Sisällysluettelo

Hallituksen esitys eduskunnalle yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta tehdyn pöytäkirjan hyväksymiseksi ja voimaansaattamiseksi sekä laeiksi tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 ja 54 §:n muuttamisesta HE 30/2020

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan, että eduskunta hyväksyisi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta tehdyn pöytäkirjan siltä osin kuin se kuuluu Suomen toimivaltaan. Pöytäkirjalla muutetaan yleissopimuksen määräyksiä merkittäviltä osin siten, että se vastaa paremmin sisällöllisesti Euroopan unionin tietosuojalainsäädäntöä. Esityksessä ehdotetaan myös, että eduskunta hyväksyisi pöytäkirjan ratifioinnin yhteydessä annettavan selityksen muutetun yleissopimuksen 3 artiklan 1 kohdan sisältämän julkisen sektorin käsitteen tulkinnasta.

Esitykseen sisältyy lakiehdotus yleissopimuksen muuttamisesta tehdystä pöytäkirjasta. Lisäksi esityksessä ehdotetaan muutettaviksi tietosuojalakia ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia.

Pöytäkirja tulee voimaan seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä, kun kaikki yleissopimuksen osapuolet ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi. Jos pöytäkirja ei ole tullut voimaan viiden vuoden kuluttua siitä, kun se avattiin allekirjoitettavaksi, pöytäkirjan voimaantulon edellytyksenä on, että vähintään 38 osapuolta on ratifioinut tai hyväksynyt sen. Pöytäkirjan voimaansaattamista koskeva lakiehdotus on tarkoitettu tulemaan voimaan valtioneuvoston asetuksella säädettävänä ajankohtana. Muut lakiehdotukset on tarkoitettu tulemaan voimaan viimeistään samaan aikaan, kun Suomi tallettaa ratifioimiskirjansa Euroopan neuvoston pääsihteerin huostaan.

PERUSTELUT

1 Asian tausta ja valmistelu

1.1 Tausta

Strasbourgissa 28 päivänä tammikuuta 1981 tehty yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (SopS 35—36/1992, jäljempänä tietosuojayleissopimus) tuli kansainvälisesti voimaan 1.10.1985 ja Suomen osalta 1.4.1992. Tietosuojayleissopimusta on täydennetty 8 päivänä marraskuuta 2001 tehdyllä valvontaviranomaisia ja maan rajan yli tapahtuvaa tietojen siirtoa koskevalla lisäpöytäkirjalla (ETS nro 181, SopS 78/2012, jäljempänä lisäpöytäkirja). Eduskunta on hyväksynyt lisäpöytäkirjan lailla 408/2012 ja se tuli Suomen osalta voimaan 1.11.2012 (valtioneuvoston asetus 535/2012).

Euroopan neuvoston puitteissa laadittu tietosuojayleissopimus oli ensimmäinen kansainvälinen juridisesti sitova sopimus henkilötietojen suojasta, ja se on vaikuttanut henkilötietojen suojaa koskevaan lainsäädäntöön Euroopassa merkittävällä tavalla, mukaan lukien Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (jäljempänä henkilötietodirektiivi). Tietosuojayleissopimus mahdollistaa Euroopan neuvoston ulkopuolisten valtioiden liittymisen siihen. Sen määräykset tarjoavat minimisuojan henkilötietojen käsittelyssä kaikille sen ratifioineiden valtioiden alueilla oleskeleville henkilöille sekä rajat ylittävissä henkilötietojen siirroissa. Tietosuojayleissopimuksen osapuolilla on velvollisuus sisällyttää kansalliseen lainsäädäntöönsä toimenpiteet, joilla varmistetaan tietosuojaa koskevien perusperiaatteiden noudattaminen. Se koskee kaikkea automaattista henkilötietojen käsittelyä, mukaan lukien henkilötietojen käsittely poliisiyhteistyön ja rikosoikeudellisen yhteistyön alalla. Yleissopimuksen lisäksi Euroopan neuvostossa on annettu myös lukuisia henkilötietojen käsittelyä koskevia suosituksia.

Sopimuksen on ratifioinut 47 Euroopan neuvoston jäsenvaltiota ja kahdeksan Euroopan neuvoston ulkopuolista valtiota on liittynyt siihen (tilanne 13.3.2020). Kaikki Euroopan unionin (EU) jäsenvaltiot ovat yleissopimuksen osapuolia. Lisäpöytäkirjan on ratifioinut tai siihen on liittynyt yhteensä 43 valtiota, mukaan lukien Suomi (tilanne 13.3.2020).

Yleissopimuksen muuttamista koskeva pöytäkirja avattiin allekirjoittamista varten 10 päivänä lokakuuta 2018, jolloin myös Suomi allekirjoitti sen. Pöytäkirjan (ETS nro 223, jäljempänä muutospöytäkirja) on allekirjoittanut 35 valtiota, joista kolme on Euroopan neuvoston ulkopuolisia valtioita (tilanne 13.3.2020). Kolme valtiota on ratifioinut muutospöytäkirjan. Yhdistyneiden Kansakuntien (YK) erityisraportoija yksityisyyden suojaan liittyvissä asioissa on YK:n yleiskokoukselle marraskuussa 2018 antamassaan vuosiraportissa kehottanut kaikkia YK:n jäsenvaltioita liittymään yleissopimukseen. YK:n erityisraportoija on toistanut kehotuksensa YK:n ihmisoikeusneuvostolle maaliskuussa 2019 antamassaan vuosiraportissa, huomioiden yleissopimuksen merkityksen erityisesti kansallisen turvallisuuden alalla. Myös Euroopan neuvosto on pyrkinyt edistämään yleissopimuksen muutospöytäkirjan allekirjoittamista ja ratifioimista. Muutospöytäkirja mahdollistaa EU:n ja muiden kansainvälisten järjestöjen liittymisen yleissopimukseen sen jälkeen, kun pöytäkirja on tullut voimaan. EU ei voi allekirjoittaa eikä ratifioida muutospöytäkirjaa, koska voimassa olevassa tietosuojayleissopimuksessa määrätään, että ainoastaan valtiot ovat sen osapuolia. Yleissopimukseen hyväksyttiin kuitenkin 15 päivänä kesäkuuta 1999 muutos, jonka perusteella Euroopan yhteisöt olisivat voineet liittyä yleissopimukseen sen jälkeen, kun kaikki osapuolet ovat hyväksyneet muutoksen. Tämä muutos ei ole tullut voimaan ja menettää merkityksensä sen jälkeen, kun muutospöytäkirja on tullut voimaan.

1.2 Valmistelu

Pöytäkirjan valmistelu

Tietosuojayleissopimuksen uudistustyö oli osa laajempaa kokonaisuutta, johon kuuluu useita samanaikaisia kansainvälisten tietosuojasäädösten uudistamishankkeita. Uudistustyössä otettiin huomioon OECD:n vuonna 2013 uudistetut ohjeet yksityiselämän suojasta ja rajat ylittävistä henkilötietojen siirroista, Yhdistyneiden Kansakuntien vuoden 1990 ohjeet automaattisen henkilötietojen käsittelyn sääntelystä, EU:n sääntely vuodesta 1995 lähtien, Aasian ja Tyynenmeren alueen taloudelliseen yhteistyöhön liittyvä yksityiselämän suojan sääntely, sekä vuoden 2009 kansainväliset standardit henkilötietojen käsittelyyn liittyvästä yksityiselämän suojasta.

EU:n tietosuojalainsäädännön uudistaminen tapahtui samanaikaisesti tietosuojayleissopimuksen uudistamistyön kanssa. Tietosuojayleissopimuksen ja EU:n tietosuojalainsäädännön välillä on pyritty varmistamaan mahdollisimman pitkälle menevä yhdenmukaisuus. EU:n tietosuojalainsäädäntöä on myös hyödynnetty uudistetun tietosuojayleissopimuksen sisällössä.

Tietosuojayleissopimuksen uudistamisen osalta vallitsi laaja yhteisymmärrys seuraavista näkökohdista: yleissopimuksen määräysten tulisi jatkossakin olla yleisesti sovellettavia ja teknologianeutraaleja; yleissopimuksen johdonmukaisuus ja yhteensopivuus muiden oikeudellisten sääntelykehysten kanssa olisi säilytettävä; ja yleissopimuksen tulisi olla edelleen avoinna liittymistä varten Euroopan neuvoston ulkopuolisille valtioille.

Tietosuojayleissopimuksen 18 artiklalla perustettu neuvoa-antava komitea valmisteli luonnokset yleissopimuksen muutosehdotuksiksi, jotka hyväksyttiin komitean täysistunnossa 27.-30.11.2012 ja toimitettiin Euroopan neuvoston ministerikomitealle. Ministerikomitea asetti ad hoc –tietosuojakomitean (CAHDATA), jolle annettiin tehtäväksi viimeistellä muutosehdotukset. Tämä työ saatiin päätökseen CAHDATA:n kolmannessa kokouksessa 1.-3.12.2014. Avointen kysymysten käsittelemiseksi perustettiin vielä toinen ad hoc –komitea (CAHDATA), joka aloitti työnsä sen jälkeen, kun EU:n tietosuojalainsäädännön uudistaminen oli saatu päätökseen. Viimeinen CAHDATA-kokous pidettiin 15.-16.6.2016, jolloin ehdotukset viimeisteltiin ja annettiin ministerikomitealle käsiteltäväksi ja hyväksyttäväksi.

Ministerikomitea hyväksyi muutospöytäkirjan tekstin 18.5.2018. Muutospöytäkirjan liite on erottamaton osa pöytäkirjaa ja sillä on sama oikeusvaikutus kuin muilla pöytäkirjan määräyksillä.

Kansallinen valmistelu

Yleissopimus ja sen pöytäkirjat kuuluvat EU:n ja jäsenvaltioiden jaettuun toimivaltaan. Toimivalta henkilötietojen käsittelyä koskevan lainsäädännön osalta kuuluu EU:n jäsenvaltioille siltä osin kuin kyse on unionin oikeuden ulkopuolelle jäävään toimintaan liittyvästä henkilötietojen käsittelystä, kuten kansalliseen turvallisuuteen ja puolustukseen liittyvä henkilötietojen käsittely. Toimivallan jakautumista unionin ja jäsenvaltioiden kesken selostetaan tarkemmin jäljempänä kappaleessa 12.1.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus, jäljempänä tietosuoja-asetus) ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (jäljempänä rikosasioiden tietosuojadirektiivi) tulivat voimaan 5.5.2016. Tämä unionin yleisesti sovellettava tietosuojalainsäädäntö sekä sitä täydentävä kansallinen lainsäädäntö ja täytäntöönpanosäädökset muodostaisivat samalla yleissopimuksen muutospöytäkirjan täytäntöönpanolainsäädännön EU:n jäsenvaltioissa, lukuun ottamatta sellaisia oikeudenaloja, joihin liittyvä henkilötietojen käsittely ei kuulu unionin oikeuden soveltamisalaan.

Tietosuoja-asetusta alettiin soveltaa 25.5.2018. Tietosuoja-asetusta täydentävä tietosuojalaki (1050/2018) ja laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki), jolla pannaan täytäntöön rikosasioiden tietosuojadirektiivi, tulivat voimaan 1.1.2019.

Komissio antoi 19.11.2012 Euroopan unionin neuvostolle suosituksen päätökseksi, jolla valtuutettaisiin komissio käynnistämään neuvottelut yleissopimuksen uudistamisesta. Euroopan unionin neuvosto valtuutti komission 6.6.2013 osallistumaan unionin puolesta neuvotteluihin. Komissio kävi neuvottelut unionin puolesta neuvoston antamien ohjeiden mukaisesti niiden aiheiden osalta, jotka perussopimusten mukaan kuuluvat unionin toimivaltaan. Komissio raportoi neuvottelujen edistymisestä jäsenvaltioille neuvoston tietojenvaihto- ja tietosuojatyöryhmän kautta. Kansallinen EU:n jäsenvaltioiden näkemysten koordinointiin liittyvä valmistelu on suoritettu oikeusministeriössä.

2 Pöytäkirjan tavoitteet

Muutospöytäkirjan tavoitteena on ollut vastata aiempaa paremmin yksityisyyden suojan haasteisiin, jotka aiheutuvat uudenlaisesta informaatio- ja viestintäteknologiasta ja sen lisääntyvästä käytöstä, valtioiden rajat ylittävästä henkilötietojen käsittelystä ja yhä laajamittaisemmista henkilötietojen siirroista. Vahvistetun yleissopimuksen arviointi- ja seurantamekanismin avulla pyritään varmistamaan, että osapuolet noudattavat tietosuojayleissopimuksen vaatimuksia. Samalla muutospöytäkirjassa on pyritty varmistamaan mahdollisimman pitkälti vastaavuus EU:n uudistetun tietosuojalainsäädännön kanssa. Tämä vastasi myös EU:n jäsenvaltioiden pääasiallista neuvottelutavoitetta.

Uudistetun tietosuojayleissopimuksen tarkoituksena on suojata jokaista yksilöä kansalaisuudesta tai asuinpaikasta riippumatta, kun on kyse henkilötietojen käsittelystä, ja siten edistää ihmisoikeuksien ja perusvapauksien ja erityisesti yksityiselämän suojan kunnioittamista.

3 Keskeiset ehdotukset

3.1 Laki yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta tehdystä pöytäkirjasta

Pöytäkirjan lainsäädännön alaan kuuluvat määräykset ehdotetaan saatettavaksi voimaan sellaisina kuin Suomi on niihin sitoutunut. Voimaansaattamislaissa täsmennettäisiin kuitenkin yleissopimuksen noudattamista valvovat viranomaiset, jotka ovat tietosuojalain mukaisesti tietosuojavaltuutettu ja Ahvenanmaan maakuntalainsäädännön mukaisesti Datainspektionen. Yleissopimuksen mukaista valvontatehtävää ei ole nimenomaisesti säädetty laissa näille viranomaisille.

3.2 Tietosuojalaki

Tietosuojalakiin ehdotetaan lisättäväksi säännökset, joiden nojalla tietosuojavaltuutetun olisi mahdollista ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Valvontaviranomaisilla olisi erityisesti oikeus vaihtaa tietoja valvontaan liittyen sekä toteuttaa yhteisiä operaatioita. Tietosuojalakia täydennettäisiin henkilötietojen ja muiden tietojen luovuttamisen osalta. Tietosuojalain säännökset eivät sellaisenaan varmuudella riitä kattamaan kaikkia EU:n ulkopuolisten valtioiden viranomaisten kanssa tehtävän yhteistyön muotoja.

3.3 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Muutetun tietosuojayleissopimuksen soveltamisala on laajempi kuin EU-oikeuden soveltamisala, eikä sen soveltamisalaan voi 3 artiklan mukaan tehdä poikkeuksia. Muutetun yleissopimuksen vaatimukset eivät kaikilta osin täyty voimassa olevassa lainsäädännössä. Tämä koskee erityisesti kansalliseen turvallisuuteen ja puolustukseen liittyvää henkilötietojen käsittelyä, joka ei kuulu unionin oikeuden soveltamisalaan. Tietosuojalain soveltamisala on laajennettu koskemaan eräin rajauksin myös sellaista henkilötietojen käsittelyä, joka ei kuulu EU:n tietosuojalainsäädännön soveltamisalaan, ja sellaista käsittelyä, jota jäsenvaltiot suorittavat toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Rikosasioiden tietosuojalaki on puolestaan laajennettu koskemaan myös kansalliseen turvallisuuteen ja puolustukseen (kansallisen turvallisuuden ylläpitämiseen) liittyvää henkilötietojen käsittelyä, lukuun ottamatta säännöksiä, joita sovelletaan henkilötietojen siirtoihin kolmansiin maihin ja kansainvälisille järjestöille, sekä eräitä muita säännöksiä, jotka liittyvät EU-oikeuden täytäntöönpanoon.

Muutettu tietosuojayleissopimus ei salli henkilötietojen siirtojen osalta täydellisiä poikkeuksia sääntelystä. Erityisesti riittävää tietosuojan tasoa koskevat vaatimukset koskevat kaikkia henkilötietojen siirtoja yleissopimuksen ulkopuolisiin valtioihin ja kansainvälisille järjestöille, myös silloin, kun henkilötietoja siirretään erityislainsäädännön nojalla. Muutettu tietosuojayleissopimus myös nimenomaisesti edellyttää sen määräysten täytäntöönpanoa lainsäädännössä siinä sallittuja poikkeuksia lukuun ottamatta. Toisaalta yleissopimus sallii EU:n jäsenvaltioiden edelleen soveltavan EU:n tietosuojalainsäädännössä asetettua vaatimusta edellyttää riittävää tietosuojan tasoa kaikkien EU:n ulkopuolisten maiden ja kansainvälisten järjestöjen osalta.

Tässä esityksessä ehdotetaan rikosasioiden tietosuojalain muuttamista siten, että sen 7 lukua sovellettaisiin lähtökohtaisesti kaikkiin henkilötietojen siirtoihin kolmansiin maihin ja kansainvälisille järjestöille, jollei muussa laissa toisin säädetä. Henkilötietojen käsittelystä poliisitoimessa annetun lain (616/2019, jäljempänä poliisin henkilötietolaki) ja henkilötietojen käsittelystä Puolustusvoimissa annetun lain (332/2019, jäljempänä Puolustusvoimien henkilötietolaki) säännökset säilytettäisiin toistaiseksi ennallaan. Näissä laeissa tarkoitettuihin suojelupoliisin ja Puolustusvoimien henkilötietojen luovutuksiin sovellettaisiin siten ehdotettavan voimaansaattamislain myötä sellaisenaan muutetun tietosuojayleissopimuksen määräyksiä, lukuun ottamatta riittävää tietosuojan tasoa koskevia poikkeuksia, joista olisi tarvittaessa säädettävä erikseen. Siihen saakka, kunnes voimaansaattamislaki tulee voimaan, suojelupoliisia ja Puolustusvoimia koskisivat voimassa olevat tietosuojayleissopimuksen määräykset.

Rikosasioiden tietosuojalakiin tehtäisiin lisäksi tietosuojalain muutosta vastaava muutos, jolla huomioitaisiin tietosuojayleissopimuksen edellyttämä valvontaviranomaisten välinen yhteistyö. Ehdotetut säännökset olisivat tarpeen, koska rikosasioiden tietosuojalain 54 §:n säännökset keskinäisestä avunannosta koskevat pelkästään EU:n jäsenvaltioiden valvontaviranomaisia.

3.4 Tulkintaselitys

Esityksellä ehdotetaan hyväksyttäväksi yleissopimuksen 3 artiklan 1 kohtaa koskeva tulkintaselitys, jossa tarkennettaisiin, millä tavalla käsitettä julkinen sektori tulkitaan Suomessa yleissopimusta sovellettaessa. Yleissopimuksen tekstin perustelujen mukaisesti käsitteen merkitys voi vaihdella yleissopimuksen osapuolten oikeusjärjestelmissä. Yleissopimuksen soveltamisesta voisi aiheutua epäselvyyttä erityisesti siltä osin kuin on kyse eduskunnan toimintaan liittyvästä henkilötietojen käsittelystä. Tietosuojayleissopimusta sovellettaisiin esityksen mukaan eduskunnan virastojen suorittamaan henkilötietojen käsittelyyn vastaavasti kuin tietosuoja-asetusta ja tietosuojalakia. Tulkintaselitykseen ehdotettu julkisen sektorin selitys vastaisi tietosuojalain 24 §:n 4 momentin luetteloa viranomaisista ja julkisyhteisöistä, joille ei voida määrätä hallinnollista seuraamusmaksua.

4 Esityksen vaikutukset

4.1 Vaikutukset viranomaisiin ja yritysvaikutukset

Tietosuojalainsäädännön uudistamisesta on seurannut huomattavia taloudellisia vaikutuksia rekisterinpitäjille sekä julkisella sektorilla että yksityissektorilla. Nämä vaikutukset seuraavat suoraan tietosuoja-asetuksesta, minkä lisäksi vaikutuksia on seurannut EU:n tietosuojalainsäädäntöä täydentävistä yleislaeista, tietosuojalaista ja rikosasioiden tietosuojalaista. Tietosuojayleissopimuksen muutospöytäkirja ei tuo mukanaan uusia velvoitteita rekisterinpitäjille ja henkilötietojen käsittelijöille suhteessa siihen, mitä tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa säädetään.

Jossain määrin vaikutusta viranomaisten ja yritysten toimintaan voi kuitenkin syntyä lisääntyvän rajat ylittävän yhteistyön muodossa. Muutospöytäkirjan yhtenä tavoitteena on ollut tietosuojayleissopimuksen sisällöllinen lähentäminen EU:n tietosuojalainsäädännön kanssa. EU:n yleisen tietosuoja-asetuksen V luvussa ja rikosasioiden tietosuojadirektiivin V luvussa säädetään henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille. EU:n tietosuojalainsäädäntö ja sen täytäntöönpanolainsäädäntö edellyttävät henkilötietojen siirroilta kolmansiin maihin, että vastaanottavassa maassa on joko komission antaman päätöksen mukaisesti todettu riittävä tietosuojan taso, tai henkilötietojen suojaa koskevat muut asianmukaiset oikeudelliset takeet. Pöytäkirjan ratifioiva valtio sitoutuu saattamaan kansallisen lainsäädäntönsä uudistetun yleissopimuksen edellyttämälle tasolle, joka olisi aiempaa lähempänä EU:n tietosuojan tasoa. Muutetun yleissopimuksen myönteistä vaikutusta siirrettävien henkilötietojen suojaan lisännee voimassa olevasta yleissopimuksesta poiketen nimenomainen velvoite sisällyttää siirtoja koskevat vaatimukset lainsäädäntöön. Tällä voidaan arvioida olevan kansainvälistä yhteistyötä edistävää vaikutusta sekä julkisella sektorilla että yksityissektorilla. Toisaalta rekisterinpitäjille voi myös aiheutua hallinnollista taakkaa lisääntyvän yhteistyön myötä, kun tietosuojalainsäädännön vaatimukset on huomioitava kaikissa henkilötietojen siirroissa.

Viranomaisten ja yritysten toimintaan kohdistuviin vaikutuksiin liittyy kuitenkin vielä epävarmuutta niin kauan, kun muutospöytäkirja ei ole tullut voimaan eikä muutetun yleissopimuksen soveltamisesta ole kokemusta. Epävarmuustekijöitä voi liittyä erityisesti siihen, että muutetun yleissopimuksen määräyksiä voidaan joissakin tilanteissa soveltaa EU-oikeuden ja sen kansallisen täytäntöönpanolainsäädännön soveltamisalaan kuuluvien toimien yhteydessä. Muutetun yleissopimuksen määräyksillä voisi olla myös vaikutuksia yhteisesti sovellettavien sääntöjen ulottuvuuteen ja tulkintaan.

Kansallisen turvallisuuden ylläpitämisestä vastaavat viranomaiset

Rikosasioiden tietosuojalaki on Suomessa laajentanut rikosasioiden tietosuojadirektiivin sisältämät säännökset myös osittain koskemaan kansalliseen turvallisuuteen ja puolustukseen liittyvää henkilötietojen käsittelyä.

Rikosasioiden tietosuojalain 1 §:n 2 momentissa tarkoitetut kansallisen turvallisuuden ylläpitämisestä vastaavat viranomaiset ovat poliisi, Rajavartiolaitos ja Puolustusvoimat. Näistä ainoastaan suojelupoliisilla ja Puolustusvoimilla on voimassa olevan erityislainsäädännön mukaan toimivaltuudet luovuttaa henkilötietoja tehtävissä, jotka liittyvät kansallisen turvallisuuden suojaamiseen. Koska suojelupoliisia ja Puolustusvoimia koskevissa erityislaeissa olevat poikkeukset rikosasioiden tietosuojalain 7 luvun ja 10 §:n 2 momentin soveltamiseen säilyisivät ennallaan, esityksellä ei olisi välittömiä vaikutuksia näiden viranomaisten toimintaan.

Tietosuojavaltuutettu

Uudesta EU:n tietosuojalainsäädännöstä ja sitä täydentävästä kansallisesta lainsäädännöstä on aiheutunut taloudellisia ja muita vaikutuksia myös lainsäädännön valvonnasta vastaaville tietosuojavaltuutetulle ja Ahvenanmaan maakuntalainsäädännössä tarkoitetulle valvontaviranomaiselle (Datainspektionen). Ratifioidessaan tietosuojayleissopimuksen muutospöytäkirjan Suomi sitoutuu varmistamaan, että kansalliset viranomaiset valvovat uudistetun tietosuojayleissopimuksen määräysten noudattamista. Suomessa yleissopimuksessa tarkoitettu valvontaviranomainen olisi tietosuojavaltuutettu lukuun ottamatta Ahvenanmaan valvontaviranomaisen toimivaltaan kuuluvia tehtäviä. Ahvenanmaan valvontaviranomaisen osalta on alustavasti arvioitu, että esityksellä ei ole merkittäviä viranomaisen toimintaan kohdistuvia vaikutuksia.

Tietosuojavaltuutetulle arvioidaan aiheutuvan jossain määrin vaikutuksia, koska tietosuojavaltuutettu käytännössä vastaisi suurimmasta osasta kansainvälistä valvontayhteistyötä. Tehtävä ei olisi uusi, vaan tietosuojavaltuutettu on vastannut siitä kumotun henkilötietolain ja yleissopimuksen ja sen lisäpöytäkirjan voimaansaattamislakien nojalla, ja voi jo nykyisellään hoitaa suuren osan valvontatehtävistään tietosuoja-asetuksen ja tietosuojalain nojalla. Kolmansien maiden valvontaviranomaisten kanssa tehtävä yhteistyö edellyttäisi kuitenkin eräiltä osin lainmuutoksia. Tietosuojavaltuutetulle aiheutuisi vaikutuksia erityisesti tarpeista tarkistaa valvontakäytäntöä ja ohjeistusta sekä henkilökunnan perehdytystä yleissopimuksen muutosten ja lainmuutosten huomioimiseksi. Lisäksi tietosuojavaltuutetun toimistolle voisi jossain määrin aiheutua lisätyötä, jos rajat ylittävät henkilötietojen siirrot kolmansiin maihin lisääntyvät muutospöytäkirjan voimaantulon myötä. Tietosuojavaltuutettu valvoo kuitenkin tällaisia siirtoja jo nykyisellään, mukaan lukien kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvät henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille.

Voimassa olevan lisäpöytäkirjan määräykset valvontaviranomaisten välisestä yhteistyöstä korvataan uudella artiklalla. Yhteistyön muodoista määrätään yksityiskohtaisemmin, ja erityisesti keskinäistä avunantoa ja toimenpiteiden koordinointia tai yhteisiä toimenpiteitä koskevat määräykset voivat lisätä vaiheittain tietosuojavaltuutetun kansainvälistä yhteistyötä sitä mukaa, kun muutospöytäkirja tulee voimaan ja sen osapuoliksi tulee uusia valtioita. Tietosuojavaltuutettu tekee nykyisellään lisäpöytäkirjan nojalla yhteistyötä muiden osapuolten valvontaviranomaisten kanssa, mutta muutettu yleissopimus sisältää määräyksen erityisen valvontaviranomaisten verkoston luomisesta. Muutospöytäkirjan ratifioinnilla ei olisi välittömiä taloudellisia vaikutuksia tietosuojavaltuutetulle, mutta vaikutuksia olisi seurattava pöytäkirjan voimaantuloa seuraavina vuosina.

Tietosuojavaltuutetun tehtävien lisäykset hajautetusti usean säädöshankkeen myötä voisivat myös johtaa kokonaisuutena lisäresurssitarpeisiin, joita on vaikeaa arvioida yksittäisen hankkeen yhteydessä. Tästä ja vaikutuksiin liittyvistä epävarmuustekijöistä johtuen mahdolliset menot olisi katettava valtiontalouden kehyspäätösten ja valtion talousarvioiden mukaisten määrärahojen ja henkilötyövuosimäärien puitteissa.

4.2 Vaikutukset kansalaisten asemaan yhteiskunnassa

Suomi sitoutuu myös siihen, että henkilötietoja ei siirretä Suomesta sellaisten valtioiden tai järjestöjen lainkäyttövaltaan kuuluville alueille, jotka eivät takaa henkilötiedoille riittävää tietosuojaa. Suomella on vastaavat velvoitteet EU:n tietosuojalainsäädännön nojalla. Ottaen huomioon, että Euroopan neuvoston tietosuojayleissopimukseen voivat liittyä Euroopan neuvoston jäsenvaltioiden lisäksi myös sen ulkopuoliset valtiot, muutospöytäkirjan ratifioinneilla on rekisteröityjen yksityishenkilöiden tietosuojaa ja perusoikeuksien suojaa entisestään vahvistavaa vaikutusta.

Aiempaa yhdenmukaisemmat tietosuojaa koskevat vaatimukset eri maiden lainsäädännössä vahvistaisivat myös rekisteröityjen suojaa laajalti, edellyttäen, että osapuolet panevat tarkistetun yleissopimuksen vaatimukset asianmukaisesti täytäntöön. Tarkistetut valvontaviranomaisten toimivaltuudet parantavat rekisteröityjen mahdollisuuksia käyttää oikeuksiaan kolmansissa maissa. Yleissopimuksen komitealle annettavat uudet toimivaltuudet arvioida yleissopimukseen liittyvien valtioiden tietosuojan tasoa ja osapuolten lainsäädäntötoimien tehokkuutta tukevat tavoitetta varmistaa, että osapuolet noudattavat yleissopimuksen vaatimuksia. Pöytäkirjan osapuolena myös Suomi sitoutuu kansainvälisesti siihen, että se pitää lainsäädäntönsä pöytäkirjan määräysten mukaisena.

5 Toteuttamisvaihtoehdot ja niiden vaikutukset

Riittävää tietosuojan tasoa koskevat vaatimukset ovat luonteeltaan ensisijaisesti yleislakeihin kuuluvaa sääntelyä ja ne sisältyvät tietosuoja-asetuksen V lukuun ja rikosasioiden tietosuojalain 7 lukuun. Rikosasioiden tietosuojalain 7 luvun säännökset eivät koske henkilötietojen siirtoja kolmansiin maihin ja kansainvälisille järjestöille, kun kyse on kansallisen turvallisuuden ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Tällainen yleislaissa tehty poikkeus ei vastaa muutetun tietosuojayleissopimuksen vaatimuksia. Muutospöytäkirjan määräysten riittävän täytäntöönpanon varmistamiseksi on tarkasteltu kolmea vaihtoehtoista sääntelyratkaisua rikosasioiden tietosuojalaissa.

Yhtenä vaihtoehtona on tarkasteltu rikosasioiden tietosuojalain 7 luvun soveltamista koskevan poikkeuksen poistamista mainitusta laista ja samalla erityislakien sisältämien poikkeusten kaventamista. Nykytilasta poiketen rikosasioiden tietosuojalaki olisi tavanomaisen yleislakeja koskevan käytännön mukaisesti saman sisältöinen kaikille sen soveltajille. Rikosasioiden tietosuojalain 7 luvun säännöksiä sovelletaan jo rikosten ennalta estämiseen viranomaisesta riippumatta, samoin rikosten selvittämiseen siltä osin kuin viranomaisilla on näitä koskevia toimivaltuuksia. Rikosasioiden tietosuojalain 2 §:ssä sallittaisiin kuitenkin edelleen lain säännöksistä poikkeaminen muussa laissa. Lain 7 lukua koskevia poikkeuksia on sisällytetty poliisin henkilötietolakiin ja Puolustusvoimien henkilötietolakiin. Näitä poikkeuksia koskevia viittaussäännöksiä olisi mahdollista muuttaa siten, että rikosasioiden tietosuojalaista poiketen sovellettaisiin yksittäisiä 7 luvun säännöksiä tai poikettaisiin sen yksittäisistä säännöksistä. Samalla tarpeettoman päällekkäisen sääntelyn, joka liittyy tietosuojan tason huomioimiseen, voisi poistaa näistä erityislaeista. Vaihtoehto olisi lainsäädäntöteknisesti selkein sääntelyratkaisu.

Toisena vaihtoehtona on tarkasteltu nykytilan säilyttämistä siten, että rikosasioiden tietosuojalain 7 luvun soveltamista koskeva poikkeus poistettaisiin laista, mutta poliisin henkilötietolain ja Puolustusvoimien henkilötietolain vastaavat poikkeukset säilyisivät ennallaan. Yleislakiin sisältyvä poikkeus on tarpeeton, koska vastaava poikkeus sisältyy kyseisiin erityislakeihin. Kun otetaan huomioon, että muutetun yleissopimuksen riittävän tietosuojan tason vaatimukset koskevat kaikkia henkilötietojen siirtoja yleissopimuksen ulkopuolisiin kolmansiin maihin ja kansainvälisille järjestöille, eikä tästä sallita poikkeuksia, erityislakeihin sisältyvän Suomea sitovien kansainvälisten sopimusten huomioon ottamista koskevan vaatimuksen on katsottava tarkoittavan myös tältä osin, että muutetun yleissopimuksen määräykset sitoisivat lainsoveltajia sellaisenaan voimaansaattamislain kautta. Erityislakien säännöksiin liittyy kuitenkin epävarmuutta siitä, riittävätkö ne täyttämään yleissopimuksen vaatimukset, koska riittävän tietosuojan tason osalta erityislakien säännökset eivät vastaa yksityiskohtaisuudeltaan ja tarkkarajaisuudeltaan rikosasioiden tietosuojalain 7 lukua. Sääntelyratkaisu tarkoittaisi myös, että yleissopimuksen sallimat poikkeukset riittävästä tietosuojan tasosta eivät tulisi kansallisen turvallisuuden ylläpitämiseen liittyvän henkilötietojen käsittelyn osalta sovellettavaksi, koska yleissopimus edellyttää, että niistä säädetään nimenomaisesti laissa. Näistä poikkeuksista ei tosin säädetä myöskään tällä hetkellä kansallisen turvallisuuden ylläpitämisen osalta laissa, joten sääntelyratkaisu ei toisi muutosta lainsoveltajille suhteessa nykytilaan.

Kolmantena vaihtoehtona on tarkasteltu rikosasioiden tietosuojalain muuttamista sisällyttämällä siihen 7 luvusta poiketen nimenomaiset kansallisen turvallisuuden ylläpitämiseen sovellettavat säännökset riittävän tietosuojan tason vaatimuksista. Erilliset säännökset voisivat helpottaa lain soveltamista. Tämän sääntelyratkaisun haittana kuitenkin on, että se olisi tavanomaisesta lainkirjoitustavasta poikkeava ja aiheuttaisi epäselvyyttä sekä lain sisäisesti että suhteessa erityislakeihin. Asiasta säädetään jo 7 luvussa, jolloin uudet sisällöltään vastaavat säännökset olisivat lähtökohtaisesti tarpeettomia.

6 Lausuntopalaute

Hallituksen esitys on valmisteltu oikeusministeriössä. Esityksestä on pyydetty lausunnot ulkoministeriöltä, valtiovarainministeriöltä, sisäministeriöltä, puolustusministeriöltä, suojelupoliisilta, Poliisihallitukselta, Rajavartiolaitokselta, Puolustusvoimien pääesikunnalta, tietosuojavaltuutetulta, tiedusteluvalvontavaltuutetulta, eduskunnan oikeusasiamieheltä ja oikeuskanslerilta sekä Ahvenanmaan maakunnan hallitukselta ja Ahvenanmaan tietosuojaviranomaiselta (Datainspektionen). Lausunnot ovat saatavilla valtioneuvoston hankerekisterissä tunnuksella OM018:00/2019.

Lausuntopalautteessa on kiinnitetty erityisesti huomiota esitysluonnoksessa ehdotettuun rikosasioiden tietosuojalain 44 a §:ään sekä ehdotetun pykälän ja erityislainsäädännön suhteeseen. Puolustusministeriöllä ei ollut huomautettavaa pykälän luonnokseen, mutta sisäministeriö ja Suojelupoliisi ehdottivat siihen sisällöllistä muutosta. Puolustusministeriön, sisäministeriön, Suojelupoliisin, oikeuskanslerinviraston, Eduskunnan oikeusasiamiehen kanslian, ja Tiedusteluvalvontavaltuutetun lausuntojen valossa on jatkovalmistelun aikana arvioitu, että sääntelyratkaisua on syytä muuttaa. Valvontaviranomaiset pitivät yleislain ja erityislain suhdetta epäselvänä. Puolustusministeriö piti lausunnossaan tärkeänä, että ehdotetun rikosasioiden tietosuojalain pykälän ja erityislainsäädännön säännösten suhde käy selkeämmin ilmi laista. Esityksessä ehdotetaan, että rikosasioiden tietosuojalain 7 luvun soveltamista koskeva poikkeus poistetaan kyseisestä laista. Erityislainsäädäntö ehdotetaan jätettäväksi toistaiseksi ennalleen. Yleissopimuksen muutokset tulisivat sovellettavaksi suojelupoliisin ja Puolustusvoimien osalta voimaansaattamislain kautta, kun laki tulee voimaan. Vaikka poliisin henkilötietolain ja Puolustusvoimien henkilötietolain säännökset eivät ole yhtä yksityiskohtaisia ja tarkkarajaisia kuin rikosasioiden tietosuojalain 7 luku, sisäministeriö ja puolustusministeriö eivät pitäneet lainsäädäntöään ratifioinnin esteenä.

Ahvenanmaan maakunnan hallituksen näkemyksen mukaan muutospöytäkirjaan sisältyy useilta osin määräyksiä, jotka kuuluvat Ahvenanmaan lainsäädäntövaltaan Ahvenanmaan itsehallintolain (1144/1991) mukaisesti. Muutospöytäkirjan voimaansaattaminen ei kuitenkaan lausunnon mukaan aiheuta muutostarpeita maakunnan lainsäädäntöön. Sen sijaan voimaansaattamislaissa olisi syytä huomioida myös Ahvenanmaan maakuntalainsäädännössä tarkoitettu valvontaviranomainen. Ahvenanmaan maakunnan hallituksen ja Datainspektionen-viranomaisen lausuntojen perusteella esityksen 1. lakiehdotusta on tarkistettu siten, että siitä käy ilmi toimivallan jako kahden valvontaviranomaisen kesken. Lisäksi oikeuskanslerinviraston lausunnon huomioimiseksi lakiehdotukseen on lisätty informatiivinen säännös, jotta lakiehdotus ei anna vaikutelmaa, että tietosuojavaltuutetun toimivaltuudet laajenisivat suhteessa ylimpiin laillisuusvalvojiin.

Tietosuojavaltuutetun lausunnon perusteella esitykseen on lisätty lakiehdotus tietosuojalain muuttamiseksi ja täydennetty rikosasioiden tietosuojalain muuttamista koskevaa lakiehdotusta. Kumpaankin lakiin lisättäisiin säännökset, joiden perusteella tietosuojavaltuutettu voisi toteuttaa tarvittavia toimenpiteitä tehokaan yhteistyön varmistamiseksi yleissopimuksen noudattamista valvovien kolmansien maiden viranomaisten kanssa ja luovuttaa salassa pidettäviä tietoja ehdotettujen säännösten mukaisin edellytyksin.

Esityksen 1. lakiehdotusta on tarkistettu jatkovalmistelun aikana ulkoministeriön näkemyksen huomioimiseksi, mukaan lukien lakiehdotusten voimaantuloa koskevat muutokset ja lainsäädäntötekniset muutokset. Lisäksi esityksen perusteluja on tarkistettu eräiltä osin teknisesti ulkoministeriön lausunnon perusteella.

7 Pöytäkirjan määräykset ja niiden suhde Suomen lainsäädäntöön

Euroopan unioni on käyttänyt lainsäädäntövaltaansa jäsenvaltioiden suorittaman henkilötietojen käsittelyn osalta antamalla henkilötietojen käsittelystä säännökset, jotka sisältyvät yleiseen tietosuoja-asetukseen ja rikosasioiden tietosuojadirektiiviin. Henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös muuhun Euroopan unionin lainsäädäntöön, josta osa koskee henkilötietojen käsittelyä jäsenvaltioissa. Euroopan unionin perussopimusten mukaisesti toimivalta Euroopan unionin ja sen jäsenvaltioiden välillä on tietosuojayleissopimuksen ja sen pöytäkirjojen soveltamisalalla luonteeltaan jaettua. Toimivallan jakautumista unionin ja jäsenvaltioiden kesken selostetaan tarkemmin jäljempänä kappaleessa 12.1.

Tietosuojayleissopimuksen määräykset on pantu Suomessa alun perin täytäntöön henkilörekisterilailla (471/1987) ja myöhemmin henkilötietolailla (523/1999), jonka säännökset perustuivat suurimmaksi osaksi henkilötietodirektiiviin. Kumotun henkilötietolain korvaavat yleissopimuksen täytäntöönpanosäädöksinä yleinen tietosuoja-asetus, tietosuojalaki ja rikosasioiden tietosuojalaki. Lisäksi henkilötietojen käsittelyä koskevia säännöksiä sisältyy runsaasti erityislainsäädäntöön, joka sisältää esimerkiksi rekisterisääntelyä, tarkempia erityisten henkilötietoryhmien käsittelyä koskevia säännöksiä ja poikkeuksia rekisteröidyn oikeuksiin. Yleissopimus sisältää henkilötietojen käsittelyä koskevat yleisesti sovellettavat vaatimukset ja perusperiaatteet, jotka on kaikilta osin pantu täytäntöön Suomessa yleislainsäädännöllä. Erityislainsäädännön sisältämien perusperiaatteita koskevien poikkeusten olisi kuitenkin täytettävä yleissopimuksen vaatimukset.

1 artikla. Yleissopimuksen johdanto-osaan tehdään muutokset, joissa korostetaan tarvetta turvata jokaisen ihmisarvo, ihmisoikeuksien ja perusvapauksien suoja ja yksilön oikeus määrätä henkilötiedoistaan ja niiden käsittelystä. Muutetussa johdanto-osassa myös korostetaan tietosuojan yhteiskunnallista ja maailmanlaajuista merkitystä sekä tarvetta sovittaa oikeus henkilötietojen suojaan yhteen muiden ihmisoikeuksien ja perusvapauksien kanssa, mukaan lukien sananvapaus. Lisäksi johdanto-osassa huomioidaan, että yleissopimus mahdollistaa viranomaisen asiakirjojen julkisuusperiaatteen huomioon ottamisen, ja tunnistetaan tarve edistää yksityisyyden kunnioittamista ja henkilötietojen suojaa maailmanlaajuisesti sekä vahvistaa kansainvälistä yhteistyötä osapuolten välillä. Johdanto-osan sanamuotoa myös muutetaan sen mukaisesti, että jatkossa yleissopimukseen voisivat liittyä osapuoliksi valtioiden lisäksi kansainväliset järjestöt.

2 artikla. Yleissopimuksen 1 artiklan sanamuotoa muutetaan siten, että yleissopimuksen tarkoituksena on suojata jokaista yksilöä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta, kun on kyse hänen henkilötietojensa käsittelystä, ja siten edistää hänen ihmisoikeuksiensa ja perusvapauksiensa kunnioittamista ja erityisesti hänen yksityisyyden suojansa kunnioittamista.

3 artikla. Yleissopimuksen 2 artiklan määritelmiä muutetaan. Automaattisesti käsiteltävän rekisterin määritelmä (b alakohta) poistetaan. Automaattisen tietojenkäsittelyn käsite korvataan tietojen käsittelyn käsitteellä, joka tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin, kuten tällaisten tietojen keräämistä, tallentamista, säilyttämistä, muuttamista, hakua, luovuttamista, saataville asettamista, poistamista tai hävittämistä tai loogisten ja/tai aritmeettisten toimintojen suorittamista tällaisilla tiedoilla (uusi b alakohta). Lisäksi uuden c alakohdan mukaan, kun tietoja ei käsitellä automaattisesti, “tietojen käsittely” tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin osana jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tai haettavissa tietyillä perusteilla. Määritelmä poikkeaa vain hieman vastaavasta tietosuoja-asetuksen 4 artiklan 2 kohdan ja rikosasioiden tietosuojalain 3 §:n 1 momentin 2 kohdan määritelmästä, ja määritelmissä luetellut käsittelytoimet ovat esimerkkejä. Myös rekisterinpitäjän määritelmää muutetaan (d alakohta). Uuden määritelmän mukaan rekisterinpitäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, laitosta, virastoa tai muuta elintä, jolla on yksin tai yhdessä toisten kanssa toimivalta päättää tietojen käsittelystä. Yleissopimukseen lisätään vastaanottajan (e alakohta) ja henkilötietojen käsittelijän (f alakohta) määritelmät. Rekisterinpitäjän, vastaanottajan ja henkilötietojen käsittelijän käsitteiden määritelmät sisältyvät myös tietosuoja-asetuksen 4 artiklan 7-9 kohtaan ja rikosasioiden tietosuojalain 3 §:n 1 momentin 6-8 kohtaan.

4 artikla. Yleissopimuksen soveltamisalaa koskevaa 3 artiklaa muutetaan. Artiklan 1 kohdan mukaan soveltamisala kattaisi voimassa olevan kohdan tavoin henkilötietojen käsittelyn julkisella ja yksityisellä sektorilla. Soveltamisalaan kuuluu voimassa olevan kohdan mukaan automaattisesti käsiteltävät henkilörekisterit ja henkilötietojen automaattinen käsittely, mutta muutosten myötä yleissopimus kattaisi henkilötietojen käsittelyn laajemmin. Määritelmät sisältävän 2 artiklan b alakohdassa tarkoitettu henkilötietojen käsittely kattaa eräin edellytyksin myös muut henkilörekisterit kuin automaattisin tietojen käsittelykeinoin ylläpidettävät rekisterit. Muutetun 3 artiklan uudessa 2 kohdassa määrätään, että yleissopimusta ei sovelleta sellaiseen tietojen käsittelyyn, jota yksilö suorittaa puhtaasti henkilökohtaisessa tai kotitalouteen liittyvässä toiminnassa. Rajaus vastaa tietosuoja-asetuksen 2 artiklan 2 kohdan c alakohdan rajausta. Yleissopimuksen 3 artiklasta poistetaan 2¬¬6 kohdan määräykset, joiden mukaisesti sopimuspuolet voivat selityksellä laajentaa tai rajoittaa omalta osaltaan yleissopimuksen soveltamisalaa.

Tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi kattavat yleissopimuksen soveltamisalan lukuun ottamatta henkilötietojen käsittelyä, jota sovelletaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan, tai jota suorittavat jäsenvaltiot toteuttaessaan Euroopan unionista tehdyn sopimuksen V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Suomessa kuitenkin tietosuojalain ja rikosasioiden tietosuojalain soveltamisalaa on laajennettu siten, että rikosasioiden tietosuojalakia sovelletaan eräin poikkeuksin myös kansallisen turvallisuuden ylläpitämiseen ja puolustukseen liittyvään henkilötietojen käsittelyyn ja tietosuojalain soveltamisalan laajennuksen myötä tietosuoja-asetusta ja tietosuojalakia sovelletaan Suomessa muuhun EU:n tietosuojalainsäädännön ulkopuolelle jäävään henkilötietojen käsittelyyn, lukuun ottamatta tietosuojalain 2 §:n 2 momentissa tarkoitettua eduskunnan valtiopäivätoimintaa.

Eduskunnan valtiopäivätoiminta rajattiin tietosuojalain soveltamisalan ulkopuolelle lain eduskuntakäsittelyn yhteydessä (HaVM 13/2018 vp, s. 7). Perustuslakivaliokunta kiinnitti lausunnossaan (PeVL 14/2018 vp) huomiota siihen, että Suomen valtiojärjestyksen perusteisiin kuuluu Suomen valtiojärjestyksen rakentuminen edustuksellisen demokratian varaan ja eduskunnan asema ylimpänä valtioelimenä. Nämä periaatteet on johdettu perustuslain 2 §:n 1 momentin säännöksestä, jonka mukaan valtiovalta Suomessa kuuluu kansalle, jota edustaa valtiopäiville kokoontunut eduskunta. Tämä ilmenee nimenomaisesti myös perustuslakiuudistuksen perusteluista (HE 1/1998 vp, s. 73). Eduskunnan toiminta voidaan jakaa perustuslaissa ja eduskunnan työjärjestyksessä säänneltyyn valtiopäivätoimintaan ja eduskunnan virastojen suorittamaan hallintotoimintaan. Perustuslakivaliokunnan lausunnon mukaan eduskunnan valtiosääntöinen asema merkitsee myös sitä, ettei eduskunnan valtiopäivätoiminta voi olla ulkopuolisen valvonnan kohteena, vaan eduskunnan toiminnan laillisuusvalvonta on säädetty perustuslaissa tyhjentävästi eduskunnan omien elinten, eduskunnan puhemiehen ja perustuslakivaliokunnan, tehtäväksi. (PeVL 14/2018 vp, s.10-11) Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei ollut sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (PeVL 14/2018 vp, s. 11; PeVL 30/1998 vp, s. 6/II). Valiokunnan mielestä eduskunnan asemesta ylimpänä valtioelimenä ja EU-oikeuden rajatusta soveltamisalasta seurasi kuitenkin, että hallituksen esityksen 1. lakiehdotusta oli muutettava siten, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tällainen muutos oli edellytyksenä sille, että 1. lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. (PeVL 14/2018 vp, s.11)

Voimassa olevan tietosuojayleissopimuksen perusteluissa (Explanatory Report/ ETS 108) on kiinnitetty huomiota siihen, että yleissopimuksella on merkitystä myös julkisella sektorilla, vaikka suurin osa rajat ylittävistä tiedonsiirroista tapahtuukin yksityissektorilla. Erottelua julkisen sektorin ja yksityissektorin välillä ei käytetä muissa yleissopimuksen määräyksissä siitä syystä, että näillä termeillä voi olla erilainen merkitys eri valtioissa. Perustelujen mukaan erottelulla voi kuitenkin olla merkitystä osapuolten antamien yleissopimuksen soveltamisalaa koskevien selitysten osalta. (Perustelujen kohta 33) Tietosuojayleissopimuksen 3 artiklan perustelut jättävät siten todistusvoimaisten tekstien englanninkielisen termin ”public sector” ja ranskankielisen termin ”secteur public” merkityksen kunkin osapuolen oikeusjärjestelmän varaan. Julkisen sektorin elinten katsotaan esimerkiksi EU-oikeudessa tarkoittavan valtion, alueellisia ja paikallisia viranomaisia sekä muita julkisoikeudella säänneltyjä yhteisöjä. Se, mitä lainsäädäntöä sovelletaan valtiopäivätoimintaan, voi vaihdella osapuolten oikeusjärjestelmissä. Voimassa olevan yleissopimuksen osalta kuitenkin vain kaksi valtiota (Liechtenstein, Sveitsi) on nimenomaisesti selityksellä sulkenut valtiopäivätoiminnan sen soveltamisalan ulkopuolelle. Suomi ei ole voimassa olevan tietosuojayleissopimuksen osalta antanut valtiopäivätoiminnan osalta selitystä. Yleissopimus on sellaisenaan voimassa olevaa oikeutta, eikä myöskään sen täytäntöönpanosäädöksenä kumottu henkilötietolaki sisältänyt tietosuojalain 2 §:n 2 momenttia vastaavaa valtiopäivätoimintaa koskevaa poikkeusta.

Yleissopimuksen soveltamisalaa olisi arvioitava edellä mainitun perustuslakivaliokunnan linjauksen valossa. Tietosuojalain soveltamisalan rajaus tarkoittaa pelkästään valtiopäivätoimintaan eikä eduskunnan virastojen toimintaan liittyvän henkilötietojen rajaamista sen soveltamisalan ulkopuolelle, jolloin tietosuojalain soveltamisalan ulkopuolisten henkilötietojen käsittelytilanteiden voidaan arvioida olevan rajallisia. Myös perustuslakivaliokunnan linjaukselle sovellettavasta lainsäädännöstä olisi annettava merkitystä. Valtiopäivätoimintaan ei sen näkemyksen mukaan voida soveltaa hallintoa koskevia yleislakeja, toisin kuin eduskunnan virastojen hallintoimintaan. Eduskunnan virastoja ovat eduskunnan virkamiehistä annetun lain (1197/2003) 2 §:n 2 momentin mukaan eduskunnan kanslia ja eduskunnan oikeusasiamiehen kanslia sekä eduskunnan yhteydessä olevat valtiontalouden tarkastusvirasto ja kansainvälisten suhteiden ja Euroopan unionin asioiden tutkimuslaitos. Tästä johtuen myös mahdollisen yleissopimuksen soveltamisalaan liittyvän poikkeuksen ala jää kapeaksi siinä tapauksessa, että valtiopäivätoiminnan katsottaisiin kuuluvan julkiseen sektoriin. Yleissopimuksen uudelleen numeroitu 11 artikla sallii poikkeamisen sen määräyksistä muun muassa merkittävän yleisen edun perusteella, mutta poikkeukset voivat kohdistua vain tiettyihin yleissopimuksen määräyksiin, joihin soveltamisalaa koskeva 3 artiklan 1 kohta ei sisälly. Käsitettä ”public sector” voitaneen kuitenkin Suomessa tulkita edellä mainitun yleishallintolakien soveltuvuutta koskevan linjauksen valossa. Ottaen huomioon, että yleissopimuksen sisältö ehdotetaan pantavaksi täytäntöön sekamuotoiseen voimaansaattamislakiin sisältyvällä blankettisäännöksellä, epäselvyyksien välttämiseksi samalla ehdotetaan hyväksyttäväksi yleissopimuksen 3 artiklan 1 kohtaa koskeva tulkintaselitys, jossa täsmennettäisiin, miten käsitettä julkinen sektori tulkitaan Suomessa yleissopimusta sovellettaessa.

Yleissopimuksen sallimien poikkeusten suhdetta lainsäädäntöön selostetaan muilta osin pöytäkirjan 14 artiklan yhteydessä.

5 artikla. Yleissopimuksen II luvun otsikoksi muutetaan ”Henkilötietojen suojaamisen perusperiaatteet”.

6 artikla. Yleissopimuksen 4 artiklan 1 ja 2 kohdan määräyksiä osapuolten lainsäädäntövelvoitteista muutetaan. Muutetun 1 kohdan mukaan osapuolen olisi toteutettava tarvittavat lainsäädäntötoimet kaikkien yleissopimuksen määräysten täytäntöönpanon ja tosiasiallisen soveltamisen varmistamiseksi. Voimassa oleva kohta edellyttää ainoastaan yleissopimuksen sisältämien tietosuojaa koskevien perusperiaatteiden täytäntöönpanoa. Käytännössä muutos laajentaa lainsäädäntövelvoitteita sisällöllisesti siten, että esimerkiksi rajat ylittäviä tiedonsiirtoja koskevat määräykset sisältyvät nimenomaisen täytäntöönpanovelvoitteen piiriin. Yleissopimuksen täytäntöönpanon edellyttämän lainsäädännön on voimassa olevan 2 kohdan mukaan tultava voimaan viimeistään, kun yleissopimus tulee voimaan kyseessä olevan osapuolen osalta. Muutetun 2 kohdan mukaan osapuolten on toteutettava lainsäädäntötoimet siihen mennessä, kun ne ratifioivat yleissopimuksen tai liittyvät siihen. Tällä olisi merkitystä erityisesti asiasisältöisten täytäntöönpanosäännösten soveltamisen kannalta. Artiklaan lisätään uusi 3 kohta, jonka mukaan osapuolet sitoutuvat sallimaan sen, että VI luvussa tarkoitettu yleissopimuksen komitea arvioi niiden lainsäädäntötoimien tehokkuuden, jotka osapuoli on toteuttanut saattaakseen yleissopimuksen määräykset voimaan (a alakohta). Osapuolet myös sitoutuvat myötävaikuttamaan aktiivisesti arviointiprosessiin (b alakohta). Myötävaikuttamisella tarkoitettaisiin esimerkiksi yleissopimuksen soveltamista koskevien raporttien antamista tai tarvittavien tietojen antamista muussa muodossa arviointiprosessia varten. Yleissopimuksen uuden 11 artiklan 3 kohdasta seuraa kuitenkin, että osapuolen ei edellytettäisi antavan salassa pidettäviä tietoja yleissopimuksen komitealle.

7 artikla. Yleissopimuksen 5 artiklan määräyksiä henkilötietojen käsittelyn oikeutuksesta täydennetään ja artiklan otsikko muutetaan muotoon ”Tietojen käsittelyn oikeutus ja tietojen laatu”.

Artiklaan lisätään uusi 1 kohta, jonka mukaan tietojen käsittelyn on oltava oikeasuhteista tavoiteltavaan oikeutettuun päämäärään nähden, ja sen on kaikissa vaiheissaan oltava oikeudenmukaisessa tasapainossa toisaalta kaikkien asiaan liittyvien julkisten tai yksityisten etujen ja toisaalta suojattavien oikeuksien ja vapauksien välillä. Artiklan 1 kohta on osittain päällekkäinen uuden 4 kohdan c alakohdan siten, että kumpikin koskee käsittelyn oikeasuhteisuuden periaatetta. Vastaavat käsittelyn oikeasuhteisuutta koskevat vaatimukset sisältyvät tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohtaan ja 6 artiklan 3 ja 4 kohtaan sekä rikosasioiden tietosuojalain 6 §:n 1 momenttiin.

Artiklaan lisätään uusi 2 kohta, jonka mukaan osapuolet varmistavat, että tietoja voidaan käsitellä rekisteröidyn vapaan, nimenomaisen, tietoon perustuvan ja yksiselitteisen suostumuksen perusteella tai jollakin muulla oikeutetulla, lailla säädetyllä perusteella. Tietosuoja-asetuksen 6 artiklan 1 kohdassa säädetään henkilötietojen käsittelyn perusteista, joista yksi on rekisteröidyn antama suostumus. Suostumuksen edellytyksistä säädetään tietosuoja-asetuksen 7 artiklassa. Rikosasioiden tietosuojalaissa ei säädetä suostumuksesta henkilötietojen käsittelyn edellytyksenä, vaan käsittelyn edellytyksenä on lain 4 §:n mukaisesti kaikissa tilanteissa se, että käsittely on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, lain soveltamisalaan kuuluvan tehtävän suorittamiseksi.

Artiklaan lisätään uudet 3 ja 4 kohta, jotka tarkentavat voimassa olevan artiklan a ja b alakohdan määräyksiä henkilötietojen käsittelyn laillisuusvaatimuksesta ja käyttötarkoitussidonnaisuudesta. Artiklan 3 kohdan mukaan käsiteltäviä henkilötietoja on käsiteltävä lain mukaisesti.

Artiklan 4 kohdan a alakohdassa määrätään henkilötietojen käsittelyn oikeudenmukaisuuden ja läpinäkyvyyden periaatteesta. Kohdan b alakohdan mukaan henkilötietoja kerätään tiettyihin, nimenomaisiin ja laillisiin tarkoituksiin, eikä niitä saa käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Myöhempää käsittelyä yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten pidetään alkuperäisten tarkoitusten kanssa yhteensopivana, jos asianmukaisia takeita noudatetaan. Määräykset vastaavat tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohtaa ja rikosasioiden tietosuojalain 5 §:n säännöksiä. Tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään tarkemmin myöhemmän yhteensopivan käsittelyn kriteereistä. Uuden 4 kohdan c-e alakohta vastaavat asiasisällön osalta voimassa olevan artiklan c-e alakohtaa.

8 artikla. Yleissopimuksen 6 artiklan määräyksiä erityisistä tietoryhmistä muutetaan. Muutetun1 kohdan mukaisesti siinä lueteltujen henkilötietojen käsittely on sallittua vain, jos lailla on säädetty asianmukaisista suojatoimista, jotka täydentävät yleissopimuksen mukaisia suojatoimia. Suojatoimista säätämistä koskeva vaatimus sisältyy jo voimassa olevaan artiklaan, mutta erityisiä tietoryhmiä täydennetään siten, että rikosoikeudellisiin tuomioihin rinnastetaan rikoksiin ja rikosoikeudenkäynteihin sekä turvaamistoimiin liittyvät tiedot, ja artiklaan lisätään biometriset tiedot, joiden avulla henkilö on yksiselitteisesti tunnistettavissa, geneettiset tiedot ja ammattiyhdistyksen jäsenyyden ilmaisevat henkilötiedot. Uuden 2 kohdan mukaan artiklassa tarkoitettujen suojatoimien on suojattava niiltä riskeiltä, joita arkaluonteisten tietojen käsittely voi aiheuttaa rekisteröidyn eduille, oikeuksille ja perusvapauksille, erityisesti syrjinnän riskiltä. Muutettua yleissopimuksen 6 artiklaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 9 ja 10 artiklaan sekä rikosasioiden tietosuojalain 11 §:ään. Rikosasioiden tietosuojalain soveltamisalasta johtuen siinä ei kuitenkaan rinnasteta tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja erityisiin henkilötietoryhmiin.

9 artikla. Yleissopimuksen 7 artiklaa muutetaan. Muutetun 1 kohdan sisältö vastaa pääosin voimassa olevaa artiklaa, jossa määrätään tietoturvallisuuteen liittyvistä turvatoimia koskevista vaatimuksista. Muutetun kohdan mukaan vaatimukset koskevat rekisterinpitäjän lisäksi tapauksen mukaan myös henkilötietojen käsittelijää. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 32 artiklaan ja rikosasioiden tietosuojalain 31 §:ään.

Artiklaan lisätään uusi 2 kohta, jonka mukaan osapuolet varmistavat, että rekisterinpitäjä ilmoittaa viipymättä ainakin yleissopimuksen 15 artiklassa tarkoitetulle toimivaltaiselle valvontaviranomaiselle sellaisista tietoturvaloukkauksista, jotka voivat vakavasti loukata rekisteröityjen oikeuksia ja perusvapauksia. Vastaava vaatimus sisältyy tietosuoja-asetuksen 33 artiklaan ja rikosasioiden tietosuojalain 34 §:ään.

10 artikla. Yleissopimukseen lisätään uusi 8 artikla, joka koskee tietojen käsittelyn läpinäkyvyyttä. Artikla sisältää rekisteröityjen informointiin liittyvät velvoitteet. Artiklan 1 kohta sisältää pääsäännön, jonka mukaan sopimusosapuolten tulee varmistaa, että rekisterinpitäjillä on velvollisuus ilmoittaa rekisteröidyille kyseisessä kohdassa luetellut tiedot sekä tarvittavat lisätiedot oikeudenmukaisen ja läpinäkyvän käsittelyn varmistamiseksi. Vaatimusta ei sovelleta, jos rekisteröidyllä on jo kyseiset tiedot (2 kohta). Artiklan 3 kohta sallii rekisterinpitäjän vaatimukseen poikkeuksen silloin, kun henkilötietoja ei kerätä suoraan rekisteröidyiltä, jos tietojen käsittelystä säädetään nimenomaisesti lailla tai ilmoittaminen osoittautuu mahdottomaksi tai edellyttää kohtuutonta vaivaa. Artiklaa vastaava sääntely sisältyy suureksi osaksi tietosuoja-asetuksen 12-14 artiklaan ja rikosasioiden tietosuojalain 22 §:ään, mutta erityisesti tietosuoja-asetuksen sääntely on yksityiskohtaisempaa ja sisältää rakenteellisia eroja verrattuna yleissopimuksen artiklaan. Yleissopimuksen 11 artiklan 1 kohta sallii poikkeuksen 8 artiklan 1 kohdasta rekisterinpitäjän hallinnollisen taakan keventämiseksi, edellyttäen, että poikkeuksella ei puututa rekisteröidyn perustavaa laatua olevaan oikeuteen saada pääsy itseään koskeviin tietoihin ja poikkeuksesta säädetään laissa, siinä huomioidaan oleellisin osin perusoikeuksien suoja ja se on välttämätön ja oikeasuhteinen.

11 artikla. Nykyinen 8 artikla numeroidaan uudelleen 9 artiklaksi ja sen otsikoksi muutetaan ”Rekisteröidyn oikeudet”. Artiklan sisältö korvataan uudella tekstillä.

Artiklan 1 kohdan a alakohta korvataan uudella alakohdalla, jonka mukaan jokaisella yksilöllä on oikeus joutumatta sellaisen päätöksen kohteeksi, joka vaikuttaa häneen merkittävästi ja joka perustuu yksinomaan automaattiseen tietojenkäsittelyyn hänen näkemyksiään huomioon ottamatta. Artiklan 2 kohdan mukaan 1 kohdan a alakohtaa ei sovelleta, jos päätös on rekisterinpitäjään sovellettavan lainsäädännön mukaan sallittu ja jos tässä lainsäädännössä myös säädetään sopivista toimista rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen turvaamiseksi. Uutta artiklaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 22 artiklaan ja rikosasioiden tietosuojalain 13 §:ään. Tietosuoja-asetuksen 22 artikla kuitenkin mahdollistaa poikkeamisen myös muilla perusteilla, joita ovat välttämättömyys rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemiseksi ja rekisteröidyn nimenomainen suostumus. Rikosasioiden tietosuojalain 13 §:ään sisältyy mahdollisuus poiketa kiellosta lailla säätämällä.

Artiklan 1 kohdan b alakohdassa määrätään yksilön oikeudesta saada pyynnöstä kohtuullisin väliajoin ja ilman kohtuuttomia viivästyksiä ja kuluja vahvistus henkilötietojensa käsittelystä, ilmoitus käsitellyistä henkilötiedoista ymmärrettävässä muodossa, kaikki käytettävissä olevat tiedot kyseisten henkilötietojen sisällöstä, alkuperästä ja säilytysajasta sekä muut tiedot, jotka rekisterinpitäjän on annettava varmistaakseen tietojen käsittelyn läpinäkyvyyden 8 artiklan 1 kohdan mukaisesti. Uuden alakohdan sisältämät määräykset vastaavat pääsääntöjen osalta voimassa olevaa b alakohtaa, mutta ne ovat yksityiskohtaisemmat.

Uuden 1 kohdan c alakohdan mukaan yksilöllä on oikeus saada pyynnöstä tietää henkilötietojen käsittelyn perusteet, jos käsittelyn tuloksia sovelletaan häneen. Vastaava vaatimus sisältyy tietosuoja-asetuksen 13–15 artiklaan ja rikosasioiden tietosuojalain 22 ja 23 §:ään.

Uuden 1 kohdan d alakohdan mukaan yksilöllä on oikeus vastustaa henkilökohtaiseen tilanteeseensa liittyvillä perusteilla milloin tahansa henkilötietojensa käsittelyä, jollei rekisterinpitäjä osoita henkilötietojen käsittelylle oikeutettuja perusteita, jotka syrjäyttävät kyseisen yksilön edun tai oikeudet ja perusvapaudet. Tietosuoja-asetuksen 21 artiklaan sisältyy vastaava säännös, jonka nojalla rekisteröidyllä on pääsääntöisesti oikeus erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa käsittelyä, joka perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan e tai f alakohtaan. Yleissopimuksen mukaisen poikkeuksen lisäksi tietosuoja-asetuksen nojalla oikeudesta voi poiketa myös silloin, kun käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Vastustamisoikeutta ei tietosuoja-asetuksen mukaisesti kuitenkaan ole esimerkiksi silloin, käsittely on 6 artiklan 1 kohdan c alakohdan tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Toisaalta tietosuoja-asetuksen 22 artiklan nojalla rekisteröidyllä on aina oikeus vastustaa käsittelyä suoramarkkinointia ja siihen liittyvää profilointia varten.

Soveltamisalansa vuoksi rikosasioiden tietosuojalakiin ei sisälly oikeutta vastustaa henkilötietojen käsittelyä. Yleissopimuksen 11 artiklan 1 kohdan a alakohdan nojalla rekisteröidyn vastustamisoikeudesta voidaan poiketa muun muassa silloin, kun oikeutta on tarpeen rajoittaa kansalliseen turvallisuuteen, puolustukseen, yleiseen turvallisuuteen tai rikoksen ennalta estämiseen tai selvittämiseen taikka syytetoimiin ja rangaistusten täytäntöönpanoon liittyvistä syistä edellyttäen, että poikkeuksesta säädetään lailla, siinä kunnioitetaan perusoikeuksia ja vapauksia olennaisilta osin, ja poikkeus on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimi. Rikosasioiden tietosuojalain nojalla rekisteröidyllä on kuitenkin käytettävissään muita oikeuksia, mukaan lukien oikeus virheellisten henkilötietojen oikaisemiseen tai lainvastaisesti käsiteltyjen henkilötietojen poistamiseen, sekä lain 9 luvussa säädetyt oikeusturvakeinot. Vastustamisoikeuden puuttumista rikosasioiden tietosuojalaissa voidaan pitää yleissopimuksen 11 artiklan 1 kohdan a alakohdan mukaisena poikkeuksena.

Voimassa olevan artiklan c ja d alakohta korvataan uusilla e ja f alakohdalla, jotka pääsäännön osalta vastaavat voimassa olevia kohtia. Uuden 1 kohdan e alakohdan mukaan yksilöllä on oikeus saada pyynnöstä maksutta ja ilman kohtuutonta viivästystä henkilötietonsa tapauksen mukaan oikaistuiksi tai poistetuiksi, jos niitä käsitellään tai on käsitelty yleissopimuksen määräysten vastaisesti. Vastaava vaatimus tietojen oikaisusta tai poistamisesta sisältyy tietosuoja-asetuksen 16 ja 17 artiklaan ja rikosasioiden tietosuojalain 25 §:ään. Tietosuoja-asetuksen 12 artiklan 5 kohdassa säädetään muun muassa 16 ja 17 artiklan mukaisten toimenpiteiden maksuttomuudesta. Myös rikosasioiden tietosuojalain 30 §:n 2 momentissa säädetään rekisteröidyn pyyntöjen käsittelyn maksuttomuudesta, joka ei rajoitu pelkästään henkilötietojen oikaisua ja poistamista koskeviin pyyntöihin. Sekä tietosuoja-asetuksen että rikosasioiden tietosuojalain nojalla voidaan periä maksu, jos pyynnöt ovat toistuvia tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia. Yleissopimuksen 11 artiklan 1 kohta sallii oikeasuhteisen poikkeuksen maksuttomuutta koskevaan vaatimukseen.

Uuden 1 kohdan f alakohdan mukaan jokaisella yksilöllä on oikeus käyttää 12 artiklassa tarkoitettua oikeussuojakeinoa, jos hänen yleissopimuksella määrättyjä oikeuksiaan on loukattu. Tietosuoja-asetuksen VIII luvussa säädetään oikeudenloukkauksiin sovellettavista oikeussuojakeinoista, joita täydentävät tietosuojalain 4 luvussa säädetyt oikeusturvaa ja seuraamuksia koskevat säännökset. Rikosasioiden tietosuojalain 9 luvussa säädetään oikeusturvasta ja 60 §:ssä vahingonkorvauksesta.

Artiklan 1 kohdan g alakohdan mukaan jokaisella yksilöllä on oikeus saada kansalaisuudestaan ja asuinpaikastaan riippumatta 15 artiklassa tarkoitetulta valvontaviranomaiselta apua yleissopimuksen mukaisten oikeuksiensa käyttämisessä. Tietosuoja-asetuksen 57 artiklan 1 kohdan e alakohdan mukaan kansallisella valvontaviranomaisella on velvollisuus pyynnöstä antaa rekisteröidyille tietoa heille kuuluvien oikeuksien käytöstä. Vastaava säännös sisältyy rikosasioiden tietosuojalain 46 §:n 1 momentin 3 kohtaan. Tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan ja rikosasioiden tietosuojalain 51 §:n 5 kohdan nojalla tietosuojavaltuutettu voi määrätä rekisterinpitäjän tai henkilötietojen käsittelijän noudattamaan rekisteröidyn pyyntöjä, jotka koskevat tämän oikeuksien käyttöä. Jos rekisteröidyn tietosuoja-asetuksen 15 artiklan mukaista oikeutta tutustua hänestä kerättyihin tietoihin on rajoitettu tietosuojalain 34 §:n nojalla, tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä pykälän 4 momentin mukaisesti. Rikosasioiden tietosuojalain 29 §:ssä säädetään oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä. Tietosuojavaltuutetun toimivaltuuksia ei ole sidottu rekisteröidyn asuinpaikkaan. Euroopan unionin perusoikeuskirjan 21 artiklan 2 kohta ja perustuslain 6 §:n 2 momentti kieltävät kansalaisuuteen perustuvan syrjinnän.

12 artikla. Yleissopimukseen lisätään uusi 10 artikla, joka koskee osapuolten muita velvoitteita.

Artiklan 1 kohta koskee rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuutta toteuttaa kaikki asianmukaiset toimet noudattaakseen yleissopimuksen velvoitteita ja pystyäkseen osoittamaan, että velvoitteita on noudatettu. Kohdan määräykset vastaavat tietosuoja-asetuksen 24 artiklan 1 ja 2 kohtaa ja 28 artiklan 1 kohtaa sekä rikosasioiden tietosuojalain 14 §:ää ja 17 §:n 1 momenttia.

Artiklan 2 kohdassa asetetaan osapuolille velvollisuus varmistaa, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät selvittävät aiotun henkilötietojen käsittelyn todennäköisen vaikutuksen rekisteröityjen oikeuksiin ja perusvapauksiin ennen kuin käsittely aloitetaan, ja suunnittelevat henkilötietojen käsittelyn siten, että näiden oikeuksien ja perusvapauksien loukkaamisen riski estetään tai minimoidaan. Vaikutustenarviointia koskevat vaatimukset sisältyvät tietosuoja-asetuksen 35 artiklaan ja rikosasioiden tietosuojalain 20 §:ään.

Artiklan 3 kohdan mukaan osapuolet varmistavat, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät toteuttavat tekniset ja organisatoriset toimet, joissa otetaan huomioon se, miten oikeus henkilötietojen suojaan vaikuttaa kaikissa tietojen käsittelyn vaiheissa. Pöytäkirjan perustelujen mukaan sisäänrakennetun tietosuojan periaate olisi otettava huomioon mahdollisimman varhaisessa henkilötietojen käsittelyn vaiheessa eli mahdollisuuksien mukaan jo suunniteltaessa käsittelyn teknisiä ja organisatorisia ratkaisuja. Henkilötietojen käsittelyn suunnittelussa pitäisi pyrkiä helppokäyttöisiin ratkaisuihin, jotka edistävät lainsäädännön noudattamista. Säännökset sisäänrakennetusta ja oletusarvoisesta tietosuojasta sisältyvät tietosuoja-asetuksen 25 artiklaan ja rikosasioiden tietosuojalain 15 §:ään.

Artiklan 4 kohdan mukaan osapuolet voivat lainsäädännössään mukauttaa 1–3 kohdan määräyksiä vastaamaan käsiteltävien tietojen luonnetta ja määrää ja tietojen käsittelyn luonnetta, laajuutta ja tarkoitusta sekä tapauksen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän kokoa. Tietosuoja-asetuksen 25 artiklan 1 kohta ja rikosasioiden tietosuojalain 15 §:n 1 momentti sisältävät rekisterinpitäjälle asetetun velvollisuuden huomioida käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä riskit rekisteröidyn oikeuksille suojatoimenpiteitä toteuttaessaan, mutta ne eivät sisällä joustoa rekisterinpitäjän tai henkilötietojen käsittelyn osalta.

13 artikla. Yleissopimuksen 9–12 artikla numeroidaan uudelleen 11–14 artiklaksi.

14 artikla. Artiklan mukaan yleissopimuksen uudelleen numeroidun 11 artiklan määräykset korvataan uusilla. Artikla koskee sallittuja poikkeuksia yleissopimuksen soveltamisalaan.

Artiklan 1 kohdan mukaan poikkeukset ovat sallittuja yleissopimuksen 5 artiklan 4 kohtaan (henkilötietojen käsittelyn läpinäkyvyys ja periaatteet), 7 artiklan 2 kohtaan (tietoturvaloukkauksista ilmoittaminen valvontaviranomaiselle), 8 artiklan 1 kohtaan (rekisteröidyn informointivelvollisuus) ja 9 artiklaan (rekisteröidyn oikeudet), kun on kyse kansallisen turvallisuuden, puolustuksen, yleisen turvallisuuden, merkittävien valtion taloudellisten intressien, tuomioistuinten riippumattomuuden ja puolueettomuuden tai rikoksen ennalta estämisen tai selvittämisen, syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon taikka muiden yleisen edun mukaisten oleellisten tavoitteiden turvaamisesta (a alakohta). Poikkeukset ovat sallittuja myös silloin, kun on kyse rekisteröidyn tai muiden perusoikeuksien suojaamisesta, erityisesti sananvapauden suojaamisesta (b alakohta). Poikkeuksen muodostavilta toimenpiteiltä edellytetään, että niistä säädetään laissa ja että ne ovat demokraattisessa yhteiskunnassa välttämättömiä ja oikeasuhteisia. Välttämättömyydellä tarkoitetaan, että poikkeuksella on oikeutettu päämäärä, jota ei voida saavuttaa keinoilla, jotka puuttuvat yksityiselämän suojaan vähemmän. Muutetun yleissopimuksen 11 artiklan mukaisten poikkeusten välttämättömyyttä olisi arvioitava tapauskohtaisesti ja yleiseen etuun liittyvien oleellisten tavoitteiden mukaisesti. (Perusteluosan 91 ja 93 kohta)

Kansallisen turvallisuuden käsitettä olisi tulkittava asiaan liittyvän Euroopan ihmisoikeustuomioistuimen oikeuskäytännön mukaisesti (perusteluosan 94 kohta). Asian kannalta merkityksellinen oikeuskäytäntö liittyy erityisesti valtion turvallisuuden ja demokratian suojaamiseen vakoilulta, terrorismilta sekä terrorismin ja separatismin tukemiselta. Kun kyse on kansalliseen turvallisuuteen liittyvistä poikkeuksista, vallan väärinkäyttöä vastaan on varmistettava suojatoimet.

Euroopan unionin tietosuojalainsäädäntöä ei sovelleta kansalliseen turvallisuuteen ja puolustukseen liittyvään henkilötietojen käsittelyyn. Euroopan neuvoston tietosuojayleissopimuksen soveltamisala on laajempi ja kattaa myös tällaisen henkilötietojen käsittelyn. Myös mahdollisten poikkeusten olisi pysyttävä yleissopimuksen sallimissa rajoissa.

Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa ei poiketa henkilötietojen käsittelyä koskevista periaatteista. Henkilötietojen alkuperäisen käyttötarkoituksen kanssa yhteensopivasta henkilötietojen käsittelystä säädetään tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa ja 6 artiklan 4 kohdassa sekä rikosasioiden tietosuojalain 5 §:ssä. Poikkeuksista alkuperäiseen käyttötarkoitukseen säädetään tarkemmin erityislainsäädännössä. Tietoturvaloukkauksista ilmoittamista valvontaviranomaiselle koskeva ehdoton velvollisuus on rajattu tietosuoja-asetuksen 33 artiklassa ja rikosasioiden tietosuojalain 34 §:ssä koskemaan yleissopimuksen 7 artiklan 2 kohdan tavoin tilanteita, joista aiheutuisi vaaraa rekisteröidyn oikeuksille. Tietosuoja-asetuksen 23 artiklaan sisältyvät perusteet, joilla rekisteröidyn oikeuksia voidaan rajoittaa lainsäädäntötoimenpiteellä. Rajoitusperusteet vastaavat pitkälti yleissopimuksen mukaisia poikkeusperusteita. Lisäksi tietosuoja-asetuksen 23 artiklassa säädetään lainsäädäntötoimenpiteitä koskevista edellytyksistä. Tietosuojalain 33 §:ssä säädetään poikkeuksista tietosuoja-asetuksen 13 ja 14 artiklan mukaiseen velvollisuuteen toimittaa tietoja rekisteröidylle. Tietosuojalain 34 §:ssä säädetään rajoituksista tietosuoja-asetuksen 15 artiklan mukaiseen rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Rikosasioiden tietosuojalain 24 §:ssä säädetään rekisteröidyn tarkastusoikeuden rajoituksista, minkä lisäksi 28 §:ssä säädetään yleisemmin perusteista, joilla rekisteröidyn oikeuksia voidaan rajoittaa. Erityislainsäädäntöön sisältyy myös rajoituksia ja poikkeuksia rekisteröidyn oikeuksiin.

Yleissopimuksen uudelleen numeroidun 11 artiklan 2 kohta mahdollistaa soveltamisen rajoitukset yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten, jollei ole tunnistettavissa rekisteröidyn oikeuksien ja perusvapauksien loukkaamisen riskiä. Tällaisiin tarkoituksiin suoritettavaa henkilötietojen käsittelyä pidetään tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisesti alkuperäisen henkilötietojen käsittelyn kanssa yhteensopivana käsittelynä. Tietosuoja-asetuksen 89 artiklassa säädetään tällaista käsittelyä koskevista suojatoimista sekä sallituista poikkeuksista, joista voidaan säätää kansallisessa laissa. Poikkeuksista ja suojatoimista säädetään tarkemmin tietosuojalain 31 ja 32 §:ssä. Rikosasioiden tietosuojalain 5 §:n 3 momentissa sallitaan lain soveltamisalalla yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten suoritettava henkilötietojen käsittely edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu.

Artiklan 3 kohdan mukaan, kun kyse on kansallisen turvallisuuden ja puolustuksen tarkoituksiin liittyvästä henkilötietojen käsittelystä, yleissopimuksen osapuolet voivat säätää lailla poikkeuksia myös 4 artiklan 3 kohdasta (velvollisuus sallia sopimusta koskevien lainsäädäntötoimien tehokkuuden arviointi ja velvollisuus myötävaikuttaa aktiivisesti arviointiin), 14 artiklan 5 ja 6 kohdasta (valvontaviranomaisen tiedonsaantioikeus rajat ylittävistä henkilötietojen siirroista) sekä 15 artiklan 2 kohdan a, b, c ja d alakohdasta (eräät valvontaviranomaisen toimivaltuudet). Poikkeus on sallittu kuitenkin ainoastaan siltä osin kuin tämä on välttämätön ja oikeasuhteinen toimi tämän päämäärän saavuttamiseksi demokraattisessa yhteiskunnassa. Kunkin osapuolen on joka tapauksessa varmistettava, että kansalliseen turvallisuuteen ja puolustustarkoituksiin liittyvää tietojenkäsittelytoimintaa arvioidaan ja valvotaan riippumattomasti ja tehokkaasti osapuolen kansallisen lainsäädännön mukaisesti. Rikosasioiden tietosuojalain 45 §:n mukaisesti tietosuojavaltuutettu valvoo kaikkea henkilötietojen käsittelyä kansallisen turvallisuuden ylläpitämisen yhteydessä.

Tietosuoja-asetuksessa, tietosuojalaissa ja rikosasioiden tietosuojalaissa ei ole säädetty kansallisen valvontaviranomaisen tiedonsaantioikeuksia ja toimivaltuuksia koskevista rajoituksista, joita tarkoitetaan 14 artiklan 5 ja 6 kohdassa. Yleissopimuksen 15 artiklan 2 kohdan c alakohdan mukaista valvontaviranomaisen toimivaltuutta määrätä hallinnollisia seuraamuksia on eräiltä osin rajoitettu tietosuojalaissa. Rajoitus on sallittu kyseiseen alakohtaan ja muutettu yleissopimus myös sallii vaihtoehtoisesti muunlaisen seuraamusjärjestelmän. Näiden rajoitusten suhdetta yleissopimuksen määräyksiin selostetaan jäljempänä pöytäkirjan 15 artiklan yhteydessä.

15 artikla. Yleissopimuksen 10 artiklaa (uusi 12 artikla) täsmennetään siten, että osapuolten velvollisuus ottaa käyttöön asianmukaiset seuraamukset ja oikeussuojakeinot koskee sekä lainkäyttöelimissä että muissa elimissä määrättäviä seuraamuksia ja niissä käytettäviä oikeussuojakeinoja. Uuden 12 artiklan perustelujen mukaan osapuoli voi itse määritellä sovellettavien seuraamusten luonteen. Seuraamukset voivat olla yksityisoikeudellisia, hallinnollisia tai rikosoikeudellisia. Seuraamusten olisi kuitenkin oltava tehokkaita, oikeasuhteisia ja ennalta estäviä. Osapuoli voi myös määritellä sovellettavat oikeussuojakeinot edellyttäen, että rekisteröidyllä on tosiasiallinen mahdollisuus käyttää oikeussuojakeinoja päätöksen tai käytännön riitauttamiseksi.

Yleisen tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisesta sakosta (jäljempänä hallinnollinen seuraamusmaksu), jota sovelletaan yleisen tietosuoja-asetuksen ja tietosuojalain soveltamisalalla. Hallinnollista seuraamusmaksua ei kuitenkaan tietosuojalain 24 §:n 4 momentin mukaan voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Hallinnollista seuraamusmaksua ei myöskään voida määrätä rikosasioiden tietosuojalain soveltamisalalla, joka koskee pelkästään viranomaisten toimintaa. Näissä tilanteissa, joissa seuraamusmaksua ei voida määrätä, sovellettavaksi tulevat rikoslain, virkamieslain ja vahingonkorvauslain mukaiset seuraamukset ja oikeussuojakeinot. Tietosuojavaltuutetulla on lisäksi tietosuojalain 22 §:n ja rikosasioiden tietosuojalain 52 §:n nojalla oikeus asettaa uhkasakko kyseisissä säännöksissä tarkoitettujen määräystensä tehosteeksi. Tietosuojalain 21 §:ssä säädetään oikeudesta saattaa henkilötietojen käsittelyä koskevan lainsäädännön rikkomista koskeva asia tietosuojavaltuutetun käsiteltäväksi ja 25 §:ssä säädetään oikeudesta hakea muutosta tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen. Vastaavat säännökset sisältyvät rikosasioiden tietosuojalain 56 §:ään ja 59 §:ään. Tietosuojalain ja rikosasioiden tietosuojalain sääntely vastaa muutetun 12 artiklan vaatimuksia.

16 artikla. Yleissopimuksen III luvun otsikoksi muutetaan ”Rajat ylittävät henkilötietojen siirrot”.

17 artikla. Yleissopimuksen 12 artiklan (uusi 14 artikla) otsikoksi muutetaan ”Rajat ylittävät henkilötietojen siirrot”. Artiklan teksti korvataan uudella tekstillä.

Uudelleen numeroidun 14 artiklan 1 kohdan mukaan osapuoli ei saa yksinomaan henkilötietoja suojatakseen kieltää tällaisten tietojen siirtämistä vastaanottajalle, joka kuuluu yleissopimuksen toisen osapuolen lainkäyttövaltaan, tai edellyttää erillistä lupaa tällaiseen siirtoon. Tämä sopimusmääräys vastaa voimassa olevaa yleissopimuksen 12 artiklan 2 kohtaa. Muutoksena aiempaan verrattuna osapuoli voi kuitenkin toimia siten, jos on olemassa tosiasiallinen ja vakava riski, että siirto toisen osapuolen alueelle tai kyseisen toisen osapuolen alueelta muu kuin jonkin osapuolen alueelle johtaisi yleissopimuksen määräysten kiertämiseen. Osapuoli voi toimia siten myös, jos sitä sitovat alueelliseen kansainväliseen järjestöön kuuluvien valtioiden yhteiset, yhdenmukaistetut tietosuojaa koskevat säännöt. Artiklan 1 kohta siten sallii EU:n jäsenvaltioiden soveltavan yleissopimuksen vaatimusten sijasta EU-oikeuden ja sen täytäntöönpanolainsäädännön säännöksiä.

Artiklan 2 kohdan mukaan, jos henkilötietojen vastaanottaja kuuluu sellaisen valtion tai kansainvälisen järjestön lainkäyttövaltaan, joka ei ole yleissopimuksen osapuoli, henkilötietoja saisi siirtää vain, jos varmistetaan yleissopimuksen määräyksiin perustuva asianmukainen tietosuojan taso. Kohta vastaa voimassa olevaa lisäpöytäkirjan 2 artiklan 1 kohtaa. Artiklan 3 kohdan mukaisesti asianmukainen tietosuojan taso voisi perustua kansalliseen tai kansainväliseen lainsäädäntöön, mukaan lukien sovellettavat kansainväliset sopimukset (a alakohta), taikka erityistilannetta koskeviin tai hyväksyttyihin vakiomuotoisiin suojatoimiin, joista määrätään oikeudellisesti sitovassa ja täytäntöönpanokelpoisessa asiakirjassa, jonka henkilötietojen siirtoon ja jatkokäsittelyyn osallistuvat henkilöt hyväksyvät ja panevat täytäntöön (b alakohta). Kohta on uusi verrattuna lisäpöytäkirjaan. Kohtaa vastaavat säännökset sisältyvät tietosuoja-asetuksen 44–47 artiklaan ja rikosasioiden tietosuojalain 41–42 §:ään.

Artiklan 4 kohdan mukaisesti osapuoli voi kuitenkin tietosuojan tasoa koskevien määräysten estämättä säätää, että henkilötietoja saa siirtää rekisteröidyn suostumuksella, rekisteröidyn erityisten etujen sitä edellyttäessä yksittäistapauksessa, laissa säädetyn oikeutetun edun tai merkittävän yleisen edun perusteella tai sananvapauden turvaamiseksi. Kohta vastaa osittain voimassa olevaa lisäpöytäkirjan 2 artiklan 2 kohtaa, mutta sopimuslausekkeet (contractual clauses) on poistettu poikkeusperusteena. Lisäksi oikeutettua etua tai merkittävää yleistä etua koskevaa perustetta on tiukennettu. Tältä osin edellytetään edelleen nimenomaisesti laissa säätämistä, mutta sen lisäksi lain säännösten osalta olisi varmistettava välttämättömyys ja oikeasuhteisuus. Tietosuoja-asetuksen 49 artiklaan ja rikosasioiden tietosuojalain 43 §:ään sisältyy sääntelyä yksityiseen tai yleiseen etuun perustuvista tietojen siirroista. Rikosasioiden tietosuojalain pykälä ei koske kansallisen turvallisuuden ylläpitämiseen liittyvää henkilötietojen käsittelyä.

Artiklan 2 ja 3 kohta eivät salli poikkeuksia, vaan niiden vaatimuksia olisi sovellettava kaikkeen henkilötietojen käsittelyyn. EU:n tietosuojalainsäädäntöä ei sovelleta sellaisenaan muun muassa henkilötietojen käsittelyyn, joka liittyy EU-oikeuden ulkopuolelle jäävään toimintaan. Tällaista henkilötietojen käsittelyä on erityisesti kansalliseen turvallisuuteen ja puolustukseen liittyvä henkilötietojen käsittely, joka on Suomessa saatettu suureksi osaksi rikosasioiden tietosuojalain soveltamisalaan, mutta lain 7 luku henkilötietojen siirroista kolmansiin maihin ja kansainvälisille järjestöille ei koske tällaista henkilötietojen käsittelyä. Poliisin henkilötietolain 51 §:n 4 momentissa säädetään velvollisuudesta ottaa huomioon muun muassa Suomea sitovat kansainväliset sopimukset ja henkilötietoja vastaan ottavan valtion tietosuojan taso. Vastaavasti tietosuojan tason huomioimista koskeva vaatimus sisältyy puolustusvoimien henkilötietolain 31 §:n 2 momenttiin ja 32 §:n 1 momenttiin. Viimeksi mainittu momentti edellyttää myös kansainvälisten sopimusten huomioon ottamista. Lisäksi artiklan 2 kohdan mukainen pääsääntö koskee jo tällä hetkellä näitä viranomaisia lisäpöytäkirjan voimaansaattamislain kautta. Muutospöytäkirjan voimaansaattamislaki saattaisi voimaan lisäksi artiklan 3 kohdan määräykset siitä, mihin tietosuojan tason riittävyyttä koskeva arviointi voi perustua. Artiklan 4 kohdan täytäntöönpano edellyttäisi aineellisia säännöksiä, mutta kyseessä on yleissopimuksen osapuolille annettu mahdollisuus eikä kohtaa ole välttämätöntä panna täytäntöön voimassa olevia rikosasioiden tietosuojalain säännöksiä laajemmin. Kohtien suhdetta rikosasioiden tietosuojalakiin arvioidaan tarkemmin 3. lakiehdotuksen yksityiskohtaisissa perusteluissa.

Artiklan 5 kohdan mukaan osapuolten tulee säätää velvollisuudesta ilmoittaa toimivaltaiselle valvontaviranomaiselle erityistilannetta koskeviin tai hyväksyttyihin vakiomuotoisiin suojatoimiin perustuvista siirroista sekä pyynnöstä erityiseen etuun, oikeutettuun etuun tai merkittävään yleiseen etuun perustuvista siirroista. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 30 artiklaan ja rikosasioiden tietosuojalain 42–44 §:ään. Kohta mahdollistaisi poikkeamisen muun muassa kansalliseen turvallisuuteen ja puolustukseen liittyvän henkilötietojen käsittelyn osalta, mutta kyseessä olevat henkilötietojen siirtojen perusteet eivät koske voimassa olevan lainsäädännön mukaan kansallisen turvallisuuden ylläpitämiseen liittyvää henkilötietojen käsittelyä. Poliisin henkilötietolain 51 §:n ja puolustusvoimien henkilötietolain 31 ja 32 §:n mukaiset henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille on kuitenkin ilmoitettava valvontaviranomaiselle rikosasioiden tietosuojalain 18 §:n ja 47 §:n edellyttämässä laajuudessa.

Artiklan 6 kohdan mukaan osapuolten tulee säätää valvontaviranomaiselle oikeus pyytää tiedot siirtävää henkilöä osoittamaan suojatoimien tehokkuus tai pakottavien oikeutettujen etujen olemassaolo ja että valvontaviranomainen voi kieltää siirrot, keskeyttää ne tai määrätä niille ehtoja. Pääperiaatteiltaan vastaava sääntely sisältyy tietosuoja-asetuksen 44–49 ja 58 artiklaan ja rikosasioiden tietosuojalain 41–44 ja 51 §:ään. Kohta mahdollistaisi poikkeamisen muun muassa kansalliseen turvallisuuteen ja puolustukseen liittyvän henkilötietojen käsittelyn osalta, mutta tietosuoja-asetuksen 58 artiklan ja rikosasioiden tietosuojalain 51 §:n mukaiset valvontaviranomaisen toimivaltuudet koskevat kaikkea henkilötietojen käsittelyä poikkeuksetta.

Muutospöytäkirjan artiklan 3 kohdan mukaan artiklaan sisältyvät määräykset, jotka tällä hetkellä sisältyvät lisäpöytäkirjan 2 artiklaan. Muutospöytäkirjan 37 artiklan 4 kohdan mukaisesti lisäpöytäkirja kumotaan muutospöytäkirjan voimaantulopäivästä lukien.

18 artikla. Yleissopimuksen III luvun jälkeen lisätään uusi IV luku, jonka otsikko on ”Valvontaviranomaiset”.

19 artikla. Uuteen 15 artiklaan sisällytetään määräykset, jotka sisältyvät voimassa olevan lisäpöytäkirjan 1 artiklaan.

Valvontaviranomaisia koskevia määräyksiä laajennetaan. Yleissopimuksen 15 artiklan 1 kohdan mukaan osapuolet varmistavat, että yhden tai useamman viranomaisen tehtävänä on valvoa yleissopimuksen määräysten noudattamista. Tietosuojalain 8 §:n ja rikosasioiden tietosuojalain 45 §:n mukaisesti näiden säädösten ja tietosuoja-asetuksen noudattamista valvovana viranomaisena toimii tietosuojavaltuutettu. Tietosuojalaki ja rikosasioiden tietosuojalaki eivät sisällä viittausta tietosuojayleissopimukseen. Myöskään kumottu laki tietosuojalautakunnasta ja tietosuojavaltuutetusta (389/1994) ei sisältänyt nimenomaista viittausta. Käytännössä tietosuojavaltuutettu on kuitenkin hoitanut yleissopimuksen mukaista valvontatehtävää kumotun henkilötietolain 38 §:n nojalla, joka sisälsi yleisluontoisen viittauksen myös muun lainsäädännön nojalla tapahtuvaan henkilötietojen käsittelyyn. Tietosuojavaltuutettu valvoo suoraan tietosuoja-asetuksen, tietosuojalain ja rikosasioiden tietosuojalain nojalla henkilötietojen siirtoja EU:n ulkopuolisiin maihin, joita ovat muun muassa muut tietosuojayleissopimuksen osapuolet, vaikka sille ei ole nimenomaisesti säädetty vastaavaa tehtävää yleissopimuksen osalta. Tietosuojavaltuutettu olisi selkeyden vuoksi erikseen nimettävä myös yleissopimuksessa tarkoitetuksi valvontaviranomaiseksi.

Artiklan 2 kohdan mukaan viranomaisilla on toimivalta tutkia määräysten noudattamista ja määrätä korjaavia toimenpiteitä (a alakohta), rajat ylittäviin henkilötietoihin siirtoihin liittyvät tehtävät, erityisesti vakiomuotoisten suojatoimien hyväksyminen (b alakohta), ja toimivalta tehdä päätöksiä, jotka koskevat yleissopimuksen määräysten rikkomista (c alakohta). Tähän toimivaltaan voi c alakohdan mukaan sisältyä erityisesti toimivalta määrätä hallinnollisia seuraamuksia. Yleissopimuksen perustelujen mukaan 2 kohdan määräyksiä voidaan soveltaa myös siten, että seuraamuksen määrää toimivaltainen tuomioistuin, jos osapuolen oikeusjärjestelmä ei mahdollista hallinnollisia seuraamuksia (perustelujen 119 kohta). Artiklan 2 kohdan mukaan valvontaviranomaisella on myös toimivalta osallistua oikeudenkäynteihin tai saattaa yleissopimuksen määräysten rikkomiset toimivaltaisten lainkäyttöviranomaisten käsiteltäväksi (d alakohta), sekä tehtävä edistää yleistä tietoisuutta valvontaviranomaisen tehtävistä, toimivallasta ja toiminnasta, rekisteröityjen oikeuksista ja rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksista (e alakohta).

Yleissopimus sallii osapuolille liikkumavaraa sen osalta, miten nämä järjestävät valvontaviranomaisen tehtävät ja toimivaltuudet. Valvontaviranomaisen toimivalta määrätä rekisterinpitäjä toteuttamaan korjaavia toimenpiteitä voi esimerkiksi kattaa erilaisia toimenpiteitä kuten virheellisten tai lainvastaisesti käsiteltyjen henkilötietojen oikaiseminen, poistaminen tai hävittäminen. Valvontaviranomainen voi käyttää toimivaltuuksiaan oma-aloitteisesti tai rekisteröidyn pyynnöstä, jos tämä ei itse voi käyttää oikeuksiaan. (Perustelujen 119 ja 121 kohta) Yleissopimuksen 2 kohdassa tarkoitettuja tehtäviä ja toimivaltuuksia vastaavat säännökset sisältyvät tietosuoja-asetuksen 57 ja 58 artiklaan, tietosuojalain 15, 18, 22 ja 24 §:ään ja rikosasioiden tietosuojalain 46-48 §:ään sekä 51 ja 52 §:ään.

Artiklan 3 kohdan mukaan toimivaltaisia valvontaviranomaisia on kuultava ehdotuksista lainsäädäntö- ja hallintotoimiksi, jotka mahdollistavat henkilötietojen käsittelyä. Vastaavat säännökset sisältyvät tietosuoja-asetuksen 52 artiklan 3 kohdan b alakohtaan ja rikosasioiden tietosuojalain 53 §:n 2 momenttiin.

Artiklan 4 kohdan mukaan kukin toimivaltainen valvontaviranomainen käsittelee rekisteröityjen tietosuojaa koskevia pyyntöjä ja valituksia sekä tiedottaa rekisteröidyille käsittelyn etenemisestä. Vastaavat säännökset sisältyvät tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohtaan ja rikosasioiden tietosuojalain 29 §:n 2 momenttiin ja 46 §:n 1 momentin 7 kohtaan.

Artiklan 5 kohdan mukaan valvontaviranomaiset toimivat täysin riippumattomasti ja puolueettomasti hoitaessaan tehtäviään ja käyttäessään toimivaltaansa, eivätkä ne saa pyytää tai ottaa vastaan ohjeita. Vastaavat vaatimukset sisältyvät tietosuoja-asetuksen 52 artiklan 1-3 kohtaan ja tietosuojalain 8 §:n 2 momenttiin.

Artiklan 6 kohdan mukaan osapuolet varmistavat, että valvontaviranomaisille annetaan tarvittavat resurssit tehtäviensä tehokasta hoitamista ja toimivaltuuksiensa tehokasta käyttöä varten. Vastaava vaatimus sisältyy tietosuoja-asetuksen 52 artiklan 4 kohtaan. Tietosuojavaltuutetun toimiston henkilökunnasta säädetään tietosuojalain 9 §:n 1 momentissa ja asiantuntijalautakunnasta 12 §:n 1 momentissa.

Artiklan 7 kohdan mukaan kukin valvontaviranomainen laatii ja julkaisee määräajoin kertomuksen toiminnastaan. Vastaava vaatimus sisältyy tietosuoja-asetuksen 59 artiklaan ja tietosuojalain 14 §:n 4 momenttiin.

Artiklan 8 kohdan mukaan valvontaviranomaisten jäsenten ja henkilöstön on pidettävä salassa sellainen tieto, johon niillä on pääsy tai on ollut pääsy hoitaessaan tehtäviään ja käyttäessään toimivaltuuksiaan. Tietosuojavaltuutetun, apulaistietosuojavaltuutetun ja tietosuojavaltuutetun toimiston henkilökunnan salassapitovelvollisuudesta säädetään valtion virkamieslain (750/1994) 17 §:ssä ja viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 23 §:ssä.

Artiklan 9 kohdan mukaan valvontaviranomaisten päätöksiin on voitava hakea muutosta tuomioistuimissa. Muutoksenhausta säädetään tietosuoja-asetuksen 78 artiklassa ja tietosuojalain 25 §:ssä sekä rikosasioiden tietosuojalain 59 §:ssä.

Artiklan 10 kohdan mukaan valvontaviranomaisilla ei ole toimivaltaa eri elinten lainkäyttötoiminnassa tapahtuvaan tietojen käsittelyyn nähden. Tietosuoja-asetuksen 55 artiklan 3 kohdan mukaan valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä. Rikosasioiden tietosuojalain 45 §:n mukaan lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen.

Voimassa oleva lisäpöytäkirjan 5 kohta poistetaan. Kohta sisältää valvontaviranomaisten yhteistyötä koskevat määräykset, jotka sisällytetään uuteen 17 artiklaan.

20 artikla. Yleissopimuksen IV–VII luku numeroidaan uudelleen V–VIII luvuksi (1 kohta). Yleissopimuksen V luvun otsikko korvataan otsikolla ”Yhteistyö ja keskinäinen avunanto” (2 kohta). Yleissopimukseen lisätään uusi 17 artikla ja 13–27 artikla numeroidaan uudelleen 16–31 artiklaksi (3 kohta).

21 artikla. Yleissopimuksen 13 artiklan (uusi 16 artikla) otsikko korvataan otsikolla ”Valvontaviranomaisten nimeäminen”. Uudelleen numeroidun 16 artiklan 1 kohta vastaa sisällöllisesti voimassa olevaa osapuolten keskinäistä avunantovelvoitetta yleissopimuksen täytäntöönpanossa, mutta siihen lisätään myös nimenomainen yhteistyövelvoite. Artiklan 2 kohtaa vastaavat viranomaisen nimeämistä ja ilmoittamista koskevat osapuolten velvollisuudet sisältyvät voimassa olevaan yleissopimukseen eikä 16 artikla sisällä uusia velvollisuuksia. Tarve nimetä viranomainen kansallisessa lainsäädännössä selostetaan tarkemmin edellä 15 artiklan yhteydessä sekä 1. lakiehdotuksen perusteluissa.

22 artikla. Yleissopimukseen lisätään uusi 17 artikla, joka koskee valvontaviranomaisten yhteistyön muotoja. Artikla korvaa lisäpöytäkirjan 1 artiklan 5 kohdan, mutta uuden artiklan määräykset ovat yksityiskohtaisemmat. Artiklan 1 kohdan mukaan valvontaviranomaiset tekevät keskenään yhteistyötä siltä osin kuin on tarpeen niiden tehtävien hoitamiseksi ja toimivaltuuksien käyttämiseksi erityisesti avustamalla toisiaan vaihtamalla tietoja (a alakohta), sovittamalla yhteen tutkintansa tai toimenpiteensä tai toteuttamalla yhteisiä operaatioita (b alakohta) ja luovuttamalla tietoja ja asiakirjoja tietosuojaa koskevasta lainsäädännöstään ja hallinnollisesta käytännöstään (c alakohta). Luovutettavat tiedot eivät artiklan 2 kohdan mukaan saa sisältää käsiteltävänä olevia henkilötietoja, jos henkilötiedot eivät ole yhteistyön kannalta olennaisia tai jos kyseinen rekisteröity ei ole antanut suostumustaan henkilötietojen luovuttamiseen. Suostumuksen on oltava nimenomainen, yksilöity, vapaa ja tietoon perustuva. Artiklan 3 kohdan mukaan valvontaviranomaiset muodostavat keskenään verkoston artiklan mukaisen yhteistyönsä ja tehtäviensä hoitamista varten.

Artiklan määräykset eivät vaikuta EU:n tietosuojaviranomaisten väliseen yhteistyöhön, joka tapahtuu tietosuoja-asetuksen mukaisesti Euroopan tietosuojaneuvoston puitteissa. Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa tarkoitettu valvontaviranomaisten yhteistyö käsittää vain EU:n jäsenvaltioiden viranomaisten kanssa tehtävän yhteistyön. Tietosuojavaltuutetun toimivaltuudet tietosuojayleissopimuksessa tarkoitetun valvontayhteistyön osalta eivät siten yksiselitteisesti ilmene laista. Valvontaviranomaisten yhteistyötä koskevat yleissopimuksen määräykset olisivat kuitenkin sellaisenaan voimassa 1. lakiehdotuksen 1 §:n nojalla, ja niitä sovellettaisiin yhteistyöhön silloin, kun yhteistyötä tehtäisiin muiden kuin EU:n jäsenvaltioiden viranomaisten kanssa. Tietosuojavaltuutetun oikeuteen luovuttaa salassa pidettävä tieto ulkomaan viranomaiselle sovelletaan, mitä julkisuuslain 30 §:ssä säädetään. Tieto voitaisiin luovuttaa samoin edellytyksin kuin tieto voidaan luovuttaa lain 29 §:n nojalla Suomen viranomaiselle. Lainmuutosten tarvetta arvioidaan tarkemmin jäljempänä 2. ja 3. lakiehdotuksen perusteluissa.

Tietosuojavaltuutetun toimivaltuuksia on rajoitettu valtiopäivätoiminnan lisäksi siltä osin kuin on kyse tuomioistuinten, valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen suorittamasta henkilötietojen käsittelystä. Lisäksi rikosasioiden tietosuojalaissa on rajoitettu tietosuojavaltuutetun ylikansallisia toimivaltuuksia siltä osin kuin on kyse kansallisen turvallisuuden ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Rikosasioiden tietosuojalain 54 §:ää ei sovelleta lain 1 §:n 2 momentissa tarkoitetussa henkilötietojen käsittelyssä. Valvontaa koskevilla rajoituksilla voi olla vaikutusta valvontaviranomaisten yhteistyöhön siltä osin kuin rajoitusten kattamaan henkilötietojen käsittelyyn liittyy rajat ylittäviä henkilötietojen siirtoja. Kansallisen turvallisuuden ylläpitämiseen liittyvät rajoitukset ovat kuitenkin tältä osin yleissopimuksen mukaisia, huomioiden sovellettavat rikosasioiden tietosuojalain 18 §:n ja 47 §:n säännökset.

23 artikla. Yleissopimuksen 14 artiklan (uusi 18 artikla) otsikko korvataan otsikolla ”Rekisteröityjen avustaminen” ja artiklan 1 kohtaa muutetaan siten, että osapuolten on avustettava rekisteröityä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta käyttämään yleissopimuksen mukaisia oikeuksiaan. Vaikka kyseessä on osapuolille asetettu velvoite, käytännössä avustamisesta vastaisivat valvontaviranomaiset. Kumottu henkilötietolaki ei rajannut tietosuojavaltuutetun toimivaltuuksia rekisteröidyn asuinpaikan tai kansallisuuden perusteella, vaan koski sellaista henkilötietojen käsittelyä, jossa rekisterinpitäjän toimipaikka oli Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä. Myöskään tietosuojalaki ei rajaa tietosuojavaltuutetun toimivaltuuksia rekisteröidyn asuinpaikan tai kansallisuuden perusteella. Voimassa oleva tietosuojayleissopimus jo edellyttää ulkomailla asuvien rekisteröityjen avustamista. Näin ollen artiklan 1 kohdan muutokset eivät merkitse sisällöllisiä laajennuksia Suomen lainsäädäntöön. Artiklan muihin kohtiin tehdään muutettuja määritelmiä vastaavat tekniset muutokset, mutta kohdat säilyvät muutoin sisällöllisesti ennallaan. Rekisteröity voisi perustelujen mukaan käyttää oikeuksiaan joko suoraan tai välillisesti valvontaviranomaisen kautta. Ulkomailla olevilla rekisteröidyillä voisi olla myös mahdollisuus käyttää oikeuksiaan diplomaattisen edustuston tai konsulaatin välityksellä. (Perustelujen kohdat 145 ja 146)

24 artikla. Yleissopimuksen 15 artiklan (uusi 19 artikla) otsikko korvataan otsikolla ”Suojatoimet”. Artiklassa rajoitetaan valvontaviranomaisen vastaanottamien tietojen hyödyntäminen koskemaan pyynnössä mainittuja tietoja (1 kohta) sekä valvontaviranomaisen avustamista koskeva pyyntö rekisteröidyn puolesta koskemaan tilanteita, joissa rekisteröity on antanut siihen suostumuksensa (uudelleen numeroitu 2 kohta). Artiklan 1 kohdan ja 3 kohdan (uuden 2 kohdan) sanamuotoa yksinkertaistetaan, mutta ne säilyvät sisällöllisesti ennallaan. Artiklasta poistetaan voimassa oleva 2 kohta, joka koskee valvontaviranomaisen henkilökunnan salassapitovelvollisuutta. Vastaava määräys on sisällytetty 15 artiklan 8 kohtaan.

25 artikla. Yleissopimuksen 16 artiklan (uusi 20 artikla) otsikkoon ja a alakohtaan tehdään teknisiä tarkistuksia. Artiklan b alakohta säilyy ennallaan. Lisäksi c alakohtaan tehdään käsitteellinen täsmennys, jonka mukaan valvontaviranomainen voi kieltäytyä noudattamasta 17 artiklan mukaista yhteistyöpyyntöä, jos se olisi ristiriidassa valvontaviranomaisen nimenneen osapuolen kansallisen turvallisuuden kanssa. Yleissopimuksen voimassa olevassa alakohdassa käytetty käsite on turvallisuus.

26 artikla. Yleissopimuksen 17 artiklan (uusi 21 artikla) otsikkoon sekä 1 ja 3 kohtaan tehdään teknisiä muutoksia. Artikla ei muutu sisällöllisesti, mutta keskinäisen avunannon lisäksi valvontaviranomaisten välinen yhteistyö mainitaan nimenomaisesti sanamuodossa.

27 artikla. Yleissopimuksen V luvun (uusi VI luku) otsikoksi muutetaan ”Yleissopimuksen komitea”.

28 artikla. Yleissopimuksen 18 artiklan (uusi 22 artikla) 1 kohdassa mainittu neuvoa-antava komitea korvataan termillä ”yleissopimuksen komitea”. Vastaava muutos tehdään artiklan 3 kohtaan. Artiklan 3 kohtaa muutetaan lisäksi siten, että yleissopimuksen komitea voi osapuolten edustajien kahden kolmasosan enemmistöllä tehdyllä päätöksellä pyytää tarkkailijaa lähettämään edustajansa komitean kokouksiin. Voimassa olevan kohdan mukaan tarkkailijan pyytäminen edellyttää yksimielistä päätöstä.

Artiklaan lisätään uusi 4 kohta, jonka mukaan osapuoli, joka ei ole Euroopan neuvoston jäsen, osallistuu yleissopimuksen komitean toiminnan rahoittamiseen sellaisten yksityiskohtaisten sääntöjen mukaisesti, jotka ministerikomitea vahvistaa kyseisen osapuolen kanssa sopien.

29 artikla. Yleissopimuksen 19 artiklan (uusi 23 artikla) johdantokappaleessa neuvoa-antava komitea korvataan termillä ”yleissopimuksen komitea”. Artiklan a-d alakohta säilyvät pääosin sisällöllisesti ennallaan. Artiklan a alakohdassa komitean oikeus antaa ehdotuksia korvataan oikeudella antaa suosituksia yleissopimuksen soveltamisen helpottamiseksi. Lisäksi d alakohdan mukaan komitealla on oikeus antaa oma-aloitteisesti lausuntoja yleissopimuksen tulkinnasta tai soveltamisesta. Voimassa olevan alakohdan mukaan lausunnon antaminen tapahtuu osapuolen pyynnöstä, ja koskee vain yleissopimuksen soveltamista. Perustelujen mukaan muutoksella on huomioitu se, että yleissopimus koskee jatkuvasti kehittyvää henkilötietojen käsittelyä, jolloin on mahdollista, että kysymyksiä nousee myös yleissopimuksen merkityksestä sen käytännön soveltamista koskevien kysymysten lisäksi (kohta 157).

Artiklaan lisätään uudet alakohdat (e–i), joilla yleissopimuksen komitealle annetaan uusia tehtäviä. Artiklan uuden e alakohdan mukaan komitea laatii ennen kutakin uutta yleissopimukseen liittymistä ministerikomitealle lausunnon liittyjäehdokkaan henkilötietojen suojan tasosta ja suosittelee tarvittaessa toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi. Voimassa olevan yleissopimuksen osalta on noudatettu käytäntöä, jossa Euroopan neuvoston ministerikomitea päättää Euroopan neuvoston ulkopuolisen valtion kutsumisesta liittymään yleissopimukseen ja hankkii sitä ennen neuvoa-antavan komitean lausunnon. Lausunnon antamista varten jokaiselta komiteassa edustetulta valtiolta on pyydetty erikseen näkemys siitä, onko liittymistä haluava valtio toteuttanut tarvittavat lainsäädäntötoimet yleissopimuksen noudattamiseksi. Käytäntö vastaa muita Euroopan neuvoston yleissopimusten mukaisia menettelyitä, kun yleissopimus mahdollistaa Euroopan neuvoston ulkopuolisen valtion liittymisen, mutta nykyisen komitean rooli ei ole yhtä merkittävä kuin se on tietosuojayleissopimuksen muutosten voimaantulon myötä. Voimassa olevasta käytännöstä poiketen komitealla on uusien toimivaltuuksien myötä avainrooli sen arvioimisessa, täyttääkö liittymistä hakeva valtio riittävän tietosuojan tason.

Artiklan uuden f alakohdan mukaan komitea voi valtion tai kansainvälisen järjestön pyynnöstä arvioida, onko niiden antaman henkilötietojen suojan taso yleissopimuksen määräysten mukainen, ja voi tarvittaessa suositella toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi.

Artiklan uuden g alakohdan mukaan komitea voi kehittää tai hyväksyä 14 artiklassa tarkoitettujen vakiomuotoisten suojatoimien malleja.

Artiklan uuden h alakohdan mukaan komitea arvioi sitä, miten osapuolet ovat panneet yleissopimuksen täytäntöön, ja suosittelee toimia niissä tapauksissa, joissa osapuoli ei noudata yleissopimusta. Menettelyä selostetaan tarkemmin pöytäkirjan 30 artiklan yhteydessä.

Artiklan uuden i alakohdan mukaan komitea helpottaa tarvittaessa kaikkien yleissopimuksen soveltamiseen liittyvien ongelmien ratkaisemista sovintoteitse. Perustelujen mukaan riitatilanteessa yleissopimuksen komitea hakisi ratkaisua neuvottelujen tai muiden sovinnollisten menettelyjen avulla (kohta 165).

30 artikla. Yleissopimuksen 20 artiklan (uusi 24 artikla) teksti korvataan uudella. Artiklan 1 kohtaa muutetaan siten, että yleissopimuksen komitea kokoontuu vähintään kerran vuodessa. Voimassa olevan kohdan mukaan komitea kokoontuu vähintään kerran kahdessa vuodessa. Muutettu kohta ei kuitenkaan käytännössä merkinne juurikaan muutoksia komitean nykykäytäntöön, jossa se on kokoontunut viime aikoina kaksi kertaa vuodessa. Artiklan voimassa oleva 2 kohta poistetaan. Voimassa oleva 3 kohta numeroidaan uudelleen 2 kohdaksi, eikä siihen tehdä sisällöllisiä muutoksia, vaan ainoastaan tarkistetaan komitean nimi.

Artiklaan lisätään uusi 3 kohta, jonka mukaan yleissopimuksen komitean äänestysjärjestelyistä määrätään lisäpöytäkirjan liitteenä olevissa työjärjestyksen perusteissa. Tullessaan yleissopimuksen osapuoleksi EU antaa ilmoituksen, jossa se täsmentää toimivaltansa jakautumisen unionin ja jäsenvaltioiden kesken siltä osin kuin on kyse yleissopimuksen soveltamisalaan kuuluvasta henkilötietojen käsittelystä. EU:n olisi myös ilmoitettava toimivallan jakautumista koskevista muutoksista Euroopan neuvoston pääsihteerille. (Perustelujen kohta 160)

Artiklaan lisätään uusi 4 kohta, jonka mukaan yleissopimuksen komitea laatii muut työjärjestyksensä perusteet ja vahvistaa erityisesti 4 artiklan 3 kohdassa ja 23 artiklan e, f ja h alakohdassa tarkoitetut arviointimenettelyt puolueettomilla perusteilla. Nämä menettelyt koskevat liittyvien valtioiden tai kansainvälisten järjestöjen tietosuojan tason riittävyyden sekä yleissopimuksen osapuolten täytäntöönpanolainsäädännön tehokkuuden arviointia.

Komitean uudet toimivaltuudet arvioida osapuolina olevien valtioiden ja kansainvälisten järjestöjen osalta lainsäädäntötoimien tehokkuutta merkitsee uudenlaista arviointimenettelyä sen takaamiseksi, että yleissopimuksessa määrätyt tietosuojaa koskevat periaatteet toteutuvat ja että osapuolet noudattavat sen vaatimuksia (perustelujen kohta 162). Seurantamenettely samalla vahvistaa komitean toimivaltuuksia. Osapuolilla puolestaan on tarkistetun yleissopimuksen 4 artiklan 3 kohdan mukaisesti velvollisuus aktiivisesti myötävaikuttaa arviointimenettelyyn. Euroopan unionin jäsenvaltioiden osalta arviointimenettely käytännössä kohdistuisi sekä EU:n tietosuojalainsäädäntöön että sitä täydentävään ja täytäntöönpanevaan kansalliseen lainsäädäntöön. Arviointi voisi myös kohdistua erityislainsäädännön arviointiin esimerkiksi siltä osin kuin erityislainsäädännössä poiketaan rekisteröidyn oikeuksista. Tällä on erityistä merkitystä kansallisen turvallisuuden ylläpitämiseen liittyvän henkilötietojen käsittelyä koskevan lainsäädännön osalta huomioiden, että se ei kuulu EU:n tietosuojalainsäädännön soveltamisalaan eikä Euroopan komissiolla ole toimivaltuuksia arvioida sitä osana EU-oikeuden täytäntöönpanolainsäädännön sisällöllistä arviointia.

Yleissopimuksen arviointi- ja seurantamenettelyä koskevista yksityiskohdista ei ole vielä päätetty. Yleissopimuksen komitealla on toimivaltuudet päättää niistä, kun muutospöytäkirja on tullut voimaan. Suoraan pöytäkirjan määräysten nojalla komitea kuitenkin antaisi suosituksia mahdollisten yleissopimuksen vastaisten säännösten tai menettelyjen korjaamiseksi. Saatavilla olevien tietojen valossa komitea kiinnittänee huomiota sekä lainsäädäntöön että sen soveltamista koskevaan käytäntöön. Vaikka kyseessä ovat suositukset eivätkä juridisesti sitovat määräykset, niillä voidaan olettaa olevan erityisesti julkisuusvaikutuksen kautta myönteistä vaikutusta tietosuojaa koskevien vaatimusten noudattamiseen ja siten arviointi- ja seurantamenettely vaikuttanee yleissopimuksen yleiseen tavoitteeseen varmistaa yhdenmukainen tietosuojan taso osapuolten keskuudessa.

31 artikla. Yleissopimuksen 21 artiklan (uusi 25 artikla) 1, 3 ja 4 kohdassa tarkistetaan komitean nimi. Lisäksi artiklan 2 kohtaa muutetaan sen huomioimiseksi, että yleissopimuksen osapuoliksi voivat valtioiden lisäksi tulla myös kansainväliset järjestöt.

Artiklaan lisätään uusi 7 kohta, jonka mukaan ministerikomitea voi yleissopimuksen komiteaa kuultuaan päättää yksimielisesti, että yleissopimukseen tehty yksittäinen muutos tulee voimaan kolmen vuoden kuluttua päivästä, jona muutos on avattu hyväksyttäväksi, jollei jokin osapuoli ilmoita Euroopan neuvoston pääsihteerille vastustavansa muutoksen voimaantuloa. Siinä tapauksessa muutos tulisi voimaan seuraavan kuukauden ensimmäisenä päivänä, kun vastustuksesta ilmoittanut osapuoli on tallettanut hyväksymiskirjansa.

32 artikla. Yleissopimuksen 22 artiklan (uusi 26 artikla) 1 kohtaa muutetaan sen huomioimiseksi, että yleissopimuksen on avoinna allekirjoittamista sekä ratifiointia tai hyväksymistä varten Euroopan neuvoston jäsenvaltioiden lisäksi myös Euroopan unionille. Artiklan 3 kohdassa termi ”jäsenvaltio” korvataan vastaavasti termillä ”osapuoli”.

Euroopan unionin ja sen jäsenvaltioiden toimivallan jakautumista selostetaan tarkemmin kappaleessa 10.1.

33 artikla. Yleissopimuksen 23 artiklan (uusi 27 artikla) otsikkoa ja tekstiä muutetaan sen huomioimiseksi, että yleissopimukseen voivat liittyä Euroopan neuvoston ulkopuolisten valtioiden lisäksi myös kansainväliset järjestöt. Lisäksi artiklan 1 kohtaa muutetaan siten, että yleissopimuksen osapuolten ja yleissopimuksen komitean roolia vahvistetaan menettelyssä, jossa ministerikomitea voi kutsua valtion tai kansainvälisen järjestön liittymään yleissopimukseen. Euroopan neuvoston ministerikomitea voi yleissopimuksen osapuolia kuultuaan ja niiden yksimielisen suostumuksen saatuaan sekä yleissopimuksen komitean 23 artiklan e alakohdan mukaisesti laatiman lausunnon huomioiden kutsua valtion, joka ei ole Euroopan neuvoston jäsen, tai kansainvälisen järjestön liittymään yleissopimukseen, päättämällä asiasta Euroopan neuvoston perussäännön 20 artiklan d kappaleessa määrätyllä enemmistöllä ja niiden sopimusvaltioiden edustajien yksimielisellä äänestyspäätöksellä, joilla on oikeus osallistua ministerikomitean istuntoihin.

34 artikla. Yleissopimuksen 24 artikla (uusi 28 artikla) koskee yleissopimuksen alueellista soveltamista koskevien selitysten antamista. Artiklan 1 ja 2 kohtaa muutetaan sen huomioimiseksi, että tarkistetun yleissopimuksen osapuolena voi olla myös Euroopan unioni tai muu kansainvälinen järjestö.

35 artikla. Yleissopimuksen 27 artiklan (uusi 31 artikla) johdantokappaleessa termi ”valtio” korvataan termillä ”osapuoli”. Lisäksi artiklan c alakohdassa viittaus ”22, 23 ja 24 artiklaan” korvataan viittauksella ”26, 27 ja 28 artiklaan”.

36 artikla. Allekirjoittaminen, ratifiointi ja liittyminen. Artiklan mukaan pöytäkirja on avoinna allekirjoittamista varten yleissopimuksen sopimusvaltioille. Se ratifioidaan tai hyväksytään. Ratifioimis- ja hyväksymiskirjat talletetaan Euroopan neuvoston pääsihteerin huostaan. Sen jälkeen, kun pöytäkirja on avattu allekirjoittamista varten, ja ennen sen voimaantuloa muu valtio ilmaisee suostumuksensa tulla pöytäkirjan sitomaksi liittymällä siihen. Valtio ei voi tulla yleissopimuksen osapuoleksi liittymättä samanaikaisesti sen muutospöytäkirjaan.

37 artikla. Voimaantulo. Artiklan 1 kohdan mukaan pöytäkirja tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta päivästä, jona kaikki yleissopimuksen osapuolet ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 36 artiklan 1 kohdan määräysten mukaisesti.

Artiklan 2 kohdan mukaan, jollei pöytäkirja ole tullut voimaan 1 kohdan mukaisesti, se tulee voimaan niiden valtioiden osalta, jotka ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 1 kohdan mukaisesti, viiden vuoden kuluttua sen avaamisesta allekirjoittamista varten, edellyttäen, että pöytäkirjassa on vähintään kolmekymmentäkahdeksan osapuolta. Kaikki muutetun yleissopimuksen määräykset tulevat voimaan pöytäkirjan osapuolten välillä välittömästi pöytäkirjan tullessa voimaan.

Artiklan 3 kohdan mukaan ennen pöytäkirjan voimaantuloa yleissopimuksen osapuoli voi tämän pöytäkirjan allekirjoittaessaan tai milloin tahansa myöhemmin antaa selityksen, jonka mukaan se soveltaa pöytäkirjan määräyksiä väliaikaisesti, sanotun vaikuttamatta voimaantuloa ja Euroopan neuvoston ulkopuolisten valtioiden ja kansainvälisten järjestöjen liittymistä koskeviin määräyksiin. Tällaisissa tapauksissa pöytäkirjan määräyksiä sovelletaan ainoastaan suhteessa muihin sellaisiin yleissopimuksen osapuoliin, jotka ovat antaneet saman sisältöisen selityksen. Tällainen selitys tulee voimaan kolmannen kuukauden ensimmäisenä päivänä sen jälkeen, kun Euroopan neuvoston pääsihteeri on vastaanottanut selityksen.

Artiklan 4 kohdan mukaan lisäpöytäkirja muutospöytäkirjan tullessa voimaan. Lisäpöytäkirjan määräykset sisältyvät muutetun yleissopimuksen 14 ja 15 artiklaan.

Artiklan 5 kohdan mukaan tietosuojayleissopimuksen muutokset, jotka ministerikomitea hyväksyi Strasbourgissa 15 päivänä kesäkuuta 1999, menettävät merkityksensä muutospöytäkirjan tullessa voimaan.

38 artikla. Yleissopimukseen liittyvät selitykset. Artiklan mukaan osapuolten antamat voimassa olevan yleissopimuksen 3 artiklan mukaiset soveltamisalaa koskevat selitykset raukeavat muutospöytäkirjan tullessa voimaan.

Suomi on lisäpöytäkirjan ratifioimiskirjan tallettamisen yhteydessä antanut selityksen, jonka mukaan Suomi ei sovella yleissopimusta sellaiseen henkilötietojen käsittelyyn, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa. Suomi on lisäksi antanut selityksen, jonka mukaan Suomi soveltaa yleissopimusta henkilötietojen automaattisen käsittelyn ohella myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Näiden selitysten raukeamisella ei olisi oikeusvaikutuksia, koska yleissopimuksen soveltamisalaa koskevat määräykset vastaavat muutospöytäkirjan voimaan tullessa Suomen selitysten sisältöä.

Muutettu yleissopimus ei sisällä selityksiä koskevia määräyksiä lukuun ottamatta 28 artiklan mukaisia alueellisia selityksiä koskevat määräykset. Jos osapuoli tallettaisi allekirjoittamisen, ratifioinnin tai hyväksynnän yhteydessä selityksen, kyseessä olisi siten sopimusmääräyksiin perustumaton tulkintaselitys. Tulkintaselitys ei saisi muodostaa varaumaa.

39 artikla. Varaumat. Artiklan mukaan pöytäkirjan määräyksiin ei voida tehdä varaumia. Myöskään voimassa oleva yleissopimus ja tarkistettu yleissopimus eivät salli varaumia.

40 artikla. Ilmoitukset. Artiklan mukaan Euroopan neuvoston pääsihteeri ilmoittaa Euroopan neuvoston jäsenvaltioille ja muille yleissopimuksen osapuolille allekirjoittamisista (a alakohta), ratifioimis-, hyväksymis- ja liittymiskirjojen tallettamisista (b alakohta), pöytäkirjan 37 artiklan mukaisesta voimaantulopäivästä (c alakohta) ja muista pöytäkirjaan liittyvistä toimista, ilmoituksista ja tiedonannoista (d alakohta).

Pöytäkirjan liite. Yleissopimuksen komitean työjärjestyksen perusteet. Muutospöytäkirjaan sisältyy liite. Liitteen oikeudellinen asema ei ilmene nimenomaisesti pöytäkirjan tekstistä, mutta pöytäkirjan 30 artiklan 3 ja 4 kohta viittaisivat siihen, että liite on erottamaton osa pöytäkirjaa, koska 3 kohdan mukaan äänestysjärjestelyistä määrätään liitteenä olevissa työjärjestyksen perusteissa ja 4 kohdan mukaan yleissopimuksen komitea laatii muut työjärjestyksensä perusteet. Liitteellä olisi siten sama oikeusvaikutus kuin muilla pöytäkirjan määräyksillä. Liite sisältää äänestystä koskevat yksityiskohtaiset säännöt. Näihin sisältyvät myös säännöt tilanteissa, joissa alueellisen yhdentymisen järjestöt kuten Euroopan unioni käyttävät toimivaltaansa kuuluvissa asioissa äänioikeutta. Euroopan unioni voisi käyttää äänioikeuttaan siinä tapauksessa, että sen jäsenvaltiot eivät käytä omaa äänioikeuttaan.

8 Lakiehdotuksen säännöskohtaiset perustelut

8.1 Laki yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta tehdystä pöytäkirjasta

1 §. Pykälä sisältäisi tavanomaisen blankettilain säännöksen, jonka mukaan muutospöytäkirjan lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut. Muutospöytäkirjan määräykset vastaavat suurimmaksi osaksi henkilötietojen käsittelyyn sovellettavan lainsäädännön sisältöä siten kuin pöytäkirjan artiklakohtaisissa perusteluissa tarkemmin selostetaan. Muutospöytäkirjan suhdetta perustuslakiin selostetaan jäljempänä eduskunnan suostumuksen tarpeellisuutta ja käsittelyjärjestystä koskevassa jaksossa.

2 §. Pykälään ehdotetaan sisällytettäväksi säännös, jossa tietosuojavaltuutettu ja Ahvenanmaan maakuntalainsäädännössä tarkoitettu Datainspektionen nimettäisiin yleissopimuksen 15 artiklan 1 kohdassa tarkoitetuiksi sen määräysten noudattamista valvoviksi viranomaisiksi. Nimenomainen säännös olisi uusi, mutta vastaisi nykyistä käytäntöä. Säännös on tarpeen, koska tietosuojalain 8 §:llä perustettu tietosuojavaltuutettu on 8 §:n 1 momentin mukaan toimivaltainen valvomaan yleisen tietosuoja-asetuksen noudattamista. Tietosuojalain 14 §:n 1 momentin mukaan tietosuojavaltuutetulla on kuitenkin myös muissa laissa säädettyjä tehtäviä ja toimivaltuuksia. Yleissopimuksen mukaisesta valvontatehtävästä ei säädetä voimassa olevassa lainsäädännössä. Kumotun henkilötietolain 38 §:n 3 momentti sisälsi yleisluontoisen säännöksen, jonka nojalla tietosuojalautakunta ja tietosuojavaltuutettu ovat voineet harjoittaa valvontaa myös silloin, kun henkilötietojen käsittelyyn ei ole sovellettu henkilötietolakia. Huomioiden lainsäädännön muutokset, yleissopimukseen perustuvasta valvontatehtävästä olisi säädettävä nimenomaisesti. Myös Ahvenanmaan maakunnan viranomaisen tehtävän olisi syytä ilmetä laista vastaavasti, huomioiden Ahvenanmaan itsehallintolain mukaisen lainsäädäntövallan jakautumisen.

Lisäksi pykälään sisällytettäisiin säännös, jonka mukaan yleissopimuksen noudattamista valvovien viranomaisten tehtäviin ja toimivaltuuksiin sovelletaan, mitä niistä erikseen säädetään. Tämä tarkoittaisi sitä, että yleissopimuksen mukaiseen valvontaan sovellettaisiin toimivaltuuksia sellaisina kuin niistä säädetään jo tietosuojalaissa ja Ahvenanmaan maakuntalainsäädännössä, eikä yleissopimuksesta seuraisi laajempaa toimivaltaa. Tällä olisi merkitystä muun muassa sen varmistamiseksi, että tietosuojavaltuutetulla ei olisi myöskään yleissopimuksen nojalla toimivaltuuksia kohdistaa valvontaa valtiopäivätoimintaan, tuomioistuimiin, Eduskunnan oikeusasiamieheen ja Oikeuskansleriin.

3 §. Pykälän mukaan annettavalla lailla kumottaisiin yksilöiden suojelusta henkilötietojen automaattisessa tietojen käsittelyssä tehtyyn Euroopan neuvoston yleissopimukseen tehdyn lisäpöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta annettu laki (408/2012). Lisäpöytäkirjan määräykset on sisällytetty yleissopimuksen muutospöytäkirjaan, jonka mukaisesti lisäpöytäkirja kumoutuu, kun muutospöytäkirja tulee voimaan.

4 §. Pykälä sisältäisi säännöksen, jonka mukaan pöytäkirjan muiden kuin lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta säädetään valtioneuvoston asetuksella. Voimaantulon ajankohta poikkeaisi 2. ja 3. lakiehdotuksen voimaantulosta, jonka olisi muutospöytäkirjan mukaan ajoituttava viimeistään samaan ajankohtaan kuin pöytäkirjan hyväksynnän tai ratifioinnin.

5 §. Pykälä sisältäisi tavanomaisen voimaansaattamissäännöksen, jonka mukaan lain voimaantulosta säädettäisiin valtioneuvoston asetuksella. Laki on tarkoitettu tulemaan voimaan viimeistään samaan aikaan, kun pöytäkirja tulee Suomen osalta voimaan.

8.2 Tietosuojalaki

18 a §. Yhteistyö kolmansien maiden valvontaviranomaisten kanssa. Tietosuojalakiin ehdotetaan lisättäväksi uusi pykälä, joka koskisi tietosuojayleissopimuksessa tarkoitettujen valvontaviranomaisten kanssa tehtävää yhteistyötä siltä osin kuin on kyse EU:n ulkopuolisista maista. EU:n jäsenvaltioiden tietosuojaviranomaisten väliseen yhteistyöhön sovelletaan suoraan tietosuoja-asetuksen säännöksiä. Sen lisäksi, mitä tietosuoja-asetuksen 61 artiklassa säädetään EU:n jäsenvaltioiden valvontaviranomaisten keskinäisestä avunannosta, tietosuojavaltuutetulla olisi oikeus ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Tietosuojavaltuutetulla olisi oikeus luovuttaa salassapitosäännösten estämättä kyseisille valvontaviranomaisille henkilötietoja tai muita tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen.

Muutospöytäkirjan 22 artiklalla muutetun yleissopimuksen 17 artiklan säännökset ovat kumoutuvan lisäpöytäkirjan 1 artiklan 5 kohtaa yksityiskohtaisemmat. Valvontaviranomaisilla olisi erityisesti oikeus vaihtaa tietoja valvontaan liittyen sekä toteuttaa yhteisiä operaatioita. Luovutettavat tiedot eivät välttämättä kaikissa tilanteissa sisältäisi henkilötietoja, mutta valvontaviranomaisilla voisi olla tarve luovuttaa niitä, jos henkilötiedot ovat yhteistyön kannalta olennaisia tai jos kyseinen rekisteröity on antanut suostumuksensa henkilötietojen luovuttamiseen. Tietosuoja-asetuksen, tietosuojalain ja rikosasioiden tietosuojalain säännösten sekä julkisuuslain säännösten valossa jää jossain määrin epäselväksi, olisiko tietosuojavaltuutetulla oikeus aukottomasti luovuttaa kolmansien maiden valvontaviranomaisten kanssa tehtävää yhteistyötä varten tietoja erityisesti, jos niitä koskee jokin salassapitoperuste. Valvontaviranomaiset muodostaisivat myös keskenään verkoston muutetun yleissopimuksen 17 artiklan mukaisen yhteistyönsä ja tehtäviensä hoitamista varten. Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa säädetään nimenomaisesti vain EU:n jäsenvaltioiden valvontaviranomaisten välisestä yhteistyöstä. Perustuslain vaatimusten huomioimiseksi tietosuojalain tarkentaminen näiltä osin olisi tarpeen. Lainmuutos olisi myös tarpeen sen varmistamiseksi, että kolmansien maiden valvontaviranomaiset saisivat yleissopimuksen soveltamisalaan kuuluvien tehtäviensä hoitamiseksi ja toimivaltuuksiensa käyttämiseksi tarvittavat tiedot, sekä sen varmistamiseksi, että tietosuojavaltuutettu pystyy tekemään tehokkaasti yhteistyötä myös näiden valvontaviranomaisten kanssa sen mukaisesti, mitä tietosuojayleissopimus edellyttää.

Tietosuojavaltuutetun oikeuteen luovuttaa salassa pidettävä tieto ulkomaan viranomaiselle sovellettaisiin muutoin, mitä julkisuuslain 30 §:ssä säädetään. Tieto voitaisiin luovuttaa samoin edellytyksin kuin tieto voidaan luovuttaa lain 29 §:n nojalla Suomen viranomaiselle. Julkisuuslain säännökset tulisivat sovellettavaksi ilman eri viittausta. Lisäksi henkilötietojen luovuttamiseen kolmansiin maihin olisi sovellettava tietosuoja-asetuksen V luvun säännöksiä sekä noudatettava muita tietosuoja-asetuksen vaatimuksia.

8.3 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

1 §. Soveltamisala. Pykälän 3 momenttia ehdotetaan muutettavaksi siten, että lain 10 §:n 2 momenttia ja 7 lukua sovellettaisiin pykälän 2 momentissa tarkoitettuun henkilötietojen käsittelyyn.

Ehdotetulla lainmuutoksella pantaisiin täytäntöön kansallisen turvallisuuden ja puolustuksen (kansallisen turvallisuuden ylläpitämisen) yhteydessä suoritettavan henkilötietojen käsittelyn osalta tietosuojayleissopimuksen uudelleen numeroidun 14 artiklan 2-4 kohta, joista ei voida poiketa uudelleen numeroidun 11 artiklan nojalla. Sen sijaan artiklan 5 ja 6 kohtaan on mahdollista säätää poikkeuksia muun muassa kansallisen turvallisuuden ja puolustuksen perusteella. Rikosasioiden tietosuojalaissa ei ole kuitenkaan rajoitettu tietosuojavaltuutetun toimivaltuuksia siltä osin kuin on kyse 5 ja 6 kohdassa tarkoitetuista toimivaltuuksista.

Artiklan 2-4 kohta koskevat henkilötietojen siirtoja yleissopimuksen ulkopuolisiin maihin. Yleissopimuksesta poiketen vaatimukset koskisivat edelleen kaikkia Euroopan unionin ulkopuolisia kolmansia maita sekä kansainvälisiä järjestöjä. Artiklan 1 kohta mahdollistaa tällaisen ratkaisun. Kyseisen kohdan perusteella Euroopan unionin jäsenvaltioissa sovelletaan 1 artiklan sijasta jäsenvaltioita sitovia harmonisoituja säännöksiä, joiden perusteella EU:n ulkopuolisia valtioita ei voi tietosuojan riittävän tason osalta rinnastaa jäsenvaltioihin. Kumotun henkilötietolain säännökset, jotka koskivat henkilötietojen siirtoja Euroopan unionin ja Euroopan talousalueen ulkopuolelle, oli myös laajennettu henkilötietodirektiivin soveltamisalasta poiketen koskemaan Suomessa kaikkia rekisterinpitäjiä ja henkilötietojen käsittelijöitä, ja ovat siten koskeneet myös kansallisen turvallisuuden ylläpitämisestä vastaavia viranomaisia. Yleissopimuksen muutospöytäkirjan vaatimukset eivät kuitenkaan ole yhtä yksityiskohtaisia kuin rikosasioiden henkilötietolain voimassa olevat säännökset, joilla pannaan täytäntöön rikosasioiden tietosuojadirektiivin vaatimukset.

Voimassa olevien säännösten laajentamista puoltaa se, että myös kumotun henkilötietodirektiivin vaatimukset koskivat Suomessa kaikkea henkilötietojen käsittelyä. Säännösten osittainen laajentaminen olisi lainsäädäntöteknisesti hankalaa, mistä syystä mahdolliset poikkeukset ehdotetaan edelleen tehtäväksi erityislainsäädännössä. Lisäksi yleislaissa tehtävä poikkeus on tarpeeton, koska rikosasioiden tietosuojalain voimaantulon jälkeen säädetyn poliisin henkilötietolain 46 §:n 2 momenttiin ja puolustusvoimien henkilötietolain 2 §:ään on sisällytetty 7 luvun soveltamista koskevat saman sisältöiset poikkeukset. Erityislainsäädäntöön olisi edelleen mahdollista rikosasioiden tietosuojalain 2 §:n mukaisesti sisällyttää ehdotetusta pykälästä poikkeavia säännöksiä, edellyttäen, että ne täyttävät muutospöytäkirjassa määrätyt vaatimukset.

Samalla 3 momentista poistettaisiin poliisin henkilötietolain 46 §:n 2 momentin ja Puolustusvoimien henkilötietolain 2 §:n kanssa päällekkäinen viittaus rikosasioiden tietosuojalain 10 §:n 2 momenttiin. Sen sijaan viittaus 54 §:ään säilytettäisiin. Kyseinen pykälä liittyy tietosuojavaltuutetun toimivaltuuksiin, joista säädetään ensisijaisesti yleislaeissa. Lainsäädäntöteknisesti on selkeämpää, että valvojan toimivaltuuksia koskeva poikkeus sisältyy myös samaan lakiin kuin pykälä, jonka nojalla keskinäiseen avunantoon liittyviä toimivaltuuksia käytetään.

54 §. Keskinäinen avunanto. Pykälään ehdotetaan lisättäväksi uusi 3 momentti, joka vastaisi sisällöltään tietosuojalakiin lisättävää uutta 18 a §:ää. Momentin mukaan tietosuojavaltuutetulla olisi oikeus ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Tietosuojavaltuutetulla olisi oikeus luovuttaa salassapitosäännösten estämättä kyseisille valvontaviranomaisille henkilötietoja tai muita tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen. Ehdotetut säännökset olisivat tarpeen myös rikosasioiden tietosuojalaissa, koska sen säännökset keskinäisestä avunannosta koskevat pelkästään EU:n jäsenvaltioiden valvontaviranomaisia.

Rikosasioiden tietosuojalain nojalla tapahtuvaa yhteistyötä varten voitaisiin luovuttaa henkilötietoja samoin edellytyksin kuin tietosuojalain mukaista yhteistyötä varten. Lisäksi sovellettaisiin julkisuuslakia sekä tietosuojalain vaatimuksia henkilötietojen siirroista kolmansiin maihin ja kansainvälisille järjestöille.

9 Voimaantulo

Muutospöytäkirja on avoinna yleissopimuksen sopimusvaltioiden allekirjoittamista varten, ja edellyttää lisäksi ratifiointia tai hyväksyntää. Sen jälkeen, kun pöytäkirja on avattu allekirjoittamista varten ja ennen sen voimaantuloa, yleissopimuksen ulkopuoliset valtiot voivat tulla pöytäkirjan osapuoliksi liittymällä siihen. Yleissopimuksen ulkopuolinen valtio ei voi tulla yleissopimuksen osapuoleksi liittymättä samalla pöytäkirjaan.

Muutospöytäkirja tulee kansainvälisesti voimaan sitä seuraavan kuukauden ensimmäisenä päivänä, kun on kulunut kolme kuukautta siitä, kun kaikki yleissopimuksen osapuolet ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi joko ratifioimalla tai hyväksymällä sen. Jos pöytäkirja ei ole tullut voimaan, kun on kulunut viisi vuotta siitä päivästä, jona se avattiin allekirjoittamista varten, pöytäkirja tulee voimaan, kun vähintään 38 osapuolta on ilmaissut suostumuksensa tulla sen sitomaksi. Pöytäkirjan osapuolten välillä muutetun yleissopimuksen määräyksillä on voimaantulosta lähtien välitön oikeusvaikutus.

Muutospöytäkirja mahdollistaa sen, että Euroopan unionista tulee muutetun tietosuojayleissopimuksen osapuoli sen jälkeen, kun pöytäkirja on tullut voimaan. Euroopan unionin ja sen jäsenvaltioiden jaetusta toimivallasta johtuen (ks. tarkemmin jäljempänä kappale 13.1) Euroopan unionin neuvosto valtuutti päätöksellään 9 päivänä huhtikuuta 2019 jäsenvaltiot ratifioimaan muutospöytäkirjan unionin edun mukaisesti siltä osin kuin sen määräykset kuuluvat unionin yksinomaiseen toimivaltaan. Hallituksen tavoitteena on mahdollisimman pikainen ratifiointi vuoden 2020 aikana sen jälkeen, kun eduskunta on hyväksynyt muutospöytäkirjan siltä osin kuin se kuuluu Suomen toimivaltaan sekä esitykseen sisältyvät lakiehdotukset. Esityksen 2. ja 3. lakiehdotus on tarkoitettu tulemaan voimaan viimeistään samanaikaisesti, kun Suomi tallettaa ratifioimiskirjansa Euroopan neuvoston pääsihteerin huostaan. Esityksen 1. lakiehdotus on tarkoitettu tulemaan voimaan valtioneuvoston asetuksella säädettävänä ajankohtana samaan aikaan, kun pöytäkirja tulee Suomen osalta voimaan.

10 Ahvenanmaan maakuntapäivien suostumus

Ahvenanmaan maakunnan lainsäädäntövallasta säädetään Ahvenanmaan itsehallintolain 18 §:ssä. Valtakunnan lainsäädäntövallasta säädetään lain 27 §:ssä. Hallituksen esityksen valmistelun yhteydessä arvioinnin kohteena olleesta lainsäädännöstä suurin osa kuuluu valtakunnan lainsäädäntövaltaan ja sitä sovelletaan sellaisenaan Ahvenanmaalla. Ahvenanmaalla on kuitenkin lainsäädäntövaltaa erityisesti siltä osin kuin on kyse elinkeinotoiminnasta ottaen huomioon, mitä on säädetty lain 11 §:ssä, 27 §:n 2, 4, 9, 12–15, 17–19, 26, 27, 29–34, 37 ja 40 kohdassa sekä 29 §:n 1 momentin 3–5 kohdassa, kuitenkin niin, että myös maakuntapäivillä on toimivalta ryhtyä toimenpiteisiin näissä kohdissa tarkoitetun elinkeinotoiminnan edistämiseksi, teon rangaistavaksi säätämisestä ja rangaistuksen määrästä, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta, sekä uhkasakon asettamisesta ja tuomitsemisesta sekä muiden pakkokeinojen käytöstä, kun on kysymys maakunnan lainsäädäntövaltaan kuuluvasta oikeudenalasta.

Ahvenanmaan maakunnan ja kuntien viranomaisten hallussa olevien henkilötietojen suoja on Ahvenanmaan itsehallintolain 19 §:ssä tarkoitetussa maakuntalakien lainsäädäntövalvonnassa katsottu itsehallintolain 18 §:n 1 ja 4 kohdan nojalla kuuluvan maakunnan lainsäädäntövaltaan. Yleinen tietosuoja-asetus koskee Ahvenanmaan maakunnan lainsäädäntövaltaan kuuluvia asioita siltä osin kuin asetuksessa tarkoitettu henkilötietojen suoja liittyy itsehallintolain 18 §:n 1 ja 4 kohdassa mainittuihin asioihin ja toimialoihin. Vastaavasti henkilötietojen käsittelystä Ahvenanmaan poliisiviranomaisen toimesta on katsottu, että lainsäädäntövalta on jaettu siten, että Ahvenanmaalla on lainsäädäntövaltaa yleisen järjestyksen ja turvallisuuden ylläpidon osalta.

Maakuntapäivät on 21.11.2018 hyväksynyt uudet maakuntalait, joilla täydennetään maakunnassa EU:n yleistä tietosuoja-asetusta. Tasavallan presidentti vahvisti maakuntalait 15.3.2019, mukaan lukien uuden lain tietosuojasta Ahvenanmaan maakunta- ja kunnallishallinnossa (Landskapslag om dataskydd inom landskaps och kommunalförvaltningen), lukuun ottamatta eräitä säännöksiä. Ahvenanmaan maakuntapäivät on hyväksynyt 10.4.2019 uudet maakuntalait, joilla kumotaan poliisia koskevat maakuntalait (landskapslagen (1999:50) om tillämpning i landskapet Åland av riksförfattningar om personuppgifter; landskapslagen (1999:49) om polisens grundregister) ja saatettaisiin voimaan Ahvenanmaalla rikosasioiden tietosuojalaki ja poliisin henkilötietolaki. Tasavallan presidentti vahvisti maakuntalait 9.8.2019. Maakuntapäivät on aiemmin antanut hyväksyntänsä yleissopimuksen ja lisäpöytäkirjan voimaantulolle maakunnassa siltä osin kuin ne sisältävät maakunnan lainsäädäntövaltaan kuuluvia määräyksiä.

Muutospöytäkirja sisältää useilta osin määräyksiä, jotka kuuluvat Ahvenanmaan maakunnan lainsäädännön alaan ja siten maakunnan toimivaltaan. Kyseessä olevat määräykset tulevat itsehallintolain 59 §:n 1 momentin mukaan voimaan maakunnassa vain, jos maakuntapäivät hyväksyy pöytäkirjan voimaansaattamissäädöksen.

11 Toimeenpano ja seuranta

Muutospöytäkirjan voimaantulon myötä yleissopimuksen osapuolten lainsäädäntötoimien tehokkuutta tullaan arvioimaan yleissopimuksen komitean erikseen vahvistaman menettelyn mukaisesti. Tämän kansainvälisen arvioinnin on tarkoitus kattaa sekä EU:n tietosuojalainsäädäntö että kansallinen henkilötietojen käsittelyä koskeva lainsäädäntö, mukaan lukien erityislainsäädäntö. Suomella on osapuolena velvollisuus aktiivisesti myötävaikuttaa arviointimenettelyyn. Tämä tarkoittaa käytännössä ainakin lainsäädäntöä ja sen soveltamiskäytäntöä koskevien tietojen toimittamista komitealle tai sen alaiselle työryhmälle arviointia varten. Ensimmäisen Suomen lainsäädännön arvioinnin todennäköinen ajankohta ei ole vielä tiedossa. Komitealla on muutospöytäkirjan voimaantulon jälkeen toimivaltuudet antaa suosituksia toimenpiteiksi, jos se katsoo, että osapuolen lainsäädäntö ei vastaa yleissopimuksen vaatimuksia.

Sen jälkeen, kun muutospöytäkirja on tullut voimaan, kansallisesti on tarkoitus seurata sen vaikutuksia erityisesti tietosuojavaltuutetun toimintaan ja resursseihin.

12 Eduskunnan suostumuksen tarpeellisuus ja käsittelyjärjestys

12.1 Eduskunnan suostumuksen tarpeellisuus

Sekasopimuksilla tarkoitetaan sopimuksia, joissa osapuolena on sekä Euroopan unioni että yksi tai useampi unionin jäsenvaltio. Sekasopimuksiin rinnastetaan myös ne sopimukset, joissa unioni ei voi olla osapuolena, mutta joissa osapuolena olevat jäsenvaltiot käyttävät unionin puolesta sen toimivaltaa (PeVL 16/2004 vp). Eduskunta hyväksyy vakiintuneen käytännön mukaan tällaisen sekasopimuksen vain siltä osin kuin se kuuluu Suomen toimivaltaan (PeVL 16/2004 vp, PeVL 6/2005 vp, PeVL 56/2010 vp ja PeVL 62/2010 vp).

Perustuslakivaliokunta on pitänyt tärkeänä, että toimivallan jakautumiseen kiinnitetään riittävästi huomiota laadittaessa hallituksen esityksiä sopimuksista, joiden määräysten osalta sekä unionilla että jäsenvaltioilla on toimivaltaa. Esityksistä tulee ilmetä, miltä osin sopimukset kuuluvat Suomen toimivaltaan (PeVL 6/2001 vp, PeVL 6/2005 vp ja PeVL 62/2010 vp).

Unionin toimivallasta henkilötietojen suojaa koskevissa asioissa määrätään Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä SEUT, 16 artiklassa. Artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

Euroopan unionista tehdyn sopimuksen, jäljempänä SEU, V osaston 2 luvun 39 artikla koskee henkilötietojen suojaa yhteisen ulko- ja turvallisuuspolitiikan alalla. Artikla sisältää oikeusperustan neuvoston päätökselle, jolla vahvistetaan SEUT 16 artiklan mukaisesti ja sen 2 kohdasta poiketen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat henkilötietojen käsittelyä jäsenvaltioiden viranomaisissa yhteisen ulko- ja turvallisuuspolitiikan alalla, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta.

SEUT 4 artiklan 1 kohdan mukaan EU:n toimivalta on jäsenvaltioiden kanssa jaettua silloin, kun toimivalta ei koske SEUT 3 artiklassa tarkoitettuja EU:n yksinomaisen toimivallan aloja tai SEUT 6 artiklassa tarkoitettuja aloja, joilla EU:lla on toimivalta toteuttaa tuki-, yhteensovittamis- tai täydennystoimia. Edellä esitetyistä perussopimusten määräyksistä seuraa, että toimivalta Euroopan unionin ja sen jäsenvaltioiden välillä on muutospöytäkirjan kattamalla alalla luonteeltaan jaettua.

Unioni on käyttänyt sisäistä toimivaltaansa SEUT 16 artiklan nojalla unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden suorittaman henkilötietojen osalta. Yleinen tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi tulivat voimaan 5 päivänä toukokuuta 2016. Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725 luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta tuli voimaan 11 päivänä joulukuuta 2018. Henkilötietojen käsittelyä koskevia säännöksiä sisältyy myös EU:n virastoja ja tietojärjestelmiä koskevaan erityislainsäädäntöön.

Yleistä tietosuoja asetusta ei sovelleta sen 2 artiklan mukaan henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan, jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaan, tai jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Yleistä tietosuoja-asetusta ei sovelleta myöskään henkilötietojen käsittelyyn siltä osin kuin se kuuluu rikosasioiden tietosuojadirektiivin soveltamisalaan, tai lainsäädäntöön, jota sovelletaan unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn.

Rikosasioiden tietosuojadirektiiviä ei myöskään sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin oikeuden soveltamisalaan, tai jota suorittavat unionin toimielimet, elimet ja laitokset.

Neuvosto ei ole toistaiseksi tehnyt SEU V osaston 2 luvun 39 artiklassa tarkoitettuja henkilötietojen suojaa yhteisen ulko- ja turvallisuuspolitiikan alalla koskevia päätöksiä.

Unionilla on edellä selostetun perusteella toimivalta hyväksyä ne muutospöytäkirjan määräykset, joissa tarkoitetuissa asioissa se on käyttänyt sisäistä toimivaltaansa. Muilta osin muutospöytäkirjan määräykset kuuluvat Suomen toimivaltaan.

Unioni ei voi allekirjoittaa eikä ratifioida muutospöytäkirjaa, koska tietosuojayleissopimuksessa määrätään, että ainoastaan valtiot ovat sen osapuolia. Euroopan unionin neuvosto on 9 päivänä huhtikuuta 2019 valtuuttanut jäsenvaltiot ratifioimaan muutospöytäkirjan toimien yhdessä unionin edun mukaisesti, siltä osin kuin sen määräykset kuuluvat unionin yksinomaiseen toimivaltaan.

Eduskunta hyväksyy perustuslain 94 §:n 1 momentin mukaan sellaiset valtiosopimukset ja muut kansainväliset velvoitteet, jotka sisältävät lainsäädännön alaan kuuluvia määräyksiä tai ovat muutoin merkitykseltään huomattavia taikka vaativat perustuslain mukaan muusta syystä eduskunnan hyväksymisen. Perustuslain 95 §:n 1 momentin mukaan valtiosopimuksen ja muun kansainvälisen velvoitteen lainsäädännön alaan kuuluvat määräykset saatetaan voimaan lailla. Muilta osin kansainväliset velvoitteet saatetaan voimaan asetuksella.

Valtiosopimuksen tai muun kansainvälisen velvoitteen määräykset on luettava lainsäädännön alaan, jos määräys koskee jonkin perustuslaissa turvatun perusoikeuden käyttämistä tai rajoittamista, jos määräys muutoin koskee yksilön oikeuksien tai velvollisuuksien perusteita, jos määräyksen tarkoittamasta asiasta on perustuslain mukaan säädettävä lailla taikka jos määräyksen tarkoittamasta asiasta on voimassa lain säännöksiä tai jos siitä on Suomessa vallitsevan käsityksen mukaan säädettävä lailla. Kysymykseen ei vaikuta se, onko jokin määräys ristiriidassa vai sopusoinnussa Suomessa lailla annetun säännöksen kanssa (PeVL 11/2000 vp, PeVL 12/2000 vp ja PeVL 19/2010 vp).

Tietosuojayleissopimuksen muutospöytäkirjan määräykset koskevat henkilötietojen suojaa, josta perustuslain 10 §:n 1 momentin mukaan säädetään tarkemmin lailla. Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Pöytäkirjalla muutetaan laajalti voimassa olevan tietosuojayleissopimuksen määräyksiä. Muutokset kohdistuvat määräyksiin, jotka koskevat yleissopimuksen tarkoitusta (1 artikla), määritelmiä (2 artikla), soveltamisalaa (3 artikla), henkilötietojen käsittelyä koskevia periaatteita (II luku) mukaan lukien rekisteröidyn oikeudet, rajat ylittäviä henkilötietojen siirtoja (III luku) ja valvontaviranomaisia (IV luku), sopimuspuolten välistä yhteistyötä (V luku) ja yleissopimuksen komiteaa (VI luku), minkä lisäksi muutoksia on tehty yleissopimuksen muuttamista koskeviin määräyksiin (VII luku) ja loppumääräyksiin (VIII luku). Pöytäkirjalla muutetun 1-3 artiklan sekä I-IV luvun tarkoittamista asioista on voimassa lain säännöksiä, jotka koskevat henkilötietojen suojaa tai viranomaisen toimivaltuuksia. Nämä kaikki kuuluvat jo asian luonteen puolesta lainsäädännön alaan. Lisäksi lainsäädännön alaan kuuluvat eräät pöytäkirjalla muutetut V luvun määräykset, jotka liittyvät viranomaisen valtion rajat ylittävien toimivaltuuksien käyttämiseen. Muilta osin määräykset koskevat sopimusvaltiolle asetettuja velvoitteita, mukaan lukien komiteassa tehtävä kansainvälinen yhteistyö.

Perustuslakivaliokunnan käytännössä on myös lähdetty siitä, että eduskunta antaa nimenomaisella päätöksellä suostumuksen sellaisten lainsäädännön alaan kuuluvia sopimusmääräyksiä koskevien varaumien, selitysten ja julistusten antamiseen, jotka vaikuttavat Suomen kansainvälisten velvoitteiden sisältöön tai laajuuteen itse sopimuksiin verrattuna (PeVL 16/2005 vp, PeVM 2/2008 vp, PeVL 19/2010 vp ja PeVL 29/2010 vp).

Muutettu yleissopimus ei salli varaumia. Sen sijaan yleissopimuksen 28 artiklan nojalla valtio, Euroopan unioni tai muu kansainvälinen järjestö voi yleissopimuksen allekirjoittaessaan tai ratifioimis-, hyväksymis- tai liittymiskirjansa tallettaessaan antaa selityksen, jossa täsmennetään alue tai alueet, joihin tätä yleissopimusta sovelletaan.

Muutospöytäkirja ei sisällä muita selityksiä koskevia sopimusmääräyksiä. Pöytäkirjan ratifioinnin yhteydessä olisi yleisen valtiosopimusoikeuden mukaisesti kuitenkin mahdollista antaa sopimusmääräyksiin perustumaton tulkintaselitys, edellyttäen, että selitys ei muodosta yleissopimuksessa kiellettyä varaumaa eikä poista tai muuta yleissopimuksen oikeusvaikutuksia. Muutospöytäkirjan ratifioinnin yhteydessä ehdotetaan annettavaksi yleissopimuksen 3 artiklan 1 kohtaa koskeva selitys, jossa täsmennettäisiin, millä tavalla julkisen sektorin käsitettä tulkitaan Suomessa yleissopimusta sovellettaessa.

12.2 Käsittelyjärjestys

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 10 §:ssä turvatun yksityiselämän suojan kannalta. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. (PeVL 14/2018 vp, s. 2-3, PeVL 1/2018 vp, s. 2 ja PeVL 14/1998 vp, s. 2).

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perusoikeuskirjan 52 artiklan 1 kohdan mukaan perusoikeuskirjassa tunnustettujen oikeuksien ja vapauksien käyttämistä voidaan rajoittaa ainoastaan lailla sekä kyseisten oikeuksien ja vapauksien keskeistä sisältöä kunnioittaen. Suhteellisuusperiaatteen mukaisesti rajoituksia voidaan säätää ainoastaan, jos ne ovat välttämättömiä ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia. Perusoikeuskirjan 52 artiklan 3 kohdan mukaan, siltä osin kuin perusoikeuskirjan oikeudet vastaavat Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, niiden merkitys ja ulottuvuus ovat samat. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.

Perustuslakivaliokunnan mukaan henkilötietojen suojan valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin (ks. PeVL 14/2018 vp, s. 7). Perustuslakivaliokunta painottaa edelleen, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden (ks. PeVL 14/2018 vp, s. 8). Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II).

Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on erityisesti arkaluonteisten henkilötietojen käsittelyn osalta ja perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta. Valiokunta on toisaalta kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. PeVL 14/2018 vp, s. 6-7 sekä esim. PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta on muistuttanut tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 14/2018 vp, s. 6-7; ks. myös PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4). Valiokunnan mielestä henkilötietoja koskevan lainsäädännön selvyys edellyttää, että erityislainsäädäntöön ei myöskään sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. (PeVL 14/2018 vp, s. 6-7)

Muutetun yleissopimuksen määräykset vastaavat sisällöllisesti pääosin yleisen tietosuoja-asetuksen säännöksiä sekä perustuslakivaliokunnan myötävaikutuksella hyväksyttyjä tieto-suojalain ja rikosasioiden tietosuojalain säännöksiä. Muutetun yleissopimuksen määräykset pantaisiin edelleen ensisijaisesti täytäntöön yleissäädöksillä, vaikka esimerkiksi siinä tarkoitetuista rekisteröidyn oikeuksien rajoituksista on mahdollista säätää myös erityislainsäädännössä.

Voimassa olevat rikosasioiden tietosuojalain säännökset, jotka koskevat henkilötietojen siirtoa kolmansiin maihin ja kansainvälisille järjestöille, eivät kuitenkaan riittävää tietosuojan tasoa koskevien edellytysten osalta täytä yleissopimuksen vaatimuksia siltä osin kuin on kyse kansallisen turvallisuuden ylläpitämiseen liittyvästä henkilötietojen käsittelystä. Rikosasioiden tietosuojalakiin ehdotetaan muutosta, jolla rikosasioiden tietosuojalain 7 luku laajennettaisiin koskemaan kaikkea lain soveltamisalaan kuuluvaa henkilötietojen käsittelyä. Uuden rikosasioiden tietosuojalain pykälän lisäksi ei ehdoteta säädettäväksi erityislainsäädännön muutoksia. Poliisin henkilötietolain ja Puolustusvoimien henkilötietolain säännökset, joiden nojalla suojelupoliisi ja Puolustusvoimat voivat luovuttaa henkilötietoja kolmansiin maihin ja kansainvälisille järjestöille, tulisivat edelleen sovellettaviksi rikosasioiden tietosuojalain 7 luvun sijasta. Nämä erityislakien säännökset tarkoittaisivat, että riittävää tietosuojan tasoa koskevien vaatimusten osalta suojelupoliisia ja Puolustusvoimia koskisivat sellaisenaan muutetun tietosuojayleissopimuksen mukaiset riittävää tietosuojan tasoa koskevat pääsäännöt. Ne eivät siten voisi soveltaa uuden 14 artiklan 4 kohdan mukaisia perusteita riittävästä tietosuojan tasosta poikkeamiselle. Tämä kuitenkin vastaa voimassa olevia henkilötietojen luovuttamista koskevia erityissäännöksiä, jotka on hyväksytty perustuslakivaliokunnan myötävaikutuksella. Tietojen luovuttaminen olisi lisäksi edelleen poliisin henkilötietolain ja Puolustusvoimien henkilötietolain erityissäännösten nojalla kiellettyä, jos rekisteröityä voisi uhata henkilötietojen luovutuksen seurauksena kuolemanrangaistus, kidutus, muu ihmisarvoa loukkaava kohtelu, vaino, mielivaltainen vapaudenriisto tai epäoikeudenmukainen oikeudenkäynti. Perustuslakivaliokunta on pitänyt tällaista nimenomaista kieltoa edellytyksenä sille, että la-kiehdotus on voitu käsitellä tavallisen lain säätämisjärjestyksessä (PeVL 51/2018 vp, s. 15; PeVL 52/2018 vp, s. 10).

Perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassa-pitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 58/2018 vp, s. 12, sekä PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 58/2018 vp, s. 2, ja PeVL 15/2018 vp, s. 39). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 14/2018 vp, s. 5).

Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I). Muutospöytäkirja laajentaisi sen voimaantulon myötä yleissopimuksessa tarkoitettujen valvontaviranomaisten toimivaltuuksia, millä voidaan arvioida olevan merkitystä rekisteröityjen perusoikeuksien suojan kannalta. Erityisen merkityksellisinä sopimusmääräyksinä voidaan pitää tältä osin tarkistetun yleissopimuksen 17 artiklan määräyksiä valvontaviranomaisten tietojenvaihdosta ja yhteisistä valvontatoimenpiteistä. Artiklan mukaan vaihdettavat tiedot voisivat sisältää henkilötietoja, jos ne ovat olennaisia yhteistyön kannalta tai jos rekisteröity on antanut niiden luovuttamiselle nimenomaisen suostumuksensa. Laajennetuista rajat ylittävään yhteistyöhön liittyvistä toimivaltuuksista johtuen esityksen 1. lakiehdotuksessa ehdotetaan täsmennettäväksi yleissopimuksessa tarkoitetusta valvonnasta vastaavat viranomaiset. Lisäksi tietosuojalakia ja rikosasioiden tietosuojalakia ehdotetaan täydennettäväksi nimenomaisilla säännöksillä, joiden nojalla tietosuojavaltuutettu voisi luovuttaa henkilötietoja ja muita tietoja salassapitosäännösten estämättä vastaaville viranomaisille yksittäistä valvontatehtävää varten, jos tiedot olisivat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity antaa tietojen luovuttamiselle nimenomaisen suostumuksen. Säännöksen rajauksessa huomioitaisiin perustuslain tulkintakäytännön mukaisesti tarve varmistaa henkilötietojen luovuttaminen vain siinä laajuudessa, mikä on välttämätöntä yleissopimuksen mukaisen valvontayhteistyön varmistamiseksi. Säännöksessä kiinnitettäisiin erityistä huomiota siihen, että valvonnan tarkoituksena on turvata rekisteröidyn oikeuksien toteutuminen.

Perustuslakivaliokunta on katsonut, että eduskunnan valtiosääntöinen asema merkitsee muun muassa sitä, ettei eduskunnan valtiopäivätoiminta voi olla ulkopuolisen valvonnan kohteena, vaan eduskunnan toiminnan laillisuusvalvonta on säädetty perustuslaissa tyhjentävästi eduskunnan omien elinten, eduskunnan puhemiehen ja perustuslakivaliokunnan, tehtäväksi. (PeVL 14/2018 vp, s.10-11) Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei kuitenkaan ole sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (PeVL 14/2018 vp, s. 11; PeVL 30/1998 vp, s. 6/II). Valiokunta katsoi tietosuojalakia koskevan hallituksen esityksen käsittelyn yhteydessä, että eduskunnan valtiopäivätoiminta oli rajattava pois tietosuojalain soveltamisalalta, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. (PeVL 14/2018 vp, s.11) Esityksessä ei ehdoteta aineellisia lainmuutoksia, jotka poikkeaisivat tästä linjauksesta. Tietosuojayleissopimuksen soveltamisalaa koskevaa sopimusmääräystä ehdotetaan tulkittavaksi siten, että julkinen sektori ei kata eduskunnan valtiopäivätoimintaa.

Perustuslakivaliokunta katsoi tietosuojalakiehdotuksen käsittelyn yhteydessä, että ylimpien laillisuusvalvojien valtiosääntöinen asema ja tehtävät sekä laillisuusvalvonnan valtiosääntöinen kokonaisuus eivät mahdollista asteellisesti alemman tietosuojavaltuutetun ylimpiin laillisuusvalvojiin kohdistuvaa valvontaa. Tällaisen rajauksen oli ilmettävä myös tietosuojalain säännöksistä nimenomaisesti. (PeVL 14/2018 vp, s. 13) Tietosuojalakiehdotusta oli tämän johdosta muutettava siten, että ylimpien laillisuusvalvojien harjoittamaan laillisuusvalvontaan ei kohdistu tietosuojalaissa tarkoitetun valvontaviranomaisen valvontatoimivaltaa. Tällainen muutos oli edellytyksenä sille, että lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. (PeVL 14/2018 vp, s. 15) Vastaava rajaus on tehty rikosasioiden tietosuojalain 45 §:n 2 momentissa, jonka mukaan lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen. Perustuslain 108 ja 109 §:ssä säädetyn mukaisesti oikeuskansleri ja oikeusasiamies valvovat tuomioistuinten toiminnan lainmukaisuutta. Ne valvovat siten myös sitä, että tuomioistuimet noudattavat kaikessa toiminnassaan henkilötietojen suojaa koskevaa lainsäädäntöä. Ylimpien laillisuusvalvojien valtiosääntöisen aseman huomioimiseksi 1. lakiehdotuksessa varmistettaisiin, että näihin ei kohdistuisi myöskään tietosuojayleissopimuksessa tarkoitettua valvontaa.

Muutospöytäkirja ja siihen ehdotettu selitys eivät sisällä velvoitteita, jotka koskisivat perustuslakia sen 94 §:n 2 momentissa tai 95 §:n 2 momentissa tarkoitetulla tavalla. Muutospöytäkirja ja selitys voidaan hallituksen käsityksen mukaan hyväksyä äänten enemmistöllä ja ehdotus muutospöytäkirjan voimaansaattamislaiksi voidaan hyväksyä tavallisen lain säätämisjärjestyksessä.

1. ponsi

Edellä olevan perusteella ja perustuslain 94 §:n mukaisesti esitetään, että

eduskunta hyväksyisi yksilöiden suojelusta henkilötietojen käsittelyssä tehdyn yleissopimuksen muuttamisesta Strasbourgissa 10 päivänä lokakuuta 2018 tehdyn pöytäkirjan siltä osin kuin se kuuluu Suomen toimivaltaan

ja että eduskunta hyväksyisi annettavaksi seuraavan selityksen:

Suomi selittää, että yleissopimuksen 3 artiklan 1 kohdan soveltamistarkoituksessa henkilötietojen käsittelyn julkisella sektorilla tulkitaan käsittävän valtion viranomaisten, valtion liikelaitosten, kunnallisten viranomaisten, itsenäisten julkisoikeudellisten laitosten, eduskunnan virastojen, tasavallan presidentin kanslian sekä Suomen evankelis-luterilaisen kirkon ja Suomen ortodoksisen kirkon ja niiden seurakuntien, seurakuntayhtymien ja muiden elinten suorittaman henkilötietojen käsittelyn.

2. ponsi

Koska muutospöytäkirja sisältää määräyksiä, jotka kuuluvat lainsäädännön alaan, annetaan samalla eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1.

Laki yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta tehdystä pöytäkirjasta

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muuttamisesta Strasbourgissa 10 päivänä lokakuuta 2018 tehdyn pöytäkirjan lainsäädännön alaan kuuluvat määräykset ovat lakina voimassa sellaisina kuin Suomi on niihin sitoutunut.


2 §

Yleissopimuksen 15 artiklan 1 kohdassa tarkoitetut yleissopimuksen määräysten noudattamista valvovat viranomaiset ovat tietosuojalaissa (1050/2018) tarkoitettu tietosuojavaltuutettu ja Ahvenanmaan maakuntalainsäädännössä tarkoitettu Datainspektionen. Yleissopimuksen noudattamista valvovien viranomaisten tehtäviin ja toimivaltuuksiin sovelletaan, mitä niistä erikseen säädetään.


3 §

Tällä lailla kumotaan yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehtyyn Euroopan neuvoston yleissopimukseen tehdyn lisäpöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta annettu laki (408/2012).


4 §

Pöytäkirjan muiden kuin lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta säädetään valtioneuvoston asetuksella.


5 §

Tämän lain voimaantulosta säädetään valtioneuvoston asetuksella.



2.

Laki tietosuojalain muuttamisesta

Eduskunnan päätöksen mukaisesti

lisätään tietosuojalakiin (1050/2018) uusi 18 a § seuraavasti:

18 a §
Yhteistyö kolmansien maiden valvontaviranomaisten kanssa

Sen lisäksi, mitä tietosuoja-asetuksen 61 artiklassa säädetään Euroopan unionin jäsenvaltioiden valvontaviranomaisten keskinäisestä avunannosta, tietosuojavaltuutetulla on oikeus ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä kyseisille valvontaviranomaisille henkilötietoja tai muita tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen.



Tämä laki tulee voimaan päivänä kuuta 20 .


3.

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 ja 54 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 1 §:n 3 momentti sekä

lisätään 54 §:ään uusi 3 momentti seuraavasti:

1 §
Soveltamisala

Edellä 2 momentissa tarkoitettuun henkilötietojen käsittelyyn ei kuitenkaan sovelleta


54 §:ää keskinäisestä avunannosta toisen EU:n jäsenvaltion kanssa.



54 §
Keskinäinen avunanto

Sen lisäksi, mitä 1 momentissa säädetään, tietosuojavaltuutetulla on oikeus ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä kyseisille valvontaviranomaisille henkilötietoja tai muita tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen.



Tämä laki tulee voimaan päivänä kuuta 20 .


Helsingissä 2.4.2020

Pääministeri
Sanna Marin

Oikeusministeri
Anna-Maja Henriksson

Sopimusteksti

PÖYTÄKIRJA YKSILÖIDEN SUOJELUSTA HENKILÖTIETOJEN AUTOMAATTISESSA TIETOJENKÄSITTELYSSÄ TEHDYN YLEISSOPIMUKSEN MUUTTAMISESTA PROTOCOL AMENDING THE CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA

Johdanto-osa

Euroopan neuvoston jäsenvaltiot ja muut yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn, Strasbourgissa 28 päivänä tammikuuta 1981 allekirjoittamista varten avatunyleissopimuksen (ETS 108) (jäljempänä “yleissopimus”) osapuolet, jotka

ottavat huomioon kolmannen vuosituhannen tietosuojaa ja yksityisyyttä koskevan päätöslauselman nro 3, joka hyväksyttiin 30. Euroopan neuvoston oikeusministerikokouksessa (Istanbulissa, Turkissa, 24–26 päivänä marraskuuta 2010),

ottavat huomioon Euroopan neuvoston parlamentaarisen yleiskokouksen päätöslauselman 1843 (2011) yksityisyyden suojasta ja henkilötiedoista Internetissä ja verkkoviestimissä sekä päätöslauselman 1986 (2014) käyttäjän suojan ja turvallisuuden parantamisesta kyberavaruudessa;

ottavat huomioon lausunnon 296 (2017), joka koski yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen (ETS 108) muuttamisesta tehdyn pöytäkirjan luonnosta ja sen selitysmuistiota ja jonka pysyvä komitea antoi Euroopan neuvoston parlamentaarisen yleiskokouksen puolesta 24 marraskuuta 2017;

katsovat, että yleissopimuksen hyväksymisen jälkeen on ilmaantunut uusia haasteita yksilöiden suojelulle henkilötietojen käsittelyssä,

ottavat huomioon tarpeen varmistaa, että yleissopimuksella on edelleen keskeisin rooli suojeltaessa yksilöitä henkilötietojen käsittelyssä sekä yleisemmin suojeltaessa ihmisoikeuksia ja perusvapauksia,

ovat sopineet seuraavasta:

Preamble

The member States of the Council of Europe and the other Parties to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), opened for signature in Strasbourg on 28 January 1981 (hereinafter referred to as “the Convention”),

Having regard to Resolution No. 3 on data protection and privacy in the third millennium adopted at the 30th Council of Europe Conference of Ministers of Justice (Istanbul, Turkey, 24-26 November 2010);

Having regard to the Parliamentary Assembly of the Council of Europe’s Resolution 1843 (2011) on the protection of privacy and personal data on the Internet and online media and Resolution 1986 (2014) on improving user protection and security in cyberspace;

Having regard to Opinion 296 (2017) on the draft protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108) and its explanatory memorandum, adopted by the Standing Committee on behalf of the Parliamentary Assembly of the Council of Europe on 24 November 2017;

Considering that new challenges to the protection of individuals with regard to the processing of personal data have emerged since the Convention was adopted;

Considering the need to ensure that the Convention continues to play its pre-eminent role in protecting individuals with regard to the processing of personal data, and more generally in protecting human rights and fundamental freedoms,

Have agreed as follows:

1 artikla

1. Korvataan yleissopimuksen johdanto-osan ensimmäinen kappale seuraavasti:

“Euroopan neuvoston jäsenvaltiot ja muut tämän yleissopimuksen allekirjoittajat, jotka”.

2. Korvataan yleissopimuksen johdanto-osan kolmas kappale seuraavasti:

“katsovat, että on välttämätöntä turvata jokaisen ihmisarvo sekä ihmisoikeuksien ja perusvapauksien suoja, ja koska tietojen käsittely ja henkilötietojen siirrot monimuotoistuvat, tehostuvat ja maailmanlaajuistuvat, myös henkilökohtainen itsemääräämisoikeus, joka perustuu yksilön oikeuteen määrätä henkilötiedoistaan ja niiden käsittelystä,”.

3. Korvataan yleissopimuksen johdanto-osan neljäs kappale seuraavasti:

”palauttavat mieliin, että oikeutta henkilötietojen suojaan on tarkasteltava sen yhteiskunnallisen merkityksen kannalta ja että tämä oikeus on sovitettava yhteen muiden ihmisoikeuksien ja perusvapauksien kanssa, sananvapaus mukaan lukien,”.

4. Lisätään yleissopimuksen johdanto-osan neljännen kappaleen jälkeen seuraava kappale:

“katsovat, että tässä yleissopimuksessa määrättyjä sääntöjä täytäntöön pantaessa yleissopimus mahdollistaa sen, että viranomaisen asiakirjojen julkisuusperiaate voidaan ottaa huomioon,”.

5. Poistetaan yleissopimuksen johdanto-osan viides kappale. Lisätään johdanto-osaan uudet viides ja kuudes kappale, jotka kuuluvat seuraavasti:

”ovat tietoisia siitä, että on välttämätöntä edistää maailmanlaajuisesti yksityisyyden kunnioittamisen ja henkilötietojen suojaamisen perusarvoja ja siten edistää vapaata tiedonkulkua ihmisten välillä,”;

”ovat tietoisia siitä, että on eduksi vahvistaa kansainvälistä yhteistyötä yleissopimuksen osapuolten välillä,”.

Article 1

1. The first recital of the preamble of the Convention shall be replaced by the following:

“The member States of the Council of Europe, and the other signatories hereto,”

2. The third recital of the preamble of the Convention shall be replaced by the following:

“Considering that it is necessary to secure the human dignity and protection of the human rights and fundamental freedoms of every individual and, given the diversification, intensification and globalisation of data processing and personal data flows, personal autonomy based on a person’s right to control his or her personal data and the processing of such data;”

3. The fourth recital of the preamble of the Convention shall be replaced by the following:

“Recalling that the right to protection of personal data is to be considered in respect of its role in society and that it has to be reconciled with other human rights and fundamental freedoms, including freedom of expression;”

4. The following recital shall be added after the fourth recital of the preamble of the Convention:

“Considering that this Convention permits account to be taken, in the implementation of the rules laid down therein, of the principle of the right of access to official documents;”

5. The fifth recital of the preamble of the Convention shall be deleted. New fifth and sixth recitals shall be added, which read as follows:

“Recognising that it is necessary to promote at the global level the fundamental values of respect for privacy and protection of personal data, thereby contributing to the free flow of information between people;”

“Recognising the interest of a reinforcement of international co-operation between the Parties to the Convention,”

2 artikla

Korvataan yleissopimuksen 1 artiklan teksti seuraavasti:

“Tämän yleissopimuksen tarkoituksena on suojata jokaista yksilöä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta, kun on kyse hänen henkilötietojensa käsittelystä, ja siten edistää hänen ihmisoikeuksiensa ja perusvapauksiensa kunnioittamista ja erityisesti hänen yksityisyyden suojansa kunnioittamista.”

Article 2

The text of Article 1 of the Convention shall be replaced by the following:

“The purpose of this Convention is to protect every individual, whatever his or her nationality or residence, with regard to the processing of their personal data, thereby contributing to respect for his or her human rights and fundamental freedoms, and in particular the right to privacy.”

3 artikla

1. Korvataan yleissopimuksen 2 artiklan b alakohta seuraavasti:

“b) “tietojen käsittely” tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin, kuten tällaisten tietojen keräämistä, tallentamista, säilyttämistä, muuttamista, hakua, luovuttamista, saataville asettamista, poistamista tai hävittämistä tai loogisten ja/tai aritmeettisten toimintojen suorittamista tällaisilla tiedoilla;”.

2. Korvataan yleissopimuksen 2 artiklan c alakohta seuraavasti:

“c) kun tietoja ei käsitellä automaattisesti, “tietojen käsittely” tarkoittaa toimintoa tai toimintoja, jotka kohdistetaan henkilötietoihin osana jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tai haettavissa tietyillä perusteilla;”.

3. Korvataan yleissopimuksen 2 artiklan d alakohta seuraavasti:

“d) "rekisterinpitäjä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, laitosta, virastoa tai muuta elintä, jolla on yksin tai yhdessä toisten kanssa toimivalta päättää tietojen käsittelystä;”.

4. Lisätään yleissopimuksen 2 artiklan d alakohdan jälkeen uudet alakohdat seuraavasti:

“e) “vastaanottaja” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, laitosta, virastoa tai muuta elintä, jolle tietoja luovutetaan tai asetetaan saataville;

f) “henkilötietojen käsittelijä” tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, laitosta, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.”.

Article 3

1. Litterab of Article 2 of the Convention shall be replaced by the following:

“b) ‘data processing’ means any operation or set of operations performed on personal data, such as the collection, storage, preservation, alteration, retrieval, disclosure, making available, erasure, or destruction of, or the carrying out of logical and/or arithmetical operations on such data;”

2. Litterac of Article 2 of the Convention shall be replaced by the following:

“c) where automated processing is not used, ‘data processing’ means an operation or set of operations performed upon personal data within a structured set of such data which are accessible or retrievable according to specific criteria;”

3. Litterad of Article 2 of the Convention shall be replaced by the following:

“d) ‘controller’ means the natural or legal person, public authority, service, agency or any other body which, alone or jointly with others, has decision-making power with respect to data processing;”

4. The following new litteraeshall be added after litterad of Article 2 of the Convention:

“e) ‘recipient’ means a natural or legal person, public authority, service, agency or any other body to whom data are disclosed or made available;

f) ‘processor’ means a natural or legal person, public authority, service, agency or any other body which processes personal data on behalf of the controller.”

4 artikla

1. Korvataan yleissopimuksen 3 artiklan 1 kohta seuraavasti:

“1. ”Osapuolet sitoutuvat soveltamaan tätä yleissopimusta lainkäyttövaltaansa kuuluvaan tietojen käsittelyyn julkisella ja yksityisellä sektorilla, turvaten siten jokaisen yksilön oikeuden henkilötietojensa suojaan.”

2. Korvataan yleissopimuksen 3 artiklan 2 kohta seuraavasti:

“2. Tätä yleissopimusta ei sovelleta sellaiseen tietojen käsittelyyn, jota yksilö suorittaa puhtaasti henkilökohtaisessa tai kotitalouteensa liittyvässä toiminnassa.”

3. Poistetaan yleissopimuksen 3 artiklan 3–6 kohta.

Article 4

1. Paragraph 1 of Article 3 of the Convention shall be replaced by the following:

“1. Each Party undertakes to apply this Convention to data processing subject to its jurisdiction in the public and private sectors, thereby securing every individual’s right to protection of his or her personal data.”

2. Paragraph 2 of Article 3 of the Convention shall be replaced by the following:

“2. This Convention shall not apply to data processing carried out by an individual in the course of purely personal or household activities.”

3. Paragraphs 3 to 6 of Article 3 of the Convention shall be deleted.

5 artikla

Korvataan yleissopimuksen II luvun otsikko seuraavasti:

“II luku – Henkilötietojen suojaamisen perusperiaatteet”.

Article 5

The title of Chapter II of the Convention shall be replaced by the following:

“Chapter II – Basic principles for the protection of personal data”.

6 artikla

1. Korvataan yleissopimuksen 4 artiklan 1 kohta seuraavasti:

“1. Osapuolet toteuttavat tarvittavat lainsäädäntötoimet saattaakseen tämän yleissopimuksen määräykset voimaan ja varmistaakseen niiden tehokkaan soveltamisen.”

2. Korvataan yleissopimuksen 4 artiklan 2 kohta seuraavasti:

“2. Osapuolet toteuttavat nämä toimet siihen mennessä, kun ne ratifioivat yleissopimuksen tai liittyvät siihen, ja toimien on oltava voimassa siihen mennessä.”

3. Lisätään yleissopimuksen 4 artiklan 2 kohdan jälkeen uusi kohta seuraavasti:

3. “Osapuolet sitoutuvat

a) sallimaan sen, että VI luvussa tarkoitettu yleissopimuksen komitea arvioi niiden lainsäädäntötoimien tehokkuuden, jotka osapuoli on toteuttanut saattaakseen yleissopimuksen määräykset voimaan; ja

b) myötävaikuttamaan aktiivisesti tähän arviointiprosessiin.”

Article 6

1. Paragraph 1 of Article 4 of the Convention shall be replaced by the following:

“1. Each Party shall take the necessary measures in its law to give effect to the provisions of this Convention and secure their effective application.”

2. Paragraph 2 of Article 4 of the Convention shall be replaced by the following:

“2. These measures shall be taken by each Party and shall have come into force by the time of ratification or of accession to this Convention.”

3. A new paragraph shall be added after paragraph 2 of Article 4 of the Convention:

“3. Each Party undertakes:

a) to allow the Convention Committee provided for in Chapter VI to evaluate the effectiveness of the measures it has taken in its law to give effect to the provisions of this Convention; and

b) to contribute actively to this evaluation process.”

7 artikla

1. Korvataan 5 artiklan otsikko seuraavasti:

“5 artikla – Tietojen käsittelyn oikeutus ja tietojen laatu”.

2. Korvataan yleissopimuksen 5 artiklan teksti seuraavasti:

“1. Tietojen käsittelyn on oltava oikeasuhteista tavoiteltavaan oikeutettuun päämäärään nähden, ja sen on kaikissa vaiheissaan oltava oikeudenmukaisessa tasapainossa toisaalta kaikkien asiaan liittyvien julkisten tai yksityisten etujen ja toisaalta suojattavien oikeuksien ja vapauksien välillä.

2. Osapuolet varmistavat, että tietoja voidaan käsitellä rekisteröidyn vapaan, nimenomaisen, tietoon perustuvan ja yksiselitteisen suostumuksen perusteella tai jollakin muulla oikeutetulla, lailla säädetyllä perusteella.

3. Käsiteltäviä henkilötietoja on käsiteltävä lain mukaisesti.

4. Käsiteltävien henkilötietojen osalta edellytetään, että

a) niitä käsitellään oikeudenmukaisesti ja läpinäkyvällä tavalla;

b) ne kerätään tiettyihin, nimenomaisiin ja laillisiin tarkoituksiin, eikä niitä käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten pidetään näiden tarkoitusten kanssa yhteensopivana, jos asianmukaisia suojatoimia noudatetaan;

c) ne ovat asianmukaisia ja olennaisia eivätkä ole liiallisia niihin tarkoituksiin nähden, joita varten niitä käsitellään;

d) ne ovat täsmällisiä ja tarvittaessa päivitettyjä;

e) niitä säilytetään muodossa, joka mahdollistaa rekisteröityjen tunnistamisen enintään niin kauan kuin on tarpeen niihin tarkoituksiin, joita varten kyseisiä tietoja käsitellään.”

Article 7

1. The title of Article 5 shall be replaced by the following:

“Article 5 – Legitimacy of data processing and quality of data”.

2. The text of Article 5 of the Convention shall be replaced by the following:

“1. Data processing shall be proportionate in relation to the legitimate purpose pursued and reflect at all stages of the processing a fair balance between all interests concerned, whether public or private, and the rights and freedoms at stake.

2. Each Party shall provide that data processing can be carried out on the basis of the free, specific, informed and unambiguous consent of the data subject or of some other legitimate basis laid down by law.

3. Personal data undergoing processing shall be processed lawfully.

4. Personal data undergoing processing shall be:

a) processed fairly and in a transparent manner;

b) collected for explicit, specified and legitimate purposes and not processed in a way incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is, subject to appropriate safeguards, compatible with those purposes;

c) adequate, relevant and not excessive in relation to the purposes for which they are processed;

d) accurate and, where necessary, kept up to date;

e) preserved in a form which permits identification of the data subjects for no longer than is necessary for the purposes for which those data are processed.”

8 artikla

Korvataan yleissopimuksen 6 artiklan teksti seuraavasti:

“1. Seuraavien henkilötietojen käsittely on sallittua vain, jos lailla on säädetty asianmukaisista suojatoimista, jotka täydentävät yleissopimuksen mukaisia suojatoimia:

- geneettiset tiedot;

- henkilötiedot, jotka liittyvät rikoksiin, rikosoikeudenkäynteihin ja rikostuomioihin sekä näihin liittyviin turvaamistoimiin;

- biometriset tiedot, joiden avulla henkilö on yksiselitteisesti tunnistettavissa;

- henkilötiedot, joista ilmenee tieto yksilön rodusta tai etnisestä alkuperästä, poliittisista mielipiteistä, ammattiyhdistyksen jäsenyydestä, uskonnosta tai muusta vakaumuksesta, terveydestä tai seksuaalisesta käyttäytymisestä.

2. Tällaisten suojatoimien on suojattava niiltä riskeiltä, joita arkaluonteisten tietojen käsittely voi aiheuttaa rekisteröidyn eduille, oikeuksille ja perusvapauksille, erityisesti syrjinnän riskiltä.”

Article 8

The text of Article 6 of the Convention shall be replaced by the following:

“1. The processing of:

– genetic data;

– personal data relating to offences, criminal proceedings and convictions, and related security measures;

– biometric data uniquely identifying a person;

– personal data for the information they reveal relating to racial or ethnic origin, political opinions, trade-union membership, religious or other beliefs, health or sexual life,

shall only be allowed where appropriate safeguards are enshrined in law, complementing those of this Convention.

2. Such safeguards shall guard against the risks that the processing of sensitive data may present for the interests, rights and fundamental freedoms of the data subject, notably a risk of discrimination.”

9 artikla

Korvataan yleissopimuksen 7 artiklan teksti seuraavasti:

“1. Osapuolet varmistavat, että rekisterinpitäjä ja tapauksen mukaan henkilötietojen käsittelijä ryhtyvät asianmukaisiin turvatoimiin sellaisia riskejä vastaan kuin tahaton tai luvaton pääsy henkilötietoihin tai tahaton tai luvaton pääsy henkilötietojen tuhoutuminen, menettäminen, käyttö, muuttaminen tai luovuttaminen.

2. Osapuolet varmistavat, että rekisterinpitäjä ilmoittaa viipymättä ainakin yleissopimuksen 15 artiklassa tarkoitetulle toimivaltaiselle valvontaviranomaiselle sellaisista tietoturvaloukkauksista, jotka voivat vakavasti loukata rekisteröityjen oikeuksia ja perusvapauksia.”

Article 9

The text of Article 7 of the Convention shall be replaced by the following:

“1. Each Party shall provide that the controller, and where applicable the processor, takes appropriate security measures against risks such as accidental or unauthorised access to, destruction, loss, use, modification or disclosure of personal data.

2. Each Party shall provide that the controller notifies, without delay, at least the competent supervisory authority within the meaning of Article 15 of this Convention, of those data breaches which may seriously interfere with the rights and fundamental freedoms of data subjects.”

10 artikla

Lisätään yleissopimuksen 7 artiklan jälkeen uusi artikla seuraavasti:

”8 artikla – Tietojen käsittelyn läpinäkyvyys

1. Osapuolet varmistavat, että rekisterinpitäjä ilmoittaa rekisteröidyille seuraavat tiedot:

a) rekisterinpitäjän henkilöllisyys ja pysyvä kotipaikka tai toimipaikka;

b) henkilötietojen aiotun käsittelyn oikeusperuste ja tarkoitukset;

c) käsiteltävien henkilötietojen ryhmät;

d) henkilötietojen mahdolliset vastaanottajat tai vastaanottajien ryhmät; ja

e) keinot 9 artiklan mukaisten oikeuksien käyttämiseen,

sekä tarvittavat lisätiedot henkilötietojen oikeudenmukaisen ja läpinäkyvän käsittelyn varmistamiseksi.

2. Tämän artiklan 1 kohtaa ei sovelleta, jos rekisteröidyllä jo on kyseiset tiedot.

3. Jos henkilötietoja ei kerätä suoraan rekisteröidyiltä, rekisterinpitäjältä ei edellytetä edellä tarkoitettua ilmoitusta, jos tietojen käsittelystä säädetään nimenomaisesti lailla tai ilmoittaminen osoittautuu mahdottomaksi tai edellyttää kohtuutonta vaivaa.”

Article 10

A new Article 8 shall be added after Article 7 of the Convention as follows:

“Article 8 – Transparency of processing

1. Each Party shall provide that the controller informs the data subjects of:

a) his or her identity and habitual residence or establishment;

b) the legal basis and the purposes of the intended processing;

c) the categories of personal data processed;

d) the recipients or categories of recipients of the personal data, if any; and

e) the means of exercising the rights set out in Article 9,

as well as any necessary additional information in order to ensure fair and transparent processing of the personal data.

2. Paragraph 1 shall not apply where the data subject already has the relevant information.

3. Where the personal data are not collected from the data subjects, the controller shall not be required to provide such information where the processing is expressly prescribed by law or this proves to be impossible or involves disproportionate efforts.”

11 artikla

1. Numeroidaan uudelleen yleissopimuksen aiempi 8 artikla 9 artiklaksi ja korvataan otsikko seuraavasti:

“9 artikla – Rekisteröidyn oikeudet”.

2. Korvataan yleissopimuksen 8 artiklan (uuden 9 artiklan) teksti seuraavasti:

“1. Jokaisella yksilöllä on oikeus

a) olla joutumatta sellaisen päätöksen kohteeksi, joka vaikuttaa häneen merkittävästi ja joka perustuu yksinomaan automaattiseen tietojenkäsittelyyn hänen näkemyksiään huomioon ottamatta;

b) saada pyynnöstä kohtuullisin väliajoin ja ilman kohtuuttomia viivästyksiä ja kuluja vahvistus henkilötietojensa käsittelystä, ilmoitus käsitellyistä henkilötiedoista ymmärrettävässä muodossa, kaikki käytettävissä olevat tiedot kyseisten henkilötietojen alkuperästä ja säilytysajasta sekä muut tiedot, jotka rekisterinpitäjän on annettava varmistaakseen tietojen käsittelyn läpinäkyvyyden 8 artiklan 1 kohdan mukaisesti;

c) saada pyynnöstä tietää henkilötietojen käsittelyn perusteet, jos käsittelyn tuloksia sovelletaan häneen;

d) vastustaa henkilökohtaiseen tilanteeseensa liittyvillä perusteilla milloin tahansa henkilötietojensa käsittelyä, jollei rekisterinpitäjä osoita henkilötietojen käsittelylle oikeutettuja perusteita, jotka syrjäyttävät kyseisen yksilön edun tai oikeudet ja perusvapaudet;

e) saada pyynnöstä maksutta ja ilman kohtuutonta viivästystä henkilötietonsa tapauksen mukaan oikaistuiksi tai poistetuiksi, jos niitä käsitellään tai on käsitelty yleissopimuksen määräysten vastaisesti;

f) käyttää 12 artiklassa tarkoitettua oikeussuojakeinoa, jos hänen yleissopimuksen mukaisia oikeuksiaan on loukattu;

g) saada kansalaisuudestaan ja asuinpaikastaan riippumatta 15 artiklassa tarkoitetulta valvontaviranomaiselta apua yleissopimuksen mukaisten oikeuksiensa käyttämisessä.

2. Tämän artiklan 1 kohdan a alakohtaa ei sovelleta, jos päätös on rekisterinpitäjään sovellettavan lainsäädännön mukaan sallittu ja jos tässä lainsäädännössä myös säädetään sopivista toimista rekisteröidyn oikeuksien, vapauksien ja oikeutettujen etujen turvaamiseksi.”

Article 11

1. The former Article 8 of the Convention shall be renumbered Article 9 and the title shall be replaced by the following:

“Article 9 – Rights of the data subject”.

2. The text of Article 8 of the Convention (new Article 9) shall be replaced by the following:

“1. Every individual shall have a right:

a) not to be subject to a decision significantly affecting him or her based solely on an automated processing of data without having his or her views taken into consideration;

b) to obtain, on request, at reasonable intervals and without excessive delay or expense, confirmation of the processing of personal data relating to him or her, the communication in an intelligible form of the data processed, all available information on their origin, on the preservation period as well as any other information that the controller is required to provide in order to ensure the transparency of processing in accordance with Article 8, paragraph 1;

c) to obtain, on request, knowledge of the reasoning underlying data processing where the results of such processing are applied to him or her;

d) to object at any time, on grounds relating to his or her situation, to the processing of personal data concerning him or her unless the controller demonstrates legitimate grounds for the processing which override his or her interests or rights and fundamental freedoms;

e) to obtain, on request, free of charge and without excessive delay, rectification or erasure, as the case may be, of such data if these are being, or have been, processed contrary to the provisions of this Convention;

f) to have a remedy under Article 12 where his or her rights under this Convention have been violated;

g) to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority within the meaning of Article 15, in exercising his or her rights under this Convention.

2. Paragraph 1.a shall not apply if the decision is authorised by a law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights, freedoms and legitimate interests.”

12 artikla

Lisätään yleissopimuksen uuden 9 artiklan jälkeen uusi 10 artikla seuraavasti:

”10 artikla – Muut velvoitteet

1. Osapuolet varmistavat, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät toteuttavat kaikki asianmukaiset toimet noudattaakseen yleissopimuksen velvoitteita ja, ottaen huomioon 11 artiklan 3 kohdan mukaisesti annetun kansallisen lainsäädännön, pystyäkseen osoittamaan erityisesti 15 artiklassa tarkoitetulle toimivaltaiselle valvontaviranomaiselle, että niiden vastuulla olevassa tietojen käsittelyssä noudatetaan yleissopimuksen määräyksiä.

2. Osapuolet varmistavat, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät ennen tietojen käsittelyn aloittamista selvittävät aiotun henkilötietojen käsittelyn todennäköisen vaikutuksen rekisteröityjen oikeuksiin ja perusvapauksiin ja suunnittelevat henkilötietojen käsittelyn siten, että näiden oikeuksien ja perusvapauksien loukkaamisen riski estetään tai minimoidaan.

3. Osapuolet varmistavat, että rekisterinpitäjät ja tapauksen mukaan henkilötietojen käsittelijät toteuttavat tekniset ja organisatoriset toimet, joissa otetaan huomioon se, miten oikeus henkilötietojen suojaan vaikuttaa kaikissa tietojen käsittelyn vaiheissa.

4. Ottaen huomioon rekisteröityjen eduille, oikeuksille ja perusvapauksille aiheutuvat riskit, osapuolet voivat yleissopimuksen täytäntöönpanolainsäädännössä mukauttaa 1, 2 ja 3 kohdan määräysten soveltamista vastaamaan tietojen luonnetta ja määrää ja tietojen käsittelyn luonnetta, laajuutta ja tarkoitusta sekä tapauksen mukaan rekisterinpitäjän tai henkilötietojen käsittelijän kokoa.”

Article 12

A new Article 10 shall be added after the new Article 9 of the Convention as follows:

“Article 10 – Additional obligations

1. Each Party shall provide that controllers and, where applicable, processors, take all appropriate measures to comply with the obligations of this Convention and be able to demonstrate, subject to the domestic legislation adopted in accordance with Article 11, paragraph 3, in particular to the competent supervisory authority provided for in Article 15, that the data processing under their control is in compliance with the provisions of this Convention.

2. Each Party shall provide that controllers and, where applicable, processors, examine the likely impact of intended data processing on the rights and fundamental freedoms of data subjects prior to the commencement of such processing, and shall design the data processing in such a manner as to prevent or minimise the risk of interference with those rights and fundamental freedoms.

3. Each Party shall provide that controllers, and, where applicable, processors, implement technical and organisational measures which take into account the implications of the right to the protection of personal data at all stages of the data processing.

4. Each Party may, having regard to the risks arising for the interests, rights and fundamental freedoms of the data subjects, adapt the application of the provisions of paragraphs 1, 2 and 3 in the law giving effect to the provisions of this Convention, according to the nature and volume of the data, the nature, scope and purpose of the processing and, where appropriate, the size of the controller or processor.”

Artikla 13

Yleissopimuksen aiemmista 9–12 artiklasta tulee yleissopimuksen 11–14 artikla.

Article 13

The former Articles 9 to 12 of the Convention shall become Articles 11 to 14 of the Convention.

14 artikla

Korvataan yleissopimuksen 9 artiklan (uuden 11 artiklan) teksti seuraavasti:

“1. Tämä luvun määräyksistä ei sallita poikkeuksia, lukuun ottamatta 5 artiklan 4 kohdan, 7 artiklan 2 kohdan, 8 artiklan 1 kohdan ja 9 artiklan määräyksiä edellyttäen, että tällaisesta poikkeuksesta säädetään lailla, siinä kunnioitetaan perusoikeuksia ja -vapauksia olennaisilta osin, ja poikkeus on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimi

a) kansallisen turvallisuuden, puolustuksen, yleisen turvallisuuden tai valtion tärkeiden talous- tai rahoitusetujen tai oikeuslaitoksen puolueettomuuden ja riippumattomuuden, rikosten ennalta estämisen tai selvittämisen, syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpanon taikka muiden tärkeiden yleisen edun mukaisten tavoitteiden turvaamiseksi;

b) rekisteröidyn suojaamiseksi tai muiden ihmisten oikeuksien ja perusvapauksien, erityisesti sananvapauden, suojaamiseksi.

2. Yleissopimuksen 8 ja 9 artiklan määräysten soveltamiseen voidaan säätää lailla rajoituksia, jos henkilötietoja käsitellään yleisen edun mukaista arkistointia, tieteen tai historian tutkimusta tai tilastointia varten, jollei ole tunnistettavissa rekisteröityjen oikeuksien ja perusvapauksien loukkaamisen riskiä.

3. Kun on kyse kansallisen turvallisuuden ja puolustuksen tarkoituksiin liittyvästä henkilötietojen käsittelystä, kukin osapuoli voi tämän artiklan 1 kohdassa sallittujen poikkeusten lisäksi säätää lailla poikkeuksia 4 artiklan 3 kohdasta, 14 artiklan 5 ja 6 kohdasta sekä 15 artiklan 2 kohdan a, b, c ja d alakohdasta ainoastaan siltä osin kuin poikkeus on välttämätön ja oikeasuhteinen toimi kyseessä olevan päämäärän saavuttamiseksi demokraattisessa yhteiskunnassa.

Edellä oleva ei vaikuta vaatimukseen siitä, että kansalliseen turvallisuuteen ja puolustustarkoituksiin liittyvää henkilötietojen käsittelyä on arvioitava ja valvottava riippumattomasti ja tehokkaasti osapuolen kansallisen lainsäädännön mukaisesti.”

Article 14

The text of Article 9 of the Convention (new Article 11) shall be replaced by the following:

“1. No exception to the provisions set out in this chapter shall be allowed except to the provisions of Article 5, paragraph 4, Article 7, paragraph 2, Article 8, paragraph 1, and Article 9, when such an exception is provided for by law, respects the essence of the fundamental rights and freedoms and constitutes a necessary and proportionate measure in a democratic society for:

a) the protection of national security, defence, public safety, important economic and financial interests of the State, the impartiality and independence of the judiciary or the prevention, investigation and prosecution of criminal offences and the execution of criminal penalties, and other essential objectives of general public interest;

b) the protection of the data subject or the rights and fundamental freedoms of others, notably freedom of expression.

2. Restrictions on the exercise of the provisions specified in Articles 8 and 9 may be provided for by law with respect to data processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes when there is no recognisable risk of infringement of the rights and fundamental freedoms of data subjects.

3. In addition to the exceptions allowed for in paragraph 1 of this article, with reference to processing activities for national security and defence purposes, each Party may provide, by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfil such an aim, exceptions to Article 4, paragraph 3, Article 14, paragraphs 5 and 6, and Article 15, paragraph 2, litteraea, b, c and d.

This is without prejudice to the requirement that processing activities for national security and defence purposes are subject to independent and effective review and supervision under the domestic legislation of the respective Party.”

15 artikla

Korvataan yleissopimuksen 10 artiklan (uuden 12 artiklan) teksti seuraavasti:

“Osapuolet sitoutuvat ottamaan käyttöön asianmukaiset lainkäyttöelimissä ja muissa elimissä määrättävät seuraamukset ja niissä käytettävät oikeussuojakeinot, joita sovelletaan yleissopimuksen määräysten loukkauksiin.”

Article 15

The text of Article 10 of the Convention (new Article 12) shall be replaced by the following:

“Each Party undertakes to establish appropriate judicial and non-judicial sanctions and remedies for violations of the provisions of this Convention.”

16 artikla

Korvataan III luvun otsikko seuraavasti:

“III luku – Rajat ylittävät henkilötietojen siirrot”.

Article 16

The title of Chapter III shall be replaced by the following:

“Chapter III – Transborder flows of personal data”.

17 artikla

1. Korvataan yleissopimuksen 12 artiklan (uuden 14 artiklan) otsikko seuraavasti:

“14 artikla – Rajat ylittävät henkilötietojen siirrot ”.

2. Korvataan yleissopimuksen 12 artiklan (uuden 14 artiklan) teksti seuraavasti:

”1. Osapuoli ei yksinomaan henkilötietoja suojatakseen saa kieltää tällaisten tietojen siirtämistä vastaanottajalle, joka kuuluu yleissopimuksen toisen osapuolen lainkäyttövaltaan, tai edellyttää erillistä lupaa tällaiseen siirtoon. Osapuoli voi kuitenkin toimia siten, jos on olemassa tosiasiallinen ja vakava riski, että siirto toisen osapuolen alueelle tai kyseisen toisen osapuolen alueelta muun kuin jonkin osapuolen alueelle johtaisi yleissopimuksen määräysten kiertämiseen. Osapuoli voi toimia siten myös, jos sitä sitovat alueelliseen kansainväliseen järjestöön kuuluvien valtioiden yhteiset, yhdenmukaistetut tietosuojaa koskevat säännöt.

2. Jos henkilötietojen vastaanottaja kuuluu sellaisen valtion tai kansainvälisen järjestön lainkäyttövaltaan, joka ei ole yleissopimuksen osapuoli, henkilötietoja saa siirtää vain, jos varmistetaan yleissopimuksen määräyksiin perustuva asianmukainen tietosuojan taso.

3. Asianmukainen tietosuojan taso voidaan varmistaa

a) kyseisen valtion tai kansainvälisen järjestön lainsäädännöllä, mukaan lukien sovellettavat kansainväliset sopimukset; tai

b) erityistilannetta koskevilla tai hyväksytyillä vakiomuotoisilla suojatoimilla, joista määrätään oikeudellisesti sitovassa ja täytäntöönpanokelpoisessa asiakirjassa, jonka henkilötietojen siirtoon ja jatkokäsittelyyn osallistuvat henkilöt hyväksyvät ja panevat täytäntöön.

4. Edellisten kohtien määräysten estämättä kukin osapuoli voi säätää, että henkilötietoja saa siirtää, jos

a) rekisteröity on antanut siihen nimenomaisen, yksilöidyn ja vapaan suostumuksensa, sen jälkeen, kun hänelle on ilmoitettu niistä riskeistä, joita syntyy asianmukaisten suojatoimien puuttuessa; tai

b) rekisteröidyn erityiset edut edellyttävät sitä yksittäistapauksessa; tai

c) pakottavista oikeutetuista eduista, erityisesti merkittävistä yleisistä eduista, on säädetty lailla ja kyseessä oleva siirto on välttämätön ja oikeasuhteinen toimi demokraattisessa yhteiskunnassa; tai

d) se on sananvapauden turvaamiseksi välttämätön ja oikeasuhteinen toimi demokraattisessa yhteiskunnassa.

5. Osapuolet varmistavat, että yleissopimuksen 15 artiklassa tarkoitetulle toimivaltaiselle valvontaviranomaiselle annetaan kaikki tarvittavat tiedot 3 kohdan b alakohdassa tarkoitetuista henkilötietojen siirroista sekä pyynnöstä 4 kohdan b ja c alakohdassa tarkoitetuista henkilötietojen siirroista.

6. Osapuolet varmistavat myös, että valvontaviranomaisella on oikeus pyytää henkilötiedot siirtävää henkilöä osoittamaan suojatoimien tehokkuus tai pakottavien oikeutettujen etujen olemassaolo ja että valvontaviranomainen voi rekisteröityjen oikeuksia ja perusvapauksia suojatakseen kieltää tällaiset siirrot, keskeyttää ne tai määrätä niille ehtoja.”

3. Yleissopimuksen 12 artiklan (uuden 14 artiklan) teksti sisältää vuonna 2001 valvontaviranomaisista ja rajat ylittävistä tietojen siirroista tehdyn lisäpöytäkirjan (ETS 181) 2 artiklan määräykset rajat ylittävistä henkilötietojen siirroista vastaanottajalle, joka ei kuulu yleissopimuksen osapuolen lainkäyttövaltaan.

Article 17

1. The title of Article 12 of the Convention (new Article 14) shall be replaced by the following:

“Article 14 – Transborder flows of personal data”.

2. The text of Article 12 of the Convention (new Article 14) shall be replaced by the following:

“1. A Party shall not, for the sole purpose of the protection of personal data, prohibit or subject to special authorisation the transfer of such data to a recipient who is subject to the jurisdiction of another Party to the Convention. Such a Party may, however, do so if there is a real and serious risk that the transfer to another Party, or from that other Party to a non-Party, would lead to circumventing the provisions of the Convention. A Party may also do so if bound by harmonised rules of protection shared by States belonging to a regional international organisation.

2. When the recipient is subject to the jurisdiction of a State or international organisation which is not Party to this Convention, the transfer of personal data may only take place where an appropriate level of protection based on the provisions of this Convention is secured.

3. An appropriate level of protection can be secured by:

a) the law of that State or international organisation, including the applicable international treaties or agreements; or

b) ad hocor approved standardised safeguards provided by legally-binding and enforceable instruments adopted and implemented by the persons involved in the transfer and further processing.

4. Notwithstanding the provisions of the previous paragraphs, each Party may provide that the transfer of personal data may take place if:

a) the data subject has given explicit, specific and free consent, after being informed of risks arising in the absence of appropriate safeguards; or

b) the specific interests of the data subject require it in the particular case; or

c) prevailing legitimate interests, in particular important public interests, are provided for by law and such transfer constitutes a necessary and proportionate measure in a democratic society; or

d) it constitutes a necessary and proportionate measure in a democratic society for freedom of expression.

5. Each Party shall provide that the competent supervisory authority, within the meaning of Article 15 of this Convention, is provided with all relevant information concerning the transfers of data referred to in paragraph 3, litterab and, upon request, paragraph 4, litteraeb and c.

6. Each Party shall also provide that the supervisory authority is entitled to request that the person who transfers data demonstrates the effectiveness of the safeguards or the existence of prevailing legitimate interests and that the supervisory authority may, in order to protect the rights and fundamental freedoms of data subjects, prohibit such transfers, suspend them or subject them to conditions.”

3. The text of Article 12 of the Convention (new Article 14) includes the provisions of Article 2 of the Additional Protocol of 2001 regarding supervisory authorities and transborder data flows (ETS No. 181) on transborder flows of personal data to a recipient which is not subject to the jurisdiction of a Party to the Convention.

18 artikla

Lisätään yleissopimuksen III luvun jälkeen uusi IV luku seuraavasti:

“IV luku – Valvontaviranomaiset”.

Article 18

A new Chapter IV shall be added after Chapter III of the Convention, as follows:

“Chapter IV – Supervisory authorities”.

19 artikla

Uusi 15 artikla sisältää vuoden 2001 lisäpöytäkirjan (ETS 181) 1 artiklan määräykset ja kuuluu seuraavasti:

“15 artikla – Valvontaviranomaiset

1. Osapuolet varmistavat, että yhden tai useamman viranomaisen tehtävänä on valvoa yleissopimuksen määräysten noudattamista.

2. Tätä tarkoitusta varten näillä viranomaisilla on

a) toimivalta tutkia määräysten noudattamista ja määrätä korjaavia toimenpiteitä;

b) edellä 14 artiklassa tarkoitettuihin henkilötietojen siirtoihin liittyvät tehtävät, erityisesti vakiomuotoisten suojatoimien hyväksyminen;

c) toimivalta tehdä päätöksiä, jotka koskevat yleissopimuksen määräysten rikkomista, ja toimivaltaan voi sisältyä erityisesti hallinnollisten seuraamusten määrääminen;

d) toimivalta osallistua oikeudenkäynteihin tai saattaa yleissopimuksen määräysten rikkominen toimivaltaisten lainkäyttöviranomaisten käsiteltäväksi;

e) tehtävä edistää

i. yleistä tietoisuutta tehtävistään, toimivallastaan ja toiminnastaan;

ii. yleistä tietoisuutta rekisteröityjen oikeuksista ja näiden oikeuksien käytöstä;

iii. rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta yleissopimuksen mukaisista velvollisuuksistaan;

erityistä huomiota kiinnitetään lasten ja muiden haavoittuvassa asemassa olevien yksilöiden tietosuojaan.

3. Toimivaltaisia valvontaviranomaisia on kuultava ehdotuksista lainsäädäntö- tai hallintotoimiksi, jotka mahdollistavat henkilötietojen käsittelyä.

4. Kukin toimivaltainen valvontaviranomainen käsittelee rekisteröityjen tietosuojaa koskevia pyyntöjä ja valituksia sekä tiedottaa rekisteröidyille käsittelyn etenemisestä.

5. Valvontaviranomaiset toimivat täysin riippumattomasti ja puolueettomasti hoitaessaan tehtäviään ja käyttäessään toimivaltuuksiaan, eivätkä ne saa pyytää tai ottaa vastaan ohjeita.

6. Osapuolet varmistavat, että valvontaviranomaisille annetaan tarvittavat resurssit tehtäviensä tehokasta hoitamista ja toimivaltuuksiensa tehokasta käyttöä varten.

7. Kukin valvontaviranomainen laatii ja julkaisee määräajoin kertomuksen toiminnastaan.

8. Valvontaviranomaisten jäsenten ja henkilöstön on pidettävä salassa sellainen tieto, johon niillä on pääsy tai on ollut pääsy hoitaessaan tehtäviään ja käyttäessään toimivaltuuksiaan.

9. Valvontaviranomaisten päätöksiin on voitava hakea muutosta tuomioistuimissa.

10. Valvontaviranomaisilla ei ole toimivaltaa valvoa henkilötietojen käsittelyä, jota tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.”

Article 19

A new Article 15 includes the provisions of Article 1 of the Additional Protocol of 2001 (ETS No.181) and reads as follows:

“Article 15 – Supervisory authorities

1. Each Party shall provide for one or more authorities to be responsible for ensuring compliance with the provisions of this Convention.

2. To this end, such authorities:

a) shall have powers of investigation and intervention;

b) shall perform the functions relating to transfers of data provided for under Article 14, notably the approval of standardised safeguards;

c) shall have powers to issue decisions with respect to violations of the provisions of this Convention and may, in particular, impose administrative sanctions;

d) shall have the power to engage in legal proceedings or to bring to the attention of the competent judicial authorities violations of the provisions of this Convention;

e) shall promote:

i. public awareness of their functions and powers, as well as their activities;

ii. public awareness of the rights of data subjects and the exercise of such rights;

iii. awareness of controllers and processors of their responsibilities under this Convention;

specific attention shall be given to the data protection rights of children and other vulnerable individuals.

3. The competent supervisory authorities shall be consulted on proposals for any legislative or administrative measures which provide for the processing of personal data.

4. Each competent supervisory authority shall deal with requests and complaints lodged by data subjects concerning their data protection rights and shall keep data subjects informed of progress.

5. The supervisory authorities shall act with complete independence and impartiality in performing their duties and exercising their powers and in doing so shall neither seek nor accept instructions.

6. Each Party shall ensure that the supervisory authorities are provided with the resources necessary for the effective performance of their functions and exercise of their powers.

7. Each supervisory authority shall prepare and publish a periodical report outlining its activities.

8. Members and staff of the supervisory authorities shall be bound by obligations of confidentiality with regard to confidential information to which they have access, or have had access to, in the performance of their duties and exercise of their powers.

9. Decisions of the supervisory authorities may be subject to appeal through the courts.

10. The supervisory authorities shall not be competent with respect to processing carried out by bodies when acting in their judicial capacity.”

20 artikla

1. Numeroidaan uudelleen yleissopimuksen IV–VII luku yleissopimuksen V–VIII luvuksi.

2. Korvataan luvun V otsikko otsikolla “V luku – Yhteistyö ja keskinäinen avunanto”.

3. Lisätään uusi 17 artikla, ja aiemmista yleissopimuksen 13–27 artiklasta tulee yleissopimuksen 16–31 artikla.

Article 20

1. Chapters IV to VII of the Convention shall be renumbered to Chapters V to VIII of the Convention.

2. The title of Chapter V shall be replaced by “Chapter V – Co-operation and mutual assistance”.

3. A new Article 17 shall be added, and former Articles 13 to 27 of the Convention shall become Articles 16 to 31 of the Convention.

21 artikla

1. Korvataan yleissopimuksen 13 artiklan (uuden 16 artiklan) otsikko seuraavasti:

“16 artikla – Valvontaviranomaisten nimeäminen”.

2. Korvataan yleissopimuksen 13 artiklan (uuden 16 artiklan) 1 kohta seuraavasti:

”1. Osapuolet sopivat tekevänsä yhteistyötä keskenään ja antavansa toisilleen keskinäistä apua yleissopimuksen täytäntöön panemiseksi.”

3. Korvataan yleissopimuksen 13 artiklan (uuden 16 artiklan) 2 kohta seuraavasti:

”2. Tätä tarkoitusta varten

a) kukin osapuoli nimeää yhden tai useamman tämän yleissopimuksen 15 artiklassa tarkoitetun valvontaviranomaisen, jonka nimen ja osoitteen se antaa tiedoksi Euroopan neuvoston pääsihteerille;

b) kukin osapuoli, joka on nimennyt useamman kuin yhden valvontaviranomaisen, ilmoittaa edellä olevassa kohdassa tarkoitetussa tiedoksiannossaan kunkin viranomaisen toimivallan.”

4. Poistetaan yleissopimuksen 13 artiklan (uuden 16 artiklan) 3 kohta.

Article 21

1. The title of Article 13 of the Convention (new Article 16) shall be replaced by the following:

“Article 16 – Designation of supervisory authorities”.

2. Paragraph 1 of Article 13 of the Convention (new Article 16) shall be replaced by the following:

“1 The Parties agree to co-operate and render each other mutual assistance in order to implement this Convention.”

3. Paragraph 2 of Article 13 of the Convention (new Article 16) shall be replaced by the following:

“2. For that purpose:

a) each Party shall designate one or more supervisory authorities within the meaning of Article 15 of this Convention, the name and address of each of which it shall communicate to the Secretary General of the Council of Europe;

b) each Party which has designated more than one supervisory authority shall specify the competence of each authority in its communication referred to in the previous littera.”

4 Paragraph 3 of Article 13 of the Convention (new Article 16) shall be deleted.

22 artikla

Lisätään yleissopimuksen uuden 16 artiklan jälkeen uusi 17 artikla seuraavasti:

“17 artikla – Yhteistyön muodot

1. Valvontaviranomaiset tekevät yhteistyötä keskenään siltä osin kuin on tarpeen niiden tehtävien hoitamiseksi ja toimivaltuuksien käyttämiseksi, erityisesti

a) avustamalla toisiaan vaihtamalla keskenään tarvittavia ja hyödyllisiä tietoja sekä toimimalla yhteistyössä edellyttäen, että henkilötietojen suojan suhteen noudatetaan kaikkia tämän yleissopimuksen sääntöjä ja suojatoimia;

b) sovittamalla yhteen tutkintansa tai toimenpiteensä tai toteuttamalla yhteisiä operaatioita;

c) luovuttamalla tietoja ja asiakirjoja tietosuojaa koskevasta lainsäädännöstään ja hallinnollisesta käytännöstään.

2. Edellä 1 kohdassa tarkoitetut tiedot eivät saa sisältää käsiteltävänä olevia henkilötietoja, jos henkilötiedot eivät ole olennaisia yhteistyön kannalta tai jos kyseinen rekisteröity ei ole antanut nimenomaista, yksilöityä, vapaata ja tietoon perustuvaa suostumustaan tällaisten henkilötietojen luovuttamiseen.

3. Järjestääkseen yhteistyönsä ja suorittaakseen edellä olevissa kohdissa määrätyt tehtävät osapuolten valvontaviranomaiset muodostavat keskenään verkoston.”

Article 22

A new Article 17 shall be added after the new Article 16 of the Convention as follows:

“Article 17 – Forms of co-operation

1. The supervisory authorities shall co-operate with one another to the extent necessary for the performance of their duties and exercise of their powers, in particular by:

a) providing mutual assistance by exchanging relevant and useful information and co-operating with each other under the condition that, as regards the protection of personal data, all the rules and safeguards of this Convention are complied with;

b) co-ordinating their investigations or interventions, or conducting joint actions;

c) providing information and documentation on their law and administrative practice relating to data protection.

2. The information referred to in paragraph 1 shall not include personal data undergoing processing unless such data are essential for co-operation, or where the data subject concerned has given explicit, specific, free and informed consent to its provision.

3. In order to organise their co-operation and to perform the duties set out in the preceding paragraphs, the supervisory authorities of the Parties shall form a network.”

23 artikla

1. Korvataan yleissopimuksen 14 artiklan (uuden 18 artiklan) otsikko seuraavasti:

“18 artikla – Rekisteröityjen avustaminen”.

2. Korvataan yleissopimuksen 14 artiklan (uuden 18 artiklan) teksti seuraavasti:

”1. Osapuolet avustavat rekisteröityä hänen kansalaisuudestaan tai asuinpaikastaan riippumatta yleissopimuksen 9 artiklan mukaisten oikeuksien käyttämisessä.

2. Jos rekisteröity oleskelee toisen osapuolen alueella, hänelle annetaan mahdollisuus esittää avustuspyyntönsä kyseisen osapuolen nimeämän valvontaviranomaisen välityksellä.

3. Avustuspyynnössä on annettava kaikki tarvittavat tiedot, muun muassa

a) pyynnön esittävän rekisteröidyn nimi, osoite ja muut tarvittavat tunnistetiedot;

b) pyynnön perusteena olevaa tietojen käsittelyä koskevat tiedot tai kyseessä oleva rekisterinpitäjä;

c) pyynnön tarkoitus.”

Article 23

1. The title of Article 14 of the Convention (new Article 18) shall be replaced by the following:

“Article 18 – Assistance to data subjects”.

2. The text of Article 14 of the Convention (new Article 18) shall be replaced by the following:

“1. Each Party shall assist any data subject, whatever his or her nationality or residence, to exercise his or her rights under Article 9 of this Convention.

2. Where a data subject resides on the territory of another Party, he or she shall be given the option of submitting the request through the intermediary of the supervisory authority designated by that Party.

3. The request for assistance shall contain all the necessary particulars, relating inter aliato:

a) the name, address and any other relevant particulars identifying the data subject making the request;

b) the processing to which the request pertains, or its controller;

c) the purpose of the request.”

24 artikla

1. Korvataan yleissopimuksen 15 artiklan (uuden 19 artiklan) otsikko seuraavasti:

“19 artikla – Suojatoimet”.

2. Korvataan yleissopimuksen 15 artiklan (uuden 19 artiklan) teksti seuraavasti:

“1. Valvontaviranomainen, joka on saanut tietoja toiselta valvontaviranomaiselta joko pyynnön mukana tai vastauksena omaan pyyntöönsä, ei saa käyttää tietoja muihin kuin pyynnössä mainittuihin tarkoituksiin.

2. Valvontaviranomaisella ei ole oikeutta esittää pyyntöä rekisteröidyn puolesta omasta aloitteestaan ja ilman kyseessä olevan rekisteröidyn nimenomaista hyväksyntää.”

Article 24

1. The title of Article 15 of the Convention (new Article 19) shall be replaced by the following:

“Article 19 – Safeguards”.

2. The text of Article 15 of the Convention (new Article 19) shall be replaced by the following:

“1. A supervisory authority which has received information from another supervisory authority, either accompanying a request or in reply to its own request, shall not use that information for purposes other than those specified in the request.

2. In no case may a supervisory authority be allowed to make a request on behalf of a data subject of its own accord and without the express approval of the data subject concerned.”

25 artikla

1. Korvataan yleissopimuksen 16 artiklan (uuden 20 artiklan) otsikko seuraavasti:

“20 artikla – Pyyntöjen epääminen”.

2. Korvataan yleissopimuksen 16 artiklan (uuden 20 artiklan) johdantokappale seuraavasti:

“Valvontaviranomainen, jolle esitetään pyyntö yleissopimuksen 17 artiklan perusteella, ei saa kieltäytyä vastaamasta pyyntöön, paitsi jos”

3. Korvataan yleissopimuksen 16 artiklan (uuden 20 artiklan) a alakohta seuraavasti:

“a) pyyntö ei kuulu sen toimivaltaan;”.

4. Korvataan yleissopimuksen 16 artiklan (uuden 20 artiklan) c alakohta seuraavasti:

“c) pyynnön noudattaminen olisi ristiriidassa valvontaviranomaisen nimenneen osapuolen suvereniteetin, kansallisen turvallisuuden tai yleisen järjestyksen kanssa tai tämän osapuolen lainkäyttövaltaan kuuluvien yksilöiden oikeuksien ja perusvapauksien kanssa.”

Article 25

1. The title of Article 16 of the Convention (new Article 20) shall be replaced by the following:

“Article 20 – Refusal of requests”.

2. The recital of Article 16 of the Convention (new Article 20) shall be replaced by the following:

“A supervisory authority to which a request is addressed under Article 17 of this Convention may not refuse to comply with it unless:”

3. Litteraa of Article 16 of the Convention (new Article 20) shall be replaced by the following:

“a) the request is not compatible with its powers.”

4 Litterac of Article 16 of the Convention (new Article 20) shall be replaced by the following:

“c) compliance with the request would be incompatible with the sovereignty, national security or public order of the Party by which it was designated, or with the rights and fundamental freedoms of individuals under the jurisdiction of that Party.”

26 artikla

1. Korvataan yleissopimuksen 17 artiklan (uuden 21 artiklan) otsikko seuraavasti:

“21 artikla – Kulut ja menettelyt”.

2. Korvataan yleissopimuksen 17 artiklan (uuden 21 artiklan) 1 kohta seuraavasti:

“1. Osapuolten 17 artiklan mukaisesta yhteistyöstä ja keskinäisestä avusta sekä avusta, jota osapuolet antavat rekisteröidyille 9 ja 18 artiklan mukaisesti, ei saa periä muita kuin asiantuntijoiden ja tulkkien kuluja tai maksuja. Näistä kuluista ja maksuista vastaa pyynnön esittävä osapuoli.”

3. Korvataan yleissopimuksen englanninkielisessä tekstissä 17 artiklan (uuden 21 artiklan) 2 kohdassa oleva sana ”his” sanoilla “his or her”.

Article 26

1. The title of Article 17 of the Convention (new Article 21) shall be replaced by the following:

“Article 21 – Costs and procedures”.

2. Paragraph 1 of Article 17 of the Convention (new Article 21) shall be replaced by the following:

“1. Co-operation and mutual assistance which the Parties render each other under Article 17 and assistance they render to data subjects under Articles 9 and 18 shall not give rise to the payment of any costs or fees other than those incurred for experts and interpreters. The latter costs or fees shall be borne by the Party making the request.”

3. The terms “his or her” shall replace “his” in paragraph 2 of Article 17 of the Convention (new Article 21).

27 artikla

Korvataan yleissopimuksen V luvun (uuden VI luvun) otsikko seuraavasti:

“VI luku – Yleissopimuksen komitea”.

Article 27

The title of Chapter V of the Convention (new Chapter VI) shall be replaced by the following:

“Chapter VI – Convention Committee”.

28 artikla

1. Korvataan yleissopimuksen 18 artiklan (uuden 22 artiklan) 1 kohdassa olevat termit ”neuvoa-antava komitea” termeillä “yleissopimuksen komitea”.

2. Korvataan yleissopimuksen 18 artiklan (uuden 22 artiklan) 3 kohta seuraavasti:

“3. Yleissopimuksen komitea voi osapuolten edustajien kahden kolmasosan enemmistöllä tehdyllä päätöksellä pyytää tarkkailijaa lähettämään edustajansa komitean kokouksiin.”

3. Lisätään yleissopimuksen 18 artiklan (uuden 22 artiklan) 3 kohdan jälkeen uusi 4 kohta seuraavasti:

“4. Osapuoli, joka ei ole Euroopan neuvoston jäsen, osallistuu yleissopimuksen komitean toiminnan rahoittamiseen sellaisten yksityiskohtaisten sääntöjen mukaisesti, jotka ministerikomitea vahvistaa kyseisen osapuolen kanssa sopien.”

Article 28

1. The terms “Consultative Committee” in paragraph 1 of Article 18 of the Convention (new Article 22) shall be replaced by “Convention Committee”.

2. Paragraph 3 of Article 18 of the Convention (new Article 22) shall be replaced by the following:

“3. The Convention Committee may, by a decision taken by a majority of two-thirds of the representatives of the Parties, invite an observer to be represented at its meetings.”

3. A new paragraph 4 shall be added after paragraph 3 of Article 18 of the Convention (new Article 22):

“4. Any Party which is not a member of the Council of Europe shall contribute to the funding of the activities of the Convention Committee according to the modalities established by the Committee of Ministers in agreement with that Party.”

29 artikla

1. Korvataan yleissopimuksen 19 artiklan (uuden 23 artiklan) johdantokappaleessa olevat termit ”neuvoa-antava komitea” termeillä “yleissopimuksen komitea”.

2. Korvataan yleissopimuksen 19 artiklan (uuden 23 artiklan) a alakohdassa oleva termi “ehdotuksia” termillä “suosituksia”.

3. Korvataan yleissopimuksen 19 artiklan (uuden 23 artiklan) b alakohdassa olevat viittaukset “21 artiklan” ja c alakohdassa olevat viittaukset “21 artiklan 3 kohdan” viittauksilla vastaavasti “25 artiklan” ja “25 artiklan 3 kohdan”.

4. Korvataan yleissopimuksen 19 artiklan (uuden 23 artiklan) d alakohta seuraavasti:

“d) voi ilmaista kantansa yleissopimuksen tulkintaa tai soveltamista koskevaan kysymykseen;”.

5. Lisätään yleissopimuksen 19 artiklan (uuden 23 artiklan) d alakohdan jälkeen uudet kohdat seuraavasti:

“e) laatii ennen kutakin uutta yleissopimukseen liittymistä ministerikomitealle lausunnon liittyjäehdokkaan henkilötietojen suojan tasosta ja suosittelee tarvittaessa toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi;

f) voi valtion tai kansainvälisen järjestön pyynnöstä arvioida, onko niiden antaman henkilötietojen suojan taso yleissopimuksen määräysten mukainen, ja voi tarvittaessa suositella toimia yleissopimuksen määräysten mukaisuuden saavuttamiseksi;

g) voi kehittää tai hyväksyä 14 artiklassa tarkoitettujen vakiomuotoisten suojatoimien malleja;

h) arvioi sitä, miten osapuolet ovat panneet yleissopimuksen täytäntöön, ja suosittelee toimia niissä tapauksissa, joissa osapuoli ei noudata yleissopimusta;

i) helpottaa tarvittaessa kaikkien yleissopimuksen soveltamiseen liittyvien ongelmien ratkaisemista sovintoteitse.”

Article 29

1. The terms “Consultative Committee” in the recital of Article 19 of the Convention (new Article 23) shall be replaced by “Convention Committee”.

2. The term “proposals” in litteraa of Article 19 of the Convention (new Article 23) shall be replaced with the term “recommendations”.

3. References to “Article 21” in litterab and “Article 21 paragraph 3” in litterac of Article 19 of the Convention (new Article 23) shall be replaced respectively by references to “Article 25” and “Article 25, paragraph 3”.

4. Litterad of Article 19 of the Convention (new Article 23) shall be replaced by the following:

“d) may express an opinion on any question concerning the interpretation or application of this Convention;”.

5. The following additional litteraeshall be added following litterad of Article 19 of the Convention (new Article 23):

“e) shall prepare, before any new accession to the Convention, an opinion for the Committee of Ministers relating to the level of personal data protection of the candidate for accession and, where necessary, recommend measures to take to reach compliance with the provisions of this Convention;

f) may, at the request of a State or an international organisation, evaluate whether the level of personal data protection the former provides is in compliance with the provisions of this Convention and, where necessary, recommend measures to be taken in order to reach such compliance;

g) may develop or approve models of standardised safeguards referred to in Article 14;

h) shall review the implementation of this Convention by the Parties and recommend measures to be taken in the case where a Party is not in compliance with this Convention;

i) shall facilitate, where necessary, the friendly settlement of all difficulties related to the application of this Convention.”

30 artikla

Korvataan yleissopimuksen 20 artiklan (uuden 24 artiklan) teksti seuraavasti:

“1. Yleissopimuksen komitean kutsuu koolle Euroopan neuvoston pääsihteeri. Komitean ensimmäinen kokous pidetään kahdentoista kuukauden kuluessa yleissopimuksen voimaantulosta. Sen jälkeen komitea kokoontuu vähintään kerran vuodessa ja joka tapauksessa silloin, kun kolmasosa osapuolten edustajista pyytää sen kutsumista koolle.

2. Kunkin kokouksensa jälkeen yleissopimuksen komitea antaa Euroopan neuvoston ministerikomitealle kertomuksen toiminnastaan ja yleissopimuksen soveltamisesta.

3. Yleissopimuksen komitean äänestysjärjestelyistä määrätään pöytäkirjan ETS 223 liitteenä olevissa työjärjestyksen perusteissa.

4. Yleissopimuksen komitea laatii muut työjärjestyksensä perusteet ja vahvistaa erityisesti 4 artiklan 3 kohdassa ja 23 artiklan e, f ja h alakohdassa tarkoitetut arviointimenettelyt, jotka perustuvat puolueettomiin kriteereihin.”

Article 30

The text of Article 20 of the Convention (new Article 24) shall be replaced by the following:

“1. The Convention Committee shall be convened by the Secretary General of the Council of Europe. Its first meeting shall be held within twelve months of the entry into force of this Convention. It shall subsequently meet at least once a year, and in any case when one-third of the representatives of the Parties request its convocation.

2. After each of its meetings, the Convention Committee shall submit to the Committee of Ministers of the Council of Europe a report on its work and on the functioning of this Convention.

3. The voting arrangements in the Convention Committee are laid down in the elements for the rules of procedure appended to Protocol CETS No. 223.

4. The Convention Committee shall draw up the other elements of its rules of procedure and establish, in particular, the procedures for evaluation and review referred to in Article 4, paragraph 3, and Article 23, litteraee, f and h on the basis of objective criteria.”

31 artikla

1. Korvataan yleissopimuksen 21 artiklan (uuden 25 artiklan) 1–4 kohta seuraavasti:

“1. Yleissopimuksen muutoksia voivat ehdottaa osapuoli, Euroopan neuvoston ministerikomitea tai yleissopimuksen komitea.

2. Euroopan neuvoston pääsihteeri antaa muutosehdotuksen tiedoksi yleissopimuksen osapuolille, muille Euroopan neuvoston jäsenvaltioille, Euroopan unionille ja kaikille sellaisille muille valtioille kuin jäsenvaltioille ja kansainvälisille järjestöille, jotka on kutsuttu liittymään tähän yleissopimukseen 27 artiklan määräysten mukaisesti.

3. Osapuolen tai ministerikomitean ehdottama muutos annetaan tiedoksi myös yleissopimuksen komitealle, joka antaa lausuntonsa ehdotetusta muutoksesta ministerikomitealle.

4. Ministerikomitea käsittelee ehdotetun muutoksen ja yleissopimuksen komitean antaman lausunnon ja voi hyväksyä muutoksen.”

2. Lisätään yleissopimuksen 21 artiklan (uuden 25 artiklan) 6 kohdan jälkeen uusi 7 kohta seuraavasti:

“7. Ministerikomitea voi lisäksi yleissopimuksen komiteaa kuultuaan päättää yksimielisesti, että yksittäinen muutos tulee voimaan kolmen vuoden kuluttua päivästä, jona muutos on avattu hyväksyttäväksi, jollei jokin osapuoli ilmoita Euroopan neuvoston pääsihteerille vastustavansa muutoksen voimaantuloa. Jos muutoksen vastustuksesta ilmoitetaan, muutos tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun vastustuksesta ilmoittanut yleissopimuksen osapuoli on tallettanut hyväksymiskirjansa Euroopan neuvoston pääsihteerin huostaan.”

Article 31

1. Paragraphs 1 to 4 of Article 21 of the Convention (new Article 25) shall be replaced by the following:

“1. Amendments to this Convention may be proposed by a Party, the Committee of Ministers of the Council of Europe or the Convention Committee.

2. Any proposal for amendment shall be communicated by the Secretary General of the Council of Europe to the Parties to this Convention, to the other member States of the Council of Europe, to the European Union and to every non-member State or international organisation which has been invited to accede to this Convention in accordance with the provisions of Article 27.

3. Moreover, any amendment proposed by a Party or the Committee of Ministers shall be communicated to the Convention Committee, which shall submit to the Committee of Ministers its opinion on that proposed amendment.

4. The Committee of Ministers shall consider the proposed amendment and any opinion submitted by the Convention Committee, and may approve the amendment.”

2. An additional paragraph 7 shall be added after paragraph 6 of Article 21 of the Convention (new Article 25) as follows:

“7. Moreover, the Committee of Ministers may, after consulting the Convention Committee, unanimously decide that a particular amendment shall enter into force at the expiration of a period of three years from the date on which it has been opened to acceptance, unless a Party notifies the Secretary General of the Council of Europe of an objection to its entry into force. If such an objection is notified, the amendment shall enter into force on the first day of the month following the date on which the Party to this Convention which has notified the objection has deposited its instrument of acceptance with the Secretary General of the Council of Europe.”

32 artikla

1. Korvataan yleissopimuksen 22 artiklan (uuden 26 artiklan) 1 kohta seuraavasti:

“1. Tämä yleissopimus on avoinna allekirjoittamista varten Euroopan neuvoston jäsenvaltioille ja Euroopan unionille. Se ratifioidaan tai hyväksytään. Ratifioimis- ja hyväksymiskirjat talletetaan Euroopan neuvoston pääsihteerin huostaan.”

2. Korvataan yleissopimuksen 22 artiklan (uuden 26 artiklan) 3 kohdassa olevat termit “jäsenvaltio” termeillä “osapuoli”.

Article 32

1. Paragraph 1 of Article 22 of the Convention (new Article 26) shall be replaced by the following:

“1 This Convention shall be open for signature by the member States of the Council of Europe and by the European Union. It is subject to ratification, acceptance or approval. Instruments of ratification, acceptance or approval shall be deposited with the Secretary General of the Council of Europe.”

2. The terms “member State” in paragraph 3 of Article 22 of the Convention (new Article 26) shall be replaced by “Party”.

33 artikla

Korvataan yleissopimuksen 23 artiklan (uuden 27 artiklan) otsikko ja teksti seuraavasti:

“27 artikla – Muiden valtioiden kuin jäsenvaltioiden ja kansainvälisten järjestöjen liittyminen

1. Yleissopimuksen tultua voimaan Euroopan neuvoston ministerikomitea voi yleissopimuksen osapuolia kuultuaan ja niiden yksimielisen suostumuksen saatuaan sekä yleissopimuksen komitean 23 artiklan e alakohdan mukaisesti laatiman lausunnon huomioiden kutsua valtion, joka ei ole Euroopan neuvoston jäsen, tai kansainvälisen järjestön liittymään yleissopimukseen, päättämällä asiasta Euroopan neuvoston perussäännön 20 artiklan d alakohdassa määrätyllä enemmistöllä ja niiden sopimusvaltioiden edustajien yksimielisellä äänestyspäätöksellä, joilla on oikeus osallistua ministerikomitean istuntoihin.

2. Sellaisen valtion tai kansainvälisen järjestön osalta, joka liittyy yleissopimukseen 1 kohdan mukaisesti, yleissopimus tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta päivästä, jona tämä valtio tai järjestö on tallettanut liittymiskirjansa Euroopan neuvoston pääsihteerin huostaan.”

Article 33

The title and the text of Article 23 of the Convention (new Article 27) shall be replaced as follows:

“Article 27 – Accession by non-member States or international organisations

1. After the entry into force of this Convention, the Committee of Ministers of the Council of Europe may, after consulting the Parties to this Convention and obtaining their unanimous agreement, and in light of the opinion prepared by the Convention Committee in accordance with Article 23.e, invite any State not a member of the Council of Europe or an international organisation to accede to this Convention by a decision taken by the majority provided for in Article 20.d of the Statute of the Council of Europe and by the unanimous vote of the representatives of the Contracting States entitled to sit on the Committee of Ministers.

2. In respect of any State or international organisation acceding to this Convention according to paragraph 1 above, the Convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of deposit of the instrument of accession with the Secretary General of the Council of Europe.”

34 artikla

Korvataan yleissopimuksen 24 artiklan (uuden 28 artiklan) 1 ja 2 kohta seuraavasti:

“1. Valtio, Euroopan unioni tai muu kansainvälinen järjestö voi yleissopimuksen allekirjoittaessaan tai ratifioimis-, hyväksymis- tai liittymiskirjansa tallettaessaan antaa selityksen, jossa täsmennetään alue tai alueet, joihin tätä yleissopimusta sovelletaan.

2. Valtio, Euroopan unioni tai muu kansainvälinen järjestö voi milloin tahansa myöhemmin Euroopan neuvoston pääsihteerille osoitettavalla selityksellä ulottaa yleissopimuksen soveltamisen muuhun selityksessä ilmoitettuun alueeseen. Tällaisen alueen osalta yleissopimus tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta päivästä, jona pääsihteeri on vastaanottanut selityksen.”

Article 34

Paragraphs 1 and 2 of Article 24 of the Convention (new Article 28) shall be replaced by the following:

“1. Any State, the European Union or other international organisation may, at the time of signature or when depositing its instrument of ratification, acceptance, approval or accession, specify the territory or territories to which this Convention shall apply.

2. Any State, the European Union or other international organisation may, at any later date, by a declaration addressed to the Secretary General of the Council of Europe, extend the application of this Convention to any other territory specified in the declaration. In respect of such territory the Convention shall enter into force on the first day of the month following the expiration of a period of three months after the date of receipt of such declaration by the Secretary General.”

35 artikla

1. Korvataan yleissopimuksen 27 artiklan (uuden 31 artiklan) johdantokappaleessa oleva termi “valtio” termillä “osapuoli”.

2. Korvataan c alakohdassa oleva viittaus “22, 23 ja 24 artiklojen” viittauksella “26, 27 ja 28 artiklan”.

Article 35

1. The term “State” in the recital of Article 27 of the Convention (new Article 31) shall be replaced by “Party”.

2. References to “Articles 22, 23 and 24” in litterac shall be replaced by references to “Articles 26, 27 and 28”.

36 artikla – Allekirjoittaminen, ratifiointi ja liittyminen

1. Tämä pöytäkirja on avoinna allekirjoittamista varten yleissopimuksen sopimusvaltioille. Se ratifioidaan tai hyväksytään. Ratifioimis- ja hyväksymiskirjat talletetaan Euroopan neuvoston pääsihteerin huostaan.

2. Sen jälkeen, kun tämä pöytäkirja on avattu allekirjoittamista varten, ja ennen sen voimaantuloa muu valtio ilmaisee suostumuksensa tulla tämän pöytäkirjan sitomaksi liittymällä siihen. Valtio ei voi tulla yleissopimuksen osapuoleksi liittymättä samanaikaisesti tähän pöytäkirjaan.

Article 36 – Signature, ratification and accession

1. This Protocol shall be open for signature by Contracting States to the Convention. It shall be subject to ratification, acceptance or approval. Instruments of ratification, acceptance or approval shall be deposited with the Secretary General of the Council of Europe.

2. After the opening for signature of this Protocol and before its entry into force, any other State shall express its consent to be bound by this Protocol by accession. It may not become a Party to the Convention without acceding simultaneously to this Protocol.

37 artikla – Voimaantulo

1. Tämä pöytäkirja tulee voimaan seuraavan kuukauden ensimmäisenä päivänä sen jälkeen, kun on kulunut kolme kuukautta päivästä, jona kaikki yleissopimuksen osapuolet ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 36 artiklan 1 kohdan määräysten mukaisesti.

2. Jollei tämä pöytäkirja ole tullut voimaan 1 kohdan mukaisesti, se tulee voimaan niiden valtioiden osalta, jotka ovat ilmaisseet suostumuksensa tulla pöytäkirjan sitomiksi 1 kohdan mukaisesti, viiden vuoden kuluttua sen avaamisesta allekirjoittamista varten, edellyttäen, että pöytäkirjassa on vähintään kolmekymmentäkahdeksan osapuolta. Kaikki muutetun yleissopimuksen määräykset tulevat voimaan pöytäkirjan osapuolten välillä välittömästi pöytäkirjan tullessa voimaan.

3. Ennen tämän pöytäkirjan voimaantuloa yleissopimuksen osapuoli voi tämän pöytäkirjan allekirjoittaessaan tai milloin tahansa myöhemmin antaa selityksen, jonka mukaan se soveltaa tämän pöytäkirjan määräyksiä väliaikaisesti, sanotun vaikuttamatta voimaantuloa ja Euroopan neuvoston ulkopuolisten valtioiden ja kansainvälisten järjestöjen liittymistä koskeviin määräyksiin. Tällaisissa tapauksissa tämän pöytäkirjan määräyksiä sovelletaan ainoastaan suhteessa muihin sellaisiin yleissopimuksen osapuoliin, jotka ovat antaneet samansisältöisen selityksen. Tällainen selitys tulee voimaan kolmannen kuukauden ensimmäisenä päivänä sen jälkeen, kun Euroopan neuvoston pääsihteeri on vastaanottanut selityksen.

4. Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen (ETS 181) lisäpöytäkirja valvontaviranomaisista ja rajat ylittävistä tietojen siirroista kumotaan tämän pöytäkirjan tullessa voimaan.

5. Yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen muutokset, jotka ministerikomitea hyväksyi Strasbourgissa 15 päivänä kesäkuuta 1999, menettävät merkityksensä tämän pöytäkirjan tullessa voimaan.

Article 37 – Entry into force

1. This Protocol shall enter into force on the first day of the month following the expiration of a period of three months after the date on which all Parties to the Convention have expressed their consent to be bound by the Protocol, in accordance with the provisions of paragraph 1 of Article 36.

2. In the event this Protocol has not entered into force in accordance with paragraph 1, following the expiry of a period of five years after the date on which it has been opened for signature, the Protocol shall enter into force in respect of those States which have expressed their consent to be bound by it in accordance with paragraph 1, provided that the Protocol has at least thirty-eight Parties. As between the Parties to the Protocol, all provisions of the amended Convention shall have effect immediately upon entry into force.

3. Pending the entry into force of this Protocol and without prejudice to the provisions regarding the entry into force and the accession by non-member States or international organisations, a Party to the Convention may, at the time of signature of this Protocol or at any later moment, declare that it will apply the provisions of this Protocol on a provisional basis. In such cases, the provisions of this Protocol shall apply only with respect to the other Parties to the Convention which have made a declaration to the same effect. Such a declaration shall take effect on the first day of the third month following the date of its receipt by the Secretary General of the Council of Europe.

4. From the date of entry into force of this Protocol, the Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows (ETS No. 181) shall be repealed.

5. From the date of the entry into force of this Protocol, the amendments to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, approved by the Committee of Ministers, in Strasbourg, on 15 June 1999, have lost their purpose.

38 artikla – Yleissopimukseen liittyvät selitykset

Jos osapuoli on antanut yhden tai useamman selityksen yleissopimuksen 3 artiklan mukaisesti, nämä selitykset raukeavat tämän pöytäkirjan tullessa voimaan.

Article 38 – Declarations related to the Convention

From the date of entry into force of this Protocol, with respect to a Party having entered one or more declarations in pursuance of Article 3 of the Convention, such declaration(s) will lapse.

39 artikla – Varaumat

Tämän pöytäkirjan määräyksiin ei voida tehdä varaumia.

Article 39 – Reservations

No reservation may be made to the provisions of this Protocol.

40 artikla – Ilmoitukset

Euroopan neuvoston pääsihteeri ilmoittaa Euroopan neuvoston jäsenvaltioille ja muille yleissopimuksen osapuolille

a) allekirjoittamisista;

b) ratifioimis-, hyväksymis- ja liittymiskirjojen tallettamisista;

c) tämän pöytäkirjan 37 artiklan mukaisesta voimaantulopäivästä;

d) muista tähän pöytäkirjaan liittyvistä toimista, ilmoituksista ja tiedonannoista.

Article 40 – Notifications

The Secretary General of the Council of Europe shall notify the member States of the Council of Europe and any other Party to the Convention of:

a) any signature;

b) the deposit of any instrument of ratification, acceptance, approval or accession;

c) the date of entry into force of this Protocol in accordance with Article 37;

d) any other act, notification or communication relating to this Protocol.

Tämän vakuudeksi allekirjoittaneet, siihen asianmukaisesti valtuutettuina, ovat allekirjoittaneet tämän pöytäkirjan.

Tehty Strasbourgissa 10 päivänä lokakuuta 2018, yhtenä englannin- ja ranskankielisenä kappaleena, jonka molemmat tekstit ovat yhtä todistusvoimaiset ja joka talletetaan Euroopan neuvoston arkistoon. Euroopan neuvoston pääsihteeri toimittaa oikeaksi todistetut jäljennökset kullekin Euroopan neuvoston jäsenvaltiolle, muille yleissopimuksen osapuolille ja valtioille, jotka on kutsuttu liittymään yleissopimukseen.

In witness whereof the undersigned, being duly authorised thereto, have signed this Protocol.

Done at Strasbourg, this 10th day of October 2018, in English and in French, both texts being equally authentic, in a single copy which shall be deposited in the archives of the Council of Europe. The Secretary General of the Council of Europe shall transmit certified copies to each member State of the Council of Europe, to other Parties to the Convention and any State invited to accede to the Convention.