Lausunto oikeusministeriölle 21.2.2013, dnro 707/90/2013, Ida Staffans

Lausunto komission ehdotuksesta yleiseksi tietosuoja-asetukseksi (25.1.2012) ja oikeusministeriön kantaluonnostelun tiettyihin kysymyksiin (13.2.2013)

​Yleinen tietosuoja-asetusehdotus

Komissio on 25.1.2012 julkistanut ehdotuksensa EU:n tietosuojalainsäädännön uudistamiseksi, mukaan lukien ehdotus yleiseksi tietosuoja-asetukseksi. Komissio pyrkii ehdotetulla sääntelyllä vastaamaan teknologian nopean kehityksen haasteisiin ja vahvistamaan yksilöiden oikeutta valvoa henkilötietojaan. Tavoitteena on luoda vahva kuluttajien luottamus myös sähköiseen kaupankäyntiin ja sitä kautta taata digitaalitalouden kehittäminen ja kasvu sisämarkkinoilla. Ehdotettu sääntely tähtää myös oikeusvarmuuden ja luottamuksen vahvistamiseen.

Kuntaliitto suhtautuu myönteisesti komission pyrkimykseen tehostaa ja tukea sisämarkkinoita ja edistää sähköistä kaupankäyntiä. Kuntaliitto pitää myös myönteisenä pyrkimystä parantaa rekisteröityjen tietosuojaa.

Kuntaliitto toteaa, että ehdotetulla sääntelyllä on huomattavia vaikutuksia kuntasektoriin. Kuntaliiton näkemyksen mukaan asetusehdotus ei riittävästi huomioi julkisen sektorin toimintaympäristöä ja erityispiirteitä henkilötietojen käsittelyssä. Ehdotettu asetus lisää merkittävästi julkisen sektorin hallinnollista taakkaa ja aiheuttaisi lisäkustannuksia ilman, että se vastaavasti parantaisi kuntalaisten tietosuojatasoa. Kuntaliitto vaatii, että julkisen sektorin ominaispiirteet ja erityistarpeet paremmin huomioidaan sääntelyn jatkokehittelyssä.

 

Toimivallasta

Ehdotetun sääntelyn oikeusperusta on SEUT-sopimuksen 16 artikla, jonka mukaan EU voi antaa tietosuojaa henkilötietojen käsittelyssä koskevia sääntöjä silloin, kun jäsenvaltiot käsittelevät henkilötietoja suorittaessaan unionin lainsäädännön soveltamisalaan kuuluvia tehtäviä. Lisäksi voidaan antaa sääntöjä, jotka koskevat tietojen vapaata liikkuvuutta, riippumatta siitä, käsittelevätkö henkilötietoja jäsenvaltiot vai yksityiset tahot.

Oikeusperustasääntelyn mukaan EU:n toimivalta rajoittuu unionin lainsäädännön soveltamisalaan kuuluvien tehtävien yhteydessä suoritettavaan henkilötietojen käsittelyyn. Jäsenvaltioiden sisäisen hallinnon ei voida lähtökohtaisesti katsoa kuuluvan unionin lainsäädännön soveltamisalaan. Nykymuodossaan ehdotetulla sääntelyllä on kuitenkin huomattavia vaikutuksia myös jäsenvaltioiden sisäiseen hallintoon ja asetusehdotus sääntelee sitovasti sekä julkishallinnon sisäistä toimintaa, joka ei ole osa EU:n yleistä lainsäädäntötoimivaltaa, että sellaisia julkisen sektorin toimialoja, jotka eivät kuulu EU:n sektoritoimivaltaan. Esimerkiksi sosiaali- ja terveysalalla taikka perusopetukseen liittyen kunnat harvoin suorittavat unionin lainsäädännön soveltamisalaan kuuluvia tehtäviä.

Ehdotettu sääntely ulottuu monilta osin unionin toimivallan ulkopuolelle. Jäsenvaltioiden sisäiseen hallintoon kuuluva ja unionin lainsäädännön soveltamisalaan kuulumattomissa tehtävissä tapahtuva henkilötietojen käsittely jää SEUT 16 artiklan oikeusperustan ulkopuolelle. Oikeusperusta on kuitenkin olemassa kun kunta, tai muu julkisen sektorin edustaja, käsittelee henkilötietoja markkinoilla tapahtuvan tehtävän tai unionin lainsäädännön soveltamisalaan kuuluvan tehtävän johdosta.

 

Sääntelytavasta

Uuden instrumentin muoto on asetus. Komission tiedonannon mukaan asetusmuodon valinta perustuu tietosuojan sisämarkkinaulottuvuuden parantamispyrkimykseen. Kuntaliitto suhtautuu varauksella ehdotetun sääntelyn muotoon, joka tarkoittaa suoraan sovellettavia normeja ilman erillistä implementointivaihetta.

 

Toissijaisuusperiaatteesta 



Kuntaliitto toteaa, että ehdotettu asetus johtaa laajamittaisiin lakimuutoksiin erityislainsäädännön puolella sekä muutoksiin toiminnoissa julkisen sektorin toimintakentällä. EU-oikeuden peruspilareihin kuuluva toissijaisuusperiaate edellyttää, että unionin tasolla toteutetaan toimia vain, jos jäsenvaltiot eivät voi riittävällä tavalla saavuttaa suunnitellun toiminnan tavoitteita. 



Ehdotettu asetus sisältää noin 100 suoraan sovellettavaa artiklaa, jotka käsittelevät laajasti rekisterinpitäjän toimintatapojen yksityiskohtia. Lisäksi asetusehdotukseen sisältyy hyvin laaja valtaa komissiolle antaa delegoituja säädöksiä - nekin velvoittavia. 



Kuntaliitto suhtautuu varauksella ehdotettuun sääntelytapaan, jonka mukaan rekisterinpitäjän toimintaprosesseista säädetään yksityiskohtaisesti EU-tasolla. Suomessa ja muissakin kehittyneissä Euroopan maissa julkisen sektorin tietosuojan taso on jo nykyisin varsin hyvä ja siitä säädetään kattavasti kansallisella lainsäädännöllä, joten toissijaisuusperiaatteen soveltuminen on vähintäänkin epäselvä.

 

Julkisuusperiaatteesta

Kuntaliitto kiinnittää myös huomiota viranomaistoiminnan julkisuusperiaatteen näkymättömyyteen asetusehdotuksessa. Suomen tietosuojasääntely rakentuu vuorovaikutukseen julkisuus- ja salassapitosääntelyn kanssa. Julkisuusperiaate on myös kansallisen tietosuojasääntelyn lähtökohta.

 

Julkisen sektorin erityisasema



Asetusehdotuksen lähtökohtana on tarve luoda kaupallisesti toimiville tahoille yhteiset pelisäännöt silloin, kun nämä käsittelevät henkilötietoja. Käytännössä asetusehdotuksen tarkoituksen on luoda sääntelyä, joka vastaa tehokkaasi tämän päivän digitaalisen talouden ja internetissä tapahtuvan liiketoiminnan aiheuttamiin tietoturvahaasteisiin.   Julkisen sektorin henkilötietojen käsittelyn ominaispiirteisiin ei ole kiinnitetty riittävästi, jos lainkaan, huomiota asetusehdotuksessa. 



Henkilötietojen käsittely julkisella sektorilla johtuu usein rekisterinpitäjälle laissa säädetystä tehtävästä tai velvoitteesta. Myös ns. vapaaehtoinen henkilötietojen käsittely kunnissa tehdään usein lakisääteisten tehtävien tueksi tai vahvistamiseksi. Asetusehdotuksen näkökulmasta lakisääteiset rekisterit ovat pitkälti samassa asemassa kuin muut, esimerkiksi kaupallista intressiä varten perustetut henkilörekisterit. Kuntaliiton näkemyksen mukaan julkisen sektorin rekisteritoiminta ja henkilötietojen käsittely eroaa huomattavasti  yksityisen sektorin harjoittamasta henkilötietojen käsittelystä, joten  siihen tulisi soveltaa muuta kuin kaupallista sektoria varten kehitettyä sääntelyä. 



Kuntaliiton näkemyksen mukaan asetusehdotuksen vaikutuksia ei ole selvitetty riittävästi. Kuntaliitto vaatii tarkkaa arviointia asetuksen velvoitteiden vaikutuksista Suomen julkista sektoria koskevaan julkisuus- ja henkilötietolainsäädäntöön sekä erityislainsäädännön muutostarpeiden ennakointia. Vasta yleiskuvan hahmottumisen jälkeen on mahdollista arvioida esimerkiksi julkisen sektorin resurssitarpeita ja asetuksesta johtuvia lisäkustannuksia. 



Asetuksessa ehdotetut uudet velvoitteet aiheuttavat muutoksia siihen miten henkilötietoja kerätään, säilytetään ja käsitellään kunnissa, mikä aiheuttaa muutoksia esimerkiksi kuntien tietojärjestelmiin. Uusien velvoitteiden aiheuttamat kustannukset voivat pahimmassa tapauksessa nousta erittäin korkeiksi, koska kunnissa käsiteltävien henkilötietojen määrä on hyvin suuri ja kuntien toimiala Suomessa on erittäin laaja.   



Erityisen ongelmallisia Kuntaliiton näkökulmasta ovat:



Artiklat 2 ja 6 - Julkisen sektorin velvollisuutta käsitellä henkilötietoja lakisääteisten tehtäviensä hoitamiseksi ei ole otettu huomioon asetuksen soveltamisalan määrittelyssä eikä laillisen henkilötietojen käsittelyn määrittelyssä. Poikkeuksista lakisääteisten toiminnan tueksi sekä julkisen sektorin viranomaisten hallinnollisen taakan keventämiseksi tulisi säätää ensisijaisesti soveltamisalan määrittämisartiklassa. Toissijainen vaihtoehto on artiklakohtaiset poikkeukset asetuksen eri osioissa. 



Artikla 7 - Artiklan mukaan suostumus ei muodosta oikeusperusta henkilötietojen käsittelylle, jos rekisteröiden ja rekisterinpitäjän välillä on selkeä epäsuhta. Kuntien henkilötietojen käsittelylle on ominaista tietynlainen epäsuhta rekisterinpitäjän ja rekisteröidyn välillä ja artikla merkitsisi nykymuodossaan käytännössä, että kunta ei enää voisi käsitellä henkilötietoja suostumuksen perusteella. 



Artikla 12 ja 18 - Artikla 12 velvoittaa rekisterinpitäjiä toimittamaan rekisteröidylle tietoja sähköisessä muodossa. Artikla 18: taas perustaa rekisteröidylle oikeuden saada jäljennös itseään koskevista tiedoista yleisesti käytetyssä sähköisessä muodossa, joka antaa rekisteröidylle mahdollisuuden käyttää tietoja edelleen kun henkilötietoja käsitellään sähköisin keinoin. Kuntien kannalta vaatimukset merkitsevät, että asetusehdotus ei ole tietoteknisesti neutraali. Salassa pidettäviä henkilötietoja ei voi lähettää esimerkiksi sähköpostitse, vaan lähettämistä varten tarvitaan suojattuja yhteyksiä. Kunnissa on myös paljon ei-sähköistä aineistoa, johon sisältyy henkilötietoja rekisterimuodossa ja artikla velvoittaa tästä näkökulmasta mittavaan sähköistämistyöhön esimerkiksi maankäyttöön liittyvien asiakirjojen osalta. 



Artikla 17 - Artikla koskee rekisteröidyn oikeutta tulla unohdetuksi ja poistaa tietonsa rekisteristä. Uusi oikeus tulla unohdetuksi on ongelmallinen kuntien lakisääteisen rekisteritoiminnan näkökulmasta. Artikla vaatii julkisen sektorin näkökulmasta paljon jakokehittelyä. 



Artikla 22 - Artikla koskee rekisterinpitäjän velvollisuuksia ja vaatii mm. tietosuojavastaavan nimittämistä. Artikla lisää merkittävästi rekisterinpitäjän hallinnollista taakkaa ilman, että kunnissa tai kuntayhtymissä tietosuojan taso parane merkittävästi. Myös toissijaisuusnäkökulma puuttuu kokonaan artiklasta. 



Artikla 33 - Artiklassa säädetään tietyistä poikkeuksista viranomaisille ja julkishallinnon toimielimille. Poikkeukset tulisivat artiklan mukaan kuitenkin sovellettavaksi ainoastaan kun henkilötietojen käsittely perustuu lakisääteiseen velvollisuuteen, jota säännellään unionin lainsäädännöllä. Tässä kansallinen lainsäädäntö tulisi rinnastaa unionin lainsäädäntöön. 



Artikla 34 - Asetus ottaa käyttöön ns. ennakkohyväksyntämekanismi henkilötietojen käsittelylle useissa tapauksissa. Julkisen sektorin tahoille, joilla on valtava tarve joustavasti ja tehokkaasti perustaa rekistereitä ja käsitellä henkilötietoja, ennakkohyväksyntämekanismi on omiaan hidastamaan ja vaikeuttamaan käsittelyn. 



Artikla 35, 36 ja 37- Asetuksen mukaan rekisterinpitäjän ja henkilötietojen käsittelijän on nimitettävä tietosuojavastaava. Asetus sääntelee hyvin yksityiskohtaisesti nimittämisen edellytyksiä, tietosuojavastaavan tehtäviä ja vaatimuksia. Tältä osin asetus sotii toissijaisuusperiaatetta vastaan ja on myös kyseenalaista, kuuluuko asetuksenmukainen sääntely ylipäänsä unionin toimivaltaan vai onko tässä kyse jäsenvaltioiden sisäiseen toimivaltaan kuuluvasta asiasta. Kuntasektorin hallintostruktuureja ei ole artikloissa huomioitu, eikä artikla nykymuodossaan mahdollista esimerkiksi usean viranomaisen yhteisen tietosuojavastaavan nimittämistä. 



Artikla 79 - Artikla koskee hallinnollisia seuraamuksia ja asettaa valvontaviranomaisille valtuuksia määrätä näistä. Artikla porrastaa seuraamukset niin, että ensin tulee varoitus, sitten on sakko enintään 250 000 euroa tai 0,5 % yrityksen liikevaihdosta, sen jälkeen sakko 500 000 euroa tai 1 % liikevaihdosta ja viimeinen porras on sakko 1 000 000 euroa tai 2 % liikevaihdosta. Varoituksen soveltamisala suhteessa kuntiin on epäselvä, eli artiklasta ei ilmene, onko julkisyhteisön ensimmäinen hallinnollinen seuraamus varoitus vai sakko. Suhteessa kunnan rekisteritoimintaan sakkojen määrät ovat myös huomattavan suuria. Hallinnollinen seuraamus rinnastetaan Suomessa rikosoikeudelliseen sanktioon ja esimerkiksi toimivaltakysymykset ja kumulaatioproblematiikka asettavat tästä näkökulmasta haasteita. 



Artikla 82 - Artiklan mukaan jäsenvaltio voi antaa erityissäännöksiä työntekijän terveystietojen käsittelystä työsuhteen yhteydessä. Jatkokäsittelyssä tulisi huomioida, että artiklan määräämät erityissäännöt tulisi voida kansallisesti antaa sekä laissa että työehtosopimuksessa, jotka molemmat ovat työnantajan näkökulmasta sitovia.  

Oikeusministeriön kantaluonnos

Oikeusministeriön vuoden 2012 U-kirjelmä oli lähinnä kuvaus tietosuojapaketin sisällöstä ja Kuntaliitto suhtautuu myönteisesti Suomen kantojen kehittämiseen.

Kuntaliitto haluaa ministeriön kiinnittävän huomiota neuvostossa esillä olleeseen asiakirjaan ”Flexibility for the Public Sector” (Interinstitutional File: 2012/0011 (COD)) ja ehdottaa, että ministeriö jatkossa paitsi artiklakohtaisesti myös yleisesti ottaa kantaa julkisen sektorin erityistarpeiden huomioimiseen asetusehdotuksessa. Kuntaliito korostaa, että julkisen sektorin näkökulmien huomioiminen on Suomen kantojen jatkokehittelyssä erittäin tärkeää.



Kannanotot U-jatkokirjeessä

Oikeusministeriö ehdottaa U-jatkokirjeessään, että rekisterinpitäjän velvoitteiden määrittelyssä voitaisiin käyttää riskipohjaista lähestymistapaa. Velvoitteet olisivat sidoksissa henkilötietojen käsittelyyn liittyvään riskiin - mikäli käsittelyyn liittyy korkea riski, asetetaan tiukempia velvoitteita.

Kuntaliitto suhtautuu lähtökohtaisesti myönteisesti riskipohjaisen lähestymistavan kehittämiseen. Kuntaliitto kuitenkin muistuttaa, että julkisen sektorin ja paikallisviranomaisten osalta riskipohjainen lähestymistapa ei saa johtaa säännönmukaiseen hallinnollisen taakan lisäämiseen vain sen siksi, että viranomaiset käsittelevät henkilötietoja lakisääteisten palveluvelvoitteiden takia - Riskiarviointiin liittyvässä riskin määrittämisessä tulisi myös käyttää muita kriteereitä kuin puhtaasti henkilötiedon luonteeseen liittyviä indikaattoreita.

Kuntaliitto yhtyy oikeusministeriön kantaan, jonka mukaan komission ehdotus rekisteröidyn oikeudesta tulla unohdetuksi on tavoitteiltaan hyvä. Näitä oikeuksia ei kuitenkaan voida ulottaa koskemaan lakisääteisiä rekisteritoimintoja tai henkilötietojen käsittelyä lakisääteisten velvoitteiden noudattamiseksi. Tältä osin asetus vaatii vielä jatkokehittämistä ja täsmentämistä. 



Asetukseen kirjattu rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen vaatii, että kun henkilötietoja käsitellään sähköisin keinoin, rekisteröidyllä olisi oikeus saada itseään koskevia tietoja yleisesti käytetyssä sähköisessä muodossa. Erityisesti kun artikla 18 luetaan yhdessä artikla 12:n kanssa käy selkeästi ilmi, että asetusehdotus ei ole tietoteknisesti neutraali. Salassa pidettäviä henkilötietoja ei voi siirtää rekisteröidylle esimerkiksi sähköpostitse, vaan lähettämistä varten tarvitaan suojattuja yhteyksiä. Kunnissa on myös paljon ei-sähköistä aineistoa, johon sisältyy henkilötietoja rekisterimuodossa ja artikla velvoittaa tästä näkökulmasta mittavaan sähköistämistyöhön esimerkiksi maankäyttöön liittyvien asiakirjojen osalta. Kuntaliiton näkemyksen mukaan komission alkuperäinen tavoite tietoteknisestä neutraliteetista on hyvä ja siitä tulisi pitää jatkossakin kiinni. 



Kuntaliitto kiinnittää sanktioiden osalta huomiota ensinnäkin tarpeeseen tuoda julkisen sektorin näkökulmasta artiklaan lisää joustavuutta ja selkeyttä. Nykymuodossaan artikla on hyvin vaikeasti luettavissa julkisyhteisön lähtökohdista. Toimivaltakysymyksistä ensisijainen tarkastelukulma on kansallinen; Kun sanktiot voivat olla huomattavia ja ne luonteeltaan rinnastetaan rikosoikeudellisiin sanktioihin, onko valvontaviranomainen oikea taho määräämään näistä? Kuntaliitto yhtyy oikeusministeriön kantaan, jonka mukaan on tärkeää jatkossa tarkastella, ovatko kaikki sanktioitaviksi ajatellut teot ja laiminlyönnit niin vakavia, että niihin on ylipäätään perusteltua liittää hallinnollinen seuraamus. Lisäksi, Kuntaliitto kannattaa muiden keinojen, kuten varoitusten ja huomautusten, käytön selvittämistä ja kehittämistä. Sanktiopuolen kehittäminen tulisi tehdä yhdessä ensimmäisenä mainitun riskipohjaisen lähestymistavan kehittämisen kanssa.



SUOMEN KUNTALIITTO



Arto Sulonen   

johtaja, lakiasiat

Ida Staffans

lakimies

 

Lisää aiheesta

  • COM(2012) 11 final

    Euroopan komission 25.1.2012 julkistama ehdotus EU:n tietojsuojalainsäädännön uudistamiseksi

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Löydä lisää sisältöä samoista teemoista