TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018 Eduskunnan sivistysvaliokunta siv@eduskunta.fi Asia HE 40/2018 vp Hallituksen esitys eduskunnalle varhaiskasvatuslaiksi ja eräiksi siihen liittyviksi laeiksi Kuultava Tietosuojavaltuutettu Kuuleminen 20.4. kello 11.30, kirjallinen lausunto TIETOSUOJAVALTUUTETUN KIRJALLINEN LAUSUNTO Euroopan Unionin yleisestä tietosuoja-asetuksesta Euroopan Unionin yleistä tietosuoja-asetusta aletaan Suomessa soveltaa 25.5.2018 alkaen. Se on suoraan sovellettavaa oikeutta. Tämän vuoksi myös nyt ehdotettuun lainsäädäntöön sisältyvien henkilötietojen käsittelyä tai rekisterinpitoa koskevien säännösehdotusten tietosuoja-asetuksen mukaisuus tulee arvioida. Kansallisen lain säännökset eivät saa olla ristiriidassa tietosuoja-asetuksen säännösten kanssa. Lisäksi tietosuoja-asetuksen säännöksistä voidaan poiketa vain silloin, kun se on tietosuoja-asetuksessa nimenomaan sallittu. Tietosuoja-asetuksesta poikkeavien kansallisen lain säännösten tulee täyttää myös tietosuoja-asetuksen sen säännöksistä poikkeamiselle asettamat vaatimukset. Suomen perustuslaista Perustuslain (731/1999) 10 turvaa yksityisyyden suojan perusoikeutena jokaiselle. Pykälän mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta on esimerkiksi lausunnoissaan PeVL 14/1998 vp ja 13/2016 vp todennut, että tämän henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin: * rekisteröinnin tavoite, * rekisteröitävien henkilötietojen sisältö, * niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä * sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla. Perustuslakivaliokunta on myöhemmin todennut lailla säätämisen vaatimuksen ulottuvan myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla (PEVL 12/2000vp, s.5).
TIETOSUOJAVALTUUTETUN TOIMISTO 2/5 Hallintovaliokunnan, jonka toimialaan henkilötietokysymykset kuuluvat, linjanvedot henkilötietojen käsittelyn sääntelystä vastaavat perustuslakivaliokunnan edellä mainittua kantaa. Tämä käy ilmi muun muassa hallintovaliokunnan lausunnoista HaVL 16 ja 19/1998 vp sekä hallintovaliokunnan mietinnöistä HaVM 25 ja 26/1998 vp. Hallintovaliokunnan mukaan lain tasolla on ilmettävä ainakin perustuslakivaliokunnan edellä mainitussa lausunnossa mainitut asiat. Asetustasolla on hallinto valiokun nan kannan mukaan mahdollista antaa rekisterin tietosisältöä täydentäviä ja tarkentavia säännöksiä, kunhan lakitekstin perusteella voidaan riittävän selkeästi päätellä asetuksen tasoisen sääntelyn sisältö. Hallintovaliokunta pitää kuitenkin asianmukaisena lähtökohtana pyrkimystä mahdollisimman yksityiskohtaisesti säätää henkilötietojen suojaan liittyvistä seikoista jo lain tasolla. Perustuslakivaliokunnan ja hallintovaliokunnan edellä mainitut linjanvedot henkilörekistereiden ja henkilötietojen käsittelystä sääntelystä on otettava huomioon myös silloin kun tällaisia säännöksiä on tarkoitus sisällyttää erityislainsäädäntöön ja kun erityislainsäädännön säädöksiä ja niiden mahdollisia tarkistamistarpeita arvioidaan. Kyseessä olevasta lakiehdotuksesta Olen arvioinut lakiehdotusta sekä tietosuoja-asetuksen säännösten että perustuslain soveltamiskäytännön valossa. Kommentoin ehdotusta siltä osin kuin se mielestäni on näiden vastainen. Varhaiskasvatuksen tietovarannosta yleisesti Hallituksen esitysluonnoksessa ehdotetaan perustettavaksi uusi valtakunnallinen varhaiskasvatuksen tietovaranto, jonka tietosisältö on lakiehdotuksen mukaan varsin laaja. Tietovarannon perustamista on perusteltu hallituksen esityksessä muun muassa varhaiskasvatuksen järjestäjien rekisterinpidon epäyhteneväisyydellä ja vaihtelevilla tavoilla merkitä tietoa, koska varhaiskasvatuksen järjestäjillä ei ole yhtenäistä tietoarkkitehtuuria ja -prosesseja. Valtakunnallisen tietovarannon perustaminen on käytännössä merkityksellinen henkilötietojen suojan kannalta. Tietosuoja-asetuksen mukaan kansallisen sääntelyn yleisenä edellytyksenä on se, että lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. Pidän sinänsä henkilötietojen käsittelyn kannalta hyvänä tavoitteena rekisterinpidon yhdenmukaistamista ja yhteneväisten tietorakenteiden kehittämistä. Sen vuoksi kannatan sitä, että Opetushallitus antaa tarkempia määräyksiä tietorakenteista lakiehdotuksen 69 :n 3 momentissa esitetyn mukaisesti. Myös tietosuoja-asetuksen soveltaminen tulee edellyttämään paikallisten toimijoiden rekisterinpidon kehittämistä. Tietosuoja-asetuksen 25 artiklassa rekisterinpitäjälle on asetettu velvollisuus toteuttaa tehokkaasti tekniset ja organisatoriset toimenpiteet, joilla toteutetaan tietosuojaperiaatteita. Tämän perusteella esimerkiksi tietosuoja-asetuksen 24 artiklan mukaisessa riskiarvioinnissa tulisi arvioida henkilötietojen käsittelyyn liittyviä riskejä suhteessa laajemmin ymmärrettyihin luonnollisten henkilöiden oikeuksiin ja vapauksiin. Sen jälkeen, kun tietosuoja-asetusta on alettu soveltaa, jokainen rekisterinpitäjä on velvollinen osoittamaan, että se noudattaa tietosuoja-asetusta (5
TIETOSUOJAVALTUUTETUN TOIMISTO 3/5 artiklan 2 kohta sekä 25 artikla ja johdantokappale 78). Tietosuoja-asetuksen 35 artiklassa säädetään tietosuojaa koskevasta vaikutustenarvioinnista. Jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, vaikutustenarviointi voidaan tehdä lainsäädännön valmistelun yhteydessä. Totesin opetus- ja kulttuuriministeriölle antamassani lausunnossa käsityksenäni, että varhaiskasvatuslain valmistelun yhteydessä on tarpeellista tehdä 35 artiklan 3 kohdan b alakohdan perusteella vaikutustenarviointi, koska varhaiskasvatuksen järjestämisessä tullaan käsittelemään tietosuoja-asetuksen 9 artiklan mukaisia erityisryhmiin kuuluvia tietoja ja lisäksi lakiehdotuksessa ehdotetaan perustettavaksi valtakunnallinen tietovaranto. Hallituksen esityksessä todetaan, että ennen tietovarannon käyttöönottoa tullaan tietovarannosta tekemään ministeriön toimeksiannosta vaikutustenarviointi, mutta sitä ei ole katsottu tarpeelliseksi tehdä lainvalmisteluvaiheessa. Tietosuojavaltuutettu toivoo valiokunnan arvioivan, onko tavoitteeseen nähden oikeasuhtaista kerätä varhaiskasvatuksen valtakunnalliseen tietovarantoon varhaiskasvatuksen henkilöstöä sekä varhaiskasvatuksessa olevia lapsia ja heidän vanhempiaan tai muita huoltajia koskevia tietoja vai voitaisiinko tietotarpeet hoitaa muulla tavoin esimerkiksi kehittämällä paikallisten toimijoiden rekisterinpitoa antamalla tietorakenteista velvoittavia määräyksiä. Jos tällaiseen sääntelyyn päädytään, sääntelyssä tulee ottaa huomion tietosuoja-asetuksen säännökset. Tietovarannon rekisterinpitäjät Tietovarannon tietojen käsittelijänä toimisi lakiehdotuksen 67 :n mukaan Opetushallitus. Tietosuoja-asetuksen 4 artiklassa on määritelty rekisterinpitäjä ja henkilötietojen käsittelijä ja näiden tehtävistä ja asemasta on säädetty tietosuoja-asetuksen 24, 28 ja 29 artikloissa. Tietosuoja-asetuksen 26 artikla koskee yhteisrekisterinpitäjiä. Opetushallitus vastaisi lakiehdotuksen 67 :n mukaan mm. käsittelyn turvallisuudesta ja säilyttämisestä sekä myös rekisteröityjen oikeuksien toteuttamisesta pykäläehdotuksessa säädetyin tavoin. Lisäksi se vastaisi tietojen luovutuksen lainmukaisuudesta, mikä käsitykseni mukaan sisältää päätösharkintaa, koska tietovarannosta voitaisiin lakiehdotuksen 73 :n mukaan luovuttaa tietoja viranomaisen lakiin perustuvan tiedonsaantioikeuden ohella myös laissa säädettyyn tehtävään perustuvan tiedonsaantioikeuden perusteella. Lisäksi tietoja voitaisiin luovuttaa tieteelliseen tutkimukseen ja Opetushallitus voisi tuottaa lakiehdotuksen 69 :n mukaisesti tietoaineistoja. Käsitykseni mukaan Opetushallituksella olisi näin ollen rekisterinpitäjälle kuuluvia tehtäviä, minkä vuoksi pidän perusteltuna, että Opetushallitus olisi yhteisrekisterinpitäjä. Tietosuoja-asetuksen 26 artiklan mukaan rekisterinpitäjiin sovellettavassa jäsenvaltion lainsäädännössä voidaan määritellä rekisterinpitäjien vastuualueet. Käsittelyn peruste Tietovarantoon talletettaisiin lakiehdotuksen 70 :n 2 momentin 5 kohdan mukaan
TIETOSUOJAVALTUUTETUN TOIMISTO 4/5 varhaiskasvatusoikeuden laajuuden peruste ja sen käyttöön liittyvät ehdot. Hallituksen esityksessä on kerrottu, että tällä tarkoitetaan varhaiskasvatuksen lakisääteistä perustetta, jota koskeva tieto talletettaisiin tietovarantoon 12 :n eri momenttien tarkkuudella (s. 126). Laajempaa varhaiskasvatusta tulee lakiehdotuksen 12 :n 3 ja 4 momenttien mukaan järjestää, jos se on tarpeen lapsen kehityksen, tuen tarpeen tai perheen olosuhteiden takia tai muutoin lapsen edun mukaista. Laajemman varhaiskasvatuksen tarve voi johtua myös perheenjäsenen sairaudesta. Käsitykseni mukaan edellä mainituissa tilanteissa tietovarantoon talletetusta tiedosta usein ilmenee terveyttä koskevia tietoja, mutta tietojen käsittelyä ei ole arvioitu tietosuoja-asetuksen 9 artiklan perusteella. Lakiehdotuksen 69 :n perusteella Opetushallitus tuottaisi varhaiskasvatuksen arvioinnin, kehittämisen, tilastoinnin, tutkimuksen ja muun seurannan sekä ohjauksen kannalta tietoaineistoja siten kuin opetus- ja kulttuuriministeriö määrää. Se voisi tässä tarkoituksessa yhdistää varhaiskasvatuksen tietovarannon tietoja perusopetuksen, lukiokoulutuksen ja ammatillisen koulutuksen valtakunnalliseen tietovarantoon tallennettuihin tietoihin sekä osittain myös korkeakoulujen valtakunnalliseen tietovarantoon tallennettuihin tietoihin. Lisäksi se voisi yhdistää tietovarannon tietoja muun viranomaisen tietoihin viranomaisen luvalla. Hallituksen esityksen perusteella jää osin epäselvä, onko tietoaineistojen tuottamisessa kyse tilastojen tuottamisesta. Esimerkiksi tietosuoja-asetuksen 89 artikla sekä 9 artiklan 2 kohdan j alakohta koskevat tilastollisessa tarkoituksessa tapahtuvaa käsittelyä. Hallituksen esityksessä ei ole arvioitu tietoaineistojen tuottamisen perusteita eikä käsittelyä tietosuoja-asetuksen kannalta. Myöskään tietoaineistojen säilyttämisestä ei ele säännöksiä. Käsittelyn tarkoitus Hallituksen esityksessä on todettu, että varhaiskasvatuksen tietovarannon ylläpito perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan. Saman artiklan 3 kohdan mukaan käsittelyn tarkoitus määritellään silloin käsittelyn oikeusperusteessa. Lakiehdotuksen 66 :n perusteella näyttäisikin siltä, että tietovarannon ylläpidossa olisi kyse tiedonvälityksellisestä ja tietopalvelullisesta tarkoituksesta. Lakiehdotuksen perusteella näyttäisi siltä, että valtakunnallisella tietovarannolla olisi muitakin käyttötarkoituksia esimerkiksi lakiehdotuksen 69 :n perusteella. Tietojen luovutus tietovarannosta Lakiehdotuksen 73 :n mukaan tietovarannosta voitaisiin luovuttaa tietoja viranomaisille silloin, kun niillä on lakiin tai laissa säädettyyn tehtävään perustuva tiedonsaantioikeus. Opetushallitus luovuttaisi tietovarannosta tietoja teknisen käyttöyhteyden avulla. Lakiehdotuksen 65 ja 67 :ien perusteella tietoja voitaisiin luovuttaa tieteelliseen tutkimukseen. Hallituksen esityksen perustelujen mukaan viranomaiset voisivat varhaiskasvatuksen tietovarannosta saamiensa tietojen perusteella myös itse muodostaa tietoaineistoja (s. 120). Tietojen luovutuksista on esitetty esimerkkejä hallituksen esityksessä, mutta luovutettavien tietojen käyttötarkoituksia ja luovutusperusteita ei
TIETOSUOJAVALTUUTETUN TOIMISTO 5/5 ole arvioitu tarkemmin tietosuoja-asetuksen näkökulmasta. Esitysluonnoksen perusteella jää myös osittain epäselväksi, miltä osin olisi kyse henkilötietojen luovuttamisesta ja milloin tilastotiedoista (kts. asetuksen johdantokappale 26) ja minkälaiseen hallintopäätösten tekemiseen tietovaranto on tarkoitettu. Myöskään lakiehdotuksen 24 ja 42 :stä ei ilmene, koskevatko ne tilastotietoja vai henkilötietoja. Jos kyse on henkilötiedoista, käsittelyä tulee arvioida tietosuoja-asetuksen näkökulmasta. Viranomaisen oikeudesta saada tietoja tulee säätää lain tasolla. Viranomaisella voi olla oikeus saada ainoastaan tehtäviensä hoitamisen kannalta tarpeelliset ja välttämättömät tiedot. Viranomaisten toiminnan julkisuudesta annettu laki edellyttää, että säännöksestä ilmenee, oikeuttaako säännös salassa pidettävien tietojen luovuttamiseen. Silloin, kun henkilötietojen käsittelyn on arvioitu perustuvan tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan, voidaan saman artiklan 3 kohdan mukaisesti kansallisen liikkumavaran puitteissa säätää niistä tahoista ja tarkoituksista, joihin henkilötietoja voidaan luovuttaa. Tiedon kulkiessa yli organisaatio- ja sektorirajojen tulee erityistä huomiota kiinnittää tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaiseen käyttötarkoitussidonnaisuuden periaatteen toteutumiseen. Näin ollen viranomaisella ei tule olla edes selailumahdollisuutta muihin tietoihin. Valtakunnallisesta varhaiskasvatuksen tietovarantoon kerättäisiin ja sieltä luovutettaisiin tietoja eri käyttötarkoituksiin kuin paikalliset toimijat ovat ne alun perin keränneet. Kansallisesti voidaan säätää rajoituksia tietosuojaperiaatteisiin. Esimerkkinä kansallisesti säädettävästä rajoituksesta tietosuojaperiaatteeseen voidaan pitää tietosuojaasetuksen 6 artiklan 4 kohdan säännöstä, jossa annetaan kansallisesti mahdollisuus poiketa käyttötarkoitussidonnaisuuden periaatteesta. Tietosuoja-asetuksen 6 artiklan 3 ja 4 kohdat edellyttävät sitä, että kansallisen lainsäädännön tulee viime kädessä muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen tietosuoja-asetuksen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Tietovarannon perustamisesta sekä tietojen luovutuksista sieltä on tarpeellista tehdä kokonaisuudessaan tietosuoja-asetuksen 6 artiklan 4 kohdan edellyttämä välttämättömyys- ja oikeussuhteisuusarvio, koska kohteena on asetuksen soveltamisalaan kohdistuva käsittely. Lainsäädännössä tulee keskeisiltä osin noudattaa rekisteröidyn perusoikeuksia ja -vapauksia. Tietosuoja-asetuksen 41 johdanto-osan mukaisesti henkilötietojen käsittelyä koskevan lainsäädännön tulee olla selkeää, täsmällistä ja ennakoitavaa. Tietosuojavaltuutettu Reijo Aarnio