MITEN KANSALLISTA LAIN SÄÄDÄNTÖÄMME PITÄÄ MUUTTAA EU:N YLEISEN TIETOSUOJA- ASETUKSEN VUOKSI? Olli Pitkänen, Päivi Korpisaari & Rauno Korhonen 1 Johdanto Nykyinen henkilötietodirektiivi on tullut voimaan vuonna 1995, jolloin henkilötietojen käsittelyn tekninen toimintaympäristö ja tietojärjestelmissä käsiteltävät tietomäärät olivat hyvin toisenlaiset nykypäivään verrattuna. Internet nykymuodossaan otti 90-luvun alkupuolella henkilötietodirektiiviä valmisteltaessa vasta alkuaskeliaan. Internetin nykyiselle tehokkaalle käytölle olennainen Sir Tim Berners-Leen kehittelemä world wide web hypertekstilinkkeineen alkoi tulla laajempaan käyttöön 1990-luvun puolivälissä ja loppupuolella. Vielä tuolloin ei nykyisiä verkkopalveluita tai niiden tietosuojalle aiheuttamia haasteita ollut olemassa. Erilaiset internetin verkkosivustot, sosiaalisen median palvelut, pilvipalvelut, sijaintia hyväksikäyttävät sovellukset, älypuhelimet ja älykortit ovat johtaneet henkilötietojen keräämisen, hyödyntämisen ja muunlaisen käsittelyn räjähdysmäiseen kasvuun. 1 Henkilötietodirektiivi (46/1995/EY) on saatettu voimaan jokaisessa Euroopan unionin jäsenvaltiossa kansallisella lailla, minkä vuoksi rekisterinpitäjään ja henkilötietojen käsittelytehtäviin liittyvät käytännön toimenpiteet saattavat huomattavasti vaihdella eri jäsenvaltioissa. Esimerkiksi tilanteet, joissa rekisterinpitäjällä on ilmoitusvelvollisuus paikalliselle tietosuojaviranomaiselle, poikkeavat suuresti 1 Pitkänen, Tiilikka, Warma: Henkilötietojen suoja, Talentum, 2013, s. 9 10; EU:n yleinen tietosuoja-asetus (EU) 2016/679, johdanto-osan (6) kappale. 1
eri jäsenvaltioissa. Tästä johtuen henkilötietojen käsittelyyn liittyvien säännösten noudattaminen monikansallisissa yrityksissä on monimutkaista, kallista ja vaikeaa. Jäsenvaltioiden lainsäädäntöjen väliset erot ovatkin aiheuttaneet epätietoisuutta ja lisänneet hallinnollisia kustannuksia, millä on vaikutuksia myös Euroopan unionin taloudelliseen kilpailukykyyn. Tämän vuoksi syntyi tarve säännöstöön, joka edesauttaisi EU:n jäsenvaltioiden digitaalisen talouden kehittämistä ja varmistaisi, että EU:n perusoikeuskirjan 8 artiklassa tunnustettu oikeus henkilötietojen suojaan turvataan myös digitaaliaikana. Edellä mainituista syistä EU:ssa ryhdyttiin valmistelemaa uutta tietosuoja-asetusta, joka korvaisi henkilötietodirektiivin. EU:n yleisen tietosuoja-asetuksen tavoitteina olivat yksilön oikeuksien ja vapauksien vahvistaminen, EU:n digitaalisten sisämarkkinoiden tiivistäminen ja kaupankäynnin lisääminen, tietosuojan globaalin ulottuvuuden huomioon ottaminen sekä tietosuojanormiston täytäntöönpanon ja sen valvonnan tehostaminen. Asetuksella pyrittiin luomaan Euroopan unionille nykyaikainen, vahva, yhtenäinen ja kattava tietosuojalainsäädäntö. Tietosuojan ohella haluttiin parantaa kuluttajien luottamusta online-palveluihin ja siten edistää EU:n digitaalisten sisämarkkinoiden kehittämistä. 2 EU:n yleinen tietosuoja-asetus (EU) 2016/679 hyväksyttiin 14.4.2016 Euroopan parlamentin ja neuvoston päätöksillä ja sitä ryhdytään soveltamaan 25.5.2018. Asetus on suoraan sovellettavaa oikeutta ja se korvaa vuonna 1995 annetun henkilötietodirektiivin. Asetuksessa säädetään mm. henkilötietojen käsittelyä koskevista periaatteista, käsittelyn lainmukaisuudesta, rekisterinpitäjän ja henkilötietojen käsittelijän velvoitteista ja vastuista, rekisteröiden suostumuksen edellytyksistä ja arkaluonteisten tietojen käsittelystä. Oikeusministeriö nimitti 17.2.2016 työryhmän selvittämään EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimien tarvetta ja valmistelemaan tarvittavia lainmuutoksia. Työryhmän tulee ensinnäkin selvittää tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimenpiteiden tarve sekä erityisesti se, onko henkilötietolain (523/199) kaltaiselle yleislaille tarvetta ja valmistella ehdotus asiasta mahdollisesti tarvittavaksi yleiseksi lainsäädännöksi. Toisekseen sen tulee selvittää, onko kansallista tietosuojaviranomaista 2 EU:n yleinen tietosuoja-asetus (EU) 2016/679, johdanto-osan (7) ja (9) kappaleet. 2
koskevaa lainsäädäntöä tarpeen tarkistaa ja valmistella tätä koskeva ehdotus. Työryhmän tulee myös esittää periaatteet tietosuoja-asetuksen jättämän kansallisen liikkumavaran käytöstä sekä koordinoida ja avustaa henkilötietojen käsittelyä koskevan erityislainsäädännön tarkistamistyötä. Työryhmässä pyritään välttämään kansallista lisäsääntelyä ja turvaamaan tietojen siirtämistä viranomaisten välillä. Lisäksi pyritään luopumaan tarpeettomasta erityissääntelystä. 3 Tietosuoja-asetuksen säätämisen yhteydessä annettiin EU:n parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (tietosuojadirektiivi). Sekaannusten välttämiseksi on hyvä huomata, että myös vuoden 1995 henkilötietodirektiivistä on puhekielessä ja oikeuskirjallisuudessa käytetty nimikettä tietosuojadirektiivi. 4 Osana tietosuojalainsäädännön kansallista toimeenpanoa Valtioneuvoston kanslia rahoitti EU:n yleisen tietosuoja-asetuksen (2016/679) kansallista toimeenpanoa selvittäneen erillishankkeen, jossa IPR University Centerin, Helsingin yliopiston, Lapin yliopiston ja Tampereen yliopiston tutkijat kävivät läpi lähes 800 säädöstä ja arvioivat, ovatko ne sopusoinnussa tietosuoja-asetuksen kanssa. Henkilötietolakia ei arvioitu. Tässä kirjoituksessa kuvataan tämän selvitystyön tulokset. 5 3 http://oikeusministerio.fi/fi/index/valmisteilla/lakihankkeet/ informaatiooikeus/henkilotietojensuojakansallisenlainsaadannontarkistaminen_0.html 4 Oikeusministeriö on 12.1.2017 asettanut päätöksellään työryhmän valmistelemaan tämän uudemman EU:n tietosuojadirektiivin täytäntöönpanoa. (OM 21/41/2016) 5 Kirjoittajista Olli Pitkänen ohjasi projektissa tutkimusapulaisten työtä ja kaikki kirjoittajat osallistuivat asiantuntijapaneeliin. Päivi Korpisaari on lisäksi jäsenenä oikeusministeriön 17.2.2016 nimittämässä työryhmässä, joka selvittää EU:n yleisen tietosuoja-asetuksen edellyttämien kansallisten lainsäädäntötoimien tarvetta ja valmistelee tarvittavia lainmuutoksia. 3
2 Selvityksen tekeminen 2.1 Lähtökohdat Henkilötietolainsäädännön tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. 6 Digitalisoituvassa yhteiskunnassa henkilötietojen käsittely lisääntyy nopeasti, se käy yhä tärkeämmäksi eikä kukaan voi välttyä siltä. Nykyinen EU:n tietosuojadirektiivi on harmonisoinut jäsenmaiden tietosuojalainsäädäntöjä, mutta niihin on myös jäänyt runsaasti tilaa kansallisille eroavaisuuksille. 7 EU:n uusi yleinen tietosuoja-asetus määrittää kaikkiin jäsenmaihin yhteisen lainsäädännöllisen kehyksen henkilötietojen käsittelylle. Asetuksena se on lähtökohtaisesti sellaisenaan voimassaolevaa oikeutta kaikissa jäsenmaissa eikä kansallinen lainsäädäntö voi olla sen kanssa ristiriidassa. Siksi on tärkeää käydä läpi kansalliset säädökset ja selvittää asetuksen niihin aiheuttamat muutostarpeet. Samalla on tarpeen pohtia, miten asetuksen suomaa kansallista liikkumavaraa tulee käyttää. Suomessa henkilötietojen suojan sääntely on varsin sirpaleista. Voimassa olevassa lainsäädännössä on henkilötietolain lisäksi paljon muita henkilötietojen käsittelyä koskevia lakeja ja yksittäisiä säännöksiä, joita on valmisteltu eri hallinnonaloilla. Näitä henkilötietojen käsittelyä sisältäviä säädöksiä on yhteensä lähes 800. 