhallinto vastaa muiden kuin yksittäisten henkilötietojen poistamisesta ja luovuttamisesta kansallisesta viisumitietojärjestelmästä sekä katseluyhteyden avaamisesta kansalliseen viisumitietojärjestelmään.


6 §
Rekisteröidyn yhteyspisteet

Maahanmuuttovirasto toimii ulkomaalaisasioiden asiankäsittelyjärjestelmässä rekisteröidyn yhteyspisteenä.


Ulkoasiainhallinto toimii kansallisessa viisumitietojärjestelmässä rekisteröidyn yhteyspisteenä.


7 §
Käsiteltävät henkilötiedot

Rekisterinpitäjä saa käsitellä 1 §:ssä säädetyissä tarkoituksissa, siltä osin kuin on tarpeen, henkilön yksilöintitietoja, perhesuhdetietoja, edustajuustietoja, osaamista kuvaavia tietoja ja yhteystietoja sekä tietoja matkustusasiakirjoista ja ulkomaalaislain (301/2004) 96 §:n mukaisesta hakemusasian vireilläoloa osoittavasta kortista.


Rekisterinpitäjä saa lisäksi käsitellä, siltä osin kuin on tarpeen:

1) hakemuksesta, esityksestä, pyynnöstä tai ilmoituksesta taikka näiden vuoksi tehdystä tiedustelusta tai kuulemisesta ilmeneviä tietoja;

2) asian käsittely-, selvitys- ja päätöstietoja;

3) tietoja, jotka koskevat vastaanottopalveluita ja muuta vastaanottoon kuuluvaa toimintaa, edustajan yksilöinti- ja yhteystietoja sekä tietoja, jotka koskevat edustajaksi määräämistä, edustajan vapauttamista tehtävästään ja edustajantehtävän lakkaamista sekä edustajatoiminnan ohjauksessa, suunnittelussa ja valvonnassa tarvittavia tietoja;

4) tietoja siitä, milloin ulkomaalainen on sijoitettu säilöönottoyksikköön ja milloin hän on poistunut sieltä, tietoja säilöönoton järjestämisen, suunnittelun, toteuttamisen, seurannan ja säilöön otettujen ulkomaalaisten asianmukaisen kohtelun turvaamiseksi sekä tietoja säilöön otettua ulkomaalaista tapaamassa käyvistä ja muista säilöönottoyksikössä vierailevista henkilöistä ja muita tapaamiseen tai vierailuun liittyviä tietoja;

5) tietoa siitä, mihin kuntaan henkilö on osoitettu.


Rekisterinpitäjä saa lisäksi käsitellä, siltä osin kuin on tarpeen, havaitsemiaan tai sille ilmoitettuja huomiotietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan valvoa henkilön maahantuloa ja maassa oleskelua koskevien edellytysten olemassaoloa tai päättää Suomen kansalaisuuden saamisesta ja menettämisestä taikka velvollisuuteen huolehtia palveluksessaan olevien työturvallisuudesta. Huomiotietoihin on liitettävä tieto tietojen antajasta tai tietolähteestä sekä arvio tämän luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista.


Rekisterinpitäjä saa lisäksi käsitellä, siltä osin kuin on tarpeen, perheenjäsenten, samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötietoja sekä ulkomaalaisen työntekijän palvelukseensa ottavan henkilötietoja.


8 §
Käsiteltävät erityiset henkilötietoryhmät

Rekisterinpitäjä saa, siltä osin kuin se on välttämätöntä, käsitellä 1 §:n 1 momentin:

1) 1 ja 3—6 kohdassa säädetyissä tarkoituksissa sellaisia henkilötietoja, joista ilmenee rotu tai etninen alkuperä;

2) 1 ja 3—6 kohdassa säädetyissä tarkoituksissa henkilötietoja, joista ilmenee poliittisia mielipiteitä tai uskonnollinen tai filosofinen vakaumus;

3) 1, 3 ja 6 kohdassa säädetyissä tarkoituksissa henkilötietoja, joista ilmenee ammattiliiton jäsenyys;

4) 1 ja 6 kohdassa säädetyissä tarkoituksissa geneettisiä henkilötietoja tai henkilön yksiselitteistä tunnistamista varten biometrisiä henkilötietoja;

5) 1—6 kohdassa säädetyissä tarkoituksissa terveyttä koskevia tietoja;

6) 1 ja 3—6 kohdassa säädetyissä tarkoituksissa sosiaalipalveluita koskevia tietoja;

7) 1 ja 3—6 kohdassa säädetyissä tarkoituksissa luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevia tietoja;

8) 1—6 kohdassa säädetyissä tarkoituksissa rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja.


9 §
Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettujen sormenjälkitietojen käsittely

Muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten kerätyt sormenjäljet tallennetaan. Sormenjälkiä saavat käyttää Maahanmuuttovirasto, poliisi, Rajavartiolaitos, Tulli silloin kun se hoitaa rajatarkastusviranomaisen tehtäviä sekä ulkoasiainhallinto.


Oikeus sormenjälkitietojen käyttöön on vain sillä, jonka työtehtävien hoitaminen sitä välttämättä edellyttää. Sormenjälkiä saa käyttää vain henkilöllisyyden varmistamiseksi ja muukalaispassin tai pakolaisen matkustusasiakirjan valmistamiseksi. Poliisilla on lisäksi oikeus käyttää sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 15 §:n 2 momenttia. Tietojen käyttöön oikeutetulla on oikeus ottaa rekisteröidyltä sormenjäljet ja verrata niitä rekisteröityihin sormenjälkiin. Vertailua varten otettuja tietoja saadaan käyttää vain vertaamisen ajan, ja ne on hävitettävä välittömästi vertailun jälkeen.


10 §
Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otettujen sormenjälkitietojen käsittely

Oleskelulupahakemusta, oleskelulupakorttihakemusta ja unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetut sormenjäljet tallennetaan. Sormenjälkiä saa käyttää Maahanmuuttovirasto, poliisi, rajatarkastusviranomainen sekä Suomen edustusto.


Sormenjälkiä saa käyttää ainoastaan 1 §:n 1 momentin 1 ja 6 kohdassa säädettyyn tarkoitukseen liittyvien sekä turvallisuusselvityslaissa (726/2014) tarkoitetun turvallisuusselvityksen tekemiseksi säädettyyn tarkoitukseen liittyvien toimivaltuuksien rajoissa oleskelulupakortin aitouden toteamiseksi ja oleskeluluvan haltijan henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä ja niitä koskevaa päätöksentekoa ja valvontaa varten sekä kansallisen turvallisuuden suojaamiseksi. Tietojen käyttöön oikeutetulla viranomaisella on oikeus verrata tietoja tässä pykälässä tarkoitettuihin jo tallennettuihin sormenjälkiin sekä muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten otettuihin sormenjälkiin ja poliisin rekisteriin ulkomaalaislain 131 §:n perusteella tallennettuihin sormenjälkiin. Lisäksi tietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 6 §:ssä tarkoitettuihin pakkokeinolain (806/2011) mukaisiin henkilötuntomerkkeihin kuuluviin sormenjälkiin niiltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta.


Poliisilla on lisäksi oikeus käyttää tässä pykälässä tarkoitettuja jo tallennettuja sormenjälkitietoja noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain 15 §:n 2 momenttia.


Vertailua varten otettuja tietoja saadaan käyttää vain vertailun ajan, jonka jälkeen ne on välittömästi hävitettävä.


Maahanmuuttovirastolla on lisäksi oikeus käyttää tässä pykälässä tarkoitettuja jo tallennettuja sormenjälkitietoja asianomaisen henkilön suostumuksella oleskelulupakortin sekä unionin kansalaisen perheenjäsenen oleskelukortin valmistamista varten.


11 §
Henkilötietojen käsittely alkuperäisessä käsittelytarkoituksessa

Rekisterinpitäjä saa salassapitosäännösten estämättä käsitellä kunkin 1 §:n 1 momentin 1—6 kohdassa säädetyn käsittelytarkoituksen rajoissa toisen rekisterinpitäjän keräämiä henkilötietoja niiden alkuperäiseen käsittelytarkoitukseen oman toimivaltansa mukaisesti.


12 §
Henkilötietojen käsitteleminen muussa kuin alkuperäisessä käsittelytarkoituksessa

Rekisterinpitäjä saa salassapitosäännösten estämättä käsitellä tämän lain nojalla kerättyjä ja tallennettuja muita kuin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja muussa kuin alkuperäisessä käsittelytarkoituksessa, jos se on välttämätöntä rekisterinpitäjän lakisääteisten tehtävien suorittamiseksi tai:

1) tiedot ovat tarpeen henkilöllisyyden selvittämiseksi;

2) 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle mainitun momentin 2 kohdan mukaisten tehtävien hoitamista varten;

3) 1 §:n 1 momentin 2 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai ulkoasiainhallinnolle mainitun momentin 1 kohdan mukaisten tehtävien hoitamista varten;

4) 1 §:n 1 momentin 3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, poliisille, Rajavartiolaitokselle tai elinkeino-, liikenne- ja ympäristökeskukselle kansainvälistä suojelua hakeviin, tilapäistä suojelua saaviin tai ihmiskaupan uhreihin liittyvien tehtävien hoitamista taikka ulkomaalaisen Suomessa oleskelua tai maahantuloon liittyvien tehtävien hoitamista varten;

5) 1 §:n 1 momentin 1 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai vastaanotto- tai järjestelykeskukselle mainitun momentin 3 kohdan mukaisten tehtävien hoitamista varten;

6) 1 §:n 1 momentin 4 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle, vastaanotto- tai järjestelykeskukselle, poliisille tai Rajavartiolaitokselle ulkomaalaisen Suomessa oleskeluun tai maasta poistamiseen, kansainvälistä suojelua hakevien tai tilapäistä suojelua saavien vastaanottoon tai ihmiskaupan uhrien auttamiseen liittyvien tehtävien hoitamista varten;

7) 1 §:n 1 momentin 1—3 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle tai säilöönottoyksikölle mainitun momentin 4 kohdan mukaisten tehtävien hoitamista varten;

8) 1 §:n 1 momentin 5 kohdan nojalla kerätyt tiedot ovat tarpeen Maahanmuuttovirastolle maahanmuuttoon liittyvien tehtävien hoitamista varten;

9) 1 §:n 1 momentin 1—3 kohdan nojalla kerätyt tiedot ovat tarpeen elinkeino-, liikenne- ja ympäristökeskukselle mainitun momentin 5 kohdan mukaisten tehtävien hoitamista varten.


Rekisterinpitäjä saa salassapitosäännösten estämättä käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja muuhun kuin alkuperäiseen käsittelytarkoitukseen 1 momentin 1—9 kohdassa tarkoitetuissa tapauksissa vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi.


Mitä tässä pykälässä säädetään, ei koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä, ellei muualla laissa toisin säädetä.


13 §
Tiedonsaantioikeus

Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksella ja säilöönottoyksiköllä on 1 §:n 1 momentin 1—5 kohdan sekä elinkeino- liikenne- ja ympäristökeskuksella, työ- ja elinkeinotoimistolla ja ulkoasiainhallinnolla 1 §:n 1 momentin 1 kohdan käsittelytarkoitusten mukaisten tehtävien suorittamiseksi oikeus salassapitosäännösten estämättä saada maksutta välttämättömiä luonnollisia henkilöitä ja oikeushenkilöitä koskevia tietoja viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:ssä tarkoitetuilta tahoilta.


Maahanmuuttovirastolla, vastaanotto- ja järjestelykeskuksella sekä säilöönottoyksiköllä on lisäksi oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä suorittamista varten tarpeellisia tietoja seuraavasti:

1) Oikeusrekisterikeskukselta sakkorekisteristä muiden kuin oleskelulupaa hakevien henkilötiedot, ratkaisutiedot, täytäntöönpanoasiatiedot, muuntorangaistusasiat ja tapahtumatiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

2) Oikeusrekisterikeskukselta oikeushallinnon valtakunnallisesta tietojärjestelmästä ja sen osajärjestelmistä tiedot:

a) syyttäjäviranomaisessa tai tuomioistuimessa vireillä olevista tai olleista perheenkokoajan tekemiksi epäillyistä rikoksista lapsen edun, yhteiselämän mahdollisuuksien tai toimeentuloedellytyksen arvioimiseksi tehtäessä kokonaisharkintaa oleskeluluvan ja oleskeluoikeuden edellytysten selvittämiseksi;

b) elatusvelvollisuudesta perhesiteen perusteella myönnettävän oleskeluluvan tai oleskelukortin tai oleskeluoikeuden rekisteröinnin edellytysten selvittämiseksi;

c) elatusvelvollisuudesta toimeentuloedellytyksen selvittämiseksi;

d) tuomioistuimessa vireillä olevista asioista ja tehdyistä päätöksistä, jotka koskevat Maahanmuuttoviraston ratkaisua tai toimivaltaa tai joilla on merkitystä Maahanmuuttovirastossa vireillä olevan asian käsittelylle;

e) vireilletuloasiakirjoista, ratkaisun perusteena olleista asiakirjoista ja käsittelyasiakirjoista lapsen edun ja oleskeluluvan yleisten myöntämisedellytysten arvioimiseksi;

f) muista kuin oleskelulupaa hakevista henkilöistä, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

3) esitutkintaviranomaiselta tiedot perheenkokoajan rikosepäilystä lapsen edun, yhteiselämän mahdollisuuksien tai toimeentuloedellytyksen arvioimiseksi tehtäessä kokonaisharkintaa oleskeluluvan ja oleskeluoikeuden edellytysten selvittämiseksi sekä tiedot rikosten esitutkinnasta ja vireillä olevista tai vireillä olleista rikosilmoituksista ihmiskaupan uhrien auttamisjärjestelmään ottamista koskevaa päätösharkintaa varten;

4) poliisilta muiden kuin oleskelulupaa hakevien henkilöiden tiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

5) Kansaneläkelaitokselta tulo-, etuus- ja perhesuhdetiedot ristiriitaisiksi epäiltyjen tietojen selvittämiseksi tai työ- ja perhesuhteiden aitouden selvittämiseksi;

6) kunnan sosiaaliviranomaiselta tiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan häneen riippuvuussuhteessa olevasta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi sekä tiedot ihmiskaupan uhrien auttamisjärjestelmään esitetyn henkilön taustoista ja tilanteesta, hänen saamistaan sosiaali- ja terveydenhuoltopalveluista sekä tiedot lastensuojelun tarpeen selvittämisestä ja lastensuojeluasiakkuudesta auttamistoimien tarpeen selvittämiseksi;

7) Verohallinnolta muiden kuin oleskelulupaa hakevien henkilöiden varallisuus- ja tulotiedot, joilla voi olla merkitystä lapsen edun arvioinnissa tai sen arvioinnissa onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi sekä varallisuus- ja tulotiedot ristiriitaisiksi epäiltyjen tietojen selvittämiseksi tai työ- ja perhesuhteiden aitouden selvittämiseksi;

8) Opetushallitukselta tai koulutuksen järjestäjältä tiedot ulkomaalaisen opiskeluoikeuden alkamisesta, opiskeluoikeuden väliaikaisesta keskeyttämisestä, muusta opintojen väliaikaisesta keskeytymisestä, opiskeluoikeuden ja opintojen päättymisestä, lukuvuosimaksun suuruudesta ja suorittamisesta, koulutuksen järjestäjän antamista apurahoista, asuntoeduista ja ateriaeduista sekä opintosuorituksista, arvosanoista ja tutkinnoista tehtäessä kokonaisharkintaa oleskeluluvan, oleskeluoikeuden tai kansalaisuuden saamisen edellytysten selvittämiseksi;

9) Rikosseuraamuslaitokselta muiden kuin oleskelulupaa hakevien yhteystiedot, olinpaikka ja vapautumispäivä, jos niillä on merkitystä lapsen edun arvioinnissa tai sen arvioinnissa, onko henkilö kykenevä huolehtimaan toisesta henkilöstä kansainvälistä suojelua koskevan hakemuksen käsittelystä vastuussa olevan jäsenvaltion määrittämiseksi;

10) ulkoasiainhallinnolta tiedot kielteisestä asiakirjan laillistamispäätöksestä ulkomaisen asiakirjan luotettavuuden arvioimiseksi;

11) Liikenne- ja viestintävirastolta ja Sosiaali- ja terveysalan lupa- ja valvontavirastolta tiedot ulkomaalaisen ja tämän perheenjäsenen oikeudesta harjoittaa tiettyä ammattia toimeentuloedellytyksen tai oleskeluluvan, kausityöoleskeluluvan tai oleskelukortin myöntämisen tai oleskeluoikeuden rekisteröinnin edellytysten selvittämiseksi.


14 §
Henkilötietojen luovuttaminen

Sen lisäksi, mitä muualla laissa säädetään tai Suomea sitovissa kansainvälisissä sopimuksissa määrätään, 1 §:n nojalla kerättyjä ja tallennettuja henkilötietoja saa salassapitosäännösten estämättä luovuttaa siinä määrin, kuin tiedonsaantioikeuksista säädetään vastaanottavan viranomaisen tai muun tahon lakisääteisten tehtävien suorittamiseksi.


Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa luovuttaa 1 momentissa säädetyin edellytyksin vain, jos se on välttämätöntä viranomaisen lakisääteisten tehtävien suorittamiseksi.


Mitä tässä pykälässä säädetään, ei koske oleskeluluvan, oleskelulupakortin tai oleskelukortin hakijalta taikka muukalaispassin tai pakolaisen matkustusasiakirjan hakijalta otettuja sormenjälkiä taikka huomiotietoja, ellei muualla laissa toisin säädetä.


15 §
Henkilötietojen luovuttaminen Euroopan unionin yhteisiin tietojärjestelmiin

Maahanmuuttovirasto saa salassapitosäännösten estämättä luovuttaa Euroopan unionin toiminnasta tehdyn sopimuksen 5 osaston 2 luvun nojalla annetuilla asetuksilla perustettuihin Euroopan unionin yhteisiin tietojärjestelmiin henkilötietoja sen mukaan kuin mainituissa asetuksissa säädetään.


16 §
Tietojen poistaminen

Jollei kansainvälisestä velvoitteesta tai laista muuta johdu, tämän lain perusteella käsitellyt henkilötiedot poistetaan seuraavasti:

1) henkilön tunnistetiedoista asiakasnumero, nimi, syntymäaika, henkilötunnus, ulkomainen henkilönumero, muu ulkomainen henkilön yksilöimiseksi annettu tunnus, kansalaisuus ja henkilön perhesuhdetiedot poistetaan kymmenen vuoden kuluttua siitä, kun hän on kuollut tai saanut Suomen kansalaisuuden tai häneen liittyvien asioiden tiedot on poistettu;

2) muut kuin 1 kohdassa tarkoitetut henkilötiedot ja henkilöön liittyvien asioiden tiedot poistetaan viimeistään, kun oleskeluoikeuden päättymisestä tai viimeisimmän vireillä olleen asian viimeisestä tiedon merkitsemisestä on kulunut viisi vuotta;

3) erityisiin henkilötietoryhmiin kuuluvat henkilötiedot poistetaan heti kun ne ovat käyneet tarpeettomiksi;

4) huomiotiedot poistetaan, kun tiedon merkitsemisestä on kulunut kuusi kuukautta.


17 §
Virheelliseksi todettu henkilötieto

Virheelliseksi todettu henkilötieto saadaan säilyttää korjatun henkilötiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saa käsitellä vain mainitussa tarkoituksessa.


Virheelliseksi todettu henkilötieto on poistettava heti, kun henkilötiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen, viimeistään kuitenkin viiden vuoden kuluttua virheen havaitsemisesta.


18 §
Tietojen arkistointi

Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään erikseen.


19 §
Rekisteröidyn omiin tietoihinsa tutustumista koskevan oikeuden toteuttaminen

Rekisteröidyn on omiin tietoihinsa tutustumista koskevan oikeuden toteuttamiseksi esitettävä tätä koskeva pyyntö kirjallisesti rekisterinpitäjälle sekä todistettava henkilöllisyytensä joko luotettavana pidettävillä asiakirjoilla tai henkilökohtaisesti rekisterinpitäjälle taikka käyttämällä vahvaa sähköistä tunnistamista.


Rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen poliisille sovelletaan henkilötietojen käsittelystä poliisitoimessa annetun lain 41 §:ää ja rekisteröidyn tarkastusoikeuden toteuttamista koskevan pyynnön osoittamiseen Rajavartiolaitokselle henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain (639/2019) 50 §:ää.


20 §
Rekisteröidyn oikeus käsittelyn rajoittamiseen

Tietosuoja-asetuksen 18 artiklaa rekisteröidyn oikeudesta käsittelyn rajoittamiseen ei sovelleta tässä laissa tarkoitettuun henkilötietojen käsittelyyn.


21 §
Automatisoidut yksittäispäätökset

Päätös, jonka Maahanmuuttovirasto tekee ulkomaalaisasioiden asiankäsittelyjärjestelmässä, voidaan tehdä menettelyssä, joka perustuu pelkästään automaattiseen käsittelyyn, jos asian saa ratkaista hallintolain (434/2003) 34 §:n 2 momentin 5 kohdan nojalla asianosaista kuulematta.


Maahanmuuttoviraston on julkistettava automatisoidussa päätöksentekomenettelyssä lopulliseen päätökseen johtanut algoritmi. Lisäksi rekisteröidyllä on oikeus saada erillinen selvitys hänelle automatisoidussa käsittelyssä tehtyyn lopulliseen yksittäispäätökseen käytetystä algoritmista.


Maahanmuuttoviraston ylijohtaja vastaa automaattista päätöksentekoa koskevasta menettelystä ja automatisoidusta yksittäispäätöksestä.


22 §
Tietosuojarikos

Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä.


23 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 .


Tällä lailla kumotaan ulkomaalaisrekisteristä annettu laki (1270/1997).


24 §
Siirtymäsäännös

Ulkomaalaisasioiden asiankäsittelyjärjestelmä ja kansallinen viisumitietojärjestelmä on saatettava 16 §:n mukaisiksi vuoden kuluessa tämän lain voimaantulosta. Siirtymäaikana sovelletaan tämän lain voimaan tullessa voimassa olleita tietojen poistamista koskevia säännöksiä.



2.

Laki kansainvälistä suojelua hakevan vastaanotosta sekä ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan kansainvälistä suojelua hakevan vastaanotosta sekä ihmiskaupan uhrin tunnistamisesta ja auttamisesta annetun lain (746/2011) 6 luku,

muutetaan 58 §, sellaisena kuin se on laissa 388/2015, ja

lisätään 39 §:ään uusi 4 momentti seuraavasti:

39 §
Edustajan määrääminen

Edustajatoiminnan ohjaus, suunnittelu ja valvonta kuuluvat Maahanmuuttovirastolle. Vastaanotto- tai järjestelykeskus, jonka asiakkaaksi lapsi on rekisteröity, vastaa edustajatoiminnan käytännön hallinnoinnista.


