Juha Lavapuro Lausunto

Samankaltaiset tiedostot
HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Kansallinen tietosuojalaki

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Juha Lavapuro Lausunto

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

TIETOSUOJAVALTUUTETUN TOIMISTO

HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Juha Lavapuro Kirjallinen lausunto

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Lausunto eduskunnan perustuslakivaliokunnalle hallituksen esityksestä eduskunnalle laiksi työttömyysturvalain muuttamisesta (HE 5/2015 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Lausunto Hallituksen esityksestä eduskunnalle säteilylaiksi ja eräiksi siihen liittyviksi laeiksi (HE 28/2018 vp)

Juha Lavapuro Lausunto

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Tietosuoja-asetus ja sen kansallinen implementointi

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Eduskunnan perustuslakivaliokunnalle

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Talousvaliokunta klo 11:20

Juha Lavapuro Lausunto. Asia: Hallituksen esitys HE 72/2017 vp eduskunnalle laiksi valtakunnallisista opinto- ja tutkintorekistereistä

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

TIETOSUOJAVALTUUTETUN TOIMISTO Seuraamusjärjestelmä

Teuvo Pohjolainen

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Asia: Hallituksen esitys (HE) 9/2018 vp eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Juha Lavapuro Kirjallinen lausunto

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

LAUSUNTO Dnro 5935/96/2018

7 Poliisin henkilötietolaki 50

LAUSUNTO OM 198/43/2015

Työelämän tietosuojalaki Johanna Ylitepsa

hallintovaliokunnalle.

Hallituksen esitys laiksi tulotietojärjestelmästä ja eräiksi siihen liittyviksi laeiksi (HE 134/2017 vp)

Ajankohtaista TSV:ltä. Camilla Ekberg

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

Lakivaliokunnalle. PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 19/2012 vp. Hallituksen esitys eduskunnalle henkilötietojen

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Valtiollisten tehtävien jaosta ja ylimpien laillisuusvalvojien rooleista

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Sosiaali ja terveysministeriö.

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

TIETOSUOJAVALTUUTETUN TOIMISTO

Itsemääräämisoikeus ja yksityisyydensuoja

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

HALLITUKSEN ESITYS EDUSKUNNALLE EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp)

Hallintovaliokunnalle

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Hallituksen esityksen ennakollisesta tarkastuksesta oikeuskanslerinvirastossa

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

Lausunto luonnoksesta hallituksen esitykseksi laeiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi

Ilmoitetaan, että asia on saapunut valiokuntaan lausunnon antamista varten suurelle valiokunnalle.

TIETOSUOJAVALTUUTETUN TOIMISTO

Hallituksen esitys eduskunnalle vesilainsäädännön käyttöoikeussääntelyn uudistamiseksi (HE 262/2016 vp)

Lausuntopyyntö /41/2016

Juha Lavapuro Kirjallinen lausunto

Johannes Heikkonen Turun Yliopisto. Eduskunnan perustuslakivaliokunnalle. HE 111/2016 vp Hallituksen esitys eduskunnalle nuorisolaiksi.

Hallituksen esityksen ennakollisesta tarkastuksesta oikeuskanslerinvirastossa

HE 9/2018 vp EU:n YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAIN- SÄÄDÄNNÖKSI

Eduskunnan lakivaliokunnalle

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Tiemaksut ja maksajan oikeusturva. Mirva Lohiniva-Kerkelä Dosentti, yliopistonlehtori Lapin Yliopisto

HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Juha Lavapuro

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Juha Lavapuro Kirjallinen lausunto. Hallituksen esitys HE 268/2016 vp eduskunnalle yhdistelmärangaistusta koskevaksi lainsäädännöksi

Tausta ja valtiosääntöoikeudellisen arvion kohde

Hallintovaliokunnalle

HE 250/2016 vp Hallituksen esitys eduskunnalle laiksi kuntalain muuttamisesta

Olli Mäenpää Perustuslakivaliokunnalle. Hallituksen esitys laiksi kuntalain muuttamisesta (HE 250/2016 vp)

Muistio SM (5) SMDno SM036:00/2016

Esityslista 5/1997 vp. PERUSTUSLAKIVALIOKUNTA Perjantai klo Nimenhuuto. 2. Päätösvaltaisuus

Olli Mäenpää Perustuslakivaliokunnalle

Lausunto luonnoksesta hallituksen esitykseksi luottolaitostoiminnasta annetun lain muuttamisesta ja eräiksi siihen liittyviksi laeiksi.

