(1) Hallituksen esityksessä ehdotetaan hätäkeskustoiminnasta annetussa laissa säädettävän Hätäkeskuslaitoksen toiminnasta sekä pelastustoimen, poliisitoimen, sosiaali- ja terveystoimen ja Rajavartiolaitoksen tehtäviin liittyvistä hätäkeskuspalveluista, hätäkeskustoiminnasta ja henkilötietojen käsittelystä hätäkeskustoiminnassa. Hätäkeskustoiminnasta annetun lain säännökset henkilötietojen käsittelystä muutetaan vastaamaan EU:n tietosuojalainsäädännön vaatimuksia. Lakiin lisätään myös säännökset viranomaisten tiedonsaantioikeuksista, tietojen luovutuksesta ja tietojen toisiokäytöstä. Esitykseen sisältyy lisäksi eräitä muita muutosehdotuksia.
(2) Ehdotettu sääntely on merkityksellistä erityisesti perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Ehdotettu sääntely on merkityksellistä myös EU:n perusoikeuskirjan kannalta. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan.
(3) Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4—5).
(4) Esitykseen sisältyvä henkilötietojen käsittely kuuluu osin rikosasioiden tietosuojadirektiivin (Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta) soveltamisalan piiriin. Rikosasioiden tietosuojadirektiivi on toimeenpantu kansallisesti perustuslakivaliokunnan myötävaikutuksella säädetyllä (PeVL 26/2018 vp) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetulla lailla, johon sisältyy valtiosääntöisesti asianmukainen sääntely henkilötietojen käsittelyä koskevista periaatteista (PeVL 48/2022 vp, kappale 19, PeVL 26/2018 vp, s. 4).
(5) Hätäkeskustietojärjestelmässä käsitellään perusteluiden (s. 104) mukaan henkilötietoja, jotka voivat olla arkaluonteisia tai muutoin hyvin henkilökohtaisia ja syvälle yksityisyyden piiriin meneviä yksilöiviä tietoja. Esityksen säätämisjärjestysperusteluissa (s. 108) kiinnitetään huomiota EU:n yleisessä tietosuoja-asetuksessa tarkoitettujen erityisten henkilötietoryhmien lisäksi kansalliseen sääntelyyn, jonka mukaan esimerkiksi asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta, ovat salassa pidettäviä. Perustuslakivaliokunnan mukaan henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia kuvaavia tietoja on perusteltua pitää valtiosääntöisesti arkaluonteisina (PeVL 15/2018 vp, s. 38).
(6) Perustuslakivaliokunnan mukaan on selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5). Arkaluonteisten tietojen käsittelyn on oltava välttämätöntä ja sääntelyn täsmällistä ja tarkkarajaista.
(7) Perustuslakivaliokunnalla ei ole huomauttamista sääntelyn perusteista. Sääntelyä on kuitenkin valiokunnan vakiintuneen käytännön mukaisesti syytä täydentää erityisesti arkaluonteisten henkilötietojen säilytysaikoja koskevalla sääntelyllä. Arkaluonteinen henkilötieto on poistettava, kun sen käsittely ei ole enää käyttötarkoituksen kannalta välttämätöntä. Hallintovaliokunnan on lisäksi syytä varmistua sääntelyn yhteensopivuudesta EU:n yleisen tietosuoja-asetuksen kanssa kiinnittäen erityistä huomiota rekisterinpitäjän määrittelyyn.
(8) Perustuslakivaliokunta on lisäksi hiljattain arvioinut lakiehdotusta, jossa suojelupoliisille ehdotettiin verraten laajaa biometrisiin tietoihin kohdistuvaa tiedonsaantioikeutta ja sitä vastaavaa oikeutta käsitellä tietoja. Valiokunta viittasi tuolloin siihen, että valiokunnan vakiintuneen käytännön mukaan erityisesti arkaluonteisiin tietoihin rinnastuvien biometristen tunnisteiden käsittely on rajattava täsmällisillä ja tarkkarajaisilla säännöksillä välttämättömään (PeVL 48/2022 vp, kappale 15). Valiokunta piti säätämisjärjestyskysymyksenä sääntelyn täydentämistä siten, että siitä kävi ehdotettua selkeämmin ilmi ehdotuksen perusteluissa mainittu rajaus säännöksen perusteella saatujen biometristen tietojen käsittelystä vain yksittäisen virkatehtävän yhteydessä suojelupoliisiin tietojenkäsittelystä muualla laissa jo säädetyin edellytyksin (PeVL 48/2022 vp, kappale 20). Valiokunnan mielestä myös nyt ehdotettavaa sääntelyä on syytä täydentää rajauksella biometristen tietojen käsittelystä vain yksittäisen virkatehtävän yhteydessä käsittelystä laissa säädetyin edellytyksin.