TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3011/05/2015 27.11.2015 Valtiovarainministeriö valtiovarainministerio@vm.fi irmeli.vuori@vm.fi anu.pietarinen@vm.fi Viite VM042:00/2015 Lausuntopyyntönne sijoitusrahastodirektiivin muutosdirektiivin täytäntöönpanoa koskevasta esitysluonnoksesta TIETOSUOJAVALTUUTETUN LAUSUNTO Valtiovarainministeriö on pyytänyt tietosuojavaltuutetun lausuntoa otsikon mukaisesta esitysluonnoksesta. Kiitän mahdollisuudesta lausua asiassa. Henkilötietojen suojasta säätäminen Yksityiselämän suoja on perusoikeus. Suomen perustuslain 10 :n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Eduskunnan perustuslakivaliokunta ja hallintovaliokunta ovat lausunnoissaan ottaneet kantaneet siihen, minkälaisista henkilötietojen käsittelyyn liittyvistä asioista tulee säätää lain tasolla. Eduskunnan perustuslakivaliokunta on lausunnoissaan PeVL 14/1998, 12/2002 sekä 14/2002 vp todennut, että tämän henkilötietojen suojaa koskevan perusoikeussäännöksen kannalta tärkeitä sääntelykohteita ovat ainakin: rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, tietojen sallitut käyttötarkoitukset, tietojen luovutettavuus teknisen käyttöyhteyden avulla tai muuten, henkilörekisterien yhdistäminen ja tietojen säilytysaika sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla. Tarkastusoikeudesta yhtiön sisäisellä ilmiantojärjestelmällä kerättyihin tietoihin Rekisteröidyn oikeus tarkastaa omat tietonsa on vahva henkilötietojen käsittelyyn liittyvä pääsääntö. Luottolaitoslain 7 luvun 6 :ään otettu välillistä tarkastusoikeutta koskeva lainkohta säädettiin aikanaan ilman, että tietosuojavaltuutettua kuultiin asiasta. 1. EU:n tietosuojatyöryhmän näkemys
TIETOSUOJAVALTUUTETUN TOIMISTO 2/5 Ilmiantojärjestelmän avulla kerättävää tietoa koskevaa tarkastusoikeutta on käsitelty mm. EU:n tietosuojatyöryhmän lausunnossa 1/2006 EU:n tietosuojasääntöjen soveltamisesta sisäisiin ilmiantojärjestelmiin kirjanpidon, sisäisten kirjanpitotarkastusten, tilintarkastusten, lahjonnan torjumisen sekä pankki- ja talousrikosten alalla. Työryhmän mukaan silloisissa ilmiantoa koskevissa säännöksissä ja suuntaviivoissa suojeltiin erityisesti ilmiantajaa, osin sivuttaen ilmiannon kohteena olevan henkilön suojelu. Työryhmä korosti, että ilmiantojärjestelmiin sisältyy hyvin vakava riski syytetyn leimaamisesta ja syyllistämisestä organisaatiossa, johon hän kuuluu. Kyseinen henkilö altistuu tällaisille riskeille jo ennen kuin hän on tietoinen esitetyistä syytöksistä, ja ennen kuin epäilyksenalaiset seikat on tutkittu sen määrittelemiseksi, onko niille perusteita. Työryhmä katsoi, että kun tietosuojasääntöjä sovelletaan asianmukaisesti ilmiantojärjestelmiin, lievitetään edellä mainittuja riskejä. Sen käsityksen mukaan sääntöjen soveltamisella ei estetä järjestelmien asianmukaista toimintaa vaan myötävaikutetaan siihen. Lausunnossa todetaan, että henkilötietodirektiivin 12 artiklassa annetaan rekisteröidylle mahdollisuus tutustua häntä koskeviin tietoihin, jotta hän voi tarkastaa niiden paikkansapitävyyden ja oikaista virheelliset, puutteelliset tai vanhentuneet tiedot (oikeus tietojen saantiin ja oikaisuun). Tämän vuoksi ilmoitusjärjestelmää perustettaessa on varmistettava, että noudatetaan yksilön oikeuksia saada häntä koskevat tiedot ja oikaista virheelliset, puutteelliset tai vanhentuneet tiedot. Näiden oikeuksien harjoittamista voidaan kuitenkin rajoittaa, jotta voidaan suojella muiden järjestelmässä mukana olevien henkilöiden oikeuksia ja vapauksia. Tätä rajoitusta olisi sovellettava tapauskohtaisesti. 2. Henkilötietolain tarkastusoikeutta koskevat säännökset Henkilötietolaki on henkilötietojen käsittelyä koskeva yleislaki. Tarkastusoikeudesta säädetään lain 26-28 :ssä. Jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Ns. whistleblowing järjestelmien osalta olen jo aiemmin todennut, että henkilötietolaissa säädetty tarkastusoikeus koskee ainoastaan rekisteröityä (ilmoituksen kohdetta) itseään koskevia henkilötietoja. Näin ollen ilmoituksen tekijän henkilötiedot eivät koske sillä tavoin ilmoituksen kohdetta, että ne automaattisesti kuuluisivat tarkastettaviin rekisteritietoihin. Esimerkiksi ilmoittajan nimi kuuluu ilmoittajaa koskeviin rekisteritietoihin, joiden tarkastusoikeus kuuluu hänelle itselleen. Rekisterinpidon ja henkilötietojen käsittelyn perusperiaatteisiin kuuluu kuitenkin määritellä etukäteen tietolähteet. Rekisteröidyllä on oikeus pyytää myös tietoa henkilötietojensa keräämisen lähteestä. Ilmoituksen kohteella on oikeus saada tietoonsa ilmoituksen tietolähde, ellei tätä oikeutta laissa erikseen rajoiteta. Oikeus saada tieto ilmoituksen tekijästä arvioidaan kuitenkin rekisteritietojen antamisesta erillisenä kysymyk-
TIETOSUOJAVALTUUTETUN TOIMISTO 3/5 senä. Vastaus tähän pyyntöön voi siten poiketa siitä, mitä vastataan pyyntöön tarkastaa rekisterissä olevat, itseä koskevat tiedot. Henkilötietolain 27 :ssä on tehty punninta siitä, millaisissa tilanteissa rekisteröidyn tarkastusoikeutta voidaan rajoittaa. Nyt puheena olevan kaltaisissa tilanteissa lailla jo säädetyistä rajoituksista voisi tapauskohtaisesti tulla sovellettavaksi kohta 1 (tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä), kohta 2 (tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille) tai kohta 4 (rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi). 3. Ilmoittajan ja ilmoituksen kohteen oikeuksien tasapainottaminen yhtiön sisäisessä ilmiantojärjestelmässä Pidän kannatettavana että elleivät henkilötietolaissa säädetyt poikkeusperusteet sovellu, rekisteröidylle annetaan hänen näin pyytäessään henkilötietolain avoimuusperiaatteen mukaisesti tieto siitä, mistä tai keneltä häntä koskeva tieto on peräisin. Väärien ilmoitusten välttämiseksi ja luotettavien tietolähteiden käyttämisen varmistamiseksi rekisterinpitäjän tulisi informoida ilmoittajaa siitä, että rekisteröidyllä eli ilmoituksen kohteella on pääsääntöisesti oikeus saada tietoonsa käytetyt tietolähteet. Jos kuitenkin lainsäätäjä arvioi, että henkilötietolain 27 :ssä säädetyt tarkastusoikeuden rajoitukset eivät nyt ole riittäviä, koska rekisteröidyn tarkastusoikeus voisi haitata myös rikosoikeudellisiin rangaistuksiin rinnastettavien sijoitusrahastolain säännösten vastaisten laiminlyöntien ja rikkomisten ehkäisemistä tai selvittämistä (sic), säädettävään lainkohtaan voitaneen lisätä tällainen yksittäinen tarkastusoikeudesta kieltäytymisperuste henkilötietolain 27 :n poikkeusten ohella sovellettavaksi. Kaikkien poikkeuksellisten kieltäytymisperusteiden ohella olisi joka tapauksessa hyvä soveltaa henkilötietolain 27 2 momentin säännöstä siitä, että jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tarkastusoikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut hänestä talletetut tiedot. On huomattava, että direktiivin 2014/91/EU 99d artiklan 2-kohdan edellytykset koskevat vain 1-kohdan mekanismeja (viranomaisille ilmoittaminen). Yhtiön sisäistä ilmoittamista koskevassa 5-kohdassa kansalliselle lainsäätäjälle ei aseteta toimeksiantoa säätää tietojen poikkeuksellisesta suojaamisesta. En näin ollen kannata sitä, että erityislainsäädäntöön otetaan poikkeuksia henkilötietolaissa jo säänneltyyn tarkastusoikeuteen ilman, että poikkeukselle on esitetty vahvoja perusteita. Rekisteröidyn oikeuksien turvaamisen lisäksi asiassa on otettava huomioon tietosuojavaltuutetun toimiston erittäin niukat resurssit (17 vakinaista henkilöä). Uusien tehtävien antaminen ilman lisäresursseja voisi johtaa rekisteröityjen oikeuksien heikentymiseen mm. pidentämällä asioiden käsittelyaikoja.
TIETOSUOJAVALTUUTETUN TOIMISTO 4/5 Ilmoitusten säilyttämisajasta Em. lausunnossaan tietosuojatyöryhmä toteaa henkilötietodirektiivissä säädettävän, että käsitellyt henkilötiedot on säilytettävä ainoastaan sen ajan, kuin on tarpeen niiden tarkoitusten toteuttamista varten, joita varten tiedot kerättiin tai joissa niitä myöhemmin käsitellään. Tämä on keskeistä sen varmistamiseksi, että henkilötietojen käsittelyssä noudatetaan suhteellisuusperiaatetta. Ilmiantojärjestelmässä käsitellyt henkilötiedot olisi poistettava viipymättä, tavallisesti kahden kuukauden kuluessa siitä, kun ilmoituksessa esitetyt väitteet on saatu tutkittua. Määräajat ovat erilaisia, jos nostetaan syyte tai aloitetaan kurinpitotoimet syytettyä vastaan taikka ilmiantajaa vastaan, jos kyseessä on väärä tai herjaava ilmoitus. Tällaisissa tapauksissa henkilötiedot olisi säilytettävä, kunnes oikeuskäsittely on ohi ja muutosta ei enää voida hakea. Tällöin tietojen säilytysajan määrää kunkin jäsenvaltion lainsäädäntö. Työryhmä toteaa lisäksi, että jos henkilötiedot liittyvät ilmoituksiin, jotka ilmoitusten käsittelystä vastaava yksikkö havaitsee perusteettomiksi, ne olisi poistettava viipymättä. Lisäksi sovelletaan tietojen arkistointia yrityksissä koskevia mahdollisia kansallisia sääntöjä. Nämä säännöt voivat erityisesti koskea tällaisissa arkistoissa säilytettyjen tietojen saatavuutta, ja niissä voidaan täsmentää, millaisiin tarkoituksiin tietoja voidaan antaa ja millaiset henkilöryhmät tietoja voivat saada, sekä antaa muut asiaan liittyvät turvallisuusmääräykset. On hyvä, että kerättävien henkilötietojen säilyttämisaika pyritään määrittelemään laissa. Pidän kuitenkin esitettyä viiden vuoden kategorista säilytysaikaa pitkänä ottaen huomioon tietosuojatyöryhmän edellä lausuman. Rikemaksun, julkisen varoituksen, seuraamusmaksun ja muun hallinnollisen toimenpiteen julkistaminen Finanssivalvonnasta annettuun lakiin esitetyn 43 :n lähtökohtana olisi, että vielä vailla lainvoimaakin oleva hallinnollinen toimenpide julkistettaisiin internetissä niin, että julkistamisesta käy ilmi rikkomisesta vastuussa olevan henkilöllisyys. Julkistamisen tavoitteena olisi toimia osana sanktiota. Esityksestä ei selkeästi ilmene, johtaisiko pykälän muuttaminen käytännössä siihen, että luonnollisten henkilöiden tietoja julkistettaisiin useammissa tapauksissa kuin ennen. Esitetty säännös perustuu arvopaperikeskusasetuksen 909/2014 62 artiklaan, jonka mukaan julkaisussa on ilmoitettava vähintään tiedot rikkomisen tyypistä ja luonteesta sekä sen luonnollisen henkilön tai oikeushenkilön henkilöllisyys, jolle seuraamus on määrätty. Samaisen artiklan 2. kohdan mukaan toimivaltaisten viranomaisten on varmistettava, että tämän artiklan mukaisesti julkistetut tiedot pysyvät niiden virallisella verkkosivustolla vähintään viiden vuoden ajan niiden julkistamisen jälkeen. Julkaisuun sisältyvät henkilötiedot säilytetään sovellettavien tietosuojasääntöjen mukaisesti toimivaltaisen viranomaisen virallisella verkkosivustolla ainoastaan niin kauan kuin se on tarpeellista. Lähtökohtana on, että henkilötietoja voidaan luovuttaa, esimerkiksi julkaista internetissä, jos asiasta on laissa tai EU:n asetuksessa nimenomainen säännös. EU:n asetuk-
TIETOSUOJAVALTUUTETUN TOIMISTO 5/5 silla luodaan EU:ssa yhtenäistä lainsäädäntöä, eivätkä ne lähtökohtaisesti edellytä jäsenvaltiolta erillisiä toimenpiteitä tullakseen kansallisesti voimaan. Kun kansallinen täytäntöönpano on kuitenkin nyt arvioitu tarpeelliseksi, säännöstä laadittaessa lienee syytä ottaa huomioon paitsi arvopaperikeskusasetukseen kirjattu tarpeellisuusarvio, myös eduskunnan perustuslakivaliokunnan linjaukset henkilötietojen suojasta säätämisestä. Erityisesti tietojen sallitut käyttötarkoitukset, tietojen säilytysaika sekä rekisteröidyn oikeusturva herättävät kysymyksiä tilanteessa, jossa viranomaisella on velvollisuus luovuttaa tietoa vailla lainvoimaa olevista rangaistuksenluonteisista hallinnollisista seuraamuksista kenelle tahansa. Esitetty 43 on luonnollisten henkilöiden tietojen julkistamisen osalta poikkeus viranomaisten toiminnan julkisuudesta annetun lain periaatteista, erityisesti vailla lainvoimaa olevien toimenpiteiden osalta. Ottaen huomioon henkilötietojen suojaa koskevan lainsäädäntökokonaisuuden tavoitteineen, olisin pitänyt parempana, että luonnollisten henkilöiden tietoja luovutettaisiin vain pyynnöstä. Jos henkilötiedot kuitenkin on julkaistava tietoverkossa, on syytä säätää keinoista, joilla vähennetään riskejä tietojen lainvastaiseen käsittelyyn ja muihin tietoihin yhdistämiseen. Internetissä julkaistavan tiedon elinkaarta on vaikeaa hallita etenkin, jos se päätyy hakukoneiden indeksoitavaksi. Niinpä tietoja ei tule julkaista niin, että ne voidaan hakukoneindeksoida. Säilytysajan suhteen totean käsityksenäni, että henkilötietojen pitäminen kaikkien saatavilla viranomaisen verkkosivustolla käynee lähtökohtaisesti tarpeettomaksi viimeistään asetuksen mukaisen viiden vuoden määräajan kuluttua. Eduskunnan perustuslakivaliokunnan lausuntojen mukaan henkilötietojen säilytysaika olisi säänneltävä lain tasolla. Arvopaperikeskusasetuksesta henkilötietojen julki pitämisen takaraja ei täsmällisesti ilmene. Lisätiedot Lisätietoja asiassa antaa tarvittaessa allekirjoittanut ylitarkastaja numerossa 029 5666794. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Johanna Järvinen