Maa- ja metsätalousministeriö

Perus- ja ihmisoikeudet lainvalmistelussa

TIETOSUOJAVALTUUTETUN TOIMISTO

Transkriptio:

Juha Lavapuro 21.3.2018 Lausunto Eduskunnan perustuslakivaliokunnalle Asia: HE 9/2018 vp Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi Lausuntopyyntö: Perustuslakivaliokunnan lähettämään kutsuun sisältyneen täsmennetyn lausuntopyynnön mukaan valiokunta pyytää hallituksen esityksen normaalin arvioinnin lisäksi kannanottoa siihen, aiheuttaako EU:n yleinen tietosuoja-asetus tarpeen arvioida uudelleen valiokunnan käytännön vakiintuneita, perustuslain 10 :ään kiinnittyviä henkilötietojen käsittelyä koskevia kantoja. Jos näin on, minua on pyydetty arvioimaan myös, miten lainsäädännön valtiosääntöisen arvioinnin perusteita tulisi muuttaa ja onko tällainen uudelleen arviointi tässä yhteydessä mahdollista. Perustuslakivaliokunnan pyytämänä asiantuntijalausuntona esitän kunnioittavasti seuraavan. Voimassa oleva doktriini ja siihen liittyvät ongelmat Perustuslakivaliokunnan tulkintadoktriini perustuslain 10 :n 1 momentissa tarkoitetun henkilötietojen suojan merkityksestä on ollut vakiintunut ja varsin kaavamainen. Lähtökohdat linjattiin jo varsin varhain perusoikeusuudistuksen jälkeen. Paitsi että valiokunta on korostanut henkilötietojen suojaa koskevan yksityiskohtaisen 1

sääntelyn täsmällisyyden tärkeyttä (ks. jo PeVL 8/1995 vp sekä PeVL 26/1996 vp, PeVL 7/1997 vp, PeVL 28/1997 vp ja PeVL 29/1997 vp), se on asettanut tällaiselle sääntelylle myös eräitä muita vaatimuksia. Hyvin usein toistetun lausuman mukaan henkilötietojen suojan kannalta tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelyn kattavuus ja yksityiskohtaisuus lain tasolla. (Ks. PeVL 17/1998 vp sekä henkilötietolain säätämiseen johtanut PeVL 25/1998 vp 1 sekä myöhemmästä käytännöstä mm. PeVL 31/2017 vp ja siinä mainittu käytäntö). Vastaavalla tavalla perustuslakivaliokunta on arvioinut hyvinkin kaavamaisesti viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä, jossa siirrettävien tietosisältöjen luetteleminen on vaikuttanut suoraan siihen, onko sääntelyyn pitänyt sisällyttää vaatimus tietojen välttämättömyydestä jonkin tarkoituksen kannalta vai onko riittävää ollut sitoa siirtäminen ainoastaan tarpeellisuusvaatimukseen. (Ks. PeVL 17/2016 vp). Lähtökohtana valiokunnan käytännössä on myös ollut, että perustuslaissa nimenomaisesti olevan henkilötietojen suojaa koskevan lakivarauksen lisäksi lainsäätäjän liikkuma-alaa rajoittaa henkilötietojen suojan alueella myös se, että henkilötietojen suoja sisältyy perustuslain 10 :n 1 momentissa turvatun yksityiselämän suojan piiriin. Kysymys on valiokunnan mukaan ollut kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Perustuslakivaliokunta on kiinnittänyt huomiota myös erityisesti siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2 3 ja siinä viitatut lausunnot). Asialla on ollut merkitystä varsinkin arkaluonteisia henkilötietoja koskevan sääntelyn yhteydessä. Valiokunta arvioinut arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4 5 ja esimerkiksi PeVL 21/2012 vp, 1 Perustuslakivaliokunnan lausunnossa sittemmin toistunut henkilötietojen sääntelykohteiden luettelo on nähdäkseni peräisin Antero Jyrängin perustuslakivaliokunnalle 17.4.1998 antamasta asiantuntijalausunnosta poliisin henkilörekistereitä koskevassa asiassa HE 22/1998 vp. 2

PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on myös antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). Valiokunta on kiinnittänyt lisäksi erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 13/2017 vp, s. 5 ja PeVL 3/2017 vp, s. 5). Tällaisiin tietoihin liittyy myös erityinen tarve huolehtia järjestelmään talletettavien henkilötietojen suojaamisesta väärinkäytön vaaroilta ja kaikenlaiselta tietojen laittomalta saannilta ja käytöltä (PeVL 13/2017 vp, s. 5, PeVL 29/2016 vp, s. 5). Perustuslakivaliokunnan omaksuma sääntelyn täsmällisyyttä, kattavuutta ja yksityiskohtaisuutta edellyttämä tulkintadoktriini on osaltaan johtanut tilanteeseen, jossa henkilötietoja koskeva sääntely on Suomessa muodostunut hyvin raskaaksi ja monimutkaiseksi. Tietojen siirtämistä ja luovuttamista koskevaa sääntelyä koskevat vaatimukset ovat puolestaan usein johtaneet kaksinkertaiseen sääntelyyn. Perustuslakivaliokunta onkin myöhemmässä käytännössään kiinnittänyt erityistä huomiota henkilötietosääntelyn kaksinkertaisuuden (PeVL 71/2014 vp) sekä epäselvyyden, raskaudet ja monimutkaisuuden ongelmiin.(ks. esim. PeVL 31/2017 vp ja PeVL 46/2016 vp, s. 6). Samoin se on viitannut muissakin yhteyksissä esittämäänsä kantaan jonka mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. myös PeVL 45/2016 vp, s. 3, PeVL 41/2006 vp, s. 4/II). Näihin ongelmiin liittyen perustuslakivaliokunta on pitänyt tärkeänä, että valtioneuvoston piirissä kartoitetaan myös erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä. Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 38/2016 vp, PeVL 5/2017 vp. ks. myös PeVL 54/2010 vp, s. 2/I II). Nyt käsiteltävänä oleva tietosuojalaissa annettaisiin toukokuussa 2018 sovellettavaksi tulevaan EU:n yleisen tietosuoja-asetukseen liittyvät täydentävät kansalliset säännökset. Kuten perustuslakivaliokuntakin on aiemmin todennut, EU:n tietosuojaasetus kytkeytyy asiallisesti ottaen EU:n perusoikeuskirjan 8 artiklaan, jossa turvataan 3

jokaisen oikeus henkilötietojensa suojaan (PeVL 31/2017 vp, s. 3). Valiokunta on painottanut myös sitä, että EU:n henkilötietojen käsittelyä koskevaa lainsäädäntöä sovellettaessa on otettava huomioon Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa tarkoitettu henkilötietojen suoja ja että EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä (ks. esim. PeVL 21/2017 vp, s. 3). Henkilötietojen suojaa koskevan tulkintakäytännön muutostarve EU:n yleinen tietosuoja-asetus on suoraan sovellettavaa ja sellaisenaan velvoittavaa lainsäädäntöä jäsenvaltioissa. Kansallinen lainsäädäntö asetuksen soveltamisalalla on mahdollista ainoastaan asetuksen sen nimenomaan salliessa. Merkitystä asiassa on myös sillä, että yleinen tietosuoja-asetus on luonteeltaan yksityiskohtaisempi kuin voimassa oleva henkilö- tietodirektiivi ja sen toimeenpanemiseksi annettu henkilötietolaki. Koska henkilötietojen suojaa koskeva keskeinen sääntely perustuisi aiempaa henkilötietojen suojaa koskevaa yleislainsäädäntöä täsmällisempään EU:n tietosuoja-asetukseen, joka olisi suoraan sovellettavaa oikeutta kansallisesti, ja joka saisi ristiriitatilanteessa etusijan suhteessa kansalliseen lainsäädäntöön, on nähdäkseni perusteltua lähteä siitä, ettei kansallisessa lainsäädännössä voida enää säätää henkilötietojen suojasta perustuslakivaliokunnan aiemmin edellyttämällä kattavuudella, täsmällisyydellä ja tarkkarajaisuudella. Nähdäkseni perustuslakivaliokunnan viimeaikaisessa lausuntokäytännössään varovasti omaksuma kanta siitä, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 31/2017 vp, s. 3 4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4, PeVL 54/2010 vp, s. 2/I II), muodostaa tämän vuoksi jatkossa yhden keskeisen PL 10 :n sisältöä määrittävän lähtökohdan, jos kyse on tietosuoja-asetuksen soveltamisalan piiriin kuuluvasta henkilötietojen käsittelystä. Tämä kattavuutta, täsmällisyyttä ja tarkkarajaisuutta koskeva tulkintakäytännön muutos ei sinänsä vaikuta eräisiin muihin henkilötietojen suojaa koskeviin tulkintalähtökohtiin. Edelleen on perusteltua katsoa, että tietosuoja-asetuksessakin tarkoitettu henkilötietojen suoja sisältyy perustuslain 10 :n 1 momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee toisin sanoen turvata tämä oikeus 4

jatkossakin tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Tällä lähtökohdalla on puolestaan erityistä merkitystä silloin, kun kyse on sellaisista henkilötiedoista, joita valiokunnan käytännössä on vanhastaan pidetty arkaluonteisina. Siltä osin kuin yleinen tietosuoja-asetus mahdollistaa asiassa kansallista sääntelyä, arkaluonteisia tietojen käyttöä säänneltäessä on vielä erikseen varmistuttava perusoikeuksien yleisten rajoitusedellytysten täyttymisestä. Keskeiset lähtökohdat voidaan kirjata esimerkiksi seuraaviksi tulkintaperiaatteiksi: 1) Henkilötietojen suoja perustuslaissa turvattuna perusoikeutena ja perustuslain 10.1 :ssä turvattua yksityiselämän suojaa. Henkilötietojen suoja on yksi perustuslain 10 :ssä mainittu perusoikeus, joka sisältyy myös perustuslain 10 :n 1 momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tietosuoja-asetuksesta riippumatta turvata tämä henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2 3 ja siinä viitatut lausunnot). EU:n tietosuoja-asetus ei muuta tätä lähtökohtaa mitenkään. 2) EU:n tietosuoja-asetuksen soveltamisalan ulkopuolelle jäävä henkilötietojen suojaa koskeva kansallinen sääntely Tietosuoja-asetusta ei sovelleta asetuksen 2 artiklan soveltamisalasäännöksessä soveltamisalan ulkopuolelle rajatuissa tilanteissa. Asetuksen soveltamisalan ulkopuolelle jäävät tämän vuoksi sellainen toiminta, joka ei kuulu unionin oikeuden soveltamisalaan. Kansallinen turvallisuus on hallituksen esityksen perusteluissa kuvatuilla tavalla tyypillisesti tällainen alue, joskin senkin ulottuvuuteen liittyy tulkinnanvaraisuutta. Myös ns. poliisidirektiivin kattama alue, henkilötietojen käsittely, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, on rajattu asetuksen soveltamisalan ulkopuolelle. Tältä osin tietosuoja-asetus ei aiheuta tarvetta muuttaa henkilötietojen suojaa koskevaa tulkintadoktriinia. 5

3) Yleisen tietosuoja-asetuksen merkitys Henkilötietojen suojaa koskevalta sääntelyltä perustuslain 10 :n vuoksi edellytetyt kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan nähdäkseni tietosuoja-asetuksen soveltamisalueella pääsääntöisesti täyttää tietosuoja-asetuksen sääntelyllä ja sitä täydentävällä nyt käsiteltävänä olevalla yleisellä tietosuojalailla. Täydentävä kansallinen sääntely olisi tällöin mahdollista poikkeuksellisesti, kun siihen on erityisiä perusteita. Tämä vastaa myös oikeusministeriön TATTI-työryhmän loppumietinnössä esitettyä kantaa siitä, että yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tulisi olla asetuksen puitteissa perusteltu tapauskohtainen ratkaisu eikä kaavamainen pääsääntö. (ks loppumietinnön s. 24). TATTI-työryhmän mietinnössä esitetylle kannalle ei sinänsä ole valtiosääntöoikeudellista estettä, kun huomioidaan, että tapauskohtaisen ratkaisun tarve voi johtua suoraan perustuslain perusoikeussäännöksistä. 4) Erityiset henkilötietoryhmät Mitä selvemmin henkilötietojen suojaa koskeva sääntely koskettaa yksityiselämän suojan ydintä (ks. myös arkaluonteisia tietoja koskevat PeVL 29/2016 vp, s. 4 5 ja esimerkiksi PeVL 21/2012 vp), sitä ankarampia vaatimuksia sääntelyn kattavuudelle, täsmällisyydelle ja tarkkarajaisuudella on syytä asettaa. Sääntelyn valtiosääntöoikeudellista sallittavuutta on tällöin arvioitava myös perusoikeuksien yleisten rajoitusedellytysten valossa. Tietosuoja-asetuksessa ei ole erityisiä säännöksiä arkaluonteisista tiedoista. Sitä vastoin tietosuoja-asetuksen 9 artiklassa säädetään erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä, joissa yhteyksissä edellytetään säädettävän asianmukaisista suojatakeista. Käsitykseni mukaan 9 artiklan mukaiset erityisiä henkilötietoryhmiä koskevat käsittelytilanteet muodostavat nähdäkseni sellaisen sääntely-yhteyden, jossa kansallista täydentävää sääntelyä voidaan pääsääntöisesti pitää perusteltuna myös artiklassa tarkoitettujen suojatakeiden kannalta. Tällainen yksityiskohtaisempi sääntely voisi nähdäkseni koskea tietosuoja-asetuksen sallimissa puitteissa rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturvaa. 6

5) Kansallinen liikkumavara Vaikka perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta, perustuslakivaliokunta on vakiintuneesti pitänyt tärkeänä varmistua siitä, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. PeVL 25/2005 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). Siltä osin kuin tietosuoja-asetus jättää kansallista liikkumavaraa, tuo liikkumavara tulee täyttää perus- ja ihmisoikeuksien mukaisella tavalla. Tällaisessa tilanteessa valtiosääntö voi edellyttää täsmällisempien ja tarkkarajaisempien säännösten antamista esimerkiksi sellaisessa tilanteessa, joka asiallisesti merkitse yksityiselämän suojan rajoittamista jonkin muun perusoikeuden tai painavan yhteiskunnallisen intressien toteuttamiseksi tai jossa jotakin muuta perusoikeutta rajoitetaan henkilötietojen suojan toteuttamiseksi. Esityksen arviointi Hallituksen esitykseen sisältyy varsin laajat säätämisjärjestysperustelut, joissa ehdotettua sääntelyä on mm. perustuslain 6 :n 3 momentin, 10 :n, 12 :n, 16 :n 21 :n ja perustuslain 124 :n käsitelty asianmukaisesti perustuslakivaliokunnan käytäntö huomioon ottaen. Minulla ei ole juurikaan valtiosääntöoikeudellista huomautettavaa omaksuttuihin sääntelyratkaisuihin. Kiinnitän valiokunnan huomiota myös siihen, että esityksessä on pyritty ottamaan huomioon hallinnollisen seuraamuksen luonne sellaisena rikosoikeudellisena seuraamuksena, joka tulee ottaa huomioon kaksoisrangaistuksen kieltoa koskevan Euroopan ihmisoikeussopimuksen 7 lisäpöytäkirjan 4 artiklan, KP-sopimuksen 17 artiklan 7 kohdan ja Euroopan unionin perusoikeuskirjan 50 artiklan tulkinnassa. Asia on otettu huomioon siten, että rikoslain 38 luvun 9 :ssä olevan henkilötietojen käsittelyä koskevan kriminalisoinnin tunnusmerkistöä rajattaisiin huomattavasti nykyiseen verrattuna siten, että sen soveltaminen tulisi kyseeseen vain tilanteissa, joissa lainvastainen käsittely ei olisi hallinnollisten 7

seuraamusmaksujen piirissä. Tätä ratkaisua voidaan pitää kaksoisrangaistavuuden kiellon kannalta välttämättömänä eikä minulla ole siihen enemmälti huomautettavaa. Hallinnollista seuraamusta koskeva sääntely Yleisen tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisten seuraamusmaksujen määräämisen yleisistä edellytyksistä. Tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan asetuksen eräiden säännösten rikkomisesta määrätään hallinnollinen seuraamusmaksu, joka on suuruudeltaan enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan asetuksen eräiden muiden säännösten rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Päätöksen seuraamusmaksun määräämisestä tekisi ensivaiheessa tietosuojavaltuutettu ei siis tuomioistuin. Tietosuojavaltuutetun päätökseen saisi kuitenkin tietosuojalain 23 :n perusteella hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Asetuksessa säädetyt seuraamusmaksut ovat määrältään huomattavia ja voivat muodostua oikeasuhtaisuuden kannalta ongelmalliseksi, mikä korostaisi säntellyn täsmällisyydelle ja oikeusturvalle asetettavia vaatimuksia. Asetuksen 83 artiklan 2 kohdassa on sinänsä lueteltu niitä seikkoja, jotka kussakin yksittäistapauksessa on otettava huomioon seuraamuksen määrää arvioitaessa. Luettelossa mainittujen seikkojen keskinäisen suhteen arvioimiseen jää kuitenkin merkittävästi harkinnanvaraa ja on oletettavaa, että edellytysten täsmällinen sisältö täsmentyy vastaisuudessa vasta oikeuskäytännön myötä. Asetuksessa ei myöskään ole täsmällisiä säännöksiä seuraamusmaksun määräämistä koskevasta menettelystä. Asetuksen 83 artiklan 8 kohdan mukaan asiaan sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia 8

menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia. Myöskään ehdotetussa tietosuojalaissa ei ole täsmällisiä säännöksiä seuraamusmaksua koskevasta menettelystä. Pidän tätä valtiosääntöoikeudellisesti merkittävästä puutteena senkin vuoksi. Nähdäkseni on välttämätöntä, että seuraamusmaksun määräämistä koskevasta menettelystä otetaan tarkemmat säännökset tietosuojalakiin. Seuraamusmaksun määräämistä viranomaiselle koskeva sääntely Hallinnollisia seuraamuksia koskeva 25 :n 2 momentin mukaan tietosuoja-asetuksen 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua ei voitaisi määrätä valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Kysymys olisi tältä osin tietosuoja-asetuksen jättämän kansallisen liikkumavaran käyttämisestä. Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin. Käsitykseni mukaan hallituksen esityksessä omaksuttu ratkaisu on perusoikeuksien kannalta perusteltu. Kuten hallituksen esityksessä todetaan, viranomaisiin kohdistuvaa seuraamusvastuuta ei voida pitää välttämättömänä ottaen huomioon, että viranomaisiin kohdistuu jo muutenkin sekä sellaisia velvoitteita että valvontaa, joka ei kohdistu yksityisiin tahoihin. Viranomaisia sitoo hallinnon lainmukaisuusperiaate ja viranomaisten joka tapauksessa noudatettava myös hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan liittyvä virkavastuu voi puolestaan toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle ja viranomaisten menettely on lisäksi ylimmän laillisuusvalvonnan kohteena. Erityisen perusteltuna hallituksen esityksessä omaksuttua ratkaisua voidaan kuitenkin pitää perusoikeusjärjestelmän kannalta. Perustuslain 22 :n mukaan julkisen vallan on turvatta perusoikeuksien ja ihmisoikeuksien toteutuminen. 9

Turvaamisvelvollisuus viittaa toisin sanoen perusoikeuksien ja ihmisoikeuksien kokonaisuuteen, ei johonkin tiettyyn yksittäiseen perusoikeuteen. Perustuslain 21 :n 2 momentissa tarkoitettu julkisuusperiaate on keskeinen osa perusoikeusjärjestelmäämme ja hyvän hallinnon periaatteita tavalla. Tällaisenaan se mahdollistaa kansalaisyhteiskunnan taholta tapahtuvan viranomaisten toiminnan valvonnan. Asia on sinänsä huomioitu myös tietosuojalakiesityksen 28 :ssä, joka sisältää viittaussäännöksen julkisuusperiaatteeseen. Sekä tietosuoja- että julkisuuslainsäädäntöön liittyy usein hyvinkin hankalia tulkintaongelmia, joissa joudutaan vetämään rajaa yhtäältä julkisuusperiaatteen ja toisaalta yksityisyyden suojan välillä. On hyvin todennäköistä, että oikeustilassa, jossa tietosuojaloukkauksiin liittyisi tapauksesta riippuen kymmeneen tai kahteen kymmeneen miljoonaan euroon ulottuva sanktioriski, mutta esimerkiksi julkisuusperiaatteella ei olisi lainkaan vastaavaa tehostetta tukenaan, henkilötietojen suojasta muodostuisi hyvin nopealla aikataululla eräänlainen superperusoikeus. Sellaisena se voittaisi käytännön viranomaistoiminnassa kaikissa vähääkään tulkinnanvaraisemmissa tilanteissa sen kanssa kilpailevat perusoikeudet ja muut painavat, viranomaisen lakisääteiseen tehtävään liittyvät julkiset intressit. Pidän ensiarvoisen tärkeänä, että tällainen vakava riski perusoikeuksien välisen tasapainon järkkymisestä ja sanktiouhan synnyttämistä virheellisistä punninnoista yhtäältä henkilötietojen suojan ja toisaalta muiden perusoikeuksien välillä, on hallituksen esityksessä torjuttu rajaamalla viranomaiset hallinnollisten seuraamuksien ulkopuolelle. Kuten hallituksen esityksessä esitetään, tietosuojalainsäädännön toteutumista myös viranomaisissa on tarkoitus seurata. Tätä voidaan pitää perusteltuna. Muilta osin ratkaisussa rajata viranomaiset hallinnollisten seuraamusten ulkopuolelle on nähdäkseni kysymys nimenomaan sellaisesta perus- ja ihmisoikeuksista seuraavat vaatimukset huomioonottavasta kansallisen liikkumavaran käyttämisestä, jota perustuslakivaliokunta on edellyttänyt. Päinvastainen ratkaisu olisi muodostunut nähdäkseni samasta syystä valtiosääntöoikeudellisesti ongelmalliseksi. Teknisenä yksityiskohtana voidaan kuitenkin todeta, että säännös näyttäisi jättävän seuraamusvelvollisuuden piiriin eduskunnan laitokset ja ilmeisesti myös täysistunnon, koska ainoastaan eduskunnan virastot on rajattu soveltamisalan ulkopuolelle. Tätä tuskin on tarkoitettu. 10

Voimaantulosäännös Tietosuojalakiesityksen 37 :n voimaantulosäännöksen mukaan tietosuojalailla kumottaisiin henkilötietolaki (523/1999) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994). Voimaantulosäännös on ongelmallinen, koska kumottavaksi ehdotettavan henkilötietolain soveltamisala on kapeampi kuin tietosuojalain ja sen taustalla olevan yleisen tietosuoja-asetuksen. Erityisesti merkillepantavaa tässä yhteydessä on, että voimassa olevaan lainsäädäntöön sisältyy edelleen huomattavasti erityislainsäädäntöä, joka rajautuu tietosuoja-asetuksen soveltamisalan ulkopuolelle ja jossa viitataan henkilötietolakiin henkilötietojen käsittelyä koskevana yleislakina. Viittaan tältä osin mm. lakeihin henkilötietojen käsittelystä poliisitoimessa (761/2003), tullissa (639/2015) ja rajavartiolaitoksessa (579/2005). Juha Lavapuro professori 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute