Anna-Riitta Wallin HE 284/2018

Samankaltaiset tiedostot
Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

7 Poliisin henkilötietolaki 50

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tanja Jaatinen VN/3618/2018 VN/3618/2018-OM-2

TIETOSUOJAVALTUUTETUN TOIMISTO

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tutkittavan informointi ja suostumus

Kansallinen tietosuojalaki

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Itsemääräämisoikeus ja yksityisyydensuoja

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Sisällysluettelo. 1 JOHDANTO Irma Pahlman... 11

Talousvaliokunta klo 11:20

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Eduskunnan perustuslakivaliokunnalle

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

1. Arvionne lukuun 1 Johdanto

REKISTERISELOSTE Henkilötietolaki (523/99) 10

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Rekisteri on perustettu Rauman kaupungin sosiaali- ja terveystoimialan terveyspalvelujen käyttöä varten.

Työelämän tietosuojalaki Johanna Ylitepsa

LAUSUNTO Dnro 5935/96/2018

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Tietosuoja-asetus ja sen kansallinen implementointi

Juha Lavapuro Lausunto

HE 151/2012 vp. Esityksessä ehdotetaan muutettavaksi kiinteistötietojärjestelmästä

Nimi Tampereen kaupunki, kiinteistötoimi. Aila Taura p Marjut Malo-Siltanen p ja Jaana Rimpi-Muhonen p.

Ilmoitetaan, että asia on saapunut valiokuntaan lausunnon antamista varten suurelle valiokunnalle.

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Tiedollinen itsemääräämisoikeus ja MyData

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

HE 160/2005 vp. Esityksessä ehdotetaan muutettavaksi pelastuslakia

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Webinaarin sisällöt

LAUSUNTO OM 198/43/2015

PÄÄASIALLINEN SISÄLTÖ

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ PERUSTELUT

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Tietosuoja-asetus Immo Aakkula Arkistointi

AHVENANMAAN ITSEHALLINNON KEHITTÄMINEN AHVENANMAA-KOMITEAN 2013 LOPPUMIETINTÖ

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Lausunto. Lausuntopyynnön diaarinumero: VM/1709/ /2016 VM098:00

Helsingin kaupunki Pöytäkirja 31/ (6) Kaupunginhallitus Asia/ Kaupunginhallitus päätti panna asian pöydälle.

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

LAKIVALIOKUNNAN MIETINTÖ 13/2008 vp. Hallituksen esitys laiksi Eurojustia koskevan. koskevan päätöksen eräiden määräysten täytäntöönpanosta JOHDANTO

REKISTERISELOSTE Henkilötietolaki (523/99) 10

PÄÄASIALLINEN SISÄLTÖ

Tietojen saamisesta ja luovuttamisesta eri organisaatioiden välisessä moniammatillisessa yhteistyössä Tietosuojavaltuutettu Reijo Aarnio

Tulevat säädösmuutokset ja tietosuoja

Lausunto Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.

OPPILASREKISTERISELOSTE

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Siikalatvan kunnan koulutuslautakunta/ Aleksanterin koulu. Yhteystiedot (osoite, puhelin)

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

TARKISTUSLISTA HENKILÖTIETOJEN LUOVUTUSMENETTELYÄ SUUNNITELTAESSA HUOMIOON OTETTAVISTA ASIOISTA

Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä.

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1163/031/2018

Muutokset lakiin sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007)

HE 14/2015 vp. Hallituksen esitys eduskunnalle laeiksi ajoneuvoliikennerekisteristä annetun lain 15 :n ja tieliikennelain 105 b :n muuttamisesta

Hallituksen esitys laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

HE 112/2009 vp. Esityksessä ehdotetaan säädettäväksi laki Kansaneläkelaitoksen oikeudesta saada vammaisten henkilöiden tulkkipalveluja koskevia

Lausunto Opetus- ja kulttuuriministeriölle. Viite: Lausuntopyyntönne (OKM/34/010/2018)

Lausunto. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa.

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2407/03/2015 ' Opetus- ja kulttuuriministeriö

LAUSUNTO PERUSTUSLAKIVALIOKUNNALLE

Tietosuojavaltuutetun lausunto YLEINEN OSA

REKISTERISELOSTE Henkilötietolaki (523/99) 10

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Ilma-alusrekisteri ja tiedonluovutus

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

Transkriptio:

Anna-Riitta Wallin 6.2.2019 HE 284/2018 HALLITUKSEN ESITYS EDUSKUNNALLE LAIKSI JULKISEN HALLINNON TIEDONHALLINNASTA SEKÄ ERÄIKSI SIIHEN LIITTYVIKSI LAEIKSI (284/2018 VP); LAUSUNTO EDUSKUNNAN PERUSTUSLAKIVALIOKUNNALLE 1. Esityksen sisällöstä, taustasta ja valmistelusta Hallituksen esitykseen sisältyy ehdotus laiksi tiedonhallinnasta julkishallinnossa (lakiehdotus n:o 1; jäljempänä tiedonhallintalaki) sekä ehdotukset 39 lain muuttamisesta. Laki olisi esityksen perustelujen mukaan tiedonhallintaa koskeva yleislaki, joka koskisi laajasti viranomaistoiminnassa tapahtuvaa tiedonhallintaa. Ehdotetulla tiedonhallintalailla säänneltäisiin elinkaaren hallintaan liittyvistä vaatimuksista yhtenäisellä tavalla koskien koko julkista hallintoa. Uudistuksen tavoitteet ovat ymmärrettäviä ja tärkeitä. Uudistukseen sisällytetyt lakiehdotukset eivät kuitenkaan näytä toteuttavan tavoitteita asianmukaisella ja lainsäädäntökokonaisuuteen sopivalla tavalla. Tiedonhallintalaki ei kattaisi viranomaisinformaation koko elinkaarta, koska arkistolainsäädäntö on jätetty sen ulkopuolelle. Ehdotettujen säännösten välinen sekä ehdotetun yleislain suhde erityislainsäätöön jää epäselväksi. Eri lakien funktioihin ei näytä kiinnitetyn riittävästi huomiota. Edellä kuvatut seikat kuvastanevat osaltaan sitä, että lainvalmistelulla ei ole varattu riittävästi aikaa. Ehdotetun tiedonhallinnan luonne yleislakina olisi edellyttänyt laajempaa eri hallinnonalojen osallistumista. Lainvalmistelun aikataulua kuvaa se, hallituksen esitys perustuu käytettävissä olevien tietojen mukaan työryhmän työhön, josta ei laadittu mietintöä ja että esitys on annettu varsin pian laajan lausuntokierroksen jälkeen. 2. Arviointia suhteessa perustuslakiin 2.1. Tarkastelutapa Esityksen perustelujen suhdetta perusoikeuksiin selostavassa jaksossa on yleisellä tasolla varsin laajasti käsitelty henkilötietojen suojaa, kunnallista itsehallintoa sekä julkisen hallintotehtävän ja asetuksenantovaltuuksien antamista koskevaa perustuslain sääntelyä. Jäljempänä tarkastellaan hallituksen esitystä osana julkishallinnon informaatiooikeudellista sääntelyä ja erityisesti tiedollisten perusoikeuksien kannalta. Asetuksenantovaltuuksia ja oikeusturvaan liittyviä kysymyksiä on tarkasteltu vain niiltä osin kuin ne liittyvät muutoinkin tarkastelun kohteena oleviin säännösehdotuksiin.

2 Tarkastelu on ryhmitelty hallituksen esityksessä esiin tulevien kysymysten mukaisessa järjestyksessä. Tämä johtuu siitä, että samat säännökset ovat relevantteja eri perusoikeuksien näkökulmasta. 2.2. Lokitietojen kerääminen Ehdotetun tiedonhallintalain 17 :ssä on säännökset lokitietojen keräämisestä. Sen mukaan viranomaisen on huolehdittava, että sen tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen. Tietojen tallentuminen tietojärjestelmän tietojenkäsittelytapahtumista on merkittävä keino tietojenkäsittelyn lain- ja asianmukaisuuden valvomiseksi. Säännöksen kirjoittamistapa ei kuitenkaan ole kovin informatiivinen eikä siitä selkeästi ilmene se, että henkilöstä (tietojärjestelmän käyttäjänä, tietojen kohteena) talletetaan tietoja lokitietoina. Lokitietojen keräämistä koskeva velvoite on myös ilmaisu tavalla, josta ei sellaisenaan voi päätellä, milloin tiedot on kerättävä. Kun hallituksen esityksen tavoitteena on lisätä tietojen sähköistä luovuttamista viranomaisten välillä, olisi ollut luonnollista kiinnittää huomiota myös hallinnon asiakkaan asemaan ja oikeuksiin. Pykälän perusteluiden mukaan tiedonsaanti lokitiedoista perustuisi lakiin viranomaisten toiminnan julkisuudesta (621/1999; jäljempänä julkisuuslaki) ja erityissäännöksiin. Ottaen huomioon rekisteröidyn tarkastusoikeus yleisenä rekisteröidyn keinona valvoa ja siten myös vaikuttaa itseään koskevien tietojen käsittelyyn, olisi ollut perusteltua, että lakiin olisi otettu rekisteröidyn tarkastusoikeutta koskeva säännös. Aikaisemmin voimassa olleen henkilötietolain (523/1999) soveltamiskäytännössä tietosuojavaltuutettu on katsonut, ettei rekisteröidyn tarkastusoikeus kohdistu lokitietoihin. EU:n tietosuoja-asetus eikä sen täydentämiseksi annettu tietosuojalaki (1050/2018) eivät näytä selkeyttävän tilannetta. EU:n tietosuoja-asetus ei näyttäisi estävän tällaisen säännöksen antamista, joka liittyy virallisten asiakirjojen julkisuutta koskevien tietojenkäsittelyä koskeviin erityisvaatimuksiin (asetus 6 artiklan 2 kohta, 86 artikla). 2. 3. Tietojen luovuttaminen sähköisesti Henkilötietojen ja salassa pidettävien tietojen suoja Ehdotetun tiedonhallintalain 22 ja 23 :ssä ovat säännökset tietojen luovuttamista sähköisesti viranomaiselta toiselle. Esitykseen sisältyy myös ehdotukset yhteensä puolentoistakymmenen lain muuttamisesta siten, että niistä kumottaisiin erityissäännökset tietojen luovuttamisesta teknisen käyttöyhteyden

3 avulla. Lainsäädännössä on muutettaviksi ehdotettujen lakien lisäksi koko joukko muitakin säännöksiä, joissa säädetään tietojen luovuttamisesta teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Tällaisten säännösten suhdetta ehdotettuihin 22 ja 23 :ään ei ole määritelty. Säännösehdotukset ovat merkityksellisiä sekä perustuslain 10 :n 1 momentissa säädetyn henkilötietojen että salassa pidettävien tietojen suojan kannalta. Salassapitosäännöksillä on vähintäänkin välillistä merkitystä myös muihin perusoikeuksiin, kuten oikeuteen työhön ja elinkeinovapauteen. Kun kysymys on uudesta ja yleislaiksi tarkoitettuun lakiin ehdotettavasta sääntelystä, tarkastelussa on syytä ottaa huomioon myös perustuslain 21 :ssä säädetty oikeus oikeusturvaan ja sitä toteuttavan hallintolain (343/2003) sääntelyyn. Julkisuuslaki säädettiin perustuslakivaliokunnan myötävaikutuksella (PeVL 42/1998). Lain 16 :ssä ovat säännökset asiakirjan antamistavoista. Sen 3 momentissa on erityissäännös tietojen luovuttamisesta henkilörekisteristä mm. sähköisesti. Lain 7 luvussa puolestaan ovat säännökset salassa pidettävien tietojen luovuttamisesta. Tietoja voidaan salassapitovelvollisuuden estämättä luovuttaa, jos laissa niin nimenomaisesti erikseen säädetään. Lain 29 :n 3 momentin mukaan viranomainen voi avata toiselle viranomaiselle teknisen käyttöyhteyden henkilörekisterinsä sellaisiin tietoihin, jotka toisen viranomaisen on laissa erikseen säädetyn velvollisuuden mukaan otettava päätöksenteossaan huomioon. Jos henkilötiedot on säädetty salassa pidettäväksi, käyttöyhteyden avulla saa hakea tietoja vain henkilöistä, jotka ovat antaneet siihen suostumuksensa, jollei salassa pidettävien tietojen luovuttamisesta erikseen nimenomaisesti säädetä toisin. Julkisuuslain yleistä säännöksistä huolimatta muuhun lainsäädäntöön on otettu säännöksiä viranomaisen oikeudesta joko luovuttaa tai saada tietoja toiselta viranomaiselta teknisen käyttöyhteyden avulla tai muutoin sähköisesti. Tämä on johtunut osin perustuslakivaliokunnan tulkinnoista, osaksi viranomaisten tarpeesta saada tehokkaasti käyttöönsä ne tiedot, joita toiminnassa tarvitaan. Perustuslakivaliokunnan lausunnossa hallituksen esityksestä EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (PeVL 14/2018 vp) on esitetty valiokunnan kannanottoja henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen. Tarpeeton ja raskaaksi koettu sääntely ilmenee oman käsitykseni mukaan erityisesti viranomaisten ylläpitämien rekistereiden tietosisältöä määrittelevinä erityissäännöksinä tilanteissa, joissa kysymys ei ole poikkeamisesta henkilötietojen tarpeellisuusvaatimuksesta eikä arkaluonteisista tiedoista. Perustuslakivaliokunta on edellä mainitussa lausunnossa katsonut, ettei estettä ole sille, että henkilötietojen suojaan liittyvän sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltakin osin täyttää myös EU:n tietosuoja-asetuksella tai kansallisella yleislailla.

4 EU:n yleistä tietosuoja-asetusta täydentäväksi on säädetty kansallinen tietosuojalaki. Sen käsittelyn lainmukaisuutta koskevan 4 :n mukaan 2 kohdan mukaan henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Tämä henkilötietojen suojan yleislain säännös ei täyttäne valiokunnan kannanoton mukaista sääntelyn riittävyyttä kysymyksen ollessa usein salassa pidettävien tai arkaluonteisten henkilötietojen sähköisestä luovuttamisesta viranomaisten välillä. EU:n tietosuoja-asetuksen kannalta ehdotettujen säännösten arviointi ei ole aivan yksinkertaista. Salassa pidettävien asiakirjojen luovuttamista koskevat erityissäännökset johtuvat kuitenkin Suomessa toteutetusta laajasta julkisuusperiaatteen soveltamisesta. Salassapitosäännökset ovat keino mahdollisimman laajan julkisuuden toteuttamiseksi ja niistä tehtävät poikkeukset vastaavasti keino ottaa huomioon hallinnon toimivuuteen, ihmisten oikeusturvaan (asianosaisjulkisuus) ja esim. tieteelliseen tutkimukseen ja tilastointiin liittyvät intressit. Jäsenvaltiot voivat EU:n tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi määrittelemällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset muissa erityisissä käsittelytilanteissa siten kuin asetuksen IX luvussa säädetään (= esim. virallisten asiakirjojen julkisuus, 84 artikla). Esityksen perusteluiden mukaan ehdotetuissa 22 ja 23 :ssä tarkoituksena ei ole ollut muuttaa tiedonsaantioikeutta koskevia säännöksiä. Näin ei tarkkaan ottaen kuitenkaan ole. Osa tiedonsaannin mahdollistavista säännöksistä on muotoiltu tiedonanto-oikeutta koskeviksi säännöksiksi, mikä ilmenee myös eräistä muutettaviksi ehdotetuista laeista. Jos jollakin on nyt oikeus esim. salassa pidettävien tietojen luovuttamiseen, tämä muuttuisikin mahdolliselle luovutuksensaajalle tiedonsaantioikeudeksi. Kysymys on näiltä osin viime kädessä viranomaiselle omista tietoaineistoistaan kuuluvan määräämisvallan kaventamisesta, mitä ei tulisi tehdä teknisiksi esitettyinä muutoksina. Ehdotettuja säännöksiä tarkasteltaessa huomiota onkin väistämättä kiinnitettävä säännösten sanamuotoon ja informatiivisuuteen: tietojen luovutus teknisen rajapinnan avulla on toteutettava tai katseluyhteys voidaan avata, jos viranomaisilla on tietoihin laissa säädetty tiedonsaantioikeus. Sekä henkilötietojen että salassa pidettävien tietojen suojan kannalta olennaista on, että tietoja luovutetaan siinä tarkoituksessa, joista tiedonsaantia koskevassa säännöksessä määritellään. Ei siis riitä, että luovutuksensaajana olevalla viranomaiselle ylimalkaan on oikeus joissakin tilanteissa saada tietoja. Luovutettavien tietojen käyttötarkoitus on relevantti sekä henkilötietojen suojan että salassa pidettävien tietojen kannalta. Nykyiset sähköistä luovuttamista koskevat säännökset ovathan ne osa tiettyä toiminnallista yhteyttä koskevaa

5 lainsäädäntöä osoittavat edellä tarkoitetut seikat usein varsin selkeästi; täsmällisesti ja tarkkarajaisesti perusoikeuksien yleisten rajoitusperusteiden käsitteitä käyttäen. Säännökset ehdotetuilla tavoilla muotoiltuna voivat siten käytännössä johtaa tiedonsaantioikeuksia määrittelevistä säännöksistä poikkeavaan sääntelyyn. Lakiehdotuksen 22 :n 1 momentin kolmannen virkkeen mukaan viranomainen voi avata teknisen rajapinnan tiedonsaantiin oikeutetulle viranomaiselle myös muissa tilanteissa. Perustelujen mukaan säännöksen tarkoituksena on mahdollistaa viranomaisten tietojärjestelmien välinen tietojenvaihto muissakin kuin säännöllisesti toistuvissa vakiomuotoisissa tiedonsiirroissa, mutta tältä osin tiedonsiirron järjestäminen tietojärjestelmien välillä ei olisi pakollista. Kysymykseen tulisivat tilanteet, joissa tietoluovutukset eivät olisi säännöllisiä, mutta ne olisivat vakiosisältöisiä. Perusteluissa oleva maininta luovutettavien tietojen vakiosisällöstä ei käy mitenkään ilmi itse säännöksessä. Lakiehdotuksen 22 :n 2 momentin mukaan tietojen luovuttaminen teknisten rajapintojen avulla on toteutettava tietojärjestelmien välillä siten, että teknisesti varmistetaan luovutettavien tietojen tapauskohtainen tarpeellisuus tai välttämättömyys tietoja saavan viranomaisen tehtävien hoitamiseksi, jos luovutettavat tiedot ovat henkilötietoja tai salassa pidettäviä tietoja. Lisäksi viitataan tietoturvallisuutta koskevaan 4 lukuun. Säännös edellyttäisi perustelujen mukaan tietojen luovutuksen kontrollia, kun tietoja tarvitsevalla viranomaisella olisi jokin asia käsiteltävänä tai palvelu tuotettavana ja johon tietoja luovutettaisiin teknisten rajapintojen avulla. Perustelutekstin mukaan riittävää näyttäisi olevan, että luovutuksensaaja kontrolloi sen, onko tiedon kohdetta (rekisteröityä) koskeva asiakassuhde ja vastaava aktiivisessa vaiheessa. Vähintäänkin epäselväksi jää, miten tietoja luovutettaessa tietojen välttämättömyys toisen viranomaisen tehtävien hoidossa olisi tietojärjestelmän avulla toteutettavissa. Ehdotetun 22 :n 3 momentin mukaan teknisen rajapinnan avulla luovutettavien tietojen tietorakenteen kuvauksen määrittelee ja sitä ylläpitää tiedot luovuttava viranomainen. Suunniteltaessa usean viranomaisen välistä tietojen luovuttamista teknisten rajapintojen avulla, on tietorakenteen kuvaus määriteltävä ja ylläpidettävä toimialasta vastaavan ministeriön johdolla. Perusteluissa todetaan viranomaisten välisen tietojenvaihdon teknisten rajapintojen avulla olevan monissa tapauksissa verkottunut, jolloin ei välttämättä ole määriteltävissä viranomaista, joka tietorakenteen määrittelee. Tällaisia tilanteita on erityisesti kunnissa ja muissa viranomaisissa, jotka hoitavat omalla alueellaan viranomaistehtävää. Tästä syystä momentissa olisi säädetty tilanteesta, jossa tietojen luovuttaminen tapahtuisi usean viranomaisen välillä. Määrittelemällä

6 tietorakenteet toimialasta vastaavan ministeriön johdolla voitaisiin perustelujen mukaan varmistaa, että tietorakenteiden määritys olisi koordinoitua ja tehokasta. Ehdotus antaa aiheen kysyä, miten ministeriö voisi määrittää kunnan ja sen viranomaisten tekniset rajapinnat esim. tilanteissa, joissa tietojenvaihto toteutetaan kunnan omaan toimialaan kuuluvien tehtävien hoitamiseksi tai mitä olisivat ne kunnan lakisääteiset tehtävät, joihin velvoite liittyisi. On myös sellaisia valtakunnallisia tietojärjestelmiä, joissa on vain yksi rekisterinpitäjä ja joiden avulla tieto siirtyy verkostuneesti usean viranomaisen välillä. Tällaisesta esimerkkinä sopinee mainita oikeushallinnon valtakunnallinen tietojärjestelmä (872/2010), jonka rekisterinpitäjänä toimii Oikeusrekisterikeskus. Ehdotettu säännös olisi omiaan hämärtämään vastuusuhteita ja viranomaisen vastuuta ja velvollisuuksia omista tietoaineistoistaan. Lakiehdotuksen 22 :n kaltaisen säännöksellä voisi sinänsä olla perusteita. Eri asia on, että sitä valmisteltaessa tulisi olla mahdollisimman hyvä kokonaiskuva tietojen luovuttamista koskevista erityissäännöksistä ja että uusien säännösten muotoilulla ei välillisestikään vaikuteta tiedonsaantioikeutta tai tietojenluovutusoikeutta koskevien säännösten asialliseen sisältöön. Oikeus oikeusturvaan tietoja sähköisesti luovutettaessa Hallintolain 42 :n tietojen kirjaamista koskevan säännöksen mukaan tiedot suullisesti esitetyistä vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun, on kirjattava tai muulla tavoin rekisteröitävä. Sama koskee henkilötietolaissa 1 tarkoitetusta henkilörekisteristä saatua tietoa. Ehdotetusta 23 :stä ei käy ilmi, ovatko ao. tietojenluovutustavat sellaisia, että niitä käyttämällä luovutuksensaaja voi helposti ja sähköisessä muodossa kopioida hallintolain 42 :ssä säädetyn velvoitteen täyttämiseksi luovutuksen perusteella hallintoasian käsittelyä varten toiselta viranomaiselta hankkimansa tiedot. Jos ja kun sähköisellä tiedonsaannilla halutaan edistää hallinnon tehokkuutta, ei liene tarkoituksenmukaista, että tietojen haku ja sen perusteella saadut tiedot tulisi manuaalisesti lisätä tiedot saavan viranomaisen järjestelmään. Asia on merkityksellinen asianosaisen kannalta, koska tietojärjestelmiin voi eri syistä sisältyä vanhentuneita tai muutoin käyttötarkoituksen kannalta virheellisiä henkilötietoja, joita voidaan käyttää päätöksenteon perusteena. Yleisiä tiedonsiirtoon sovellettavia säännöksiä annettaessa tämä seikka olisi otettava huomioon. 1 Tietosuojalain säätämisen yhteydessä lainsäädäntöön sisältyviä viittaussäännöksiä ei muutettu eikä lain siirtymäsäännöksissäkään ole asiasta mainintaa.

7 Lakiehdotuksen 22 :ssä on erityissäännös katseluyhteyden avaamisesta toiselle viranomaiselle. Tällaisen luovuttamistavan tarve ja siitä saatava hyöty samoin kuin luovuttamistavan käyttötilanteet jäävät epäselviksi. Säännösten paikka Julkisuuslain muuttamista koskevan lakiehdotuksen mukaan lain 16 :n tiedon antamistapaa koskevaan säännökseen lisättäisiin uusi 4 momentti, johon otettaisiin viittaussäännös tiedonhallintalain tiedon antamista koskevan teknisen rajapinnan ja katseluyhteyden avulla koskeviin säännöksiin. Kuten hallituksen esitys jo itsessään näiltä osin osoittaa, kysymys on julkisuuslain soveltamisalaan ja funktioon kuuluvasta asiasta: se, mitä tietoja ja millä tavoin viranomaisten asiakirjasta annetaan, kuuluu julkisuuslain soveltamisalan piiriin. Tiedonhallintalain on tarkoitus olla soveltamisalaltaan yleislaki, ei erityissäädös, jossa tulisi poiketa julkisuuslaissa säädetystä. Siten teknisen rajapinnan ja katseluyhteyden avulla annettavien viranomaisten asiakirjojen antamista koskevat säännökset kuuluvat julkisuuslakiin. Myöskään julkisuuslain 29 :n 3 momentin ehdotetulle kumoamiselle ei ole perusteita. Näin etenkin sen vuoksi, että ehdotetun tiedonhallintalain mukaan salassapitosäännösten ja tiedon antamistapaa koskevien säännösten suhde jää epäselväksi. Sähköinen tiedonsiirtoa viranomaisten välillä on jo nykyisin säännelty laajasti eikä ehdotettujen 22 ja 23 :ää tarve siten käytännön syistä ole kiireellinen. Kysymys liittyy enemmänkin lainsäädännön säädöshuoltoon, mikä tulisi toteuttaa eri viranomaisten koordinoituna yhteistyönä ministeriöiden välillä. Ottaen huomioon säännösten luonne julkisuuslain funktioon kuuluvana säätelynä ja ministeriön rooli lainvalmistelun yleisohjauksessa, koordinointitehtävä sopisi luontevasti oikeusministeriölle. 2.4. Asiakirjoihin tehtävät merkinnät sekä tietoturvallisuuden sääntely Esitykseen sisältyy säännöksiä, joilla voi olla tai on vaikutuksia henkilötietojen suojan ja julkisuusperiaatteen mukaisen tiedonsaantioikeuden toteutumiseen. Ehdotetun tiedonhallintalainlain 18 :ssä on säännökset turvallisuusluokiteltavista asiakirjoista valtionhallinnossa. Esityksen perustelujen mukaan tarkoitus on luopua kokonaan suojaustasoluokituksesta, joka lähtökohtaisesti on sovellettavissa kaikkiin salassa pidettäviin asiakirjoihin. Turvallisuusluokista poistuisi alin turvallisuusluokka KÄYTTÖ RAJOITETTU, jota nykyään käytetään kansainvälisissä tietoturvallisuusvelvoitteita koskevissa asioissa. Suomea sitovat kansainväliset velvoitteet perustustuvat lukuisiin kahdenkeskisiin sopimuksiin sekä kahteen kansainväliseen yleissopimukseen. Niissä kaikissa on mukana ao. turvallisuusluokka tai Suomi on ilmoittanut

8 sopimuspuolena sen yhdeksi täällä käytettäväksi turvallisuusluokaksi yleistä kansainvälisen käytäntöä vastaavalla tavalla. Suomen edun mukaista on, että täältä ulkomaille toimitettaviin asiakirjoihin voidaan tietojen suojaamiseksi käyttää tilanteen mukaan ao. merkintää. Julkisuuslain muuttamista koskevan lakiehdotuksen 15 :n 3 momenttia muutettaisiin siten, että velvollisuudesta turvallisuusluokkaa koskevan merkinnän tekemisestä viitattaisiin suoraan ja yksinomaan tiedonhallintaa julkishallinnossa koskevaan lakiin. Viittaussäännös tällä tavalla muotoiltuna voi aiheuttaa tulkintaongelmia sen suhteen, mikä merkitys asiakirjaan tehdyillä merkinnöillä on suhteessa asiakirjan julkisuuden määräytymiseen. Voimassa olevassa lainsäädännössä selkeän yksiselitteinen lähtökohta ja pääsääntö on, että merkinnät eivät sellaisenaan julkisuuslain mukaista tiedonsaantipyyntöä käsiteltäessä luo tai merkitse salassapitovelvollisuutta; ne toimivat ja välittävät tiedon asiakirjapyyntöä käsittelevälle eräänlaisena varoituksena. Julkisuuslain muuttamista koskevan lakiehdotuksen 25 :n 2 momenttiin ehdotetut muutokset ja sen perustelut ovat myös omiaan lisäämään väärinkäsitysten vaaraa. Ehdotuksen mukaan 2 momenttiin lisättäisiin lause salassapitomerkinnän poistamisesta tai muuttamisesta. Perusteluissa (s. 124) todetaan ehdottomana sääntönä, että kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) mukaan turvallisuusluokitellut asiakirjat olisivat aina salassa pidettäviä. Näin ei kuitenkaan ole. Salassapitovelvollisuus on selvitettävä samalla tavalla kuin muutoinkin sen tilanteen mukaisena, jossa tietoa pyydetään. Salassapitovelvoite on lisäksi riippuvainen kansainvälisen tietoturvallisuusvelvoitteen sisällöstä. Suomi on lisäksi sopimuksissa toiminut julkisuusperiaatteen huomioon ottavalla tavalla. Useimmat Suomea sitovat sopimukset sisältävät muun ohella lausekkeen, jonka mukaan toinen sopimuspuoli, kuten Suomi, voi aina pyytää tietoa siitä, onko turvallisuusluokitus edelleen voimassa. Kun otetaan huomioon ehdotetun julkisuuslain 15 :n 3 momentti ja 25 :n 2 momentin muotoilu ja esityksen perustelut, vaarana on, että turvallisuusluokitusta osoittavaa merkintää voitaisiin vastakohtaisuuspäätelmän vuoksi pitää rajoituksena tiedon antamiselle asiakirjasta. Siksi näyttäisikin välttämättömältä, että 15 :ssä ei viitattaisi suoraan tiedonhallintaa julkishallinnossa koskevaan lakiin, vaan että turvallisuusluokituksesta säädettäisiin nykyiseen tapaan lain 25 :ssä, johon sisällytettäisiin sopivalla tavalla viittaus tiedonhallintaa julkishallinnossa koskevaan lakiin. Asiakirjan luokitus tietoturvallisuuden toteuttamiseksi on ensisijaisesti hallinnon sisäisiä velvoitteita osoittava menettely. Sen avulla ei voida eikä saa syrjäyttää perustuslain 12 :n 2 momentissa säädetyn julkisuusperiaatteen toteuttamista koskevan julkisuuslain sääntelyä. Turvallisuusluokitusmerkintää koskevat säännökset tulisi olla julkisuuslaissa.

9 Suojaustasoluokituksesta luopumisella tietoturvallisuuden toteuttamiseksi on erilaisia seurauksia. Yhtenäisesti sovellettavat tietoturvallisuustasovaatimukset on nähty viranomaisten välisen tietojenvaihdon edellytykseksi. Ehdotus merkinnee, että merkittävä osa julkishallinnon päätöksenteossa yleisesti käytettävistä tietojärjestelmistä jäisi tietoturvallisuusluokituksen ulkopuolelle. Henkilötietojen suojan kannalta onkin merkityksellistä, että tällaiset tietojärjestelmät ovat säännönmukaisesti henkilörekistereitä, joiden tietoja käytetään mm. sosiaalihuollon ja -turvan toteuttamiseksi tai muutoin yksilöä koskevaan päätöksentekoon, jotka usein sisältävät arkaluonteisia henkilötietoja ja jotka nykyisen sääntelyn mukaan voidaan luokitella. EU:n tietosuoja-asetus ei estä kansallista lainsäädäntöä. Asetuksen johdantokappaleessa 51 päinvastoin todetaan, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietoryhmiä (arkaluonteiset tiedot) koskevia tietosuojasäännöksiä. Johdantokappaleessa 52 puolestaan todetaan, että arkaluonteisten tietojen käsittelykiellosta olisi voitava poiketa jäsenvaltion lainsäädännöllä, jos se tapahtuu asianmukaisia suojatoimia soveltaen. Ehdotetusta tiedonhallintalain 18 :stä ei ilmene nykyisen lainsäädännön tapaan tietoturvallisuusluokituksen tarkoitusta ilmentäviä syitä (ks. esim. julkisuuslain 25 :n 3 momentti ja 36 :n 3 5 kohta). Tämä vaikuttaa lakiehdotuksen 4 momentin ja siinä säädettäväksi ehdotetun asetuksenantovaltuuden riittävyyteen ja toimivuuteen. Eritasoiset suojaustasoluokat eroavat toisistaan suojattavien etujen merkittävyyden mukaan. Suojaustasoluokituksen tarkoituksena on osoittaa, minkälaisia tietoturvallisuusvaatimuksia on kulloinkin noudatettava käsiteltäessä luokiteltuja tietoaineistoja. Suojaustasoluokitus määrittelee myös turvallisuusluokiteltavien asiakirjojen tietoturvallisuusvaatimuksen tason. Turvallisuusluokitus ilmenee vain omana luokitusta koskevana erityismerkintänä ja se on tarkoitettu käytettäväksi lähinnä kansainvälisessä yhteistyössä ja kansallisesti vain rajoitetusti, kuten osassa turvallisuusviranomaisten asiakirjoja. Ehdotuksen mukaan turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä ja niiden käsittelystä säädetään tarkemmin asetuksella. Käsitteen tietojen käsittely yleinen määrittelytapa muussa lainsäädännössä on laaja ja kattaa muun ohella tietojen luovuttamisen, minkä vuoksi valtuutus on liian laaja esim. kysymyksen ollessa salassa pidettävistä tai henkilörekisteriin talletetuista tiedoista. Toisaalta valtuutussäännöksestä ei täsmällisesti ilmene oikeus antaa asetuksella eri turvallisuusluokkiin kuuluvia asiakirjoja koskevista tietoturvallisuusvaatimuksista. Valmistelussa olisi ollut käytettävissä valmis malli valtuutussäännöksen kirjoittamistavasta julkisuuslain 36 :n 1 momentin 3 5 kohdissa. Käytännön hallintotoiminnan kannalta ehdotetun tiedonhallintalain voimaantulo näyttää sisältävän vaaran, että voimaantulo luo hallitsemattoman tilanteen. Tietoturvallisuusasetus kumoutuisi lakien yleisenä voimaantulopäivänä, jonka jälkeen voi syntyä tilanne, että Suomessa ei olisi lainkaan

10 tietoturvallisuusluokitusta. Tämä puolestaan loisi erikoisen tilanteen mm. kansainvälisistä tietoturvallisuusvelvoitteiden hoitamisessa. Hallituksen esitykseen ei sisälly asetusluonnosta eikä sellainen ole tiettävästi ollut lausuntokierroksella. Asetuksen huolellinen valmistelu lausuntokierroksineen vaatii riittävästi aikaa. Siirtymäsäännös olisikin ollut otettavissa julkisuuslain muuttamista koskevaan lakiehdotukseen. Lopuksi kiinnittäisin huomiota julkisuuslain muuttamista koskevan lakiehdotuksen 25 :n 3 momenttiin, johon ehdotetaan otettavaksi uusi asiakirjaan tehtäviä merkintöjä koskeva säännös. Sen mukaan muuhun kuin lain mukaan salassa pidettävään asiakirjaan voidaan tehdä merkintä HARKINNANVARAISESTI ANNETTAVA ja ruotsiksi UPPGES ENLIGT PRÖVNING, jos asiakirjan luovuttaminen on lain mukaan viranomaisen harkinnassa tai asiakirjaan sisältyviä tietoja saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen ja jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Merkintä HARKINNANVARAISESTI JULKINEN voi välillisesi vaikuttaa julkisuusperiaatteen soveltamiseen ja väärin tulkittuna käytännössä johtaa tiedonsaannin vaikeutumiseen. Mm. edellä kuvattujen syiden vuoksi katsoisin, että ehdotettu 25 :n 3 momentti olisi asianmukaisinta jättää säätämättä. 3. Kokonaisarviointia Hallituksen esityksessä ehdotettua tiedonhallintalakia kuvataan tiedonhallinnan yleislaiksi, vaikka sen ulkopuolelle on asiallisesti jätetty arkistolainsäädäntö. Esitykseen sisältyvät ehdotukset eivät selkeytä lainsäädäntöä yhden- ja johdonmukaiseksi kokonaisuudeksi. Uudistukseen sisältyy päinvastoin piirteitä, jotka ovat omiaan hämärtämään eri lakien soveltamisalaa ja funktiota. Lainvalmistelulla ei ole ollut käytettävissään riittävää aikaa eikä muita resursseja, mistä seuraa, ettei ehdotettu yleislaki vastaa niitä vaatimuksia, joita yleislaeille voidaan perustellusti asettaa. Tiedonhallintaa julkishallinnossa koskeva yleislaki olisi merkittävä uudistus, jos se valmistellaan asianmukaisella tavalla kartoittamalla asiaa koskeva erityislainsäädäntö ja huolehtimalla siitä, että säännösten ja eri säädösten väliset suhteet ovat selkeäitä ja että uusilla laeilla ei vaaranneta oikeusjärjestyksen yhden- ja johdonmukaisuutta. Ennuste sille, että esityksen perusteella olisi luotavissa toimiva, selkeä ja johdonmukainen lainsäädäntö ilman merkittävää valiokunnan panosta, näyttää kokonaisuudessaan huonolta.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute