LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 1496/03/17. Liikenne- ja viestintäministeriö

Samankaltaiset tiedostot
Tietosuojavaltuutetun lausunto YLEINEN OSA

LAUSUNTO Dnro 5935/96/2018

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1277/031/2018

Lausuntopyyntö. Tietosuojavaltuutetun lausunto. Yleisiä huomioita henkilötietojen käsittelyä koskevasta sääntelystä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Informaatiovelvoite ja tietosuojaperiaate

Tutkittavan informointi ja suostumus

Tietosuoja-asetus ja sen kansallinen implementointi

EU:n tietosuoja-asetus ja tutkittavan suostumus Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Avoin tiede ja tutkimus hankkeen ja

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Tietosuoja-asetus Immo Aakkula Arkistointi

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Tietosuojanäkökulma biopankkilainsäädäntöön

Tiedollinen itsemääräämisoikeus ja MyData

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2302/03/17. Sosiaali- ja terveysministeri

Kansallinen tietosuojalaki

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Mitä rekisteriviranomaisen pitää ottaa huomioon henkilötietoja luovuttaessaan?

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

Sosiaali- ja terveysministeriö Kirjaamo PL VALTIONEUVOSTO. Sosiaali- ja terveysministeriön lausuntopyyntö STM015:00/2015

Oikeudellisten asioiden valiokunta LAUSUNTOLUONNOS. sisämarkkina- ja kuluttajansuojavaliokunnalle

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Teknologia avusteiset palvelutverkostopalaveri

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

Tampereen Aikidoseura Nozomi ry

LAKI SOTE- TIETOJEN TOISSIJAISESTA KÄYTÖSTÄ

Työelämän tietosuojalaki Johanna Ylitepsa

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

1 (6) Kirjallinen vastine Maarit Huotari Sami Kivivasara. Hallintovaliokunnalle

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1026/03/

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Vaikutustenarviointi GDPR:n mukaan

Tässä tietosuojaselosteessa kuvataan Kouvolan Korttelikotiyhdistys ry:n toteuttamat asiakastietojen käsittelyn tavat.

WORKSPACE OY REKISTERISELOSTEET

Hallituksen esitys sosiaali- ja terveystietojen toissijaisesta käytöstä sekä eräiksi siihen liittyviksi laeiksi (HE 159/2017 vp)

Asukkaan oikeus omaan dataan ja GDPR asuntoosakeyhtiössä. Ilmastoviisaat taloyhtiöt työpaja 1 Asukkaan MyData

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

Euroopan unionin neuvosto Bryssel, 24. marraskuuta 2016 (OR. en)

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Varustekorttirekisteri - Tietosuojaseloste

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

TIETOSUOJAVALTUUTETUN TOIMISTON OHJE LAINSÄÄDÄNTÖLAUSUNTOIHIN

Sosiaali ja terveysministeriö.

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

REKISTERISELOSTE Henkilötietolaki (523/99) 10

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietosuoja-asetuksen johdanto-osan kappaleessa 33 todetaan seuraavaa:

Kangasalan Moottorikerhon tietosuojakäytännöt

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

Tiedon elinkaaren hallinta Henkilötietojen suoja

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

1 luku. Yleiset säännökset. Suomalaisen Kirjallisuuden Seura. Lausunto Asia: 1/41/2016. Yleiset kommentit

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Tietosuojaseloste Espoon kaupunki

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

LUONNOS HALLITUKSEN ESITYKSEKSI HENKILÖTIETOJEN KÄSITTELYSTÄ MAAHANMUUTTOHALLINNOSSA

Transkriptio:

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1496/03/17 LAUSUNTO 13.06.17 Liikenne- ja viestintäministeriö kirjaamo@lvm.fi liikennekaari@lvm.fi Asia: Tietosuojavaltuutetun lausunto Viite: Luonnos hallituksen esitykseksi laiksi liikenteen palveluista annetun lain muuttamiseksi ja eräiksi siihen liittyviksi laeiksi YLEINEN OSA Henkilötietojen käsittelyä koskeva lainsäädäntökehikko on muuttumassa ja tällä hetkellä on menossa siirtymäaika yleisen tietosuoja-asetuksen osalta, jota ryhdytään soveltamaan 25.5.2018 alkaen. Näin ollen kaikessa lainsäädäntötoiminnassa on jo nyt huomioitava yleisestä tietosuoja-asetuksesta tulevat reunaehdot kansalliselle lainsäädännölle. Kansallinen lainsäädäntö on mahdollista vain niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan ja niiltä osin, kuin esitetyt säännökset ovat välttämättömiä yleisen tietosuoja-asetuksen säännösten täydentämiseksi. Kansallinen liikkumavara pohjautuu tietosuoja asetuksen 6 artiklan 1 kohdan c ja e alakohtiin sekä arkaluonteisten tietojen osalta 9 artiklan 2 kohdan alakohtiin sekä rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen osalta 10 artiklaan. Lisäksi asetuksessa on useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen asetettuun tavoitteeseen nähden. Lainsäädännön on oltava myös selkeää, täsmällistä ja sen soveltamisen on oltava ennakoitavaa. Kun käsittelystä säädetään kansallisessa laissa tietosuoja-asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperuste voi sisältää 6 artiklan 3 kohdan mukaan erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, PL 800 Ratapihantie 9 029 56 66700 tietosuoja@om.fi 00521 Helsinki 6. kerros http://www.tietosuoja.fi Neuvonta 029 56 16670 ma-to 9:00-11:00 & 13:00-15:00 pe 9:00-12:00

TIETOSUOJAVALTUUTETUN TOIMISTO 2/10 yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Esitystä on tarkasteltava myös perusoikeusnäkökulmasta. Euroopan unionin perusoikeuskirjan rinnalla on huomioitava kansallinen peruslaki ja perustuslakiavaliokunnan sekä hallintovaliokunnan lausuntokäytäntö. Perustuslain 10 :n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Sääntelyn on oltava täsmällistä sekä tarkkarajaista. Henkilötietojen suojan kansallisen perusoikeussuojan tulkinnasta suhteessa EU:n tietosuoja-asetukseen perustuslakivaliokunta totesi lausunnossaan PeVL 38/2016 vp seuraavaa: Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti. Tietosuojaasetuksen määritelmiä ei saa määritellä uudelleen ja suoraa toistamista tulee välttää. Viittaukset asetukseen ovat kuitenkin mahdollisia. Kaikessa kansallisessa lainsäädännössä on huomioitava asetusinstrumentin tarkoitus eli se, että asetusta tulee soveltaa yhdenmukaisesti jäsenvaltioissa. Kansallinen asetusta tarkentava lainsäädäntö voi vaarantaa tämän keskeisen tarkoituksen. On myös otettava huomioon, että tietosuoja-asetus ei ole minimidirektiivi. Nyt lausunnon kohteena oleva esitys on toinen osa niin kutsuttua liikennekaarihanketta, jolla toteutetaan hallitusohjelman kärkihankkeita digitaalisen kasvuympäristön rakentamiseksi sekä säädösten sujuvoittamiseksi. Eduskunta on hyväksynyt hankkeen ensimmäiseen vaiheen ja nimennyt uuden lain liikenteen palveluista annetuksi laiksi. Tällä hallituksen esityksellä toteutettaisiin liikennekaarihankkeen toinen osa täydentämällä liikenteen palveluista annettu laki kattamaan koko liikennejärjestelmä. Esitys on laaja ja sisältää lukuisia henkilötietojen käsittelyn ja yksityisyyden suojan kannalta merkityksellisiä muutoksia. Esityksen sisältämä henkilötietojen käsittely on luonteeltaan sellaista, että se kuuluu tietosuojaasetuksen soveltamisalaan. Näin ollen esitykseen sisältyviä säännöksiä on peilattava tietosuoja-asetukseen sekä erityisesti asetuksen sallimaan kansalliseen liikkumavaraan. Lainsäätäjän tulisi ankkuroida ehdottamansa käsittelyperuste tietosuoja-asetuksen artikloihin, jolloin suhde kansalliseen liikkumavaraan on mahdollista arvioida.

TIETOSUOJAVALTUUTETUN TOIMISTO 3/10 ERITYINEN OSA Yksityiskohtaiset kommentit Laki liikenteenpalveluista annetun lain muuttamisesta I OSA 6 luku 4 Ilmoituksen tekeminen Olisi hyvä, jos säännöksestä kävisi selkeästi ilmi, kenelle ilmoitus kaupunkiraideliikenteen harjoittamisesta tulee tehdä. Perusteluista ilmenee, että ilmoitus tulee tehdä Liikenteen turvallisuusvirastolle, mutta olisi selkeämpää, jos tämä kävisi ilmi heti pykälän ensimmäisestä lauseesta. 7 luku 19 Tietojen luovuttaminen lisätodistusrekisteristä Esityksen perusteluista ilmenee, että lisätodistusrekisteriin liittyvien henkilötietojen käsittely perustuu tietosuoja-asetuksen 6 1 c kohtaan eli rekisterinpitäjän lakisääteiseen velvoitteiseen. Ehdotuksen mukaan Pykälän 1 momentin mukaan rautatieliikenteen harjoittaja saisi luovuttaa lisätodistusrekisteriin tallennettuja tietoja vain, jos pykälässä säädetyt edellytykset tietojen luovuttamiselle ovat olemassa eikä luvan hakijan tai haltijan oikeudesta kieltää tietojensa luovuttaminen muuta johdu. Tietoja ei saisi luovuttaa, jos luovuttamisen voidaan perustellusta syystä epäillä loukkaavan luvan hakijan tai haltijan yksityisyyden suojaa, hänen etujaan tai oikeuksiaan. Epäselväksi jää, mihin luvan hakijan tai haltijan kielto-oikeudella viitataan ja mihin tällainen oikeus perustuisi? Tietosuoja-asetuksen mukaan rekisteröidyllä ei muun muassa ole 21 artiklan mukaista vastustamisoikeutta silloin, kun käsittely perustuu tietosuoja-asetuksen 6 1 c kohtaan. Näiltä osin esitystä lienee syytä täsmentää ja tarkastella asetusta vasten. III OSA 2 luku 2 a Puolesta-asiointi Tämä pykälä tai sen perustelut eivät sisällä puolesta-asioinnin tarkastelua tietosuojalainsäädännön näkökulmasta. Asia on uusi ja tämän vuoksi sitä olisi tarpeen

TIETOSUOJAVALTUUTETUN TOIMISTO 4/10 tarkastella muun muassa rekisterinpitäjälle sekä henkilötietojen käsittelijälle kuuluvien vastuiden (tietosuoja-asetuksen IV luku) sekä käsittelyperusteen olemassa olon ja sen varmentamisen (perusteluiden mukaan käsittelyperusteena on suostumus tai sopimussuhde) sekä rekisteröidylle kuuluvien oikeuksien kautta (mm. tietosuojaasetuksen 20 artiklan oikeus siirtää tiedot järjestelmästä toiseen ). Erityisesti on selvitettävä, mikä on alkuperäisen rekisterinpitäjän suhde liikkumis- ja yhdistämispalvelun tarjoajaan sekä muihin rekisterinpitäjiin (ovatko yhteisrekisterinpitäjiä (esityksen perustelujen mukaan kysymyksessä on jaettu asiakassuhde), käsitteleekö liikkumis- ja yhdistämispalvelun tarjoaja henkilötietoja käsittelijänä rekisterinpitäjän lukuun vai luovutetaanko tietoja rekisterinpitäjältä toiselle?). Samalla on varmistettava, ettei omaksuttu ratkaisu vaaranna tietosuojaperiaatteiden ja tietoturvan toteutumista. Ottaen huomioon, että pykälän sallima käsittely voi johtaa rekisteröityjen osalta kattavan ja yksityiskohtaisenkin liikkumista koskevan henkilörekisterin syntymiseen, on käsittelystä myös tältä pohjalta suoritettava riskiarvio sekä tarvittaessa vaikutustenarviointi (art. 35). On myös arvioitava, voivatko tällaiset tiedot paljastaa välillisesti tietosuoja-asetuksen 9 artiklan alaisia erityisiä henkilötietoryhmiä. Yksityiskohtainen tarkastelu on edellytyksenä myös sille, että voidaan arvioida nyt ehdotetun säännöksen tarpeellisuutta suhteessa tietosuoja-asetukseen. Puolesta-asioinnin konseptissa on otettu mallia maksupalveludirektiivissä omaksutusta ratkaisusta. Tietosuojavaltuutettu kiinnitti maksupalvelulain uudistamista koskevassa lausunnossaan (Dnro 905/05/2017) huomioita maksupalveludirektiivin suostumuskäsitteen, joka ei vaikuttanut olevan täysin yhdenmukainen tietosuoja-asetuksessa olevan suostumus-käsitteen kanssa. Tietosuojavaltuutettu totesi samaisessa lausunnossaan myös, että: Oikeusvarmuuden ylläpitämiseksi lainsäätäjän on hyvä selkeyttää, minkä tietosuoja-asetuksen mukaisen perusteen se on kulloinkin tarkoittanut toimivan henkilötietojen käsittelyn perusteena. Tietosuojanäkökulmasta yksi peruste kerrallaan riittää. Jos säädetään, että nimenomainen suostumus annetaan sopimuksessa, on vaarana ajautua henkilötietojen käsittelyn perusteen osalta epäselvään tilanteeseen. Palvelutarjoajien on tiedettävä, miten toimia lain mukaan. Onko ajatuksena, että puitesopimuksen henkilötietojen käsittely perustuu sopimukseen (tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta), ja maksutilillä olevien tietojen käsittely nimenomaiseen suostumukseen (asetuksen 6 artiklan 1 a-alakohta sekä 9 artiklan 2 kohdan a alakohta)? Tätä taustaa vasten, nyt ehdotetun säännöksen vaikutusta tietosuojanäkökulmasta tulee selvittää yksityiskohtaisemmin. 4 Rajapintojen avaamiseen liittyvät yleiset vaatimukset Niiltä osin, kuin nyt lausunnon kohteena olevassa esityksessä on otettu mallia

TIETOSUOJAVALTUUTETUN TOIMISTO 5/10 maksupalveludirektiivistä (PSD2), kiinnitän huomioitanne siihen, että rajapinta toimijoille on yhtenäisten kriteerien mukainen ja viranomaistahon sääntelemä (European Banking Authority EBA). Epäselväksi jää, onko nyt lausunnon kohteena olevan ehdotuksen osalta rajapintojen osalta ajateltu vastaavasti jotain koordinoivaa tahoa? IV OSA 1 luku Viranomaisten toiminta Kyseisessä luvussa ei mainita tietosuojavaltuutettua lainkaan. Tietosuojavaltuutettu on henkilötietojen käsittelyn osalta toimivaltainen viranomainen (mm. 9 ja 15 ). Mikäli säännöksen on tarkoitus olla informatiivinen, olisi myös tämän asian hyvä käydä ilmi. 2 Liikenneviraston seuranta-ja yhteen sovittamistehtävät Ehdotetun 2 momentin mukaan liikkumispalvelun tarjoajan on toimitettava liike- ja ammattisalaisuuden estämättä määräajoin harjoittamansa liikenteen tarjontaa ja toteutunutta kysyntää koskevat tiedot Liikennevirastolle sen liikkumispalveluiden kysyntää ja tarjontaa koskevan seurantatehtävän ja liikkumispalveluiden kehittämiseen liittyvän yhteensovittamistehtävän hoitamiseksi sekä tilastointia ja tutkimusta varten. Uudessa 4 momentissa Liikennevirasto velvoitettaisiin avaamaan nämä saamansa tiedot avoimena datana avoimen rajapinnan kautta. Esityksen perusteella ei synny selkeää kuvaa siitä, mitä näillä tiedoilla käytännön tasolla tarkoitetaan. Sisältävätkö liikenteen tarjontaa ja toteutunutta kysyntää koskevat tiedot henkilötietoja? Herää kysymys, muodostuuko Liikennevirastolle tätä kautta kattava, yksilöiden liikkumista kuvaava rekisteri. Mikäli näin on, esityksen perusteluissa on tarkemmin peilattava tällaisen henkilötietojen käsittelyn vaikutusta luonnollisen henkilön oikeuksiin ja vapauksiin tietosuoja-asetuksen kautta. Niiltä osin, kun on kysymys anonyymien tietojen luovuttamisesta, viittaan Tietosuojaryhmä 29 (WP 29) lausuntoon 5/2014 anonymisointitekniikoista. Kyseisessä lausunnossa todetaan, että todetaan, että..anonymisointi tapahtuu käsittelemällä henkilötietoja siten, että henkilön tunnistaminen estyy peruuttamattomasti. Rekisterinpitäjän olisi näin tehdessään otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joita joko rekisterinpitäjä tai jonkin kolmas osapuoli voi tunnistamiseen käyttää. Samaisessa lausunnossa todetaan, että Jos rekisterinpitäjä ei poista alkuperäisiä (tunnistettavissa olevia) tietoja tapahtumatasolla ja luovuttaa tästä aineistosta osan edelleen, tuloksena

TIETOSUOJAVALTUUTETUN TOIMISTO 6/10 olevassa aineistossa on edelleen henkilötietoja Jos rekisterinpitäjä aggregoi tiedot tasolle, jossa yksittäisiä tapahtumia ei ole mahdollista tunnistaa, aineistoa voidaan pitää anonyyminä. Näin ollen Liikennevirastonon arvioitava tietoja anonymisoidessaan myös sitä, voidaanko tietoaineisto saada takaisin tunnisteelliseksi hyödyntämällä tietolähteenä toiminutta rekisteriä. Jos näin on, tiedot ovat yhä henkilötiedoiksi katsottavia tietoja, eikä niitä voida luovuttaa avoimen rajapinnan kautta. V OSA Liikenneasioiden rekisteri 1 luku Yleiset säännökset 1 Rekisterin sisältö ja käyttötarkoitus Ehdotetun säännöksen mukaan Liikenneasioiden rekisteriä pidetään liikenteen lupien ja muiden oikeuksien myöntämiseksi ja valvomiseksi, liikenteen turvallisuuden parantamiseksi, liikennevälineiden ja niihin liittyvän verotuksen ja kiinnitysten yksilöimiseksi, ympäristöhaittojen vähentämiseksi, liikkumispalveluiden kehittämisen sekä niiden käyttämisen edistämiseksi, tutkimus-, kehittämis- ja innovaatiotoiminnan mahdollistamiseksi, omadataan perustuvien palveluiden kehittämisen edistämiseksi ja liikenteen viranomaispalvelujen tuottamiseksi. Tämän lisäksi säädetään, että Liikennevirasto saa käyttää rekisterissään olevia tietoja sille laissa säädettyjen tehtävien hoitamiseksi. Esityksen perusteluissa henkilötietojen käsittelyperustaksi täsmennetään tietosuojaartiklan 6 1 c rekisterinpitäjän lakisääteinen tehtävä.. Liikenteen turvallisuusvirastosta annetun lain 2 :n muuttamisesta annetun ehdotuksen mukaan Viraston tehtävänä on 4) huolehtia toimialaansa kuuluvien kuuluvista liikennemarkkinoihin, liikkumispalvelujen edistämiseen ja liikennejärjestelmän kehittämiseen liittyvistä tehtävistä, 4 a) edistää liikenteeseen ja liikennemarkkinoihin kuuluvaa digitalisaatiota sekä mahdollistaa liikenteeseen liittyvien kokeilujen, tutkimuksen ja innovaatioiden toteuttaminen. Nyt lausunnon kohteena olevassa ehdotuksessa olisi erotettava nyt tarkkarajaisesti ne käsittelytarkoitukset, jotka kuuluvat erottamattomasti liikenteen turvallisuusviraston ydintoimintaan julkisessa ja lakisääteisessä tehtävässään sekä ne toiminnot, jotka eivät kuulu tähän ydinalueeseen. Nyt lausunnon kohteena olevan lain 3 luvussa varataan esimerkiksi nimenomaisesti oikeus tietojen luovuttamiseen liikenteeseen liittyvien palveluiden tarjoamiseen ja kehittämisen (4 ) sekä tutkimus, kehittämis- ja innovaatiotoiminnan (5 ) osalta. Näin ollen vaikuttaa siltä, että kyseisillä säännöksillä

TIETOSUOJAVALTUUTETUN TOIMISTO 7/10 pyritään viranomaisen lakisääteisestä tehtävästä poiketen tosiasiallisesti luomaan käsittelyoikeuksia kolmansille tahoille. Tietosuojavaltuutettu katsoo, ettei tällaista käsittelyä voida perustella tietosuoja-asetuksen 6 1 c kohdalla. Kun tietoja luovutetaan edelleen jollekin toiselle taholle, on tällaisessa henkilötietojen käsittelyssä kysymys jatkokäytöstä johonkin toiseen tarkoitukseen, eikä Liikenteen turvallisuusviraston lakisääteisten tehtävien toteuttamisesta. Jatkokäytön edellytyksiä on puolestaan analysoitava tietosuoja-asetuksen 6 artiklan 4 kohdan kautta. Nyt lausunnon kohteena oleva esitys ei tällaista arvioita sisällä. 5 Kielto muuttaa rekisteritietoja Pykälän otsikossa olisi lienee syytä korostaa, että kysymys on nimenomaan liikennevälineeseen liittyvien tietojen muuttamisesta. Niiltä osin, kuin kyseiset tiedot sisältävät myös henkilötietoja, ehdotettua menettelyä tulisi tarkastella myös tietosuojaasetuksen valossa. 2 luku Rekisterin tietosisältö 1 Yleiset rekisteriin talletetut tiedot Koska rekisterin käyttötarkoitus (1 luku 1 ) on määritelty niin laaja-alaisesti, on vaikea hahmottaa, kuinka tarpeellisuusvaatimus rajoittaa tosiasiallisesti 1 :n 3 ja 4 momentissa mainittujen tietojen tallentamista. Esimerkiksi kehittämis- ja innovaatiotoiminta ovat niin avoimia määritelmiä, että laajasti tulkittuna ne voisivat mahdollistaa hyvinkin laajan tietoaineiston tallettamisen rekisteriin (vrt. käyttötarkoituksen määrittely artikla 5 kohta 1 b). Säännöksestä olisi syytä tehdä tarkkarajaisempi ja täsmällisempi. 3 luku Tietojen luovuttaminen Tietojen luovuttamisesta yleisellä tasolla Tietosuoja-asetuksen 5 artiklan 1 b kohdan mukaan henkilötiedot ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa ( käyttötarkoitussidonnaisuus ). Tietosuoja-asetus ei siis sellaisenaan sisällä suoraa poikkeamismahdollisuutta esimerkiksi tutkimus-, kehitys- ja innovaatiotoiminnan

TIETOSUOJAVALTUUTETUN TOIMISTO 8/10 osalta. Tietosuoja-asetuksen 6 artiklan 4.kohdan mukaa Jos käsittely tapahtuu muuta kuin sitä tarkoitusta varten, jonka vuoksi tiedot on kerätty, eikä käsittely perustu rekisteröidyn suostumukseen eikä unionin oikeuteen tai jäsenvaltion lainsäädäntöön, joka muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi, rekisterinpitäjän on otettava huomioon muun muassa seuraavat asiat varmistaakseen, että muuhun tarkoitukseen tapahtuva käsittely on yhteensopivaa sen tarkoituksen kanssa, jota varten tiedot alun perin kerättiin: a) henkilötietojen keruun tarkoitusten ja aiotun myöhemmän käsittelyn tarkoitusten väliset yhteydet; b) henkilötietojen keruun asiayhteys erityisesti rekisteröityjen ja rekisterinpitäjän välisen suhteen osalta; c) henkilötietojen luonne, erityisesti se, käsitelläänkö erityisiä henkilötietojen ryhmiä 9 artiklan mukaisesti tai rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja 10 artiklan mukaisesti; d) aiotun myöhemmän käsittelyn mahdolliset seuraukset rekisteröidyille; e) asianmukaisten suojatoimien, kuten salaamisen tai pseudonymisoinnin, olemassaolo. Edellä esitettyyn viitaten, käsittely (ml. luovutus) muussa kuin alkuperäisessä tarkoituksessa voi siis perustua jäsenvaltion lainsäädäntöön vain silloin, kun lainsäädäntö muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhtaisen toimenpiteen 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Näin ollen luovutusmahdollisuuksia eri käyttötarkoitusten osalta tulee peilata muun muassa tietosuoja-asetuksen 23 artiklan kautta, erityisesti 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Tätä analyysiä ei ole suoritettu tarpeeksi yksityiskohtaisesti, erityisesti 23 artiklan 1 kohdassa mainittujen tavoitteiden näkökulmasta. Näiltä osin esitystä on täsmennettävä ja tarkistettava, ovatko ehdotetut muutokset mahdollisia tietosuoja-asetuksen luoman kansallisen liikkumavaran puitteissa. Niiltä osin, kuin laajempia luovuttamiskäytäntöjä on perusteltu tietosuoja-asetuksen 6 artiklan 3 kohdalla, todettakoon, että kansallinen liikkumavara sisältyy käsittelyn osalta 6 artiklan 1 c ja e kohtiin. Tietosuoja-asetuksen 6 artiklan 3 kohta puolestaan täsmentää niitä vaatimuksia, joita liikkumavaran puitteissa laadittavan lainsäädännössä pitää huomioida, mutta se ei laajenna käsittelyperusteisiin sisältyvää liikkumavaraa. Nyt lausunnon kohteessa olevassa esityksessä laajoja luovutuskäytäntöjä on perusteltu useissa kohdin muun muassa avoimen tiedon periaatteilla sekä julkisuusperiaatteen toteuttamisella. Avoimen tiedon periaatteiden ja julkisten tietovarantojen avaamisen taustalla vaikuttaa Euroopan parlamentin ja neuvoston direktiivi 2003/98/EY, julkisen sektorin hallussa olevien tietojen uudelleenkäytöstä eli niin kutsuttu PSI-direktiivi. PSI-direktiivin johdanto-osan 21 kappaleessa sekä 1 artiklan 4 kohdassa todetaan, että

TIETOSUOJAVALTUUTETUN TOIMISTO 9/10 Tällä direktiivillä ei kajota eikä millään tavalla vaikuteta yhteisön ja kansallisen lainsäädännön säännösten mukaiseen yksilöiden suojelun tasoon henkilötietojen käsittelyssä eikä sillä muuteta direktiivissä 95/46/EY säädettyjä velvollisuuksia ja oikeuksia. Näin ollen avoimen tiedon periaatteiden osalta suhteellisuusperiaatteen mukainen analyysi on jo suoritettu PSI-direktiivin yhteydessä ja tätä taustaa vasten ei vaikuta perustellulta, että yksilöille perusoikeutena kuuluvan yksityisyyden suojasta poikkeamista perustellaan avoimen tiedon tuottamalla yleisellä edulla. Julkisuusperiaate eli se, etä jokaisen oikeus saada tietoja viranomaisen asiakirjoista, toteuttaa puolestaan kansalaisten oikeutta valvoa julkista valtaa sekä käyttää poliittisia sekä osallistumis- ja vaikuttamisoikeuksiaan. On osin kyseenalaista, voidaanko laajojen henkilötietomassojen luovuttamista viranomaisrekisteristä perustella suoranaisesti julkisuusperiaatteella. Esityksen perusteluita luettaessa laaja-alaisten tiedonluovutussäännösten taustalla näyttävät tosiasiallisesti olevan täysin muut tavoitteet, kuin kansalaisten valvontamahdollisuuksien lisääminen. Luovutusten edellytyksiä tulee siis peilata edellä esitetyllä tavalla yksityiskohtaisemmin tietosuojaasetusta vasten. 4 Julkisten tietojen luovuttaminen liikenteeseen liittyviin tarkoituksiin Liikenteen turvallisuusvirasto saa luovuttaa tietoja 1) kohdan mukaan liikennepalvelujen tarjoamiseen ja kehittämiseen ja tutkimukseen. Esityksen perusteella jää osin epäselväksi se, viitataanko tutkimuksella tässä yhteydessä tietosuoja-asetuksen tarkoittamaan tieteelliseen tutkimukseen vai johonkin muuhun tutkimukseen. Tietojen luovuttaminen on tarkoitus mahdollistaa myös 5 :n nojalla tutkimus-, kehitys-, ja innovaatiotoimintaa, joka on jotain muuta, kuin tietosuojaasetuksen mukainen tutkimus. Näiltä osin on syytä selkeyttää, mitä tarkoitetaan milläkin tutkimuksella sekä tarkastella vielä näiltä osin säännöksen tarpeellisuus suhteessa yleislakeihin. On myös tärkeä muistaa, että tietosuoja-asetuksen määritelmiä ei saa määritellä kansallisessa laissa uudelleen. 5 Tietojen luovuttaminen tutkimus-, kehitys- ja innovaatiotoimintaan Kuten jo aiemmin todettu, kun henkilötietojen luovuttaminen halutaan mahdollistaa liikennepalvelujen tarjoamiseen ja kehittämiseen (4 ) sekä tutkimus-, kehitys- ja innovaatiotoimintaan (5 ), ei käsittelyn voida katsoa perustuvan suoranaisesti Liikenteen turvallisuusviraston lakisääteiseen tehtäviin (6 1 c), koska tiedot on nimenomaisesta tarkoitus luovuttaa edelleen. Käyttö muuhun kuin alkuperäiseen tarkoitukseen on mahdollista vain, jos tietosuoja-asetuksen 6 artiklan 4 kohdassa säädetyt edellytykset ovat käsillä. Huomionarvioista on myös se, että esimerkiksi tietosuoja-asetuksen 21 artiklassa oleva vastustamisoikeus ei koske sellaista henkilötietojen käsittelyä, joka tapahtuu tietosuoja-asetuksen 6 1 c:n perusteella. Näin ollen rekisteröidyillä ei olisi tietosuojaasetukseen perustuvaa oikeutta vastustaa tietojen käsittelyä ja he olisivat tutkimus-, kehitys- ja innovaatiotoiminnan osalta huonommassa asemassa, kuin esimerkiksi tieteellisen tutkimuksen osalta, joka on kuitenkin tietosuoja-asetuksessa tunnustettu yhteensopivaksi ja yleisen edun mukaiseksi käsittelyksi.

TIETOSUOJAVALTUUTETUN TOIMISTO 10/10 Todettakoon lisäksi, että tutkimus-, kehitys- ja innovaatiotoiminnan käsitteeseen sisältyy vahva vaikutelma siitä, että toiminta tähtää ennen kaikkia liiketoimintaa ja näin ollen yksittäisen yrityksen etuun. Tätä kautta on kyseenalaista, voidaanko kaikki tällainen toiminta katsoa johdonmukaisesti yleisen edun mukaiseen tehtävään liittyväksi, vaikka olisikin annettavissa yksittäisiä esimerkkejä siitä, milloin tällaisessa toimintaa voidaan perustella myös yleisen edun mukaiseen tehtävään liittyvillä argumenteilla. Ehdotetun lain 5 :n 2 momentissa säädetään koneellisesta tietojen käsittelystä. Todettakoon, että tällainen käsittely kuuluu tietosuojasäännösten alaan. Ehdotettua säännöstä olisi kuitenkin peilattava tietosuoja-asetuksen. Mikäli kuvattuun käsittelyyn liittyy päätöksentekoa, huomioitava myös asetuksen 22 artikla. 7 tietojen luovutuksen rajoittaminen ja 8 Henkilön omien tietojen hallinta Tietosuoja-asetuksen 12 22 artikloissa on säädetty kattavasti rekisteröidyn oikeuksista. Asetuksen mukaan rekisteröidyn oikeuksista voi kansallisesti säätää toisin vain siten, kuin sen 23 artiklassa ja IX luvussa säädetään. Oikeuksien sisältö tai toteuttamistapa ei ole kansallisen liikkumavaran piirissä. Näin ollen henkilön omien tietojen hallinnasta tai muista rekisteröidyn oikeuksista ei tulisi säätää kansallisesti toisin, ilman asetuksesta tulevaa perustetta. Rekisteröidyn oikeudet riippuvat osin henkilötietojen käsittelyperusteesta. Mikään ei kuitenkaan estä viranomaista hyvän tiedonhallinnan hengessä nostamasta käytännössä palvelutasoaan siten, että rekisteröity voi paremmin hallita tietojaan. Lopuksi Edellä esitettyjen huomioiden osalta nyt lausunnon kohteena oleva esitys kaipaa vielä tarkempaa ja yksityiskohtaisempaa tarkastelua tietosuoja-asetusta vasten sekä sitä, että lainsäätäjä avaa selkeämmin ja yksiselitteisemmin tekemänsä ratkaisut suhteessa tietosuoja-asetuksen artikloihin. Tietosuojavaltuutettu Reijo Aarnio Ylitarkastaja Raisa Leivonen

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute