Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja asetusta täydentäväksi yleiseksi lainsäädännöksi (tietosuojalaki)
Yleistä
Esityksessä ehdotetaan säädettäväksi uusi tietosuojalaki. Lailla täydennetään ja täsmennetään EU:n yleistä tietosuoja-asetusta (tietosuoja-asetus) ja samalla kumotaan henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta.
Tietosuoja-asetusta sovelletaan kansallisesti 25.5.2018 alkaen ja samalla tietosuojalaki tulisi voimaan.
Tietosuojan lainsäädännön kokonaisuus
Vaikka tietosuojalaki on henkilötietojen käsittelyyn sovellettava kansallinen yleislaki, sitä ei sovelleta itsenäisesti. Tietosuojalaissa ei ole henkilötietolain (523/1999) tavoin kattavaa sääntelyä henkilötietojen käsittelyehdoista. Sen sijaan tietosuojalakia sovelletaan yhdessä sekä tietosuoja-asetuksen että sektorikohtaisen erityislainsäädännön kanssa.
Tietosuoja-asetukseen sisältyy suurin osa henkilötietojen käsittelyyn vaikuttavista ehdoista ja vaatimuksista, mutta esimerkiksi käsittelyn oikeusperusta on osittain täsmennetty tietosuojalaissa. Erityisten (ent. arkaluonteisten) henkilötietojen osalta käsittelyn oikeusperustasta on erikseen säädetty myös erityislainsäädännössä. Tässä tapauksessa käsittelyn oikeusperusta selviää vain soveltamalla kaikkia kolmea oikeuslähdettä rinnakkain.
Ehdotettu hallituksen esitys on vaikeaselkoinen ja tekninen, eikä tässä muodossa anna lainsoveltajille selkeää ohjeistusta tietosuojalain sisällöstä tai soveltamisesta.
Kuntaliitto kiinnittää huomiota tulevan henkilötietojen käsittelyyn liittyvän lainsäädäntökokonaisuuden vaikeaselkoisuuteen ja edellyttää riittäviä resursseja täytäntöönpanon tueksi.
Vaikutusten arvioimisesta
Esityksellä ei ole, ehdotuksen vaikutustenarvioinnin mukaan, merkittäviä taloudellisia tai muita yhteiskunnallisia vaikutuksia. Tietosuojalainsäädännön uudistukseen liittyvät vaikutukset seuraavat suoraan yleisestä tietosuoja-asetuksesta. Esityksessä todetaan, että tietosuoja-asetuksen säännökset aiheuttavat moninaisia kustannuksia sekä valvontaviranomaisille että rekisterinpitäjille ja henkilötietojen käsittelijöille niin yksityisellä kuin julkisella sektorilla. Esityksessä viitataan esityksen Kuthanek-käsittelyyn ja todetaan, että Kuntaliiton kustannusarvio on noin 100 miljoonaa euroa.
Kuntaliitto kiinnittää huomiota uudistuksen merkittäviin sekä taloudellisiin että toiminnallisiin vaikutuksiin paikallistason viranomaisten toimintaan. Kuntaliiton varovaisestikin arvioiden mukaan tietosuojauudistus aiheuttaa kunnissa ensimmäisinä vuosina vähintään 100 miljoonan euron vuosittaiset investointitarpeet, ml. henkilöstökustannukset ja tietojärjestelmien päivityskustannukset. Kuntaliitto pitää valitettavana, että hallituksen esitys ei sisällä tarkempaa kustannusten vaikutusarviota kunnille. Kuntaliitto myös huomauttaa, että hallitusohjelman mukaan hallitus ei anna kunnille uusia tehtäviä ilman täysimääräistä rahoitusta.
Hallinnolliset sanktiot
Hallinnollisista sanktioista ehdotetaan säädettäväksi (25 §) kansallisesti niin, että tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja ei voida määrätä valtion viranomaisille, valtion liikelaitokselle, kunnalliselle viranomaiselle, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastolle eikä tasavallan presidentin kanslialle.
Hallituksen esityksen perusteluissa todetaan, että seuraamusmaksuja ei ole tarpeen tässä vaiheessa ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on muutoin myös noudatettava hallinnon yleislakeja. Uhkasakon asettamismahdollisuus on olemassa myös suhteessa viranomaisiin. Rajauksen seuraukset arvioidaan erikseen myöhemmässä vaiheessa.
Suomen Kuntaliitto yhtyy hallituksen esityksessä esitettyihin perusteisiin hallinnollisen sakon soveltamisalan rajaamisesta. Lisäksi tuomme esiin, että henkilötietojen käsittely viranomaistoiminnassa perustuu varsin pitkälle rekisterinpitäjälle säädettyihin lakisääteisiin tehtäviin, jolloin henkilötietojen lainvastaiseen käsittelyyn mahdollisesti liittyvä ansaintalogiikka myös väärinkäyttötapauksissa puuttuu. Mittaavien ja rangaistusluonteisten hallinnollisten sakkojen pelotevaikutus onkin ensisijaisesti osoitettu rekisterinpitäjiin, joiden osalta henkilötietojen lainvastainen käsittely voi liittyä tulojen kasvattamistavoitteisiin.
Valvontaviranomaisella on runsaasti keinoja hallinnollisen sakon lisäksi puuttua lainvastaiseen tai puutteellisen henkilötietojen käsittelyyn. Näiden todellinen tehokkuus riippuu kuitenkin pitkälti valvontaviranomaisen resursseista ja kyvystä puuttua tilanteisiin myös ennakoivasti. Kiinnitämme huomiota TATTI-työryhmän mietinnön liitteenä olevaan valvontaviranomaisen omaan arvioon resurssitarpeistaan.
Arkistointi
Ehdotetun tietosuojalain 4 §:ssä säädetään tutkimusaineistojen, kulttuuriperintöaineistojen ja kuvailutietojen arkistoinnista yleisen edun mukaisiin tarkoituksiin. Ehdotetussa 31 §:ssä säädetään poikkeuksista rekisteröidyn oikeuksiin arkistoinnin osalta. Säännös viittaa suoraan 4 §:ssä tarkoitettuun arkistointiin. Kaikki esimerkiksi viranomaisten arkistointi ei kuitenkaan ole ehdotetun 4.4 §:n mukaista arkistointia, vaan valtaosa esimerkiksi kuntien arkistoinnista on ns. hyväksytty toissijainen käyttötarkoitus ensisijaiseen käyttötarkoitukseen nähden esimerkiksi oman toiminnan kehittämiseen, eikä sinänsä liity tietosuojalain 4.4 §:n mukaisiin perusteisiin.
Kuntaliitto kiinnittää huomiota muuhun kuin 4.4 §:n mainittuihin tarkoituksiin tapahtuvaan arkistointiin ja katsoo, että rekisteröidyin oikeuksista poikkeamisesta tulisi säätää kattavammin. Rekisteröidyin oikeuksista tulisi 31 §:ää vastaavasti voida poiketa muussakin arkistoinnissa.
Lisäksi kiinnitämme huomiota arkistointiin liittyvän käsitteistön vaikeaselkoisuuteen tietosuojakokonaisuudessa. Tietosuoja-asetuksessa viitataan yleiseen edun mukaiseen arkistointiin, tieteelliseen ja historialliseen tutkimustarkoitukseen. Tietosuojalaissa taas käytetään käsitteitä tutkimusaineisto ja kulttuuriperintöaineisto. Käsitteistön epäyhtenäisyys aiheuttaa epäselvyyttä.
Julkisuuslain muutostarve
Tietosuojalaki ei sisällä säännöksiä viranomaisen oikeudesta luovuttaa henkilötietoja julkisuusperiaatteen nojalla. Suomessa yleissäännös viranomaisen oikeudesta antaa ja luovuttaa henkilötietoja viranomaisen asiakirjoista löytyy julkisuuslaista (16 §). Kyseisen säännöksen mukaan henkilötietojen luovutus viranomaisen henkilörekisteristä on mahdollinen, mikäli vastaanottajalla on oikeus kyseisten henkilötietojen tallettamiseen ja käyttöön. Tietosuoja-asetuksen mukaan henkilötietojen käsittelyn oikeusperusta muuttuu olennaisesti. Uudet käsittelyperusteet ovat vaikeaselkoisempia ja riippuvaisia rekisterinpitäjän omista ratkaisuista ja tulkinnoista. Viranomaisen velvollisuus varmistua luovutuksensaajan oikeudesta käsitellä tietoja muuttuu uudistuksen myötä haastavammaksi.
Kuntaliitto toistaa TATTI-työryhmän kannan, jonka mukaan julkisuuslain henkilötietojen luovutuksia koskeva säännös on akuutin uudistuksen tarpeessa.
SUOMEN KUNTALIITTO
Ida Sulin
johtava lakimies
Muualla verkossa
HE 9/2018 vp
https://www.eduskunta.fi/FI/vaski/HallituksenEsitys/Documents/HE_9+2018.pdf
Kuntaliiton asiantuntijat, jotka voivat kertoa lisää
Kuntajuridiikan ytimessä: Turpakäräjät Live
Webcast-sarjamme tarjoaa kuntajuridiikan näkökulmia ajankohtaisiin teemoihin.