Poliisin henkilötietojen käsittelyä koskevat säädökset

Uudella poliisin henkilötietolailla varmistetaan, että poliisi käsittelee henkilötietoja yleisen tietosuojalainsäädännön vaatimusten mukaisesti. Taustalla on se, että EU on uudistanut tietosuojalainsäädäntöä. Sen mukaisesti eduskunta on hyväksynyt uuden kansallisen tietosuojalain ja rikosasioiden tietosuojalain. Poliisin henkilötietolaki täydentää tietosuojan yleislainsäädäntöä.

Samalla poliisin henkilötietolaki on päivitetty rakenteeltaan nykyaikaan. Laki ei ole enää sidottu rekistereihin tai tietojärjestelmiin, vaan niihin tarkoituksiin, joihin henkilötietoja käsitellään. Poliisin toimintaympäristö on muuttunut ja myös tietojen käsittelyn ja siihen liittyvän sääntelyn on muututtava, jotta poliisi pystyy hoitamaan tehtäviään.

Lailla myös tehostetaan henkilötietojen käsittelyä rikostorjunnassa. Henkilötietolailla poliisi ei saa uusia toimivaltuuksia tiedonhankintaan. Sen sijaan lailla parannetaan poliisin mahdollisuuksia käyttää olemassa olevilla toimivaltuuksilla saatuja henkilötietoja rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi.

Uusi laki mahdollistaa nykyistä selvemmin rikokseen tai rikolliseen toimintaan kytkeytyvien henkilöiden tietojen käsittelyn ja yhdistelyn silloin, kun kyse on esimerkiksi järjestäytyneeseen rikollisuuteen tai rikollisryhmiin kohdistuvien rikosanalyysien tekemisestä ja laajemmista tapahtumakokonaisuuksista. Järjestäytyneeseen rikollisuuteen liittyviä tietoja voidaan käyttää rajoitetusti myös esimerkiksi aselupiin liittyvässä harkinnassa.

Nykyisin poliisi käsittelee rikosten ennalta estämiseksi ja paljastamiseksi tarpeellisia tietoja useissa tietojärjestelmissä, kuten esimerkiksi epäiltyjen tietojärjestelmässä (Epri) ja rikosten ennalta estämiseen liittyvissä tilapäisissä rikosanalyysirekistereissä. Jatkossa kaikkia rikosten ennalta estämiseksi ja paljastamiseksi tarpeellisia henkilötietoja käsitellään yhtenäisten valtakunnallisten prosessien mukaisesti. Tämä helpottaa tietojen suojaamista sekä tietojen käsittelyn valvontaa ja parantaa sitä kautta myös rekisteröidyn oikeusturvaa.

Poliisi voi käsitellä tietoja:

- eri tavoin rikokseen tai rikolliseen toimintaan kytkeytyvistä henkilöistä,
- henkilöistä, jotka ovat poliisilain mukaisen tarkkailun tai muun poliisin toimenpiteen kohteena.

Poliisi voi käsitellä myös havaintotietoja eli tietoja tapahtumista tai henkilöistä, joiden arvioidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti liittyvän rikolliseen toimintaan.

Poliisi voi käsitellä rikosten ennalta estämiseksi ja paljastamiseksi myös todistajien, uhrien, rikosten ilmoittajien ja asianomistajien henkilötietoja. Näiden henkilöiden tietojen käsittelemiselle on kuitenkin asetettu korkeampi kynnys. Tietoja voi olla välttämätöntä käsitellä esimerkiksi silloin, kun tavoitteena on estää rikoksen todistajaan tai asianomistajaan kohdistuva uusi rikos. Järjestelmään voidaan kirjata tiedot henkilöstä, johon rikoksen uhka kohdistuu.

Poliisi saa usein tehtäviensä suorittamisen yhteydessä tietoja, joiden merkitys rikosten ennalta estämisen ja selvittämisen kannalta selviää vasta tietojen tarkemmalla analysoinnilla. Tällaisia tietoja sisältyy myös teknisen valvonnan kautta syntyviin kameratallenteisiin ja avoimista lähteistä, kuten internetistä, saatuihin tietoihin. Näiden tietojen merkityksen tunnistaminen on monissa tilanteissa mahdotonta ilman automaattista tietojenkäsittelyä ja tietojen arviointia nykyaikaisen tekniikan mahdollistamin keinoin. Uuden lain mukaan poliisin on hävitettävä saamansa tiedot viipymättä sen jälkeen, kun on käynyt ilmi, ettei niitä tarvita poliisin tehtävissä.

Tietojen tarpeellisuuden arvioinnissa noudatetaan tietosuojalainsäädännön vaatimuksia. Poliisin on esimerkiksi varmistettava käsittelyn tietoturvallisuus ja säilytettävä käsittelyä koskevat lokitiedot rikosasioiden tietosuojalain mukaisesti.

Säännöksillä ei laajenneta poliisin tiedonhankintavaltuuksia. Tarkoitus on turvata rikostorjunnan kannalta olennaisten henkilötietojen löytäminen niiden tietojen joukosta, joita poliisi saa käyttöönsä olemassa olevilla toimivaltuuksilla tai tavoilla, jotka eivät edellytä erityisiä toimivaltuuksia, kuten internetistä ja muista avoimista lähteistä. Poliisin henkilötietojen käsittelyssä on aina kyse lainmukaisesti saatujen tietojen käyttämisestä silloin, kun se on poliisin tehtävien suorittamiseksi tarpeellista. Tietojen tarpeellisuuden arviointi kuuluu henkilötietojen käsittelyn ohjauksen, valvonnan ja tietojen suojaamista koskevien velvoitteiden piiriin samalla tavalla kuin muut henkilötietojen käsittelyvaiheet.

Tietojen tallettaminen poliisin henkilörekisteriin on perusoikeuksien rajoittamista. Kansainvälisten ihmisoikeussopimusten ja perustuslain mukaan perusoikeuksia voidaan rajoittaa, kun rajoittaminen perustuu lakiin ja sille on hyväksyttävä yhteiskunnallinen peruste. Rajoittaminen ei myöskään saa mennä pidemmälle kuin on välttämätöntä tavoitteen saavuttamiseksi. Tällaisena perusteena pidetään esimerkiksi rikoksen ennalta estämistä, paljastamista ja selvittämistä sekä kansallisen turvallisuuden varmistamista.

Automaattinen kasvokuvien vertailu on biometristen tietojen käsittelyä, jolle on EU:n tietosuojalainsäädännössä asetettu tiukat kriteerit. Poliisi voi käyttää automaattista kasvokuvien vertailua rikosten ennalta estämiseksi, paljastamiseksi tai selvittämiseksi sekä esimerkiksi etsintäkuulutettujen tavoittamiseksi vain silloin, kun se on välttämätöntä. Kasvokuvien vertailussa voidaan käyttää poliisin rekistereissä olevia tuntomerkkitietoja, jotka on alunperinkin kerätty rikostorjuntaa varten. Esimerkiksi etsintäkuulutettujen kuvia voidaan verrata poliisin hallussa oleviin kameratallenteisiin. Automaattista kasvokuvien vertailua voidaan käyttää vain poliisin toimivaltuuksien rajoissa.

Passien ja henkilökorttien valokuvia ei voida käyttää rikosten ennalta estämiseen, paljastamiseen tai selvittämiseen liittyvässä automaattisessa kasvokuvien vertailussa. Poliisin ulkomaalaislain perusteella keräämiä kasvokuvia saa käyttää automaattiseen kasvokuvien vertailuun rikostorjunnassa vain tiukoin rajoituksin eli silloin, kun se on välttämätöntä terrorismirikosten ja muiden valtion turvallisuuteen kytkeytyvien rikosten estämiseksi, paljastamiseksi tai selvittämiseksi.

Poliisin rekistereihin talletetaan ulkomaalaislain 131 §:n nojalla sormenjäljet ja muut henkilötuntomerkit, joita käsitellään henkilöllisyyden todentamiseksi, ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten ja valtion turvallisuuden suojaamiseksi. Laajennus koskee näiden sormenjälkitietojen hyödyntämistä terrorismirikosten ja muiden valtion turvallisuuden suojaamiseen liittyvien rikosten ennalta estämiseksi, paljastamiseksi ja selvittämiseksi.

Laajennus perustuu tarpeeseen varmistaa rikoksesta epäillyn tunnistaminen niissä tilanteissa, joissa henkilöä ei pystytä muilla keinoilla tunnistamaan luotettavasti. Säännöksen avulla voidaan merkittävästi nopeuttaa henkilön tunnistamista terrorististen rikosten ja muiden vakavien, yhteiskunnallisesti merkittävien ja vakavia seurauksia aiheuttavien rikosten torjuntaan liittyvissä tilanteissa.

Suojelupoliisin henkilötietojen käsittely ei muutu merkittävästi. Suurin muutos liittyy siihen, että sääntely vastaa henkilötietojen käsittelystä sotilastiedustelussa annettua sääntelyä. Siviili- ja sotilastiedustelulainsäädännöt on niiden valmistelun aikana yhteen sovitettu vastaamaan toisiaan ja samalla tavoin henkilötietojen käsittelyn osalta lainsäädäntöjen on vastattava toisiaan.

Uusi tiedustelulainsäädäntö laajentaa suojelupoliisin tiedonhankintaan liittyviä toimivaltuuksia, mutta poliisin henkilötietolailla ei ole tällaista vaikutusta. Suojelupoliisi voi käsitellä tiedonhankintatoimivaltuuksilla saamiaan henkilötietoja tämän henkilötietolain perusteella. Suojelupoliisia koskevaan sääntelyyn on myös lisätty henkilötietojen käsittelyyn liittyvää tietoturvaa ja tietosuojaa.

Rikostiedustelun avulla poliisi hankkii ja analysoi rikostorjunnan kannalta merkityksellistä tietoa sekä tuottaa selvityksiä rikoksista, rikollisista, rikollisuudesta ja sen seurauksista sekä yhteiskuntaa vaarantavista ilmiöistä. Tiedustelulainsäädännössä tarkoitettu siviilitiedustelu taas on suojelupoliisin suorittamaa tiedonhankintaa ja tiedon hyödyntämistä kansalliseen turvallisuuteen liittyviä tehtäviä varten.

Uudessa EU:n tietosuojalainsäädännössä säädetään rekisteröidyn oikeussuojakeinoista ja rekisterinpitäjän vastuusta. Lisäksi kansallisessa tietosuojalaissa ja rikosasioiden tietosuojalaissa säädetään rekisteröidyn oikeusturvasta ja lainvastaisen tietojenkäsittelyn seuraamuksista. Rekisteröidyllä on esimerkiksi oikeus saattaa asia tarvittaessa tietosuojavaltuutetun käsiteltäväksi. Rekisteröidyllä on myös oikeus saada korvaus, jos hänelle aiheutuu vahinkoa lainvastaisesta henkilötietojen käsittelystä.

Rekisteröidyllä henkilöllä ei ole suoraa tarkastusoikeutta kaikkiin poliisin käsittelemiin henkilötietoihin. Tarkastusoikeutta ei ole esimerkiksi sellaisiin tietoihin, joiden paljastaminen haittaisi rikosten ehkäisemistä ja selvittämistä. Rekisteröidyllä on kuitenkin aina oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus. Henkilö saa tietosuojavaltuutetun välityksellä vahvistuksen siitä, onko hänen tietojaan käsitelty lainmukaisesti.

Käyttöoikeudet poliisin tietojärjestelmiin myönnetään kyseisen poliisin työtehtävien perusteella. Poliisit saavat käyttää vain niitä henkilötietoja, joita he tarvitsevat omassa työssään. Lainmukainen henkilötietojen käsittely kuuluu poliisien ja muiden viranomaisissa työskentelevien virkavelvollisuuksiin.

Tietosuojavaltuutettu valvoo poliisin henkilötietojen käsittelyä. Järjestelmien käyttöä valvotaan myös säännöllisesti osana Poliisihallituksen ja poliisin yksiköiden sisäistä laillisuusvalvontaa. Poliisin toiminnan laillisuutta ja henkilötietojen käsittelyä tarkastavat myös eduskunnan oikeusasiamies, valtioneuvoston oikeuskanslerinvirasto ja sisäministeriö. Poliisihallinto tekee yhteistyötä tietosuojaviranomaisten ja laillisuusvalvontaviranomaisten kanssa tietojenkäsittelyn kehittämiseksi.

Tietosuojavaltuutetulle on EU:n tietosuojalainsäädännön uudistuksessa annettu entistä paremmat mahdollisuudet valvoa, että henkilötietoja käsitellään lainmukaisesti. Uudessa tietosuojalainsäädännössä on myös entistä tarkemmat säännökset tietoturvallisuudesta ja henkilötietojen käsittelyn valvonnasta.

Uudella Rajavartiolaitoksen henkilötietolailla varmistetaan, että Rajavartiolaitos käsittelee henkilötietoja yleisen tietosuojalainsäädännön vaatimusten mukaisesti. Rajavartiolaitoksen henkilötietolaki täydentää EU:n yleistä tietosuoja-asetusta ja rikosasioiden tietosuojalakia. Lain rakennetta on selkeytetty ja sääntelyä yksinkertaistettu.

Laissa säädetään yksittäisten rekisterien ja tietojärjestelmien sijaan tarkoituksista, joihin Rajavartiolaitos saa käsitellä henkilötietoja. Henkilötietojen käsittelytarkoituksia ovat rajavalvonta, rajaturvallisuuden ja rajajärjestyksen ylläpitäminen, Rajavartiolaitoksen tutkittavien rikosten selvittäminen sekä yleisen järjestyksen ja turvallisuuden ylläpitäminen, Rajavartiolaitoksen tutkittavien rikosten ennalta estäminen ja paljastaminen, sotilasoikeudenhoito sekä Rajavartiolaitokselle säädetyt muut tehtävät, esimerkiksi erilaiset valvontatehtävät.

Henkilötietojen käsittelyä Rajavartiolaitoksen rikostorjunnassa on tehostettu vastaavalla tavalla kuin poliisin henkilötietolaissa. Rekisteröidyn henkilön oikeuksiin ja henkilötietojen käsittelyn valvontaan sovelletaan myös vastaavia säännöksiä kuin poliisissa.

Rajavartiolaitoksen henkilötietolaissa säädetään myös Rajavartiolaitoksen tiedonsaantioikeuksista lakisääteisten tehtäviensä suorittamiseksi sekä liikenteenharjoittajien velvollisuuksista toimittaa rajatarkastusviranomaisille matkustaja- ja miehistötietoja.

Rajavartiolaitoksen henkilötietolain uudistamisen yhteydessä tarkistettiin myös meripelastuslain meripelastusrekisteriä koskeva sääntely.