Eduskunnan hallintovaliokunnalle



Samankaltaiset tiedostot
Tietosuojanäkökulma biopankkilainsäädäntöön

Henkilötietojen käsittely tietosuojalain voimaantulon viivästyessä

HENKILÖTIETOJEN SUOJAA KOSKEVAN KANSALLISEN LAINSÄÄDÄNNÖN TARKISTAMINEN

Tietosuojauudistus lyhyesti. Antti Ketola, lakimies,

T E R H O N E V A S A L O

Kansallinen tietosuojalaki

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

Tietosuojalaki sekä muuta ajankohtaista lainsäädännössä - Virpi Koivu. JUDO-työpaja

Rikosoikeuden professori Sakari Melander Helsingin yliopisto Oikeustieteellinen tiedekunta Eduskunnan perustuslakivaliokunnalle

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

EU:N UUSI TIETOSUOJA- ASETUS

TIETOSUOJAVALTUUTETUN TOIMISTO

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Valokuva ja yksityisyyden suoja henkilötietolain kannalta

Lausun kunnioittavasti maa- ja metsätalousvaliokunnan lausuntopyynnön johdosta seuraavaa:

Tietosuoja-asetus ja sen kansallinen implementointi

Tietosuojavaltuutetun esittelypuheenvuoro

U 26/2017 vp. Helsingissä 16 päivänä maaliskuuta Oikeus- ja työministeri Jari Lindström. Lainsäädäntöjohtaja Tuula Majuri

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Tietosuojanäkökulma biopankkilainsäädäntöön

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Tietosuojalainsäännön katsaus Virpi Korhonen, lainsäädäntöneuvos

E U : N T I E T O S U O J A - A S E T U K S E N V A I K U T U K S E T Y R I T Y S T E N L I I K E T O I M I N T A A N T E R H O N E V A S A L O

Informaatiovelvoite ja tietosuojaperiaate

HALLITUKSEN ESITYS EU:N YLEISTÄ TIETOSUOJA-ASETUSTA TÄYDENTÄVÄKSI LAINSÄÄDÄNNÖKSI (HE 9/2018 vp)

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Yhteinen eurooppalainen tietosuoja Apulaistietosuojavaltuutettu Jari Råman

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Lausunto Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 ).

EU TIETOSUOJA- ASETUS

Tiedon elinkaaren hallinta Henkilötietojen suoja

Haminan tietosuojapolitiikka

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Hallituksen esitys yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi - TIETOSUOJALAKI

EU-TIETOSUOJA-ASETUS JA SEN VAIKUTUKSET TOIMINTAAN

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

EU:n tietosuoja-asetus ja tieteellinen tutkimus

1. Arvionne lukuun 1 Johdanto

Tiedon hallinnan ajankohtaispäivä 11.4 Ylitarkastaja, Tomi Kytölä

KILOMETRIVERO JA TIETOSUOJA

Avoin data ja tietosuoja. Kuntien avoin data hyötykäyttöön Ida Sulin, lakimies

Sote-asiakastietojen käsittely

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 221/03/2018 Lausunto

Case-esimerkkejä: henkilötietojen käsittelyn lainmukaisuus ja eettisyys

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Mitä kyselytutkimuksia suunnittelevien tulee tietää tietosuojasta?

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3922/03/ Lausuntopyyntönne , STM/4070/2017, STM100:00/2017

Juha Lavapuro Lausunto

Hallituksen esitysluonnos tieliikennelaiksi ja eräiksi siihen liittyviksi laeiksi

Ajankohtaista tietosuoja-asetuksesta

Tutkittavan informointi ja suostumus

Euroopan komission ehdotus Euroopan parlamentin ja neuvoston asetukseksi (Eurodac-rekisteri) U 30/2016 vp ja UJ 4/2017 vp

Lausunto Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 :stä ja rikostuomioita ja rikkomuksia koskevasta 6 :stä.

Oikeudellisten asioiden valiokunta ILMOITUS JÄSENILLE (33/2010)

Lausunto NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI

Eläketurvakeskuksen tietosuojapolitiikka

Kokonaiskuva tietosuoja-asetuksesta General Data Protection Regulation,GDPR

MITÄ TIETOSUOJA TARKOITTAA?

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 3835/03/ Lausuntopyyntönne , STM/3551/2017, STM090:00/2017

Euroopan unionin neuvosto Bryssel, 12. huhtikuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Mitä jokaisen pitää tietää EU:n tietosuoja-asetuksesta IAB Finland ry:n tietosuojaseminaari

Lausunto. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne.

FiCom ry:n lausunto sisältöjen siirrettävyydestä

LAUSUNTO OM 198/43/2015

SESSIO 8. Tietoturvallista terveydenhuoltoa. Kansalaisten luottamus tietoturvaan ja tietosuojaan

Oikeudellisten asioiden valiokunta ILMOITUS JÄSENILLE (26/2010)

Yksityisyyden suoja sosiaalihuollossa

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Ehdotus NEUVOSTON PÄÄTÖS

Itsemääräämisoikeus ja yksityisyydensuoja

Tervetuloa tietosuoja-asetuskoulutukseen! JASMINA HEINONEN

Naisten oikeuksien ja sukupuolten tasa-arvon valiokunta LAUSUNTOLUONNOS. naisten oikeuksien ja sukupuolten tasa-arvon valiokunnalta

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

HE 50/2016 vp. Esityksessä ehdotetaan säädettäväksi laki ehdolliseen pääsyyn perustuvien ja ehdollisen pääsyn

Toimistopäällikkö Heljä-Tuulia Pihamaa, Tietosuojavaltuutetun Teknologiateollisuus ry Ylitarkastaja Anna Hänninen

Tietosuojaseloste 1 (6)

GDPR. Timo Kokkonen Webinaari

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Lapsen huolto- ja tapaamisoikeuden rekisteri

1 luku. Yleiset säännökset. Suomen Asianajajaliitto. Lausunto Dnro 48/2017. Asia: 1/41/2016. Yleiset kommentit

AINEISTOJEN JAKAMISEN MYYTEISTÄ JA HAASTEISTA

LAUSUNTO TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2815/03/13. Oikeusministeriö

REKISTERINPITÄJÄN YLEINEN INFORMOINTIVELVOLLISUUS

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

TIETOSUOJAVALTUUTETUN TOIMISTO Dnro 1382/03/

1 luku. Yleiset säännökset. Teknologiateollisuus ry. Lausunto Asia: 1/41/2016. Yleiset kommentit

MIKÄ ON TIETOSUOJAVASTAAVA?

1. Rekisterinpitäjä Nimi Hevostoiminta Laukki Yksityinen elinkeinonharjoittaja, Y-tunnus Yhteystiedot Puh: ,

Euroopan unionin neuvosto Bryssel, 25. huhtikuuta 2017 (OR. en)

Transkriptio:

Ahti Saarenpää Eduskunnan hallintovaliokunnalle Pyydettynä lausuntona valmisteilla olevan tietosuoja-asetuksen edistymistä koskevan valtioneuvoston kirjelmän U-jatkokirje - johdosta asiassa esitän kunnioittaen seuraavaa: 1. Taustaa Henkilötietojen suojasta tuli uusi yksilöitä suojaava oikeudellinen instituutio1970- ja 1980- luvuilla. Ruotsissa ensimmäinen yleinen tietosuojalaki datalagen säädettiin jo vuonna 1973. Siitä kerrottaessa unohdetaan usein mainita, että ruotsalainen luottotietolaki säädettiin jokseenkin samanaikaisesti. Jälkimmäisen lain keskeisenä sääntelytausta oli ruotsalaisen julkisuuslainsäädännön tarjoama avoin mahdollisuus ihmisten luottohäiriö- ja muiden taloustietojen käsittelyyn. Yhtä lailla usein unohdetaan usein mainita, että OECD julkisti omat ohjeensa henkilötietojen käsittelystä jo vuonna 1980. Kansainvälisen kaupan toimivuuden katsottiin edellyttävän riittävän yhteisiä näkemyksiä henkilötietojen käsittelystä. Nämä esimerkit kertovat havainnollisesti henkilötietojen suojan yhteiskunnallisista ulottuvuuksista. Euroopan unioni piti aluksi OECDn ohjeita ja niiden kanssa paljolti samanlaista Euroopan neuvoston konventiota riittävinä. Tilanne muuttui 1990-luvun lähestyessä. Eri maiden omaksumat erilaiset ajalliset ja sisällölliset ratkaisumallit johtivat yhdenmukaisemman lähestymistavan etsimiseen nykyisen, vuoden 1995 henkilötietodirektiivin muodossa. Tuota direktiiviä valmisteltaessa tietoverkkojen käyttö oli vielä lähinnä erikoistarkoituksiin rajoittunutta. Avoimet massakäytön tietoverkot olivat vasta tulossa käyttöön. Teknologianeutraalina direktiivi sopeutui kuitenkin verraten hyvin myös henkilötietojen käsittelyyn verkoissa. Ja sitä täydentämään tuli verraten nopeasti sähköisen viestinnän tietosuojadirektiivi. Laadimme nykyisen henkilötietolain henkilötietodirektiivin pohjalta, mutta myös paljossa vuoden 1987 henkilörekisterilakia esikuvana käyttäen. Jo henkilörekisterilaissa oli näet omaksuttu useimmat keskeiset nykyaikaisen tietosuojalainsäädännön perusratkaisut, vaikka se oli vielä nimensä mukaisesti rekisterikeskeinen. 1

2. Kohden tietosuoja-asetusta Valmistelun nyt loppuvaiheessa oleva tietosuoja-asetus on useamman taustatekijän tulos. Keskeisimmät niistä ovat eurooppalaisten perusoikeuksien kehitys, verkkoyhteiskunnan kehitys sekä komission lisääntynyt aktiivisuus sääntelyn modernisoimisessa. Kun henkilötietodirektiivi tuli voimaan, sitä koskevat tiedot sijoitettiin komission internal market eli sisämarkkinoiden sivustolle. Nyt ne ovat justice sivustolla. Syy on yksinkertainen. Oikeus henkilötietojen suojaan on eurooppalainen perusoikeus ja sellaisena myös yksityisyydestä erillinen perusoikeus. Aina henkilötietoja käsiteltäessä on kysymys samalla perusoikeuden toteuttamisesta. Kun valtaosa tietojenkäsittelystä on käytännössä kokonaan tai osittain henkilötietojen käsittelyä, on kysymys aidosti arkipäivän perusoikeudesta uudistuneessa oikeusvaltiossa. Sen asianmukainen toteutuminen edellyttää tietojärjestelmien oikeudellista suunnittelua. Verkkoyhteiskunnan kehitys toisena sääntelyn taustana on sinänsä luonnollinen lähtökohta. Yhteiskunnan tietotekninen muutos on ollut niin merkittävä, että komission oli direktiivin valmisteluajankohta huomioon ottaen oikeastaan pakko selvittää sen uudistamistarve teknologiseen kehitykseen verrattuna. Vaikka lopputulos on sinänsä niukka eli muutostarpeita ei juurikaan ollut, uudistetulla asetuksella voidaan samalla vaimentaa perusteettomia teknologiaan liittyviä vanhentuneisuusväitteitä. Samalla komission korostama digitaalisten sisämarkkinoiden kehittäminen on tietosuojanäkökulmasta helpompaa. Komission toiminta taasen aktivoitui merkittävästi muutaman passiivisen vuoden jälkeen komissaari Viviane Redingin tultua ensin informaatioyhteiskuntakomissaariksi ja jatkaessa sitten varapresidenttinä henkilötietojen suojan kehittämistä. Komissio selvitti uudistustarvetta kyselyin ja neuvotteluin. Näin selkiytyi uudistuksen päälinja; aikaisemmat keskeiset periaatteet osin uudelleen säänneltyinä. Olennaista oli samalla sääntelyn muuttaminen asetustasoiseksi. Direktiiviä säädettäessä useilla mailla oli jo oma aikaisempi sääntelynsä. Direktiivi ei yhdistänyt niitä riittävästi, vaan implementoinnit osin jopa lisäsivät hajanaisuutta. Entistä yhtenäisempi henkilötietojen suoja on yksilöiden liikkuvuuden ja digitaalisten markkinoiden kannalta myönteinen asia. 3. Asetusehdotus 3.1 Yleistä Yhtenä Euroopan unionin keskeistavoitteista on jo pitkään ollut lainsäädännön tason parantaminen. Tämä merkitsee pääsääntöisesti sääntelyn yksinkertaistamista. Komission ehdotuksessa tietosuoja-asetus oli kuitenkin huomattavassa määrin nykyistä direktiiviä laajempi johdanto-osaa myöten. Tästä on asiantuntijoiden toimesta esitetty paljon kritiikkiä. Demokraattisessa oikeusvaltiossa lainsäädännön tulisi olla yksinkertaista. Siksi on myönteistä, että neuvoston käsittelyssä on jossain määrin pyritty yksinkertaistuksiin. 2

Kun kuitenkin asetus on välittömästi sovellettavaa oikeutta, ei kaikkea laveutta voida välttää. Tämän vuoksi kansallinen sääntely nousee kansalaisen oikeuksien näkökulmasta tärkeälle sijalle. Suomen kanta tässä suhteessa on epäilemättä oikea. Kotimaisessa jatkovalmistelussa tulisi kiinnittää erityistä huomiota siihen, että sääntely nykytilasta poiketen ei pirstaloituisi tavoitteeltaan eikä toteutuksiltaan. Komission alkuperäisessä ehdotuksessa Euroopan komissiolle haluttiin antaa pitkälle menevä ohjausvalta asetuksen toteutuksessa ja valvonnassa. Tältä osin ehdotus oli kiistatta ristiriidassa paremman lainsäädännön tavoitteiden kanssa. Se, että ohjausvallan karsiminen lisää jonkin verran yksityiskohtaista sääntelyä, on siten hyväksyttävissä oleva asia. Ruotsin ja Suomen liittyessä Euroopan unioniin henkilötietodirektiivin valmistelu oli niin pitkällä, että jokseenkin ainoaksi pohjoismaiseksi erityisjäljeksi siihen jäi johdanto-osan kohta 72, missä todetaan, että julkisuusperiaate voidaan ottaa huomioon direktiiviä sovellettaessa. Tämä sinänsä epämääräinen lausuma on johtanut usein käytännön ongelmiin, kun tasapainosa henkilötietojen suojan ja julkisuuden välillä ei ole osattu etsiä. Tyyppitilanteessa on usein luultu julkisuusperiaatteen sivuuttavan henkilötietojen suojan ja ääritilanteessa on luultu poliisin hyvän asiakirjahallinnon periaatteiden sivuttavan henkilötietojen suojan. Kun nyt kysymys ei ole yksityisyyden ja julkisuuden välisestä suhteesta, vaan henkilötietojen suojan ja julkisuuden välisestä suhteesta, Suomen ajama lisäys on jo kansallisen oikeuskulttuurimme kannalta välttämätön. Sen toteuttaminen kansallisessa lainsäädännössä tulisi tehdä nykyistä selkeämmin. Asetuksen soveltamisalan määrittelyssä on tärkeää havaita se, että astus sinänsä koskee lähtökohtaisesti elossa olevien henkilöiden tietoja. Resitaaliosassa kuitenkin todetaan WP 29 työryhmän aiemman kannan mukaisesti, että kansallisesti voidaan henkilötietojen suoja ulottaa myös kuolleiden tietoihin. Näin on meillä alusta lähtien myös tehty ja asia on ollut esillä henkilötietolain perusteluissa. Lainsäädännön selkeys edellyttäisi ymmärtääkseni asiasta nimenomaisesti mainittavan sekä tietosuoja-asetuksen soveltamisalan että kansallisen tietosuojalainsäädännön soveltamisalan yhteydessä. Yhtenä komission ehdotuksen keskeisenä tavoitteena on ollut hallintotaakkojen vähentäminen. Tämä on luonnollinen tavoite informaatiohallinnon aikakaudella. On kuitenkin huomattava, että nykyinen direktiivi sinänsä ei juurikaan aiheuta hallintotaakkoja, mikä tietojärjestelmät kehitetään alun perin oikeudellisesti asianmukaisella tavalla ja henkilötietolainsäädännön vaikutusten arvioinnissa siirrytään tapauskohtaisesta hand made arvioinnista ensi sijassa automaattiseen arviointiin. Meillä Suomessa on myöskin hallintotaakkaa vähentäen pääsääntönä ollut se, että rekisteriseloste on vain poikkeustapauksissa toimitettava tietosuojavaltuutetulle. Toisaalta komission ehdotuksen merkittävistä uudistusehdotuksista oli velvollisuus nimetä tietosuojavastaava kaikkiin julkisen sektorin yksiköihin sekä tiettyihin suurempiin yksityisen sektorin organisaatioihin. Ehdotusta täsmennettiin Euroopan parlamentissa tietojenkäsittelyn määrä huomioon ottaen. Ajatus pakollisesta tietosuojavastaavasta liittyy yksiselitteisesti modernin, ihmisen oikeuksia kunnioittavan tietojohtamisen kehitykseen Euroopassa. 3

Meillä vastaava sääntely on jo toteutettu sosiaali- ja terveystoimessa kohtuullisen hyvin tuloksin. Pakollinen tietosuojavastaava on neuvoston käsittelyssä poistettu hallintotaakkoja lisäävänä tekijänä. Tätä ei kuitenkaan tulisi ymmärtää niin, että tietosuojavastaavia ei tarvittaisi. Jo nykyisen direktiivin puitteissa tietosuojavaltuutettu on meillä katsonut hyvän tietojenkäsittelytavan edellyttävän lähtökohtaisesti tietosuojavastaavaa. Valtioneuvoston kirjelmän maininta siitä, että tietosuojavastaavan nimeäminen on yrityksille annettu mahdollisuus, on samansuuntainen. Parhaimmillaan osaava tietosuojavastaava edesauttaa sekä hyvän tietojenkäsittelytavan kehittämistä että hallintotaakkojen vähentämistä. Kuluvan vuoden aikana ollaankin käynnistämässä kaupallista tietosuojavastaavien koulutusohjelmaa. 3.2 Yksityiskohtia Tietoturvaloukkauksista ilmoittaminen on yksi komission ehdotuksen näkyvistä uutuuksista. Avoimessa verkkoyhteiskunnassa olemme erittäin pitkälti riippuvaisia kehittyneestä tietoturvasta verkoissa ja yleisemmin digitaalisessa toimintaympäristössä. Vastaavasti hyvä henkilötietojen suoja edellyttää hyvää tietoturvaa. Kun neuvoston tasolla esitetään vähäisten tietoturvaloukkausten ilmoitusvelvollisuuden poistamista, joudutaan väistämättä kysymään, miten vähäisyys määritellään. Siitä ei saisi tulla eräänlaista hitaan havahtumisen aikapommia, missä aluksi vähäiseltä näyttävä asia osoittautuu myöhemmin erittäin merkitykselliseksi Pyrkimys yhdenmukaiseen eurooppalaiseen henkilötietojen suojaan edellyttää luonnollisesti yhdenmukaisuusmekanismien luomista. Tässä mielessä uusi Euroopan tietosuojaneuvosto on sinänsä tarpeellinen toimielin. On hyvä, että sen valtuuksia on vahvennettu. Toisaalta on huomattava, että henkilötietojen suojan yksilön perusoikeutena tulisi toteutua mahdollisimman aikaisessa vaiheessa tietojen käsittelyä ja siihen liittyvien kansalaisten oikaisuvaatimusten tulisi voida toteutua mahdollisimman nopeasti. Nykytilanne ei tässä suhteessa ole tyydyttävä. Euroopan tietosuojaneuvoston riittävä resurssointi on epäilemättä tarpeen, mutta ennen kaikkea meidän pitäisi eri tavoin yksinkertaistaa ja jouduttaa kansallisen tason menettelyjä. Suomessa esimerkiksi se aika, mikä on mennyt ns. veropörssitapauksen käsittelyyn, on aivan liian pitkä. Myönteistä rekisteröidyn oikeuksien toteuttamisen kannalta on hänen oikeutensa saada itseään koskevia tietoja sähköisesti. Tämä on digitaalisessa toimintaympäristössä sinänsä itsestään selvä lähtökohta. Meillä kuitenkin epäselvässä tulkintatilanteessa tietosuojalautakunta on luottotietoja koskevassa asiassa valitettavasti joutunut päätymään toisenlaiseen ratkaisuun, kun rekisterinpitäjä ei ollut suunnitellut tietojärjestelmäänsä kaikkia tasapuolisesti palvelevaksi. Käytännössä erittäin tärkeä kysymys on ollut ja on kysymys siitä, mikä on sellainen rekisterinpitäjän oikeutettu etu, mikä antaa mahdollisuuden eräissä tapauksissa sivuuttaa henkilötietojen suoja. Olemme tietosuojalautakunnassa antaneet vuosien varrella huomattavan määrän lupia tilanteissa, missä rekisterinpitäjien taloudellinen etu yksin tai yhdessä 4

rekisterien vanhanaikaisuuden kanssa on johtanut lupien antamiseen. Tyyppitilanteessa on annettu perintätoimistolle lupa selata väestötietojärjestelmää oikean velallisen varmistamiseksi. Tämä merkitsee samalla kannanottoa liiketoimintariskeihin. Kaipaisin asetukseen mahdollisimman selkeää kannanottoa tällaisiin tilanteisiin. Vastaavasti rekisteröidyillä tulee olla lähtökohtaisesti oikeus tietää mikä on se etu, jonka perusteella henkilötietojen suoja on murtunut. Suomen kanta tähän on perusteltu. Tässä yhteydessä on myös syytä korostaa käyttötarkoitussidonnaisuuden merkitys keskeisenä henkilötietojen suojan järjestämisperiaatteena. Se on lähtökohtaisesti mukana myös asetusehdotuksessa. Kuitenkin ehdotuksen 6 artiklassa luetellaan koko joukko perusteita, joilla käyttötarkoitussidonnaisuudesta voitaisiin poiketa. Niihin on syytä suhtautua epäillen. Suomen kanta siitä, että kyseinen luettelo on tarpeeton ja mahdollisesti epätietoisuutta aiheuttava, on epäilemättä perusteltu. Pääsääntö ja poikkeussäännöt saattavat vaihtaa käytännössä paikkaa. Komission ehdotuksessa on myös joukko uusia käsitteitä. Pääosin niistä ei juurikaan seuraa muutoksia sääntelyn nykytilaan Suomessa. Esimerkiksi henkilötietojen suojan suunnittelu data protection by design on jo nykyisin rekisterinpitäjän nimenomainen velvollisuus. Vastaavasti oikeus tulla unohdetuksi voidaan sekin johtaa nykyisen lain säännöksistä. Henkilötietolaki on tiedon elinkaaren laki, mikä edellyttää tarpeettomaksi käyneen tietoaineksen hävittämistä tai arkistoimista. Ehdotetussa muodossa oikeus tulla unohdetuksi saa ehkä aikaisempaa aktiivisemman roolin. Erityisen tärkeää on havaita alaikäisten aseman huomioiminen tuossa sääntelyssä. Aikaisemmin se valitettavasti sivuutettiin myös meillä henkilötietolakia direktiivin pohjalta säädettäessä. Suomen aloitteesta asetusluonnoksesta on poistettu kolmannen vastuuta koskeva oikeus tulla unohdetuksi-ulottuvuus. Kun kysymys ei ole tavanomaisesta ulkoistamistilanteesta, missä on aina vastuuvelvollisuus mukana, poisto on hyväksyttävissä. Tässä yhteydessä on syytä erikseen mainita viimevuotinen Euroopan unionin tuomioistuimen ratkaisu ns. Google Spain tapauksessa. Ratkaisu kuvastaa hyvin nykyisen direktiivin soveltuvuutta myös verkkoympäristöön. Google katsottiin rekisterinpitäjäksi ja sillä oli velvollisuus poistaa direktiivin vastaiset tiedot. Kysymys ei ollut, toisin kuin julkisasiamies erehtyi luulemaan, lainkaan sananvapaudesta. Tuomioistuin ei perustellusti edes maininnut sananvapautta. Asetusehdotus ei ymmärtääkseni muuta tätä tulkintatilannetta. Asetusehdotuksen 74 artiklassa tuodaan esille ensi näkemältä erikoiselta tuntuva ajatus siitä, että kansalaisilla tulee olla oikeussuojakeino passiivisena pysyvää tietosuojaviranomaista kohtaan. Aihe on ollut kansainvälisessä keskustelussa aiemminkin esillä. Passiivista tietosuojaviranomaista on jopa luonnehdittu yhdeksi henkilötietojen suojan pahimmista vihollisista. Kun meillä nykyisin eduskunnan oikeusasiamies ja oikeuskansleri lakisääteisesti valvovat ihmis- ja perusoikeuksien toteutumista, valtioneuvoston sinänsä hieman epämääräiseksi jätettyä kantaa voidaan ymmärtääkseni pitää hyväksyttävänä. Meillä on jo toimiva oikeussuojajärjestelmä. Asetusehdotuksen 77 artikla tuo esiin ulkoistukseen liittyvän vastuunjaon. Käytännöstä tiedetään, että huomattava osa tietoon tulleista tietosuojaloukkauksista on aiheutunut ul- 5

koistustilanteista. Asetusehdotuksen alkuperäinen muotoilu olisi saattanut johtaa siihen, että rekisterinpitäjä olisi voinut välttää joissain tapauksissa vastuun vetoamalla ulkoistetun toiminnon suorittajan vastuuseen. Suomen esittämä korjaus selkiyttää vastuutilanteita. Yksi komission ehdotuksen uutuuksista Suomea ajatellen oli määrällisesti korkeiden rahamääräisten hallinnollisten seuraamusten käyttö. Jo nykyisin sellaisia on käytetty eräissä maissa, esimerkiksi Espanjassa. Ehdotettu sääntely on henkilötietojen suojan toimivuuden kannalta kaksijakoinen asia. Korkeat sanktiot saattavat ensinnäkin heikentää koko instituution hyväksyttävyyttä. Tietosuojavaltuutettu Reijo Aarnion usein perustellusti korostama näkemys tietosuojan iloisesta ilmeestä vaarantuu. Toisaalta riittävän nopeasti asetettavien tehokkaiden sanktioiden puute heikentää nykyisin henkilötietojen suojan toimivuutta. Suomen ehdottamaa mahdollisuutta tyytyä huomautuksiin vähäisissä tapauksissa voidaan pitää onnistuneena edellyttäen, että huomautus aidosti ymmärretään sanktioksi. Totean tässä yhteydessä samalla myös että nykyisin tietoturvarikkeen sääntely vain rikkomuksena, on ollut yksi henkilötietolain kiistattomista puutteista. Asetusehdotuksen XI luvun loppusäännöksissä täsmennetään asetuksen ja sähköisen viestinnän tietosuojadirektiivin keskinäistä suhdetta. Tämän täsmentämisen soisi johtavan siihen, että meillä viestintäviraston tietoturvayksikkö saisi siten riippumattoman ja tietosuojavaltuutetun toimistoon liittyvän aseman, että emme joutuisi enää todistamaan erilaisia tietosuojaa koskevia kannanottoja. Niistä valitettavin on ollut se viestintäviraston kanta, minkä mukaan henkilötietolaista huolimatta on katsottu, että operaattorit voivat luovuttaa hallussaan olleita sähköpostiviestejä tilaajan perilisille. Tällöin sivuutettiin se perustavaa laatua oleva seikka, että nykyinen tietosuojalainsäädäntömme koskee myös kuolleiden tietoja. 4. Lopuksi Totean lopuksi, että jatkaessaan itse asiassa varsin vähäisin muutoksin tietosuojalainsäädännön kehitystä tietosuoja-asetus tulee pikaisesti kaipaamaan tuekseen kehittynyttä tietoturvalainsäädäntöä. Tällä hetkellä suhteellisuusperiaatteelle ja sen myötä rekisterinpitäjän harkinnalle rakentuva henkilötietolain tietoturvavelvoite ei ole johtanut riittävään tietoturvaan henkilötietojen käsittelyssä. Yhtä lailla tärkeää on pyrkiä kehittämään sellaista visuaalista sääntelyä ja ohjelmistoja, mitkä liikennemerkkien tavoin ohjaavat henkilötietojen käsittelyä tietojärjestelmiä hyödynnettäessä. Ne edesauttaisivat merkittävällä tavalla henkilötietojen suojan toteutumista käytännössä. Arkipäivän perusoikeutena henkilötietojen suojan tuntemus ei saa jäädä vain asiantuntijoiden tietämyksen varaan. On myös huomattava, että tietosuojavaltuutetun toimiston niukka resursointi voi olla jatkossa entistä suurempi oikeusturvariski kansalaisten oikeuksien asianmukaisen toteutumisennäkökulmasta. Kansalaisilla on oikeus odottaa riippumattomien tietosuojaviranomaisten kykyä toimia ripeasti. 6

Rovaniemellä 03.06.2015 Ahti Saarenpää Yksityisoikeuden professori emeritus Lapin yliopisto Tietosuojalautakunnan varapuheenjohtaja 7

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute