GP 134/2021

EU-säädösten valmistelu

Komissio antoi 12.12.2017 ehdotukset poliisiyhteentoimivuusasetukseksi (COM(2017) 794 final) ja rajayhteentoimivuusasetukseksi (COM(2017) 793 final). Asetusten yleinen tavoite on parantaa Schengenin ulkorajojen hallintaa sekä unionin sisäistä turvallisuutta. Asetukset jouduttiin antamaan erillisinä, koska jäsenmaiden osallistumisessa on eroja politiikka-alueiden välillä ja ehdotusten oikeusperustat poikkeavat toisistaan.

Neuvottelujen jälkeen Euroopan parlamentti ja neuvosto hyväksyivät asetukset ja ne tulivat voimaan 9.6.2019. Asetusten täysimääräinen soveltaminen aloitetaan komission päättämänä ajankohtana.

Valtioneuvosto on informoinut eduskuntaa yhteentoimivuutta koskevista EU-asetusehdotuksista U-kirjelmällä U 7/2018 vp, josta hallintovaliokunta (HaVL6 2018 vp) ja perustuslakivaliokunta (PeVL11 2018 vp) antoivat lausuntonsa. Kokonaisuuteen liittyvät myös kutakin EU:n laajuista tietojärjestelmää (EES, ETIAS, SIS, VIS, Eurodac, ECRIS-TCN) tai niiden muuttamista koskevat asetusehdotukset.

Yhteentoimivuuteen liittyvät tietojärjestelmätoiminnallisuudet rakennetaan vaiheittain vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston (eu-LISA) toimesta vuoteen 2024 mennessä. Yhteentoimivuus ja tiedon eheys edellyttävät Euroopan laajuista yhteistyötä sekä yhtäaikaista toteutusta ja käyttöönottoa.

Hallituksen esityksen valmistelu

Hallituksen esityksen valmistelua varten perustettiin työryhmä 2.4.2020. Työryhmässä olivat edustettuina sisäministeriön poliisiosasto, rajavartio-osasto, hallinto- ja kehittämisosasto ja maahanmuutto-osasto, valtiovarainministeriö, oikeusministeriö, ulkoministeriö, Poliisihallitus, suojelupoliisi, keskusrikospoliisi, Tulli ja Maahanmuuttovirasto.

Lausuntopyyntö lähetettiin ulkoministeriölle, oikeusministeriölle, valtiovarainministeriölle, sisäministeriön hallinto- ja kehittämisosastolle, maahanmuutto-osastolle, rajavartio-osastolle ja kansallisen turvallisuuden yksikölle, tietosuojavaltuutetulle, Poliisihallitukselle, keskusrikospoliisille, suojelupoliisille, Maahanmuuttovirastolle, Tullille ja Oikeusrekisterikeskukselle.

Esityksen jatkovalmistelu on tehty sisäministeriössä virkatyönä. Hallituksen esityksen tausta-aineisto on saatavilla osoitteessa Lainsäädäntöhanke kehyksen vahvistamisesta EU:n tietojärjestelmien yhteentoimivuudelle - Sisäministeriö (intermin.fi)  hankenumerolla SM008:00/2020.

2.1.1Yleiset säädökset

Asetuksen I luvussa käsitellään yleisiä säädöksiä. Poliisiyhteentoimivuusasetuksella yhdessä Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/817 kanssa vahvistetaan kehys, jolla varmistetaan yhteentoimivuus rajanylitystietojärjestelmän (EES), viisumitietojärjestelmän (VIS), Euroopan matkustustieto- ja -lupajärjestelmän (ETIAS), Eurodacin, Schengenin tietojärjestelmän (SIS) ja kolmansien maiden kansalaisia koskevan eurooppalaisen rikosrekisteritietojärjestelmän (ECRIS-TCN) välillä.

Kehys sisältää seuraavat yhteentoimivuuskomponentit:

a. Eurooppalainen hakuportaali (ESP), jonka kautta voidaan tehdä samanaikaisia hakuja useissa tietojärjestelmissä.

b. Yhteinen biometrinen tunnistuspalvelu (yhteinen BMS).

c. Yhteinen henkilöllisyystietovaranto (CIR).

d. Rinnakkaishenkilöllisyyksien tunnistin (MID).

Lisäksi asetuksessa säädetään tietojen laatuvaatimuksista, UMF-viestimuodosta (universal message format) ja raportoinnin ja tilastoinnin keskustietoarkistosta (CRRS) sekä jäsenvaltioiden ja vapauden, turvallisuuden ja oikeuden alueen laaja-alaisten tietojärjestelmien operatiivisesta hallinnoinnista vastaavan eurooppalaisen viraston (eu-LISA) vastuualueista yhteentoimivuuskomponenttien suunnittelussa, kehittämisessä ja toiminnassa.

Luvussa säädetään myös asetuksessa käytettävistä määritelmistä. Asetuksen 4 artiklan 19 kohdassa on määritelty poliisiviranomainen. Määritelmässä viitataan poliisiviranomaisten osalta Euroopan parlamentin ja neuvoston direktiiviin (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta ja sen 3 artiklan 7 alakohdassa määriteltyyn toimivaltaiseen viranomaiseen. Määritelmän mukaan toimivaltaisella viranomaisella tarkoitetaan a) kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai b) kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy.

Asetusta sovelletaan Eurodac-, SIS- ja ECRIS-TCN-järjestelmiin. Lisäksi asetusta sovelletaan myös Europolin tietoihin siltä osin, että niistä on mahdollista tehdä kyselyjä samanaikaisesti kuin edellä mainituista EU:n tietojärjestelmistä. Asetuksen soveltamisala on 3 artiklassa rajattu henkilöihin, joiden osalta henkilötietoja voidaan käsitellä artiklassa tarkoitetuissa EU:n tietojärjestelmissä ja Europolin tiedoissa.

2.1.2Yhteentoimivuuskomponentit

Asetuksen II luvussa säädetään eurooppalaisesta hakuportaalista (ESP), III luvussa yhteisestä biometrisestä tunnistuspalvelusta (yhteinen BMS), IV luvussa yhteisestä henkilöllisyystietovarannosta (CIR) ja V luvussa rinnakkaishenkilöllisyyksien tunnistimesta (MID).

Asetuksella perustetaan ESP, jolla helpotetaan jäsenvaltioiden viranomaisten ja unionin virastojen nopeaa, saumatonta, tehokasta, järjestelmällistä ja valvottua pääsyä niiden käyttöoikeuksien puitteissa EU:n tietojärjestelmiin, Europolin tietoihin ja Interpolin tietokantoihin niiden tehtävien suorittamiseksi sekä jolla tuetaan EES-, VIS-, ETIAS-, Eurodac-, SIS- ja ECRIS-TCN-järjestelmien tavoitteita ja tarkoituksia. ESP:llä ei tarkoiteta loppukäyttäjälle näkyvää sivustoa vaan se on toiminto, jonka kautta kansallisten käyttöliittymien avulla syötetyt haut toteutetaan yhteentoimivuuskehyksessä.

Asetuksella perustetaan yhteinen BMS, jonne tallennetaan CIR:iin ja SIS-järjestelmään tallennetuista tiedoista saatuja biometrisiä malleja. Näin mahdollistetaan kyselyjen tekemisen biometrisillä tiedoilla useista EU:n tietojärjestelmistä, sekä CIR:n ja MID:n toiminta sekä EES-, VIS-, Eurodac, SIS- ja ECRIS- TCN-järjestelmien tavoitteiden tukeminen.

Asetuksella perustetaan myös yhteinen henkilöllisyystietovaranto (CIR), johon luodaan kustakin EES-, VIS-, ETIAS-, Eurodac- tai ECRIS-TCN-järjestelmään rekisteröidystä henkilöstä yksilökohtainen tiedosto, jotta voidaan helpottaa ja tukea EES-, VIS-, ETIAS-, Eurodac- ja ECRIS-TCN-järjestelmiin rekisteröityjen henkilöiden virheetöntä tunnistamista, tukea MID:n toimintaa sekä helpottaa ja virtaviivaistaa nimettyjen viranomaisten ja Europolin pääsyä EES-, VIS-, ETIAS- ja Eurodac-järjestelmiin, jos se on tarpeen terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi asetuksen 22 artiklan mukaisesti.

Artiklassa 18 säädetään niistä tiedoista, jotka tallennetaan CIR:iin. Artiklassa viitataan asetukseen EU 2019/816 niiden jäsenvaltioiden tunnistamista koskevan keskitetyn järjestelmän perustamisesta, joilla on kolmansien maiden kansalaisten ja kansalaisuudettomien henkilöiden tuomioita koskevia tietoja (ECRIS-TCN), eurooppalaisen rikosrekisteritietojärjestelmän täydentämiseksi ja asetuksen (EU) 2018/1726 muuttamisesta. Artiklan 18 mukaisesti tallennettavia tietoja ovat tiedot, jotka pidetään loogisesti erotettuina sen tietojärjestelmän mukaan, josta tiedot ovat peräisin, eli asetuksen (EU) 2019/816 5 artiklan 1 kohdan b alakohdassa ja 2 kohdassa tarkoitetut tiedot, joita ovat b) sormenjälkitietojen osalta: i) sormenjälkitiedot, jotka on otettu kansallisen lainsäädännön mukaisesti rikosasian käsittelyn yhteydessä; ii) vähintään jommankumman seuraavan perusteen nojalla otetut sormenjälkitiedot: kun kolmannen maan kansalainen on tuomittu vähintään kuuden kuukauden vankeusrangaistukseen; tai kun kolmannen maan kansalainen on tuomittu rikoksesta, josta voidaan määrätä jäsenvaltion lainsäädännön mukaisesti enimmillään vähintään 12 kuukauden vankeusrangaistus.

Asetuksen 20 artiklassa säädetään pääsystä CIR:iin henkilön tunnistamista varten. Sen 1 kohdan mukaan poliisiviranomainen tekee kyselyjä CIR:stä 2 ja 5 kohdan mukaisesti ainoastaan seuraavissa olosuhteissa: a) poliisiviranomainen ei kykene tunnistamaan henkilöä matkustusasiakirjan tai kyseisen henkilön henkilöllisyyden todistavan muun uskottavan asiakirjan puuttumisen vuoksi; b) henkilön antamista henkilöllisyystiedoista on epäilyjä; c) henkilön antaman matkustusasiakirjan tai muun uskottavan asiakirjan aitoudesta on epäilyjä; d) matkustusasiakirjan tai muun uskottavan asiakirjan haltijan henkilöllisyydestä on epäilyjä; tai e) henkilö ei kykene yhteistyöhön tai kieltäytyy siitä. Artiklan mukaan tällaisia kyselyjä ei saa tehdä alle 12-vuotiaista alaikäisistä, paitsi jos se on lapsen edun mukaista.

Artiklan 20 kohdan 2 mukaan, kun kyse on joistakin edellä mainituista olosuhteista, poliisiviranomainen, jolle on annettu kansallisella säädöksellä tähän valtuudet, saa yksinomaan henkilön tunnistamiseksi tehdä kyselyjä CIR:stä kyseisen henkilön biometrisillä tiedoilla, jotka on saatu paikalla henkilöllisyyden selvittämisen yhteydessä, edellyttäen, että menettely on käynnistetty kyseisen henkilön läsnä ollessa. Jos kysely osoittaa, että CIR:ään on tallennettu kyseistä henkilöä koskevia tietoja, poliisiviranomaisella on pääsy katsomaan 18 artiklan 1 kohdassa tarkoitettuja tietoja. Jos henkilön biometrisiä tietoja ei voida käyttää tai jos kysely kyseisillä tiedoilla epäonnistuu, kysely tehdään kyseisen henkilön henkilöllisyystiedoilla yhdessä matkustusasiakirjan tietojen kanssa tai kyseisen henkilön antamilla henkilöllisyystiedoilla. Lisäksi poliisiviranomainen, jolle on annettu kansallisella säädöksellä tähän valtuudet, saa luonnonkatastrofin, onnettomuuden tai terrori-iskun sattuessa ja yksinomaan sellaisten tuntemattomien henkilöiden tunnistamiseksi, jotka eivät pysty osoittamaan henkilöllisyyttään, tai tunnistamatta jääneiden ihmisten jäännösten tunnistamiseksi tehdä kyselyjä CIR:stä kyseisten henkilöiden biometrisillä tiedoilla.

Artiklan 20 kohdat 5 ja 6 velvoittavat jäsenvaltiot, jotka haluavat käyttää artiklassa toimivaltaisille viranomaisille säädettyjä mahdollisuuksia päästä yhteiseen henkilöllisyystietovarantoon, antamaan tästä kansallisia säädöksiä. Artiklan 5 kohdan mukaan jäsenvaltioiden, jotka haluavat käyttää säädettyä mahdollisuutta, on annettava tästä kansallinen säädös. Jäsenvaltioiden on tällöin otettava huomioon tarve välttää kolmansien maiden kansalaisiin kohdistuva syrjintä. Lisäksi todetaan, että tällaisessa säädöksessä on täsmennettävä tunnistamiselle täsmällinen artiklassa todettu tarkoitus. Jäsenvaltioiden on nimettävä toimivaltaiset poliisiviranomaiset ja vahvistettava henkilöllisyyden selvittämisen menettelyt, edellytykset ja kriteerit.

Artiklassa 21 säädetään pääsystä CIR:iin henkilöllisyyksien tunnistamista varten.

Artiklassa 22 säädetään niistä CIR:iin tehtävistä kyselyistä, joiden tarkoituksena on vakavien terrorismirikosten tai muiden vakavien rikosten torjuminen, havaitseminen tai tutkinta. Kohdan 1 mukaan nimetyt viranomaiset ja Europol voivat hakea CIR:istä tiedon, onko Eurodacissa tietoja tietystä henkilöstä. Tällainen haku on sallittua tehdä yksittäistapauksessa, kun on perusteltu syy uskoa, että haku edistää terrorismi- tai muiden vakavien rikosten torjumista, havaitsemista tai tutkimista. Erityisesti näin voidaan toimia, jos epäillään että terrorismi- tai muusta vakavasta rikoksesta epäillyn tai tällaisen rikoksen uhrin tiedot on tallennettu Eurodaciin.

Kohdassa 2 säädetään CIR:in ilmoittamasta Eurodac-vastaavuuden muodosta. CIR antaa Europolille ja nimetyille viranomaisille artiklan 18 kohdan 2 mukaisen vastauksen, jossa ilmoitetaan Eurodacin sisältävän kyselyä vastaavaa tietoa. Kun vastaavuus on todettu, esittää Europol tai nimetty viranomainen pyynnön rajoittamattomasta pääsystä vähintään yhteen tietojärjestelmään niistä, joista vastaavuus on löytynyt. Mikäli pyyntöä rajoittamattomasta pääsystä ei poikkeuksellisesti tehdä, on nimettyjen viranomaisten kirjattava perustelut tekemättä jättämiselle. Perustelujen tulee olla johdettavissa kansalliseen tiedostoon. Europol vastaa perustelujen kirjaamisesta asiaa koskevaan tiedostoon.

Viidennessä luvussa säädetään MID:stä. Tarkoituksena on tunnistaa rinnakkaishenkilöllisyyksiä ja torjua henkilöllisyyspetoksia sekä tukea CIR:n, EES:n, VIS:n, ETIAS:n, Eurodacin, SIS:n ja ECRIS-TNC:n tavoitteita.

Luvut sisältävät myös säädökset tietojen säilyttämisestä ja lokitietojen eli tietojenkäsittelytoimien säilyttämisestä.

2.1.3EU:n tietojärjestelmissä olevien tietojen väliset linkit

MID:in tavoitteena on luoda linkkejä EU:n eri tietojärjestelmissä olevien tietojen välille ja tallentaa ne rinnakkaishenkilöllisyyksien havaitsemiseksi. Tällä pyrittäisiin sekä helpottamaan vilpittömässä mielessä matkustavien henkilöllisyyden selvittämistä että torjumaan henkilöllisyyspetoksia.

Artiklassa 30 säädetään keltaisesta linkistä. Jos rinnakkaishenkilöllisyyksien manuaalista todentamista ei ole vielä tehty, tietojen välinen linkki luokitellaan keltaiseksi silloin, kun linkitetyillä tiedoilla a) on samat biometriset tiedot, mutta erilaiset tai samankaltaiset henkilöllisyystiedot, b) henkilötiedot ovat eri, mutta matkustusasiakirjan tiedot ovat samat, eikä henkilön biometrisiä tietoja ole tallennettu mihinkään EU:n tietojärjestelmään, c) henkilöllisyystiedot ovat samat, mutta biometriset tiedot poikkeavat toisistaan sekä d) henkilöllisyystiedot ovat samankaltaiset tai eri, ja matkustusasiakirjan tiedot ovat samat, mutta biometriset tiedot poikkeavat toisistaan.

Artiklassa 31 säädetään vihreästä linkistä. EU:n tietojärjestelmien olevien tietojen välinen linkki luokitellaan vihreäksi, jos linkitetyillä tiedoilla a) ei ole samoja biometrisiä henkilötietoja, mutta henkilöllisyystiedot ovat samat tai jos linkitettyjen tietojen on todettu koskevan kahta eri henkilöä rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaavan viranomaisen toimesta, b) ei ole samoja biometrisiä henkilötietoja ja henkilötiedot ovat samankaltaiset tai eri sekä matkustusasiakirjan tiedot ovat samat, ja linkitettyjen tietojen on todettu koskevan kahta eri henkilöä a-kohdassa mainitun viranomaisen toimesta, c) on samat matkustusasiakirjan tiedot, mutta eri henkilöllisyystiedot eikä asianomaisesta henkilöstä ole biometrisiä tietoja missään EU:n tietojärjestelmistä ja edellisissä kohdissa mainittu viranomainen on todennut tietojen koskevan kahta eri henkilöä.

Artiklassa 32 säädetään punaisesta linkistä. Kahden tai useamman EU:n tietojärjestelmän tietojen välinen linkki luokitellaan punaiseksi, kun linkitetyillä tiedoilla on a) samat biometriset tiedot, mutta henkilöllisyystiedot ovat joko samankaltaiset tai eri ja rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaava viranomainen on todennut, että tiedot koskevat perusteettomasti samaa henkilöä, b) samat, samankaltaiset tai eri henkilöllisyystiedot ja samat matkustusasiakirjan tiedot, mutta biometriset tiedot ovat eri ja a-kohdassa mainittu viranomainen on todennut linkitettyjen tietojen koskevan kahta eri henkilöä, joista ainakin toinen käyttää samaa matkustusasiakirjaa luvattomasti, c) samat henkilöllisyystiedot mutta eri biometriset tiedot ja matkustusasiakirjan tiedot joko puuttuvat tai ovat eri, minkä lisäksi a-kohdassa mainittu viranomainen on todennut, että tiedot koskevat perusteettomasti kahta eri henkilöä, d) eri henkilöllisyystiedot mutta samat matkustusasiakirjan tiedot ja yhdessäkään EU:n tietojärjestelmässä ei ole henkilön biometrisiä tietoja ja a-kohdassa mainittu viranomainen on todennut tietojen koskevan perusteettomasti samaa henkilöä.

Viranomaisella on velvollisuus ilmoittaa asianomaiselle henkilölle lainvastaisten rinnakkaisten henkilötietojen olemassaolosta ja annettava tunnistenumero, viittaus rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaavaan viranomaiseen sekä verkkoportaalin osoite. Säädetty ei kuitenkaan rajoita SIS-kuulutusten käsittelyä koskevien säädöstenmukaisten rajoitusten soveltamista, jotka ovat tarpeen turvallisuuden ja yleisen järjestyksen turvaamiseksi, rikosten ehkäisemiseksi ja sen takaamiseksi, ettei mikään kansallinen tutkinta vaarannu.

Artiklassa 33 säädetään tietojen välille luotavasta valkoisesta linkistä, jollainen luodaan kun a) linkitetyillä tiedoilla on samat biometriset tiedot ja samat tai samankaltaiset henkilötiedot, b) henkilötiedot ovat samat tai samankaltaiset ja biometriset tiedot puuttuvat, c) biometriset tiedot ja matkustusasiakirja ovat samat ja henkilöllisyystiedot samankaltaiset ja d) biometriset tiedot ovat samat, mutta henkilöllisyystiedot ovat samankaltaiset tai eri, ja rinnakkaishenkilöllisyyksien todentamisesta vastaava viranomainen on todennut tietojen koskevan samaa henkilöä.

Artiklassa 34 säädetään henkilöllisyydenvahvistustiedostosta, jossa on oltava seuraavat tiedot: artikloissa 30-33 viitatut linkit, viittaus niihin EU:n tietojärjestelmiin, joissa tiedot ovat, tunnistenumero, jolla tiedot ovat saatavissa järjestelmistä, viittaus rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaavaan viranomaiseen ja linkin luonti- ja päivityspäivät. Artiklassa 35 säädetään tietojen säilyttämisestä MID:ssä. Tiedot ja linkit tallennetaan ainoastaan siksi aikaa, kunnes tiedot on tallennettu kahteen tai useampaan EU:n tietojärjestelmään. Tiedot on poistettava MID:stä automaattisesti. ’

Eu-LISA säilyttää lokitiedot kaikista MID:ssä tehdyistä tietojenkäsittelytoimista.

2.1.4Tietosuoja

Poliisiyhteentoimivuusasetuksen johdanto-osan 53 kappaleen mukaan asetusta (EU) 2016/679 sovelletaan kansallisten viranomaisten tämän asetuksen mukaisen yhteentoimivuuden toteuttamiseksi suorittamaan henkilötietojen käsittelyyn, paitsi jos jäsenvaltioiden nimetyt viranomaiset tai keskusyhteyspisteet käsittelevät tietoja terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi. Johdanto-osan 54 kappaleen mukaan, jos jäsenvaltioiden tämän asetuksen mukaisen yhteentoimivuuden toteuttamiseksi suorittaman henkilötietojen käsittelyn toteuttavat toimivaltaiset viranomaiset terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi, sovelletaan direktiiviä (EU) 2016/680. Johdanto-osan 57 kappaleen mukaan asetusta (EU) 2018/1725 sovelletaan eu-LISAn ja muiden unionin toimielinten ja elinten suorittamaan henkilötietojen käsittelyyn niiden hoitaessa tämän asetuksen mukaisia tehtäviään, sanotun kuitenkaan rajoittamatta asetuksen (EU) 2016/794 soveltamista, ja viimeksi mainittua sovelletaan henkilötietojen käsittelyyn Europolissa. Vastaavasti asetusta (EU) 2016/679, asetusta (EU) 2018/1725 tai tapauksen mukaan direktiiviä (EU) 2016/680 sovelletaan 55 kappaleen mukaan asetuksen nojalla toteutettaviin henkilötietojen siirtoihin kolmansiin maihin tai kansainvälisille järjestöille. Lisäksi tietosuojaa koskevia asetuksen (EU) 2018/1862 ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/816 erityissäännöksiä sovelletaan johdanto-osan 56 kappaleen mukaan henkilötietojen käsittelyyn näillä asetuksilla säännellyissä järjestelmissä.

Luku VII käsittelee tietosuojaa. Artiklassa 40 säädetään rekisterinpitäjästä. Yhteisessä biometrisessä tunnistuspalvelussa (BMS) olevien tietojen käsittelystä vastaavat ne jäsenvaltioiden viranomaiset, jotka vastaavat Eurodac-, SIS- ja ECRIS-TCN -järjestelmiin tallennetuista biometrisistä malleista. Kohdassa 2 säädetään henkilötietojen käsittelystä CIR:ssä vastaavista viranomaisista. MID:ssä olevien tietojen rekisterinpitäjiä ovat Euroopan raja- ja merivartiovirasto suhteessa ETIAS-keskusyksikössä tapahtuvaan henkilötietojen käsittelyyn sekä ne jäsenvaltioiden viranomaiset, jotka lisäävät tai muuttavat tietoja henkilöllisyysvahvistustiedostoon.

Artiklassa 41 säädetään tietojen käsittelijästä, joka on yhteisessä BMS:ssä, CIR:ssä ja MID:ssä eu-LISA.

Artiklassa 42 säädetään käsittelyn turvallisuudesta. Kohdassa 1 säädetään, että eu-LISA, ETIAS-keskusyksikkö, Europol ja jäsenvaltioiden viranomaiset varmistavat henkilötietojen käsittelyn turvallisuuden asetusta sovellettaessa sekä tekevät yhteistyötä turvallisuuteen liittyvissä tehtävissä. Eu-LISA vastaa yhteentoimivuuskomponenttien ja siihen liittyvän viestintäinfrastruktuurin turvallisuudesta. Lisäksi eu-LISA tekee turvallisuutta ja toiminnan jatkuvuutta koskevat suunnitelmat sekä palautumissuunnitelman.

Jäsenvaltioiden ja unionin virastojen on varmistettava, että jokainen yhteentoimivuuskomponentteihin pääsevä viranomainen noudattaa tässä asetuksessa säädettyä ja tekee tarvittaessa yhteistyötä valvontaviranomaisten kanssa. Lisäksi on säädetty rekisterinpitäjän sisäisestä valvonnasta. Artiklassa 45 on säädetty asetuksen vastaisen tietojen käsittelyn seuraamuksista, jotka määrätään kansallisen oikeuden mukaisesti.

Henkilö tai jäsenvaltio, jolle on koitunut aineellista tai aineetonta vahinkoa jäsenvaltion, Europolin, Euroopan raja- ja merivartioviraston tai eu-LISAn tekemästä lainvastaisesta tai tämän asetuksen vastaisesta toimesta, on oikeutettu korvauksiin kyseiseltä jäsenvaltiolta tai virastolta. Jäsenvaltio tai virasto vapautuu tästä vastuusta osittain tai kokonaan jos se osoittaa, ettei ole vastuussa vahingon aiheutumisesta.

Artiklassa 47 säädetään henkilötietojen keräämisen kohteena olevan tiedonsaantioikeudesta yhteisen BMS:n, CIR:n ja MID:n osalta. Tiedot on annettava selkeällä ja henkilön ymmärtämällä kielellä sekä alaikäisille henkilöille ikätason mukaisesti. Lisäksi sovellettaviin unionin tietosuojasääntöihin sisältyvää tiedonsaantioikeutta koskevia sääntöjä sovelletaan ECRIS-TCN:ään tallennettuihin ja tätä asetusta sovellettaessa käsiteltäviin henkilötietoihin.

Artiklassa 48 säädetään oikeudesta saada pääsy MID:hen tallennettuihin henkilötietoihin ja oikaista ja poistaa ne sekä rajoittaa niiden käsittelyä.

Artiklassa 49 säädetään verkkoportaalin perustamisesta. Verkkoportaalin tarkoitus on helpottaa henkilötietoihin pääsyä, tietojen oikaisemista tai poistamista tai niiden käsittelyn rajoittamista koskevan oikeuden käyttämistä.

Artiklassa 51 on säädetty valvontaviranomaisten harjoittamasta valvonnasta. Jäsenvaltioiden on varmistettava, että sen viranomaiset käsittelevät henkilötietoja asetuksessa säädetyllä tavalla lainmukaisesti. Asetuksen 4 artiklan 4 kohdan määritelmän mukaan valvontaviranomaisilla tarkoitetaan asetuksen (EU) 2016/679 51 artiklan 1 kohdassa tarkoitettua valvontaviranomaista ja direktiivin (EU) 2016/680 41 artiklan 1 kohdassa tarkoitettua valvontaviranomaista.

Artiklan 52 mukaan Euroopan tietosuojavaltuutettu varmistaa, että henkilötietojen käsittelytoimien valvontaa tehdään noudattaen kansainvälisiä valvontastandardeja vähintään joka neljäs vuosi. Artiklassa 53 säädetään valvontaviranomaisten ja Euroopan tietosuojavaltuutetun yhteistyöstä.

2.1.5Eri toimijoiden vastuualueet

Asetuksessa on tarkasti määritelty eri toimijoiden vastuualueet. Eu-LISAn tehtäviin kuuluu varmistaa yhteentoimivuuskomponenttien keskusinfrastruktuurin toimivuus asetuksessa määritellyllä tavalla, yhteentoimivuuskomponenttien ylläpitäminen teknisissä toimipaikoissaan sekä niiden kehittäminen ja mukautukset. Lisäksi eu-LISA määrittelee yhteentoimivuuskomponenttien fyysisen rakenteen sekä kehittää ja toteuttaa ne.

Eu-LISA:n vastuulla ovat myös yhteentoimivuuskomponenttien ja viestintäinfrastruktuurin hallinnointi, tallennettuja tietoja käsittelevän henkilöstön salassapitosäännösten valvonta, tallennettujen tietojen laatutarkastukset sekä teknisen käyttäjäkoulutuksen järjestäminen.

Jäsenvaltioiden vastuulla on liittyminen ESP:n ja CIR:n viestintäinfrastruktuureihin, olemassa olevien kansallisten järjestelmien ja infrastruktuurin integrointi ESP:hen, CIR:ään ja MID;hen sekä muita teknisiä velvoitteita. Jäsenvaltiot vastaavat myös rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta sekä sitoutuvat noudattamaan kunkin tietojärjestelmän henkilötietojen turvallisuutta ja eheyttä koskevia sääntöjä sekä korjaamaan mahdollisesti havaittavat puutteet. Jäsenvaltioiden vastuulla on myös liittää nimetyt viranomaisensa CIR:ään.

Europolin vastuulla on varmistaa tietoihinsa kohdistuvien kyselyjen käsittelyn. Europol myös vastaa ESP:n käytöstä ja pääsystä. Lisäksi Europol pitää yllä listaa tietoihin pääsevästä henkilöstöstä.

ETIAS-keskusyksikön vastuulla ovat rinnakkaishenkilöllisyyksien manuaalinen todentaminen sekä rinnakkaishenkilöllisyyksien tunnistaminen eri järjestelmiin tallennettujen tietojen välillä.

2.1.6Delegoidut säädökset ja komiteamenettely

Asetuksen artiklassa 69 tarkemmin säädellyllä tavalla komissiolle siirretään valtaa antaa delegoituja säädöksiä. Komissiota avustaa komitea, jossa jäsenvaltiot ovat edustettuina.

Komissio voi antaa delegoituja säädöksiä asetusten 28 artiklan 5 kohdan, 39 artiklan 5 kohdan, 49 artiklan 6 kohdan, 63 artiklan 2 kohdan ja 65 artiklan 8 kohdan nojalla.

Artiklassa 28 säädettään rinnakkaishenkilöllisyyksien tunnistuksen tuloksista. Sen 5 kohdan nojalla komissio antaa delegoituja säädöksiä, joilla vahvistetaan menettelyt sellaisten tapausten määrittämiseksi, joissa henkilöllisyystietojen voidaan katsoa olevan samat tai samankaltaiset.

Artiklassa 39 säädetään raportoinnin ja tilastoinnin keskustietoarkistosta (CRRS). Sen 5 kohdan mukaan komissio delegoidun säädöksen CRRS:n toimintaa koskevista yksityiskohtaisista säännöistä, mukaan lukien erityiset suojatoimet henkilötietojen käsittelyä varten ja tietoarkistoon sovellettavat turvallisuussäännöt.

Artiklalla 49 perustetaan verkkoportaali, jotta voidaan helpottaa henkilötietoihin pääsyä, niiden oikaisemista tai poistamista taikka niiden käsittelyn rajoittamista koskevan oikeuden käyttämistä. Artiklan 6 kohdan mukaan komissio antaa delegoidun säädöksen, jossa vahvistetaan verkkoportaalin ja käyttöliittymän toimintaa, kieliä, joilla verkkoportaalin on oltava saatavilla, ja sähköpostilomaketta koskevat yksityiskohtaiset säännöt.

Artiklassa 63 säädetään ESP:n käyttöön sovellettavasta siirtymäajasta. Artiklan 2 kohdan mukaan komissiolle annetaan valta antaa delegoitu säädös, jolla edellä tarkoitettua määräaikaa jatketaan kerran enintään vuodella, jos ESP:n toimeenpanoa koskeva arviointi osoittaa, että tällainen määräajan jatkaminen on tarpeen erityisesti niiden vaikutusten vuoksi, joita ESP:n käyttöönotolla olisi rajatarkastusten järjestämiseen ja kestoon.

Artiklassa 65 säädetään rinnakkaishenkilöllisyyksien tunnistukseen sovellettavasta siirtymäajasta. Artiklan 8 kohdan mukaan komissiolle annetaan valta antaa delegoitu säädös, jolla edellä tarkoitettua määräaikaa jatketaan kuudella kuukaudella, kuitenkin niin, että määräajan jatkaminen voidaan uusia kaksi kertaa kuudeksi kuukaudeksi kerrallaan.

Delegoituja säädöksiä on annettu kolme. Ensimmäisellä (artikla 28 kohta 5) määritetään tapaukset, joissa henkilötietojen katsotaan olevan samat tai samankaltaiset. Toinen (artikla 39 kohta 5) koskee raportoinnin ja tilastoinnin keskustietoarkiston (CRRS) toimintaa koskevia yksityiskohtaisia sääntöjä. Kolmannella (artikla 49 kohta 6) vahvistetaan verkkoportaalin ja käyttöliittymän toimintaan liittyviä seikkoja, kieliä, joilla verkkoportaalin on oltava saatavilla sekä sähköpostilomaketta koskevat yksityiskohtaiset säännöt. Delegoitujen säädösten valmistelu komitologiamenettelyssä, johon Suomi on osallistunut, päättyi syksyllä 2020 ja säädösten vahvistaminen tapahtuu 2021.

Asetusten mukaan komissiolle on myös siirretty valta antaa täytäntöönpanosäädöksiä. Nämä säädökset voivat koskea:

- ESP:n käyttäjäprofiilien teknisiä yksityiskohtia,

- eritelmiä tekniselle ratkaisulle, jolla mahdollistetaan kyselyjen tekeminen EU:n tietojärjestelmistä, Europolin tiedoista ja Interpolin tietokannoista ESP:n kautta ja ESP-vastausten muotoa,

- teknisiä sääntöjä linkkien luomiseksi MID:ssä EU:n eri tietojärjestelmissä olevien tietojen välillä,

- sen lomakkeen sisältöä ja muotoa, jolla rekisteröidylle ilmoitetaan punaisen linkin luomisesta,

- yhteisen BMS:n suorituskykyvaatimuksia ja suorituskyvyn seurantaa,

- tietojen automaattisia laadunvalvontamekanismeja, -menettelyjä ja -indikaattoreita,

- UMF-standardin kehittämistä,

- turvallisuushäiriöiden yhteydessä käytettäviä yhteistyömenettelyjä ja

- eritelmiä tekniselle ratkaisulle, jolla jäsenvaltiot voivat hallinnoida käyttäjien pääsyä koskevia pyyntöjä.

Täytäntöönpanosäädöksiä on annettu tähän mennessä kahdeksan mutta useampia säädöksiä työstetään edelleen.

Komissiolle on myös siirretty täytäntöönpanovaltaa määrittää ne päivämäärät, jolloin ESP, yhteinen BMS, CIR, MID ja CRRS otetaan käyttöön.

2.1.7Voimaantulo ja soveltaminen

Asetuksen voimaantulo ja sen soveltamisen aloittaminen on erotettu toisistaan. Asetus julkaistiin EU:n Virallisessa lehdessä 22.5.2019 ja se tuli voimaan tästä kahdenkymmenen päivän päästä.

Yhteentoimivuuskomponentit otetaan kuitenkin käyttöön vasta kun komissio on määrittänyt niille päivämäärät. Vasta yhteentoimivuuskomponenttien käyttöön oton jälkeen EU-tason tietojärjestelmien yhteentoimivuus tulee mahdolliseksi.

Komission aikatauluarvion mukaan yhteentoimivuuskomponenteista otetaan ensin käyttöön yhteinen BMS vuoden 2022 alkupuolella, tämän jälkeen tulisi CIR vuoden 2022 loppupuolella ja sitten ESP ja MID.

Asetuksessa todetaan vielä erikseen, että sitä sovelletaan Eurodacin osalta päivästä, jona uudelleenlaadittua asetusta (EU) N:o 603/2013 aletaan soveltaa.

4.1.1Yhteentoimivuuskomponentit

Poliisi- ja rajayhteentoimivuusasetusten keskeisin ehdotus on neljän yhteentoimivuuskomponenttien perustaminen.

1. Eurooppalainen hakuportaali (ESP), jonka kautta voidaan tehdä samanaikaisia hakuja useissa tietojärjestelmissä ml. biometriset tiedot, kuten kasvokuvat ja sormenjäljet.

2. Yhteinen biometrinen tunnistuspalvelu (yhteinen BMS), jonka avulla yhteen järjestelmään tallennettavat biometriset tiedot ovat vertailukelpoisia muihin järjestelmiin tallennettujen sormenjälkien ja kasvokuvien kanssa.

3. Yhteinen henkilöllisyystietovaranto (CIR), johon tallennetaan EU:n tietojärjestelmiin kuuluvat kolmansien maiden kansalaisten henkilötiedot sekä biometriikkaa ja matkustusasiakirjan tiedot.

4. Rinnakkaishenkilöllisyyksien tunnistin (MID), joka tarkistaa, löytyykö samoilla henkilö-, biometrisilla- tai matkustusasiakirjatiedoilla henkilöitä muista järjestelmistä, jotta voidaan havaita samoihin biometrisiin tietoihin liittyvät rinnakkaishenkilöllisyydet.

Näiden komponenttien avulla EU:n olemassa olevat tietojärjestelmät (SIS, VIS ja Eurodac) sekä rakenteilla olevat (EES, ETIAS ja ECRIS-TCN) tehdään yhteentoimiviksi. Tämä tarkoittaa, sitä, että kyseiset järjestelmät täydentävät toisiaan, jotta voitaisiin helpottaa henkilöiden virheetöntä tunnistamista, mukaan lukien tuntemattomat henkilöt, jotka eivät pysty osoittamaan henkilöllisyyttään tai tunnistamatta jääneet ihmisten jäännökset. Lisäksi tietojärjestelmien yhteentoimivuus edistää henkilöllisyyspetosten torjumista ja parantaa ja yhdenmukaistaa kyseisten EU:n tietojärjestelmissä olevien tietojen laatuvaatimuksia sekä virtaviivaistaa pääsyä EES-, VIS-, ETIAS- ja Eurodac- järjestelmiin terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi ja tukee EES-, VIS-, ETIAS-, Eurodac-, SIS- ja ECRIS-TCN-järjestelmien tarkoituksia.

Yhteentoimivuuskomponenteista säädetään poliisi- ja rajayhteentoimivuusasetuksissa. Säädökset eivät edellytä kansallista täydentävää lainsäädäntöä. Kaikki jäsenvaltiot ottavat kunkin yhteentoimivuuskomponentin käyttöön samanaikaisesti.

Biometristen tietojen käyttö

Biometriset tiedot (sormenjäljet, kasvokuva, kämmenjälkitiedot) ovat paljon luotettavampia henkilön tunnistamisessa kuin aakkosnumeeriset tiedot. Samalla biometriset tiedot ovat arkaluonteisia henkilötietoja, jotka kuuluvat EU:n tietosuojalainsäädännössä tarkoitettuihin erityisiin henkilötietoryhmiin.

Olemassa olevista EU-tason tietojärjestelmistä SIS, VIS ja Eurodac sisältävät biometriä tietoja. Myös rakenteilla olevat EES ja ECRIS-TCN tulevat sisältämään biometrisiä tietoja. SIS-järjestelmä on näistä ainoa järjestelmä, jonne voidaan tallentaa myös kämmenenjälkitiedot. SIS-järjestelmä sisältää lisäksi DNA-profiilit. Koska näitä tietoja ei muihin järjestelmiin tallenneta, niin henkilötietojen käsittelyyn liittyvien tarpeellisuus- ja suhteellisuusperiaatteiden mukaisesti kämmenjälkitietoja ja DNA-profiileja ei ole huomioitu eikä käytetä yhteentoimivuuskomponenteissa.

Yhteentoimivuuskomponenteista yhteisen BMS:n tarkoituksena on helpottaa mahdollisesti useisiin EU-tason tietojärjestelmiin rekisteröidyn henkilön tunnistamista. Kaikki automaattiset sormenjälkien tunnistusjärjestelmät käyttävät biometrisiä malleja, jotka on muodostettu tiedoista, jotka on saatu todellisista biometrisistä näytteistä piirteiden erottamisen avulla. Yhteinen BMS kokoaa ja tallentaa yhteen paikkaan kaikki nämä biometriset mallit. Ne pidetään loogisesti toisistaan erotettuina sen mukaan, mistä tietojärjestelmästä tiedot ovat peräisin. Tämä helpottaa järjestelmien välisiä vertailuja biometrisiä malleja käyttäen.

Esityksessä ei ehdoteta muutoksia sääntelyyn, joka koskee kansallisiin rekistereihin tallennettujen biometristen tietojen käsittelyedellytyksiä ja luovuttamista EU:n tietojärjestelmiin.

4.1.2EU:n tietojärjestelmien väliset linkit

Yhteentoimivuuskomponenteista MID perustetaan, jotta ne henkilöt, joiden henkilötietoja EU:n tietojärjestelmiin on tallennettu, voitaisiin tunnistaa tarkasti.

MID;n tarkoitus on luoda linkkejä EU:n tietojärjestelmissä olevien tietojen välille ja tallentaa ne rinnakkaishenkilöllisyyksien havaitsemiseksi, millä pyrittäisiin sekä helpottamaan vilpittömässä mielessä matkustavien henkilöllisyyden selvittämistä että torjumaan henkilöllisyyspetoksia. MID:ssä olisi ainoastaan oltava linkit useammassa kuin yhdessä EU:n tietojärjestelmässä oleviin henkilöihin. Linkitetyt tiedot rajataan tietoihin, jotka ovat tarpeen sen todentamiseksi, onko henkilö perustellusti tai perusteettomasti kirjattu eri tietojärjestelmiin eri henkilöllisyyksillä, tai sen selvittämiseksi, ovatko kaksi henkilöä, joilla on samankaltaiset henkilöllisyystiedot, kenties eri henkilö.

Linkkejä on neljä erilaista: keltainen linkki, vihreä linkki, punainen linkki ja valkoinen linkki.

Keltaisella linkillä tarkoitetaan sitä, että kahdessa tai useammassa EU-tietojärjestelmässä on tietoja joko eri henkilöistä mutta tiedot ovat joiltain osin yhteneväisiä tai samasta henkilöstä mutta tiedot eri järjestelmissä poikkeavat toisistaan. Tietojen tarkistuksen jälkeen kuitenkin selviää, että kyseessä on eri henkilöt tai sama henkilö mutta tilanteessa ei ole mitään epäselvää eikä rekisteröity henkilö ole antanut vääriä tietoja itsestään.

Vihreällä linkillä tarkoitetaan sitä, että kahdessa tai useammassa EU-tietojärjestelmässä on tietoja eri henkilöistä mutta tiedot ovat joiltain osin yhteneväisiä ja tietojen manuaalisesta todentamisesta vastaava viranomainen on todennut, että linkitetyt tiedot koskevat kahta eri henkilöä.

Punainen linkki tarkoittaa sitä, että kahdessa tai useammassa EU-tietojärjestelmässä on erilaisia tietoja henkilöstä ja tietojen manuaalisesta todentamisesta vastaava viranomainen on todennut, että linkitetyt tiedot koskevat perusteettomasti samaa henkilöä.

Valkoinen linkki tarkoittaa sitä, että kahdessa tai useammassa EU-tietojärjestelmässä on tietoja samasta henkilöstä eikä tiedoissa ole mitään epäselvää.

Linkkejä koskevat säännökset eivät edellytä kansallista täydentävää lainsäädäntöä.

4.1.3Kyselyjen tekeminen henkilöllisyystietovarannosta (CIR) terrorismirikosten tai muiden vakavien rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi

Poliisi- ja rajayhteentoimivuusasetusten artikloissa 22 nimetyille viranomaisille annetaan yksittäistapauksessa oikeus tehdä haku CIR:stä, kun se on tarpeen vakavan rikosten torjumiseksi, havaitsemiseksi tai tutkimiseksi.

Poliisiyhteentoimivuusasetuksen 22 artiklan mukaan nimetyt viranomaiset ja Europol voivat yksittäistapauksessa tehdä haun CIR:stä, kun on perusteltu syy katsoa, että hakujen tekeminen EU:n tietojärjestelmistä edistää terrorismirikosten tai muiden vakavien rikosten torjumista, havaitsemista ja tutkimista, erityisesti, jos on olemassa epäily siitä, että terrorismirikoksesta tai muusta vakavasta rikoksesta epäilty, tällaiseen rikokseen syyllistynyt tai tällaisen rikoksen uhri on henkilö, jota koskevia tietoja on tallennettu Eurodaciin, saadakseen tiedon siitä, onko Eurodacissa tietoja tietystä henkilöstä.

Rajayhteentoimivuusasetuksen 22 artiklan on samansisältöinen sillä erolla, että se koskee tietoja, jotka on tallennettu EES-, VIS- tai ETIAS-järjestelmään.

Jos kyselyn tuloksena saadaan vastaus, joka osoittaa, että joko Eurodacissa tai EES:ssä, VIS:ssä tai ETIAS-järjestelmässä on tietoja kyseisestä henkilöstä, voidaan vastausta käyttää ainoastaan rajoittamatonta pääsyä koskevan pyynnön esittämiseksi tällaista pääsyä koskevissa säädöksissä vahvistettuja edellytyksiä ja menettelyjä noudattaen. Poliisi- ja raja yhteentoimivuusasetukset eivät siten anna pääsyä edellä mainittuihin tietojärjestelmiin vaan niihin pääsyoikeus määräytyy kyseisen järjestelmän oikeusperustan mukaan. On kuitenkin huomioitava, että jo tieto siitä, että henkilö on rekisteröity johonkin tietojärjestelmään, on henkilötieto.

Poliisi- ja rajayhteentoimivuusasetusten artiklat 22 eivät edellytä kansallista täydentävää lainsäädäntöä.

4.1.4Pääsy henkilöllisyystietovarantoon (CIR) henkilön tunnistamista varten

Poliisi- ja rajayhteentoimivuusasetusten 20 artikla edellyttää, että jos jäsenvaltio haluaa soveltaa artiklaa, sen tulee antaa tästä kansallista lainsäädäntöä.

Artiklassa poliisiviranomaiselle annetaan mahdollisuus päästä CIR:iin henkilön tunnistamista varten, kun on kyse laittoman maahanmuuton estämisen ja torjumisen edistämisestä tai korkean turvallisuustason edistämisestä unionin vapauden, turvallisuuden ja oikeuden alueella, mukaan lukien yleisen järjestyksen ylläpitäminen ja turvallisuuden takaaminen jäsenvaltioiden alueella. Jäsenvaltioiden on nimettävä toimivaltaiset poliisiviranomaiset ja vahvistettava henkilöllisyyden selvittämisen menettelyt, edellytykset ja kriteerit.

Asetusten mukaan poliisiviranomaisella tarkoitetaan direktiivin (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 3 artiklan 7 alakohdassa määriteltyä toimivaltaista viranomaista.

Kyseisiä viranomaisia ovat:

a) kaikki viranomaiset, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai

b) kaikki muut elimet tai yksiköt, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy.

Lisäksi jos jäsenvaltio haluaa mahdollistaa, että poliisiviranomainen saa luonnonkatastrofin, onnettomuuden tai terrori-iskun sattuessa ja yksinomaan sellaisten tuntemattomien henkilöiden tunnistamiseksi, jotka eivät pysty osoittamaan henkilöllisyyttään, tai tunnistamatta jääneiden ihmisten jäännösten tunnistamiseksi tehdä kyselyjä CIR:stä kyseisten henkilöiden biometrisillä tiedoilla, sen tulee säätää tästä kansallisella lainsäädännöllä.

Ehdotuksessa esitetään, että Suomi antaisi kansallista lainsäädäntöä poliisi- ja rajayhteentoimivuusasetusten 20 artiklan täytäntöönpanemiseksi. Ehdotetulla lainsäädännöllä täydennetään asetusten säännöksiä siltä osin, kun se on välttämätöntä. Asetuksista aiheutuva täydentävä kansallinen säätely annetaan omana lakina, koska säätelyn sijoittaminen jo olemassa olevaan lainsäädäntöön ei olisi tarkoituksenmukaista ottaen huomioon asetusten tavoite.

Suomessa viranomaisia, joilla annettaisiin pääsy CIR:iin henkilön tunnistamista varten olisivat poliisi, Rajavartiolaitos ja Tulli.

Lisäksi esitetään, että poliisi saisi luonnonkatastrofin, onnettomuuden tai terrori-iskun sattuessa oikeuden tehdä biometrisilla tiedoilla kyselyjä CIR:iin sellaisten tuntemattomien uhrien tunnistamiseksi, jotka eivät pysty osoittamaan henkilöllisyyttään tai tunnistamatta jääneiden ihmisten jäännösten tunnistamiseksi.

4.1.5Kyselyjen tekeminen ja pääsy CIR:iin muissa tehtävissä

Suomalainen virkamies voi käyttää yhteentoimivuuskehikkoon kuuluvia tietojärjestelmiä eri tarkoituksissa. Esimerkiksi poliisi- tai tullimies voi suorittaa Schengenin rajasäännöstön mukaista rajatarkastusta ja rajavartiomies rikostorjuntatehtävää. Poliisin rajatarkastustehtävästä ja siihen liittyvistä toimivaltuuksista säädetään poliisilain 2 luvun 21 §:ssä ja Tullin rajatarkastustehtävistä ja -toimivaltuuksista tullilain 31 §:ssä. Pykälien mukaan poliisimiehellä ja tullimiehellä on oikeus rajatarkastuksen toimittamiseen muun muassa rajavartiolain 28 §:ssä rajavartiomiehelle säädetyin toimivaltuuksin.

