Lausunto ehdotuksesta sotilastiedustelua koskevaksi lainsäädännöksi (työryhmän mietintö)

28.6.2017
Dnro: 1367/03/17

Yleinen osa

Lausunnon kohteena on ehdotus sotilastiedustelua koskevaksi lainsäädännöksi. Mietinnössä ehdotetaan säädettäväksi uusi laki sotilastiedustelusta, joka sisältäisi säännökset sotilastiedustelun tarkoituksesta, kohteista ja tiedustelutoiminnassa noudatettavista periaatteista, toiminnan ohjauksesta sekä valvonnasta puolustushallinnossa. Laissa säädettäisiin sotilastiedusteluviranomaisten toimivaltuuksista, sotilastiedusteluviranomaisten yhteistoiminnasta muiden viranomaisten kanssa, kansainvälisestä yhteistyöstä sekä tiedustelukielloista ja tietojen käsittelystä. Lakia sovellettaisiin Puolustusvoimien tiedustelutoimintaan eli sotilastiedusteluun, jolla hankitaan, tutkitaan ja hyödynnetään puolustusvoimista annetussa laissa säädettyihin puolustusvoimien tehtäviin liittyvää tietoa Suomen ulko-, turvallisuus- ja puolustuspolitiikan tueksi ja Suomeen kohdistuvien ulkoisten uhkien kartoittamiseksi.

Lakiehdotus on merkittävä henkilötietojen käsittelyn näkökulmasta, koska sillä on muun muassa tarkoitus luoda laaja-alaisia käsittelyoikeuksia tiedustelutehtävien yhteydessä kerätyille ja tallennetuille tiedoille. Kansallisen turvallisuuden kysymykset eivät kuulu unionin toimivaltaan ja näin ollen, EU:n yleistä tietosuoja-asetusta (2016/679) tai tietosuojadirektiiviä (2016/680) ja sen nojalla annettavaa kansallista lakia ei suoraan sovelleta nyt kysymyksessä olevaan henkilötietojen käsittelyyn. Mietinnön mukaan jatkotyössä tullaan selvittämään henkilötietojen käsittelyä ohjaavan lainsäädännön sovittaminen nyt lausunnon kohteena olevan lain kanssa. Lakiehdotuksessa todetaan myös, että henkilörekisterejä koskevat säännökset tullaan jatkovalmistelussa siirtämään vireillä olevan henkilötietojen käsittelyä puolustushallinnossa koskevan lainsäädännön kokonaisuudistuksen yhteydessä laadittavaan sääntelyyn. Edellä esitetyistä syistä ja avoimista kysymyksistä johtuen, sotilastiedustelutoimintaan liittyvän henkilötietojen käsittelyä koskevan kokonaiskuvan saavuttaminen on tässä vaiheessa haastavaa.

Nyt lausunnon kohteena olevan esitystä pyritään kuitenkin tarkastelemaan niiltä osin, kuin se mietinnön perusteella on mahdollista. Henkilötietojen käsittelyn osalta tarkastelu suoritetaan perustuslakiin nojaten, joka turvaa oikeuden yksityiselämän suojan. Suomen perustuslain 10 §:n 1 momentti sisältää lainsäädäntötoimeksiannon,jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta ja hallintovaliokunta ovat lausunnoissaan ottaneet kantaneet siihen, minkälaisista henkilötietojen käsittelyyn liittyvistä asioista tulee säätää lain tasolla.Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 17/2016 vp, s. 6—7 ja siinä viitatut lausunnot).

Henkilötietojen suojan kansallisen sääntelyn tarpeesta suhteessa yleiseen tietosuoja-asetukseen perustuslakivaliokunta totesi lausunnossaan PeVL 38/2016 vp seuraavaa:
"Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla".

Myös Euroopan ihmisoikeussopimus (EIS) tulee Suomea sitovana kansainvälisenä velvoitteena ottaa huomioon.

Yksityiskohtainen arviointi

2 § Suhde muuhun lainsäädäntöön

Säännös sisältää informatiivisen viittauksen henkilötietolakiin. Lausunnon kohteena olevan mietinnön perusteella syntyy kuitenkin käsitys, että henkilötietojen käsittelyn osalta sotilastiedustelulakia täydentävä yleislainsäädäntö selvitetään jatkovalmistelussa. Kun täydentävä lainsäädäntö varmistuu, tulee tässä erityislaissa omaksuttuja ratkaisuja sekä sääntelyn tarpeellisuutta peilata muuhun sovellettavaan lainsäädäntöön.

