TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Samankaltaiset tiedostot
TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

LAUSUNTO Dnro 5935/96/2018

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Kansallinen tietosuojalaki

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

EU:N UUSI TIETOSUOJA- ASETUS

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

EU:n tietosuoja-asetus ja tieteellinen tutkimus Toimistopäällikkö Heljä-Tuulia Ylitarkastaja Anna Hänninen

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä


Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Tietosuojavaltuutetun toimiston tietoisku

Työelämän tietosuojalaki Johanna Ylitepsa

Lausunto RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Talousvaliokunta klo 11:20

TIETOSUOJAVALTUUTETUN TOIMISTO

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Teknologia avusteiset palvelutverkostopalaveri

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Vaikutustenarviointi GDPR:n mukaan

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Valtiollisten tehtävien jaosta ja ylimpien laillisuusvalvojien rooleista

Tietosuoja-asetus Immo Aakkula Arkistointi

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Relipe Oy. Tilitoimiston asiakasrekisterin TIETOSUOJASELOSTE

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tietosuojavaltuutetun lausunto YLEINEN OSA

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

1 luku. Yleiset säännökset. 2 luku. Käsittelyn oikeusperuste eräissä tapauksissa. OP Ryhmä. Lausunto Asia: 1/41/2016.

Valinnanvapauslain mukainen kapitaatio ja rekisterinpitäjyys

Henkilötietojen käsittely Tullissa (HE 259/18 vp)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

1 luku. Yleiset säännökset. Elinkeinoelämän keskusliitto EK. Lausunto Asia: 1/41/2016. Yleiset kommentit

Euroopan unionin neuvosto Bryssel, 12. heinäkuuta 2016 (OR. en)

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

7 Poliisin henkilötietolaki 50

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI ULKOMAALAISLAIN MUUTTAMISESTA

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

IF-INFO MEKLAREILLE

Valtiovarainministeriö E-KIRJE VM RMO Jaakkola Miia(VM) VASTAANOTTAJA: Suuri valiokunta

TIETOSUOJAVALTUUTETUN TOIMISTO

Lausuntoyhteenveto 1 (9) VM003:00/ Rahoitusmarkkinaosasto

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1026/03/

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

TIETOSUOJAVALTUUTETUN TOIMISTO Seuraamusjärjestelmä

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tutkittavan informointi ja suostumus

Tiedon elinkaaren hallinta Henkilötietojen suoja

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Itsemääräämisoikeus ja yksityisyydensuoja

PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitysluonnos tieliikennelaiksi ja eräiksi siihen liittyviksi laeiksi

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto 2.3.2018 Valtiovarainministeriö Mia Aronen valtiovarainministeriö@vm.fi mia.aronen@vm.fi Viite: Valtiovarainministeriön lausuntopyyntö VM003:00/2018 Valtiovarainministeriö on pyytänyt tietosuojavaltuutetun toimiston lausuntoa luonnoksesta hallituksen esitykseksi eduskunnalle laiksi Finanssivalvonnasta annetun lain ja eräiden siihen liittyvien lakien muuttamisesta. Kiitän mahdollisuudesta lausua asiasta. Kiinnitän lausunnossani huomiota erityisesti EU:n yleisen tietosuoja-asetuksen (679/2016) kansallisen täsmentämisen kannalta relevantteihin seikkoihin. Yleistä tietosuoja-asetuksen kansallisen liikkumavaran käytöstä Tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä sekä julkisella että yksityisellä sektorilla. Tietosuoja-asetus jättää kuitenkin jäsenvaltioille eräissä asioissa kansallista liikkumavaraa, jolla tarkoitetaan asetuksen osoittamaa harkintamarginaalia, jonka puitteissa lainsäätäjän on mahdollista antaa tai pitää voimassa kansallista lainsäädäntöä. Kansallisen liikkumavaran käyttö on mahdollista ainoastaan silloin, kun se tietosuojaasetuksessa nimenomaisesti sallitaan. Kansallisen liikkumavaran käyttö on aina perusteltava ja sen on oltava tarpeen tietosuoja-asetuksen ja ehdotetun tietosuojalain täydentäiseksi. Tarvetta on arvioitava kansallisten näkökohtien lisäksi tietosuoja-asetuksen tavoitteiden toteutumisen kannalta. Eduskunnan perustuslakivaliokunta on lausunnossaan (PeVL 25/2005 vp) pitänyt tärkeänä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset. Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (esim. PeVL 26/2017 vp). Valiokunta on lisäksi kiinnittänyt huomiota tarpeeseen tarkoin selvittää lakiehdotuksen

TIETOSUOJAVALTUUTETUN TOIMISTO 2/7 yhteydessä tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain mahdollistama tai edellyttämä täydentävän erityissääntelyn tarve (PeVL 49/2017 vp). Laki luottolaitostoiminnasta annetun lain 15 luvun muuttamisesta 18 a Väärinkäytöksiin liittyvien henkilötietojen käsittely Luottolaitosten niin kutsuttuihin väärinkäytöksiin liittyvien henkilötietojen käsittely on perustunut tietosuojalautakunnan henkilötietolain (523/1999) 43 :n perusteella myöntämään lupaan (dnro 8/923/2003 ja myöhemmät muutokset). Tietosuojalautakunta on lupa-asiaa koskevassa päätöksessä katsonut, että väärinkäytöstiedot ovat rikollista tekoa koskevia tietoja (arkaluonteisia tietoja). Tietosuojalautakunta on voinut myöntää henkilötietolain 43 :n 2 momentin mukaisen luvan arkaluonteisten tietojen käsittelylle erittäin tärkeää yleistä etua koskevasta syystä. Tietosuoja-asetuksen 10 artiklassa säädetään rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Kyseisen artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Kansallisen liikkumavaran käytön tarpeellisuus Tietosuojavaltuutetun näkemyksen mukaan rikostuomioita ja rikkomuksiin liittyvien henkilötietojen käsittely ei tässä yhteydessä tapahdu tietosuoja-asetuksen 10 artiklassa edellyttämällä tavalla viranomaisen valvonnassa. Näin ollen käsittelystä tulisi säätää laissa. Tietosuojavaltuutettu yhtyy nk. TATTI-työryhmän mietinnössä (oikeusministeriön julkaisuja 35/2017 s.39) esitettyyn näkemykseen, ettei väärinkäytöstietoja koskevasta käsittelystä ole mielekästä säätää tietosuojaa koskevassa yleislaissa, koska sääntelyltä edellytetään tarkkarajaisuutta ja erityisiä suojatoimia. Tietosuojavaltuutettu pitää ehdotettuja säännöksiä tarpeellisina tietosuoja-asetuksen kansallisen liikkumavaran käytön kannalta, jotta rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja voitaisiin henkilötietolain kumoutumisen jälkeen käsitellä osana väärinkäytöksiin liittyvää henkilötietojen käsittelyä. Tietosuojalainsäädännön soveltamisala Tietosuojavaltuutettu kiinnittää huomiota siihen, että säännöksessä tulisi säätää henkilötietojen käsittelystä eikä rekisterin ylläpidosta. Tietosuoja-asetusta sovelletaan

TIETOSUOJAVALTUUTETUN TOIMISTO 3/7 sen 2 artiklan 1 kohdan mukaisesti henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Käsittelyn oikeusperuste; tietosuoja-asetuksen 6 artiklan ja 10 artiklan välinen suhde Väärinkäytösrekisteriä koskevien yksityiskohtaisten perustelujen mukaan (s. 17) henkilötietojen käsittelyn oikeusperusta seuraa tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdasta. Tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan nojalla henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut. Tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta on suoraan sovellettavaa sellaisenaan, eikä kyseiseen käsittelyn oikeusperusteeseen sisälly edellä mainittua kansallista liikkumavaraa, joten kyseistä käsittelyn oikeusperustetta ei voida täsmentää taikka tarkentaa kansallisessa lainsäädännössä. Käsittelyn lainmukaisuuden arviointi kyseisellä perusteella jää ensi vaiheessa rekisterinpitäjän itsensä arvioitavaksi. On huomattava, ettei ehdotettu 18 a yksistään oikeuta käsittelemään väärinkäytöksiin liittyviä henkilötietoja. Kyseisestä säännöksestä huolimatta rekisterinpitäjän olisi arvioitava tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa säädetyn nk. tasapainotestin kautta rekisterinpitäjän tai sivullisen oikeutetun edun käsillä olo ja arvioitava tätä suhteessa rekisteröidyn oikeuksiin ja vapauksiin. Ehdotetun säännöksen perusteella rikostuomioita ja rikkomuksia koskevien henkilötietojen käsittely olisi sallittua 10 artiklan mukaisesti silloin, kun 6 artiklassa säädetty peruste täyttyy. Ehdotettua sääntelyä tulisi selkiyttää ja täsmentää siltä osin, että kansallisen liikkumavaran käytön ala käy siitä selkeästi ilmi. Säännöksessä viitataan väärinkäytöksiin liittyviin henkilötietoihin. Väärinkäytöksiin liittyvien henkilötietojen tietosisältöä ei olla kuitenkaan ehdotuksessa täsmennetty. Ottaen huomioon edellisessä kappaleessa lausuttu, tulisi säännöksessä viitata 10 artiklan mukaisiin rikostuomioita tai rikkomuksia koskeviin henkilötietoihin, joita kyseinen säännös tietosuojavaltuutetun käsityksen mukaan koskee. Suojatoimien riittävyys Ehdotetut suojatoimet vastaat tietosuojalautakunnan luvassa dnro 8/923/2003 määriteltyjä suojatoimia. Lainsäätäjän tulisi vielä arvioida, onko toimintaympäristön muutos (esim. teknologian kehitys) vaikuttanut suojatoimien riittävyyteen ja luonut

TIETOSUOJAVALTUUTETUN TOIMISTO 4/7 tarvetta niiden päivittämiselle. Muuta Mitä tässä on lausuttu luottolaitostoiminnasta annetun lain 18 a :stä, koskee myös soveltuvin osin maksulaitoslain (297/2010) ehdotettua 39 a :ää. 18 b. Tietojen luovuttaminen konsernin konsolidointiryhmän, rahoitus- ja vakuutusryhmän tai yhteenliittymän ulkopuolelle Kyseisen säännöksen tarkoitus ja oikeusperusta jäävät jokseenkin epäselväksi. Säännöksen yksityiskohtaisissa perusteluissa viitataan Suomen Asiakastieto Oy:öön, joka vastaa tällä hetkellä nk. väärinkäytösrekistereiden tietoteknisestä ylläpidosta. Tietosuojavaltuutetun käsityksen mukaan Suomen Asiakastieto Oy:n on henkilötietojen käsittelijän (vrt. tietosuoja-asetuksen 28 artikla) roolissa suhteessa luottolaitoksiin. Näin ollen Suomen Asiakastieto Oy käsittelee henkilötietoja rekisterinpitäjien lukuun ja sitä koskee tietosuoja-asetuksessa säädetyt velvoitteet. Myös rekisterinpitäjien on otettava huomioon tietosuoja-asetuksessa asetetut edellytykset henkilötietojen käsittelyn ulkoistamiselle. Tietosuojalainsäädännön näkökulmasta henkilötietoja ei luovuteta Suomen Asiakastieto Oy:lle vaan toimeksiantoon perustuva henkilötietojen käsittely on henkilötietojen siirtoa/käyttöä. Henkilötietojen käsittelijällä ei ole itsenäistä oikeutta käsitellä tietoja, vaan hänen oikeutensa perustuu aina rekisterinpitäjällä olevaan oikeuteen. Henkilötietojen käsittelijällä on oikeus käsitellä henkilötietoja toimeksiannosta ilman erityistä sääntelyäkin. Kyseistä säännöstä on vielä tarkemmin arvioitava tietosuoja-asetuksen ja edellä lausutun perusteella. 18 c. Automatisoitu päätöksenteko Tietosuoja-asetuksen 22 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen henkilötietojen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Tietosuoja-asetuksen 22 artiklan 1 kohtaa ei sovelleta asetuksen 22 artiklan 2 kohdan b alakohdan mukaan silloin, jos päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi.

TIETOSUOJAVALTUUTETUN TOIMISTO 5/7 Esityksessä ehdotetaan 22 artiklan 2 kohdan b alakohdan suojatoimina säädettäväksi, että rekisterinpitäjän on ilmoitettava tietosuojavirastolle henkilötietojen automaattisesta käsittelystä lähettämällä tälle rekisteriseloste sekä ilmoitettava tässä pykälässä tarkoitetun automatisoidun päätöksentekojärjestelmän käyttöönotosta. Ehdotetut säännökset vastaavat henkilötietolain 36 :ssä säädettyä velvollisuutta ilmoittaa automatisoidun päätöksentekojärjestelmän käyttöönotosta. Tietosuojavaltuutetun näkemyksen mukaan ehdotettuja suojatoimia tulisi tarkastella tietosuoja-asetuksen näkökulmasta. Tietosuoja-asetuksessa ei säädetä velvollisuudesta laatia rekisteriselostetta. Tietosuoja-asetuksen 22 artiklassa tarkoitettujen suojatoimien tarkoituksena on suojata rekisteröidyn oikeuksia ja vapauksia automatisoidun päätöksenteon yhteydessä. Tietosuojavaltuutetun näkemyksen mukaan tämä tarkoittaa sitä, että tietosuojaasetuksen 22 artiklan 2 kohdan b alakohdan mukaista kansallista liikkumavaraa käytettäessä olisi säädettävä käsittelyyn liittyvistä suojatoimista. Tällaisia suojatoimia voivat olla esimerkiksi tietosuoja-asetuksen 22 artiklan 3 kohdassa mainitut suojatoimet 1, jotka tulevat suoraan sovellettavaksi muissa kuin 22 artiklan 2 kohdan b alakohdan perusteissa. Tietosuoja-asetuksen 22 artiklan 3 kohdassa ei ole säädetty tyhjentävästi suojatoimista (sanamuotonsa mukaisesti vähintään ) vaan rekisterinpitäjän on arvioitava suojatoimien asianmukaisuus tapauskohtaisesti. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdan osalta suojatoimien asianmukaisuuden ja kattavuuden arviointi on lainsäätäjän tehtävä. Tietosuojavaltuutetun näkemyksen mukaan (tietosuoja-asetuksen 57 artiklan 1 kohdan k alakohta) tietosuoja-asetuksen 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi tulisi tehdä silloin, kun henkilötietoja käsitellään 22 artiklassa tarkoitettuun automaattiseen päätöksentekoon. Vastaavasti kuin ehdotetun tietosuojalain 31 :ssä, voitaisiin tässä yhteydessä harkita suojatoimena säädettäväksi, että vaikutustenarvioinnin tulos olisi, myös niissä tapauksissa joihin ei sovelleta tietosuoja-asetuksen 36 artiklaa, lähetettävä tiedoksi tietosuojavaltuutetulle. Tällöin rekisterinpitäjä myös ilmoittaa automatisoidun päätöksentekojärjestelmän käyttöönotosta tietosuojavaltuutetulle. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohdassa tarkoitettuja suojatoimia ja niiden riittävyyttä rekisteröidyn oikeuksien ja vapauksen sekä oikeutettujen etujen suojaamiseksi on ehdotuksen jatkovalmistelussa välttämätöntä arvioida uudelleen. 1 Tietosuoja-asetuksen 22 artiklan 3 kohdan mukaisesti rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi; tämä koskee vähintään oikeutta vaatia, että tiedot käsittelee rekisterinpitäjän puolesta luonnollinen henkilö sekä rekisteröidyn oikeutta esittää kantansa ja riitauttaa päätös.

TIETOSUOJAVALTUUTETUN TOIMISTO 6/7 Laki rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain muuttamisesta 7 luku 8. Valvonta Kyseisissä säännöksissä rajoitetaan tietosuoja-asetuksen 15 artiklan mukaista rekisteröidyn oikeutta saada pääsy tietoihin. Tietosuoja-asetuksen myötä mahdollisuudesta rajoittaa rekisteröidyn oikeuksia kansallisella tai unionin lainsäädännöllä säädetään asetuksen 23 artiklassa. Lainsäätäjän on arvioitava kaiken kaikkiaan tilanteet, joissa rekisteröidyn oikeuksia on lainsäädännöllä rajoitettu ja peilattava ne suhteessa tietosuoja-asetuksen 23 artiklaan. Tietosuoja-asetuksen III luvun mukaisten rekisteröidyn oikeuksien soveltaminen on tietosuoja-asetuksessa vahva lähtökohta. Lainsäätäjän on ehdottomasti perusteltava tietosuoja-asetuksen 23 artiklan näkökulmasta välttämätön tarve rekisteröityjen oikeuksien rajoittamiselle. Erityisen painavat perustelujen on oltava nyt lausunnon kohteena olevassa tilanteessa, jossa rekisteröidyn oikeudet absoluuttisesti rajataan kokonaan soveltamisalan ulkopuolelle. Rekisteröityjen oikeuksia tulisi rajoittaa ainoastaan poikkeustapauksessa. Rajoituksesta säätämisen edellytyksenä on, että rajoituksessa noudetaan keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhtainen toimenpide, jolla voidaan taata: a) kansallinen turvallisuus; b) puolustus ; c) yleinen turvallisuus; d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy; e) muu unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rajaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva; f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu; g) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano; h) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a-e ja g alakohdassa tarkoitetuissa tapauksissa; i) rekisteröityjen suojelu tai muille kuuluvat oikeudet ja vapaudet; j) yksityisoikeudellisten kanteiden täytäntöönpano (23 art. 1 kohta) Tietosuoja-asetuksen 23 artiklan nojalla tehtävien lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä, jotka koskevat ainakin a) käsittelytarkoitusta tai käsittelyn ryhmiä; b) henkilötietoryhmiä; c) käyttöön otettujen rajoitusten soveltamisalaa; d) suojatoimia, joilla estetään väärinkäyttö tai lainvastainen pääsy tietoihin tai niiden siirtäminen; e) rekisterinpitäjän tai rekisterinpitäjien ryhmien määrittämistä;

TIETOSUOJAVALTUUTETUN TOIMISTO 7/7 f) tietojen säilytysaikoja ja sovellettavia suojatoimia ottaen huomioon käsittelyn tai käsittelyryhmien luonne, laajuus ja tarkoitukset; g) rekisteröidyn oikeuksiin ja vapauksiin kohdistuvia riskejä; ja h) rekisteröityjen oikeutta saada tietoa rajoituksesta, paitsi jos tämä voisi vaarantaa rajoituksen tarkoituksen (23 art. 2 kohta) Näiltä osin ehdotusta on välttämätöntä tarkentaa. Suojatoimena tietosuojavaltuutettu on pitänyt toimivana ratkaisua, jossa suojatoimena valtuutettu voi tarkastaa rekisteröidyn pyynnöstä rekisteröityjä koskevien henkilötietojen käsittelyn lainmukaisuuden. Mitä tässä on lausuttu rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain 7 luvun 8 :stä, koskee myös soveltuvin osin ehdotettua rahapesun selvityskeskuksesta annetun lain 3 :ää. Vaikutukset viranomaistentoimintaan Esityksessä ei ole arvioitu ehdotuksen vaikutuksia tietosuojavaltuutetun toimiston toimintaan. Ehdotus koskee tietosuojavaltuutetun toimiston tehtäviä (esim. s. 30, 32, 34, 36-37). Jos tietosuojavaltuutetulle säädetään rekisteröidyn oikeuksien ja vapauksien täytäntöönpanemiseksi erityisiä tehtäviä, on välttämätöntä, että tietosuojavaltuutetulla on arvioitu olevan riittävät resurssit hoitaa nämä tehtävät tehokkaasti. Näiltä osin esitystä on syytä tarkistaa. Muuta Lisäksi esityksen jatkovalmistelussa on otettava huomioon oikeusministeriön ehdotus uudeksi tietosuojalaiksi. Mahdollisissa lisäkysymyksissä voitte olla yhteydessä allekirjoittaneeseen ylitarkastajaan p. 029 5666 796. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Anna Hänninen

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute