LUONNOS HALLITUKSEN ESITYKSEKSI HENKILÖTIETOJEN KÄSITTELYSTÄ MAAHANMUUTTOHALLINNOSSA

Samankaltaiset tiedostot
LAUSUNTO Dnro 5935/96/2018

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1026/03/

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tietosuojavaltuutetun lausunto YLEINEN OSA

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Valtiovarainministeriö

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

7 Poliisin henkilötietolaki 50

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Maahanmuuttohallinnon henkilötietolaki HE 224/2018 vp. Johtava asiantuntija Tuuli Tuunanen

Tutkittavan informointi ja suostumus

Kansallinen tietosuojalaki

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Talousvaliokunta klo 11:20

Tietosuojaseloste 1 (6)

hallintovaliokunnalle.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).


Organisaatioluvan hakeminen

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Työelämän tietosuojalaki Johanna Ylitepsa

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Vaikutustenarviointi GDPR:n mukaan

Tiedollinen itsemääräämisoikeus ja MyData

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Vastuuhenkilö: Nimi: Hyvinvointivastaava-varhaiskasvatuksen johtaja

Tietosuojaseloste 1 (5)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste 1 (5)

Eläketurvakeskuksen tietosuojapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Tietosuojavaltuutetun toimiston tietoisku

Henkilötietojen käsittely Tullissa (HE 259/18 vp)

Tietosuojailmoitus: yhdistetty rekisteröidyn informointiasiakirja (Tietosuoja-asetuksen (2016/679) artikla 13 ja 14).

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

5. Rekisterin henkilötietojen käsittelyä on ulkoistettu toimeksiantosopimuksella Ei Kyllä

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tampereen Aikidoseura Nozomi ry

Siikalatvan kunnan koulutuslautakunta/ Aleksanterin koulu. Yhteystiedot (osoite, puhelin)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Juha Lavapuro Lausunto

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Haminan tietosuojapolitiikka

Teknologia avusteiset palvelutverkostopalaveri

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

TIETOSUOJAVALTUUTETUN TOIMISTO

OPPILASREKISTERISELOSTE

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

Informaatiovelvoite ja tietosuojaperiaate

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton jäsenrekisterissä

Laki yksityisyyden suojasta työelämässä

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Salon kaupunki , 1820/ /2018

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Salon kaupunki / /2018

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Nimi: Tuomas Hujala Sähköposti: tuomas.hujala. Puhelin: Sähköposti: tietosuoja

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

REKISTERISELOSTE Henkilötietolaki (523/99) 10

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1 7 3 7 / 0 3 / 2 0 1 8 1 (8) 28.5.2018 Sisäministeriö kirj aamo@intermin.fi maahanmuutto-osasto@intermin.fi SISÄMINISTERIÖ 06. 06. 2018 INRIKESMINISTERIET LUONNOS HALLITUKSEN ESITYKSEKSI HENKILÖTIETOJEN KÄSITTELYSTÄ MAAHANMUUTTOHALLINNOSSA Ehdotuksessa esitetään säädettäväksi laki henkilötietojen käsittelystä maahanmuuttohallinnossa. Lakia sovellettaisiin maahanmuuton hallinnonalalla suoritettavaan henkilötietojen käsittelyyn. Laki korvaisi lain ulkomaalaisrekisteristä, joka esitetään kumottavaksi. Tietosuoja-asetus Yleistä tietosuoja-asetusta (Euroopan parlamentin ja 1 neuvoston asetus (EU) 2016/679, jäljempänä asetus) on alettu soveltamaan 2a.s.201a alkaen. Kansallinen lainsäädäntö on mahdollista vain niiltä osin, kuin! se asetuksessa nimenomaisesti sallitaan ja niiltä osin, kuin esitetyt säännökset ovat tarpeellisia asetuksen säännösten täydentämiseksi. Säätämistarvetta arvioitaessa on otettava huomioon myös hallituksen esitys (HE 9/2018 vp) EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi. Kansallinen liikkumavara pohjautuu asetuksen 6 artiklan 1 kohdan c ja e alakohtiin (oikeusperusta) sekä arkaluonteisten tietojen osalta 9 artiklan 2 kohdan alakohtiin. Lisäksi asetuksessa on useita artiklakohtais!a tarkennuksia kansallisesta liikkumavarasta. Lainsäädännön on täytettävä yleisen edun mukainen ta~oite ja oltava oikeasuhtainen asetettuun tavoitteeseen nähden. Lainsäädänrlön on oltava myös selkeää, täsmällistä ja sen soveltamisen on oltava ennak1itavaa. Kun henkilötietojen käsittelystä säädetään kansallises$a laissa, asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperu~e voi sisältää 6 artiklan 2 ja 3 kohdan mukaan erityisiä säännöksiä, joilla mukaliltetaan asetuksen sääntöjen soveltamista, muun muassa: - yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; - käsiteltävien tietojen tyyppiä; - asianomaisia rekisteröityjä; - yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; - käyttötarkoitussidonnaisuutta; - säilytysaikoja; sekä - käsittelytoimia ja -menettelyjä, mukaan lukien laillisery ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet.: Tietosuojavaltuutetun toimisto PL 800, 00521 Helsinki - puh. 029 566 6700 (vaihde) - tietosuoja@om.fi-www.tietosuoja.fi

2 (8) Perustuslaki Lainsäädäntöesityksiä on tarkasteltava myös perusoikeusnäkökulmasta. Euroopan unionin perusoikeuskirjan rinnalla on huomioitava perustuslaki ja perustuslakiavaliokunnan sekä hallintovaliokunnan lausuntokäytäntö. Perustuslain 10 :n 1 momentti sisältää lainsäädäntötoimeksiannon. jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunta on vakiintuneessa lausuntokäytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Henkilötietojen käsittelyä koskevan sääntelyn lain tasolla tulee olla kattavaa, täsmällistä ja tarkkarajaista. Euroopan ihmisoikeussopimus Euroopan ihmisoikeustuomioistuin on oikeuskäytännössään katsonut yksityiselämään liittyvien henkilötietojen rekisteröinnin kuuluvan Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan soveltamisalaan. Tuomioistuin on todennut sopimusloukkauksen muun muassa siksi, että kansallinen lainsäädäntö ei ollut sisältänyt säännöksiä tietosisällöistä, tietojen säilytysajoista ja niistä henkilöryhmistä, joista tietoja saatiin kerätä (ks. esim. Euroopan ihmisoikeustuomioistuimen tuomio asiassa Rotaru v. Romania 4.5.2000, tuomion kohdat 45-43). Ihmisoikeustuomioistuin on useaan otteeseen todennut, että pelkästään se, että henkilötiedot talletetaan viranomaisen rekisteriin, merkitsee yksityisyyden suojan rajoittamista (ks. esim. S. ja Marper v. Yhdistynyt Kuningaskunta, 4.12.2008, tuomion kohta 6T, Leander v. Ruotsi,26.3.1987, tuomion kohta 48). Yleistä Sääntelyn kohteena oleva toiminta kuuluu tietosuoja~asetuksen soveltamisalaan. Ehdotuksessa käsittelyn perusteeksi ilmoitetaan 1asetuksen 6 artiklan 1 c kohta, joka mahdollistaa käsittelyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Perustuslain 2 :n ja asetuksen näkökulmasta ehdotetut säännökset ovat tarpeellisia rekisterinpitäjälle kuuluvan yleisen edun mukaisen tavoitteen ja viranomaisentehtävän suorittamiseksi. Ehdotuksen perusteella voidaan arvioida, että, että henkilötietojen käsittelyä maahanmuuttohallinnossa ei voida tarkoituksenmukaisesti toteuttaa ilman tietosuoja-asetusta täsmentävää kansallisen liikkumavaran puitteissa toteutettua sääntelyä asetuksen 6 artiklan 2 ja 3 kohdassa tarkoitetulla tavalla. Ehdotuksen yksityiskohtaisempi arviointi Tietosuojavaltuutetun toimisto on tässä lausunnossa arvioinut eräitä henkilötietojen käsittelyn ja tietosuoja-asetuksen kansallisen liikkumavaran käytön näkökulmasta huomionarvoisia kysymyksiä. Lainvalmistelussa tulee kuitenkin ottaa huomioon koko asetus ja siinä määrätyt henkilötietojen käsittelyä koskevat periaatteet edellä mainitulla tavalla. Tietosuojavaltuutetun toimisto on julkaissut (www.tietosuoja.fi) sisäisen ohjeensa lainsäädäntölausuntojen laatimisesta.

3 (8) Ohje antaa suosituksia siitä, mihin tietosuojavaltuutetun toimistoon lausunnoille tulevissa hallituksen esityksissä on tietosuoja-asetuksen näkökulmasta kiinnitettävä huomiota. Tätä opasta voidaan hyödyntää jatkovalmistelussa. Sääntelymalli Luonnoksen mukaan henkilötietojen käsittelystä säädettäisiin nykyisen rekisteripohjaisen mallin sijasta säätämällä käyttötarkoituksista. Voimassa olevissa säännöksissä säädetyistä rekistereistä ja yksityiskohtaisista luetteloista luopuminen edellyttää, että henkilötietojen rekisteröinnin tavoite ja henkilötietojen käsittelyn perusteet on selkeästi määritelty. Luonnoksen mukaan valmistelussa on identifioitu käyttötarkoitussidonnaisuuteen liittyen tiettyjä haasteita liittyen maahanmuuttohallinnossa toimiviin, jopa poikkeuksellisen lukuisiin rekisterinpitäjiin ja useiden käytettävien tietojärjestelmien kokonaisuuteen sekä useiden henkilötietolakien soveltamisaloihin liittyen. Kun ehdotetun lain soveltamisala ei olisi sidoksissa helposti tunnistettaviin tietojärjestelmiin tai rekistereihin, vaan henkilötietojen käsittelytarkoituksiin, henkilötietojen käsittelyyn sovellettavan lain tunnistaminen yksittäistapauksessa voi olla tulkinnanvaraista. Maahanmuuttohallinnon alalla viranomaisten toimivaltasäännökset sijoittuvat useisiin lakeihin. Ehdotetun sääntelyn perusteella jää täsmentymättä se, mitä henkilötietojen käsittelyä ehdotus tarkalleen koskee ja mikä on sen suhde rekisterinpitäjien toimivaltaan ja niiden omiin tietojärjestelmiin sekä niihin sovellettaviin henkilötietojen käsittelyä koskeviin erityislakeihin. Käytettäessä asetuksen kansallista liikkumavaraa lainsäädännön on oltava selkeää, täsmällistä ja sen soveltamisen on oltava ennakoitavaa. Ehdotetun sääntelyn täsmällisyyttä ja tarkkarajaisuutta tulee jatkovalmistelussa parantaa. Esityksessä tulisi hahmottaa eri rekisterinpitäjien toimintaa ja toimivaltaa koskevien lakien välinen suhde, siten, että käytännön toimijat saavat selkeän kokonaiskuvan relevantin lainsäädännön osalta. Käsittelytarkoituksiin perustuvan sääntelyn riskinä voi olla se, että säännökset jättävät loppukäyttäjän kannalta epäselväksi sen, mihin tietojärjestelmän osiin tai rekistereihin henkilötietoja olisi talletettava. Uusi sääntelymalli tulee edellyttämään rekisterinpitäjien antamaa ohjeistusta ja koulutusta. Sääntelyn tarkkarajaisuutta koskevan vaatimuksen näkökulmasta on kuitenkin huomattava, että ohjeistuksella ei saa täydentää rekisterien tietosisältöä, vaan tarkentaa, millä tavalla säännöksiä olisi tulkittava. Rekisterinpitäjät (3 ) Ehdotettu säännös sisältää ainoastaan luettelon rekisterinpitäjistä. Luonnoksen mukaan valmistelussa on todettu, että vaikka usean yhteisrekisterinpitäjän sääntelymalli ei ole erityisen selkeä, niin se kuvaa maahanmuuttohallinnon tosiasiallista tilannetta, jossa useat viranomaiset käsittelevät henkilötietoja lakisääteisten tehtäviensä toteuttamiseksi nyt säädettäväksi ehdotettavan maahanmuuttohallinnon henkilötietolain soveltamisalan piirissä.

4 (8) Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen asetuksessa vahvistettujen velvoitteiden noudattamiseksi, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Rekisterinpitäjää koskevilta osin ehdotusta tulisi täsmentää. Sääntelystä tulisi käydä ilmi rekisterin yhteisten rekisterinpitäjien todelliset roolit ja suhteet rekisteröityihin nähden. Kun rekisterinpitäjästä säädetään laissa, tulee määrittelyyn suhtautua erityisen tarkkaavaisesti ja varmistua siitä, että vastuu kahdentuu oikealle tasolla. Ulkomaalaisasioiden asiankäsittelyjärjestelmä ja kansallinen viisumitieto- järjestelmä (4 ja 5 ) Vaikka luonnoksessa ehdotetaan luovuttavaksi rekisteriperusteisesta sääntelystä, ehdotetaan siinä kuitenkin säädettäväksi ulkomaalaisasioiden asiankäsittelyjärjestelmästä ja kansallisesta viisumitietojärjestelmästä. Maahanmuuttovirasto ja ulkoasiainhallinto vastaisivat järjestelmien kehittämisestä ja ylläpidosta ja päättäisivät tietojen luovutuksesta teknisen käyttöyhteyden välityksellä tai kun on kysymys muiden kuin yksittäisten tietojen luovuttamisesta. Viitaten myös sääntelymallia koskeviin kommentteihin edellä, ehdotuksen perusteella jää epäselväksi, missä määrin lakia sovellettaisiin siihen henkilötietojen käsittelyyn, joka ei tapahdu edellä mainituissa tietojärjestelmissä. Henkilötietojen luovutuksen osalta vrt. kommentit koskien 13 pykälää. Käsiteltävät henkilötiedot (7 ja 8 ) Luonnoksessa esitetään säädettäväksi henkilötiedoista, joita lain soveltamisen piirissä olisi mahdollista käsitellä. Tarve yksittäisen henkilötiedon käsittelylle tiettyä tarkoitusta varten johdettaisiin aina toimivaltaa luovasta säännöksestä. Tietosisältöä koskeva sääntelyratkaisu olisi yleisluonteinen suhteessa voimassaolevaan sääntelyyn. Ehdotetussa sääntelyssä käytettäisiin henkilötietoja kuvaavia yläkäsitteitä. Ehdotuksen mukaan käsiteltäisiin mm. biometrisiä tunnisteita. Ehdotuksen 7 :n 2 momentin 7 kohdan mukaan saataisiin käsitellä rekisterinpitäjän havaitsemia tai sille ilmoitettuja tietoja, joiden voidaan olosuhteiden tai henkilön käyttäytymisen vuoksi perustellusti arvioida liittyvän rekisterinpitäjän toimivaltaan kuuluviin tehtäviin. Huomiotietoihin on liitettävä arvio tietojen antajan tai lähteen luotettavuudesta ja tietojen oikeellisuudesta, jos se on mahdollista. Ehdotetussa säännöksessä tallentamiskynnys olisi matala ja säännös jättäisi runsaasti tulkinnanvaraa lain soveltajille. Väljästi ja tulkinnanvaraisesti kirjoitetusta säännösehdotuksesta perusteluineen ei voi saada selkeää käsitystä siitä, mitä tietoja ehdotetun säännöksen perusteella voitaisiin käsitellä sekä millä edellytyksillä ja kuka rekisterinpitäjä niitä voisi käsitellä. Silloin kun viranomainen puuttuu henkilön oikeuspiiriin, tulee toimivallan perustua aina nimenomaiseen säännökseen. Pelkästään henkilötietojen käsittelyä koskevalla säännöksellä ei voida säätää toimivallasta.

5 (8) Havaintotietojen tyyppisiä tietoja käsittelevät pääsääntöisesti lainvalvontaviranomaiset oman toimivaltansa ja niitä koskevien erityislakien puitteissa. Nämä toimet eivät pääsääntöisesti kuulu tietosuoja-asetuksen soveltamisalaan. Tällaisten tietojen käsittelyyn liittyvät haasteet on tunnistettu myös eduskunnan toimesta. Esimerkiksi henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) muuttamisen yhteydessä perustuslakivaliokunta katsoi havaintotietojen luonteen vuoksi olevan tärkeää, että tietojen tallettamisen edellytyksiä tulkitaan suppeasti ja etenkin niin, että havaintotieto voidaan tallettaa poliisin henkilörekisteriin vain, jos on olemassa epäilys rikollisesta toiminnasta (PeVL T8/2012vp ). Ehdotuksessa ei ole selvitetty mikä toimivaltaperuste kullakin rekisterinpitäjällä on näitä tietoja käsitellä. Muutoinkin ehdotettu 7 :n 2 momentin 7 kohta ei täytä edellä selostettuja asetuksessa edellytettyjä tarkkarajaisuuden ja täsmällisyyden vaatimuksia. Ehdotettu säännös on myös ristiriidassa edellä selostetun perustusvaliokunnan lausuntokäytännön ja Euroopan ihmisoikeustuomioistuimen ratkaisukäytännön kanssa. Tietosuoja-asetuksen 9 artiklan 2 b, g, h, i.ja j alakohtiin perustuva erityisten henkilötietoryhmien käsittely sekä 1 O artiklan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely edellyttää, että käsittelyperusteen ohella kansallisessa lainsäännössä on säädetty asianmukaisista ja erityisistä suojatoimista rekisteröityjen oikeuksien ja vapauksien turvaamiseksi. Jatkovalmistelussa tulee yksilöidä mitä ehdotetun lain soveltamispiirissä olevat erityisiin henkilöryhmiin kuuluvat henkilötiedot ovat ja miten säädetään niistä erityisiä toimenpiteistä, joilla rekisteröidyn perusoikeuksia ja etuja käytännössä tältä osin turvataan. Kokonaisuutena arvioiden ehdotettu sääntely käsiteltävien henkilötietojen osalta yleisluonteiseksi, mikä vastaavasti mahdollistaa rekisteröitävien henkilötietojen sisällön ja laajuuden määrittelyn paljolti viranomaisten omin toimin. Huomioon on otettava se, että. perustuslakivaliokunta on pitänyt ongelmallisena sitä, jos säännöksen muotoilu jättää rekisteröitävien henkilötietojen sisällön viime kädessä paljolti viranomaisen omin toimin määriteltäväksi (PeVL 18/20l2 vp). Käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen (11 ) Ehdotuksessa esitetään säädettäväksi henkilötietojen käsittelystä muuhun kuin alkuperäiseen käyttötarkoitukseen. Asetuksessa lähtökohtana on 5 artiklassa säädetty käyttötarkoitussidonnaisuus. Asetuksen 23 artiklan mukaan jäsenvaltion lainsäädännössä voidaan kuitenkin säätää poikkeus asetuksen 5 artiklassa säädettyyn käyttötarkoitussidonnaisuuden periaatteeseen. Asetuksen johdantokappaleen 50 mukaan myös unionin oikeuden tai jäsenvaltion lainsäädännön tarjoama käsittelyn oikeusperuste henkilötietojen käsittelylle voi muodostaa käsittelyn oikeusperusteen myöhemmälle käsittelylle. Jotta voidaan varmistaa, onko myöhemmän käsittelyn tarkoitus yhteensopiva sen tarkoituksen kanssa, jota varten henkilötiedot alun perin kerättiin, rekisterinpitäjän olisi kaikki alkuperäisen käsittelyn laillisuutta koskevat vaatimukset ensin täytettyään otettava huomioon muun muassa kyseisten tarkoitusten ja suunnitellun myöhemmän käsittelyn tarkoitusten väliset yhteydet, tilanne, jossa henkilötiedot

6 (8) on kerätty, erityisesti myöhempään käsittelyyn liittyvät rekisteröidyn kohtuulliset odotukset, jotka perustuvat hänen ja rekisterinpitäjän väliseen suhteeseen; henkilötietojen luonne; suunnitellun myöhemmän käsittelyn seuraukset rekisteröidyille; ja asianomaisten suojatoimien olemassaolo sekä alkuperäisessä että suunnitellussa käsittelyssä. Kun henkilötietojen käsittely perustuu asetuksen 6 artiklan 1 kohdan c tai e alakohtiin voidaan kansallisen liikkumavaran puitteissa, tietosuoja-asetuksen 6 artiklaa 3 kohdan mukaisesti säätää niistä tahoista ja tarkoituksista, joihin henkilötietoja voidaan luovuttaa. Mikäli katsotaan, että tietojen käyttötarkoitus muuttuu luovutuksen seurauksena, on luovutuksen edellytyksiä arvioitava käyttötarkoitussidonnaisuuden periaatetta vasten, siten kuten tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetään. Luovutussäännöksen on oltava välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Mikäli katsotaan, että tietojen käyttötarkoitus luovutuksensaajankin osalta sisältyy huoneistotietojärjestelmän alkuperäiseen käyttötarkoitukseen, eikä käyttötarkoitus muutu luovutuksen seurauksena, voidaan luovutuksesta säätää suoraan artiklan 23 kohdan 1 mukaisten edellytysten puitteissa. Jatkovalmistelussa tulisi arvioida käyttötarkoitussidonnaisuuden toteutumista, siltä osin kuin henkilötietoja esitetään käytettäväksi muuhun kuin alkuperäiseen käyttötarkoitukseen. Tietojen luovuttaminen (13 ) Luonnoksessa tiedon luovutus olisi sidottu vastaanottavan viranomaisen lakisääteisiin tehtäviin perustuviin tiedonsaantioikeuksiin. Luonnoksen perustelujen mukaan rekisterinpitäjät päättäisivät itsenäisesti tietojen luovuttamisesta. Yhteisrekisterinpitäjyys ei luonnoksen mukaan loisi oikeutta luovuttaa kaikkia lain soveltamisalaan kuuluvia tietoja, vaan ainoastaan sellaisia tietoja, joita kyseinen viranomainen on toimivaltainen käsittelemään ja joista se rekisterinpitäjänä vastaa. Ehdotuksen (4 ja 5 ) mukaan maahanmuuttovirasto ja ulkoasiainhallinto kuitenkin päättäisivät tietojen luovuttamisesta tietojärjestelmistään, jos tietojen luovuttaminen tapahtuu teknisen käyttöyhteyden välityksellä tai jos on kysymys muiden kuin yksittäisten tietojen luovuttamisesta. Käytännössä henkilötietoja luovutetaan lähes yksinomaan teknisen käyttöyhteyden välityksellä. Luonnoksen 4, 5 ja 13 pykälien keskinäinen suhde jää tietojen luovutusta koskevan toimivallan osalta epäselväksi (ks. myös 11 pykälää koskevat kommentit käyttötarkoitussidonnaisuuden osalta). Virheelliseksi todettu tieto (15 ) Esityksen mukaan 15 :n mukaan, sen estämättä mitä tietosuoja-asetuksessa säädetään virheellisen tiedon poistamisesta, virheelliseksi todettu henkilötieto saadaan säilyttää korjatun henkilötiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai rekisterinpitäjän henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista henkilötietoa saadaan käyttää vain mainitussa tarkoituksessa.

7 (8) Ehdotettua säännöstä on vielä jatkovalmistelussa yksityiskohtaisesti arvioitava, erityisesti siitä näkökulmasta onko ehdotettu säännös kasallisen liikkumavaran puitteissa. Rekisteröidyn tarkastusoikeuden toteuttaminen (17 ) Ehdotuksessa säädettäisiin menettelystä omien tietojen tarkastusoikeuden toteuttamiseksi. Tarkastusoikeuden toteuttaminen edellyttäisi pyynnön esittämistä kirjallisesti tai henkilökohtaisesti rekisterinpitäjälle. Rekisteröidyn oikeudesta päästä tietoihin säädetään tietosuoja-asetuksen 15 artiklassa. Tietosuoja-asetuksen johdantokappaleen 63 mukaan rekisteröidyllä olisi oltava oikeus saada pääsy henkilötietoihin, joita hänestä on kerätty, sekä mahdollisuus käyttää tätä oikeutta vaivattomasti ja kohtuullisin väliajoin, jotta hän voi pysyä perillä käsittelyn lainmukaisuudesta ja tarkistaa sen. Johdantokappaleen 64 mukaan rekisterinpitäjän olisi käytettävä kaikkia kohtuullisia keinoja tarkistaakseen sellaisen rekisteröidyn henkilöllisyyden, joka haluaa saada pääsyn tietoihin erityisesti verkkopalvelujen ja verkkotunnistetietojen yhteydessä. Rekisterinpitäjän ei pitäisi säilyttää henkilötietoja ainoastaan mahdollisiin pyyntöihin vastaamista varten. Ehdotettua säännöstä on jatkovalmistelussa vielä yksityiskohtaisesti arvioitava, siitä näkökulmasta, onko ehdotettu säännös kasallisen liikkumavaran puitteissa. Automatisoidut yksittäispäätökset (18 ) Luonnos mahdollistaisi tietosuoja-asetuksen 22 artiklan 1 kohdassa tarkoitettujen automaattisen päätösten antamisen Maahanmuuttoviraston lakisääteisen tehtävän toimeenpanossa. Pykälässä säädettäisiin siitä, että Maahanmuuttovirasto voisi ulkomaalaisasioiden asiankäsittelyjärjestelmässä tehdä päätöksen täysin automatisoidusti, jolloin tietojärjestelmät suorittaisivat kaikki asiankäsittelyn ja päätöksenteon vaiheet ilman, että kukaan luonnollinen henkilö käsittelee asiaa. Ehdotuksen perustelujen mukaan automaattisia yksittäispäätöksiä voitaisiin tehdä myös lapsia koskevissa asioissa. Tietosuoja-asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Automatisoidut yksittäispäätökset ovat kuitenkin tietosuoja-asetuksen 22 artiklan 2 b kohdan mukaan mahdollisia, jos se on hyväksytty jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi. Tietosuoja-asetuksen johdantokappaleen 71 mukaan kyseiseen tietojenkäsittelyyn, mukaan lukien profilointiin, perustuva päätöksenteko olisi kuitenkin sallittava, jos siihen annetaan nimenomainen lupa rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, mukaan lukien lainsäädäntö, joka on annettu petosten ja verovilpin valvomiseksi ja torjumiseksi unionin toimielinten tai kansallisten valvontaelinten antamien asetusten, standar-

8 (8) dien ja suositusten mukaisesti, sekä rekisterinpitäjän tarjoaman palvelun turvallisuuden ja luotettavuuden varmistamiseksi, tai jos se on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Tällaiseen käsittelyyn olisi kuitenkin aina sovellettava asianmukaisia suojatoimia, joihin olisi kuuluttava käsittelystä ilmoittaminen rekisteröidylle ja oikeus vaatia ihmisen osallistumista tietojen käsittelemiseen, rekisteröidyn oikeus esittää kantansa, saada selvitys kyseisen arvioinnin jälkeen tehdystä päätöksestä ja riitauttaa päätös. Tällaista toimenpidettä ei saisi kohdistaa lapseen. Tietosuoja-asetuksen mukaan automatisoitua päätöksentekoa ei voi kohdistaa lapseen. Ehdotuksessa ei myöskään ole esitetty riittäviä asianmukaisia suojatoimia joita tietosuoja-asetus automatisoitujen yksittäispäätösten osalta edellyttää. Menettely ehdotetussa muodossaan on ristiriidassa asetuksen kanssa. Valvonta ja ohjeistus Esitys sisältää ehdotuksia, jotka merkittävällä tavalla lisäisivät ohjeistuksen ja laintulkinnan merkitystä. EU:n tietosuojalainsäädäntö asettaa erityisiä vaatimuksia sille, että rekisterinpitäjä kiinnittää enemmän huomiota henkilötietojen käsittelyn valvontaan. Esityksessä ei ole käsitelty henkilötietojen käsittelyn valvonnan kehittämistä tai sen riittävyyttä esitettyjen muutosten näkökulmasta. Asiaan olisi kiinnitettävä huomioita jatkovalmistelun yhteydessä. Tietosuojaa koskeva vaikutustenarviointi Tietosuoja-asetuksen 35 :n 1 kohdan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa - käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen - luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Tietosuoja-asetuksen 35 artiklan 1 O kohdan mukaan, jos 6 artiklan 1 kohdan c tai e alakohdan mukaisen käsittelyn oikeusperusteena on rekisterinpitäjään sovellettava unionin oikeus tai jäsenvaltion lainsäädäntö, joka säätelee siihen liittyvää käsittelytointa tai käsittelytoimia, ja tietosuojaa koskeva vaikutustenarviointi on jo tehty yleisen vaikutustenarvioinnin osana kyseisen käsittelyn oikeusperusteen hyväksymisen yhteydessä, 1-7 kohtaa ei sovelleta, paitsi jos jäsenvaltiot katsovat tarpeelliseksi toteuttaa tällaisen arvioinnin ennen käsittelytoimien aloittamista. 11. Ehdotukseen olisi tarkoituksenmukaista osana lainvalmistelua liittää edellä mainittu tietosuojaa koskeva vaikutustenarviointi, jossa arvioitaisiin toimintaan liittyviä riskejä, esimerkiksi henkilötietojen käsittelyyn liittyviä mahdollisia tietosuojaloukkauksia, niiden seurauksia sekä henkilötietojen virheettömyyttä, virheellisen tiedon korjaamista ja virheellisen tiedon vaikutusta rekisteröidyn asemaan ja oikeuksiin. \ Tietosuojavaltuutettu Reijo :::: fj.-------=---- Ylitari<astaja ~utit~

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute