Poliisin henkilötietojen käsittelyä koskevat säädökset

Poliisin henkilötietolakia on tarkoitus nykyaikaistaa ja päivittää se EU:n uusien tietosuojavaatimusten mukaiseksi. Laissa säädetään myös suojelupoliisin henkilötietojen käsittelystä. Laki ei olisi enää sidottu rekistereihin tai tietojärjestelmiin, vaan niihin tarkoituksiin, joihin henkilötietoja käsitellään.

Poliisin toimintaympäristö on muuttunut ja myös tietojen käsittelyn ja siihen liittyvän sääntelyn on muututtava, jotta poliisi pystyy hoitamaan tehtäviään. Hallitus antoi esityksen poliisin ja Rajavartiolaitoksen uusista henkilötietolaeista eduskunnalle 22.11.2018.

Usein kysytyt kysymykset

  • Miksi poliisin henkilötietolakia muutetaan?

    Uudella poliisin henkilötietolailla varmistetaan, että poliisi käsittelee henkilötietoja yleisen tietosuojalainsäädännön vaatimusten mukaisesti. Taustalla on se, että EU on uudistanut tietosuojalainsäädäntöä. Sen mukaisesti eduskunta on hyväksynyt uuden kansallisen tietosuojalain ja rikosasioiden tietosuojalain. Poliisin henkilötietolaki täydentää tietosuojan yleislainsäädäntöä.

    Samalla poliisin henkilötietolaki päivitetään rakenteeltaan nykyaikaan. Laki ei olisi enää sidottu rekistereihin tai tietojärjestelmiin, vaan niihin tarkoituksiin, joihin henkilötietoja käsitellään. Poliisin toimintaympäristö on muuttunut ja myös tietojen käsittelyn ja siihen liittyvän sääntelyn on muututtava, jotta poliisi pystyy hoitamaan tehtäviään.

    Lailla myös tehostetaan henkilötietojen käsittelyä rikostorjunnassa. Poliisille ei ehdoteta uusia toimivaltuuksia tiedonhankintaan. Sen sijaan laissa parannettaisiin poliisin mahdollisuuksia käyttää olemassa olevilla toimivaltuuksilla saatuja henkilötietoja rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi.

  • Mitä tarkoittaa henkilötietojen käsittely rikosten ennalta estämiseksi ja paljastamiseksi?

    Poliisille ei ehdoteta henkilötietolaissa uusia toimivaltuuksia tiedonhankintaan. Sen sijaan poliisi voisi käyttää olemassa olevilla toimivaltuuksilla saatuja henkilötietoja nykyistä monipuolisemmin rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi.

    Nykyisen poliisin henkilötietolain lähtökohtana on rikostiedustelu sellaisissa tilanteissa, joissa poliisilla on tiedossa konkreettinen yksittäiseen henkilöön kohdistuva rikosepäily. Uusi laki mahdollistaisi nykyistä selvemmin rikokseen tai rikolliseen toimintaan kytkeytyvien henkilöiden tietojen käsittelyn ja yhdistelyn silloin, kun kyse on esimerkiksi järjestäytyneeseen rikollisuuteen tai rikollisryhmiin kohdistuvien rikosanalyysien tekemisestä ja laajemmista tapahtumakokonaisuuksista. Järjestäytyneeseen rikollisuuteen liittyviä tietoja voitaisiin käyttää rajoitetusti myös esimerkiksi aselupiin liittyvässä harkinnassa.

  • Mitä nykyiselle epäiltyjen tietojärjestelmälle tapahtuu?

    Nykyisin poliisi käsittelee rikosten ennalta estämiseksi ja paljastamiseksi tarpeellisia tietoja useissa tietojärjestelmissä, kuten esimerkiksi epäiltyjen tietojärjestelmässä (Epri) ja rikosten ennalta estämiseen liittyvissä tilapäisissä rikosanalyysirekistereissä.

    Jatkossa kaikkia rikosten ennalta estämiseksi ja paljastamiseksi tarpeellisia henkilötietoja käsiteltäisiin yhtenäisten valtakunnallisten prosessien mukaisesti. Tämä helpottaa tietojen suojaamista sekä tietojen käsittelyn valvontaa ja parantaa sitä kautta myös rekisteröidyn oikeusturvaa.

  • Kenen tietoja poliisi voi käsitellä rikosten ennalta estämiseksi ja paljastamiseksi?

    Poliisi voisi käsitellä tietoja:
    - eri tavoin rikokseen tai rikolliseen toimintaan kytkeytyvistä henkilöistä,
    - henkilöistä, jotka ovat poliisilain mukaisen tarkkailun kohteena.

    Kuten nykyisinkin, poliisi voisi käsitellä myös havaintotietoja eli tietoja tapahtumista tai henkilöistä, joiden arvioidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti liittyvän rikolliseen toimintaan.

    Poliisi voisi käsitellä rikosten ennalta estämiseksi ja paljastamiseksi myös todistajien, uhrien, rikosten ilmoittajien ja asianomistajien henkilötietoja. Näiden henkilöiden tietojen käsittelemiselle asetettaisiin kuitenkin korkeampi kynnys. Tietoja voi olla välttämätöntä käsitellä esimerkiksi silloin, kun tavoitteena on estää rikoksen todistajaan tai asianomistajaan kohdistuva uusi rikos. Järjestelmään voitaisiin kirjata tiedot henkilöstä, johon rikoksen uhka kohdistuu.

  • Miten poliisi arvioi käsittelemiensä tietojen tarpeellisuutta?

    Poliisi saa usein tehtäviensä suorittamisen yhteydessä tietoja, joiden merkitys rikosten ennalta estämisen ja selvittämisen kannalta selviää vasta tietojen tarkemmalla analysoinnilla. Tällaisia tietoja sisältyy myös teknisen valvonnan kautta syntyviin kameratallenteisiin ja avoimista lähteistä, kuten internetistä, saatuihin tietoihin. Näiden tietojen merkityksen tunnistaminen on monissa tilanteissa mahdotonta ilman automaattista tietojenkäsittelyä ja tietojen arviointia nykyaikaisen tekniikan mahdollistamin keinoin.

    Henkilötietojen tarpeellisuutta voitaisiin ehdotuksen mukaan arvioida korkeintaan 6 kuukauden ajan tutkinta- ja valvontatehtävissä, rikosten ennalta estämiseksi ja paljastamiseksi sekä suojelupoliisin tehtävien suorittamiseksi. Tietoja voitaisiin myös vertailla muihin poliisin rekistereissä oleviin tietoihin tarpeellisten tietojen löytämiseksi. Vastaavaa sääntelyä on ehdotettu myös Puolustusvoimille.

  • Mikä tietojen tarpeellisuuden arvioinnissa muuttuisi nykytilaan verrattuna?

    Poliisi voi arvioida tietojen tarpeellisuutta myös nykyisen lainsäädännön mukaan. Kameratallenteille ja muulle arvioitavalle aineistolle ei kuitenkaan ole säädetty yhdenmukaista säilytysaikaa. Tietoja ei myöskään voimassa olevan lain mukaan voida tallettaa poliisin valtakunnallisiin tietojärjestelmiin. Ehdotetut säännökset selventäisivät nykytilaa ja tarkentaisivat sitä, millä edellytyksillä ja miten pitkään tietojen merkitystä voidaan arvioida.

    Tavoitteena on yhdenmukaistaa henkilötietojen tarpeellisuuden arviointia ja siten myös parantaa rekisteröidyn oikeusturvaa. Tietojen käsittelyssä noudatetaan tietosuojalainsäädännön vaatimuksia. Käyttöoikeudet tietoihin rajattaisiin vain niille poliisin henkilöstöön kuuluville, joiden tehtäviin tietojen merkityksen arviointi kuuluu. Poliisin on myös varmistettava käsittelyn tietoturvallisuus ja säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain mukaisesti. Lokitietoja voidaan käyttää esimerkiksi käsittelyn lainmukaisuuden valvontaan.

  • Voiko poliisi jatkossa rekisteröidä kansalaisten tietoja mielivaltaisesti?

    Säännöksillä ei laajenneta poliisin tiedonhankintavaltuuksia. Tarkoitus on turvata rikostorjunnan kannalta olennaisten henkilötietojen löytäminen niiden tietojen joukosta, joita poliisi saa käyttöönsä olemassa olevilla toimivaltuuksilla tai tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten internetistä ja muista avoimista lähteistä. Poliisin henkilötietojen käsittelyssä on aina kyse lainmukaisesti saatujen tietojen käyttämisestä silloin, kun se on poliisin tehtävien suorittamiseksi tarpeellista.

    Tietojen väliaikaisella tallettamisella arviointia varten varmistettaisiin, että vain tarpeelliset tiedot säilytetään poliisin rekistereissä pidempiaikaista käyttöä varten. Tietojen tarpeellisuuden arvioinnille asetettaisiin yhdenmukainen 6 kuukauden määräaika, jonka kuluessa kaikki tarpeettomat tiedot olisi poistettava.

  • Eikö tällainen laajempi henkilötietojen käsittely rajoita kansalaisten perusoikeuksia?

    Tietojen tallettaminen poliisin henkilörekisteriin on perusoikeuksien rajoittamista. Kansainvälisten ihmisoikeussopimusten ja perustuslain mukaan perusoikeuksia voidaan rajoittaa, kun rajoittaminen perustuu lakiin ja sille on hyväksyttävä yhteiskunnallinen peruste. Rajoittaminen ei myöskään saa mennä pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi. Tällaisena perusteena pidetään esimerkiksi rikoksen ennalta estämistä, paljastamista ja selvittämistä sekä kansallisen turvallisuuden varmistamista.

    Poliisin on käsiteltävä rikosten ennalta estämiseksi ja paljastamiseksi myös sellaisten henkilöiden tietoja, joita ei epäillä rikollisesta toiminnasta. Todistajien, uhrien, rikosten ilmoittajien ja asianomistajien henkilötietoja saisi kuitenkin käsitellä rikosten ennalta estämiseksi ja paljastamiseksi vain silloin, kun se on välttämätöntä.

    Tietojen merkitystä arvioitaessa rekisteriin tallentuu väistämättä tilapäisesti myös sivullisten tietoja, jotka voivat osoittautua poliisin tehtävien kannalta tarpeettomiksi. Rekisteröityjen oikeusturvan varmistamiseksi tietojen tarpeellisuus olisi arvioitava kuuden kuukauden sisällä tallettamisesta. Tarpeettomiksi havaitut tiedot olisi poistettava välittömästi jo ennen kuuden kuukauden määräajan täyttymistä.

  • Muuttuisiko poliisin kameravalvonta?

    Kameravalvonnasta ja muusta poliisin teknisestä valvonnasta säädetään poliisilaissa. Poliisin henkilötietolain uudistuksessa ei ehdoteta muutoksia siihen, millaisissa tilanteissa poliisi voi suorittaa kameravalvontaa. Poliisin toimivaltuuksilla hankittuja kameratallenteita voisi kuitenkin ehdotuksen mukaan säilyttää korkeintaan kuuden kuukauden ajan sen selvittämiseksi, onko tallenteissa poliisin tehtävien kannalta tarpeellisia tietoja.

  • Saako poliisi käyttää automaattista kasvokuvien vertailua rikostorjunnassa?

    Automaattinen kasvokuvien vertailu on biometristen tietojen käsittelyä, jolle on EU:n tietosuojalainsäädännössä asetettu tiukat kriteerit. Poliisi voisi käyttää automaattista kasvokuvien vertailua rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi sekä esimerkiksi etsintäkuulutettujen tavoittamiseksi vain silloin, kun se on välttämätöntä. Kasvokuvien vertailussa voitaisiin käyttää poliisin rekistereissä olevia tuntomerkkitietoja, jotka on alunperinkin kerätty rikostorjuntaa varten. Esimerkiksi etsintäkuulutettujen kuvia voitaisiin verrata poliisin hallussa oleviin kameratallenteisiin. Automaattista kasvokuvien vertailua voidaan käyttää vain poliisin toimivaltuuksien rajoissa.

    Passien ja henkilökorttien valokuvia ei voida käyttää rikosten ennalta estämiseen, paljastamiseen tai selvittämiseen liittyvässä automaattisessa kasvokuvien vertailussa. Poliisin ulkomaalaislain perusteella keräämiä kasvokuvia saisi käyttää automaattiseen kasvokuvien vertailuun rikostorjunnassa vain tiukoin rajoituksin eli silloin, kun se on välttämätöntä terrorismirikosten ja muiden vakavien rikosten estämiseksi, paljastamiseksi tai selvittämiseksi.

  • Miksi ehdotetaan laajennusta ulkomaalaisen sormenjälkitietojen hyödyntämiseen?

    Poliisin rekistereihin talletetaan ulkomaalaislain 131 §:n nojalla sormenjäljet ja muut henkilötuntomerkit, joita käsitellään henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten ja valtion turvallisuuden suojaamiseksi. Laajennus koskee näiden sormenjälkitietojen hyödyntämistä terrorismirikosten ja muiden vakavien rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi.

    Ehdotus perustuu tarpeeseen varmistaa rikoksesta epäillyn tunnistaminen niissä tilanteissa, joissa henkilöä ei pystytä muilla keinoilla tunnistamaan luotettavasti. Säännöksen avulla voitaisiin merkittävästi nopeuttaa henkilön tunnistamista terrorististen rikosten ja muiden vakavien, yhteiskunnallisesti merkittävien ja vakavia seurauksia aiheuttavien rikosten torjuntaan liittyvissä tilanteissa. Vastaava sormenjälkitietojen käyttöä koskeva laajennus on jo toteutettu EU-tasolla osittain samoja sormenjälkitietoja sisältävän Eurodac-järjestelmän osalta.

  • Mikä muuttuu suojelupoliisin henkilötietojen käsittelyssä ja mikä on ehdotettujen säännösten suhde tiedustelulainsäädäntöön?

    Suojelupoliisin henkilötietojen käsittelyyn ei ehdoteta merkittäviä muutoksia. Suurin muutos liittyy siihen, että sääntely vastaisi sotilastiedustelusta annettua ehdotusta henkilötietojen käsittelystä. Siviili- ja sotilastiedustelulainsäädännöt on niiden valmistelun aikana yhteen sovitettu vastaamaan toisiaan ja samalla tavoin henkilötietojen käsittelyn osalta lainsäädäntöjen on vastattava toisiaan. Uusi tiedustelulainsäädäntö laajentaisi suojelupoliisin tiedonhankintaan liittyviä toimivaltuuksia, mutta nyt ehdotetulla henkilötietolailla ei ole tällaista vaikutusta. Suojelupoliisi voisi käsitellä tiedonhankintatoimivaltuuksilla saamiaan henkilötietoja tämän henkilötietolain perusteella. Suojelupoliisin sääntelyyn on myös ehdotettu lisättäväksi henkilötietojen käsittelyyn liittyvää tietoturvaa ja tietosuojaa.

  • Mitä eroa on poliisin rikostiedustelulla ja suojelupoliisin siviilitiedustelulla?

    Rikostiedustelun avulla poliisi hankkii ja analysoi rikostorjunnan kannalta merkityksellistä tietoa sekä tuottaa selvityksiä rikoksista, rikollisista, rikollisuudesta ja sen seurauksista sekä yhteiskuntaa vaarantavista ilmiöistä. Tiedustelulainsäädännössä tarkoitettu siviilitiedustelu taas on suojelupoliisin suorittamaa tiedonhankintaa ja tiedon hyödyntämistä kansalliseen turvallisuuteen liittyviä tehtäviä varten.

  • Miten rekisteröidyn henkilön oikeuksia suojataan?

    Uudessa EU:n tietosuojalainsäädännössä säädetään rekisteröidyn oikeussuojakeinoista ja rekisterinpitäjän vastuusta. Lisäksi kansallisessa tietosuojalaissa ja rikosasioiden tietosuojalaissa säädetään rekisteröidyn oikeusturvasta ja lainvastaisen tietojenkäsittelyn seuraamuksista. Rekisteröidyllä on esimerkiksi oikeus saattaa asia tarvittaessa tietosuojavaltuutetun käsiteltäväksi. Rekisteröidyllä on myös oikeus saada korvaus, jos hänelle aiheutuu vahinkoa lainvastaisesta henkilötietojen käsittelystä.

    Rekisteröidyllä henkilöllä ei ole suoraa tarkastusoikeutta kaikkiin poliisin käsittelemiin henkilötietoihin. Tarkastusoikeutta ei olisi esimerkiksi sellaisiin tietoihin, joiden paljastaminen haittaisi rikosten ehkäisemistä ja selvittämistä. Rekisteröidyllä on kuitenkin aina oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus. Henkilö saisi tietosuojavaltuutetun välityksellä vahvistuksen siitä, onko hänen tietojaan käsitelty lainmukaisesti.

  • Miten varmistetaan, että vain ne poliisit, jotka työnsä puolesta sitä tarvitsevat, käsittelevät henkilötietoja?

    Käyttöoikeudet poliisin tietojärjestelmiin myönnetään kyseisen poliisin työtehtävien perusteella. Poliisit saavat käyttää vain niitä henkilötietoja, joita he tarvitsevat omassa työssään. Lainmukainen henkilötietojen käsittely kuuluu poliisien ja muiden viranomaisissa työskentelevien virkavelvollisuuksiin.

    Tietosuojavaltuutettu valvoo poliisin henkilötietojen käsittelyä. Järjestelmien käyttöä valvotaan myös säännöllisesti osana Poliisihallituksen ja poliisin yksiköiden sisäistä laillisuusvalvontaa. Poliisin toiminnan laillisuutta ja henkilötietojen käsittelyä tarkastavat myös eduskunnan oikeusasiamies, valtioneuvoston oikeuskanslerinvirasto ja sisäministeriö. Poliisihallinto tekee yhteistyötä tietosuojaviranomaisten ja laillisuusvalvontaviranomaisten kanssa tietojenkäsittelyn kehittämiseksi.

    Tietosuojavaltuutetulle on EU:n tietosuojalainsäädännön uudistuksessa annettu entistä paremmat mahdollisuudet valvoa, että henkilötietoja käsitellään lainmukaisesti. Uudessa tietosuojalainsäädännössä on myös entistä tarkemmat säännökset tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta.

  • Myös Rajavartiolaitoksen henkilötietolaki uudistettaisiin. Mitä muutoksilla tavoitellaan?

    Rajavartiolaitoksen henkilötietolain uudistamisen tavoitteena on saattaa henkilötietojen käsittely Rajavartiolaitoksessa vastaamaan EU:n uudistunutta tietosuojalainsäädäntöä. Rajavartiolaitoksen henkilötietolaki täydentää EU:n yleistä tietosuoja-asetusta ja rikosasioiden tietosuojalakia. Lain rakennetta selkeytettäisiin ja sääntelyä yksinkertaistettaisiin.

    Laissa säädettäisiin jatkossa yksittäisten rekisterien ja tietojärjestelmien sijaan tarkoituksista, joihin Rajavartiolaitos saa käsitellä henkilötietoja. Henkilötietojen käsittelytarkoituksia olisivat voimassa olevaa lakia vastaavasti rajavalvonta, rajaturvallisuuden ja rajajärjestyksen ylläpitäminen, Rajavartiolaitoksen tutkittavien rikosten selvittäminen sekä yleisen järjestyksen ja turvallisuuden ylläpitäminen, Rajavartiolaitoksen tutkittavien rikosten ennalta estäminen ja paljastaminen, sotilasoikeudenhoito sekä Rajavartiolaitokselle säädetyt muut tehtävät, esimerkiksi erilaiset valvontatehtävät.

    Henkilötietojen käsittelyä Rajavartiolaitoksen rikostorjunnassa tehostettaisiin vastaavalla tavoin kuin poliisin henkilötietolain osalta ehdotetaan. Rekisteröidyn henkilön oikeuksiin ja henkilötietojen käsittelyn valvontaan sovellettaisiin myös vastaavia säännöksiä kuin poliisissa.

    Rajavartiolaitoksen henkilötietolaissa säädettäisiin voimassa olevan lain tavoin myös Rajavartiolaitoksen tiedonsaantioikeuksista lakisääteisten tehtäviensä suorittamiseksi sekä liikenteenharjoittajien velvollisuuksista toimittaa rajatarkastusviranomaisille matkustaja- ja miehistötietoja.

    Rajavartiolaitoksen henkilötietolain uudistamisen yhteydessä tarkistettaisiin myös meripelastuslain meripelastusrekisteriä koskeva sääntely.