58  §
Tiedonsaantioikeus

Sisäministeriöllä, esitutkintaviranomaisella ja kunnan viranomaisella on oikeus saada maksutta ja salassapitosäännösten estämättä 3 ja 4 luvun mukaisten tehtävien suorittamiseksi välttämättömät tiedot toisiltaan, Maahanmuuttovirastolta, vastaanotto- ja järjestelykeskukselta, 3 ja 4 luvun mukaisia palveluja tuottavalta julkiselta tai yksityiseltä palvelujen tuottajalta ja ilman huoltajaa olevalle lapselle määrätyltä edustajalta.


Edellä 3 ja 4 luvun mukaisia palveluja tuottavalla julkisella tai yksityisellä palvelujen tuottajalla, jonka asiakas turvapaikanhakija, tilapäistä suojelua saava tai ihmiskaupan uhri on, on oikeus saada maksutta ja salassapitosäännösten estämättä Maahanmuuttovirastolta ja vastaanotto- ja järjestelykeskukselta palvelujen tuottamisen kannalta välttämättömät tiedot.


Ilman huoltajaa olevalle lapselle määrätyllä edustajalla on oikeus saada maksutta ja salassapitosäännösten estämättä 41 §:ssä tarkoitettujen tehtävien hoitamiseksi välttämättömät tiedot Maahanmuuttovirastolta, vastaanotto- ja järjestelykeskukselta, kunnan viranomaiselta, Kansaneläkelaitokselta sekä 3 ja 4 luvun mukaisia palveluja tuottavalta julkiselta tai yksityiseltä palvelujen tuottajalta.



Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan säilöön otettujen ulkomaalaisten kohtelusta ja säilöönottoyksiköstä annetun lain (116/2002) 5 a luku, sellaisena kuin se on laissa 814/2015, ja

muutetaan 34 §, sellaisena kuin se on laissa 748/2011, seuraavasti:

34 §
Salassapitovelvollisuus

Salassapitovelvollisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999).



Tämä laki tulee voimaan päivänä kuuta 20 .


4.

Laki kotoutumisen edistämisestä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan kotoutumisen edistämisestä annetun lain (1386/2010) 8 luku ja

muutetaan 87 §:n 3 momentti seuraavasti:

87 §
Tiedonsaantioikeus

Ilman huoltajaa olevalle lapselle määrätyllä edustajalla on oikeus saada maksutta ja salassapitosäännösten estämättä 57 §:ssä tarkoitettujen tehtävien hoitamiseksi välttämättömät tiedot työ- ja elinkeinotoimistolta, kunnan viranomaiselta, Kansaneläkelaitokselta, Maahanmuuttovirastolta sekä vastaanotto- ja järjestelykeskukselta.




Tämä laki tulee voimaan päivänä kuuta 20 .


5.

Laki kansalaisuuslain 48 §:n kumoamisesta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan kansalaisuuslain (359/2003) 48 §, sellaisena kuin se on laissa 974/2007.


2 §

Tämä laki tulee voimaan päivänä kuuta 20 .



6.

Laki ulkomaalaislain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ulkomaalaislain (301/2004) 59 §:n 2 momentti, 60 f §:n 2 momentti, 131 §:n 2 ja 3 momentti sekä 171 §:n 1 momentti,

sellaisina kuin ne ovat, 59 §:n 2 momentti laissa 668/2013, 60 f §:n 2 momentti laissa 631/2011, 131 §:n 2 ja 3 momentti laissa 635/2019 sekä 171 §:n 1 momentti laissa 501/2016, seuraavasti:

59 §
Oleskeluluvan raukeaminen

Raukeamisesta tehdään merkintä ulkomaalaisasioiden asiankäsittelyjärjestelmään.


60 f §
Oleskelulupakortin voimassaolon päättyminen

Kun oleskelulupakortin voimassaolo on päättynyt, Maahanmuuttovirasto, paikallispoliisi, rajatarkastusviranomainen tai Suomen edustusto ottaa oleskelulupakortin haltuunsa ja tekee ulkomaalaisasioiden asiankäsittelyjärjestelmään merkinnän kortin voimassaolon päättymisestä. Viranomaisen haltuun otettu kortti tuhotaan.


131 §
Henkilötuntomerkkien ottaminen

Edellä 1 momentissa tarkoitetut henkilötuntomerkit tallennetaan poliisin ylläpitämään rekisteriin. Tiedot on pidettävä erillään rikoksesta epäiltyjen henkilötuntomerkeistä ja henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain ( / ) 10 §:n mukaisesti tallennettavista oleskelulupahakemusta, oleskelulupakorttihakemusta tai unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten otetuista sormenjäljistä. Tiedot poistetaan noudattaen henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 34 §:ää.


Edellä 1 momentissa tarkoitettuja sormenjälkitietoja saa verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 5 §:n mukaiseen käsittelytarkoitukseen tämän pykälän nojalla tallennettuihin sormenjälkitietoihin sekä henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain 9 §:ssä tarkoitettuihin muukalaispassi- ja pakolaisen matkustusasiakirjahakemusta varten tallennettuihin sormenjälkitietoihin sekä 10 §:ssä tarkoitettuihin oleskelulupahakemusta, oleskelulupakorttihakemusta tai unionin kansalaisen perheenjäsenen oleskelukorttihakemusta varten tallennettuihin sormenjälkitietoihin. Lisäksi tallennettavia sormenjälkitietoja saa maahantulon edellytysten selvittämiseksi verrata henkilötietojen käsittelystä poliisitoimessa annetun lain 6 §:ssä tarkoitettuihin pakkokeinolain (806/2011) mukaisiin henkilötuntomerkkeihin kuuluviin sormenjälkiin siltä osin kuin jo rekisteröidyt sormenjälkitiedot liittyvät rikokseen, josta ankarin säädetty rangaistus on vähintään vuosi vankeutta.



171 §
Toimivaltaiset viranomaiset

Maahanmuuttovirasto rekisteröi hakijan oleskeluoikeuden ulkomaalaisasioiden asiankäsittelyjärjestelmään sekä myöntää määräaikaisen ja pysyvän oleskelukortin.




Tämä laki tulee voimaan päivänä kuuta 20 .


7.

Laki Maahanmuuttovirastosta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Maahanmuuttovirastosta annetun lain (156/1995) 1—3 §,

sellaisina kuin ne ovat, 1 ja 3 § laissa 975/2007 sekä 2 § laissa 1160/2016, seuraavasti:

1 §
Maahanmuuttovirasto

Sisäministeriön hallinnonalalla toimii Maahanmuuttovirasto.


2 §
Tehtävät

Maahanmuuttovirasto käsittelee ja ratkaisee ne ulkomaalaisia ja Suomen kansalaisuutta koskevat asiat, jotka laissa tai sen nojalla säädetään sen tehtäviksi.


Maahanmuuttovirasto vastaa:

1) kansainvälistä suojelua hakevien ja tilapäistä suojelua saavien vastaanoton käytännön toiminnan ohjauksesta, suunnittelusta ja valvonnasta;

2) säilöönottoyksiköiden käytännön toiminnan ohjauksesta ja valvonnasta;

3) valtion vastaanotto- ja järjestelykeskusten sekä valtion säilöönottoyksiköiden ylläpidosta;

4) ihmiskaupan uhrien auttamisen toimeenpanon ohjauksesta.


Maahanmuuttovirastolla on ulkomaalaisasioiden asiankäsittelyjärjestelmän ylläpito- ja kehitysvastuu. Maahanmuuttovirasto tuottaa toimialaansa koskevissa asioissa tietopalveluita sisäministeriölle ja muille viranomaisille sekä kansainvälisille järjestöille.


3 §
Muutoksenhaku

Muutoksenhausta Maahanmuuttoviraston päätökseen säädetään erikseen.



Tämä laki tulee voimaan päivänä kuuta 20 .


8.

Laki viranomaisten toiminnan julkisuudesta annetun lain 24 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 24 §:n 1 momentin 5 ja 24 kohta ja

lisätään 24 §:n 1 momenttiin, sellaisena kuin se on osaksi laeissa 1151/2001, 1060/2002, 281/2004, 713/2007, 274/2009, 458/2011, 528/2011, 91/2015, 756/2015, 19/2016, 808/2017 ja 604/2018, uusi 31 c kohta seuraavasti:

24 §
Salassa pidettävät viranomaisen asiakirjat

Salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä:


5) poliisin, Rajavartiolaitoksen, Tullin, vankeinhoitoviranomaisen ja Maahanmuuttoviraston taktisia ja teknisiä menetelmiä ja suunnitelmia koskevia tietoja sisältävät asiakirjat, jos tiedon antaminen niistä vaarantaisi rikosten ehkäisemistä ja selvittämistä tai yleisen järjestyksen ja turvallisuuden tai rangaistuslaitoksen järjestyksen ylläpitämistä taikka Maahanmuuttoviraston ulkomaalaista koskevan selvityksen luotettavuutta;


24) Maahanmuuttoviraston, poliisin, Rajavartiolaitoksen, työntekijän ja yrittäjän oleskelulupahakemuksia käsittelevien valtion aluehallintoviranomaisten ja ulkoasiainhallinnon asiakirjat, jotka koskevat ulkomaalaisten maahantuloa ja maastalähtöä tai maassa oleskelua koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa taikka Suomen kansalaisuuden saamista, säilyttämistä, menettämistä, kansalaisuudesta vapautumista tai kansalaisuusaseman määrittämistä, jollei ole ilmeistä, että tiedon antaminen niistä ei aiheuta vahinkoa tai haittaa asianosaiselle tai hänen läheiselleen; näitä asioita koskevat hallintopäätökset ovat salassa pidettäviä kuitenkin vain, jos ei ole ilmeistä, että tiedon antaminen niistä ei vaaranna asianosaisen tai hänen läheisensä turvallisuutta;


31 c) asiakirjat, jotka koskevat Suomessa oleskelevaa ulkomaalaista, jos on perusteltu syy epäillä, että tiedon antaminen niistä vaarantaa asianosaisen tai hänen läheisensä turvallisuuden;




Tämä laki tulee voimaan päivänä kuuta 20 .


9.

Laki turvallisuusselvityslain 25 ja 37 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan turvallisuusselvityslain (726/2014) 25 §:n 1 momentin 10 kohta ja 37 §:n 1 momentin 7 kohta seuraavasti:

25 §
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:


10) ulkomaalaisasioiden asiankäsittelyjärjestelmään tai kansalliseen viisumitietojärjestelmään, ja joiden tiedoista säädetään henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain ( / ) 7 §:n 1 momentissa, 2 momentin 1 tai 2 kohdassa tai 4 momentissa siltä osin kuin on kyse mainitun pykälän 1 momenttiin tai 2 momentin 1 tai 2 kohtaan liittyvistä perheenjäsenten, samassa taloudessa asuvien henkilöiden ja Suomessa olevien vastaanottajien henkilötiedoista taikka 8 §:ssä;



37 §
Yritysturvallisuusselvityksessä käytettävät tietolähteet

Yritysturvallisuusselvitystä laadittaessa voidaan käyttää:


7) sellaisia ulkomaalaisasioiden asiankäsittelyjärjestelmästä ja kansallisesta viisumitietojärjestelmästä saatavia tietoja, joista säädetään henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain 7 §:n 1 momentissa tai 2 momentin 1 tai 2 kohdassa;




Tämä laki tulee voimaan päivänä kuuta 20 .


10.

Laki Harmaan talouden selvitysyksiköstä annetun lain 6 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 6 §:n 1 momentin 25 kohta, sellaisena kuin se on laissa 722/2019, ja

lisätään 6 §:n 1 momenttiin, sellaisena kuin se on laeissa 308/2016, 858/2016, 1159/2016, 1413/2016, 1419/2016, 324/2017, 454/2017, 1112/2017, 404/2018, 414/2018 ja 722/2019 uusi 26 kohta seuraavasti:

6 §
Velvoitteidenhoitoselvityksen käyttötarkoitus

Velvoitteidenhoitoselvitys laaditaan tukemaan:


25) Kilpailu- ja kuluttajavirastolle kuuluvia tehtäviä kilpailulain (948/2011) 2 luvussa säädettyjen kilpailunrajoituskieltojen noudattamisen valvonnassa;

26) ulkomaalaislaissa (301/2004), kansalaisuuslaissa (359/2003), kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä kausityöntekijöinä työskentelyä varten annetussa laissa (907/2017), kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä yrityksen sisäisen siirron yhteydessä annetussa laissa (908/2017) ja kolmansien maiden kansalaisten maahantulon ja oleskelun edellytyksistä tutkimuksen, opiskelun, työharjoittelun ja vapaaehtoistoiminnan perusteella annetussa laissa (719/2018) säädettyjen ulkomaalaisen maahantuloa, maastalähtöä, oleskelua ja työntekoa sekä kansalaisuutta koskevien asioiden käsittelyä sekä niitä koskevaa päätöksentekoa ja niihin liittyvien valvontatehtävien hoitamista.




Tämä laki tulee voimaan päivänä kuuta 20 .


11.

Laki henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain 28 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1069/2015) 28 §:n 1 momentin 6 kohta seuraavasti:

28 §
Oikeus saada tietoja muilta viranomaisilta ja tiedonantovelvollisilta

Sen lisäksi, mitä muualla laissa säädetään, Rikosseuraamuslaitoksella on oikeus salassapitosäännösten estämättä saada toiselta viranomaiselta rikoksesta epäiltyä, tuomittua, vankia, Rikosseuraamuslaitoksen yksikköön otettua ja yhdyskuntaseuraamusta suorittavaa koskevat tiedot, jotka ovat tarpeen rangaistuksen täytäntöönpanoa tai tutkintavankeuden toimeenpanoa koskevan tehtävän taikka muun Rikosseuraamuslaitokselle kuuluvan tehtävän hoitamista varten, seuraavasti:


6) poliisilta, Rajavartiolaitokselta ja Maahanmuuttovirastolta tieto Rikosseuraamuslaitoksen yksikössä olevan tai olleen ulkomaalaisasioiden asiankäsittelyjärjestelmässä olevan ulkomaalaisen maassa oleskelua ja maasta poistamista koskevasta asiasta, maasta poistamista koskevan päätöksen toimeenpanosta sekä maahantulokiellosta ja sen pituudesta;




Tämä laki tulee voimaan päivänä kuuta 20 .


12.

Laki henkilökorttilain 13 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilökorttilain (663/2016) 13 §:n 1 ja 2 momentti seuraavasti:

13 §
Henkilötietojen tarkastaminen ja vastaavuus

Henkilökorttihakemusta käsittelevä viranomainen tarkastaa hakijan henkilötiedot väestötietojärjestelmästä ennen henkilökortin myöntämistä. Ulkomaalaisen henkilökorttia haettaessa henkilötiedot tarkastetaan lisäksi henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa ( / ) tarkoitetusta ulkomaalaisasioiden asiankäsittelyjärjestelmästä.


Hakemuksessa esitettyjen henkilötietojen tulee vastata väestötietojärjestelmän ja ulkomaalaisen henkilökorttia haettaessa myös ulkomaalaisasioiden asiankäsittelyjärjestelmän tietoja.




Tämä laki tulee voimaan päivänä kuuta 20 .


13.

Laki lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetun lain 7 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetun lain (657/2019) 7 §:n 3 momentin 6 kohta seuraavasti:

7 §
Matkustajarekisteritietojen käsittely

Matkustajatietoyksikkö voi verrata matkustajarekisteritietoja automatisoidusti seuraaviin tietoihin, tietojärjestelmiin ja rekistereihin:


6) henkilötietojen käsittelystä maahanmuuttohallinnossa annetun lain ( / ) 1 §:n 1 momentin 1, 2 ja 6 kohdan mukaisessa tarkoituksessa tallennetut tiedot;




Tämä laki tulee voimaan päivänä kuuta 20 .


14.

Laki henkilötietojen käsittelystä Puolustusvoimissa annetun lain 37 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019) 37 §:n 1 momentin 3 ja 12 kohta seuraavasti:

37 §
Oikeus saada henkilötietoja sotilastiedustelutehtävien sekä rikosten ennalta estämis- ja paljastamistehtävien hoitamista varten

Sen lisäksi, mitä muualla laissa säädetään, Puolustusvoimilla on oikeus saada sotilastiedustelutehtävien sekä sotilaskurinpidosta ja rikostorjunnasta annetun lain 86 §:n 1 momentissa tarkoitettujen rikosten ennalta- ja paljastamistehtävien suorittamiseksi salassapitosäännösten estämättä tarpeellisia tietoja seuraavasti:


3) ulkoministeriön tietojärjestelmistä Suomessa lähettäjävaltiota edustavan diplomaatti- ja konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen ja muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista ja näiden perheenjäsenistä sekä yksityisessä palveluksessa olevista henkilöistä, sekä henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa ( / ) säädetystä kansallisesta viisumitietojärjestelmästä tietoja viisumihakemuksista ja -päätöksistä;


12) ulkomaalaisasioiden asiankäsittelyjärjestelmästä matkustusasiakirjaa, oleskelua, kansainvälistä suojelua, maasta poistamista, maahantulokieltoa ja kansalaisuutta koskevia tietoja;




Tämä laki tulee voimaan päivänä kuuta 20 .