Pääsyoikeus yhteentoimivuuskehikon sisältämiin tietoihin on tehtäväsidonnainen. Rajatarkastustehtävässä poliisimies, rajavartiomies ja tullimies saavat pääsyoikeuden niihin tiedostoihin, joita yhteentoimivuuskehys sisältää ja joita tarvitaan rajatarkastuksen suorittamiseen. Järjestelmä antaa pääsyoikeuden tarpeellisiin tietoihin automaattisesti, kun yksilötietuetta tallennetaan EES-järjestelmään. Sama mekanismi pätee myös viisumin myöntöön.

Rikostorjuntatehtävässä sama poliisi-, rajavartio- tai tullimies saa oikeuden tietoihin vain edellä mainittujen 20 ja 22 artiklojen kautta.

4.2.1Vaikutukset viranomaisten toimintaan

Yhteentoimivuuskokonaisuuden kansallinen toimeenpano ja ohjaus

Sisäministeriö asetti yhteistyössä oikeusministeriön, ulkoministeriön ja valtiovarainministeriön kanssa kansallisen yhteentoimivuushankkeen varmistamaan ja koordinoimaan yhteentoimivuusasetusten täytäntöönpanoa Suomessa.

Hankkeen avulla sovitetaan yhteen kansallinen osallistuminen EU:n keskitettyjen tietojärjestelmien kehittämiseen, niiltä osin kuin linjauksilla on vaikutusta yhteentoimivuuden käytännön toteuttamiseen, sekä varmistetaan yhteentoimivuuden aiheuttamien muutosten oikea-aikainen toimeenpano.

Hanke seuraa myös EU-tason tietojärjestelmien osalta asetettuja kansallisia hankkeita. Vastuu yhteentoimivuuden käytännön toteuttamisesta, kansallisten muutosten ja toimenpiteiden oikea-aikaisesta toimeenpanosta ja niiden resursoinnista on kuitenkin kullakin vastuuviranomaisella (poliisi, Rajavartiolaitos, Tulli, Maahanmuuttovirasto, oikeusrekisterikeskus sekä ulkoministeriö).

Poliisi, Tulli ja Rajavartiolaitos

Uudistuksen myötä EU:n nykyiset ja tulevat tietojärjestelmät ovat yhteydessä toisiinsa. Rajaturvallisuuteen ja sisäiseen turvallisuuteen liittyvä EU:n tietoarkkitehtuuri ei olisi enää hajanainen. Tietojärjestelmien yhteentoimivuutta koskevat asetukset muodostavat yhteyden jo olemassa olevien EU-tietojärjestelmien välille, mahdollistaen henkilötietojen haun yhden portaalin kautta.

Lainvalvontaviranomaisten tiedonhaku helpottuu monella eri tapaa, koska EU:n tietokantoja voidaan käyttää entistä tehokkaammin ja turvallisemmin. Tietojärjestelmien yhteentoimivuus tarjoaa poliisille, Tullille ja Rajavartiolaitokselle näiden pääsyoikeuksia täysimääräisesti kunnioittaen ja tehtäviin liittyviä tarkoituksia varten, mahdollisuuden tehdä hakuja useassa tietojärjestelmässä samanaikaisesti niin, että yhdistetyt tulokset esitetään samassa näkymässä. Lisäksi tietojen eheys paranee, kun mahdolliset syöttövirheet voidaan havaita ja poistaa jo tietoja syötettäessä.

Tiedonhaku on ns. kaksivaiheinen, kun viranomaisen tekemän kysely hakuportaaliin antaa osuman jossakin järjestelmässä, hän voi pyytää kohdennettua pääsyä kyseiseen järjestelmään tätä koskevien sääntöjen ja rajoitteiden mukaisesti. EU tietojärjestelmien yhteentoimivuus ei siten muuta sääntöjä, jotka koskevat pääsyä EU:n tietojärjestelmiin tai käyttötarkoituksen rajoittamista. EU-tietojärjestelmien yhteentoimivuus suoraviivaistaa ja tehostaa viranomaisten pääsyä EU:n tietojärjestelmiin, mutta ei luo uusia toimivaltuuksia itsessään. Käyttöoikeudet perustuvat kunkin tietojärjestelmän oikeusperustaan ja näitä vastaavaan kansalliseen sääntelyyn.

Tullin tutkimissa rikosjutuissa suuri osa rikoksesta epäillyistä on ulkomaan kansalaisia tai Suomessa asuvia muiden maiden kansalaisia. Rikoksia selvitettäessä, todisteita hankittaessa ja näytön keräämisessä tarvitaan usein tietoja siitä, miten henkilö on EU:n ulkorajoilla liikkunut ja onko kiinniotettu henkilö ylipäänsä se henkilö, joka matkustusasiakirjoista ilmenee. Rikostutkinnassa on usein myös tarvetta muodostaa yhteys nopeasti ulkomaan lainvalvontaviranomaisten kanssa ja pyytää suoritettavaksi pakkokeinotoimenpiteitä kiireaikataululla, ettei todisteita hävitetä ja että rikoshyödyn takaisinsaanti voidaan turvata. Tässä EU-tietojärjestelmien yhteentoimivuus helpottaa ja nopeuttaa Tullin suorittamaa rikostutkintaa mahdollistamalla henkilötietojen haun yhden portaalin avulla.

Paljastavan toiminnan puolella Tullissa kohdehenkilöön liittyviä tietoja yhdistetään analyysissa useista eri tietolähteistä. Paljastavassa toiminnassa EU:n tietojärjestelmien yhteentoimivuudella voidaan varmistaa kohdehenkilön riittävä oikeusturva, kun henkilöllisyys saadaan luotettavasti varmistettua perusoikeuksia rajaavia toimenpiteitä suoritettaessa.

Tullin kansainvälisen kaupan ja tavaraliikenteen valvonnan yhtenä tehtävänä on taata unionin ja siellä asuvien henkilöiden turvallisuus. Unionin tullikoodeksin (952/2013) 3 artiklassa säädetään tulliviranomaisten tehtäväksi suorittaa näihin liittyvät toimenpiteet. Tullille on säädetty myös useissa erityislaeissa tavaroiden maahantuontiin ja maastavientiin liittyviä valvontatehtäviä. Esimerkiksi säteilylain (859/2018) 3 luvun 16 §:ssä säädetään Tullin valvontatehtävistä säteilylähteiden ja radioaktiivisten jätteiden tuonnissa ja viennissä. Tavaralähetysten tarkastamisen yhteydessä voidaan joutua selvittämään tavaroita kuljettavan henkilöllisyys. Erityisesti henkilöllisyyden selvittäminen on tarpeen silloin, kun matkustajan epäillään tuovan kehossaan maahan kiellettyjä aineita. Tällöin ei välttämättä ole aloitettu vielä rikoksen esitutkintaa, sillä tullilain 3 luvun 18 §:n 3 momentin mukaan pakkokeinolain 8 luvun 30 §:ssä tarkoitettu henkilönkatsastus tai henkilöntarkastus voidaan suorittaa henkilölle ilman esitutkinnan aloittamista, kunhan vain säädetyt edellytykset täyttyvät. Henkilöllisyyden luotettava selvittäminen EU:n yhteisestä tietojärjestelmästä voi vähentää tarvetta puuttua tarpeettomasti tullitarkastusten kohteiksi valikoitujen henkilöiden perusoikeuksiin, jonka lisäksi tullitarkastusten toimittaminen nopeutuu, mistä voi olla suurikin hyöty esimerkiksi matkustajille.

EU-tietojärjestelmien yhteentoimivuus edellyttää manuaalista MID:ssä muodostuneiden linkkien eli henkilöllisyyksien varmentamista SIS:n osalta. Kun kyse on siis SIS-järjestelmän linkeistä kuulutuksiin henkilöistä, joita etsitään kiinniottoa ja eurooppalaisen pidätysmääräyksen tai luovutussopimuksen perusteella tapahtuvaa luovuttamista varten, kadonneista tai haavoittuvassa asemassa olevista henkilöistä, henkilöistä, joita etsitään oikeudelliseen menettelyyn osallistumista varten, tai henkilöistä salaista tarkkailua tai tiedustelutarkastuksia varten, kuulutuksen tehneen jäsenvaltion SIRENE-toimiston olisi oltava rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaava viranomainen. Suomen SIRENE-toimisto on sijoitettu keskusrikospoliisiin.

Linkit voivat muodostua SIS-kuulutuksen ja minkä tahansa muun yhteentoimivuus-kokonaisuudessa olevan tietojärjestelmän välille. Tämä tarkoittaa sitä, että Suomen syöttämän henkilökuulutuksen ja toisen jäsenvaltion syöttämän, esimerkiksi EES-tiedon välille voi syntyä linkki eli niiden määrä ei ole riippuvainen Suomen kuulutusten määrästä suoraan.

Tiedon tehokas yhdistäminen, analysointi, kerääminen ja jakaminen nykyaikaisilla välineillä ja päivitetyllä lainsäädännöllä on ensiarvoisen tärkeää. Rajat ylittävän rikollisuuden torjunta onnistuu ainoastaan, jos lainvalvontaviranomaisten tietojenvaihto toimii reaaliaikaisesti, sujuvasti ja ilman prosesseihin liittyvää turhaa byrokratiaa. Asetuksilla vastataan osin kansainvälistä poliisiyhteistyötä koskeviin haasteisiin mahdollistamalla ja tehostamalla moniviranomaisyhteistyön malleja ja järjestelmiä.

Poliisiviranomaisen pääsy CIR:iin 20 ja 22 artiklojen mukaisesti olisi uusi työkalu henkilön henkilöllisyyden selvittämisessä. Siten yhteentoimivuusasetuksen myötä henkilön tunnistaminen helpottuu ja nopeutuu eikä kiinniottamisen kaltainen perusoikeuksiin puuttuminen ole välttämättä tarpeen.

Maahanmuuttovirasto

Maahanmuuttoviraston toimintaan vaikuttavia tehtäviä ovat rajayhteentoimivuusasetuksen 21, 26 ja 29 artikloiden mukaisten keltaisten linkkien ja henkilöllisyyden manuaaliseen todentamiseen liittyvät tehtävät tietyissä tilanteissa. Mahdollisia vaikutuksia voi tulla myös esimerkiksi avunannosta muille viranomaisille heidän asetuksista seuraavien tehtävien hoitamista varten.

Merkittävimmät muutokset liittyvät Maahanmuuttoviraston eräiden rekisterihakujen ja tietojen verifiointien keskittämiseen ESP:n kautta. Maahanmuuttovirastolla on jatkossa oltava pääsy tekemään hakuja ainakin VIS-, EES-, ETIAS-, SIS- ja Eurodac järjestelmien tietoihin ESP:tä hyödyntäen. Maahanmuuttovirasto on suunnitellut toteuttavansa nämä haut mahdollisimman pitkälle automatisoidusti ja integroituvansa tältä osin myös poliisin Renki-järjestelmään.

Ulkoministeriö

Ulkoministeriön hallinnonalalla tietojärjestelmien yhteentoimivuuskokonaisuus tulee aiheuttamaan merkittäviä prosessi- ja järjestelmämuutoksia kansalliseen viisumitietojärjestelmään (VISA-viisumijärjestelmä). Teknisesti, VISA tulee integroida yhteentoimivuuskomponenttien (ESP, CIR) kanssa. Lisäksi tulee huomioida VIS-järjestelmän rajapinta- sekä prosessimuutokset. Viisumihakemusten käsittelyssä ja teknisessä toteutuksessa on huomioitava tilanteet, joissa henkilötietojen tallennuksen yhteydessä käynnistynyt MID on palauttanut rinnakkaishenkilöllisyyksiä (linkkejä) useammasta järjestelmästä.

Oikeusrekisterikeskus

ECRIS TCN asetus (EU 2019/816) on tullut voimaan 11. kesäkuuta 2019. Asetuksessa säädetään EU jäsenvaltiossa rikostuomion saaneiden kolmansien maiden kansalaisten tunnistetietoja sisältävän keskitetyn tietojärjestelmän perustamisesta. Samaan aikaan tuli voimaan rikosrekisteritietojen EU vaihtoa koskevaa puitepäätöstä muuttava ja ns. ECRIS - päätöksen korvaava direktiivi (EU 2019/884).

Tietojenvaihto ECRIS -järjestelmässä tapahtuu jäsenvaltioiden keskusviranomaisten välityksellä. Suomessa keskusviranomaisena toimii Oikeusrekisterikeskus, jolla nykyisinkin on keskeinen asema jäsenvaltioiden välisessä rikosrekisteritietojen vaihtoon liittyvässä yhteistyössä. Keskitetty, kolmansien maiden kansalaisten tunnistetietoja sisältävä ECRIS-TCN-järjestelmä otetaan käyttöön loppuvuonna 2022. Poliisiyhteentoimivuusasetuksen artiklan 29 kohtien 1-3 perusteella Oikeusrekisterikeskus vastaa kansallisesti rinnakkaishenkilöllisyyksien manuaalisista todentamisista vastaavuuksissa, jotka tuotetaan, kun tietoja tallennetaan ECRIS-TCN:ään tai niitä muutetaan ECRIS TCN asetuksen 5 tai 9 artiklan mukaisesti. Oikeusrekisterikeskus ei kuitenkaan lukeudu kansallisesti toimivaltaiseksi poliisiviranomaiseksi artiklan 20 mukaisissa tunnistamistehtävissä.

Yhteistyö ja tiedonvaihtokanavat kansallisten esitutkintaviranomaisten, SIRENE-toimiston ja muiden rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaavien viranomaisten välillä tulee varmistaa.

4.2.2Taloudelliset vaikutukset

Yhteentoimivuusasetukset edellyttävät muutoksia kansallisiin tietojärjestelmiin, jotka koskevat useampaa hallinnonalaa sekä virastoa (Poliisihallitus, Rajavartiolaitos, Maahanmuuttovirasto, Tulli, ulkoministeriö, oikeusministeriö ja Oikeusrekisterikeskus). Tämän lisäksi tulee huolehtia tarvittavista tietoverkkoympäristöjen muutoksista. Teknisten muutosten lisäksi yhteentoimivuusasetukset aiheuttavat muutoksia myös näiden viranomaisten toimintoihin ja henkilöstöresursseihin.

Yhteentoimivuusasetuksista aiheutuvia määrärahatarpeita on käsitelty osana julkisen talouden suunnitelman 2022 - 2025 valmistelua sekä osana vuoden 2021 lisätalousarvioiden ja vuoden 2022 talousarvion valmistelua.

EU-tietojärjestelmien kansallista toimeenpanoa ja kehittämistä on tuettu sisäisen turvallisuuden rahastosta (ISF) ohjelmakaudella 2014-2020. Komissio osoitti jäsenvaltioille lisärahoitusta EU-tietojärjestelmiin (EES, ETIAS, SIS III ja yleinen ICT-kehittäminen). Suomen osuus lisärahoituksesta oli yhteensä noin 13,3 miljoonaa euroa. Yhteentoimivuus kuuluu ohjelmakaudella 2021-2027 EU:n sisäasioiden rahastojen soveltamisalaan. Rahastojen kansallisia ohjelmia kaudelle 2021-2027 valmistellaan ja rahastoja hyödynnetään yhteentoimivuusasetusten toimeenpanossa mahdollisuuksien mukaan.

Viranomaisten määrärahatarve on tämän hetken arvioiden mukaan yhteensä 21,4 milj. jakautuen alla olevasti:

Poliisihallinto

Keskusrikospoliisiin sijoitetun SIRENE-toimiston työmäärä tulee lisääntymään, koska se tulee toimimaan rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta vastaavana viranomaisena. EU-tietojärjestelmiin laadittujen kuulutusten väliset linkit voivat muodostua SIS-kuulutuksen ja minkä tahansa muun yhteentoimivuus-kokonaisuudessa olevan tietojärjestelmän välille. Tämä tarkoittaa sitä, että Suomen syöttämän henkilökuulutuksen ja toisen jäsenvaltion syöttämän, esimerkiksi EES-tiedon välille voi syntyä linkki eli niiden määrä ei ole riippuvainen Suomen kuulutusten määrästä suoraan.

SIS:stä annetussa hallituksen esityksessä ( HE 35/2021 vp ) todetaan, että SIS-järjestelmään syötettäviin kuulutuksiin ei voitaisi enää kansallisen sääntelyn puitteissa lisätä kansallisiin rekistereihin ulkomaalaislain (301/2004) , passilain (671/2006) tai henkilökorttilain (663/2016) nojalla talletettuja biometrisia tunnisteita mm. palautus- ja maahantulokieltokuulutuksiin. Biometristen tunnisteiden puuttuminen SIS-kuulutuksista tulee aiheuttamaan enemmän lisätiedonvaihtopyyntöjä sekä lisäämään työmäärää yhteentoimivuuden puitteissa manuaalisesti tarkastettavien linkkien käsittelyn osalta SIS:n ja muiden EU:n tietojärjestelmien välillä.

Manuaalisesti tarkastettavaksi tulevien linkkien määrää ja tästä aiheutuvia taloudellisia vaikutuksia on tässä vaiheessa vaikea arvioida, koska taustalla vaikuttavat sekä eu-LISA:n tekniset ratkaisut kuin myös linkkien volyymi.

Arviota tai tarkennettua tietoa manuaalisesti käsiteltäväksi tulevien linkkien määrästä ei vielä ole. Ehdotuksella on mahdollisesti merkittäviäkin resurssivaikutuksia lisääntyneenä työmääränä.

Rajavartiolaitos

Rajavartiolaitoksella on käynnissä kaksi suurta EU-tietojärjestelmäuudistusta, rajanylitystietojärjestelmä EES ja Euroopan matkustustieto- ja -lupajärjestelmä ETIAS, jotka on tarkoitus ottaa käyttöön 2022. EES:n käyttöönotto muuttaa merkittävästi kansallista rajatarkastusprosessia. Osa yhteentoimivuusasetuksen edellyttämistä teknisistä muutoksista voidaan huomioida EES- ja ETIAS-järjestelmien kehittämisessä, mutta yhteentoimivuuskomponenttien käyttöönotto edellyttää myös merkittäviä muutoksia kansalliseen rajatarkastussovellukseen, jotta se tukee tarvittavia kyselyitä, palautuneet tiedot voidaan käsitellä tarkoituksenmukaisesti ja muun muassa saadaan linkitettyä tarvittavat yksilötiedot.

Merkittävin taloudellisia vaikutuksia aiheuttava muutos yhteentoimivuusasetuksen käyttöönotossa liittyy työmäärän kasvamiseen. Vuonna 2019 eli viimeisenä korona-pandemiaa edeltäneenä vuonna Suomen ulkorajan ylitti yhteensä 16,78 miljoonaa henkilöä. Näistä 10,52 miljoonaa oli ulkomaalaisia, joiden tiedot tallennetaan yhteentoimivuuskehikkoon kuuluviin tietojärjestelmiin, erityisesti EES:iin, VIS:iin ja ETIAS:een. Keltaisten linkkien manuaalinen selvittäminen tulee lisäämään rajatarkastajien työmäärää ja ESP:n sekä MID:n käyttö saattaa pidentää rajatarkastuksen kestoa, jolloin Suomen rajanylityspaikkojen läpäisykapasiteetti pienenee. Läpäisykapasiteetin säilyttäminen nykyisellä tasolla edellyttäisi henkilöstömäärän lisäämistä ja rajanylityspaikkojen rakenteellista kehittämistä.

Tässä vaiheessa Rajavartiolaitoksella ei ole vielä riittäviä perusteita arvioida keltaisten linkkien määrää ja niiden selvitystyöstä aiheutuvaa työmäärän kasvua tai ESP:n ja MID:n toiminnasta aiheutuvaa prosessin hidastumista. Ensimmäiset arviot voidaan tehdä aikaisintaan, kun komponenttien kehitystyö on edennyt prototyyppi- tai testausasteelle. Toiminnallisuuksien käyttöönotosta johtuvat muut kuin tekniset lisätarpeet käsitellään osana Rajavartiolaitoksen toiminnan ja talouden suunnittelua.

Tulli

Yhteentoimivuusasetukset edellyttävät joitain muutoksia ja toimenpiteitä Tullin tietojärjestelmiin. Tulli tulee käyttämään ESP-järjestelmää ja siihen liittyviä yhteentoimivuuskomponentteja Poliisin Renki-järjestelmän kautta. Tullilla on jo käyttöoikeudet Renki-järjestelmään, jonka vuoksi tässä yhteydessä Tullin käyttövaltuuksia tulee vain täydentää niin, että ne laajenevat koskemaan myös uusia hakuportaaleja ja järjestelmiä. Tullin lähiaikojen tavoitteena on rakentaa integraatio Renki-järjestelmään asianhallintajärjestelmän kautta. Kustannusarvio työlle on noin 100 000 euroa. Kustannusarvio pitää sisällään asianhallinnan integraation Renki-järjestelmään sekä mahdolliset Renki-käyttöliittymään liittyvät Järjestelmän käyttöönotosta aiheutuu taloudellisia vaikutuksia myös järjestelmän ylläpitämisestä sekä henkilöstön kouluttamisesta käyttämään järjestelmää. Tullin osalta olettama on, että EU-tietojärjestelmien yhteentoimivuus tulee nopeuttamaan prosesseja sekä vähentämään manuaalista selvitystyötä ja sitä kautta saavutetaan taloudellisia säästöjä pitkällä aikavälillä.

Maahanmuuttovirasto

Yhteentoimivuusasetuksista Maahanmuuttovirastolle aiheutuvat taloudelliset vaikutukset liittyvät pääosin tietojärjestelmämuutoksiin ja niiden toteuttamiseen liittyviin henkilöstökustannuksiin. Lisäksi Maahanmuuttovirasto on arvioinut EU:n yhteisiin tietojärjestelmiin ja niiden hallintaan liittyväksi pysyväksi henkilöstön lisäystarpeeksi yhden henkilötyövuoden vuodesta 2026 alkaen.

Ulkoministeriö

Ulkoasiainhallinnon työmäärä kasvaa johtuen rinnakkaishenkilöllisyyksien todentamisesta ja niitä koskevien linkkien manuaalisesta selvittämisestä. Linkkien määrää ja tästä aiheutuvaa lisäresurssoinnin tarvetta on tässä vaiheessa vaikea arvioida. Taloudellisia vaikutuksia ulkoasiainhallinnolle aiheutuu ennen muuta tietojärjestelmän kehittämistyöstä, eu-LISA:n edellyttämiin virallisiin testauksiin osallistumisesta sekä kansallisesta testauksesta.

Oikeusministeriö

ECRIS-TCN-järjestelmää käytetään ESP:n kautta tietyissä käyttötapauksissa. ESP:iin liittyminen kansallisesti edellyttää Oikeusrekisterikeskukselta CRIS-tietojärjestelmän kehitykseen ja yhteentoimivuuteen liittyviä toimenpiteitä. Tavoitteena on mahdollistaa EU-tason tietojärjestelmien yhteentoimivuuteen (IO-kokonaisuus) kuuluvan ESP:n käyttö ECRIS-TCN:n hakujen yhteydessä käyttämällä kansallista CRIS-järjestelmää hakujen tekemiseen. Toiminnallisuuden tulisi olla käyttövalmis ECRIS-TCN-järjestelmän käyttöönoton yhteydessä vuosina 2022-2023. Toistaiseksi ei ole tarkasti tiedossa, millaisia tietojärjestelmämuutoksia ESP:iin liittyminen edellyttää ja siten kustannusten suuruutta on vielä tarkennettava IO-hankkeen edetessä. Myös muiden yhteentoimivuuskomponenttien käyttöönotto edellyttää muutoksia etenkin kansalliseen CRIS-järjestelmään sekä integraatioita CIR:ään ja MID;hen. Lisäksi Oikeusrekisterikeskuksen työmäärä kasvaa johtuen rinnakkaishenkilöllisyyksien manuaalisesta todentamisesta sekä turvallisuushäiriöiden käsittelystä asetusten 43 artikloissa edellytetyllä tavalla, mutta näistä aiheutuvaa mahdollista lisäresursoinnin tarvetta on tässä vaiheessa vaikea arvioida.

Yhteentoimivuutta koskevien asetusten täytäntöönpanosta seuraa jonkin verran lisää valvontatehtäviä tietosuojavaltuutetulle. Erityisesti lisätyötä aiheutuisi yhteentoimivuuskomponentteihin kansallisesti siirrettyjen ja sieltä kansallisesti käsiteltävien tietojen valvonnasta. Vaikka kyseisten yhteentoimivien EU tietojärjestelmien valvonta onkin pääosin Euroopan tietosuojavaltuutetun valvonnassa, lisääntyvät kansallisten viranomaisten tehtävät erityisesti lainsäädäntöratkaisuista ja teknisten ratkaisujen luonteesta johtuen. Jonkin verran vaikutuksia olisi myös EU:n valvontaviranomaisten yhteistyöllä. Alustavan arvion mukaan täytäntöönpanosta aiheutuisi lisätyötä enintään 1 henkilötyövuoden verran.

4.2.3Tiedonhallinnan muutosvaikutukset

Julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019, jäljempänä tiedonhallintalaki ) säädetään muun muassa tiedonhallinnan järjestämisestä ja kuvaamisesta, tietovarantojen yhteentoimivuudesta, teknisten rajapintojen ja katseluyhteyksien toteuttamisesta sekä tietoturvallisuuden toteuttamisesta. Tiedonhallintalailla varmistetaan viranomaisten tietoaineistojen yhdenmukainen hallinta ja tietoturvallinen käsittely julkisuusperiaatteen toteuttamiseksi.

Poliisi valmistelee yhteistä Renki-nimistä hakukäyttöliittymää kansallisiin tarpeisiin. Tarkoitus on, että tämän liittymän kautta loppukäyttäjä saa pääsyn niihin tietojärjestelmiin, joihin hänellä on lakisääteinen oikeus tekemällä yhden haun. Yhteentoimivuusasetusten edellyttämä pääsy ESP:hen on tarkoitus integroida Renkiin.

Yhteentoimivuusasetusten vuoksi Rajavartiolaitoksen tietojärjestelmissä joudutaan kehittämään rajatarkastussovellusta ja sen ominaisuuksia, jotta ne tukevat yhteentoimivuusasetuksen edellyttämiä toimintoja paitsi tehtävien keskitettyjen kyselyjen ja niiden tuottamien vastausten muutosten osalta, myös toteuttamaan uusia ominaisuuksia saatujen vastausten käsittelyn kannalta. Muutokset liittyvät henkilöllisyyttä koskevien linkkien käsittelyyn, sanoma- ja yhteysmuutoksiin ESP-hakujen osalta sekä tiedonvälitysratkaisuihin linkkien käsittelyjen osalta. Ratkaisuissa tullaan hyödyntämään EES- ja ETIAS-vaiheissa toteutettuja ratkaisuja sekä olemassa olevia toteutuksia siinä määrin kuin mahdollista, mutta muutoksia joudutaan tekemään RATAS-rajatarkastussovellukseen sekä Ulkonet-kyselyjärjestelmään ESP-kyselyjen toteutuksen osalta. Olemassa olevien toteutusten lisäksi soveltuvin osin jatketaan järjestelmien ja tiedonhallintaan liittyvien ratkaisujen osalta yhteistyötä ja yhteiskäyttöä muiden viranomaisten kanssa, esimerkiksi Rengin käytön osalta.

Tulli tulee liittymään ESP:hen Renki-järjestelmän välityksellä poliisin tavoin. Tullilla on jo olemassa käyttöoikeus Renki-järjestelmään ja järjestelmää käytetään samoin tavoin kuin poliisi omiin toimivaltuuksiin. Tullissa tullaan tulevina vuosina uusimaan tietojärjestelmiä ja tällöin myös liittyminen ESP:hen tullaan arvioimaan uudelleen.

Ulkoministeriössä tullaan toteuttamaan VISA-viisumijärjestelmään muutoksia ja uusia ominaisuuksia, jotta ne tukevat yhteentoimivuusasetusten edellyttämiä toimintoja. VISA-järjestelmä kautta on mahdollista käynnistää haku useaan tietojärjestelmään uuden ESP-hakuportaalin kautta, loppukäyttäjän oikeuksien mukaisesti. Lisäksi järjestelmään toteutetaan rinnakkaishenkilöllisyyttä koskevien linkkien käsittely ja tietojen välittäminen. Näiden toimintojen toteuttaminen edellyttää sanoma- ja yhteysmuutoksia VISA-järjestelmän sekä uusien keskusjärjestelmäkomponenttien välille. Tietojen käsittelyyn ja näyttämiseen toteutettavat toiminnot ja prosessit suunnitellaan niin, että ne tehokkaasti tukevat VISA-järjestelmää käyttäviä viranomaisia.

Maahanmuuttoviraston toimialalla tietojärjestelmien yhteentoimivuuskokonaisuus tulee aiheuttamaan merkittäviä prosessi- ja järjestelmämuutoksia ulkomaalaisasioiden asiankäsittelyjärjestelmä UMA:an.

Kukin virasto arvioi osaltaan edellyttääkö niiden vastuulla oleviin tietojärjestelmiin tehtävät muutokset tiedonhallintalain 9 §:n mukaisen lausuntomenettelyn toteuttamista.

Esityksessä ei ehdoteta muutoksia voimassa olevaan asiakirjojen julkisuutta ja salassapitoa koskevaan sääntelyyn.