Kansallisen liikkumavaran puitteissa yleistä tietosuoja-asetusta täydentävää ja täsmentävää yleislakia, tietosuojalakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukai-sesti eli henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellais-ten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa (TsL 2.1 §). Tietosuojalailla
24 PeVL 32/2017 vp, s. 3.
25 Asia C-293/12 ja C-594/12, Digital Rights Ireland ja Kärntner Landesregierung, EU:C:2014:238, kohta 64.
26 Asia C-203/15 ja C-698/15, Tele2 Sverige AB ja Watson ym., EU:C:2016:970, kohdat 100, 102 ja 108.
on kumottu henkilötietolaki (TsL 37.2 §). Kumotussa henkilötietolaissa käytettiin rekisterin sijaan käsitettä henkilörekisteri.27 Rekisteri ja henkilörekisteri ovat toistensa synonyymeja.28
Tietosuojalain 4 :ssä säädetään kansallisen liikkumavaran puitteissa tilanteista, joissa henki-lötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.29 Tietosuoja-lain 4 §:n 4 kohdan mukaan henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi) mukaisesti, jos henkilötietoja si-sältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liitty-vien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä ta-voiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden. Elin-kaaren loppupuolella henkilötiedot tulee lähtökohtaisesti hävittää tai anonymisoida.30 Hen-kilötiedot voidaan arkistoida, jos arkistoinnille on olemassa asianmukaiset perusteet. Henki-lötietojen käsittelyn on kuitenkin lähtökohtaisesti palveltava ensisijaista käsittelytarkoitusta, ja vain poikkeuksellisesti aineisto voidaan katsoa niin merkittäväksi, että sen säilyttäminen muuta käyttötarkoitusta varten on perusteltua. Vaatimuksella käsittelyn tarpeellisuudesta ja oikeasuhtaisuudesta tarkoitetaan henkilötietojen säilyttämisen oikeutuksen arvioimista sään-nönmukaisesti kunkin säilytettävän henkilötiedon tai henkilötietoryhmän osalta suhteessa yleisen edun mukaiseen arkistointitarpeeseen. Arkistointitarpeeseen vaikuttaisivat erityisesti tiedon mahdollinen tutkimuskäyttö ja muu kulttuuriperintöön liittyvä arvo.31
Tietosuojalain 32 §:n mukaan käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointi-tarkoituksia varten 4 §:n 4 kohdan tai tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla, voidaan tietosuoja-asetuksen 15, 16 ja 18–21 artiklassa tarkoitetuista rekisteröidyn oikeuksista poiketa tietosuoja-asetuksen 89 artiklan 3 kohdassa säädetyin edellytyksin. Tie-tosuoja-asetuksen 9 artiklan 1 kohtaa eli erityisiä henkilötietoryhmiä koskevien tietojen kä-sittelykieltoa ei sovelleta tietosuojalain 6 §:n 1 momentin 8 kohdan mukaan tutkimus- ja
27 Henkilörekisterillä on kumotun henkilötietolain 3.1 §:n 3 kohdan mukaan tarkoitettu käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta.
28 Voutilainen 2019, s. 40; Korpisaari – Pitkänen – Warma-Lehtinen 2018 s. 65.
29 HE 9/2018 vp, s. 78.
30 Korpisaari – Pitkänen – Warma-Lehtinen 2018 s. 113.
31 HE 9/2018 vp, s. 83.
kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneetti-siä tietoja lukuun ottamatta.
Kuten tietosuojalakia, myös rikosasioiden tietosuojalakia sovelletaan vain sellaiseen henki-lötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa (RtsL1.4 §). Rikosasioi-den tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraa-muslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitel-lessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittä-misestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikos-asian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöön pane-misesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelepane-misesta tai tällaisten uh-kien ehkäisemisestä (RtsL 1.1 §). Lakia sovelletaan myös Puolustusvoimien, poliisin ja Ra-javartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhtey-dessä (RtsL 1.2 §). Rikosasioiden tietosuojalaki on edellä mainituissa tilanteissa sovellettava yleislaki, jota on tarkoitus täydentää eri hallinnonalojen erityislainsäädännöllä, jossa tarvit-tavilta osin säädettäisiin tarkemmin esimerkiksi rekisteröitävistä henkilötiedoista, niiden käyttötarkoituksista, henkilötietojen luovuttamisesta ja tietojen säilytysajoista.32
Henkilötietoja käyttötarkoitussidonnaisuudesta säännellään rikosasioiden tietosuojalain 5.1
§:ssä samalla tavoin kuin tietosuoja-asetuksessa eli henkilötietoja saa käsitellä vain tiettyjä nimenomaisia ja oikeutettuja ja laillisia tarkoituksia varten, eikä niitä saa käsitellä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietoja saa käsitellä myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteu-tettu (Rtsl 5.3 §). Näihin käyttötarkoituksiin ei kuitenkaan sovelleta rikosasioiden tietosuo-jalakia vaan tietosuoja-asetusta, tietosuotietosuo-jalakia sekä mahdollista henkilötietojen käsittelyä koskevaa erityislainsäädäntöä.33
32 HE 31/2018 vp, s.1, 75.
33 HE 31/2018 vp, s. 39.
Käsiteltävien henkilötietojen tarpeellisuusvaatimuksesta säädetään rikosasioiden tietosuoja-lain 6 §:ssä. Käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asian-mukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä (RtsL 6.1
§). Henkilötiedot saa säilyttää muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan kuin on tarpeen henkilötietojen käsittelyn tarkoituksen kannalta (RtsL 6.2 §). Henki-lötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä (RtsL 6.3 §).
Rikosasioiden tietosuojalain 15.2 §:n mukaan rekisterinpitäjän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskisi niin kerättyjen henkilötietojen määrää, käsittelyn laajuutta, säilytysaikaa kuin saata-villa oloakin.34
Rikosasioiden tietosuojalain 18.1 §:ssä säädetään miltei samalla tavoin kuin tietosuoja-ase-tuksen 30 artiklassa mukaan rekisterinpitäjänvelvoitteesta ylläpitää selostetta käsittelytoi-mista, joka mm. sisältää mahdollisuuksien mukaan eri henkilötietoryhmien poistamisen suunnitellut määräajat. Lisäksi rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta (tietosuojaseloste), joka on asetettava julki-sesti saataville ja joka mm. sisältää henkilötietojen säilytysajan, tai jos sitä ei ole määritelty, säilytysajan määrittämiskriteerit (RtsL 22.1 §).