HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

Samankaltaiset tiedostot
HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Kansallinen tietosuojalaki

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuoja-asetus ja sen kansallinen implementointi

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tietosuoja-asetus Immo Aakkula Arkistointi

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Juha Lavapuro Lausunto

7 Poliisin henkilötietolaki 50

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

LAUSUNTO Dnro 5935/96/2018

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

LAUSUNTO OM 198/43/2015

EU:n satamapalveluasetuksen valvonta ja muutoksenhaku

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Juha Lavapuro Kirjallinen lausunto

HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

Lausunto Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

Hallituksen esitys laiksi tulotietojärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 134/2017 vp)

Juha Lavapuro Lausunto

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

3. HE 236/2002 vp laeiksi väestötietolain ja henkilökorttilain muuttamisesta. Kuultavina: puheenjohtaja Erkki Hartikainen, Vapaa-ajattelijain Liitto

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

Laki yksityisyyden suojasta työelämässä

PÄÄASIALLINEN SISÄLTÖ

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Hallituksen esitys eduskunnalle hankintamenettelyä koskevaksi lainsäädännöksi (HE 108/2016 vp)

Talousvaliokunta klo 11:20

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Juha Lavapuro Lausunto. Asia: Hallituksen esitys HE 72/2017 vp eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä

Lausunto eduskunnan perustuslakivaliokunnalle hallituksen esityksestä eduskunnalle laiksi työttömyysturvalain muuttamisesta (HE 5/2015 vp)

Lausunto Hallituksen esityksestä eduskunnalle säteilylaiksi ja eräiksi siihen liittyviksi laeiksi (HE 28/2018 vp)

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Olli Mäenpää Perustuslakivaliokunnalle

Lausuntopyyntö /41/2016

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

Tietosuoja-asetus ja -laki

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

HE 147/2017 vp YKSITYISTIELAIKSI JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI

Työelämän tietosuojalaki Johanna Ylitepsa

Eduskunnan perustuslakivaliokunnalle

PERUSTUSLAKIVALIOKUNNAN MIETINTÖ 11/2012 vp

1993 vp - HE 78 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

TIETOSUOJAVALTUUTETUN TOIMISTO

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

HE 44/1997 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Henkilötietojen käsittely Tullissa (HE 259/18 vp)

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

1. Arvionne lukuun 1 Johdanto

Janne Salminen Kirjallinen lausunto. Perustuslakivaliokunnalle

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Laki. EDUSKUNNAN VASTAUS 27/2011 vp. Hallituksen esitys rajat ylittävän yhteistyön tehostamisesta

HE 193/1996 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

TIETOSUOJAVALTUUTETUN TOIMISTO

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Transkriptio:

Veli-Pekka Viljanen HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI Eduskunnan perustuslakivaliokunta 21.3.2018 1. Yleistä Hallituksen esityksessä ehdotetaan säädettäväksi tietosuojalaki, joka täydentäisi ja täsmentäisi Euroopan unionin yleistä tietosuoja-asetusta (jälj. tietosuoja-asetus). Laki ei muodostaisi itsenäistä ja kattava sääntelykokonaisuutta, vaan tulisi sovellettavaksi rinnakkain tietosuoja-asetuksen kanssa. Osittain laissa olisi kyse tietosuoja-asetuksen mahdollistaman kansallisen harkintamarginaalin käyttämisestä. 2. Valvontaviranomainen Tietosuojalakiehdotuksen 8 :n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä tietosuojavaltuutettu. Tietosuojavaltuutetun asema tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena muuttaa olennaisesti valtuutetun nykyistä tehtäväkenttää ja lisää merkittävästi hänen toimivaltuuksiaan. Tietosuoja-asetuksen 58 artiklassa säädetään valvontaviranomaisen toimivaltuuksista, jotka ovat hyvin merkittävästi laajemmat kuin tietosuojavaltuutetulla on nykyisen lainsäädännön perusteella. Erityisesti on syytä mainita 58 artiklan 2 i) kohdan säännös, jonka mukaan valvontaviranomaisella on toimivaltuus määrätä 83 artiklan nojalla hallinnollinen sakko. Tietosuojaasetuksen 83 artiklan 4 kohdan mukaan hallinnollisen sakon enimmäismäärä on rikkomuksesta riippuen joko 10 miljoonaa tai 20 miljoonaa euroa taikka 2 tai 4 prosenttia yrityksen maailmanlaajuisesta kokonaisliikevaihdosta. Kyse on suomalaisessa järjestelmässä täysin uudenlaisesta tilanteesta. Valvontaviranomainen eli Suomessa tietosuojavaltuutettu siis yksittäinen virkamies voi määrätä itsenäisesti erittäin

2 korkean hallinnollisen seuraamusmaksun tietosuoja-asetuksen säännösten rikkomisesta. Vertailun vuoksi voidaan todeta, että esimerkiksi kilpailulain (948/2011) mukaisesta hallinnollisesta seuraamusmaksusta päättää riippumaton tuomioistuin, markkinaoikeus, mikä ratkaisu jo itsessään sisältää olennaisesti hallinnollista menettelyä vahvemmat menettelylliset oikeusturvatakeet. Tietosuoja-asetuksen 58 artiklan 4 kohdan mukaan valvontaviranomaiselle kyseisen artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti. Asetuksen 83 artiklan 8 kohdan mukaan valvontaviranomaisen kyseisen artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaisia prosesseja. Tietosuoja-asetus siis itse asiassa edellyttää, että jäsenvaltion lainsäädännössä osaltaan huolehditaan riittävistä oikeusturvatakeista ja prosessisääntelystä hallinnollisen seuraamusmaksun osalta. Tältä osin lakiehdotuksen sääntely on kuitenkin kovin vajavaista. Varsinaisesti tietosuojavaltuutetun päätöksentekoa koskee vain 15 :n säännös, jonka mukaan tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Kun jatkossa tietosuojavaltuutetun toimivaltaan kuuluu jopa miljoonien eurojen hallinnollisen seuraamusmaksun määrääminen, ei valtuutetun päätöksentekomenettelyn sääntelyä lakiehdotuksessa voi pitää mitenkään riittävänä. Hallituksen esityksen perusteluissa todetaan, että tietosuojavaltuutetun toimiston valtuuksien käyttöön ja toimintaan sovellettaisiin yleistä hallinto-oikeudellista sääntelyä, jolloin sovellettavaksi tulisivat esimerkiksi hallintolain 5 luvun sisältämät asian käsittelyä koskevat yleiset vaatimukset ja 6 luvun säännökset asian selvittämisestä ja asianosaisen kuulemisesta (ks. HE, s. 56). Hallituksen esityksessä katsotaan siten, että menettelyllinen oikeusturva hallinnollisen seuraamusmaksun määräämisessä toteutuisi pelkästään soveltamalla kaikkia hallintoasioita koskevaa yleishallinnollista lainsäädäntöä, vaikka oikeusturvaintressi hallinnollisen seuraamusmaksun osalta on aivan eri luokkaa kuin tavanomaisissa hallintoasioissa ottaen huomioon seuraamusmaksun sanktioluonteen ja ankaruuden. Vertailun vuoksi voidaan mainita, että kilpailuoikeuden alueella markkinaoikeus määrää seuraamusmaksun lailla tarkasti säännellyssä ja kattavat oikeusturvatakeet sisältävässä menettelyssä (ks. kilpailulaki, 948/2011; laki markkinaoikeudesta, 99/2013 ja laki oikeudenkäynnistä markkinaoikeudessa; 100/2013).

3 Se seikka, että tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään (23 ), ei voi sellaisenaan poistaa tarvetta säätää riittävistä oikeusturvatakeista ja menettelysääntelystä myös koskien ensi vaiheen hallinnollista päätöksentekoa. Katson, että perustuslain 21 oikeusturvaperusoikeus edellyttää tältä osin, että tietosuojavaltuutetun menettelyä erityisesti hallinnollisen seuraamusmaksun määräämisessä olennaisesti täsmennetään ja siihen sisällytetään muutoksenhakumenettelyn lisäksi riittävät menettelylliset oikeusturvatakeet ottaen huomioon hallinnollisen seuraamusmaksun luonne ja merkitys tietosuoja-asetuksen mukaisessa järjestelmässä. Oikeusturvatakeiden tarvetta korostaa myös se, että tietosuoja-asetus ei tarkemmin määrittele, minkä suuruisena seuraamusmaksu kussakin tilanteessa tulee määrätä. Asetuksessa asetetaan ainoastaan maksun hyvin korkeat ylärajat ja luetellaan erilaisia tekijöitä, jotka tulee ottaa huomioon hallinnollisia sanktioita määrättäessä (83 artikla 2 kohta). Tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin. Lakiehdotuksen 25 :n 2 momenttiin sisältyykin säännös, jonka mukaan seuraamismaksua ei voitaisi määrätä siinä luetelluille viranomaisille. Pidän ratkaisua perusteltuna. Tietosuojavaltuutetun oikeus määrätä viranomaisille sanktiona seuraamusmaksuja sopii hyvin huonosti suomalaiseen julkisen hallinnon järjestelmään ja tekisi myös tietosuojavaltuutetun roolista ongelmallisen suhteessa koko viranomaisorganisaatioon. 3. Perusoikeuksien kollisiotilanteet Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltion on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Lakiehdotuksen 27 :ään on otettu tätä tarkoittavia erityissäännöksiä, joilla pyritään turvaamaan sananvapautta henkilötietojen käsittelyn yhteydessä. Tältä osin ehdotetut säännökset ovat paikoin tulkinnanvaraisia, eivätkä ne näin ollen ole riittävän täsmällisiä ja tarkkarajaisia, kun otetaan huomioon, että kyse on perusoikeuksien rajoittamisesta (sananvapauden rajoittamisesta henkilötietojen suojan tarkoituksessa ja päinvastoin). Esimerkiksi 2 momentin virke, jonka mukaan tietosuoja-asetuksen 44 50 artiklaa ei sovelleta, jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapau-

4 teen, on hyvin tulkinnanvarainen. Vastaavasti 3 momentissa säädettäisiin, että tietosuoja-asetuksen erinäisiä säännöksiä sovellettaisiin ainoastaan soveltuvin osin henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tätä tuskin voidaan pitää riittävän tarkkarajaisena sääntelynä perusoikeusyhteydessä. Tietosuoja-asetuksen 89 artiklassa säädetään muun muassa tieteellisiä ja historiallisia tutkimustarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista. Artiklan 2 kohdan mukaan kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää tietyistä poikkeuksista asetuksessa tarkoitettuihin oikeuksiin. Tästä ehdotetaan säädettäväksi 31 :ssä. Ehdotuksessa henkilötietojen suojaa rajoitetaan jossain määrin tieteen vapauden (PL 16 3 mom.) turvaamiseksi. Poikkeussääntely on siten hyvin perusteltu. Pykälän 31 :n 3 momentin mukaan poikkeaminen edellyttäisi tietosuoja-asetuksen 35 artiklan mukaisen vaikutusarvioinnin laatimista ja sen toimittamista etukäteen tietosuojavaltuutetulle, jos siinä käsitellään tietosuoja-asetuksen 9 artiklan 1 kohdassa tai 10 artiklassa tarkoitettuja henkilötietoja. Vaikutusten arviointi liittyy tietosuoja-asetuksessa ns. korkean riskin tilanteisiin (etenkin uutta teknologiaa käytettäessä). Sen ulottaminen koskemaan tieteellistä tutkimusta yleisemminkin esimerkiksi historialliseen tutkimukseen voi liittyä täysin säännönmukaisesti sellaisten henkilötietojen käsittely, joista ilmenee henkilön poliittisia mielipiteitä tai uskonnollinen vakaumus. Tietosuojavaltuutetulle toimitettavan vaikutusten arvioinnin pakollinen liittäminen tällaiseen tutkimukseen puuttuu perustuslain 16 :n 3 momentissa turvattuun tieteen vapauteen tavalla, joka voi olla ongelmallinen perusoikeusrajoituksen suhteellisuusvaatimuksen kannalta. Käsitykseni mukaan tietosuoja-asetus ei edellytä tällaista vaikutusten arviointia tällaisessa asetelmassa. 4. Perustuslain 10 :n 1 momentin tulkintalinjan muuttaminen Asiantuntijapyynnössä perustuslakivaliokunta on pyytänyt minulta myös käsitystä siitä, aiheuttaako EU:n yleinen tietosuoja-asetus tarpeen arvioida uudelleen valiokunnan käytännön vakiintuneita, perustuslain 10 :ään kiinnittyviä henkilötietojen käsittelyä koskevia kantoja. Ja jos näin on, miten lainsäädännön valtiosääntöisen arvioinnin perusteita tulisi muuttaa ja onko se tässä yhteydessä mahdollista.

5 Perustuslain 10 :n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta on vakiintuneesti katsonut, että liikkumavaraa rajoittaa tämän säännöksen lisäksi se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin (ks. esim. PeVL 2/2018 vp, s. 5). Tähän perustuslaillisen arvioinnin lähtökohtaan ei aiheudu muutosta sen vuoksi, että EU:n yleinen tietosuoja-asetus tulee sovellettavaksi 25.5.2018. Tietosuoja-asetus tosin muuttaa sääntelyasetelmaa sen vuoksi, että kyse on suoraan sovellettavasta Euroopan unionin säädöksestä, joka sellaisena nauttii EU-oikeuden näkökulmasta unionin oikeuden etusijaa suhteessa kansalliseen lainsäädäntöön. Asetus rajaa jatkossa olennaisesti sitä, mistä asioista henkilötietojen suojan osalta voidaan kansallisesti säätää. Henkilötietojen suojan osalta on syytä myös korostaa, ettei tietosuoja-asetus sellaisenaan sisällä säännöksiä, jotka olisivat sisällöllisesti ongelmallisia perustuslain 10 :n 1 momentin ja sitä tarkentavan perustuslakivaliokunnan käytännön näkökulmasta, kuten perustuslakivaliokunta asetuksen valmisteluvaiheessa on todennut (PeVL 12/2012 vp, s. 3). Perustuslakivaliokunta on käytännössään pitänyt henkilötietojen kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Lisäksi valiokunta on korostanut, että näiden seikkojen sääntelyn tulee lain tasolla olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 2/2018 vp, s. 5). Valiokunta on uudemmassa käytännössään jo katsonut, ettei estettä ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltakin osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (esim. PeVL 49/2017 vp, s. 2-3). Euroopan unionin yleisen tietosuojalain tullessa sovellettavaksi voidaan mielestäni katsoa, että asetuksen soveltamisalalla henkilötietojen suojaan liittyvät perustuslakivaliokunnan käytännössä luetellut henkilötietojen kannalta tärkeät sääntelykohteet on riittävällä yksityiskohtaisuudella ja kattavuudella määritelty suoraan EU:n yleisen tietosuoja-asetuksen ja käsiteltävänä olevan tietosuojalain muodostamassa kokonaisuudessa. Näin ollen vastaisuudessa ei enää ole tarpeen kiinnittää yksittäisen lainsäädäntöhankkeen osalta huomiota lakitasoisen sääntelyn kattavuuteen, jos on kyse henkilötietojen käsittelystä tietosuoja-asetuksen soveltamisalalla. Perustuslakivaliokunta on vakiintuneesti arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä, minkä johdosta

6 valiokunta on arvioinut esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista perusoikeuksien yleisten rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden kannalta (ks. esim. PeVL 49/2017 vp, s. 3). Tältä osin on huomattava, että tietosuojaasetuksen 9 ja 10 artikla asettavat merkittäviä rajoja ylipäätään tällaisten tietojen käsittelylle. Kyseiset säännökset ovat samansuuntaisia kuin mitä voidaan johtaa perustuslain 10 :n yksityiselämän suojasta. Perustuslain yleisillä rajoitusedellytyksillä on kuitenkin edelleen merkitystä arvioitaessa esimerkiksi 9 artiklan mahdollistamia kansallisia poikkeuksista arkaluonteisten tietojen käsittelykiellosta (esim. 9 artiklan 2 g 2 j kohdat). Kansallinen tietosuoja-asetusta täydentävä lainsäädäntö on tarpeellista henkilötietojen käsittelyn perustuessa rekisterinpitäjän lakisääteiseen velvoitteeseen (6 artiklan 1 c kohta) tai silloin, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 e kohta) (ks. HE, s. 35). Käytännössä julkisten viranomaisten pitämät henkilörekisterit perustuvat näihin artiklan kohtiin ja edellyttävät siis kansallista lainsäädäntöä. Tietosuoja-asetus ei nimenomaisesti määrittele, millä edellytyksin julkinen viranomainen voi luovuttaa tietoja ylläpitämistään rekistereistä muille viranomaisille tai ylipäätään ulkopuolisille. Tietojen luovuttaminen tosin sisältyy henkilötietojen käsittelyn määritelmään (4 artikla 2 kohta). Asetuksesta voidaan johtaa vaatimus, että tietoja voidaan luovuttaa vain sellaisille tahoille, joilla on itsellään oikeus käsitellä henkilötietoja, ja sellaista tarkoitusta varten, joka täyttää käsittelyn lainmukaisuuden vaatimuksen. Kuitenkin perustuslain 10 :llä on edelleen merkitystä arvioitaessa sitä, kenelle julkisen viranomaisen hallussa olevia henkilötietoja voidaan luovuttaa sekä missä laajuudessa ja mitä tarkoitusta varten. Perustuslakivaliokunta on tietojen saamista ja luovuttamista koskevaa sääntelyä perustuslain 10 :n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta arvioidessaan kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen (ks. esim. PeVL 19/2012 vp, s. 3-5). Käsitykseni mukaan tietosuoja-asetuksen sovellettavaksi tuleminen ei itsessään aiheuta välttämätöntä muutostarvetta tähän valiokunnan käytäntöön. Viranomaisilla olevien tietojen luovuttaminen edellyttää näet vastaisuudessakin nimenomaista perustaa kansallisessa lainsäädännössä. Tosin valiokunnan ponsikäytäntöä välttämätön/tarpeellinen dikotomian osalta voidaan ehkä muutoin arvostella perusoikeussuojan näennäisyyden näkökulmasta, erityisesti kun kyseinen käytäntö on ollut viime vuosina usein syynä valiokunnan ponteen viemiin valtiosääntöoikeudellisiin huomautuksiin (esim. vuoden 2016 valtiopäivillä seitsemään perustuslakivaliokunnan lausuntoon sisältyi ponteen viety valtiosääntöoikeudellinen

7 huomautus, joka koski henkilötietojen suojan huomioon ottamista tietojen luovuttamisen yhteydessä). Kun tietosuoja-asetuksen sovellettavaksi tuleminen muuttaa olennaisesti henkilötietojen suojan säädösympäristöä, pidän perusteltuna, että valiokunta nyt käsiteltävänä olevasta hallituksen esityksestä antamassaan lausunnossa tarkastelee yleisellä tasolla myös edellä kuvattuja mahdollisia muutostarpeita perustuslakivaliokunnan käytännössä muotoutuneeseen perustuslain 10 :n henkilötietojen suojaa koskevaan valtiosääntöoikeudelliseen doktriiniin. 5. Lopuksi Hallituksen esitys on annettu eduskunnalle 1.3.2018. Lakiehdotusten voimaantulosäännösten mukaisesti lait on tarkoitettu tulemaan voimaan 25.5.2018 eli samaan aikaan, kun yleinen tietosuoja-asetus tulee sovellettavaksi. Ensimmäisen lakiehdotuksen 2 :n 2 momentin mukaan lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa. Kyseistä lakia koskevaa hallituksen esitystä ei ole toistaiseksi (tilanne 21.3.2018) annettu eduskunnalle. Ensimmäisen lakiehdotuksen 37 :n mukaan lailla kumottaisiin voimassa oleva henkilötietolaki (523/1999). Kyseiseen lakiin viitataan lukuisissa voimassa olevissa laeissa (esim. laki henkilötietojen käsittelystä poliisitoimessa, 761/2003; laki henkilötietojen käsittelystä Tullissa, 639/2015; laki henkilötietojen käsittelystä rajavartiolaitoksessa, 579/2005; tilastolaki, 280/2004). Osittain kyse on informatiivisista viittauksista, mutta osittain kyse voi olla myös itsenäistä oikeudellista merkitystä omaavista viittauksista. Hallituksen esitykseen ei sisälly lakiehdotuksia kyseisten viittaussäännösten muuttamisesta. Käsiteltävänä olevaan hallituksen esitykseen sisältyy periaatteellista merkitystä omaavia kysymyksiä, jotka edellyttäisivät, että eduskunnalla olisi riittävät mahdollisuudet perusteellisesti perehtyä niihin. Käytettävissä olevan aikataulun puitteissa tämä on hyvin hankalaa, etenkin, kun osa tietosuojapakettiin sisältyvistä lakiehdotuksista on vielä kokonaan antamatta eduskunnalle. Asetelma on erikoinen senkin vuoksi, että yleinen tietosuoja-asetus on hyväksytty jo

8 27.4.2016 ja sen sisältö on siten ollut hallituksen tiedossa jo pitkään. Mielestäni perustuslakivaliokunnan olisi syytä vastaisen varalle kiinnittää kriittisesti huomiota eduskunnalle jätettyyn liian kireään aikatauluun, joka vaarantaa esityksen perusteellisen eduskuntakäsittelyn.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute