Lausunto oikeusministeriölle 6.9.2023 (254/03.01.00/2023) Ida Sulin

Yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet?

Tietosuoja-asetuksen myötä yksityisyyden suoja on vahvistunut digitaalisessa ympäristössä. Tietosuoja-asetuksen ansiosta yleinen ymmärrys yksityisyyden suojan merkityksestä verkkoympäristössä on parantunut huomattavasti, joten asetuksella on yhteiskunnallisesti ollut sääntelyä laajempi merkitys. Kansalaisen oikeusturvan ja perusoikeuksien kannalta tietosuoja-asetus on ollut tärkeä parannus.

Sääntelyn yhtenäistäminen EU-tasolla on tuonut merkittäviä hyötyjä Suomessa toimiville sekä rekisterinpitäjille että henkilötietojen käsittelijöille. Asetuksen myötä on olemassa yleinen standardi, joka pidetään luotettavana, ja jonka puitteissa toimivat tietojärjestelmät voidaan pitää luotettavina tietosuojan kannalta. On kuitenkin valitettava, että kansallinen tulkinta eteenkin tiedon liikkuvuuden osalta Suomessa on muodostunut rajoittavammaksi kuin asetuksessa alun perin on tarkoitettu, eikä selkeitä ohjeita tulkintakäytäntöjen yhtenäistämiseksi EU-tasolla ole saatu.

Tietoturvavaatimukset ovat koventuneet tietosuoja-asetuksen myötä ja tietoturvatoteutukset yleensä todella kalliita. Kaikilla rekisterinpitäjillä, ml. kunnilla, tulee olla tietosuojavastaava, oma tai ulkoistettu. Tämä on vaatinut uusia resursseja ja toimeenpano edellyttänyt lisäkustannuksia kunnissa. EU-tason sääntelyn kustannusten täysimääräinen kompensaatio rahoitusperiaatteen mukaisesti on täytäntöönpanossa ontunut.

Tietosuojasääntely on tuonut mukanaan valitettavia haasteita tiedon liikkuvuuden kannalta. Sääntelyn pohjalta kehittynyt rajaava tulkinta on räikeässä ristiriidassa mm. Once only -periaatteen (SDGR) kanssa ja on erityisesti kaupunkien palvelukehityksen kannalta haastava. Paikallishallinnossa tiedon liikkuvuuden haasteet näkyvät parhaiten siiloutuneessa henkilötietojen käsittelyssä, jossa käsittelyperuste sidotaan tarkasti toimialakohtaiseen, joko lakisääteiseen tai vapaaehtoiseen tehtäväkokonaisuuteen, jonka kautta myös luovutusrajat määritellään. 

Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt?

Tietosuojalaki on itsenäisenä sääntelykappaleena onnistunut ja verrattain selkeä. Tietosuojalain ja myös tietosuoja-asetuksen haasteena on riippuvuus aiemmasta kansallisesta henkilötietolain käsitteistä ja tulkinnoista. Vanhan henkilötietolain henki elää edelleen esimeriksi mitä tulee määritelmien ja tiettyjen oikeuksien tulkintaan ja tämä estää tehokkaasti Suomen tietosuojaoikeuden eurooppalaistumisen. Esimeriksi rekisterinpitäjän määritelmässä näkee sekä asetuksen kieliasussa (suomennoksessa) että määritelmän tulkinnassa henkilötietolain haamuja - paikallishallinnon osalta tämä tarkoittaa, että tulkinta pitkään on nojannut henkilötietolain aikaiseen ohjeistukseen, eikä sitä ole tarkasteltu EU-oikeudelliselta näkökulmalta.

Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa?

Kunnallisissa viranomaisissa nousee jatkuvasti esiin tilanteita, joissa tietosuoja-asetuksen ja julkisuuslain välinen suhde aiheuttaa epäselvyyttä. Toiveena olisi, että tietosuojalainsäädäntö ei tarpeettomasti kaventaisi hallinnon ja viranomaistoiminnan julkisuusperiaatetta, kuntalaisten vaikutusmahdollisuuksia tai verkkotiedottamista kunnan asioista.

Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin?

Tietosuojasääntely on hallinnon yleissääntelyä, jonka selkeyteen ja sovellettavuuteen voidaan asettaa erityisiä vaatimuksia. Nykytilassa tietosuojasääntely ei täytä näitä vaatimuksia. Sinänsä tietosuojaneuvoston ohjeet ovat hyödyllisiä ja sisältävät konkreettista tietoa tietosuojasääntelyn soveltamisesta. 

Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy?

Tietosuojasääntelyssä on käytetty kansallista liikkumavaraa niin, että julkisyhteisöt on jätetty hallinnollisen seuraamusmaksun soveltamispiirin ulkopuolelle. Muilta osin tietosuoja-asetuksen mahdollistamia seuraamuksia on sovellettu myös suhteessa paikallishallinnon viranomaisiin. Pääministeri Orpon hallitusohjelmaan sisältyy kirjaus hallinnollisen seuraamusmaksun ulottaminen myös julkisyhteisöön. Pidämme edelleen EU-oikeuteen pohjautuva sanktiomaksu vieraana Suomen oikeusjärjestelmän kannalta, mutta toteamme myös,

että kohtuullisesti mitoitetulla sanktiouhalla saattaa olla myös aktiivisuutta herättäviä vaikutuksia.

Kuntasektori on kokenut haastavaksi kansallisesti toteutunut vahvasti jälkivalvontaan ja seuraamuksiin keskittyvä ohjaus. Tietosuojasääntelyn tulkinta on monesti hyvin epäselvä, eivätkä kunnalliset viranomaiset tällä hetkellä saa tehokasta apua etukäteisarviontiin liittyen suunniteltujen toimenpiteiden, palvelukokonaisuuksien taikka järjestelmäuudistusten lainmukaisuuteen. Ennakollinen ohjaus ja neuvota puuttuu kokonaan kansallisella tasolla. Jälkikäteinen sanktiomenettely ei ole omiaan lisäämään ymmärrystä tietosuojasääntelystä. Epäselväksi on myös jäänyt mihin tietosuoja-asetuksen tietoturvaloukkausten ilmoitukset johtavat valvontaviranomaisessa.

Toivomme, että kansallisesti valvonnan lisäksi luodaan viranomainen, jonka tehtävänä olisi etukäteisohjeistus ja neuvonta. Hyvänä esimerkkinä ennakoivasta ja ohjaavasta viranomaistyöstä on kuntasektorilla pidetty tiedonhallintalautakunnan työtä.

Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet?

Teknologiasääntely ajaa vahvasti kuntia hyödyntämän pilvipalveluita osana toimintaansa. Myös valtio kehottaa kuntia hyödyntämään pilvipalveluita palveluiden kehittämisessä. Käytännössä pilvipalveluiden käyttöönottoon liittyy kuitenkin kunnissa useimmiten oikeudellinen riski, joka valvonnan kautta on joissakin kaupungeissa jo realisoitunut. Ristiriita kaupunkien tarpeiden ja tietosuojavalvonnan välillä on ilmeinen.

Oikeudellinen viitekehys tiedonsiirtomekanismien takana on tulkinnanvarainen ja epäselvä, eikä kansallista ohjausta ole siihen saatavissa. Esimeriksi komission kesällä 2023 antama riittävyyspäätös ei ole kansallisesti ohjeistettu. Komission päätösteksti on erittäin vaikeaselkoinen ja kansallisen valvontaviranomaisen lyhyt uutinen aiheesta ei täytä rekisterinpitäjien oikeusvarmuuden tarpeita.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

Käsittelyperusteiden tulkintaan suomalaisen paikallishallinnon tarpeiden näkökulmasta liittyy haasteita. Eteenkin suostumuksen käyttöalaan viranomaistoiminnassa, yleisen edun soveltamisalaan sekä oikeutetun edun käyttöön laajennetussa julkisyhteisössä liittyy epäselvyyksiä ja tulkintaerimielisyyksiä.

Kuntalaisen palvelukokonaisuus muodostuu usein sekä lakisääteisistä että vapaaehtoisista palveluista kuntien näkökulmasta. Kuntakonserniin kuuluu myös muita kuin viranomaisia, ja palveluita pyritään tarjoamaan sujuvasti organisaatiosta riippumatta. Sääntelyn selkeyttäminen siltä osin, millä käsittelyperusteilla julkisyhteisön konserniin kuuluva viranomainen, yhtiö tai yhdistys voi toimia ja miten käsittelyperusteiden eroaminen vaikuttaa tiedon luovutukseen ja liikkuvuuteen esimeriksi käyttötarkoitussidonnaisuuden näkökulmasta tarvitaan.

 

SUOMEN KUNTALIITTO

Juha Myllymäki                     

lakiasiainjohtaja                     

Ida Sulin

johtava juristi

Kuntaliiton asiantuntijat, jotka voivat kertoa lisää

Löydä lisää sisältöä samoista teemoista
Digisumpit-kuvituskuva.

Tervetuloa digisumpeille!

Digisumpit on torstaisin pidettävä etätilaisuus kuntien digikehittäjille. Digisumpit on tarkoitettu kuntien osaamisen jakamista ja verkostoitumista varten. 

Digisumppien ajankohdat ja aiheet.