Tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraportti

Oikeusministeriö pyytää lausuntoa tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraporttiin liittyvistä lainsäädäntöä koskevista kysymyksistä. Väliraportissa kuvataan ministeriöittäin säännöksiä, jotka voivat vaikuttaa viranomaisten tiedon liikkuvuuteen tai julkisten palveluiden järjestämiseen. Kartoituksen ulkopuolelle on mm. rajattu viranomaisten salassa pidettävien tietojen luovuttamiseen ja tiedonsaantioikeuksiin liittyvä sääntely. 

Tausta

Kuntaliitto osallistui tammikuussa 2024 kokonaisuudistuksen koordinaatioryhmän järjestämään kuulemistilaisuuteen ja lausui (lausunto 26.1.2024 Kuntaliiton dnro 17/03.01.01/2024) tässä yhteydessä tietosuojaan liittyvistä haasteista erityisesti kaupunkien ja kuntien viranomaisten toiminnassa. 

Kuulemistilaisuudessa Kuntaliitto toi ensinnäkin esiin, että tietosuojan perusmääritelmiin liittyy kuntasektorilla edelleen haasteita, jotka vaikeuttavat viranomaistoimintojen toteuttamista. Esimerkkeinä toimme esiin rekisterinpitäjän aseman määrittely kuntakontekstissa ja käsittelyperusteiden tulkinta. Käsittelyperusteisiin, eritoten lakisääteisen tehtävän ja yleisen edun väliseen rajanvetoon sekä suostumusperusteiseen henkilötietojen käsittelyyn liittyy epäselvyyksiä sekä tulkintakäytännössä että lainsäädännön tasolla. 

Toiseksi kuulemisessa korostimme, että kuntien viranomaispalvelujen järjestämiseen vaikuttavia tiedonsaantihaasteita ei voida käsitellä erikseen tietosuojakysymyksistä. Tietosuojaan liittyy kiinteästi kuntien eri viranomaisten oikeuksia saada joko julkista tai salassa pidettävää tietoa toisilta viranomaisilta ja muilta tahoilta. Siltä osin kuin tiedonsaantioikeuksista löytyy sääntelyä, on lainsäädäntö vaikeaselkoinen ja siksi vaikeasti sovellettavissa. 

Kolmanneksi nostimme haastavana asiana sen, että valvovan viranomaisen tehtävänä Suomessa on ollut tiukasti sidottu valvontaan. 

Kuulemistilaisuudessa nostimme myös muita tietosuojasääntelyyn liittyviä haasteita: henkilötietojen toissijainen käyttö kunnissa ja muissa viranomaisissa; yhteisrekisterinpitäjyyteen liittyvät epäselvyydet lainsäädäntötasolla; lokitietojen käsittelyyn liittyvät epätarkkuudet sekä erityisesti sivistyssektorin kokonaistarpeita tietosuojan osalta. 

Kuulemistilaisuudessa esitetyt huolet ovat edelleen ajankohtaisia. 

Kannanotot lausuntopyyntöön 

Väliraportin rajaus

Kuntaliitto pitää valitettavana, että tietosuojalainsäädännön kokonaisuudistus ei ole voitu ulottaa koskemaan tiedonsaantioikeuksia koskevia haasteita, jotka käytännön kannalta ovat suurimpia ja tärkeimpiä viranomaistoiminnan tehokkaan toteutumisen esteitä. Pidämme valitettavana tapaa katsoa tietosuojaa teknisenä erilliskysymyksenä ilman kytkentää muuhun viranomaiseen vaikuttavaan julkisoikeudelliseen sääntelyyn. 

Kuntien ja kaupunkien näkökulmasta suurimpia haasteita viranomaispalvelujen tehokkaassa järjestämisessä liittyy tiedonsaantiin ja tehokkaaseen tietojen liikkuvuuteen sekä kunnan sisällä että erillisten viranomaisorganisaatioiden välillä. Osittain tietojen liikkuvuuteen liittyvät haasteet ovat puhtaasti tietosuojasääntelystä ja -käytännöistä johtuvia, esimeriksi silloin kun tietoja luovuttava taho esittää omaan vaikutustenarvioonsa perustuvia sisäisiin luovutuksiin vaikuttavia vaatimuksia tiedon saamisen edellytyksinä. Osittain haasteet liittyvät hankalaan ja vaikeaselkoiseen lainsäädäntöön, jossa tietosuojasääntelyä, julkisuussääntelyä ja muuta julkisoikeudellista sääntelyä luetaan rinnakkain. 

Koordinaationryhmän asettamispäätöksessä todetaan, että hankkeen tavoitteena on parantaa julkisten palveluiden järjestämistä. Väliraportissa tuodaan sektorikohtaisesti perusteellisesti esiin tietosuojaan liittyvät kehittämistarpeet ja tausta-analyysissä on ministeriöittäin kattavasti kartoitettu viranomaistoimintaan vaikuttavaa tietosuojasääntelyä. Väliraportista on kuitenkin rajattu ulos ne kysymykset, jotka olisivat vaatineet horisontaalista yhteistyötä sektorirajojen yli. Herää kysymys, onko kokonaisuudistuksessa kysymys tietosuojalainsäädännön systematisoinnista ja kehittämisestä vai lainsäädäntötyöstä viranomaistoiminnan kehittämisen tueksi? 

Kuntaliitto kantaa huolta tietosuojasääntelyn eriyttämisestä muusta viranomaiseen vaikuttavasta tietoon liittyvästä sääntelystä ja esittää, että yhtenä työryhmän jatkoehdotuksena olisi viranomaisten tietosaantioikeuksiin keskittyvä horisontaalinen työryhmä, joka toiminnallisesti ja sektorikohtaisesti kävisi läpi eri viranomaistoimintojen tiedonsaantihaasteita. 

Esitettyjen muutosten budjettivaikutukset 

Raportissa sivuutetaan mahdollisten muutosten budjettivaikutukset arvioimalla, ettei niitä juurikaan ole. Kuntaliiton arvion mukaan on ilman muuta mahdollista saavuttaa säästöjä tehokkaammalla ja selkeämmällä tietosuojasääntelyllä ml. tiedonsaantioikeuksiin paneutuvalla uudistuksella. 

Väliraportti käsittelee taloudellisestakin näkökulmasta tietosuojaa erilliskysymyksenä. Kun tällä hetkellä viranomaisten toimijakentässä tietosuoja nähdään merkittävänä esteenä tai hidasteena kustannustehokkaalle viranomaispalvelujen järjestämiselle, tulisi myös koordinaatioryhmä olla kiinnostunut tietosuojasääntelyn taloudellisista vaikutuksista. 

Käsittelyperusteet ja tietojen jatkokäyttö

Kuntaliitto toi jo tammikuun 2024 kuulemisessa esiin, että kunnilla on laaja tarve hyödyntää heille kertyneitä henkilötietoja toissijaisiin käyttötarkoituksiin. Sote-sektorilla toissijaisista käsittelytarkoituksista on säädetty ns. toisiolaissa (laki sosiaali- ja terveystietojen toissijaisesta käytöstä 552/2019), mutta tätä ei sovelleta kuntien toimintaa. 

Väliraportin luvussa 5.2 todetaan, että edelleen selvitettävä on tietosuojalain 4.2 §:ää ja sen suhdetta yleiseen etuun käsittelyperusteena. Väliraportin luvussa 4.5 taas selostetaan perustuslakivaliokunnan tulkintakäytäntö henkilötietojen toissijaiseen käyttöön liittyen. Yksityisyyden suoja perusoikeutena rajoittaa henkilötietojen toissijaista käyttöä, eteenkin erityisten henkilötietoryhmien osalta. Toisaalta on myös totta, että kuntien lakisääteisessä toiminnassa käsitellään edelleen paljon erityisiä henkilötietoja, joihin ei kuitenkaan organisatorisista rajoista johtuen sovelleta sosiaali- ja terveyssektorin lainsäädäntöä. Kun organisatoriset rajat hyvinvointialueiden perustamisen myötä uudistettiin ja kun nämä rajat vaikuttavat myös henkilötietoihin sovellettavaan lainsäädäntöön, tulisi kuntien toimintaan sovellettavaa lainsäädäntöä tarkastella uudesta näkökulmasta. 

Kuntaliitto kannattaa tietosuojalain 4.2 §:n jatkotyöstämistä. 

Kuten väliraportin luvusta 3.2.7 ilmenee, on sivistyssektorin lainsäädäntö sekä toiminallisesti että erityisesti tietosuojan kannalta kunnissa keskeisessä asemassa. Olemme tyytyväisiä siihen, että koordinaatioryhmä väliraportissa viittaa laajaan tietosuojauudistukseen sivistyssektorilla ja siihen, että opetus- ja kulttuuriministeriön hallinnonalalla on valmius tietosuojasääntelyn laajaan tarkasteluun. 

Toivomme, että teknisten muutosten lisäksi olisi opetus- ja kulttuuriministeriön tulevissa työryhmissä mahdollisuus paneutua myös yleisiin teemoihin, kuten käsittelyperusteiden käyttöön sivistyspalveluissa ja digitaalisten oppimateriaalien tietosuojakäytäntöihin. Esimeriksi yleistä etua koskevan tehtävän suorittamiseen ja sen kytkentään julkisen vallan käyttämiseen opetusohjelman ydinpalveluissa liittyy paljon kysymysmerkkejä tietosuojamielessä. 

EU ja kunnat 

Koordinaatioryhmän julkaisema väliraportti käsittelee vain vähässä määrässä Suomen tietosuojasääntelyyn vaikuttavaa EU-oikeutta. Raportti ei juurikaan huomioi EU-tuomioistuimen ratkaisukäytäntöä, eikä raportissa pohdita EU:n tulevan datasääntelyn vaikutuksia kansalliseen tietosuojalainsäädäntöön tai viranomaisten tietousojaratkaisuihin. 

Kuntaliiton arvion mukaan ainakin data-asetuksella, datahallinta-asetuksella, eIDAS-säädöksellä, tekoälysäädöksellä, avoimen data direktiivillä, yhteisellä digitaalisella palveluväylällä (SDG) ja eurooppalaisten data-avaruuksilla on vaikutuksia tietosuojasääntelyyn ja -käytäntöihin. Esimerkiksi data-asetukseen liittyen on jo noussut esiin epäselvyyttä siitä, miten henkilötiedon käsite rajautuu, kun verkkoon kytkeytyvä laite kerää tietoa. Tällaista tietoa voidaan tietyissä tapauksissa pitää henkilötietona, jos se on yhdistettävissä muuhun tietoon. 

Kunnan arviointityö

Väliraportin luvussa 2.3.6 ei tunnisteta erityisiä päivitystarpeita tiedonhallintalain osalta. Tiedonhallintalakia pidetäänkin raportissa pitkälti standardina, johon muut säädökset verrataan. 

Kuntaliitto kiinnittää huomiota kehittämistarpeisiin lainsäädännön edellyttämissä riskiarvioinnissa ja toteaa, että päällekkäisyydet riskiarviointien osalta hidastavat yleistä digipalvelukehittämistä viranomaisissa. Riskiarviointien tarvetta emme kyseenalaista, mutta toivomme eri arviointien yhdistämistä tai ainakin päällekkäisyyksin poistamista tehokkaiden viranomaispalvelujen saavuttamiseksi. 

Tällä hetkellä kunnissa tehdään tiedonhallintalain 5 § mukaista muutosvaikutusten arviointia sekä tietoriskien arviointia. Saman aikaisesti tehdään tietosuoja-asetuksen 35 artiklan mukaista tietosuojan vaikutustenarviointia (DPIA). Tulevan EU:n tekoälysääntelyn myötä velvoitteeksi tulee myös tehdä tekoälyjärjestelmien riskiarviointia. Usein nämä arvioinnit kohdistuvat samoihin palveluihin tai järjestelmiin. 

Vaikutustenarvioinnit ovat kansallisessa toimijakentässä merkittävä menoerä ja resurssoinnin kohde. Tulisi arvioida, milloin erillisiä arviointeja tarvitaan ja milloin arviointi voidaan tehdä kokonaisuutena. Tulisi arvioida lainsäädännön arviointivaatimuksia yhdessä ja joko poistaa päällekkäisyydet tai yhdistää eri arviointitoimintoja. 

Kuntaliitto esittää, että erillinen työryhmä perustetaan paneutumaan tiedonhallintalain näkökulmasta viranomaisiin kohdistuviin arviointivaatimuksiin. 

Erityisesti yhteisrekisterinpitäjyydestä 

Väliraportti käsittelee luvussa 4.6 yhteisterirekisterinpitäjyyttä lainsäädännöllisenä keinona selkeyttää esimerkiksi viranomaisen vastuita henkilötietojen käsittelyssä. Lakisääteiseen yhteisrekisterinpitäjyyteen liittyy kuntien kokemuksen mukaan monta haastetta käytännön kannalta, esimerkkinä tässä rakennetun ympäristön tietojärjestelmää (Ryhti) koskeva laki. 

Rakennetun ympäristön tietojärjestelmästä annetun lain 4 §:n mukaan kunnat ja maakuntien liitot ovat Syken kanssa tietojärjestelmän yhteisrekisterinpitäjiä. Saman lain 3 §:n mukaan Syke vastaa rakennetun ympäristön tietojärjestelmän perustamisesta, ylläpidosta ja kehittämisestä. Kuntien osalta ei ole säädetty vaikuttamismahdollisuuksista eli käytännössä kunnilla ei ole lain perusteella vaikuttamismahdollisuuksia siihen, miten tietoja Ryhti-tietojärjestelmässä käsitellään. 

Tietosuoja-asetusta koskevan ohjeistuksen mukaan yhteisrekisterinpitäjyyden yleinen kriteeri on kahden tai useamman yksikön yhteinen osallistuminen käsittelytoimen tarkoitusten ja keinojen määrittämiseen. Ohjeistuksen mukaan yhteinen osallistuminen tarkoitusten ja keinojen määrittämiseen tarkoittaa, että useammalla kuin yhdellä taholla on ratkaiseva vaikutus siihen, tapahtuuko käsittely ja miten se tapahtuu. Lainsäädännöstä saa käsityksen, että Syke ja kunnat eivät yhteisesti ja tasapuolisesti päätä henkilötietojen käsittelyn tarkoituksista ja keinoista Ryhti-tietojärjestelmässä, mutta ovat silti yhteisrekisterinpitäjiä.
 

SUOMEN KUNTALIITTO

Juha Myllymäki                               Ida Sulin     
lakiasiainjohtaja                              johtava juristi