HE 9/2018 VP HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA- ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI

Samankaltaiset tiedostot
1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Kansallinen tietosuojalaki

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Tietosuoja-asetus ja sen kansallinen implementointi

TIETOSUOJAVALTUUTETUN TOIMISTO

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

TIETOSUOJAVALTUUTETUN TOIMISTO Seuraamusjärjestelmä

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuoja-asetus Immo Aakkula Arkistointi

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojavaltuutetun toimiston tietoisku

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

LAUSUNTO OM 198/43/2015

Ajankohtaista tietosuoja-asetuksesta

Lausunto Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

1 luku. Yleiset säännökset. 2 luku. Käsittelyn oikeusperuste eräissä tapauksissa. Nokia Oyj. Lausunto Asia: 1/41/2016.

LAUSUNTO Dnro 5935/96/2018

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ

HE 23/2007 vp. Esityksessä ehdotetaan muutettavaksi sosiaali- ja terveydenhuollon asiakastietojen sähköisestä

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

1 luku. Yleiset säännökset. Pekka Kankkunen. Lausunto Asia: 1/41/2016. Yleiset kommentit

Ajankohtaista TSV:ltä. Camilla Ekberg

PÄÄASIALLINEN SISÄLTÖ

Lausuntopyyntö /41/2016

Vaikutustenarviointi GDPR:n mukaan

Lausunto. Arkistolaissa on myös säännökset siitä miten ja millä edellytyksillä Kansallisarkisto ottaa vastaan yksityisiä arkistoja.

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Haminan tietosuojapolitiikka

MITÄ MUUTOKSIA UUSI KANSALLINEN TIETOSUOJALAKI TUO KÄYTÄNNÖSSÄ?

DLP ratkaisut vs. työelämän tietosuoja

1 luku. Yleiset säännökset. Elinkeinoelämän keskusliitto EK. Lausunto Asia: 1/41/2016. Yleiset kommentit

1994 ~ - HE 113 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ YLEISPERUSTELUT

EU TIETOSUOJA- ASETUS

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

EU:N UUSI TIETOSUOJA- ASETUS

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

1 luku. Yleiset säännökset. Helsingin kaupunki, Kaupunginkanslia. Lausunto HEL Asia: 1/41/2016.

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Helsingin kaupunki Pöytäkirja 1 (8)

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Eduskunnan lakivaliokunnalle

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

DSM-EHDOTUS. U 68/2016 vp. Valtioneuvoston kirjelmä eduskunnalle DSM-uudistusehdotuksesta Liikenne- ja viestintävaliokunta 17.2.

Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamiseksi

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Eläketurvakeskuksen tietosuojapolitiikka

Valtiollisten tehtävien jaosta ja ylimpien laillisuusvalvojien rooleista

Talousvaliokunnalle. Asia: HE 206/2017 vp, rangaistussäännöstä koskeva lisäselvitys

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON ASETUS,

LAUSUNTOPYYNTÖKYSELY HALLITUKSEN ESITYSLUONNOKSESTA LAIKSI SOSIAALI- JA TERVEYSPALVELUJEN TUOTTAMISESTA

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

HE 63/2018 vp. Hallituksen esitys eduskunnalle laiksi EU-ympäristömerkistä annetun lain muuttamisesta

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

1 luku. Yleiset säännökset. Musiikkiarkisto. Lausunto Asia: 1/41/2016. Yleiset kommentit

EU:n satamapalveluasetuksen valvonta ja muutoksenhaku

Varustekorttirekisteri - Tietosuojaseloste

Eduskunnan lakivaliokunnalle

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

Tietosuojaseloste 1 (6)

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Transkriptio:

Asianajaja Jukka Lång +358 9 681 70118 jukka.lang@dittmar.fi LAUSUNTO 21.3.2018 Eduskunnan lakivaliokunnalle HE 9/2018 VP HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA- ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI Suomen Asianajajaliiton puolesta esitän tietosuojalakia ja siihen liittyvää lainsäädäntöä koskevan hallituksen esityksen johdosta kunnioittaen seuraavan. Yleisesti EU:n yleinen tietosuoja-asetus ("tietosuoja-asetus") on vaikuttavuudeltaan poikkeuksellisen laaja-alaista ja merkittävää sääntelyä, jolle ensisijaisen tarpeen ovat luoneet teknologinen kehitys, palveluiden digitalisaatio sekä liiketoimintaympäristön muutos. Tietosuoja-asetuksen keskeisiin tavoitteisiin kuuluu EU:n jäsenvaltioiden lainsäädännön harmonisaatio, jonka varassa globaalissa taloudellisessa kilpailuasetelmassa välttämättömät tehokkaat digitaaliset sisämarkkinat voivat kehittyä. Yksilöiden perusoikeuksien mukaisen tietosuojan toteutuminen on tässä kehityksessä ensiarvoisen tärkeää, ja tätä tavoitetta tietosuoja-asetus yksityisen ja julkisen sektorin organisaatioille tuomine laajamittaisine velvoitteineen on omiaan tukemaan.

2 (9) Harmonisaation toteutumisen näkökulmasta jokaisen jäsenvaltion tulisi pyrkiä käyttämään tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa mahdollisimman maltillisesti ja ennen kaikkea pyrkien välttämään asetelmaa, jossa kansalliset erityispiirteet saattaisivat Suomen, digitaalisia palveluita käyttävät Suomen kansalaiset tai suomalaisen elinkeinoelämän epäedullisempaan asemaan muihin EUjäsenvaltioihin verrattuina. 1 Tietosuojalaissa hyödynnettävän kansallisen liikkumavaran käytön lähtökohdaksi on hallituksen esityksessä todettu otetun nykytilan säilyttäminen mahdollisimman laajasti (s. 52). Tätä lähtökohtaa voidaan puoltaa siltä osin, kun se ehdotettavalla tavalla vahvistaa nykylainsäädännön ja sen vakiintuneiden tulkintakäytäntöjen mahdollistamat tietojenkäsittelytilanteet, mutta ei johda ristiriitaan tietosuoja-asetuksen kanssa. 2 Yllä todetut lähtökohdat huomioon ottaen, ja keskittyen erityisesti asiantuntijapyynnössä lausunnolle määriteltynä teemana seuraamusjärjestelmään, tulisi hallituksen esityksessä kiinnittää huomiota seuraaviin muutoksia edellyttäviin seikkoihin. Muutoksia edellyttävät seikat (1) Viranomaisten ja julkishallinnon elimien vapauttaminen tietosuoja-asetuksen hallinnollisista seuraamusmaksuriskistä ei ole perusteltua. Tietosuoja-asetuksen 83 artiklan määrittelemä sakkoriski on keskeinen osa tietosuoja-asetuksen sääntelyjärjestelmää. Tietosuoja-asetusta säädettäessä huomattavan taloudellisen sanktion (jopa 20.000.000 euroa tai, yrityksen kohdalla, 4 % sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi) tarkoituksena on ollut vahvistaa sääntelyn vaikuttavuutta, ja varmistaa, että kussakin yksittäisessä tapauksessa valvovalla viranomaisella on käytettävissään sanktio, joka tekee valvon- 1 Ks. liikenne- ja viestintäministeriön julkaisu Maailman luotetuinta digitaalista liiketoimintaa. Työryhmän ehdotus Suomen tietoturvallisuusstrategiaksi (11.8.2016), s. 5, tavoitteet: "Lainsäädäntö luo edellytykset siihen, että Suomessa voidaan harjoittaa mahdollisimman kilpailukyistä liiketoimintaa. Suomi on houkutteleva kohde datan käsittelyyn ja hyödyntämiseen perustuville investoinneille. Suomi erottuu edukseen luotettavana sijoittautumispaikkana digitaalisuutta hyödyntäville yrittäjille. [ ] Valmisteltaessa EU:n tietosuoja-asetuksen edellyttämiä muutoksia kansalliseen sääntelyyn pyritään olemaan lisäämättä yrityksille kilpailukykyä haittaavaa ylimääräistä taakkaa.". 2 Oikeusministeriön EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) loppumietintö (8.3.2018), s. 38, johtopäätökset: "Asetusta täsmentävää tai täydentävää kansallista sääntelyä voi olla vain siinä määrin kuin asetus siihen valtuuttaa. Kansallisella liikkumavaralla tarkoitetaan tätä asetuksen kansalliselle lainsäätäjälle jättämää harkintamarginaalia. Kansallisen liikkumavaran käyttö on aina perusteltava ja sen on oltava tarpeen yleisen tietosuoja-asetuksen ja ehdotetun tietosuojalain täydentämiseksi. Tarvetta on arvioitava kansallisten näkökohtien lisäksi yleisen tietosuoja-asetuksen tavoitteiden toteutumisen kannalta."

3 (9) nasta 83 artiklan 1 kohdan mukaisesti tehokasta, oikeasuhteista ja varoittavaa. Niissä jäsenvaltioissa, joissa tietosuojaviranomaisella on jo tietosuojaasetusta edeltävän kansallisen tietosuojasääntelyn nojalla ollut käytettävissään hallinnollisen seuraamusmaksun mahdollistama toimivalta, on tästä sanktiotoimivallan harkitusta käytöstä muodostunut vaikuttavuudeltaan tehokkain valvonnan keino. Sanktioita on myös kohdistettu ja kohdistetaan yhtä lailla tietosuojavelvoitteitaan laiminlyöneisiin yksityisen kuin julkisenkin sektorin toimijoihin. 3 Ehdotettu 25 2 momentti kuitenkin jättäisi tietyt viranomaiset ja julkishallinnon elimet hallinnollisen seuraamusmaksun mahdollisten kohteiden piirin ulkopuolelle. Syitä, joiden johdosta Suomen ei tulisi saattaa yksityisen ja julkisen sektorin toimijoita sakkoriskin osalta eriarvoiseen asemaan, ovat muun muassa: (i) (ii) (iii) On kyseenalaista, tulisivatko hallinnollisen seuraamusmaksun sijasta hallituksen esityksessä sanktiokeinona kuvatut rikosoikeudellinen virkavastuu ja uhkasakkoon täyttämään tietosuojaasetuksen rekisteröityjen oikeusturvan suojaksi edellyttämän tehokkaan, oikeasuhteisen ja varoittavan seuraamusjärjestelmän vaatimuksen. Rikosoikeudellinen virkavastuu suhteutuu rinnakkaisena ja vaihtoehtoisena sanktiokeinona erittäin huonosti hallinnolliseen seuraamusmaksuun: rikosoikeudellisen vastuun langettamisesta voi päättää vain tuomioistuin, eli eri viranomainen; sen kohteena olisi aina yksilö, ei organisaatio, mikä voisi johtaa yksilön kannalta kohtuuttomaan tilanteeseen; ja rikosoikeudellisen vastuun toteutumiskynnys on näyttö- ja lakimääräisistä vaatimuksista johtuen huomattavasti korkeampi kuin tietosuojavaltuutetun langettaman hallinnollisen seuraamusmaksun. Viranomaisten budjettirahoituksen niukkuus ei saa johtaa siihen, että kansalaisten henkilötietojen käsittelyä sekä tietojärjestelmiä ei tulla kehittämään tietosuojavaatimusten mukaisiksi. Sanktion olemassaolo luo organisaatioille välittömästi hahmottuvan investointien vaihtoehtoiskustannuksen, mikä on ollut tietosuoja-asetuksen sääntelyn taustalähtökohtana. 3 Esimerkiksi Yhdistyneen kuningaskunnan tietosuojaviranomaisen Information Commissioner's Officen verkkosivuilla julkaistut tiedot valvontakäytännöstä, jonka mukaan julkisen sektorin tietosuojakäytäntöjä on ohjattu muun muassa paikallisille sairaanhoitopiireille ja viranomaisille kohdistetuilla 15.000 150.000 punnan suuruisilla hallinnollisilla seuraamusmaksuilla, https://ico.org.uk/action-weve-taken/enforcement/.

4 (9) (iv) (v) (vi) Ehdotus saattaisi julkisen ja yksityisen sektorin toimijat totaalisen eriarvoiseen asemaan suhteessa huomattavaan sanktioriskiin. Siltä osin, kun sote-uudistus johtaa asetelmaan, jossa yksityiset ja julkiset palveluntarjoajat tulevat kilpailemaan samoilla markkinoilla terveyden- ja sosiaalihuollon palveluiden tuottamisesta ja tarjoamisesta, ovat yksityisen sektorin toimijat tässä kilpailuasetelmassa eriarvoisessa asemassa. Tämä aiheutuu jo siitä syystä, että rationaalisen markkinatoimijan tulisi laskea mahdollista huomattavaa sakkoa, vaikka hyvinkin epätodennäköistä sellaista, koskeva riskivaraus, millä on tyypillisesti välitön vaikutus palveluiden hinnoitteluun (jota vastaavalla julkisen sektorin toimijalla ei olisi, vaikka molemmat tahot käsittelisivät samoja potilastietoja tietojärjestelmissään). Tilanteissa, joissa valtio, kunta tai muu viranomainen käytännössä hyvin tavanomaisella tavalla on ulkoistanut tietojen käsittelytoimintojaan yksityisen sektorin yritykselle, syntyy toimijoihin vaikuttava seuraamusjärjestelmän eriytyminen. Jos mainittu toimintojaan ulkoistanut viranomainen tulee laiminlyöneeksi tietosuoja-asetuksesta seuraavat velvoitteensa ohjeistaa, seurata ja valvoa tietojenkäsittelyä, syntyy asetelma, jossa tietosuojavaltuutettu valvovana viranomaisena voisi kohdistaa sanktiotoimivaltaansa vain esimerkiksi palvelun toteuttamiseen osallistuneen teknisen virheen tehneen yksittäisen työntekijän työnantajayritykseen. Samanaikaisesti ulkoistuksen toteuttaneen viranomaisen ylin johto voisi päätyä rikostutkinnan kohteeksi. Vaikka yksittäisen virkamiehen rikosvastuun toteutumiskynnys onkin edellä todetulla tavalla korkea, ei ole tarkoituksenmukaista, että sama vahinkotapahtuma johtaisi kahteen totaalisesti toisistaan poikkeavaan ja erilliseen prosessiin, jossa asian käsittely jo tutkintavaiheesta alkaen olisi eriytynyttä ja siten myös tehottomampaa. Jos kyseessä olisi yksityisen sektorin ulkoistus, tietosuojavaltuutettu olisi molempien organisaatioiden laiminlyöntejä tutkiva ja vastuuta arvioiva viranomainen, ja asia voitaisiin käsitellä yhtenä hallintoasiana. Toistaiseksi ei käsittääkseni ole tiedossa, että yksikään toinen Suomen kanssa vastaavassa asemassa oleva EU-jäsenvaltio päätyisi käyttämään kansallista harkintavaltaa asiassa. 4 On ris- 4 Tietosuoja-asetuksen resitaalissa 151 kautta ilmenee kansallisen liikkumavaran taustalla oleva keskeinen syy: "Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia sakkoja. Hallinnollisia sakkoja koskevia sääntöjä voi soveltaa niin, että Tanskassa sakon määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa sakon määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Toimivaltaisten kansallisten tuomioistuinten olisi siksi otettava huomioon sakon määräävän valvontaviranomaisen antama suositus. Määrättävien sakkojen pitäisi joka tapauksessa olla tehokkaita, oikeasuhteisia ja varoittavia."

5 (9) kinä, että hallinnollisen seuraamusmaksun mahdollisuuden poistava Suomen ratkaisun asetuksenmukaisuus päätyisi arvioitavaksi EU-tasolla. Hallituksen esityksen perustelut (s. 105 106) ovat ehdotetun viranomaisten ja julkishallinnon elimien vapauttamisen osalta ylimalkaiset eivätkä ota kantaa useimpiin edellä esitettyihin kyseisestä sääntelyratkaisusta seuraaviin ongelmiin. (2) Siinä tapauksessa, että hallinnollista seuraamusmaksuriskiä koskeva kansallinen poikkeus päädyttäisiin tekemään, tietosuojalaissa olisi täsmennettävä, mitkä organisaatiot kuuluvat sen piiriin. Kun hallinnollista seuraamusmaksua ei ehdotetun 25 mukaan voitaisi määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Hallituksen esityksen yksityiskohtaisten perustelujen (s. 105) mukaan hallinnollista seuraamusmaksua ei voitaisi määrätä hallintolain 2 :ssä tarkoitetulle viranomaisille eikä valtion liikelaitoksille, ja itsenäiseksi julkisoikeudelliseksi laitokseksi katsottaisiin tässä yhteydessä myös yliopistolaitos. Poikkeuksen rajausperusteena hallituksen esityksessä viitataan kilpailuilla markkinoilla toimimiseen, minkä johdosta yleisnimikkeenä viitataan viranomaisiin. Mikä olisi edellä ehdotetun perustalta Asianajajaliiton asema? Suomen Asianajajaliitto on asianajajalakiin perustuva julkisoikeudellinen yhteisö. Miten tulkinta ja rajanveto toteutettaisiin suhteessa muihin määritelmän mukaisiin toimijoihin, joiden kohdalla hallituksen esityksen sanamuodosta ei suoraan käy ilmi kattaako soveltamisalan rajaus Asianajajaliiton. Jos Asianajajaliiton tai muiden siihen tässä suhteessa asemassaan vertautuvien julkisoikeudellisten yhteisöjen (kuten esimerkiksi Suomen Punainen Risti) kohdalla ei poikkeusta tehtäisi, mikä olisi peruste tälle rajanvedolle? Kun esimerkiksi vain rajattu osa henkilötietoja käsittelevää yliopistojen henkilöstöä on hallituksen esityksessä viitatun rikosoikeudellisen virkavastuun piirissä ja kun esimerkiksi henkilötietojen käsittelyssä tapahtuva virka-aseman väärinkäyttäminen tai virkavelvollisuuden rikkominen tai niiden törkeät tekomuodot (RL 40 luku, 7 10 ) eivät voi rangaistuksina kohdistua julkisyhteisöjen työntekijöihin, miten jäljelle jäävää seuraamusjärjestelmää voidaan pitää hallituksen esityksessä esitetyllä tavalla tarkoituksenmukaisena ja tehokkaana?

6 (9) Keskeistä asian arvioinnissa on ottaa huomioon, että rikosoikeudellinen virkavastuu on nykylain alla, hallituksen esityksessä ehdotettavaa huomattavasti laajempana kohdistunut virkamiehiin. Kuitenkaan sellaisia tuomioistuinratkaisuja, joissa organisaation ylimmän johdon olisi katsottu olevan vastuussa tietoturva- tai tietosuojavelvoitteiden käytäntöön saattamisen toteuttamisesta tai resursoinnin taikka valvonnan riittämättömyydestä ei ole Suomessa ainakaan yleisesti tiedossa yhtäkään. (3) Ehdotettu rikoslain 38 luvun 9 2 momentti ei täytä rikosoikeudelliselta sääntelyltä edellytettyä täsmällisyysvaatimusta. Hallituksen esityksessä ehdotetaan muutettavan rikoslain 38 luvun 9 momenttia supistamalla olennaisesti lainvastaisen henkilötietojen käsittelyn rikosoikeudellista rangaistavuutta (johtuen hallinnollisten seuraamusmaksujen käyttömahdollisuudesta). Ehdotettu muutos johtaa siihen, että sanktiojärjestelmän kohteeksi siirtyy väärin menetelleen tai velvollisuutensa laiminlyöneen yksilön sijaan se organisaatio, jonka toiminnassa tietosuoja-asetuksen rikkominen on tapahtunut. Tämä on perusteltu muutos, ja sen noudattaminen myös viranomaisten ja julkishallinnon elimien kohdalla olisi jo sanktiojärjestelmän eheyden kannalta perusteltua. Ehdotetun uuden rikoslain 38 luvun 9 2 momentti on kuitenkin muotoilu tavalla, joka luo merkittävää epävarmuutta rikosoikeudellisen vastuun ulottuvuudesta ja herättää kysymyksen mahdollisesta kaksoisrangaistavuudesta. Ehdotettu muotoilu "Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1 4 kohdassa tarkoitetussa säädöksessä [mukaan lukien tietosuoja-asetuksessa] säädetään henkilötietojen käsittelyn turvallisuudesta" sisältää seuraavat ongelmat: (i) (ii) Viittauksen piirissä on hyvin laaja sääntelynormisto, joka yksin tietosuoja-asetuksen kohdalla on määritelty merkittävää tulkinnanvaraa ja tapauskohtaista arviointia sisältävällä tavalla. 5 Viittaus on kohdistettu tietoturvavelvoitteisiin, joiden laiminlyömisen rangaistavuus voitaisiin kirjoittaa myös suoremmin rangaistavan teon tunnusmerkkeinä. 5 Tietosuoja-asetuksen 32 artiklan 1 kohdassa säädetään: "Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten [4-kohtainen luettelo harkinnanvaraisesti toteutettavista velvoitteista]".

7 (9) Ehdotusta arvioitaessa tulisi joko kohdistaa yksilön itsenäistä vastuuta koskeva rangaistavuus selkeämmin haluttuihin laiminlyönteihin, jotka hallituksen esityksessä on perusteluosuudessa nostettu esille (s. 125), tai poistaa kyseinen momentti rikosoikeudellisen sääntelyn epätäsmällisyyskiellon vastaisena. (4) Hallinnollisen seuraamusmaksun määräämistä koskeva prosessi kohdistaa merkittävästi valtaa yksin tietosuojavaltuutetulle eikä luo menettelyn piirissä oleville organisaatioille riittävän selkeitä oikeusturvatakeita. Hallituksen esityksen mukainen sanktiomenettely antaisi merkittävästi harkintavaltaa käytettäväksi hallintopäätöksessä, jonka yksittäinen virkamies (tietosuojavaltuutettu) olisi toimivaltainen yksin antamaan. Tämä päätös voisi olla sisällöllisesti esimerkiksi velvoittaa yrityksen tai yhteisön maksamaan miljoonasakkoja tai keskeyttämään kaiken asiakastietojensa käsittelyn liiketoiminnassaan. Oikeusministeriön EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) esitti 21.6.2017 julkaistussa mietinnössään, että tätä toimivaltaa perustettaisiin käyttämään kollegiaalisesti asioista päättävä seuraamuslautakunta, jonka tarkoituksena oli mietinnön mukaan toimia yhtenä oikeussuojakeinona sanktioita määrättäessä. Nyt ehdotettu johtaisi sinänsä tietosuoja-asetuksen mallin mukaisesti, mutta Suomessa poikkeuksellisella tavalla asian tutkinnan ja sanktiopäätöksen tekemisen keskittymiseen yhdelle virkamiestaholle, joka ei ole tuomioistuin. Hallintolain soveltuminen hallinnollisten sanktioiden määräämiseen tekee prosessista joustavaa, mutta edellyttää samalla, että toimivaltainen viranomainen järjestää ja pystyy resursoimaan tutkintatoimintonsa siten, että prosessiin kohdistuu riittävät hallintolain edellyttämät oikeusturvatakeet. Muutoksenhakua koskevan 23 2 momentin osalta olisi hallinnollisen seuraamusmaksun määräämistä koskevaan prosessiin liittyen myös arvioitava, tulisiko ehdotettu valitustie korkeimpaan hallinto-oikeuteen mahdollistaa ilman valitusluvan edellyttämistä erityisesti tietyn euromäärän ylittävien sakkojen (kuten esimerkiksi 1.000.000 euroa) osalta. Jos korkein hallinto-oikeus ei myöntäisi tällaisissa merkittävissä asioissa valituslupaa, jäisi taloudellisesti mahdollisesti hyvin merkittävien asioiden ratkaiseminen yksin tietosuojavaltuutetun ja yksittäisen, tietosuojalainsäädäntöä ja sen soveltamiskäytäntöä mahdollisesti vain heikosti tuntevan alemman hallintotuomioistuimen varaan.

8 (9) (5) Tieteellisiä tutkimustarkoituksia varten tapahtuvaan henkilötietojen käsittelyyn on ehdotettu liitettäväksi velvollisuus, jolla olisi Suomelle negatiivisia kilpailuvaikutuksia erityisesti heikentämällä Suomen houkuttelevuutta kansainvälisten yritysten tutkimustoimintojen sijoittautumisvaltiona. Hallituksen esityksessä ehdotetun 31 3 momentin osaksi on asetettu velvoite toimittaa tietosuoja-asetuksen velvoitteen nojalla organisaation tehtäväksi tuleva tietosuojaa koskeva vaikutustenarviointi tiedoksi tietosuojavaltuutetulle 30 päivää ennen käsittelyn aloittamista. Ehdotettu kansallinen lisävelvoite olisi poikkeus harmonisaatioon pyrkivästä lähtökohdasta ja aiheuttaisi tutkimustoimintaa harjoittaville organisaatioille merkittävän lisävelvoitteen, joka loisi epävarmuutta ja joustamattomuutta tutkimustoiminnan järjestämisessä ja erityisesti kansainvälisten tutkimusryhmien toiminnassa. Ehdotetulla velvoitteella ei myöskään todennäköisesti olisi rekisteröityjen tietosuojaa olennaisesti palvelevaa vaikutusta, sillä tietosuojavaltuutetun toimiston ei olisi tarkoituksenmukaista keskittää jo muutoin rajattuja resurssejaan tällaisten ilmoitusten määräajassa tapahtuvaan arvioimiseen. Jos ehdotettu velvoite tulisi voimaan, sillä olisi väistämättä vaikutusta siihen, kuinka houkuttelevaksi sijoittautumisvaltioksi Suomi koettaisiin esimerkiksi kansainvälisen lääkeyhtiön arvioidessa tutkimustoimintojensa sijoittamista eri valtioiden välillä. Muissa EUjäsenvaltioissa, joissa tietosuoja-asetusta muuten sovelletaan, ei vastaavaa velvoitetta tulisi olemaan. (6) Asianajajien toiminnan erityispiirteet tulisi huomioida nimenomaisesti kansallisessa lainsäädännössä. Asianajajan toimeksiantotyössä voidaan käsitellä henkilötietoja hyvinkin laajasti ja useimmiten asianajaja tai asianajotoimisto toimii näissä tilanteissa rekisterinpitäjänä. Asianajotoiminnassa tapahtuvan henkilötietojen käsittelyperuste voidaan useimmissa tapauksissa johtaa suoraan tietosuoja-asetuksen 6 artiklan määrittämistä käsittelyperusteista, sekä tietyin osin myös niitä täydentävistä ehdotetun 4 perusteista. Siltä osin kuin esimerkiksi viranomaisissa tapahtuvan tietojenkäsittelyn perusteita päädytään määrittämään tarkemmin (vaikka vain hallituksen esityksen perusteluissa), tulisi nimenomaisesti todeta myös asianajajakunnan oikeus kerätä, käsitellä ja säilyttää henkilötietoja toimeksiantotyössä silloin, kun se toimeksiannon hoitamisen kannalta on tarpeellista riippumatta siitä koskevatko tiedot päämiestä, vastapuolta

9 (9) tai sivullista. Tämän tarpeellisuusharkinnan suorittaa kunkin toimeksiannon vastuullinen asianajaja. Asianajajalain 5c asettaa asianajajille laajan salassapitovelvollisuuden: "Asianajaja tai hänen apulaisensa ei saa luvattomasti ilmaista sellaista yksityisen tai perheen salaisuutta taikka liike- tai ammattisalaisuutta, josta hän tehtävässään on saanut tiedon." Tietosuoja-asetus luo rekisteröidylle tiettyjä oikeuksia tarkastaa asianajajan hallussa olevat henkilötietonsa ja toisaalta vaikuttaa omien henkilötietojensa käsittelytoimiin. Rekisteröidyn tarkastusoikeus omiin tietoihinsa on hyvin laaja ja pyynnön esittäjällä on määritelty olevan oikeus saada kaikki itseään koskevat tiedot, jotka rekisterinpitäjältä hänestä löytyy. Käytännössä niinkään ongelmallista ei ole vastata oman päämiehen esittämään tarkastuspyyntöön, mutta jos toimeksiannon vastapuoli tai sivullinen henkilö esittää tämän kaltaisen pyynnön, on asianajajan monessa tilanteessa mahdotonta vastata siihen rikkomatta asianajosalaisuutta. Vaikka tietosuoja-asetuksen tulkinta uskoakseni mahdollistaa rekisteröidyn tarkastusoikeuden ja asianajosalaisuuden sovittamisen tulkintatilanteissa, tietosuojalaissa tai muussa kansallisessa lainsäädännössä tulisi varmistaa, että tietosuojalainsäädäntö ja sen asettamat velvollisuudet eivät ole ristiriidassa asianajajia koskevan erityissääntelyn kanssa. Lopuksi Edellä esille tuotuja ongelmakohtia lukuun ottamatta hallituksen esitystä voidaan pitää huolellisesti valmisteltuna ja todettuja tavoitteitaan perustellulla tavalla palvelevana.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute