Viimeksi julkaistu 22.6.2022 11.51

Valiokunnan lausunto PeVL 33/2022 vp HE 134/2021 vp Perustuslakivaliokunta Hallituksen esitys eduskunnalle laiksi Euroopan unionin tietojärjestelmien yhteentoimivuudesta

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi Euroopan unionin tietojärjestelmien yhteentoimivuudesta (HE 134/2021 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • kansainvälisen yhteistyön yksikön päällikkö Matti Pitkäniitty 
    sisäministeriö
  • poliisijohtaja Hannele Taavila 
    sisäministeriö
  • erityisasiantuntija Amanda Mäkelä 
    oikeusministeriö
  • ylitarkastaja Heikki Huhtiniemi 
    Tietosuojavaltuutetun toimisto
  • professori Sakari Melander 
  • professori Tuomas Ojanen 

Valiokunta on saanut kirjallisen lausunnon: 

  • professori Tomi Voutilainen 

HALLITUKSEN ESITYS

Hallituksen esityksessä ehdotetaan säädettäväksi laki Euroopan unionin tietojärjestelmien yhteentoimivuudesta. 

Ehdotettu laki on tarkoitettu tulemaan voimaan 1.9.2022. 

Hallituksen esitykseen sisältyvissä säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 10 §:ssä turvatun yksityiselämän suojan kannalta. 

Hallituksen käsityksen mukaan lakiehdotus voidaan säätää tavallisessa lainsäätämisjärjestyksessä. 

VALIOKUNNAN PERUSTELUT

Arvion lähtökohtia

(1) Hallituksen esityksessä ehdotetaan säädettäväksi laki Euroopan unionin tietojärjestelmien yhteentoimivuudesta. Laissa annetaan kahta Euroopan parlamentin ja neuvoston asetusta eli poliisiyhteistyötä ja oikeudellista yhteistyötä sekä turvapaikka- ja muuttoliikeasioita koskevien EU:n tietojärjestelmien yhteentoimivuutta koskevaa asetusta sekä rajoja ja viisumipolitiikkaa koskevien EU:n tietojärjestelmien yhteentoimivuutta koskevaa asetusta täydentävät säännökset toimivaltaisista viranomaisista ja niiden pääsystä yhteiseen henkilöllisyystietovarantoon. 

(2) Hallituksen esityksen suhdetta perustuslakiin koskevassa luvussa on tarkasteltu ehdotusta suhteessa perustuslain 10 §:ssä turvattuun yksityiselämän ja henkilötietojen suojaan perustuslakivaliokunnan lausuntokäytäntöä huomioiden. Jaksossa on myös selostettu ehdotettavan sääntelyn taustalla oleviin EU-säädöksiin niiden valmisteluvaiheessa liittynyttä perustuslakivaliokunnan lausuntokäytäntöä. Perustuslakivaliokunta voi pääosin yhtyä tarkastelussa esitettyyn. 

(3) Arvioitavana oleva ehdotus merkitsee puuttumista yksityiselämän ja henkilötietojen suojaan. Perustuslakivaliokunta on arvioidessaan tällaista sääntelyä yleensä katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunta on aiemmin arvioinut EU:n yleisen tietosuoja-asetuksen soveltamisen alkamisen merkitystä henkilötietojen suojalle. Valiokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 4). 

(4) Myös Euroopan unionin perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä (ks. esim. PeVL 14/2018 vp, s. 3—4). Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

(5) Lakiehdotuksen 4 §:n 2 momentin mukaan lakiehdotuksen mukaisesta henkilötietojen käsittelystä säädetään EU:n tietosuoja-asetuksessa, tietosuojalaissa sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa, kun yhteentoimivuuden toteuttamiseksi suoritettavan henkilötietojen käsittelyn toteuttavat toimivaltaiset viranomaiset terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi. Toisin kuin suoraan sovellettava tietosuoja-asetus, viimeksi mainitulla lailla toimeenpantu poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 7, ks. myös PeVL 26/2018 vp, s. 3). 

(6) Merkityksellistä on, että yhteentoimivuusasetuksilla perustetaan yhteinen biometrinen tunnistuspalvelu, joka luo EU-tason tietojärjestelmiin syötetyistä biometrisistä tunnisteista matemaattisen mallin ja tallentaa sen yhteiseen kantaan. Asetuksilla perustetaan myös yhteinen henkilöllisyystietovaranto ja rinnakkaishenkilöllisyyksien tunnistin, jotka tarvitsevat toimiakseen edellä mainitun biometrisen tunnistuspalvelun. 

(7) Perustuslakivaliokunnan mielestä yksityiselämän ja henkilötietojen suojan kannalta keskeisimmäksi esityksessä muodostuu kysymys biometristen tunnisteiden käsittelystä (ks. myös PeVL 40/2021 vp, kappale 8, ks. myös esim. PeVL 33/2016 vp, s. 4, PeVL 29/2016 vp, s. 4—5). Esimerkiksi sormenjäljet sisältävät yksilöstä sellaista informaatiota, joka mahdollistaa hänen tarkan tunnistamisensa hyvin erilaisissa yhteyksissä (ks. esimerkiksi Euroopan ihmisoikeustuomioistuimen tuomio S. and Marper v. the United Kingdom, 4.12.2008, kohta 84). Valiokunnan mukaan tällaiset biometriset tunnistetiedot ovat monin tavoin rinnastettavissa arkaluonteisiin tietoihin (ks. esim. PeVL 40/2021 vp). Arkaluonteisten tietojen käsittelyn salliminen koskee yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I). Tämän johdosta jo sormenjälkitietojen tallentaminen rekisteriin voi antaa aihetta huoleen yksityiselämän suojan kannalta (ks. myös S. and Marper v. the United Kingdom, kohta 85). Myös EU:n tuomioistuin on katsonut, että sormenjälkien ottaminen ja tallentaminen puuttuu perusoikeuskirjan 7 ja 8 artiklassa tarkoitettuun yksityiselämän ja henkilötietojen suojaan (Schwarz vastaan Stadt Bochum C-291/12, tuomion kohta 30). 

(8) Biometrisiä tunnisteita sisältäviin laajoihin tietokantoihin saattaa liittyä tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Perustuslakivaliokunta on katsonut, että tällaisten rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 14/2009 vp). Perustuslakivaliokunnan vakiintuneen käytännön mukaan kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata oikeus yksityiselämän suojaan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3—4). 

(9) Perustuslakivaliokunnan mielestä biometristen tunnisteiden rekisteröinti merkitsee lisäksi erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (PeVL 29/2016 vp, s. 5, ks. myös Schrems C-362/14, kohta 91, Digital Rights Ireland C-293/12 ja C-594/12, kohdat 54 ja 55). Valiokunta on kiinnittänyt tämän johdosta erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä välttämättömään (PeVL 13/2017 vp, ks. myös PeVL 3/2017 vp, s. 5). 

(10) Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp, s. 7). Valiokunnan mukaan on ollut selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). 

(11) Täydennettävät EU-asetukset ovat suoraan sovellettavia. Hallituksen esityksen perustelujen mukaan kansallista sääntelyä tulee siten muuttaa siltä osin kuin asetukset edellyttävät kansallisen lainsäädännön antamista tai kansallinen, voimassa oleva lainsäädäntö on ristiriidassa asetusten kanssa. Toimivaltaisten viranomaisten pääsy henkilöllisyystietovarantoon henkilön tunnistamista varten on asetuksissa jätetty kansallisen liikkumavaran piiriin. 

(12) Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei kuitenkaan kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 12/2019 vp, PeVL 31/2017 vp). Valiokunnan mukaan on kuitenkin ollut selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6), eikä suomalaisessa lainsäädännössä tule pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 15/2018 vp, s. 49, PeVL 14/2018 vp, s. 13, PeVL 26/2017 vp, s. 42). Hallintovaliokunnan on syytä varmistua sääntelyn yhteensopivuudesta EU-oikeuden kanssa. 

(13) Perustuslakivaliokunta on kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Sääntelyn selkeydellä on merkitystä myös sitä soveltavien virkamiesten oikeusturvan kannalta (ks. myös PeVL 4/2021 vp, kappale 14). Sovellettavan lainsäädännön kokonaisuutta ei voi luonnehtia selkeäksi ja ymmärrettäväksi. Sovellettavien EU- ja kansallisten säädösten väliset suhteet muodostuvat osittain päällekkäisiksi ja osittain toisistaan erotettaviksi. Vaikka valiokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu sovellettavan EU-oikeuden vaikeaselkoisuuteen ja myös sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja selkeyttää sääntelyä. 

Pääsy yhteiseen henkilöllisyystietovarantoon

(14) Hallituksen esityksen lakiehdotuksen 3 §:ssä ehdotetaan yhteentoimivuusasetusten kansallisen liikkumavaran käyttämistä siten, että sääntelyllä mahdollistetaan toimivaltaisten viranomaisten pääsy yhteiseen henkilöllisyystietovarantoon. Perustuslakivaliokunnan mielestä edellä sanotun johdosta merkityksellistä on, että ehdotetut säännökset koskevat arkaluonteisina pidettäviä biometrisia tietoja. 

(15) Toimivaltaisten viranomaisten joukko esitetään säännöskohtaisissa perusteluissa kuvatuin perustein rajattavaksi poliisiin, Rajavartiolaitokseen ja Tulliin. Perustuslakivaliokunnalla ei ole huomauttamista sääntelyn perusteista tältä osin. Mainittujen viranomaisten pääsy yhteiseen henkilöllisyystietovarantoon on rajattu säännösperusteisesti tilanteisiin, joissa se on välttämätöntä sellaisten tehtävien suorittamiseksi, jotka on määritelty riittävän täsmällisesti ja tarkkarajaisesti säännösehdotuksessa, erityisesti kun huomioidaan myös suoraan sovellettavien ja nyt täydennettävien EU-asetusten sovellettaviksi tulevat säännökset. 

(16) Perustuslakivaliokunta kiinnittää kuitenkin huomiota lakiehdotuksen 3 §:n 2 momentissa Tullin ja Rajavartiolaitoksen oikeudesta säädettyyn. Tullilla ja Rajavartiolaitoksella on oikeus käyttää yhteistä henkilöllisyystietovarantoa henkilön tunnistamiseksi, jos rajayhteentoimivuusasetuksen 20 artiklan 1 kohdassa ja poliisiyhteentoimivuusasetuksen 20 artiklan 1 kohdassa säädetyt edellytykset täyttyvät ja jos se on välttämätöntä sellaisten tavaroiden tai aineiden lainvastaisen maahantuonnin, maasta viennin tai kauttakuljetuksen paljastamiseksi ja torjumiseksi, jotka aiheuttavat vaaraa ihmisille tai ympäristölle. Oikeus käyttää yhteistä henkilöllisyystietovarantoa on sinänsä asianmukaisesti säännöksessä sidottu välttämättömyyttä koskevaan vaatimukseen.  

(17) Esityksen perustelujen (s. 28) mukaan kysymys voi olla esimerkiksi aseiden, vaaraa aiheuttavien kemikaalien tai radioaktiivisen jätteen maahantuonnista, mutta myös tilanteesta, jossa henkilön epäillään tuovan kehonsisäisesti laittomia aineita rajan yli ja henkilö kieltäytyy selvittämistä henkilöllisyyttään. Perustuslakivaliokunnan saaman selvityksen mukaan kysymys voi olla esimerkiksi huumausaineiden, lääkeaineiden tai esimerkiksi nuuskan laittomasta maahantuonnista. 

(18) Perustuslakivaliokunnan käsityksen mukaan sääntely vaikuttaa näin mahdollistavan henkilöllisyystietovarannon käyttämisen ja myös biometristen sormenjälkien ja kasvokuvien käyttämisen tässä tarkoituksessa varsin vähäisissäkin lainvastaisen maahantuonnin, maasta viennin tai kauttakuljetuksen tilanteissa siitäkin huolimatta, että oikeus käyttää henkilöllisyystietovarantoa on sanamuodossa rajattu tilanteisiin, jotka aiheuttavat vaaraa ihmisille tai ympäristölle. Hallintovaliokunnan on syytä muuttaa sääntelyä siten, että arkaluonteisten biometristen tunnisteiden käytön edellytysten kynnystä nostetaan. 

(19) Perustuslakivaliokunta kiinnittää lisäksi huomiota siihen, että lakiehdotuksen 3 §:n 3 momentin mukaan toimivaltaisen viranomaisen on suoritettava kysely yhteisestä henkilötietovarannosta rajayhteentoimivuusasetuksen 20 artiklan 2 ja 3 kohdan sekä poliisiyhteentoimivuusasetuksen 20 artiklan 2 ja 3 kohdan mukaisesti. Asetusten viitatuissa artikloissa on suhteellisen vähäistä sääntelyä menettelyistä, joita kyselyjä toteutettaessa on noudatettava. Sitä vastoin asetusten 20 artiklan 5 kappaleen mukaan jäsenvaltioiden on vahvistettava henkilöllisyyden selvittämisen menettelyt, edellytykset ja kriteerit. Hallintovaliokunnan on syytä arvioida, tulisiko kansallisesti säätää täsmällisemmin arkaluonteisiinkin biometrisiin tunnisteisiin kohdistuvia kyselyitä toteutettaessa noudatettavasta menettelystä. 

(20) Kummankin asetuksen 20 artiklan 1 kohdan mukaan kohdassa tarkoitettuja kyselyitä ei saa tehdä alle 12-vuotiaista alaikäisistä, paitsi jos se on lapsen edun mukaista. Sääntely on merkityksellistä myös lapsen oikeuksien yleissopimuksen kannalta siltä osin kuin kysymys on lasten biometristen tietojen käsittelystä (ks. myös PeVL 40/2021 vp, 14 kohta). Perustuslakivaliokunnan mukaan erityisesti lasten biometristen tietojen käsittelyn on oltava välttämätöntä hyväksyttävän tarkoituksen kannalta (PeVL 40/2021 vp, 19 kohta ja PeVL 29/2016 vp, s. 6). Asetuksen sääntely on sinänsä jäsenvaltioissa suoraan sovellettavaa oikeutta. Lapsen oikeuksien toteutumisen kannalta olisi kuitenkin perusteltua täydentää lakiehdotuksen 3 §:ää informatiivisella viittauksella asetusten 20 artiklan 1 kohdan sääntelyyn. 

(21) Perustuslakivaliokunnan myötävaikutuksella säädetyn henkilötietojen käsittelystä poliisitoimessa annetun lain 15 §:n 2 momentin nimenomaisen säännöksen mukaan oikeus biometrisen henkilötiedon käyttöön on vain sillä, jonka työtehtävien hoitaminen välttämättä edellyttää tiedon käyttöä. Valiokunnan mielestä myös nyt ehdotettavaa 3 §:ää on syytä täydentää vastaavalla säännöksellä (ks. myös PeVL 6/2010 vp, s. 5/I). 

VALIOKUNNAN PÄÄTÖSESITYS

Perustuslakivaliokunta esittää,

että lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Helsingissä 8.6.2022 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Johanna Ojala-Niemelä sd 
 
jäsen 
Outi Alanko-Kahiluoto vihr 
 
jäsen 
Bella Forsgrén vihr 
 
jäsen 
Jukka Gustafsson sd 
 
jäsen 
Maria Guzenina sd 
 
jäsen 
Hannu Hoskonen kesk 
 
jäsen 
Olli Immonen ps 
 
jäsen 
Hilkka Kemppi kesk 
 
jäsen 
Anna Kontula vas 
 
jäsen 
Jukka Mäkynen ps 
 
jäsen 
Wille Rydman kok 
 
jäsen 
Tuula Väätäinen sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Mikael Koillinen