Viimeksi julkaistu 31.10.2022 10.57

Valiokunnan lausunto PeVL 48/2022 vp HE 173/2021 vp Perustuslakivaliokunta Hallituksen esitys eduskunnalle rajanylitystietojärjestelmää ja Euroopan matkustustieto- ja -lupajärjestelmää koskevaksi täydentäväksi lainsäädännöksi

Hallintovaliokunnalle

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle rajanylitystietojärjestelmää ja Euroopan matkustustieto- ja -lupajärjestelmää koskevaksi täydentäväksi lainsäädännöksi (HE 173/2021 vp): Asia on saapunut perustuslakivaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 

Asiantuntijat

Valiokunta on kuullut: 

  • lainsäädäntöneuvos Anne Ihanus 
    sisäministeriö
  • erityisasiantuntija Amanda Mäkelä 
    oikeusministeriö
  • ylitarkastaja Heikki Huhtiniemi 
    Tietosuojavaltuutetun toimisto
  • professori Sakari Melander 
  • professori Tuomas Ojanen 

Valiokunta on saanut kirjallisen lausunnon: 

  • professori Tomi Voutilainen 

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettaviksi henkilötietojen käsittelystä Rajavartiolaitoksessa annettua lakia, rajavartiolakia, ulkomaalaislakia, henkilötietojen käsittelystä poliisitoimessa annettua lakia, henkilötietojen käsittelystä Tullissa annettua lakia, sakon täytäntöönpanosta annettua lakia ja lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annettua lakia. 

Ehdotetut lait sakon täytäntöönpanosta annetun lain ja lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetun lain muuttamisesta sekä ulkomaalaislain lakitekniset päivitykset ja säännökset liikenteenharjoittajan seuraamusmaksun määräämisoikeuden ja täytäntöönpanon vanhentumisesta oli tarkoitettu tulemaan voimaan 1.1.2022. Muut ulkomaalaislain muutokset sekä muut ehdotetut lait on tarkoitettu tulemaan voimaan valtioneuvoston asetuksella säädettävänä ajankohtana samanaikaisesti, kun tietojärjestelmät otetaan komission päätöksellä käyttöön. 

Hallituksen esitykseen sisältyvissä säätämisjärjestysperusteluissa lakiehdotuksia tarkastellaan perustuslain 10 §:ssä turvatun yksityiselämän suojan, 21 §:ssä turvatun oikeusturvan ja 81 §:ssä veroista ja maksuista säädetyn kannalta. 

Hallituksen käsityksen mukaan lakiehdotus voidaan säätää tavallisessa lainsäätämisjärjestyksessä. Hallitus pitää kuitenkin suotavana, että esitys saatetaan perustuslakivaliokunnan käsiteltäväksi. 

VALIOKUNNAN PERUSTELUT

Arvion lähtökohtia

(1) Hallituksen esityksen tarkoituksena on tehdä rajanylitystietojärjestelmästä ja Euroopan matkustustieto- ja -lupajärjestelmästä annettujen EES- ja ETIAS-asetustenEuroopan parlamentin ja neuvoston asetus (EU) 2017/2226 rajanylitystietojärjestelmän (EES) perustamisesta jäsenvaltioiden ulkorajat ylittävien kolmansien maiden kansalaisten maahantuloa, maastalähtöä ja pääsyn epäämistä koskevien tietojen rekisteröimiseksi ja edellytysten määrittämisestä pääsylle EES:n tietoihin lainvalvontatarkoituksissa sekä Schengenin sopimuksen soveltamisesta tehdyn yleissopimuksen ja asetusten (EY) N:o 767/2008 ja (EU) N:o 1077/2011 muuttamisesta sekä asetus (EU) 2018/1240 Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS) perustamisesta ja asetusten (EU) N:o 1077/2011, (EU) N:o 515/2014, (EU) 2016/399, (EU) 2016/1624 ja (EU) 2017/2226 muuttamisesta edellyttämät muutokset kansalliseen lainsäädäntöön. Laissa nimetään eräät toimivaltaiset viranomaiset sekä täsmennetään henkilötietojen käsittelyä ja liikenteenharjoittajien velvollisuuksia koskevaa sääntelyä. 

(2) Lakiin myös ehdotetaan lisättäviksi säännökset liikenteenharjoittajan seuraamusmaksun määräämisoikeuden ja täytäntöönpanon vanhentumisesta sekä täsmennettäväksi tilanteita, joissa seuraamusmaksua ei määrätä. Lisäksi ulkomaalaislakiin ehdotetaan tehtäviksi Schengenin yleissopimuksen ja Schengenin rajasäännöstön päivittämisestä johtuvat tekniset muutokset. 

(3) Arvioitavana oleva ehdotus merkitsee ennen kaikkea puuttumista yksityiselämän ja henkilötietojen suojaan. Perustuslakivaliokunta on arvioidessaan tällaista sääntelyä yleensä katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunta on aiemmin arvioinut EU:n yleisen tietosuoja-asetuksen soveltamisen alkamisen merkitystä henkilötietojen suojalle. Valiokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 4). 

(4) Myös Euroopan unionin perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä (ks. esim. PeVL 14/2018 vp, s. 3—4). Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

(5) Perustuslakivaliokunnan mielestä yksityiselämän ja henkilötietojen suojan kannalta keskeisimmäksi esityksessä muodostuu kysymys biometristen tunnisteiden käsittelystä (ks. myös PeVL 40/2021 vp, kappale 8, ks. myös esim. PeVL 33/2016 vp, s. 4, PeVL 29/2016 vp, s. 4—5). Esimerkiksi sormenjäljet sisältävät yksilöstä sellaista informaatiota, joka mahdollistaa hänen tarkan tunnistamisensa hyvin erilaisissa yhteyksissä (ks. esimerkiksi Euroopan ihmisoikeustuomioistuimen tuomio S. and Marper v. the United Kingdom, 4.12.2008, kohta 84). Valiokunnan mukaan tällaiset biometriset tunnistetiedot ovat monin tavoin rinnastettavissa arkaluonteisiin tietoihin (ks. esim. PeVL 40/2021 vp). Arkaluonteisten tietojen käsittelyn salliminen koskee yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I). Tämän johdosta jo sormenjälkitietojen tallentaminen rekisteriin voi antaa aihetta huoleen yksityiselämän suojan kannalta (ks. myös S. and Marper v. the United Kingdom, kohta 85). Myös EU:n tuomioistuin on katsonut, että sormenjälkien ottaminen ja tallentaminen puuttuu perusoikeuskirjan 7 ja 8 artiklassa tarkoitettuun yksityiselämän ja henkilötietojen suojaan (Schwarz vastaan Stadt Bochum C-291/12, tuomion kohta 30).  

(6) Merkityksellistä on, että biometrisiä tunnisteita sisältäviin laajoihin tietokantoihin saattaa liittyä tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Perustuslakivaliokunta on katsonut, että tällaisten rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 14/2009 vp). Perustuslakivaliokunnan vakiintuneen käytännön mukaan kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata oikeus yksityiselämän suojaan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3—4).  

(7) Perustuslakivaliokunnan mielestä biometristen tunnisteiden rekisteröinti merkitsee lisäksi erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (PeVL 29/2016 vp, s. 5, ks. myös Schrems C-362/14, kohta 91, Digital Rights Ireland C-293/12 ja C-594/12, kohdat 54 ja 55). Valiokunta on kiinnittänyt tämän johdosta erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä välttämättömään (PeVL 13/2017 vp, ks. myös PeVL 3/2017 vp, s. 5).  

(8) Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp, s. 7). Valiokunnan mukaan on ollut selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). 

(9) EES- ja ETIAS-asetukset ovat suoraan sovellettavaa oikeutta, ja asetuksissa määritellään täsmällisesti järjestelmiin tallennettavien tietojen sisältö. Esityksessä ehdotetaan säädettäväksi Rajavartiolaitoksen, poliisin ja Tullin oikeudesta luovuttaa henkilötietoja EES- ja ETIAS-järjestelmiin. 

(10) Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei kuitenkaan kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 12/2019 vp, PeVL 31/2017 vp). Valiokunnan mukaan on kuitenkin ollut selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. esim. PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6), eikä suomalaisessa lainsäädännössä tule pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 15/2018 vp, s. 49, PeVL 14/2018 vp, s. 13, PeVL 26/2017 vp, s. 42). Hallintovaliokunnan on syytä varmistua sääntelyn yhteensopivuudesta EU-oikeuden kanssa. 

(11) Hallituksen esityksen suhdetta perustuslakiin koskevassa luvussa on tarkasteltu ehdotetun sääntelyn suhdetta perustuslain 10 §:ssä turvattuun yksityiselämän ja henkilötietojen suojaan perustuslakivaliokunnan lausuntokäytäntöä huomioiden. Luvussa tarkastellaan myös kansallista liikkumavaraa. Perustuslakivaliokunta voi pääosin yhtyä tarkastelussa esitettyyn. 

Suojelupoliisin tiedonsaantioikeus

(12) Perustuslakivaliokunta kiinnittää huomiota 4. lakiehdotuksen tietojen saantia koskevaan 52 §:n 3 momenttiin. Säännöksen sanamuodon mukaan suojelupoliisilla on oikeus saada kansallisen turvallisuuden suojaamiseksi välttämättömät rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämisen yhteydessä kerätyt biometriset tiedot. Tiedot tulee säilyttää erillään muista suojelupoliisin käsittelemistä tiedoista. 

(13) Toimivalta kerätä mainittuja tietoja perustuu sinänsä EES-asetukseen. Tietojen käsittelyssä on suojelupoliisin osalta kyse rikosasioiden tietosuojalain 11 §:ssä tarkoitetuista erityisiin henkilötietoryhmiin kuuluvista tiedoista (luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot). Perustuslakivaliokunnan mielestä merkityksellistä on, että nyt ehdotettavassa sääntelyssä on kyse henkilötietojen käsittelystä muuhun kuin EES-asetuksen tarkoituksiin. Tietoja käsitellään kansallisen turvallisuuden tarkoituksessa. Kyse olisi siten uudesta ja kansallisesti tarpeelliseksi arvioidusta käyttötarkoituksesta. Perustuslakivaliokunnan mielestä säännöksen sanamuodon mukainen tiedonsaantioikeus muodostaa merkittävän muutoksen verrattuna voimassa olevaan oikeustilaan. 

(14) Perustuslakivaliokunnan mielestä kansallisen turvallisuuden suojaamiseen voi sinänsä sisältyä erittäin painavia perusteita rajoittaa henkilötietojen suojan ja yksityiselämän suojan perusoikeuksia. Kansallisella turvallisuudella voidaan myös EU-oikeudessa perustella toimenpiteitä, joilla puututaan perusoikeuksiin vakavammin kuin toimenpiteillä, joita perusteltaisiin jollain muulla tavoitteella (ks. myös esim. tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C520/18, 136 kohta). Esityksen säätämisjärjestysperusteluissa sekä muuallakin esityksessä esitetään ehdotettavalle sääntelylle suojelupoliisin biometristen tietojen käsittelyoikeudesta kansalliseen turvallisuuden suojeluun kytkeytyviä, erittäin painavia perusteita. 

(15) Perustuslakivaliokunnan mielestä kansallinen turvallisuus ei kuitenkaan voi olla peruste kuinka laajalle tahansa biometristen tietojen käsittelyoikeudelle. Perustuslakivaliokunnan vakiintuneen käytännön mukaan erityisesti arkaluonteisiin tietoihin rinnastuvien biometristen tunnisteiden käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä välttämättömään. Vastaavasti EU-tuomioistuin on korostanut myös kansalliseen turvallisuuteen liittyvässä oikeuskäytännössä sitä, että poikkeukset henkilötietojen suojaan ja sitä koskevat rajoitukset toteutetaan täysin välttämättömän rajoissa ja että laki, jolla sallitaan puuttuminen näihin oikeuksiin, määrittelee asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuuden (ks. kootusti tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C520/18, erit. kappaleet 65—68, ks. myös C-623/17 Privacy International). 

(16) Perustuslakivaliokunnan käsityksen mukaan ehdotetun säännöksen sanamuoto johtaa siihen, että tiedonsaantioikeuden edellytyksenä ei ole säännösperusteisesti kuin se, että kysymys olisi kansallisen turvallisuuden suojaamiseksi välttämättömistä rajavalvonnan sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämisen yhteydessä kerätyistä biometrisistä tiedoista. Käytännössä suojelupoliisilla olisi siten mahdollisuus saada kyseessä olevat biometriset tiedot siinä laajuudessa kuin suojelupoliisi katsoo tällaisten tietojen käsittelyn olevan välttämätöntä kansallisen turvallisuuden suojaamiseksi. 

(17) Perustuslakivaliokunta on arvioinut salassapitosäännökset syrjäyttävää tietojensaantioikeutta kiinnittäen huomiota siihen, että oikeudessa on viime kädessä kysymys siitä, että tietoihin oikeutettu viranomainen omine tarpeineen syrjäyttää ne perusteet ja intressit, joita tiedot omaavaan viranomaiseen kohdistuvan salassapidon avulla suojataan. Mitä yleisluonteisempi tietojensaantiin oikeuttava sääntely on, sitä suurempi on vaara, että tällaiset intressit voivat syrjäytyä hyvin automaattisesti. Mitä täydellisemmin tietojensaantioikeus kytketään säännöksissä asiallisiin edellytyksiin, sitä todennäköisemmin yksittäistä tietojensaantipyyntöä joudutaan käytännössä perustelemaan. Merkitystä on annettu myös sille, että myös tietojen luovuttajan on tällöin mahdollista arvioida pyyntöä luovuttamisen laillisten edellytysten kannalta (ks. esim. PeVL 48/2018 vp). Tietojen luovuttaja voi lisäksi kieltäytymällä tosiasiallisesti tietojen antamisesta saada aikaan tilanteen, jossa tietojen luovuttamisvelvollisuus eli säännösten tulkinta saattaa tulla ulkopuolisen viranomaisen tutkittavaksi. Tämä mahdollisuus on tärkeä tiedonsaannin ja salassapitointressin yhteensovittamiseksi (ks. esim. PeVL 17/2016 vp ja siinä viitatut lausunnot). 

(18) Perustuslakivaliokunnan saaman selvityksen mukaan säännöksen tarkoituksena ei kuitenkaan ole perustaa suojelupoliisille toimivaltaa käsitellä mainittuja tietoja ainoastaan sanotun säännöksen perusteella ja sen puitteissa tehtävän välttämättömyysarvion nojalla. Hallituksen esityksen mukaan oikeus käyttää näin tallennettuja biometrisiä tietoja olisi perustelujen mukaan aina sidottu yksittäiseen virkatehtävään, jonka suorittamiseksi tietoja on välttämätöntä käsitellä (s. 79). Perustuslakivaliokunnan myötävaikutuksella (PeVL 51/2018 vp) säädetyn voimassa olevan lain 48 §:ssä säädetään suojelupoliisin oikeudesta käsitellä henkilötietoja, jotka ovat tarpeen kansallisen turvallisuuden suojaamiseksi, valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien toimintojen ja hankkeiden estämiseksi, paljastamiseksi ja selvittämiseksi sekä valtio- ja yhteiskuntajärjestystä tai valtion turvallisuutta uhkaavien rikosten estämiseksi ja paljastamiseksi. Suojelupoliisi saa lain 49 §:n 2 momentin mukaan käsitellä tehtäviensä suorittamiseksi välttämättömiä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. 

(19) Henkilötietojen käsittelyyn suojelupoliisissa kansallisen turvallisuuden suojaamisen tarkoituksessa sovelletaan yleislakina perustuslakivaliokunnan myötävaikutuksella säädettyä (PeVL 26/2018 vp) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia (rikosasioiden tietosuojalaki). Hallituksen esityksen mukaan henkilötietojen käsittely perustuu käsittelytarkoituksen osalta rikosasioiden tietosuojalain 1 §:n 2 momentin 2 kohtaan ja biometristen tietojen käsittelyn osalta mainitun lain 11 §:ään. Rikosasioiden tietosuojalain 2 lukuun sisältyy valtiosääntöisesti asianmukainen sääntely henkilötietojen käsittelyä koskevista periaatteista (PeVL 26/2018 vp, s. 4). 

(20) Perustuslakivaliokunnan mielestä 52 §:n 3 momentin säännöstä on täsmennettävä siten, että siitä käy selkeämmin ilmi perusteluissa mainittu rajaus säännöksen perusteella saatujen biometristen tietojen käsittelystä vain yksittäisen virkatehtävän yhteydessä suojelupoliisiin tietojenkäsittelystä muualla laissa jo säädetyin edellytyksin. Tällainen täsmentäminen on edellytyksenä 4. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. 

VALIOKUNNAN PÄÄTÖSESITYS

Perustuslakivaliokunta esittää,

että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 4. lakiehdotus kuitenkin vain, jos valiokunnan sen 52 §:n 3 momentista tekemä valtiosääntöoikeudellinen huomautus otetaan asianmukaisesti huomioon. 
Helsingissä 6.10.2022 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Johanna Ojala-Niemelä sd 
 varapuheenjohtaja 
Heikki Vestman kok 
 jäsen 
Outi Alanko-Kahiluoto vihr 
 jäsen 
Bella Forsgrén vihr 
 jäsen 
Hannu Hoskonen kesk 
 jäsen 
Olli Immonen ps 
 jäsen 
Mikko Kinnunen kesk 
 jäsen 
Anna Kontula vas 
 jäsen 
Jukka Mäkynen ps 
 jäsen 
Sakari Puisto ps 
 jäsen 
Ville Valkonen kok 
 jäsen 
Tuula Väätäinen sd 
 varajäsen 
Johannes Koskinen sd 
 varajäsen 
Wille Rydman wr 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Mikael Koillinen