3
Nykytila ja sen arviointi
3.1
Yleisesti sovellettava tietosuojalainsäädäntö ja muu yleislainsäädäntö
Rikosasioiden tietosuojalaki on henkilötietojen suojaa koskeva yleislaki, jota sovelletaan lähtökohtaisesti kaikkeen syyttäjien suorittamaan henkilötietojen käsittelyyn syyteharkinnassa ja muussa rikokseen liittyvässä syyttäjän toiminnassa. Laki sisältää laajan henkilötiedon määritelmän, ja myös henkilötietojen käsittely on käsitteenä laaja. Laki kattaa syyttäjien osalta käsittelyn tarkoitukset ja laajalti erilaiset henkilötietojen käsittelytoimenpiteet, kun kyse on henkilötietojen käsittelystä, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa.
Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta ja tietosuojalain 4 §:n 2 kohta mahdollistavat lisäksi Syyttäjälaitoksen toimesta tapahtuvan henkilötietojen käsittelyn silloin, kun oikeutta käsittelyyn ei voida suoraan johtaa Syyttäjälaitosta koskevasta tehtävä- ja toimivaltasäännöksestä tai muusta syyttäjiä koskevasta erityissääntelystä. Koska tietosuojalain 4 §:n 2 kohta edellyttää, että käsittely on tarpeen viranomaisen toiminnassa, se mahdollistaa henkilötietojen käsittelyn, joka on asianmukaisesti perusteltua viranomaisen tehtävien ja toimivallan kannalta. Oleellista on, että syyttäjien perustehtävästä, johon käsittely liittyisi, säädetään muualla laissa. Lisäksi käsittelyn tulisi olla oikeasuhtaista syyttäjän tehtävän suorittamiseksi. Tietosuojalain säännös soveltuisi käsittelyn oikeusperusteeksi esimerkiksi erilaisissa syyttäjien toimintaan liittyvässä suunnittelu- ja selvitystehtävissä, joissa ei ole kyse yksittäisen rikosasian käsittelystä.
Syyttäjien tiedonkäsittelyyn sovelletaan myös yleislakeina lakia viranomaisten toiminnan julkisuudesta (621/1999, julkisuuslaki) ja lakia julkisen hallinnon tiedonhallinnasta (906/2019, tiedonhallintalaki). Julkisuuslaki sisältää muun muassa säännökset salassa pidettävistä tiedoista sekä säännökset tiedon luovuttamisesta viranomaisen henkilörekisteristä ja salassa pidettävien tietojen luovuttamisesta toiselle viranomaiselle, ulkomaan viranomaiselle ja kansainväliselle toimielimelle. Julkisuuslain 29 §:n säännökset kattavat kuitenkin vain tilanteet, joissa salassa pidettävä asiakirja on tarpeen käsiteltäessä ennakkotietoa, ennakkoratkaisua, viranomaisen päätöksestä tehtyä muutoksenhakua taikka toimenpiteestä tehdyn kantelun tai alistusasian taikka kansainväliselle lainkäyttö- tai tutkintaelimelle tehdyn valituksen käsittelemiseksi. Siten syyttäjien osalta 29 §:n säännökset voivat tulla sovellettaviksi vain rajallisissa tapauksissa. Muilta osin salassa pidettävien tietojen luovuttaminen käytännössä edellyttää, että asiasta säädetään erikseen muualla laissa.
Tiedonhallintalakia sovelletaan syyttäjien tiedonhallintaan ja tietojärjestelmien käyttöön, kun niissä käsitellään tietoaineistoja, jollei muualla laissa toisin säädetä. Laissa säädetään esimerkiksi tiedonsiirtoihin sovellettavista vaatimuksista, kun tietoja luovutetaan tietoverkossa, sekä teknisiä rajapintoja koskevista vaatimuksista. Sen sijaan esimerkiksi kerättävien lokitietojen osalta rikosasioiden tietosuojalaki sisältää yksityiskohtaisemmat vaatimukset. Tiedonhallintalaissa ei säädetä henkilörekistereistä eikä henkilötietojen rekisteröinnistä, mutta lain säännöksillä tietoaineistojen käsittelystä ja asianhallinnasta voi olla vaikutusta myös henkilötietojen käsittelyyn. Tietosuojalainsäädäntö koskee kaikkia rekistereitä, joissa käsitellään henkilötietoja. Rikosasioiden tietosuojalaissa tarkoitettu rekisterinpitäjä on usein sama viranomainen kuin tiedonhallintalaissa tarkoitettu tiedonhallintayksikkö, mutta ei kaikissa tapauksissa.
3.2
Oikeushallinnon valtakunnallisesta tietovarannosta annettu laki
Oikeushallinnon valtakunnallisesta tietovarannosta annetussa laissa (955/2020, tietovarantolaki) säädetään muun muassa Syyttäjälaitoksen velvollisuudesta liittyä tietovarantoon ja toimittaa siihen tietoja (5 ja 6 §). Lain 6 §:n 2 momentin nojalla Syyttäjälaitoksen on salassapitosäännösten estämättä tallennettava tekemänsä ratkaisu tai sitä koskevat tiedot ratkaisu- ja päätösilmoitusjärjestelmään. Samat velvollisuudet koskevat lain mukaisesti myös tuomioistuimia ja oikeusaputoimistoja.
Lain 7 §:n 1 momentin mukaan Oikeusrekisterikeskus toimii tietovarannon rekisterinpitäjänä. Muille viranomaisille ei ole säädetty tietovarantoa tai siihen kuuluvia tietojärjestelmiä koskevia rekisterinpitovastuita. Oikeusministeriölle on kuitenkin laissa säädetty tietovarannon kehittämistä ja käyttöpalveluiden järjestämistä koskeva tehtävä (7 §:n 2 momentti), joka ei enää vastaa tosiasiallista tilannetta. Kyseisessä säännöksessä mainittu tehtävä kuuluu pääosin Oikeusrekisterikeskukselle. Oikeusministeriö sen sijaan hakee lain 12 §:n 6 momentin mukaisesti salassapitosäännösten estämättä esiin ja käyttää toimintansa sekä oikeusministeriön hallinnonalan toiminnan suunnittelua ja seurantaa varten raportointi- ja tilastointijärjestelmään tallennettuja tietoja. Oikeusministeriö ei tallenna tietovarantoon tietoja, eikä se osallistu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen. Tiedonsaantia koskevassa säännöksessä on käytännössä kyse siitä, että oikeusministeriö voi hakea suoraan tilastointi- ja raportointijärjestelmästä tietoja esimerkiksi säädösvalmistelua varten ja yleisemmin kuvan saamiseksi oikeusoloista. Oikeusrekisterikeskus puolestaan tietovarannon rekisterinpitäjänä määrittää, mitä tietoja tilastointi- ja raportointijärjestelmään viedään ja mitä tietoja oikeusministeriö voi hakea järjestelmästä. Oikeusministeriö ei edellä todetun valossa rinnastu rekisterinpitäjään.
Lain 7 §:n 3 momentin mukaan tietovarantoon tietoja tallentanut viranomainen on velvollinen huolehtimaan siitä, että: 1) sen tallentamat tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä; 2) tietovarantoon on tehty tarpeelliset merkinnät tietojen oikeaksi välittämiseksi; ja 3) merkinnät on tehty rekisterinpitäjän asettamien teknisten vaatimusten mukaisesti. Lain 11 §:ssä säädetään viranomaisten oikeudesta käyttää tietovarantoon tallentamiaan tietoja ja lain 12 §:ssä niiden oikeudesta käyttää muiden tallentamia tietoja. Oikeusrekisterikeskuksen oikeudesta käyttää ratkaisu- ja päätösilmoitusjärjestelmästä tai diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä poistettuja ja raportointi- ja tilastointijärjestelmään siirrettyjä tietoja säädetään lain 13 §:ssä. Tietojen käyttöoikeus koskee tietoja, jotka yksittäistapauksessa ovat tarpeen välitettävien tai rekisteröitävien tietojen oikeellisuuden varmistamiseksi tai Oikeusrekisterikeskuksen tehtäväksi säädetyn asian ratkaisemiseksi, jos tällaisten tietojen käyttämisestä ratkaisun perusteena säädetään laissa. Oikeusrekisterikeskukselle ei ole säädetty laajemmin tietojen käyttöoikeutta. Sen sijaan tietojen luovuttamiseen liittyvät ratkaisut on laissa säädetty Oikeusrekisterikeskuksen vastuulle rekisterinpitäjänä (lain 14–17 §).
Oikeushallinnon valtakunnalliseen tietovarantoon kuuluvat hallituksen esityksessä HE 110/2020 vp mainitut osajärjestelmät, joita ovat ratkaisu- ja päätösilmoitusjärjestelmä, diaari- ja asianhallintatietojen valtakunnallinen käsittelyjärjestelmä sekä raportointi- ja tilastointijärjestelmä. Näiden osajärjestelmien käyttötarkoituksesta säädetään lain 8 §:ssä ja tietosisällöstä lain 9 §:ssä. Se, mitä tietojärjestelmiä tai rekistereitä näihin osajärjestelmiin tarkemmin kuuluu, ei ilmene tarkemmin laista, ja tilanne voi myös muuttua tietojärjestelmien elinkaaren päätyttyä sekä kehittämishankkeiden myötä. Joidenkin järjestelmien osalta on myös vaikea yksiselitteisesti todeta, ovatko niiden tiedot osa tietovarantoa. Tietovarantolain 1 §:n 2 momentin ja 7 §:n 3 momentin lähtökohtana vaikuttaisi kuitenkin olevan, että viranomaisen diaari tai asiarekisteri on katsottu tietovarannosta erilliseksi. Sama tieto voi silti sisältyä samanaikaisesti sekä viranomaisen omaan asiarekisteriin tai diaariin että tietovarantoon.
Lain 8 §:n 2 momentin mukaan diaari- ja asianhallintatietojen valtakunnallisen käsittelyjärjestelmän käyttötarkoituksena on välittää oikeushallinnon viranomaisille tietoja vireillä olevan asian käsittelyn järjestämiseksi, selvittämiseksi ja ratkaisemiseksi ja valvonta- tai kehittämistehtävän suorittamiseksi sekä välittää yleisölle tietoja tuomioistuinten käsittelyssä olevista ja olleista asioista. Diaari- ja asianhallintatietojen valtakunnalliseen käsittelyjärjestelmään kuuluvia tosiasiallisia tietojärjestelmiä ovat tällä hetkellä ainakin rikosasioiden käsittely- ja asianhallintajärjestelmä Sakari, joka on korvautumassa yleisten tuomioistuinten ja Syyttäjälaitoksen asian- ja dokumentinhallintajärjestelmällä (AIPA), hallinto- ja erityistuomioistuinten toiminnanohjaus- ja dokumentaationhallintajärjestelmä (HAIPA), tuomioistuinten asiankäsittelyjärjestelmä Tuomas, tuomioistuinten kyselykäyttöjärjestelmä Kyösti sekä muutoksenhaku-, hallinto- ja erityistuomioistuinten käytössä oleva Lotus Notes.
Tietovarantolain 8 §:n 1 momentin mukaan ratkaisu- ja päätösilmoitusjärjestelmän käyttötarkoituksena on välittää tietoja oikeushallinnon viranomaisten ratkaisuista niiden täytäntöön panemiseksi, merkinnän tekemiseksi viranomaisen rekisteriin, oikeusavun piiriin kuuluvien palkkioiden ja korvausten maksamiseksi sekä tietojen käyttämiseksi Syyttäjälaitoksen toiminnassa. Ratkaisu- ja päätösilmoitusjärjestelmään kuuluvia tietojärjestelmiä ovat yleisten tuomioistuinten käytössä oleva Rikostuomiosovellus RITU, oikeusapuasioiden sähköinen asianhallintajärjestelmä Romeo ja Tuomiorekisteri Tuore. AIPA ja HAIPA sekä Tuomas, Sakari ja Lotus Notes kuuluvat myös osaksi ratkaisu- ja päätösilmoitusjärjestelmää. Näistä RITU:n elinkaari on päättymässä. Myös osa muista järjestelmistä on elinkaarensa loppuvaiheessa ja ne tultaneen korvaamaan erillisillä säilytysratkaisuilla Käytännössä oikeushallinnon viranomaiset rekisteröivät käsittelemänsä asiat ja tallettavat niissä tekemänsä ratkaisut omiin rekistereihinsä. Vaikka Syyttäjälaitos ja yleiset tuomioistuimet käyttävät samoja tietojärjestelmiä, käyttövaltuushallinnan ja käyttäjäkohtaisten roolien avulla rajataan pääsy eri rekistereihin.
Tietovarantolain 8 §:n 3 momentin mukaan raportointi- ja tilastointijärjestelmän käyttötarkoituksena on tuottaa tilastoja ja muita tietoaineistoja oikeusoloista oikeusministeriölle, Tuomioistuinvirastolle ja oikeushallinnon viranomaisille niiden toiminnan suunnittelua ja seurantaa varten sekä hallinnonalalla toimivien tutkimus- ja selvitystehtäviä hoitavien yksiköiden käyttöön. Lain esitöiden valossa järjestelmä on lain valmistelun aikaan muodostunut oikeushallinnon viranomaisten käyttämästä ohjelmistosta, mutta se on kuitenkin ollut tarkoitus korvata kokonaan uudella ratkaisulla. Lain esitöiden mukaan raportointi- ja tilastointijärjestelmän tietosisältö määräytyy suunnittelu-, tutkimus- ja tilastointitarpeiden perusteella. Vaikka Oikeusrekisterikeskus on määritetty koko tietovarannon rekisterinpitäjäksi, kukin viranomainen, joka tallentaa tietoja oikeusministeriön hallinnonalalla yhteisesti käytettävään raportointi- ja tilastointijärjestelmään, on kuitenkin lain esitöiden mukaan itse rekisterinpitäjä sille raportointi- ja tilastointiaineistolle, jota se tuottaa järjestelmään omien suunnittelu- ja seurantatarpeidensa pohjalta. (HE 110/2020 vp)
Tuomioistuinviraston lakisääteinen tehtävä on ylläpitää ja kehittää tuomioistuinten tietojärjestelmiä (Tuomioistuinlaki (673/2016) 19 a luvun 2 §:n 2 momentti). Tuomioistuimet käsittelevät henkilötietoja tietojärjestelmissään lainkäyttötehtävien toteuttamiseksi, kuten rikosasian käsittelemiseksi tuomioistuimessa (rikosasioiden tietosuojalain 1 §:n 1 momentti) ja riita- ja hakemusasioiden käsittelemiseksi sekä hallintolainkäyttö- ja hallintoriita-asioiden ja muutoksenhakuasioiden käsittelemiseksi (mm. yleisen tietosuoja-asetuksen (679/2016) 6 artiklan 1 kohdan c alakohta). Tuomioistuinten käsittelykokonaisuuteen liittyy myös muu yleisesti viranomaistoimintaa ja hallinnollista toimintaa koskeva henkilötietojen käsittely. Tällaista käsittelyä liittyy muun muassa asian käsittelyn joutuisuuden seurantaan, tietopyyntöjen toteuttamiseen ja rekisteröidyn oikeuksien toteuttamiseen.
Tuomioistuinvirasto ja tuomioistuimet ovat yhteistyössä määritelleet tietosuojavelvoitteisiin liittyvät vastuualueet tuomioistuinten tietojärjestelmien osalta. Tuomioistuinviraston vastuut keskittyvät tietosuojan huomioimiseen tietojärjestelmän kehittämisessä ja toteuttamisessa, kun taas tuomioistuinten tietosuojavastuut keskittyvät tietojärjestelmään tallennettavien henkilötietojen osalta rekisteröityjen tietosuojaoikeuksien toteuttamiseen sekä tietojärjestelmien käyttäjien kouluttamiseen ja ohjeistamiseen tietosuojasäännösten mukaisesta käsittelystä.
Oikeuspalveluviraston tehtävänä on muun muassa huolehtia siitä, että oikeusapulaissa (257/2002) ja muualla laissa oikeusaputoimistojen tehtäväksi säädettyjä palveluja on tarjolla tasapuolisesti koko maassa (laki Oikeuspalveluvirastosta 1133/2023, 2§). Oikeusaputoimistot tekevät oikeusapulain mukaisia oikeusapupäätöksiä, antavat oikeusapulain mukaista oikeusapua ja hoitavat asianajajista annetun lain mukaisia asianajotoimeksiantoja. Lisäksi oikeusaputoimistot tarjoavat talous- ja velkaneuvonnasta annetun lain (813/2017) mukaisia talous- ja velkaneuvonnan palveluita. Henkilötietoja käsitellään julkiseen oikeusapuun liittyvien tehtävien hoitamiseksi Romeo-asianhallintajärjestelmässä, jonka käyttöoikeuksia on rajoitettu toimistokohtaisesti. Käsittely perustuu lakiin (yleisen tietosuoja-asetuksen 6 artikla 1 kohta c alakohta). Tietoja käytetään myös tehtävien hoidon valvontaan, kehittämiseen, tilastointiin ja raportointiin.
Oikeuspalveluviraston aloitettua toimintansa oikeusaputoimistossa käytössä olleiden järjestelmien omistajuus siirtyi virastolle. Järjestelmien käyttöoikeudet eivät ole muuttuneet, kullakin oikeusaputoimistolla on omat käyttöliittymänsä. Oikeuspalveluviraston perustamista koskevan hallituksen esityksen (HE 30/2023 vp) mukaan tietosuojalainsäädännössä tarkoitettuna rekisterinpitäjänä toimisi perustettava virasto valtion oikeusapu- ja edunvalvontapiirien sijasta. Myös tietosuojavastaavan tehtävä on sijoitettu Oikeuspalveluvirastoon.
Oikeushallinnon viranomaiset käsittelevät henkilötietoja pääosin omissa tai yhteiskäyttöisissä järjestelmissään, mutta myös valtakunnallisessa tietovarannossa joiltakin osin jo ennen asian ratkaisemista. Tämä johtuu edellä kuvatusta järjestelmien samanaikaisesta kuulumisesta myös tietovarantoon. Kaikki järjestelmien sisältämä tieto ei kuitenkaan kuulu Oikeusrekisterikeskuksen rekisterinpidossa olevan oikeushallinnon valtakunnallisen tietovarannon tietosisältöön. Siltä osin kuin on kyse tietovarantoa käyttävien viranomaisten omien lakisääteisten tehtävien hoitamisesta, Oikeusrekisterikeskus ei voi myöskään määrittää henkilötietojen käsittelyn tarkoituksia, jotka tyypillisesti perustuvat laissa säädettyihin viranomaisen tehtäviin. Tietovarantolaissa säädetään käsittelyn keinoista yleisellä tasolla siltä osin kuin on kyse valtakunnalliseen tietovarantoon tallennettavista henkilötiedoista, mutta muuta sääntelyä rekistereistä tai muista henkilötietojen käsittelyn keinoista ei juurikaan ole. Sen sijaan viranomaisten osalta on sääntelyä oikeudesta luovuttaa ja saada tietoja salassapitosäännösten estämättä. Tämä asetelma tekee nykyisestä tietovarannon rekisterinpitoa koskevasta lainsäädäntöratkaisusta ongelmallisen.
Oikeushallinnon valtakunnalliseen tietovarantoon kuuluviin järjestelmiin liittyvät viranomaisten tehtävät ja vastuut jakautuvat tosiasiallisesti jo nykyisin usean viranomaisen kesken. Oikeusrekisterikeskus käytännössä esimerkiksi määrittää tietovarantoon liittyvän henkilötietojen käsittelyn keinot ja tarkoitukset yhdessä tietovarantoa käyttävien viranomaisten kanssa siltä osin kuin asiasta ei säädetä laissa. Se, millä tavalla käsittelyn keinot ja tarkoitukset määritetään tarkemmin, vaihtelee kuitenkin tietojärjestelmittäin. Esimerkiksi AIPA- ja HAIPA-järjestelmien osalta Tuomioistuinvirastolla on muista tietovarantoon kytkeytyvistä järjestelmistä poiketen kehittämis- ja ylläpitotehtävä, ja Tuomioistuinvirasto on ja tuomioistuimet ovat jakaneet rekisterinpitovastuita keskinäisellä järjestelyllään. Tuomioistuinviraston tehtävä kuitenkin tuomioistuinlain mukaisesti koskee vain tuomioistuinten tietojärjestelmien ylläpitoa ja kehittämistä, ja Syyttäjälaitos on AIPA:ssa käsiteltävien syyttäjän tietojen osalta rekisterinpitäjä. Vaikka rekisterinpitäjät voivat sopia yhteisrekisterinpitoon liittyvistä vastuualueiden jakamisesta suoraan yleisen tietosuoja-asetuksen 26 artiklan ja rikosasioiden tietosuojalain 16 §:n nojalla, tällaiset järjestelyt voisivat olla ristiriidassa tietovarantolain 7 §:n kanssa siltä osin kuin rekisterinpitovastuut liittyvät tietovarantoon kuuluviin järjestelmiin. Toisaalta viranomaisten mahdollisuuksia sopia keskenään rekisterinpitovastuiden jakamisesta voi rajoittaa muu viranomaisten tehtäviä ja toimivaltuuksia koskeva lainsäädäntö.
Rekisterinpitovastuiden täsmentämistä laissa vaikeuttavat edellä mainitut epäselvyydet siitä, mitä tietojärjestelmiä tietovarantoon tarkalleen ottaen liittyy ja mistä tiedoista tietovaranto muodostuu. Kokonaisuus vaikeuttaa erityisesti rekisterinpitäjälle kuuluvien tehtävien jakamista laissa yksityiskohtaisesti usean viranomaisen kesken. Huomioiden sen, että rekisterinpitäjän tulisi kuitenkin olla sellainen viranomainen, jolla on tosiasiallisesti mahdollisuus vaikuttaa henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen joko yksin tai yhdessä toisen viranomaisen kanssa, voimassa olevan 7 §:n säännöksiä ei voida pitää tarkoituksenmukaisina.
Oikeusrekisterikeskuksen keinot varmistua erityisesti tietovarantoon tallennettavien henkilötietojen paikkansa pitävyydestä ja täsmällisyydestä ovat rajalliset. Oikeusrekisterikeskuksella ei ole myöskään mahdollisuutta korjata virheelliseksi ilmennyttä tietoa, vaan sen on tarpeen olla yhteydessä tiedot tallentaneeseen viranomaiseen ja pyytää tiedon korjaamista. Jotta Oikeusrekisterikeskus pystyisi huolehtimaan täysimääräisesti näihin vaatimuksiin liittyvistä yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain mukaisista rekisterinpitäjän velvoitteistaan oikeushallinnon valtakunnallisen tietovarannon osalta, sen olisi käytännössä voitava antaa määräyksiä tietovarantoa käyttäville viranomaisille. Tämä olisi ongelmallista tuomioistuinten ja muiden viranomaisten erillisyyden ja riippumattomuuden kannalta.
Tarve varmistaa tietojen paikkansa pitävyys on huomioitu voimassa olevan lain 7 §:n 3 momentissa. Momentin mukaan tietovarantoon tietoja tallentanut viranomainen on velvollinen huolehtimaan siitä, että: 1) sen tallentamat tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä; 2) tietovarantoon on tehty tarpeelliset merkinnät tietojen oikeaksi välittämiseksi; ja 3) merkinnät on tehty rekisterinpitäjän asettamien teknisten vaatimusten mukaisesti. Apulaisoikeuskansleri on ottanut käräjäoikeuksia koskevassa ratkaisussaan kantaa tuomioiden asianmukaisen merkinnän tärkeyteen tietojen oikean välittämisen kannalta. (OKV/1503/70/2022) Tietovarantolain 7 §:n 3 momentti ei kuitenkaan vapauta rekisterinpitäjää tietosuojalainsäädännön mukaisesta rekisterinpitäjän vastuusta varmistua henkilötietojen täsmällisyydestä ja paikkansa pitävyydestä ja voi myös aiheuttaa epäselvyyttä siitä, kenen vastuulla velvoite on. (Helsingin hallinto-oikeuden päätös 3396/2023, 8.6.2023) Vastaavanlaiset velvoitteet seuraavat tietoja luovuttaville viranomaisille 1 momentin osalta käytännössä myös suoraan tietosuojalainsäädännöstä, jonka perusteella jokaisen rekisterinpitäjän on osaltaan huolehdittava käsittelemiensä henkilötietojen paikkansa pitävyydestä ja tarvittaessa esimerkiksi ilmoitettava kaikille niiden vastaanottajille havaituista virheistä ja niiden oikaisuista (eräänlainen huolellisuusvelvoite). Se huomioiden momentin sisältämät säännökset ovat päällekkäisiä tietosuojalainsäädännön vaatimusten kanssa ja käytännössä tarpeettomat. Momentti olisi tarpeeton myös siinä tapauksessa, että laissa säädettäisiin viranomaisten yhteisrekisterinpidosta.
3.3
Henkilötietojen käsittelyyn sovellettavat syyttäjiä koskevat erityissäännökset
Syyttäjälaitoksesta annetussa laissa (32/2019) säädetään Syyttäjälaitoksen asemasta, tehtävistä ja hallinnosta sekä syyttäjien tehtävistä. Syyttäjälaitos vastaa itsenäisesti ja riippumattomasti syyttäjäntoimen järjestämisestä. Syyttäjän tehtävänä on huolehtia rikosoikeudellisen vastuun toteuttamisesta hänen käsiteltävänään olevassa asiassa tasapuolisesti, joutuisasti ja taloudellisesti asianosaisten oikeusturvan ja yleisen edun edellyttämällä tavalla. Syyttäjällä on itsenäinen ja riippumaton syyteharkintavalta. Syyttäjä tekee itsenäisesti ja riippumattomasti päätösvaltaansa kuuluvat, rikosoikeudellisen vastuun toteuttamista koskevat ratkaisut käsiteltävänään olevassa rikosasiassa. Syyttäjä on toimivaltainen syyttäjän tehtävissä koko maassa. Syyttäjälaitoksesta annettu laki ei sisällä henkilötietojen käsittelyä koskevaa sääntelyä lukuun ottamatta 22 §:ää, jossa säädetään syyttäjien tiedonsaantioikeudesta.
Rikosasioiden tietosuojadirektiivin johdanto-osan 20 kappaleen mukaan direktiivi ei estä jäsenvaltioita täsmentämästä kansallisissa rikosprosessisäännöissään tuomioistuinten ja muiden oikeusviranomaisten suorittamaan henkilötietojen käsittelyyn liittyviä käsittelytoimia ja -menettelyitä erityisesti, jos henkilötiedot sisältyvät tuomioistuimen päätökseen tai rikosoikeudelliseen menettelyyn liittyvään merkintään. Rikosprosessiin kuuluu useita toimenpiteitä, joihin liittyy henkilötietojen käsittelytilanteita. Suomessa rikosprosessia koskevassa lainsäädännössä on kuitenkin vain harvoin varsinaisia säännöksiä henkilötietojen käsittelystä.
Oikeudenkäymiskaaren (45/1734) säännöksistä esimerkiksi haastehakemuksia ja haasteiden tiedoksiantoa koskevien säännösten sekä todistelun vastaanottamiseen liittyvät säännökset tarkoittavat samalla henkilötietojen käsittelyä. Osaan rikosprosessin toimenpiteistä voi liittyä salassa pidettäviä tai arkaluonteisia tietoja, jotka voivat joiltakin osin olla myös rikosasioiden tietosuojalain 11 §:ssä tarkoitettuun erityiseen henkilötietoryhmään kuuluvia henkilötietoja. Esimerkiksi mielentilatutkimusta koskevat esitykset voivat sisältää terveystietoja.
Oikeudenkäynnistä rikosasioissa annetussa laissa (689/2017) (1 luku) säädetään syyteoikeuden käyttämiseen ja syyteharkintaan liittyvistä toimenpiteistä, joihin liittyy henkilötietojen käsittelyä (syyte, syyttämättä jättämistä koskeva päätös, asianomistajan syyttämispyynnön käsittely, tuomioesitys tunnustamisoikeudenkäynnissä ja menettämisvaatimus). Lain 5 luvussa säädetään syytteen vireillepanoon liittyvistä toimenpiteistä. Haastehakemuksen osalta luvun 3 §:ssä säädetään myös henkilötiedoista ja muista tiedoista, joita haastehakemuksessa on ilmoitettava.
Esitutkintalain (805/2011) 3 luvussa säädetään rikoksesta tehdyn ilmoituksen kirjaamisesta ja siirtämisestä sekä esitutkinnan rajoittamista koskevista ratkaisuista (1, 2, 10 ja 10 a §). Ilmoituksesta syyttäjälle ja yhteistyövelvollisuudesta säädetään 5 luvussa (1 ja 3 §). Esitutkintalaissa säädetään myös syyttäjän toimivaltuuksista, kun syyttäjä toimii tutkinnanjohtajana. Syyttäjä vastaa tutkinnan johtamisesta, kun kyse on poliisimiehen tekemäksi epäillyn rikoksen tutkinnasta. Esitutkintaviranomainen (poliisi) kuitenkin huolehtii myös silloin rikoksesta tehdyn ilmoituksen kirjaamisesta. Käytännössä esitutkinta-aineisto siirretään lähes aina poliisin tietojärjestelmästä, myös silloin, jos esitutkintaviranomainen on Rajavartiolaitos, Tulli tai Puolustusvoimat. Esitutkinta-aineistosta säädetään esitutkintalain 9 luvussa (esitutkintapöytäkirja, loppulausunnot ym.). Esitutkinta-aineistoa käsitellään syyttäjien käsittelyjärjestelmässä sen jälkeen, kun poliisi on siirtänyt aineiston Syyttäjälaitokselle. Poliisi kirjaa pääsääntöisesti rikosilmoitukset myös epäillyistä poliisirikoksista. Poliisi huolehtii kirjaamisesta myös siinä tapauksessa, että asianomistaja ilmoittaa rikoksen syyttäjälle. Syyttäjät kirjaavat esitutkinnan rajoittamista koskevan päätöksen, syyttämättä jättämistä koskevan päätöksen tai syytteen nostamista koskevan päätöksen.
Pakkokeinolaissa (806/2011) säädettyihin toimenpiteisiin liittyy erilaisia syyttäjien suorittamia henkilötietojen käsittelytilanteita. Näitä ovat esimerkiksi vangitsemisvaatimuksen, matkustuskiellon ja vakuustakavarikkoa koskevan vaatimuksen käsittely; takavarikoidun tai takavarikoimista varten haltuun otetun suljetun kirjeen tai muun suljetun yksityisen asiakirjan avaaminen ja tutkiminen; ja tutkinta-arestin rikkomista koskevien ilmoitusten käsittely. Syyttäjät käsittelevät pakkokeinolain mukaisin keinoin saatuja henkilötietoja ainoastaan osana esitutkintapöytäkirjaan liitetyn materiaalin käsittelyä ja tallentamista. Syyttäjät eivät myöskään arkistoi esitutkintamateriaalia, vaan arkistoinnista huolehtii poliisi, ja tuomioistuimet huolehtivat arkistoinnista siltä osin kuin asiakirjoihin on vedottu todisteina oikeudenkäynnissä.
Sakon ja rikesakon määräämisestä annetun lain (754/2010) nojalla sakkovaatimuksen antaa poliisimies (muutettu lailla 421/2025, lainmuutos tulee voimaan 1.1.2026). Mainittu vaatimus voidaan antaa myös syyttäjän pyynnöstä. Rikesakon määrää poliisimies tai syyttäjä, rangaistusmääräyksen antaa syyttäjä, ja sakkomääräyksen antaa poliisimies. Sakkovaatimuksen, sakkomääräyksen ja rikesakkomääräyksen sisällöstä, mukaan lukien henkilötiedot, säädetään lain 8 §:ssä. Rangaistusmääräyksestä ja rikesakkomääräyksestä säädetään tarkemmin lain 4 luvussa, mutta säännökset eivät sisällä erityisiä henkilötietoja koskevia säännöksiä. Virheen korjaamisesta säädetään lain 37 §:ssä.
Sakon täytäntöönpanosta annetun lain (672/2002) 3 luvussa säädetään muuntorangaistuksesta. Lain 30 §:n 2 momentin nojalla muuntorangaistusvaatimuksen esittää syyttäjä. Henkilötietojen käsittelyä liittyy tilanteisiin, joissa syyttäjä käsittelee käräjäoikeuden toimittamia asiakirjoja ennen istuntoa sekä ulosottomiehen toimittamia selvityksiä. Muuntorangaistuksen määräämisessä tarvittavien tietojen toimittamisesta syyttäjälle ja syyttäjältä edelleen käräjäoikeudelle säädetään tarkemmin valtioneuvoston asetuksella. Jos tuomioistuin harkitsee sen soveliaaksi, asian käsittelyssä voidaan käyttää teknistä tiedonvälitystapaa, jossa käsittelyyn osallistuvilla on puhe- ja näköyhteys kesken. Lain 30 a §:n 1 momentin mukaan syyttäjän on aiheen ilmetessä omasta aloitteestaan tai tuomioistuimen pyynnöstä hankittava ulosottomieheltä selvitys maksuvelvollisen taloudellisesta asemasta. Tähän selvitykseen sisältyy ulosottoasian asianhallintatiedot sekä ne maksuvelvollisen taloudellista asemaa koskevat tiedot, jotka saadaan luovuttaa syyttäjälle sakon muuntorangaistuksen määräämistä varten.
Yhdyskuntaseuraamusten täytäntöönpanosta annetun lain (400/2015) 10 §:n 1 momentin mukaan syyttäjä tai tuomioistuin pyytää Rikosseuraamuslaitosta laatimaan seuraamusselvityksen, jos rikoksesta epäiltyä syytetään rikoksesta, josta todennäköisesti tuomitaan yhdyskuntapalvelu tai valvontarangaistus taikka rikokseen 21 vuotta täytettyään syyllistyneelle ehdollisen vankeuden tehosteeksi valvonta. Seuraamusselvitykseen voidaan muun muassa syyttäjän pyynnöstä liittää myös rangaistusajan suunnitelma, jonka yksityiskohdat voivat tarkoittaa myös arkaluonteisina pidettävien tietojen käsittelyä. Syyttäjät käsittelevät lain nojalla myös Rikosseuraamuslaitoksen laatimia selvityksiä yhdyskuntapalvelun velvollisuuksien rikkomisesta. Henkilötietojen käsittelyä liittyy lisäksi esimerkiksi tilanteisiin, joissa syyttäjä esittää lain nojalla vaatimuksen yhdyskuntapalvelun muuttamisesta valvontarangaistukseksi tai ehdottomaksi vankeusrangaistukseksi tai valvontarangaistuksen muuttamisesta ehdottomaksi vankeusrangaistukseksi, sekä tilanteisiin, joissa syyttäjä saattaa epäillyn yhdyskuntapalvelun tai valvontarangaistuksen velvollisuuksien rikkomisen käräjäoikeuden käsiteltäväksi. Laki ei sisällä erityisiä tiedonluovutussäännöksiä tai tiedonsaantisäännöksiä, mutta tietojen käsittelystä täytäntöönpanotehtäviä hoidettaessa säädetään henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa. Lain 19 §:n nojalla Rikosseuraamuslaitos saa salassapitosäännösten estämättä pyynnöstä ja myös oma-aloitteisesti luovuttaa 5 §:n 1 ja 2 momentissa, 6 §:ssä, 7 §:n 2 momentissa ja 8 §:n 1 momentissa tarkoitettuja henkilötietoja muun muassa syyttäjälle, siltä osin kuin se on välttämätöntä laissa säädettyä syyttäjän tehtävää varten.
Syyttäjä tekee seuraamusselvityspyyntöjä Rikosseuraamuslaitokselle myös silloin, kun esitutkintaviranomainen on ilmoittanut syyttäjälle nuoren tekemäksi epäillystä rikoksesta nuoren rikoksesta epäillyn tilanteen selvittämisestä annetun lain (633/2010) nojalla. Rikosseuraamuslaitos laatii tekemänsä arvioinnin perusteella kirjallisen seuraamusselvityksen, joka sisältää myös nuoren rikoksesta epäillyn sosiaalista tilannetta koskevat olennaiset tiedot. Seuraamusselvitykseen sisällytetään myös muu sellainen rikoksen vuoksi tehtävä selvitys tai lausunto, jonka syyttäjä on pyytänyt yhdyskuntaseuraamuksen tuomitsemista varten. Lain 9 §:ssä säädetään Rikosseuraamuslaitoksen ja sosiaaliviranomaisen tiedonsaantioikeudesta, joka kattaa myös terveystietoja ja valtiosääntöisesti arkaluonteisia tietoja. Tiedonsaantisäännökset eivät kata syyttäjiä, mutta myös näihin tilanteisiin sovellettavaksi tulee henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain 19 §:n tiedonluovutussäännökset.
Liiketoimintakiellosta annetun lain (1059/1985) mukaan liiketoimintakielto ja väliaikainen liiketoimintakielto määrätään syyttäjän vaatimuksesta. Liiketoimintakieltoa voidaan pidentää syyttäjän vaatimuksesta. Syyttäjää myös kuullaan liiketoimintakiellon kumoamisen yhteydessä. Syyttäjä voi erikseen pyytää liiketoimintakiellon määräämisen edellytysten tutkimista esitutkintaviranomaiselta. Liiketoimintakielto on elinkeino-oikeudellinen turvaamistoimi ja liiketoimintakieltorekisteri kuuluu EU:n yleisen tietosuoja-asetuksen soveltamisalaan, mutta käräjäoikeus määrää liiketoimintakiellon rikosprosessin yhteydessä. Liiketoimintakiellon määräämistä ja pidentämistä koskevan asian käsittelyssä noudatetaan soveltuvin osin, mitä syyttäjän ajaman rikosasian käsittelystä säädetään. Siten syyttäjän henkilötietojen käsittely kuuluu myös tältä osin rikosasioiden tietosuojalain soveltamisalaan. Päättyneitä liiketoimintakieltoja koskevat tiedot on säädetty salassa pidettäviksi, mutta niitä voidaan luovuttaa rekisteristä syyttäjälle syyteharkintaa ja syytteen ajamista varten sekä liiketoimintakiellon määräämisen edellytysten selvittämistä varten.
Henkilötietojen käsittelyä liittyy myös lähestymiskiellon määräämistä koskeviin pyyntöihin ja niiden käsittelyyn käräjäoikeudessa. Lähestymiskiellosta annetun lain (898/1998) mukaisesti muun muassa syyttäjäviranomainen voi pyytää lähestymiskiellon määräämistä (5 §), ja syyttäjäviranomaisella on oikeus olla läsnä lähestymiskiellon määräämistä koskevassa pääkäsittelyssä käräjäoikeudessa (6 §). Syyttäjien osalta lähestymiskieltoon liittyvään henkilötietojen käsittelyyn sovellettaisiin sellaisenaan rikosasioiden tietosuojalain säännöksiä.
3.4
EU-lainsäädäntö ja kansainväliset sopimukset
Syyttäjät käsittelevät henkilötietoja kansainvälisessä rikosoikeudellisessa yhteistyössä. Kansainvälinen rikosoikeudellinen yhteistyö kattaa muun ohella kansainvälisen oikeusavun rikosasioissa, rikoksen johdosta tapahtuvan luovuttamisen sekä yhteistyön vapausrangaistuksen ja muiden rikosoikeudellisten seuraamusten täytäntöönpanon siirtämiseksi. Rikosasioiden tietosuojadirektiiviä sovelletaan Euroopan unionista tehdyn sopimuksen mukaisessa rikosasioissa tehtävässä oikeudellisessa yhteistyössä, joista säädetään erikseen annetussa unionin lainsäädännössä.
Rikosasiaa koskevia tietoja tulee syyttäjille toisista EU:n jäsenvaltioista yksittäiseen asiaan liittyen kansainvälistä rikosoikeudellista yhteistyötä koskevia säädöksiä sovellettaessa. Rikosasioiden tietosuojadirektiivin säännökset tulevat sovellettaviksi siltä osin kuin yhteistyön puitteissa käsitellään automaattisesti toisesta EU:n jäsenvaltioista saatuja henkilötietoja tai nämä tiedot talletetaan syyttäjien diaariin tai muuhun henkilörekisteriin. Jäljempänä mainittujen EU-säädösten ja sopimusten sekä niiden täytäntöönpanolakien soveltamiseen liittyy tiedonvaihtoa tai muuta henkilötietojen käsittelyä, mutta vain osa niistä sisältää erityisesti henkilötietojen suojan kannalta merkityksellisiä säännöksiä. Henkilötietojen suoja varmistetaan myös näitä säädöksiä sovellettaessa pääosin rikosasioiden tietosuojalain säännöksillä.
Toimivaltaisia viranomaisia rikosoikeusapuasioissa ovat oikeusministeriö, esitutkintaviranomaiset, syyttäjät ja tuomioistuimet. Keskinäiseen oikeusapuun rikosasioissa sisältyy muun muassa asiakirjojen tiedoksianto ja todisteiden hankkiminen rikostutkintaa tai oikeudenkäyntiä varten. Keskeisin kansainvälistä rikosoikeusapua koskeva säädös Euroopan unionin jäsenvaltioiden välillä on rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä annettu Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU, jäljempänä tutkintamääräystä koskeva direktiivi. Suomessa direktiivi on pantu täytäntöön rikosasioita koskevaa eurooppalaista tutkintamääräystä koskevan direktiivin täytäntöönpanosta annetulla lailla (430/2017), joka tuli voimaan 3 päivänä heinäkuuta 2017. Syyttäjät kuuluvat poliisin ja tuomioistuinten lisäksi lain 5 §:ssä tarkoitettuihin täytäntöönpanoviranomaisiin ja voivat pykälän 3 momentissa säädetyissä tilanteissa päättää tutkintamääräyksen tunnustamisesta ja täytäntöönpanosta. Henkilötietojen suojan kannalta merkityksellisiä ovat erityisesti lain säännökset, jotka koskevat salassapitoa, vaitiolovelvollisuutta ja tietojen käyttöä koskevia rajoituksia. Laki sisältää lisäksi nimenomaisen rekisteröintivelvoitteen, jonka mukaan täytäntöönpanoviranomaisen tulee kirjata tunnustamista ja täytäntöönpanoa koskeva päätös.
Suhteessa niihin jäsenvaltioihin tai sellaiseen rikosasioissa annettavaan oikeusapuun, joihin ei sovelleta tutkintamääräystä koskevaa direktiiviä, sovelletaan aikaisempaa sääntelyä. Keskeisimpiä kansainvälistä rikosoikeusapua koskevia monenvälisiä sopimuksia ovat Euroopan neuvoston keskinäistä oikeusapua rikosasioissa koskeva eurooppalainen yleissopimus (SopS 30/1981) ja sen toinen lisäpöytäkirja (SopS 34/2014), jäljempänä Euroopan neuvoston rikosoikeusapusopimus, ja keskinäisestä oikeusavusta rikosasioissa Euroopan unionin jäsenvaltioiden välillä vuonna 2000 tehty yleissopimus (SopS 56–57/2004). Kansainvälisestä oikeusavusta rikosasioissa säädetään lisäksi kansainvälisestä oikeusavusta rikosasioissa annetussa laissa (4/1994), jota kuitenkin pääsääntöisesti sovelletaan muihin kuin EU:n jäsenvaltioihin. Henkilötietojen suojan kannalta merkityksellisiä ovat erityisesti lain säännökset salassa pidettävien tietojen luovuttamisesta, asiakirjojen ja muiden tallenteiden salassapidosta, vaitiolovelvollisuudesta sekä tietojen käyttöä koskevista rajoituksista.
Euroopan unionin jäsenvaltioiden välinen rikoksen johdosta tapahtuva luovuttaminen perustuu eurooppalaisesta pidätysmääräyksestä ja jäsenvaltioiden välisistä luovuttamismenettelyistä tehtyyn puitepäätökseen (2002/584/YOS), joka on pantu Suomessa täytäntöön rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetulla lailla (1286/2003). Laissa säädetään toimivaltaisista syyttäjistä ja eräistä näille kuuluvista tehtävistä. Lain mukaista yhteistyötä tehdään myös Euroopan syyttäjäviraston kanssa. Muiden kuin EU:n jäsenvaltioiden osalta rikoksen johdosta tapahtuva luovuttaminen perustuu kansainvälisiin sopimuksiin. Lisäksi sovellettavia säännöksiä sisältyy rikoksen johdosta tapahtuvasta luovuttamisesta Suomen ja muiden pohjoismaiden välillä annettuun lakiin (1383/2007).
Rikosasiaa koskevia henkilötietoja saadaan toisista EU:n jäsenvaltioista myös muun muassa omaisuuden tai todistusaineiston jäädyttämistä koskevien päätösten täytäntöönpanon yhteydessä. Euroopan unionin rikosprosessuaalisen yhteistyön alalla on jo nykyään voimassa puitepäätökset vastavuoroisen tunnustamisen periaatteen soveltamisesta jäädyttämistä ja menetetyksi tuomitsemista koskeviin päätöksiin. Puitepäätös omaisuuden tai todistusaineiston jäädyttämistä koskevien päätösten täytäntöönpanosta Euroopan unionissa (2003/577/YOS, jäljempänä jäädyttämispuitepäätös) mahdollistaa osaltaan yhdessä jäsenvaltiossa tehdyn jäädyttämispäätöksen täytäntöönpanon siinä toisessa jäsenvaltiossa, jossa jäädytettävää omaisuutta on. Puitepäätös vastavuoroisen tunnustamisen periaatteen soveltamisesta menetetyksi tuomitsemista koskeviin päätöksiin (2006/783/YOS, jäljempänä konfiskaatiopuitepäätös) puolestaan koskee yhdessä jäsenvaltiossa annetun konfiskaatiotuomion lähettämistä pantavaksi täytäntöön toisessa jäsenvaltiossa, jossa menettämisseuraamuksen kohteena olevaa omaisuutta on.
Edellä mainitut puitepäätökset on muiden jäsenvaltioiden kuin Irlannin ja Tanskan kanssa tehtävän yhteistyön osalta korvattu 14 päivänä marraskuuta 2018 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2018/1805 jäädyttämistä ja menetetyksi tuomitsemista koskevien päätösten vastavuoroisesta tunnustamisesta, jäljempänä konfiskaatioasetus. Puitepäätökset vastaavat sisällöllisesti pitkälti asetuksen sisältöä. Jäädyttämistä koskevien päätösten osalta asetus kuitenkin koskee vain jäädyttämistä myöhemmin tuomittavan menettämisseuraamuksen täytäntöönpanoa varten, sekä jäädyttämistä ja konfiskaatiota asianomistajan korvausvaatimuksen tueksi. Todistusaineiston jäädyttämistä koskevat säännökset sisältyvät puolestaan tutkintamääräystä koskevaan direktiiviin.
Jäädyttämispuitepäätös on pantu kansallisesti täytäntöön lailla omaisuuden tai todistusaineiston jäädyttämistä koskevien päätösten täytäntöönpanosta Euroopan unionissa (540/2005, jäljempänä jäädyttämislaki). Konfiskaatioasetusta täydentävät kansalliset säännökset ovat laissa jäädyttämistä ja menetetyksi tuomitsemista koskevien päätösten vastavuoroista tunnustamista Euroopan unionissa koskevan asetuksen soveltamisesta (895/2020, jäljempänä konfiskaatioasetuksen soveltamislaki). Lakien mukaisesti pannaan täytäntöön toisen EU:n jäsenvaltion oikeusviranomaisen tekemä jäädyttämispäätös tai lähetetään Suomen oikeusviranomaisen tekemä jäädyttämispäätös täytäntöönpantavaksi toiseen EU:n jäsenvaltioon. Syyttäjän toimivaltuudet ovat samat riippumatta siitä, toimitaanko asetuksen vai puitepäätöksen nojalla. Jäädyttämislain 5 §:n ja konfiskaatioasetuksen soveltamislain 6 §:n nojalla syyttäjä on toimivaltainen hoitamaan jäädyttämispäätöksen täytäntöönpanoon liittyviä tehtäviä. Päätöksen jäädyttämispäätöksen lähettämisestä toiseen jäsenvaltioon tekee Suomessa syyttäjä tai syyttäjän pyynnöstä tuomioistuin. Konfiskaatioasetuksen soveltamislaissa tietosuojan kannalta merkityksellisiä ovat erityisesti sen säännökset salassapidosta, vaitiolovelvollisuudesta sekä tietojen käyttöä koskevista rajoituksista
Myös neuvoston puitepäätös 2009/829/YOS vastavuoroisen tunnustamisen periaatteen soveltamisesta valvontatoimia koskeviin päätöksiin Euroopan unionin jäsenvaltioiden välillä tutkintavankeuden vaihtoehtona edellyttää henkilötietojen vaihtoa EU:n jäsenvaltioiden välillä. Kyseinen puitepäätös on pantu kansallisesti täytäntöön lailla tutkintavankeuden vaihtoehtona määrättyjä valvontatoimia koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (620/2012). Lain ja puitepäätöksen mukaisesti Suomessa tunnustetaan ja pannaan täytäntöön toisessa EU:n jäsenvaltiossa tehty valvontatoimia koskeva päätös ja lähetetään toiseen EU:n jäsenvaltioon tunnustettavaksi ja täytäntöönpantavaksi Suomessa tehty valvontatoimia koskeva päätös. Puitepäätöksen tavoitteena on vähentää tilanteita, joissa henkilö joutuu tutkintavankeuteen ainoastaan sen vuoksi, ettei hänellä ole asuinpaikkaa asian käsittelyvaltiossa. Suomessa puitepäätöksen tarkoittama tutkintavankeuden vaihtoehto on matkustuskielto. Valvontatoimia koskevan päätöksen tunnustamisesta päättää laissa tarkoitettu aluesyyttäjä tai erikoissyyttäjä. Pakkokeinolaissa tarkoitettua vangitsemisvaatimusta käsittelevä tuomioistuin on toimivaltainen tekemään valvontatoimia koskevan päätöksen ja lähettämään sen toiseen jäsenvaltioon. Jos henkilöä ei esitetä vangittavaksi, toimivalta on asianomaiseen rikosasiaan määrätyllä syyttäjällä.
Lisäksi syyttäjällä on eräitä tehtäviä vapausrangaistuksen ja muiden rikosoikeudellisten seuraamusten täytäntöönpanon siirtämistilanteissa. EU:n jäsenvaltioiden väliseen rikosoikeudelliseen yhteistyöhön sovelletaan erityisesti tuomittujen siirtoa koskevaa puitepäätöstä 2008/909/YOS, joka on saatettu voimaan lailla tuomittujen siirtoa Euroopan unionissa koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (1169/2011) sekä valvontatoimenpiteiden ja vaihtoehtoisten seuraamusten siirtoa koskevaa puitepäätöstä 2008/947/YOS, joka on saatettu voimaan lailla valvontatoimenpiteitä ja vaihtoehtoisia seuraamuksia Euroopan unionissa koskevan puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta (1170/2011). Pohjoismaiden välillä vapausrangaistuksen, yhdyskuntapalvelun, ehdollisesti tuomitun valvonnan ja ehdonalaisen vapauden valvonnan siirtoihin sovelletaan ensisijaisesti edellä mainittujen puitepäätösten sijasta lakia Suomen ja muiden pohjoismaiden välisestä yhteistoiminnasta rikosasioissa annettujen tuomioiden täytäntöönpanossa (326/1963).
Molemmissa edellä mainituissa rikosoikeudellisen yhteistyön puitepäätöksissä toimivaltainen viranomainen on pääsääntöisesti Rikosseuraamuslaitos, mutta syyttäjillä ja tuomioistuimilla on joitakin tehtäviä. Tuomittujen siirroissa osa syyttäjän tehtävistä voi liittyä suoranaisesti syyttäjän toimintaan rikosasian käsittelyssä, kun taas osa syyttäjän tehtävistä liittyy tuomion mukauttamista koskevan vaatimuksen viemiseen käräjäoikeuteen. Valvontatoimenpiteiden ja vaihtoehtoisten seuraamusten siirroissa toimivalta tehdä mukauttamista koskeva päätös on eräissä tilanteissa Rikosseuraamuslaitoksella ja eräissä tilanteissa käräjäoikeudella. Käräjäoikeuteen vietävissä mukauttamisasioissa syyttäjä tekee vaatimuksen käräjäoikeudelle. Molemmissa instrumenteissa syyttäjä voi myös valittaa käräjäoikeuden ratkaisusta hovioikeuteen.
Rikosoikeudelliseen yhteistyöhön liittyvää henkilötietojen vaihtoa jäsenvaltioiden välillä tapahtuu myös rikosoikeudellisia menettelyjä koskevien toimivaltaristiriitojen ehkäisemisestä ja ratkaisemisesta tehdyn neuvoston puitepäätöksen (2009/948/YOS) nojalla. Puitepäätös koskee tilanteita, joissa kahdella tai useammalla EU:n jäsenvaltiolla on toimivalta käsitellä oikeudenkäyntiä edeltävässä vaiheessa (esitutkinta, syytetoimet) samaa henkilöä koskevia samoja tosiseikkoja rikosoikeudellisessa menettelyssä. Puitepäätöksen tavoitteena on ehkäistä ja ratkaista toimivaltaristiriitoja ja siten välttää tarpeettomia päällekkäisiä rikosprosesseja. Puitepäätös sisältää säännöksiä tietojenvaihtomenettelyistä sekä siitä, kuinka jäsenvaltioiden tulisi menetellä sopiakseen parhaiten tapaukseen soveltuvasta oikeuspaikasta. Puitepäätös on pantu täytäntöön lailla rikosoikeudellisia menettelyjä koskevien toimivaltaristiriitojen ehkäisemisestä ja ratkaisemisesta sekä esitutkinnan ja syytetoimien siirtämisestä Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä (295/2012). Lain mukaan päätöksen esitutkinnan siirtämisestä toisesta jäsenvaltiosta Suomeen tekee tutkinnanjohtaja saatuaan syyttäjän suostumuksen. Kuitenkin jos rikoksen tutkiminen Suomessa edellyttää valtakunnansyyttäjän syytemääräystä, esitutkinnan siirtämisestä Suomeen päättää syyttäjä. Päätöksen esitutkinnan siirtämisestä Suomesta toiseen jäsenvaltioon tekee puolestaan syyttäjä tutkinnanjohtajan esityksestä. Syytetoimien siirtämisestä päättää syyttäjä.
Euroopan parlamentin ja neuvoston asetus (EU) 3011/2024 rikosoikeudellisten menettelyjen siirtämisestä hyväksyttiin 5.11.2024. Asetus tuli voimaan 7.1.2025 ja sitä sovelletaan 1.2.2027 lähtien. Asetuksen 1 artiklan 2 kohdan mukaisesti asetusta sovelletaan jatkossa kaikkiin tapauksiin, jotka koskevat jäsenvaltiossa vireillä olevien rikosoikeudellisten menettelyjen siirtämistä. Asetuksen soveltamisalaa ei siten ole rajattu koskemaan vain oikeudenkäyntiä edeltävää vaihetta. Lisäksi asetuksen johdanto-osan 8 kappaleesta ilmenee, että jos toimivaltaiset viranomaiset päättävät puitepäätöksen 2009/948/YOS mukaisten neuvottelujen jälkeen keskittää menettelyt yhteen jäsenvaltioon siirtämällä rikosoikeudellisen menettelyn, myös tällainen siirto olisi toteutettava rikosoikeudellisten menettelyjen siirtämisestä annetun asetuksen mukaisesti.
Rikosoikeudellisten menettelyiden siirtämistä koskeviin pyyntöihin liittyy henkilötietojen ja muiden tietojen vaihtoa jäsenvaltioiden viranomaisten välillä. Rikosoikeudellisten menettelyjen siirtämisestä annetun asetuksen johdanto-osan 70 kappaleesta ilmenee asetuksen suhde tietosuojalainsäädäntöön. Asetus muodostaa oikeusperustan henkilötietojen vaihdolle rikosasioiden tietosuojadirektiivin 8 artiklan ja 10 artiklan a alakohdan mukaisesti. Kyseisen johdanto-osan kappaleen mukaisesti Syyttäjälaitoksen henkilötietojen käsittelyyn sovellettaisiin myös näissä tilanteissa muilta osin rikosasioiden tietosuojalakia. Muista edellä mainituista säädöksistä poiketen asetuksessa täsmennetään rekisterinpitäjä. Syyttäjälaitosta pidettäisiin rekisterinpitäjänä silloin, kun se on pyynnön esittävä viranomainen. Siinä tapauksessa, että menettelyn siirtämistä koskeva pyyntö tehtäisiin tai vastaanotettaisiin keskusviranomaisen välityksellä, keskusviranomaista pidettäisiin henkilötietojen käsittelijänä.
Syyttäjälaitoksen henkilötietojen käsittelyyn voi seurata vaikutuksia myös muusta unionin oikeudesta, erityisesti rikostorjuntaa koskevasta lainsäädännöstä, esimerkiksi jos säädöksestä johtuu tarve tarkastella rikosprosessin osapuolten tietosuojaan liittyvien suojatoimien riittävyyttä. Naisiin kohdistuvan väkivallan ja perheväkivallan torjumisesta annettu direktiivi (EU) 2024/1385 tuli voimaan 13.6.2024. Jäsenvaltioiden on saatettava tämän direktiivin noudattamisen edellyttämät lait, asetukset ja hallinnolliset määräykset voimaan viimeistään 14 päivänä kesäkuuta 2027. Direktiivi sisältää naisiin kohdistuvan väkivallan ja perheväkivallan ehkäisemistä ja torjumista koskevat vähimmäissäännöt EU-tasolla. Säännöt koskevat rikosten ja seuraamusten määrittelyä, uhrien oikeuksia, uhrien suojelua ja tukemista sekä ennaltaehkäisyä ja varhaista tilanteeseen puuttumista. Direktiivi sisältää eräitä säännöksiä, joilla voi olla esitutkintaviranomaisten lisäksi merkitystä myös Syyttäjälaitoksen henkilötietojen käsittelyn kannalta. Henkilötietojen suojan kannalta merkityksellisiä säännöksiä ovat esimerkiksi rikosasian kirjaamiseen ja todistusaineiston säilyttämiseen sekä uhrin suojeluntarpeen arviointiin liittyvät velvoitteet. Direktiivissä tarkoitettu tietojen käsittely koskee arkaluonteisia tietoja. Direktiivissä ei säädetä erityisesti niitä koskevista, syyttäjiin sovellettavista suojatoimista.
Syyttäjälaitoksen henkilötietojen käsittelyn kannalta merkityksellisiä säännöksiä sisältyy myös rikoksen uhrien oikeuksia, tukea ja suojelua koskevista vähimmäisvaatimuksista annettuun Euroopan parlamentin ja neuvoston direktiiviin (2012/29/EU), jäljempänä uhridirektiivi. Uhridirektiivissä vahvistetaan rikoksen uhrien oikeuksia, tukea ja suojelua koskevat vähimmäisvaatimukset. Voimassa olevassa direktiivissä syyttäjiä koskevat erityisesti syyttämättäjättämispäätösten uudelleen käsittelyyn liittyvät uhrin oikeudet. Direktiivi ei kuitenkaan sisällä varsinaisia henkilötietojen käsittelyn erityissäännöksiä, joita sovellettaisiin Syyttäjälaitoksen henkilötietojen käsittelyyn. Direktiivissä kuitenkin säädetään esimerkiksi uhrin oikeudesta yksityiselämän suojaan sekä erityisten suojelutarpeiden arviointiin, jossa huomioidaan muun muassa alttius toissijaiselle ja toistuvalle uhriksi joutumiselle, pelottelulle ja kostotoimille. Myös uhridirektiiviin perustuva rikoksen uhrien tietojen käsittely koskee arkaluonteisia tietoja. Euroopan komissio antoi heinäkuussa 2023 ehdotuksen uhridirektiivin muuttamisesta (COM/2023/424 final). Ehdotus sisältää säännöksen, jonka mukaan jäsenvaltioiden on varmistettava, että rikoksentekijälle ei suoraan tai välillisesti anneta uhria koskevia henkilötietoja, joiden avulla rikoksentekijä voi määrittää uhrin asuinpaikan tai muutoin ottaa yhteyttä uhriin millään tavalla. Muutosdirektiivin neuvottelut ovat vielä kesken.
Euroopan neuvoston yleissopimus naisiin kohdistuvan väkivallan ja perheväkivallan ehkäisemisestä ja torjumisesta (Istanbulin sopimus) tuli Suomen osalta voimaan 1.8.2015 (laki naisiin kohdistuvan väkivallan ja perheväkivallan ehkäisemisestä ja torjumisesta tehdyn Euroopan neuvoston yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta (SopS 52/2015) ja asetus naisiin kohdistuvan väkivallan ja perheväkivallan ehkäisemisestä ja torjumisesta tehdyn Euroopan neuvoston yleissopimuksen voimaansaattamisesta sekä yleissopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta annetun lain voimaantulosta (SopS 53/2015)). Sopimus sisältää määräyksiä syytetoimista. Istanbulin sopimus on toiminut viitekehyksenä myös edellä mainitulle naisiin kohdistuvan väkivallan ja perheväkivallan torjumisesta annetulle direktiiville.
Syyttäjät käsittelevät henkilötietoja myös EU:n virastoja koskevan lainsäädännön mukaisessa yhteistyössä, josta osa tapahtuu Euroopan oikeudellisen verkoston puitteissa. Euroopan rikosoikeudellisen yhteistyön virasto (Eurojust) on EU:n virasto, joka tukee kansallisia tutkinta- ja syyttäjäviranomaisia vakavien rajat ylittävien rikostapausten käsittelyssä. Eurojust huolehtii tutkinta- ja syytetoimiin liittyvästä jäsenvaltioiden toimivaltaisten viranomaisten keskinäisestä tietojenvaihdosta. Eurojustin ja jäsenvaltioiden välinen tietojenvaihto tapahtuu EU:n jäsenvaltioiden kansallisten jäsenten välityksellä. Eurojust voi toimia jäsenvaltion toimivaltaisen viranomaisen tai Euroopan syyttäjänviraston (EPPO) aloitteesta tai omasta aloitteestaan. Eurojust ei kuitenkaan käytä toimivaltaansa sellaisten rikosten osalta, joissa EPPO käyttää omaa toimivaltaansa. EPPO vastaa unionin taloudellisia etuja vahingoittavien rikosten tutkimisesta sekä kyseisten rikosten tekijöiden ja niihin osallisten asettamisesta syytteeseen ja saattamisesta tuomittaviksi. Tätä varten EPPO toteuttaa tutkinta- ja syytetoimia sekä hoitaa syyttäjän tehtäviä jäsenvaltioiden toimivaltaisissa tuomioistuimissa siihen asti, kun asia on lopullisesti ratkaistu. EPPO on toimivaltainen käyttämään EPPO-asetuksessa tarkoitettua tutkinta- ja syytetoimivaltaa Suomessa. Euroopan oikeudellista verkostoa käytetään asioissa, joissa Eurojust ei ole toimivaltainen, eli muissa kuin vakavissa rajat ylittävissä rikosasioissa, esimerkiksi toimivaltaisen viranomaisen tai sovellettavan lainsäädännön selvittämiseen. Syyttäjälaitoksen osalta henkilötietojen käsittelyä voi liittyä esimerkiksi oikeusapupyyntöjen välittämiseen, jos verkostoa hyödynnetään kyseistä tarkoitusta varten.
Euroopan unionin rikosoikeudellisen yhteistyön virastosta (Eurojust) ja neuvoston päätöksen 2002/187/YOS korvaamisesta ja kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2018/1727 (Eurojust-asetus) sisältää myös Syyttäjälaitokseen sovellettavia säännöksiä, jotka ovat merkityksellisiä henkilötietojen käsittelyn kannalta. Eurojust-asetuksen mukaan kansallisilla jäsenillä tulee olla pääsy rikosasioissa käytettäviin rekistereihin tai vähintään oikeus saada tietoja tällaisista rekistereistä. Rekisterien tulee kattaa ainakin rikosrekisteritiedot, pidätettyjä koskevat tiedot, esitutkintatiedot ja DNA-tiedot, mutta kansallisesta järjestelmästä riippuen myös muita rekistereitä voi tulla kyseeseen. Kansallisilla jäsenillä on velvollisuus asetuksen nojalla vaihtaa laajalti asetuksessa täsmennettyihin törkeisiin rikoksiin liittyviä tietoja, jotka liittyvät Eurojustin tehtävien hoitamiseen. Nämä tiedot voivat sisältää myös erityisiin henkilötietoryhmiin kuuluvia tai muutoin arkaluonteisia tietoja, mukaan lukien ääni- ja videotallenteet. Laki Suomen osallistumisesta Euroopan unionin rikosoikeudellisen yhteistyön viraston (Eurojust) toimintaan (1232/2019) sisältää säännökset (7–9 §) kansallisten toimivaltaisten viranomaisten kanssa tehtävästä yhteistyöstä sekä Eurojustin kansallisen jäsenen tiedonsaantioikeudesta ja oikeudesta käsitellä ja luovuttaa henkilötietoja salassapitosäännösten estämättä Eurojustille, sekä luvan antaminen henkilötietojen siirtämiseen kolmannelle maalle tai kansainväliselle järjestölle. Lain 8 §:n mukaisesti syyttäjän tiedonsaantioikeuteen sovelletaan lisäksi Syyttäjälaitoksesta annetun lain 22 §:n ja rikosrekisterilain (770/1993) säännöksiä, kun kyse on kansallisen jäsenen Eurojust-asetuksen mukaisten tehtävien hoitamisesta.
Tiiviimmän yhteistyön toteuttamisesta Euroopan syyttäjänviraston (EPPO) perustamisessa annettu neuvoston asetus (EU) 2017/1939 (EPPO-asetus) sisältää EPPOn henkilötietojen käsittelyä koskevat, suoraan sovellettavat säännökset henkilötietojen suojasta. Asetuksessa säädetään myös Euroopan tietosuojavaltuutetun ja kansallisten valvontaviranomaisten välisestä yhteistyöstä. Laki Suomen osallistumisesta Euroopan syyttäjänviraston (EPPO) toimintaan (66/2021) sisältää syyttäjien suorittaman henkilötietojen käsittelyn osalta EPPO-asetusta täydentävät säännökset muun muassa ylimääräisen tiedon ja henkilötuntomerkkien luovuttamisesta, päätöksen tiedoksiannosta sekä Euroopan syyttäjän ja valtuutetun Euroopan syyttäjän tiedonsaantioikeudesta. Lain 14 §:n mukaisesti Syyttäjälaitoksesta annetun lain 22 §:n säännöksiä syyttäjän tiedonsaantioikeudesta sovelletaan myös Euroopan syyttäjään ja valtuutettuun Euroopan syyttäjään näiden hoitaessa EPPO-asetuksen mukaisia tehtäviään. Mitä tietojen luovuttamisesta syyttäjälle säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa (616/2019), henkilötietojen käsittelystä Rajavartiolaitoksessa annetussa laissa (639/2019), henkilötietojen käsittelystä Tullissa annetussa laissa (650/2019) ja muussa laissa, sovelletaan myös tietojen luovuttamiseen Euroopan syyttäjälle ja valtuutetulle Euroopan syyttäjälle näiden hoitaessa EPPO-asetuksen mukaisia tehtäviään. Laki sisältää myös säännökset pääsyoikeuden myöntämisestä asiainhallintajärjestelmään ja ennakkoluvan myöntämisestä henkilötietojen edelleen siirtämiseen kolmannelle maalle tai kansainväliselle järjestölle.
Rikosasioiden tietosuojadirektiivi ei lähtökohtaisesti vaikuta kolmansien valtioiden kanssa tehtyjen, voimassa olevien kahden- tai monenvälisten sopimusten mukaisiin jäsenvaltioiden tai unionin velvoitteisiin ja sitoumuksiin, jollei sopimuksia muuteta. Rikosasioiden tietosuojadirektiivin 61 artiklan mukaan henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen 6 päivää toukokuuta 2016 ja jotka ovat unionissa kyseisenä päivänä voimassa olleen oikeuden mukaisia, ovat edelleen voimassa, kunnes niitä muutetaan tai ne korvataan tai kumotaan. Tällaisia sopimuksia ovat esimerkiksi useat EU:n ja Suomen kolmansien maiden kanssa tekemät sopimukset kansainvälisestä oikeusavusta rikosasioissa ja rikoksen johdosta tapahtuvasta luovuttamisesta.
3.5
Arviointia
Rikosasioiden tietosuojalaki kattaa syyttäjien osalta kaikki henkilötietojen käsittelytarkoitukset, kun kyse on syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta. Henkilötietojen käyttötarkoituksista ei ole tarpeen säätää kahteen kertaan. Siltä osin kuin henkilötietoja on kuitenkin tarpeen käyttää muuhun kuin niiden alkuperäiseen keräämistarkoitukseen, asiasta olisi tarpeen säätää nimenomaisesti laissa.
Rikosasioiden tietosuojalaki mahdollistaa sen säännöksistä poikkeamisen erityislaissa, edellyttäen, että direktiivissä säädetty tietosuojan taso säilyy. Rikosasioiden tietosuojalain säännöksistä poikkeavassa erityislainsäädännössä on yleissäädösten asettamien vaatimusten lisäksi otettava huomioon perustuslaista, EU:n perusoikeuskirjasta ja kansainvälisistä ihmisoikeusvelvoitteista johtuvat vaatimukset. Perustuslakivaliokunta on tarkistanut tietosuojauudistusta koskevien hallituksen esitysten käsittelyn yhteydessä tulkintakäytäntöään, joka koskee henkilötietojen käsittelyä koskevalta erityislainsäädännöltä edellytettävää kattavuutta ja yksityiskohtaisuutta. Ehdotettujen säännösten suhdetta perus- ja ihmisoikeusvelvoitteisiin arvioidaan esityksen jaksossa 12.
Rikosasian osapuolten perusoikeuksien rajoittaminen, mukaan lukien yksityiselämän ja henkilötietojen suoja, tapahtuu jo sillä hetkellä, kun esitutkintaviranomainen rekisteröi asian tai siihen liittyviä henkilötietoja omaan tietojärjestelmäänsä. Esitutkintaan liittyvät tiedot ovat jo sellaisenaan valtiosääntöisesti arkaluonteisia, minkä lisäksi esitutkinta-aineisto voi sisältää yksittäisiä erityiseen henkilötietoryhmään kuuluvia tietoja tai muita arkaluonteisia tietoja. Esitutkinta-aineistoa ei nykyisin rekisteröidä syyttäjien toimesta erikseen, mutta syyttäjä saa tiedon esitutkinnasta ja asia siirretään syyteharkintaan sen mukaisesti, mitä esitutkintalaissa säädetään. Toisaalta syyttäjien osalta prosessin kesto määräytyy sen perusteella, milloin asia saapuu syyteharkintaan.
Kuten kumottu henkilötietodirektiivi, myös rikosasioiden tietosuojadirektiivi on tarkoitettu sovellettavaksi sekä henkilörekistereihin että kaikkeen automatisoituun henkilötietojen käsittelyyn. Myös henkilötietolakia (523/1999) sovellettiin rikosasioiden tietosuojalakia vastaavasti kaikkeen henkilötietojen automaattiseen käsittelyyn. Muuhun kuin automatisoituun henkilötietojen käsittelyyn on sovellettu jo aiemmin henkilötietolakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Henkilörekistereistä ja niiden yksityiskohtaisesta tietosisällöstä on perustuslakivaliokunnan tulkintakäytännön huomioimiseksi tyypillisesti säädetty erikseen erityislainsäädännössä silloin, kun yksityiskohtaisempaa sääntelyä on pidetty tarpeellisena. Henkilörekistereistä säätäminen voisi olla läpinäkyvyyden ja rekisteröidyn oikeuksien käyttämisen kannalta perusteltua esimerkiksi siinä tapauksessa, että syyttäjät käsittelisivät rikosasioihin liittyviä henkilötietoja useassa rekisterissä. Tällaista sääntelyä on voimassa muun muassa Rikosseuraamuslaitoksen osalta.
Syyttäjät sinänsä käsittelevät henkilötietoja lähtökohtaisesti useassa rekisterissä tai tietojärjestelmässä. Rikosasioihin liittyvät henkilötiedot sisältyvät kuitenkin pääosin samaan rikosasioita varten osoitettuun käsittelyjärjestelmään tai tietovarantoon. Lisäksi Syyttäjälaitoksen suorittaman henkilötietojen käsittelyn osalta ei ole mahdollista ennakoida, mitä henkilötietoja syyttäjän käsiteltäväksi tulevaan rikosasiaan tai esitutkinta-aineistoon sisältyy. Siten yksityiskohtaisesta rekisteristä tai rekisterin tietosisällöstä säätäminen ei olisi tarkoituksenmukaista, eikä sillä olisi erityistä henkilötietojen suojaa vahvistavaa vaikutusta siten kuin rikosasioiden tietosuojadirektiivi edellyttää.
Rikosasioiden tietosuojalaista seuraa myös useita vaatimuksia, jotka liittyvät esimerkiksi tietojärjestelmien, rekisterien tai tietovarantojen tietoturvallisuuteen, ja muita suojatoimia. Nämä suojatoimet ovat pääosin samansisältöisiä kuin yleisessä tietosuoja-asetuksessa. Rikosasioiden tietosuojalaissa on myös eräitä, rikosasian luonteen huomioivia erityisiä vaatimuksia, joita ei sisälly yleiseen tietosuoja-asetukseen. Näitä ovat erityisesti eri rekisteröityjen ryhmiä koskevien henkilötietojen säilyttäminen mahdollisuuksien mukaan toisistaan erillään sekä lokitietoja koskevat yksityiskohtaiset vaatimukset. Erityissääntelystä olisi hallituksen esityksessä muodostetun arvion mukaan syytä pidättäytyä siltä osin kuin sille ei ole osoitettavissa erityisiä tarpeita, esimerkiksi sääntelyn läpinäkyvyyden lisäämiseksi rekisteröidyn oikeuksien käyttämisen kannalta tai tiukemmista käsittelyn edellytyksistä säätämiseksi.
Huomioiden edellä todetun, Syyttäjälaitoksen osalta ei olisi tarkoituksenmukaista säätää yksityiskohtaisesta rikosasioiden käsittelyjärjestelmän tietosisällöstä. Tietojärjestelmän tai rekisterin yksityiskohtaisesta tietosisällöstä säätäminen voisi lisäksi vaikeuttaa rikosasioiden käsittelyjärjestelmän teknistä toteutusta. Tietosisällön yksityiskohtainen kuvaus lain tasolla tekisi sääntelystä läpinäkyvämpää rekisteröidyn kannalta, mutta kattava ja yksityiskohtainen tietosisällöstä säätäminen ei välttämättä vahvistaisi rekisteröidyn tietosuojaa. Rekisteröidyn informointiin riittäisi tieto siitä, mihin häntä koskevia tietoja rikosasiassa on rekisteröity ja mikä tietojen käyttötarkoitus on, sekä käsiteltävien tietojen sisällön kuvaaminen tietosuojaselosteessa. Syyttäjien tehtäviin ei myöskään liity sellaisia tilanteita, joissa rikokseen liittyvien tietojen käsittely voisi jatkua pitkään ilman, että asianosaiset ja muut rikokseen liittyvät henkilöt saavat tiedon henkilötietojensa rekisteröinnistä. Rekisteröidyn oikeuksien kannalta pitkälle menevinä rajoitustoimina voidaan pitää erityisesti sellaisia tilanteita, joissa rekisteröidyn tarkastusoikeutta on rajoitettu, mutta rekisteröity ei ole tietoinen siitä, että häntä koskeva asia on rekisteröity toimivaltaisen viranomaisen toimesta. Tiedonhallintalaista seuraa yleinen asianhallintaan liittyvä rekisteröintivelvoite. Edellä syyttäjien tehtäviin sovellettavaa lainsäädäntöä, EU-lainsäädäntöä ja kansainvälisiä sopimuksia koskevasta nykytilan kuvauksesta ilmenee, että nimenomainen rekisteröintivelvoite sisältyy vain yksittäiseen säädökseen. Näistä säädöksistä ei myöskään seuraa tarkempirajaista velvoitetta siitä, että rekisterimerkintä tulisi tehdä nimenomaisesti rikosasioita varten osoitettuun rekisteriin tai järjestelmään.
Erityisiin henkilötietoryhmiin liittyvä henkilötietojen käsittely voisi edellyttää rikosasioiden tietosuojalakia yksityiskohtaisempia ja tarkkarajaisempia säännöksiä. Syyttäjien osalta ei ole edellä mainituista syistä kuitenkaan mahdollista ennakoida myöskään sitä, mitä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja esitutkinta-aineisto voisi sisältää. Esitutkintaviranomaisia koskevassa erityislainsäädännössä on sallittu erityisten henkilötietoryhmien käsittely varsin väljästi. Siten lähtökohtaisesti mitä tahansa niistä voisi olla tarpeen tallentaa rikosasioiden käsittelyjärjestelmään. Erityisiin henkilötietoryhmiin kuuluvia tietoja voisivat olla esimerkiksi rikoksesta epäillyn tai uhrien terveydentilaan liittyvät tiedot. Tällaisten tietojen käsittelytarpeiden huomioimiseksi laissa olisi tarkoituksenmukaisempaa säätää ylimääräisistä suojatoimista erityisiin henkilötietoryhmiin kuuluvien tietojen suojan vahvistamiseksi. Rikosasioiden tietosuojalaissa edellytetään, että tiedot ovat välttämättömiä, mutta se ei sisällä tarkempia säännöksiä sovellettavista suojatoimista. Myöskään tiedonhallintalain säännökset tietoturvallisuutta koskevista velvoitteista eivät liity erityisesti siihen, että kyse olisi erityisiin henkilötietoryhmiin kuuluvista tai muutoin arkaluonteisista henkilötiedoista. Huomioitava on myös se, että rikosasiaa koskevat tiedot ovat jo sellaisenaan arkaluonteisia tietoja sen lisäksi, että ne voivat sisältää erityisiin henkilötietoryhmiin kuuluvia tietoja. Syyttäjälaitoksesta annettu laki sisältää säännökset syyttäjien vaitiolovelvollisuudesta ja vaitiolo-oikeudesta, mutta ei muita soveltuvia suojatoimia. Myöskään oikeushallinnon valtakunnallisesta tietovarannosta annettu laki ei sisällä erityisiä rikosasioiden käsittelyjärjestelmään sovellettavia suojatoimia.
Esityksen valmistelun aikana on arvioitu lisäksi sitä, mihin muihin tilanteisiin kuin erityisten henkilötietoryhmien käsittelyyn voi liittyä syyttäjien toiminnassa tavanomaista korkeampia riskejä yksityiselämän suojalle. Tällaisia riskejä on tunnistettu liittyvän erityisesti rikosasian todistajien ja poliisin tietolähteiden henkilötietojen käsittelyyn, sekä rikoksen uhrien henkilötietojen käsittelyyn. Syyttäjiä koskeva lainsäädäntö ei sisällä yksityiskohtaisia säännöksiä henkilötietojen tai muiden tietojen luovuttamisesta, eikä niiden luovuttamiseen kohdistuvia erityisiä rajoituksia. Sen sijaan esitutkintaviranomaisten käsittelemien henkilötietojen luovuttamisesta salassapitosäännösten estämättä säädetään yksityiskohtaisesti viranomaisia koskevissa erityislaeissa. Lisäksi yleisöjulkisten rekisterien osalta yhteystietojen luovuttamista on usein laissa rajoitettu. Syyttäjälaitoksesta annettu laki ei sisällä myöskään tällaisten tietojen käsittelyyn sovellettavia erityisiä suojatoimisäännöksiä. Erityisesti rikoksen todistajat ja uhrit, mutta joskus myös rikoksesta epäillyt henkilöt voivat olla alttiita uhkailulle ja erilaisille kostotoimille, joita voi olla vaikea ennakoida. Yhteystietojen päätyminen uhkailua tai väkivaltaa suunnittelevalle rikoksesta epäillylle tai sivulliselle voisi vesittää tavoitteet suojella kyseisiä henkilöitä esimerkiksi rikosprosessuaalisin keinoin. Poliisin toimintaympäristöä koskevasta selvityksestä ilmenee, että rikosprosessin asianomistajiin ja todistajiin kohdistuva uhkailu on lisääntynyt (Poliisi, Toimintaympäristöanalyysi, osa 1/2, ulkoinen toimintaympäristö). Uhkailua voi liittyä esimerkiksi lähisuhdeväkivaltaan ja järjestäytyneeseen rikollisuuteen.
Naisiin kohdistuvan väkivallan ja perheväkivallan torjumisesta annettu direktiivi ja lähiaikoina annettava muutettu uhridirektiivi sisältävät uusia suojatoimia myös henkilötietojen käsittelyn osalta. Erityisesti uhridirektiivi tulee edellyttämään rikoksen uhrin yhteystietojen luovuttamisen rajoittamista. Direktiivin säännökset eivät kuitenkaan riitä kattamaan muiden rikosprosessin osapuolten tai todistajien yhteystietoja. Vaikka rikosprosessin osapuolella tai todistajalla on mahdollisuus itse pyytää yhteystietojensa salaamista ja tehdä tietojenluovutuskieltoja väestötietojärjestelmään, nämä toimenpiteet eivät takaa aukotonta suojaa. Erityisesti väestötietojärjestelmässä tehdyt kiellot eivät turvakieltoa lukuun ottamatta välity eteenpäin muiden viranomaisten järjestelmiin.
Rekisteröidyn oikeuksien kannalta tiedonsaanti tai tietoisuus vireillä olevasta asiasta tarkoittaa myös, että rekisteröity voi käyttää oikeuksiaan joko suoraan tai tietosuojavaltuutetun välityksellä siten kuin rikosasioiden tietosuojalaissa säädetään ja varmistua henkilötietojen käsittelyn lainmukaisuudesta. Rekisteröidyn käytettävissä on myös muita oikeussuojakeinoja. Siinä vaiheessa, kun esitutkinta-aineisto valmistuu ja siirretään syyteharkintaan, rikosasian osapuolet ovat tietoisia asiasta eikä syyttäjän toimenpiteistä sellaisenaan seuraa sellaisia perusoikeuksien rajoitustoimenpiteitä, jotka olisivat merkittävämpiä kuin esitutkinnasta tai pakkokeinoista seuraavat rajoitukset. Rekisteröidyn oikeuksia ei ole syyttäjien tehtäviin liittyvän henkilötietojen käsittelyn osalta rajoitettu erikseen sen lisäksi, mitä rikosasioiden tietosuojalaissa säädetään. Esityksen valmistelun aikana ei ole noussut yhteystietojen luovuttamisen rajoittamista lukuun ottamatta esiin tarpeita säätää ylimääräisistä rajoituksista rikosprosessin intressien turvaamiseksi.
Hallituksen esityksen valmistelua edeltäneessä esiselvitysvaiheessa on käyty läpi kokonaisuudessaan syyttäjien tiedonsaantioikeuksia ja tietojen luovuttamista koskevat säännökset. Tietovarantolain voimassa olevat säännökset voivat aiheuttaa tulkintaepäselvyyttä siitä, kenellä on oikeus luovuttaa tietoja järjestelmästä, koska rikosasioiden käsittelyjärjestelmä kytkeytyy oikeushallinnon valtakunnalliseen tietovarantoon, vaikka Syyttäjälaitoksen käyttämä rikosasioiden käsittelyjärjestelmä on siitä teknisesti erillinen järjestelmä. Nykytilan selkiyttäminen olisi tarpeen. Muilta osin syyttäjien tiedonsaanti- ja tiedonluovutusoikeuksissa ei ole paikannettu selviä puutteita.
Valmistelun aikana on lisäksi arvioitu syyttäjien oikeutta käsitellä henkilötietoja muihin kuin niiden alkuperäisiin käsittelytarkoituksiin. Rikosasioiden tietosuojalaki luo oikeusperustan syyttäjien oikeudelle käsitellä henkilötietoja syyteharkinnassa ja muussa rikokseen liittyvässä syyttäjän toiminnassa. Lisäksi tietovarantolain 11 §:n mukaisesti oikeushallinnon viranomainen saa salassapitosäännösten estämättä käyttää tietovarantoon tallentamiaan tietoja niiden käyttötarkoituksen mukaisesti lakisääteisten tehtäviensä hoitamisessa. Voimassa olevan tietosuojalain 4 §:n säännökset mahdollistavat henkilötietojen käsittelyn yleistä etua koskevan tehtävän hoitamiseksi silloin, kun kyse on muusta kuin rikosasioiden tietosuojalain soveltamisalaan kuuluvasta henkilötietojen käsittelytarpeesta. Nämä säännökset olisivat lähtökohtaisesti riittävät kattamaan syyttäjien ja myös muiden viranomaisten tarpeet käsitellä henkilötietoja omien tehtäviensä hoitamisessa ainakin siltä osin kuin on kyse henkilötietojen käsittelystä niiden alkuperäisen keräämistarkoituksen kanssa yhteensopivaan tarkoitukseen. Erityisesti rikosasioiden tietosuojalain ja tietovarantolain säännökset, jotka korostavat käyttötarkoitussidonnaisuuden vaatimusta, kuitenkin vaikuttaisivat rajoittavan syyttäjien ja muiden oikeushallinnon viranomaisten oikeutta käsitellä tietovarantoon tallentamiaan henkilötietoja niiden alkuperäisestä keräämistarkoituksesta poikkeaviin tarkoituksiin. Käsittelytarpeita voi liittyä esimerkiksi viranomaisen toiminnan suunnittelu- ja kehittämistehtäviin tai valvontatarkoituksiin.
6
Lausuntopalaute
Hallituksen esitysluonnos oli lausuntokierroksella 25.11.2025–13.1.2026, ja Ahvenanmaan viranomaisille varattiin erikseen tilaisuus lausua ruotsinkielisestä hallituksen esityksen luonnoksesta sen valmistuttua. Lausunnon antoivat Ahvenanmaan maakunnan hallitus, eduskunnan oikeusasiamies, Oikeusrekisterikeskus, Oikeustoimittajat ry, Poliisihallitus, Suomen Asianajajat, Suomen syyttäjäyhdistys ry, Tulli, Tutkivan journalismin yhdistys ja valtioneuvoston oikeuskansleri.
Tietovarannon yhteisrekisterinpito
Lausunnoissa kannatettiin ehdotettua yhteisrekisterinpitoa koskevaa ratkaisua eikä siihen ehdotettu muutoksia. Oikeuskanslerin lausunnossa kuitenkin pidettiin perusteltuna, että laissa säädettäisiin myös siitä, mikä yhteisrekisterinpitäjistä toimisi rekisteröityjen yhteyspisteenä. Yleinen tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi sinänsä mahdollistaisivat rekisteröityjen yhteyspisteen täsmentämisen lain tasolla. Ehdotetun yhteisrekisterinpitoa koskevan ratkaisun osalta täsmentäminen ei olisi kuitenkaan yksinkertaista, huomioiden hyvin erilaiset rekisterinpitovastuiden jakautumistilanteet. Rekisteröityjen kannalta keskeisintä on, että rekisterinpitäjien tietosuojaselosteista ilmenee, mihin rekisteröity voi olla yhteydessä. Tarvittaessa viranomainen voi siirtää asian toisen rekisterinpitäjän käsiteltäväksi hallintolain mukaisesti. Esityksen jatkovalmistelussa päädyttiin siihen, että oikeuskanslerin lausunnossa mainittu rikosasioiden tietosuojalain säännös riittää velvoittamaan rekisterinpitäjät yhteyspisteen nimeämiseen. Myös yleinen tietosuoja-asetus mahdollistaa yhteyspisteen nimeämisen suoraan asetuksen nojalla. Asiaa on selvennetty säännöskohtaisissa perusteluissa.
Oikeusrekisterikeskus nosti lausunnossaan esiin sen, että Tuomioistuinvirastolle ehdotettu rekisterinpitäjän rooli poikkeaa muiden oikeushallinnon rekisterinpitäjien rooleista. Lausunnossa ei tältä osin ehdotettu tarkistuksia esitysluonnokseen, mutta kiinnitettiin huomiota siihen, että Tuomioistuinviraston muista rekisterinpitäjistä poikkeava rooli tulisi ottaa huomioon rekisterinpitäjien välisissä tarkentavissa sopimuksissa. Tästä on lisätty maininta perusteluihin.
Suojatoimia koskevat säännökset
Myös suojatoimia koskevia säännöksiä kannatettiin lausunnoissa (esim. Suomen Asianajajat, Syyttäjäyhdistys). Syyttäjäyhdistyksen lausunnossa kannatettiin ehdotettuja lainmuutoksia, mutta lausunnossa pidettiin osin ongelmallisena ehdotettua viiden vuoden poistoaikaa. Mahdolliset ongelmat liittyvät sellaisiin rikosasioihin, joiden vastaajilla on pitkä rikoshistoria. joka ei ilmene pelkästään rikosrekisteristä. Lisäksi syyttäjien oikeusturva tulisi lausunnon mukaan turvata ottaen huomioon virkarikosten erityinen vanhentumisaika, jonka laskeminen saattaa alkaa myöhemmin kuin rikosasian vanhentumisajan alkaminen. Vastaavasti syyttäjän virkavastuun vanheneminen voi päättyä myöhemmin kuin viisi vuotta rikosasian lainvoimaiseksi tulemisen jälkeen. Syyttäjäyhdistys piti tärkeänä, että kaikki syyttäjien syyteharkintaratkaisut jäävät sellaisinaan syyttäjien käyttöön. Jatkopohdinnan tarve voisi olla, missä laajuudessa ja millaisin kustannuksin tämä voitaisiin turvata. Ihan kaikkea kuitenkaan lausunnon mukaan ei ole tarve säilyttää. Jatkovalmistelussa on arvioitu tarvetta täydentää tietovarantolain 11 §:ää ja täydennetty esitystä tältä osin. Syyttäjäyhdistyksen lausunnossa esiin nostettujen tarpeiden kyseisessä pykälässä säädetty käyttötarkoitussidonnaisuuden vaatimus sekä rikosasioiden tietosuojalain vastaava vaatimus rajoittavat sitä, mihin tarkoituksiin tietovarantoon tallennettuja tietoja voidaan käyttää. Henkilötietojen alkuperäisestä keräämistarkoituksesta poikkeavia käsittelytarpeita voi olla myös muilla oikeushallinnon viranomaisilla. Voimassa olevaan pykälään liittyy tulkintaepäselvyyttä kaikkien oikeushallinnon viranomaisten omien tietojen hyödyntämisen osalta.
Oikeusrekisterikeskuksen lausunnossa puolestaan kiinnitettiin huomiota viiden vuoden säilytysajan osalta tekniseen näkökohtaan. Jos tieto poistettaisiin Syyttäjälaitoksen rekisteristä poistosäännön mukaisesti viiden vuoden kuluttua, se poistuisi samalla tosiasiallisesti myös oikeushallinnon valtakunnallisesta tietovarannosta. Lausunnossa arvioitiin, että tämä lienee ongelmallista myös Syyttäjälaitokselle tulevan tietovarannon yhteisrekisterinpitäjyyden kannalta, sillä tietovarantolain kymmenen vuoden poistoaika soveltunee jatkossa myös Syyttäjälaitokseen yhteisrekisterinpitäjänä.
Poliisihallituksen lausunnossa puolestaan ehdotettiin, että säännöstä muutetaan siten, että ehdotetut säännökset eivät vaikuttaisi arkistoitaviin tietoihin. Tältä osin lausunnossa nostettiin esiin tiedonhallintalain esitöissä tehty käsitteellinen ero säilyttämisen ja arkistoinnin välillä.
Ehdotettua rikosasioiden käsittelyjärjestelmän tietoja koskevaa poistosäännöstä on tarkistettu jatkovalmistelun aikana siten, että tiedot olisi poistettava viimeistään kymmenen vuoden kuluttua siitä, kun asia on ratkaistu. On mahdollista, että tietojärjestelmään liittyvistä syistä tiedot voidaan joutua poistamaan nopeammin ja säilyttämään niitä erillisessä järjestelmän osassa tai säilytystietokannassa. Tästä syystä poistosäännös on kirjoitettu joustavaksi. Tämä ei kuitenkaan vaikuttaisi siihen, miten pitkään tiedot olisivat haettavissa tietovarannosta, ja käytettävissä muihin kuin tietoaineistojen alkuperäisiin käyttötarkoituksiin. Perusteluissa on täsmennetty ehdotettujen säännösten suhdetta tietovarantolakiin ja tiedonhallintalakiin sekä arkistointivelvoitteisiin.
Ehdotettuun rikosprosessin osapuolten henkilötunnuksen ja yhteystietojen salassapitoa koskevaan säännökseen kohdistui kritiikkiä lausunnoissa. Oikeustoimittajat ry ja Tutkivan journalismin yhdistys ry vastustivat muutosta ja pitivät ehdotusta henkilötunnuksen osalta ongelmallisena julkisuusperiaatteen toteutumisen ja journalistisen työn kannalta. Lausunnoissa myös kritisoitiin säännöksen sijoittamista Syyttäjälaitoksesta annettuun lakiin. Eduskunnan oikeusasiamies, oikeuskansleri ja Poliisihallitus kiinnittivät huomiota siihen, että muiden viranomaisten osalta ei ole säädetty vastaavasta salassapidosta. Nämä lausunnonantajat katsoivat, että asia tulisi ennemmin ratkaista julkisuuslain kokonaisuudistuksen yhteydessä. Syyttäjäyhdistys kuitenkin piti ehdotettua säännöstä tarpeellisena.
Salassapitosäännöksestä on luovuttu jatkovalmistelun aikana lausuntopalautteessa esiin nostetuista syistä, ja se on korvattu yhteystietojen rajoittamista koskevalla säännöksellä. Henkilötunnus on poistettu ehdotuksesta. Sen suojaamiseen sovellettaisiin nykytilaa vastaavasti tietosuojalainsäädäntöön sisältyviä säännöksiä. Samalla on selvennetty sitä, että rajoittaminen liittyy rikosasioiden käsittelyjärjestelmään erikseen tallennettuihin yhteystietoihin, eikä sillä ole vaikutusta muiden tietojen ja asiakirjojen julkisuuteen.
Ehdotuksella on osittain yhteys uhridirektiivin muuttamista koskevaan komission ehdotukseen, joka sisältää vaatimuksen rikoksen uhrin yhteystietojen suojaamisesta. Sen lopullista sanamuotoa ei kuitenkaan ollut mahdollista huomioida vielä lausuntokierroksella olleessa hallituksen esityksen luonnoksessa. Direktiivin täytäntöönpano tulee todennäköisesti ainakin edellyttämään rikoksen uhrien yhteystietojen luovuttamisen rajoittamista. Toisaalta uhridirektiivin säännökset eivät komission ehdotuksen valossa vastaisi kaikkiin tietojen suojaamistarpeisiin rikosasioiden käsittelyjärjestelmässä. Ehdotetussa pykälässä on huomioitu tarve suojata myös muiden uhkailulle alttiiden rikosprosessin osapuolten terveyttä ja turvallisuutta. Muutoksen myötä ehdotetut säännökset eivät myöskään vaikuttaisi tietojen salassapitoon, eivätkä toimittajien mahdollisuuksiin saada Syyttäjälaitoksen asiakirjoja ja yhdistää tietoja esimerkiksi tutkivan journalismin tarkoitukseen.
Rikosasiaan liittyvien henkilöiden yhteystietojen suojaamistarve voi koskea muitakin viranomaisia, mutta ehdotettu yhteystietojen luovuttamisen rajoittamista koskeva säännös olisi tietojärjestelmäkohtainen. Erityinen tarve säännökselle aiheutuu väestötietojärjestelmän tietojen luovutukseen liittyvistä näkökohdista. Se ei vaikuttaisi viranomaisten mahdollisuuksiin suojata tai salata tietoja muun lainsäädännön nojalla. Koska ehdotettu tietojen luovuttamisen rajoittamista koskeva säännös on esityksen yksi keskeisimmistä suojatoimenpiteistä haavoittuvien rekisteröityjen ryhmien suojaamiseksi, huomioiden erityisesti rikosprosessin osapuoliin kohdistuneen uhkailun yleisyyden, se on jatkovalmistelun aikana katsottu tarpeelliseksi sisällyttää jo tähän esitykseen. Muiden viranomaisten tarpeet ja mahdolliset salassapitosäännösten arviointitarpeet on sen sijaan lausuntopalautteen mukaisesti tarkoituksenmukaisempaa huomioida uhridirektiivin täytäntöönpanohankkeessa tai julkisuuslain uudistamistyön yhteydessä sen varmistamiseksi, että sääntely on mahdollisimman yhdenmukaista kaikkien rikosprosessiin liittyvien viranomaisten osalta.
Poliisihallituksen lausunnossa kiinnitettiin huomiota esitutkinta-aineiston rekisteröintiä koskevaan velvoitteeseen. Poliisihallitus esitti säännöstä muokattavaksi muotoon, millä tallennusalustalla tai tietojenkäsittely-ympäristössä esitutkinta-aineistoa teknisesti säilytettäisiin. Lausunnossa mainittiin esimerkkinä tietojenkäsittely-ympäristöstä julkisen hallinnon turvallisuusverkko. Ehdotetuissa säännöksissä on pyritty teknologianeutraaliuteen. Rekisteröidyn oikeuksien ja oikeusturvan kannalta keskeisintä ovat rekisteröintiä koskevat velvoitteet Euroopan ihmisoikeussopimuksen tulkintakäytännön mukaisesti sekä eräiden tietojen erillään säilyttämistä koskevat velvoitteet. Sen sijaan esitutkinta-aineiston tallennusalustan täsmentämisellä laissa ei olisi näiden oikeuksien suojaamisen kannalta lisäarvoa.
Tulli kiinnitti lausunnossaan huomiota ehdotettuun säännökseen, joka koskee tietolähdetietojen rekisteröintiä. Lausunnossa huomautettiin, että esitysluonnoksessa viitattiin tietolähteiden osalta ainoastaan poliisin tietolähteisiin. Tulli esitti harkittavaksi, tulisiko säännöksessä ottaa huomioon se, että myös Tullilla on esitutkintaviranomaisena tietolähteitä rikostorjunnasta Tullissa annetun lain (623:2015) 39 §:n nojalla. Pykälää on täydennetty viittauksella kyseisen lain 39 §:ään, sekä rikostorjunnasta Rajavartiolaitoksessa annetun lain (108/2018) 36 §:ään.
Muut huomiot
Oikeusrekisterikeskus kiinnitti lausunnossaan huomiota voimassa olevan tietovarantolain 6 §:n mukaiseen velvollisuuteen toimittaa tietoja tietovarantoon. Oikeusrekisterikeskus kiinnitti huomiota siihen, että velvollisuus toimittaa tietoja koskee ainoastaan ratkaisu- ja päätösilmoitusjärjestelmää tietovarannon osajärjestelmänä. Oikeusrekisterikeskus piti perusteltuna, että velvollisuus toimittaa tietoja kattaisi myös diaari- ja asianhallintatietojen käsittelyjärjestelmän osajärjestelmänä. Kyseinen tietovarannon osajärjestelmä on Oikeusrekisterikeskuksen toimintojen, kuten tietoluovutusten ja sitä kautta henkilötietojen suojankin näkökulmasta keskeisessä asemassa. Asiaa on arvioitu jatkovalmistelun aikana. Ehdotetulla muutoksella ei välttämättä olisi merkittäviä tietojärjestelmävaikutuksia tai kustannusvaikutuksia. Muutos kuitenkin vaikuttaisi tietovarantolaissa omaksuttuun systematiikkaan, eikä sitä siten ole tarkoituksenmukaista ehdottaa tässä hallituksen esityksessä. Ehdotusta voisi olla tarpeen harkita mahdollisessa muussa tietovarantolain muuttamista koskevassa hankkeessa, ottaen huomioon mahdolliset ongelmat ja muusta lainsäädännöstä seuraavat vaatimukset. Esityksen valmistelun aikana on noussut myös esiin muita näkökohtia, jotka perustelisivat tarvetta tietovarantolain kattavampaan arviointiin. Niitä ei ole ollut mahdollista huomioida tässä esityksessä, huomioiden tarkoituksen keskittyä rekisterinpitoon ja rekisterinpitäjän tehtävän hoitamisen kannalta keskeisimpiin säännöksiin.
Oikeusrekisterikeskus kiinnitti lisäksi huomiota eräisiin tietojärjestelmiä koskeviin perustelujen täsmennystarpeisiin. Nämä liittyvät erityisesti siihen, mikä tietovarantoon lain mukaan kuuluvien tietojärjestelmien tekninen suhde tietovarantoon on. Esityksen perusteluja on tältä osin täsmennetty.
Oikeusrekisterikeskus esitti lausunnossaan voimassa olevan tietovarantolain 14 §:n 2 momentin osalta, että siihen lisätään selvyyden vuoksi maininta siitä, että Oikeusrekisterikeskus voisi siirtää asianomaiselle viranomaiselle käsiteltäväksi tietopyynnön, joka koskee oikeusaputoimistossa, Syyttäjälaitoksessa tai tuomioistuimessa vireillä olevaa asiaa. Tämä on mahdollista myös julkisuuslain nojalla, mutta vireillä olevien asioiden lisäämisellä säännös olisi informatiivisempi ja kuvaisi tarkemmin myös tietovarannon tietosisältöä. Ehdotusta on arvioitu kyseisen momentin esitöiden valossa ja momenttia ehdotetaan täsmennettäväksi. Säännöksellä on tarkoitettu katettavaksi myös vireillä olevat asiat, ja sen valossa voimassa oleva sanamuoto ei ole onnistunut. Ehdotettu muutos on myös perusteltu ehdotettujen tietosuojaa vahvistavien säännösten tavoitteiden kannalta. Oikeusrekisterikeskus siirtää erityisesti Syyttäjälaitoksen tietoihin kohdistuvat pyynnöt Syyttäjälaitoksen käsiteltäväksi riippumatta siitä, ovatko asiat keskeneräisiä vai jo ratkaistuja asioita.
Oikeuskansleri piti lisäksi perusteltuna, että luonnoksen lopussa olevassa säätämisjärjestyskannanotossa vielä viitattaisiin nimenomaisesti esityksen niihin kohtiin, joiden vuoksi perustuslakivaliokunnan lausuntoa esityksestä pidetään suotavana. Säätämisjärjestysperusteluissa on selvennetty sitä, että esityksessä ehdotettu sääntely poikkeaa yksityiskohtaisuudeltaan ja kattavuudeltaan perustuslakivaliokunnan aiemmasta tulkintakäytännöstä perusoikeusherkässä sääntelykontekstissa. Tämä koskee erityisesti 1. lakiehdotusta, joka poikkeaa oleellisesti muita rikosasioissa toimivaltaisia viranomaisia koskevista, perustuslakivaliokunnan myötävaikutuksella hyväksytyistä laeista. Perustuslakivaliokunnan lausunto on tästä syystä tarpeen.
7
Säännöskohtaiset perustelut
7.1
Laki Syyttäjälaitoksesta
4 luku. Erinäiset säännökset
22 a §.Rikosasian rekisteröinti. Lakiin ehdotetaan lisättäväksi uusi 22 a §, jossa säädettäisiin rikosasian rekisteröintiä koskevasta velvoitteesta. Pykälä täydentäisi rikosasioiden tietosuojalain säännöksiä siltä osin kuin on kyse henkilötietojen käsittelystä lain 1 §:n 1 momentin 2 kohdassa säädettyyn tarkoitukseen. Rekisteröintivelvoite koskisi kyseisen kohdan mukaisesti vain niitä asioita, joissa on kyse rikokseen liittyvästä syyttäjän toiminnasta.
Pykälän 1 momentin mukaan, sen lisäksi, mitä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 25 ja 26 §:ssä säädetään asian rekisteröinnistä, Syyttäjälaitoksen olisi huolehdittava siitä, että momentissa luetellut asiat rekisteröidään viipymättä rikosasioiden käsittelyjärjestelmään. Momentin mukainen rekisteröintivelvoite koskisi esitutkintaviranomaisen tekemää ilmoitusta tutkittavaksi tulleesta rikoksesta sekä syyteharkintaan saapunutta asiaa (1 kohta); rikosasiaa, jossa Euroopan syyttäjävirasto voi käyttää toimivaltaa (2 kohta); ja muuta kuin 1 ja 2 kohdassa tarkoitettua Syyttäjälaitoksen käsiteltäväsi kuuluvaa rikosasiaa (3 kohta). Momentin 1 kohdan mukainen asiaryhmä sisältää myös esitutkintaviranomaisen ilmoitukset asioista, joissa rikoksesta epäiltynä on poliisimies, ja joissa siitä syystä tutkinnanjohtajana toimii syyttäjä. Momentin 2 kohdassa olisi kyse EPPO-asetuksen 24 artiklassa tarkoitetuista rikosasioista, jotka ilmoitetaan Euroopan syyttäjävirastolle. Ilmoittamisesta sekä ilmoitukseen sisällytettävistä tiedoista säädetään tarkemmin asetuksen 24 artiklassa ja Suomen osallistumisesta Euroopan syyttäjäviraston toimintaan annetun lain 7 §:ssä. Momentin 3 kohta kattaisi muut asiat, joissa on kyse rikosasioiden tietosuojalain 1 §:n 2 kohdassa tarkoitetusta syyttäjän toiminnasta. Toistaiseksi ei ole arvioitu tarkemmin, miltä osin edellä nykytilan kuvauksessa mainitun uuden uhridirektiivin mukaiset velvoitteet koskevat syyttäjiä, mutta jo hyväksytyn naisiin kohdistuvan väkivallan torjunnasta annettu direktiivi sisältää naisiin kohdistuvien väkivaltarikosten rekisteröintivelvoitteita. Momentin 3 kohta voisi kattaa myös nämä velvoitteet siltä osin kuin ne koskisivat syyttäjiä.
Momentti täydentäisi rikosasioiden osalta tiedonhallintalain mukaista asioiden rekisteröintivelvoitetta, joka koskee yleisesti kaikkia viranomaisen käsiteltäväksi tulevia asioita, sekä tietovarantolain säännöksiä. Momentti ei koskisi muiden kuin rikosasioiden rekisteröintiä. Esitutkintalaissa säädetään rikosilmoituksen rekisteröintivelvoitteesta, joka koskee esitutkintaviranomaista, mutta ei syyttäjiä. Asian rekisteröinnin ajankohta on rikosasiassa ratkaiseva rikosprosessin keston määrittämisen ja rikosprosessuaalisten oikeuksien toteutumisen kannalta. Toisaalta syyteharkinnan keston kannalta ratkaisevaa on se, milloin asia on saapunut syyteharkintaan. Tästä syystä ehdotetun säännöksen mukaan myös siitä tehtäisiin merkintä. Rekisteröidyn kannalta merkityksellistä on ihmis- ja perusoikeuksien tulkintakäytännön valossa esimerkiksi se, missä tilanteessa ja mihin viranomaisen rekisteriin häntä koskevia tietoja voidaan yksittäisessä asiassa tallentaa. Huomioiden rekisteröinnin vaikutukset yksittäisen rikosprosessin osapuolen oikeuksiin, lakiin lisättäisiin yleisesti sovellettavaa rekisteröintivelvoitetta yksityiskohtaisempi velvoite, jossa täsmennetään se, että asia tulee viipymättä rekisteröidä nimenomaisesti rikosasioita varten osoitettuun käsittelyjärjestelmään, joka on koko Syyttäjälaitoksen käytössä. Oleellista on myös rikosasioiden tietosuojadirektiivin 6 artiklan ja rikosasioiden tietosuojalain 8 §:n 1 momentin mukaisesti sekä Euroopan ihmisoikeustuomioistuimen tulkintakäytännön mukaisesti se, että rikosasiaan liittymättömien henkilöiden tietoja ei tallenneta samaan järjestelmään.
Momentissa tarkoitetaan nykyistä Syyttäjälaitoksen käytössä olevaa asian- ja dokumentinhallintajärjestelmää (AIPA) joka on syksyllä 2024 korvannut osittain aiemmin kyseiseen tarkoitukseen käytetyn rikosasioiden käsittely- ja asianhallintajärjestelmän (Sakari). AIPA otettiin täysimittaisesti käyttöön Syyttäjälaitoksessa syksyllä 2025. Syyttäjälaitoksen tietosuojaselosteessa nimi ”rikosasioiden rekisteri” viittaa samaan järjestelmään. Momentti olisi kuitenkin teknologianeutraali, eikä siinä käytetty ilmaisu edellyttäisi lainmuutosta siinä tapauksessa, että AIPA myöhemmin korvataan muulla järjestelmällä.
Syyttäjälaitoksen rikosasiat on aiemmin kirjattu ja käsitelty Sakari-järjestelmällä. Kullakin Syyttäjälaitoksen alueella ja valtakunnansyyttäjän toimistolla on ollut oma erillinen Sakari-tietokantansa. Poliisirikosasiat on puolestaan kirjattu omaan Sakari-tietokantaansa. Syyttäjälaitoksessa käsiteltävät summaariset sakkoasiat on jo ennen syksyä 2025 käsitelty AIPA-järjestelmässä. Valtakunnansyyttäjän toimistossa käsiteltävät muutosharkinta-asiat, muutoksenhaku korkeimmasta oikeudesta, syyttäjänmääräysasiat ja sananvapausrikosasiat kirjataan valtakunnansyyttäjän toimiston hallinnolliseen diaariin.
AIPA on osa oikeushallinnon valtakunnallista tietovarantoa, josta säädetään tietovarantolaissa. Tietovarantolain säännökset tietojärjestelmistä ovat yleisluontoisia, eivätkä sisällä rikosasioiden arkaluontoisuuden kannalta riittävän yksityiskohtaisia säännöksiä esimerkiksi henkilötietojen rekisteröinnistä, säilytysajoista ja käytöstä, joihin Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään viitannut. Tietovarantolaissa säädetään yleisellä tasolla tietovarannon sisältämien tietojen käytöstä ja luovuttamisesta. Tietovarantolaki sisältää myös yleisesti henkilötietoihin sovellettavan säännöksen, jonka mukaan Oikeusrekisterikeskuksen on poistettava henkilötiedot ratkaisu- ja päätösilmoitusjärjestelmästä sekä diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä kymmenen vuoden kuluessa siitä, kun asia on ratkaistu. Syyttäjälaitoksesta annettu laki ei sisällä rekistereitä tai tietojen rekisteröintiä koskevia säännöksiä. Koska tietosuojaa koskevat vaatimukset rikosasioiden tietosuojalaissa ovat pitkälti saman sisältöisiä kuin tietosuoja-asetuksessa, erityissäännökset henkilötietojen rekisteröinnistä rajattaisiin niihin tilanteisiin, joissa rekisteröidyn suojan tai oikeusturvan vahvistaminen on tarpeen, huomioiden perus- ja ihmisoikeusvelvoitteista johtuvat vaatimukset sekä direktiivin vaatimukset.
Sen lisäksi, että syyttäjät käsittelevät rikoksiin liittyviä asioita, syyttäjien käsittelemässä esitutkinta-aineistossa voi olla muusta syystä arkaluonteisia tietoja, joita lähtökohtaisesti koskevat edelleen perustuslakivaliokunnan tulkintakäytännöstä ilmenevät laintasoisuutta ja yksityiskohtaisuutta koskevat vaatimukset. Syyttäjät joutuvat kuitenkin käsittelemään poliisin toimittamaa esitutkinta-aineistoa sellaisenaan ja syyttäjiä koskevassa lainsäädännössä olisi mahdotonta rajoittaa sen käsittelyä. Euroopan ihmisoikeustuomioistuimen tarkoittama rekisteröinti, joka puuttuu yksityiselämän suojaan, tapahtuu alun perin joko rikosilmoituksen kirjaamisen myötä tai jo esitutkintaviranomaisen toimenpiteiden varhaisemmassa vaiheessa, niin sanotun esiselvittelyn aikana tai rikostiedustelun muodossa. Vaikka syyttäjät rekisteröivät Syyttäjälaitoksessa vireille tulevat rikosasiat, syyttäjien osalta ei olisi kovin tarkoituksenmukaista säätää yksityiskohtaisesti rekisteröitävistä henkilötiedoista, koska henkilötiedon määritelmä on laaja eikä esitutkinta-aineistoon sisältyviä yksittäisiä henkilötietoja ole mahdollista ennakoida. Yksityiskohtainen henkilötietojen luettelo on tyypillistä rekisterisääntelyä eikä olisi omiaan vahvistamaan rekisteröidyn tietosuojaa ilman, että samalla säädettäisiin rikosasioiden tietosuojalakia vastaavan tasoisista tai tiukemmista rekisteröinnin ja muun käsittelyn edellytyksistä. Tarkoituksenmukaisempaa on syyttäjien osalta säätää rekisteröitävistä tietoryhmistä sekä vahvistaa henkilötietojen suojaa erityisen arkaluontoisten tietojen osalta.
Pykälän 2 momentin mukaan Syyttäjälaitoksen olisi rekisteröitävä viipymättä myös esitutkinta-aineisto, jonka esitutkintaviranomainen on toimittanut syyteharkintaa taikka sakon ja rikesakon määräämisestä annetussa laissa (754/2010) tarkoitetun määräyksen antamista varten. Säännöksellä ei otettaisi kantaa siihen, mihin esitutkinta-aineiston rekisterimerkinnät olisi tehtävä, eikä myöskään siihen, millä tallennusalustalla esitutkinta-aineistoa teknisesti säilytettäisiin. Rekisterimerkinnöillä varmistettaisiin, että aineisto pystytään yhdistämään siihen rikosasiaan, johon se liittyy.
Pykälän 3 momentissa huomioitaisiin tarve turvata esitutkinta niissä tilanteissa, joissa rekisteröitävä asia tai esitutkinta-aineisto on salassa pidettävä. Jos 1 ja 2 momentin mukaisesti rekisteröitävä asia tai aineisto on säädetty laissa salassa pidettäväksi, rekisteröinnin yhteydessä on huolehdittava tarvittavista salassapitomerkinnöistä. Säännökset eivät vaikuttaisi siihen, miltä osin asia tai aineisto olisi salassa pidettävä, vaan se määräytyisi julkisuuslain tai muun lain sisältämien salassapitosäännösten perusteella. Säännöksillä korostettaisiin sitä, että salassapitomerkinnät tulee tehdä heti rekisteröinnin yhteydessä. Ehdotettu momentti täydentäisi ylimääräisenä suojatoimena Syyttäjälaitoksesta annetun lain 23 §:n säännöksiä Syyttäjälaitoksen henkilöstöön kuuluvan vaitiolovelvollisuudesta ja vaitiolo-oikeudesta sekä rikosasioiden tietosuojalain 32 §:n säännöksiä henkilötietojen suojaamisesta automatisoidussa käsittelyssä.
Pykälän 4 momentissa täsmennettäisiin se, että Syyttäjälaitos on 1 ja 2 momentin nojalla rekisteröimiinsä rikosasioihin ja esitutkinta-aineistoihin sisältyvien henkilötietojen rekisterinpitäjä. Täsmennys ei vaikuttaisi esitutkintaviranomaisten rekisterinpitovastuisiin, vaan täsmentäisi ajallisesti sen, milloin Syyttäjälaitos vastaa esimerkiksi esitutkinta-aineistoon sisältyvien henkilötietojen käsittelyn lainmukaisuudesta. Rekisterinpitoon sovellettaisiin momentin mukaan lisäksi, mitä tietovarantolain 7 §:ssä säädetään. Käytännössä kyse olisi Syyttäjälaitoksen hallussa olevasta aineistosta, joka on esimerkiksi siirretty poliisilta tai on muutoin Syyttäjälaitoksen käsiteltävänä automatisoidusti. Momentti sisältäisi myös aineellisen viittaussäännöksen tietovarantolakiin. Säännös on tarpeen sen selventämiseksi, että tietovarantolaki sisältäisi lisäksi Syyttäjälaitoksen ja muiden tietovarantoa käyttävien viranomaisten osalta rekisterinpitovastuuta täydentäviä säännöksiä, jotka koskevat valtakunnallista tietovarantoa. Lisäksi 4 momentti sisältäisi informatiivisen viittaussäännöksen rikosasioiden tietosuojalakiin, jossa säädetään muilta osin rekisterinpitäjää koskevista henkilötietojen käsittelyssä noudatettavista vaatimuksista. Informatiivisella viittaussäännöksellä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 8 artiklan vaatimus.
22 b §.Rekisteröidyn oikeuksia koskevat suojatoimet. Lakiin ehdotetaan lisättäväksi uusi 22 b §, jossa säädettäisiin ylimääräisistä suojatoimista, jotka liittyvät rekisteröidyn oikeuksien turvaamiseen. Pykälän 1 momentin mukaan, sen lisäksi, mitä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 8 §:ssä säädetään, Syyttäjälaitoksen olisi rikosasian asianosaisten henkilötietojen rekisteröinnin yhteydessä huolehdittava siitä, että todistajansuojeluohjelmasta annetussa laissa (88/2015) tarkoitettua suojeltavaa, koskevat tiedot säilytetään erillään muita rekisteröityjen ryhmiä koskevista tiedoista ja suojataan asianmukaisilla teknisillä toimenpiteillä sen varmistamiseksi, että tietoihin on pääsy ainoastaan niillä henkilöillä, joiden on välttämätöntä käsitellä niitä kyseessä olevan rikosasian hoitamiseksi. Säännöksellä ei otettaisi kuitenkaan tarkemmin kantaa siihen, missä ja millä tavalla tietoja tulisi teknisesti säilyttää. Todistajansuojeluohjelmia koskevaan rekisteriin tallennetut tiedot ja muut todistajansuojeluohjelmaa koskevat tiedot on säädetty julkisuuslain 24 §:n 28 kohdassa salassa pidettäviksi.
Kohdassa poikettaisiin rikosasioiden tietosuojalain 8 §:n 1 momentista, joka edellyttää, että rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. Pykälässä tarkoitettujen henkilötietojen suojaamiseksi sovellettaisiin muutoin erityisesti rikosasioiden tietosuojalain 19, 31 ja 32 §:n vaatimuksia. Ehdotetulla momentilla pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 6 artiklan d alakohta säätämällä kyseessä olevien todistajien tietojen osalta direktiivin ja rikosasioiden tietosuojalain vaatimuksia korkeammasta tietosuojan tasosta.
Pykälän 2 momentti sisältäisi tietolähteiden suojaamiseen liittyvän säännöksen. Poliisilain (872/2011) 5 luvun 40 §:ssä, rikostorjunnasta Rajavartiolaitoksessa annetun lain 36 §:ssä, rikostorjunnasta Tullissa annetun lain 3 luvun 39 §:ssä ja pakkokeinolain (806/2011) 10 luvun 39 §:ssä tarkoitettua henkilöä koskevaa tietoa ei saisi momentin mukaan rekisteröidä tämän lain 22 a §:ssä tarkoitettuun rikosasioiden käsittelyjärjestelmään. Kyseisissä lainkohdissa tarkoitetaan poliisin, Rajavartiolaitoksen tai Tullin tietolähteenä toimivaa, viranomaisen ulkopuolista henkilöä. Tietolähteitä koskevat tiedot sisältyvät julkisuuslain 24 §:n 4 kohdassa tarkoitettuihin esitutkintaviranomaisen ylläpitämiin rekistereihin, jotka ovat salassa pidettäviä. Tietolähteen käyttöön liittyy erityinen tarve varmistua hänen turvallisuudestaan.
Ehdotetulla momentilla poikettaisiin rikosasioiden tietosuojalain 8 §:n 1 momentista, jonka mukaan rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. Toisin kuin rikosasioiden tietosuojalain mukainen pääsääntö, erityissäännös ei jättäisi rekisterinpitäjälle harkinnanvaraa, vaan tietolähteiden henkilötietoja olisi aina säilytettävä erillään muista rikosasiaan liittyvistä henkilötiedoista. Ehdotettu momentti vahvistaisi siten tietolähteinä käytettävien henkilöiden tietosuojaa kansallisen liikkumavaran mukaisesti, ja vahvistaisi samalla myös heidän henkilökohtaista turvallisuuttaan. Myös tällä säännöksellä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 6 artiklan d alakohta tietolähteinä toimivien rekisteröityjen osalta. Direktiivin edellytyksiä korkeampi tietosuojan taso on tarpeen tietolähteinä toimivien henkilöiden henkilökohtaisen turvallisuuden kannalta.
Pykälän 3 momentti sisältäisi yleisluontoisen erityisiin henkilötietoryhmiin sovellettavia suojatoimia koskevan säännöksen. Momentissa edellytettäisiin, että jos rikosasian käsittelyn yhteydessä on välttämätöntä käsitellä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 11 §:ssä tarkoitettuja henkilötietoja, käsittelyjärjestelmässä olisi asian rekisteröinnin yhteydessä huolehdittava asianmukaisista teknisistä suojatoimista.
Lähtökohtaisesti kaikessa rikosasioihin liittyvässä henkilötietojen käsittelyssä on kyse arkaluonteisista henkilötiedoista. Syyttäjät käsittelevät myös rikosasioiden tietosuojalain nojalla erityisiin henkilötietoryhmiin sekä muihin arkaluonteisten tietojen ryhmiin kuuluvia henkilötietoja siinä laajuudessa kuin niitä sisältyy esitutkinta-aineistoon. Syyttäjien käsittelytarpeiden kannalta ei ole mahdollista ennakoida, mitä arkaluonteisia henkilötietoja esitutkinta-aineistoon sisältyisi sen lisäksi, että kyse on rikosasiasta. Syyttäjälaitoksen osalta oikeus käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja perustuu suoraan rikosasioiden tietosuojalakiin. Erityisten henkilötietoryhmien osalta henkilötietojen käsittelyn perusteena on rikosasioiden tietosuojalain 11 §:n 2 momentin 2 kohta ja käsittelyn edellytyksenä on tietojen välttämättömyys. Kuten perustuslakivaliokunta on todennut, myös rikosasioiden tietosuojadirektiivin soveltamisalalla yleislaki riittää joiltakin osin takaamaan riittävän henkilötietojen suojan. Rikosasioiden tietosuojalain säännös myös lähtökohtaisesti täyttää perustuslain tulkintakäytännöstä johtuvan vaatimuksen siitä, että käsittely rajataan siihen, mikä on välttämätöntä. Rekisteröidyn suojaa vahvistaisi se, jos laissa olisi mahdollista yksilöidä tarkemmin ne erityisten henkilötietoryhmät, joiden käsittely on syyttäjän tehtävien hoitamisen kannalta välttämätöntä. Koska esitutkinta-aineiston sisältämiä tietoja ei ole mahdollista ennakoida, Syyttäjälaitoksesta annetussa laissa ei ole tarpeen säätää erityisten henkilötietoryhmien osalta käsittelyoikeudesta toistamiseen. Sen sijaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely sidottaisiin laissa yksittäiseen rikosasiaan sen lisäksi, että käsittelyn on rikosasioiden tietosuojalain nojalla oltava välttämätöntä ja edellytettäisiin ylimääräisiä suojatoimia.
Rikosasioiden tietosuojalain 11 §:n 1 momentti edellyttää myös erityisten henkilötietoryhmien osalta rekisteröidyn oikeuksien turvaamisen edellyttävien suojatoimien toteuttamista. Ne voivat osittain myös perustua muihin lain säännöksiin. Tällaisista suojatoimista ei nimenomaisesti säädetä syyttäjien osalta erikseen. Suuri osa suojatoimista seuraa käytännössä jo suoraan rikosasioiden tietosuojalaista. Näitä ovat esimerkiksi lain 15§:n edellyttämät tekniset ja organisatoriset suojatoimenpiteet, 19 §:n edellyttämät lokitiedot, 20 §:n mukainen tietosuojaa koskeva vaikutustenarviointi, 31 ja 32 §:n mukaiset henkilötietojen suojaamista koskevat vaatimukset, sekä 38 §:n edellyttämä tietosuojavastaaman nimeäminen. Lisäksi esimerkiksi Syyttäjälaitoksesta annetun lain 23 §:ssä säädetyt vaitiolovelvollisuus ja vaitiolo-oikeus toimivat henkilötietojen suojaa koskevina ylimääräisinä suojatoimina. Näistä suojatoimista ei olisi siten tarpeen säätää uudelleen. Sen sijaan ehdotetun momentin mukaisilla, käsittelyjärjestelmässä käytettävillä asianmukaisilla teknisillä suojatoimilla olisi konkreettinen tietosuojaa vahvistava lisäarvo. Teknisillä järjestelmän rajauksilla on mahdollista esimerkiksi varmistaa, että tietoja käsittelevät vain ne henkilöt, joille se on välttämätöntä Syyttäjälaitokselle kuuluvan tehtävän hoitamiseksi. Säännöksessä korostettaisiin sitä, että näistä teknisistä suojatoimista, esimerkiksi tietojen näkyvyyden rajaamisesta, olisi huolehdittava heti rikosasian rekisteröinnin yhteydessä. Käytännössä kyse olisi käytössä olevan käsittelyjärjestelmän mahdollistamista suojatoimista. Voimassa olevista yleislain säännöksistä ei seuraa erityisiä salassapitoa koskevia vaatimuksia.
Erityisiä riskejä rekisteröidyn oikeuksien suojan kannalta rikosasioissa liittyy tietojen arkaluonteisuuden ohella henkilötietojen luovutuksiin muille viranomaisille sekä niiden siirtoihin kolmansiin maihin tai kansainvälisille järjestöille. Rikosasioiden tietosuojalain 10 §:n 1 momentissa säädetään velvollisuudesta ilmoittaa tietojen vastaanottajille, jos käsittelyyn liittyy erityisiä edellytyksiä. Kyseisen momentin mukaisesti henkilötietojen luovutuksen tai siirron yhteydessä Syyttäjälaitoksen on ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä. Lisäksi rikosasioiden tietosuojalain 9 § sisältää säännökset, joiden tarkoituksena on varmistaa, että virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä eikä aseteta saataville. Pykälä edellyttää tarvittaessa virheellisistä henkilötiedoista ilmoittamista ja niiden oikaisemista tai poistamista tai niiden käsittelyn rajoittamista. Lisäksi rikosasioiden tietosuojalain 19 §:ssä säädetään tietojen luovuttamista koskevista lokitiedoista. Syyttäjälaitoksesta annettuun lakiin ehdotetut rekisteröintiä ja suojatoimia koskevat säännökset ovat merkityksellisiä myös henkilötietojen luovuttamisen kannalta, ja vahvistavat tietosuojaa näissä tilanteissa.
22 c §.Rikosasiaa koskevien tietojen poistaminen. Lakiin ehdotetaan lisättäväksi uusi 22 c §, jossa säädettäisiin rikosasiaa koskevien tietojen poistamisesta asiainhallinnasta. Pykälän mukaan rikosasiaa koskevat tiedot poistettaisiin rikosasioiden käsittelyjärjestelmästä viimeistään kymmenen vuoden kuluttua siitä, kun asia on ratkaistu. Säilytysajan päättymisen jälkeen tiedot olisi arkistoitava tai tuhottava tietoturvallisella tavalla.
Ehdotettu säilytysaika olisi samansuuntainen valtakunnallista tietovarantoa koskevan säilytysajan kanssa. Säilytysaikaan ehdotetulla joustolla huomioitaisiin se, että tiedot voi olla tarpeen säilyttää teknisesti muussa järjestelmän osassa tai erillään käsittelyjärjestelmästä. Tämä ei kuitenkaan vaikuttaisi tietojen hakemiseen tietovarannosta. Syyttäjälaitoksen tietojen luovuttaminen tapahtuisi nykytilaa vastaavasti. Ehdotetuilla säännöksillä ei myöskään vaikutettaisi siihen, mihin saakka tuomioita koskevat tiedot ovat luovutettavissa Oikeusrekisterikeskuksen toimesta.
Esitutkinta-aineiston käsittelyyn tarvittava aika Syyttäjälaitoksessa on lyhyt verrattuna esitutkintaviranomaisia koskeviin tietojen säilytysaikoihin. Tietoja ei kuitenkaan poistettaisi käsittelyjärjestelmästä ennen asian ratkaisemista tai syyteoikeuden vanhenemista. Ehdotetuilla säännöksillä huomioitaisiin henkilötietojen käsittelyä koskevan minimointiperiaatteen mukaisesti se, että rikosasiaan liittyviä tietoja säilytettäisiin käsittelyjärjestelmässä ainoastaan niin kauan kuin tiedot ovat tarpeen tietoaineiston alkuperäiseen käyttötarkoitukseen syyttäjän tehtävien hoitamiseksi sekä ehdotettuihin tietovarantolain 11 §:ssä säädettäviin tarkoituksiin. Tietoja voitaisiin säilyttää teknisesti myös erillään rikosasioiden käsittelyjärjestelmästä. Koska rikosasioihin liittyvät henkilötiedot ovat arkaluonteisia, tietojen poistamista koskeva säännös toimisi samalla suojatoimena rekisteröidyn oikeuksien vahvistamiseksi. Poistosäännöksen noudattaminen varmistettaisiin tarvittavin teknisin toimenpitein kuten arkistoimalla siten, että tiedot eivät ole enää näkyvillä ja käytettävissä rikosasioiden käsittelyjärjestelmässä. Se, että tiedot olisivat kuitenkin haettavissa säilytykseen käytettävästä tietokannasta tai arkistotietokannasta, mahdollistaisi tietojen hakemisen tarvittaessa muuhun kuin alkuperäiseen tarkoitukseen. Tietoja voitaisiin joissakin tapauksissa joutua hakemaan esimerkiksi laillisuusvalvonnan tarkoituksiin tai syyttäjien oikeusturvan varmistamiseen. Ehdotettu säilytysaika olisi riittävän pitkä tällaisten välttämättömien tarpeiden huomioimiseksi.
Voimassa olevan tietovarantolain 18 §:n mukaisesti Oikeusrekisterikeskuksen on poistettava henkilötiedot ratkaisu- ja päätösilmoitusjärjestelmästä sekä diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä kymmenen vuoden kuluessa siitä, kun asia on ratkaistu. Rikosasioiden tietosuojalaissa säädetään yleisesti sovellettavasta vaatimuksesta, jonka mukaan henkilötietoja säilytetään vain niin kauan kuin on tarpeen käsittelyn tarkoituksen kannalta. Tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä. Tämä koskee lähtökohtaisesti kaikkia tietojärjestelmiä ja rekistereitä, eikä rikosasioiden tietosuojadirektiivi sisällä liikkumavaraa siltä osin kuin on kyse tietosuojan tason laskemisesta. Kansallisesti on mahdollista säätää vain samantasoisesta tai korkeamman tasoisesta tietosuojasta.
Ehdotetuilla poistoajoilla poikettaisiin rikosasioiden tietosuojalain säännöksistä ja täydennettäisiin tietovarantolain säännöksiä siltä osin kuin on kyse rikosasiaan liittyvistä Syyttäjälaitoksen rekisterinpitovastuulle kuuluvista henkilötiedoista. Rikosasioiden tietosuojalain 1 §:n 1 momentin 2 kohdassa säädetyssä henkilötietojen käyttötarkoituksessa on kyse eri asiasta kuin tietovarantolaissa säädetyissä Oikeusrekisterikeskuksen vastuulla olevissa henkilötietojen käsittelytehtävissä. Apulaistietosuojavaltuutetun tarkastuskertomuksen perusteella nykyinen tekninen järjestelmäratkaisu ja sääntely eivät tue eri rekisterinpitäjien käyttötarkoitukseen perustuvaa tietojen erottelua ja hallintaa (ml. pääsyoikeudet tietoon ja tietojen poisto erillisten elinkaarisääntöjen nojalla). Kymmenen vuoden säilytysaika ilman käyttötarkoituksiin perustuvaa erottelua voisi ainakin joissakin tapauksissa heikentää rikosasioiden direktiivin mukaista tietosuojan tasoa, mahdollistaen jopa merkittävän pitkän tietojen säilyttämisen senkin jälkeen, kun syyttäjän käsiteltävänä oleva asia on ratkaistu eikä tietoja enää tarvita syyttäjän tehtävän hoitamiseen. Ehdotettu säilytysaika kuitenkin varmistaisi sen, että tiedot olisivat riittävän pitkään haettavissa paitsi niiden alkuperäiseen käyttötarkoitukseen, myös tarvittaessa Syyttäjälaitoksen sisäisen laillisuusvalvonnan tarkoituksiin tai syyttäjien oikeusturvan varmistamiseen. Se, että laissa säädettäisiin ajankohdasta, jolloin tiedot olisi viimeistään poistettava käsittelyjärjestelmästä, huomioisi kuitenkin direktiivin edellyttämän tietosuojan tason nykyistä paremmin. Lisäksi ehdotetun säännöksen sanamuoto mahdollistaisi myös sen, että tietojen suoraa näkyvyyttä rikosasioiden käsittelyjärjestelmässä rajataan teknisin keinoin, sen kuitenkaan estämättä tietojen haettavuutta.
Tiedot eivät kuitenkaan kaikilta osin poistu syyttäjien tietojärjestelmistä sen jälkeen, kun ne on poistettu tietovarannosta. Ehdotetut säännökset eivät vaikuttaisi arkistoitujen tietojen säilyttämiseen. Syyttäjälaitoksen käyttämien asianhallintajärjestelmien ja järjestelmissä pysyvästi säilytettävien asiakirjojen arkiston sisältämien tietojen säilytysaikaa ei ole toistaiseksi rajoitettu. Määräajan säilytettävät asiakirjat kuten esitutkintapöytäkirjat tuhotaan nykyisin määräajan päätyttyä tiedonhallintasuunnitelman mukaisesti. Sakon rangaistusmääräyssovelluksessa tietoja säilytetään kaksi vuotta sakon vahvistamisesta. Kansallisarkisto on määrännyt Syyttäjälaitoksen päätökset pysyvään säilytykseen, lukuun ottamatta haastehakemuksia (Kansallisarkiston määräys KA/194838/07.01.01.03.01/2022, 10.2.2023). Tiedonhallintalaista seuraa kaikkia tiedonhallintayksiköitä koskeva vaatimus joko tuhota tietoaineistot tai arkistoida ne tietoturvallisella tavalla. Ehdotetulla rikosasioiden käsittelyjärjestelmää koskevalla erityissäännöksellä varmistettaisiin, että vaatimuksen soveltamisesta ei synny epäselvyyttä.
22 d §. Yhteystietojen luovuttaminen. Lakiin ehdotetaan lisättäväksi uusi 22 d §, jossa säädettäisiin rikosasiaan liittyvien henkilöiden yhteystietojen luovuttamista koskevasta rajoituksesta. Rikosasioiden käsittelyjärjestelmään rekisteröidyn luonnollisen henkilön kotiosoitteen ja muun yhteystiedon saisi luovuttaa järjestelmästä ainoastaan viranomaisille syyttäjän tai muun viranomaisen lakisääteisen tehtävän hoitamiseksi.
Rikollisuus on Suomessa muuttunut viime vuosikymmenten aikana yhä monimuotoisemmaksi ja usein järjestäytyneeksi. Järjestäytyneeseen rikollisuuteen myös liittyy monenlaisia toimijoita, sekä ammattimaisia asiantuntijapalveluita. Rikosprosessin osapuoliin voi kohdistua uhkailua ja väkivaltaa monenlaisissa tilanteissa. Esimerkiksi lähisuhde- tai perheväkivallan uhreilla voi olla tarve yhteystietojen suojaan, vaikka niitä ei koskisi turvakielto. Järjestäytynyt ja ammattimainen rikollisuus puolestaan on usein monimuotoista, ja siihen voi liittyä myös todistajiin tai muihin epäiltyihin kohdistuvaa väkivallan uhkaa. Uhkailua tai muuta toimintaa voi kohdistua kuitenkin muihin prosessin osapuoliin joskus jopa varsin lievistä rikoksista epäiltyjen taholta ilman, että sellaisesta on ollut ennalta havaittavia viitteitä. Rikoksen osapuoliin kohdistuva uhkailu saattaa myös ilmetä vasta sen jälkeen, kun esitutkinta on valmistunut ja aineisto on siirretty syyteharkintaan.
Voimassa oleva lainsäädäntö mahdollistaa todistajien ja muiden vakavan uhkailun kohteeksi joutuneiden henkilöiden suojelemisen monin tavoin rikosprosessin aikana, mukaan lukien esitutkinta, syyteharkinta ja oikeudenkäynti. Todistajansuojelutoimenpiteet jaetaan vakiintuneesti kolmeen ryhmään: prosessi- ja rikosoikeudellisiin sekä muihin keinoihin. Prosessioikeudelliset suojelukeinot liittyvät todistajansuojeluun, konkreettiseen kuulemis- tai todistelutilanteeseen sekä oikeudenkäynnin julkisuuteen. Esimerkiksi suullisen käsittelyn ja asiakirjojen tai niihin sisältyvien tietojen julkisuutta voidaan tietyin edellytyksin rajoittaa oikeudenkäynnissä. Rikosoikeudellisiin keinoihin lukeutuvat oikeudenkäynnissä kuultavan uhkaamisen kriminalisoiminen rikoslaissa sekä mahdollisuus määrätä uhkaavasti käyttäytyvälle henkilölle lähestymiskielto. Rikosprosessin aikana kuultavia voidaan myös suojata poliisin käytettävissä olevilla keinoilla. Ehdotetut tietojen luovuttamisen rajoittamista koskevat säännökset tukisivat olemassa olevien uhkailun kohteena olevien tai mahdollisesti sen kohteeksi joutuvien suojaamiseen tarkoitettuja keinoja, mutta eivät rajoittaisi niiden soveltamista. Esimerkiksi todistajansuojelua tai muita järeämpiä suojelukeinoja voidaan tarvita sellaisessa tilanteessa, jossa uhatun todistajan asuinpaikka on epäillyn tai muun uhkailijan tiedossa. Ehdotetun säännöksen tarkoituksena on vahvistaa suojaa myös niissä tilanteissa, joissa asuinpaikka ei ole uhkailijan tiedossa entuudestaan.
Rikosprosessin osapuolten terveyden ja turvallisuuden suojaamisen lisäksi ehdotetuissa säännöksissä huomioitaisiin se, että yhteystietoja voi niiden luovuttamista koskevasta rajoituksesta huolimatta olla ajoittain tarpeen luovuttaa viranomaisille syyttäjien tai muiden viranomaisten lakisääteisten tehtävien suorittamiseksi. Tällaisia tarpeita voisi liittyä esimerkiksi syyttäjän ja poliisin välisiin tiedonluovutuksiin. Yleensä viranomaisten omat tiedonsaantioikeudet kuitenkin ovat riittävät.
Julkisuuslain 24 §:n 1 momentti sisältää eräitä erityisesti rikosprosessin kannalta merkityksellisiä säännöksiä. Momentin 3 kohdassa on säädetty salassa pidettäviksi asiakirjat, jotka poliisille ja muille esitutkintaviranomaisille ja syyttäjälle sekä tarkastus- ja valvontaviranomaisille tehdyt ilmoitukset rikoksesta, esitutkintaa ja syyteharkintaa varten saadut ja laaditut asiakirjat sekä haastehakemus, haaste ja siihen annettu vastaus rikosasiassa, kunnes asia on ollut esillä tuomioistuimen istunnossa taikka kun syyttäjä on päättänyt jättää syytteen nostamatta tai kun asia on jätetty sikseen, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna rikoksen selvittämistä tai tutkinnan tarkoituksen toteutumista tai ilman painavaa syytä aiheuta asiaan osalliselle vahinkoa tai kärsimystä tai estä tuomioistuinta käyttämästä oikeuttaan määrätä asiakirjojen salassapidosta oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain (370/2007) mukaan. Momentin 26 kohdassa on säädetty salassa pidettäviksi asiakirjat, jotka sisältävät tietoja rikoksesta epäillyn, asianomistajan tai muun rikosasiaan liittyvän henkilön yksityiselämään liittyvistä arkaluonteisista seikoista samoin kuin sellaiset asiakirjat, jotka sisältävät tietoja rikoksen uhrista, jos tiedon antaminen loukkaisi rikoksen uhrin oikeuksia tai hänen muistoaan tai läheisiään, jollei tiedon antaminen ole tarpeen viranomaisen tehtävän suorittamiseksi.
Julkisuuslain 24 §:n 1 momentin 31 kohdassa on säädetty salassa pidettäviksi asiakirjat, jotka sisältävät tiedon henkilön ilmoittamasta salaisesta puhelinnumerosta tai tiedon matkaviestimen sijaintipaikasta, samoin kuin asiakirjat, jotka sisältävät tiedon henkilön kotikunnasta ja hänen siellä olevasta asuinpaikastaan tai tilapäisestä asuinpaikastaan samoin kuin puhelinnumerosta ja muista yhteystiedoista, jos henkilö on pyytänyt tiedon salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä terveyden tai turvallisuuden tulevan uhatuksi.
Esitutkintaviranomaisia koskevassa lainsäädännössä säädetään yksityiskohtaisesti siitä, mihin tarkoituksiin näillä viranomaisilla on oikeus luovuttaa henkilötietoja. Sen sijaan Syyttäjälaitoksesta annetussa laissa ei säädetä vastaavasti henkilötietojen tai muiden tietojen luovuttamisesta. Rikosasioiden käsittelyjärjestelmään tallennettujen tietojen luovuttamista ei ole myöskään rajoitettu niissä säännöksissä, joita sovelletaan syyttäjien tietojen luovuttamiseen. Ehdotettu säännös perustuu tarpeeseen suojata rikosprosessin osapuolia erityisesti henkeen ja turvallisuuteen kohdistuvilta riskeiltä, joita ei ole kaikissa tilanteissa mahdollista arvioida ennakkoon.
Yhteystietojen, mutta myös henkilötunnuksen loppuosan, luovuttamista on rajoitettu useissa tietojärjestelmissä ja rekistereissä, joihin kohdistuu yleinen tai laaja tiedonsaantioikeus, ja luovuttaminen voi tapahtua yleisen tietoverkon välityksellä. Tietojen luovuttamisen rajoittamista koskevat säännökset sisältyvät erityislakeihin. Ehdotetuissa säännöksissä olisi kyse vastaavanlaisesta järjestelmäkohtaisesta rajoitussäännöksestä. Yhteystiedot, jotka on tallennettu rikosasioiden käsittelyjärjestelmään, eivät tulostu rikosasioiden käsittelyjärjestelmässä luoduille asiakirjoille. Siten ehdotus ei vaikuttaisi tällaisten asiakirjojen luovuttamiseen rikosasioiden käsittelyjärjestelmästä.
Rekisteröidyn tietojen suojalle aiheutuu riskejä siitä, että rikosprosessin osapuolet eivät tietosuojaselosteista huolimatta ole aina riittävän tietoisia tietojen luovuttamisesta viranomaisten järjestelmistä, sekä väestötietojärjestelmän liittyvistä teknisistä näkökohdista. Rikosasioiden käsittelyjärjestelmään rekisteröityjen henkilöiden yhteystietojen päivittäminen tapahtuu automatisoidusti väestötietojärjestelmästä. Jokaisella väestötietojärjestelmään merkityllä henkilöllä on mahdollisuus itse rajoittaa yhteystietojensa luovuttamista väestötietojärjestelmästä tekemällä tietojenluovuttamiskieltoja Suomi.fi -verkkopalvelussa. Se ei kuitenkaan estä yhteystietojen luovuttamista viranomaisille. Tietojenluovutuskiellot eivät myöskään turvakieltoa lukuun ottamatta välity eteenpäin tiedot vastaanottavan viranomaisen järjestelmään.
Ehdotuksen taustalla on lisäksi uhridirektiivin tuleva muutos. Uhridirektiivin tulevat säännökset eivät kuitenkaan olisi riittävät kaikkien yhteystietojen suojaustarpeiden kannalta. Ehdotetun säännöksen tavoitteena on suojata kattavammin myös muita rikosprosessin osapuolia, joihin voi kohdistua vastaavanlaista uhkailua kuin uhreihin. Erityisesti uhrit, mutta myös muut osapuolet voivat olla rikosprosessissa haavoittuvassa asemassa. Ehdotetulla säännöksellä ei vaikutettaisi muihin viranomaisiin tai tietojärjestelmiin, mutta ne suojaisivat yhteystietoja myös oikeushallinnon valtakunnallisessa tietovarannossa siltä osin kuin on kyse syyttäjien käsittelyjärjestelmän sisältämistä tiedoista.
Vaikka ehdotuksella ei olisi suoraa vaikutusta muihin rikosprosessiin osallistuviin viranomaisiin, rikosprosessin osapuolten ja todistajien yhteystietoja kuitenkin on mahdollista suojata muiden lain säännösten avulla. Todistajan tai muun kuultavan yhteystiedot voidaan olla luovuttamatta myös esitutkinnassa julkisuuslain 11 §:n 2 momentin 7 kohdan ja 24 §:n 1 momentin 31 kohdan nojalla. Lisäksi todistajan tai muun kuultavan yhteystiedot sisältävä oikeudenkäyntiasiakirja ja tuomion osa voidaan julistaa salaiseksi oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa annetun lain 9 §:n 1 momentin 5 kohdan ja 24 §:n 1 momentin 1 kohdan nojalla. Nämä säännökset kuitenkin edellyttävät yhteystietojen määrittämistä erikseen salassa pidettäviksi.
Ehdotetulla säännöksellä yhteystietojen luovuttamisen rajoittamisesta suojattaisiin rikosprosessin osapuolia vahvemmin kuin julkisuuslain 24 §:n 1 momentin 31 kohdan säännöksillä, joissa yhteystietojen luovuttamista koskevat poikkeukset rajoittuvat tilanteisiin, joissa henkilö on pyytänyt niiden salassapitoa terveyteen tai turvallisuuteen perustuvan uhkan vuoksi. Rikosprosessin osapuolet eivät kuitenkaan läheskään aina pysty ennakoimaan häirintää, uhkailua tai väkivaltaa. Julkisuuslain säännökset eivät tällaisissa tapauksissa suojaa aukottomasti rikoksen asianosaisten yhteystietoja, joita voi sisältyä sellaisiin asiakirjoihin, joihin kohdistuu yleinen tiedonsaantioikeus. Ehdotetun säännöksen perusteella yhteystiedot eivät olisi salassa pidettäviä, mutta niiden luovuttamista rajoitettaisiin. Ehdotetut säännökset eivät vaikuttaisi rikosasioita koskevien asiakirjojen tai muiden tietojen julkisuuteen ja salassapitoon, jotka määräytyisivät nykytilaa vastaavasti julkisuuslain mukaisesti, eivätkä siten vaikuttaisi rikosasioiden käsittelyjärjestelmän asiakirjojen luovuttamiseen. Säännökset eivät myöskään rajoittaisi rikoksesta epäillyn oikeutta saada tutustua rikosprosessiin liittyvään aineistoon.
7.2
Laki oikeushallinnon valtakunnallisesta tietovarannosta
3 §.Määritelmät. Pykälän 2 kohtaa muutettaisiin lisäämällä oikeushallinnon viranomaisen määritelmään Oikeuspalveluvirasto ja Tuomioistuinvirasto. Huomioiden näiden viranomaisten olemassa olevat tietojärjestelmiin liittyvät vastuut ja sen, että niille ehdotetaan lain 7 §:ssä säädettäviä rekisterinpitovastuita, niillä olisi lain 5 §:n mukaisesti velvollisuus liittyä tietovarantoon. Oikeuspalveluvirastolla ja Tuomioistuinvirastolla ei olisi kuitenkaan lain 6 §:n mukaista velvollisuutta luovuttaa tietoja tietovarantoon, vaan tietojen luovuttaisivat nykytilaa vastaavasti tuomioistuimet ja oikeusaputoimistot.
5 §.Velvollisuus liittyä tietovarantoon. Voimassa olevassa lain 5 §:ssä säädetään oikeushallinnon viranomaisten velvollisuudesta liittyä tietovarantoon sekä välittää sen kautta tietoja ja ilmoituksia muille viranomaisille. Pykälää muutettaisiin siten, että oikeushallinnon viranomaiset, joita velvollisuus koskee, mainittaisiin nimenomaisesti. Kyseessä on teknisluonteinen muutos, jolla huomioitaisiin 3 §:n määritelmän laajennus. Vaikka Oikeuspalveluvirasto ja Tuomioistuinvirasto säädettäisiin rekisterinpitäjiksi, 5 §:n mukaiset velvollisuudet eivät koskisi niitä, vaan nykytilaa vastaavasti tuomioistuimia, Syyttäjälaitosta ja oikeusaputoimistoja.
7 §.Tietovarannon rekisterinpitäjät. Voimassa olevan lain 7 § ehdotetaan korvattavaksi uudella pykälällä, jossa nykytilasta poiketen säädettäisiin oikeushallinnon viranomaisten välisestä yhteisrekisterinpidosta. Voimassa olevan lain mukaisesti Oikeusrekisterikeskus on tietovarannon ainoa rekisterinpitäjä. Laissa määritellyillä oikeushallinnon viranomaisilla, joita ovat tuomioistuimet, Syyttäjälaitos ja oikeusaputoimistot, on voimassa olevan lain mukaisesti velvollisuus liittyä tietovarantoon sekä välittää sen kautta ilmoituksia ja tietoja muille viranomaisille. Yhteisrekisterinpito olisi perusteltua sen huomioimiseksi, että valtakunnalliseen tietovarantoon kytkeytyy useita nykytilan kuvauksesta ilmeneviä tietojärjestelmiä, joiden tosiasiallinen rekisterinpitäjä on yksi tai useampi muu viranomainen kuin Oikeusrekisterikeskus.
Pykälän 1 momentin mukaan Oikeusrekisterikeskus, Tuomioistuinvirasto, tuomioistuimet, Syyttäjälaitos ja Oikeuspalveluvirasto olisivat tietovarannon yhteisrekisterinpitäjiä. Oikeusaputoimistojen sijasta rekisterinpitäjäksi ehdotetaan Oikeuspalveluvirastoa. Edellä nykytilan kuvauksesta ilmenee, että Oikeuspalveluviraston perustamisen yhteydessä tarkoituksena on ollut, että rekisterinpitäjänä toimii uusi virasto valtion oikeusapu- ja edunvalvontapiirien sijasta. Rekisterinpito on myös järjestetty tämän mukaisesti viraston aloitettua toimintansa.
Unionin tuomioistuin on vahvistanut rekisterinpitäjän laajan käsitteen. Viranomaisten osalta rekisterinpidosta Suomessa säädetään usein laissa perustuslaista johtuvista syistä. Silloinkin, kun asiasta ei säädetä laissa, luonnollista henkilöä tai oikeushenkilöä, joka vaikuttaa omia tarkoituksiaan varten henkilötietojen käsittelyyn ja osallistuu tämän vuoksi kyseisen käsittelyn tarkoituksen ja keinojen määrittämiseen, voidaan pitää rekisterinpitäjänä (C 25/17, Jehovan todistajat, tuomio 10.7.2018, 68 kohta). Voimassa olevasta 7 §:stä poiketen tietovarantoon kytkeytyvissä järjestelmissä tapahtuvan henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen osallistuu tosiasiallisesti useampi oikeushallinnon viranomainen. Ehdotetulla yhteisrekisterinpidolla saatettaisiin tietovarantoa koskevat säännökset vastaamaan tosiasiallista rekisterinpitoa.
Pykälän 2 momentissa täsmennettäisiin se, mihin oikeushallinnon viranomaisten rekisterinpitovastuut perustuisivat. Momentin mukaan 1 momentissa mainitut viranomaiset vastaisivat rekisterinpitäjän velvollisuuksista siltä osin kuin on kyse henkilötietojen käsittelystä, jonka tarkoitusten ja keinojen määrittämiseen ne osallistuvat omien lakisääteisten tehtäviensä hoitamiseksi.
Henkilötietojen käsittelyn tarkoituksilla on yhteys viranomaisen lakisääteisten tehtävien hoitamiseen. Tämä ilmenee nimenomaisesti rikosasioiden tietosuojalain soveltamisalaa koskevista säännöksistä, joissa säädetään yksityiskohtaisesti toimivaltaisten viranomaisten käsittelyn tarkoituksista. Esimerkiksi rikosasioiden tietosuojalain 1 §:n 1 momentin 2 kohdassa säädetään niistä tarkoituksista, joihin syyttäjät voivat käsitellä henkilötietoja sen soveltamisalalla. Syyttäjälaitoksesta annetussa laissa, jota ehdotetaan muutettavaksi 1. lakiehdotuksella, säädetään yksityiskohtaisemmin syyttäjien tehtävistä, joiden hoitamiseksi käsitellään henkilötietoja rikosasioiden tietosuojalain soveltamisalalla. Käytännössä syyttäjät käsittelevät rikosasioihin liittyviä henkilötietoja esimerkiksi syyteharkinnan yhteydessä Syyttäjälaitoksen omaan käyttöön varatussa tietojärjestelmässä. Tilanteessa, jossa käsittelyn tarkoitukset on laissa sidottu viranomaisen lakisääteisiin tehtäviin, ei ole tarkoituksenmukaista, että rekisterinpitäjänä olisi yksinomaan muu viranomainen.
Henkilötietojen käsittelyn tarkoitukset määräytyvät viranomaisten osalta pitkälti niiden lakisääteisiä tehtäviä ja toimivaltuuksia koskevien säännösten mukaisesti myös silloin, kun on kyse tietovarantoon liittyvästä henkilötietojen käsittelystä yleisen tietosuoja-asetuksen soveltamisalalla. Viranomaisten henkilötietojen käsittelyn oikeusperuste on useimmiten joko 6 artiklan 1 kohdan c tai e alakohta. Yleisen tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan mukaisesti näitä käsittelyn oikeusperusteita täydennetään laissa. Käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa tai, 1 kohdan e alakohdassa tarkoitetussa käsittelyssä, sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Tietosuojalain 4 §:n 2 kohta lisäksi täydentää henkilötietojen käsittelyn oikeusperustetta siltä osin kuin käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Kyseinen kohta voi muodostaa viranomaisen suorittaman henkilötietojen käsittelyn oikeusperusteen yhdessä 6 artiklan 1 kohdan e alakohdan kanssa edellyttäen, että viranomaisen yleistä etua koskevasta tehtävästä tai julkisen vallan käyttöön liittyvistä toimivaltuuksista säädetään laissa.
Oikeusrekisterikeskuksen ja Tuomioistuinviraston rekisterinpitoon liittyvät tehtävät poikkeavat muista ehdotetuista tietovarannon yhteisrekisterinpitäjistä siten, että niille on laissa säädetty tietojärjestelmien kehittämiseen liittyvä tehtävä. Oikeusrekisterikeskus toimii Oikeusrekisterikeskuksesta annetun lain (625/2012) mukaisesti useiden oikeusministeriön hallinnonalan tietojärjestelmien ja rekisterien rekisterinpitäjänä, mutta sillä on myös tosiasiallisesti henkilötietojen käsittelijän tehtäviä toisen viranomaisen lukuun joissakin tilanteissa. Lisäksi se huolehtii hallinnonalan tietojärjestelmien ylläpidosta ja kehittämisestä yhteistyössä hallinnonalan virastojen kanssa siten kuin palvelusopimuksissa on sovittu, ja toimii hallinnonalan IT-hankintojen hankintayksikkönä. Tuomioistuinvirastolle on puolestaan säädetty tuomioistuinlaissa tehtävä huolehtia tuomioistuinten tietojärjestelmien ylläpidosta ja kehittämisestä. Tuomioistuinviraston muista rekisterinpitäjistä poikkeava tehtävä olisi tarvittavin osin huomioitava rekisterinpitäjien välisissä tarkentavissa sopimuksissa.
Koska tietovarantoon liittyvät tosiasialliset rekisterinpitovastuut jakautuvat eri tavoin siihen kuuluvissa järjestelmissä, rekisterinpitovastuiden jakaminen tietojärjestelmittäin tai muutoin yksityiskohtaisesti ja tarkkarajaisesti lain säännöksissä ei olisi toimiva sääntelyratkaisuna. Tästä syystä yhteisrekisterinpidosta ehdotetaan säädettäväksi yleisellä tasolla. Ratkaisevaa olisi se, mikä viranomainen tosiasiallisesti yksittäistapauksessa vastaa kyseessä olevien henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämisestä joko yksin tai yhdessä toisen viranomaisen kanssa.
Yhteisrekisterinpitoon sovellettaisiin ehdotettujen säännösten lisäksi yleisen tietosuoja-asetuksen 26 artiklaa ja, siltä osin kuin on kyse rikosasioiden tietosuojalain soveltamisalaan kuuluvasta henkilötietojen käsittelystä, rikosasioiden tietosuojalain 16 §:ää. Huomioiden lain säännösten yleisluontoisuuden, rekisterinpitäjien voisi olla yleisen tietosuoja-asetuksen soveltamisalalla tarpeen tapauskohtaisesti määritellä keskinäisellä järjestelyllä läpinäkyvällä tavalla se, miten rekisterinpitäjän vastuualueet tarkemmin jakautuisivat niiden kesken, erityisesti rekisteröityjen oikeuksien toteuttamista ja rekisteröidyn informointia koskevien tehtäviensä osalta. Esimerkiksi Tuomioistuinviraston ja tuomioistuinten keskinäiset tietosuojaan liittyvät rekisterinpitovastuut jakautuvat jo nykyisin tarkemmin sen mukaisesti, mitä niiden välillä on sovittu (ks. edellä nykytilan kuvaus). Rikosasioiden tietosuojalain 16 §:n säännökset ovat velvoittavat ja edellyttävät vastuunjaosta sopimista ja yhteyspisteen nimeämistä. Sen sijaan yleisen tietosuoja-asetuksen 26 artiklan 1 kohta jättää asiassa liikkumavaraa. Huomioiden kuitenkin tietovarannon muodostaman monimutkaisen kokonaisuuden, yhteisrekisterinpitäjien olisi syytä nimetä yhteyspiste myös muiden kuin rikosasioihin liittyvien käsittelytilanteiden osalta. Rekisteröity voi kuitenkin käyttää oikeuksiaan suhteessa kuhunkin yhteisrekisterinpitäjään.
Pykälän 3 momentissa säädettäisiin eräiden oikeushallinnon viranomaisten tietojen oikeellisuuteen liittyvästä vastuusta silloin, kun ne luovuttavat omista järjestelmistään tai niiden osista tietoja tietovarantoon kuuluviin tietojärjestelmiin. Sen lisäksi, mitä 2 momentissa säädetään, 3 momentin mukaan tuomioistuimet, Syyttäjälaitos ja Oikeuspalveluvirasto vastaisivat rekisterinpitäjinä siitä, että niiden valtakunnalliseen tietovarantoon tallentamat tiedot ovat täsmällisiä ja tarvittaessa päivitettyjä, sekä havaitsemiensa virheiden oikaisusta viipymättä. Oikeusrekisterikeskus vastaisi näiden tietojen edelleen välittämisestä tietovarannosta muihin tietojärjestelmiin tiedot luovuttaneen viranomaisen tekemien merkintöjen mukaisesti sekä muista tietovarantoon liittyvistä rekisterinpitäjän velvollisuuksista, joita ei ole jaettu rekisterinpitäjien kesken. Tällä tarkoitettaisiin sekä ehdotettuihin lain säännöksiin että rekisterinpitäjien välisiin sopimuksiin perustuvaa tehtävien jakautumista niiden kesken.
Ehdotetussa 3 momentissa huomioitaisiin se, millä oikeushallinnon viranomaisella olisi tosiasiallisesti mahdollisuus huolehtia tarvittaessa tietovarantoon luovutetuissa tiedoissa ilmenneiden virheiden oikaisusta. Tuomioistuinvirasto ei luovuta tietovarantoon henkilötietoja, eikä sillä olisi momentissa tarkoitettuja vastuita. Oikeuspalveluvirasto puolestaan olisi rekisterinpitäjän vastuussa oikeusaputoimistojen luovuttamista henkilötiedoista ja huolehtisi myös siitä, että oikeusaputoimistojen luovuttamat tiedot tulevat oikaistuiksi. Tietojen oikaiseminen voisi edellyttää myös sitä, että tiedot luovuttanut viranomainen ilmoittaa Oikeusrekisterikeskukselle havaituista virheistä, jotta tämä voi tarpeen mukaan ilmoittaa niistä edelleen niille tahoille, joille virheelliset tiedot on välitetty tietovarannosta.
EU:n tuomioistuimen vakiintuneen oikeuskäytännön mukaan henkilötietojen käsittelyssä on yhtäältä noudatettava yleisen tietosuoja-asetuksen 5 artiklassa mainittuja tietojen käsittelyä koskevia periaatteita ja toisaalta, kun otetaan huomioon erityisesti kyseisen artiklan 1 kohdan a alakohdan mukainen käsittelyn lainmukaisuuden periaate, jonkin saman asetuksen 6 artiklassa luetellun lainmukaisuuden edellytyksen on täytyttävä kyseisen käsittelyn osalta (tuomio 7.12.2023, Schufa Holding, C-634/21, 67 kohta; tuomio 20.10.2022, Digi, C 77/21, 49 kohta oikeuskäytäntöviittauksineen). Rekisterinpitäjän on voitava osoittaa noudattavansa kyseisiä periaatteita tämän asetuksen 5 artiklan 2 kohdassa säädetyn osoitusperiaatteen mukaisesti (ks. tuomio 20.10.2022, Digi, C 77/21, 24 kohta).
Käytännössä 3 momentin ensimmäisen virkkeen säännöksellä viitattaisiin käsittelytoimiin, jotka toteutetaan esimerkiksi tuomioistuinten henkilökunnan toimesta manuaalisesti tietojärjestelmässä. Tietojen oikeellisuuteen ja ajantasaisuuteen voivat kuitenkin vaikuttaa muutkin tekijät kuin se, mitä tietoja säännöksessä mainitut viranomaiset ovat tallentaneet tietovarantoon, kuten automatisoitu tietojen päivittäminen toisesta järjestelmästä, esimerkiksi väestötietojärjestelmästä. Tällaisessa tilanteessa tietojen oikaisun voisi tiedot tallentaneen viranomaisen sijasta tehdä Oikeusrekisterikeskus tai joissakin tilanteissa tuomioistuinten osalta Tuomioistuinvirasto. Esimerkiksi tämän tyyppisiin tilanteisiin liittyvien vastuiden jakamiseksi voitaisiin soveltaa yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain säännöksiä yhteisrekisterinpidosta. Siltä osin kuin on kyse kuitenkin tiedoista, jotka ovat samanaikaisesti osa tietovarantoa ja viranomaisen omaa diaaria tai muuta asiainhallintajärjestelmää, Oikeusrekisterikeskuksen ei ole mahdollista tehdä tietojen oikaisua tietovarannon tietoihin, vaan sen olisi nykyisen käytännön mukaisesti otettava yhteyttä tiedot tallentaneeseen yhteisrekisterinpitäjään ja pyydettävä tältä tietojen oikaisua.
Ehdotus ei edellä todetun tapaisissa tilanteissa poistaisi kokonaan Oikeusrekisterikeskuksen vastuuta huolehtia osaltaan tietojen paikkansa pitävyyteen ja täsmällisyyteen liittyvistä velvoitteista. Ehdotetulla 3 momentilla kuitenkin jaettaisiin tätä vastuuta tietovarantoa käyttävien viranomaisten kanssa. Tämä parantaisi rekisterinpitäjien edellytyksiä osoittaa noudattavansa tietosuoja-asetusta, ja vastaavasti rikosasioiden tietosuojalakia. Tietosuoja-asetuksen ja rikosasioiden tietosuojalain mukaisen vastuun täsmällisemmällä jakamisella varmistettaisiin paremmin se, että velvoitteista huolehditaan ja mahdolliset virheet tulevat oikaistuiksi tehokkaammin. Oikeusrekisterikeskuksen tietojen edelleen välittämiseen liittyvä vastuu tarkoittaisi muun muassa tietojen eheyden varmistamista. Tietojen edelleen välittämiseen liittyvä rekisterinpitäjän vastuu kattaisi myös sen, että Oikeusrekisterikeskuksen olisi lisäksi tarvittaessa huolehdittava siitä, että tieto henkilötiedoissa havaitusta virheestä ilmoitetaan myös tietojen vastaanottajille siltä osin kuin se on vastannut niiden edelleen välittämisestä tietovarannosta. Henkilötieto voi sisältyä myös viranomaisen asiakirjaan, esimerkiksi tuomioon. Ehdotettu 3 momentti muuttaisi nykytilaa sen osalta, miten rekisterinpitäjien vastuun on voimassa olevan lain nojalla tulkittu jakautuvan. Laista poistettavat tietovarantoa käyttäville viranomaisille säädetyt velvoitteet tietojen paikkansa pitävyyden varmistamisesta korvattaisiin rekisterinpitäjän vastuilla.
Oikeusrekisterikeskus vastaisi lisäksi tietovarannon osalta rekisterinpitäjälle kuuluvista velvoitteista siltä osin kuin niiden jakamisesta muiden oikeushallinnon viranomaisten kanssa ei ole erityisesti sovittu. Oikeusrekisterikeskus vastaisi esimerkiksi nykytilaa vastaavasti palvelukeskuksena tietojärjestelmien tietoturvallisuuteen liittyvistä tehtävistä tekemiensä palvelusopimusten mukaisesti. Esimerkiksi AIPA-järjestelmän osalta Tuomioistuinvirasto hoitaa jo nykyisin rekisterinpitäjälle kuuluvia tehtäviä tietovarantolain voimassa olevista säännöksistä poiketen.
Oikeushallinnon valtakunnalliseen tietovarantoon ja siihen kuuluviin tietojärjestelmiin liittyy myös erilaisia teknisiä ylläpito- ja kehittämistehtäviä, joissa ei ole kyse pelkästään henkilötietojen rekisterinpidosta. Tällaisista tehtävistä ei myöskään säädetä sellaisenaan tietosuojalainsäädännössä. Tietojärjestelmien tekniset toiminnallisuudet vaikuttavat siihen, miten rekisterinpitäjä voi huolehtia henkilötietojen tietoturvallisesta käsittelystä. Erilaisia teknisiä tehtäviä ei olisi kuitenkaan tarpeen tietosuojalainsäädännön vaatimusten kannalta kattaa lain säännöksillä. Ne olisi myös käytännön syistä tarkoituksenmukaisempaa jättää tapauskohtaisesti sovittaviksi rekisterinpitäjien välisillä tai rekisterinpitäjän ja henkilötietojen käsittelijän välisillä sopimuksilla ja järjestelyillä yleisen tietosuoja-asetuksen tai rikosasioiden tietosuojalain mukaisesti. Siinä tapauksessa, että rekisterinpitäjät sopisivat joissakin tapauksissa tehtävien jakamisesta kahden tai useamman viranomaisen kesken, oleellista on, että järjestelyt dokumentoitaisiin sen varmistamiseksi, että viranomaisten sisäisen valvonnan ja ulkoisen henkilötietojen käsittelyn valvonnan ja laillisuusvalvonnan yhteydessä pystytään osoittamaan tehtävästä vastuussa olevat rekisterinpitäjät.
Voimassa olevan lain 7 §:n 2 momenttia vastaavaa säännöstä ei sisällytettäisi uuteen pykälään. Oikeusministeriölle on kyseisessä momentissa säädetty tietovarannon kehittämistä ja käyttöpalveluiden järjestämistä koskeva tehtävä. Kyseisessä säännöksessä mainittu tehtävä kuuluu pääosin Oikeusrekisterikeskukselle, ja joiltakin osin Tuomioistuinvirastolle. Oikeusministeriöllä on kuitenkin lain 12 §:n 6 momentin mukaisesti oikeus salassapitosäännösten estämättä hakea esiin ja käyttää toimintansa sekä oikeusministeriön hallinnonalan toiminnan suunnittelua ja seurantaa varten raportointi- ja tilastointijärjestelmään tallennettuja tietoja. Tämä oikeus on kuitenkin rajallisempi kuin tuomioistuinten, Syyttäjälaitoksen ja oikeusaputoimistojen tiedonhakuoikeus. Vaihtoehtoisesti asiasta voitaisiin säätää oikeusministeriön tiedonsaantioikeutena, tai laissa voitaisiin säätää Oikeusrekisterikeskuksen oikeudesta luovuttaa tietoja ministeriölle salassapitosäännösten estämättä. Oikeusministeriö ei sen sijaan tallenna tietovarantoon tietoja, eikä se osallistu henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen. Koska oikeusministeriön osalta kyse ei ole tietovarannon rekisterinpitäjään rinnastuvista tehtävistä, ja voimassa oleva säännös ei enää vastaa nykytilaa, säännös voidaan poistaa laista tarpeettomana. Muutos ei vaikuttaisi kuitenkaan oikeusministeriön oikeuteen hakea tietoja tietovarannosta lain 12 §:n 6 momentissa säädettyyn tarkoitukseen. Muutos ei myöskään vaikuttaisi siihen, että oikeusministeriö voi olla rekisterinpitäjä silloin, kun tietovarannosta saatuja henkilötietoja käsitellään sellaisella tallennusalustalla, jonka osalta oikeusministeriölle on määritetty rekisterinpitovastuita.
11 §.Tietoja tallentaneen viranomaisen oikeus käyttää tallentamiaan tietoja. Voimassa olevan 11 §:n mukaan oikeushallinnon viranomainen saa salassapitosäännösten estämättä käyttää tietovarantoon tallentamiaan tietoja niiden käyttötarkoituksen mukaisesti lakisääteisten tehtäviensä hoitamisessa. Yleinen tietosuoja-asetus ja rikosasioiden tietosuojalaki mahdollistavat alkuperäiseen tarkoitukseen kerättyjen henkilötietojen käsittelyn myöhemmin muuhun tarkoitukseen, edellyttäen että käsittely on yhteensopivaa alkuperäisen käsittelytarkoituksen kanssa. Tältä osin merkitystä on muun ohella sillä, mikä alkuperäisen ja myöhemmän aiotun käsittelytarkoituksen yhteys on. Lisäksi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta ja tietosuojalain 4 §:n 2 kohta luovat oikeusperustan henkilötietojen käsittelylle yleistä etua koskevan tehtävän hoitamiseksi silloinkin, kun henkilötietojen käsittelystä ei erikseen säädetä muualla laissa, edellyttäen että viranomaisen tehtävän hoitaminen kuitenkin perustuu lakiin. Siltä osin kuin on kyse henkilötietojen käsittelystä yleisen tietosuoja-asetuksen soveltamisalalla, voimassa oleva tietosuojalain 4 §:n 2 kohta mahdollistaa henkilötietojen käsittelyn niiden alkuperäisen keräämistarkoituksen kanssa yhteensopivaan käsittelytarkoitukseen. Tällaisena yhteensopivana käsittelytarkoituksena on pidetty muun muassa viranomaisen suunnittelu- ja selvitystehtäviä.
Rikosasioiden tietosuojalain 5 §:n 2 momentti sisältää lain soveltamisalaan kuuluvia tarkoituksia varten kerättyjä henkilötietoja koskevan käyttötarkoitussidonnaisuuden vaatimuksen, jonka mukaan 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa. Lisäksi tietovarantolain voimassa olevasta 11 §:stä seuraa tietojen käytölle asetetut käyttötarkoitussidonnaisuuden ja lakisääteisyyden vaatimukset. Säännöksen alkuperäisistä perusteluista (HE 102/2009 vp) ilmenee, että käyttöoikeus on sidottu siihen tarkoitukseen, joka tietojen tallettamisella alun perin oli, eikä säännös merkitse poikkeamista henkilötietolaissa säädetystä käyttötarkoitussidonnaisuuden vaatimuksesta. Voimassa oleva lain 12 § mahdollistaa muiden viranomaisten tallentamien tietojen hakemisen ja käyttämisen eräisiin pykälässä säädettyihin tarkoituksiin, mutta ei koske viranomaisen itse tallentamia tietoja. Kyseisellä pykälällä on katettu esimerkiksi syyttäjien tarve käyttää toistensa salassa pidettäviä tietoja samaa henkilöä koskevien asioiden keskittämiseksi, sekä korkeimpien oikeuksien tehtävä valvoa lainkäyttöä toimialallaan. Vaikka vastaavia käyttötarpeita voi liittyä myös viranomaisen itse tallentamiin tietoihin, edellä mainitut rikosasioiden tietosuojalain ja tietovarantolain säännökset eivät vaikuttaisi mahdollistavan niiden käyttöä alkuperäisestä käyttötarkoituksesta poikkeavaan tarkoitukseen.
Rikosasioissa toimivaltaisten viranomaisten osalta rikosasioiden tietosuojalain 19 §:n 2 momentti mahdollistaa tietovarantoon kuuluvan järjestelmän lokitietojen käytön käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. Lisäksi tiedonhallintalain 17 § mahdollistaa yleisemmin viranomaisten tietojärjestelmien lokitietojen käyttämisen tietojärjestelmissä olevien tietojen käytön ja luovutuksen seurantaan sekä tietojärjestelmän teknisten virheiden selvittämiseen. Sen sijaan lokitietoja koskevat säännökset eivät kata tietojärjestelmissä olevien muiden tietojen hyödyntämistä esimerkiksi hallinnollisissa valvontamenettelyissä tai virkamiesoikeudellisissa menettelyissä tai rekisterinpitäjänä toimivan viranomaisen sisäisissä valvontatarkoituksissa.
Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan oikeushallinnon viranomainen saisi salassapitosäännösten estämättä käyttää tietovarantoon tallentamiaan tietoja 1 momentissa säädetystä poiketen viranomaisen valvonta-, suunnittelu- tai kehittämistehtävän hoitamiseksi sekä viranhaltijoiden oikeusturvan varmistamiseksi, siltä osin kuin tiedot olisivat tähän tarkoitukseen välttämättömiä. Säännöksellä katettaisiin pääosin vastaavanlaiset tietojen käsittelytarpeet kuin ne, jotka on huomioitu muiden viranomaisten tietoihin kohdistuvan haku- ja käyttöoikeuden osalta lain 12 §:ssä. Ehdotettu 11 §:n 2 momentti olisi rajattu poikkeus käyttötarkoitussidonnaisuuden vaatimukseen, joka koskee erityisesti tietovarantoon tallennettuja henkilötietoja. Erityisesti rikosasioissa toimivaltaisten viranomaisten tarpeiden huomioimiseksi käyttötarkoitussidonnaisuuden vaatimuksesta poikkeamisesta olisi tarpeen säätää. Myös voimassa olevan tietovarantolain 11 § voi aiheuttaa tulkintaepäselvyyttä siltä osin, mitä voitaisiin pitää henkilötietojen alkuperäisen keräämistarkoituksen kanssa yhteensopivana käsittelynä. Huomioiden oikeushallinnon viranomaisten käsittelemien useiden asiaryhmien arkaluonteisuuden, poikkeus rajattaisiin siihen, mikä on välttämätöntä.
Henkilötietojen käsittelytarpeita muuhun kuin niiden alkuperäiseen keräämistarkoitukseen liittyy tyypillisesti erilaisiin rekisterinpitäjän tehtäviin ja viranomaisen sisäisiin valvontatehtäviin, tai esimerkiksi syyttäjän tai muun viranhaltijan virkavastuun selvittämiseen, mutta ajoittain niitä voi liittyä myös muihin säännöksessä tarkoitettuihin tilanteisiin. Välttämättömyydellä tarkoitettaisiin sitä, että esimerkiksi suunnittelu- tai kehittämistehtävän hoitamiseksi luonnollisen henkilön yksilöiviä tietoja tulisi käsitellä vain, jos tehtävän hoitaminen ei onnistu ilman niitä.
14 §.Tietojen luovuttamisesta päättäminen. Voimassa olevan 14 §:n 1 momentin mukaisesti Oikeusrekisterikeskus päättää tietojen luovuttamisesta tietovarannosta. Pykälän 2 momentin mukaan Oikeusrekisterikeskus voi siirtää asianomaiselle viranomaiselle käsiteltäväksi tietopyynnön, joka koskee oikeusaputoimistossa, Syyttäjälaitoksessa tai tuomioistuimessa vireillä ollutta tai käsiteltyä asiaa taikka merkintöjä, joita koskevien tietojen antamista tuomioistuin on rajoittanut 16 §:n 2 momentin nojalla.
Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että se ei rajoittaisi oikeushallinnon viranomaisen oikeutta luovuttaa tietovarantoon tallentamiaan tietoja viranomaisten toiminnan julkisuudesta annetun lain tai oikeudenkäynnin julkisuutta koskevien säännösten nojalla. Muutoksella huomioitaisiin tarkemmin julkisuussääntelyn tarkoitus siitä, että tietopyyntö voidaan osoittaa suoraan sellaiselle viranomaiselle, jonka asiakirjasta on kyse. Viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) sisältämä viranomaisen asiakirjan käsite on kuitenkin laaja ja kattaa myös viranomaiselle toimitetut asiakirjat. Huomioiden tietovarantolain säännökset tietojen hakemisesta, käytännössä kyse olisi kuitenkin viranomaisen itse tietovarantoon tallentamista tiedoista. Ehdotetussa 14 §:n 1 momentin muutoksessa voisi olla kyse samalla sellaisten henkilötietojen luovuttamisesta, jotka olisivat 7 §:n 2 momentin mukaisesti yksittäisen oikeushallinnon viranomaisen omalla rekisterinpitovastuulla.
Voimassa olevassa momentissa ei ole huomioitu tilanteita, joissa oikeushallinnon viranomaiselle osoitettu viranomaisten toiminnan julkisuudesta annetun lain mukainen tietopyyntö kohdistuu viranomaisen omiin diaaritietoihin, vaikka kyse olisi samalla tietovarantoon tallennetuista tiedoista. Voimassa oleva momentti voi myös olla ristiriidassa sellaisten muun lainsäädännön säännösten kanssa, joissa on kyse viranomaisen oikeudesta luovuttaa tietoja salassapitosäännösten estämättä. Julkisuuslain lähtökohtana kuitenkin on, että viranomainen käsittelee vastaanottamansa tietopyynnön, joka koskee sen hallussa olevaa asiakirjaa tai tietoja. Viranomaisen tulisi myös voida suoraan luovuttaa tiedot julkisilta osin tai salassa pidettävien tietojen osalta siihen oikeuttavan lain säännöksen nojalla.
Voimassa olevan tietovarantolain säännöksistä ei tarkemmin ilmene, millä tavalla oikeushallinnon viranomaisten omassa käytössä olevat tietojärjestelmät tai niiden osat liittyvät tietovarantoon. Voimassa olevasta 14 §:n 1 momentista ei myöskään ilmene se, että suurin osa näiden viranomaisten tiedoista on samalla osa tietovarantoa. Se, että voimassa olevan lain 16 §:ssä säädetään pelkästään Oikeusrekisterikeskuksen oikeudesta luovuttaa tuomioistuinten diaaritietoja yleisen tiedonsaantioikeuden perusteella, voi aiheuttaa tulkintaepäselvyyttä muiden oikeushallinnon viranomaisten tiedonluovutusoikeuden osalta (Helsingin hallinto-oikeuden päätös 7.5.2024, 2840/2024).
Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että Oikeusrekisterikeskus voisi siirtää asianomaiselle viranomaiselle käsiteltäväksi myös sellaisen tietopyynnön, joka koskee oikeusaputoimistossa, Syyttäjälaitoksessa tai tuomioistuimessa vireillä olevaa asiaa. Momentin ruotsinkieliseen sanamuotoon tehtäisiin lisäksi kielellinen tarkistus. Voimassa olevan lain 2 momentti on korvannut kumotun oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain 14 §:n 2 momentin, jonka tarkoituksena on sen perustelujen valossa ollut kattaa myös keskeneräiset asiat. Voimassa olevan tietovarantolain 14 §:n 2 momentin sanamuoto vastaa aiempaa, mutta ei yksiselitteisesti kata edelleen vireillä olevia asioita. Sanamuotoa ehdotetaan selkeyden vuoksi täsmennettäväksi. Tietopyyntö voitaisiin muutetun momentin perusteella siirtää asiasta vastaavan viranomaisen käsiteltäväksi riippumatta siitä, olisiko kyse vireillä olevasta tai jo käsitellystä asiasta.
10
Suhde perustuslakiin ja säätämisjärjestys
Esityksessä ehdotettu sääntely on merkityksellistä perustuslain 10 §:ssä säädetyn yksityiselämän ja henkilötietojen suojan sekä 12 §:ssä säädetyn julkisuusperiaatteen kannalta. Ehdotettu sääntely konkretisoi soveltamisalallaan näitä perustuslain säännöksiä ja turvaa tältä osin perustuslain 22 §:ssä edellytetyllä tavalla perus- ja ihmisoikeuksien toteutumista. Ehdotettu sääntely on merkityksellistä myös esimerkiksi EU:n perusoikeuskirjan ja Euroopan ihmisoikeussopimuksen kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan. Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on katsottu Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä kattavan myös henkilötietojen suojan.
Esityksessä ehdotetaan lisättäväksi Syyttäjälaitoksesta annettuun lakiin henkilötietojen käsittelyä rikosasioissa koskevat erityissäännökset, jotka ovat välttämättömiä henkilötietojen suojan vahvistamiseksi. Samalla Syyttäjälaitoksesta annetussa laissa ja oikeushallinnon valtakunnallisesta tietovarannosta annetussa laissa täsmennettäisiin viranomaisten rekisterinpitovastuita. Ehdotetuilla lainmuutoksilla käytetään rikosasioiden tietosuojadirektiivin ja yleisen tietosuoja-asetuksen mukaista kansallista sääntelyliikkumavaraa.
Kansallisen liikkumavaran käyttö
Rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta on huomauttanut, että sen valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (PeVL 26/2018 vp, s. 4 ks. myös esim. PeVL 31/2017 vp, s. 4). Valiokunta on kuitenkin edelleen korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/ 2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2018 vp, s. 4, PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). Valiokunta piti valitettavana, että kansallisen liikkumavaran laajuutta ei rikosasioiden tietosuojalakia koskevassa hallituksen esityksessä selostettu kaikilta osin riittävän seikkaperäisesti.
Rikosasioiden tietosuojadirektiivissä säädetään henkilötietojen suojan vähimmäistasosta, joka on täytyttävä kaikessa sen soveltamisalaan kuuluvassa henkilötietojen käsittelyssä. Lähtökohtaisesti kaikki direktiivin säännökset on pantava täytäntöön. Direktiivi ei estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksien ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä. Jäsenvaltioille on siten käytännössä lähinnä jätetty liikkumavaraa säätää direktiiviä korkeammasta tietosuojan tasosta.
Rikosasioiden tietosuojadirektiivi sallii jäsenvaltioille kuitenkin yleistä tietosuoja-asetusta enemmän liikkumavaraa sen arvioimisessa, millä tavalla EU-oikeus pannaan kansallisesti täytäntöön. Direktiivi ei esimerkiksi estä sen täytäntöönpanoa usealla kansallisella lailla, joiden säännökset voidaan kirjoittaa direktiivistä poikkeavalla tavalla edellyttäen, että oikeudellinen sisältö on sama eikä direktiivin edellyttämä suojan taso alene. Rikosasioiden tietosuojadirektiivi ei myöskään aseta erityisiä sisältövaatimuksia muille kuin nimenomaista täytäntöönpanoa edellyttäville säännöksille. Jos jäsenvaltio säätää esimerkiksi direktiivin soveltamisalaan kuuluvista automatisoiduista käsittelyjärjestelmistä tai muista rekistereistä, direktiivi edellyttää, että lainsäädännössä on täsmennettävä ainakin kyseisessä järjestelmässä tai rekisterissä tapahtuvan käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Huomioiden kuitenkin direktiivin säännösten yhteneväisyyden yleisen tietosuoja-asetuksen kanssa, myös rikosasioiden tietosuojalain kanssa päällekkäistä sääntelyä on syytä välttää siltä osin kuin sääntely ei ole välttämätöntä tietosuojan vahvistamiseksi.
Yleisen tietosuoja-asetuksen soveltamisalalla tietosuoja-asetusta täydentävä sääntely on mahdollista vain siltä osin kuin asetus joko nimenomaisesti edellyttää täytäntöönpanoa tai sisältää kansallista sääntelyliikkumavaraa. Perustuslakivaliokunta on myös katsonut, että yleisen tietosuoja-asetuksen soveltamisalalla tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 14/2018 vp, s. 3, PeVL 2/2018 vp, s. 5). Perustuslakivaliokunnan mielestä oli kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksen edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely (PeVL 14/2018 vp, s. 5). Valiokunta viittasi arkaluonteisten tietojen muodostaman riskin lisäksi nimenomaisesti siihen, että valiokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6).
Yleinen tietosuoja-asetus mahdollistaa kansallisen liikkumavaran käytön, ja sitä on erityisesti asetuksen 6 artiklan 2 ja 3 kohdan nojalla mahdollisuus käyttää runsaastikin. Niiden nojalla on mahdollista säätää tarkemmin esimerkiksi käsiteltävistä henkilötiedoista sekä niiden luovuttamisesta ja säilytysajoista, tai rekisterinpitäjän suorittaman käsittelyn lainmukaisuudesta. Lisäksi esimerkiksi rekisterinpitäjän täsmentäminen kansallisessa laissa on mahdollista, vaikka asetus ei edellytä sitä (4 artiklan 7 kohta).
Rikosasioiden tietosuojadirektiivi jättää nimenomaisen täytäntöönpanovelvoitteen lisäksi jäsenvaltioille eräiltä osin liikkumavaraa tietosuoja-asetuksen tavoin. Direktiivin täytäntöönpanon yhteydessä on mahdollista säätää esimerkiksi henkilötietojen säilytysajoista ja erityisiin henkilötietoryhmiin liittyvistä ylimääräisistä suojatoimista. Myös direktiivin osalta liikkumavaraa on siltä osin, säädetäänkö laissa rekisterinpitäjästä tai yhteisrekisterinpitäjien vastuualueista ja millä tavalla niistä olisi säädettävä. Toisaalta perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on perustuslakivaliokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I). Toisaalta valiokunnan käsityksen mukaan ainakin tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta aiempaa kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. (PeVL 14/2018 vp, s. 4.) Edellä todettu huomioiden erityisesti viranomaiselle kuuluvasta rekisterinpitotehtävästä on perusteltua säätää riittävällä täsmällisyydellä, huomioiden julkisen vallan käyttöön ja virkavastuuseen liittyvät näkökohdat.
Hallituksen esityksessä käytetään rikosasioiden tietosuojadirektiivin sisältämää kansallista liikkumavaraa ja ehdotetaan sääntelyn läpinäkyvyyden lisäämiseksi, että Syyttäjälaitoksesta annetussa laissa täsmennettäisiin Syyttäjälaitoksen rekisterinpitovastuita. Lisäksi esityksessä käytetään rikosasioiden tietosuojadirektiivin ja yleisen tietosuoja-asetuksen mukaista liikkumavaraa siten, että nykytilasta poiketen oikeushallinnon valtakunnallisesta tietovarannosta annetussa laissa säädettäisiin tietovarannon yhteisrekisterinpidosta. Lisäksi Syyttäjälaitoksesta annettuun lakiin ehdotetaan lisättäväksi erityisiä, rikosasioiden tietosuojalain säännöksiä tiukempia suojatoimia, joilla huomioitaisiin rikosasioihin liittyvien henkilötietojen arkaluonteisuus ja tarve suojata eräiden rekisteröityjen ryhmien tietoja vahvemmin kyseessä olevien henkilöiden turvallisuuden varmistamiseksi rikosprosessin yhteydessä. Näiden säännösten tarkoituksena on lisätä rekisterinpidon läpinäkyvyyttä sekä vahvistaa rekisteröidyn tietosuojaa rikosasioissa, huomioiden käsittelyn vaikutukset myös muiden perusoikeuksien suojaan.
Rikosasioiden tietosuojadirektiivin osalta liikkumavaraa ehdotetaan käytettäväksi eri tavalla kuin useaa muuta rikosasioissa toimivaltaista viranomaista koskevassa lainsäädännössä, joka on säädetty perustuslakivaliokunnan myötävaikutuksella.
Rikosasiaan liittyvien henkilötietojen arkaluonteisuus ja käyttötarkoitussidonnaisuuden vaatimus
Ehdotetuissa Syyttäjälaitoksesta annetun lain muutoksissa on eräiltä osin kyse arkaluonteisten henkilötietojen suojan vahvistamisesta. Erityisillä henkilötietoryhmillä tarkoitetaan rikosasioiden tietosuojalain 11 §:n 1 momentissa ja EU:n yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa mainittuja henkilötietojen ryhmiä. Vaikka EU:n tietosuoja-asetuksen soveltamisen alkamisen johdosta kansallisessa lainsäädännössä tulee tietosuoja-asetuksen 9 artiklaan valitun erityisten henkilötietoryhmien käsitteen vuoksi välttää arkaluonteisten tietojen käsitteen käyttämistä sääntelyn selvyyden vuoksi (PeVL 14/2018 vp, s. 9), pitää perustuslakivaliokunta edelleen perusteltuna kuvata valtiosääntöisesti tiettyjä henkilötietoryhmiä nimenomaan arkaluonteisiksi. (PeVL 17/2018 vp, s. 6, PeVL 15/2018 vp, s. 39) Perustuslain säädöshierarkkisen aseman vuoksi perustuslakivaliokunta piti myös suhteessa kumottuun henkilötietolakiin selvänä, että valiokunnan käytännössä arkaluonteisiksi esimerkiksi käsittelyn aiheuttamien riskien ja uhkien perusteella arvioidut tiedot eivät alaltaan tyhjentävästi samaistuneet henkilötietolain sääntelyyn (PeVL 17/2018 vp, s. 7, PeVL 15/2018 vp, s. 41). Perustuslain tulkintakäytännössä arkaluonteisilla henkilötiedoilla tarkoitetaan laajempaa tietojoukkoa kuin vain tietosuoja-asetuksessa ja rikosasioiden tietosuojadirektiivissä tarkoitetut erityiset henkilötietoryhmät.
Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (ks. PeVL 15/2018 vp, myös 13/2016 vp, PeVL 14/2009 vp). Arkaluonteisten henkilötietojen käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Perustuslakivaliokunta on myös kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp).
Perustuslakivaliokunta on myös tarkistanut yksityiselämän suojan ydinalueen merkitystä koskevaa käytäntöään. Perustuslakivaliokunta on todennut muun muassa, että kategorinen erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 36/2021 vp, s. 3–4, PeVL 48/2018 vp, s. 3–6, PeVL 18/2014 vp, s. 6/II, ks. myös PeVL 36/2018 vp, s. 22). Perustuslakivaliokunta on katsonut myös EU-oikeuteen perustuvan yksityiselämän ja henkilötietojen suojan kannalta merkityksellisen kansallisen sääntelyn valmistelussa olevan syytä kiinnittää huomiota erityisesti EU-tuomioistuimen asioissa Digital Rights Ireland (C-293/12 ja C-594/12), Schrems (C-362/14) ja Tele2 Sverige ja Watson (C-698/15 ja C-203/15) antamiin ratkaisuihin (PeVL 36/2017 vp, s. 7, PeVL 35/2018 vp, s. 6, PeVL 13/2017 vp, s. 4–5, PeVL 9/2017 vp, s. 5). EU:n tuomioistuin on vastaavasti tuoreemmassa oikeuskäytännössään kiinnittänyt huomiota sääntelyn vaikutuksiin rekisteröidyn kannalta ottaessaan kantaa tietojen arkaluontoisuuteen (tuomio 7.12.2023, yhdistetyt asiat C 26/22 ja C 64/22, Schufa Holding, 94 kohta).
Kumotussa henkilötietolaissa arkaluonteisina henkilötietoina on tietosuoja-asetuksen 9 artiklan 1 kohdassa ja rikosasioiden tietosuojadirektiivin 10 artiklassa mainittujen tietojen lisäksi pidetty myös tietosuoja-asetuksen 10 artiklassa tarkoitettuja rikostuomioihin ja rikoksiin liittyviä henkilötietoja. Tietosuoja-asetus edellyttää rikostuomioihin ja rikoksiin liittyvien henkilötietojen osalta erityisiä suojatoimia. Näitä sekä esimerkiksi sosiaalihuollon etuuksiin liittyviä henkilötietoja pidetään myös perustuslain tulkintakäytännössä arkaluonteisina tietoina. Rikoksiin liittyviä henkilötietoja pidetään lisäksi erityisenä henkilötietoryhmänä (arkaluonteisina henkilötietoina) pöytäkirjalla CETS 223 muutetussa Euroopan neuvoston yleissopimuksessa 108. Suomi on ratifioinut pöytäkirjan. Syyttäjien henkilötietojen käsittelyssä, joka kuuluu rikosasioiden tietosuojalain 1 §:n 1 momentin 2 kohdan alaan, on kyse aina rikoksiin liittyvästä henkilötietojen käsittelystä. Lähtökohtaisesti rikosasioiden tietosuojadirektiivissä säädetty henkilötietojen suojan taso vastaa pitkälti yleisen tietosuoja-asetuksen mukaisia vaatimuksia, huomioiden niiden säännösten toisiaan vastaavan sisällön. Rikosasioiden tietosuojadirektiivissä ja rikosasioiden tietosuojalaissa on kuitenkin huomioitu sen soveltamisalaan kuuluvan henkilötietojen käsittelyn luonne, ja niiden soveltamisala on nimenomaisesti sidottu yksittäisiin tehtäviin ja käsittelyn tarkoituksiin. Erityisten henkilötietoryhmien käsittely ei ole pääsääntöisesti kiellettyä, kuten yleisen tietosuoja-asetuksen nojalla, mutta niiden käsittelyn edellytyksenä on tietosuoja-asetuksesta poiketen tietojen välttämättömyys. Kaikkia direktiivin soveltamisalalla käsiteltäviä henkilötietoja koskee käyttötarkoitussidonnaisuuden vaatimus, josta on mahdollista poiketa vain rikosasioiden tietosuojalaissa säädetyin edellytyksin.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaisesti henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Vastaava vaatimus sisältyy rikosasioiden tietosuojadirektiivin 4 artiklan 1 kohdan b alakohtaan, joka nimenomaisesti edellyttää jäsenvaltion säätävän asiasta. Unionin tuomioistuimen oikeuskäytännöstä käy ilmi, että kysymys henkilötietojen myöhemmän käsittelyn yhteensopivuudesta kyseisten tietojen alkuperäisen keruun tarkoitusten kanssa herää vain siinä tapauksessa, että mainitun myöhemmän käsittelyn tarkoitukset eivät ole samat kuin alkuperäisen keruun tarkoitukset. Tuomioistuin on lisäksi katsonut, että yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetty käyttötarkoitussidonnaisuuden periaate ei ole esteenä tietojen myöhemmälle käsittelylle toisessa tietokannassa, jos tällainen myöhempi käsittely sopii yhteen niiden erityisten tarkoitusten kanssa, joita varten henkilötiedot on alun perin kerätty. (esim. tuomio 20.10.2022, C-77/21, Digi Távközlési és Szolgáltató Kft., 34 ja 45 kohta) Tietojen käyttötarkoitussidonnaisuuden ohella tuomioistuin on kiinnittänyt huomiota 5 artiklan 1 kohdan c alakohdan mukaiseen tietojen minimoinnin periaatteeseen, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeen suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Tuomioistuin on tässä yhteydessä myös kiinnittänyt huomiota siihen, että kun vain osa tiedoista vaikuttaa tarpeellisilta, on harkittava tietojen suojaamista koskevia lisätoimenpiteitä. (tuomio 2.3.2023, C‑268/21, Norra Stockholm Bygg, 54 ja 56 kohta)
Perustuslakivaliokunta on korostanut arkaluonteisten tietojen käsittelyn välttämättömyyden vaatimuksen ohella erityisesti käyttötarkoitussidonnaisuuden vaatimusta, esimerkiksi käsitellessään Rikosseuraamuslaitoksen henkilötietojen käsittelyä koskevia lainmuutoksia. Valiokunta on pitänyt mahdollisena tehdä käyttötarkoitussidonnaisuudesta vain täsmällisiä ja vähäisiksi luonnehdittavia poikkeuksia. Tällainen sääntely ei myöskään saa johtaa siihen, että muu kuin alkuperäiseen käyttötarkoitukseen liittyvä toiminta muodostuu rekisterin pääasialliseksi tai edes merkittäväksi käyttötavaksi (PeVL 37/2024 vp, kohta 14, ks. myös PeVL 40/2021 vp, kohta 15, sekä esim. PeVL 15/2018 vp, s. 45, PeVL 1/2018 vp, s. 4, PeVL 14/2017 vp, s. 5—6). Unionin oikeus voi myös asettaa rajoituksia henkilötietojen sallittujen käyttötarkoitusten osalta silloin, jos on kyse unionin oikeuden täytäntöönpanosta (rikosasioissa esim. C-817/19, Ligue des droits humains, tuomio (suuri jaosto) 21.6.2022, kohta 237). Rikosasioiden tietosuojalain säännökset erityisten henkilötietojen käsittelystä täyttävät perustuslain tulkintakäytännöstä johtuvat vaatimukset siltä osin kuin on kyse arkaluonteisten tietojen välttämättömyyttä koskevasta vaatimuksesta. Rikosasioiden tietosuojalaissa säädetään myös käyttötarkoitussidonnaisuuden vaatimuksesta, josta poikkeaminen edellyttäisi, että asiasta säädetään nimenomaisesti laissa. Lisäksi tietovarantolain 11 § rajoittaa oikeushallinnon viranomaisen oikeuden käyttää tietovarantoon tallentamiaan tietoja lakisääteisten tehtäviensä hoitamiseen.
Lähtökohtaisesti kaikessa rikosasioihin liittyvässä henkilötietojen käsittelyssä on kyse arkaluonteisista henkilötiedoista, ja myös syyttäjien suorittamaan henkilötietojen käsittelyyn liittyvän sääntelyn tulisi olla kokonaisuutena riittävän yksityiskohtaista ja kattavaa. Esimerkiksi esitutkintaan liittyvät tiedot ovat jo sellaisenaan valtiosääntöisesti arkaluonteisia, minkä lisäksi esitutkinta-aineisto voi sisältää yksittäisiä erityiseen henkilötietoryhmään kuuluvia tietoja tai muita arkaluonteisia tietoja. Syyttäjät käsittelevät erityisiin henkilötietoryhmiin sekä muihin arkaluonteisten tietojen ryhmiin kuuluvia henkilötietoja siinä laajuudessa kuin niitä sisältyy esitutkinta-aineistoon. Syyttäjien käsittelytarpeiden kannalta ei ole kuitenkaan mahdollista ennakoida, mitä arkaluonteisia henkilötietoja esitutkinta-aineistoon sisältyisi sen lisäksi, että kyse on rikosasiasta. Muista rikosasioista toimivaltaisten viranomaisista poiketen syyttäjien ja tuomioistuinten rikosasioiden käsittelyn osalta erityisten henkilötietoryhmien käsittelyperusteesta säädetään nimenomaisesti rikosasioiden tietosuojalaissa. Käsittelyn perusteena on 11 §:n 2 momentin 2 kohta ja käsittelyn edellytyksenä on tietojen välttämättömyys. Tuomioistuimet ja oikeusaputoimistot käsittelevät myös paitsi erityisiin henkilötietoryhmiin kuuluvia tietoja, myös muutoin arkaluonteisia tietoja osana useita asiaryhmiä, joihin liittyvä henkilötietojen käsittely kuuluu tapauskohtaisesti yleisen tietosuoja-asetuksen tai rikosasioiden tietosuojalain soveltamisalaan.
Hallituksen esityksessä ei ehdoteta sallittavaksi nykyistä laajemmin arkaluonteisten henkilötietojen käsittelyä, eikä toisaalta myöskään edellä mainittua rikosasioiden 11 §:n säännöstä täsmentäviä säännöksiä syyttäjien osalta. Ehdotetussa sääntelyssä on sen sijaan lähtökohtana se, minkälaisilla säännöksillä on mahdollista vahvistaa tietosuojaa, huomioiden tietojen arkaluonteisuuden kokonaisuutena sekä syyttäjien henkilötietojen käsittelyn vaikutukset rekisteröityjen perusoikeuksiin osana rikosprosessia.
Tietovarantolain 11 §:ään ehdotetaan kuitenkin lisättäväksi säännös, joka mahdollistaisi voimassa olevasta pykälästä poiketen sen, että oikeushallinnon viranomainen saisi salassapitosäännösten estämättä käyttää tietovarantoon tallentamiaan tietoja lakisääteisten tehtäviensä hoitamisen lisäksi myös viranomaisen valvonta-, suunnittelu- tai kehittämistehtävän hoitamiseksi sekä viranhaltijoiden oikeusturvan varmistamiseksi. Tietovarannosta haettavien tietojen alkuperäinen käsittelytarkoitus voi kuulua joko yleisen tietosuoja-asetuksen tai rikosasioiden tietosuojalain soveltamisalaan. Säännös olisi tarpeen sen huomioimiseksi, että pykälässä tarkoitetut tietovarantoon tietoja tallentavat viranomaiset olisivat ehdotettujen tietovarantolain muutosten myötä yhteisrekisterinpitäjiä Oikeusrekisterikeskuksen kanssa, ja erityisesti rekisterinpitäjän tehtävään voi liittyä valvontatarpeita tai muita välttämättömiä tarpeita käyttää tietoja niiden alkuperäisestä käyttötarkoituksesta poikkeavaan tarkoitukseen. Joissakin tilanteissa myös esimerkiksi syyttäjien oikeusturvan varmistaminen voi edellyttää sitä, että rikosasioiden käsittelyjärjestelmän kautta tietovarantoon tallennettuja tietoja haetaan esiin. Näissä tilanteissa ei ole kyse henkilötietojen käsittelemisestä niiden alkuperäiseen keräämistarkoitukseen, josta poikkeaminen erityisesti rikosasioiden tietosuojadirektiivin soveltamisalalla edellyttää laissa säätämistä. Lisäksi voimassa oleva tietovarantolain 11 § sisältää tiukan käyttötarkoitussidonnaisuuden vaatimuksen, joka voi aiheuttaa tulkintaongelmia myös yleisen tietosuoja-asetuksen soveltamisalalla siltä osin, mikä henkilötietojen käsittely olisi yhteensopivaa alkuperäisen keräämistarkoituksen kanssa, ja mikä edellyttäisi nimenomaista käsittelyn mahdollistavaa säännöstä.
Ehdotettu säännös olisi rajallinen poikkeus yleisessä tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa säädettyyn käyttötarkoitussidonnaisuuden vaatimukseen, eivätkä ehdotetut tietojen käyttötarkoitukset muodostuisi arkaluonteisia tietoja sisältävien rekisterien pääasiallisiksi käyttötarkoituksiksi. Tietoja saisi käyttää vain siltä osin kuin ne ovat välttämättömiä kyseessä olevaan tarkoitukseen. Ehdotettu poikkeus täyttäisi yleistä etua koskevan tavoitteen ja olisi välttämätön ja oikeasuhteinen yksityiselämän ja henkilötietojen suojan rajoitus.
Sääntelyn yksityiskohtaisuus ja tarkkarajaisuus
Perustuslakivaliokunta katsoi osana perustuslain 10 §:n tulkintakäytäntöön kohdistuvaa tarkistusta, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi [rikosasioiden tietosuojadirektiivi] ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp, s. 7). Rikosasioiden tietosuojalain käsittelyn yhteydessä perustuslakivaliokunta piti merkityksellisenä myös, että siltä osin kuin lakia sovelletaan Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä, on kyse tietosuoja-asetuksen ja mainitun poliisidirektiivin EU-oikeuden soveltamisalaan kiinnittyvän soveltamisalan johdosta osin kansallisesta ratkaisusta eikä ehdotetun sääntelyn taustalle ole siten kaikilta osin osoitettavissa EU-sääntelyä. Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (PeVL 27/2021 vp, s. 2, PeVL 26/2018 vp, s. 3 ja 4. Ks. myös PeVL 14/2018 vp, s. 7). Merkityksellistä perustuslakivaliokunnan mukaan tässä suhteessa on, että laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityslainsäädännöllä (PeVL 26/2018 vp, s. 4). Perustuslakivaliokunta on edelleen kiinnittänyt huomiota tarpeeseen antaa yleislakia tarkentavaa sääntelyä rikosasioiden tietosuojadirektiivin soveltamisalalla ja on tarkentanut linjauksiaan erityislakeja käsitellessään (PeVL 27/2021 vp, PeVL 51/2018 vp ja PeVL 52/2018 vp).
Perustuslakivaliokunta on toisaalta kiinnittänyt toistuvasti huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen sekä ennen tietosuojalainsäädännön uudistamista että sen jälkeen (ks. esim. PeVL 40/2021 vp, s. 4, kappale 12, PeVL 27/2021 vp, s. 2, kappale 5, PeVL 51/2018 vp, s. 5, PeVL 26/2018 vp, s. 4, PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta on muistuttanut tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 14/2018 vp, s. 7, PeVL 31/2017 vp, s. 3–4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4).
Sen välttämiseksi, että sääntely ei ole päällekkäistä rikosasioiden tietosuojalain kanssa eikä muodostu raskaaksi ja monimutkaiseksi, hallituksen esityksessä lähdetään edellä mainitusta perustuslakivaliokunnan arviosta poiketen siitä, että Syyttäjälaitoksen henkilötietojen käsittelyssä yleislaki riittäisi pääsääntöisesti. Esityksen 1. lakiehdotuksen sisältämissä säännöksissä on huomioitu se, että EU:n tietosuojauudistuksen lähtökohtana on ollut mahdollisimman yhdenmukainen tietosuojan taso riippumatta siitä, kumman säädöksen soveltamisalasta on kyse. Direktiivin tarkoituksena on myös ollut, että sen täytäntöönpanoa koskeva sääntely on yhdenmukaista riippumatta siitä, mistä toimivaltaisesta viranomaisesta on kyse. Direktiivin säännökset on pääosin pantu täytäntöön rikosasioiden tietosuojalaissa, joka koskee samalla tavalla kaikkia sen soveltamisalaan kuuluvia toimivaltaisia viranomaisia. Vaikka direktiivi on erikseen täytäntöönpantava säädös, sen sisältö on pitkälti tietosuoja-asetusta vastaava. Tämä koskee erityisesti lain säännöksiä henkilötietojen käsittelyn yleisistä periaatteista, käsittelyn tietoturvallisuudesta, rekisteröidyn oikeuksista ja valvonnasta. Myös vaatimukset, jotka koskevat henkilötietojen siirtoja kolmansiin maihin ja kansainvälisille järjestöille, ovat pääosin vastaavan sisältöiset. Toisaalta rikosasioiden tietosuojadirektiivissä on huomioitu esimerkiksi käyttötarkoitussidonnaisuuden vaatimus tietosuoja-asetusta tarkemmin. Rikosasioiden tietosuojadirektiivissä on lisäksi huomioitu esitutkintaan ja rikosprosessiin liittyvät tarpeet rajoittaa rekisteröidyn oikeuksia sen mukaisesti, mistä prosessin vaiheesta on kysymys.
Direktiivi ei estä jäsenvaltioita säätämästä suojatoimista, jotka ylittävät direktiivissä vahvistetut suojatoimet rekisteröidyn oikeuksien ja vapauksien suojelemiseksi toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä. Hallituksen esityksessä muodostetun arvion mukaan vahvemman suojan ja sen myötä rikosasioiden tietosuojalakia täydentävien säännösten tarve liittyy erityisesti sellaisiin tilanteisiin, joissa rekisteröidyn henkilötietojen käsittelystä aiheutuu rikosprosessin yhteydessä tavanomaisesta korkeampia riskejä yksityiselämän suojalle tai rekisteröidyn henkilökohtaiselle turvallisuudelle.
Esimerkiksi yksityiskohtaiset rikosasiassa käsiteltäviä henkilötietoja koskevat luettelot, kuten rekisterisäännökset, eivät Syyttäjälaitoksen osalta vahvistaisi tietosuojaa eivätkä edistäisi yhtenäistä tietosuojan tasoa, vaan voisivat pikemminkin kannustaa direktiivin vaatimusten kanssa ristiriidassa olevaan käsittelyyn. Yksityiskohtainen rekisterin tietosisältö voisi tehdä vaikeaksi esimerkiksi henkilötietojen käsittelyn minimointivaatimuksen noudattamisen. Rekisteröidyn oikeuksia ja käsittelyn läpinäkyvyyttä voidaan riittävästi turvata yksityiskohtaisilla tietosuoja- tai rekisteriselosteilla. Hallituksen esityksessä katsotaan, että henkilötietoja suojaavat pääosin riittävästi rikosasioiden tietosuojalain säännökset. Syyttäjien käsittelemissä rikosasioissa olisi lain 2 luvussa säädettyjen henkilötietojen käsittelyn periaatteiden mukaisesti aina varmistuttava siitä, että käsiteltävät henkilötiedot liittyvät kyseessä olevaan rikosasiaan ja ovat merkityksellisiä sen kannalta, ja täyttävät siten myös arkaluonteisten tietojen käsittelyä koskevat välttämättömyyttä ja oikeasuhteisuutta koskevat vaatimukset.
Hallituksen esityksessä muodostetun arvion mukaan yksityiskohtaisemmat säännökset ovat perusteltuja rekisteröinnin ja siihen liittyvien suojatoimien osalta, jäljempänä olevien tarkempien perustelujen mukaisesti. Rikosasioiden tietosuojalain voimassa olevien säännösten ja ehdotettujen Syyttäjälaitoksesta annetun lain muutosten arvioidaan kokonaisuutena olevan riittävän yksityiskohtaisia ja kattavia, huomioiden tarpeen vahvistaa rekisteröidyn tietosuojaa. Edellä todetun valossa kokonaisuuden arvioidaan täyttävän perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan vaatimukset, sekä julkisen vallan käyttöön liittyvän lakiperusteisuuden ja täsmällisyyden vaatimukset.
Perustuslakivaliokunnan lausuntoa pidetään kuitenkin suotavana sen perusteella, mitä perustuslakivaliokunta on aiemmin lausunut sääntelyn yksityiskohtaisuudesta perusoikeusherkässä sääntelykontekstissa. Ehdotetut säännökset poikkeavat yksityiskohtaisuuden ja kattavuuden osalta valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneesta käytännöstä.
Perustuslakivaliokunnan linjaus olisi erityisesti suotava siitä, että myös rikosasioiden tietosuojalaki muodostaa yleistä tietosuoja-asetusta vastaavasti (PeVL 14/2018 vp, s. 4 ja 5) yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta, ja että direktiivin täytäntöönpanosäännöksiä yksityiskohtaisempi sääntely olisi perusteltua lähinnä niissä tapauksissa, joissa käsittelystä aiheutuu tavanomaista korkeampi riski luonnollisen henkilön oikeuksille ja vapauksille. Huomioiden perusoikeusherkän sääntelykontekstin, tällaisten säännösten tavoitteena tulisi jäsenvaltioille annetun liikkumavaran mukaisesti olla direktiivin vaatimukset ylittävä tietosuojan taso rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.
Rikosasian rekisteröinti ja rekisteröintiin liittyvät suojatoimet
Hallituksen esityksessä ehdotetaan säännöksiä rekisteröinnistä ja siihen liittyvistä suojatoimista, joissa huomioidaan se, että rikosasioiden tietosuojalaista poikkeavissa säännöksissä on käytännössä säilytettävä vähintään rikosasioiden tietosuojalain mukainen tietosuojan taso tai tarvittaessa voidaan säätää yleislakia tiukemmista henkilötietojen käsittelyä koskevista vaatimuksista.
Kuten edellä todetaan, liikkumavaraa käytettäessä on huomioitava perus- ja ihmisoikeuksista seuraavat vaatimukset. Euroopan ihmisoikeustuomioistuin on kiinnittänyt henkilötietojen suojaa koskevassa oikeuskäytännössään huomiota siihen, että jo pelkkä henkilön yksityiselämään liittyvien tietojen rekisteröinti tarkoittaa puuttumista 8 artiklassa tarkoitetun yksityiselämän suojaan, eikä sillä, mihin tarkoitukseen rekisteröityjä henkilötietoja myöhemmin käytetään, ole tämän arvion kannalta merkitystä (M.M. v. Yhdistynyt kuningaskunta, tuomio 13.11.2012, § 187; Leander v. Ruotsi, tuomio 26.3.1987, § 48; Amann v. Sveitsi, suuren jaoston tuomio 16.2.2002, § 69). Sen arvioinnissa, ovatko viranomaisen käsittelemät henkilötiedot merkityksellisiä yksityiselämän suojan kannalta, tuomioistuin on antanut merkitystä erityiselle asiayhteydelle, johon liittyen henkilötietoja on rekisteröity ja säilytetty, rekisterin luonteelle ja käyttötarkoitukselle sekä käsittelyn seurauksille (esim. M.M. v. Yhdistynyt kuningaskunta, tuomio 13.11.2012, §§ 187–190; Peck v. Yhdistynyt kuningaskunta, tuomio 28.1.2003, § 59). Esimerkiksi rikosrekisteritietojen sekä telekuuntelun, tarkkailun ja salaisten tiedonhankintakeinojen osalta tuomioistuin on pitänyt oleellisena, että lainsäädäntö on ennakoitavaa ja riittävän selkeää ja yksityiskohtaista soveltamisalaltaan ja että se sisältää asianmukaiset ja riittävät suojan takeet muun muassa rekisteröinnin, säilytysaikojen, käytön, tietoon pääsyyn oikeutettujen ja salassapidon osalta (M.M. v. Yhdistynyt kuningaskunta, tuomio 13.11.2012, § 195, S. ja Marper v. Yhdistynyt Kuningaskunta, tuomio 4.12.2008, §§ 95 ja 99, ja siinä viitatut tuomiot). Ihmisoikeustuomioistuimen edellä mainitussa oikeuskäytännössä kyseessä olleet tiedot myös rinnastuvat perustuslakivaliokunnan tulkintakäytännössä tarkoitettuihin arkaluonteisiin tietoihin (esim. PeVL 36/2021 vp, s. 3–4).
Rikosasioiden tietosuojalain 2 §:n 1 momentin mukaan, ”jos muussa laissa on tästä laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta”. Rikosasioiden tietosuojalaki jättää myös eräitä yksityiskohtia säädettäväksi tarkemmin muualla laissa. Huomioiden direktiivin vaatimukset sekä Euroopan ihmisoikeustuomioistuimen oikeuskäytännöstä ilmenevät näkökohdat, erityislainsäädännössä olisi mahdollista säätää yksityiskohtaisemmin esimerkiksi henkilötietojen rekisteröinnistä, tietojen luovuttamisesta muuhun kuin alkuperäiseen käyttötarkoitukseen ja erityisten henkilötietoryhmien tai muutoin arkaluonteisina pidettävien henkilötietojen käsittelystä. Perustuslakivaliokunta on aiemmin edellyttänyt, että arkaluonteisten tietojen osalta sallitut tietosisällöt ilmenevät säännöksestä tyhjentävästi. (ks. PeVL 18/2012 vp, s. 3/II, PeVL 51/2002 vp, s. 2/II)
Edellä nykytilan arvioinnissa todetaan, että rikosasioihin liittyvät henkilötiedot sisältyvät pääosin samaan rikosasioita varten osoitettuun käsittelyjärjestelmään tai tietovarantoon. Lisäksi Syyttäjälaitoksen suorittaman henkilötietojen käsittelyn osalta ei ole mahdollista ennakoida, mitä henkilötietoja syyttäjän käsiteltäväksi tulevaan rikosasiaan tai esitutkinta-aineistoon sisältyy. Siten yksityiskohtaisesta rekisteristä tai rekisterin tietosisällöstä säätäminen ei olisi tarkoituksenmukaista, eikä sillä olisi erityistä henkilötietojen suojaa vahvistavaa vaikutusta. Nykytilan arvioinnista ilmenee lisäksi, että rikosasioiden tietosuojalaista seuraa useita suojatoimia koskevia vaatimuksia. Rikosasioihin liittyvien henkilötietojen arkaluonteisuus ja käyttötarkoitussidonnaisuus on lisäksi tietosuoja-asetuksesta poiketen huomioitu vaatimuksilla, jotka koskevat eri rekisteröityjen ryhmiä koskevien henkilötietojen säilyttämistä toisistaan erillään sekä lokitietoja.
Rikosasian osapuolten perusoikeuksien rajoittaminen, mukaan lukien yksityiselämän ja henkilötietojen suoja, tapahtuu jo sillä hetkellä, kun esitutkintaviranomainen rekisteröi sen omaan tietojärjestelmäänsä. Perusoikeuksien rajoittamisen merkittävyyden arvioinnin kannalta merkitystä on sillä, missä vaiheessa esimerkiksi rikoksesta epäilty saa tiedon itseensä kohdistuvasta epäilystä. Euroopan ihmisoikeustuomioistuin on vakiintuneesti katsonut, että rikosprosessi alkaa sillä hetkellä, kun rikoksesta epäilty saa virallisesti tai muutoin tiedon asiasta (esim. edellä mainittu M.M. v. Yhdistynyt kuningaskunta -tuomio). Tässä vaiheessa vasta konkretisoituvat oikeudenmukaisen oikeudenkäynnin takeet. Rekisteröidyn oikeuksien kannalta pitkälle menevinä rajoitustoimina voidaan pitää erityisesti sellaisia tilanteita, joissa rekisteröidyn tarkastusoikeutta on rajoitettu, mutta rekisteröity ei ole tietoinen siitä, että häntä koskeva asia on rekisteröity toimivaltaisen viranomaisen toimesta. Tämä voi esitutkintaviranomaisia koskevan lainsäädännön perusteella koskea myös muita rekisteröityjä rikosasian osapuolia kuin rikoksesta epäiltyjä. Esimerkiksi poliisia koskevan lainsäädännön nojalla rikollisuuteen liittyvien tietojen käsittely voi jatkua pitkäänkin ilman, että rikokseen liittyvät henkilöt saavat tiedon henkilötietojensa rekisteröinnistä. Syyttäjien tehtäviin ei liity tällaisia tilanteita.
Huomioiden ne vaikutukset yksityiselämän suojaan ja muiden perus- ja ihmisoikeuksien suojaan, joita rikosasian rekisteröinnillä on rekisteröityihin, Syyttäjälaitoksesta annettuun lakiin ehdotetaan lisättäväksi rekisterin tietosisällön sijasta tiedonhallintalakia yksityiskohtaisemmat asian rekisteröintiin liittyvät vaatimukset. Erityisesti edellytettäisiin, että rikosasia on rekisteröitävä nimenomaisesti tiettyyn, rikosasioiden käsittelyyn varattuun käsittelyjärjestelmään. Tällä varmistettaisiin, että asioita ei rekisteröitäisi mahdollisesti eri tavalla yksikkökohtaisesti. Lisäksi edellytettäisiin, että rekisteröinnin yhteydessä huolehdittaisiin tarvittavista salausmerkinnöistä. Niissä tilanteissa, joissa syyttäjien olisi välttämätöntä käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, rekisteröinnin yhteydessä olisi lisäksi huolehdittava asianmukaisista teknisistä suojatoimista.
Todistajansuojeluohjelmaan kuuluvien todistajien ja tietolähteiden henkilötietojen käsittelylle ehdotetaan asetettavaksi rikosasioiden tietosuojalakia tiukempia vaatimuksia, jotka koskevat eri rekisteröityjen ryhmiä koskevien tietojen säilyttämistä toisistaan erillään mahdollisuuksien mukaan. Todistajansuojeluohjelmaan kuuluvia henkilöitä koskevat tiedot olisi ehdotuksen mukaisesti aina säilytettävä erillään muita rekisteröityjen ryhmiä koskevista tiedoista ja suojattava asianmukaisilla teknisillä toimenpiteillä. Poliisin, Rajavartiolaitoksen ja Tullin tietolähteitä koskevien tietojen osalta edellytettäisiin nimenomaisella säännöksellä, että tietoa ei saa rekisteröidä rikosasioiden käsittelyjärjestelmään, johon muut rikosasioita koskevat tiedot pääsääntöisesti tallennettaisiin. Näiden suojatoimien tarkoituksena on huomioida se, että todistajiin ja tietolähteisiin voi kohdistua kohonneita riskejä henkilökohtaiselle turvallisuudelle, uhkailua ja jopa väkivaltaa.
Perustuslakivaliokunta on säilyttänyt rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvan henkilötietojen käsittelyn osalta valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen tulkinnan (erityisesti edellä mainitut PeVL 14/2018 vp ja PeVL 26/2018 vp). Edellä todetun valossa ehdotetun rekisteröintivelvoitteen ja siihen liittyvien suojatoimien arvioidaan täyttävän perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan vaatimukset paremmin kuin kattavat rekisterin tietosisältöä koskevat säännökset. Perustuslakivaliokunnan lausuntoa pidetään kuitenkin suotavana sen perusteella, mitä perustuslakivaliokunta on aiemmin lausunut sääntelyn yksityiskohtaisuudesta perusoikeusherkässä sääntelykontekstissa.
Rikosasiaan liittyvien tietojen säilytysaika
Hallituksen esityksessä ehdotetaan lisättäväksi Syyttäjälaitoksesta annettuun lakiin säännökset rikosasiaan liittyvien henkilötietojen poistamisesta rikosasioiden käsittelyjärjestelmästä. Rikosasiaa koskevat tiedot poistettaisiin rikosasioiden käsittelyjärjestelmästä viimeistään kymmenen vuoden kuluttua siitä, kun asia on ratkaistu. Rikosasioiden tietosuojalaissa säädetään yleisesti sovellettavasta vaatimuksesta, jonka mukaan henkilötietoja säilytetään vain niin kauan kuin on tarpeen käsittelyn tarkoituksen kannalta. Tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä. Ehdotetuilla poistoajoilla käytettäisiin rikosasioiden tietosuojadirektiivin 5 artiklan mukaista liikkumavaraa ja poikettaisiin rikosasioiden tietosuojalain säännöksistä säätämällä tarkemmin rikosasioita koskevien tietojen säilytysajasta.
Perustuslakivaliokunta on vakiintuneesti katsonut, että tietojen pysyvä säilyttäminen ei ole henkilötietojen suojan mukaista, ellei siihen ole tietojärjestelmän luonteeseen tai tarkoitukseen liittyviä perusteita (ks. esim. PeVL 27/2021 vp, kappale 20, PeVL 18/2016 vp, s. 2, PeVL 54/2010 vp, PeVL 3/2009 vp). Tietojen pysyvä säilyttäminen on katsottu perustelluksi esimerkiksi silloin, kun tiedot ovat osin muuttumattomia tai hitaasti muuttuvia eikä niitä päivitetä pelkän ajan kulumisen vuoksi ja niiden pysyvä säilyttäminen on tarpeellista tehtävien hoitamiseksi (PeVL 54/2010 vp). Valiokunta on toisaalta pitänyt viiden vuoden säilytysaikaa arkaluonteisten tietojen osalta pitkänä (PeVL 13/2017 vp, s. 6) ja korostanut, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp, s. 7). Valiokunta on yleisemminkin painottanut erityisesti arkaluonteisten tietojen säilytysajan rajaamista siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu (ks. esim. PeVL 13/2017 vp, s. 6).
Esitutkinta-aineiston käsittelyyn tarvittava aika Syyttäjälaitoksessa on lyhyt verrattuna esitutkintaviranomaisia koskeviin tietojen säilytysaikoihin. Ehdotettu säilytysaika olisi riittävä Syyttäjälaitoksen tehtävien hoitamisen kannalta, ja olisi yhdenmukainen valtakunnallista tietovarantoa koskevan säilytysajan kanssa. Tietoja ei kuitenkaan poistettaisi käsittelyjärjestelmästä ennen asian ratkaisemista tai syyteoikeuden vanhenemista rikosprosessin osapuolten oikeusturvan huomioimiseksi. Ehdotetuilla säännöksillä huomioitaisiin henkilötietojen käsittelyä koskevan minimointiperiaatteen mukaisesti se, että rikosasiaan liittyviä tietoja säilytettäisiin käsittelyjärjestelmässä ainoastaan niin kauan kuin tiedot ovat tarpeen syyttäjän tehtävien hoitamiseksi. Samalla varmistettaisiin se, että tiedot ovat tarvittaessa käytettävissä myös Syyttäjälaitoksen sisäisen laillisuusvalvonnan tarpeisiin tai syyttäjän oikeusturvan varmistamiseen. Huomioiden rikosasioihin liittyvien henkilötietojen arkaluonteisuuden, tietojen poistamista koskeva säännös toimisi samalla suojatoimena rekisteröidyn oikeuksien vahvistamiseksi. Toisaalta kymmenen vuoden säilytysaika on pitkä suhteessa perustuslakivaliokunnan linjauksiin, ja ilman käyttötarkoituksiin perustuvaa erottelua voisi joissakin tapauksissa heikentää rikosasioiden direktiivin mukaista tietosuojan tasoa, mahdollistaen jopa merkittävästi pidemmän tietojen säilyttämisen senkin jälkeen, kun syyttäjän käsiteltävänä oleva asia on ratkaistu eikä tietoja enää tarvita syyttäjän tehtävän hoitamiseen. Ehdotettu säilytysaika on kuitenkin arvioitu välttämättömäksi edellä mainittujen tarkoitusten kannalta, huomioiden myös virkarikoksille rikoslaissa säädetyt vanhenemisajat. Lisäksi ehdotetussa säilytysajassa on huomioitu oikeushallinnon valtakunnallisen tietovarannon luonne ja laajat käyttötarkoitukset. Samalla ehdotettu säilytysaikaa koskeva säännös huomioisi direktiivin edellyttämän tietosuojan tason rikosasioiden tietosuojalain mukaisia velvoitteita paremmin.
Edellä mainitun lainmuutoksen myötä arkaluonteisten tietojen säilytysaika rikosasioiden käsittelyjärjestelmässä rajattaisiin perustuslaista johtuvien vaatimusten mukaisesti siihen, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on tallennettu rikosasioiden käsittelyjärjestelmään.
Tietojen luovuttamisen rajoittaminen ja julkisuusperiaate
Rikosasiaan liittyvien luonnollisten henkilöiden yhteystietojen luovuttamista rikosasioiden käsittelyjärjestelmästä ehdotetaan rajoitettavaksi. Ehdotetun säännöksen tarkoituksena on vahvistaa näiden henkilöiden yksityiselämän suojaa ja turvallisuutta sen huomioimiseksi, että rikosprosessin osapuoliin kohdistuva uhkailu ja kostotoimet ovat yleistyneet. Ehdotettu tietojen luovuttamista koskeva rajoitus ei vaikuttaisi rikosasiaan liittyvien asiakirjojen ja muiden tietojen julkisuuteen tai salassapitoon, jotka määräytyisivät nykytilaa vastaavasti julkisuuslain säännösten mukaisesti.
Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Perustuslain 12 §:n 2 momentissa asiakirjajulkisuudesta säädetty merkitsee, että asiakirjojen julkisuutta voidaan rajoittaa perustuslain mukaan ainoastaan lailla ja vain, milloin siihen on välttämättömiä syitä. Kysymys ei perustuslakivaliokunnan mukaan siten ole siitä, että perustuslaissa esimerkiksi jätettäisiin kyseisen oikeuden sisältö lailla määriteltäväksi, vaan lainsäätäjän toimivaltaan kuuluu pelkästään sellaisten julkisuuden rajoitusten asettaminen, joita voidaan pitää perustuslaissa tarkoitetulla tavalla välttämättöminä (PeVL 43/1998 vp, s. 3/I).
Perustuslakivaliokunta on käytännössään kiinnittänyt erityistä huomiota perustuslain 12 §:n 2 momentissa turvatun asiakirjajulkisuuden suhteeseen yksityiselämän ja henkilötietojen suojaan, ja on korostanut näiden välistä tasapainoa (esim. PeVL 43/1998 vp, s. 2/II ja PeVL 60/2017 vp, s. 3; ks. myös PeVL 22/2008 vp, s. 4/I). Valiokunta on katsonut, että esimerkiksi arkaluonteisten tietojen salassapitoa voidaan pitää välttämättömänä perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojaamiseksi (PeVL 39/2009 vp, s. 2/I). Tällainen toisen perusoikeuden edistäminen on muodostanut sellaisen välttämättömän syyn, jonka vuoksi viranomaisen hallussa olevien asiakirjojen julkisuutta on ollut mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa (PeVL 2/2008 vp, s. 2, PeVL 40/2005 vp, s. 2/II).
Myös Euroopan unionin tuomioistuin on ottanut oikeuskäytännössään kantaa yleisen tiedonsaantioikeuden ja yksityiselämän suojan väliseen suhteeseen rikosasioiden kontekstissa. Tuomioistuin on katsonut, että rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimenpiteisiin liittyvien tietojen käsittely voi kyseisten tietojen erityisen arkaluontoisuuden vuoksi merkitä erityisen vakavaa puuttumista yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, jotka on taattu perusoikeuskirjan 7 ja 8 artiklassa. Vaikka virallisten asiakirjojen julkisuus on yleinen etu, joka voi oikeuttaa mainitunlaisiin asiakirjoihin sisältyvien henkilötietojen luovuttamisen, mainittu julkisuus on kuitenkin sovitettava yhteen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevien perusoikeuksien kanssa. Tuomioistuin on rikosasioiden kontekstissa pitänyt 7 ja 8 artiklan mukaisia oikeuksia tärkeämpinä kuin virallisten asiakirjojen julkisuutta koskeva etu, kun otetaan huomioon muun muassa rikostuomioihin liittyvien tietojen arkaluontoisuus ja sen rekisteröityjen yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin puuttumisen vakavuus (tuomio 7.3.2024, C-740/22, Endemol Shine Finland Oy, 54 ja 55 kohta; ks. vastaavasti tuomio 22.6.2021, C‑439/19, Latvijas Republikas Saeima (Liikennerikkomuspisteet), 74, 75, 112 ja 120 kohta).
Julkisuusperiaatteella on läheinen yhteys sananvapauteen. Siten julkisuusperiaatteen toteutumisen kaventumisella voisi olla vaikutuksia myös sananvapauden käyttämiseen. Perustuslakivaliokunta on suhtautunut pidättyvästi siihen, että viranomaisten toiminnan julkisuudesta annettua lakia ja sen yksityiselämää suojaa koskevien salassapitoperusteiden täydennetään julkisuuden rajoituksilla silloin, kun sille ei ole osoitettavissa perustuslain 12 §:n 2 momentissa edellytetyllä tavalla välttämätöntä syytä (esim. PeVL 101/2022 vp). Asian arvioinnin kannalta merkitystä on myös ehdotetun salassapidon laajuudella, vaikka sille olisi sinänsä esitetty hyväksyttäviä syitä (esim. PeVL 7/2019 vp, s. 14). Euroopan unionin tuomioistuin on kuitenkin katsonut rikostuomioiden osalta, että yleisen tietosuoja-asetuksen 85 artiklassa tarkoitettua oikeutta tiedonvälityksen vapauteen ei voida tulkita niin, että se oikeuttaa rikostuomioihin liittyvien henkilötietojen luovuttamisen jokaiselle, joka sitä pyytää (Endemol Shine Finland Oy -tuomion 56 kohta, ks. vastaavasti Liikennerikkomuspisteet-tuomion 121 kohta).
Julkisuuslain 24 §:n 31 kohdassa on säädetty salassa pidettäviksi asiakirjat, jotka sisältävät tiedon henkilön ilmoittamasta salaisesta puhelinnumerosta tai tiedon matkaviestimen sijaintipaikasta, samoin kuin asiakirjat, jotka sisältävät tiedon henkilön kotikunnasta ja hänen siellä olevasta asuinpaikastaan tai tilapäisestä asuinpaikastaan samoin kuin puhelinnumerosta ja muista yhteystiedoista, jos henkilö on pyytänyt tiedon salassapitoa ja hänellä on perusteltu syy epäillä itsensä tai perheensä terveyden tai turvallisuuden tulevan uhatuksi. Esityksessä ei ehdoteta kyseessä olevia julkisuuslain säännöksiä täydentäviä salassapitosäännöksiä, vaan tietojen luovuttamisen rajoittamista koskevaa säännöstä, joka ei kaventaisi asiakirjojen julkisuutta. Yhteystiedot eivät myöskään tulostu rikosasioiden käsittelyjärjestelmässä siinä luotuihin asiakirjoihin. Ehdotetut säännökset yhteystietojen luovuttamisen rajoittamisesta tarkoittaisivat käytännössä, että yhteystietoja ei pääsääntöisesti luovutettaisi rikosasioiden käsittelyjärjestelmästä silloinkaan, kun henkilö ei ole itse pyytänyt yhteystietojensa salassapitoa. Rajoituksesta huolimatta yhteystiedot voitaisiin luovuttaa syyttäjän tai muun viranomaisen lakisääteisen tehtävän hoitamiseksi.
Perustuslakivaliokunta on aiemmin ottanut kantaa yhteystietojen rajoittamista koskevaan ehdotukseen käsitellessään esitystä laiksi sidonnaisuus- ja sivutoimirekisteristä sekä siihen liittyviksi laeiksi (PeVL 101/2022 vp, kohta 21 ja 22), jossa ehdotettuja julkisuuden lisärajoituksia perustuslakivaliokunta ei pitänyt välttämättöminä. Toisin kuin kyseisessä asiassa, ehdotetussa säännöksessä ei olisi kyse asuinpaikan välillisesti ilmaisevista tiedoista, vaan erityisesti asuinpaikan suoraan ilmaisevasta tiedosta. Lisäksi säännöksellä suojattaisiin muita yhteystietoja, jotka mahdollistavat esimerkiksi tietoverkossa tapahtuvan häirinnän ja uhkailun. Ensisijaisena tarkoituksena olisi suojata uhkailun tai häirinnän kohteena olleen tai sellaisen kohteeksi mahdollisesti joutuvan rikosprosessin osapuolia terveyteen ja turvallisuuteen kohdistuvilta riskeiltä, joita ei kaikissa tapauksissa ole mahdollista arvioida ennakkoon. Samalla säännöksellä vahvistettaisiin yksityiselämän suojaa arkaluonteisessa rikosasiassa. Erityisesti väkivaltarikosten uhriksi joutuneet voivat olla usein haavoittuvassa asemassa.
Merkityksellistä on, että rikosasioiden käsittelyjärjestelmän koko tietosisältö on valtiosääntöisesti arkaluonteinen. Lisäksi se voi sisältää joissakin tapauksissa myös tietosuojalainsäädännön tarkoittamia erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, joiden salassapito määräytyy erikseen julkisuuslain nojalla. Julkisuuslain 24 §:n 1 momentin 31 kohdan säännökset eivät suojaa rikoksen asianosaisten yhteystietoja, joita ei ole pyydetty salassa pidettäviksi. Ehdotetun yhteystietojen luovuttamista koskevan rajoituksen tavoitteena olisi erityisesti rajata riskejä asianosaisten turvallisuudelle sellaisissa rikosasioissa, joissa heihin voi kohdistua uhkaa, jota ei ole pystytty ennakoimaan, eikä asianosaisen asuinpaikka ole vielä uhkailijan tiedossa. Asianosaisiin ja todistajiin kohdistuva uhkailu on lisääntynyt viime vuosien aikana. Rikollisuuden muuttuneen luonteen ja lisääntyneen uhkailun huomioiden rikosprosessin intressien suojaamisen kannalta ei olisi riittävää pelkästään rikoksen uhrin yhteystietojen suojaaminen, koska uhkailua ja kostotoimia voi kohdistua myös rikoksen todistajiin ja rikoksesta epäiltyihin. Tällä puolestaan voi olla todistamishalukkuutta alentavaa vaikutusta.
Ehdotettu yhteystietojen luovuttamisen rajoittamista koskeva säännös rajattaisiin koskemaan niitä tietoja, joiden suojaaminen on välttämätöntä rikosprosessin osapuolten turvallisuuden varmistamiseksi. Ehdotetut säännökset eivät vaikuttaisi rikosasioita koskevien asiakirjojen ja muiden tietojen julkisuuteen ja salassapitoon, jotka määräytyisivät nykytilaa vastaavasti julkisuuslain mukaisesti. Henkilötunnusta suojattaisiin tietosuojan yleislainsäädännön mukaisesti. Ehdotuksella ei kavennettaisi rikosprosessin osapuolten oikeutta saada sellaisia tietoja, joilla olisi vaikutusta oikeudenmukaisen oikeudenkäynnin toteutumiseen. Ehdotuksella ei olisi myöskään rikosasiaan kohdistuvaa tiedonsaantioikeutta tai sananvapautta kaventavaa vaikutusta.
Ehdotettu yhteystietojen luovuttamisen rajoittamista koskeva säännös täyttäisi edellä todettu huomioiden perustuslain 12 §:n 2 momentin rajoittamiselle asetetun hyväksyttävän syyn ja välttämättömyyden edellytykset.
Rekisterinpitäjän täsmentäminen ja yhteisrekisterinpito
Esityksen 1. lakiehdotuksessa täsmennettäisiin Syyttäjälaitoksen rekisterinpitovastuu siltä osin kuin on kyse syyttäjän vastuulla olevasta rikosasian käsittelystä, mukaan lukien syyteharkinta. Lisäksi esityksen 2. lakiehdotuksen 7 §:ssä ehdotetaan säädettäväksi usean viranomaisen välisestä yhteisrekisterinpidosta, joka koskisi oikeushallinnon valtakunnalliseen tietovarantoon tallennettavia henkilötietoja.
Perustuslakivaliokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti (PeVL 21/2001 vp, s. 4/I) tai muuten täsmällisesti (PeVL 47/2001 vp, s. 3/II) tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat (PeVL 45/2001 vp, s. 5/I) samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (PeVL 7/2001 vp, s. 4/II; ks. myös PeVL 11/2002 vp, s. 6, PeVL 52/2001 vp, s. 5, PeVL 47/2002 vp, s. 4—5, PeVL 65/2002 vp, s. 4/II). Lisäksi perustuslakivaliokunta on yhteisrekisterinpidon osalta aiemmin kiinnittänyt huomiota siihen, että yhteisrekisterinpitoa koskevan sääntelyn suhde viranomaisten toimivaltuuksien ja tiedonsaantioikeuksien lakiperustaisuuteen, henkilötietojen käsittelyn käyttötarkoitussidonnaisuuteen ja perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä liittyvään vakiintuneeseen käytäntöön tulisi olla perustuslain 10 §:n näkökulmasta riittävän selvä (PeVL 7/2019 vp, s. 7). Perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen ja perustuslain 2 §:n 3 momentissa säädetyn julkisen vallan käytön lakiperustaisuuden vaatimuksen johdosta yhteisrekisterinpitäjyyttä koskevasta sääntelystä olisi selkeästi käytävä ilmi tiedon luovuttamiseen toimivaltainen viranomainen (ks. PeVL 7/2019 vp, s. 6).
Ehdotettu tietovarantolain 7 §, jossa säädettäisiin yhteisrekisterinpidosta, perustuu rikosasioissa toimivaltaisten viranomaisten osalta rikosasioiden tietosuojalain 16 §:ään. Huomioiden sen, että tietovarantolain säännökset koskevat myös muita kuin rikosasioissa toimivaltaisia viranomaisia, pykälässä samalla käytettäisiin yleisen tietosuoja-asetuksen antamaa mahdollisuutta täsmentää rekisterinpitäjät laissa. Rikosasioiden tietosuojalain 16 §:n 1 momentin ja yleisen tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisesti yhteisrekisterinpitäjien tulisi sopia keskinäisestä vastuunjaostaan, jollei vastuunjaosta ole säädetty laissa. Vaikka säännökset jättävät kansallista liikkumavaraa sen osalta, täsmennetäänkö yhteisrekisterinpitäjien vastuualueet laissa, julkisen vallan käytön lakiperustaisuuden vaatimuksen huomioimiseksi rekisterinpitäjien tietosuojaan liittyvät vastuut ja velvollisuudet olisi tarpeen määrittää laissa pääpiirteittäin. Ehdotetussa yhteisrekisterinpitoa koskevassa sääntelyratkaisussa on huomioitu edellä mainitut perustuslaista johtuvat vaatimukset.
Ehdotuksilla huomioitaisiin ensinnäkin perustuslain 2 §:n 3 momentin mukainen vaatimus siitä, että julkisen vallan käytön tulee perustua lakiin. Voimassa olevat tietovarantolain säännökset eivät myöskään vastaa kaikilta osin tosiasiallista rekisterinpitotilannetta, ja ne aiheuttavat virkavastuun kohdentumisen epätarkoituksenmukaisella tavalla. Erityisesti rekisterinpitovastuu ehdotetaan perustettavaksi siihen, miltä osin viranomaiset osallistuvat henkilötietojen käsittelyn tarkoitusten ja keinojen määrittämiseen lakisääteisten tehtäviensä hoitamiseksi. Sillä, että kaikki tietovarantoon kuuluvien järjestelmien rekisterinpitäjät ilmenevät nykytilasta poiketen nimenomaisesti laissa, huomioitaisiin nykyistä paremmin vaatimus lain täsmällisyydestä ja tarkkuudesta, huomioiden erityisen tarpeen varmistaa sääntelyn selkeys ja läpinäkyvyys rekisteröityjen perusoikeuksien suojaamiseksi. Tästä huolimatta rekisterinpitovastuut täsmennettäisiin laissa yleisluontoisesti, ja rekisterinpitäjät voisivat sopia tehtävien jakamisesta tarkemmin tietosuojalainsäädännön mukaisesti. Syyttäjälaitoksesta annetun lain täydentämisellä rekisterinpitovastuuta koskevilla säännöksillä huomioitaisiin kuitenkin lisäksi se, että syyttäjät käsittelevät henkilötietoja perusoikeusherkässä kontekstissa. Esityksen 1. lakiehdotuksen säännökset olisivat tästä syystä yksityiskohtaisemmat kuin tietovarantolakiin ehdotetut säännökset.
Voimassa olevan tietovarantolain 14 §:n mukaisesti tietojen luovuttamisesta valtakunnallisesta tietovarannosta päättää Oikeusrekisterikeskus. Tämä vastaa perustuslakivaliokunnan linjausta siitä, että yhteisrekisterinpidosta säädettäessä tiedon luovuttamiseen toimivaltaisen viranomaisen tulee ilmetä selvästi laista. Tietojen luovuttamisen osalta toimivaltaista viranomaista ei valtakunnallisen tietovarannon osalta ehdoteta muutettavaksi. Voimassa olevaa 14 §:n 1 momenttia ehdotetaan kuitenkin täydennettäväksi erityisesti julkisuussääntelyyn perustuvien velvoitteiden huomioimiseksi. Tietovarantolaissa säädetään tuomioistuinten ratkaisuja koskevien tietojen keskitetystä luovuttamisesta. Lain säännökset voivat kuitenkin aiheuttaa tulkintaepäselvyyttä ja heikentää joissakin tapauksissa julkisuusperiaatteen toteutumista muiden viranomaisten osalta. Voimassa oleva 14 §:n 1 momentti on myös ristiriidassa sen kanssa, että lähtökohtaisesti jokainen viranomainen käsittelee tietopyynnön, joka koskee sen hallussa olevia tietoja, erityisesti kun kyse on sen omaan asiainhallintajärjestelmään tai ratkaisuihin sisältyvistä tiedoista. Viranomaisen tulisi voida luovuttaa tiedot julkisilta osin tai salassa pidettävien tietojen osalta siihen oikeuttavan lain säännöksen nojalla. Voimassa oleva momentti voi siten olla ristiriidassa myös sellaisten muun lainsäädännön säännösten kanssa, joissa on kyse viranomaisen oikeudesta luovuttaa tietoja salassapitosäännösten estämättä. Ehdotetussa 14 §:n 1 momentin täydennyksessä olisi käytännössä kyse samalla sellaisten henkilötietojen luovuttamisesta, jotka olisivat 7 §:n 2 momentin mukaisesti yksittäisen oikeushallinnon viranomaisen omalla rekisterinpitovastuulla. Ehdotetulla momentin täsmentämisellä selvennettäisiin tietovarantolain säännösten suhdetta julkisuussääntelyyn.
Ehdotetut Syyttäjälaitoksen suorittamaa henkilötietojen käsittelyä koskevat lainmuutokset vahvistaisivat tietosuojaa ja rekisteröityjen turvallisuutta perusoikeusherkässä sääntelykontekstissa. Ehdotettujen säännösten ja voimassa olevien Syyttäjälaitoksen suorittamaan henkilötietojen käsittelyyn sovellettavien tietosuojan yleislain säännösten arvioidaan olevan kokonaisuutena edellä mainitun huomioiden riittäviä ja perustuslakivaliokunnan lausuntokäytännön mukaisia ja täyttävän perustuslain 10 §:n vaatimukset. Yksityiskohtien osalta riittäisi, että ne ilmenevät tarkemmin rekisterinpitäjän tietosuojaselosteista. Hallituksen esityksessä ehdotetaan, että myös rikosasioiden tietosuojadirektiivin soveltamisalalla henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voitaisiin pääosin täyttää kansalliseen oikeuteen sisältyvällä yleislailla.
Ehdotettujen oikeushallinnon valtakunnallisen tietovarannon yhteisrekisterinpitoa koskevan sääntelyratkaisun arvioidaan lisäksi täyttävän ne täsmällisyyden ja selkeyden vähimmäisvaatimukset, joita perustuslain tulkintakäytännössä on asetettu sääntelylle perustuslain 12 §:n 2 momentissa turvatun julkisuusperiaatteen ja perustuslain 2 §:n 3 momentissa säädetyn julkisen vallan käytön lakiperustaisuuden vaatimuksen huomioimiseksi. Erityisesti viranomaisten yhteisrekisterinpitoon liittyvien toimivaltasuhteiden lähtökohdat ilmenisivät nykytilasta poiketen nimenomaisesti laista. Sen sijaan yksityiskohtaisemman rekisterinpitäjien välisen tehtävien jakautumisen osalta riittäisi, että rekisterinpitäjät sopivat niistä tarkemmin yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojalain yhteisrekisterinpitoa koskevien säännösten mukaisesti.
Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Erityisesti 1. lakiehdotuksen säännökset kuitenkin poikkeavat yksityiskohtaisuuden ja kattavuuden osalta valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneesta käytännöstä. Hallitus pitää tästä syystä suotavana, että perustuslakivaliokunta antaisi asiasta lausunnon.