Sisällysluettelo

Hallituksen esitys eduskunnalle laeiksi oikeusministeriön hallinnonalan eräiden henkilötietojen käsittelyä koskevien säännösten muuttamisesta HE 2/2020

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan tehtäviksi Euroopan unionin tietosuojalainsäädännöstä johtuvat välttämättömät lainmuutokset oikeusministeriön hallinnonalan lainsäädäntöön. Esityksessä ehdotetaan tarkistettavaksi oikeusministeriön hallinnonalan lainsäädäntöä erityisesti tietosuoja-asetuksen ja tietosuojalain soveltamisalalla, mutta myös eräitä rikosasioiden tietosuojalain soveltamisalaan kuuluvia lakeja muutettaisiin.

Esityksen tarkoituksena on yhdenmukaistaa henkilötietojen käsittelyyn liittyviä erityissäännöksiä sekä selkiyttää niiden suhdetta sovellettaviin yleissäädöksiin.

Ehdotetut lait on tarkoitettu tulemaan voimaan mahdollisimman pian, lukuun ottamatta eräitä ulosottokaaren muutoksia, jotka on tarkoitettu tulemaan voimaan 1 päivänä joulukuuta 2020.

YLEISPERUSTELUT

1 Johdanto

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (jäljempänä rikosasioiden tietosuojadirektiivi) tulivat voimaan 5 päivänä toukokuuta 2016. Tietosuoja-asetuksella kumottiin Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksiköiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (jäljempänä henkilötietodirektiivi). Rikosasioiden tietosuojadirektiivillä kumottiin neuvoston puitepäätös 2008/977/YOS, joka koski EU:n jäsenvaltioiden rajat ylittävää henkilötietojen käsittelyä rikosasioissa.

Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018. Tietosuoja-asetusta täydentävä tietosuojalaki (1050/2018) ja rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi annettu laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki) tulivat voimaan 1 päivänä tammikuuta 2019.

Tietosuoja-asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Lisäksi tietosuoja-asetuksen rinnalla sovellettavaksi voivat tulla tietosuojalaki tai kansallinen erityislainsäädäntö. Poliisin, syyttäjien, tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, rajavalvontaviranomaisen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasioissa sovelletaan kuitenkin yleislakina rikosasioiden tietosuojalakia. Kyseistä lakia sovelletaan myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.

Henkilötietojen käsittelyyn sovellettavien yleislakien lisäksi henkilötietojen käsittelyä koskevaa sääntelyä on runsaasti erityislainsäädännössä. Tämän esityksen valmistelun yhteydessä on käyty läpi 98 oikeusministeriön hallinnonalan lakia sen arvioimiseksi, miltä osin niitä on välttämätöntä muuttaa EU:n tietosuojalainsäädännöstä johtuen. Näistä yksityiskohtaisemmin on arvioitu alustavan tarkastelun perusteella 36 lakia, joista välittömiä muutostarpeita havaittiin 21 laissa. Muutettavien lakien joukossa on myös luottotietolaki (527/2007), maksupalvelulaki (290/2010) ja puoluelaki (10/1969), joiden muutostarpeita on arvioitu ja valmisteltu tämän esityksen valmistelun kanssa samanaikaisesti. Luottotietolain ja maksupalvelulain muutokset on kuitenkin tarkoitus toteuttaa myöhemmin erillisellä hallituksen esityksellä. Puoluelain muutoksista osa on siirretty erilliseen hallituksen esitykseen.

2 Nykytila

2.1 Lainsäädäntö ja käytäntö

Tietosuoja-asetuksen, tietosuojalain ja rikosasioiden tietosuojalain lisäksi oikeusministeriön hallinnonalalla on voimassa useita kymmeniä säädöksiä, joissa säädettyihin tehtäviin tai toimintaan liittyy henkilötietojen käsittelyä. Näistä ainoastaan osaan sisältyy varsinaisia henkilötietojen käsittelyä koskevia säännöksiä. Henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annettu laki (1069/2015) on ainoa hallinnonalalla voimassa oleva henkilötietojen käsittelyä koskeva erityislaki. Kyseistä lakia on muutettu rikosasioiden tietosuojalain säätämisen yhteydessä. Kumottua henkilötietolakia (523/1999) täydentävät henkilötietojen käsittelyä koskevat säännökset sisältävät tyypillisesti poikkeuksia rekisteröidyn tarkastusoikeutta ja arkaluonteisten henkilötietojen käsittelyä koskevaan sääntelyyn sekä henkilötietojen luovuttamista koskevia säännöksiä ja henkilörekisterien tietosisältöä ja tietojen yhdistämistä koskevia säännöksiä. Osaan erityislaeista sisältyy myös säännöksiä henkilötietojen käsittelyn valvonnasta.

Runsaslukuinen henkilötietojen käsittelyä koskeva sääntely perustuu pitkälti perustuslain 10 § 1 momentin vaatimukseen, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla, sekä perustuslakivaliokunnan aiempaan tähän ja yksityiselämän suojaan liittyvään tulkintakäytäntöön. Lisäksi viranomaisten toimintaan liittyvää henkilötietojen luovuttamista koskeva sääntely perustuu osittain tarpeeseen mahdollistaa henkilötietojen luovuttaminen viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetyistä salassapitosäännöksistä huolimatta.

Tähän esitykseen on sisällytetty tietosuoja-asetuksen soveltamisalaan kuuluvan henkilötietojen käsittelyä koskevan sääntelyn osalta lakiehdotukset seuraavien lakien muuttamiseksi: valmiuslaki (1552/2011), hallintolaki (434/2003), puoluelaki (10/1969), vaalilaki (714/1998), laki ehdokkaan vaalirahoituksesta (273/2009), laki saamelaiskäräjistä (974/1995), yhdistyslaki (503/1989), säätiölaki (487/2015), maakaari (540/1995), laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä (853/2016), ulosottokaari (705/2007), laki velkajärjestelyrekisteristä (368/2017), laki liiketoimintakiellosta (1059/1985), laki kriminologian ja oikeuspolitiikan instituutista (1139/2007), laki eläintenpitokieltorekisteristä (21/2011), laki Oikeusrekisterikeskuksesta (625/2012) ja laki konkurssi- ja yrityssaneerausrekisteristä (137/2004). Hallintolakia ja oikeusrekisterikeskuksesta annettua lakia lukuun ottamatta lakeihin sisältyy rekisterisääntelyä. Osa muutettavista laeista sisältää myös henkilötietojen luovuttamista koskevia säännöksiä. Lisäksi osassa laeista on jossain määrin päällekkäistä sääntelyä tietosuoja-asetuksen kanssa erityisesti siltä osin kuin on kyse rekisteröidyn oikeuksien käyttämisestä.

Rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvaa sääntelyä, jota ei ole muutettu rikosasioiden tietosuojalain säätämisen yhteydessä, sisältyy lakiin yhdyskuntaseuraamusten täytäntöönpanosta (400/2015). Lisäksi muutoksia ehdotetaan turvallisuusselvityslakiin (726/2014), jossa tarkoitettu henkilötietojen käsittely ei kuulu EU-oikeuden alaan, vaan tulee yleisen tietosuojasääntelyn piiriin kansallisen laajennuksen kautta. Laki yhdyskuntaseuraamusten täytäntöönpanosta ei sisällä rekisterisääntelyä, mutta turvallisuusselvityslaissa säädetään henkilörekistereistä. Lisäksi lait sisältävät henkilötietojen luovuttamista koskevaa lainsäädäntöä. Turvallisuusselvityslaissa on myös nimenomaiset säännökset rekisteröidyn tarkastusoikeudesta ja henkilötietojen käsittelyn valvonnasta. Turvallisuusselvityslain muutosten huomioimiseksi esitykseen sisältyy myös rikosasioiden tietosuojalain soveltamisalasäännösten muutosehdotus.

Tarkempi kuvaus muutettavien lakien henkilötietojen käsittelyä koskevista säännöksistä ja niiden oikeusperusteesta sisältyy kunkin lakiehdotuksen yksityiskohtaisten perustelujen alkuun.

2.1.1 Ahvenanmaan maakuntalainsäädäntö

Ahvenanmaan maakunnan lainsäädäntövallasta säädetään Ahvenanmaan itsehallintolain (1144/1991) 18 §:ssä. Valtakunnan lainsäädäntövallasta säädetään lain 27 §:ssä. Hallituksen esityksen valmistelun yhteydessä arvioinnin kohteena olleesta lainsäädännöstä suurin osa kuuluu valtakunnan lainsäädäntövaltaan. Ahvenanmaalla on lainsäädäntövaltaa erityisesti siltä osin kuin on kyse elinkeinotoiminnasta ottaen huomioon, mitä on säädetty lain 11 §:ssä, 27 §:n 2, 4, 9, 12—15, 17—19, 26, 27, 29—34, 37 ja 40 kohdassa sekä 29 §:n 1 momentin 3—5 kohdassa, kuitenkin niin, että myös maakuntapäivillä on toimivalta ryhtyä toimenpiteisiin näissä kohdissa tarkoitetun elinkeinotoiminnan edistämiseksi, teon rangaistavaksi säätämisestä ja rangaistuksen määrästä, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta, sekä uhkasakon asettamisesta ja tuomitsemisesta sekä muiden pakkokeinojen käytöstä, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta.

Tämän esityksen lakiehdotukset tulevat sellaisinaan sovellettaviksi Ahvenanmaalla, lukuun ottamatta eläintenpitokieltorekisteristä annetun lain muuttamista koskevaa lakiehdotusta.

2.2 Kansainväliset velvoitteet

2.2.1 EU:n lainsäädäntö

Tietosuoja-asetus on EU:n jäsenvaltioissa suoraan sovellettava säädös. Eräät tietosuoja-asetuksen säännökset kuitenkin mahdollistavat kansallisen liikkumavaran, jonka puitteissa voidaan antaa kansallisessa laissa täydentäviä tai tarkempia säännöksiä. Tietosuoja-asetuksen sallima kansallinen liikkumavara koskee erityisesti julkisen sektorin henkilötietojen käsittelyä, mutta jossain määrin myös yksityisen sektorin henkilötietojen käsittelyä. Kansallinen liikkumavara ei eräitä poikkeuksia lukuun ottamatta velvoita jäsenvaltioita säätämään tietosuoja-asetusta täydentävää tai täsmentävää kansallista lainsäädäntöä, vaan asiasta päättäminen on jätetty kansallisen lainsäätäjän harkintaan. Ottaen huomioon, että tietosuoja-asetus on suoraan sovellettava säädös, kansallista liikkumavaraa olisi käytettävä rajoitetusti. Perustuslakivaliokunta on ottanut asiaan nimenomaisesti kantaa käsitellessään tietosuoja-asetusta täydentävää tietosuojalakia ja rikosasioiden tietosuojalakia, ja on todennut, että henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla, ja että erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi. (Ks. tarkemmin jakso 3.2 sekä PeVL 14/2018 vp, s. 4—5 ja PeVL 26/2018 vp, s. 2—3) Lainsäädännön on myös täytettävä tietosuoja-asetuksen mukaisesti yleisen edun mukainen tavoite ja on oltava oikeassa suhteessa tavoiteltuun oikeutettuun päämäärään nähden.

Rikosasioiden tietosuojadirektiivi asettaa sen soveltamisalalla minimitason henkilötietojen suojalle, mutta ei estä antamasta kansallisesti sitä tiukempia säännöksiä henkilötietojen käsittelystä. Rikosasioiden tietosuojadirektiivi voidaan panna yleislain lisäksi täytäntöön osittain myös erityislainsäädännöllä. Direktiivi ei myöskään estä jäsenvaltioita täsmentämästä kansallisissa rikosprosessia koskevissa säännöksissään tuomioistuinten ja muiden oikeusviranomaisten suorittamaan henkilötietojen käsittelyyn liittyviä käsittelytoimia ja –menettelyitä.

Rikosasioiden tietosuojalain 2 §:n mukaisesti lain säännöksistä voidaan myös poiketa erityislainsäädännöllä. Säännösten yleisyystaso ei kuitenkaan ole sellaisenaan riittävä peruste säätää erityissäännöksin kyseisissä säädöksissä jo säädetyistä seikoista. Oikeusministeriön hallinnonalan lainsäädäntöä on eräiltä osin tarkistettu samassa yhteydessä, kun rikosasioiden tietosuojalaki säädettiin.

Eräisiin yksityisoikeuden ja rikosprosessioikeuden alaan kuuluviin EU-säädöksiin, jotka edellyttävät kansallista täytäntöönpanolainsäädäntöä, liittyy myös tarpeita antaa kansallisia henkilötietojen käsittelyä koskevia erityissäännöksiä. Tällaiseen EU-oikeuteen liittyvät lainmuutostarpeet arvioidaan kuitenkin erikseen täytäntöönpanolainsäädännön valmistelun yhteydessä. EU-oikeuden täytäntöönpanolainsäädäntöä on esimerkiksi laki rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä (214/2012), jonka osalta täytäntöönpanoa edellyttävä EU-lainsäädäntö on muuttunut.

2.2.2 Kansainväliset sopimukset

Henkilötietojen suojaa koskevaan lainsäädäntöön Euroopassa on merkittävällä tavalla vaikuttanut Euroopan neuvoston piirissä laadittu yksilöiden suojelua henkilötietojen automaattisessa tietojenkäsittelyssä koskeva yleissopimus (SopS 35—36/1992, jäljempänä tietosuojayleissopimus). Tietosuojayleissopimusta täydennettiin vuonna 2001 valvontaviranomaisia ja tietojen siirtoa rajojen yli koskevalla lisäpöytäkirjalla (ETS nro 181). Lisäpöytäkirja tuli Suomen osalta voimaan vuonna 2012.

Euroopan neuvostossa on laadittu tietosuojayleissopimuksen muuttamista koskeva pöytäkirja (ETS nro 223). Suomi on allekirjoittanut pöytäkirjan, mutta ei ole vielä ratifioinut sitä. Tietosuojayleissopimuksen muutokset saattavat sen sisällöllisesti lähemmäksi EU:n tietosuojalainsäädäntöä, mutta sen soveltamisala on samalla laajempi huomioiden erityisesti sen soveltamisen kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvään henkilötietojen käsittelyyn. Mahdollisesti tarvittavat asiasisältöiset lainmuutokset arvioidaan erikseen osana pöytäkirjan täytäntöönpanoa. Pöytäkirjasta ei johdu välittömiä muutostarpeita tämän esityksen valmistelun yhteydessä arvioituihin erityislakeihin.

2.3 Nykytilan arviointi

Oikeusministeriön hallinnonalalla voimassa olevan erityislainsäädännön sisältämät henkilötietojen käsittelyä koskevat säännökset ovat enimmäkseen kumottua henkilötietolakia täydentäviä säännöksiä. Säännöksiä on tarkistettu eräiltä osin EU:n tietosuojalainsäädännön mukaiseksi muiden lainsäädäntöhankkeiden yhteydessä. Muilta osin erityislainsäädäntöä on arvioitu tämän esityksen valmistelun yhteydessä sen selvittämiseksi, vastaavatko henkilötietojen käsittelyä koskevat erityissäännökset uuden EU:n tietosuojalainsäädännön ja sitä täydentävien yleislakien vaatimuksia.

Kun on kyse tietosuoja-asetuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä, tietosuoja-asetusta tarkentava kansallinen lainsäädäntö on mahdollista silloin, kun tietosuoja-asetus nimenomaisesti jättää jäsenvaltioille kansallista sääntelyliikkumavaraa. Kansallista sääntelyliikkumavaraa liittyy useaan tietosuoja-asetuksen artiklaan.

Sääntelyliikkumavaraa voidaan ensinnäkin käyttää, kun henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa. Tarkentava lainsäädäntö voi näissä tapauksissa sisältää erityisiä säännöksiä tietosuoja-asetuksen säännösten soveltamisen mukauttamiseksi, muun muassa käsittelyn lainmukaisuutta koskevia edellytyksiä, käsiteltävien tietojen tyyppiä, rekisteröityjä, säilytysaikoja, käyttötarkoitussidonnaisuutta ja käsittelytoimia koskevia säännöksiä. Jäsenvaltion lainsäädännön on 6 artiklan mukaan täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ottaen huomioon tietosuoja-asetuksen suoran sovellettavuuden sekä perustuslakivaliokunnan lailla säätämistä koskeva viimeaikainen tulkintakäytäntö (ks. erityisesti PeVL 14/2018 vp) erityissääntely tulisi rajoittaa vain välttämättömimpään.

Kansallista sääntelyliikkumavaraa sisältyy myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn osalta tietosuoja-asetuksen 9 artiklan 2 kohdan b, g, h, i ja j alakohtaan sekä 4 kohtaan. Artiklan 2 kohdan osalta sovellettavaksi tulee oikeusministeriön hallinnonalalla useimmiten g alakohta, eli kansallinen käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Lisäksi edellytetään, että käsittely on oikeasuhteista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.

Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely on tietosuoja-asetuksen 10 artiklan mukaan sallittua, kun se suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.

Tietosuoja-asetuksen 23 artikla sallii sen, että jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa tietosuoja-asetuksen 12—22 artiklassa ja 34 artiklassa, sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12—22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa. Tietosuoja-asetuksen 23 artiklan 1 kohdassa säädetään tavoitteista, joiden takaamiseksi rekisteröidyn oikeuksista on sallittua poiketa. Rajoituksissa on noudatettava keskeisiltä osin perusoikeuksia ja –vapauksia ja lainsäädäntötoimen on oltava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide kyseessä olevan tavoitteen toteuttamiseksi. Tietosuoja-asetuksen 12-22 artiklan osalta lisäksi rajoitusten edellytyksenä on, että jäsenvaltion lainsäädännön säännökset vastaavat näissä artikloissa säädettyjä oikeuksia ja velvollisuuksia. Artiklan 2 kohdassa säädetään vähimmäisvaatimuksista, jotka olisi sisällytettävä tarpeen mukaan lainsäädäntöön, jolla rajoituksista säädetään.

Rekisterinpitäjästä säätäminen on mahdollista tietosuoja-asetuksen perusteella. Rekisterinpitäjä määritellään tietosuoja-asetuksen 4 artiklan 7 kohdassa, jonka mukaan rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti, jos henkilötietojen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä.

Kansallista sääntelyliikkumavaraa sisältyy lisäksi muun muassa tietosuoja-asetuksen 86 artiklaan (henkilötietojen käsittely ja virallisten asiakirjojen julkisuus), 87 artiklaan (kansallisen henkilötunnuksen käsittely) ja 89 artiklan 2 ja 3 kohtaan (henkilötietojen käsittely tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten sekä yleisen edun mukaisia arkistointitarkoituksia varten).

Oikeusministeriön hallinnonalan lainsäädäntöä on tietosuoja-asetuksen soveltamisalalla arvioitu valmistelun aikana erityisesti seuraavien kriteerien valossa:

- mikä on henkilötietojen käsittelyn oikeusperuste,

- onko tietosuoja-asetusta täydentävä kansallinen lainsäädäntö mahdollista 6 artiklan 1 kohdan c tai e alakohdan nojalla,

- miten rekisterinpidosta on säädetty

- mahdollistaako kansallinen lainsäädäntö erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn, niiltä osin kuin mainittujen henkilötietojen käsittely on välttämätöntä, ja ovatko erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä ja suojatoimia koskevat säännökset riittävät 9 artiklan valossa,

- onko rikostuomiota ja rikkomuksia koskevien tietojen käsittely tietosuoja-asetuksen 10 artiklan mukaista,

- ovatko 23 artiklan sallimat rajoitukset rekisteröidyn oikeuksiin sääntelyliikkumavaran mukaisia,

- onko tietosuoja-asetuksen IX luvun sääntelyliikkumavaraa käytetty asetuksen sallimalla tavalla,

- sisältääkö kansallinen lainsäädäntö tietosuoja-asetuksen tai tietosuojalain kanssa tarpeetonta päällekkäistä sääntelyä (esimerkiksi rekisteröidyn oikeuksien käyttämistä ja valvontaa koskevat säännökset),

- sisältääkö lainsäädäntö henkilötunnuksen käsittelyä koskevia säännöksiä, ja

- sisältääkö lainsäädäntö vanhentuneita säädösviittauksia tai tietosuoja-asetuksesta poikkeavaa terminologiaa.

Edellä mainittujen kriteerien valossa arvioitujen säädösten osalta muutostarpeet liittyvät yleisimmin säännöksiin, jotka koskevat joko rekisteröidyn oikeuksia tai erityisiä henkilötietoryhmiä tai muuten arkaluonteisiksi katsottavia henkilötietoja. Yhdessä laissa muutostarpeet liittyvät yhteisrekisterinpitoa koskeviin säännöksiin. Rekisteröidyn oikeuksia koskevan sääntelyn osalta kyse on osittain tietosuoja-asetuksen kanssa päällekkäisestä sääntelystä. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta sääntelyä ei ole arvioinnissa pidetty kahdessa laissa kaikilta osin riittävän selkeänä ja tarkkarajaisena, huomioiden myös vaatimukset erityisistä suojatoimista. Muilta osin lainsäädännön muutostarpeet ovat vähäisempiä. Viittaussäännösten osalta on arvioitu, ehdotetaanko viittaukset kumottuun henkilötietolakiin poistettavaksi vai korvattavaksi uusilla viittauksilla sovellettavaan tietosuojasäädökseen. Lähtökohtaisesti viittaukset ehdotetaan korvattavaksi ainoastaan, jos sovellettava yleissäädös voisi muutoin jäädä epäselväksi tai viittaamiselle on erityinen syy.

Rikosasioiden tietosuojalain käsittelyn yhteydessä eduskunnassa hyväksyttiin muutoksia eräisiin oikeusministeriön hallinnonalan lakeihin. Näiden lisäksi on havaittu vielä muutostarpeita yhden sellaisen erityislain osalta, joka kuuluu rikosasioiden tietosuojalain soveltamisalaan. Lisäksi muutostarpeita on turvallisuusselvityslaissa, jossa tarkoitettu henkilötietojen käsittely kuuluu pitkälti kansallisen laajennuksen myötä rikosasioiden tietosuojalain soveltamisalaan.

Tietosuoja-asetuksen 2 artiklan 2 kohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Lisäksi soveltamisalan ulkopuolelle jää henkilötietojen käsittely, jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuoja-asetus tulee näin ollen sovellettavaksi kaikkeen henkilötietojen käsittelyyn, joka kuuluu unionin lainsäädännön alaan, mutta jää rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle. Suomessa tietosuojalain soveltamisala on kuitenkin kansallisesti laajennettu koskemaan eräin rajauksin myös sellaista henkilötietojen käsittelyä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Tietosuojalaki täydentää tietosuoja-asetusta ja sitä sovelletaan rinnakkain tietosuoja-asetuksen kanssa.

Tietosuoja-asetuksen tavoin rikosasioiden tietosuojadirektiiviä ei sovelleta henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön alaan. Rikosasioiden tietosuojadirektiiviä ei sovelleta esimerkiksi kansalliseen turvallisuuteen liittyvään henkilötietojen käsittelyyn, jolloin tähän toimintaan liittyvän henkilötietojen käsittelyn osalta sääntely on kokonaan kansallisessa harkinnassa. Rikosasioiden tietosuojalaki on kuitenkin laajennettu osittain koskemaan myös kansallisen turvallisuuden ylläpitämiseen liittyvää henkilötietojen käsittelyä.

Tietosuoja-asetuksen salliman sääntelyliikkumavaran käyttöön liittyvässä erityislainsäädännössä ja rikosasioiden tietosuojalain säännöksistä poikkeavassa erityislainsäädännössä on yleissäädösten asettamien vaatimusten lisäksi otettava huomioon perustuslaista, EU:n perusoikeuskirjasta ja kansainvälisistä ihmisoikeusvelvoitteista seuraavat vaatimukset.

3 Esityksen tavoitteet ja keskeiset ehdotukset

3.1 Tavoitteet

Esityksen sisältämien lakiehdotusten tavoitteena on varmistaa oikeusministeriön hallinnonalan lainsäädännön yhdenmukaisuus tietosuoja-asetuksen, tietosuojalain ja rikosasioiden tietosuojadirektiivin kanssa.

Ehdotettujen lainmuutosten tavoitteena on myös selkiyttää henkilötietojen käsittelyä koskevaa lainsäädäntöä siten, että erityislainsäädännöstä poistettaisiin yleislakien kanssa päällekkäiset säännökset. Sen lisäksi erityislainsäädäntöä tarkennettaisiin siltä osin kuin se on tarpeen EU-lainsäädännöstä johtuvista syistä.

3.2 Keskeiset ehdotukset ja toteuttamisvaihtoehdot

3.2.1 Turvallisuusselvityksiin sovellettava yleislaki

Turvallisuusselvityslakia (726/2014) ei ehdotettu muutettavaksi tietosuojalakia ja rikosasioiden tietosuojalakia säädettäessä, vaan turvallisuusselvityslaissa tarkoitettuun henkilötietojen käsittelyyn sovellettava yleislaki jätettiin arvioitavaksi myöhemmin. Tämän esityksen valmistelun aikana on ollut erityisesti arvioitavana kysymys siitä, liittyykö laissa tarkoitettu käsittely kansallisen turvallisuuden ylläpitämiseen siinä määrin, että käsittelyn voitaisiin katsoa kuuluvan rikosasioiden tietosuojalaissa omaksutun kansallisen soveltamisalan laajennuksen piiriin. Käsittelyn olisi täytettävä rikosasioiden tietosuojalain soveltamisalasäännöksessä säädetyt kriteerit.

Turvallisuusselvityslain tarkoituksena on sen soveltamisalasäännöksen mukaan parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä. Silloinkin, kun turvallisuusselvitys voidaan tehdä erittäin merkittävän yksityisen taloudellisen edun turvaamiseksi, laissa tarkoitetun toiminnan pääasiallinen tarkoitus on ehkäistä turvallisuutta vaarantavaa toimintaa. Laissa tarkoitetusta turvallisuusselvitysten tekemisestä ja henkilötietojen käsittelystä vastaavat Suojelupoliisi ja puolustusvoimien henkilökunnan osalta pääesikunta. Poliisi ja puolustusvoimat ovat rikosasioiden tietosuojalaissa tarkoitettuja toimivaltaisia viranomaisia siltä osin kuin on kyse lain soveltamisalaan kuuluvasta henkilötietojen käsittelystä. Turvallisuusselvityslaissa tarkoitettuja poliisin ja puolustusvoimien tehtäviä ei ole nimenomaisesti mainittu rikosasioiden tietosuojalain soveltamisalasäännöksissä. Turvallisuusselvityslaissa tarkoitetun henkilötietojen käsittelyn voidaan kuitenkin katsoa kuuluvan näiden viranomaisten osalta rikosasioiden tietosuojalain soveltamisalaan, jonka kansallista soveltamisalaa on laajennettu suhteessa rikosasioiden tietosuojadirektiivin soveltamisalaan siten, että se kattaa myös kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvän henkilötietojen käsittelyn.

Rikosasioiden tietosuojadirektiivi jättää tietosuoja-asetusta enemmän liikkumavaraa täydentävän kansallisen lainsäädännön osalta. Rikosasioiden tietosuojalaki mahdollistaa myös sen säännöksistä poikkeamisen erityislainsäädännössä sekä sen täydentämisen. Tavoitteena kuitenkin on myös rikosasioihin ja kansallisen turvallisuuden ylläpitämiseen liittyvän henkilötietojen käsittelyn osalta tarpeettoman päällekkäisen sääntelyn välttäminen esimerkiksi rekisteröidyn oikeuksia koskevien säännösten osalta. Turvallisuusselvityslaissa tarkoitettu henkilötietojen käsittely ehdotetaan sisällytettäväksi rikosasioiden tietosuojalain soveltamisalaan niiltä osin kuin on kyse Suojelupoliisista ja pääesikunnasta toimivaltaisina viranomaisina. Sen sijaan muiden turvallisuusselvityslaissa tarkoitettujen viranomaisten henkilötietojen käsittely kuuluisi tietosuoja-asetuksen soveltamisalaan silloin, kun ne luovuttavat tai vastaanottavat henkilötietoja turvallisuusselvityslain nojalla, ottaen huomioon rikosasioiden tietosuojalaissa tarkoitettuihin toimivaltaisiin viranomaisiin liittyvät rajoitukset.

Se, että jollakin viranomaisella on oikeus lain mukaan saada tietoja rikosasioiden tietosuojalain soveltamisalaan kuuluvasta rekisteristä tai rikosasioiden tietosuojalaissa tarkoitetulta toimivaltaiselta viranomaiselta ei tee tietojen vastaanottajasta kyseisessä laissa tarkoitettua toimivaltaista viranomaista. Sama koskee myös tietojen luovuttamista turvallisuusselvityksiä varten.

Rikosasioiden tietosuojalain soveltamisalasäännöksiä ehdotetaan täsmennettäväksi siten, että ne kattavat nimenomaisesti poliisin ja puolustusvoimien tehtävät, joista säädetään turvallisuusselvityslaissa. Turvallisuusselvityslakiin lisättäisiin säännökset selkeyden vuoksi sen suhteesta tietosuojalainsäädäntöön. Tietoja luovuttavien ja vastaanottavien viranomaisten osalta sääntelyä ehdotetaan tarkennettavaksi sen varmistamiseksi, että laista käy selkeästi ilmi eri viranomaisten rooli henkilötietojen käsittelyssä.

3.2.2 Rekisterinpitäjät

EU:n uudistetussa tietosuojalainsäädännössä rekisterinpitoon liittyvät periaatteet ovat säilyneet pitkälti ennallaan suhteessa henkilötietodirektiiviin. Tietosuoja-asetuksessa ja rikosasioiden tietosuojadirektiivissä on kuitenkin vahvistettu säännöksiä rekisterinpitäjän vastuusta, joka liittyy tämän suorittamaan tai rekisterinpitäjän puolesta suoritettuun henkilötietojen käsittelyyn. Rekisterinpitäjän vastuulla on erityisesti varmistaa, että henkilötietojen käsittelytoimet ovat asianmukaisia ja tehokkaita ja sen on voitava osoittaa, että käsittelytoimet ovat tietosuoja-asetuksen tai rikosasioiden tietosuojalain mukaisia. Rekisterinpitäjän on kaikessa henkilötietojen käsittelyssä otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin liittyvät riskit.

Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa säädetään myös rekisteröidyn oikeuksista, joihin kuuluvat muun muassa oikeus saada tieto henkilötietojen käsittelystä, rekisteröidyn oikeus tutustua itseään koskeviin henkilötietoihin sekä oikeus epätarkkojen ja virheellisten henkilötietojen oikaisemiseen tai poistamiseen. Rekisteröity käyttää näitä oikeuksiaan suhteessa rekisterinpitäjään. Ottaen huomioon rekisterinpitäjän roolin sen varmistamisessa, että rekisteröity voi tosiasiallisesti käyttää oikeuksiaan, lainsäädäntöä ehdotetaan tarkennettavaksi niissä laeissa, joissa voisi syntyä epäselvyyttä rekisterinpitäjästä. Rekisterinpitäjää koskevien säännösten sanamuotoa ehdotetaan tarkistettavaksi yhdenmukaisuussyistä myös eräiltä muilta osin. Lisäksi rekisterinpitäjät olisi täsmennettävä niissä laeissa, joissa kyseessä on tietosuoja-asetuksen 26 artiklassa tarkoitetuista yhteisrekisterinpitäjistä. Termiä yhteisrekisterinpitäjä ei ole käytetty Suomen lainsäädännössä, mutta yhteisrekisterinpitotilanteita on tosiasiallisesti useassa oikeusministeriön hallinnonalan laissa. Esimerkiksi laissa oikeushallinnon valtakunnallisesta tietojärjestelmästä (372/2010) tietojärjestelmän ylläpitoon liittyvät tehtävät on säädetty eri viranomaisen vastuulle kuin muut tyypillisesti rekisterinpitäjälle kuuluvat tehtävät. Kyseistä lakia ei ehdoteta muutettavaksi tässä esityksessä. Sen säännöksiä arvioidaan erillisen säädöshankkeen yhteydessä. Lisäksi eräissä laeissa (valmiuslaki, turvallisuusselvityslaki, vaalilaki) on säädetty kahdelle tai useammalle viranomaiselle samanlainen pääsy tietojärjestelmään tai rekisteriin. Valmiuslakia ja turvallisuusselvityslakia ehdotetaan eräiltä osin tarkennettavaksi rekisterinpidon ja tietojen tallentamisen tai luovuttamisen välisen eron selventämiseksi. Osaan laeista sisältyy erilaisia rekisterinpitotilanteita, joissa osassa rekisterinpitäjä on yksityinen yhteisö tai yksityishenkilö (yhdistyslaki, puoluelaki, laki ehdokkaan vaalirahoituksesta). Näissä tilanteissa ehdotetaan säilytettäväksi nykytila selkiyttämällä ja tarkentamalla pykäliä siten, että eri rekisterinpitotilanteet käyvät laista selkeämmin ilmi. Muutosehdotukset on sisällytetty tähän esitykseen siltä osin kuin lakeja ei ole muutettu tai olla muuttamassa muulla hallituksen esityksellä.

Silloin kun kyse on yhteisrekisterinpidosta, tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi jättävät jäsenvaltioille liikkumavaraa siltä osin, säädetäänkö laissa yhteisrekisterinpitäjien vastuualueista ja millä tavalla niistä olisi säädettävä. Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on perustuslakivaliokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I). Esityksessä ehdotetaan määritettäväksi ainakin pääpiirteittäin rekisterinpitäjien vastuut ja velvollisuudet, jotka perustuisivat tietosuoja-asetuksen ja rikosasioiden tietosuojalain sisältämiin yleisesti sovellettaviin säännöksiin. Yhteisrekisterinpito on ulosottokaaressa korvattu yksittäistä rekisterinpitäjää koskevalla säännöksellä, joka tulee voimaan 1.1.2020. Vastaava muutos on jo tehty vaalilakiin (lainmuutos 1132/2019). Tässä esityksessä viranomaisten välinen yhteisrekisterinpitotilanne sisältyy lakiehdotukseen turvallisuusselvityslain muuttamisesta. Lain säännöksiä ehdotetaan tarkennettavaksi siten, että rekisterinpitovastuu jakautuu selvityksen kohteena olevien henkilöryhmien perusteella, mutta muilta osin rekisterinpitäjän tehtävät säädettäisiin yhdelle viranomaiselle, Suojelupoliisille, joka vastaisi erityisesti henkilötietojen luovuttamiseen ja tietojärjestelmän tietoturvallisuuteen liittyvistä tehtävistä. Näin varmistettaisiin, että vastuunjako on selkeä ja että rekisterinpitovastuun osalta ei jää kattamatta mitään tehtäviä. Rekisterinpitäjät voisivat sopia yleislakien nojalla tarkemmin yksityiskohdista esimerkiksi siltä osin, mikä rekisterinpitäjä olisi ensisijainen yhteyspiste yksittäisten henkilötietojen käsittelytilanteiden osalta.

3.2.3 Erityisiin henkilötietoryhmiin kuuluvat tiedot

Erityisiin henkilötietoryhmiin kuuluvat, tietosuoja-asetuksen 9 artiklan 1 kohdassa mainitut tiedot tarkoittavat henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja –vapauksien kannalta. Tietosuoja-asetuksen mukaisesti näitä tietoja on suojeltava erityisen tarkasti, huomioiden, että niihin liittyvän käsittelyn asiayhteys voi aiheuttaa huomattavia riskejä perusoikeuksille ja –vapauksille. Tietosuoja-asetuksen lähtökohtana on, että tällaisia henkilötietoja ei saa käsitellä, jollei käsittelyä ole nimenomaisesti sallittu tietosuoja-asetuksessa säädetyillä perusteilla. Jos erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykiellosta poiketaan lailla, on poikkeuksista säädettävä nimenomaisesti joko unionin tai jäsenvaltion lainsäädännössä. Useimmat tietosuoja-asetuksen 9 artiklan 2 kohdan poikkeamisperusteet myös edellyttävät erityisiä suojatoimia rekisteröidyn oikeuksien turvaamiseksi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn yhteydessä. Lisäksi jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä.

Perustuslakivaliokunta on äskettäin tarkistanut kantaansa henkilötietojen käsittelyä koskevan sääntelyn lakitasoisuuden, kattavuuden ja yksityiskohtaisuuden vaatimuksista (PeVL 17/2018 vp, ks. PeVL 14/2018 vp.). (ks. tarkemmin jäljempänä kappale 3.2). Perustuslakivaliokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. (PeVL 14/2018 vp, s. 4.) Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. (PeVL 14/2018 vp, s. 5)

Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida sääntelyn laintasoisuuden näkökulmasta. Tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevassa sääntelyssä on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp, s. 6). Perustuslakivaliokunnan mukaan arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamissa puitteissa yksityiskohtaista ja kattavaa (PeVL 17/2018 vp, s. 7).

Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (PeVL 14/2018 vp, s. 9), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi. (PeVL 15/2018 vp, s. 39, PeVL 17/2018 vp, s. 6) Perustuslain säädöshierarkkisen aseman vuoksi on selvää, että valiokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samaistu henkilötietolain sääntelyyn (PeVL 15/2018 vp, s. 41, PeVL 17/2018 vp, s. 7) Kumotussa henkilötietolaissa arkaluonteisina henkilötietoina on tietosuoja-asetuksen 9 artiklan 1 kohdassa mainittujen tietojen lisäksi pidetty myös tietosuoja-asetuksen 10 artiklassa tarkoitettuja rikostuomioihin ja rikkomuksiin (rikoksiin) liittyviä henkilötietoja, sekä sosiaalihuollon etuuksiin liittyviä henkilötietoja. Henkilötietolain arkaluonteisten henkilötietojen käsite siten poikkeaa tietosuoja-asetuksen erityisiin henkilötietoryhmiin kuuluvien tietojen käsitteestä.

Tämän esityksen valmistelun yhteydessä on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin kuuluvien tietojen sekä muiden arkaluonteisiksi katsottavien henkilötietojen käsittelyä koskeviin säännöksiin. Oikeusministeriön hallinnonalan lakeja on arvioitu edellä mainittujen periaatteiden ja tietosuoja-asetuksen salliman sääntelyliikkumavaran mukaisesti sekä sen valossa, miltä osin yleissäädöksinä sovellettavien tietosuoja-asetuksen ja tietosuojalain sääntely on riittävää. Eräisiin esitykseen sisältyviin lakiehdotuksiin (valmiuslaki, laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä, ulosottokaari) on sisällytetty tarkennuksia siltä osin kuin voimassa olevaa sääntelyä ei ole pidetty riittävänä. Nykytila on pyritty säilyttämään käsiteltävien arkaluonteisten henkilötietojenosalta, mutta sääntely olisi nykyistä tarkkarajaisempaa. Lisäksi sovellettavia suojatoimia koskevia säännöksiä ehdotetaan eräiltä osin selkiytettäväksi.

4 Esityksen vaikutukset

4.1 Taloudelliset vaikutukset

Tietosuojalainsäädännön uudistamisesta on aiheutunut merkittäviä taloudellisia vaikutuksia. Vaikutukset ovat seuranneet pääosin suoraan tietosuoja-asetuksesta, jonka soveltaminen on jo alkanut, mutta lisävaikutuksia on aiheutunut EU:n tietosuojalainsäädäntöä täydentävistä yleislaeista, tietosuojalaista ja rikosasioiden tietosuojalaista. Aiempaa yksityiskohtaisemmista ja tiukemmista vaatimuksista on aiheutunut eri tasoisia kustannuksia sekä valvontaviranomaisille että rekisterinpitäjille ja henkilötietojen käsittelijöille sekä yksityisellä että julkisella sektorilla. Tietosuojalainsäädännön vaatimusten noudattaminen on aiheuttanut näille toimijoille myös tarpeita tehdä muutoksia muun muassa toimintatapoihin ja tietojärjestelmiin.

Esityksessä ehdotetuilla viranomaisia koskevilla lainmuutoksilla ei pääsääntöisesti olisi itsenäisiä tietosuojavaatimuksista aiheutuvia taloudellisia vaikutuksia, joita ei ole jo syntynyt yleisen henkilötietojen käsittelyä koskevan sääntelyn voimaantulosta. Esityksen tarkoituksena on saattaa muutettavat säännökset EU:n tietosuojalainsäädännön vaatimusten mukaisiksi ja selkiyttää niiden suhdetta sovellettaviin henkilötietojen käsittelyä koskeviin yleissäädöksiin. Esityksen sisältämien lakiehdotusten sisältämät muutokset ovat luonteeltaan pääosin teknisiä, eikä esityksellä siten arvioida olevan merkittäviä taloudellisia tai muita yhteiskunnallisia vaikutuksia. Ehdotetut muutokset eivät yhdistyslakia lukuun ottamatta koske yksityisiä yhteisöjä rekisterinpitäjinä. Esityksen lakiehdotusten sisältämät ehdotetut lainmuutokset on myös muilta osin laadittu siten, että niissä on pyritty varmistamaan nykytilan ja käytäntöjen säilyminen mahdollisimman pitkälti. Taloudellisia vaikutuksia arvioidaan aiheutuvan lähinnä ulosottorekisteriä koskevista muutosehdotuksista sekä mahdollisesti työvelvollisuusrekisteriä koskevista muutosehdotuksista. Muutoin ehdotetuilla pykälätarkistuksilla voisi olla vähäisiä vaikutuksia viranomaisten toimintamenoihin rekisterinpitäjinä siten kuin jäljempänä selostetaan.

4.1.1 Vaikutukset viranomaisten tietojärjestelmiin

Ulosottokaaren 1 luvun 26 §:ään ehdotetaan muutoksia, jotka tarkoittaisivat kolmen uuden tietoryhmän tallettamista ulosottorekisteriin. Näillä muutoksilla olisi tietojärjestelmävaikutuksia. Koska kyseessä olisivat arkaluonteisina pidettävät henkilötiedot, rekisteröidyn oikeuksien suojaamiseksi rekisterinpitäjältä edellytettäisiin tietosuoja-asetuksen ja tietosuojalain mukaisesti asianmukaisia ja erityisiä toimenpiteitä, joita ovat esimerkiksi rekisterinpitäjän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin muilta kuin niitä tehtäviensä hoitamiseen tarvitsevilta, ja toimenpiteet, joilla voidaan jälkeenpäin varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty. Henkilötietoja voisi esimerkiksi suojata muita tietoja rajatummalla näkyvyydellä tietojärjestelmässä, mistä aiheutuisi kustannusvaikutuksia. Lisäksi uusista tietoryhmistä kahden osalta ehdotetaan lyhyempää säilytysaikaa kuin asianhallintatietojen osalta. Myös tällä voisi olla kustannusvaikutuksia.

Ulosottorekisteriin kohdistuvien kustannusvaikutusten arvioidaan olevan yhteensä 5 000—10 000 euroa. Kustannukset katettaisiin valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista tai muista tietojärjestelmän kehittämiseen varatuista määrärahoista.

Valmiuslakia ehdotetaan tarkennettavaksi siltä osin, millä edellytyksillä terveydentilaa tai vammaisuutta koskevia tietoja saisi tallentaa työvelvollisuusrekisteriin. Vaatimus olisi huomioitava rekisteriä perustettaessa. Kustannukset katettaisiin valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista tai muista tietojärjestelmän kehittämiseen varatuista määrärahoista.

4.1.2 Vaikutukset viranomaisten toimintaan

Oikeusministeriön hallinnonalan erityislainsäädännön tarkistamisesta yhdenmukaiseksi tietosuoja-asetuksen kanssa saattaa seurata hallinnonalan viranomaisille ja julkisia hallintotehtäviä hoitaville organisaatioille vähäisiä hallinnollisia kuluja. Toisaalta esityksen tavoitteena on selkiyttää sääntelyä erityisesti siltä osin kuin on kyse rekisterinpitäjään kohdistuvista EU:n tietosuojalainsäädännön vaikutuksista, jotta viranomaisten olisi helpompi ottaa tietosuojalainsäädännön vaatimukset huomioon.

Rekisterinpitäjiä koskevilla täsmennyksillä voisi olla rekisterinpitäjien toimintatapoihin hallinnollista taakkaa aiheuttavaa vaikutusta, joka syntyisi erityisesti tietosuojaviranomaisten kuulemisvelvoitteista, rekisteröidyn informointivelvoitteista ja henkilökunnan perehdyttämisestä ja koulutuksesta. Esimerkiksi tietosuojaselosteita voitaisiin joutua tarkistamaan. Näiden vaikutusten arvioidaan kohdistuvan lähinnä ulosottolaitokseen, suojelupoliisiin ja pääesikuntaan rekisterinpitäjinä.

Rekisterinpitäjiä koskevien säännösten täsmennyksiä ehdotetaan viranomaisten osalta puoluelakiin, vaalilakiin, lakiin ehdokkaan vaalirahoituksesta, lakiin saamelaiskäräjistä, säätiölakiin, maakaareen, lakiin velkajärjestelyrekisteristä, lakiin kriminologian ja oikeuspolitiikan instituutista, turvallisuusselvityslakiin ja lakiin konkurssi- ja yrityssaneerausrekisteristä. Hallinnollista taakkaa arvioidaan aiheutuvan turvallisuusselvityslakiin ehdotettavista muutoksista. Turvallisuusselvityslain voimassa olevien säännösten mukaisesti Suojelupoliisi on pääasiallinen rekisterinpitäjä. Pääesikunnan tehtävä rekisterinpitäjänä ei nimenomaisesti ilmene laista, mutta turvallisuusselvityslain mukaan sillä on suojelupoliisin kanssa samanlainen tehtävä turvallisuusselvitysten tekemisessä oman henkilökuntansa osalta. Sen täsmentäminen, että Suojelupoliisi ja pääesikunta ovat yhteisrekisterinpitäjiä, vastaisi siten nykytilaa eikä muutoksilla arvioida olevan merkittäviä vaikutuksia. Toisaalta yhteisrekisterinpito voisi edellyttää sisäisten ohjeiden ja rekisteröityjen informoitiin liittyvän tiedotusmateriaalin täsmentämistä, minkä lisäksi henkilökuntaa voisi olla tarpeen perehdyttää siihen, mitä rikosasioiden tietosuojalain mukainen yhteisrekisterinpito tarkoittaa. Hallinnollisen taakan arvioidaan jäävän vähäiseksi. Muissa laeissa kyse on rekisterinpitoa koskevista teknisistä selvennyksistä, joilla säilytetään kaikilta osin nykytila ja joilla ei siten olisi hallinnollista taakkaa aiheuttavia vaikutuksia tai kustannusvaikutuksia.

Rekisterinpitäjille voisi aiheutua hallinnollista taakkaa myös ehdotetuista henkilötietojen luovuttamista koskevien säännösten tarkistuksista. Näiltä osin ehdotetaan muutoksia eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annettuun lakiin ja ulosottokaareen. Eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annetun lain muuttaminen yleisen tietoverkon välityksellä tapahtuvien tiedonluovutusten osalta siten, että tietoja voidaan hakea vain yksittäisinä hakuina, aiheuttaisi muutoksen tietojen julkaisukäytäntöön. Lainvalmistelun aikana saadun selvityksen mukaan ehdotetulla muutoksella ei kuitenkaan olisi tietojärjestelmävaikutuksia tai muita kustannusvaikutuksia.

Ulosottokaaren osalta ehdotetaan usean tiedonluovutussäännöksen tarkistamista siten, että luovutettavien tietojen olisi oltava tarkoitukseensa välttämättömiä. Välttämättömyyden asettaminen tietojen luovuttamisen kriteeriksi edellyttäisi rekisterinpitäjältä tapauskohtaista arviointia, siitä, onko pyytävän viranomaisen tietopyyntö riittävän yksilöity. Käytännössä välttämättömyyden arviointi tapahtuisi pyytävän viranomaisen toimesta, lukuun ottamatta oma-aloitteista tietojen luovuttamista. Tiedonluovutukset ovat kuitenkin voimassa olevissa säännöksissä jo rajoitettuja yksittäistapauksiin tai omasta aloitteesta tapahtuvaan luovuttamiseen, jolloin tapauskohtaista arviointia käytännössä edellytetään jo nykyisin tietojen tarpeellisuuden osalta. Tietojen välttämättömyys kriteerinä tarkoittaisi korostetumpaa arviointivelvollisuutta.

Ulosottoviranomaiselle säädettäisiin lisäksi oikeus luovuttaa ulosottorekisterin tietoja Suojelupoliisille valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämiseksi. Tiedon luovuttaminen Suojelupoliisille on ollut mahdollista jo aiemmin voimassa olleen lainsäädännön törkeiden rikosten ennalta estämiseksi ja tapahtuisi entiseen tapaan Suojelupoliisin pyynnöstä. Suojelupoliisin toimivaltuuksien kattamat rikokset eivät ole muuttuneet, vaan ainoastaan esitutkintavaltuudet on poistettu. Muutoksella ei siten arvioida olevan vaikutuksia viranomaisten menoihin. Ehdotetut muutokset voisivat kuitenkin aiheuttaa tarvetta rekisterinpitäjän sisäisten menettelyohjeiden tarkentamiseen. Rekisterinpitäjän olisi lisäksi huolehdittava rekisteröityjen riittävästä informoimisesta muun muassa henkilötietojen luovutustarkoituksesta ja käytettävissä olevista oikeussuojakeinoista. Tästä aiheutuvan hallinnollisen taakan arvioidaan jäävän vähäiseksi.

Turvallisuusselvityslakiin ehdotetaan 50 §:n 3 momentin muutosta, jolla viittaus epäiltyjen tietojärjestelmään korvattaisiin viittauksella henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019) 7 §:n 2 momenttiin. Epäiltyjen tietojärjestelmän korvaavan rekisterin tietosisältö on merkittävästi laajempi sen sisältämien henkilöryhmien osalta, minkä lisäksi näitä koskevien tietojen tallentamiskynnystä on madallettu suhteessa kumottuun lakiin henkilötietojen käsittelystä poliisitoimessa (761/2003). Tästä johtuen muutoksesta voisi aiheutua hallinnollista taakkaa, joka aiheutuisi siitä, että viranomaisten olisi aiempaa tarkemmin arvioitava, mitkä rekisterin tiedoista ovat välttämättömiä turvallisuusselvityksen tekemiselle. Turvallisuusselvityslain 50 §:n 3 momentissa tarkoitettu tietojen käsittely on kuitenkin rajoitettu lain 25 §:n 2 momentin mukaisin kriteerein, joiden olisi edelleen täytyttävä. Muutos vastaisi siten suurimmaksi osaksi nykytilaa ja sillä arvioidaan olevan enintään vähäisiä vaikutuksia viranomaisten toimintaan. Turvallisuusselvityslaissa lisäksi yhteisrekisterinpitäjien täsmentäminen tarkoittaisi aiempaa selvemmin, että muut laissa tarkoitetut toimivaltaiset viranomaiset olisivat joko tietoja luovuttavia tai vastaanottavia viranomaisia. Käytäntö vastaisi kuitenkin nykytilaa myös tältä osin eikä tietoja luovuttaville ja vastaanottaville viranomaisille aiheutuisi ylimääräistä hallinnollista taakkaa.

Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevia tarkentavia säännöksiä ehdotetaan valmiuslakiin, eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annettuun lakiin ja ulosottokaareen, jotka sisältävät säännöksiä viranomaisten ylläpitämistä tietojärjestelmistä ja rekistereistä. Eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annettuun lakiin ehdotetaan tarkennettavaksi käsittelyoikeus, joka koskisi tietosuoja-asetuksen 10 artiklassa tarkoitettujen henkilötietojen käsittelyä. Tietoja ei ole tarkoitus tallentaa tietojärjestelmään, joten tietojärjestelmän muuttamiseen liittyviä kustannusvaikutuksia ei syntyisi. Ulosottokaaren muutokset, jotka koskevat terveydentilaa tai vammaisuutta koskevien tietojen, rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyvien henkilötietojen sekä työturvallisuustietojen käsittelyä, eivät ole pelkästään yleisestä tietosuojalainsäädännöstä, vaan myös perustuslain tulkintakäytännöstä johtuvia sisällöllisiä muutoksia. Erityisten henkilötietoryhmien tai muutoin arkaluonteisten henkilötietojen käsittelyyn liittyvät lainmuutokset voisivat aiheuttaa tarvetta henkilökunnan perehdyttämiseen ohjeistuksen tai koulutuksen avulla.

Lisäksi ulosottoviranomaisille voi aiheutua hallinnollista taakkaa ehdotetuista ulosottokaaren 1 luvun 28 §:n muutoksista, jotka liittyvät rekisteröidyn tarkastusoikeuden rajoittamiseen, jos ne aiheuttavat tarvetta tarkistaa menettelytapoja tai perehdyttää henkilökuntaa. Muutoksilla on pyritty pitäytymään mahdollisimman lähellä nykytilaa, jolloin hallinnollisen taakan arvioidaan jäävän vähäiseksi.

Edellä yksilöidyt lainmuutokset voisivat aiheuttaa erityisesti koulutuksen osalta vaikutuksia viranomaisen hallinnollisiin menoihin, joiden arvioidaan jäävän vähäisiksi. Mahdolliset kustannukset katettaisiin valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista.

4.2 Yhteiskunnalliset vaikutukset

4.2.1 Vaikutukset kansalaisten asemaan yhteiskunnassa ja kansalaisyhteiskunnan toimintaan

Esityksen sisältämillä lakiehdotuksilla ei olisi yleisestä tietosuojalainsäädännöstä riippumattomia itsenäisiä yhteiskunnallisia vaikutuksia.

Euroopan komissio on omassa EU-tason vaikutustenarvioinnissaan kiinnittänyt huomiota siihen, että aiempaa yhtenäisempi sääntely EU:n laajuisesti selkiyttää oikeustilaa ja parantaa kansalaisten luottamusta yritysten ja viranomaisten henkilötietojen käsittelyyn. Toisaalta pitkällä aikavälillä uusi tietosuojasääntely myös kannustaa kehittämään tietojärjestelmiä varmemmiksi ja tietoturvallisemmiksi. Lisäksi henkilötietojen käsittelyä ja käsittelyn valvontaa koskevalla aiempaa yksityiskohtaisemmalla sääntelyllä voidaan arvioida olevan tietosuojarikkomusten ja tietoturvallisuusloukkausten riskejä vähentävää vaikutusta. Samalla uuden sääntelyn on arvioitu myös parantavan rekisteröidyn oikeusturvaa. Lakiehdotusten sisältämillä muutoksilla voidaan arvioida olevan kokonaisuutena näitä yleisen tietosuojalainsäädännön tavoitteita tukevaa vaikutusta.

Esityksen tavoitteena on selkiyttää lainsäädäntöä muun muassa täsmentämällä rekisterinpitäjä silloin, kun se ei ilmene laista selvästi. Näiden muutosten arvioidaan vahvistavan kansalaisen mahdollisuuksia käyttää yleisen tietosuojalainsäädännön mukaisia rekisteröidyn oikeuksiaan rekisterinpitäjää kohtaan. Samalla rekisterinpitäjää koskevilla täsmennyksillä arvioidaan olevan kansalaisen oikeusturvaa parantavaa vaikutusta myös siten, että rekisterinpitäjien tietoisuus omista velvoitteista lisääntyy. Näitä vaikutuksia on erityisesti yhdistyslakiin, puoluelakiin ja vaalilakiin tehdyillä tarkistuksilla, huomioiden että lait sisältävät useamman kuin yhden toisistaan poikkeavan rekisterinpitotilanteen. Nämä säädökset ovat myös merkityksellisiä laajemmin kansalaisyhteiskunnan toiminnalle. Yhdistyslakiin ehdotettava nimenomainen säännös yhdistyksen rekisterinpitovastuusta oman jäsenrekisterinsä osalta korostaa yhdistyksen asemaa kansalaisyhteiskunnassa. Yhdistyslain täsmennyksessä on kyse siitä, että lakia koskevan aiemman hallituksen esityksen perusteluista rekisterinpitoa koskevat yksityiskohdat ehdotetaan nostettavaksi lain säännöksiin, jotka siten vastaisivat täysin nykytilaa. Lähtökohtaisesti yhdistyksen hallituksen on tullut käytännössä huolehtia yhdistyksen vastuulle kuuluvista rekisterinpitäjän tehtävistä jo kumotun henkilötietolain nojalla, mutta velvollisuudet korostuisivat aiempaa selvemmin, kun yhdistyksen tehtävä rekisterinpitäjänä täsmennetään laissa.

Lisäksi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyä koskevilla täsmennyksillä arvioidaan olevan kansalaisen yksityiselämän suojaa vahvistavaa vaikutusta, huomioiden tällaisten tietojen arkaluonteisuuden. Näitä täsmennyksiä ehdotetaan valmiuslakiin, eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annettuun lakiin ja ulosottokaareen.

4.2.2 Muut vaikutukset

Luonnos hallituksen esitykseksi eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi on ollut lainsäädännön arviointineuvostossa arvioitavana. Arviointineuvosto antoi lausuntonsa esitysluonnoksesta 8.2.2018. Arviointineuvosto kiinnitti esityksen ohella huomiota siihen, että asetusta täydentävän lain lisäksi on ollut tarkoituksena tehdä muutoksia satoihin kansallisiin erityislakeihin. Sääntelyä on arviointineuvoston mukaan periaatteessa mahdollista keventää, koska osa erityislakien sääntelystä voidaan poistaa riskiperusteisuuden vuoksi. Toisaalta on mahdollista, että sääntely myös kasvaa täsmentävällä lainsäädännöllä. Arviointineuvoston esittämät huomiot on pyritty ottamaan huomioon tätä esitystä valmisteltaessa siten, että yleislainsäädännön suhdetta erityislainsäädäntöön on arvioitu tarkemmin ja pyritty selkiyttämään.

5 Asian valmistelu

5.1 Valmisteluvaiheet ja -aineisto

Oikeusministeriö asetti 7.6.2018 työryhmän valmistelemaan ehdotukset EU:n yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin edellyttämistä muutoksista oikeusministeriön hallinnonalan lainsäädäntöön. Työryhmän toimikausi päättyi 31.12.2018. Työryhmän tehtävänä oli arvioida oikeusministeriön hallinnonalan lainsäädännön yhdenmukaisuus tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin kanssa ja laatia ehdotukset EU-sääntelyn edellyttämistä välttämättömistä lainmuutoksista. Työryhmän laati ehdotuksensa hallituksen esityksen muotoon. Työryhmä kuuli osana valmistelua tarpeen mukaan oikeusministeriön muita osastoja ja yksiköitä sekä eräitä muita tahoja. Jatkovalmistelu on suoritettu oikeusministeriössä virkatyönä.

5.2 Lausunnot ja niiden huomioon ottaminen

Oikeusministeriö pyysi hallituksen esityksen luonnoksesta lausunnon 17 viranomaiselta, joita ehdotetut lainmuutokset koskevat. Lausuntopyyntö lähetettiin tiedoksi valtioneuvoston lainsäädännön arviointineuvostolle. Kommentteja esittivät tietosuojavaltuutetun toimisto, puolustusministeriö, sisäministeriö, valtiovarainministeriö, oikeusrekisterikeskus, Etelä-Suomen aluehallintovirasto, Valtakunnanvoudinvirasto, Maanmittauslaitos ja Suojelupoliisi. Lausuntopalautteen perusteella on tehty jatkovalmistelun aikana tarkistuksia lakiehdotuksiin ja yksityiskohtaisiin perusteluihin, jotka koskevat vaalilain, yhdistyslain, maakaaren, ulosottokaaren ja eläintenpitokieltorekisteristä annetun lain muuttamista.

Lisäksi esitykseen on lisätty kaksi uutta lakiehdotusta, konkurssi- ja yrityssaneerausrekisteristä annetun lain ja rikosasioiden tietosuojalain muuttamista koskevat lakiehdotukset.

Puoluelain 3 §:ää koskeva muutosehdotus on siirretty erilliseen puoluelain muuttamista koskevaan säädöshankkeeseen, jonka yhteydessä pykälää on tarkoitus muuttaa laajemmin.

Lakiehdotuksia koskevat huomiot

Ehdotettuja lainmuutoksia pidettiin lausuntopalautteessa pääosin tarpeellisina. Esityksen keskeisiin ehdotuksiin ei kohdistunut lausuntokierroksella kritiikkiä.

Vaalilakiin ehdotettuja muutoksia ei pidetty kaikilta osin selkiyttävinä. Lakiin ehdotetut informatiiviset viittaukset tietosuoja-asetukseen on poistettu jatkovalmistelun aikana, ja niiden sijaan on täydennetty yksityiskohtaisia perusteluja siten, että niistä käy selkeämmin ilmi, mikä säännösten suhde tietosuoja-asetukseen on. Vastaavat tarkistukset on tehty saamelaiskäräjistä annetun lain muuttamista koskevaan lakiehdotukseen.

Yhdistyslain osalta lausuntopalautteessa on kiinnitetty huomiota siihen, että yhdistyksen jäsenen oikeus tutustua jäsenluettelossa oleviin tietoihin rajoittuu jäsenen nimeen ja kotipaikkaan. Lain 11 §:n 2 momenttia on tarkennettu siten, että tämä kävisi selkeämmin ilmi myös laista. Lisäksi perusteluja on tarkennettu siltä osin kuin on kyse yhdistyksen jäsenen oikeudesta tutustua yhdistyksen jäsenluettelon sisältämiin tietoihin suhteessa tietosuoja-asetuksen mukaiseen oikeuteen tutustua itseään koskeviin henkilötietoihin.

Maakaaren vahingonkorvaussäännösten suhdetta tietosuoja-asetuksen perusteella määräytyvään vahingonkorvausvastuuseen virheellisestä henkilötietojen käsittelystä on tarkennettu jatkovalmistelun aikana. Lisäksi maakaaren muuttamista koskevan lakiehdotuksen perusteluja on tarkennettu sen selventämiseksi, mikä maakaaren 8 luvussa säädetyn asiavirheen ja teknisen virheen korjaamisen suhde on tietosuoja-asetuksessa tarkoitettuun epätarkkojen tai virheellisten henkilötietojen oikaisemiseen tai poistamiseen.

Ulosottokaaren muuttamista koskevaan lakiehdotukseen on tehty teknisten tarkistusten lisäksi sisällöllisiä tarkistuksia kolmeen pykälään. Ulosottolaitoksen keskushallintoa koskeva tarkistusehdotus on jätetty tekemättä sillä perusteella, että tietosuoja-asetuksen ohella pidetään riittävänä, että keskushallinnon rooli tarkennettaisiin esimerkiksi työjärjestyksessä. Lisäksi väljästi muotoilluissa tiedonluovutussäännöksissä on katsottu valtiosäännöstä johtuvista syistä perusteltuna pitäytyä ratkaisussa, jonka mukaan tiedonluovutuskynnys sidotaan tietojen välttämättömyyteen. Ulosottokaaren 1 luvun 26 §:ää ja 27 §:ää on täydennetty niin sanottujen työturvallisuustietojen käsittelytarpeen huomioimiseksi. Ulosottokaaren 3 luvun 69 §:ää on tarkistettu siten, että pykälästä ehdotetaan poistettavaksi tarpeettomana pidetty säännös kahden ulosottoviranomaisen välisestä tiedonluovutuksesta, huomioiden vuoden 2020 alussa voimaan tulevan organisaatiouudistuksen. Saman luvun 70 §:n 1 momentin 1 kohtaa tarkistettaisiin sen mahdollistamiseksi, että ulosottoviranomainen voisi edelleen luovuttaa tietoja suojelupoliisille sen toimivaltuuksien kattamien rikosten ennalta estämiseksi. Ulosottokaaren 1 luvun 28 §:n osalta on lisäksi tarkistettu perusteluja sen selkiyttämiseksi, mikä ehdotettujen erityissäännösten suhde on tietosuojalain 34 §:ään.

Eläintenpitokieltorekisteristä annetun lain muuttamista koskevan lakiehdotuksen osalta jatkovalmistelun aikana on tarkistettu viittausta sovellettavaan henkilötietojen käsittelyä koskevaan yleissäädökseen. Sovellettavat yleissäädökset olisivat tietosuoja-asetus ja tietosuojalaki.

Maksupalvelulain 86 §:n suhdetta toisaalta tietosuoja-asetukseen sekä toisaalta direktiiviin (EU) 2015/2366 on arvioitu tarkemmin. Sen muutosten jatkovalmistelun aikana on päädytty arvioon, jonka mukaan tietosuoja-asetuksen vaatimusten huomioiminen edellyttäisi sellaisia muutoksia, joista olisi tarpeen järjestää uusi lausuntokierros. Lakiehdotus on tarkoitus sisällyttää toiseen myöhemmin annettavaan hallituksen esitykseen.

Muut huomiot

Esityksen vaikutusten arviointia on tarkennettu siten, että perusteluihin on sisällytetty erillinen kappale tietojärjestelmävaikutuksista. Lisäksi vähäisiä hallinnollisia menoja ja hallinnollista taakkaa koskevia arvioita on tarkennettu.

Ulosottokaareen on ehdotettu asiasisältöisiä laajennuksia. Valtakunnanvoudinvirasto on ehdottanut laajennettavaksi ulosottokaaren 3 luvun 66 §:n 3 kohdan mukaisia ulosottoviranomaisen tiedonsaantioikeuksia siten, että oikeustoimen lisäksi katettaisiin myös muut sellaiset toimet, joilla voi olla merkitystä etsittäessä velallisen omaisuutta. Suojelupoliisi on ehdottanut laajennettavaksi 3 luvun 70 §:n 1 momentin mukaista ulosottoviranomaisen oikeutta luovuttaa tietoja siten, että tietoja voitaisiin luovuttaa myös kansallisen turvallisuuden suojaamiseksi. Muutosehdotuksia ei ole sisällytetty tähän esitykseen, koska niillä arvioidaan olevan sellaisia yksityiselämän suojaan ja viranomaisten toimintaan kohdistuvia vaikutuksia, joiden katsotaan edellyttävän tarkempaa arviointia erikseen.

Valtiovarainministeriö on kiinnittänyt huomiota siihen, että esitykseen sisältyy lakiehdotuksia, joissa on teknisiä käyttöyhteyksiä koskevia säännöksiä, jotka ovat päällekkäisiä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) säännösten kanssa. Esityksen valmistelun yhteydessä on arvioitu, että ainakin osalla muutoksista olisi kustannusvaikutuksia, jotka voivat olla huomattaviakin. Teknisiä käyttöyhteyksiä koskevien säännösten arviointi on tarkoitus toteuttaa erikseen.

6 Riippuvuus muista esityksistä

Oikeusministeriössä on käynnissä hanke puoluelain 3 §:n muuttamisesta (OM021:00/2019). Puoluelakia on tarkoitus muuttaa siten, että hakemuksen yhdistyksen rekisteröimisestä puoluerekisteriin voisi jatkossa tehdä myös oikeusministeriön ylläpitämässä verkkopalvelussa. Samalla mahdollistettaisiin puolueen rekisteröimiseen vaadittavien kannatusilmoitusten kerääminen sähköisesti.

Oikeusministeriössä on myös käynnissä hanke turvallisuusselvityslain muuttamisesta (OM015:00/2019). Hankkeessa valmistellaan turvallisuusselvityslakiin (726/2014) ilmailuturvallisuutta koskevasta komission täytäntöönpanoasetuksesta (EU) 2019/103 aiheutuvat muutokset.

Kummankin hankkeen lainmuutokset kohdistuisivat lähtökohtaisesti eri säännöksiin kuin tähän esitykseen sisältyvät muutosehdotukset, mutta kaikkien kolmen esityksen käsittely eduskunnassa ajoittunee osittain samaan ajankohtaan.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

YKSITYISKOHTAISET PERUSTELUT

1 Lakiehdotusten perustelut

1.1 Valmiuslaki

Valmiuslain tarkoituksena on poikkeusoloissa suojata väestöä sekä turvata sen toimeentulo ja maan talouselämä, ylläpitää oikeusjärjestystä, perusoikeuksia ja ihmisoikeuksia sekä turvata alueellinen koskemattomuus ja itsenäisyys. Laissa säädetään viranomaisten toimivaltuuksista poikkeusolojen aikana sekä viranomaisten varautumisesta poikkeusoloihin. Lain 103 § sisältää säännökset työvelvollisuusrekisteristä, joka perustetaan laissa tarkoitetuissa poikkeusoloissa työvelvollisuuden täytäntöönpanoa ja työvoiman ohjausta varten. Rekisteriin tallennetaan tietoja työvelvollisista ja työnantajista. Rekisterisääntely täyttäisi tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen. Säännöksissä tarkoitettua henkilötietojen käsittelyä voidaan myös pitää tarpeellisena työvelvollisuuden tarkoituksenmukaisen toteuttamisen kannalta. Laissa säädetty henkilötietojen käsittely on sekä tietojen tallentamisen että tiedonsaannin osalta rajattu koskemaan työvelvollisuuden toteuttamista, ja on siten oikeasuhteisuusperiaatteen mukaisesti rajoitettu siihen, mikä on välttämätöntä lain päämäärään nähden. Pykälässä tarkoitetun henkilötietojen käsittelyn perusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta.

Säännöksiä ehdotetaan tarkistettavaksi rekisterinpidon ja erityisten henkilötietoryhmien osalta tietosuoja-asetuksen vaatimusten huomioimiseksi.

103 §. Työvelvollisuusrekisteri. Pykälän 1 momenttiin sisältyvää kolmas virke korvattaisiin uudella virkkeellä, jossa säädettäisiin viranomaisten velvollisuudesta varmistaa rekisteriin tallentamiensa tietojen virheettömyys ennen niiden tallentamista. Tietosuoja-asetuksen mukainen vastuu henkilötietojen täsmällisyydestä sekä henkilötietojen käsittelyn lainmukaisuudesta kuuluu rekisterinpitäjälle, eikä vastuuta voi siirtää muille viranomaisille. Silloin, kun nämä muut viranomaiset itse käsittelevät henkilötietoja rekisterinpitäjinä omien tehtäviensä hoidossa, henkilötietojen käsittelyn lainmukaisuuden varmistamista koskevat vaatimukset perustuisivat suoraan tietosuoja-asetukseen. Viranomaisille asetettaisiin kuitenkin velvollisuus huolehtia tallentamiensa tietojen virheettömyydestä silloin, kun ne tallettavat niitä työ- ja elinkeinoministeriön rekisterinpitovastuulla olevaan tietojärjestelmään.

Pykälän 2 momenttia ehdotetaan tarkennettavaksi siltä osin kuin työvelvollisen työkykyä koskevien merkintöjen yhteydessä voisi olla terveydentilaa tai mahdollista vammaisuutta koskevia tietoja. Työvoimaviranomainen voisi joutua 99 §:n 1 momentin nojalla käsittelemään työvelvollisen terveydentilaa tai mahdollista vammaisuutta koskevia tietoja sen arvioimiseksi, minkälaiseen työhön työvelvollinen voidaan määrätä, ottaen huomioon tämän terveydentilan. Työkykyyn liittyviä, terveydentilaa tai mahdollista vammaisuutta koskevia tietoja saisi ehdotetun säännöksen mukaan tallettaa työvelvollisuusrekisteriin vain, jos tällaisten tietojen käsittely on välttämätöntä niiden huomioon ottamiseksi lain 99 §:n 1 momentissa tarkoitetulla tavalla. Momenttiin lisätyllä kriteerillä ei olisi käytännössä rajoittavaa vaikutusta terveydentilaa tai mahdollista vammaisuutta koskevien tietojen käsittelyyn, koska käsittelyoikeus joka tapauksessa määräytyisi edelleen 99 §:n 1 momentin nojalla. Näiden tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin terveyttä koskeviin tietoihin rinnastuvien henkilötietojen käsittelyn oikeusperuste olisi näissä tilanteissa tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohta. Mainitun kohdan mukaan käsittelykieltoa ei sovelleta, jos käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 9 artiklan 3 kohdassa esitettyjä edellytyksiä ja suojatoimia. Tietosuoja-asetuksen 9 artiklan 3 kohta asettaa tällaisessa tapauksessa käsittelyn edellytykseksi, että henkilötietojen käsittelystä vastaa ammattilainen tai toinen henkilö, jolla on lakisääteinen salassapitovelvollisuus. Käsittelystä vastaisivat viranomaiset, joita sitoisi viranomaisten toiminnan julkisuudesta annetun lain 22 §:n perusteella asiakirjasalaisuus ja 23 §:n perusteella vaitiolovelvollisuus. Terveydentilaa koskevat tiedot ovat viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 25 kohdan mukaan salassa pidettäviä.

1.2 Hallintolaki

Hallintolaki on yleislaki, jossa säädetään hyvän hallinnon perusteista sekä hallintoasiassa noudatettavasta menettelystä. Laki sisältää asian ja asiakirjan käsittelyyn liittyvää sääntelyä, mutta ei henkilötietojen käsittelyä koskevia erityissäännöksiä, jotka olisivat päällekkäisiä yleisen tietosuojalainsäädännön kanssa. Hallintolaissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu pääsääntöisesti tietosuoja-asetuksen ja tietosuojalain soveltamisalaan.

42 § . Tietojen kirjaaminen. Pykälä sisältää säännöksen henkilötietolaissa tarkoitetusta henkilörekisteristä saadun tiedon kirjaamisesta. Pykälää ehdotetaan muutettavaksi siten, että viittaus henkilötietolakiin poistetaan.

1.3 Puoluelaki

Lakiin sisältyy sekä valtakunnalliseen puoluerekisteriin että puolueiden kannattajiin ja rahoituksen antajiin liittyviä henkilötietojen käsittelyä tarkoittavia säännöksiä. Puolueen kannattajien henkilötietojen käsittely ilmaisee kyseessä olevien henkilöiden poliittisen mielipiteen. Näiden henkilötietojen käsittely on kuitenkin sallittua tietosuoja-asetuksen 9 artiklan 2 kohdan a ja d alakohdan nojalla. Muutoin kannattajien henkilötietojen käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaisesti rekisterinpitäjän laissa säädetty velvoite. Käsittelyllä on myös tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetty yleisen edun mukainen tavoite, joka on sen varmistaminen, että rekisteröitävällä puolueella on laissa vaadittu määrä eduskuntavaaleissa, kuntavaaleissa tai europarlamenttivaaleissa äänioikeutettuja kannattajia. Lain perusteluista ilmenee, että käsiteltävät henkilötiedot olisi rajattava tiettyihin perustietoihin, joita ei kuitenkaan ole täsmennetty laissa.

Rahoituksen antajia koskevien henkilötietojen käsittelyä voidaan puolestaan pitää välttämättömänä puolueisiin kohdistuvien epäasianmukaisten vaikuttamisyritysten ja epäasiallisten puolueiden ja niiden rahoittajien välisten sidonnaisuuksien ehkäisemiseksi sekä tehokkaan valvonnan mahdollistamiseksi. Lainsäädäntöä on myös aiemmin tarkistettu puoluerahoituksen läpinäkyvyyttä ja valvontaa lisäävään suuntaan. (HE 6/2010 vp). Henkilötietojen käsittelyn oikeusperusteena on näissä tilanteissa tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Henkilötietojen käsittelyä koskeva sääntely on oikeasuhteisuusperiaatteen mukaisesti rajoitettu siihen, mikä on välttämätöntä valvonnan varmistamiseksi. Laissa ei kuitenkaan ole täsmennetty eri henkilötietojen käsittelytilanteiden osalta rekisterinpitäjää. Rekisterinpitäjä ehdotetaan täsmennettäväksi tällä esityksellä lukuun ottamatta 3 §:ssä tarkoitettuja tilanteita, jotka huomioidaan erillisessä puoluelain muuttamista koskevassa säädöshankkeessa.

1 §. Puolue ja puoluerekisteri. Pykälän sanamuotoa ehdotetaan tarkistettavaksi siten, että oikeusministeriön rekisterinpitäjän tehtävä ilmenee selkeämmin. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Lisäksi pykälän otsikkoon lisättäisiin sana ”puoluerekisteri”.

9 f §. Ilmoitusrekisteri ja sen tietojen julkisuus. Pykälässä säädetään valtiontalouden tarkastusviraston ylläpitämästä puoluerahoituksen ilmoitusrekisteristä sekä siihen talletettavien tietojen julkisuudesta. Rekisteriin talletetaan tiedot, jotka sisältyvät vaalikampanjan kuluista ja rahoituksesta tehtäviin erittelyihin sekä ennakkoilmoituksiin. Lisäksi rekisteriin saa tallettaa tiedot, jotka sisältyvät erittelyyn, joka koskee lähiyhteisön saamia tukia, sekä 9 §:ssä tarkoitettua avustusta saavien yhdistysten tilintarkastuskertomuksiin ja tilinpäätöksiin sisältyvät tiedot. Rekisteri on saatavilla yleisessä tietoverkossa. Jokaisella on pykälän mukaan oikeus saada rekisteristä jäljennöksiä ja tietoja viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentin estämättä. Momentissa tarkoitetut tiedot voivat sisältää myös yksityishenkilön henkilötietoja siltä osin kuin on kyse 1500 euroa ylittävän tuen antajista tai näiden suostumuksella myös pienemmän tuen antajista.

Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että siitä ilmenisi nimenomaisesti valtiontalouden tarkastusviraston tehtävä puoluerahoituksen ilmoitusrekisterin rekisterinpitäjänä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Valtiontalouden tarkastusvirastolle kuuluisivat puoluerahoituksen ilmoitusrekisterin ylläpidon lisäksi myös muut tietosuoja-asetuksessa tarkoitetut rekisterinpitäjän tehtävät.

1.4 Vaalilaki

Vaalilakia sovelletaan eduskuntavaaleihin, presidentinvaaleihin, kuntavaaleihin ja europarlamenttivaaleihin. Kuntavaaleista Ahvenanmaan maakunnassa säädetään maakunnan lainsäädännössä. Demokraattisen valtion valtiosääntöön katsotaan kuuluvan perustuslait ja ne tavalliset lait, jotka koskevat ylimpien valtioelinten järjestysmuotoa ja toimintaa sekä kansalaisten yleisiä oikeuksia ja niiden käyttämistä. Vaalilainsäädäntö on tärkeä osa valtiosääntöä. Se määrittelee sen, miten kansalaiset käyttävät aktiivisia valtiollisia oikeuksiaan kuten äänioikeuttaan ja oikeuttaan asettua vaaleissa ehdokkaaksi. (HE 48/1998 vp) Vaalilakiin sisältyy vaalien toimittamiseen liittyviä henkilörekistereitä koskevia säännöksiä sekä niiden sisältämien tietojen tarkastamiseen ja oikaisemiseen liittyviä säännöksiä. Vaaleissa äänioikeutettuja henkilöitä koskevien tietojen käsittely on myös välttämätöntä vaalien asianmukaisen toimittamisen varmistamiseksi. Laissa tarkoitettuihin rekistereihin liittyvän henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Vaalilain säännöksillä, jotka koskevat äänioikeusrekisterin tietojen tarkastamista, oikaisuvaatimusta ja itseoikaisua, mukautetaan tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti tietosuoja-asetuksen soveltamista siltä osin kuin on kyse henkilötietojen käsittelyyn liittyvistä menettelyistä.

Vaalilain 23 §:n 1—3 momentti sisältävät yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan äänioikeusrekisterin tietojen tarkastamiseen, sekä oikaisuvaatimuksen tekemistä koskevasta tiedottamisesta. Pykälässä säädetään erityisesti siitä, miten ja missä tiedot ovat nähtävillä vaalilaissa tarkoitettua tarkastusta varten. Voimassa olevan pykälän säännökset tulevat sovellettavaksi samanaikaisesti tietosuoja-asetuksen 15 artiklan kanssa, mutta vaalilain säännöksiä sovelletaan erityislakina yksittäisiä vaaleja varten perustetun äänioikeusrekisterin tarkastamiseen. Myös muilla kuin rekisteröidyillä on oikeus saada vaalilain nojalla tietoja äänioikeusrekisteristä. Vaalilain säännökset eivät vaikuta rekisteröidyn tietosuoja-asetuksen mukaisiin oikeuksiin kaventavasti. Tietosuoja-asetusta sovellettaisiin sellaisenaan myös vaalilaissa säädetyn ajankohdan ulkopuolella.

Vaalilain 24 § sisältää yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan äänioikeusrekisterin tietojen oikaisemista koskevan vaatimuksen tekemiseen. Pykälässä säädetään myös määräajasta, johon mennessä oikaisua voidaan vaatia. Pykälän säännökset tulevat sovellettavaksi samanaikaisesti tietosuoja-asetuksen 16 artiklan kanssa, mutta niitä sovelletaan yksittäisiä vaaleja varten perustetun äänioikeusrekisterin tietojen oikaisuvaatimukseen. Myöskään 24 §:n säännökset eivät kavenna rekisteröidyn tietosuoja-asetuksen mukaista oikeutta, jota sovelletaan myös muulloin kuin vaalilaissa tarkoitettuna ajankohtana.

Vaalilain 26 § (itseoikaisu) sisältää yksityiskohtaisempia säännöksiä asetuksen 5 artiklan 1 kohdan d alakohdan mukaisen täsmällisyysvaatimuksen mukauttamiseksi. Rekisterinpitäjällä on aina kyseisen alakohdan mukaan velvollisuus toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Vaalilaissa säädetään tarkemmin yksittäisiä vaaleja varten perustettavaan äänioikeusrekisteriin sovellettavasta virheellisen merkinnän itseoikaisua koskevasta menettelystä ja määräajasta, johon mennessä muutokset on tehtävä. Pykälän sisältämät säännökset eivät kuitenkaan koske pelkästään rekisteröidyn henkilötietojen käsittelyä, vaikka korjattavat merkinnät koskisivat suureksi osaksi henkilötietoja tai niihin liittyviä tietoja.

Tietosuoja-asetuksen 79 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hänen henkilötietojensa käsittelyssä ei ole noudatettu tietosuoja-asetusta. Kohta sisältää mahdollisuuden pitää voimassa myös muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja, minkä lisäksi rekisteröidyllä on oikeus käyttää 77 artiklan mukaista oikeuttaan. Vaalilain 27 §:ssä säädetään muutoksenhausta päätökseen, jolla vaalilain 24 §:n mukainen oikaisuvaatimus on hylätty tai jätetty tutkimatta sekä 26 §:n 2 momentissa tarkoitettuun päätökseen. Rekisteröity voisi halutessaan käyttää vaihtoehtoisesti suoraan tietosuoja-asetukseen perustuvia oikeussuojakeinoja silloin, kun kyse on epätarkkojen tai virheellisten henkilötietojen oikaisusta tai poistamisesta.

Vaalilain sisältämien henkilötietojen käsittelyä ja muutoksenhakua koskevien säännösten voidaan katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on kansalaisten äänioikeuden käyttämisen turvaaminen. Vaalilain henkilötietojen käsittelyä koskevien säännösten arvioidaan myös olevan oikeasuhteisia niillä tavoiteltuun oikeutettuun päämäärään nähden.

31 §. Ehdokashakemukset käsittelevä viranomainen. Laissa tarkoitettuihin ehdokashakemuksiin liittyy henkilötietojen käsittelyä, jonka osalta olisi tarpeen täsmentää rekisterinpitäjä. Pykälän mukaan ehdokashakemukset käsittelevällä viranomaisella tarkoitetaan eduskuntavaaleissa vaalipiirilautakuntaa, presidentinvaalissa ja europarlamenttivaaleissa Helsingin vaalipiirilautakuntaa sekä kuntavaaleissa kunnan keskusvaalilautakuntaa. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan ehdokashakemukset käsittelevä viranomainen olisi ehdokaslistojen yhdistelmän ja presidentinvaalin ehdokasluettelon rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Ehdokaslistojen yhdistelmän sisältö täsmennetään lain 41 §:ssä. Presidentinvaalin ehdokasluettelosta säädetään 42 §:ssä.

43 §. Valtakunnallinen ehdokasrekisteri. Pykälässä säädetään valtakunnallisesta ehdokasrekisteristä. Pykälän 1 momenttiin ehdotetaan lisättäväksi nimenomainen säännös, jonka mukaan oikeusministeriö olisi ehdokasrekisterin rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Pykälän 2 momentissa säädetään ehdokashakemukset käsittelevän viranomaisen velvollisuudesta merkitä ehdokkaita koskevat henkilötiedot rekisteriin. Näitä viranomaisia ei kuitenkaan pidettäisi valtakunnallisen ehdokasrekisterin rekisterinpitäjinä. Momenttiin ei ehdoteta tarkistuksia.

1.5 Laki ehdokkaan vaalirahoituksesta

Laissa säädetään ehdokkaan vaalirahoituksesta ja sen ilmoittamisesta eduskuntavaaleissa, presidentinvaalissa, kuntavaaleissa ja europarlamenttivaaleissa. Lain tarkoituksena on lisätä vaalirahoituksen avoimuutta ja tietoa ehdokkaiden mahdollisista sidonnaisuuksista sekä rajoittaa ehdokkaiden vaalikampanjoiden kulujen kasvua. Laki sisältää säännökset vaalirahoituksen ilmoitusrekisteristä, johon sisältyvien henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Laissa säädetty henkilötietojen käsittely täyttää tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on vaalirahoituksen avoimuuden varmistaminen. Ilmoitusmenettelyä vaalirahoituksen avoimuuden parantamiseksi on myös pidetty lain säätämisen yhteydessä välttämättömänä keinona selvittää rahoituksen mahdollisesti aiheuttamia sidonnaisuuksia (HE 8/2000 vp; HE 13/2009 vp). Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Vaalirahoitusta koskevan ilmoituksen ja ilmoitusrekisterin sisältämät henkilötiedot luetellaan laissa tyhjentävästi ja henkilötietojen käsittelyä on rajoitettu siihen, mikä on välttämätöntä lain tavoitteen toteuttamiseksi. Säännösten arvioidaan siten olevan 6 artiklan 3 kohdan edellyttämällä tavalla oikeasuhteisia lain päämäärään nähden.

Laissa säädetään myös ilmoitusrekisterin tietojen julkisuudesta. Perustuslakivaliokunta on mietinnössään arvioinut sääntelyä perustuslain suojaaman yksityiselämän suojan kannalta. Yksittäisen henkilön tietylle ehdokkaalle antaman, laissa säädettävän rajan ylittävän tuen tuleminen julkiseksi koskettaa tämän henkilön perustuslain 10 §:ssä turvattua yksityiselämän suojaa. Perustuslakivaliokunta on kuitenkin katsonut, että tällainen tuen tuleminen julkiseksi ei koske yksityiselämän suojan keskeistä osaa. Ehdotuksella ei myöskään puututtu perustuslain 25 §:ssä turvatun vaalisalaisuuden keskeisiin tekijöihin. (Ks. PeVM 2/2009 vp, s. 4—5; PeVM 8/2000 vp, s. 2/II)

12 §. Ilmoitusrekisteri ja sen tietojen julkisuus. Pykälässä säädetään valtiontalouden tarkastusviraston ylläpitämästä vaalirahoituksen ilmoitusrekisteristä sekä siihen talletettavien tietojen julkisuudesta. Rekisteriin talletetaan ilmoitukseen, ennakkoilmoitukseen ja jälki-ilmoitukseen sisältyvät tiedot, ehdokkaan laissa säädetyt henkilötiedot, tiedot vaalirahoituksesta ja vaalikampanjan kuluista sekä tieto vakuutuksen antamisesta, jos ehdokas on antanut vakuutuksen siitä, että hänen vaalirahoituksensa ei ole ylittänyt 800 euron rajaa. Jokaisella on oikeus saada rekisteristä jäljennöksiä ja tietoja yleisen tietoverkon kautta.

Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että siitä ilmenisi nimenomaisesti valtiontalouden tarkastusviraston tehtävä vaalirahoituksen ilmoitusrekisterin rekisterinpitäjänä. Valtiontalouden tarkastusvirastolle kuuluvat vaalirahoituksen ilmoitusrekisterin ylläpidon lisäksi myös muut tietosuoja-asetuksessa tarkoitetut rekisterinpitäjän tehtävät. Lisäksi momentin ruotsinkielistä sanamuotoa muutettaisiin siten, että se vastaa tarkemmin suomenkielistä sanamuotoa.

1.6 Laki saamelaiskäräjistä

Saamelaiskäräjistä annetun lain säätämisen tavoitteena on ollut turvata saamelaisille alkuperäiskansana saamelaisten kotiseutualueella omaa kieltään ja kulttuuriaan koskeva kulttuuri-itsehallinto, jonka perusteista säädetään lailla. Laissa säädetään saamelaiskäräjistä, joka hoitaa saamelaisten itsehallintoon kuuluvia tehtäviä. Saamelaiskäräjien vaalit ovat oleellinen osa itsehallinnon toteuttamista. Laki sisältää saamelaiskäräjien vaalien toimittamiseen liittyvää henkilötietojen käsittelyä koskevia erityissäännöksiä. Äänioikeus ilmenee vaaliluettelosta, johon sisältyvät henkilötiedot täsmennetään laissa. Laki sisältää myös säännökset vaaliluettelon tietojen käyttötarkoitussidonnaisuudesta ja luovuttamisesta. Lisäksi laissa säädetään ilmoituskortista sekä ehdokasluettelosta. Myös ehdokasluettelon osalta täsmennetään käsiteltävät henkilötiedot. Lain säännöksillä mukautetaan tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti tietosuoja-asetuksen säännöksiä siltä osin kuin on kyse käsiteltävien tietojen tyypeistä ja rekisteröidyistä, käyttötarkoitussidonnaisuudesta ja tietojen luovuttamistarkoituksista sekä käsittelyyn sovellettavista menettelyistä. Laissa tarkoitetun henkilötietojen käsittelyn oikeusperusteena on 6 artiklan 1 kohdan c alakohta. Lain sisältämiä erityissäännöksiä sovelletaan saamelaiskäräjien vaalien toimittamiseen liittyen. Saamelaiskäräjien tehtävien hoitamiseen liittyvään henkilötietojen käsittelyyn sovelletaan samanaikaisesti tietosuoja-asetusta ja tietosuojalakia.

Saamelaiskäräjistä annetun lain 26 § sisältää yksityiskohtaisempia säännöksiä tietosuoja-asetuksen mukauttamiseksi menettelystä, jota sovelletaan vaaliluettelon sisältämien merkintöjen oikaisemista koskevan vaatimuksen tekemiseen. Pykälässä säädetään myös määräajasta, johon mennessä oikaisua voidaan vaatia. Sääntely on osittain päällekkäistä tietosuoja-asetuksen 16 artiklan kanssa siltä osin kuin on kyse rekisteröidyn oikeudesta vaatia itseään koskevien epätarkkojen ja virheellisten henkilötietojen oikaisua. Saamelaiskäräjistä annetun lain säännöksiä sovelletaan erityislakina yksittäisiä vaaleja varten laaditun vaaliluettelon tietojen oikaisuvaatimukseen. Säännöksillä ei kavenneta rekisteröidyn tietosuoja-asetukseen perustuvaa oikeutta, jota voidaan käyttää samanaikaisesti sekä muulloin kuin saamelaiskäräjistä annetussa laissa tarkoitettuna ajankohtana.

Saamelaiskäräjistä annetun lain 26 a § (itseoikaisu) sisältää yksityiskohtaisempia säännöksiä asetuksen 5 artiklan 1 kohdan d alakohdan mukaisen täsmällisyysvaatimuksen mukauttamiseksi. Rekisterinpitäjällä on aina kyseisen alakohdan mukaan velvollisuus toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Saamelaiskäräjistä annetussa laissa säädetään tarkemmin yksittäisiä vaaleja varten laadittavaan vaaliluetteloon sovellettavasta virheellisen merkinnän korjaamista koskevasta itseoikaisumenettelystä ja määräajasta, johon mennessä muutokset on tehtävä. Pykälän sisältämät säännökset eivät kuitenkaan koske pelkästään rekisteröidyn henkilötietojen käsittelyä, vaikka korjattavat merkinnät koskisivat suureksi osaksi henkilötietoja tai niihin liittyviä tietoja.

Tietosuoja-asetuksen 79 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hänen henkilötietojensa käsittelyssä ei ole noudatettu tietosuoja-asetusta. Kohta sisältää mahdollisuuden pitää voimassa myös muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja, minkä lisäksi rekisteröidyllä on oikeus käyttää 77 artiklan mukaista oikeuttaan. Saamelaiskäräjistä annetun lain 26 b §:ssä säädetään muutoksenhausta lain 26 §:ssä tarkoitettuun saamelaiskäräjien hallituksen päätökseen ja 26 a §:ssä tarkoitettuun vaalilautakunnan päätökseen. Rekisteröity voisi halutessaan käyttää vaihtoehtoisesti suoraan tietosuoja-asetukseen perustuvia oikeussuojakeinoja silloin, kun kyse on epätarkkojen tai virheellisten henkilötietojen oikaisusta tai poistamisesta.

Saamelaiskäräjistä annetun lain sisältämien henkilötietojen käsittelyä ja muutoksenhakua koskevien säännösten voidaan katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen, joka on äänioikeuden käyttämisen turvaaminen saamelaiskäräjien vaaleissa. Lain henkilötietojen käsittelyä koskevien säännösten arvioidaan myös olevan oikeasuhteisia niillä tavoiteltuun oikeutettuun päämäärään nähden.

4 a §. Hallinto-oikeudellisten säädösten soveltaminen. Pykälän sisältämä viittaus henkilötietolakiin ehdotetaan poistettavaksi. Pykälä koskee otsikkonsa perusteella hallinto-oikeudellisia säädöksiä, eikä viittausta olisi tarpeen korvata viittauksella tietosuoja-asetukseen ja tietosuojalakiin.

23 §. Vaaliluettelo. Vaalilautakunnan tehtävänä on laatia saamelaiskäräjien vaalissa äänioikeutetuista vaaliluettelo, johon merkitään pykälässä täsmennetyt henkilötiedot. Pykälän 1 momentissa ehdotetaan täsmennettäväksi, että vaalilautakunta on vaaliluettelon rekisterinpitäjä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Momenttia tarkistettaisiin lisäksi kielellisesti.

27 a §. Ehdokasluettelo. Pykälän 1 momentin mukaan vaalilautakunnan tehtävänä on laatia vaalikelpoisista ehdokkaista ehdokasluettelo. Momenttia ehdotetaan tarkistettavaksi siten, että täsmennetään vaalilautakunnan tehtävä ehdokasluettelon rekisterinpitäjänä. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla.

1.7 Yhdistyslaki

Yhdistyslakia sovelletaan aatteelliseen yhdistystoimintaan riippumatta siitä, harjoitetaanko sitä rekisteröidyn yhdistyksen muodossa vai rekisteröimättömänä. Lain mukaan yhdistyksen saa perustaa aatteellisen tarkoituksen yhteistä toteuttamista varten. Tarkoitus ei saa olla lain tai hyvien tapojen vastainen. Laki ei koske taloudellisia yhteisöjä, joissa tarkoituksena on taloudellisen ansion hankkiminen jäsenille tai jotka muuten ovat pääasiassa taloudellisia. Yhdistyslain säännöksistä suurin osa koskee rekisteröityneitä yhdistyksiä, mutta osaa säännöksistä sovelletaan myös rekisteröitymättömiin yhdistyksiin ja uskonnollisiin yhdyskuntiin. Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Laki sisältää myös henkilötietojen käsittelyä koskevaa erityissääntelyä erityisesti siltä osin kuin on kyse jäsenluettelon ylläpitämistä koskevasta vaatimuksesta ja yhdistyksen rekisteröintiin liittyvästä henkilötietojen käsittelystä sekä henkilötietojen luovuttamisesta. Henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Säännösten arvioidaan täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämällä tavalla yleisen edun mukaisen tavoitteen, joka on sen varmistaminen, että yhdistystoiminta täyttää sille laissa säädetyt vaatimukset. Lain sisältämän rekisterisääntelyn voidaan katsoa rajoittuvan siihen, mikä on välttämätöntä lain päämäärän toteuttamiseksi. Toisaalta siltä osin kuin on kyse yhdistysrekisteristä, rekisterisääntelyä edellyttää nykyisellään myös Euroopan unionin rahanpesun ja terrorismin rahoittamisen torjuntaa koskeva lainsäädäntö, joka on osittain pantu Suomessa täytäntöön yhdistyslain säännöksillä.

Siltä osin kuin on mahdollisesti kyse yhdistyksen toimintaan liittyvistä erityisiin henkilötietoryhmiin kuuluvista tiedoista, jotka voisivat olla erityisesti poliittisen mielipiteen, uskonnollisen tai filosofisen vakaumuksen tai ammattiliiton jäsenyyden ilmaisevat tiedot, henkilötietojen käsittely olisi sallittua 9 artiklan 2 kohdan d alakohdan mukaisesti. Kyseisen alakohdan mukaan 9 artiklan 1 kohdan käsittelykieltoa ei sovelleta, jos käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin. Näiden tietojen käsittelyä koskisivat kuitenkin kyseisen kohdan mukaisesti vaatimukset siitä, että käsittely koskee ainoastaan yhdistyksen jäseniä tai entisiä jäseniä taikka henkilöitä, joilla on kyseiseen yhdistykseen säännölliset, yhdistyksen tarkoitukseen liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta. Erityisiin henkilötietoryhmiin liittyviin suojatoimiin sovelletaan tietosuojalain 6 §:n 1 momentin 2 kohdan mukaisesti kyseisen pykälän 2 momentissa säädettyjä suojatoimia.

11 §. Jäsenluettelo. Lain 10 §:n mukaan yhdistyksen jäsenet voivat olla joko yksityishenkilöitä tai muita yhteisöjä ja säätiöitä. Siltä osin kuin 11 §:ssä säädetyssä jäsenluettelossa on luonnollisia henkilöitä, siihen liittyy henkilötietojen käsittelyä. Voimassa olevan pykälän mukaan yhdistyksen hallituksen on pidettävä jäsenluetteloa. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka. Laki ei edellytä muita henkilötietoja merkittäväksi luetteloon, mutta yhdistykset ovat voineet esimerkiksi yhdistyksen säännöissä päättää myös muiden henkilötietojen merkitsemisestä. Käytännössä luettelon pitämisestä voi huolehtia hallituksen jäsen tai yhdistyksen toimihenkilö yksin, mutta hallituksella on tällöinkin vastuu siitä, että luetteloa pidetään asianmukaisesti. Tämä myös tarkoittaa sitä, että hallituksen jäsenet yhdessä ovat vastanneet henkilötietolain mukaisista rekisterinpitäjälle kuuluvista velvoitteista, mukaan lukien velvollisuudesta varmistaa, että jäsenluettelon tiedot ovat ajantasaisia.

Pykälän 1 momentista ehdotetaan poistettavaksi viittaus hallituksen velvollisuuteen pitää jäsenluetteloa. Yhdistyslain 35 §:n mukainen velvollisuus hallituksen nimeämiseen ei koske lain viittaussäännösten mukaan rekisteröimättömiä yhdistyksiä. Rekisteröimättömillä yhdistyksilläkin on kuitenkin velvollisuus ylläpitää jäsenistään luetteloa 11 §:n mukaisesti.

Pykälän 2 momenttia ehdotetaan tarkistettavaksi siten, että vanhentunut informatiivinen viittaus henkilörekisterilakiin korvataan viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Momentin viimeinen virke ehdotetaan poistettavaksi tarpeettomana huomioiden ehdotettavan uuden momentin. Lisäksi momenttiin ehdotetaan lisättäväksi virke, jonka mukaan yhdistyksen jäsenelle voitaisiin luovuttaa muita kuin 1 momentissa mainittuja tietoja vain erityisestä syystä silloin, kun yhdistys on kerännyt jäsenistään muitakin tietoja. Samalla momentin ensimmäisessä virkkeessä korvattaisiin sana ”tarkoitettuihin” sanalla ”mainittuihin”. Näillä muutoksilla selkiytettäisiin sääntelyä ja vahvistettaisiin yhdistyksen jäsenten tietosuojaa.

Pykälän 2 momentin mukainen yhdistyksen jäsenen oikeus tutustua 1 momentissa tarkoitettuihin tietoihin kohdistuu kaikkia yhdistyksen jäseniä koskeviin tietoihin, ei pelkästään rekisteröidyn omiin henkilötietoihin. Momentti on erillinen tietosuoja-asetuksen 15 artiklan mukaisesta rekisteröidyn oikeudesta saada pääsy henkilötietoihin, eikä kavenna kyseistä rekisteröidyn oikeutta. Rekisteröidyllä on omien henkilötietojensa osalta käytettävissään tietosuoja-asetuksen mukaiset oikeudet myös muilta osin.

Yhdistyksen hallitukselle voimassa olevassa pykälässä säädetty velvollisuus vastata jäsenluettelon ylläpitämisestä siirrettäisiin uuteen 3 momenttiin. Momentissa tarkennettaisiin, että jäsenluettelon sisältämien henkilötietojen rekisterinpitäjä on yhdistys. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Rekisterinpitäjälle kuuluvien tehtävien hoitamisesta vastaisi yhdistyksessä käytännössä rekisteröidyn yhdistyksen hallitus. Jos rekisteröimättömällä yhdistyksellä ei ole hallitusta, rekisterinpitäjän tehtävien hoitamisesta vastaisi yhdistyksen puheenjohtaja tai muu yhdistyksen asioita hoitava henkilö. Rekisterinpitäjän tehtävät ja velvollisuudet määräytyisivät yhdistysten osalta tietosuoja-asetuksen ja tietosuojalain mukaisesti ilman eri viittausta sovellettavaan yleissäädökseen. Ehdotettu uusi momentti kattaisi myös 2 momentista poistettavan, hallitukselle kuuluvan tehtävän päättää tietojen luovuttamisesta. Rekisteröimättömien yhdistysten osalta päätöksestä vastaisi yhdistyksen tai sen hallituksen puheenjohtaja tai muu sen asioita hoitava, huomioiden, että rekisteröimättömällä yhdistyksellä ei välttämättä ole hallitusta.

Ehdotetuilla yhdistyksen jäsenluettelon rekisterinpitoa koskevilla säännöksillä on myös pyritty välttämään sekaannusta yhdistysrekisterin rekisterinpitäjään. Yhdistysrekisterin rekisterinpitäjä on 47 §:n 1 momentin mukaisesti Patentti- ja rekisterihallitus. Myös yhdistysrekisteriin sovelletaan tietosuoja-asetusta ja tietosuojalakia siltä osin kuin rekisteriin sisältyy henkilötietoja.

47 §. Yhdistysrekisteri ja rekisterinpitäjä. Pykälän 1 momenttiin tehtäisiin tekninen sanamuodon tarkistus, jonka mukaan yhdistysrekisterin rekisterinpitäjä on Patentti- ja rekisterihallitus. Muutoksen tarkoituksena olisi yhtenäistää rekisterinpitäjän osalta lainsäädännössä käytettyä sanamuotoa. Pykälän otsikko muutettaisiin vastaamaan pykälän sisältöä.

1.8 Säätiölaki

Säätiölakia sovelletaan kaikkiin sen mukaan Suomessa rekisteröityihin säätiöihin, jollei säätiölaissa tai muualla laissa säädetä toisin. Lain soveltamisalaan kuuluvilla säätiöillä on oltava hyödyllinen tarkoitus ja säätiö tukee tai harjoittaa tarkoitustaan edistävää toimintaa. Tarkoituksena ei voi olla liiketoiminnan harjoittaminen eikä taloudellisen edun tuottaminen säätiön lähipiiriin kuuluvalle, jollei kyse ole laissa tarkoitetusta tukisäätiöstä tai sukusäätiöstä. Säätiölaissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan ja säätiöiden rekisteröintiin ja valvontaan liittyvien viranomaistehtävien käsittelyn oikeusperusteena olisi tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Laki sisältää täydentävää erityissääntelyä siltä osin kuin kyse on rekisteröityjen henkilöiden tai käsiteltävien henkilötietojen ryhmistä, säätiörekisteristä sekä henkilötietojen luovuttamisesta. Henkilötietojen käsittelyä liittyy erityisesti säätiön perustamiskirjaan ja säätiörekisteriin, minkä lisäksi sitä voi kytkeytyä erilaisiin tiedonluovutustilanteisiin. Nämä säännökset rajoittuvat siihen, mikä on välttämätöntä laissa säädetyn viranomaisvalvonnan toteuttamiseksi, ja sääntelyn arvioidaan siten täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen ja oikeasuhteisuuden vaatimuksen. Toisaalta siltä osin kuin on kyse säätiörekisteristä, rekisterisääntelyä edellyttää nykyisellään myös Euroopan unionin rahanpesun ja terrorismin rahoittamisen torjuntaa koskeva lainsäädäntö, joka on osittain pantu Suomessa täytäntöön säätiölain säännöksillä.

13 luku Säätiörekisteri

1 §. Säätiörekisteri ja rekisterinpitäjä. Pykälän otsikkoa ehdotetaan tarkistettavaksi siten, että rekisteriviranomaisen sijasta käytetään tietosuojalainsäädännön mukaista termiä ”rekisterinpitäjä”. Vastaava muutos ehdotetaan tehtäväksi pykälän 2 momenttiin. Patentti- ja rekisterihallitus olisi säätiörekisterin sisältämien henkilötietojen rekisterinpitäjä. Säätiörekisterin tietosisältöön kuuluu lisäksi muita säätiölain mukaisesti rekisteriin ilmoitettavia tietoja. Momentissa ehdotetaan säilytettäväksi myös viittaus ilmaisuun ”rekisteriviranomainen”, huomioiden Patentti- ja rekisterihallituksen roolin säätiöiden valvonnassa. Rekisterin tietosisältö henkilötietojen osalta määräytyy luvun 3 ja 4 §:n mukaisesti. Rekisteröitävät henkilötiedot voivat liittyä säätiön hallituksen jäseniin ja varajäseniin, mahdolliseen toimitusjohtajaan tai toimitusjohtajan sijaiseen sekä mahdollisen hallintoneuvoston puheenjohtajaan, jäseniin ja varajäseniin, tilintarkastajiin sekä mahdollisiin henkilöihin, joille on annettu oikeus edustaa säätiötä.

1.9 Maakaari

Kiinteistön kauppa on lain mukaan tehtävä määrämuodossa. Maakaari sisältää säännökset, jotka koskevat kaikkia kiinteistön kauppoja. Kiinteistön omistusoikeuden kirjaamiseen (lainhuudatus) liittyy oikeusvaikutuksia, jotka turvaavat kiinteistön luovutuksensaajaa ja hänen sopimuskumppaneitaan. Omistusoikeuden ja muiden kiinteistönkauppaan liittyvien asioiden kirjaamiseen liittyvän henkilötietojen käsittelyn katsotaan siten täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetyn yleisen edun mukaisen tavoitteen.

Maakaaren 5 luvussa säädetään kiinteistönkauppaan liittyvistä kirjaamisasioista, joita ovat lainhuudatus, erityisten oikeuksien kirjaaminen sekä kiinnitys. Kirjaamisasioista pidetään lainhuuto- ja kiinnitysrekisteriä, johon tehdään myös merkintöjä muista kiinteistöön kohdistuvista oikeuksista ja rasituksista. Lainhuuto- ja kiinnitysrekisteristä säädetään lain 7 luvussa. Lisäksi henkilötietojen käsittelyyn liittyviä säännöksiä sisältyy lain 9 a lukuun, jossa säädetään sähköisistä asiointijärjestelmistä ja niiden käyttämisestä. Maakaaressa säädettyihin asioihin liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Kyseisen kohdan sallimaa kansallista liikkumavaraa antaa tietosuoja-asetusta täydentävää kansallista sääntelyä käytetään maakaaressa erityisesti rekisteröitävien tietojen ja tietojen luovuttamisen osalta. Maakaareen sisältyvät säännökset henkilötietojen käsittelystä rajoittuvat siihen, mikä on välttämätöntä lain yleisen edun mukaisen tavoitteen varmistamiseksi, ja täyttävät siten tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisen oikeasuhteisuuden vaatimuksen.

Maakaaren 8 luvussa säädetään asiavirheen ja teknisen virheen korjaamisesta sekä tällaisten virheiden korjaamiseen sovellettavasta menettelystä. Asiavirheen korjaamisella tarkoitetaan selvästi virheelliseen tai puutteelliseen selvitykseen tai ilmeisen väärään lain soveltamiseen perustuvan ratkaisun poistamista ja uudelleen ratkaisemista. Teknisen virheen korjaamisella tarkoitetaan ilmeisen kirjoitus- tai laskuvirheen, teknisestä viasta aiheutuneen virheen taikka muun näihin verrattavissa olevan virheen korjaamista. Luvun säännöksissä on siten kyse muusta kuin tietosuoja-asetuksessa tarkoitetussa epätarkkojen tai virheellisten henkilötietojen oikaisemisessa tai poistamisessa eivätkä ne ole päällekkäisiä tietosuoja-asetuksen säännösten kanssa. Tietosuoja-asetuksen mukaisesti rekisterinpitäjällä on tietosuoja-asetuksen nojalla velvollisuus oikaista tai poistaa vanhentuneet, epätarkat tai virheelliset henkilötiedot joko 5 artiklan 1 kohdan d alakohdan perusteella oma-aloitteisesti tai rekisteröidyn 16 tai 17 artiklan mukaisesta pyynnöstä.

7 luku Lainhuuto- ja kiinnitysrekisteri

1 §. Lainhuuto- ja kiinnitysrekisteriin merkittävä tiedot. Pykälän 3 momentissa ehdotetaan poistettavaksi henkilötietolakia koskeva informatiivinen viittaus, jonka mukaan lainhuuto- ja kiinnitysrekisterin henkilötietojen käsittelyyn sovelletaan henkilötietolakia, jollei tässä laissa toisin säädetä. Tietosuoja-asetusta ja tietosuojalakia sovellettaisiin ilman erillistä viittausta. Maakaaren 8 luvussa säädetään virheen korjaamisesta. Sääntely koskee kuitenkin asiavirheen korjaamista (1 §) ja teknisen virheen korjaamista (2 §) eikä ole siten päällekkäistä henkilötietojen käsittelyä koskevan sääntelyn kanssa. Maakaari ei myöskään muutoin sisällä yleisestä tietosuojalainsäädännöstä poikkeavia henkilötietojen käsittelyä koskevia säännöksiä.

1 a §. Lainhuuto- ja kiinnitysrekisterin käyttötarkoitus. Pykälän 2 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”.

9 a luku Sähköiset asiointijärjestelmät ja niiden käyttäminen

2 §. Tietojen käsittely asiointijärjestelmässä. Lain 5 luvun 3 §:n mukaan maakaaressa tarkoitettuja sähköisiä asiointijärjestelmiä ovat sähköinen kaupankäyntijärjestelmä ja sähköinen kiinnitysjärjestelmä. Asiointijärjestelmät ovat valtakunnallisia. Lain 9 a luku sisältää tarkemmat säännökset sähköisistä asiointijärjestelmistä ja niiden käyttämisestä. Luvun 2 §:n 2 momentissa ehdotetaan poistettavaksi vanhentunut viittaus henkilötietolakiin. Tietosuoja-asetusta ja tietosuojalakia sovellettaisiin ilman nimenomaista viittausta, vastaavasti kuin lainhuuto- ja kiinteistörekisterin osalta. Maakaari ei myöskään sisällä tältä osin yleisestä tietosuojalainsäädännöstä poikkeavia säännöksiä. Lisäksi 2 momentin toisen virkkeen sanamuotoa tarkistettaisiin siten, että sen mukaan sähköisessä asiointijärjestelmässä käsiteltävien henkilötietojen rekisterinpitäjänä olisi Maanmittauslaitos. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla.

3 §. Valtion vahingonkorvausvastuu asiointijärjestelmän virheellisestä tai puutteellisesta toiminnasta. Valtion vahingonkorvausvastuussa on kyse eri asiasta kuin rekisterinpitäjän tietojärjestelmien toimivuutta koskevassa vastuussa tietosuoja-asetuksen nojalla. Pykälän otsikkoa ehdotetaan tarkistettavaksi siten, että se ei viittaa tietosuoja-asetuksen mukaiseen rekisterinpitäjän vastuuseen. Lisäksi pykälän 3 momenttiin ehdotetaan lisättäväksi virke, jonka mukaan henkilötietojen käsittelystä aiheutuneeseen vahinkoon sovelletaan, mitä tietosuoja-asetuksessa säädetään. Momentilla selkiytettäisiin maakaaren ja tietosuoja-asetuksen välistä suhdetta vahingonkorvausvastuun määräytymisen osalta. Voimassa olevasta momentista poistettaisiin lainsäädäntöteknisenä tarkistuksena sanat ”soveltuvin osin”.

1.10 Laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä

Laissa eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä säädetään viranomaisen rekisteröinti- ja valvontatehtävästä, joka kohdistuu sellaisiin kuluttajaluottoja myöntäviin ja vertaislainoja välittäviin toimijoihin, jotka eivät kuulu Finanssivalvonnan valvonnan piiriin. Näitä ovat pääasiassa ns. pikaluottoyritykset. Tehtävässä on kyse oikeusharkintaisista, ennakkovalvonnallisista lupa- ja rekisteröintitehtävistä sekä toimialalla toimivien toiminnan lainmukaisuuden valvonnasta. Valvontatehtävä on keskitetty Etelä-Suomen aluehallintovirastoon.

Luotonantaja- ja vertaislainanvälittäjärekisteriin sisältyvien tietojen käsittelyyn sovelletaan tietosuoja-asetusta ja tietosuojalakia. Rekisteriin talletettavat tiedot koskevat elinkeinonharjoittajia, mutta koska elinkeinonharjoittaja voi olla joissakin tapauksissa luonnollinen henkilö, niihin sisältyy myös yksityisten elinkeinonharjoittajien henkilötietoja. Nämä henkilötiedot ovat tarpeen yksityisten elinkeinonharjoittajien yksilöimiseksi. Lisäksi rekisteriin talletetaan kaikkien rekisteröitävien yritysten osalta yritysten vastuuhenkilöiden sekä rekisteri-ilmoitusten tekijöiden henkilötietoja. Rekisteriin ei talleteta tietosuoja-asetuksen 9 artiklan 1 kohdassa tai 10 artiklassa tarkoitettuja henkilötietoja eikä muita arkaluonteisiksi katsottavia henkilötietoja. Rekisterinpitäjä on Etelä-Suomen aluehallintovirasto ja sen suorittaman henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Henkilötietojen käsittely on laissa rajattu siihen, mikä on tarpeen viranomaisvalvonnan kannalta.

3 §. Luotonantaja- ja vertaislainanvälittäjärekisteri ja rekisteri-ilmoitus. Pykälän 1 momentissa säädetään luotonantaja- ja vertaislainanvälittäjärekisteristä. Tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohdan mukaisten henkilötietojen käsittelyn lainmukaisuutta ja käyttötarkoitussidonnaisuutta koskevien periaatteiden huomioimiseksi momentissa ehdotetaan täsmennettäväksi rekisterin käyttötarkoitus. Samalla täsmennettäisiin momentin sanamuotoa rekisterinpitäjän osalta.

5 §. Luotettavuus. Pykälässä säädetään tekijöistä, joiden perusteella rekisteröintiä koskevan ilmoituksen tekijää ei pidetä luotettavana. Ilmoituksen tekijää ei pidetä luotettavana muun muassa, jos hänet on lainvoiman saaneella tuomiolla viiden arviota edeltäneen vuoden aikana tuomittu vankeusrangaistukseen tai kolmen arviota edeltäneen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan hänen olevan ilmeisen sopimaton harjoittamaan kuluttajaluoton tarjoamista tai vertaislainan välitystä. Näiden seikkojen arvioiminen tarkoittaa tietosuoja-asetuksen 10 artiklassa tarkoitettujen tietojen käsittelyä. Käsittelystä ei kuitenkaan nimenomaisesti ole säädetty laissa. Tietosuoja-asetus ei välttämättä edellytä laissa säätämistä, kun kyse on viranomaisen valvonnassa tapahtuvasta 10 artiklassa tarkoitettujen tietojen käsittelystä. Siinä tarkoitettuja henkilötietoja voidaan kuitenkin pitää perustuslakivaliokunnan tulkintakäytännön valossa arkaluonteisina henkilötietoina, joiden käsittelystä olisi perusteltua säätää laissa täsmällisesti ja tarkkarajaisesti. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan aluehallintovirastolla olisi nimenomaisesti oikeus 1 momentissa tarkoitetun luotettavuuden selvittämiseksi käsitellä vankeusrangaistusta tai sakkorangaistusta koskevia tietoja.

7 §. Rekisteriin merkittävät tiedot ja muutoksista ilmoittaminen. Pykälässä säädetään luotonantaja- ja vertaislainanvälittäjärekisterin tietosisällöstä. Pykälän 1 momentin 9 kohdan mukaan rekisteriin merkitään rekisteristä poistamisen syy ja ajankohta. Lain 18 §:n mukaan aluehallintoviraston on poistettava luotonantaja tai vertaislainanvälittäjä luotonantaja- ja vertaislainanvälittäjärekisteristä, muun muassa myös silloin, kun lain 4 §:n 1 momentin 3 kohdassa rekisteröinnin edellytykseksi säädetty luotettavuus ei enää täyty. Vaikka aluehallintovirastolla on tarve käsitellä tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja osana luotettavuuden selvittämistä, tietoja ei olisi tarpeen tallettaa rekisteriin. Pykälän 2 momenttiin ehdotetaan lisättäväksi nimenomainen säännös, jonka mukaan tietoa rikosoikeudellisesta seuraamuksesta ei merkitä rekisteriin. Näin 10 artiklassa tarkoitettujen henkilötietojen käsittelyä rajoitettaisiin siihen, mikä on välttämätöntä luotettavuuden selvittämiseksi.

8 §. Tietojen luovuttaminen. Pykälässä ehdotetaan tarkistettavaksi vanhentunut viittaus henkilötietolain 13 §:ään, joka koskee henkilötunnuksen käsittelyä. Sen korvaavat henkilötunnuksen käsittelyä koskevat säännökset sisältyvät tietosuojalain 29 §:ään.

Voimassa olevassa pykälässä mahdollistetaan myös henkilötietojen luovuttaminen yleisen tietoverkon välityksellä. Perustuslakivaliokunta on pitänyt henkilötietojen julkistamista perustuslain puitteissa mahdollisena toteuttaa julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 2/2017 vp, s. 7, PeVL 65/2014 vp, s. 4/II—5/I, PeVL 32/2008 vp s. 2/I—3/II). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että internetiin sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina. (PeVL 2/2017 vp, s. 7, PeVL 32/2008 vp, s. 3/I) Pykälään ehdotetaan lisättäväksi virke, jonka mukaan yleisen tietoverkon kautta tapahtuvan tiedonluovutuksen edellytyksenä olisi, että henkilötietoja voidaan hakea vain yksittäisinä hakuina.

1.11 Ulosottokaari

Ulosottokaarta sovelletaan riita- tai rikosasiassa asetetun yksityisoikeudellisen, tuomioon tai muuhun ulosottokaaressa tarkoitettuun ulosottoperusteeseen sisältyvän velvoitteen täytäntöönpanoon sekä hallintolainkäytössä ja hallintomenettelyssä asetetun velvoitteen täytäntöönpanoon, jos siitä on ulosottokaaressa tarkoitettu ulosottoperuste ja täytäntöönpano edellyttää ulosottokaaren mukaisia toimia. Ulosottokaari sisältää myös kyseisiin toimenpiteisiin liittyviä henkilötietojen käsittelyä koskevia säännöksiä, mukaan lukien ulosoton tietojärjestelmää ja ulosottorekisteriä koskevat säännökset ja tietojen luovuttamista koskevat säännökset. Laissa tarkoitettu henkilötietojen käsittely kuuluu ulosoton perusteesta riippumatta hallinnollisena menettelynä tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista liikkumavaraa käytetään rekisterin tietosisällön, tietojen poistamisen ja henkilötietojen luovuttamisen osalta, minkä lisäksi sääntelyä ehdotetaan tarkennettavaksi erityisiin henkilötietoryhmiin kuuluvien tietojen tai muiden arkaluonteisten henkilötietojen osalta. Henkilötietojen luovuttamista koskevia säännöksiä tarkistettaisiin samalla perustuslakivaliokunnan tulkintakäytännön huomioimiseksi.

1 luku Yleiset säännökset

2 §. Suhde muuhun lainsäädäntöön. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, joka olisi informatiivinen säännös. Momentissa täsmennettäisiin ulosottoasian yhteydessä suoritettavaan henkilötietojen käsittelyyn sovellettavat yleissäädökset siitä syystä, että ulosoton perusteena voi olla myös rikosasia. Ulosottoviranomaiset voivat myös joissakin EU:n jäsenvaltioissa kuulua rikosasioiden tietosuojadirektiivissä tarkoitettuihin toimivaltaisiin viranomaisiin. Ulosottokaaressa tarkoitettuun viranomaiseen ehdotetaan kuitenkin sovellettavaksi kaikissa tilanteissa tietosuoja-asetusta ja sitä täydentävää tietosuojalakia.

24 §. Ulosoton tietojärjestelmä ja ulosottorekisteri. Pykälän 1 momentista ehdotetaan poistettavaksi toinen virke. Rekisterinpitäjästä säädettäisiin luvun 25 §:ssä ja momentissa tarkoitettu tietojärjestelmän ylläpitäminen ja kehittäminen kuuluisivat rekisterinpitäjän tehtäviin suoraan tietosuoja-asetuksen nojalla sen mukaisesti, mitä 25 §:ssä ehdotetaan säädettäväksi.

25 §. Rekisterinpitäjä. Voimassa olevassa pykälässä säädetään ulosottolaitokselle kuuluvasta rekisterinpitäjän tehtävästä. Pykälästä ehdotetaan poistettavaksi toinen virke, jonka mukaan ulosottolaitoksen keskushallinto huolehtii rekisterin yleisestä ylläpidosta sekä antaa määräyksiä tietojen teknisestä tallettamis- ja käsittelytavasta. Keskushallinto on ulosottolaitoksen osa ja ulosottolaitoksella on rekisterinpitäjänä mahdollisuus ilman lain säännöstä osoittaa sille rekisterinpitäjälle kuuluvia tehtäviä. Keskushallinnon virkamiehet sekä ulosottomiehet käsittelevät henkilötietoja rekisterinpitäjän antamien ohjeiden mukaisesti suoraan tietosuoja-asetuksen nojalla. Säilytettävän ensimmäisen virkkeen suomenkielistä sanamuotoa tarkistettaisiin siten, että virkkeessä käytettäisiin nimenomaisesti termiä ”rekisterinpitäjä”. Muutos ei vaikuta ruotsinkieliseen sanamuotoon.

26 §. Rekisterin tietosisältö. Pykälän 1 momentin 3 kohdan sanamuotoa ehdotetaan tarkistettavaksi sen huomioimiseksi, että henkilötietolaki on kumottu. Lisäksi laissa tarkoitettujen sosiaalihuollon etuuksien osalta ehdotetaan korkeampi tallettamiskynnys siten, että rekisteriin saisi tallettaa ulosmittaukseen vaikuttavat välttämättömät tiedot sosiaalihuollon etuuksista (erityistiedot). Vaikka tiedot eivät kuulu tietosuoja-asetuksen 9 artiklan 1 kohdassa eikä 10 artiklassa tarkoitettuihin tietoihin, ne ovat kumotun henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja, joihin voidaan siten edelleen soveltaa perustuslakivaliokunnan tulkintakäytännöstä ilmeneviä lailla säätämisen vaatimukseen liittyviä periaatteita.

Momenttiin ehdotetaan lisättäväksi uusi 4 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa sellaisia asianosaiselta tai sivulliselta saatuja ja ulosottoviranomaisen muulla tavoin hankkimia velallisen terveydentilaa tai vammaisuutta koskevia tietoja, jotka ovat välttämättömiä vapaakuukauden antamiseksi tai palkan ulosmittauksen rajoittamiseksi olennaisesti heikentyneen maksukyvyn perusteella, tai joiden tallettaminen on muutoin velallisen edun vuoksi välttämätöntä. Momenttiin ehdotetaan lisättäväksi myös uusi 5 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa viranomaiselta saatuja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja, joiden tallettaminen on välttämätöntä kyseessä olevaan rikosasiaan liittyvän ulosottoviranomaisen tehtävän hoitamiseksi. Tällaisten henkilötietojen käsittelyn edellytyksistä säädetään tietosuoja-asetuksen 10 artiklassa ja tietosuojalain 7 §:ssä. Sovellettavista suojatoimista säädetään tietosuojalain 6 §:n 2 momentissa. Tietosuoja-asetus ei välttämättä edellytä laissa säätämistä siltä osin kuin on kyse 10 artiklassa tarkoitetuista henkilötiedoista, kun käsittely tapahtuu viranomaisen valvonnassa. Niitä pidetään kuitenkin perustuslakivaliokunnan tulkintakäytännöstä ilmenevinä arkaluonteisina henkilötietoina, jolloin käsittelyoikeudesta on perusteltua säätää laissa erikseen.

Lisäksi momenttiin ehdotetaan lisättäväksi uusi 6 kohta, jonka nojalla ulosottorekisteriin saisi tallettaa tietoja ulosottoasian yhteydessä ilmenneestä rekisteröidyn uhkailevasta tai väkivaltaisesta käytöksestä taikka muusta turvallisuuden vaarantavasta seikasta siltä osin kuin tietojen tallettaminen on välttämätöntä ulosottomiehen työturvallisuuden varmistamiseksi (työturvallisuustiedot). Tällaisten tietojen käsittelystä ei säädetä tietosuoja-asetuksen 9 tai 10 artiklassa, mutta niitä olisi pidettävä perustuslakivaliokunnan tulkintakäytännöstä ilmenevinä arkaluonteisina henkilötietoina (ks. esim. PeVL 51/2018 vp, s. 11—12 ja 13). Tallettamiselta edellytettäisiin, että tiedot ovat välttämättömiä, ja niiden olisi liityttävä sellaiseen rekisteröidyn käyttäytymiseen, jolla on yhteys ulosottomiehen toimivaltuuksien käyttämiseen kyseistä rekisteröityä kohtaan. Uhkailevan tai väkivaltaisen käytöksen ohella muu turvallisuuden vaarantava seikka voisi olla esimerkiksi tieto huumausaineiden käyttövälineistä asunnossa, mikä paljastaisi henkilön yksityiselämää koskevia olosuhteita.

27 §. Oikeus käsitellä tietoja. Pykälän 1 momentti ehdotetaan kumottavaksi. Sen sisältämä informatiivinen viittaus huomioitaisiin tarkistettuna luvun 2 §:ssä. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että pykälässä huomioitaisiin ulosottolaitoksen virkamiesten tarve eräissä tilanteissa käsitellä velallisen terveydentilaa tai vammaisuutta koskevia tietoja ja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja sekä työturvallisuustietoja. Erityistietojen korkeamman käsittelykynnyksen huomioimiseksi momenttia on jo aiemmin muutettu lailla (778/2019). Sama käsittelykynnys koskisi myös uusia henkilötietoryhmiä.

28 §. Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Voimassa olevassa pykälässä säädetään rekisteröidyn tarkastusoikeuden lykkäämisestä sellaisissa tilanteissa, joissa rekisteröidyn tarkastusoikeus tuntuvasti vaikeuttaisi täytäntöönpanoa. Pykälään ehdotetaan tarkistuksia sen huomioimiseksi, mitä tietosuoja-asetuksessa ja tietosuojalaissa säädetään. Voimassa olevan pykälän otsikko – Rekisteröidyn tarkastusoikeus – ehdotetaan muutettavaksi siten, että otsikko vastaa pykälän muutettua sisältöä ja tietosuojalain 34 §:n otsikkoa.

Tietosuoja-asetuksen 23 artiklan mukaisen liikkumavaran puitteissa rekisteröidyn 15 artiklan mukaista pääsyä hänestä kerättyihin tietoihin voidaan lainsäädäntötoimenpiteellä rajoittaa, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja –vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide jonkin 23 artiklan 1 kohdan alakohdassa tarkoitetun tavoitteen takaamiseksi. Voimassa olevan ulosottokaaren 1 luvun 28 §:n mukaisen rekisteröidyn tarkastusoikeuden lykkäämisen perusteena voi olla lähinnä kyseisen kohdan d alakohdassa tarkoitettu rikosoikeudellisten seuraamusten täytäntöönpano tai j alakohdassa tarkoitettu yksityisoikeudellisten kanteiden (civil law claims) täytäntöönpano. Tämä rajoitustoimi voitaisiin säilyttää, edellyttäen, että lainsäädäntötoimeen sisältyy tarpeen mukaan erityiset säännökset, jotka koskevat ainakin 23 artiklan 2 kohdassa mainittuja seikkoja.

Pykälän otsikko muutettaisiin muotoon ”Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin”. Pykälän 1 momentissa säädettäisiin poikkeuksesta tietosuoja-asetuksen 15 artiklan mukaiseen rekisteröidyn tietoihin pääsyyn. Voimassa olevaa säännöstä vastaavasti rekisteröidyn oikeutta tutustua hänestä kerättyihin voitaisiin lykätä, kunnes tarvittavat ulosmittaukset tai muut täytäntöönpanotoimet on suoritettu ja omaisuus on otettu ulosottomiehen haltuun, enintään kuitenkin kuusi kuukautta tietoihin pääsyä koskevan pyynnön esittämisestä. Momentista poistettaisiin kuitenkin viittaus tarkastusoikeutta koskevaan pyyntöön. Lisäksi voimassa olevaa lakia vastaavasti edellytettäisiin, että tietoihin tutustuminen voisi tuntuvasti vaikeuttaa täytäntöönpanoa, ja että lykkäys rajoitetaan siihen, mikä on tarpeellista. Tutustumisoikeuden lykkäämisellä pyritään siihen, ettei velallinen voisi toimillaan tehdä täytäntöönpanoa tyhjäksi. Kyse on turvaamistoimesta, jolla pyritään estämään epäasianmukaisia ulosoton välttelykeinoja erityisesti monivaiheista selvittelyä vaativissa ja suuria saatavia koskevissa ulosottoasioissa, joissa ulosottoviranomaisen toiminta voisi vaarantua, jos velalliset voisivat seurata avoimesti ulosottoviranomaisen toimenpiteitä. Tällaisia toimenpiteitä voisivat olla esimerkiksi ulosottomiehen pankki- tai muut sivullistiedustelut. Ehdotettu momentti olisi erityissäännös suhteessa tietosuojalain 34 §:n 1 momenttiin ja sitä sovellettaisiin kyseisen tietosuojalain momentin sijasta. Tietosuojalain säännöksestä poiketen siinä ei rajattaisi tutustumisoikeutta kokonaan pois, vaan sitä ainoastaan lykättäisiin.

Pykälän 2 momentti, joka koskee tietosuojavaltuutetun tarkastusoikeutta, on päällekkäinen tietosuojalain kanssa. Tietosuojalain 34 §:n 4 momentin mukaan, jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.

Muutetussa 2 momentissa säädettäisiin rekisteröidyn oikeudesta saada tietää muut itseään koskevat tiedot, jos tutustumisoikeutta lykätään vain osittain. Momentti vastaisi sisällöllisesti tietosuojalain 34 §:n 2 momenttia, mutta huomioiden tietosuojalaista poikkeavan ehdotetun 1 momentin säännökset, erityissäännös olisi tarpeen sen selventämiseksi, mitä lisäedellytyksiä tutustumisoikeuden rajoittamiseen liittyy. Ehdotettua uutta momenttia sovellettaisiin tietosuojalain 34 §:n 2 momentin sijasta. Momentin mukaisesti näissä tilanteissa sovellettaisiin muutoin, mitä tietosuojalain 34 §:n 3 ja 4 momentissa säädetään. Rekisteröidylle olisi siten annettava häntä koskevat tiedot siltä osin kuin ne voitaisiin antaa vaarantamatta ulosottoa. Rekisteröidylle olisi myös tietosuojalain mukaisesti ilmoitettava rajoituksen syyt, ellei tämä vaaranna ulosottoa. Lisäksi rekisteröidyllä olisi oikeus pyytää, että tiedot annetaan tietosuojavaltuutetulle. Rekisteröidyn tutustumisoikeutta ehdotetaan rajattavaksi ainoastaan niiltä osin ja siksi aikaa kuin se on välttämätöntä ulosottotoimien täytäntöönpanon turvaamiseksi. Näiden säännösten arvioidaan täyttävän tietosuoja-asetuksen 23 artiklan 2 kohdan vaatimukset erityisistä säännöksistä yhdessä rekisteröidyn oikeuksiin yleisesti sovellettavien tietosuoja-asetuksen ja tietosuojalain säännösten sekä muiden ulosottokaaren säännösten kanssa.

29 §. Tietojen poistaminen. Pykälässä säädetään ulosottorekisterin sisältämien tietojen poistamisesta. Pykälän säännöksissä käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista sääntelyliikkumavaraa antaa yksityiskohtaisempia säännöksiä poistoajoista, jotka mahdollistavat asiainhallintatietojen osalta pitkän säilytysajan (30 vuotta). Pitkä säilytysaika on tarpeen erityisesti pitkäkestoisten ulosottotoimien huomioimiseksi. Pykälän 1 momentin 2 kohdassa on kuitenkin säädetty yhteistoimintatietojen poistamisesta, kun niitä ei enää tarvita, tai kun asian vireilläolo tai passiivirekisteröinti päättyy. Lisäksi 3 kohdassa on säädetty erityistietojen osalta asiainhallintatietoja nopeammasta poistamisesta. Voimassa olevan kohdan mukaan erityistiedot on poistettava 10 vuoden kuluttua merkinnän tekemisestä tai tätä aikaisemmin, jollei tietoja ilmeisesti enää tarvita. Pykälän 2 momentin mukaan erityistiedot saadaan säilyttää kauemmin kuin 10 vuotta, jos siihen on perusteltua aihetta, ei kuitenkaan yli 20 vuotta merkinnän tekemisestä. Huomioiden poistamisaikojen porrastuksen ja sen, että erityistietoja koskee arkaluonteisina tietoina lyhyempi säilytysaika, poistoaikoja koskevien säännösten arvioidaan olevan oikeasuhteisia.

Pykälän 1 momentin 3 kohtaa ehdotetaan muutettavaksi siten, että lyhyempi säilytysaika koskisi erityistietojen lisäksi myös velallisen terveydentilaa tai vammaisuutta koskevia tietoja sekä työturvallisuustietoja. Näiden tietojen arvioidaan olevan erityisen arkaluonteisia henkilön yksityiselämän suojan kannalta, jolloin rekisteröidyn oikeuksien suojatoimena olisi perusteltua varmistaa, että tietoja ei säilytetä pidempään kuin ne ovat tarpeen. Lisäksi ehdotetaan muutettavaksi pykälän 2 momenttia siten, että momentissa viitattaisiin kaikkiin 3 kohdassa tarkoitettuihin tietoihin. Perusteltu aihe terveydentilaa tai vammaisuutta koskevien tietojen yli 10 vuotta kestävälle säilyttämiselle olisi se, että tiedot olisivat edelleen välttämättömiä vapaakuukauden antamiseksi tai palkan ulosmittauksen rajoittamiseksi olennaisesti heikentyneen maksukyvyn perusteella, tai se, että tietojen tallettaminen on muutoin velallisen edun vuoksi välttämätöntä. Työturvallisuustietojen pidemmälle säilyttämiselle perusteena olisi se, että ulosottotoimien kohteena oleva henkilö muodostaisi edelleen uhkan ulosottomiehen työturvallisuudelle.

3 luku Yleiset menettelysäännökset

65 §. Arkaluonteiset henkilötiedot ja ulkopuolista koskevat tiedot. Pykälän 1 momenttia ehdotetaan tarkistettavaksi siten, että viittaus henkilötietolain 11 §:ssä tarkoitettuihin arkaluonteisiin henkilötietoihin korvataan viittauksella tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin henkilötietoihin ja 10 artiklassa tarkoitettuihin henkilötietoihin. Sivulliselta tietoja hankittaessa olisi voimassa olevan säännöksen tavoin vältettävä sitä, että ulosottomiehen haltuun joutuu tällaisia tietoja. Ulosottomiehellä olisi lain nojalla oikeus nykytilaa vastaavasti käsitellä tietoja velallisen saamista sosiaalihuollon etuuksista. Ne eivät sisälly tietosuoja-asetuksessa mainittuihin erityisiin henkilötietoryhmiin, joten viittaus sosiaalihuollon etuuksiin ehdotetaan poistettavaksi pykälästä tarpeettomana.

69 §. Tietojen luovuttaminen hallintotehtävien hoitamista varten. Voimassa oleva 3 luvun 69 § sisältää pääosin informatiivisia säännöksiä asiakirjojen julkisuudesta ja henkilötietojen luovuttamisesta. Ottaen huomioon, että henkilötietojen luovuttamisesta säädetään luvun 70—72 §:ssä, kyseisiin pykäliin ehdotetaan siirrettäväksi 69 §:n mukainen oikeus luovuttaa tietoja salassapitosäännösten estämättä. Informatiivista viittausta viranomaisten toiminnan julkisuudesta annettuun lakiin ei olisi tarpeen säilyttää, ottaen huomioon, että yleislakia sovelletaan viranomaisen asiakirjojen julkisuuteen myös ilman eri säännöstä. Sen sijaan 70—72 §:ään ehdotetaan lisättäväksi asiasisältöinen viittaus mainittuun lakiin. Kumottavaksi ehdotetun pykälän sisältämää lain sisäistä informatiivista viittausta siihen, mitä 1 luvussa säädetään, ei myöskään olisi tarpeen säilyttää. Pykälästä ehdotetaan myös poistettavaksi yleinen ulosottoviranomaisten välinen tiedonluovutusoikeus, huomioiden, että organisaatiouudistuksen myötä ulosottolaitoksen sisäisestä tiedonluovutuksesta ei olisi tarpeen säätää. Pykälässä olisi tarpeen säätää ainoastaan tietojen luovuttamisesta oikeusministeriölle hallintotehtävien hoitamista varten. Säilytettävän säännöksen osalta ehdotetaan, että ulosottoviranomaisella olisi oikeus luovuttaa salassapitosäännösten estämättä tietoja oikeusministeriölle siltä osin kuin tiedot ovat välttämättömiä hallintotehtävien hoitamista varten, ottaen huomioon perustuslakivaliokunnan tulkintakäytännön. Myös pykälän otsikko ehdotetaan muutettavaksi vastaamaan pykälän sisältöä.

70 §. Esitutkinta- ja eräät muut viranomaiset sekä tuomioistuimet. Pykälän 1 momentissa luetellaan viranomaiset, joille, ja tarkoitukset, joihin ulosottoviranomainen saa yksittäistapauksessa antaa ulosottoviranomaisen asiakirjasta vastaajan tunniste- ja yhteystietoja sekä vastaajan taloudellista asemaa ja toimintaa koskevia tietoja. Momentin johdantokappaleeseen ehdotetaan lisättäväksi viittaus muualla laissa oleviin säännöksiin siten, että ulosottoviranomainen saa yksittäistapauksessa luovuttaa momentissa tarkoitettuja tietoja sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Tietojen olisi myös oltava välttämättömiä momentissa lueteltuihin tarkoituksiin.

Pykälän 1 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että ulosottoviranomaisella olisi oikeus luovuttaa välttämättömiä tietoja suojelupoliisille valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämistä varten. Tällaisia rikoksia ovat esimerkiksi terrorismirikokset ja vakoilurikokset. Voimassa olevan kohdan mukaan tietoja voidaan luovuttaa syyttäjä- ja esitutkintaviranomaiselle rikosten selvittämistä, esitutkintaa, syyteharkintaa ja tuomioistuinkäsittelyä varten sekä törkeiden rikosten ennalta estämistä varten. Kohta on kattanut myös suojelupoliisin esitutkintaviranomaisena, mutta tietojen luovuttamisoikeutta ei ole rajattu rikosnimikkeittäin, vaan rikoksen törkeyden perusteella. Siviilitiedustelua koskevan lainsäädännön voimaantulon myötä suojelupoliisi ei ole enää esitutkintaviranomainen. Poliisin hallinnosta annetun lain (110/1992) muutetun 10 §:n mukaan suojelupoliisin tehtävänä on kuitenkin edelleen estää rikoksia, jotka voivat uhata valtio- ja yhteiskuntajärjestystä tai valtakunnan sisäistä tai ulkoista turvallisuutta. Suojelupoliisin toimivaltuuksien kattamat rikokset ovat säilyneet lainmuutoksen myötä ennallaan. Suojelupoliisilla on lisäksi henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019, jäljempänä poliisin henkilötietolaki) 48 §:n 1 momentin mukaan oikeus käsitellä muun muassa henkilötietoja, jotka ovat tarpeen valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten estämiseksi ja paljastamiseksi. Tietojen luovuttamisen osalta on syytä huomioida, että sen tulisi kytkeytyä paitsi vastaanottavan viranomaisen toimivaltuuksiin, myös sen oikeuteen käsitellä kyseessä olevia henkilötietoja. Säännöksen tarkistuksella varmistettaisiin, että ulosottoviranomainen voisi edelleen luovuttaa välttämättömiä tietoja suojelupoliisille sen toimivaltuuksien kattamien rikosten ennalta estämiseksi, mutta rikokset täsmennettäisiin poliisilainsäädännöstä seuraavien rajausten mukaisesti.

Pykälän 2 momenttiin ehdotetaan lisättäväksi 1 momenttia vastaavasti sanat salassapitosäännösten estämättä. Lisäksi tietojen luovuttamisen olisi oltava välttämätöntä momentissa säädettyyn tarkoitukseen.

71 §. Veroviranomaiset ja julkisia tukia myöntävät. Ulosottoviranomaisen tiedonluovutusoikeuteen ehdotetaan 1 momentin johdantokappaleessa lisättäväksi viittaus salassapitosäännöksiin siten, että tiedot saa antaa sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Lisäksi tietojen luovuttamisen olisi oltava välttämätöntä momentissa säädettyyn tarkoitukseen.

72 §. Oma-aloitteinen tietojen antaminen. Pykälän 1 momentissa säädetään eräistä tilanteista, joissa ulosottomies saa omasta aloitteestaan luovuttaa tietoja 70 §:n 1 momentin 1 kohdassa tarkoitetulle viranomaiselle. Ottaen huomioon perustuslain 10 §:stä johtuvat vaatimukset, tällainen yleinen tietojen luovuttamisvaltuus on varsin avoin ja väljä. Säännöstä ehdotetaan tarkennettavaksi siten, että tietojen olisi oltava välttämättömiä kyseessä olevan viranomaisen tehtävän hoitamiseksi. Vastaava tarkennus ehdotetaan tehtäväksi myös 2 ja 3 momenttiin. Lisäksi 1 momenttia selkiytettäisiin rakenteellisesti. Pykälän 2 momentin toinen virke ehdotetaan kaksinkertaisen sääntelyn purkamiseksi ja selkeyden vuoksi korvattavaksi informatiivisella viittauksella rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) sovellettaviin säännöksiin, joissa ulosottoviranomaiset on säädetty ilmoitusvelvollisiksi viranomaisiksi epäilyttävien liiketoimien osalta. Lisäksi 1—3 momenttiin ehdotetaan lisättäväksi viittaus salassapitosäännöksiin siten, että tietoja saisi luovuttaa sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, sekä salassapitosäännösten estämättä. Pykälän 4 momentti ehdotetaan kumottavaksi päällekkäisenä tietosuoja-asetuksen 5 artiklan 1 kohdan c ja d alakohdan vaatimusten kanssa.

4 luku Ulosmittaus

33 §. Rekisteri-ilmoitukset. Pykälän 1 momentin 6 kohdan ja 3 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. Pykälän 2 momentin ruotsinkielistä sanamuotoa tarkistettaisiin kielellisesti.

1.12 Laki ulosottokaaren 1 luvun 2 §:n muuttamisesta

Ulosottokaaren 1 luvun 2 §:ää on muutettu ulosottokaaren 1 luvun 2 §:n muuttamisesta annetulla lailla (26/2016). Kyseisen lain mukainen pykälä ei ole tullut vielä voimaan, vaan se on tarkoitus saattaa erikseen voimaan valtioneuvoston asetuksella. Koska ulosottokaaren voimassa olevaan 1 luvun 2 §:ään on ehdotettu lisättäväksi uusi 2 momentti, myös lailla 26/2016 muutettua pykälää olisi muutettava vastaavasti. Samalla laki 26/2016 kumottaisiin.

2 §. Suhde muuhun lainsäädäntöön. Ulosottokaaren 1 luvun 2 §:ään, sellaisena kuin se on muutettuna lailla 26/2016, ehdotetaan lisättäväksi uusi 2 momentti, joka olisi informatiivinen säännös. Momentissa täsmennettäisiin ulosottoasian yhteydessä suoritettavaan henkilötietojen käsittelyyn sovellettavat yleissäädökset siitä syystä, että ulosoton perusteena voi olla myös rikosasia. Ulosottoviranomaiset voivat myös joissakin EU:n jäsenvaltioissa kuulua rikosasioiden tietosuojadirektiivissä tarkoitettuihin toimivaltaisiin viranomaisiin. Ulosottokaaressa tarkoitettuun viranomaiseen ehdotetaan kuitenkin sovellettavaksi kaikissa tilanteissa tietosuoja-asetusta ja sitä täydentävää tietosuojalakia.

1.13 Laki velkajärjestelyrekisteristä

Laissa säädetyn velkajärjestelyrekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus yksityishenkilön velkajärjestelyasioista tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa, sivullisten etujen ja oikeuksien turvaamista sekä tilasto- ja tutkimustoimintaa varten. Rekisterisääntelyn voidaan siten katsoa täyttävän tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämän yleisen edun mukaisen tavoitteen. Laissa täsmennetään tyhjentävästi rekisterin tietosisältö, joka on rajattu siihen, mikä on rekisterin käyttötarkoituksen kannalta tarpeen. Käsittely on siten myös oikeasuhteista tietosuoja-asetuksen 6 artiklan 3 kohdan edellyttämällä tavalla. Velkajärjestelyrekisteriin liittyvän henkilötietojen käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Oikeusrekisterikeskuksella on rekisterinpitäjänä laissa säädetty velvollisuus rekisterin ylläpitoon. Kansallista liikkumavaraa antaa tietosuoja-asetusta täydentävää sääntelyä käytetään erityisesti rekisteröitävien tietojen ja niiden säilytysaikojen sekä henkilötietojen luovuttamisen osalta.

1 §. Rekisterin tarkoitus ja ylläpito. Pykälän ensimmäisen virkkeen sanamuotoa esitetään tarkistettavaksi siten, että siitä käy selkeämmin ilmi, että Oikeusrekisterikeskus on velkajärjestelyrekisterin rekisterinpitäjä ja sillä olisi rekisterin ylläpidon lisäksi täysimääräisesti myös muut rekisterinpitäjälle kuuluvat tehtävät. Rekisterinpitäjästä säätäminen on mahdollista, kun henkilötietojen käsittelyn tarkoitukset ja keinot määritellään lainsäädännössä tietosuoja-asetuksen 4 artiklan 7 kohdassa tarkoitetulla tavalla. Muut laissa mainitut viranomaiset olisivat voimassa olevaa käytäntöä vastaavasti edelleen tietojen luovuttajia tiedon luovutustavasta riippumatta, erityisesti lain 2 §:ssä tarkoitettu velkajärjestelyasiaa käsittelevä tuomioistuin.

5 §. Tietojen poistaminen rekisteristä. Pykälän 3 momentti ehdotetaan kumottavaksi tarpeettomana. Rekisteröidyn oikeudesta tietojen oikaisemiseen säädetään tietosuoja-asetuksen 16 artiklassa ja rekisterinpitäjän velvollisuudesta ilmoittaa tietojen oikaisemisesta tietojen vastaanottajille säädetään tietosuoja-asetuksen 19 artiklassa. Säännöksiä sovellettaisiin ilman nimenomaista viittausta.

10 §. Suhde muuhun lainsäädäntöön. Pykälästä ehdotetaan poistettavaksi informatiivinen viittaus henkilötietolakiin.

1.14 Laki liiketoimintakiellosta

Liiketoimintakiellosta annetussa laissa tarkoitettu kielto voidaan määrätä lain perusteella sopimattoman ja vahingollisen liiketoiminnan estämiseksi sekä liiketoimintaan kohdistuvan luottamuksen ylläpitämiseksi. Laki sisältää henkilötietojen käsittelyyn liittyvät erityissäännökset liiketoimintakieltorekisteristä sekä henkilötietojen luovuttamisesta. Liiketoimintakieltorekisterin rekisterinpitäjä on Oikeusrekisterikeskus.

Liiketoimintakieltoa on luonnehdittu lähinnä elinkeino-oikeudelliseksi turvaamistoimenpiteeksi, jonka tavoitteena on sopimattoman ja vahingollisen liiketoiminnan estäminen sekä liiketoimintaan kohdistuvan luottamuksen ylläpitäminen (HE 198/1996 vp; HE 269/2016 vp; KKO 2004:131 ja KKO 1998:43). Liiketoimintakieltoa ei pidetä rikosoikeudellisena seuraamuksena, vaikka yleinen tuomioistuin määrää liiketoimintakiellon lain mukaan aina syyttäjän vaatimuksesta. Liiketoimintakieltoon voidaan määrätä liiketoimintakieltolain 2 §:ssä tarkoitettu henkilö, jos hän on liiketoiminnassa muusta kuin maksukyvyttömyydestä johtuvasta syystä olennaisesti laiminlyönyt siihen liittyviä lakisääteisiä velvollisuuksia; tai jos hän on liiketoiminnassa syyllistynyt rikolliseen menettelyyn, jota ei voida pitää vähäisenä.

Liiketoimintakieltoon liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan ja käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa käytetään laissa rekisteröitävien henkilötietojen ja niiden luovuttamisen osalta. Lakiehdotukseen ei ole välttämätöntä tehdä tietosuoja-asetuksesta tai rikosasioiden tietosuojalaista johtuvia muutoksia. Laissa ehdotetaan kuitenkin tarkennettavaksi henkilötietojen käsittelyyn sovellettava yleislaki. Muutos olisi tarpeellinen, koska sovellettavasta laista voisi muutoin syntyä epäselvyyttä, ottaen huomioon syyttäjän roolin menettelyssä.

1 a §. Suhde muuhun lainsäädäntöön. Lakiin ehdotetaan lisättäväksi uusi pykälä, jossa täsmennettäisiin lain suhde yleisesti henkilötietojen käsittelyyn sovellettaviin säädöksiin, jotka olisivat tietosuoja-asetus ja tietosuojalaki.

21 §. Rekisteri. Pykälän 2 momentin ruotsinkielistä sanamuotoa ehdotetaan muutettavaksi siten, että termi ”registeransvarig” muutettaisiin termiksi ”personuppgiftsansvarig”. Momentin alkuun tehtäisiin lisäksi lainsäädäntötekninen tarkistus, jolla ilmaisu ”utan hinder av” korvattaisiin ilmaisulla ”trots vad som föreskrivs i”.

1.15 Laki kriminologian ja oikeuspolitiikan instituutista

Kriminologian ja oikeuspolitiikan instituutista annetun lain mukaan instituutin tehtävänä on harjoittaa riippumatonta kriminologista ja muuta oikeuspoliittista tutkimusta ottaen huomioon oikeusministeriön ja yhteiskunnan tietotarpeet; seurata ja analysoida rikollisuutta, rikollisuuden kontrollin ja seuraamusjärjestelmän toimintaa, oikeusoloja ja lainsäädännön vaikutuksia sekä raportoida niiden kehityspiirteistä; ja ylläpitää sille laissa säädettyjen tehtävien hoitamiseksi tarvittavia tutkimusrekistereitä. Tutkimukseen käytettävät ja siihen liittyviin rekistereihin talletettavat tiedot voivat olla peräisin lähteistä, jotka kuuluvat alkuperäisen henkilötietojen käsittelyn tarkoituksen osalta joko tietosuoja-asetuksen tai rikosasioiden tietosuojalain soveltamisalaan. Instituutin suorittama henkilötietojen käsittely olisi suhteessa näihin alkuperäisiin käsittelytarkoituksiin tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa ja 89 artiklassa sekä rikosasioiden tietosuojalain 5 §:n 3 momentissa tarkoitettua, alkuperäiseen käsittelytarkoitukseen nähden yhteensopivaa henkilötietojen käsittelyä. Vaikka instituutti käsittelisi henkilötietoja rikosasioiden tietosuojalain soveltamisalaan kuuluvista lähteistä, sitä ei pidettäisi kyseisessä laissa tarkoitettuna toimivaltaisena viranomaisena. Siten sen harjoittamaan tutkimustoimintaan liittyvään henkilötietojen käsittelyyn sovelletaan kaikilta osin tietosuoja-asetusta ja tietosuojalakia ja käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta (yleistä etua koskevan tehtävän suorittaminen). Oikeudesta käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja tutkimustarkoituksiin ei kuitenkaan olisi tarpeen säätää tässä laissa, sillä tietosuojalain 6 §:n 1 momentin 7 kohdassa on jo säädetty erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tieteellistä tai historiallista tutkimusta taikka tilastointia varten. Tietosuojalain säännös perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohtaan. Tietosuoja-asetuksen erityisiä tietoryhmiä koskevan 9 artiklan 2 kohdan j alakohdan mukaan 1 kohdassa tarkoitettujen tietojen käsittely on sallittua silloin, kun se on tarpeen tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Tällöin edellytetään, että lainsäädäntö on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely siis edellyttää, että rekisterinpitäjänä toimiva instituutti toteuttaa tietosuojalain 6 §:n 2 momentin mukaisesti asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Tietosuoja-asetuksen 5 artiklan 2 kohdan osoitusvelvollisuudesta seuraa, että instituutin on kyettävä myös osoittamaan valittujen suojatoimien asianmukaisuus ja oikeasuhtaisuus.

Myös tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos tietoja käsitellään edellä tarkoiteussa tietosuojalain 6 §:n 1 momentin 7 kohdassa säädetyssä tarkoituksessa. Mitä tietosuojalain 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tietosuoja-asetuksen 10 artiklassa tarkoitettuja henkilötietoja. Näin ollen myös tietosuoja-asetuksen 10 artiklassa tarkoitettujen henkilötietojen käsittely tutkimustarkoituksiin voisi olla mahdollista suoraan yleislain nojalla, jos rekisterinpitäjä tai henkilötietojen käsittelijä toteuttaa asianmukaiset suojatoimenpiteet tietosuojalain 6 §:n 2 momentin mukaisesti. Tietosuoja-asetuksen mukaista kansallista liikkumavaraa käytetään laissa kuitenkin täydentävien säännösten antamiseksi instituutin tiedonsaantioikeudesta.

1 §. Hallinnollinen asema ja tehtävät. Pykälän 2 momentin 3 kohdan mukaisesti instituutin tehtäviin kuuluu sille laissa säädettyjen tehtävien hoitamiseksi tarvittavien tutkimusrekistereiden ylläpito. Ottaen huomioon instituutin 4 a §:n mukaiset tiedonsaantioikeudet sekä voimassa olevan lain 4 b §:n mukaisen oikeuden ylläpitää henkilörekistereitä, tutkimusrekistereihin voisi sisältyä myös henkilötietoja. Instituutille laissa säädetyt seurantatehtävät ja rekisterien ylläpitotehtävä on yksityiselle annettu julkinen hallintotehtävä (HE 121/2014 vp). Näihin rekistereihin kuuluu myös rikoksia ja seuraamuksia koskevia tietoja sisältävä tutkimusrekisteri. Tietosuoja-asetuksen 10 artiklan mukaan kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa. Vastaava säännös sisältyi kumotun henkilötietodirektiivin 8 artiklan 5 kohtaan. Instituutti toimisi nykytilaa vastaavasti rikoksia ja tuomioita koskevien henkilötietojen rekisterinpidon osalta tietosuoja-asetuksessa tarkoitettuna julkisena viranomaisena. Kohtaa ehdotetaan täsmennettäväksi siten, että siitä kävisi nimenomaisesti ilmi oikeus ylläpitää rikosten ja seuraamusten tutkimusrekisteriä, joka käytännössä rinnastuu 10 artiklassa tarkoitettuun kattavaan rikosrekisteriin.

Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jossa täsmennettäisiin instituutin tehtävä tutkimusrekistereihin sisältyvien henkilötietojen rekisterinpitäjänä.

4 b §. Tietojen käsittely ja salassapito. Pykälässä säädetään tutkimuksiin ja selvityksiin liittyvistä henkilörekistereistä sekä tutkimuksessa käytettävien tietojen salassapidosta. Voimassa olevan 1 momentin perustelujen mukaan säännöksen tarkoituksena on ollut mahdollistaa myös pysyvän rikosten ja seuraamusten tutkimusrekisterin perustaminen. Muutoin momentin nojalla rekisteröitävät henkilötiedot liittyvät lain 4 a §:n 1 momentissa tarkoitettuihin tietoryhmiin, joista osa kuuluu tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin ja osaa voidaan muutoin pitää perustuslakivaliokunnan tulkintakäytännössä tarkoitettuina arkaluonteisina henkilötietoina. Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaisesti henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksen toteuttamista varten. Henkilötietoja voidaan kuitenkin alakohdan mukaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten. Lisäksi edellytetään, että asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi. Erityisten henkilötietoryhmien osalta käsittely on vastaavasti sallittua, jos se on tarpeen yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten unionin oikeuden tai jäsenvaltion lainsäädännön nojalla ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tietosuoja-asetuksen 89 artiklan 1 kohdan perusteella käsittelyyn sovelletaan asianmukaisia suojatoimia asetuksen mukaisesti, mukaan lukien erityisesti tietojen minimoinnin periaatteen noudattaminen. Tietojen minimointiperiaatetta voitaisiin toteuttaa esimerkiksi rajoittamalla henkilötietojen säilyttämistä.

Pykälän 1 momentti ehdotetaan kumottavaksi, huomioiden, että siinä säädetty instituutin oikeus muodostaa ja ylläpitää henkilörekistereitä on päällekkäinen 1 §:n 2 momentin 3 kohdan kanssa. Henkilörekisterien ylläpidosta ei olisi tarpeen säätää toistamiseen 4 b §:ssä. Henkilötietojen käsittelyyn sovellettaisiin edellä kuvatulla tavalla suoraan tietosuoja-asetuksen ja tietosuojalain säännöksiä.

Pykälän 4 momentista ehdotetaan poistettavaksi tarpeettomana viittaus henkilötietojen käsittelyyn sovellettavaan henkilötietolakiin. Sen korvanneet tietosuoja-asetus ja tietosuojalaki tulisivat sovellettavaksi ilman nimenomaista informatiivista viittausta. Sen sijaan asiasisältöinen viittaus viranomaisten toiminnan julkisuudesta annettuun lakiin on tarpeen säilyttää.

1.16 Laki yhdyskuntaseuraamusten täytäntöönpanosta

Laissa tarkoitettuun toimintaan liittyvä henkilötietojen käsittely kuuluu rikosasioiden tietosuojalain sekä henkilötietojen käsittelystä rikosseuraamuslaitoksessa annetun lain (1069/2015) soveltamisalaan. Laki ei sisällä muita tarkentavia henkilötietojen käsittelyä koskevia säännöksiä kuin tiedonsaantioikeutta koskevat säännökset.

45 §. Menettely rangaistusajan suunnitelmaa laadittaessa. Pykälän 1 momentissa ehdotetaan muutetavaksi vanhentunut viittaus henkilötietojen käsittelystä rangaistusten täytäntöönpanossa annettuun lakiin.

1.17 Laki eläintenpitokieltorekisteristä

Oikeusrekisterikeskus pitää valtakunnallista rekisteriä eläintenpitokielloista, jotka määrätään rikoslain 17 luvun 23 §:n nojalla turvaamistoimena. Eläintenpitokieltorekisteriä kuitenkin pidetään kiellon noudattamisen valvomiseksi, jota rikosasioiden tietosuojalain 1 §:n soveltamisalasäännökset eivät kata. Laissa tarkoitettu henkilötietojen käsittely kuuluu siten tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Laissa käytetään tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa rekisteröitävien henkilötietojen ja niiden luovuttamisen sekä säilytysaikojen osalta. Eläintenpitokielto on verrattavissa liiketoimintakieltoon turvaamistoimena. Eläintenpitokiellon tavoitteena on toisaalta pyrkimys estää uuden rikoksen tekeminen, ja toisaalta tavoitteena on suojella eläimiä ja turvata niiden hyvinvointi kieltämällä eläintenpito henkilöltä, joka on osoittautunut soveltumattomaksi tai kykenemättömäksi huolehtimaan eläimistä. Se, että tietoja voidaan luovuttaa eläintenpitokieltorekisteristä esimerkiksi esitutkintatarkoitukseen, ei vaikuta eläintenpitokieltorekisterin alkuperäiseen käyttötarkoitukseen, joka on valvonta.

2 §. Suhde muuhun lainsäädäntöön. Pykälässä ehdotetaan korvattavaksi vanhentunut viittaus henkilötietolakiin viittauksella tietosuoja-asetukseen ja tietosuojalakiin. Informatiivista viittausta pidetään perusteltuna epäselvyyksien välttämiseksi.

5 §. Tietojen luovuttaminen rekisteriotteella. Pykälän 4 momentti ehdotetaan kumottavaksi. Informatiivinen viittaus tietosuoja-asetuksen mukaiseen rekisteröidyn tarkastusoikeuteen ei olisi tarpeen, ottaen huomioon 2 §:ään lisättävän viittauksen.

1.18 Turvallisuusselvityslaki

Turvallisuusselvityslain tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä. Vaikka turvallisuusselvitys voidaan tehdä myös erittäin merkittävän yksityisen taloudellisen edun turvaamiseksi, laissa tarkoitetun toiminnan pääpaino on kuitenkin turvallisuuden varmistaminen ennalta ehkäisemällä turvallisuutta vaarantavaa toimintaa. Voimassa olevan lain mukaan pääasiallinen rekisterinpitäjä on suojelupoliisi, mutta puolustusvoimien henkilökunnan osalta turvallisuusselvityksistä vastaa Pääesikunta. Laissa tarkoitetun henkilötietojen käsittelyn voidaan katsoa kuuluvan rikosasioiden tietosuojalain soveltamisalaan, jonka kansallista soveltamisalaa on laajennettu suhteessa rikosasioiden tietosuojadirektiivin soveltamisalaan siten, että se kattaa myös kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvän henkilötietojen käsittelyn, kun kyse on rikosasioiden tietosuojalain 3 §:n 1 momentin 5 kohdassa tarkoitetuista toimivaltaisista viranomaisista. Muiden turvallisuusselvityslaissa tarkoitettujen viranomaisten suorittamaan henkilötietojen käsittelyyn olisi sovellettava tietosuoja-asetusta ja tietosuojalakia. Rikosasioiden tietosuojalaki mahdollistaa myös sitä täydentävän erityislainsäädännön antamisen.

2 §. Lain soveltamisala ja sen suhde muuhun lainsäädäntöön. Pykälän 1 momentin 6 kohdan sanamuoto ehdotetaan yhtenäistettäväksi 51 §:ssä käytetyn ilmaisun kanssa. Ilmaisu ”tietojen yhdistämisestä” vastaisi myös paremmin rikosasioiden tietosuojadirektiivin johdanto-osan 22 kappaleen tarkoitusta. Kyseisen kappaleen mukaan viranomaisten tietojenluovutuspyyntö olisi aina tehtävä kirjallisesti, se olisi perusteltava, sen olisi oltava tilapäinen ja se ei saisi koskea koko rekisteriä tai johtaa rekisterien yhteenliittämiseen. Turvallisuusselvityslaissa ei tarkoiteta kokonaisten rekisterien, vaan niiden sisältämien henkilötietojen ja niihin liittyvien tietojen yhdistämistä.

Pykälään lisättäisiin selkeyden vuoksi informatiivisena säännöksenä uusi 3 momentti, jossa täsmennettäisiin, missä yleissäädöksessä säädettäisiin kunkin viranomaisen suorittamasta henkilötietojen käsittelystä. Ainoastaan suojelupoliisia ja Pääesikuntaa (rekisterinpitäjät) voidaan pitää rikosasioiden tietosuojalaissa tarkoitettuina toimivaltaisina viranomaisina, joiden suorittamasta henkilötietojen käsittelystä säädetään rikosasioiden tietosuojalaissa. Ulkoasiainministeriön (kansallinen turvallisuusviranomainen) suorittama henkilötietojen käsittely kuuluisi kaikissa tilanteissa tietosuoja-asetuksen ja tietosuojalain soveltamisalaan.

Viestintäviraston on Liikenne- ja viestintävirastosta annetun lain (935/2018) 3 §:n 1 momentin mukaisesti toimivaltaisena viranomaisena korvannut Liikenne- ja viestintävirasto. Käytännössä tehtävä on organisaatiouudistuksen myötä sijoitettu Liikenne- ja viestintäviraston kyberturvallisuuskeskukseen. Kyberturvallisuuskeskus ei käsittele henkilötietoja turvallisuusselvityslain nojalla. Siinä tapauksessa, että kyberturvallisuuskeskuksella olisi osana tietojärjestelmän tietoturvallisuuden arviointia pääsy henkilötietoihin, siihen sovellettaisiin tietosuoja-asetusta.

7 §. Selvityksen kohteen huomautusoikeus. Voimassa olevan lain pykälässä säädetään henkilöturvallisuusselvityksen kohteen oikeudesta tehdä huomautus haastattelun tai lain 28 §:ssä tarkoitetun henkilötietolomakkeen tarkistamismenettelyn yhteydessä esiin tulleista seikoista. lain 4—6 §:n tavoin myös 7 §:ssä tarkoitettu menettely liittyy turvallisuusselvityksen perusteena olevien seikkojen, eikä pelkästään henkilötietojen oikeellisuutta koskeviin huomautuksiin. Pykälän 4 momentti sisältää informatiivisen viittauksen henkilötietolain mukaiseen rekisteröidyn tarkastusoikeuteen ja siihen kytkeytyvään oikeuteen virheellisten henkilötietojen korjaamiseen. Rikosasioiden tietosuojalaki sisältää vastaavat säännökset. Momentti ehdotetaan kumottavaksi tarpeettomana.

9 §. Toimivaltaiset viranomaiset. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta Liikenne- ja viestintävirastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus.

46 §. Yritysturvallisuusselvitystodistuksen antaminen. Pykälän 3 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus.

48 §. Turvallisuusselvitysrekisteri, rekisterin käyttötarkoitus ja tietojen tallettaminen rekisteriin. Turvallisuusselvitysrekisteri on osaksi henkilörekisteri, jonka käyttötarkoituksista säädetään voimassa olevan lain 48 §:ssä. Rekisterin käyttötarkoituksia ei ehdoteta laajennettavaksi, mutta pykälän 1 momenttiin ehdotetaan lisättäväksi teknisenä tarkistuksena turvallisuusselvitysten tekeminen, jolloin rekisterin pääasiallinen käyttötarkoitus kävisi otsikkoa vastaavasti selvästi ilmi myös pykälän tekstistä. Pykälän otsikkoon ehdotetaan selkeyden vuoksi myös teknistä tarkistusta, jolla sana sen korvattaisiin sanalla rekisterin.

Rikosasioiden tietosuojalain sisältämän rekisterinpitäjää koskevan sääntelyn huomioimiseksi ja pykälässä käytettyjen käsitteiden suhteen selkiyttämiseksi pykälän 1 momentista ehdotetaan poistettavaksi viittaukset rekisterinpitäjään ja rekisteriin tietoja tallettavaan viranomaiseen. Rekisteriin tietoja tallettava toimivaltainen viranomainen on ilmaisuna epäselvä suhteessa rekisterinpitäjän käsitteeseen. Henkilötietoja turvallisuusselvitysrekisteriin voivat toimivaltaisina viranomaisina tallettaa suojelupoliisi, Pääesikunta ja kansallinen turvallisuusviranomainen. Rekisterinpitäjiä koskeva sääntely ehdotetaan siirrettäväksi erilliseen pykälään.

Pykälän 2 momentissa ehdotetaan selkeyden vuoksi korvattavaksi sanat ”toimivaltaisen viranomaisen” sanoilla ”suojelupoliisin ja Pääesikunnan”, jotka ovat ainoat laissa tarkoitetuista toimivaltaisista viranomaisista, jotka tekevät turvallisuusselvityksiä. Momentissa mainittu kansallinen turvallisuusviranomainen olisi henkilötietojen luovuttaja, kun se tallettaa tiedon antamastaan henkilöturvallisuusselvitystodistuksesta tai yritysturvallisuustodistuksesta. Tietojen luovuttamisesta kansalliselle turvallisuusviranomaiselle säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 11 §:ssä. Suojelupoliisin (selvityksen laatineen viranomaisen) on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista. Sama koskee lain 12 §:n nojalla kansainvälisessä tietoturvallisuusvelvoitteessa edellytettyä yritysturvallisuusselvitystodistusta. Pykälän 1 ja 2 momentin ruotsinkielistä sanamuotoa tarkistettaisiin lisäksi kielellisesti.

Pykälän 4 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa Liikenne- ja viestintävirastosta annetun lain 3 §:n 1 momentin nojalla uusi Liikenne- ja viestintäviraston kyberturvallisuuskeskus.

Pykälään ehdotetaan lisättäväksi uusi 6 momentti jonka mukaan kansallisella turvallisuusviranomaisella ja Liikenne- ja viestintävirastolla olisi velvollisuus huolehtia turvallisuusselvitysrekisteriin tallettamiensa tietojen osalta siitä, että tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä, ja että merkinnät on tehty suojelupoliisin asettamien teknisten vaatimusten mukaisesti. Kansallinen viranomainen tallettaa turvallisuusselvitysrekisteriin tiedon myöntämästään turvallisuusselvitystodistuksesta, ja näihin merkintöihin liittyy vain vähäisessä määrin henkilötietoja. Liikenne- ja viestintäviraston tallettamiin tietoihin ei sisälly henkilötietoja. Suojelupoliisin ja Pääesikunnan osalta voimassa olevan pykälän 1 momentin mukainen vastuu merkintöjen oikeellisuudesta sisältyy tietosuoja-asetuksen mukaiseen rekisterinpitäjän vastuuseen, joten säännös ehdotetaan sisällytettäväksi ainoastaan kansallisen turvallisuusviranomaisen ja Liikenne- ja viestintäviraston osalta. Ehdotetussa uudessa momentissa suojelupoliisille ehdotettu rooli liittyisi sille uudessa 48 a §:ssä ehdotettuihin rekisterinpitäjän tehtäviin.

48 a §. Rekisterinpitäjät. Lakiin ehdotetaan lisättäväksi uusi 48 a §, jossa säädettäisiin rekisterinpitäjistä. Suojelupoliisi ja pääesikunta toimisivat turvallisuusselvitysrekisterin yhteisrekisterinpitäjinä kuitenkin siten, että Suojelupoliisin vastuulle kuuluisi suurin osa rekisterinpitäjän tehtävistä, joista säädetään rikosasioiden tietosuojalaissa. Pääesikunta vastaisi rekisterinpitäjän tehtävistä silloin, kun käsiteltävät henkilötiedot koskevat selvityksen kohdetta, joka toimii tai jonka on tarkoitus toimia puolustusvoimissa tai hoitaa puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Suojelupoliisi vastaisi rekisterinpitäjän tehtävistä muihin selvityksen kohteisiin liittyvien henkilötietojen käsittelyn osalta sekä henkilötietojen luovuttamiseen turvallisuusselvitysrekisteristä ja turvallisuusselvitysrekisterin ylläpitoon ja tietoturvallisuuteen liittyvistä tehtävistä, jotka kattaisivat myös teknisten käyttöyhteyksien avaamisen. Suojelupoliisin oikeudesta luovuttaa henkilötietoja turvallisuusselvitysrekisteristä salassapitosäännöksistä riippumatta säädetään lain 50 §:ssä. Rekisteröidyn oikeuksien käyttöä koskevien asioiden osalta yhteisrekisterinpitäjät voisivat nimetä yhteyspisteenä toimivan rekisterinpitäjän esimerkiksi siten, että Pääesikunta olisi rekisteröityjen ensisijainen yhteyspiste silloin, kun kyse on pääesikunnan henkilökunnan henkilötietojen käsittelystä, ja muiden osalta yhteyspiste olisi suojelupoliisi. Rikosasioiden tietosuojalain mukaisesti yhteisrekisterinpito tarkoittaisi kuitenkin yhteyspisteestä riippumatta sitä, että rekisteröity voisi käyttää oikeuksiaan suhteessa kumpaankin rekisterinpitäjään.

Ehdotettu säännös yhteisrekisterinpidosta perustuu rikosasioiden tietosuojalain 16 §:ään. Kyseisen pykälän 1 momentin mukaisesti yhteisrekisterinpitäjien tulisi sopia keskinäisestä vastuunjaostaan, jollei vastuunjaosta ole säädetty laissa. Vaikka säännös jättää liikkumavaraa tältä osin, ehdotetussa laissa olisi perusteltua määrittää pääpiirteittäin rekisterinpitäjien vastuut ja velvollisuudet, jotka perustuisivat rikosasioiden tietosuojalain sisältämiin tarkempiin säännöksiin. Perustuslakivaliokunta on myös etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti (PeVL 21/2001 vp, s. 4/I) tai muuten täsmällisesti (PeVL 47/2001 vp, s. 3/II) tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat (PeVL 45/2001 vp, s. 5/I) samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 7/2001 vp, s. 4/II; ks. myös PeVL 11/2002 vp, s. 6, PeVL 52/2001 vp, s. 5, PeVL 47/2002 vp, s. 4—5, PeVL 65/2002 vp, s. 4/II). Lisäksi perustuslakivaliokunta on äskettäin kiinnittänyt huomiota siihen, että yhteisrekisterinpitoa koskevan sääntelyn suhde viranomaisten toimivaltuuksien ja tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä liittyvään vakiintuneeseen käytäntöön tulisi olla perustuslain 10 §:n näkökulmasta riittävän selvä (PeVL 7/2019 vp, s. 7). Perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen ja perustuslain 2 §:n 3 momentissa säädetyn julkisen vallan käytön lakiperustaisuuden vaatimuksen johdosta yhteisrekisterinpitäjyyttä koskevasta sääntelystä olisi selkeästi käytävä ilmi tiedon luovuttamiseen toimivaltainen viranomainen (ks. PeVL 7/2019 vp, s. 6).

Suojelupoliisille ehdotettu suurempi vastuu turvallisuusselvitysrekisteriin liittyvästä henkilötietojen käsittelystä vastaisi nykytilaa, mutta säännöksiä selkiytettäisiin siten, että laissa käytettäisiin rikosasioiden tietosuojalain terminologiaa ja rekisterinpitäjien tehtävien jakautuminen ilmenisi selkeämmin laista. Ehdotetussa yhteisrekisterinpitoa koskevassa sääntelyratkaisussa on myös huomioitu edellä selostetut perustuslaista johtuvat vaatimukset.

49 §. Turvallisuusselvitysrekisterin tietojen poistaminen. Pykälästä ehdotetaan poistettavaksi toinen virke, joka sisältää viittaussäännöksen henkilötietolakiin. Lisäksi pykälän alkuun ehdotetaan lisättäväksi viittaus rikosasioiden tietosuojalain 6 §:n 3 momenttiin, jonka säännöksistä pykälässä poikettaisiin säätämällä nimenomaisesti tietojen poistamista koskevasta ajankohdasta. Muilta osin kyseisen lain 6 §:n vaatimuksia sovellettaisiin myös turvallisuusselvitysrekisteriin.

50 §. Tietojen luovuttaminen turvallisuusselvitysrekisteristä. Pykälän 3 momenttia ehdotetaan tarkistettavaksi sen huomioimiseksi, että epäiltyjen tietojärjestelmästä ei enää säädetä uudessa laissa henkilötietojen käsittelystä poliisitoimessa (616/2019). Muutos vastaisi sanamuodoltaan jo aiemmin muutettua 25 §:n 2 momenttia. Momentin ruotsinkielistä sanamuotoa tarkistettaisiin kielellisesti lisäksi siten, että verbi ”prövats” korvataan verbillä ”bedömts”.

Pykälään ehdotetaan lisättäväksi uusi 5 momentti, jonka mukaan henkilötietojen luovuttamiseen kansalliselle turvallisuusviranomaiselle sovelletaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään. Suojelupoliisilla on kyseisen lain 11 §:n 1 momentin nojalla velvollisuus salassapitosäännösten estämättä luovuttaa tietoja kansalliselle turvallisuusviranomaiselle henkilöturvallisuusselvitystodistuksen antamiseksi kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi. Ottaen huomioon turvallisuusselvityslain 50 §:n 2 momentin, jonka perusteella suojelupoliisi voi luovuttaa tietoja ministeriön nimeämälle virkamiehelle, sekä edellä 48 a §:n yhteydessä selostetut perustuslakiin liittyvät näkökohdat, aineellinen viittaussäännös olisi tarpeellinen.

51 §. Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien tietojen yhdistämisen avulla. Voimassa olevasta pykälästä poiketen sen otsikkoon ehdotetaan lisättäväksi sana ”tietojen”. Muutos perustuisi rikosasioiden tietosuojadirektiivin johdanto-osan 22 kappaleeseen, jonka mukaan viranomaisten tietojenluovutuspyyntö olisi aina tehtävä kirjallisesti, se olisi perusteltava, sen olisi oltava tilapäinen ja se ei saisi koskea koko rekisteriä tai johtaa rekisterien yhteenliittämiseen. Pykälässä ei ole kyse kokonaisten henkilörekisterien, vaan niiden sisältämien tietojen yhdistämisestä viranomaisen tehtävän suorittamiseksi.

56 §. Tietosuojavaltuutetun valvontaoikeus. Pykälä ehdotetaan kumottavaksi päällekkäisenä rikosasioiden tietosuojalain sisältämän sääntelyn kanssa. Pykälän 1 momentin mukainen tietosuojavaltuutetun oikeus tutustua lain nojalla laadittuun turvallisuusselvitykseen sen henkilötietojen lainmukaisuuden tarkastamiseksi tulee katetuksi rikosasioiden tietosuojalain 47 §:n mukaisen tiedonsaantioikeuden kanssa. Kyseinen pykälä kattaa laajalti tietosuojavaltuutetun tehtävien hoidon kannalta tarpeelliset tiedot ja selvitykset. Pykälän 2 momentti sisältää informatiivisen viittauksen kumotun henkilötietolain mukaisiin valvontaan ja tiedonsaantiin, joihin sovelletaan rikosasioiden tietosuojalain 23 ja 47 §:ää. Lakia sovellettaisiin ilman erillistä viittausta.

60 §. Turvallisuusselvityksen maksullisuus. Pykälän 1 momenttiin tehtäisiin tekninen muutos, jonka tarkoituksena on huomioida Viestintäviraston nimenmuutos. Lailla Liikenne- ja viestintävirastosta (935/2018) turvallisuusselvityslaissa tarkoitetuista yritysturvallisuusselvityksistä vastaava Viestintävirasto on yhdistetty osaksi uutta virastoa. Organisaatiomuutoksen myötä turvallisuusselvityslaissa tarkoitetuista Viestintäviraston tehtävistä vastaa uusi Liikenne- ja viestintävirasto.

61 §. Viittaus rangaistussäännöksiin. Perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen ydinsisällön mukaan kunkin rikoksen tunnusmerkistö on ilmaistava riittävällä täsmällisyydellä siten, että säännöksen sanamuodon perusteella on ennakoitavissa, onko jokin toiminta tai laiminlyönti rangaistavaa. Euroopan ihmisoikeustuomioistuimen ja EU-tuomioistuimen käytännössä periaatteelle on annettu käytännössä vastaava ydinsisältö, jossa on korostettu sääntelyn ennustettavuutta eli sitä, että säännöksen sanamuodon perusteella voidaan ennakoida, mikä on rangaistavaa. (PeVL 14/2018 vp, s. 21)

Voimassa oleva pykälä sisältää vaitiolovelvollisuuden ja salassapitovelvollisuuden rikkomista koskevat viittaussäännökset. Pykälän momentit yhdistettäisiin. Pykälän sisältämät viittaukset sovellettaviin rangaistussäännöksiin ehdotetaan korvattavaksi uusilla viittauksilla, joissa huomioitaisiin uusi rikoslain 38 luvun 9 §:ssä tarkoitettu tietosuojarikos sekä tarkemmin muut soveltuvat rikosnimikkeet, minkä lisäksi poistettaisiin viittaus henkilötietolain mukaiseen henkilörekisteririkkomukseen vanhentuneena. Pykälässä täsmennettäisiin lisäksi voimassa olevan lain säännöstä vastaavasti, että salassapitovelvollisuuden rikkomisena pidetään myös lain 40 §:ssä tarkoitetun sitoumuksen rikkomista.

62 §. Muutoksenhaku. Pykälän 1 momentissa ehdotetaan muutettavaksi sen sisältämä viittaus hallintolainkäyttölakiin (586/1996). Laki on kumottu oikeudenkäynnistä hallintoasioissa annetulla lailla (808/2019), joka tulee voimaan 1.1.2020.

1.19 Laki oikeusrekisterikeskuksesta

Oikeusrekisterikeskuksesta annetussa laissa säädetään sen organisaatiosta ja tehtävistä. Laki ei sisällä henkilötietojen käsittelyä koskevia säännöksiä. Sen 1 §:n 1 kohdassa kuitenkin täsmennetään oikeusrekisterikeskuksen rekisterinpitotehtävä.

1 §. Oikeusrekisterikeskus. Pykälän 1 momentin 1 kohdan mukaisesti oikeusrekisterikeskuksen tehtävänä on toimia oikeusministeriön hallinnonalan tietojärjestelmien ja rekisterien rekisterinpitäjänä sekä välittää hallinnonalan viranomaisten ilmoittamia tietoja muille viranomaisille. Oikeusrekisterikeskuksen tehtävistä säädetään lisäksi lukuisissa muissa laeissa. Oikeusrekisterikeskuksen rekisterinpitovastuu ja tietojenluovutusvelvollisuus on määritelty tarkemmin eri rekistereitä koskevassa lainsäädännössä. Oikeusrekisterikeskuksen pitämiä rekistereitä ovat esimerkiksi rikos-, sakko-, kuulutus-, liiketoimintakielto-, konkurssi- ja yrityssaneeraus- sekä velkajärjestelyrekisterit. Oikeusrekisterikeskus on myös oikeushallinnon valtakunnallisen tietojärjestelmän rekisterinpitäjä. Lainkohtaa koskevien perustelujen mukaan aiemmilla lainmuutoksilla ei ole myöskään ollut tarkoitus muuttaa sitä, että eri tietojärjestelmien ja rekisterien rekisterinpitovastuu määräytyisi niitä koskevien lakien ja asetusten mukaan. (HE 122/2012 vp) Kaikesta Oikeusrekisterikeskuksen rekisterinpitovastuulle kuuluvasta henkilötietojen käsittelystä ei kuitenkaan säädetä erityislainsäädännössä. Suoraan tietosuoja-asetukseen perustuvaa henkilötietojen käsittelyä on esimerkiksi henkilöstöhallintoon liittyvä käsittely.

Pykälän 1 momentin 1 kohdan sanamuoto voisi aiheuttaa sen, että oikeusrekisterikeskuksen rekisterinpitotehtävän ymmärrettäisiin koskevan kaikkia oikeusministeriön hallinnonalan tietojärjestelmiä ja rekistereitä. Kohtaa ehdotetaan täsmennettäväksi siten, että oikeusrekisterikeskuksen rekisterinpitovastuulle kuuluvista tietojärjestelmistä ja rekistereistä säädetään erikseen.

1.20 Laki konkurssi- ja yrityssaneerausrekisteristä

Laissa säädetään konkurssi- ja yrityssaneerausasioita varten pidettävästä rekisteristä. Rekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa sekä sivullisten etujen ja oikeuksien turvaamista varten. Rekisteriin liittyvä henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja tietosuojalain soveltamisalaan. Käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista kansallista sääntelyliikkumavaraa käytetään laissa rekisteröitävien henkilötietojen ja niiden luovuttamisen osalta. Tiedon korjaamisen osalta laki sisältää säännöksiä, jotka ovat osittain päällekkäisiä tietosuoja-asetuksen säännösten kanssa.

1 §. Rekisterin tarkoitus ja rekisterinpitäjä. Pykälän ensimmäistä virkettä ehdotetaan muutettavaksi siten, että sanamuoto vastaisi muita esityksellä muutettavia säännöksiä, joissa täsmennetään rekisterinpitäjä. Muutos olisi tekninen.

11 §. Tiedon korjaaminen. Pykälän 1 momentin mukaan Oikeusrekisterikeskuksen on ilman aiheetonta viivytystä oma-aloitteisesti tai esitetystä vaatimuksesta korjattava rekisterissä oleva virheellinen tieto. Oikeusrekisterikeskuksen on ilmoitettava tiedon korjaamisesta sille, jolle se on luovuttanut virheellisen tiedon, jollei ilmoittaminen ole mahdotonta tai vaadi kohtuutonta vaivaa. Pykälää koskevien perustelujen mukaan momentin tarkoituksena on ollut, että luonnollista henkilöä koskevien tietojen korjaamiseen sovelletaan henkilötietojen käsittelyä koskevaa lainsäädäntöä (henkilötietolaki), mutta rekisteri sisältää muitakin kuin luonnollisia henkilöitä koskevia tietoja (HE 153/2003 vp). Pykälässä ei kuitenkaan suljeta pois henkilötietojen korjaamista sen nojalla. Rekisterin tietosisältö ilmenee lain 3—6 §:stä. Pykälän säännökset ovat siten päällekkäisiä tietosuoja-asetuksen kanssa siltä osin kuin on kyse virheellisen henkilötiedon korjaamisesta. Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jonka mukaan virheellisen ja epätarkan henkilötiedon oikaisemiseen ja poistamiseen sovelletaan, mitä tietosuoja-asetuksessa säädetään. Säännös olisi tarpeen sen selventämiseksi, että henkilötietojen korjaamiseen sovellettaisiin aina suoraan tietosuoja-asetusta. Pykälän 1—2 momenttia sovellettaisiin muun virheen korjaamiseen.

1.21 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Rikosasioiden tietosuojalain soveltamisalasta säädetään lain 1 §:ssä. Laissa on määritelty toimivaltaisiksi viranomaisiksi eräissä tilanteissa myös Puolustusvoimat ja poliisi. Lain soveltamisalasäännöksessä mainitut tehtävät eivät yksiselitteisesti kata Puolustusvoimien ja poliisin tehtäviä, joista säädetään turvallisuusselvityslaissa. Soveltamisalasäännöksiä ehdotetaan täsmennettäväksi tältä osin.

1 §. Soveltamisala. Pykälän 2 momentin 1 kohtaa ehdotetaan muutettavaksi siten, että lakia sovellettaisiin Puolustusvoimien suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään turvallisuusselvityslain 9 §:n 3 momentissa tarkoitettujen tehtävien hoitamiseksi. Näistä vastaa turvallisuusselvityslain mukaisesti Puolustusvoimien pääesikunta. Momentin 2 kohtaa muutettaisiin vastaavasti siten, että se kattaisi turvallisuusselvityslain 9 §:n 1 momentissa tarkoitetut tehtävät, joista vastaa poliisin osalta suojelupoliisi. Muutokset selkiyttäisivät lain suhdetta turvallisuusselvityslakiin.

47 §. Tiedonsaantioikeus. Pykälän mukaan tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot. Pykälässä olisi kuitenkin 22 §:n sijasta viitattava 18 §:ssä tarkoitettuun selosteeseen käsittelytoimista, joka olisi pyydettäessä esitettävä valvontaviranomaiselle tämän tiedonsaantioikeuden perusteella (HE 31/2018 vp, s. 45). Pykälä perustuu rikosasioiden tietosuojadirektiivin 24 artiklaan. Sen sijaan 22 §:n mukainen seloste on asetettava julkisesti saataville. Vaikka pykälässä tarkoitetut muut tehtävien hoidon kannalta tarpeelliset tiedot on ilmaisuna varsin väljä ja kattaisi myös 18 §:n mukaisen selosteen, pykälää ehdotetaan selkeyden vuoksi tarkistettavaksi muuttamalla viittaus koskemaan kyseistä pykälää. Muutos olisi luonteeltaan tekninen.

2 Voimaantulo

Lakien ehdotetaan tulevan voimaan mahdollisimman pian lukuun ottamatta eräitä ulosottokaaren muutoksia, joiden ehdotetaan tulevan voimaan vasta 1.12.2020, ja lakia ulosottokaaren 1 luvun 2 §:n muuttamisesta, jonka on tarkoitus tulla voimaan asetuksella säädettävänä ajankohtana.

3 Suhde perustuslakiin ja säätämisjärjestys

3.1 Henkilötietojen suoja

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 10 §:ssä turvatun henkilötietojen ja yksityisyydensuojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta on säädettävä tarkemmin lailla. Perustuslakivaliokunta on pitänyt aiemmin henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa (PeVL 25/1998 vp). Näiden seikkojen sääntelyn lain tasolla on tullut lisäksi olla kattavaa ja yksityiskohtaista.

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.

3.2 Tietosuoja-asetus

Perustuslakivaliokunta on todennut, että tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (PeVL 1/2018 vp). Perustuslakivaliokunta on myös todennut, että sen valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Perustuslakivaliokunta on kuitenkin esittänyt huomioita unionin lainsäädännön ja kansallisen lainsäädännön suhteesta. Valiokunta on tulkintakäytännössään pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin (ks. PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta painottaa edelleen, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II). Valiokunta on korostanut erityisesti asiakirjajulkisuuden ja henkilötietojen suojan välistä tasapainoa (PeVL 22/2008 vp, s. 4/I).

Perustuslakivaliokunta on tietosuoja-asetusta täydentävää lainsäädäntöä koskevassa lausunnossaan pitänyt perusteltuna tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4) Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. (PeVL 14/2018 vp, s. 5)

Esitykseen sisältyvissä lakiehdotuksissa on pyritty huomioimaan tietosuoja-asetuksen sallima kansallinen liikkumavara karsimalla tarpeetonta päällekkäistä sääntelyä toisaalta tietosuoja-asetuksen ja toisaalta sitä täydentävän tietosuojalain kanssa. Toisaalta lakiehdotuksissa on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin ja arvioitu sääntelyn riittävyyttä siltä osin. Ehdotettujen tarkistusten myötä lakiehdotusten arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset sen mukaisesti kuin perustuslakivaliokunta on tarkistanut tulkintaansa. Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä kappaleessa 2.3 sekä lakiehdotusten yksityiskohtaisissa perusteluissa.

3.3 Rikosasioiden tietosuojadirektiivi

Perustuslakivaliokunta katsoi osana perustuslain 10 §:n tulkintakäytäntöön kohdistuvaa tarkistusta, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 7). Rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta piti merkityksellisenä myös, että siltä osin kuin lakia sovelletaan Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä on kyse tietosuoja-asetuksen ja mainitun poliisidirektiivin EU-oikeuden soveltamisalaan kiinnittyvän soveltamisalan johdosta osin kansallisesta ratkaisusta eikä ehdotetun sääntelyn taustalle ole siten kaikilta osin osoitettavissa EU-sääntelyä. Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (PeVL 26/2018 vp, s. 3 ja 4. Ks. myös PeVL 14/2018 vp, s. 7). Merkityksellistä perustuslakivaliokunnan mukaan tässä suhteessa on, että laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityslainsäädännöllä (PeVL 26/2018 vp, s. 4).

Perustuslakivaliokunta on toisaalta kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta muistuttaa tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös tietosuoja- asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 14/2018 vp, s. 7, PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4). Myös rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta huomautti, että sen valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Valiokunta korostaa kuitenkin edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/ 2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). Perustuslakivaliokunta on edelleen tarkentanut linjauksiaan rikosasioiden tietosuojalain soveltamisalalla, kiinnittäen huomiota muun muassa tarpeeseen antaa yleislakia tarkentavaa sääntelyä (PeVL 51/2018 vp ja PeVL 52/2018 vp).

Rikosasioiden tietosuojadirektiivi sallii jäsenvaltioille enemmän liikkumavaraa sen arvioimisessa, millä tavalla EU-oikeus pannaan kansallisesti täytäntöön. Esityksessä on kuitenkin lähdetty siitä, että myös rikosasioiden tietosuojalain kanssa päällekkäistä sääntelyä on syytä välttää siltä osin kuin se on mahdollista. Osaa rikosasioiden tietosuojalain soveltamisalaan kuuluvista laeista on muutettu jo sen käsittelyn yhteydessä. Toisaalta lakiehdotuksissa on kiinnitetty erityistä huomiota erityisiin henkilötietoryhmiin ja arvioitu sääntelyn riittävyyttä siltä osin. Siltä osin kuin rikosasioiden tietosuojalain soveltamisalaan kuuluviin lakeihin ehdotetaan tarkistuksia, ehdotettujen lainmuutosten arvioidaan varmistavan, että lakien sisältämät henkilötietojen käsittelyä koskevat säännökset täyttävät perustuslain 10 §:n vaatimukset. Kansallisen liikkumavaran käytöstä tehdään tarkemmin selkoa edellä kappaleessa 2.3 sekä lakiehdotusten yksityiskohtaisissa perusteluissa.

3.4 Erityiset henkilötietoryhmät

Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. (PeVL 14/2018 vp ja PeVL 15/2018 vp). Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (ks. myös PeVL 14/2018 vp), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi (PeVL 15/2018 vp). Näillä tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa tarkoitetut erityiset henkilötietoryhmät (ks. tältä osin myös esim. PeVL 17/2018 vp.). Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 15/2018 vp, myös 13/2016 vp, PeVL 14/2009 vp).

Myös tietosuoja-asetuksen 51 johdantokappaleen mukaan asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Perustuslakivaliokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp). Perustuslakivaliokunta on varhaiskasvatusta koskevien tietovarantojen osalta lausunnossaan PeVL 17/2018 vp edellyttänyt, että terveydentilatietojen ja muiden arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamisissa puitteissa yksityiskohtaista ja kattavaa.

Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja sekä muutoin arkaluonteisiksi katsottavia henkilötietoja koskevia säännöksiä ehdotetaan tarkistettavaksi valmiuslaissa ja ulosottokaaressa. Lisäksi ehdotettujen säännösten yksityiskohtaisissa perusteluissa on arvioitu näihin henkilötietojen käsittelyyn liittyviä erityisiä suojatoimia rekisteröidyn oikeuksien turvaamiseksi. Myös näitä koskevia säännöksiä on eräiltä osin ehdotettu tarkennettavaksi. Valmiuslain säännösten tarkennuksilla ei olisi rekisteröidyn yksityiselämän suojaa rajoittavia vaikutuksia, huomioiden, että jo voimassa oleva laki sallii työkykyyn liittyvien terveystietojen käsittelyn. Niiden rekisteriin tallettamisedellytystä ehdotetaan säädettäväksi tietojen välttämättömyyden tasolle, mikä tehostaisi terveydentilaa ja vammaisuutta koskevien tietojen suojaa. Sen sijaan ulosottokaareen ehdotetaan lisättäväksi nimenomainen oikeus tallettaa ulosottorekisteriin eräitä erityisiin henkilötietoryhmiin tai muutoin arkaluonteisiksi katsottaviin tietoihin kuuluvia henkilötietoja, joita rekisterin tietosisältöä koskevat säännökset eivät nykyisellään kata. Rekisteriin talletettavilla uusilla henkilötietoryhmillä olisi rekisteröidyn yksityiselämän suojaa kaventavaa vaikutusta, vaikka ehdotetuissa rekisterin tietosisältöä koskevissa säännöksissä pyrittäisiin tarkkarajaisuuteen. Tällä olisi merkitystä myös henkilötietojen luovuttamisen kannalta. Näiden henkilötietojen rekisteröinti ja muu käsittely sekä henkilötietojen luovuttamiskynnys rajattaisiin lisäksi siihen, mikä on välttämätöntä ulosottoviranomaisen tai tietoja vastaanottavan viranomaisen tehtävän hoitamisen kannalta. Näiden tiukennusten myötä ulosottokaaren tarkistusten arvioidaan yhdessä tietosuojalain suojatoimia koskevien säännösten kanssa täyttävän perustuslain 10 §:stä seuraavat vaatimukset.

3.5 Henkilötietojen luovuttaminen

Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esim. PeVL 19/2012 vp).

Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. PeVL 15/2018 vp ja esim. PeVL 38/2016 vp). Perustuslakivaliokunta on painottanut, että erottelussa tietojen saamisen tai luovuttamisen tarpeellisuuden ja välttämättömyyden välillä on kyse tietosisältöjen laajuuden ohella myös siitä, että salassapitosäännösten edelle menevässä tietojensaantioikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta. Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 7/2019 vp, PeVL 15/2018 vp ja PeVL 17/2016 vp, s. 6 ja siinä viitatut lausunnot).

Ulosottokaaren henkilötietojen luovuttamista koskeviin säännöksiin on kiinnitetty lainmuutosten valmistelun yhteydessä huomiota. Ulosottokaaren säännöksiä ehdotetaan tarkennettavaksi siten, että henkilötietojen olisi oltava välttämättömiä laissa säädettyyn tarkoitukseen. Erityistä huomiota on sen osalta kiinnitetty väljäksi arvioituihin säännöksiin sekä sellaisiin henkilötietojen luovutustilanteisiin, joihin voisi liittyä erityisiin henkilötietoryhmiin kuuluvia tai muita arkaluonteisiksi katsottavia henkilötietoja.

Ulosottokaareen ehdotetaan myös tehtäväksi tarkistus, jolla huomioitaisiin se, että suojelupoliisi ei ole enää esitutkintaviranomainen. Suojelupoliisille voitaisiin luovuttaa ulosottorekisterin tietoja valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämiseksi, mikä vastaisi aiempaa sääntelyä. Tarkemmin määrittelemättömien törkeiden rikosten sijasta henkilötietojen luovuttamistarkoitus sidottaisiin kuitenkin nimenomaisesti niihin rikoksiin, jotka liittyvät suojelupoliisin toimivaltuuksiin ja henkilötietojen käsittelyoikeuteen. Toisaalta sillä, että suojelupoliisi on aiempaa selvemmin tiedusteluviranomainen, voisi olla vaikutusta rekisteröidyn yksityiselämän suojaan. Yksityiselämän suojaa kaventavaa vaikutusta syntyisi erityisesti siitä, millä tavalla henkilötietoja yhdistettäisiin muihin suojelupoliisin käsittelemiin tietoihin. Suojelupoliisilla on esimerkiksi poliisin henkilötietolain 52 §:n nojalla oikeus saada kyseisen lain 2 luvun perusteella käsiteltävät tehtäviensä suorittamiseksi tarpeelliset tiedot.

Valtiolla on pitkään katsottu olevan eräissä tilanteissa laaja harkintamarginaali sen osalta, mikä on välttämätöntä, esimerkiksi henkilötietojen tallentamisessa henkilöistä, joita epäillään terrorismirikoksista. Rajoituksen on kuitenkin perustuttava lakiin ja sen on oltava välttämätön ja oikeasuhteinen toimenpide (ks. esim. Leander v. Ruotsi, 26.3.1987, tuomion kohdat 58-59, Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohdat 87 ja 88). Yksityiselämään puuttumiseksi on katsottava jo se, että viranomainen kerää ja tallentaa tietoja myöhempää käyttöä varten (S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, kohta 85). Jotta yksityiselämän rajoitustoimenpide olisi lain mukainen, edellytyksenä ei ole pelkästään se, että toimenpide perustuu lakiin, vaan sen on oltava rekisteröityjen henkilöiden saatavilla ja ennakoitavissa vaikutusten osalta. (Segerstedt-Wiberg ja muut v. Ruotsi, 6.6.2006, tuomion kohta 76), Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä on korostettu muun muassa toimivaltaperusteiden täsmällistä ja ennakoitavaa laintasoista määrittelyä, välttämättömyyskriteerin tiukkaa tulkintaa, objektiivisia perusteita välttämättömien tietojen saamiselle, tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa, riippumatonta jälkikäteisvalvontaa ja tuomioistuimessa toteutettavan oikeusturvan saatavuutta. (Weber ja Saravia v. Saksa, 29.6.2006, kohta 95, Liberty ja muut v. Yhdistynyt Kuningaskunta, 1.10.2008, kohta 59—60, Zakharov v. Venäjä, 4.12.2015, kohta 229-230 ja Szabó ja Vissy v. Unkari, 12.1.2016, kohta 89)

Merkityksellistä rekisteröidyn oikeusturvan kannalta on erityisesti se, että rikosasioiden tietosuojalain soveltamisalan laajennus kansallisen turvallisuuden ylläpitämiseen täyttää henkilötietojen turvaamista koskevan perustuslaillisen velvoitteen (PeVL 26/2018 vp, s. 4). Rikosasioiden tietosuojalaista seuraavat erityisesti rekisteröidyn oikeuksia koskevat säännökset sekä valvovan viranomaisen toimivaltuudet. Tietosuojavaltuutetulla on pitkälle menevät tiedonsaantioikeus ja toimivaltuudet. Laissa säädetään myös oikeussuojakeinoista. Vaikka suojelupoliisin käsittelemiin henkilötietoihin ei ole rekisteröidyllä suoraa tarkastusoikeutta, suojelupoliisin henkilötietojen käsittelyyn kohdistuisi tietosuojavaltuutetun kautta käytettävän välillisen tarkastusoikeuden lisäksi myös tuomioistuinkontrolli. Ehdotettu henkilötietojen luovutustarkoitus täyttäisi hyväksyttävän päämäärän vaatimuksen. Huomioiden henkilötietojen käsittelyä koskevat oikeusturvan takeet sekä ehdotettavat tarkennukset tietojen luovuttamista koskeviin säännöksiin, ehdotetun tiedonluovutussäännöksen arvioidaan täyttävän oikeasuhteisuuden vaatimuksen.

Perustuslakivaliokunta on pitänyt mahdollisena toteuttaa henkilötietojen luovuttamisen julkisena tietopalveluna, jos sille on oikeusturvan takeiden ja perusoikeusjärjestelmän tavoitteiden kannalta hyväksyttävät perusteet (PeVL 65/2014 vp, s. 4/II—5/I, PeVL 32/2008 vp s. 2/I—3/II). Valiokunnan mukaan yksityiselämän ja henkilötietojen suojan kannalta on kuitenkin olennaista, että internetiin sijoitettavasta henkilörekisteristä tietoja ei voida hakea erilaisina massahakuina, vaan esimerkiksi ainoastaan yksittäisinä hakuina. Tällaista rajausta on pidetty edellytyksenä lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä (ks. esim. PeVL 2/2017 vp, s. 7, PeVL 32/2008 vp, s. 3/I). Eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annetun lain 8 §:ää ehdotetaan muutettavaksi yleisen tietoverkon välityksellä tapahtuvien tiedonluovutusten osalta siten, että tietoja voidaan hakea vain yksittäisinä hakuina. Ehdotettujen muutosten myötä säännösten arvioidaan täyttävän perustuslain 10 §:stä seuraavat vaatimukset.

Hallituksen arvion mukaan esitys voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Lakiehdotukset

1.

Laki valmiuslain 103 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan valmiuslain (1552/2011) 103 §:n 1 ja 2 momentti seuraavasti:

103 §
Työvelvollisuusrekisteri

Työ- ja elinkeinoministeriö perustaa 3 §:n 1, 2, 4 ja 5 kohdassa tarkoitetuissa poikkeusoloissa työvelvollisuuden täytäntöönpanoa ja työvoiman ohjausta varten työvelvollisuusrekisterin, jonka rekisterinpitäjä on työ- ja elinkeinoministeriö. Rekisterin tietoja käyttävät ja tietoja rekisteriin tallentavat elinkeino-, liikenne- ja ympäristökeskukset sekä työ- ja elinkeinotoimistot. Näiden viranomaisten on varmistettava tietojen virheettömyys ennen niiden tallentamista.


Työvelvollisuusrekisteri sisältää tietoja työvelvollisista ja työnantajista. Rekisteriin tallennetaan työvelvollisen tunnistetiedot. Rekisteriin voidaan lisäksi tallentaa tietoja työvelvollisen ammatista, koulutuksesta ja työllisyydestä sekä huoltovelvollisuudesta, työkyvystä ja käytettävyydestä. Rekisteriin tallennetaan lisäksi tietoja työnantajien nimistä ja tuotanto- tai palvelutoimialoista sekä toimipaikkojen sijainnista. Työkykyyn liittyvät terveydentilaa tai vammaisuutta koskevat tiedot saa tallentaa, jos tietojen käsittely on välttämätöntä niiden huomioon ottamiseksi 99 §:n 1 momentissa tarkoitetulla tavalla.




Tämä laki tulee voimaan päivänä kuuta 20 .


2.

Laki hallintolain 42 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan hallintolain (434/2003) 42 § seuraavasti:

42 §
Tietojen kirjaaminen

Tiedot suullisesti esitetyistä vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun, on kirjattava tai muulla tavoin rekisteröitävä. Sama koskee henkilörekisteristä saatua tietoa.



Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki puoluelain 1 ja 9 f §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan puoluelain (10/1969) 1 § ja 9 f §:n 1 momentti, sellaisina kuin ne ovat laissa 683/2010, seuraavasti:

1 §
Puolue ja puoluerekisteri

Puolueella tarkoitetaan tässä laissa rekisteröityä yhdistystä, joka on merkitty puoluerekisteriin. Oikeusministeriö on puoluerekisterin rekisterinpitäjä.


9 f §
Ilmoitusrekisteri ja sen tietojen julkisuus

Puoluerahoituksen ilmoitusrekisteriin talletetaan 8 c §:ssä tarkoitettuihin ilmoituksiin, 9 a §:n 2 momentissa ja 9 b §:ssä tarkoitettuihin erittelyihin sekä 9 d §:n 1 momentissa tarkoitettuihin asiakirjoihin sisältyvät tiedot. Valtiontalouden tarkastusvirasto on puoluerahoituksen ilmoitusrekisterin rekisterinpitäjä. Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, jokaisella on oikeus saada rekisteristä jäljennöksiä sekä tietoja yleisen tietoverkon kautta.




Tämä laki tulee voimaan päivänä kuuta 20 .


4.

Laki vaalilain 31 ja 43 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan vaalilain (714/1998) 43 §:n 1 momentti, sellaisena kuin se on laissa 496/2013, sekä

lisätään 31 §:ään, sellaisena kuin sen suomenkielinen sanamuoto on laissa 563/2015, uusi 2 momentti seuraavasti:

31 §
Ehdokashakemukset käsittelevä viranomainen

Ehdokashakemukset käsittelevä viranomainen on ehdokaslistojen yhdistelmän ja presidentinvaalin ehdokasluettelon rekisterinpitäjä.


43 §
Valtakunnallinen ehdokasrekisteri

Oikeusministeriö perustaa rekisterin, johon otetaan kaikki koko maassa asianomaisissa vaaleissa ehdokaslistojen yhdistelmiin tai presidentinvaalin ehdokasluetteloon otetut ehdokkaat (valtakunnallinen ehdokasrekisteri). Oikeusministeriö on valtakunnallisen ehdokasrekisterin rekisterinpitäjä.




Tämä laki tulee voimaan päivänä kuuta 20 .


5.

Laki ehdokkaan vaalirahoituksesta annetun lain 12 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ehdokkaan vaalirahoituksesta annetun lain (273/2009) 12 §:n 1 momentti, sellaisena kuin se on laissa 684/2010, seuraavasti:

12 §
Ilmoitusrekisteri ja sen tietojen julkisuus

Vaalirahoituksen ilmoitusrekisteriin talletetaan ilmoitukseen, ennakkoilmoitukseen ja jälki-ilmoitukseen sisältyvät tiedot. Jos ehdokas on antanut 6 §:n 5 momentissa tarkoitetun vakuutuksen, rekisteriin merkitään sanotun pykälän 1 momentin 1, 2 ja 5 kohdassa mainitut tiedot sekä tieto vakuutuksen antamisesta. Valtiontalouden tarkastusvirasto on vaalirahoituksen ilmoitusrekisterin rekisterinpitäjä. Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, jokaisella on oikeus saada rekisteristä jäljennöksiä sekä tietoja yleisen tietoverkon kautta.




Tämä laki tulee voimaan päivänä kuuta 20 .


6.

Laki saamelaiskäräjistä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan saamelaiskäräjistä annetun lain (974/1995) 4 a §, 23 §:n 1 momentti ja 27 a §:n 1 momentti, sellaisina kuin ne ovat, 4 a § laissa 1026/2003 sekä 23 §:n 1 momentti ja 27 a §:n 1 momentti laissa 1279/2002 seuraavasti:

4 a §
Hallinto-oikeudellisten säädösten soveltaminen

Saamelaiskäräjiin ja sen toimielimiin sovelletaan hallintolakia (434/2003), viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) ja arkistolakia (831/1994), jollei tässä laissa toisin säädetä.


23 §
Vaaliluettelo

Vaalilautakunta laatii äänioikeutetuista vaaliluettelon edellisten vaalien vaaliluettelon ja väestötietojärjestelmän tietojen pohjalta. Vaalilautakunta on vaaliluettelon rekisterinpitäjä. Vaaliluetteloon merkitään äänioikeutetun nimi ja henkilötunnus sekä kotikunta ja osoite, jos ne ovat tiedossa. Kotikuntaa ja osoitetta ei kuitenkaan saa merkitä vaaliluetteloon, jos nämä tiedot ovat viranomaisten toiminnan julkisuudesta annetun lain 24 §:n 1 momentin 31 kohdan mukaan salassa pidettäviä.



27 a §
Ehdokasluettelo

Vaalilautakunta laatii vaalikelpoisista ehdokkaista ehdokasluettelon viimeistään 21. päivänä ennen vaalitoimituksen aloittamista. Vaalilautakunta on ehdokasluettelon rekisterinpitäjä. Ehdokasluettelossa on yhteinen otsikko, joka yksilöi vaalin, sekä luettelo ehdokkaista numerojärjestyksessä alkaen ehdokasnumerosta 2. Ehdokkaiden järjestys luettelossa määräytyy vaalilautakunnan suorittaman arvonnan perusteella.




Tämä laki tulee voimaan päivänä kuuta 20 .


7.

Laki yhdistyslain 11 ja 47 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yhdistyslain (503/1989) 11 § ja 47 §:n 1 momentti, sellaisina kuin ne ovat, 11 § osaksi laissa 1614/1992 ja 47 §:n 1 momentti laissa 1098/2014 seuraavasti:

11 §
Jäsenluettelo

Yhdistyksen jäsenistä on pidettävä luetteloa. Luetteloon on merkittävä kunkin jäsenen täydellinen nimi ja kotipaikka.


Yhdistyksen jäsenelle on pyydettäessä varattava tilaisuus tutustua 1 momentissa mainittuihin tietoihin. Jos yhdistys kerää muita kuin 1 momentissa mainittuja tietoja, ne voidaan luovuttaa yhdistyksen jäsenelle vain erityisestä syystä. Jäsenluettelossa olevien tietojen luovuttamiseen sovelletaan muutoin, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018) säädetään.


Edellä 1 momentissa tarkoitetun luettelon sisältämien henkilötietojen rekisterinpitäjä on yhdistys. Rekisterinpitäjälle kuuluvista tehtävien hoitamisesta vastaa rekisteröidyn yhdistyksen hallitus tai, jos yhdistys on rekisteröimätön, yhdistyksen tai sen hallituksen puheenjohtaja tai muu sen asioita hoitava.


47 §
Yhdistysrekisteri ja rekisterinpitäjä

Yhdistysrekisterin rekisterinpitäjä on Patentti- ja rekisterihallitus.




Tämä laki tulee voimaan päivänä kuuta 20 .


8.

Laki säätiölain 13 luvun 1 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan säätiölain (487/2015) 13 luvun 1 §:n otsikko ja 2 momentti seuraavasti:

13 luku

Säätiörekisteri

1 §
Säätiörekisteri ja rekisterinpitäjä

Säätiörekisterin rekisterinpitäjä on Patentti- ja rekisterihallitus, josta tässä laissa käytetään myös ilmaisua rekisteriviranomainen.




Tämä laki tulee voimaan päivänä kuuta 20 .


9.

Laki maakaaren 7 ja 9 a luvun muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan maakaaren (540/1995) 7 luvun 1 §:n 3 momentti ja 1 a §:n 2 momentin ruotsinkielinen sanamuoto sekä 9 a luvun 2 §:n 2 momentti ja 3 §:n otsikko ja 3 momentti, sellaisina kuin ne ovat, 7 luvun 1 §:n 3 momentti laissa 572/2009, 7 luvun 1 a §:n 2 momentin ruotsinkielinen sanamuoto laissa 922/2013 sekä 9 a luvun 2 §:n 2 momentti ja 3 §:n otsikko ja 3 momentti laissa 96/2011, seuraavasti:

7 luku

Lainhuuto- ja kiinnitysrekisteri

1 §
Lainhuuto- ja kiinnitysrekisteriin merkittävät tiedot

Lainhuuto- ja kiinnitysrekisteriin merkitystä hakijasta tai oikeudenhaltijasta talletetaan henkilötietoina tunniste- ja yhteystietoja sekä tieto henkilön kuolinajasta rekisteröityjen yksiselitteiseksi yksilöimiseksi. Rekisteriin talletetaan lisäksi näitä tietoja koskevat muutokset.



9 a luku

Sähköiset asiointijärjestelmät ja niiden käyttäminen

2 §
Tietojen käsittely asiointijärjestelmässä

Sähköisessä asiointijärjestelmässä käsiteltävien henkilötietojen rekisterinpitäjä on Maanmittauslaitos.


3 §
Valtion vahingonkorvausvastuu asiointijärjestelmän virheellisestä tai puutteellisesta toiminnasta

Vahingon korvaamisessa on noudatettava, mitä 13 luvun 6—8 §:ssä säädetään. Henkilötietojen käsittelystä aiheutuneen vahingon korvaamiseen sovelletaan, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) säädetään.



Tämä laki tulee voimaan päivänä kuuta 20 .


10.

Laki eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan eräiden luotonantajien ja luotonvälittäjien rekisteröinnistä annetun lain (853/2016) 3 §:n 1 momentti, 7 §:n 2 momentti ja 8 § sekä

lisätään 5 §:ään uusi 2 momentti seuraavasti:

3 §
Luotonantaja- ja vertaislainanvälittäjärekisteri ja rekisteri-ilmoitus

Luotonantajien ja vertaislainanvälittäjien valvomiseksi pidetään rekisteriä (luotonantaja- ja vertaislainanvälittäjärekisteri), jonka rekisterinpitäjä on Etelä-Suomen aluehallintovirasto, jäljempänäaluehallintovirasto.



5 §
Luotettavuus

Aluehallintovirastolla on oikeus 1 momentissa tarkoitetun luotettavuuden selvittämiseksi käsitellä vankeusrangaistusta tai sakkorangaistusta koskevia tietoja.


7 §
Rekisteriin merkittävät tiedot ja muutoksista ilmoittaminen

Rekisteriin merkitään myös tiedot niistä, joille on määrätty 17 §:n 1 momentissa tarkoitettu kielto harjoittaa kuluttajaluottojen tarjontaa tai vertaislainanvälitystä ilman rekisteröintiä. Tällainen tieto sekä tieto 1 momentin 8 kohdassa mainituista sanktioista on poistettava rekisteristä viiden vuoden kuluttua sen vuoden päättymisestä, jona kielto tai muu sanktio on määrätty. Tietoa rikosoikeudellisesta seuraamuksesta ei merkitä rekisteriin.



8 §
Tietojen luovuttaminen

Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, rekisteristä saa luovuttaa henkilötietoja tulosteena taikka saattaa ne yleisesti saataville sähköisen tietoverkon kautta tai luovuttaa ne muutoin sähköisessä muodossa. Henkilötietoja voidaan hakea sähköisen tietoverkon kautta vain yksittäisinä hakuina. Tieto henkilötunnuksesta saadaan kuitenkin luovuttaa tämän lain nojalla vain, jos tieto annetaan tulosteena tai teknisenä tallenteena ja jos luovutuksensaajalla on oikeus henkilötunnuksen käsittelyyn tietosuojalain (1050/2018) 29 §:n tai muun lain nojalla.



Tämä laki tulee voimaan päivänä kuuta 20 .


11.

Laki ulosottokaaren muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan ulosottokaaren (705/2007) 1 luvun 27 §:n 1 momentti ja 3 luvun 72 §:n 4 momentti,

muutetaan 1 luvun 24 §:n 1 momentti, 25 §, 26 §:n 1 momentin 3 kohta, 27 §:n 2 momentti, 28 §, 29 §:n 1 momentin 3 kohta ja 2 momentti sekä 3 luvun 65 §:n 1 momentti, 69 §, 70 §:n 1 momentin johdantokappale, 70 §:n 1 momentin 1 kohta ja 2 momentti, 71 §:n 1 momentin johdantokappale ja 72 §:n 1—3 momentti sekä 4 luvun 33 §:n 1 momentin 6 kohdan ja 33 §:n 2 ja 3 momentin ruotsinkielinen sanamuoto, sellaisina kuin niistä ovat 1 luvun 24 §:n 1 momentti, 25 § ja 27 §:n 2 momentti sekä 3 luvun 69 § laissa 778/2019, sekä

lisätään 1 luvun 2 §:ään uusi 2 momentti ja 1 luvun 26 §:n 1 momenttiin, sellaisena kuin se on laissa 778/2019, uusi 4—6 kohta seuraavasti:

1 luku

Yleiset säännökset

2 §
Suhde muuhun lainsäädäntöön

Sen lisäksi, mitä tässä laissa säädetään, henkilötietojen käsittelystä ulosottoasian yhteydessä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa (1050/2018).


24 §
Ulosoton tietojärjestelmä ja ulosottorekisteri

Ulosoton tietojärjestelmä on ulosottoviranomaisille kuuluvien tehtävien hoitamista varten perustettu ja ulosottoviranomaisten valtakunnalliseen käyttöön tarkoitettu automaattisen tietojenkäsittelyn avulla ylläpidettävä tietojärjestelmä.



25 §
Rekisterinpitäjä

Ulosottolaitos on ulosottorekisterin rekisterinpitäjä.


26 §
Rekisterin tietosisältö

Ulosottorekisteriin saadaan kerätä ja tallettaa:


3) asianosaiselta tai sivulliselta saatuja ja ulosottoviranomaisen muulla tavoin hankkimia ulosottoasiaan liittyviä tietoja, mukaan lukien ulosmittaukseen vaikuttavat välttämättömät tiedot velallisen saamista sosiaalihuollon etuuksista (erityistiedot);

4) sellaisia asianosaiselta tai sivulliselta saatuja ja ulosottoviranomaisen muulla tavoin hankkimia velallisen terveydentilaa tai vammaisuutta koskevia tietoja, jotka ovat välttämättömiä vapaakuukauden antamiseksi tai palkan ulosmittauksen rajoittamiseksi olennaisesti heikentyneen maksukyvyn perusteella, tai joiden tallettaminen on muutoin velallisen edun vuoksi välttämätöntä;

5) viranomaiselta saatuja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja siltä osin kuin niiden tallettaminen on välttämätöntä ulosottoviranomaisen tehtävän hoitamiseksi;

6) tietoja ulosottoasian yhteydessä ilmenneestä rekisteröidyn uhkailevasta tai väkivaltaisesta käytöksestä taikka muusta turvallisuuden vaarantavasta seikasta siltä osin kuin tietojen tallettaminen on välttämätöntä ulosottomiehen työturvallisuuden varmistamiseksi (työturvallisuustiedot).



27 §
Oikeus käsitellä tietoja

Ulosottolaitoksen virkamiehet saavat ulosottoasiassa tai ulosoton hallintoasiassa käsitellä salassapitosäännösten estämättä 26 §:ssä tarkoitettuja tietoja siltä osin kuin se on tarpeellista heidän virkatehtäviensä suorittamiseksi. Erityistietoja, velallisen terveydentilaa tai vammaisuutta koskevia tietoja ja rikosoikeudelliseen seuraamukseen tai turvaamistoimeen liittyviä henkilötietoja sekä työturvallisuustietoja saa kuitenkin käsitellä vain siltä osin kuin se on välttämätöntä tällaisten tehtävien suorittamiseksi. Oikeusministeriön virkamiehet saavat ulosoton hallintoasiassa käsitellä salassapitosäännösten estämättä 26 §:ssä tarkoitettuja tietoja siltä osin kuin se on välttämätöntä heidän virkatehtäviensä suorittamiseksi.


28 §
Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin

Tietosuoja-asetuksen 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin voidaan lykätä, jos tietoihin tutustuminen voisi tuntuvasti vaikeuttaa täytäntöönpanoa. Tutustumisoikeutta voidaan lykätä tarpeellisin osin täytäntöönpanon turvaamiseksi siihen saakka, kunnes tarvittavat ulosmittaukset tai muut täytäntöönpanotoimet on suoritettu ja omaisuus on otettu ulosottomiehen haltuun, enintään kuitenkin kuusi kuukautta tietoihin pääsyä koskevan pyynnön esittämisestä.


Jos tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta lykätään vain osittain, rekisteröidyllä on oikeus saada tietää muut häntä koskevat tiedot. Lykättäessä 1 momentin mukaisesti rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin on muutoin noudatettava, mitä tietosuojalain 34 §:n 3 ja 4 momentissa säädetään.


29 §
Tietojen poistaminen

Ulosottorekisteristä on poistettava:


3) erityistiedot, velallisen terveydentilaa tai vammaisuutta koskevat tiedot ja työturvallisuustiedot 10 vuoden kuluttua merkinnän tekemisestä tai tätä aikaisemmin, jollei tietoja ilmeisesti enää tarvita.


Edellä 3 kohdassa tarkoitetut tiedot saadaan säilyttää kauemmin kuin 10 vuotta, jos siihen on perusteltua aihetta, ei kuitenkaan yli 20 vuotta merkinnän tekemisestä.


3 luku

Yleiset menettelysäännökset

65 §
Arkaluonteiset henkilötiedot ja ulkopuolista koskevat tiedot

Sivulliselta tietoja hankittaessa on vältettävä sitä, että ulosottomiehen haltuun joutuu ulosottoasiaan kuulumattomia tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja tai 10 artiklassa tarkoitettuja henkilötietoja.



69 §
Tietojen luovuttaminen hallintotehtävien hoitamista varten

Ulosottoviranomainen saa luovuttaa tietoja salassapitosäännösten estämättä oikeusministeriölle siltä osin kuin se on välttämätöntä hallintotehtävien hoitamista varten.


70 §
Esitutkinta- ja eräät muut viranomaiset sekä tuomioistuimet

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, ulosottoviranomainen saa salassapitosäännösten estämättä yksittäistapauksessa antaa pyydettäessä ulosottoviranomaisen asiakirjasta vastaajan tunniste- ja yhteystietoja sekä vastaajan taloudellista asemaa ja toimintaa koskevia välttämättömiä tietoja:

1) syyttäjä- ja esitutkintaviranomaiselle rikosten selvittämistä, esitutkintaa, syyteharkintaa ja tuomioistuinkäsittelyä varten sekä törkeiden rikosten ennalta estämistä varten ja suojelupoliisille valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten ennalta estämistä varten;



Ulosottomies saa salassapitosäännösten estämättä ilmaista tuomioistuimelle 1 momentissa tarkoitetun asian, ulosottovalituksen, täytäntöönpanoriidan ja takaisinsaantiasian käsittelyä varten välttämättömät ulosottoasiaan liittyvät tiedot. Mitä 73 §:ssä säädetään, ei estä ulosottomiestä ilmaisemasta välttämättömiä tietoja tuomioistuimelle ulosottovalituksen tai täytäntöönpanoriidan käsittelyä varten, vaikka tietojen antaja käyttää oikeuttaan kieltäytyä todistamasta.



71 §
Veroviranomaiset ja julkisia tukia myöntävät

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, ulosottoviranomainen saa salassapitosäännösten estämättä yksittäistapauksessa antaa pyydettäessä ulosottoviranomaisen asiakirjasta vastaajan tunniste- ja yhteystietoja sekä vastaajan taloudellista asemaa ja toimintaa koskevia tietoja, jos tiedot ovat välttämättömiä:



72 §
Oma-aloitteinen tietojen antaminen

Ulosottomies saa sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, salassapitosäännösten estämättä omasta aloitteestaan luovuttaa tietoja 70 §:n 1 momentin 1 kohdassa tarkoitetulle viranomaiselle siinä mainittua tarkoitusta varten, jos tiedot ovat välttämättömiä kyseessä olevan viranomaisen tehtävän hoitamiseksi, ja on syytä epäillä, että vastaaja tai sivullinen on saattanut syyllistyä virallisen syytteen alaiseen:

1) ulosottomenettelyssä tehtyyn rikokseen;

2) täytäntöönpanon tuloksen olennaisesti vaarantavaan rikokseen;

3) kirjanpitorikokseen; tai

4) muuhun kuin 1-3 kohdassa tarkoitettuun rikokseen, josta ei ole säädetty lievempää rangaistusta kuin neljä kuukautta vankeutta.


Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, ulosottomies saa salassapitosäännösten estämättä omasta aloitteestaan antaa tietoja myös 70 §:n 1 momentin 5—7 kohdassa tarkoitetulle viranomaiselle siinä mainittua tarkoitusta varten, jos on syytä epäillä, että vastaaja tai sivullinen on saattanut syyllistyä virallisen syytteen alaiseen rikokseen, ja tiedot ovat välttämättömiä kyseessä olevan viranomaisen tehtävän hoitamiseksi. Epäilyttäviä liiketoimia koskeviin ilmoituksiin sovelletaan, mitä rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) 9 luvun 5 §:n 1 momentissa säädetään.


Tietoja voidaan sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa tai muussa laissa säädetään, salassapitosäännösten estämättä omasta aloitteesta antaa 71 §:ssä tarkoitetulle viranomaiselle, yhteisölle tai säätiölle, jos on syytä epäillä, että vastaaja tai sivullinen on saattanut syyllistyä rikoslain (39/1889) 29 luvun 1—4 §:ssä tarkoitettuun tekoon tai julkisen etuuden väärinkäyttöön, ja tiedot ovat välttämättömiä kyseessä olevan viranomaisen, yhteisön tai säätiön tehtävän hoitamiseksi.



Tämä laki tulee voimaan päivänä kuuta 20 . Lain 1 luvun 24 §:n 1 momentti, 25 §, 26 §:n 1 momentin 4—6 kohta ja 27 §:n 2 momentti sekä 3 luvun 69 § tulevat kuitenkin voimaan vasta päivänä kuuta 20.


12.

Laki ulosottokaaren 1 luvun 2 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan ulosottokaaren (705/2007) 1 luvun 2 §, sellaisena kuin se on laissa / , seuraavasti:

1 luku

Yleiset säännökset

2 §
Suhde muuhun lainsäädäntöön

Tämän lain mukaista menettelyä noudatetaan siltä osin kuin siitä määrätään muussa laissa tai Euroopan unionin lainsäädännössä taikka määrätään Suomea sitovassa kansainvälisessä sopimuksessa myös täytäntöönpanossa, joka koskee:

1) veroja, julkisia maksuja ja muita julkisoikeudellisia tai niihin rinnastettavia saatavia;

2) sakkoja, eräitä rikosoikeudellisia seuraamuksia tai valtiolle tuomittuja korvauksia;

3) lapsen huoltoa, luovuttamista huoltajalleen tai tapaamisoikeutta;

4) ulkomailla tai kansainvälisessä tuomioistuimessa annettua tuomiota, välitystuomiota tai muuta ulosottoperustetta;

5) Euroopan unionin eräiden toimielinten tuomiota tai päätöstä;

6) osamaksukaupalla myytyä irtainta esinettä;

7) muuta kuin oikeudenkäymiskaaren 7 luvussa tarkoitettua turvaamistointa.


Sen lisäksi, mitä tässä laissa säädetään, henkilötietojen käsittelystä ulosottoasian yhteydessä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa (1050/2018).



Tämä laki tulee voimaan valtioneuvoston asetuksella säädettävänä ajankohtana.

Tällä lailla kumotaan ulosottokaaren 1 luvun 2 §:n muuttamisesta annettu laki (26/2016).


13.

Laki velkajärjestelyrekisteristä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan velkajärjestelyrekisteristä annetun lain (368/2017) 5 §:n 3 momentti sekä

muutetaan 1 ja 10 § seuraavasti:

1 §
Rekisterin tarkoitus ja ylläpito

Oikeusrekisterikeskus on velkajärjestelyrekisterin rekisterinpitäjä. Rekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus yksityishenkilön velkajärjestelyasioista tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa, sivullisten etujen ja oikeuksien turvaamista sekä tilasto- ja tutkimustoimintaa varten.


10 §
Suhde muuhun lainsäädäntöön

Jollei tässä laissa toisin säädetä, henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia.



Tämä laki tulee voimaan päivänä kuuta 20 .


14.

Laki liiketoimintakiellosta annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan liiketoimintakiellosta annetun lain (1059/1985) 21 §:n 2 momentin ruotsinkielinen sanamuoto, sellaisena kuin se on laissa 1107/2006, ja

lisätään lakiin uusi 1 a § seuraavasti:

1 a §
Suhde muuhun lainsäädäntöön

Henkilötietojen käsittelystä liiketoimintakieltoa koskevassa asiassa säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).



Tämä laki tulee voimaan päivänä kuuta 20 .


15.

Laki Kriminologian ja oikeuspolitiikan instituutista annetun lain 1 ja 4 b §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan Kriminologian ja oikeuspolitiikan instituutista annetun lain (1139/2007) 4 b §:n 1 momentti, sellaisena kuin se on laissa 1066/2014,

muutetaan 1 §:n 2 momentin 3 kohta ja 4 b §:n 4 momentti, sellaisina kuin ne ovat, 1 §:n 2 momentin 3 kohta laissa 1066/2014 ja 4 b §:n 4 momentti laissa 301/2013, sekä

lisätään 1 §:ään, sellaisena kuin se on laissa 1066/2014, uusi 3 momentti seuraavasti:

1 §
Hallinnollinen asema ja tehtävät

Instituutin tehtävänä on:


3) ylläpitää rikosten ja seuraamusten tutkimusrekisteriä sekä muita sille laissa säädettyjen tehtävien hoitamiseksi tarvittavia tutkimusrekistereitä.


Instituutti on tutkimusrekistereihin sisältyvien henkilötietojen rekisterinpitäjä.


4 b §
Tietojen käsittely ja salassapito

Tutkimusrekisteriin talletettujen henkilötietojen luovuttamiseen sovelletaan muutoin viranomaisten toiminnan julkisuudesta annettua lakia.



Tämä laki tulee voimaan päivänä kuuta 20 .


16.

Laki yhdyskuntaseuraamusten täytäntöönpanosta annetun lain 45 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yhdyskuntaseuraamusten täytäntöönpanosta annetun lain (400/2015) 45 §:n 1 momentti seuraavasti:

45 §
Menettely rangaistusajan suunnitelmaa laadittaessa

Rikoksesta epäillyn tai tuomitun on annettava rangaistusajan suunnitelman laatimista ja rangaistuksen täytäntöönpanoa varten tarpeelliset tiedot käyttämästään lääkityksestä. Epäillyn tai tuomitun kirjallisen suostumuksen nojalla lääkitystä koskevat tiedot voidaan tallettaa yhdyskuntaseuraamusten suorittamista koskevat tiedot sisältävään rekisteriin. Tietojen käsittelystä täytäntöönpanotehtäviä hoidettaessa säädetään henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa.




Tämä laki tulee voimaan päivänä kuuta 20 .


17.

Laki eläintenpitokieltorekisteristä annetun lain 2 ja 5 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan eläintenpitokieltorekisteristä annetun lain (21/2011) 5 §:n 4 momentti sekä

muutetaan 2 § seuraavasti:

2 §
Suhde muuhun lainsäädäntöön

Jollei tässä laissa muuta säädetä, tietojen ja asiakirjojen julkisuuteen ja niiden luovuttamiseen sovelletaan mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään. Henkilötietojen muuhun käsittelyyn sovelletaan, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018) säädetään.



Tämä laki tulee voimaan päivänä kuuta 20 .


18.

Laki turvallisuusselvityslain muuttamisesta

Eduskunnan päätöksen mukaisesti

kumotaan turvallisuusselvityslain (726/2014) 7 §:n 4 momentti ja 56 §,

muutetaan 2 §:n 1 momentin 6 kohta, 9 §:n 4 momentti, 46 §:n 3 momentti, 48 §:n otsikko ja 1, 2 ja 4 momentti, 49 §, 50 §:n 3 momentti, 51 §:n otsikko, 60 §:n 1 momentti, 61 § ja 62 §:n 1 momentti sekä

lisätään 2 §:ään uusi 3 momentti, 48 §:ään uusi 6 momentti, lakiin uusi 48 a § ja 50 §:ään uusi 5 momentti seuraavasti:

2 §
Lain soveltamisala ja sen suhde muuhun lainsäädäntöön

Tässä laissa säädetään:


6) henkilörekisterien tietojen yhdistämisestä selvityksen kohteen nuhteettomuuden ja luotettavuuden seuraamiseksi ja sen johdosta suoritettavista toimenpiteistä.



Suojelupoliisin ja Pääesikunnan suorittamasta henkilötietojen käsittelystä säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (1054/2018). Muiden viranomaisten suorittamasta henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).


9 §
Toimivaltaiset viranomaiset

Liikenne- ja viestintävirasto laatii yritysturvallisuusselvityksen osana tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden tasoa koskevan selvityksen.



46 §
Yritysturvallisuusselvitystodistuksen antaminen

Jos yritysturvallisuusselvitys on koskenut yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen laatinut Liikenne- ja viestintävirasto voi antaa selvityksen perusteella todistuksen.



48 §
Turvallisuusselvitysrekisteri, rekisterin käyttötarkoitus ja tietojen tallettaminen rekisteriin

Turvallisuusselvitysten tekemiseksi, tarpeettomien turvallisuusselvitysten välttämiseksi, tietojen välittämiseksi toimivaltaisten viranomaisten välillä sekä selvityksen kohteiden luotettavuuden ja nuhteettomuuden seurannan toteuttamiseksi pidetään turvallisuusselvitysrekisteriä.


Suojelupoliisin ja Pääesikunnan on viivytyksettä talletettava turvallisuusselvitysrekisteriin tieto sille tehdystä turvallisuusselvitystä koskevasta hakemuksesta, selvityksen kohteen nimestä ja muista yksilöintitiedoista, selvityksen laajuudesta sekä tiedot selvitysmenettelyn lopputuloksesta tai turvallisuusselvitystodistuksesta ja sen voimassaolosta ja peruuttamisesta sekä tieto henkilöturvallisuusselvityksen kohteen työnantajasta, jos se on saatavissa. Kansallisen turvallisuusviranomaisen on talletettava tieto antamastaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetystä henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuustodistuksesta.



Liikenne- ja viestintävirasto voi tallettaa turvallisuusselvitysrekisteriin tiedot:

1) viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaan antamistaan todistuksista ja niihin merkityistä tiedoista;

2) tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti hyväksytyistä arviointilaitoksista;

3) hyväksytyn arviointilaitoksen antamista todistuksista siten kuin tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.



Kansallinen turvallisuusviranomainen ja Liikenne- ja viestintävirasto ovat velvollisia huolehtimaan turvallisuusselvitysrekisteriin tallettamiensa tietojen osalta siitä, että tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä, ja että merkinnät on tehty suojelupoliisin asettamien teknisten vaatimusten mukaisesti.


48 a §
Rekisterinpitäjät

Turvallisuusselvitysrekisterin yhteisrekisterinpitäjiä ovat suojelupoliisi ja Pääesikunta. Pääesikunta vastaa rekisterinpitäjän tehtävistä, jos käsiteltävät henkilötiedot koskevat selvityksen kohdetta, joka toimii tai jonka on tarkoitus toimia Puolustusvoimissa tai hoitaa Puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy Puolustusvoimien toimintaan tai hankintoihin. Suojelupoliisi vastaa rekisterinpitäjän tehtävistä, jos käsiteltävät henkilötiedot koskevat muita selvityksen kohteita, sekä henkilötietojen luovuttamiseen turvallisuusselvitysrekisteristä ja turvallisuusselvitysrekisterin ylläpitoon ja tietoturvallisuuteen liittyvistä tehtävistä.


49 §
Turvallisuusselvitysrekisterin tietojen poistaminen

Siitä poiketen, mitä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 6 §:n 3 momentissa säädetään, turvallisuusselvitysrekisteriin talletetut tiedot poistetaan viimeistään kolmen vuoden kuluttua vastaavan uuden turvallisuusselvityksen laatimisesta tai turvallisuusselvityksen tai turvallisuusselvitystodistuksen voimassaolon päättymisestä taikka siitä, kun se tehtävä, jota varten turvallisuusselvitys on laadittu, on päättynyt tai kun turvallisuusselvitystodistus on peruutettu.


50 §
Tietojen luovuttaminen turvallisuusselvitysrekisteristä

Suojelupoliisi voi salassapitosäännöksistä riippumatta antaa teknisen käyttöyhteyden avulla keskusrikospoliisille turvallisuusselvityksen hakemista koskevat tiedot niiden yhdistämiseksi henkilötietojen käsittelystä poliisitoimessa annetun lain 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietoihin tämän lain 25 §:n 2 momentissa tarkoitettujen ilmoitusten tekemistä ja sitä koskevaa harkintaa varten. Keskusrikospoliisin on hävitettävä yhdistämisen kautta saadut tiedot välittömästi sen jälkeen, kun tarve ilmoituksen tekemiseen on arvioitu tai ilmoitus on lähetty suojelupoliisille.



Henkilötietojen luovuttamiseen kansalliselle turvallisuusviranomaiselle sovelletaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.


51 §
Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien tietojen yhdistämisen avulla
60 §
Turvallisuusselvityksen maksullisuus

Toimivaltaisten viranomaisten tämän lain nojalla tekemistä turvallisuusselvityksistä ja Liikenne- ja viestintäviraston asiantuntijatehtävien suorittamisesta yritysturvallisuusselvitystä laadittaessa peritään hakijalta maksu noudattaen, mitä valtion maksuperustelaissa (150/1992) säädetään. Yritysturvallisuusselvityksen laatimiseen liittyvistä kustannuksista vastaa kuitenkin selvityksen kohde, jos selvitys on laadittu viranomaisen hakemuksesta.



61 §
Viittaus rangaistussäännöksiin

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta säädetään mainitun luvun 3 §:ssä ja törkeästä viestintäsalaisuuden loukkauksesta 4 §:ssä sekä tietomurrosta 8 §:ssä ja törkeästä tietomurrosta 8 a §:ssä. Rangaistus tämän lain 59 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. Edellä tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös tämän lain 40 §:ssä tarkoitetun sitoumuksen rikkomista.


62 §
Muutoksenhaku

Toimivaltaisen viranomaisen tämän lain nojalla tekemään päätökseen saa hakea muutosta valittamalla hallintotuomioistuimeen. Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).




Tämä laki tulee voimaan päivänä kuuta 20 .


19.

Laki Oikeusrekisterikeskuksesta annetun lain 1 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan Oikeusrekisterikeskuksesta annetun lain (625/2012) 1 §:n 1 momentin 1 kohta seuraavasti:

1 §
Oikeusrekisterikeskus

Oikeusrekisterikeskus on oikeusministeriön hallinnonalaan kuuluva virasto, jonka tehtävänä on:

1) toimia oikeusministeriön hallinnonalan tietojärjestelmien ja rekisterien rekisterinpitäjänä sen mukaisesti kuin niistä erikseen säädetään sekä välittää hallinnonalan viranomaisten ilmoittamia tietoja muille viranomaisille;




Tämä laki tulee voimaan päivänä kuuta 20 .


20.

Laki konkurssi- ja yrityssaneerausrekisteristä annetun lain 1 ja 11 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan konkurssi- ja yrityssaneerausrekisteristä annetun lain (137/2004) 1 § sekä

lisätään 11 §:ään uusi 3 momentti seuraavasti:

1 §
Rekisterin tarkoitus ja rekisterinpitäjä

Konkurssi- ja yrityssaneerausasioista pidetään yhteistä rekisteriä, jonka rekisterinpitäjä on Oikeusrekisterikeskus. Rekisterin tarkoituksena on varmistaa ajantasaisen tiedon saatavuus konkurssi- ja yrityssaneerausasioista tuomioistuin- ja viranomaistoimintaa, velkojien edunvalvontaa sekä sivullisten etujen ja oikeuksien turvaamista varten.


11 §
Tiedon korjaaminen

Virheellisen ja epätarkan henkilötiedon oikaisemiseen ja poistamiseen sovelletaan, mitä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) säädetään.



Tämä laki tulee voimaan päivänä kuuta 20 .


21.

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 ja 47 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 1 §:n 2 momentin 1 ja 2 kohta sekä 47 §:n 1 momentti seuraavasti:

1 §
Soveltamisala

Sen lisäksi, mitä 1 momentissa säädetään, tätä lakia sovelletaan:

1) Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, kun tietoja käsitellään puolustusvoimista annetun lain (551/2007) 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa tai 3 ja 4 kohdassa säädettyjen tehtävien hoitamiseksi, sekä Puolustusvoimien pääesikunnan suorittamaan henkilötietojen käsittelyyn turvallisuusselvityslain (726/2014) 9 §:n 3 momentissa tarkoitettujen tehtävien hoitamiseksi;

2) poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain (872/2011) 1 luvun 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen, sekä turvallisuusselvityslain 9 §:n 1 momentissa tarkoitetuissa tehtävissä;



47 §
Tiedonsaantioikeus

Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 18 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot.



Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 6 päivänä helmikuuta 2020

Pääministeri
Sanna Marin

Oikeusministeri
Anna-Maja Henriksson