15.

Laki verotusmenettelystä annetun lain 18 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan verotusmenettelystä annetun lain (1558/1995) 18 §:n 7 momentti, sellaisena kuin se on laissa 71/2010, seuraavasti:

18 §
Viranomaisen yleinen tiedonantovelvollisuus

Henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa ( / ) tarkoitetun rekisterinpitäjän on toimitettava Verohallinnolle verotusta varten tarpeelliset tiedot ulkomaalaisen Suomessa oleskelusta, työnantajasta ja palvelussuhteesta sekä elinkeinotoiminnasta.




Tämä laki tulee voimaan päivänä kuuta 20 .


16.

Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 10 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 10 §:n 1 ja 2 momentti seuraavasti:

10 §
Ulkomaan kansalaista koskevien tietojen luotettavuuden varmistaminen

Maistraatin on tarkastettava, mitä tietoja ulkomaan kansalaisesta on talletettu henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa ( / ) tarkoitettuun ulkomaalaisasioiden asiankäsittelyjärjestelmään, ennen kuin se päättää häntä koskevan henkilötiedon lisäämistä, muuttamista tai korjaamista koskevan rekisterimerkinnän tekemisestä väestötietojärjestelmään. Valtioneuvoston asetuksella voidaan antaa tarkempia säännöksiä tarkastettavista tiedoista ja tarkastamisvelvollisuuden laajuudesta.


Jos ulkomaan kansalaisen maistraatille ilmoittamia tietoja ei ole talletettu ulkomaalaisasioiden asiankäsittelyjärjestelmään tai tiedot poikkeavat järjestelmään talletetuista tiedoista, maistraatin on ennen rekisterimerkinnän tekemistä pyydettävä asiasta Maahanmuuttoviraston lausunto. Maahanmuuttoviraston on käsiteltävä asia ilman aiheetonta viivytystä.




Tämä laki tulee voimaan päivänä kuuta 20 .


17.

Laki valtakunnallisista opinto- ja tutkintorekistereistä annetun lain 21 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan valtakunnallisista opinto- ja tutkintorekistereistä annetun lain (884/2017) 21 §:n 1 momentin 6 kohta, sellaisena kuin se on laissa 568/2019, seuraavasti:

21 §
Tietojen luovuttaminen opiskelijavalintarekisteristä

Opiskelijavalintarekisteristä saa luovuttaa 19 §:n 1 ja 5 momentissa tarkoitettuja tietoja salassapitosäännösten estämättä siinä määrin kuin 1 momentissa tarkoitetut tiedot ovat tarpeen ja 5 momentissa tarkoitetut tiedot ovat välttämättömiä vastaanottajan tehtävien hoitamiseksi:


6) Maahanmuuttovirastolle sille ulkomaalaislaissa (301/2004) tai kansalaisuuslaissa (359/2003) säädettyjen tehtävien hoitamista varten.




Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 12 päivänä syyskuuta 2019

Pääministeri
Antti Rinne

Sisäministeri
Maria Ohisalo

Asetusluonnos

Valtioneuvoston asetus väestötietojärjestelmästä annetun valtioneuvoston asetuksen 29 §:n muuttamisesta

Valtioneuvoston päätöksen mukaisesti

muutetaan väestötietojärjestelmästä annetun valtioneuvoston asetuksen (128/2010) 29 §, sellaisena kuin se on osaksi valtioneuvoston asetuksessa 142/2019, seuraavasti:

Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 10 §:n 1 momentissa tarkoitetusta ulkomaan kansalaisen tietojen tarkistamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmästä voidaan poiketa, jos ulkomaan kansalainen on esittänyt maistraatille:

1) kansalaisuusvaltionsa viranomaisen antaman voimassa olevan matkustusasiakirjan, josta hänet voidaan luotettavasti tunnistaa;

2) Suomen viranomaisen myöntämän voimassa olevan oleskeluluvan tai viisumin, jos ulkomaan kansalaisella on se oltava ulkomaalaislain (301/2004) mukaan; sekä

3) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 19 §:n 1 momentin mukaisesti luotettaviksi varmistetut asiakirjat tiedoista, jotka hän on ilmoittanut maistraatille ja jotka koskevat hänen siviilisäätyään, avioliittoaan tai rekisteröityä parisuhdettaan sekä puolisoaan ja lapsiaan.


Tietojen tarkistamisesta ulkomaalaisasioiden asiankäsittelyjärjestelmästä voidaan poiketa myös, jos tietojen tallettaminen tapahtuu viranomaisen aloitteesta ilman ulkomaan kansalaisen myötävaikutusta.


Muissa kuin 1 ja 2 momentissa tarkoitetuissa tapauksissa maistraatin on tarkistettava henkilötietojen käsittelystä maahanmuuttohallinnossa annetussa laissa ( / ) tarkoitetusta ulkomaalaisasioiden asiankäsittelyjärjestelmästä ainakin seuraavat ulkomaan kansalaisen maistraatille ilmoittamat tiedot:

1) nimet;

2) syntymäaika;

3) sukupuoli;

4) syntymävaltio ja syntymäpaikka;

5) kansalaisuus;

6) siviilisääty, avioliitto tai rekisteröity parisuhde;

7) puoliso ja lapset sekä alaikäisen vanhemmat.



Tämä asetus tulee voimaan XX päivänä XXkuuta 20XX.