2.2 Selvityksen tavoitteet ja menetelmät Valtioneuvoston kanslia myönsi keväällä 2016 rahoituksen hankkeelle, jossa Tampereen yliopisto selvittää yleisen tietosuoja-asetuksen yri- 6 Henkilötietolain (523/1999) 1 ja 3 :n 1 momentin 1 kohta. 7 Pitkänen, O., Tiilikka, P., Warma, E.: Henkilötietojen suoja, Talentum, 2013, s. 28. 4
tysvaikutuksia ja IPR University Center (Svenska handelshögskolan), Helsingin yliopiston oikeustieteellinen tiedekunta ja Lapin yliopiston oikeustieteiden tiedekunta yhdessä selvittävät nykyisen lainsäädäntömme muutostarpeita. Tämä artikkeli kuvaa hankkeen jälkimmäisen osuuden tuloksia: mitkä ovat tietosuoja-asetuksesta johtuvat muutostarpeet kansalliseen lainsäädäntöön. Hankkeeseen palkattiin kuusi oikeustieteen ylioppilasta tutkimusapulaisiksi. He olivat Laura Lammassaari, Jussi Latola, Eerika Majamaa, Heidi Moisala, Petra Ruuska ja Iiro Suomalainen. Ministeriöiltä saatiin luettelot arvioitavista säädöksistä, joita oli kaiken kaikkiaan 755 kappaletta. Näistä puuttui 57 verosäädöstä, jotka arvioitiin erikseen. Yhteensä siis säädöksiä arvioitiin 812 kappaletta. Henkilötieto laki rajattiin arvioinnin ulkopuolelle, koska sen muutostarve selvitetään oikeusministeriössä erikseen. 8 Hankkeen yhteydessä ei ole myöskään arvioitu erityissäännösten tarpeellisuutta tai välttämättömyyttä, vaan asetuksenmukaisuudessa on arvioitu käsittelyn oikeudellista perustaa. Olli Pitkänen rakensi Google Sheets -perustaisen järjestelmän, jossa tutkimusapulaisille jaettiin säädökset arvioitaviksi ja he pystyivät internetin kautta vastaamaan niitä koskeviin kysymyksiin ja esittämään niistä arvionsa. Tutkimusapulaisille järjestettiin alkuseminaari, jossa heidät perehdytettiin arviointitehtävään. Lisäksi järjestettiin useita tapaamisia, joissa tutkimusapulaiset kertoivat edistymisestään ja yhdessä pohdittiin ongelmalliseksi osoittautuneita säännöksiä. Näihin tapaamisiin osallistuivat ja tutkimusapulaisia neuvoivat myös Pekka Nurmi ja Anu Talus oikeusministeriöstä sekä Maria Aholainen ollessaan liikenne- ja viestintäministeriön palveluksessa. Asiantuntijapaneeli, johon kuuluivat professori Päivi Korpisaari Helsingin yliopistosta, professori Rauno Korhonen Lapin yliopistosta, EU-erityisasiantuntija Anu Talus oikeusministeriöstä ja tutkimusjohtaja Olli Pitkänen IPR University Centeristä, kävi läpi tutkimusapulaisten tekemän arvion ja nosti esiin jäljempänä esitettäviä keskeisiä havaintoja sekä tarkisti myöhemmin hankkeen raportin. 8 Tässä vaiheessa näyttää siltä, että henkilötietolain tilalle tulee suppeampi henkilötietojen käsittelyä sääntelevä yleislaki, jossa säädetään henkilötietojen käsittelystä siltä osin kuin kansallista liikkumavaraa käytetään tai asioista on pakko antaa täsmällisempää kansallista sääntelyä. 5
Selvityksen tavoitteena oli tuottaa perusteltu arvio tietosuojaasetuksesta johtuvista muutostarpeista kansalliseen lainsäädäntöön. Hankkeen oheistuloksena Suomeen saatiin myös joukko uusia tietosuojaosaajia, kun tutkimusapulaisten joukko on ensin koulutettu ja sitten itse perehtynyt tietosuojalainsäädäntöön. Selvityksestä on hyötyä ministeriöille, eduskunnalle ja muille lainvalmisteluun osallistuville tahoille. Sen tuottamaa tietoa voidaan hyödyntää myös lainkäytössä sekä yrityksissä ja muissa organisaatioissa, joissa etenkin asetuksen sanktiosäännösten vuoksi joudutaan entistä enemmän kiinnittämään huomiota tietosuojalainsäädäntöön. Yliopistot sekä muut tutkimus- ja oppilaitokset voivat hyödyntää hankkeen tuloksia tutkimuksessaan ja opetuksessaan. 3 Keskeiset havainnot Säädösten arvioinnin keskeisin havainto oli, että suurimmaksi osaksi säädökset ovat jo valmiiksi yhteensopivia tietosuoja-asetuksen kanssa. Erot direktiivin ja asetuksen vaatimusten välillä osoittautuivat tässä suhteessa melko pieniksi. Vaikein kysymys oli yleisen tietosuoja-asetuksen 9 artiklassa säädetty arkaluonteisten tietojen käsittelyn perusteiden kansallinen liikkumavara. Arkaluonteisia tietoja koskevien Suomessa voimassa olevien säännösten tarpeellisuus on niitä arvioitaessa yleensä varsin ilmeistä, mutta voi olla hyvin vaikea sanoa, minkä asetuksen 9 artiklassa säädetyn perusteen mukainen kansallinen säännöksemme on vai onko arkaluonteisten tietojen käsittelylle lainkaan tietosuoja-asetuksen mukaista perustetta. Erityisen hankalasti tulkittava on yleinen etu tietosuoja-asetuksen 9. Artiklan (2)(g) kohdassa. Joistakin yksittäisistä säädöksistä löytyi tietosuoja-asetuksen näkökulmasta korjausta vaativia säännöksiä. Niistä on syytä nostaa esiin erityisesti vaalilain (714/1998) 24 ja työsuojeluhenkilörekisteristä annetun lain (1039/2001) 2. Vaalilain 24 3 momentti kuuluu: Jos äänioikeutetun kotikuntalaissa tarkoitettu muuttoilmoitus saapuu maistraatille myöhemmin kuin 51. päivänä ennen vaalipäivää, äänioikeutettu ei tämän muuttoilmoituksen perusteella voi vaatia oikaisua äänioikeusrekisterissä oleviin häntä koskeviin 18 :n 2 momentin 3 6 kohdassa tarkoitettuihin tietoihin. Säännös on epäilemättä järkevä vaalilainsäädännön 6
näkökulmasta: vaaleja ennen tarvitaan rauhoitusaika, jolloin äänioikeutettu ei enää voi vaihtaa vaalipiiriä tai äänestyspaikkaa ja jolloin vaalit saadaan valmisteltua asianmukaisesti. Tietosuojalainsäädännön näkökulmasta säännös on kuitenkin ongelmallinen. Sanamuotonsa perusteella se näyttäisi tarkoittavan sitä, ettei rekisteröidyllä tuolloin ole oikeutta korjata äänioikeusrekisterissä olevia tietoja. Säännöksen sanamuotoa tulisi muuttaa siten, että rekisteröidyllä on aina oikeus korjata tietonsa, mutta juuri ennen vaaleja tehdyt korjaukset eivät enää vaikuta äänioikeuden käyttämiseen näissä vaaleissa. Työsuojeluhenkilörekisteristä annetun lain 2 :n 3 momentin mukaan [r]ekisteröidyllä on oikeus kieltää ammattiliiton jäsenyystiedon ilmoittaminen rekisteriin. Ammattiliiton jäsenyys on arkaluonteinen henkilötieto. Sitä koskee yleisen tietosuoja-asetuksen 9 artikla. Lähtökohta on, että arkaluonteisten tietojen käsittely on kiellettyä, ellei rekisteröity ole antanut siihen nimenomaista suostumustaan tai jokin muu 9 artiklan poikkeuksista sovellu tilanteeseen. Nykyisessä muodossaan lain työsuojeluhenkilörekisteristä 2 3 mom. näyttää ongelmalliselta tietosuoja-asetuksen 9 artiklan kannalta, koska kielto-oikeuden sijaan arkaluonteisten tietojen käsittelyn perustaksi pitäisi säätää etukäteen annettu nimenomainen suostumus, ellei joku muu artiklan kohta mahdollista arkaluonteisten tietojen käsittelyä. Tässä tapauksessa 9(2)(d) kohta saattaisi soveltua, mutta se on epäselvää, koska rekisterinpitäjä on ministeriö eikä rekisteröidyn suhdetta ministeriöön välttämättä voida pitää sellaisena kuin mainitussa kohdassa on edellytetty: käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet. Niinpä selkeintä olisi muuttaa säännöstä niin, että ammattiliiton jäsenyystiedon käsittely perustuisi 9(2)(a) kohdan mukaisesti etukäteen annettuun nimenomaiseen suostumukseen. Myös biopankkilaki (688/2012) osoittautui ongelmalliseksi tietosuoja-asetuksen näkökulmasta (mm. suostumus, tietojen saannin maksullisuus), mutta koska lakia ollaan jo uudistamassa tietosuoja-asetusta vastaavaksi, sen yksityiskohtaisempi käsittely ei ole tässä tarpeen. Hankkeen 348-sivuinen raportti, jossa käydään läpi kaikki arvioidut säädökset ja esitetään niitä koskevat huomiot, on julkaistu Valtioneuvoston selvitys ja tutkimustoiminnan julkaisusarjassa. 9 9 Pitkänen, O. (toim.) Tietosuojasäädösten muutostarve, Valtioneuvoston 7
Asiantuntijapaneeli katsoi, että ministeriöiden olisi raportissa esitettyjen kommenttien pohjalta vielä aiheellista tarkistaa oman alansa lainsäädännön henkilötietojen käsittelylle säätämä oikeusperusta ja sallittavuus kiinnittäen huomiota erityisesti arkaluonteisiin tietoihin ja suostumuksen tarpeellisuuteen mm. yleisen tietosuoja-asetuksen 6, 7 ja 9 artiklojen pohjalta. 4 Lopuksi Eurooppalainen ja kansallinen tietosuojalainsäädäntö on voimakkaan muutoksen alla. Meillä Suomessa säädettiin kansallisena ratkaisuna laaja tietoyhteiskuntakaari (917/2014), joka voimaan tullessaan vuoden 2015 alussa kumosi useita merkittäviä säädöksiä kuten esimerkiksi sähköisen viestinnän tietosuojalain (516/2004 ). Tämän taustalla on puolestaan EU:n sähköisen viestinnän tietosuojadirektiivi vuodelta 2002. EU:n komissio julkisti 10.1.2017 ehdotuksen uudeksi sähköisen viestinnän tietosuoja-asetukseksi 10, jolla on tarkoitus kumota edellä mainittu sähköisen viestinnän tietosuojadirektiivi. Nähtäväksi jää mm. se, millaisia muutoksia tullaan tarvitsemaan varsin tuoreeseen tietoyhteiskuntakaareen. Vaikka EU:n yleinen tietosuoja-asetus henkilötietojen käsittelyn perusteiden osalta onkin melko samanlainen kuin henkilötietodirektiivi ja Suomen lainsäädäntö näin ollen jo valmiiksi hyvin sopusoinnussa asetuksen kanssa, niin asetus tuo muilta osin isoja muutoksia. Näistä merkittävin on, että asetuksen vaatimusten noudattamatta jättämisestä voi tulevaisuudessa seurata ankarat taloudelliset sanktiot, mikä pakottaa rekisterinpitäjät jatkossa paremmin noudattamaan sellaisiakin sääntöjä, joihin ne ovat aikaisemin voineet suhtautua välinpitämättömästi. Niinpä organisaatioiden kannattaa aloittaa ajoissa valmistautuselvitys ja tutkimustoiminnan julkaisusarja, 2017. 10 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/ EC (Regulation on Privacy and Electronic Communications). Brussels, 10.1.2017. COM (2017) 10 final. 8
minen tietosuoja-asetuksen soveltamiseen. 11 Erityisesti julkishallinnon osalta asetuksessa on useissa kohdin huomattavasti kansallista liikkumavaraa, jonka käytöstä säädetään kansallisella lainsäädännöllä. Näitä uusia kansallisia säännöksiä koskeva hallituksen esitys pyritään antamaan toukokuun 2017 lopussa. 11 Miten valmistautua EU:n tietosuoja-asetukseen? Tietosuojavaltuutetun toimisto, 2017, http://www.tietosuoja.fi/material/attachments/ tietosuojavaltuutettu/ tietosuojavaltuutetuntoimisto/oppaat/br8oajyyj/miten_valmistautua_eun_ tietosuoja-asetukseen.pdf. 9