Talousvaliokunta klo 11:20

Samankaltaiset tiedostot
Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

TIETOSUOJAVALTUUTETUN TOIMISTO

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Kansallinen tietosuojalaki

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

7 Poliisin henkilötietolaki 50

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Maa- ja metsätalousministeriö

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

LAUSUNTO Dnro 5935/96/2018

Lausunto luonnoksesta hallituksen esitykseksi laeiksi henkilötietojen käsittelystä maahanmuuttohallinnossa sekä eräiksi siihen liittyviksi laeiksi

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

HE 16/2018 vp Hallituksen esitys eduskunnalle laiksi asiakkaan valinnanvapaudesta sosiaalija terveydenhuollossa ja eräiksi siihen liittyviksi laeiksi

Johannes Heikkonen Turun Yliopisto. Eduskunnan perustuslakivaliokunnalle. HE 111/2016 vp Hallituksen esitys eduskunnalle nuorisolaiksi.

Luonnos Kilpailu- ja kuluttajavirastosta annetussa laissa ehdotetaan säädettäväksi poikkeuksesta yleisen tietosuoja-asetuksen 15 artiklaan.

~ - ". ()IKEUSMINISTERIC)

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

1. Matkustajarekisterinpitäjä Itä-Suomen Liikuntaopisto Oy Länsikatu 15, Joensuu Toimisto ,

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Tulevat säädösmuutokset ja tietosuoja

Tietosuojavaltuutetun lausunto YLEINEN OSA

KULTARANTA RESORT OY:N MATKUSTAJAREKISTERI

Tietosuojaseloste Henkilötietolain 10 ja 24, majoitus- ja ravitsemustoiminnasta annetun lain 7

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Tuomas Ojanen Eduskunnan perustuslakivaliokunnalle

Ajankohtaista lainsäädännöstä Virpi Korhonen, lainsäädäntöneuvos

Juha Lavapuro Kirjallinen lausunto

Juha Lavapuro Kirjallinen lausunto

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

HE 98/2018 vp. Lait on tarkoitettu tulemaan voimaan mahdollisimman pian.

HE 94/2016 vp LAEIKSI PUOLUSTUSVOIMISTA ANNETUN LAIN, ALUEVALVON- TALAIN JA ASEVELVOLLISUUSLAIN MUUTTAMISESTA

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Eduskunnan perustuslakivaliokunnalle

Maahanmuuttohallinnon henkilötietolaki HE 224/2018 vp. Johtava asiantuntija Tuuli Tuunanen

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Lausunto sosiaali- ja terveysministeriön vastineista asioissa HE 16/2018 vp ja HE 15/2017 vp

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Työelämän tietosuojalaki Johanna Ylitepsa

MARAN KURSSIREKISTERI = EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja MaRan kurssirekisterissä tapahtuvasta tietojen käsittelystä

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Hallituksen esitys laiksi sosiaali- ja terveystietojen toissijaisesta käytöstä (HE 159/2017 vp)

HE 160/2005 vp. Esityksessä ehdotetaan muutettavaksi pelastuslakia

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

OM:n lausunto; luonnos hallituksen esitykseksi eduskunnalle genomilaiksi

Tietosuoja-asetus ja sen kansallinen implementointi

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

TILINTARKASTAJA JA EU:N TIETOSUOJA-ASETUS KYSYMYKSIÄ JA VASTAUKSIA

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

Tietosuoja-asetus Immo Aakkula Arkistointi

Tiedollinen itsemääräämisoikeus ja MyData

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

1. Rekisterinpitäjä Matkailu- ja Ravintolapalvelut MaRa ry Merimiehenkatu 29, Helsinki, MaRan uutiskirjerekisteri

Ilmoitetaan, että asia on saapunut valiokuntaan lausunnon antamista varten suurelle valiokunnalle.

HE 112/2009 vp. Esityksessä ehdotetaan säädettäväksi laki Kansaneläkelaitoksen oikeudesta saada vammaisten henkilöiden tulkkipalveluja koskevia

Tietosuojaseloste 1 (5) EU:n yleinen tietosuoja-asetus 2016/679 13, 14, 30 artikla. Rekisteri

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

Varustekorttirekisteri - Tietosuojaseloste

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

HALLITUKSEN ESITYS EDUSKUNNALLE VARHAISKASVATUSLAIKSI JA ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (HE 40/2018 VP)

Pyydettynä lisäselvityksenä esitän kunnioittavasti seuraavan.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Sosiaali- ja terveysvaliokunnalle

HE 107/2018 vp. Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.

asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Henkilötietolain (521/1999) 10 ja 24 :ssä säädetyistä tiedoista koostuva tietosuojaseloste. Tietosuojaseloste on laadittu

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Hallituksen esitys (6/2018 vp) eduskunnalle laiksi Ilmatieteen laitoksesta. Liikenne- ja viestintävaliokunta klo 12

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Tietosuojaseloste Espoon kaupunki

Lakivaliokunnalle. PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 19/2012 vp. Hallituksen esitys eduskunnalle henkilötietojen

YMPÄRISTÖMINISTERIÖ Muistio Luonnos EHDOTUS VALTIONEUVOSTON ASETUKSEKSI YMPÄRISTÖVAIKUTUSTEN ARVI- OINTIMENETTELYSTÄ

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Transkriptio:

LAUSUNTO Lainvalmisteluosasto Julkisoikeuden yksikkö 4.10.2018 Virpi Koivu Talousvaliokunta 5.10.2018 klo 11:20 HE 98/2018 vp 1. Yleistä Hallituksen esitykseen, joka koskee työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevan lainsäädännön muuttamista, sisältyy kahdeksan lakiehdotusta, joihin sisältyy pääasiassa EU:n uudesta tietolainsäädännöstä aiheutuvia muutoksia. Lakiehdotuksissa tarkoitettu henkilötietojen käsittely kuuluu EU:n yleisen tietosuoja-asetuksen soveltamisalaan. Tietosuoja-asetuksen soveltaminen alkoi 25. toukokuuta 2018. Tietosuoja-asetus on suoraan sovellettava säädös, mutta sitä on mahdollista täydentää yleisesti sovellettavalla tai erityislainsäädännöllä tietosuoja-asetuksessa säädetyin edellytyksin. Tältä osin on syytä huomata, että hallituksen esitys EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp) on parhaillaan eduskunnan käsiteltävänä, ja perustuslakivaliokunta on antanut esityksestä kaksi lausuntoa (PeVL 14/2018 vp, PeVL 24/2018 vp). Perustuslakivaliokunta on viime kuukausina annetuissa lausunnoissa tarkistanut kantaansa henkilötietojen käsittelyä koskevan sääntelyn lakitasoisuuden, kattavuuden ja yksityiskohtaisuuden vaatimuksista. Valiokunnan mukaan on lähtökohtaisesti riittävää perustuslain 10 :n 1 momentin kannalta, että sääntely täyttää EU:n yleisessä tietosuoja-asetuksessa säädetyt vaatimukset. Valiokunnan mukaan henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa. (ks. erityisesti PeVL 14/2018 vp, s. 4-5, PeVL 15/2018 vp, s. 36). Talousvaliokunnan käsiteltävänä olevassa hallituksen esityksessä kiinnitetään asianmukaisesti huomiota siihen, että EU:n yleistä tietosuoja-asetusta täydentävä tai täsmentävä lainsäädäntö on mahdollista ainoastaan silloin, kun se tietosuoja-asetuksessa nimenomaisesti sallitaan, ja että tietosuoja-asetuksen antama liikkumavara ei velvoita jäsenvaltioita säätämään täydentävää tai täsmentävää lainsäädäntöä, vaan kyseessä on mahdollisuus. Esityksen sisältämissä lakiehdotuksissa on myös pyritty siihen, että täydentävä ja täsmentävä sääntely on rajattu vähäiseksi. Henkilötietojen käsittelyn on kaikissa EU:n yleisen tietosuoja-asetuksen soveltamisalaan kuuluvissa tilanteissa täytettävä sen 6 artiklan mukainen lainmukaisuuden vaatimus. Kansallisen liikkumavaran puitteissa säädettävä tietosuoja-asetusta tarkentava kansallinen lainsäädäntö on mahdollista, kun henkilötietojen käsittely perustuu 6 artiklan 1 kohdan c tai e alakohtaan, eli silloin, kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi, tai kun käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Tarkentava lainsäädäntö voi sisältää erityisiä säännöksiä tietosuoja-asetuksen säännösten soveltamisen mukauttamiseksi, muun muassa käsittelyn lainmukaisuutta koskevia edellytyksiä, käsiteltävien tietojen tyyppiä, rekisteröityjä, säilytysaikoja, käyttötarkoitussidon- C:\Users\03012574\Work Folders\Mukautetut Officemallit\Talousvaliokunta\TaV_5-10-2018_HE 98 2018 vp_om_asiantuntijalausunto.docx Käyntiosoite Postiosoite Puhelin Faksi Sähköpostiosoite Eteläesplanadi 10 PL 25 02951 6001 09 1606 7730 oikeusministerio@om.fi HELSINKI 00023 VALTIONEUVOSTO

2(5) naisuutta ja käsittelytoimia koskevia säännöksiä. Hallituksen esityksen perusteluissa on tehty selkoa lakiehdotuksiin liittyvän henkilötietojen käsittelyn oikeusperusteesta, joka olisi yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta. Tietosuoja-asetuksen 6 artiklan 1 kohdassa mainituista käsittelyn oikeusperusteista voi joissakin tilanteissa tulla kyseeseen myös useampi kuin yksi. Esimerkiksi viranomaisen henkilötietojen käsittely kytkeytyy usein samanaikaisesti 1 kohdan e alakohdassa tarkoitettuun yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen. Esityksessä valittu oikeusperuste vaikuttaisi kuitenkin tarkoituksenmukaiselta lakiehdotuksissa tarkoitettujen viranomaisten ja yritysten osalta. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta sisältää myös mahdollisuuden antaa tietosuoja-asetusta täydentävää tai täsmentävää lainsäädäntöä. 2. Rekisteröidyn tarkastusoikeuden rajoittaminen (1. lakiehdotus) Tietosuoja-asetuksen 15 artiklan mukainen pääsääntö on rekisteröidyn pääsy häntä koskeviin henkilötietoihin (rekisteröidyn tarkastusoikeus). Rekisteröidyn oikeuksia voidaan kuitenkin rajoittaa tietosuoja-asetuksen 23 artiklassa säädetyin edellytyksin unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tietosuojalakiehdotuksen 34 sisältää yleisesti sovellettavat tarkastusoikeuden rajoittamista koskevat säännökset. Lakiin kilpailu- ja kuluttajavirastosta ehdotetaan lisättäväksi lain 1 lukuun uusi 7 a, joka täydentäisi tietosuojalakiehdotuksessa säädettäviä rekisteröidyn tarkastusoikeuden rajoituksia. Ehdotettu rekisteröidyn tarkastusoikeuden rajoitus vaikuttaisi olevan tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohdan liikkumavaran mukainen (yleinen etu; valvonta-, tarkastus- tai sääntelytehtävä). Tarkastusoikeuden rajoitusta koskevaa pykälää on myös tarkennettu säännösviittausten osalta lausuntokierroksen jälkeen. Tarkastusoikeuden rajoittamista koskevassa säännöksessä ehdotetaan lisäksi huomiotavaksi asianmukaiset toimet rekisteröidyn oikeuksien suojaamiseksi säännösviittauksella tietosuojalain 34 :n 2-4 momenttiin. Ehdotetun säännöksen osalta on kuitenkin syytä kiinnittää huomiota siihen, että tietosuojalakiehdotusta ei ole vielä hyväksytty eduskunnassa, ja sen ja 1. lakiehdotuksen säännösten yhteen sovittaminen olisi varmistettava valiokuntakäsittelyn aikana. 3. Rekisterinpitäjiä koskevat säännökset Yksi tärkeimmistä lakiehdotuksiin sisältyvistä muutoksista liittyy rekisterinpitoa koskevan sääntelyn tarkentamiseen. Rekisterinpitäjän osalta on syytä kiinnittää huomiota siihen, että tietosuoja-asetus mahdollistaa yhden rekisterinpitäjän määrittämisen lisäksi myös yhteisrekisterinpidon (26 artikla) ja sen, että rekisterinpitäjä ulkoistaa tehtäviään henkilötietojen käsittelijälle (28 artikla). Rekisterinpitäjälle kuuluvaa vastuuta ei voi kuitenkaan siirtää, vaan rekisterinpitäjän on tehtävän ulkoistamistilanteessakin varmistettava, että käsittelytoimet ovat tietosuoja-asetuksen mukaisia. Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Tietosuoja- asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tietosuoja-asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta. Tietosuoja-asetus ei velvoita jäsenvaltioita säätämään laissa rekisterinpitäjien keskinäisestä vastuusta yhteisrekisterinpitotilanteessa, mutta valtiosääntöoikeudellisista syistä johtuen erityisesti viranomaisten osalta vastuunjaosta voi olla tarpeen säätää tarkemmin lailla (perustuslain 10 1 mom.). Hallituksen esityksen sisältämien lakiehdotusten osalta kysymys rekisterinpitoa koskevasta sääntelystä on noussut esiin 7. ja 8. lakiehdotuksen osalta.

3(5) Tilintarkastuslaki (7. lakiehdotus) Esitysluonnosta koskevalla lausuntokierroksella on kiinnitetty huomiota siihen, että voimassa olevan tilintarkastuslain tilintarkastajan asiakasrekisteriä koskevan 4 luvun 9 :n 2 momentti jättää epäselväksi rekisterinpitäjän vastuun kohdentumisen. Säännöstä on hallituksen esityksessä pyritty selkiyttämään siten, että rekisterinpitäjän ja henkilötietojen käsittelijän vastuut ilmenevät laista selkeämmin. Voimassa oleva tilintarkastuslaki vaikuttaisi rekisterinpidon osalta perustuvan siihen, että rekisterinpitäjän tehtäviä voidaan ulkoistaa toiselle yritykselle. Esityksen yksityiskohtaisissa perusteluissa (s. 18) tuodaan esiin, että voimassa olevan pykälän esitöiden (HE 70/2016 vp) mukaan mahdollisuus asiakasrekisterin ulkoistamiseen voi olla tarpeen esimerkiksi silloin, kun tilintarkastusyhteisössä työskentelevä tilintarkastaja hoitaa tilintarkastusyhteisön toimeksiantojen lisäksi tilintarkastuksia, joihin hänet henkilökohtaisesti on valittu tilintarkastajaksi. Esitöiden mukaan ei ole perusteltua edellyttää tilintarkastajalta investointeja asiakasrekisteriin, jos hän voi hoitaa asian tehokkaasti ulkoistamalla sen pitämisen tilintarkastusyhteisölle. Momentin kumoamisesta huolimatta tilintarkastaja voisi edelleen ulkoistaa rekisterinpitoon liittyvät tehtävät. Ehdotettua sääntelyratkaisua voidaan pitää mahdollisena tietosuoja-asetuksen valossa, vaikkakin myös yhteisrekisterinpito usean yrityksen kesken olisi soveltuva ratkaisu. On myös mahdollista, että lakiehdotuksessa valitun ratkaisun toimivuutta joudutaan myöhemmin arvioimaan lain soveltamisen yhteydessä. Valitun ratkaisun osalta on syytä ottaa huomioon, että henkilötietojen käsittelijän (tilintarkastusyhteisö), joka käsittelisi henkilötietoja rekisterinpitäjän lukuun, on täytettävä tietosuoja-asetuksen 28 artiklassa säädetyt edellytykset. Esityksen perustelujen valossa kuitenkin vaikuttaa kuitenkin tarkoituksenmukaiselta pitäytyä mahdollisimman lähellä lainsäädännön nykytilaa, ottaen erityisesti huomioon rekisteripitoon liittyvät vastuukysymykset. Tilintarkastusyhteisöllä on joka tapauksessa suoraan tietosuoja-asetuksen nojalla omaan tietojärjestelmäänsä liittyvä rekisterinpitäjän vastuu varmistaa, että se täyttää tietosuoja-asetuksessa säädetyt tietoturvallisuutta koskevat vaatimukset. Yrityspalvelujen asiakastietojärjestelmästä annettu laki (8. lakiehdotus) Myös voimassa olevan yrityspalvelujen asiakastietojärjestelmästä annetun lain 6 jättää jossain määrin epäselväksi eri rekisterinpitäjien välisen vastuunjaon erityisesti siltä osin kuin on kyse käytetystä käsitteestä tekninen ylläpitäjä, ja laki jättää epäselväksi, tarkoitetaanko teknisellä ylläpitäjällä tosiasiassa rekisterinpitäjää. Kuten esityksessä tuodaan esiin, 6 :n sanamuotoa olisi hyvä selkiyttää käyttämällä tietosuoja-asetuksen mukaista terminologiaa. Myös voimassa olevan lain 9 :n 2 momentti on osin päällekkäinen tietosuoja-asetuksen kanssa. Erityisesti tietosuoja-asetuksen valossa kyseenalaista on, että tekninen ylläpitäjä voisi poistaa henkilötietoja tilanteessa, jonka tulisi ennemmin olla rekisterinpitäjän vastuuseen kuuluva asia. Esityksen 8. lakiehdotuksella ehdotetaan tarkistettavaksi (terminologisesti) voimassa olevan lain 6 :ää, mutta siinä ei ehdoteta korvattavaksi teknisen ylläpitäjän käsitettä rekisterinpitäjän käsitteellä, vaan henkilötietojen käsittelijällä. Pykälän yksityiskohtaisten perustelujen valossa on vielä syytä arvioida tarkemmin, tulisiko työ- ja elinkeinoministeriön olla ennemmin yhteisrekisterinpitäjä asiakastietojärjestelmään tietoja tallettavien tahojen kanssa. Sen tehtäviin vaikuttaisi ainakin osittain liittyvän rekisterinpitäjälle tyypillisesti kuuluvaa vastuuta. Mikäli tietojärjestelmästä vastaavaa viranomaista ei määritetä nimenomaisesti rekisterinpitäjäksi, tietosuojaasetuksen valossa nousee esiin erityisesti kysymyksiä rekisterinpitäjän vastuusta, joka liittyy järjestelmien tietoturvallisuuteen, mukaan lukien mahdolliset henkilötietojen tietoturvaloukkaukset ja niistä ilmoittaminen rekisteröidylle. Tältä osin on syytä huomata, että laissa olisi tietosuoja-asetuksen salliman liikkumavaran puitteissa mahdollista määrittää yhteisrekisterinpitäjien keskinäiset vastuut siten, että voimassa olevassa laissa tarkoitettu tekninen ylläpitäjä eli työ- ja elinkeinoministeriö vastaisi esimerkiksi tietosuoja-asetuksessa tarkoitetuista henkilötietojen turvallisuuteen liittyvistä tehtävistä. Lisäksi on huomioitava, että henkilötietojen käsittelijän rooli (henkilötietojen käsittely rekisterinpitäjän lukuun) ei istuisi kovin hyvin ministeriölle.

4(5) 4. Henkilötietojen luovuttaminen Esityksen yleisperusteluissa (s. 8) kiinnitetään huomiota viranomaisten toiminnan julkisuudesta annettuun lakiin. Perustelujen mukaan julkisuuslain tietosuoja-asetuksesta johtuvista mahdollisista muutostarpeista ei ole ollut käytettävissä tietoa hallituksen esitystä valmisteltaessa. Perustuslakivaliokunta on ottanut lausunnossaan tietosuojalakiehdotuksesta kantaa myös sen muutostarpeisiin. Tietosuojalakiehdotuksen 28 :ssä säädetään julkisuusperiaatteen huomioon ottamisesta. Ehdotuksen mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Säännös vastaa perustuslakivaliokunnan myötävaikutuksella säädetyn voimassaolevan henkilötietolain 8 :n 4 momenttia (PeVL 25/1998 vp). Henkilötietolain esitöissä katsottiin, että säännöksessä viitatussa laissa on säädetty yksityisyyden suojan kannalta tarpeellisista henkilötietojen luovuttamisen rajoituksista (HE 96/1998 vp, s. 41/II). Perustuslakivaliokunnan myötävaikutuksella säädettyyn viranomaisten toiminnan julkisuudesta annettuun lakiin (PeVL 43/1998 vp, jäljempänä julkisuuslaki) ei ole ehdotettu muutoksia tietosuojalakiehdotusta koskevassa hallituksen esityksessä. Perustuslakivaliokunnan käsityksen mukaan tietosuoja-asetuksen soveltamisen alkaminen ei aiheuta välitöntä tarvetta julkisuuslain muuttamiseen. (Ks. PeVL 14/2018 vp, s. 15) Henkilötietojen luovuttamisen osalta on kuitenkin syytä huomata, että perustuslakivaliokunta on aiemmin arvioinut viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä myös perustuslain 10 :n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta ja kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat voineet liittyä jonkin tarkoituksen kannalta "tarpeellisiin tietoihin", jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus "tietojen välttämättömyydestä" jonkin tarkoituksen kannalta (ks. esim. PeVL 17/2016 vp, s. 2 3 ja siinä viitatut lausunnot). Valiokunta ei toisaalta ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (esim. PeVL 19/2012 vp). Perustuslakivaliokunta on myös tuoreemmissa lausunnoissaan, joissa on huomioitu jo EU:n tietosuoja-asetus, säilyttänyt nämä tietojen luovuttamista koskevat linjaukset (ks. esim. PeVL 15/2018 vp, s. 39). Tietosuoja-asetuksen 6 artiklan 3 kohta mahdollistaa kansallisen liikkumavaran käytön henkilötietojen luovuttamista koskevan sääntelyn osalta, mutta ei suoraan velvoita jäsenvaltioita säätämään siitä. Viranomaisten toiminnan julkisuudesta annetun lain salassapitosäännöksistä kuitenkin seuraa kansallinen tarve säätää viranomaisten tietojen luovuttamisesta silloin, kun tietoja on tarpeen luovuttaa salassapitosäännösten estämättä. Tietosuoja-asetuksesta voisi aiheutua tarpeita tarkistaa viranomaisten tietojen luovuttamista koskevia säännöksiä sellaisessa tilanteessa, joihin liittyisi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen luovuttamista. Lisäksi olisi huomioitava erityisiin henkilötietoryhmiin kuuluvien henkilötietojen osalta tietosuoja-asetuksen 9 artiklan mukaisesti sallitut poikkeukset käsittelyn kieltoon sekä tarve huomioida asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Myös perustuslakivaliokunta on antanut erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan täsmällisyyttä ja sisältöä. Mikäli ehdotetut säännökset tietojen luovutuksesta ovat kohdistuneet myös arkaluonteisiin tietoihin, on tavallisen lain säätämisjärjestyksen käyttämisen edellytyksenä ollut sääntelyn täsmentäminen selostetun perustuslakivaliokunnan viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä koskevan käytännön mukaiseksi (ks. PeVL 15/2018 vp ja esim. PeVL 38/2016 vp). Esityksen lakiehdotuksissa ei ehdoteta muutoksia juurikaan henkilötietojen luovuttamista koskevaan sääntelyyn, lukuun ottamatta majoitus- ja ravitsemistoiminnasta annetun lain muutosehdotuksia (2. lakiehdotus),

teknistä muutosta matkapalveluyhdistelmien tarjoajista annettuun lakiin (3. lakiehdotus) sekä tilintarkastuslakiin (7. lakiehdotus). Esityksen 2. lakiehdotuksen säännökset koskevat matkustajarekisteriä ja matkustajatietojen luovuttamista majoitusliikkeiden toimesta poliisille ja 7. lakiehdotuksen säännökset liittyvät oleellisesti erityisiin henkilötietoryhmiin tai arkaluonteisiin henkilötietoihin siltä osin kuin on kyse valvontaviranomaisen oikeudesta saada ja luovuttaa tietoja. Ehdotetut muutokset ovat tarkoituksenmukaisia, huomioiden, että niiden tarkoituksena vaikuttaisi olevan tietosuoja-asetuksen soveltamisen helpottaminen. Lisäksi tilintarkastuslakiin ehdotettujen viranomaisten tiedonsaanti- ja luovutusoikeuksia koskevien tarkistusten osalta on voimassa olevaa lakia vastaavasti huomioitu asianmukaisesti tietosuoja-asetuksen ja perustuslakivaliokunnan arkaluonteisten henkilötietojen käsittelyyn liittyvät erityiset suojaamistarpeet. Mahdollisia muita viranomaisten henkilötietojen luovuttamista koskevien säännösten tarkistustarpeita edellä mainittujen tietosuoja-asetukseen ja perustuslakivaliokunnan tulkintakäytäntöön sisältyvien kriteerien valossa on mahdollista arvioida tarkemmin, jos säännöksiä on tarpeen myöhemmin muusta syystä muuttaa. 5(5)

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute