Arvion lähtökohdat
Valtioneuvoston kirjelmän mukaan ehdotukset kehittävät olemassa olevaa SIS-järjestelmää. Suurin osa SIS-poliisiyhteistyöasetuksen ja SIS-rajatarkastusasetuksen säännöksistä on jo voimassa olevaa oikeutta. Olemassa olevat tietosuojasäännökset säilyvät ja tietyiltä osin tiukentuvat. Toisaalta asetusehdotuksissa esimerkiksi laajennetaan käsiteltävissä olevia henkilötietoryhmiä, pidennetään tallentamisaikoja ja mahdollistetaan henkilötietojen luovuttaminen kolmansiin maihin.
Arvioitavana oleva ehdotus merkitsee näin ollen puuttumista yksityiselämän ja henkilötietojen suojaan. Perustuslakivaliokunta on arvioidessaan tällaista sääntelyä yleensä katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa (ks. esim. PeVL 13/2016 vp, s. 3—4).
Euroopan unionin perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.
Perustuslakivaliokunta on arvioinut EU-oikeuden lainsäädäntö- ja sopimushankkeita mainittujen perus- ja ihmisoikeuksien kannalta kiinnittämällä valtioneuvoston huomiota myös merkitykselliseen tuomioistuinkäytäntöön (ks. esim. PeVL 28/2016 vp, s. 5—6, PeVL 20/2016 vp, s. 4—5). Perustuslakivaliokunnan mielestä nyt arvioitavana olevan asetusehdotuksen jatkovalmistelussa sekä mahdollisen kansallisen sääntelyn valmistelussa on syytä kiinnittää huomiota erityisesti EU-tuomioistuimen antamiin ratkaisuihin yhdistetyissä asioissa C-293/12 ja C-594/12 (Digital Rights Ireland), asiassa C-362/14 (Schrems) sekä yhdistetyissä asioissa C-203/15 (Tele2 Sverige) ja C-698/15 (Watson). Asetusehdotuksen jatkovalmistelussa on syytä seurata myös oikeuskäytännön kehittymistä (ks. myös PeVL 28/2016 vp, s. 8, PeVL 26/2016 vp, s. 2).
Ehdotuksen tarkastelu perus- ja ihmisoikeuksien kannalta
Perustuslakivaliokunnan mielestä nyt arvioitavana olevassa kirjelmässä on ehdotuksen suhdetta perus- ja ihmisoikeusvelvoitteisiin ja perustuslakiin yksittäisenä EU-sääntelyyn kohdistuvana kannanmuodostuksena arvioitu perusoikeusnäkökulmasta asianmukaisesti ja valtiosääntöoikeudelliset kysymykset eritellen. Valiokunta painottaa yleisesti sen varmistamista, että asetusehdotukset pysyvät olemassa olevien perus- ja ihmisoikeus- sekä tietosuojaa koskevien periaatteiden puitteissa ja että rekisteröityjen oikeuksien toteutumisesta varmistutaan ehdotusten jatkokäsittelyn aikana.
Biometriset tunnisteet
Ehdotuksissa lisätään biometristen tietojen käyttömahdollisuutta. Järjestelmään voidaan uusina biometrisinä tunnisteina tallentaa kämmenenjälki, DNA ja kasvokuva. Yksityiselämän ja henkilötietojen suojan kannalta keskeisimmäksi asetusehdotuksessa muodostuu kysymys biometristen tunnisteiden käsittelystä (ks. PeVL 33/2016 vp, s. 4, PeVL 29/2016 vp, s. 4—5 ja niissä viitattu oikeuskäytäntö). Merkityksellistä on, että biometrisiä tunnisteita sisältäviin laajoihin tietokantoihin saattaa liittyä tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Perustuslakivaliokunta on katsonut, että tällaisten rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden kannalta (PeVL 21/2012 vp, PeVL 47/2010 vp ja PeVL 14/2009 vp). Valiokunnan mielestä biometristen tunnisteiden rekisteröinti merkitsee lisäksi erityistä tarvetta huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (PeVL 29/2016 vp, s. 5, ks. myös Schrems C-362/14, kohta 91, Digital Rights Ireland C-293/12 ja C-594/12, kohdat 54 ja 55). Valiokunta kiinnittää tämän johdosta valtioneuvoston tavoin erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain SIS-järjestelmän kannalta välttämättömään (ks. myös PeVL 3/2017 vp, s. 5). Erityisesti lasten tietojen käsittelyn osalta valiokunta muistuttaa, että lapsilta otettujen biometristen tunnisteiden käsittelyn tulee olla välttämätöntä hyväksyttävän tarkoituksen kannalta (ks. myös PeVL 33/2016 vp, s. 5 ja PeVL 29/2016 vp, s. 6).
Valtioneuvoston kirjelmän mukaan SIS:iin voitaisiin tehdä hakuja rikospaikkajäljillä ja syöttää tuntematonta henkilöä koskeva kuulutus järjestelmään pelkkien rikospaikkasormenjälkien perusteella. Edellytyksenä on, ettei henkilöä ole pystytty tunnistamaan muiden käytössä olevien kansallisten ja kansainvälisten tietokantojen avulla. Lisäksi tulee olla vahva epäily siitä, että henkilö on tehnyt vakavan rikoksen (ml. terrorismi) ja henkilön tulee olla vakava uhka yleiselle turvallisuudelle. Valtioneuvosto katsoo, että ehdotusta koskevissa neuvotteluissa tulee pyrkiä mahdollistamaan järjestelmän entistä tehokkaampi hyödyntäminen rikostorjuntatarkoituksiin tietosuojavaatimukset ja käyttötarkoitussidonnaisuus kuitenkin huomioiden.
Perustuslakivaliokunta on korostanut tarvetta varmistaa käyttötarkoitussidonnaisuuden periaatteen toteutuminen henkilötietojen käsittelyssä (ks. PeVL 33/2016 vp, s. 5 ja siinä viitatut lausunnot), minkä johdosta valiokunta painottaa tällaisen käyttötarkoituksen rajoitusten varmistamista kirjelmästä ilmenevin tavoin. Valtioneuvosto katsoo myös, että ehdotusta, joka koskee salaista tarkkailua, poistumisen estämistä tai erityistarkastusta koskevan kuulutuksen tekemistä SIS:iin rikosoikeudellisen rangaistuksen täytäntöönpanoa varten, on arvioitava jatkoneuvotteluissa tarkemmin. Valiokunta korostaa käyttötarkoitussidonnaisuuden huomioonottamista myös tässä kysymyksessä.
Perustuslakivaliokunta pitää valtioneuvoston tavoin tärkeänä, että SIS:iin tallennettuja tietoja säilytetään vain sen ajan, mikä on välttämätöntä sen tavoitteen saavuttamiseksi, jonka vuoksi tiedot on järjestelmään tallennettu. Jäsenvaltioilla olisi ehdotuksen mukaan velvollisuus tarkastella säilyttämistarvetta vähintään joka viides vuosi nykyisen kolmen vuoden sijasta. Valtioneuvosto suhtautuu ajan pidentämiseen kolmesta vuodesta viiteen vuoteen tässä vaiheessa varauksella ja katsoo, että säilytysaikojen merkittävän pidentämisen tarpeellisuutta tulee vielä arvioida. Perustuslakivaliokunta yhtyy tällaisen arvion tarpeeseen kiinnittäen valtioneuvoston tavoin huomiota siihen, että SIS:iin talletetaan arkaluonteisina tietoina pidettäviä biometrisiä tunnisteita. Perustuslakivaliokunta on ESS-tietojärjestelmää arvioidessaan katsonut, että olennaisesti yhtä vuotta pidempää säilytysaikaa tulisi arvioida henkilötietojen suojan kannalta erikseen (PeVL 21/2013 vp, s. 4/II) ja että säilytysajan tuli olla olennaisesti lyhyempi kuin tuolloin ehdotettu viisi vuotta (PeVL 28/2016 vp, s. 7). Valiokunta on viitannut lisäksi tarpeeseen ottaa yllä mainittu EU-tuomioistuimen oikeuskäytäntö huomioon arvioitaessa säilyttämisaikoja (ks. PeVL 9/2017 vp, s. 5). Valiokunta huomauttaa myös, että mitä pidemmäksi tietojen säilytysaika muodostuu, sitä olennaisempaa on huolehtia tietoturvasta, tietojen käytön valvonnasta ja rekisteröidyn oikeusturvasta (PeVL 28/2016 vp, s. 7).
Henkilötietojen suojaamisen väärinkäytön vaaroilta kannalta merkityksellistä on, että uudistuksessa jäsenvaltioita velvoitettaisiin kansallisissa järjestelmissään ottamaan käyttöön kansallinen kopio, joka sisältää SIS-tietokannan tiedot kokonaan tai osittain. Perustuslakivaliokunta pitää perusteltuna valtioneuvoston kantaa siitä, ettei jäsenmaita, joilla kansallista kopiota ei EU:n aiemman linjauksen mukaan ole, tulisi velvoittaa pakollisen kansallisen kopion ja sen varmuuskopion käyttöönottamiseen. Valiokunnan mielestä merkityksellistä on myös, että kansalliset kopiot lisäävät riskiä siitä, että rekisteröityihin kohdistetaan toimenpiteitä virheellisten, epätäydellisten tai vanhentuneiden tietojen perusteella.
SIS-palautusasetuksessa ehdotetaan säädettäväksi, että palautusasetuksen nojalla tallennettuja tietoja voidaan tietyin edellytyksin antaa kolmannelle valtiolle, kun on kyse laittomasti maassa olevan kolmannen maan kansalaisen, jota ollaan palauttamassa, tunnistamisesta henkilöllisyys- tai matkustusasiakirjan myöntämistä varten. Perustuslakivaliokunta on vakiintuneessa käytännössään suhtautunut torjuvasti tällaisten tietojen luovuttamiseen kolmansille maille (ks. esim. PeVL 28/2016 vp, s. 7 ja siinä viitatut lausunnot). Valiokunnan mielestä nyt esitettävälle verraten rajatulle mahdollisuudelle luovutukselle kolmansiin maihin on kuitenkin esitetty hyväksyttävät perusteet. Valiokunta kiinnittää tästä huolimatta huomiota siihen, että tietojen luovutuksen edellytyksiä koskeva asetuksen 10 artikla sisältää lähinnä viittauksen EU:n yleisen tietosuoja-asetuksen (2016/679) 5 lukuun, joka koskee yleisesti henkilötietojen siirtoa EU:n ulkopuolisiin maihin. Ottaen huomioon SIS-järjestelmään rekisteröitävien tietojen sisältö on valtioneuvoston syytä jatkovalmistelussa varmistua siitä, että tietosuoja-asetuksen yleinen sääntely turvaa tietosuojan tason riittävästi myös nyt arvioitavien tietojen ja niiden luovutuksen osalta.
Kokonaisarvion tarve
Perustuslakivaliokunta kiinnittää edelleen huomiota siihen, että sen käsiteltävänä on ollut useita valtioneuvoston kirjelmiä ja selvityksiä, jotka koskevat komission ehdotuksia sääntelyksi ns. kolmansien maiden kansalaisten yksityiselämän ja henkilötietojen suojasta sekä varsinkin biometristen tunnisteiden käsittelystä. Valiokunta on katsonut, että samaan asiakokonaisuuteen liittyvien uudistusten toteuttaminen erillisillä lainsäädäntöhankkeilla voi merkitä sitä, että valiokunta joutuu arvioimaan tiettyä esitystä puutteellisten tietojen perusteella eikä voi ottaa arvioinnissaan huomioon eri esitysten kumulatiivisia vaikutuksia. Valiokunta on painottanut, että yksityiselämän ja henkilötietojen suojaan puuttuvaa lainsäädäntöä on arvioitava perusteellisesti, seikkaperäisesti ja kriittisesti jo valmisteluvaiheessa. Valiokunta on tämän johdosta katsonut, että valtioneuvoston on syytä arvioida tällaisten samoihin perusoikeuksiin liittyvien uudistusten vaikutuksia mahdollisimman kokonaisvaltaisesti tarvittaessa käynnistämällä erillinen arviointihanke (ks. PeVL 33/2016 vp, s. 6). Valiokunta pitää tähän nähden myönteisenä askeleena, että valtioneuvosto on antanut eduskunnalle selvityksen olemassa olevista ja kehitteillä olevista EU-tason tietojärjestelmistä, mihin sisältyy myös EU:n tietojärjestelmien horisontaalista arviointia perus- ja ihmisoikeusnäkökulmasta (E 16/2017 vp).
Perustuslakivaliokunnan saaman selvityksen mukaan EU:n komissio on esittänyt pitkällä aikavälillä harkittavaksi toimenpiteitä, joilla lisättäisiin kaikkien EU:n laajuisten tietojärjestelmien yhteensopivuutta ja yhteiskäyttöä. Näitä toimenpiteitä valmistellaan komission asettamassa korkean tason työryhmässä. Valiokunta toistaa edelleen aiemman kantansa siitä, että valtioneuvoston on syytä pyrkiä vaikuttamaan siten, että vastaavanlainen horisontaalinen arviointi perus- ja ihmisoikeusnäkökulmasta suoritetaan EU:n toimesta (ks. PeVL 33/2016 vp, s. 6). Valtioneuvoston on tämän johdosta syytä pyrkiä vaikuttamaan siten, että tällainen arvio on käytettävissä osana mainittujen toimenpiteiden työryhmävalmistelua.