7 § Tarkoitussidonnaisuuden periaate

Säännöksen mukaan "Sotilastiedustelun toimivaltuutta saadaan käyttää vain tässä laissa säädettyyn tarkoitukseen." Osin epäselväksi jää, mikä on tämän säännöksen tarkoitus. Tässä laissa säädetään yksityiskohtaisesti muun muassa sotilastiedustelun tarkoituksesta (3 §), joka linkittää käsittelytarpeen Puolustusvoimista annetun lain (551/2007) 2 §:ssä tarkoitettujen Puolustusvoimien tehtävien suorittamiseen ja sotilastiedustelun kohteista (4§) sekä muista menettelyn edellytyksistä hyvin yksityiskohtaisesti, joten epäselväksi jää, miksi siitä, että tätä toimivaltaa voidaan käyttää vain tämän lain mukaisesti, on tarpeen säätää erikseen? Sotilastiedustelun toimivaltuutta ei voi muutoinkaan käyttää, kuin tässä laissa säädetyin edellytyksin. Näiltä osin säännöksen tarpeellisuutta lienee arvioitava ja mikäli säännös on tarpeen, on säännöksen tarkoitus avata selkeästi perusteluissa.

10 § Tiedustelumenetelmien käytön edellytykset

Säännöksen mukaan "Tiedustelumenetelmän käytön edellytyksenä on, että sillä voidaan olettaa saatavan tietoa tiedustelutehtävän kannalta." Perustelujen mukaan "Tiedustelumenetelmien käytön edellytykset olisivat porrasteiset". Perusteluista käy myös ilmi, että jokaiselle tiedustelumenetelmän käyttöönotolle on olemassa omat edellytyksensä. Tämän lisäksi tiedustelumenetelmän on käytön perustuttava 13 §:ssä säädettyyn tiedustelutehtävään. Näin ollen tiedustelumenetelmien käytön edellytykset ovat huomattavasti 10 §:ssä säädettyä edellytyksiä yksityiskohtaisemmat, kun 10 §:n rinnalle nostetaan muut menetelmien käytön kannalta merkitykselliset säännökset. Kun säädetään tiedustelumenetelmien käytön edellytyksistä, asiasta tulisi säätää siten, että säännöksen perusteella on saatavissa selkeä kokonaiskuva käytön edellytyksistä sekä eri säännösten välisistä suhteista. Ehdotetun 10 §:n teksti antaa hyvin yleisen ja epämääräisen kuvan sotilastiedustelun edellytyksistä. Näiltä osin sääntelyä on tarkennettava.

11 § Sotilastiedustelun ohjaus ja johtaminen

Tässä yhteydessä tulisi avata, mikä on 11 §:n, 16 §:n, 4 §:n ja 3 §:n välinen suhde, kun määritellään sitä, miten sotilastiedustelua kohdennetaan.

15 § Yhteistyö suojelupoliisin ja muiden viranomaisten kanssa

Vaikuttaa siltä, että 15 §:n 1 momentti luo velvoitteen luovuttaa suojelupoliisille sen tarvitsemia tietoja. Tietojen luovuttamista edellyttää myös 6 luvussa säädetty "Tiedustelutietojen ilmoittaminen eräissä tilanteissa" (erityisesti 76 § ja 77 §) sekä 10 luku "Sotilastiedustelun tietojärjestelmä ja muut henkilörekisterit"(mm. 111 §, 112 §, 113 §, 114 §). Jotta tiedustelutoiminnassa kerättävien tietojen tietovirroista ja erityisesti tietojen luovutuksista saataisiin selkeä kokonaiskuva, tulisi luovutuksen mahdollistavat säännökset pyrkiä sijoittamaan yhteen paikkaan. Nyt säännökset on sijoitettu siten, ettei tietovirroista saa selkeää kuvaa. Herää myös kysymys, onko tästä johtuen syntynyt osin päällekkäistä sääntelyä (vrt. 15 § ja 112 §).

28 § Teknisestä seurannasta päättäminen

Ehdotetun lain 28 §:n 1 momentin mukaan tuomioistuin päättää teknisestä seurannasta. Ehdotetun lain 28:§n 2 momentin mukaan "Sotilastiedusteluviranomaisen tiedustelumenetelmien käyttöön erityisesti perehtynyt sotilaslakimies tai muu virkamies päättää muusta kuin 1 momentissa tarkoitetusta teknisestä seurannasta". Epäselvää on, mikä on tämä muu seuranta, kun tuomioistuimen oikeutta päättää seurannasta ei ole muilla tavoin rajattu (vrt. esim. 24 § ja 26 § sekä toisaalta 30 §). Näiltä osin säännöksen sisältöä on tarkistettava.

32 § Telekuuntelu

Ehdotuksen mukaan "Sotilastiedusteluviranomaiselle voidaan antaa lupa valtiollisen toimijan teleosoitteen tai telepäätelaitteen televalvontaan. Sotilastiedusteluviranomaiselle voidaan antaa lupa muun kuin valtiollisen toimijan hallussa olevaan tai hänen muuten käyttämän teleosoitteen tai telepäätelaitteen televalvontaan, jos sillä voidaan olettaa olevan erittäin tärkeä merkitys tietojen saamiseksi tiedustelutehtävän kannalta.". Käytännön toiminnan kannalta olisi selkeämpää, jos säännöksessä kävisi ilmi myös se, mikä lupa on kyseessä ja keneltä se haetaan. Myöskään perustelut eivät tätä asiaa avaa yksiselitteisesti. Vastaava tarkastelu tulisi tehdä televalvontaa koskevan 35 §:n osalta.

44 § Tietolähdettä koskevien tietojen käsittely ja palkkion maksu

Ehdotetun säännöksen mukaan "Tietolähdettä koskevat tiedot voidaan tallettaa henkilörekisteriin." Näiltä osin tulisi määritellä, mihin henkilörekisteriin tiedot on ajatus tallentaa ja miksi tästä on tässä yhteydessä tarpeen säätää erikseen? Perustetta ei avata tai tarkenneta myöskään perusteluissa. Näiltä osin säännöstä selkeytettävä.

5 luku Tiedonhankinta tietoliikenteestä

Yleisiä kommentteja 5 luvusta

Ehdotuksen 5 luku mahdollistaa laaja-alaisen henkilötietojen käsittelyn tietoliikenneseurannan kautta. Epäselväksi jää, mihin tietoliikenteen seuraamisesta kertyvät ja tallennettavat tiedot on tarkoitus tallentaa tarkempaa analyysia varten? Missä vaiheessa tieto siirretään missä vaiheessa tietoja siirretään esimerkiksi sotilastiedon tietojärjestelmään? Tietoliikenteestä kerättävä tiedon osalta on selkeytettävä sitä, kuinka tietoa kerätään sekä käsitellään ja mihin se tallennetaan ja millä perusteella. Lisäksi ehdotettu sääntelyä tulee kehittää edelleen siten, että se ohjaa käytännön toimintaa tietojen johdonmukaiseen käsittelyyn sekä lainmukaisuuden varmistamiseen. Viittaan 5 luvun osalta myös Tietosuojavaltuutetun lausuntoon siviilitiedustelulainsäädännön osalta (Dnro 1408/03/2017), jonka liitän oheen (Liite 1.). Saatan myös tiedoksenne, että tietosuojaryhmä WP 29 on julkaissut dokumentin koskien sähköisen viestinnän valvontaa tiedustelun ja kansallisen turvallisuuden johdosta. Lausunto on löydettävissä englannin kielellä täältä: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp228_en.pdf

74 § Tietojen hävittäminen

Ehdotuksen mukaan " Tietoliikennetiedustelun avulla hankitut tiedot on hävitettävä viipymättä, jos
1) käy ilmi, että luottamuksellisen viestinnän molemmat osapuolet olivat Suomessa silloin, kun viestintä tapahtui; 2) lähettäjällä tai vastaanottajalla on velvollisuus tai oikeus kieltäytyä todistamasta kyseisestä tiedosta oikeudenkäymiskaaren 17 luvun 13, 14, 16 tai 20 §:n nojalla".

Pykälässä säädettyjen tietojen arvioiminen pykälässä säädettyjä vaatimuksia vasten edellyttää, että tieto on tallennettu johonkin henkilörekisteriin . Epäselväksi jää, mihin henkilörekisteriin tieto on silloin tallennettu, kuin 74 §:ssä tarkoitettu analyysi on tarkoitus tehdä.

Säännöksessä tai sen perusteluissa ei muutoinkaan avata sitä, kuinka hävittämisprosessi on käytännön tasolla organisoitu, kun huomioidaan se, että tarkistusten tekeminen edellyttää tiedon tallentamista ainakin jonkin aikaa. Säännöksestä tai sen perusteluista ei myöskään käy ilmi, kuka on vastuussa hävittämisestä. Näiltä osin säännöstä tai sen perusteluja on syytä täsmentää.

Edellä mainitun pykälän lisäksi tiedustelutietojen hävittämisestä säädetään 83 §:ssä sekä 85 §:ssä. Lisäksi lain 115 §:ssä sekä 116 §:ssä säädetään tietojen poistamisesta henkilörekisteristä. Todettakoon lisäksi, että yleinen tietosuojaperiaate on, ettei rekisterinpitäjä saa käsitellä tarpeettomia tietoja. Olisi selkeämpää, jos tallennettujen tietojen poistamista hävittämistä ja poistamista koskevat säännöt olisivat yhdessä paikassa siten, että käytännön toimijat voivat yksiselitteisesti ja helposti hahmottaa ja toteuttaa tietojen laatua koskevat vaatimukset. Näiltä osin on myös tarkistettava, ettei sääntelyssä ole päällekkäisyyttä.

84 § Tiedustelutehtävään liittymättömän tiedon käyttäminen

Ehdotetun säännöksen mukaan "Tiedustelutehtävään liittymätöntä tietoa saa käyttää käynnissä olevan tai tulevan tiedustelutehtävän suorittamisessa, jos tieto olisi saatu hankkia samalla tiedustelumenetelmällä kuin tiedustelutehtävään liittymätön tietokin hankittiin. Tiedustelutehtävään liittymättömän tiedon käyttämisestä päättää tuomioistuin, jos sillä on toimivalta päättää siitä tiedonhankintakeinosta, jolla tieto on saatu. Sotilastiedustelutiedon ilmoittamisesta eräissä tilanteissa säädetään 6 luvussa."

Edellä esitetty pykälä varaa siis käytännössä oikeuden käyttää tiedustelutieto muussa tehtävässä, kuin alkuperäisessä 13 §:n mukaisessa tiedustelutehtävässä. Edellytyksenä on, että tieto olisi saatu hankkia samalla tiedustelumenetelmällä, kuin tiedustelutehtäväänkin liittymätön tieto hankittiin.

Säännös on myös kyseenalainen siitä näkökulmasta, että sotilastiedustelulaissa tiedustelumenetelmillä saadun tiedon lainmukaisuus on sidottu osin käyttötarkoitukseen, mutta keskeiseltä osin nimenomaan määrätyn tiedustelutehtävän suorittamiseen. Epäselväksi jää, mikä olisi käsittelyperuste siltä osin, kuin tietoa säilytetään mahdollista tulevaa tarvetta varten. Käytännössä tiedustelutehtävään liittymätön tiedon kerääminen mahdollistaa myös muunlaisen, kuin suunnitellun ja ennalta määritellyn käyttötarkoituksen kannalta tarpeellisen tiedon käsittelyn.

Jotta voidaan suorittaa arvio siitä, olisiko tieto saatu hankkia tätä toissijaista tehtävää varten samalla tiedustelumenetelmällä, on tieto tallennettava ja säilytettävä jossain, kunnes tämä arvio on suoritettu. Etenkin niiltä osin, kuin tätä tietoja haluttaisiin hyödyntää toissijaisesti "tulevan tiedustelutehtävän suorittamisessa", on tallentamisaika täysin määrittämätön. Pykälästä tai sen perusteluista ei käy ilmi, missä tämä tieto säilytetään.

Esityksen perusteluissa todetaan, että "Tiedustelutehtävään liittymättömän tiedon säilyttämisessä olisi aina huomioitava tiedon hävittämistä koskeva sääntely ja henkilötietojen käsittelyä koskeva sääntely." Tämä toteamus ei kuitenkaan vielä käytännön tasolla avaa sitä, kuka ja kuinka tietojen käsittelyn lainmukaisuus varmistetaan tosiasiallisesti käytännön tasolla. Säännöksen suhde myös tietojen hävittämistä koskeviin säännöksiin on edellä esitettyä taustaa vasten epäselvä.

Henkilötietojen käsittelyn sekä yksityisyyden suojan näkökulmasta tämä nimenomainen säännös ei ole tarpeeksi tarkkarajainen ja on osin ristiriidassa myös rekisterinpitäjää velvoittavien tietosuojaperiaatteiden kanssa.

Edellä esitetyt kommentit koskevat myös ehdotetun lain 107 §:ä, jota on myös tarpeen tarkastella edellä esitettyä kommentointia vasten.

86 § Tiedonhankinnasta ilmoittaminen

On syytä harkita, tulisiko tiedonhankinnasta ilmoittaminen siirtää niiden pykälien läheisyyteen, joissa säädetään rekisteröidyn (tiedustelun kohde) oikeuksista (esim. 118 §)? Ilmoittamismenettelyllä on nähtävissä joitakin yhtymäkohtia rekisteröidyn informointiin, koska ilmoitusmenettelyn yhteydessä annetaan henkilölle nimenomaan tiedoksi se, että häntä koskevia henkilötietoja on kerätty sotilastiedustelumenetelmillä ja käsitelty tässä laissa säädettyihin tarkoituksiin.

87 § Puolustusvoimien muun virkamiehen osallistuminen sotilastiedusteluun

Ehdotuksen mukaan "Tiedustelumenetelmien käyttöön riittävän koulutuksen saanut Puolustusvoimien virkamies voi käyttää sotilastiedusteluviranomaisen ohjauksessa ja valvonnassa 4 luvussa tarkoitettuja tiedustelumenetelmiä tiedonhankkimiseksi tiedustelutehtävään". Tiedustelumenetelmien käyttöön liittyvässä koulutuksessa on korostettava tietosuojaosaamista, joka osaltaan turvaa sitä, että tiedustelumenetelmien yhteydessä tapahtuva henkilötietojen käsittely tapahtuu tämän lain ja muun henkilötietojen käsittelyyn soveltuvan lain mukaisesti. Tämä on välttämätön vaatimus ottaen huomioon sotilastiedustelun vaikutukset tarkkailun kohteena olevien henkilöiden yksityisyyden suojaan. Tämä asia on huomioitava myös käyttöoikeuksia koskevan 103 §:n osalta.

92 § Ilmaisukielto

Ilmoituskielloin yhteyteen tulisi asettaa velvoite tiedustelutehtävän toimeksiantajalle informoida avustavaa henkilöä ilmaisukiellon olemassa olosta ja sen rikkomisen seuraamuksista. Tämä korostuu etenkin tilanteissa, joissa avustava henkilö on siviili, jolla ei syvällisempää tuntemusta sotilastiedusteluun liittyvästä lainsäädännöstä. Vastaava velvoite tulisi säätää myös vaitiolovelvollisuutta 131 §:n osalta. Olisi syytä myös tarkistaa sisältäväkö nyt kysymyksessä olevat pykälät päällekkäisyyttä. Olisi myös suotavaa, että tiedustelutehtävää avustavan henkilön osalta häntä koskevat velvoitteet löytyisivät helposti yhdestä kohtaa.

10 luku Sotilastiedustelun tietojärjestelmä ja muut henkilörekisterit

Yleisiä kommentteja 10 luvusta

Nyt ehdotettu laki mahdollistaa laaja-alaisen henkilötietojen keräämisen sotilastiedustelun tarkoituksia varten. Osin epäselväksi jää, onko kaiken tietomassan analysointi niiltä osin, kun tietomassa sisältää henkilötietoja tai sen tarkempi analysointi johtaa henkilötietojen käsittelyyn, tarkoitus toteuttaa sotilastiedon tietojärjestelmässä? Nyt lausunnon kohteena olevan lain tiedustelumenetelmien käytöstä seuraavaa henkilötietojen käsittelyä koskevat säännökset tulisi keskittää yhteen lukuun siten, että pykälien perusteella on hahmotettavissa selkeästi henkilötietojen käsittelyn elinkaari heti keräämisestä ja tallentamisesta yksityiskohtaisempaan käsittelyn ja analysointiin sekä tarpeettomien tietojen hävittämiseen ja muuhun poistamiseen näistä henkilörekistereistä. Myös rekisteröityjen oikeuksia koskevat säännökset on syytä keskittää tähän yhteyteen, että ne ovat helposti ja selkeästi hahmotettavissa yhdestä kohdasta.

101 § Sotilastiedustelun tietojärjestelmä

Voidaan kysyä, onko tarpeen tuoda ilmi tiedustelujärjestelmän teknistä toteuttamistapaa, kun henkilörekisterin käsite kattaa jo itsessään niin sähköiset kuin manuaaliset osat.

104 § Tilapäiset henkilörekisterit

Lausunnon kohteena olevassa ehdotuksessa säädetään, että tilapäisiä henkilörekistereitä voidaan perustaa niin valtakunnallisesti kuin paikallisesti. Rekisterinpitäjinä toimivat valtakunnallisten tilapäisten rekisterien osalta pääesikunta ja paikallisten osalta vastaava hallintoyksikkö. Ottaen huomioon tilanpäisten henkilörekisterien tiedonhallintaan liittyvät erityiset riskit, myös paikallisten rekisterien perustamisen edellytykseksi tulisi säätää ilmoitusvelvollisuus valvontaviranomaiselle. Tällöin henkilötietojen käsittelyn edellytyksiä voitaisiin objektiivisesti arvioida jo ennakollisesti.

Ilmoitusvelvollisuus osaltaan turvaisi myös sitä, että tilapäisten henkilörekisterien osalta olisi olemassa selkeä kokonaiskuva. Näkemykseni mukaan olisi myös olisi sisäisen laillisuusvalvonnan osalta olisi tärkeää, että tilapäisien henkilörekisterien osalta olisi kokonaiskuva myös pääesikunnalla. Näiltä osin voidaan harkita esimerkiksi sitä, että paikallisten tilapäisten henkilörekisterien osalta rekisterinpitäjyys olisi jaettu aina toiminnasta vastaavan hallintoyksikön ja pääesikunnan kesken. Tilapäisten rekisterien osalta tulee myös korostaa elinkaarimallin mukaista tietojen hallintaa.

Säännöksen mukaan "Valtakunnallisessa käytössä olevan tilapäisen henkilörekisterin perustamista koskevasta päätöksestä ja sen olennaisesta muuttamisesta on ilmoitettava viimeistään kuukautta ennen rekisterin perustamista tai muuttamista tietosuojavaltuutetulle." Osin epäselvää on, mitä olennaisella muuttamisella tarkoitetaan. Todettakoon, että muutoksen ei kuitenkaan tulisi olla luonteeltaan sellainen, joka on olennaisesti ristiriidassa keskeisten tietosuojaperiaatteiden kanssa. Ilmoitukset tilapäisistä henkilörekistereistä tulisi toimittaa 121 §:ssä tarkoitetulle tiedustelun valvontaviranomaiselle, ei tietosuojavaltuutetulle.

106 § Henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturva

Ehdotuksen 106 §:ssä on säädetty henkilön fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturvasta. Tämän pykälän tarpeellisuutta ja sisältöä on tarpeen arvioida jatkovalmistelussa, kun selviää, mitä lakia noudetaan muilta osin henkilötietojen käsittelyn osalta. Todennäköisesti tämä laki tulee sisältämään säännöksen yleisellä tasolla henkilötietojen tietotuvallisesta käsittelystä. Näin ollen on arvioitava, mitä lisäsuojaa nyt kysymyksessä oleva säännös tuo suhteessa yleisesti noudatettaviin tietoturvasäännöksiin. Nykymuodossaan säännöstä ei ole kirjoitettu siten, että olisi selkeästi havaittavissa, kuinka se nostaa fyysisiin ominaisuuksiin perustuvien tunnistetietojen tietoturvaa suhteessa henkilötietojen käsittelyyn sovellettaviin yleisiin tietoturvavaatimuksiin nähden.

107 § Yksittäiseen tehtävään liittymättömien henkilötietojen käsittely ja käyttäminen

Ehdotetun säännöksen mukaan "Sotilastiedusteluviranomaisen yksittäisessä tiedustelutehtävässä saatuja, tiedustelutehtävien suorittamiseksi tarpeellisia henkilötietoja, jotka eivät liity kyseiseen tai muuhun suoritettavana olevaan tiedustelutehtävään, mutta ovat tarpeen todennäköisesti tulevassa muussa tiedustelutehtävässä, saa kerätä ja tallettaa 101 §:ssä tarkoitettuun sotilastiedustelun tietojärjestelmään ja 104 §:ssä tarkoitettuun tilapäiseen henkilörekisteriin mainituissa lainkohdissa säädetyin edellytyksin." Säännökseen 1 sekä 2 momenttiin liittyvää problematiikkaa olen jo käsitellyn aiemmin 84 § koskevan analyysin yhteydessä. Tämän lisäksi totean vielä, että 101 § ja 104 § eivät sellaisenaan sisällä mitään erityistä arviointikynnystä, joka tällaisen "todennäköisesti tulevaisuudessa tarpeellisen" tiedon osalta olisi välttämätön. Säännöstä on täsmennettävä ja huomioitava, että tallentamisen ja käsittelyn edellytykset eivät voi olla "oletettavasti tarpeellisen tiedon" osalta samalla tasolla, kuin sellaisten tietojen osalta, joiden käsittelyperuste voidaan yksiselitteisesti ja selkeästi johtaa laissa säädetystä tehtävästä. Sotilastiedustelulla hankitaan 11 §:ssä säädettyjen painopisteiden, 16 §:n mukaisen tietopyynnön johdosta mukaisesti 4 §:ssä mainituista kohteista tietoa 2 §:ssä säädettyä tarkoitusta varten. Käytännössä tiedustelua tietoa hankitaan 13 §:ssä säädetyn tiedustelutehtävän avulla, jonka on perustuttava 3 §:ssä säädettyyn tarkoitukseen tai tietopyyntöön. Tätä taustaa vasten "oletettavasti tarpeelliselle tiedon" keräämiselle ja tallentamiselle tulee olla huomattavasti tarkkarajaisempi lainsäädännön pohja.

111 § Tietojen luovuttaminen sotilasviranomaiselle

Säännöksessä annetaan oikeus "rekisterinpitäjälle" luovuttaa sotilasviranomaiselle tarpeellisia tietoja. Seuraavassa 112 §:ssä puolestaan säädetään "rekisterinpitäjän" (tässä lienee viitataan sotilasviranomaiseen) oikeudesta luovuttaa suojelupoliisille. Myös 113 §:n säädetään "rekisterinpitäjän" oikeudesta luovuttaa.

Tietovirtojen selkeyttämiseksi olisi hyvä pyrkiä määrittämään yksilöidymmin, mikäli mahdollista, kehen tahoon rekisterinpitäjä termillä viitataan käytännössä. Olisi myös hyvä, jos selkeästi olisi erotettavissa ne säännökset, jotka koskevat sotilasviranomaisen tiedonsaantioikeutta ja toisaalta ne säännökset, jotka oikeuttavat sotilasviranomaisen luovuttamaan tietoja. Nyt säännöksien perusteella ei helposti hahmota helposti tietovirtoja, eikä sitä kehen rekisterinpitäjä-termillä kulloinkin viitataan.

114 § Tietojen luovuttamisesta päättäminen

Ehdotuksen mukaan "Oikeudesta luovuttaa 101 §:ssä tarkoitetun sotilastiedustelun tietojärjestelmän ja 104 §:ssä tarkoitetun tilapäisen henkilörekisterin tietoja teknisen käyttöyhteyden avulla tai tietojoukkona päättää pääesikunta." Säännös jättää osin tulkinnanvaraisuutta sen suhteen, onko säännöksellä tarkoitus säätää vain siitä, että pääesikunta päätöksen silloin, kuin edellä mainittuja tietojen luovuttamistapoja halutaan käyttää vai voisiko säännöstä tulkita siten, että se laajentaisi oikeutta luovuttaa tietoja myös muihin tarkoituksiin, kuin tässä laissa aiemmin mainittuihin tarkoituksiin. Näiltä osin säännöstä on täsmennettävä.

115 § Tietojen poistaminen sotilastiedustelun tietojärjestelmästä

Säännöksen mukaan "Sotilastiedustelun tietojärjestelmästä poistetaan henkilötiedot 50 vuoden kuluttua viimeisen tiedon merkitsemisestä. Tietojen käsittelyn perustetta ja tarpeellisuutta on arvioitava vähintään viiden vuoden välein." Edellä esitetyn perusteella jää osin epäselväksi, noudatetaanko tietojen poistamisen osalta määräaikaa vai voidaanko tietoja poistaa tarpeellisuusarvioinkin perusteella? Ottaen huomioon nyt laaditussa ehdotuksessa avoimeksi jääneet kysymykset siitä, mitä tietomassaa kaiken kaikkiaan on tarkoitus tallentaa sotilastiedustelun tietojärjestelmään, tulisi säilyttämisajasta säätää yksityiskohtaisemmin. Olisi selkeästi eroteltava sellainen henkilötietoja sisältävä tietomassa, joka voidaan poistaa tarpeellisuusarvioin perusteella ja toisaalta sellainen henkilötietojen käsittely, jossa tiedustelumenetelmät ovat tuottaneet sellaista tietoa, että sitä on tarpeellista säilyttää pidempi aika.

116 § Tietojen poistaminen tilapäisestä henkilörekisteristä

Ehdotetun säännöksen mukaan " Tilapäisestä henkilörekisteristä poistetaan henkilötiedot, kun tieto on todettu rekisterin käyttötarkoituksen kannalta tarpeettomaksi. Tietojen käsittelyn perustetta ja tarpeellisuutta on arvioitava vähintään kolmen vuoden välein. Tarpeettomaksi käynyt tilapäinen henkilörekisteri on hävitettävä, jollei sitä siirretä arkistoitavaksi."

Tähän säännökseen liittyvää problematiikka on avattu jo 104 §:n kohdalla esitetyn kommentoinnin yhteydessä. Jotta elinkaarimallin toteutumisesta voitaisiin varmistua ja siitä, että pääesikunnalla on ajantasainen kuva käytössä olevista tilapäisitä henkilörekistereistä, tarpeellisuusarvioinnin tekiminen tulisi vastuuttaa pääesikunnalle.

Osin epäselvää on, miksi arkistoinnista on tässä säädetty erikseen? Käsitykseni mukaan arkistolakia sovelletaan sellaisenaan kaikkeen sotilastiedustelulain sisältämään henkilötietojen käsittelyyn ilman erityistä mainintaakin.

117 § Henkilötunnuksen käsittely

Säännöksen tarpeellisuutta on arvioita, kun selviää, mikä yleislaki täydentää sotilastiedustelulaissa säädettyä henkilötietojen käsittelyä. Todettakoon, että ehdotetun kansallisen tietosuojalain 29 §:n mukaan henkilötunnusta voi käsitellä mm. silloin, kun se on laissa säädetyn tehtävän vuoksi tarpeellista.

121 § Sotilastiedustelun oikeudellinen ja parlamentaarinen valvonta

Ehdotetaan, että pääesikunnan tulisi toimittaa vuosittain tietotilinpäätös sotilastiedustelun yhteydessä suorittamasta henkilötietojen käsittelystä tiedustelun valvontaviranomaiselle. Muun ohella tietolinpäätöksessä tulisi erityisesti selvittää 104 §:ssä säädettyjen tilapäisten henkilörekisterien osalta tapahtuvaa henkilötietojen käsittelyä sekä 107 §:ssä säädetyn yksittäiseen tehtävään liittymättömien henkilötietojen käsittely ja käyttämistä.

127 § Tiedustelukiellot

Ehdotetun säännöksen mukaan "Telekuuntelua, telekuuntelun sijasta toimitettavaa tietojen hankkimista, teknistä havainnointia tai tietoliikennetiedustelua ei saa kohdistaa sellaiseen viestintään tai viestiin, josta viestinnän osapuoli ei saisi todistaa oikeudenkäymiskaaren 17 luvun 13, 14, 16 tai 20 §:n nojalla.

Jos telekuuntelun, telekuuntelun sijasta tapahtuvan tietojen hankkimisen tai teknisen havainnoinnin aikana tai muulloin ilmenee, että kyseessä on viesti, jonka kuuntelu ja katselu on kielletty, toimenpide on keskeytettävä ja sillä saadut tallenteet ja sillä saatuja tietoja koskevat muistiinpanot on hävitettävä välittömästi.

Jollei toisin tässä laissa säädetä, tässä pykälässä tarkoitetut tiedustelukiellot eivät kuitenkaan koske tapauksia, joissa 1 momentissa tarkoitetun henkilön toiminta vaarantaa maanpuolustusta tai muuten vakavasti vaarantaa kansallista turvallisuutta ja myös hänen osaltaan on tehty päätös telekuuntelusta, tietojen hankkimisesta telekuuntelun sijasta, teknisestä kuuntelusta tai teknisestä katselusta."

Säännöksen 2 momentti voi edellyttää myös tietojen poistamista henkilörekisteristä niiltä osin, kuin pykälässä säädetyt kriteerit täyttyvät. Pykälä on siis merkittävä henkilötietojen käsittelyn sekä rekisterinpidon näkökulmasta, joten säännöksestä olisi hyvä saada viittaus niiden säännösten yhteyteen, jotka muutoin koskevat rekisteritiedon hävittämistä tai poistamista.

Pykälän 3 momenttia tulisi selkeyttää roolien osalta. Säännösteksti ei kaikilta osin vastaa sitä, minkälaisen kuvan menettelystä saa perustelujen nojalla. Perustelujen perusteella syntyy käsitys, että 1 momenttia ei noudateta silloin, kun molemmat viestinnän osapuolet ovat sotilastiedustelun kohteena laissa säädetyin edellytyksin. Tämä vaatimus ei käy selkeästi ilmi, 3 momentista.

130 § Pöytäkirja

Säännöstekstistä tulisi käydä ilmi, kenellä (tiedustelumenetelmää käyttävällä sotilasviranomaisella?) on velvollisuus laatia pöytäkirja tiedustelumenetelmän käytöstä.

Johtopäätökset

Lausunnon kohteena oleva lainsäädäntö ja siinä ehdotetut menettelyt koskettavat monella tapaa yksityisyyden suojan ydinaluetta. Nyt ehdotettu laki sisältää useilta osin sellaisia ratkaisuja, joissa kokonaiskuvan saaminen ja johdonmukaisten prosessien hahmottaminen edellyttävät usean eri pykälän soveltamista yhtäaikaisesti. Tämä ei usein käy ilmi säännöstekstistä, saatikka säännöksen perusteluista. Näiltä osin ehdotettua lainsäädäntöä selkeytettävä siten, että eri säännösten väliset vaikutussuhteet avataan vähintäänkin perusteluissa. Ehdotetut säännökset eivät kaikilta soin olen tarpeeksi tarkkarajaisia ja edellyttävät näiltä osin täsmentämistä. Toivottavaa myös olisi, että säännöksiä saataisiin uudelleen järjestettyä siten, että ne henkilötietojen käsittelyä koskevat säännökset olisivat löydettävissä yhdestä paikasta, niiden perusteella olisi selkeästi havaittavissa tietovirrat ja ne johdonmukaisesti ohjaisivat henkilötietojen käsittelyä elinkaarimallin mukaisesti. Nyt tuntuu siltä, kuin useat saman asian kannalta merkitykselliset säännökset on hajautettu ehdotettuun lakiin siten, että kokonaiskuvan hahmottaminen on haastavaa. Haastavuutta lisää osaltaan myös se, että tässä vaiheessa ei vielä ole selvillä, mikä laki ohjaa tämän erityislain ohella muutoin henkilötietojen käsittelyä sotilastiedustelun yhteydessä. Sotilastiedustelutoiminnan, siihen kuuluvien prosessien sekä erityisesti tietomassojen lainmukaisen keräämisen, tallentamisen, käsittelyn ja hävittämisen sekä johdonmukaisen ja päällekkäisyyttä välttävän lainsäädännöllisen pohjan kannalta voi olla perusteltua pyrkiä hahmottamaan kokonaiskuvaa esimerkiksi vuokaavioiden kautta.

Tietosuojavaltuutettu Reijo Aarnio
Ylitarkastaja Raisa Leivonen

 
Julkaistu 21.8.2017
Sivun alkuun |