Viimeksi julkaistu 8.5.2021 12.27

Valiokunnan mietintö HaVM 41/2018 vp HE 259/2018 vp Hallintovaliokunta Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa sekä eräiksi siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä Tullissa sekä eräiksi siihen liittyviksi laeiksi (HE 259/2018 vp): Asia on saapunut hallintovaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan lausunnon antamista varten. 

Lausunto

Asiasta on annettu seuraava lausunto: 

  • perustuslakivaliokunta 
    PeVL 60/2018 vp

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Jaana Vehmaskoski 
    valtiovarainministeriö
  • lainsäädäntöneuvos Niklas Vainio 
    oikeusministeriö
  • lainsäädäntöneuvos Anne Ihanus 
    sisäministeriö
  • erityisasiantuntija Suvi Pato-Oja 
    sisäministeriö
  • tietosuojavaltuutettu Reijo Aarnio 
    tietosuojavaltuutetun toimisto
  • tiedonhallintapäällikkö Jari Råman 
    Poliisihallitus
  • tulliylitarkastaja Juha Vilkko 
    Tulli

Valiokunta on saanut kirjallisen lausunnon: 

  • Eduskunnan oikeusasiamiehen kanslia
  • puolustusministeriö
  • liikenne- ja viestintäministeriö
  • oikeuskanslerinvirasto
  • Valtakunnansyyttäjänvirasto
  • Hätäkeskuslaitos
  • keskusrikospoliisi
  • Maahanmuuttovirasto
  • Verohallinto

Valiokunta on saanut ilmoituksen, ei lausuttavaa: 

  • Ahvenanmaan maakunnan hallitus

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Tullissa. Samalla voimassa oleva samanniminen laki kumottaisiin. Lakia sovellettaisiin Tullin suorittamaan henkilötietojen käsittelyyn. Esityksen tavoitteena on saattaa Tullin tehtävien suorittamiseksi tarpeellisten henkilötietojen käsittelyä koskeva lainsäädäntö vastaamaan Euroopan unionin tietosuojalainsäädännön vaatimuksia. Lisäksi esityksessä otettaisiin huomioon eräät kansalliset erityisesti Tullin rikostorjuntaa sekä tulli- ja verovalvontaa koskevat tietojen käsittelytarpeet. 

Ehdotettu laki täydentäisi Euroopan unionin yleistä tietosuoja-asetusta ja rikosasioiden tietosuojadirektiivin yleistä täytäntöönpanolainsäädäntöä. Voimassa olevan lain valtakunnallisia tietojärjestelmiä ja muita Tullin henkilörekistereitä koskeva sääntely ehdotetaan korvattavaksi säännöksillä Tullille laissa säädettyjen valvontatehtävien suorittamiseksi ja rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Lisäksi laki sisältäisi säännöksiä kansallisesta ja kansainvälisestä tiedonvaihdosta, tietojen poistamisesta ja arkistoinnista sekä rekisteröidyn tarkastusoikeuden toteuttamisesta ja eräistä rajoituksista rekisteröidyn oikeuksiin. 

Lisäksi esityksessä ehdotetaan muutettaviksi Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annettua lakia, rikostorjunnasta Tullissa annettua lakia, pakkokeinolakia, Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta annettua lakia, Harmaan talouden selvitysyksiköstä annettua lakia, autoverolakia, valmisteverotuslakia, sähköisen viestinnän palveluista annettua lakia ja turvallisuusselvityslakia. Näihin lakeihin ehdotetaan pääosin lakiviittauksia koskevia teknisiä muutoksia. 

Lait ovat tarkoitetut tulemaan voimaan mahdollisimman pian. Henkilötietojen poistaminen olisi toteutettava lain vaatimusten mukaisena neljän vuoden kuluessa lain voimaantulosta. 

VALIOKUNNAN YLEISPERUSTELUT

Yleistä

Hallituksen esityksessä ehdotetaan säädettäväksi uusi laki henkilötietojen käsittelystä Tullissa (1. lakiehdotus, jäljempänä Tullin henkilötietolaki). Samalla voimassa oleva samanniminen laki (639/2015) kumottaisiin. Lisäksi esitykseen sisältyy yhdeksän liitelakia, joihin sisältyvät muutokset ovat pääosin teknisiä. 

Esityksen keskeisenä tavoitteena on uudistaa henkilötietojen käsittelyä Tullissa koskeva lainsäädäntö niin, että se vastaa EU:n tietosuojalainsäädännön vaatimuksia, ottaen huomioon rikostorjunnan, tulli- ja verovalvonnan tarpeet sekä perus- ja ihmisoikeuksien suojaa koskevat vaatimukset. Tavoitteena on myös saattaa lainsäädäntö vastaamaan toimintaympäristön ja tullilainsäädännön muutoksista johtuvia keskeisiä ja tärkeitä henkilötietojen käsittelyn ja tietosuojan tarpeita sekä korjata lain soveltamisessa ilmi tulleita epäkohtia. 

Eduskunnalle on annettu myös esitykset uusiksi laeiksi henkilötietojen käsittelystä poliisissa ja Rajavartiolaitoksessa (HE 242/2018 vp ja HE 241/2018 vp). Tarkoituksena on, että Tullin henkilötietolakia uudistetaan vastaavalla tavalla poliisin ja Rajavartiolaitoksen henkilötietolakiehdotusten kanssa. Tullin rikostorjuntatoiminta edellyttää yhdenmukaisia säännöksiä muiden rikostorjuntaa suorittavien viranomaisten kanssa. Tätä edellyttää myös PTR-viranomaisten tiivis yhteistyö. Hallintovaliokunta on todennut nykyisen Tullin henkilötietolain käsittelyn yhteydessä, että rikostorjunnan tehokkuuden ylläpitäminen edellyttää Tullin henkilörekisterilainsäädännön yhdenmukaistamista nykyistä enemmän erityisesti poliisin vastaavan lainsäädännön kanssa (HaVM 54/2014 vp). Koska poliisin ja Rajavartiolaitoksen henkilötietolait on esitetty uudistettavaksi kokonaan, on myös Tullin henkilötietolain uudistaminen kokonaan tarpeen, vaikka nykyinen laki on sinänsä suhteellisen uusi. 

Euroopan unionin uusi tietosuojalainsäädäntö on eriyttänyt säädöspohjaa siten, ettei kaikkeen henkilötietojen käsittelyyn ole enää mahdollista soveltaa samaa sääntelyä. EU:n yleistä tietosuoja-asetusta (EU 2016/679) on alettu soveltaa 25.5.2018. Sitä kansallisesti täydentää ja täsmentää 1.1.2019 voimaan tullut tietosuojalaki (1050/2018). Tietosuojalain kanssa samanaikaisesti on tullut voimaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu laki (1054/2018, rikosasioiden tietosuojalaki), jolla on pantu kansallisesti täytäntöön ns. rikosasioiden tietosuojadirektiivi (EU) 2016/680 (jäljempänä myös poliisidirektiivi). 

Tietosuoja-asetusta ja sitä täydentävää tietosuojalakia sovelletaan Tullissa esimerkiksi tulli- ja verovalvontaan, muihin Tullille säädettyihin valvontatehtäviin ja rajavalvontatehtäviin liittyvään henkilötietojen käsittelyyn. Tietosuojadirektiivin soveltamisalaan Tullissa kuuluvat rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Ehdotettu Tullin henkilötietolaki on edellä kuvattua yleislainsäädäntöä täydentävä erityislaki. 

Esityksessä lain rakenne ehdotetaan uudistettavaksi kokonaisuudessaan. Sääntelyn selkeystavoitteisiin ei ole kuitenkaan täysin päästy, mikä pitkälti johtuu EU-oikeuden ja sen tietosuojasääntelyn rajoitetusta ja erityisestä soveltamisalasta. Sääntelyssä on myös noudatettava perustuslain ja ihmisoikeussopimusten tulkintakäytännöstä ilmeneviä vaatimuksia lainsäädännön yksityiskohtaisuudesta ja tarkkarajaisuudesta. 

Hallintovaliokunta pitää merkittävänä muutoksena voimassa olevaan lakiin verrattuna sitä, että nykyinen tietojärjestelmiä ja muita Tullin henkilörekistereitä koskeva sääntely korvattaisiin säännöksillä henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Laissa säädettäisiin käsiteltävistä perustiedoista sekä asiakohtaisista tietoluokista. Ehdotuksen mukaan Tullin henkilötietolain 2 luvussa tarkoitettujen henkilötietojen rekisterinpitäjänä toimii Tulli. Tuntomerkkitietojen osalta rekisterinpitäjästä säädetään erikseen. Niiden rekisterinpitäjänä toimii poliisin henkilötietolain mukaisesti poliisi. 

Perustuslakivaliokunnan lausunnon mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, jos valiokunnan periaatesäännöksistä sekä 5, 6, 7, 8, 9, 12, 14, 15, 18 ja 19 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 

Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. 

Käsittelytarkoituksiin perustuva sääntely

Euroopan unionin perusoikeuskirjan 8 artiklassa edellytetään, että henkilötietojen käsittelyn on tapahduttava tiettyä tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten. Tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan, että 1 kohtaa on noudatettu. Tietosuoja-asetusta ei kuitenkaan sovelleta muun ohella sellaiseen henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan tai jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. Ensin mainitun poikkeuksen alaan lukeutuu muun ohella lähtökohtaisesti kansallinen turvallisuus (ks. myös PeVL 35/2018 vp, PeVL 36/2018 vp), jälkimmäisen alaan lähinnä poliisidirektiivi. 

Poliisidirektiiviä sovelletaan sen 2 artiklan mukaan toimivaltaisten viranomaisten direktiivin 1 artiklan 1 kohdassa säädettyjä tarkoituksia varten suorittamaan henkilötietojen käsittelyyn. Viitatun artiklan mukaisia tarkoituksia ovat rikosten ennalta estäminen, tutkiminen, paljastaminen tai rikoksiin liittyvien syytetoimien tai rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy. Direktiivin 4 artiklan 1 kohdan b alakohta edellyttää, että henkilötiedot kerätään tiettyjä nimenomaisia ja laillisia tarkoituksia varten. Direktiivin 4 artiklan 4 kohdan mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietoja on käsitelty tämän periaatteen mukaisesti. Direktiivin 8 artiklan 2 kohdan mukaan jäsenvaltion lainsäädännössä, jossa säännellään tämän direktiivin soveltamisalaan kuuluvaa käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. 

Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa lainsäädäntöä pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina muun ohella rekisteröinnin tietosisältöjä, tavoitetta ja sallittuja käyttötarkoituksia (ks. PeVL 14/1998 vp ja esimerkiksi PeVL 14/2018 vp).Valiokunnan edellä selostetun tarkistetun käytännön mukaan näiden seikkojen sääntelyn lain tasolla tulee nyt arvioitavassa sääntelykontekstissa olla edelleen kattavaa ja yksityiskohtaista. 

Hallituksen esitykseen sisältyvillä lakiehdotuksilla voimassa olevan lain valtakunnallisia tietojärjestelmiä ja muita Tullin henkilörekistereitä koskeva sääntely ehdotetaan korvattavaksi säännöksillä Tullille laissa säädettyjen valvontatehtävien suorittamiseksi ja rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi tarpeellisten henkilötietojen käsittelytarkoituksista ja käsiteltävien henkilötietojen sisällöstä. Perustuslakivaliokunnalla ei ole ollut huomauttamista tähän lähtökohtaan. 

Esityksen muiden lähtökohtien arviointia

Perustuslakivaliokunta on hiljattain arvioinut (PeVL 26/2018 vp) rikosasioiden tietosuojalain säätämiseen tähdännyttä hallituksen esitystä, johon sisältyvän lakiehdotuksen tarkoituksena on muun ohella toimeenpanna poliisidirektiivi. Valiokunta on EU:n tietosuoja-asetuksen sovelta-misalalla tarkistanut kantaansa henkilötietojen suojasta lailla säätämisen vaatimuksen osalta. Valiokunnan mukaan merkityksellistä on, että toisin kuin suoraan sovellettava tietosuoja-asetus poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta (ks. myös PeVL 14/2018 vp, s. 7). Merkityksellistä on lisäksi, että kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle eikä siten kuulu myöskään lähtökohtaisesti poliisidirektiivin soveltamisalalle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on perustuslain 10 §:n henkilötietojen suojaa koskevan turvaamisvelvoitteen johdosta säädettävä kansallisella lainsäädännöllä (ks. PeVL 26/2018 vp). 

Perustuslakivaliokunnan mukaan (PeVL 26/2018 vp, PeVL 14/2018 vp) perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" (PeVL 15/1994 vp, PeVL 67/2010 vp). Valiokunnan mukaan henkilötietojen käsittelyä koskevaa sääntelyä on tällaisissa suuren riskin perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp). 

Merkityksellistä tässä suhteessa oli myös, että tuolloin käsillä olleeseen esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityislainsäädännöllä (PeVL 26/2018 vp). Valiokunnan käsityksen mukaan nyt arvioitavan lakiehdotuksen tarkoitus on toimia tällaisena täydentävänä erityislainsäädäntönä. 

Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltuuksien tulee perustuslain 2 §:n 3 momentissa vahvistetun oikeusvaltioperiaatteen vuoksi perustua lakiin (ks. myös PeVL 10/2016 vp, PeVL 51/2006 vp). Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp). 

Hallituksen esityksen säätämisjärjestysperusteluista ilmenee, että arkaluonteisia henkilötietoja käsitellään Tullissa sekä direktiivin että asetuksen soveltamisalaan kuuluvia Tullin tehtäviä varten. Tullin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen 1. lakiehdotuksen mukaiseen käsittelytarkoitukseen. Esimerkiksi perustuslakivaliokunnan käytännössä (ks. esim. PeVL 14/2009 vp) arkaluonteisiin tietoihin rinnastettuja biometrisiä tietoja käsitellään perustelujen mukaan rikosten ennalta estämiseen, paljastamiseen ja selvittämiseen liittyvissä tehtävissä. 

Perustuslakivaliokunta on arvioinut arkaluonteisten tietojen käsittelyä pitäen lähtökohtana, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp). 

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, PeVL 14/2009 vp). Myös EU:n yleisen tietosuoja-asetuksen mukaan erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp). Tällaista rajausta on valiokunnan uudemmassa käytännössä pidetty säätämisjärjestyskysymyksenä (ks. esim. PeVL 15/2018 vp). 

Perustuslakivaliokunnan mukaan arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön (PeVL 14/2018 vp). 

Tullin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää. Tällaisessa tilanteessa myös tietojen käytön valvontaan on kiinnitettävä korostettua huomiota (PeVL 51/2018 vp, PeVL 42/2014 vp, ks. myös PeVL 35/2018 vp). Perustuslakivaliokunta korostaa, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa yksin rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan (PeVL 51/2018 vp, PeVL 52/2018 vp). 

Perustuslakivaliokunta toteaa, ettei se ole valtiosääntöisen tehtävänsä puitteissa arvioinut kattavasti ehdotetun sääntelyn suhdetta EU-oikeuteen. Hallintovaliokunnan on syytä varmistua, että ehdotettu sääntely ei ole ristiriidassa EU-oikeuden asettamien vaatimusten kanssa. 

Hallintovaliokunta toteaa, että rikosasioiden tietosuojadirektiivin mukaan jäsenvaltion lainsäädännössä, jossa säännellään direktiivin soveltamisalaan kuuluvaa henkilötietojen käsittelyä, on täsmennettävä ainakin käsittelyn tavoitteet, käsiteltävät henkilötiedot ja käsittelyn tarkoitukset. Direktiivissä asetetaan eräänlainen minimitaso. Perustuslakivaliokunta on tietosuojauudistuksen yhteydessä todennut, että direktiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslaissa turvatun yksityiselämän ja henkilötietojen suojan kannalta (PeVL 14/2018 vp). Sääntelyä on siten täydennettävä kansallisella lailla. 

Tietosuoja-asetus puolestaan on suoraan sovellettavaa oikeutta. Tietosuoja-asetus sisältää kuitenkin tietyiltä osin kansallista liikkumavaraa. Kansallisella lailla voidaan täsmentää henkilötietojen käsittelyn oikeusperustaa ja käsittelyn sisältöä sekä esimerkiksi tiettyjen edellytysten vallitessa poiketa rekisteröidyn oikeuksista. Henkilötietojen käsittelyn lainmukaisuudesta säädetään tarkemmin 6 artiklassa. Asetuksen 9 artiklan nojalla voidaan antaa tarkempia säännöksiä myös erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Perustuslakivaliokunta on korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp). 

Hallituksen esityksen perusteluissa on tehty selkoa esitykseen sisältyvien ehdotusten suhteesta rikosasioiden tietosuojalakiin sekä tietosuoja-asetukseen. Hallintovaliokunta ehdottaa jäljempänä lakiehdotukseen muutoksia, joilla on merkitystä myös EU-oikeuden kannalta. EU:n tietosuojalainsäädännöstä ei seuraa rajoitteita sen suhteen, valitaanko sääntelyratkaisuksi nykyinen rekisteripohjainen tai esityksessä ehdotettu käyttötarkoituksiin perustuva sääntelyratkaisu. 

Lisäksi hallintovaliokunta toteaa, että tietosuoja-asetus, tietosuojalaki ja rikosasioiden tietosuojalaki sisältävät yksityiskohtaiset säännökset muun muassa henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän velvollisuuksista ja rekisteröidyn oikeuksista, tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta sekä lainvastaisen henkilötietojen käsittelyn seuraamuksista. 

Hallintovaliokunnan näkemyksen mukaan ehdotuksessa on otettu asianmukaisesti huomioon EU-oikeudesta johtuvat vaatimukset. Toimivalta arvioida sääntelyn EU-oikeuden mukaisuutta on kuitenkin Euroopan unionin tuomioistuimella. 

Lain soveltamisala

Perustuslakivaliokunnan mielestä sovellettavan lainsäädännön kokonaisuutta ei voi luonnehtia selkeäksi ja ymmärrettäväksi, vaikka nyt arvioitavan sääntelyn rakenteessa onkin pyritty selkeyteen ja yksinkertaisuuteen. Sovellettavina olevien EU- ja kansallisten säädösten väliset suhteet muodostuvat osittain päällekkäisiksi ja osittain toisistaan erotettaviksi. Ehdotetun sääntelyn täsmällistä soveltamisalaa on hankalaa ja vaivalloista selvittää lakiehdotuksen sisältämän sääntelyn perusteella. Lakiehdotuksen soveltamisalaa ja suhdetta muuhun lainsäädäntöön määrittelevä 2 § ei tältä osin ole erityisen selkeä. Vaikka perustuslakivaliokunnan mielestä on selvää, että varsin merkittävä osa sääntelyn monimutkaisuudesta palautuu EU-oikeuden ja sen tietosuojasääntelyn rajoitettuun ja eriytettyyn soveltamisalaan, on hallintovaliokunnan syytä selvittää keinoja sääntelyn soveltamisalan selkeyttämiseen. 

Hallintovaliokunta katsoo, että säännöstasolla ehdotetun lain soveltamisalaa ei EU-sääntelystä tulevista reunaehdoista johtuen ole juurikaan edellytyksiä täsmentää. Ehdotetun sääntelyn jakautuminen eri yleislakien soveltamisalaan on kuvattu lakiehdotuksen 2 §:ssä tietosuojan yleislainsäädännön mahdollistamalla tarkkuudella. Valiokunta toteaa sääntelystä kuitenkin seuraavaa. 

Tullin henkilötietolain soveltamisen ala määrittyy soveltamisalaa koskevan 1 §:n ja suhdetta muuhun lainsäädäntöön sääntelevän 2 §:n muodostamasta kokonaisuudesta. Hallintovaliokunta ehdottaa yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin 1 §:ään eräitä täsmennyksiä. Niin Tullin kuin poliisin ja Rajavartiolaitoksenkin toimialaan sisältyy myös erityislainsäädäntöä. Esimerkkinä erityissääntelystä voidaan mainita hallituksen esityksessä HE 55/2018 vp ehdotettu laki lentoliikenteen matkustajarekisteritietojen käytöstä terrorismin ja vakavan rikollisuuden torjunnassa. 

Mainitussa 2 §:n 1 momentin 1 kohdassa säädettäisiin siitä, milloin Tullin tehtävien suorittamiseksi tapahtuvaan henkilötietojen käsittelyyn sovellettaisiin rikosasioiden tietosuojalakia (1 momentti). Rikosasioiden tietosuojalain soveltamisalaan kuuluisi kyseisen lain 1 §:n mukaisesti henkilötietojen käsittely rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi ja tällaisten uhkien ehkäisemiseksi. Yleisen tietosuoja-asetuksen sovellettavuus määräytyy suoraan asetuksen nojalla ilman, että asetuksen soveltamisalaa voitaisiin rajoittaa tai selittää kansallisella sääntelyllä. Tästä syystä 2 §:n 2 momenttiin sisältyy vain informatiivinen viittaus tietosuoja-asetukseen. Tietosuoja-asetusta ja sitä täydentävää kansallista tietosuojalakia sovelletaan Tullissa esimerkiksi tulli- ja verovalvontaan, muihin Tullille säädettyihin valvontatehtäviin ja rajavalvontatehtäviin liittyvään henkilötietojen käsittelyyn. 

EU:n tietosuojauudistuksessa on huomioitu asiakirjojen julkisuusperiaate. Tietosuoja-asetuksen 86 artiklassa säädetään tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamisesta. Tietosuojadirektiivin johdanto-osan 16 kappaleen mukaan direktiivi ei rajoita virallisten asiakirjojen julkisuusperiaatetta. Luovutettaessa tietoja viranomaisten henkilörekistereistä on otettava huomioon julkisuusperiaate ja salassapitosäännökset siten kuin julkisuuslaissa, etenkin sen 16 §:n 3 momentissa, säädetään. Rikosasioiden tietosuojalakia säädettäessä on lisäksi erikseen tähdennetty, että rikosasioiden tietosuojalailla ei ole tarkoitus muuttaa julkisuuslainsäädännön ja henkilötietojen suojaa koskevan lainsäädännön keskinäissuhdetta (HaVM 14/2018 vp). Perustuslakivaliokunnan lausuntoon viitaten hallintovaliokunta ehdottaa jäljempänä, että lakiehdotuksen 2 §:n viittausta julkisuuslakiin täsmennetään yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Tässä lakiesityksessä ei ehdoteta säädettäväksi toimivaltuuksista. Tullin tehtävistä ja toimivaltuuksista säädetään tullilaissa (304/2016), Tullin hallinnosta annetussa laissa (960/2012) ja rikostorjunnasta Tullissa annetussa laissa (623/2015, jäljempänä Tullin rikostorjuntalaki). Lisäksi Tullin valvontatehtävistä ja niihin liittyvistä toimivaltuuksista säädetään useassa erityislaissa. Toimivaltuuksista hankkia rikosten estämiseksi ja paljastamiseksi sekä vaaran torjumiseksi tarvittavaa tietoa luottamuksellisen viestin suojan estämättä säädetään rikostorjunnasta Tullissa annetussa laissa ja toimivaltuuksista hankkia vastaavaa tietoa rikosten selvittämiseksi pakkokeinolaissa (806/2011) ja esitutkintalaissa (805/2011). Tullin toimivaltuuksilla saatujen henkilötietojen käsittelyssä noudatettaisiin tietosuojan yleislainsäädännön sekä ehdotetun Tullin henkilötietolain säännöksiä. Silloin, kun toimivaltuussääntelyyn sisältyy henkilötietojen käsittelyä koskevia tiukempia edellytyksiä, näitä tiukempia edellytyksiä on noudatettava Tullin henkilötietolain sääntelyn sijasta. 

Yleis- ja erityislainsäädännöstä muodostuu joka tapauksessa monitahoinen kokonaisuus. Erityisesti käytännön toiminnassa sovellettavan ja noudatettavan säännöksen identifiointi voi olla vaikeaa. Myös uusi käyttötarkoitusperusteinen sääntely edellyttää uudenlaista ajattelutapaa. Hallintovaliokunta korostaa, että tämä kaikki aiheuttaa merkittävää tarvetta ohjeistaa toimintaa uudella tavalla ja kouluttaa henkilöstöä entistä syvemmin. Valiokunta tähdentää, että viranomaisten henkilörekisterien ja henkilötietojen käsittelyn tulee olla joka suhteessa asianmukaisessa kunnossa ja täyttää lainsäädännössä asetetut vaatimukset. Henkilötietojen käsittelyn kokonaisuuteen kuuluu myös hyvän tiedonhallintatavan ja hyvien käytänteiden noudattaminen. 

Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi

Voimassa olevaa Tullin henkilötietolakia sovelletaan lain 1 §:n mukaan Tullille laissa säädettyjen tehtävien suorittamiseksi tarpeellisten henkilötietojen automaattiseen käsittelyyn ja muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Voimassa olevan lain lähtökohtana on kuitenkin Tullin valtakunnallisiin tietojärjestelmiin ja muihin laissa tarkoitettuihin henkilörekistereihin talletettavien tietojen sääntely. Säännökset eivät siten kata lain soveltamisalaan kuuluvaa tietojen käsittelyä ennen kuin tiedot talletetaan tiettyyn nimettyyn henkilörekisteriin tai tietojärjestelmään. 

Käsittelytarkoitusperusteisen sääntelyn yhtenä tavoitteena on kattaa kaikki Tullille laissa säädetyissä valvontatehtävissä ja tullirikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi tarpeellinen henkilötietojen käsittely. Uusi käsittelytarkoituksiin perustuva sääntely koskee voimassa olevasta laista poiketen myös sellaista yleislainsäädännön määritelmien mukaisen henkilörekisterin muodostavaa tai automaattista käsittelyä, josta voimassa olevassa Tullin henkilötietolaissa ei ole säännöksiä. 

Näin myös henkilötietojen käsittelyä tullirikosten ennalta estämiseksi tai paljastamiseksi sääntelevät hallituksen esitykseen sisältyvän 1. lakiehdotuksen 7 ja 8 § koskevat kaikkea Tullin ennalta estävän ja paljastavan toiminnan kannalta tarpeellista henkilötietojen kirjaamista ja muuta käsittelyä. Pykälillä korvattaisiin rikosten ennalta estämiseen ja paljastamiseen liittyvä tietojen käsittely voimassa olevan lain 3 §:ssä tarkoitetussa rikostorjunnan tietojärjestelmässä, 4 §:ssä tarkoitetussa tiedustelurekisterissä sekä 7 §:ssä tarkoitetuissa Tullin muissa henkilörekistereissä. 

Lisäksi mainittujen 7 ja 8 §:n tarkoituksena on kattaa käsittelytarkoitusperusteisen sääntelyratkaisun mukaisesti myös sellainen Tullin ennalta estävään toimintaan liittyvä tietojen käsittely, josta ei säädetä nykyisessä laissa. Tulli saa esimerkiksi Tullin rikostorjuntalain 3 luvun mukaisilla tiedonhankintakeinoilla tietoja henkilöistä, joiden voidaan perustellusti olettaa syyllistyvän rikokseen. Näiden tietojen alkuvaiheen käsittelystä ei säädetä voimassa olevassa laissa, vaikka tietoja on käsiteltävä automaattisesti muun muassa sen selvittämiseksi, täyttyykö tiedustelurekisterin tallettamiskynnys. Voimassa olevassa Tullin henkilötietolaissa ei toisin sanoen huomioida Tullin rikostorjuntalain 3 luvun mukaisilla salaisilla tiedonhankintakeinoilla saatujen tietojen käsittelyä ennen tietojen tallettamista laissa nimettyihin tietojärjestelmiin. Ehdotettu 7 §:n 2 momentin 1 kohdan käsittelykynnys ("voidaan perustellusti olettaa") kattaisi Tullin rikostorjuntalain 3 luvun mukaisilla tiedonhankintakeinoilla rikoksen estämiseksi saadun tiedon käsittelyn toisin kuin voimassa olevan lain mukainen "syytä epäillä" -kynnys. 

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että esityksen säätämisjärjestysperustelujen mukaan ehdotetut 7 ja 8 § merkitsisivät valtakunnallisesti käsiteltävän tietosisällön laajenemista voimassaolevaan lakiin verrattuna sekä tietosisällön että rekisteröitävien henkilöryhmien osalta. Voimassa olevassa laissa rekisteriin merkitseminen on sidottu epäillyn rikoksen rangaistuksen vakavuuteen siten, että rikokseen syyllistyvän tai siihen syyllistyneen tietoja saadaan käsitellä, jos epäillystä rikoksesta saattaa seurata vankeutta. Rikokseen myötävaikuttaneen tai myötävaikuttavan henkilön tietoja taas saadaan voimassa olevan sääntelyn mukaan käsitellä, jos epäillystä rikoksesta saattaa seurata vähintään vuosi vankeutta. Perustuslakivaliokunta toteaa, että 7 §:ssä epäilyn kohteena olevalle rikokselle ei asetettaisi lainkaan sen vakavuuteen kohdistuvaa kynnystä, vaan pykälän mukaan siinä tarkoitettujen tietojen olisi liityttävä henkilöihin, joiden "voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen". Voimassa olevan lain 4 §:n 1 momentin mukaan tietojen käsittelyn edellytyksenä on, että henkilön on "syytä epäillä" syyllistyvän tai syyllistyneen rikokseen. Valiokunta huomauttaa, että viranomaisepäily rikoksesta muodostaa tietosuoja-asetuksen 10 artiklassa erityisesti säännellyn valtiosääntöisesti arkaluonteisen henkilötiedon. Hallintovaliokunnan on täydennettävä sääntelyä sitomalla käsittely epäillyn rikoksen vakavuuteen. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Lisäksi perustuslakivaliokunnan lausunnon mukaan hallintovaliokunnan on syytä korottaa perustellun olettamuksen vaatimusta esimerkiksi voi-massa olevan lain mukaiseen "syytä epäillä" -vaatimukseen. 

Seuraavassa tarkastellaan lähemmin hallituksen esityksessä ehdotettuja muutoksia suhteessa voimassa olevaan lakiin.  

Tiedustelurekisteri

Tiedustelurekisteristä säädetään voimassa olevan lain 4 §:ssä. Tiedustelurekisteriin saa kerätä ja tallettaa tullirikosten estämiseksi, paljastamiseksi ja selvittämiseksi ja syyteharkintaan saattamiseksi tarpeellisia tietoja henkilöistä, joiden on syytä epäillä syyllistyvän tai syyllistyneen rikokseen, josta saattaa seurata vankeutta, tai myötävaikuttavan tai myötävaikuttaneen rikokseen, josta saattaa seurata vähintään vuosi vankeutta. 

Hallintovaliokunta on kiinnittänyt huomiota puutteisiin, joita poliisin epäiltyjen tietojärjestelmän henkilötietojen käsittelyyn liittyy (HaVL 40/2014 vp). Henkilöitä voidaan rekisteröidä vain epäiltyinä ja myötävaikuttajina. Hallintovaliokunta on todennut mietinnössään (HaVM 16/2014 vp), että kun henkilöstä syötetään tietoja epäiltyjen rekisteriin, tulee hänen osaltaan täyttyä perusteet, joiden nojalla henkilön voidaan epäillä syyllistyvän tai syyllistyneen rikokseen taikka myötävaikuttavan tai myötävaikuttaneen rikokseen. Kynnys "syytä epäillä" on sama kuin esitutkintalaissa säädetyn rikoksen johdosta esitutkinnan toimittamisen kynnys. Näillä poliisin epäiltyjen tietojärjestelmää koskevilla hallintovaliokunnan kannanotoilla on merkitystä myös sen arvioimisessa, millä edellytyksillä henkilöstä voidaan syöttää tietoja Tullin tiedustelurekisteriin. 

Sääntelyn soveltamisen vaativuutta kuvaa hallintovaliokunnan näkemyksen mukaan se, että kysymys ei ole pelkästään epäillystä henkilön jo tapahtuneesta syyllistymisestä tai myötävaikuttamisesta, vaan epäillystä tulevaisuudessa tapahtuvasta syyllistymisestä tai myötävaikuttamisesta lainkohdassa tarkoitettuun rikokseen. Valiokunta on pitänyt selvänä, että epäilyn tulee tällöinkin perustua konkreettisiin havaintoihin, joista voidaan päätellä henkilön tuleva käyttäytyminen niin, että "syytä epäillä" -edellytys täyttyy hyväksyttävästi. Arvion tekeminen henkilön tulevasta käyttäytymisestä on sellaisen epävarman päättelyketjun varassa, että virhearvioinnin riski on varsin suuri. 

Tiedustelurekisteriä koskevaa sääntelyä on pidetty myös Tullin toiminnan kannalta epätarkoituksenmukaisena ja puutteellisena. Tiedustelurekisteriä koskeva säännös ei nykymuodossaan palvele kokonaisvaltaisesti Tullin rikostorjunnan ennalta estävää toimintaa, ennakointia ja systemaattisesti kerätyn ja käsitellyn tiedon hyödyntämistä. 

Rikosten ennalta estämiseksi ja paljastamiseksi suoritettavaa henkilötietojen käsittelyä kos-kevien hallituksen esityksessä ehdotettujen 7 ja 8 §:n muotoilussa on kiinnitetty huomiota edellä kuvattuihin hallintovaliokunnan poliisin epäiltyjen tietojärjestelmää koskeviin huomautuksiin (HaVL 40/2014 vp ja HaVM 16/2014 vp). Ehdotetun 7 §:n mukaan Tulli voisi käsitellä henkilötietoja tehtävälähtöisesti rikosten ennalta estämiseen ja paljastamiseen liittyvän tehtävän suorittamiseksi. Käsiteltävät henkilöryhmät lueteltaisiin pykälässä tyhjentävästi. 

Hallituksen esityksen mukaan tietoja voitaisiin 7 §:n 2 momentin 1 kohdan nojalla käsitellä sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen. Perustuslakivaliokunnan lausunnon johdosta hallintovaliokunta ehdottaa jäljempänä yksityiskohtaisissa perusteluissa tarkemmin esitetyin tavoin käsittelykynnystä korotettavaksi siten, että tietoja voitaisiin käsitellä ainoastaan sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, josta laissa säädetty ankarin rangaistus on vankeutta. Voimassa olevan lain 4 §:n "syytä epäillä" -kynnys kytkeytyy käsitteenä esitutkinnan käynnistämiskynnykseen ja on vaikeasti sovellettavissa ennalta estävään ja paljastavaan toimintaan. Tullin ennalta estävä toiminta kohdistuu tyypillisesti henkilöihin, joiden osalta ei vielä ole syntynyt velvoitetta esitutkinnan käynnistämiseen. "Syytä epäillä" -käsittelykynnystä ei ennalta estävässä ja paljastavassa toiminnassa voida tulkita samoin kuin rikosten selvittämisen yhteydessä. Käsittelykynnys on siten tarkoituksenmukaista muotoilla tavalla, joka kytkeytyy nimenomaisesti rikosten ennalta estämiseen ja paljastamiseen sekä niihin liittyviin tiedonhankintatoimivaltuuksiin. Ehdotettu uusi käsittelykynnys ("voidaan perustellusti olettaa") on siten perusteltu myös siitä syystä, että se kytkeytyy "syytä epäillä" -kynnystä selkeämmin rikoksen ennalta estämiseksi ja paljastamiseksi tapahtuvaa tiedonhankintaa sääntelevään Tullin rikostorjuntalain 3 lukuun. 

Hallituksen esityksessä ehdotetun 7 §:n 2 momentin 2 kohdan perusteella voisi käsitellä tietoja henkilöistä, jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen. Henkilöryhmä on voimassa olevaan lakiin verrattuna uusi. Tarve käsitellä kontaktien ja kumppanien tietoja on huomioitu myös rikosasioiden tietosuojadirektiivissä, jonka 6 artiklassa säädetään eri ryhmiin kuuluvien rekisteröityjen erottamisesta. Artiklan d kohdassa mainitaan kontaktit ja kumppanit. Näiden henkilöiden tulee liittyä henkilöihin, joiden voidaan vakavin perustein uskoa syyllistyneen tai olevan syyllistymässä rikokseen, tai rikoksesta tuomittuihin henkilöihin. 

Perustuslakivaliokunnan edellyttämä käsittelyn sitominen rikoksen vakavuusasteeseen rajaa myös 2 kohdassa tarkoitettua henkilöryhmää hallituksen esityksessä ehdotettua suppeammaksi. Kyseisen kohdan nojalla voidaan käsitellä tietoja ainoastaan sellaisista henkilöistä, jotka ovat yhteydessä vankeusuhkaisiin rikoksiin rajatussa 1 kohdassa tarkoitettuihin henkilöihin. Rekisterinpitäjän olisi erotettava rikosasioiden tietosuojalain vaatimusten mukaisesti tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä. 

Mainitun 7 §:n 2 momentin 3 kohdan perusteella Tulli voisi käsitellä henkilötietoja Tullin rikostorjuntalain 3 luvun 9 §:ssä tarkoitetun tarkkailun kohteena olevista henkilöistä. Tarkkailulla tarkoitetaan Tullin rikostorjuntalain 3 luvun 9 §:n 1 momentin mukaan tiettyyn henkilöön salaa kohdistettavaa havaintojen tekemistä tiedonhankintatarkoituksessa. Kohdassa tarkoitettuihin henkilöihin kuuluisivat sellaiset tarkkailun kohteena olevat henkilöt, joiden tietojen käsittely ei ole mahdollista momentin 1 ja 2 kohdan nojalla. Asian käsittelyn yhteydessä on ilmennyt tarve lisätä kohtaan myös tullivalvonnan tai tullirikostorjunnan toimenpiteiden kohteena olevien henkilöiden tietojen kirjaaminen, jota käsitellään tarkemmin jäljempänä rikostorjunnan tietojärjestelmän kohdalla. 

Tullin on tietyissä tilanteissa välttämätöntä käsitellä myös muiden kuin rikostiedustelun ensisijaisten kohdehenkilöiden tietoja. Näiden henkilöiden tietojen käsittelylle asetettaisiin hallituksen esityksessä ehdotetun 7 §:n 3 momentissa korkeampi kynnys. Rikoksen uhrien, asianomistajina esiintyvien henkilöiden, ilmoittajien ja todistajien tietojen käsittely voi olla välttämätöntä esimerkiksi silloin, kun pyritään estämään ennalta jo tapahtuneen rikoksen todistajaan tai asianomistajaan kohdistuva uusi rikos. Sääntely selventää nykytilaa ja mahdollistaa nimenomaisesti esimerkiksi uhrien tietojen käsittelyn, joka tiedustelurekisterin osalta on ilmennyt vain säännöksen perusteluista. 

Tilapäiset rikosanalyysirekisterit

Voimassa olevan lain Tullin muita henkilörekistereitä koskevan 7 §:n 2 momentissa säädetään tilapäisistä rikosanalyysirekistereistä. Momentin mukaan yhden tai useamman Tullin toimintayksikön käyttöön voidaan perustaa tilapäinen rekisteri, jossa saa yhdistää, tallettaa ja muuten käsitellä lain 3—6 §:ssä tarkoitettujen Tullin tietojärjestelmien ja henkilörekistereiden tietoja, Tullin yksittäisen tehtävän suorittamisen yhteydessä saatuja rikostiedustelu-, tarkkailu- ja havaintotietoja sekä muita tarpeellisia tietoja, joita Tullilla on lain 13 §:n nojalla oikeus saada, tarpeellista rikosanalyysiä varten sellaisten tullirikosten estämiseksi, paljastamiseksi tai selvittämiseksi, joista saattaa seurata vankeutta. Voimassa olevat säännökset ohjaavat analyysitoimintaa yksittäisten rikosten tai rikoskokonaisuuksien suuntaan eivätkä niinkään tietoon rikollisuuden kokonaistilanteesta tai toimintaympäristössä tapahtuvista muutoksista. Rikosanalyysirekisterien ongelmana toiminnalliselta kannalta on myös se, että niihin sisältyvät tiedot eivät ole käytettävissä valtakunnallisesti. Tietojen hajanainen tallentaminen on ongelmallista myös valvonnan kannalta. 

Hallituksen esityksessä ehdotetussa 7 §:ssä käsittelykynnys olisi eräiden henkilöryhmien osalta nykyistä korkeampi. Voimassa olevassa laissa ei säädetä lainkaan tilapäisiin analyysirekistereihin talletettavista henkilöryhmistä, joten sääntely täsmentyisi huomattavasti nykytilaan verrattuna. Tietoja voitaisiin kuitenkin jatkossa käsitellä valtakunnallisesti rikosten ennalta estämiseen tai paljastamiseen liittyvän tehtävän suorittamiseksi. Näin ollen tietoja käsiteltäisiin Tullin rekisterinpidossa yhtenäisten valtakunnallisten prosessien mukaisesti, mikä helpottaisi käsittelyn ohjausta ja valvontaa sekä tietojen suojaamista. 

Rikostorjunnan tietojärjestelmä

Rikostorjunnan tietojärjestelmän havaintotietoja koskeva sääntely (voimassa olevan 3 §:n 3 momentin 2 kohta) on hallituksen esityksessä sisällytetty rikosten ennalta estämistä ja paljastamista koskevien säännösten yhteyteen 7 §:n 5 momenttiin. Havaintotietojen osalta sääntelyyn ei ehdoteta sisällöllisiä muutoksia, vaan käsittelykynnys säilyisi nykyistä vastaavana. 

Havaintotietojen lisäksi Tulli tallettaa rikostorjunnan tietojärjestelmään rikosten ennalta estämiseksi myös voimassa olevan lain 3 §:n 2 momentissa tarkoitettujen todistajien, ilmoittajien ja muuten asiaan liittyvien henkilöiden tietoja. Näistä henkilöistä järjestelmään talletetaan 3 §:n 3 momentin 1 kohdan c alakohdassa tarkoitettuja tietoja muista Tullin tehtävään, toimenpiteeseen tai tapahtumaan liittyvistä tarpeellisista kuvauksista, olosuhteista ja yksilöinneistä

Tullin rikostorjunnan toimenpiteen kohteena on ennalta estävässä toiminnassa usein myös sellaisia henkilöitä, joiden ei voida perustellusti olettaa syyllistyvän vankeusuhkaiseen rikokseen tavalla, jota valiokunnan 7 §:n 2 momentin 1 kohtaan ehdottama käsittelykynnys edellyttää. Tullille voi syntyä selonottovelvoite tai velvoite ryhtyä toimenpiteisiin myös tilanteissa, joissa henkilön ei vielä voida perustellusti olettaa syyllistyvän rikokseen. Lisäksi toimenpiteen kohteena voi olla myös henkilöitä, joiden voidaan perustellusti olettaa syyllistyvän rikokseen (tai olevan 7 §:n 2 momentin 2 kohdassa tarkoitetulla tavalla yhteydessä rikolliseen toimintaan), mutta rikoksen vakavuusaste ei ole selvillä. Pykälissä tarkoitetun käsittelyn ulkopuolelle jäisi siten osa sellaisista henkilötiedoista, joita voidaan käsitellä voimassa olevan lain mukaisessa rikostorjunnan tietojärjestelmässä ilman, että käsittely on sidottu rikoksen vakavuusasteeseen. Näin ollen muutos heikentäisi Tullin rikostorjunnan mahdollisuuksia ennalta estävän toiminnan tietojen kirjaamiseen joiltain osin nykytilaan verrattuna. 

Tullin ennalta estävään toimintaan liittyvän toimenpiteen kohteiden käsittelyn kattamiseksi on hallituksen esityksessä ehdotettuun 7 §:n 2 momentin 3 kohtaan hallintovaliokunnan näkemyksen mukaan tarve lisätä uusi henkilöryhmä, tullivalvonnan tai tullirikostorjunnan toimenpiteen kohteena olevat henkilöt. Tullin olisi voitava käsitellä myös näiden toimenpiteen kohteena olevien henkilöiden tietoja rikosten ennalta estämiseen ja paljastamiseen liittyvien tehtävien suorittamiseksi, kunnes selviää, täyttyykö 7 §:n 2 momentin 1 tai 2 kohdan mukainen käsittelykynnys. Tullin toimenpiteet luonnollisten henkilöiden osalta liittyvät aina yksittäiseen tehtävään ja niihin voi liittyä eriasteista julkisen vallan käyttöä. 

Ennalta estävän toiminnan kirjaamista ei ole nimenomaisesti huomioitu rikostorjunnan tietojärjestelmää koskevissa säännöksissä lukuun ottamatta hallituksen esityksessä ehdotetun 3 §:n 1 momentissa määriteltyä käsittelytarkoitusta, joka kattaa kaikki Tullille laissa säädetyt valvonta- ja rikostorjuntatehtävät. Ehdotetut 7 ja 8 § selventäisivät tältä osin Tullin mahdollisuuksia toimenpiteen kohteena olevien henkilöiden tietojen käsittelyyn voimassa olevaan lakiin verrattuna. Valiokunta huomauttaa, että voimassa oleva 3 § mahdollistaa tietojen käsittelyn myös tarkemmin määrittelemättömistä "muista asiaan liittyvistä henkilöistä", joten käsiteltävät henkilöryhmät rajautuisivat valiokunnan ehdottamassa muotoilussa huomattavasti voimassa olevaa lakia tiukemmin. Valiokunta viittaa yksityiskohtaisissa perusteluissa esitettyyn. 

Yhteenveto

Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa perustuslakivaliokunnan valtiosääntöisen huomautuksen huomioon ottamiseksi, että henkilötietojen käsittely sidotaan epäillyn rikoksen vakavuuteen. Henkilötietojen käsittelykynnystä korotettaisiin siten, että tietoja voitaisiin käsitellä ainoastaan sellaisista henkilöistä, joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseen, josta laissa säädetty ankarin rangaistus on vankeutta. 

Hallintovaliokunta toteaa, että mikäli käsittelykynnys nostettaisiin "syytä epäillä" -tasolle, korostuisi tarve toimenpiteen kohteena olevien henkilöiden tietojen käsittelyyn entisestään. Toimenpiteen kohteiden tietoja olisi tässä tilanteessa käsiteltävä hallituksen esityksessä ehdotetun 7 §:n 2 momentin 3 kohdan nojalla, kunnes käy ilmi, onko henkilön syytä epäillä syyllistyneen tai syyllistyvän vankeusuhkaiseen rikokseen. Edellä rikosten ennalta estämistä ja paljastamista koskevan sääntelyn ja rekisterivertailun yhteydessä todetuin perustein valiokunta toteaa, että se pitää hallituksen esityksessä ehdotettua 7 §:n 2 momentin 1 kohdan käsittelykynnystä "voidaan perustellusti olettaa" perusteltuna eikä ehdota sen muuttamista. 

Hallintovaliokunta korostaa, että Tullin toimintaan johtavan päätöksenteon tulee pohjautua asianmukaiseen, oikeaan ja ajantasaiseen tietoon. Tietojen käsittelyllä varmistetaan tehtävien ja toimenpiteiden oikeasuhtainen kohdentuminen eli tietojohtoinen toiminta. Tietojen käsittely ja dokumentointi ovat myös oikeussuojakeinoja, joilla varmistetaan sekä toimenpiteen kohteiden sekä toimenpiteitä suorittavien henkilöiden oikeusturva. Toiminnan jälkikäteinen arviointi voi lähtökohtaisesti perustua vain dokumentoituun tietoon. 

Tietojen luovuttaminen ja vastaanottaminen

Tullin henkilötietolaista antamassaan lausunnossa perustuslakivaliokunta viittaa säännökseen Tullin oikeudesta saada tietoja eräistä rekistereistä ja tietojärjestelmistä (PeVL 60/2018 vp). Lausunnossa viitataan siihen, että perustuslakivaliokunta on arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Valiokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 14/2018 vp, s. 5).Valiokunnan mukaan samanlaisia lähtökohtia voidaan soveltaa myös tietojen saamiseen ja luovuttamiseen yksityiseltä esimerkiksi pankkisalaisuuden estämättä (ks. PeVL 48/2018 vp, s. 5). 

Perustuslakivaliokunta katsoo, että Tullin henkilötietolakiin ehdotettua 14 §:n sääntelyä Tullin oikeudesta saada tietoja eräistä rekistereistä ja tietojärjestelmistä on täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu lakiehdotuksen 15 §:n sääntelyyn muiden viranomaisten tietojen luovuttamiseen Tullille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten, 18 §:n sääntelyyn henkilötietojen luovuttamisesta toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle ja 19 §:n sääntelyyn muusta henkilötietojen luovuttamisesta viranomaisille. 

Hallituksen esitykseen HE 241/2018 vp sisältyvästä Rajavartiolaitoksen henkilötietolaista annetun perustuslakivaliokunnan lausunnon (PeVL 58/2018 vp) mukaan 1. lakiehdotuksen 17 §:n sääntelyä on täsmennettävä ja muutettava perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan johdosta valiokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu lakiehdotuksen 18 §:n sääntelyyn tietojen saannista yksityiseltä yhteisöltä ja henkilöltä, 20 §:n sääntelyyn tietojen saannista eräistä rekistereistä ja tietojärjestelmistä, 30 §:n sääntelyyn henkilötietojen luovuttamisesta toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle sekä 31 §:n sääntelyyn henkilötietojen muusta luovuttamisesta viranomaiselle. 

Vastaavat säännökset tietojen luovuttamisesta ja saamisesta sisältyvät myös poliisin henkilötietolakiin (HE 242/2018 vp). Perustuslakivaliokunnan lausuntoon sisältyy valtiosääntöinen huomautus vain suojelupoliisia koskevaan lakiehdotuksen 51 §:ään (PeVL 51/2018 vp). Hallintovaliokunta katsoo, että sääntelyn tulisi olla mahdollisimman yhdenmukaista ottaen huomioon poliisin, Tullin ja Rajavartiolaitoksen PTR-yhteistyön ja muun viranomaisten välisen yhteistyön. Sääntely ei myöskään saisi johtaa siihen, että tietoja voi luovuttaa muihin EU-/ETA-maihin tai kolmansiin maihin väljemmin kriteerein kuin kansallisesti. 

Lisäksi on huomioitava se, että yleisen käytännön mukaan tietojen luovuttamista ja tiedonsaantioikeutta koskevat säännökset on sisällytetty sekä luovuttavan että vastaanottavan viranomaisen lainsäädäntöön. Tällainen sääntelytapa ei kuitenkaan ole ollut kattavaa. Hallintovaliokunta on kiinnittänyt huomiota kaksinkertaiseen sääntelyyn muun muassa mietinnössään HaVM 36/2014 vp. Kaksinkertaisen sääntelyn lisäksi tiedonvaihtoa on säännelty erityislainsäädännössä myös siten, että tiedonsaantioikeudesta säädetään vain tiedon luovuttajaa koskevissa säädöksissä, sekä siten, että tiedonsaantioikeudet sisältyvät vain vastaanottajaa koskevaan lainsäädäntöön. 

Hallintovaliokunta toteaa, että ehdotettu sääntely olisi nyt muodostumassa erilaiseksi yhtäältä poliisin ja Rajavartiolaitoksen/Tullin välillä, toisaalta eräiltä osin myös Tullin ja Rajavartiolaitoksen välillä. Edellytetyt muutokset johtaisivat myös siihen, että tietoja voisi luovuttaa muihin EU-/ETA-maihin tai kolmansiin maihin väljemmin kriteerein kuin kansallisesti. 

Perustuslakivaliokunta on lausunnoissaan antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. esim. PeVL 15/2018 vp, s. 39). 

Hallintovaliokunta toteaa, että arkaluonteisia henkilötietoja käsitellään Tullissa sekä poliisidirektiivin että tietosuoja-asetuksen soveltamisalaan kuuluvia Tullin tehtäviä varten. Lisäksi Tullin tarpeet käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja liittyvät lähes jokaiseen lakiehdotuksen mukaiseen käsittelytarkoitukseen. 

Tietosuojasääntely on EU:n tietosuojauudistuksen myötä tiukentunut. Tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyssä noudatettavista periaatteista ja 6 artiklassa käsittelyn lainmukaisuudesta. Henkilötietojen käsittely on lainmukaista muun muassa silloin, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. 

Tietosuoja-asetuksen 9 artiklan 1 kohdan mukaan erityisiä henkilötietoryhmiä koskevien henkilötietojen käsittely on lähtökohtaisesti kielletty. Erityisiä henkilötietoryhmiä ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisten henkilötietoryhmien käsittelyä on myös geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Artiklan 2 kohdan mukaan kyseisiä tietoja voidaan kuitenkin käsitellä, jos joku 2 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Osa näistä alakohdista on suoraan sovellettavaa oikeutta, osa edellyttää kansallista lainsäädäntöä. 

Tietosuoja-asetusta täydentävän kansallisen tietosuojalain 6 §:ssä säädetään tilanteista, joissa arkaluonteisia henkilötietoja saa käsitellä siltä osin kuin kyseinen henkilötietojen käsittely ei ole mahdollista suoraan tietosuoja-asetuksen 9 artiklan 2 kohdan nojalla. Tässä yhteydessä on kuitenkin tärkeää huomata, että erityisten henkilötietoryhmien käsite ei ole täysin sama kuin aiemmin voimassa olleen henkilötietolain 12 §:ssä tarkoitetut henkilötiedot. Tietosuoja-asetus edellyttää lisäksi, että jäsenvaltion lainsäädännössä säädetään tällöin myös asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. 

Rikosasioiden tietosuojalain 6 §:n mukaan käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Erityiset henkilötietoryhmät ovat rikosasioiden tietosuojalain 11 §:n mukaan vastaavat kuin tietosuoja-asetuksessa. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä ja rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja käsittelylle on osoitettavissa 11 §:ssä mainittu oikeusperuste, esimerkiksi erityislaki. 

Käsittelyllä tarkoitetaan tietosuoja-asetuksessa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojen käsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista (4 artiklan 2 kohta). Rikosasioiden tietosuojalain 3 §:ssä käsittely määritellään vastaavalla tavalla. 

Perustuslakivaliokunta on lausunnossaan pitänyt säätämisjärjestyskysymyksenä sitä, että erityisen perusoikeusherkkään lakiehdotukseen tulee lisätä yleissäännös arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Vaihtoehtoisesti sääntelyä on täydennettävä pykäläkohtaisesti arkaluonteisten tietojen käsittelyn välttämättömyyteen sitovilla säännöksillä. Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon johdosta tällaisen yleissäännöksen ottamista uuteen 4 §:ään yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Kun tietojen luovuttaminen ja vastaanottaminen ovat edellä todetulla tavalla kummankin tietosuojasäädöksen soveltamisalalla tietojen käsittelyä, koskee hallintovaliokunnan ehdottama uusi säännös erityisiä henkilötietoryhmiä koskevien tietojen käsittelyn välttämättömyys-kriteeristä myös tietojen luovuttamista ja saamista, minkä johdosta säännös täyttää myös perustuslakivaliokunnan käytännössä arkaluonteisten tietojen käsittelyä viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevalta sääntelyltä edellytetyn. 

Muiden kuin erityisiä henkilötietoryhmiä koskevien tietojen osalta tulee sovellettavaksi yleislainsäädäntö, toisin sanoen tietosuoja-asetus ja tietosuojalaki sekä rikosasioiden tietosuojalaki, joiden mukaan henkilötietoja saa käsitellä vain, jos se on tarpeen viranomaiselle säädetyn tehtävän suorittamiseksi. 

Hallintovaliokunta katsoo, että sääntely hallintovaliokunnan ehdottamassa muodossa täyttää EU-oikeudessa ja perustuslakivaliokunnan vakiintuneessa tulkintakäytännössä henkilötietojen käsittelylle asetetut edellytykset ja ottaa huomioon hallituksen esitykseen sisältyvän 1. lakiehdotuksen 14, 15, 18 ja 19 §:stä tehdyt valtiosääntöoikeudelliset huomautukset. 

Tietojen säilytysajat

Henkilötietojen säilytysajoista ehdotetaan säädettävän lain 5 luvussa. Perustelujen mukaan tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja tietosuojadirektiivin 4 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen henkilötietojen käsittelytarkoitusten toteuttamista varten. Luvussa säädettäisiin henkilötietojen enimmäissäilytysajoista. Luvun säännökset eivät rajoittaisi muualla laissa olevien tietojen poistamista tai tarpeellisuuden arviointia koskevien säännösten soveltamista, vaan luvussa mainittuja poistoaikoja olisi noudatettava, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin. 

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty muun muassa siihen, että joidenkin tietojen säilytysaika on ilmaistu absoluuttisena ("viiden vuoden kuluttua"), joidenkin enimmäisaikana ("viimeistään kymmenen vuoden kuluttua"). Edellä kuvattujen säännösten perusteella absoluuttista enimmäisaikaa tulisi käyttää vain silloin, kun etukäteen voidaan tietää säilytystarpeen pituus. Säännösten soveltamisessa tulisi kuitenkin ottaa huomioon, että tiedot tulee poistaa, kun niiden säilyttämiseen ei ole enää perustetta. Suhteellisuusperiaatteen toteuttamiseksi tietojen säilytysaikaa voi lisäksi olla myös tarpeen porrastaa tiedon tarpeellisuuden mukaan. 

Hallintovaliokunta toteaa, että 5 luvun poistoaikoja noudatetaan, ellei jokin muu säännös edellytä tietojen poistamista jo aiemmin. Valiokunta pitää kuitenkin perusteltuna, että säilytysajat ilmaistaan joiltain osin absoluuttisessa muodossa. Esimerkiksi hallituksen esityksessä ehdotetun 25 §:n 1 momentin mukaisella viiden vuoden säilytysajalla varmistetaan, että tiedot säilytetään vähintään sen ajan kuin asian käsittely ja lainvoimaisen ratkaisun saaminen oikeuslaitoksessa kestää. Toisaalta esimerkiksi hallituksen esityksessä 27 ja 28 §:ssä on tarkoituksenmukaista korostaa sitä, että tiedot on poistettava jo ennen säännösten mukaisen 10 vuoden säilytysajan päättymistä, mikäli ne käyvät käsittelytarkoituksen kannalta tarpeettomiksi. 

Hallintovaliokunnan mielestä on tarkoituksenmukaista myös varmistaa, että 5 luvussa tarkoitetut säilytysajat eivät estä tietojen säilyttämistä tilanteissa, joissa tietojen voidaan edelleen perustellusti katsoa olevan tarpeellisia (hallituksen esityksen 25 §:n 4 momentti, 26 §:n 4 momentti ja 27 §:n 2 momentti). Tietojen edelleen säilyttämisen tarpeellisuutta tulee näissä tilanteissa arvioida vähintään viiden vuoden välein. Tältä osin sääntely vastaisi rikosasioiden tietosuojalain 6 §:n 3 momenttia, jonka mukaan henkilötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä. Lisäksi valiokunta katsoo, että muita tietoja lyhyemmän säilytysajan asettaminen esimerkiksi arkaluonteisina pidettäville tiedoille johtaisi tilanteisiin, joissa osa samaan tehtävään liittyvistä tiedoista olisi poistettava eri aikaan kuin muut. Tämä olisi ongelmallista etenkin tietojen eheyden kannalta. 

Edellä todetun perusteella hallintovaliokunta pitää ehdotettuja säilytysaikoja asianmukaisina. Perustuslakivaliokunnan lausunnossa ei ole esitetty huomautuksia säilytysajoista. 

Valvonta

Perustuslakivaliokunta on todennut, että Tullin henkilörekistereihin talletetaan runsaasti sellaisia tietoja, joiden suojaaminen oikeudettomalta käytöltä on erittäin tärkeää. Tällaisessa tilanteessa myös tietojen käytön valvontaan on kiinnitettävä korostettua huomiota. Perustuslakivaliokunta korostaa, että tietojen suojaamista oikeudettomalta käytöltä ei voi perustaa yksin rekisterinpitäjää tai tietojen käsittelijää koskevan virkavastuun tai muun seuraamusjärjestelmän varaan. 

Voimassa olevan lain 30 §:n mukaan Tullin valvontaosasto sekä rekisterinpitäjänä toimiva Tullin toimintayksikkö valvovat henkilötietojen käsittelyä koskevien säännösten noudattamista Tullissa sen lisäksi, mitä muualla laissa säädetään. Lisäksi Tullin työjärjestyksen tasoisella Tullin rikostorjunnan ohjesäännöllä on annettu erityisesti Tullin rikostorjunnan toiminnan laillisuusvalvontaan velvoittava määräys. Sen 6 luvun 6 §:n mukaan rikostorjunnan vastuuyksikköjen päälliköiden tulee riittävällä tavalla huolehtia rikostorjunnan laillisuuden valvonnasta omalla tehtäväalueellaan ja tukea tarvittavassa laajuudessa Tullin yleistä ja Tullin valvontaosaston suorittamaa laillisuusvalvontaa. Laillisuusvalvonta Tullissa tarkoittaa esimerkiksi hallintokantelujen ja kansalaispalautteen käsittelyä, henkilötietojen käsittelyn valvontaa, tarkastustoimintaa sekä lausuntojen antamista erityisesti ylimmille laillisuusvalvojille. 

Tullin hallinnosta annetun lain nojalla annetun Tullin työjärjestyksen (157/2018) mukaan Tullin osastot ja muut yksiköt vastaavat rekisterinpidosta tehtäväalueellaan. Siten osastojen ja muiden yksiköiden johto on vastuussa siitä, että henkilötietojen käsittely ja henkilörekisterin käytön valvonta on järjestetty lainmukaisesti sekä tarkoituksenmukaisella ja tehokkaalla tavalla. Valvontaosaston toiminnan laillisuusvalvonnasta vastaa osaltaan myös osastoon kuuluva kansainvälisten ja oikeudellisten asioiden yksikkö. 

Tullin sisäisessä laillisuusvalvonnassa korostuu yksiköiden päälliköiden, muun päällystön sekä lähiesimiesten toiminta sekä henkilötietojen käsittelyä koskevan koulutuksen ja ohjeistuksen merkitys. Henkilötietojen käsittelyn valvonta perustuu päivittäisen esimiesvalvonnan lisäksi käyttöoikeuskäytäntöihin ja lokiseurantaan sekä erilaisiin tarkastuksiin. Käyttöoikeuksien myöntämiskäytännöillä voidaan vaikuttaa siihen, että henkilötietoja käsittelevät ainoastaan sellaiset henkilöt, joiden työtehtäviin henkilötietojen käsittely kuuluu ja jotka täyttävät lakisääteiset edellytykset käyttöoikeuksien saamiselle. Tulli suorittaa lisäksi pistokoeluontoisia tarkastuksia ylläpitämiensä rekistereiden käyttölokitietoihin. Tarkastuksia tehdään suunnitelmallisesti ja aina, kun siihen ilmenee aihetta. 

Poliisin, Tullin ja Rajavartiolaitoksen yhteistoiminnasta annetun lain (687/2009, PTR-laki) nojalla annetun valtioneuvoston asetuksen (1126/2009) 7 §:n mukaan PTR-rikostiedusteluyksikön henkilötietojen käsittelyn valvonnasta vastaa asianomaisen henkilörekisterin perustanut PTR-viranomainen. Saman pykälän mukaan PTR-viranomaiset järjestävät henkilötietojen valvontaan liittyen yhteisiä tarkastuksia ja muuta valvontaa sen mukaan kuin PTR-viranomaisten valtakunnallisessa yhteistoimintasopimuksessa tarkemmin sovitaan. 

Henkilötietojen käsittelyn valvonnan kannalta merkittävä lainsäädäntömuutos on ollut EU:n tietosuojauudistus. Uudessa tietosuojalainsäädännössä korostuu henkilötietojen käsittelyn lainmukaisuuden varmistaminen ja valvonta. Tietosuoja-asetuksessa säädetään valvontaviranomaisesta ja valvontaviranomaisen toimivaltuuksista. Tietosuojalain mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu. 

Tietosuojavaltuutettu toimii myös rikosasioiden tietosuojalain noudattamista valvovana erityisviranomaisena. Tietosuojavaltuutettu valvoo lain noudattamista sekä omatoimisesti että sille tehtyjen toimenpidepyyntöjen perusteella. Se voi tehdä selvityksiä lain noudattamisesta ja käsitellä sille tehtyjä toimenpidepyyntöjä. Valtuutettu voi lainvastaisen menettelyn tapauksessa esimerkiksi antaa rekisterinpitäjälle huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Valtuutettu voi asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon. 

Eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat ylimpinä laillisuusvalvojina henkilötietojen käsittelyä koskevan lainsäädännön noudattamista osana yleistä viranomaisten ja virkamiesten toiminnan laillisuusvalvontaa. Molemmat tekevät myös säännönmukaisia tarkastuksia toiminnan laillisuuden ja henkilötietojen käsittelyn tarkastamiseksi. Eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri valvovat myös tietosuojavaltuutetun toiminnan lainmukaisuutta. 

Esitys Tullin henkilötietolainsäädännön uudistamiseksi sisältää ehdotuksia, jotka ovat omiaan lisäämään valvonnan tarvetta. Samalla sääntelyä pyritään kuitenkin kehittämään niin, että se helpottaisi henkilötietojen käsittelyn ohjausta ja valvontaa sekä tietojen suojaamista. Hallintovaliokunnan näkemyksen mukaan uuden valvontaa sääntelevän lainsäädännön, valvontaa koskevan muun normipohjan ja käytännön tehostamistoimien voidaan arvioida antavan aikaisempaa paremmat edellytykset henkilötietojen käsittelyn valvontaan. Henkilötietojen suojan toteutuminen ja valvonnan tehokkuus edellyttävät kuitenkin myös riittävien resurssien varmistamista. 

Uusi tietosuojalainsäädäntö sisältää yksityiskohtaiset säännökset paitsi henkilötietojen käsittelyn valvonnasta ja lainvastaisen henkilötietojen käsittelyn seuraamuksista myös muun muassa rekisterinpitäjän vastuusta ja velvollisuuksista, rekisteröidyn oikeuksista ja tietoturvallisuudesta. EU:n tietosuojauudistus on terävöittänyt rekisterinpitäjän vastuuta. Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Rekisterinpitäjän on lisäksi kyettävä osoittamaan, että henkilötietojen käsittely on tietosuojalainsäädännön mukaista myös käytännössä. Myös tällä on merkitystä valvonnan kannalta. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

1.  Laki henkilötietojen käsittelystä Tullissa

1 §. Soveltamisala.

Valiokunta ehdottaa 1 momenttia täydennettäväksi maininnalla siitä, että tätä lakia sovelletaan, jollei muualla laissa toisin säädetä. Tullilla voi olla myös erityissääntelyä. 

Ehdotetun 2 momentin mukaan, muun muassa, tässä laissa säädetään rekisteröidyn oikeuksista. Tällä viitataan lakiehdotuksen 6 lukuun, jossa säädettäisiin rekisteröidyn tarkastusoikeuden toteuttamisesta, tarkastusoikeuden rajoittamisesta ja tietosuoja-asetuksen 18 artiklan mukaisen rajoittamisoikeuden rajoittamisesta. Valiokunta toteaa, että ehdotettu laki ei sisällä säännöksiä varsinaisista rekisteröidyn oikeuksista, vaan näiden oikeuden käyttöä ja rajoittamista koskevia säännöksiä. Rekisteröidyn oikeuksista säädetään rikosasioiden tietosuojalaissa ja Euroopan unionin yleisessä tietosuoja-asetuksessa. Tietosuoja-asetus on suoraan soveltuvaa oikeutta, eikä siitä voida poiketa kansallisella lailla muuten kuin asetuksessa säädetyin tavoin. Näistä syistä valiokunta ehdottaa, että 2 momentin viittaus muutetaan muotoon "tässä laissa säädetään rekisteröidyn oikeuksien käyttämisestä ja niiden rajoittamisesta". 

2 §. Suhde muuhun lainsäädäntöön.

Valiokunta on täydentänyt pykälän 1 momentin 1 kohtaan säädöskokoelmanumeron. 

Pykälän 1 momentin 2 kohta sisältää viittauksen viranomaisten toiminnan julkisuudesta annettuun lakiin. Perustuslakivaliokunta lausunnossaan huomauttaa, että yleislakina sovellettavaksi tulevan, perustuslakivaliokunnan nimenomaisella myötävaikutuksella tältä osin (PeVL 14/2018 vp, PeVL 26/2018 vp) säädetyn tietosuojalain 28 §:n ja vastaavasti rikosasioiden tietosuojalain 2 §:n mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Perustuslakivaliokunta pitää perustuslain 12 §:n 2 momentista johtuvista syistä välttämättömänä, että sääntelyn sanamuoto yhtenäistetään yleislain kanssa. Tämä on tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi. Säännöstä on mahdollista täydentää rikosasioiden tietosuojalain 62 §:n mukaisella sääntelyllä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta. 

Hallintovaliokunta toteaa viittauksen täsmentämisen olevan välttämätöntä ja ehdottaa, että 1 momentin 2 kohtaan sisällytetään tietosuojalain 28 §:ää ja rikosasioiden tietosuojalain 2 §:ää vastaava aineellinen viittaus viranomaisten toiminnan julkisuudesta annettuun lakiin. Rikosasioiden tietosuojalain 62 §:n mukaan vaitiolovelvollisuudesta ja tietojen hyväksikäyttökiellosta säädetään viranomaisen toiminnan julkisuudesta annetun lain 23 §:ssä. Valiokunta katsoo, ettei tätä koskevan informatiivisen viittauksen lisääminen ole tässä yhteydessä tarpeen. 

Valiokunta on täydentänyt 2 momenttiin säädöskokoelmanumeron. 

3 §. Henkilötietojen käsittelyssä noudatettavat periaatteet ja syrjintäkielto. (Uusi)

Perustuslakivaliokunta toteaa lausunnossaan, että ehdotetun sääntelyn soveltamisessa on rikosasioiden tietosuojalakiin sisältyvien henkilötietojen käsittelyä koskevien yleisten periaatteiden lisäksi otettava huomioon EU-oikeudestakin seuraavat välttämättömyyden, oikeasuhtaisuuden, yhdenvertaisuuden ja syrjimättömyyden vaatimukset. Valiokunta on arvioidessaan poliisin toimivaltuuksia määrittävää siviilitiedustelulainsäädäntöä korostanut tarvetta säätää yleisistä periaatteista tietoliikennetiedustelulaissa ja sotilastiedustelulaissa sekä poliisilaissa yhdenmukaisesti. Tämä on valiokunnan mukaan tärkeää myös virheellisten vastakohtaispäätelmien välttämiseksi. Valiokunta katsoi arvioidessaan lakiehdotusta henkilötietojen käsittelystä poliisitoimessa, että vaikka poliisilain periaatesäännökset tulevat sinänsä sovellettavaksi myös tuolloin arvioidun lain soveltamisessa, valiokunnan mielestä tuolloin arvioitua lakiehdotusta oli täydennettävä poliisilain 1 luvun 2—5 §:n kaltaisilla periaatesäännöksillä. Valiokunnan mielestä myös nyt arvioitavaa lakiehdotusta on täydennettävä vastaavin periaatesäännöksin. 

Perustuslakivaliokunta katsoi arvioidessaan siviilitiedustelulainsäädäntöä, että ottaen huomioon tiedustelutoimintaan liittyvät profiloinnin riskit myös nimenomaisen ja asianmukaisesti laaditun syrjintäkiellon ottaminen lakiin oli välttämätöntä, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. Valiokunta piti sotilastiedustelulainsäädännön arvion yhteydessä säätämisjärjestyskysymyksenä sitä, että tällaisen kiellon on vastattava perustuslain 6 §:n 2 momentin syrjintäkieltoa myös siten, että siinä lueteltujen kiellettyjen syrjintäperusteiden luettelo ei ole tyhjentävä. Valiokunta edellytti myös lakia henkilötietojen käsittelystä poliisitoimessa täydennettävän näin muotoillulla yleisellä syrjintäkiellolla, jotta lakiehdotus voitiin käsitellä tavallisen lain säätämisjärjestyksessä. Valiokunnan mielestä tällainen täydennys on myös nyt arvioitavan ehdotuksen kohdalla edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta on perustuslakivaliokunnan lausunnon PeVL 75/2018 vp johdosta ehdottanut, että edellä viitatussa siviilitiedustelulainsäädäntökokonaisuuteen (HE 202/2017 vp) sisältyvässä tietoliikennetiedustelua siviilitiedustelussa koskevassa 2. lakiehdotuksessa säädetään syrjintäkiellosta seuraavasti: "Tietoliikennetiedustelun toimenpiteen kohdentaminen ei saa ilman hyväksyttävää perustetta perustua henkilöiden ikään, sukupuoleen, alkuperään, kansalaisuuteen, asuinpaikkaan, kieleen, uskontoon, vakaumukseen, mielipiteeseen, poliittiseen toimintaan, ammattiyhdistystoimintaan, perhesuhteisiin, terveydentilaan, vammaisuuteen, seksuaaliseen suuntautumiseen tai muuhun henkilöön liittyvään syyhyn." (HaVM 36/2018 vp). 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi, että lakiin lisätään uusi 3 §, jossa viitataan tullilain 6 luvussa säädettyihin perusoikeuksien ja ihmisoikeuksien kunnioittamisen vaatimukseen, suhteellisuusperiaatteeseen, vähimmän haitan periaatteeseen ja tarkoitussidonnaisuuden periaatteeseen. Lisäksi pykälään ehdotetaan vastaava syrjintäkieltoa koskeva säännös kuin poliisin henkilötietolakiin on ehdotettu (HaVM 39/2018 vp). Uuden pykälän johdosta jäljempien pykälien numerointi muuttuu vastaavasti. Lisäksi liitelaeissa olevia pykäläviittauksia tulee tarkistaa. 

4 §. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely. (Uusi).

Perustuslakivaliokunta kiinnittää lausunnossaan huomiota myös siihen, että erityisiin henkilötietoryhmiin kuuluvien tietojen välttämättömyyskriteeristä ehdotetaan säädettävän esimerkiksi 6 §:n 3 kohdassa ja 8 §:n 1 momentin 4 kohdassa. Pykäläehdotusten sanamuodot ovat kuitenkin osin hajanaisia. Mainituissa säännöksissä välttämättömyysedellytys ei vaikuttaisi ulottuvan samoissa kohdissa säänneltyihin muihin erityisiin henkilötietoryhmiin kuuluviin tietoihin. Perustuslakivaliokunnan vakiintuneen käytännön mukaan arkaluonteisten tietojen käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään. Erityisen perusoikeusherkkään lakiehdotukseen tulee lisätä yleissäännös arkaluonteisten tietojen käsittelyyn kohdistuvasta välttämättömyysvaatimuksesta. Vaihtoehtoisesti sääntelyä on täydennettävä pykäläkohtaisesti arkaluonteisten tietojen käsittelyn välttämättömyyteen sitovilla säännöksillä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon johdosta, että lakiin lisätään uusi 4 §, joka sisältää yleissäännöksen erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn välttämättömyysedellytyksestä. Välttämättömyysedellytys koskee kaikkea käsittelyä. Valiokunta viittaa tältä osin yleisperusteluissa lausuttuun. 

Hallintovaliokunnan ehdottaman uuden 4 §:n vuoksi muissa pykälissä oleva päällekkäinen sääntely on tarpeen poistaa. Lisäksi eräitä 2 luvun pykäliä on tarpeen muotoilla virheellisten vastakohtaispäätelmien välttämiseksi uudelleen niin, että mainituista pykälistä poistettaisiin viittaukset "tarpeellisten" tietojen käsittelyyn. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Valiokunnan ehdottamasta uudesta 4 §:stä seuraa, että jäljempien pykälien numerointi muuttuu. Lisäksi liitelaeissa olevia pykäläviittauksia tulee tarkistaa. 

6 (4) §.Henkilön perustietojen käsittely.

Edellä uuden 4 §:n yhteydessä todetun perusteella valiokunta ehdottaa, että 1 momentin johdantokappaleesta ja 14 kohdasta poistetaan maininta tietojen tarpeellisuudesta. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Johdantokappaleen pykäläviittauksia on lisäksi tarpeen tarkistaa muuttuneen pykälänumeroinnin vuoksi. 

7 (5) §. Henkilötietojen käsittely tutkintatehtävissä.

Pykälän 1 momentissa säädetään henkilötietojen käsittelystä tutkintatehtävissä. Säännöksen mukaan Tulli saa käsitellä henkilötietoja tullirikosten selvittämiseen tai syyteharkintaan saattamiseen liittyvää muuta toimenpidettä varten. Pykälän 2 momentin mukaan edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat rikoksesta tai rikokseen osallisuudesta epäiltyjä, alle 15-vuotiaita rikollisesta teosta epäiltyjä, esitutkinnan kohteena, rikoksen ilmoittajia tai asianomistajina esiintyviä, todistajia, uhreja tai muutoin kuin 1—6 kohdassa tarkoitetulla tavalla 1 momentissa tarkoitettuun toimenpiteeseen liittyviä. Perustelujen mukaan 2 momentissa on kyse täsmentävästä sääntelystä. Momentissa mainituista henkilöistä saadaan käsitellä 6 §:n mukaan myös eräitä arkaluonteisia tietoja, esimerkiksi biometrisiä tunnisteita ja terveydentilatietoja. 

Perustuslakivaliokunnan mielestä 2 momentin 7 kohdan sanamuoto on ongelmallisen avoin. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, s. 11). Valiokunnan mielestä säännöstä on myös nyt välttämätöntä täsmentää olennaisesti esimerkiksi perustuslakivaliokunnan lausunnossa PeVL 51/2018 vp esitetyillä näkökohdilla. Tällainen muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon johdosta, että 2 momentin 7 kohta muutetaan koskemaan vain esityksen perusteluissa tarkoitettuja henkilöitä, jotka voivat antaa Tullille tehtävään liittyviä lisätietoja. Tullin tutkintatehtävissä tarpeellisten lisätietojen antajia koskevia henkilötietoja voidaan myös voimassa olevan Tullin henkilötietolain 3 §:n perusteella tallettaa rikostorjunnan tietojärjestelmään. Tässä tarkoitettuja lisätietojen antajia ovat myös asiantuntijan roolissa toimivat henkilöt. 

Pykälän 3 momentin mukaan Tulli saa käsitellä rikostorjunnasta Tullissa annetussa laissa (623/2015) tarkoitetun rikostorjunnan tullimiehen hankkimia ja saamia henkilötietoja myös sen arvioimiseksi, ovatko tiedot merkityksellisiä 1 momentissa tarkoitetun käsittelytarkoituksen kannalta. Tietojen merkityksellisyys on arvioitava ja tarpeettomat tiedot poistettava viipymättä, kuitenkin viimeistään kuuden kuukauden kuluttua niiden tallettamisesta. Vastaava säännös sisältyy myös rikosten ennalta estämistä tai paljastamista koskevaan 7 §:n 6 momenttiin. 

Säännöksessä olisi kyse viranomaisen tehtävien suorittamisen yhteydessä saatujen henkilötietojen käsittelemisestä tilanteissa, joissa tiedot eivät liity suoraan käsillä olevaan yksittäiseen tehtävään. Perusteluiden mukaan tällaisia tietoja tulisi kerätyksi muun muassa rikosanalyysin yhteydessä julkisista lähteistä, kuten internetistä ja viranomaisten julkisista rekistereistä. Tietoja voitaisiin verrata tietojärjestelmiin jo talletettuihin henkilötietoihin sen selvittämiseksi, täyttyvätkö laissa säädetyt edellytykset käsittelylle. 

Esityksen perusteluissa viitataan myös siihen, että rekisteriin tallentuisi väistämättä myös tietoja, jotka tarpeellisuusarvioinnissa osoittautuisivat Tullin tehtävien kannalta merkityksettömiksi. Rekisteröityjen oikeusturvaa parantaisi perusteluiden mukaan kuitenkin se, että tietoja saisi säilyttää korkeintaan kuuden kuukauden ajan ja tarpeettomiksi arvioidut tiedot olisi poistettava viipymättä jo ennen kuuden kuukauden määräajan täyttymistä. 

Perustuslakivaliokunta on lausunnossaan tarkastellut ehdotettua sääntelyä sekä kansallisesta että EU-oikeudellisesta näkökulmasta, mukaan lukien Euroopan unionin tuomioistuimen oikeuskäytäntö. Valiokunta toteaa lausunnossaan lisäksi muun muassa, että sen käsityksen mukaan ehdotettu säännös merkitsee sitä, että Tulli voisi tallettaa sähköisiin tietokantoihin suuria määriä henkilötietoja, joiden merkityksellisyys on tietojen tallettamistilanteessa epäselvä. Rekisteröitävien henkilötietojen sisältöä ja niiden sallittuja käyttötarkoituksia ei ole laissa määritelty. Valiokunta toteaa muun muassa myös, että ehdotettua henkilötietojen käsittelyä merkityksellisyyden arviointia varten ei voisi valvoa, koska säännös mahdollistaisi Tullille oikeuden rekisteröidä tietojärjestelmään henkilötietoja rajoittamattomasti, ilman niiden käyttötarkoituksen, sisällön tai rekisteröimisedellytysten määrittelemistä. 

Perustuslakivaliokunnan käsityksen mukaan ehdotetun sääntelyn perusteella muodostuisi laaja, tietosisällöiltään ja käsittelyn tarkoitukseltaan oikeudellisesti kontrolloimaton rekisteri, joka voisi sisältää laajasti myös arkaluonteisia tietoja.Valiokunnan mukaan on sinänsä selvää, että kerättyjen henkilötietojen käsittely tiettyyn tarkoitukseen edellyttää niiden sisällön arvioimista tarkoituksen kannalta. Valiokunta kiinnittää kuitenkin huomiota siihen, että sekä tietosuoja-asetuksessa että poliisidirektiivissä henkilötietojen käsittelyllä tarkoitetaan myös tietojen keräämistä, mikä on mahdollista vain tiettyyn nimenomaiseen tarkoitukseen. Kyse ei siten ole säätämisjärjestysperusteluissa viitatuin tavoin henkilötietojen "esikäsittelystä". Myös perustuslakivaliokunnan käytännössä on edellä selostetun mukaisesti edellytetty laintasoista sääntelyä rekisteröinnin tavoitteista, tietosisällöistä ja sallituista käyttötarkoituksista.Valiokunta on edellyttänyt erityisesti arkaluonteisten tietojen käsittelyn rajoittamista täsmällisillä ja tarkkarajaisilla laintasoisilla säännöksillä vain välttämättömään. 

Säännösehdotukset mahdollistaisivat Tullin tehtävien kannalta merkityksettömien tietojen keräämisen ja tallettamisen rekisteriin jopa kuuden kuukauden ajaksi. Perustuslakivaliokunnan mukaan vastaavat säännösehdotukset hallituksen esityksessä laiksi henkilötietojen käsittelystä poliisitoimessa (PeVL 51/2018 vp), esityksessä laiksi henkilötietojen käsittelystä puolustusvoimissa (PeVL 52/2018 vp) ja esityksessä laiksi henkilötietojen käsittelystä Rajavartiolaitoksessa (PeVL 58/2018 vp) olivat ehdotetussa muodossa perustuslainvastaisia. 

Nyt arvioitavat säännökset ovat perustuslakivaliokunnan mukaan joiltain osin täsmällisempiä. Oikeus käsitellä tietoja merkityksellisyyden arvioimiseksi on sidottu niiden hankkimistapaan. Esimerkiksi 5 §:n 3 momentin mukaan näin saa käsitellä rikostorjunnasta Tullissa annetussa laissa tarkoitetun rikostorjunnan tullimiehen hankkimia ja saamia henkilötietoja. Perustuslakivaliokunnan mielestä tällainen rajaus ei ole kuitenkaan riittävä eikä poista säännösehdotusten edellä todettuja ongelmia. Valiokunnan mielestä 1. lakiehdotuksen 5 §:n 3 momentin ja 7 §:n 6 momentin säännökset käsittelystä tietojen merkityksellisyyden arvioimiseksi on ehdotetussa muodossa poistettava lakiehdotuksesta. Tällaiset muutokset ovat edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Valiokunta huomauttaa, että henkilötietojen käsittelyn perusteiden arvioinnista voidaan perustuslain estämättä säätää esimerkiksi perustuslakivaliokunnan myötävaikutuksella (PeVL 60/2010 vp) säädetyn poliisilain 5 luvun 55 §:n kaltaisella tiedon hävittämistä koskevalla sääntelyllä (ks. myös pakkokeinolain 57 § ja PeVL 66/2010 vp sekä PeVL 32/2013 vp). 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausuntoon viitaten, että 3 momentin säännös merkityksellisyyden arvioinnista poistetaan ja että sen sijaan 3 momenttiin otetaan poliisilain 5 luvun 55 §:n kaltainen tiedon hävittämistä koskeva säännös, jonka mukaan Tullin tehtävien suorittamisen yhteydessä saadut tiedot on hävitettävä viipymättä sen jälkeen, kun on käynyt ilmi, ettei tietoa tarvita 1 momentissa tai 15 §:n 1 momentissa tarkoitettuun käsittelytarkoitukseen. 

Hallintovaliokunnan ehdottama säännös ei laajenna Tullin toimivaltuuksia tietojen keräämiseen. Säännökset koskevat vain sellaisten tietoaineistojen käsittelyä, jotka Tulli saa tehtäviään suorittaessaan haltuunsa joko muualla säädetyillä toimivaltuuksillaan tai tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia. 

Hallintovaliokunta toteaa, että tietojen tarpeettomuus ja siitä seuraava velvollisuus hävittää tiedot viipymättä ei usein käy ilmi ilman mahdollisuutta nykyaikaisen tekniikan hyödyntämiseen etenkään silloin, kun kyse on suurista tietoaineistoista. Säännökset mahdollistaisivat lainmukaisesti kerättyjen tietojen käsittelyn tarvittaessa myös automaattisen tietojenkäsittelyn keinoin sen selvittämiseksi, onko tiedot hävitettävä tarpeettomina vai täyttyvätkö lakisääteiset edellytykset tietojen käyttämiselle Tullin tehtävien suorittamiseksi. Valiokunta pitää tärkeänä, että Tullin tehtävien suorittamiseksi tapahtuvaa henkilötietojen käsittelyä koskeva sääntely kattaa kaikki henkilötietojen käsittelyvaiheet. Valiokunta korostaa myös, että Tullin henkilötietojen käsittely kuuluu kaikissa käsittelyvaiheissa henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piiriin. 

8 (6) §. Tutkintatehtävissä käsiteltävien henkilötietojen sisältö.

Edellä uuden 4 §:n yhteydessä todetun perusteella valiokunta ehdottaa, että pykälän 1 ja 2 kohdasta poistetaan maininnat tietojen tarpeellisuudesta. Samalla 2 kohtaa on sen vuoksi tarpeen muotoilla uudelleen. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja ri-kosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Lisäksi johdantokappaleen pykäläviittauksia on tarpeen tarkistaa muuttuneen pykälänumeroinnin vuoksi. 

Perustuslakivaliokunta on kiinnittänyt huomiota pykälän 1 momentin 3 kohtaan, jossa säädetään ns. turvallisuustietojen tallettamisesta. Säännöksen perusteella Tulli saa käsitellä toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi tarpeellisia tietoja, mukaan lukien henkilön terveydentilan ja sen seurannan tai hänen sairautensa hoidon kannalta välttämättömiä tietoja ja muita erityisiin henkilötietoryhmiin kuuluvia tietoja. Perustuslakivaliokunta on arvioinut vastaavia säännösehdotuksia aiemmin katsoen, että ehdotus näyttää tekevän mahdolliseksi terveystietojen ja sosiaalihuollon toimenpiteiden rekisteröinnin hyvin laajasti (ks. myös PeVL 18/2012 vp, PeVL 51/2002 vp ja PeVL 37/2002 vp). Valiokunnan mukaan säännöstä oli syytä täsmentää määrittelemällä tarkemmin sallitut terveydentilatiedot ja sosiaalihuollon toimenpiteet, vaikka välttämättömyysvaatimus sinänsä asianmukaisesti rajoittaakin talletettavien tietojen alaa (PeVL 18/2012 vp). Valiokunnan käsityksen mukaan myös nyt ehdotettavaa säännöstä rasittaa samanlainen arkaluonteisten tietojen käsittelyyn kytkeytyvä avoimuus, vaikka säännösehdotuksessa ei sosiaalihuollon asiakkuutta koskevia tietoja mainitakaan. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp, ks. myös PeVL 58/2018 vp). Myös nyt ehdotettua säännöstä on välttämätöntä täsmentää erityisesti siinä viitattujen muiden arkaluonteisten tietojen osalta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Vastaava säätämisjärjestyskannanotto kohdistuu myös 1. lakiehdotuksen 8 §:n 1 momentin 4 kohtaan. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi 3 kohdan täsmentämistä siten, että turvallisuustietojen sisältö kuvataan voimassa olevaa lakia vastaavasti tyhjentävänä luettelona, jolloin muiden kuin säännöksessä nimenomaisesti mainittujen arkaluonteisten tietojen käsittely säännöksen nojalla ei ole mahdollista. 

9 (7) §. Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi.

Ehdotetussa pykälässä säädetään rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen käsittelyn edellytyksistä. Yleisperusteluihin viitaten hallintovaliokunta ehdottaa, että perustuslakivaliokunnan edellyttämä käsittelyn sitominen rikoksen vakavuusasteeseen toteutetaan muuttamalla pykälän 2 momentin 1 kohtaa siten, että henkilötietoja voidaan kyseisen kohdan nojalla käsitellä ainoastaan silloin, kun kohdassa tarkoitetusta rikoksesta laissa säädetty ankarin rangaistus on vankeutta. Sen sijaan hallintovaliokunta puoltaa yleisperusteluissa esitetyin perustein hallituksen esityksessä ehdotettua ilmaisua "voidaan perustellusti olettaa". 

Hallintovaliokunta on yleisperusteluissa kiinnittänyt huomiota siihen, että pykälän 2 momentissa ehdotetut henkilöryhmät eivät kata muita Tullin ennalta estävään toimintaan liittyvän toimenpiteen kohteena olevia henkilöitä. Lakiehdotus ei siten mahdollistaisi tällaista henkilöä koskevien toimenpiteiden kirjaamista ja siten häneen liittyvien henkilötietojen käsittelyä. Yleisperusteluissa todetun perusteella valiokunta ehdottaa pykälän 2 momentin 3 kohtaa täydennettäväksi siten, että kohtaan lisätään tullivalvonnan tai tullirikostorjunnan toimenpiteen kohteena olevat henkilöt. Lisäyksellä mahdollistetaan toimenpiteiden kohteiden tietojen kirjaaminen, joka on nykyisin mahdollista voimassa olevan Tullin henkilötietolain 3 §:ssä tarkoitettua rikostorjunnan tietojärjestelmää koskevien säännösten nojalla. 

Tullin toimenpiteet rikosten ennalta estämiseksi ja paljastamiseksi liittyvät luonnollisten henkilöiden osalta aina yksittäiseen tehtävään, ja niihin voi liittyä eriasteista julkisen vallan käyttöä, kuten henkilön puhuttelu, tukitoimenpiteiden kohdistaminen yhteistyössä muiden viranomaisten kanssa tai henkilö-, ajoneuvo- tai omaisuuskuulutus. Tullin toimenpiteitä koskevien tietojen kirjaaminen on edellytyksenä toiminnan tehokkaalle jälkikäteiselle arvioinnille, jonka tulisi lähtökohtaisesti perustua dokumentoituun tietoon. Säännös tukee myös tätä tavoitetta. 

Pykälän 4 momentin mukaan rikosten ennalta estämiseksi tai paljastamiseksi tarpeelliseen ri-kosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta päättää Tullin rikostorjunnan päällikkö tai hänen tähän tehtävään määräämänsä Tullin rikostorjunnan toimintayksikön päällikkö. Selvyyden vuoksi valiokunta toteaa, että momentissa tarkoitettu rikosten ennalta estämiseksi ja paljastamiseksi tapahtuva rikosanalyysi on myös voimassa olevan lain mukaan mahdollista 6 §:n nojalla perustetuissa tilapäisissä rikosanalyysirekistereissä. Nykyisen lain mukaisiin tilapäisiin rikosanalyysirekistereihin verrattuna esitetyn sääntelyn keskeiset erot liittyvät siihen, että käsittely tapahtuisi valtakunnallisessa rekisterinpidossa, ja siihen, että rikosanalyysia ei säännöksessä rajattaisi vankeusuhkaisiin rikoksiin. Lisäksi rikosanalyysin henkilöryhmiä ja tietosisältöä säänneltäisiin 7 ja 8 §:ssä nykyistä 6 §:ää tarkkarajaisemmin. Edellä 7 ja 8 §:ään esitetyt täsmennysehdotukset, kuten käsittelyn rajaaminen vankeusuhkaisuuteen, rajaavat rikosanalyysiin käytettävissä olevia tietoja alkuperäistä esitystä tiukemmin. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on sekä yleislainsäädännön että lakiin ehdotetun uuden 4 §:n mukaisesti rajoitettu käsittelytarkoituksen kannalta välttämättömiin tietoihin. 

Edellä 5 §:n yhteydessä todetuilla perusteilla hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi, että pykälän 6 momentin säännös merkityksellisyyden arvioinnista poistetaan ja että sen sijaan 6 momenttiin otetaan poliisilain 5 luvun 55 §:n kaltainen tiedon hävittämistä koskeva säännös, jonka mukaan Tullin tehtävien suorittamisen yhteydessä saadut tiedot on hävitettävä viipymättä sen jälkeen, kun on käynyt ilmi, ettei tietoa tarvita 1 momentissa tai 13 §:n 1 momentissa tarkoitettuun käsittelytarkoitukseen. 

10 (8) §. Rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisältö.

Edellä uuden 4 §:n yhteydessä todetun perusteella valiokunta ehdottaa, että pykälästä poistetaan maininnat tietojen tarpeellisuudesta. Samalla 3 kohtaa on sen vuoksi tarpeen muotoilla uudelleen. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Lisäksi johdantokappeleen pykäläviittauksia tulee tarkistaa muuttuneen pykälänumeroinnin vuoksi. 

Ehdotetussa pykälässä säädetään tiedoista, joita 4 §:ssä säädettyjen perustietojen lisäksi saadaan käsitellä. Perustuslakivaliokunnan käsityksen mukaan ainakin 1 momentin 2—4 kohdan mukaisiin tietoihin voi sisältyä arkaluonteisia tietoja. Valiokunta yhtyy perusteluissa esitettyyn luonnehdintaan, jonka mukaan momentin 2 kohta olisi sisällöltään tosiasiallisesti laaja. Kohdan nojalla Tulli saisi käsitellä henkilön toimintaa ja käyttäytymistä koskevia tarpeellisia tietoja. Tällaiset tiedot voisivat perustelujen mukaan koskea esimerkiksi henkilön kontakteja, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita siltä osin kuin ne ovat tarpeellisia tullirikosten ennalta estämisen ja selvittämisen kannalta. Valiokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa vastaavan säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp). Säännöstä on välttämätöntä täsmentää esimerkiksi perusteluissa esitetyillä luonnehdinnoilla. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Myös hallintovaliokunta pitää aiheellisena henkilön toimintaa ja käyttäytymistä koskevien tarpeellisten tietojen täsmentämistä perusteluissa esitetyillä luonnehdinnoilla. Täsmennykset vähentävät myös sääntelyn väljyyteen liittyviä riskejä. Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi, että 2 kohtaa täsmennetään muotoon "henkilön yhteyksiä, elämäntapoja, taloudellista tilannetta, harrastuksia ja muita kiinnostuksen kohteita koskevat tiedot;". 

Edellä 6 §:n yhteydessä todettuun viitaten hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi 1 momentin 4 kohtaa täsmennettäväksi siten, että turvallisuustietojen sisältö kuvataan nykyistä lakia vastaavasti tyhjentävänä luettelona, jolloin muiden kuin säännöksessä nimenomaisesti mainittujen arkaluonteisten tietojen käsittely säännöksen nojalla ei ole mahdollista. 

11(9) §. Tietolähdetietojen käsittely.

Ehdotetun pykälän mukaan Tulli saa käsitellä tietoja tietolähteenä käytetystä rikostorjunnasta Tullissa annetun lain 3 luvun 39 §:ssä ja pakkokeinolain 10 luvun 39 §:ssä tarkoitetusta henkilöstä, tietolähteen käytöstä ja valvonnasta sekä tietolähteen antamien tietojen pääasiallisesta sisällöstä. 

Perustuslakivaliokunta kiinnittää huomiota siihen, että säännöksestä ei käy lainkaan ilmi, mitä tietoja henkilöstä on tarkoitus sen nojalla käsitellä. Säännöksen perusteluista tosin ilmenee, että arkaluonteisia tietoja saisi käsitellä vain, kun se on käsittelytarkoituksen kannalta välttämätöntä. Sääntelyä on täydennettävä. Perustuslakivaliokunta piti arvioidessaan lakia henkilötietojen käsittelystä poliisitoimessa tällaisen säännöksen täsmentämistä säätämisjärjestyskysymyksenä (PeVL 51/2018 vp). Tällainen muutos on myös nyt edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta yhtyy perustuslakivaliokunnan huomioon ja ehdottaa, että pykälää täydennetään viittauksella 6 §:ssä tarkoitettuihin henkilön perustietoihin. Tulli voisi käsitellä tietolähteenä käytetystä henkilöstä 6 §:ssä tarkoitettuja perustietoja vastaavasti kuin muista 2 luvun käsittelytarkoituksia koskevissa pykälissä tarkoitetuista henkilöistä. 

Selvyyden vuoksi hallintovaliokunta ehdottaa myös tietolähteen käyttöä ja valvontaa koskevien tietojen sekä tietolähteen antamien tietojen pääasiallisen sisällön erottamista 1 momentin 1 ja 2 kohdaksi, jolloin säännös vastaisi muotoilultaan muita 2 luvun säännöksiä. 

Lisäksi valiokunta tähdentää, että henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. 

12 (10) §. Henkilötietojen käsittely tulli- ja verovalvonnassa.

Valiokunta ehdottaa, että 1 momentin johdantokappaleesta poistetaan maininta käsittelyn tarpeellisuudesta. Käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Valiokunta on lisäksi tarkistanut pykäläviittauksen muuttuneen pykälänumeroinnin vuoksi. 

Pykälän 2 momentin 2 kohdan mukaan Tulli saisi 1 momentissa säädetyn lisäksi käsitellä tulli- ja verovalvonnan kohdentumiseen liittyviä tietoja. Hallintovaliokunta kiinnittää huomiota siihen, että kohdan perusteella voisi tallentaa mitä tahansa tulli- ja verovalvonnan kannalta tarpeellista tietoa. Perustelujen mukaan näillä tiedoilla tarkoitettaisiin esimerkiksi erilaisten epätavallisten rajanylitysten kirjaamisia. Esityksestä ei sen sijaan ilmene, tarkoitetaanko tällä esimerkiksi alkoholin maahantuonnin valvontaan liittyviä rajanylitysten määrien ja ajankohtien kirjaamisia. Perusoikeussääntelyn täsmällisyyttä ja tarkkarajaisuutta koskevan vaatimuksen vuoksi ja ottaen huomioon perustuslakivaliokunnan tietosuojalain käsittelyssä esittämän kannan yksityiskohtaisemman sääntelyn tarpeesta tämän tyyppisten yksilön oikeuksien ja vapauksien kannalta korkeariskisempien henkilötietojen käsittelyssä hallintovaliokunta katsoo, että rekisteröitävien tietojen sisältöä on tarpeen täsmentää. 

Valiokunta ehdottaa 2 kohtaa täsmennettäväksi niin, että Tulli saa käsitellä tulli- ja verovalvonnan kohdentamiseksi tavaran maahantuontiin liittyviä tuontitietoja sekä tietoja rajanylitysten määristä ja ajankohdista. Säännös kattaa muun muassa alkoholin maahantuonnin valvontaan liittyvät tuontitietojen, rajanylitysten määrien ja ajankohtien kirjaamiset. 

13 (11) §. Henkilötietojen käsittely Tullin muissa lakisääteisissä tehtävissä.

Valiokunta on tarkistanut pykäläviittauksen muuttuneen pykälänumeroinnin vuoksi. 

14 (12) §. Teknisessä valvonnassa saatujen henkilötietojen käsittely.

Valiokunta on tarkistanut 1 momentissa pykäläviittauksen muuttuneen pykälänumeroinnin vuoksi. 

Perustuslakivaliokunta toteaa lausunnossaan, että hallituksen esityksen perusteella syntyy epäselvä kuva siitä, millaista henkilötietojen käsittelyä ehdotettuun automaattiseen kasvojentunnistukseen sisältyy. Säännösehdotuksen merkityksen arviointi on siten hankalaa. Perustuslakivaliokunnan mielestä lakiehdotuksen 12 §:n säännös automaattisesta kasvojentunnistuksesta on joko poistettava tai sitä on täsmennettävä ja täydennettävä olennaisesti. Tällainen muutos on edellytyksenä 1. lakiehdotuksen käsittelemiselle tavallisen lain säätämisjärjestyksessä. Valiokunnan mielestä on selvää, että näin avoimen sääntelyn perusteella ei ole mahdollista tallettaa esimerkiksi kaikkien rajanylittäjien kasvokuvia valtakunnalliseen rekisteriin ja käsitellä niitä perusteluissa kuvatulla tavalla esimerkiksi valvontatoimenpiteiden kohdistamiseen. Valiokunta pitää myös erikoisena perustelulausumaa, jonka mukaan tarpeettomaksi havaittuja tietoja voitaisiin edelleen käsitellä kuuden kuukauden ajan. 

Myös hallintovaliokunta toteaa automaattista kasvojentunnistusta koskevan säännöksen olevan hyvin avoin. Siihen ei sisälly rajauksia esimerkiksi siitä, mihin henkilöryhmiin kohdistuen, millaisissa paikoissa tai millaisiin rikosepäilyihin liittyen tunnistusta saisi käyttää. Säännöksen perusteella kasvontunnistusta olisi sallittua käyttää laajasti rikosten ennalta estämiseen, selvittämiseen, paljastamiseen tai syyteharkintaan saattamiseen liittyvään toimenpiteeseen taikka pakkokeinon käyttöön. Perusoikeuksien yleisten rajoitusedellytysten mukaan perusoikeutta saa rajoittaa vain siinä määrin kuin on välttämätöntä.  

Hallintovaliokunta ehdottaa säännöksen täsmentämistä ja rajaamista siten, että automaattisessa kasvojen tunnistuksessa on oikeus käsitellä henkilötietoja vertaamalla teknisessä valvonnassa saatuja henkilötietoja lakiehdotuksen 6 ja 8 §:n perusteella tallennettuihin tietoihin eli käytännössä kasvokuviin. Teknisellä valvonnalla saatua kuvaa siis verrattaisiin tullirikosten selvittämis- tai syyteharkintaan saattamiseen liittyvää toimenpidettä varten ja tullirikosten ennalta estämistä tai paljastamista varten Tullin henkilörekisteriin tallennettuihin kasvokuviin. Lisäksi säännöksen sanamuotoa ehdotetaan muutettavaksi siten, että ehdotetun mukaista käsittelyä voidaan toteuttaa rikosten ennalta estämiseen, selvittämiseen, paljastamiseen tai syyteharkintaan saattamiseen liittyvään toimenpiteeseen taikka pakkokeinon käyttöön liittyvää toimenpidettä varten. Sääntelyn selkeyden vuoksi valiokunta ehdottaa lisäksi, että automaattista kasvojentunnistusta koskeva sääntely siirretään pykälään otettavaan uuteen 2 momenttiin

Perustuslakivaliokunta on lisäksi kiinnittänyt lausunnossaan huomiota lakiehdotuksen perusteluihin, joissa todetaan että "Jollei perustetta näiden tietojen käsittelemiseen esimerkiksi tutkinta- ja tiedustelutarkoituksiin olisi, ne poistettaisiin kuuden kuukauden kuluessa, kun ne havaitaan tar-peettomiksi". Hallintovaliokunta tarkentaa tältä osin, että kuten rikosasioiden tietosuojalain 6 §:ssä säädetään, tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä. Teknisillä apuvälineillä talteen otetut kuva- ja äänitallenteet tulee kuitenkin poistaa viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä tietojärjestelmään ja rekisterikilpien kuvaus- ja tunnistamistiedot tiedon tallentumista seuraavan kalenterivuoden päättyessä. 

15 (13) §. Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen.

Edellä uuden 4 §:n yhteydessä todetun perusteella valiokunta ehdottaa, että 1 ja 2 momentista poistetaan maininta tietojen tarpeellisuudesta. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Lisäksi pykäläviittauksia on tarpeen tarkistaa muuttuneen pykälänumeroinnin vuoksi. 

Yleisperusteluissa todetun mukaisesti valiokunta ehdottaa, että 1 momentin 2 kohta muutetaan muotoon "2) sellaisen tullirikoksen selvittämiseksi, josta laissa säädetty ankarin rangaistus on vankeutta;". Säännös vastaa siten lakiehdotuksen 9 (7) §:n 2 momentin 1 kohdan säännöstä. 

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty muun muassa siihen, että hallituksen esityksessä ehdotetuissa 5—12 §:ssä tarkoitettuja henkilötietoja saisi ehdotetun pykälän mukaan käyttää muun muassa rikoksen ennalta estämiseksi tai paljastamiseksi tai sellaisen rikoksen selvittämiseksi, josta voi seurata vankeusrangaistus. Tältä osin on katsottu olevan kyseessä oleellinen laajennus verrattuna nykyiseen lakiin, jossa sallitaan tietojen käyttäminen vain sellaisen rikoksen ennalta estämiseksi tai selvittämiseksi, josta saattaa seurata vankeutta. Tietoja saisi käyttää myös Tullin rikostorjunnan toiminnan suuntaamiseksi ja Tullin perintätehtävissä. Ehdotettuja toissijaista käyttöä koskevia säännöksiä on pidetty siinä määrin laajoina, että ero henkilötietojen käsittelyn alkuperäisen ja muun käsittelytarkoituksen välillä hämärtyy. Tämän seurauksena henkilötietojen käsittelyn läpinäkyvyys ja ennakoitavuus heikkenevät, sillä vaikka alkuperäisiä käyttötarkoituksia koskevissa säännöksissä tietojen käyttö on rajattu tiettyyn tarkoitukseen, 13 §:n perusteella tietoja voi käyttää myös muissa tarkoituksissa. Huomiota on kiinnitetty myös siihen, että samalla irtaudutaan osin myös erottelusta hallinnollisten ja rikostorjunnallisten käyttötarkoitusten välillä eli kansalaisen hallinnollisessa asiassa antama henkilötieto voikin tulla käytetyksi rikostorjunnassa. 

Hallintovaliokunta toteaa, että ehdotetut säännökset tietojen käsittelystä myös muun kuin vankeusuhkaisen rikoksen ennalta estämiseksi ja Tullin rikostorjunnan toiminnan suuntaamiseksi vastaavat sisällöltään Tullin rikostorjuntalain 3 luvun 53 §:n 4 ja 5 momentin ja pakkokeinolain 10 luvun 56 §:n 4 ja 5 momentin mukaisia säännöksiä salaisilla tiedonhankintakeinoilla ja salaisilla pakkokeinoilla saatujen ylimääräisten tietojen käsittelystä. Ylimääräistä tietoa saa Tullin rikostorjuntalain ja pakkokeinolain mukaan käyttää aina rikoksen estämiseksi ja Tullin rikostorjunnan toiminnan suuntaamiseksi. Rikoksen ennalta estämisellä tarkoitetaan Tullin rikostorjuntalain 1 luvun 2 §:n rikoksen estämistä koskevan määritelmän mukaisesti ainoastaan toimenpiteitä, joiden tavoitteena on estää tullirikos, sen yritys tai valmistelu taikka keskeyttää jo aloitetun rikoksen tekeminen tai rajoittaa siitä välittömästi aiheutuvaa vahinkoa tai vaaraa. Tiedon käytöllä Tullin rikostorjunnan toiminnan suuntaamiseksi tarkoitetaan tiedon välillistä hyödyntämistä niin, että tietoa ei käytetä näyttönä tai tiedonhankintakeinon käytön perusteena. 

Hallintovaliokunta toteaa, että voimassa olevan Tullin henkilötietolain 16 § mahdollistaa Tullin henkilörekisterin tietojen käytön rikostorjuntaan. Valiokunta katsoo, että myös uusi tietosuojan yleislainsäädäntö mahdollistaa ehdotetun sääntelyn tulli- ja verovalvontaan liittyvien tietojen käyttämisestä muuhun kuin niiden alkuperäiseen käyttötarkoitukseen.  

Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdassa säädetään henkilötietojen käyttötarkoitussidonnaisuudesta. Henkilötietojen käsittely muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, voi tietosuoja-asetuksen 6 artiklan 4 kohdan mukaan perustua rekisteröidyn suostumuksen ja käsittelyn yhteensopivuuden lisäksi myös unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Asetuksen johdanto-osan 50 kappaleen mukaan rekisterinpitäjälle olisi näissä tilanteissa sallittava henkilötietojen myöhempi käsittely riippumatta tarkoitusten yhteensopivuudesta. Kaikissa tapauksissa olisi kuitenkin varmistettava, että sovelletaan tietosuoja-asetuksessa vahvistettuja periaatteita, ja varmistettava erityisesti, että rekisteröidylle ilmoitetaan näistä muista tarkoituksista ja hänen oikeuksistaan. 

Siltä osin kuin edellä tarkoitettuja lupa- ja valvonta-asioihin liittyviä tietoja käytettäisiin rikostorjuntaan, kyseessä on tietosuoja-asetuksessa tarkoitettu jäsenvaltion lainsäädäntöön perustuva käsittely, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Näistä tavoitteista 16 §:n mukaisten käsittelytarkoitusten kannalta keskeisiä ovat erityisesti 23 artiklan 1 kohdan a alakohdassa tarkoitettu kansallinen turvallisuus, c alakohdassa tarkoitettu yleinen turvallisuus sekä d alakohdassa tarkoitettu rikosten ennalta estäminen, tutkinta, paljastaminen sekä rikoksiin liittyvät syytetoimet, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy. Valiokunnan näkemyksen mukaan ehdotettu sääntely täyttää myös tietosuoja-asetuksen 23 artiklan 2 kohdassa lainsäädäntötoimenpiteiden sisällölle asetetut vaatimukset. 

Muuhun kuin alkuperäiseen käyttötarkoitukseen tapahtuvan henkilötietojen käsittelyn osalta sovellettava yleissäädös määräytyy sen mukaisesti, mihin alkuperäisestä käsittelytarkoituksesta poikkeavaan tarkoitukseen henkilötietoja on tarkoitus käsitellä. Henkilötietojen käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen kuuluisi rikosasioiden tietosuojalain sovelta-misalaan silloin, kun kyse on tietojen käsittelystä rikosasioiden tietosuojalain 1 §:ssä säädettyihin tarkoituksiin. Siten esimerkiksi tietojen käsittelyyn rikoksen ennalta estämiseksi sovellettaisiin yleislakina rikosasioiden tietosuojalakia. 

Pykälän 3 momentin mukaan, sen lisäksi, mitä henkilötietojen käsittelystä rikosasioiden tietosuojalain 5 §:n 3 momentissa säädetään, Tullin henkilörekisterin tietoja saa salassapitosäännösten estämättä käsitellä myös laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Lisäksi tietoja saa käyttää koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä. Selvyyden vuoksi hallintovaliokunta toteaa momentissa tarkoitetun strategisen analyysin osalta, että tietojen käyttö strategisessa analyysissa ei merkittävästi eroa momentissa tarkoitetusta suunnittelu- ja kehittämistoiminnasta, johon Tulli voi myös voimassa olevan Tullin henkilötietolain 16 §:n mukaan käyttää rikosasioihin, tulli- ja verovalvontaan sekä muihin Tullin lakisääteisiin tehtäviin liittyviä henkilötietoja. Strategisen analyysin piiriin kuuluvat esimerkiksi erilaiset toimintaympäristökatsaukset, rikosilmiöitä kuvaavat raportit sekä tullirikostorjuntatoimenpiteiden vaikuttavuuden arvioinnit. Strateginen analyysi tuottaa tullirikollisuuden tilannekuvaa, näkymiä kehitystrendeistä, uhkakuvia ja riskiarviointeja. Strateginen analyysi ei tähtää yksittäisen tullirikoksen ennalta estämiseen tai selvittämiseen, vaan sen tavoitteena on yleisempi tilannekuvan luominen tullirikollisuudesta. 

16 (14) §.Tullin oikeus saada tietoja eräistä rekistereistä ja tietojärjestelmistä.

Pykälän 1 momentin mukaan Tullilla on sen lisäksi, mitä muualla laissa säädetään, oikeus saada tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tietoja rekistereistä siten kuin asianomaisen rekisterinpitäjän kanssa sovitaan. Perustuslakivaliokunta huomauttaa, että lailla säätämisen vaatimuksen johdosta tällainen sopiminen voi kattaa lähinnä niitä käytännön menettelyjä, joita teknisen käyttöyhteyden avaaminen toisen viranomaisen henkilörekisteriin edellyttää (ks. PeVL 71/2014 vp). Perustuslakivaliokunnan mukaan säännöstä on välttämätöntä täsmentää. 

Hallintovaliokunta ehdottaa edellä olevaan viitaten 1 momentin johdantokappaletta täsmennettäväksi siten, että tietojen saamiseen rekistereistä liittyvistä käytännön menettelyistä sovitaan asianomaisen rekisterinpitäjän kanssa. 

Edellä yleisperusteluissa lausuttuun viitaten hallintovaliokunta ehdottaa, että pykälästä poistetaan maininnat käsittelyn tarpeellisuudesta. Lainkohtia on sen vuoksi tarpeen osin muotoilla uudelleen. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. 

Pykälän 1 momentin 1 kohdan mukaan Tullilla on oikeus saada tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tietoja yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa sekä kulkuneuvoja ja kuljetettavia tavaroita koskevat tiedot tullirikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksi, sen estämättä, mitä lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa ( / ) säädetään. Ehdotettu 1 kohta vastaa voimassa olevan lain 13 §:n 1 momentin 1 kohtaa. Kohtaan on ehdotettu selvyyden vuoksi lisättäväksi viittaus edellä mainittuun ns. PNR-lakiin, jossa säädettäisiin Tullin oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä. Viittaus eroaa kuitenkin sisällöltään poliisin henkilötietolakiin ehdotetusta informatiivisesta viittauksesta (HE 242/2018 vp) ja mahdollistaisi PNR-lakiin nähden kansallisesti säädetyn rinnakkaisen oikeuden saada lentomatkustajatietoja lainkohdassa tarkoitettuihin laajempiin kuin PNR-lain mukaisiin käsittelytarkoituksiin. Hallintovaliokunta on ehdottanut poliisin henkilötietolakia vastaavan informatiivisen viittauksen sisällyttämistä myös Rajavartiolaitoksen henkilötietolakiin (HaVM 40/2018 vp). 

Valiokunnan saaman selvityksen mukaan poliisin henkilötietolakia koskevan esityksen valmistelussa on katsottu, että matkustajarekisteritietojen (Passenger Name Record, PNR) käytöstä terrorismirikosten ja vakavan rikollisuuden ennalta estämistä, paljastamista ja tutkintaa sekä tällaisiin rikoksiin liittyviä syytetoimia varten annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/681 (jäljempänä PNR-direktiivi) ei mahdollista direktiivissä tarkoitettujen tietojen käytön laajentamista muihin kuin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa ehdotetussa laissa (HE 55/2018 vp) tarkoitettuihin käsittelytarkoituksiin. Valmistelussa omaksuttu kanta perustuu direktiivin johdanto-osan 33 kappaleeseen ja siihen, että johdannosta on trilogineuvotteluissa poistettu mahdollisuus säätää tietojen laajemmasta keräämisestä ja käsittelystä. Selvityksen mukaan johdanto-osaa lukuun ottamatta direktiivissä ei oteta kantaa jäsenvaltioiden mahdollisuuteen säätää kansallisesti direktiivissä tarkoitettujen tietojen käyttämisestä muihin kuin direktiivissä mainittuihin tarkoituksiin. Valiokunnassa käsiteltävänä olevan hallituksen esityksen HE 55/2018 vp tarkoitus ja tavoite on PNR-direktiivin kansallinen täytäntöönpano, joten esitys rajoittuu PNR-direktiivin sääntelemään tietojen keräämiseen ja käyttöön. 

Tullin henkilötietolakiin ehdotettu säännös täydentäisi Tullin oikeutta saada tullilain 102 §:n nojalla yksittäistapauksessa matkustajaa koskevia tietoja. Tarkoitetut matkustajatiedot ovat keskeisessä asemassa tehtäessä esimerkiksi tullirikostorjunnassa käytettävää riskianalyysia. Selvityksen mukaan matkustajatietojen saamisen ja hyödyntämisen käyttötarkoitus Tullissa on merkittävästi laajempi kuin ainoastaan PNR-direktiivin tarkoittama käyttötarkoitus — eli matkustajatietoja käytetään tälläkin hetkellä kaiken asteisten tullirikosten torjumiseen sekä valvontatyön tulokselliseen ja tarkoituksenmukaiseen kohdentamiseen. 

Valiokunta katsoo, että poliisin, Rajavartiolaitoksen ja Tullin oikeuksien lentoliikenteen matkustajatietojen saamiseen tulisi olla yhdenmukaiset. Valiokunnan käsityksen mukaan Tullin henkilötietolakiin ehdotetun säännöksen voitaisiin arvioida tehostavan viranomaisten toimintaa. Valiokunta kuitenkin katsoo, ettei se käytettävissä olevan selvityksen perusteella voi varmistua siitä, ettei säännös ole PNR-direktiivin vastainen, vaan asia tulisi tarvittaessa selvittää erikseen. Tämän vuoksi valiokunta ehdottaa, että säännös muutetaan poliisin henkilötietolakia vastaavaksi informatiiviseksi viittaukseksi lakiin lentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa. 

Valiokunta on tarkistanut 5 ja 6 kohdissa pykälänumeroinnin muuttuneen pykälänumeroinnin vuoksi. Lisäksi valiokunta ehdottaa, että 1 momentin 7 kohtaa täsmennetään yksilöimällä kohdassa tarkoitetut tiedot ja 12 kohdassa sana ulkoasiainhallinto tarkistetaan ulkoministeriöksi. 

17 (15) §. Muiden viranomaisten tietojen luovuttaminen Tullille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten.

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon johdosta, että myös tämän pykälän 1 momentin johdantokappaletta täsmennetään siten, että tietojen saamiseen rekistereistä liittyvistä käytännön menettelyistä sovitaan asianomaisen rekisterinpitäjän kanssa. 

Yleisperusteluissa todetun perusteella hallintovaliokunta ehdottaa lisäksi, että pykälästä poistetaan maininnat käsittelyn tarpeellisuudesta. Samalla 3 ja 4 kohtaa on sen vuoksi tarpeen muotoilla uudelleen. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. 

Valiokunta on lisäksi 2 momentissa tarkistanut pykäläviittauksen muuttuneen pykälänumeroinnin vuoksi. 

18 (16) §. Uhkasakko.

19 (17) §. Kolmannelta valtiolta, kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittely.

Valiokunta ehdottaa tarkistusta pykäläviittaukseen muuttuneen pykälänumeroinnin vuoksi. 

20 (18) §. Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle.

Valiokunta ehdottaa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi.  

Yleisperusteluissa lausuttuun viitaten hallintovaliokunta toteaa, että henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Valiokunta korostaa lisäksi, että ehdotetun 20 §:n mukaan tietoja voi luovuttaa vain rikosasioiden tietosuojalain 1 §:ssä tarkoitettua viranomaisen laissa säädettyä tehtävää varten. 

Lisäksi valiokunta katsoo, että ilmaisua "muu viranomainen" on syytä täsmentää pykälän otsikon mukaiseksi. Rikosasioiden tietosuojalaissa tarkoitettu toimivaltainen viranomainen määritellään lain 3 §:n 1 momentin 5 kohdassa. Perustelujen mukaan kohdassa tarkoitettuja toimivaltaisia viranomaisia ovat esimerkiksi poliisi- ja tulliviranomaiset, Rajavartiolaitos, yleiset tuomioistuimet, syyttäjälaitos, Oikeusrekisterikeskus sekä Rikosseuraamuslaitos. Myös Metsähallituksen erävalvonnasta annetussa laissa (1157/2005) tarkoitettu erätarkastaja on kohdassa tarkoitettu toimivaltainen viranomainen, sillä erätarkastaja toimittaa eräissä tilanteissa rikosasian selvittämiseksi suppean esitutkinnan. Samoin esimerkiksi eduskunnan oikeusasiamies ja oikeuskansleri ovat lain tarkoittamia toimivaltaisia viranomaisia, sillä niillä on tietyissä tilanteissa syyteoikeus. Sitä vastoin esimerkiksi yksittäisen yhdyskuntaseuraamuksen täytäntöönpanosta vastaavan virkamiehen avuksi määrätty, laissa yhdyskuntaseuraamusten täytäntöönpanosta (400/2015) tarkoitettuna apuvalvojana toimiva sosiaalityöntekijä ei ole kohdassa tarkoitettu toimivaltainen viranomainen. Lisäksi kohdassa ulotetaan toimivaltaisen viranomaisen määritelmä koskemaan myös Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa rikosasioiden tietosuojalain 1 §:n 2 momentissa tarkoitettuja tehtäviä. 

21 (19) §. Muu henkilötietojen luovuttaminen viranomaisille.

Yleisperusteluissa todetuin perustein valiokunta ehdottaa, että pykälästä poistetaan maininnat käsittelyn tarpeellisuudesta. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa lain 4 §:ssä. Lisäksi valiokunta ehdottaa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

Pykälän 1 momentin 1 kohdassa säädetään tietojen luovuttamisesta Verohallinnolle. Verohallinto tarvitsee verotustehtäviä varten 1 kohdassa mainittujen tietojen lisäksi myös ehdotetun lain 10 §.ssä säädettyjä tulli- ja verovalvonnan tietoja. Valiokunta ehdottaa säännöksen täydentämistä tältä osin. 

Eduskunta on 15.2.2019 hyväksynyt lain liikenteen palveluista annetun lain muuttamisesta (HE 157/2018 vpLiVM 39/2018 vp). Pykälän 1 momentin 2 kohta sisältää viittauksen eräisiin liikenteen palveluista annetun lain säännöksiin. Viittaus on tarpeen tarkistaa lain muuttuneen pykälänumeroinnin vuoksi. Samalla viraston nimen Liikenteen turvallisuusvirasto sijaan tulee korjata Liikenne- ja viestintävirasto. Liikenne- ja viestintävirasto tarvitsee verotustehtäviä varten myös ehdotetun lain 10 §:ssä säädettyjä tulli- ja verovalvonnan tietoja. Valiokunta ehdottaa säännökseen tehtäväksi myös tätä koskevan täydennyksen. 

Lisäksi valiokunta ehdottaa, että 1 momentin 7 ja 8 kohdassa ilmaisu "elinkeinonharjoittajan oleskelulupa" tarkistetaan muotoon "yrittäjän oleskelulupa". Ulkomaalaislakia on muutettu lailla 121/2018, missä yhteydessä elinkeinonharjoittajan lupa on muutettu yrittäjän oleskeluluvaksi. Lisäksi 8 kohdan muotoilua on saadun selvityksen perusteella tarpeen täsmentää. 

Edellä ehdotetun uuden 4 §:n johdosta valiokunta ehdottaa, että hallituksen esityksessä ehdotetun 2 momentin säännös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä poistetaan. 

Voimassa olevan lain 17 §:n mukainen sääntely tietojen luovuttamisesta kattaa kaikkiin Tullin henkilörekistereihin tallennetut tiedot. Pykälän 1 momentti kuitenkin koskee vain momentin johtolauseessa sanottuja tietoja. Valiokunta ehdottaa 2 momenttiin otettavaksi uuden säännöksen, jonka mukaan, sen lisäksi, mitä 1 momentissa säädetään, Tulli saisi perustellusta syystä luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona viranomaiselle henkilötietoja, jotka ovat välttämättömiä viranomaisen laissa säädetyn tehtävän suorittamiseksi. Vastaava säännös sisältyy poliisin henkilötietolakiin ehdotettuun 22 §:ään (HaVM 39/2018 vp) sekä Rajavartiolaitoksen henkilötietolain 33 §:ään (HaVM 40/2018 vp). Säännöksellä mahdollistettaisiin viranomaisen lakisääteisen tehtävän kannalta välttämättömien tietojen luovuttaminen siltä osin kuin luovutusoikeudesta ei olisi säännöksiä 1 momentissa. Vastaava sääntely on välttämätöntä sisällyttää myös Tullin henkilötietolakiin viranomaisten toimintaedellytysten ja viranomaisten välisen yhteistyön turvaamiseksi. 

23 (21) §. Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle.

Valiokunta ehdottaa, että 2 momentin ensimmäisen virkkeen maininta käsittelyn tarpeellisuudesta sekä viimeinen virke erityisten henkilötietoryhmien käsittelyn välttämättömyyskriteeristä poistetaan. Henkilötietojen käsittelyn tarpeellisuusvaatimus seuraa suoraan tietosuoja-asetuksen 5 artiklasta ja rikosasioiden tietosuojalain 4 §:stä. Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettäväksi uudessa 4 §:ssä. Valiokunta ehdottaa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

28 (26) §. Muiden tutkintatehtävissä käsiteltävien henkilötietojen poistaminen. 29 (27) §. Rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen poistaminen. 31 (29) §.Tulli- ja verovalvontaan liittyvien henkilötietojen poistaminen.

Valiokunta ehdottaa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

36 (34) §. Tarkastusoikeuden rajoittaminen.

Rekisteröidyn tarkastusoikeuden rajoittamisesta yksittäistapauksissa säädetään rikosasioiden tietosuojalain 24 ja 28 §:ssä. Ehdotetussa pykälässä säädettäisiin mainittuja säännöksiä täydentävästi Tullin henkilötietojen käsittelyä koskevista yleisistä poikkeuksista rikosasioiden tietosuojalain 23 §:n mukaiseen rekisteröidyn tarkastusoikeuteen. Siltä osin kuin suoraa tarkastusoikeutta ei olisi, rekisteröidyllä on kuitenkin oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen käsittelyn lainmukaisuus. 

Hallituksen esityksessä ehdotetun pykälän 1 momentin 1 kohdan mukaan tarkastusoikeutta ei olisi lain 5 §:n 3 momentissa ja 7 §:n 6 momentissa tarkoitettuihin tietoihin, joiden käsittelyn tarpeellisuutta Tulli vasta arvioisi. Hallintovaliokunta on edellä ehdottanut perustuslakivaliokunnan lausunnon johdosta, että mainitut säännökset tietojen merkityksellisyyden arvioinnista poistetaan ja niiden sijaan säädetään poliisilain 5 luvun 55 §:n tapaan tietojen hävittämisvelvollisuudesta. Hallintovaliokunta katsoo, että tietojen hävittämisvelvollisuus ei tarvitse tarkastusoikeuden rajoitusta, minkä vuoksi valiokunta ehdottaa 1 kohdasta poistettavaksi mainitut viittaukset. Lisäksi pykälässä on tarpeen tarkistaa säännösviittaukset muuttuneen pykälänumeroinnin vuoksi. 

38 (36) §. Rekisterinpitäjä.

Valiokunta ehdottaa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

39 §. Rangaistussäännös. (Uusi)

Perustuslakivaliokunta toteaa lausunnossaan, että lakiehdotukseen ei sisälly viittausta rikoslain 38 luvun 9 §:n tietosuojarikosta koskevaan säännökseen. Tietosuojarikosta koskevan säännöksen 1 momentin 4 kohdan mukaan rangaistavaa on säännöksessä tarkemmin yksilöity henkilötietojen käsittelyä koskevan muun lain vastainen toiminta. Myös säännöksen 2 momentti koskee henkilötietojen käsittelyä koskevan muun lain vastaista toimintaa. Valiokunnan käsityksen mukaan henkilötietojen käsittelystä Tullissa annettava laki on sellainen "henkilötietojen käsittelyä koskeva muu laki", jota tarkoitetaan rikoslain 38 luvun 9 §:n 1 momentin 4 kohdassa. Lakiehdotusta on valiokunnan mukaan täydennettävä viittauksella rikoslain tietosuojarikosta koskevaan säännökseen. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausunnon huomioon ottamiseksi, että lakiin lisätään uusi 39 § rangaistussäännöksestä, joka sisältää viittauksen rikoslain 38 luvun 9 §:ään tietosuojarikoksesta. Ehdotetun uuden pykälän seurauksena myös jäljemmän pykälän numerointi muuttuu vastaavasti. 

40 (37) §. Voimaantulo.

Valiokunta ehdottaa 3 momentissa pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

2.  Laki Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn neuvoston puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetun lain muuttamisesta

Lainkohtaa on esitetty muutettavaksi myös muissa hallintovaliokunnan käsiteltävänä olevissa henkilötietojen käsittelyä koskevissa esityksissä. Ehdotettu sääntely on tarkoitus ottaa huomioon hallituksen esityksen HE 242/2018 vp yhteydessä, minkä vuoksi valiokunta ehdottaa, että tämä lakiehdotus hylätään. 

3.  Laki rikostorjunnasta Tullissa annetun lain muuttamisesta

2 luku. Tullin toimintavaltuudet tullirikostorjunnassa

15 §. Henkilöllisyyden selvittäminen.

Pykälän 2 momenttia on esitetty muutettavaksi myös hallintovaliokunnan käsiteltävänä olevassa hallituksen esityksessä HE 242/2018 vp. Ehdotettu sääntely on tarkoituksenmukaista yhteensovittaa nyt käsiteltävänä olevan hallituksen esityksen yhteydessä. Valiokunta ehdottaa, että 2 momenttiin sisältyvä viittaus voimassa olevaan poliisin henkilötietolakiin muutetaan viittaukseksi hallintovaliokunnan mietinnössä HaVM 39/2018 vp ehdotetun uuden poliisin henkilötietolain asianomaisiin pykäliin. Myös viittaukset Tullin henkilötietolakiin on tarpeen tarkistaa. 

4.  Laki pakkokeinolain 10 luvun 57 §:n muuttamisesta

Lainkohtaa on esitetty muutettavaksi myös muissa hallintovaliokunnan käsiteltävänä olevissa henkilötietojen käsittelyä koskevissa esityksissä. Ehdotettu sääntely on tarkoitus ottaa huomioon hallituksen esityksen HE 242/2018 vp yhteydessä, minkä vuoksi valiokunta ehdottaa, että tämä lakiehdotus hylätään. 

5.  Laki Eurojustia koskevan päätöksen eräiden määräysten täytäntöönpanosta annetun lain 10 §:n muuttamisesta

Lainkohtaa on esitetty muutettavaksi myös muissa hallintovaliokunnan käsiteltävänä olevissa henkilötietojen käsittelyä koskevissa esityksissä. Ehdotettu sääntely on tarkoitus ottaa huomioon hallituksen esityksen HE 242/2018 vp yhteydessä, minkä vuoksi valiokunta ehdottaa, että tämä lakiehdotus hylätään. 

6.  Laki Harmaan talouden selvitysyksiköstä annetun lain 12 §:n muuttamisesta

12 §. Henkilötietojen käsittely ja tarkastusoikeus.

Pykälän 2 momenttia on esitetty muutettavaksi myös hallintovaliokunnan käsiteltävänä olevissa hallituksen esityksissä HE 241/2018 vp ja HE 242/2018 vp. Ehdotettu sääntely on tarkoituksenmukaista yhteensovittaa nyt käsiteltävänä olevan hallituksen esityksen yhteydessä. Tämän vuoksi valiokunta ehdottaa, että 2 momenttiin sisältyvä viittaus voimassa olevaan poliisin henkilötietolakiin muutetaan viittaukseksi hallintovaliokunnan mietinnössä HaVM 39/2018 vp ehdotetun uuden poliisin henkilötietolain asianomaiseen pykälään ja viittaus voimassa olevaan rajavartiolaitoksen henkilötietolakiin muutetaan hallintovaliokunnan mietinnössä HaVM 40/2018 vp ehdotetun uuden Rajavartiolaitoksen henkilötietolain asianomaiseen pykälään. Myös viittaukset Tullin henkilötietolakiin on tarpeen tarkistaa. 

7. Laki autoverolain 87 a §:n muuttamisesta. 8. Laki valmisteverotuslain 4 a §:n muuttamisesta.

Valiokunta ehdottaa 7. ja 8. lakiehdotukseen sisältyvien pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

9.  Laki sähköisen viestinnän palveluista annetun lain 322 §:n muuttamisesta

322 §. Eräiden muiden viranomaisten tiedonsaantioikeus.

Pykälän 1 momenttia on esitetty muutettavaksi myös hallintovaliokunnan käsiteltävänä olevassa hallituksen esityksessä HE 241/2018 vp. Ehdotettu sääntely on tarkoituksenmukaista yhteensovittaa nyt käsiteltävänä olevan hallituksen esityksen yhteydessä. Tämän vuoksi valiokunta ehdottaa, että 1 momentin viittaus voimassa olevaan rajavartiolaitoksen henkilötietolakiin muutetaan hallintovaliokunnan mietinnössä HaVM 40/2018 vp ehdotettuun uuteen Rajavartiolaitoksen henkilötietolakiin. 

10. Laki turvallisuusselvityslain 25 §:n muuttamisesta.

Valiokunta ehdottaa lakiehdotukseen sisältyvien pykäläviittausten tarkistamista muuttuneen pykälänumeroinnin vuoksi. 

VALIOKUNNAN PÄÄTÖSEHDOTUS

Hallintovaliokunnan päätösehdotus:

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 259/2018 vp sisältyvät 1., 3. ja 6.—10. lakiehdotuksen. (Valiokunnan muutosehdotukset) Eduskunta hylkää hallituksen esitykseen HE 259/2018 vp sisältyvät 2., 4. ja 5. lakiehdotuksen. 

Valiokunnan muutosehdotukset

1. Laki henkilötietojen käsittelystä Tullissa 

Eduskunnan päätöksen mukaisesti säädetään: 
1 luku 
Yleiset säännökset 
1 §  
Soveltamisala 
Tätä lakia sovelletaanValiokunta ehdottaa sisältöä muutettavaksi , jollei muualla laissa toisin säädetä, Muutosehdotus päättyy Tullille laissa säädetyissä valvontatehtävissä ja rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi tarpeellisten henkilötietojen käsittelyyn, jos: 
1) käsittely on kokonaan tai osittain automaattista; tai 
2) henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. 
Lisäksi tässä laissa säädetään rekisteröidyn Valiokunta ehdottaa sisältöä muutettavaksi oikeuksien toteuttamisesta ja niiden rajoittamisesta Muutosehdotus päättyy, Tullin oikeudesta saada henkilötietoja ja muita Tullille laissa säädettyjen tehtävien suorittamiseksi tarpeellisia tietoja sekä oikeudesta luovuttaa henkilötietoja ja muita tietoja. 
2 §  
Suhde muuhun lainsäädäntöön 
Jollei tässä laissa toisin säädetä: 
1) henkilötietojen käsittelyyn rikosten ennalta estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi sekä yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemiseksi ja tällaisten uhkien ehkäisemiseksi, sovelletaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia (Valiokunta ehdottaa sisältöä muutettavaksi 1054/2018 Muutosehdotus päättyy), jäljempänä rikosasioiden tietosuojalaki; 
2) Valiokunta ehdottaa sisältöä muutettavaksi oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisen toiminnan julkisuudesta säädetään. Muutosehdotus päättyy 
Lisäksi henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, sekä tietosuojalaissa (Valiokunta ehdottaa sisältöä muutettavaksi 1050/2018 Muutosehdotus päättyy). 
Tullin tiedonhankinnasta ja siihen liittyvistä toimivaltuuksista säädetään erikseen. 
Valiokunta ehdottaa sisältöä muutettavaksi 3 § Muutosehdotus päättyy (Uusi) 
Valiokunta ehdottaa sisältöä muutettavaksi Henkilötietojen käsittelyssä noudatettavat periaatteet ja syrjintäkielto Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Henkilötietojen käsittelyssä on noudatettava tullilain (304/2016) 6 luvussa säädettyjä perusoikeuksien ja ihmisoikeuksien kunnioittamisen vaatimusta, suhteellisuusperiaatetta, vähimmän haitan periaatetta ja tarkoitussidonnaisuuden periaatetta. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Henkilötietojen käsittely ei saa ilman hyväksyttävää perustetta perustua henkilöiden ikään, sukupuoleen, alkuperään, kansalaisuuteen, asuinpaikkaan, kieleen, uskontoon, vakaumukseen, mielipiteeseen, poliittiseen toimintaan, ammattiyhdistystoimintaan, perhesuhteisiin, terveydentilaan, vammaisuuteen, seksuaaliseen suuntautumiseen tai muuhun henkilöön liittyvään syyhyn. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 4 § Muutosehdotus päättyy (Uusi) 
Valiokunta ehdottaa sisältöä muutettavaksi Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Tulli saa käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja vain, jos käsittely on käsittelytarkoituksen kannalta välttämätöntä. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 5 Muutosehdotus päättyy (3) § 
Määritelmät 
Tässä laissa tarkoitetaan: 
1) tullirikoksella:
a) rikosta, jolla rikotaan sellaista tullilain (304/2016) tai muun lain säännöstä, jonka noudattamisen valvonta tai täytäntöönpano on Tullin tehtävänä;
b) tullimieheen kohdistuvaa rikoslain (39/1889) 16 luvun 3 §:ssä tarkoitettua haitantekoa virkamiehelle sekä 4 b §:ssä tarkoitettua niskoittelua tullimiestä vastaan;
c) rikoslain 46 luvun 6 ja 6 a §:ssä tarkoitettua laitonta tuontitavaraan ryhtymistä;
d) sellaista rikosta, johon sisältyy omaisuuden maahantuontia, maastavientiä tai Suomen kautta kuljettamista;
 
2) verovalvonnalla Tullin tehtäväksi erikseen säädetyn, tiettyä verolajia koskevan, valvontatehtävän suorittamista; 
3) Schengenin tietojärjestelmän säädöspohjalla toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1987/2006, toisen sukupolven Schengenin tietojärjestelmän (SIS II) perustamisesta, toiminnasta ja käytöstä annettua neuvoston päätöstä 2007/533/YOS sekä ajoneuvojen rekisteröintitodistusten myöntämisestä vastaavien jäsenvaltioiden yksiköiden pääsyn sallimisesta toisen sukupolven Schengenin tietojärjestelmään (SIS II) annettua Euroopan parlamentin ja neuvoston asetusta (EY) N:o 1986/2006; 
4) Schengenin tietojärjestelmällä Schengenin tietojärjestelmän säädöspohjassa määriteltyä toisen sukupolven tietojärjestelmää (SIS II); 
5) Europol-asetuksella Euroopan unionin lainvalvontayhteistyövirastosta (Europol) sekä neuvoston päätösten 2009/371/YOS, 2009/934/YOS, 2009/935/YOS, 2009/936/YOS ja 2009/968/YOS korvaamisesta ja kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/794. 
2 luku 
Henkilötietojen käsittely 
Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy (4) § 
Henkilön perustietojen käsittely 
Tulli saa käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 7, 9 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 11—13 Muutosehdotus päättyy §:ssä säädettyihin tarkoituksiin seuraavia Valiokunta ehdottaa sisältöä poistettavaksi tarpeellisia  Poistoehdotus päättyyhenkilön perustietoja: 
1) nimet; 
2) syntymäaika ja -paikka; 
3) henkilötunnus; 
4) sukupuoli; 
5) äidinkieli; 
6) asiointikieli; 
7) siviilisääty; 
8) kansalaisuus tai kansalaisuudettomuus ja kansallisuus; 
9) koti- ja asuinpaikka; 
10) ammatti ja koulutus; 
11) yhteystiedot; 
12) henkilöllisyyden toteamiseksi tarvittavat tiedot asiakirjoista; 
13) ulkomaalaisen henkilön vanhempien nimet, kansalaisuus ja kansallisuus; 
14) matkustusasiakirjan tiedot sekä muut maahantuloon ja rajanylittämiseen liittyvät Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset Poistoehdotus päättyy tiedot; 
15) kulkuneuvon rekisteritunnus; 
16) viranomaisen antama asiakasnumero; 
17) tieto kuolemasta tai kuolleeksi julistamisesta; 
18) tieto edunvalvonnasta, konkurssiin asettamisesta tai liiketoimintakieltoon määräämisestä. 
Valiokunta ehdottaa sisältöä muutettavaksi 7 Muutosehdotus päättyy (5) § 
Henkilötietojen käsittely tutkintatehtävissä 
Tulli saa käsitellä henkilötietoja tullirikosten selvittämiseen tai syyteharkintaan saattamiseen liittyvää muuta toimenpidettä varten. 
Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin, jotka ovat: 
1) rikoksesta tai rikokseen osallisuudesta epäiltyjä; 
2) alle 15-vuotiaita rikollisesta teosta epäiltyjä; 
3) esitutkinnan kohteena; 
4) rikoksen ilmoittajia tai asianomistajana esiintyviä; 
5) todistajia; 
6) uhreja; 
7) muutoin Valiokunta ehdottaa sisältöä muutettavaksi tehtävään liittyvien lisätietojen antajia Muutosehdotus päättyy. 
Valiokunta ehdottaa sisältöä muutettavaksi Tullin tehtävien suorittamisen yhteydessä saadut tiedot on hävitettävä viipymättä sen jälkeen, kun on käynyt ilmi, ettei tietoa tarvita 1 momentissa tai 15 §:n 1 momentissa tarkoitettuun käsittelytarkoitukseen. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 8 Muutosehdotus päättyy (6) § 
Tutkintatehtävissä käsiteltävien henkilötietojen sisältö 
Tulli saa käsitellä 7 §:ssä tarkoitetuista henkilöistä Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja: 
1) Tullin tehtävään, toimenpiteeseen ja tapahtumaan liittyvät Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset  Poistoehdotus päättyyyksilöinnit, kuvaukset ja luokitukset; 
2) Valiokunta ehdottaa sisältöä poistettavaksi henkilöllisyyden toteamiseksi tarpeelliset  Poistoehdotus päättyytuntomerkkitiedotValiokunta ehdottaa sisältöä muutettavaksi  henkilöllisyyden toteamiseksi Muutosehdotus päättyy, mukaan lukien sormen-, käden- ja jalanjäljet, käsiala-, ääni- ja hajunäyte, DNA-tunniste, kasvokuva ja muut biometriset tiedot; 
3) Valiokunta ehdottaa sisältöä poistettavaksi esitutkinta Poistoehdotus päättyytoimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi Valiokunta ehdottaa sisältöä muutettavaksi tiedot henkilön terveydentilasta ja sen seurannasta taikka hänen sairautensa hoidosta, kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta sekä tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta Muutosehdotus päättyy;  
4) tunnistetieto syyttäjän tai tuomioistuimen ratkaisusta ja tieto siitä, onko henkilö tuomittu rangaistukseen, jätetty syyttämättä tai rangaistukseen tuomitsematta, syyte hylätty, jätetty tutkimatta tai sillensä sekä tieto ratkaisun lainvoimaisuudesta. 
Valiokunta ehdottaa sisältöä muutettavaksi 9 Muutosehdotus päättyy (7) § 
Henkilötietojen käsittely rikosten ennalta estämiseksi tai paljastamiseksi 
Tulli saa käsitellä henkilötietoja tullirikosten ennalta estämistä tai paljastamista varten. 
Edellytyksenä on lisäksi, että 1 momentissa tarkoitetut tiedot liittyvät henkilöihin: 
1) joiden voidaan perustellusti olettaa syyllistyneen tai syyllistyvän rikokseenValiokunta ehdottaa sisältöä muutettavaksi , josta laissa säädetty ankarin rangaistus on vankeutta Muutosehdotus päättyy; 
2) jotka ovat yhteydessä 1 kohdassa tarkoitettuun henkilöön tai jotka tavataan tämän seurassa, ja yhteydenpidolla tai tapaamisella voidaan toistuvuuden, olosuhteiden tai henkilön käyttäytymisen vuoksi olettaa olevan yhteys rikokseen; 
3) jotka ovat rikostorjunnasta Tullissa annetun lain 3 luvun 9 §:n mukaisen tarkkailun Valiokunta ehdottaa sisältöä muutettavaksi taikka tullivalvonnan tai tullirikostorjunnan toimenpiteen Muutosehdotus päättyy kohteena. 
Tulli saa käsitellä 1 momentissa tarkoitettuja tietoja, jos se on tullirikoksen ennalta estämiseksi tai paljastamiseksi välttämätöntä, myös seuraavista henkilöistä: 
1) rikoksen todistajat; 
2) rikoksen uhrit; 
3) rikoksen ilmoittajat ja asianomistajana esiintyvät. 
Rikosten ennalta estämiseksi tai paljastamiseksi tarpeelliseen rikosanalyysiin liittyvän henkilötietojen käsittelyn aloittamisesta päättää Tullin rikostorjunnan päällikkö tai hänen tähän tehtävään määräämänsä Tullin rikostorjunnan toimintayksikön päällikkö. 
Tulli saa lisäksi käsitellä tullimiesten havaitsemia ja Tullille ilmoitettuja tietoja sellaisista tapahtumista tai henkilöistä, joiden voidaan olosuhteiden taikka henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän tullirikokseen. 
Valiokunta ehdottaa sisältöä muutettavaksi Tullin tehtävien suorittamisen yhteydessä saadut tiedot on hävitettävä viipymättä sen jälkeen, kun on käynyt ilmi, ettei tietoa tarvita 1 momentissa tai 15 §:n 1 momentissa tarkoitettuun käsittelytarkoitukseen. Muutosehdotus päättyy 
10 (8) § 
Rikosten ennalta estämiseen tai paljastamiseen liittyvien henkilötietojen sisältö 
Tulli saa käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 9 Muutosehdotus päättyy §:ssä tarkoitetuista henkilöistä Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja: 
1) Tullin tehtävään, toimenpiteeseen ja tapahtumaan liittyvät Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset Poistoehdotus päättyy yksilöinnit, kuvaukset ja luokitukset; 
2) henkilön Valiokunta ehdottaa sisältöä muutettavaksi yhteyksiä, elämäntapoja, taloudellista tilannetta, harrastuksia tai muita kiinnostuksen kohteita Muutosehdotus päättyy koskevat Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset Poistoehdotus päättyy tiedot; 
3) Valiokunta ehdottaa sisältöä muutettavaksi tuntomerkkitiedot  Muutosehdotus päättyyhenkilöllisyyden toteamiseksiValiokunta ehdottaa sisältöä poistettavaksi  tarpeelliset tuntomerkkitiedot Poistoehdotus päättyy, mukaan lukien ääninäyte, kasvokuva ja muut biometriset tiedot; 
4) toimenpiteen kohteena olevan henkilön turvallisuuden tai viranomaisen työturvallisuuden turvaamiseksi Valiokunta ehdottaa sisältöä muutettavaksi tiedot henkilön terveydentilasta ja sen seurannasta taikka hänen sairautensa hoidosta, kohteen tai henkilön vaarallisuudesta tai arvaamattomuudesta sekä tiedot, jotka kuvaavat tai on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta Muutosehdotus päättyy. 
Henkilötietoihin on liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. 
Valiokunta ehdottaa sisältöä muutettavaksi 11 Muutosehdotus päättyy (9) § 
Tietolähdetietojen käsittely 
Tulli saa käsitellä Valiokunta ehdottaa sisältöä poistettavaksi tietoja Poistoehdotus päättyy tietolähteenä käytetystä rikostorjunnasta Tullissa annetun lain 3 luvun 39 §:ssä Valiokunta ehdottaa sisältöä muutettavaksi tai Muutosehdotus päättyy pakkokeinolain (806/2011) 10 luvun 39 §:ssä tarkoitetusta henkilöstä Valiokunta ehdottaa sisältöä muutettavaksi 6 §:ssä tarkoitettujen henkilön perustietojen lisäksi seuraavia henkilötietoja: Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 1) tietolähteen käyttöä ja valvontaa koskevat tiedot; Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 2) tietolähteen antamien tietojen pääasiallinen sisältö. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 12 Muutosehdotus päättyy (10) § 
Henkilötietojen käsittely tulli- ja verovalvonnassa 
Tulli saa käsitellä tulli- ja verovalvonnan suorittamiseksi Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy §:ssä tarkoitettuja Valiokunta ehdottaa sisältöä poistettavaksi tarpeellisia Poistoehdotus päättyy henkilötietoja:  
1) Tullille lain perusteella annettavista ilmoituksista ja muista tiedoista;  
2) suoritetuista tulli- tai verovalvonnan toimenpiteistä ja niiden perusteella esitetyistä jatkotoimista. 
Edellä 1 momentissa säädetyn lisäksi saadaan käsitellä: 
1) tunnistetietoja tarkastuksen perusteella tehdystä tutkintapyynnöstä, rikosilmoituksesta taikka sakon ja rikesakon määräämisestä annetussa laissa (754/2010) tarkoitetusta vaatimuksesta ja ratkaisustaa 
2) tulli- ja verovalvonnan Valiokunta ehdottaa sisältöä muutettavaksi kohdentamiseksi tavaran maahantuontiin liittyviä tuontitietoja sekä tietoja rajanylitysten määristä ja ajankohdista Muutosehdotus päättyy. 
Valiokunta ehdottaa sisältöä muutettavaksi 13 Muutosehdotus päättyy (11) § 
Henkilötietojen käsittely Tullin muissa lakisääteisissä tehtävissä 
Tulli saa käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietoja rajatarkastustehtävää, virka-aputehtävän suorittamista sekä säilytystilan järjestyksen ja turvallisuuden ylläpitämistä varten. 
Valiokunta ehdottaa sisältöä muutettavaksi 14 Muutosehdotus päättyy (12) § 
Teknisessä valvonnassa saatujen henkilötietojen käsittely 
Tullilla on oikeus käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 6 Muutosehdotus päättyy §:ssä tarkoitettuja teknisessä valvonnassa saatuja henkilötietoja, myös biometrisia tietoja, tullilainsäädännön ja muun Tullin valvontatoimivaltaan kuuluvan lainsäädännön noudattamisen valvomiseksi sekä henkilön tunnistamiseksi tullilain 28 §:n mukaisesti. Valiokunta ehdottaa sisältöä poistettavaksi Henkilötietoja on oikeus käsitellä myös automaattisessa kasvojentunnistuksessa rikosten ennalta estämiseen, selvittämiseen, paljastamiseen tai syyteharkintaan saattamiseen liittyvään toimenpiteeseen taikka pakkokeinon käyttöön. Poistoehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Teknisessä valvonnassa saatuja henkilötietoja on oikeus käsitellä myös automaattisessa kasvojentunnistuksessa vertaamalla teknisessä valvonnassa saatuja henkilötietoja 8 ja 10 §:n perusteella tallennettuihin henkilötietoihin rikosten ennalta estämiseen, selvittämiseen, paljastamiseen tai syyteharkintaan saattamiseen liittyvään toimenpiteeseen taikka pakkokeinon käyttöön liittyvää toimenpidettä varten. Muutosehdotus päättyy (Uusi 2 mom.) 
15 (13) § 
Henkilötietojen käsittely muuhun kuin niiden alkuperäiseen käsittelytarkoitukseen 
Tulli saa käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 7—14 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseenValiokunta ehdottaa sisältöä poistettavaksi , jos se on tarpeen Poistoehdotus päättyy
1) tullirikoksen ennalta estämiseksi tai paljastamiseksi; 
2) sellaisen tullirikoksen selvittämiseksi, josta Valiokunta ehdottaa sisältöä muutettavaksi laissa säädetty ankarin rangaistus on vankeutta Muutosehdotus päättyy; 
3) etsintäkuulutetun tavoittamiseksi; 
4) syyttömyyttä tukevana selvityksenä; 
5) hengelle, terveydelle tai vapaudelle aiheutuvan merkittävän vaaran taikka huomattavan ympäristö-, omaisuus- tai varallisuusvahingon estämiseksi; 
6) kansallisen turvallisuuden suojaamiseksi; 
7) henkilöllisyyden selvittämiseksi suoritettaessa sellaista Tullin toimenpidettä, joka välttämättä edellyttää henkilöllisyyden varmistamista; 
8) virka-aputehtävän suorittamiseksi; 
9) Tullin rikostorjunnan toiminnan suuntaamiseksi; 
10) Tullin perintätehtävissä. 
Lisäksi Tulli saa käsitellä Valiokunta ehdottaa sisältöä muutettavaksi 7, 8 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 11—13 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietoja muuhun kuin niiden alkuperäiseen käsittelytarkoitukseenValiokunta ehdottaa sisältöä poistettavaksi , jos se on tarpeen Poistoehdotus päättyy päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan, luvanhaltijan tai heidän vastuuhenkilöidensä rikokseen syyllistymiseen tai muuhun sääntöjen vastaiseen toimintaan liittyviä tietoja. 
Sen lisäksi, mitä henkilötietojen käsittelystä rikosasioiden tietosuojalain 5 §:n 3 momentissa säädetään, Tullin henkilörekisterin tietoja saa salassapitosäännösten estämättä käsitellä myös laillisuusvalvonta-, analyysi-, suunnittelu- ja kehittämistoiminnassa. Lisäksi tietoja saa käyttää koulutustoiminnassa, jos tiedot ovat koulutuksen toteuttamiseksi välttämättömiä. 
3 luku 
Tietojensaantioikeudet 
Valiokunta ehdottaa sisältöä muutettavaksi 16 Muutosehdotus päättyy (14)  § 
Tullin oikeus saada tietoja eräistä rekistereistä ja tietojärjestelmistä 
Tullilla on sen lisäksi, mitä muualla laissa säädetään, oikeus saada tehtäviensä suorittamista ja henkilörekisteriensä ylläpitämistä varten salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona tietoja rekistereistä siten kuin Valiokunta ehdottaa sisältöä muutettavaksi käytännön menettelyistä Muutosehdotus päättyy asianomaisen rekisterinpitäjän kanssa sovitaan, seuraavasti: 
1) yhteisöiltä ja yhtymiltä matkustajaa ja kulkuneuvon henkilökuntaa sekä kulkuneuvoja ja kuljetettavia tavaroita Valiokunta ehdottaa sisältöä muutettavaksi koskevat Muutosehdotus päättyy tiedot tullirikosten estämiseksi, paljastamiseksi, selvittämiseksi ja syyteharkintaan saattamiseksi sekä etsintäkuulutettujen tavoittamiseksiValiokunta ehdottaa sisältöä muutettavaksi ; oikeudesta saada tietoja lentoliikenteen matkustajarekisteristä säädetään  Muutosehdotus päättyylentoliikenteen matkustajarekisteritietojen käytöstä terrorismirikosten ja vakavan rikollisuuden torjunnassa annetussa laissa ( / )Valiokunta ehdottaa sisältöä poistettavaksi  säädetään Poistoehdotus päättyy; 
2) Verohallinnon tietojärjestelmiValiokunta ehdottaa sisältöä muutettavaksi en Muutosehdotus päättyy ja rekistereiValiokunta ehdottaa sisältöä muutettavaksi den  Muutosehdotus päättyyValiokunta ehdottaa sisältöä poistettavaksi tarvittavat Poistoehdotus päättyy tiedot ja verovelvollista koskevat tunnistetiedot verotusta, verovalvontaa, perintää ja tullirikostorjuntaa vartenValiokunta ehdottaa sisältöä muutettavaksi , Muutosehdotus päättyy lupaharkintaa varten Valiokunta ehdottaa sisältöä poistettavaksi tarvittavat Poistoehdotus päättyy tiedot luvanhakijan tai tämän vastuuhenkilöiden veronmaksuvelvollisuuden täyttämisestä ja verojen maksuun liittyvästä maksujärjestelystä Valiokunta ehdottaa sisältöä muutettavaksi ja Muutosehdotus päättyy tullilainsäädännön tai verolainsäädännön rikkomista koskevat tiedot, jos ne ovat luvan myöntämisen edellytyksenä; 
3) liikenteen palveluista annetussa laissa (320/2017) tarkoitetusta liikenneasioiden rekisteristä tiedot, jotka ovat välttämättömiä Tullin laissa säädettyjen tehtävien hoitamiseksi; 
4) Patentti- ja rekisterihallituksen kaupparekisteristä tiedot elinkeinonharjoittajia koskevista ilmoituksista ja tiedonannoista tulli- ja verovalvontaa, lupaharkintaa, verotusta, perintää sekä tullirikostorjuntaa varten sekä kaupparekisterin edunsaajista rekisteröitävät tiedot ja rekisteröitävää koskevat tunnistetiedot tulli- ja verovalvontaa sekä rikostorjuntaa varten; 
5) poliisin henkilörekistereistä tarvittavat tiedot tulli- ja verovalvontaa ja tullirikostorjuntaa varten sekä muita tietojen tallettamistarkoituksen mukaisia Tullin tehtäviä varten ja muuhun kuin tietojen tallettamistarkoitukseen Valiokunta ehdottaa sisältöä muutettavaksi 15 Muutosehdotus päättyy §:ssä tarkoitetuissa tapauksissa; 
6) Rajavartiolaitoksen henkilörekistereistä tarvittavat tiedot tullivalvontaa, verovalvontaa, tullirikostorjuntaa ja tullilain 31 §:ssä tarkoitettua rajatarkastusta varten sekä muita tietojen tallettamistarkoituksen mukaisia Tullin tehtäviä varten ja muuhun kuin tietojen tallettamistarkoitukseen Valiokunta ehdottaa sisältöä muutettavaksi 15 Muutosehdotus päättyy §:ssä tarkoitetuissa tapauksissa; 
7) Valiokunta ehdottaa sisältöä muutettavaksi henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetussa laissa (1069/2015) tarkoitetusta Rikosseuraamuslaitoksen tietojärjestelmästä mainitun lain 20 §:n mukaisesti rikoksen estämiseksi, paljastamiseksi, selvittämiseksi tai syyteharkintaan saattamiseksi tietoja rikoksesta epäillystä, tuomitusta, vangista, Rikosseuraamuslaitoksen yksikköön otetusta ja yhdyskuntaseuraamusta suorittavasta henkilöstä Muutosehdotus päättyy; 
8) majoitustoiminnan harjoittajilta ja poliisilta majoitus- ja ravitsemistoiminnasta annetun lain (308/2006) 6 §:n 1 momentissa tarkoitettuja tietoja tullirikostorjuntaa varten; 
9) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 13—17 §:ssä tarkoitetut tiedot tulli- ja verovalvontaa, verotusta, perintää sekä tullirikostorjuntaa varten; 
10) sakon täytäntöönpanosta annetussa laissa (672/2002) tarkoitetusta sakkorekisteristä tietoja sakkorangaistuksista ja niiden täytäntöönpanosta, rikosrekisterilaissa (770/1993) tarkoitetusta rikosrekisteristä henkilöä ja oikeushenkilöä koskevia tietoja mainitun lain 4 ja 4 a §:ssä säädettyihin tarkoituksiin sekä oikeushallinnon valtakunnallisesta tietojärjestelmästä annetussa laissa (372/2010) tarkoitetusta ratkaisu- ja päätösilmoitusjärjestelmästä tietoja rikosasioissa annetuista ratkaisuista ja niiden lainvoimaisuudesta sekä diaari- ja asianhallintatietojen valtakunnallisesta käsittelyjärjestelmästä tietoja syyttäjäviranomaisessa tai tuomioistuimessa vireillä olevista tai olleista rikosasioista; 
11) oikeushallinnon viranomaisilta tieValiokunta ehdottaa sisältöä muutettavaksi dot Muutosehdotus päättyy oikeushallinnon etsintäkuuluttamista henkilöistä; 
12) Valiokunta ehdottaa sisältöä muutettavaksi ulkoministeriön Muutosehdotus päättyy tietojärjestelmistä tiedot viisumia koskevasta asiasta ja Suomessa lähettäjävaltiota edustavan diplomaatti- ja konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen ja muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvista ja näiden perheenjäsenistä sekä yksityisessä palveluksessa olevista henkilöistä ulkomaalaislaissa (301/2004) Tullille säädettyjen tehtävien suorittamista, tulli- ja verovalvontaa sekä tullirikostorjuntaa varten; 
13) Maahanmuuttoviraston tietojärjestelmistä matkustusasiakirjaa, oleskelua, kansainvälistä suojelua, maasta poistamista, maahantulokieltoa ja kansalaisuutta koskevasta asiasta ulkomaalaislaissa Tullille säädettyjen tehtävien suorittamista, tulli- ja verovalvontaa sekä tullirikostorjuntaa varten; 
14) teleyritykseltä pakkokeinolain 10 luvun 6—8 §:ssä sekä rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 2 momentissa ja 3 luvun 4 ja 5 §:ssä tarkoitettuja tietoja mainituissa laeissa säädettyjen edellytysten mukaisesti tullirikostorjuntaa varten; 
15) Ahvenanmaan valtionvirastolta alusrekisterilaissa (512/1993) tarkoitetuista aluksen rekisteröintiä sekä rakenteilla olevia aluksia koskevista tiedoista ja historiatiedoista Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset  Poistoehdotus päättyytiedot aluksista, niiden omistajista ja haltijoista eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetussa laissa (485/2004) tarkoitettuja Tullin tehtäviä, ulkomaalaislain 179 §:ssä tarkoitettua liikenteenharjoittajan seuraamusmaksun määräämistä, tulli- ja verovalvontaa, verotusta, perintää sekä tullirikostorjuntaa varten; 
16) liikenne-, kalastus- ja ympäristöviranomaisilta sekä poliisilta, Rajavartiolaitokselta ja Puolustusvoimilta tietoja kulkuneuvoista ja niiden sijainnista sekä liikenteestä tulli- ja verovalvontaa ja tullirikostorjuntaa varten; 
17) virka-apua pyytäneeltä viranomaiselta Valiokunta ehdottaa sisältöä poistettavaksi välttämättömät Poistoehdotus päättyy tiedot virka-avun antamiseksi; 
18) aluehallintoviraston rahanpesun valvontarekisteristä Valiokunta ehdottaa sisältöä poistettavaksi tarvittavat Poistoehdotus päättyy tiedot ja rekisteröitävää koskevat tunnistetiedot tulli- ja verovalvontaa ja tullirikostorjuntaa varten; 
19) Maanmittauslaitokselta kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetussa laissa (453/2002) tarkoitetusta kiinteistötietojärjestelmästä ja huoneistotietojärjestelmästä annetussa laissa Valiokunta ehdottaa sisältöä muutettavaksi (1328/2018) Muutosehdotus päättyy tarkoitetusta huoneistotietojärjestelmästä rikosten estämistä, paljastamista ja selvittämistä varten. 
Tullilla on oikeus saada 1 momentissa tarkoitetut tiedot maksutta, jollei laissa toisin säädetä. 
Tullin on pyynnöstä annettava asianomaiselle rekisterinpitäjälle tietoja 1 momentin nojalla saamiensa henkilötietojen käsittelystä. 
Valiokunta ehdottaa sisältöä muutettavaksi 17 Muutosehdotus päättyy (15 ) § 
Muiden viranomaisten tietojen luovuttaminen Tullille suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten 
Tullin henkilörekistereihin saavat, siten kuin Valiokunta ehdottaa sisältöä muutettavaksi käytännön menettelyistä  Muutosehdotus päättyyrekisterinpitäjän kanssa sovitaan, suorakäyttöisesti tallettamalla tai tietojoukkona tallettamista varten luovuttaa: 
1) oikeushallintoviranomaiset, Rikosseuraamuslaitos sekä Oikeusrekisterikeskus etsintäkuuluttamiaan henkilöitä koskevia tietoja, Rikosseuraamuslaitos tuntomerkkitietoja vapauteen kohdistuvaa rangaistusta suorittavista tai suorittaneista henkilöistä sekä Oikeusrekisterikeskus liiketoimintakieltoja koskevia tietoja; 
2) poliisi, Rajavartiolaitos ja sotilasviranomaiset etsintäkuuluttamiaan henkilöitä koskevia tietoja sekä poliisi ja Rajavartiolaitos ulkomaalaisten tunnistamistietoja ja Valiokunta ehdottaa sisältöä muutettavaksi tietoja  Muutosehdotus päättyytullirikosten estämiseksi, paljastamiseksi ja selvittämiseksiValiokunta ehdottaa sisältöä poistettavaksi  tarpeellisia tietoja Poistoehdotus päättyy; 
3) Puolustusvoimat Valiokunta ehdottaa sisältöä muutettavaksi tietoja  Muutosehdotus päättyytullirikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi sekä kansallisen turvallisuuden suojaamiseksiValiokunta ehdottaa sisältöä poistettavaksi  tarpeellisia tietoja Poistoehdotus päättyy; 
4) ulkoministeriö Suomessa lähettäjävaltiota edustavan diplomaatti- ja konsuliedustuston, kansainvälisen järjestön Suomessa olevan toimielimen, muun samassa asemassa olevan kansainvälisen toimielimen henkilökuntaan kuuluvValiokunta ehdottaa sisältöä muutettavaksi ia Muutosehdotus päättyy sekä näiden perheenjäsenValiokunta ehdottaa sisältöä muutettavaksi  Muutosehdotus päättyy ja yksityisessä palveluksessa olevValiokunta ehdottaa sisältöä muutettavaksi ia Muutosehdotus päättyy henkilöiValiokunta ehdottaa sisältöä muutettavaksi tä koskevia Muutosehdotus päättyy tietoja; 
5) Metsähallituksen erätarkastaja toimivaltaansa kuuluvassa erävalvonnassa kirjattuja Valiokunta ehdottaa sisältöä poistettavaksi tarpeellisia Poistoehdotus päättyy toimenpidetietoja. 
Tullin on pyynnöstä annettava 1 momentin nojalla henkilötietoja luovuttaneelle rekisterinpitäjälle tieto saamiensa henkilötietojen käsittelystä. 
Valiokunta ehdottaa sisältöä muutettavaksi 18 Muutosehdotus päättyy (16) § 
Uhkasakko 
Tulli voi velvoittaa sen, jolta se on oikeutettu saamaan Valiokunta ehdottaa sisältöä muutettavaksi 16 Muutosehdotus päättyy §:n 1 momentin 1 ja 8 kohdassa tarkoitettuja tietoja, antamaan tiedot kohtuullisessa määräajassa. Tulli voi asettaa velvoitteen noudattamisen tehosteeksi uhkasakon. Uhkasakon asettamispäätöstä on noudatettava sitä koskevasta muutoksenhausta huolimatta. Uhkasakkoa ei kuitenkaan saa asettaa, jos asianosaista on aihetta epäillä rikoksesta ja pyydetty aineisto koskee rikosepäilyn kohteena olevaa asiaa. Muilta osin uhkasakosta säädetään uhkasakkolaissa (1113/1990). 
Valiokunta ehdottaa sisältöä muutettavaksi 19 Muutosehdotus päättyy (17) § 
Kolmannelta valtiolta, kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittely 
Kolmannelta valtiolta taikka kansainväliseltä järjestöltä tai virastolta saatujen henkilötietojen käsittelyssä on noudatettava, mitä henkilötietojen luovuttajan asettamissa ehdoissa määrätään salassapidosta, vaitiolovelvollisuudesta, henkilötietojen käytön rajoituksista, henkilötietojen käytön edelleen luovutuksesta tai luovutetun aineiston palauttamisesta. 
Jollei 1 momentista muuta johdu, Tulli saa käyttää sille luovutettuja henkilötietoja muuhun tarkoitukseen kuin mihin tiedot on luovutettu noudattaen Valiokunta ehdottaa sisältöä muutettavaksi 15 Muutosehdotus päättyy §:n 1 momenttia. 
4 luku 
Henkilötietojen luovuttaminen 
Valiokunta ehdottaa sisältöä muutettavaksi 20 Muutosehdotus päättyy (18) § 
Henkilötietojen luovuttaminen toiselle rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle viranomaiselle 
Tulli saa salassapitosäännösten estämättä luovuttaa teknisen käyttöyhteyden avulla tai tietojoukkona Valiokunta ehdottaa sisältöä muutettavaksi 7—10 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 13 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietoja poliisille, Rajavartiolaitokselle, Puolustusvoimille, syyttäjälle, tuomioistuimille, Oikeusrekisterikeskukselle, Rikosseuraamuslaitokselle ja muulle Valiokunta ehdottaa sisältöä muutettavaksi rikosasioiden tietosuojalaissa tarkoitetulle toimivaltaiselle  Muutosehdotus päättyyviranomaiselle rikosasioiden tietosuojalain 1 §:ssä tarkoitettua viranomaisen laissa säädettyä tehtävää varten.  
Valiokunta ehdottaa sisältöä muutettavaksi 21 Muutosehdotus päättyy (19) § 
Muu henkilötietojen luovuttaminen viranomaisille 
Tulli saa salassapitosäännösten estämättä luovuttaa teknisen käyttöyhteyden avulla tai tietojoukkona Valiokunta ehdottaa sisältöä muutettavaksi 7—10 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 13 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietojaValiokunta ehdottaa sisältöä poistettavaksi , jotka ovat tarpeen Poistoehdotus päättyy viranomaisen laissa säädetyn tehtävän suorittamiseksi, seuraavasti: 
1) Verohallinnolle Valiokunta ehdottaa sisältöä muutettavaksi edellä sanotun lisäksi myös 12 §:ssä säädettyjä henkilötietoja, Muutosehdotus päättyy verotuksen toimittamista, verojen ja maksujen perimistä, verotusta koskevaa muutoksenhakua, ulosottoa ja valtion edun- ja oikeudenvalvontaa varten; tietojen luovuttamisesta Verohallinnolle säädetään lisäksi arvonlisäverolain (1501/1993) 160 §:n 3 momentissa ja oma-aloitteisten verojen verotusmenettelystä annetun lain (768/2016) 29 §:n 6 momentissa; 
2) Valiokunta ehdottaa sisältöä muutettavaksi Liikenne- ja viestintävirastolle edellä sanotun lisäksi myös 12 §:ssä säädettyjä viraston laissa säädettyjen tehtävien hoitamiseksi välttämättömiä henkilötietoja Muutosehdotus päättyy liikenteen palveluista annetun lain Valiokunta ehdottaa sisältöä muutettavaksi 197 ja 217 §:n Muutosehdotus päättyy mukaisestiValiokunta ehdottaa sisältöä poistettavaksi  tietoja, jotka ovat välttämättömiä sen laissa säädettyjen tehtävien hoitamista varten Poistoehdotus päättyy; 
3) Hätäkeskuslaitokselle hätäkeskustoiminnasta annetun lain (692/2010) 19 §:n 1 momentissa säädettyjen tehtävien suorittamiseksi Valiokunta ehdottaa sisältöä poistettavaksi tarpeellisia Poistoehdotus päättyy tietoja alkutoimenpiteiden ja työturvallisuuden varmistamiseksi sekä asianomaisen yksikön tukemiseksi noudattaen, mitä tietojen saamista koskevan oikeuden rajoittamisesta mainitun pykälän 2 momentissa säädetään; 
4) pelastusviranomaisille pelastuslain (379/2011) 32 §:ssä tarkoitettua pelastustoimintaa, 41 §:ssä tarkoitettua palontutkintaa ja 80 §:ssä tarkoitettua palotarkastusta ja muita valvontatehtäviä varten; 
5) poliisille ja henkilölle, joka toimii Suomen ulkomaille sijoittamana poliisin yhdyshenkilönä, henkilöiden maahantulon ja maastalähdön valvontaa ja siihen kuuluvan rajatarkastuksen suorittamista, ulkomaalaisia koskevien säännösten noudattamisen valvontaa sekä tullitoimenpiteen suorittamista, tietojen keräämis- ja tallettamistarkoituksen mukaisia muita poliisin tehtäviä varten, muuhun kuin tietojen keräämis- ja tallettamistarkoitukseen henkilötietojen käsittelystä poliisitoimessa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 13 Muutosehdotus päättyy §:n ja Valiokunta ehdottaa sisältöä muutettavaksi 14 Muutosehdotus päättyy §:n 1 momentissa tarkoitetuissa tapauksissa sekä haasteen ja muun tiedoksiannon suorittamista varten; 
6) Rajavartiolaitokselle rajavalvontaa sekä rajaturvallisuuden ja rajajärjestyksen ylläpitämistä, ulkomaalaisia koskevien säännösten noudattamisen valvontaa, tullitoimenpiteiden suorittamista, meripelastuslaissa (1145/2001) säädettyjä tehtäviä sekä haasteen ja muun tiedoksiannon suorittamista varten, tietojen alkuperäistä käsittelytarkoitusta vastaaviin tarkoituksiin sekä muuhun tarkoitukseen henkilötietojen käsittelystä Rajavartiolaitoksessa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 16 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 17 Muutosehdotus päättyy §:ssä tarkoitetuissa tapauksissa; 
7) ulkoministeriölle ja Suomen edustustolle näiden toimivaltaan kuuluvan passia tai muuta matkustusasiakirjaa, viisumia, työntekijän oleskelulupaa, Valiokunta ehdottaa sisältöä muutettavaksi yrittäjän Muutosehdotus päättyy oleskelulupaa tai muuta oleskelulupaa koskevan asian käsittelyä varten; 
8) Valiokunta ehdottaa sisältöä muutettavaksi työ- ja elinkeinoviranomaiselle Muutosehdotus päättyy työntekijän Valiokunta ehdottaa sisältöä muutettavaksi oleskelulupaa Muutosehdotus päättyy tai Valiokunta ehdottaa sisältöä muutettavaksi yrittäjän oleskelulupaa koskevan Muutosehdotus päättyy asian käsittelyä varten; 
9) Maahanmuuttovirastolle ulkomaalaisia ja Suomen kansalaisuutta koskevien sellaisten asioiden käsittelemistä ja ratkaisemista varten, jotka laissa säädetään Maahanmuuttoviraston tehtäviksi; 
10) ulosottomiehelle ulosottokaaren (705/2007) 3 luvun 67 §:n mukaisesti ulosottoselvitystä ja muuta ulosottoasiain täytäntöönpanoa varten;  
11) haastemieslain (505/1986) 1 ja 6 §:ssä mainitulle virkamiehelle muuntorangaistuksen määräämistä koskevaan oikeudenkäyntiin haastamista varten sekä haastemiehelle haasteen ja muun tiedoksiannon toimittamista varten Valiokunta ehdottaa sisältöä poistettavaksi tarpeelliset  Poistoehdotus päättyyrikostorjunnan tietojärjestelmän henkilötiedot, työturvallisuustiedot ja pidätettyjen tiedot; 
12) Metsähallituksen erätarkastajalle tämän toimivaltaan kuuluvaa erävalvontaa varten; 
13) vaarallisten aineiden kuljetuksesta annetussa laissa (719/1994) tarkoitetuille viranomaisille vaarallisten aineiden kuljetusten valvontaa varten; 
14) säteilyturvakeskukselle säteilylain (592/1991) 6 §:n mukaista valvontatehtävää varten;  
15) valtiovarainministeriölle verolainsäädännön valmistelua ja sen toimeenpanon seurantaa sekä valtion talousarvion laadintaa varten. 
Valiokunta ehdottaa sisältöä muutettavaksi Sen lisäksi, mitä 1 momentissa säädetään, Tulli saa perustellusta syystä luovuttaa salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai tietojoukkona viranomaiselle henkilötietoja, jotka ovat välttämättömiä viranomaisen laissa säädetyn tehtävän suorittamiseksi. Muutosehdotus päättyy 
Ennen henkilötietojen luovuttamista niiden vastaanottajan on esitettävä rekisterinpitäjälle luotettava selvitys henkilötietojen asianmukaisesta suojaamisesta. 
Luovutettavien tietojen laatu on mahdollisuuksien mukaan varmennettava ja niihin on tarvittaessa lisättävä tietoja, joiden avulla vastaanottaja voi arvioida tietojen oikeellisuutta, täydellisyyttä, ajantasaisuutta ja luotettavuutta. Jos ilmenee, että on luovutettu virheellisiä tietoja tai että tietoja on luovutettu lainvastaisesti, asiasta on ilmoitettava viipymättä vastaanottajalle. 
Valiokunta ehdottaa sisältöä muutettavaksi 22 Muutosehdotus päättyy (20) § 
Henkilötietojen luovuttaminen yleisen tietoverkon välityksellä 
Tulli saa salassapitosäännösten estämättä luovuttaa yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tietoja, joista on rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen tiedottaa. Henkilötietoja voi hakea ainoastaan yksittäisinä hakuina. 
Tulli saa lisäksi salassapitosäännösten estämättä luovuttaa yleisen tietoverkon välityksellä yleisön tietoon saattamiseksi ja yleisövihjeiden saamiseksi tietoja, joista on asian kiireellisyyden, vaaratilanteen, rikosten ennalta estämisen, omaisuuden omistajalleen palauttamisen tai tutkinnallisten syiden vuoksi tarpeen erityisesti tiedottaa. Henkilötiedot saadaan luovuttaa muuten kuin 1 momentissa tarkoitetulla tavalla ainoastaan, jos se on olennaisen tärkeää Tullille laissa säädetyn tehtävän suorittamiseksi, eikä tietojen luovuttaminen ole vastoin rekisteröidyn oikeutettua etua. Toiselta viranomaiselta saatuja tietoja saa luovuttaa vain tiedot luovuttaneen viranomaisen suostumuksella. 
Valiokunta ehdottaa sisältöä muutettavaksi 23 Muutosehdotus päättyy (21)  § 
Henkilötietojen luovuttaminen Euroopan unionin jäsenvaltion ja Euroopan talousalueen jäsenvaltion lainvalvontaviranomaiselle 
Tulli saa luovuttaa salassapitosäännösten estämättä Valiokunta ehdottaa sisältöä muutettavaksi 7—10, 13 ja 14  Muutosehdotus päättyy§:ssä tarkoitettuja henkilötietoja toisen Euroopan unionin jäsenvaltion ja Euroopan talousalueeseen kuuluvan valtion toimivaltaiselle viranomaiselle, joka käsittelee henkilötietoja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 1 artiklan 1 kohdassa säädettyyn tarkoitukseen, samoilla edellytyksillä kuin Tulli saa itse käsitellä kyseessä olevia henkilötietoja. 
Tulli saa lisäksi salassapitosäännösten estämättä luovuttaa Valiokunta ehdottaa sisältöä muutettavaksi 7—10 ja 13 Muutosehdotus päättyy §:ssä tarkoitettuja henkilötietoja Eurojustille ja muulle Euroopan unionin toiminnasta tehdyn sopimuksen nojalla perustetulle toimielimelle, jonka tehtäviin kuuluu oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen tai rikosten ennalta estäminen, selvittäminen ja syyteharkintaan saattaminen, Valiokunta ehdottaa sisältöä poistettavaksi jos tiedot ovat tarpeellisia Poistoehdotus päättyy kyseisten tehtävien suorittamiseksi.Valiokunta ehdottaa sisältöä poistettavaksi  Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa kuitenkin luovuttaa vain, jos tiedot ovat välttämättömiä kyseisten tehtävien suorittamiseksi. Poistoehdotus päättyy 
Edellä 1 ja 2 momentissa tarkoitetut tiedot saadaan luovuttaa myös tietojoukkona. 
Sen lisäksi, mitä tässä laissa ja rikosasioiden tietosuojalaissa säädetään, henkilötietojen luovuttamisesta Euroopan unionin jäsenvaltion lainvalvontaviranomaiselle säädetään Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta tehdyn puitepäätöksen lainsäädännön alaan kuuluvien säännösten kansallisesta täytäntöönpanosta ja puitepäätöksen soveltamisesta annetussa laissa (26/2009). 
Valiokunta ehdottaa sisältöä muutettavaksi 24 Muutosehdotus päättyy (22)  § 
Henkilötietojen luovuttaminen Schengenin tietojärjestelmää käyttävälle valtiolle ja Schengenin tietojärjestelmään 
Tulli saa luovuttaa salassapitosäännösten estämättä Schengenin tietojärjestelmään talletettavaksi henkilötietoja, jotka ovat tarpeen Schengenin tietojärjestelmän säädöspohjassa säädettyihin tarkoituksiin. Schengenin tietojärjestelmän säädöspohjassa tarkoitetut lisätiedot on luovutettava Sirene-toimiston välityksellä. Sirene-toimistona toimii keskusrikospoliisi. Tiedot saadaan luovuttaa myös teknisen käyttöyhteyden avulla tai tietojoukkona. 
Valiokunta ehdottaa sisältöä muutettavaksi 25 Muutosehdotus päättyy (23)  § 
Henkilötietojen luovuttaminen Europolille 
Tulli saa salassapitosäännösten estämättä luovuttaa henkilötietoja Euroopan unionin lainvalvontayhteistyövirastolle noudattaen, mitä Europol-asetuksessa ja Euroopan unionin lainvalvontayhteistyövirastosta annetussa laissa (214/2017) säädetään. 
Valiokunta ehdottaa sisältöä muutettavaksi 26 Muutosehdotus päättyy (24) § 
Tietojen luovuttamisesta päättäminen 
Oikeudesta luovuttaa Tullin henkilörekisterin tietoja teknisen käyttöyhteyden avulla tai tietojoukkona sekä 3 luvussa tarkoitettujen viranomaisten oikeudesta luovuttaa tietoja Tullin tietojärjestelmään tietojoukkona tai teknisen käyttöyhteyden avulla päättää rekisterinpitäjä tai rekisterinpitäjän tähän tehtävään määräämä Tullin toimintayksikkö. 
Luovuttamisesta päätettäessä on rekisteröidyn tietosuojan ja tietoturvan varmistamiseksi otettava huomioon luovutettavien tietojen laatu. 
5 luku 
Henkilötietojen poistaminen ja arkistointi 
Valiokunta ehdottaa sisältöä muutettavaksi 27 Muutosehdotus päättyy (25)  § 
Rikosasiaan liittyvien henkilötietojen poistaminen 
Syyttäjälle ratkaistavaksi siirretyn rikosasian tiedot poistetaan: 
1) viiden vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata sakkoa tai enintään vuoden vankeusrangaistus; 
2) kymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli vuoden ja enintään viiden vuoden vankeusrangaistus;  
3) kahdenkymmenen vuoden kuluttua rikosasian siirtämisestä syyttäjälle, jos rikosasian törkeimmästä epäillystä rikoksesta voi seurata yli viisi vuotta vankeutta. 
Edellä 1 momentissa tarkoitetut tiedot poistetaan kuitenkin aikaisintaan vuoden kuluttua rikoksen syyteoikeuden vanhentumisesta. 
Muun kuin 1 momentissa tarkoitetun rikosasian tiedot poistetaan yhden vuoden kuluttua viimeisimmän epäillyn rikoksen syyteoikeuden vanhentumisesta, aikaisintaan kuitenkin viiden vuoden kuluttua rikosasian kirjaamisesta.  
Edellä 1 momentissa tarkoitetut rikosasiaan liittyvät henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Tullin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein. 
Valiokunta ehdottaa sisältöä muutettavaksi 28 Muutosehdotus päättyy (26) § 
Muiden tutkintatehtävissä käsiteltävien henkilötietojen poistaminen 
Muut Valiokunta ehdottaa sisältöä muutettavaksi 7 Muutosehdotus päättyy §:ssä säädettyihin tarkoituksiin käsiteltävät henkilötiedot kuin Valiokunta ehdottaa sisältöä muutettavaksi 27 Muutosehdotus päättyy §:ssä tarkoitetut poistetaan viiden vuoden kuluttua ilmoituksen tai asian kirjaamisesta, jolleivät ne liity tutkittavaan rikosasiaan.  
Poiketen siitä, mitä 1 momentissa säädetään: 
1) liiketoimintakieltoa koskevat tiedot poistetaan viiden vuoden kuluttua liiketoimintakiellon päättymisestä; 
2) henkilöiden tavoittamiseksi, valvomiseksi, tarkkailemiseksi ja suojaamiseksi käsiteltävät etsintäkuulutusta tai matkustuskieltoa koskevat tiedot poistetaan kolmen vuoden kuluttua kuulutuksen tai kiellon peruuttamisesta tai päättymisestä. 
Edellä Valiokunta ehdottaa sisältöä muutettavaksi 8 Muutosehdotus päättyy §:n 3 kohdassa tarkoitetut tiedot poistetaan kuitenkin viimeistään yhden vuoden kuluttua rekisteröidyn kuolemasta. 
Edellä 1—3 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Tullin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein. 
Valiokunta ehdottaa sisältöä muutettavaksi 29 Muutosehdotus päättyy (27) § 
Rikosten ennalta estämiseen ja paljastamiseen liittyvien henkilötietojen poistaminen 
Rikosten ennalta estämiseen ja paljastamiseen liittyvät henkilötiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen rikosta, rikollista toimintaa tai tehtävää koskevan tiedon merkitsemisestä. Edellä Valiokunta ehdottaa sisältöä muutettavaksi 9 Muutosehdotus päättyy §:n 5 momentissa tarkoitetut tiedot poistetaan kuitenkin viimeistään kuuden kuukauden kuluttua merkinnän tekemisestä ja Valiokunta ehdottaa sisältöä muutettavaksi 10 Muutosehdotus päättyy §:n 1 momentin 4 kohdassa tarkoitetut tiedot viimeistään vuoden kuluttua rekisteröidyn kuolemasta. 
Edellä 1 momentissa tarkoitetut henkilötiedot saadaan kuitenkin säilyttää edelleen, jos ne ovat tarpeen tutkinnallisen, valvonnallisen tai muun perustellun syyn vuoksi tai rekisteröidyn, muun asianosaisen tai Tullin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Henkilötietojen edelleen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein. 
Valiokunta ehdottaa sisältöä muutettavaksi 30 Muutosehdotus päättyy (28) § 
Tietolähdetietojen poistaminen 
Tietolähdetiedot poistetaan viimeistään kymmenen vuoden kuluttua viimeisen tiedon merkitsemisestä. 
Valiokunta ehdottaa sisältöä muutettavaksi 31 Muutosehdotus päättyy (29) § 
Tulli- ja verovalvontaan liittyvien henkilötietojen poistaminen 
Tulli- ja verovalvontaan liittyvät henkilötiedot poistetaan tiedon tallettamista seuraavan kuudennen kalenterivuoden päättyessä. Edellä Valiokunta ehdottaa sisältöä muutettavaksi 12 §:n Muutosehdotus päättyy 2 momentin 1 kohdassa tarkoitetut tunnistetiedot poistetaan kuitenkin noudattaen Valiokunta ehdottaa sisältöä muutettavaksi 27 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 28 Muutosehdotus päättyy §:ää. 
Valiokunta ehdottaa sisältöä muutettavaksi 32 Muutosehdotus päättyy (30) § 
Teknisessä valvonnassa saatujen henkilötietojen poisto 
Teknisillä apuvälineillä talteen otetut kuva- ja äänitallenteet poistetaan kuuden kuukauden kuluttua merkinnän tekemisestä tietojärjestelmään. 
Rekisterikilpien kuvaus- ja tunnistamistiedot poistetaan tiedon tallentumista seuraavan kalenterivuoden päättyessä. 
Valiokunta ehdottaa sisältöä muutettavaksi 33 Muutosehdotus päättyy (31) § 
Virheelliseksi todettu tieto 
Sen estämättä, mitä rikosasioiden tietosuojalaissa ja tietosuoja-asetuksessa säädetään virheellisen tiedon korjaamisesta, virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Tullin henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa. 
Virheelliseksi todettu tieto, jota 1 momentin nojalla säilytetään, on poistettava heti, kun tiedon säilyttäminen oikeuksien turvaamiseksi ei enää ole tarpeen. 
Valiokunta ehdottaa sisältöä muutettavaksi 34 Muutosehdotus päättyy (32) § 
Tietojen arkistointi 
Arkistotoimen tehtävistä ja arkistoon siirrettävistä asiakirjoista säädetään arkistolaissa (831/1994). 
6 luku 
Rekisteröidyn oikeudet 
Valiokunta ehdottaa sisältöä muutettavaksi 35 Muutosehdotus päättyy (33) § 
Rekisteröidyn tarkastusoikeuden toteuttaminen 
Rikosasioiden tietosuojalain 23 §:ssä tarkoitetun rekisteröidyn tarkastusoikeuden ja tietosuoja-asetuksen 15 artiklassa tarkoitetun rekisteröidyn tietoon pääsyn toteuttamiseksi rekisterinpitäjä antaa tarvittavat henkilötiedot ja muut tiedot tarkastamista varten, jollei rekisterinpitäjä ole määrännyt Tullin toimintayksikköä antamaan tiedot. 
Rekisteröidyn on tarkastusoikeutta käyttäessään esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjälle tai muulle 1 momentissa tarkoitetulle Tullin toimintayksikölle ja todistettava henkilöllisyytensä. Pyyntö voidaan esittää myös käyttämällä vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) tarkoitettua vahvaa sähköistä tunnistamista, jos tällainen palvelu on käytössä.  
Valiokunta ehdottaa sisältöä muutettavaksi 36 Muutosehdotus päättyy (34) § 
Tarkastusoikeuden rajoittaminen 
Poiketen siitä, mitä rikosasioiden tietosuojalain 23 §:ssä säädetään, tarkastusoikeutta ei ole: 
1) Valiokunta ehdottaa sisältöä poistettavaksi 5 §:n 3 momentissa, 7 §:n 6 momentissa ja Poistoehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi 11 Muutosehdotus päättyy §:ssä tarkoitettuihin henkilötietoihin; 
2) Valiokunta ehdottaa sisältöä muutettavaksi 7—10 Muutosehdotus päättyy ja Valiokunta ehdottaa sisältöä muutettavaksi 12 Muutosehdotus päättyy §:ssä tarkoitettuihin henkilötietoihin sisältyviin Tullin taktisia ja teknisiä menetelmiä koskeviin tietoihin, havainto- ja tietolähdetietoihin eikä tekniseen tutkintaan käytettäviin tietoihin; 
3) rekisterikilpien kuvaus- ja tunnistamistietoihin; 
4) henkilötietoihin, jotka on saatu rikostorjunnasta Tullissa annetun lain 3 luvun ja pakkokeinolain 10 luvun mukaisia tiedonhankintamenetelmiä käyttäen taikka sähköisen viestinnän palveluista annetun lain (917/2014) 157 §:n nojalla. 
Rekisteröidyn oikeuksien käyttämisestä tietosuojavaltuutetun välityksellä säädetään rikosasioiden tietosuojalain 29 §:ssä ja tietosuojalain 34 §:ssä. Oikeuksien käyttämistä koskeva pyyntö on esitettävä tietosuojavaltuutetulle taikka Tullille tämän lain 35 §:n 2 momentin mukaisesti. Tullille esitetty pyyntö on toimitettava viipymättä tietosuojavaltuutetulle. 
Valiokunta ehdottaa sisältöä muutettavaksi 37 Muutosehdotus päättyy (35) § 
Rekisteröidyn oikeus käsittelyn rajoittamiseen 
Tietosuoja-asetuksen 18 artiklaa rekisteröidyn oikeudesta käsittelyn rajoittamiseen ei sovelleta tässä laissa tarkoitettuun henkilötietojen käsittelyyn. 
7 luku 
Erinäiset säännökset 
Valiokunta ehdottaa sisältöä muutettavaksi 38 Muutosehdotus päättyy (36) § 
Rekisterinpitäjä 
Edellä 2 luvussa tarkoitettujen henkilötietojen rekisterinpitäjä on Tulli. Edellä Valiokunta ehdottaa sisältöä muutettavaksi 8 Muutosehdotus päättyy §:n Valiokunta ehdottaa sisältöä poistettavaksi 1 momentin Poistoehdotus päättyy 2 kohdassa ja Valiokunta ehdottaa sisältöä muutettavaksi 10 Muutosehdotus päättyy §:n 1 momentin 3 kohdassa tarkoitettujen tuntomerkkitietojen osalta rekisterinpitäjästä säädetään kuitenkin erikseen. 
Valiokunta ehdottaa sisältöä muutettavaksi 39 § Muutosehdotus päättyy (Uusi) 
Valiokunta ehdottaa sisältöä muutettavaksi Rangaistussäännös Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä. Muutosehdotus päättyy 
Valiokunta ehdottaa sisältöä muutettavaksi 40 Muutosehdotus päättyy (37) § 
Voimaantulo 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Tällä lailla kumotaan henkilötietojen käsittelystä Tullissa annettu laki (639/2015), jäljempänä kumottu laki
Tässä laissa tarkoitettujen henkilötietojen poistamiseen saadaan soveltaa tämän lain voimaan tullessa voimassa olleita säännöksiä neljän vuoden ajan lain voimaantulosta. Siirtymäajan kuluessa Valiokunta ehdottaa sisältöä muutettavaksi 7—10, 12 ja 13 Muutosehdotus päättyy §:ssä tarkoitettujen henkilötietojen poistamiseen sovelletaan kumotun lain 19—23 §:ää, sellaisina kuin ne olivat tämän lain voimaan tullessa. 
 Lakiehdotus päättyy 

Valiokunta ehdottaa, että 2. lakiehdotus hylätään.

3. Laki rikostorjunnasta Tullissa annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan rikostorjunnasta Tullissa annetun lain (623/2015) 2 luvun 15 §:n 2 momentti ja 3 luvun 40 §:n 1 momentti ja 54 §:n 2 momentti, sellaisina kuin ne ovat laissa 310/2016, seuraavasti: 
2 luku 
Tullin toimivaltuudet tullirikostorjunnassa 
15 § 
Henkilöllisyyden selvittäminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jos joku kieltäytyy antamasta 1 momentissa tarkoitettuja tietoja ja hänen henkilöllisyyttään ei voida muutoin selvittää, tullirikostorjunnan tullimiehellä on oikeus selvittää henkilöllisyys henkilötuntomerkkien sekä henkilötietojen käsittelystä Tullissa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 7 ja 8 Muutosehdotus päättyy §:ssä ja henkilötietojen käsittelystä poliisitoimessa Valiokunta ehdottaa sisältöä muutettavaksi ( Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi / Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi ) Muutosehdotus päättyy annetun lain Valiokunta ehdottaa sisältöä muutettavaksi 5, 6, 11 ja 12 Muutosehdotus päättyy §:ssä tarkoitettujen tietojen perusteella. Tällöin noudatetaan, mitä pakkokeinolain 8 luvun 33 §:n 2—4 momentissa säädetään henkilöön kohdistuvan etsinnän toimittamisesta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
3 luku 
Salainen tiedonhankinta 
40 § 
Tietolähdettä koskevien tietojen käsittely ja palkkion maksu 
Tietolähdettä koskevia tietoja voidaan käsitellä henkilötietojen käsittelystä Tullissa annetun lain Valiokunta ehdottaa sisältöä muutettavaksi 11 Muutosehdotus päättyy §:n mukaisesti.  
 Muuttamaton osa säädöstekstistä on jätetty pois 
54 § 
Tietojen hävittäminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Ylimääräinen tieto voidaan kuitenkin säilyttää ja tallettaa henkilötietojen käsittelystä Tullissa annetun lain Valiokunta ehdottaa sisältöä muutettavaksi 7 ja 9 Muutosehdotus päättyy §:n mukaisesti, jos tieto koskee 53 §:ssä tarkoitettua rikosta. Tieto, jota ei ole talletettu tai liitetty esitutkinta-aineistoon, on hävitettävä ilman aiheetonta viivytystä sen jälkeen, kun on käynyt ilmeiseksi, ettei tietoa voida käyttää tai sitä ei enää tarvita tullirikoksen estämisessä tai selvittämisessä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

Valiokunta ehdottaa, että 4. lakiehdotus hylätään.

Valiokunta ehdottaa, että 5. lakiehdotus hylätään.

6. Laki Harmaan talouden selvitysyksiköstä annetun lain 12 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 12 §:n 2 momentti, sellaisena kuin se on laissa 645/2015, seuraavasti: 
12 § 
Henkilötietojen käsittely ja tarkastusoikeus 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rekisteröidyllä ei ole kuitenkaan tarkastusoikeutta henkilötietojen käsittelystä poliisitoimessa annetun lain Valiokunta ehdottaa sisältöä muutettavaksi ( Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi / Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi ) Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi  42 Muutosehdotus päättyy §:ssä, henkilötietojen käsittelystä Valiokunta ehdottaa sisältöä muutettavaksi R Muutosehdotus päättyyajavartiolaitoksessa annetun lain Valiokunta ehdottaa sisältöä muutettavaksi ( Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi / Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi ) Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi  51 Muutosehdotus päättyy §:ssä eikä henkilötietojen käsittelystä Tullissa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 36 Muutosehdotus päättyy §:ssä tarkoitettuihin tietoihin. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

7. Laki autoverolain 87 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan autoverolain (1482/1994) 87 a §:n 3 momentti, sellaisena kuin se on laissa 1192/2016, seuraavasti: 
87 a § 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tullin oikeudesta saada tietoja veroviranomaisen tietojärjestelmistä säädetään henkilötietojen käsittelystä Tullissa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 16 Muutosehdotus päättyy §:n 1 momentin 2 kohdassa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

8. Laki valmisteverotuslain 4 a §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan valmisteverotuslain (182/2010) 4 a §:n 3 momentti, sellaisena kuin se on laissa 1178/2016, seuraavasti: 
4 a § 
Tietojenvaihto Tullin ja Verohallinnon välillä 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tullin oikeudesta saada tietoja Verohallinnon tietojärjestelmistä säädetään henkilötietojen käsittelystä Tullissa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 16 Muutosehdotus päättyy §:n 1 momentin 2 kohdassa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

9. Laki sähköisen viestinnän palveluista annetun lain 322 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan sähköisen viestinnän palveluista annetun lain (917/2014) 322 §:n 1 momentti, sellaisena kuin se on laissa 118/2018, seuraavasti: 
322 § 
Eräiden muiden viranomaisten tiedonsaantioikeus 
Viranomaisten oikeudesta saada välitystietoja rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi säädetään poliisilaissa, rikostorjunnasta Rajavartiolaitoksessa annetussa laissa (108/2018), henkilötietojen käsittelystä Valiokunta ehdottaa sisältöä muutettavaksi R Muutosehdotus päättyyajavartiolaitoksessa annetussa laissa Valiokunta ehdottaa sisältöä muutettavaksi ( Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi / Muutosehdotus päättyyValiokunta ehdottaa sisältöä muutettavaksi ) Muutosehdotus päättyy, rikostorjunnasta Tullissa annetussa laissa (623/2015), henkilötietojen käsittelystä Tullissa annetussa laissa ( / ) ja pakkokeinolaissa. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

10. Laki turvallisuusselvityslain 25 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan turvallisuusselvityslain (726/2014) 25 §:n 1 momentin 7 kohta seuraavasti: 
25 § 
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet 
Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
7) henkilötietojen käsittelystä Tullissa annetun lain ( / ) Valiokunta ehdottaa sisältöä muutettavaksi 7 Muutosehdotus päättyy §:n 1 ja 2 momentissa ja Valiokunta ehdottaa sisältöä muutettavaksi 8 Muutosehdotus päättyy §:ssä tarkoitettuihin tietoihin; 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 
Helsingissä 12.3.2019 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Juho Eerola ps 
 varapuheenjohtaja 
Timo V. Korhonen kesk 
 jäsen 
Anders Adlercreutz 
 jäsen 
Pertti Hakanen kesk 
 jäsen 
Antti Kurvinen kesk 
 jäsen 
Sirpa Paatero sd 
 jäsen 
Olli-Poika Parviainen vihr 
 jäsen 
Juha Pylväs kesk 
 jäsen 
Wille Rydman kok 
 jäsen 
Joona Räsänen sd 
 jäsen 
Matti Semi vas 
 jäsen 
Mari-Leena Talvitie kok 
 varajäsen 
Ilkka Kantola sd 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne