Sisällysluettelo
-
YLEISPERUSTELUT
- 1 Johdanto
-
2 Nykytila
-
2.1 Lainsäädäntö ja käytäntö
- 2.1.1 Yleistä
- 2.1.2 Lain soveltamisala
- 2.1.3 Käsittelyn oikeusperuste
- 2.1.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
- 2.1.5 Valvontaviranomaiset
- 2.1.6 Oikeusturva ja seuraamukset
- 2.1.7 Sananvapaus
- 2.1.8 Tieteellinen ja historiallinen tutkimus
- 2.1.9 Tilastointi
- 2.1.10 Yleisen edun mukainen arkistointi
- 2.2 Kansainvälinen kehitys sekä ulkomaiden ja Euroopan unionin lainsäädäntö
-
2.3 Nykytilan arviointi
- 2.3.1 Yleistä
- 2.3.2 Lain tarkoitus ja soveltamisala
- 2.3.3 Käsittelyn oikeusperuste eräissä tapauksissa
- 2.3.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
- 2.3.5 Valvontaviranomaiset
- 2.3.6 Oikeusturva ja seuraamukset
- 2.3.7 Sananvapaus
- 2.3.8 Tieteellinen ja historiallinen tutkimus
- 2.3.9 Tilastointi
- 2.3.10 Yleisen edun mukainen arkistointi
-
2.1 Lainsäädäntö ja käytäntö
-
3 Esityksen tavoitteet ja keskeiset ehdotukset
- 3.1 Tavoitteet
- 3.2 Lain tarkoitus ja soveltamisala
- 3.3 Käsittelyn oikeusperuste eräissä tapauksissa
- 3.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
- 3.5 Valvontaviranomainen
- 3.6 Oikeusturva ja seuraamukset
- 3.7 Sananvapaus
- 3.8 Tieteellinen ja historiallinen tutkimus
- 3.9 Tilastointi
- 3.10 Yleisen edun mukainen arkistointi
- 4 Esityksen vaikutukset
- 5 Asian valmistelu
- 6 Riippuvuus muista esityksistä
- YKSITYISKOHTAISET PERUSTELUT
- Tietosuojalaki
- Laki rikoslain 38 luvun 9 ja 10 §:n muuttamisesta
- Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta
Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi HE 9/2018
ESITYKSEN PÄÄASIALLINEN SISÄLTÖ
Esityksessä ehdotetaan säädettäväksi tietosuojalaki. Lailla täydennettäisiin ja täsmennettäisiin Euroopan unionin yleistä tietosuoja-asetusta. Esityksessä ehdotetaan, että samalla kumottaisiin henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta.
Ehdotettu laki olisi henkilötietojen käsittelyyn sovellettava yleislaki. Yleistä tietosuoja-asetusta täydentävänä ja täsmentävänä se ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin rinnakkain tietosuoja-asetuksen kanssa. Tietosuojalain sääntelystä voitaisiin erityislainsäädännössä poiketa, jos poikkeaminen olisi mahdollista tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa.
Ehdotetussa laissa säädettäisiin henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista.
Esityksessä ehdotetaan lisäksi muutoksia rikoslakiin sekä sakon täytäntöönpanosta annettuun lakiin.
Ehdotetut lait on tarkoitettu tulemaan voimaan 25 päivänä toukokuuta 2018.
YLEISPERUSTELUT
1 Johdanto
Esityksen tarkoituksena on täydentää ja täsmentää Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46EY kumoamisesta (jäljempänä yleinen tietosuoja-asetus). Yleisellä tietosuoja-asetuksella kumottava Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (jäljempänä henkilötietodirektiivi), on Suomessa pantu täytäntöön vuonna 1999 voimaan tulleella henkilötietolailla (523/1999). Yleinen tietosuoja-asetus tuli voimaan 24.5.2016 ja sen soveltaminen alkaa 25.5.2018. Yleinen tietosuoja-asetus on sellaisenaan jäsenvaltioissa sovellettavaa oikeutta.
Euroopan parlamentti ja neuvosto antoivat samanaikaisesti yleisen tietosuoja-asetuksen kanssa myös direktiivin (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisen viranomaisen suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi). Asetus ja direktiivi muodostavat yhdessä osan niin sanotusta tietosuojapaketista, jonka tarkoituksena on nykyaikaistaa ja yhdenmukaistaa EU:n tietosuojalainsäädäntöä. Samaan kokonaisuusuudistukseen kuuluvat myös komission 10.1.2017 antamat kaksi ehdotusta; ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) 45/2001 ja päätöksen 1247/2002/EY kumoamisesta sekä ehdotus Euroopan parlamentin ja neuvoston asetukseksi yksityiselämän kunnioittamisesta ja henkilötietojen suojasta sähköisessä viestinnässä ja direktiivin 2002/58/EY kumoamisesta.
Voimassa oleva EU:n tietosuojalainsäädäntö koostuu vuonna 1995 hyväksytystä henkilötietodirektiivistä sekä eräistä muista henkilötietojen suojaa koskevista säädöksistä, kuten Euroopan parlamentin ja neuvoston asetuksesta (EY) 45/2001 yksiköiden suojelusta yhteisöjen toimielinten ja elinten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ja Euroopan parlamentin ja neuvoston direktiivistä 2002/58/EY henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi). Henkilötietojen suoja on myös vuonna 2000 hyväksytyn Euroopan unionin perusoikeuskirjan tunnustama perusoikeus. Lisäksi Unionin tuomioistuin on antanut useita henkilötietojen suojaa koskevan lainsäädännön tulkintaan ja soveltamiseen merkittävästi vaikuttavia ratkaisuja, kuten Lindqvist (C-101/01), Satakunnan Markkinapörssi ja Satamedia (C-73/07), Google Spain (C 131/12) ja Schrems (C-362/14).
Kokonaisuudistuksen tavoitteena on ollut luoda Euroopan unionille ajanmukainen, vahva, yhtenäinen ja kattava tietosuojakehys. Uudistus on ollut tarpeellinen informaatioteknologian nopea kehityksen ja jäsenvaltioiden hajanaisten henkilötietojen suojaa koskevien säädösten ja niiden epäyhtenäisen soveltamisen vuoksi.
Vaikka yleinen tietosuoja-asetus on kansallisesta suoraan sovellettava säädös, jättää se eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Yleisessä tietosuoja-asetuksessa on joitain velvoitteita jäsenvaltioille, kuten velvollisuus säätää eräistä kansallista valvontaviranomaista koskevista asioista. Lisäksi jäsenvaltioiden on sovitettava yhteen yleisen tietosuoja-asetuksen mukainen henkilötietojen suoja eräiden muiden oikeuksien, kuten sananvapauden, kanssa.
Kansallinen liikkumavara ei kuitenkaan kaikilta osin suoranaisesti velvoita jäsenvaltioita säätämään yleistä tietosuoja-asetusta täydentävää tai täsmentävää kansallista lainsäädäntöä, vaan asiasta päättäminen on jätetty kansallisen lainsäätäjän harkintaan. Kansallista liikkumavaraa yleisen tietosuoja-asetuksen täydentämiseksi ehdotetaan käytettävän tilanteissa, joissa henkilötietolain kumoamisesta seuraisi tarve kansalliseen sääntelyyn, esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa tai tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle nykyisen kaltaisina.
Kansallista liikkumavaraa on mahdollista käyttää myös myöhemmin esimerkiksi annettaessa erityislainsäädäntöä.
Yleistä tietosuoja-asetusta täydentävässä henkilötietojen suojaa koskevassa yleislaissa säädettäisiin valvontaviranomaisesta siten kuin yleisessä tietosuoja-asetuksessa edellytetään. Lisäksi yleislakiin otettaisiin säännökset käsittelyn oikeusperusteista eräissä tapauksissa, oikeusturvasta ja seuraamuksista sekä tietojen käsittelyn erityistilanteista esimerkiksi tieteellisessä tutkimuksessa ja journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.
Ehdotetun lain rakenne noudattelee yleisen tietosuoja-asetuksen rakennetta. Toisin kuin pantaessa täytäntöön henkilötietodirektiiviä, yleisen tietosuoja-asetuksen suoma kansallinen liikkumavara ei mahdollista kokonaisvaltaisen lain säätämistä. Kansallisella lainsäädännöllä voidaan ainoastaan täydentää ja joiltain osin täsmentää yleistä tietosuoja-asetusta. Ehdotettu tietosuojalaki muodostuu näin ollen erinäisistä yleistä tietosuoja-asetusta täydentävistä pykälistä. Tietosuojalakia tulisi siten lukea rinnakkain yleisen tietosuoja-asetuksen kanssa, sillä henkilötietojen suojaa koskevan lainsäädännön aineellinen sisältö tulee pääasiassa yleisestä tietosuoja-asetuksesta.
2 Nykytila
2.1 Lainsäädäntö ja käytäntö
2.1.1 Yleistä
Perustuslaki
Perustuslain 10 §:n mukaan jokaisen yksityiselämä on turvattu. Yksityiselämän käsite voidaan ymmärtää henkilön yksityistä piiriä koskevaksi yleiskäsitteeksi. Yksityiselämän suojan lähtökohtana on, että yksilöllä on oikeus elää omaa elämäänsä ilman viranomaisten tai muiden ulkopuolisten tahojen mielivaltaista tai aiheetonta puuttumista hänen yksityiselämäänsä (HE 309/1993 vp). Oikeus yksityiselämään merkitsee henkilön oikeutta elää yksityiselämäänsä ilman ulkopuolisten puuttumista.
Henkilötietojen suojasta säädetään perustuslain 10 §:n 1 momentin mukaan tarkemmin lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja sisältyy osittain samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee näin ollen turvata oikeus henkilötietojen suojaan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta. Säännös viittaa tarpeeseen lainsäädännöllisesti turvata yksilön oikeusturva ja yksityisyyden suoja henkilötietojen käsittelyssä.
Kyseinen perustuslain säännös sai nykyisen sisältönsä perusoikeusuudistuksessa (Suomen Hallitusmuodon 8 §), ja se otettiin vuoden 2000 perustuslakiuudistuksen yhteydessä muuttamattomana perustuslain 10 §:ksi.
Yksityiselämän suojan takaamiseksi valtiolta on perinteisesti edellytetty sen ohella, että se itse pidättäytyy loukkaamasta kansalaisten yksityiselämää, myös aktiivisia toimenpiteitä yksityiselämän loukkauksia toisten yksilöiden loukkauksia vastaan. Yksityiselämän suojaa koskeva säännös yhdessä perusoikeuksien turvaamista koskevan perustuslain 22 §:n kanssa edellyttää lainsäätäjän ylläpitävän tehokasta perustuslain 10 §:ssä turvattujen oikeushyvien suojaa.
Henkilötietojen suojaan läheisesti liittyviä perusoikeuksia ovat yksityiselämän suojan lisäksi oikeus kunniaan, oikeus yhdenvertaiseen kohteluun, oikeus henkilökohtaiseen koskemattomuuteen, oikeus ihmisarvoiseen kohteluun, oikeus turvallisuuteen sekä yhdenvertaisuus ja syrjinnän kielto ja oikeus vaikuttaa itseään koskeviin asioihin, uskonnonvapaus ja omantunnon vapaus, sananvapaus ja julkisuus.
Henkilötietolaki
Henkilötietojen käsittelyn perusteista säädetään 1.6.1999 voimaan tulleessa henkilötietolaissa. Lisäksi viranomaisten toiminnan julkisuudesta annetun laissa säädetään oikeudesta saada tieto viranomaisten julkisista asiakirjoista, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista.
Henkilötietolailla saatettiin henkilötietojen käsittelyä koskeva yleislainsäädäntö vastaamaan yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettua henkilötietodirektiiviä. Lisäksi henkilötietolain valmistelussa otettiin huomioon myös vuonna 1995 voimaan tullut hallitusmuodon perusoikeussäännöksiä koskeva uudistus, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Henkilötietolailla on siten toteutettu perustuslain tarkoittama tarkemman sääntelyn vaatimus.
Henkilötietolain tarkoitus on sen 1 §:n mukaan toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötietolaki on henkilötietojen käsittelyä koskeva yleislaki, eli sitä sovelletaan, jollei muualla laissa toisin säädetä.
Suomessa on henkilötietolain lisäksi voimassa poikkeuksellisen runsaasti henkilötietojen käsittelyä koskevaa erityislainsäädäntöä. Henkilötietojen käsittelyä koskevia erityissäädöksiä on useita satoja. Valtaosa voimassa olevasta erityislainsäädännöstä sääntelee viranomaisten henkilötietojen käsittelyä.
2.1.2 Lain soveltamisala
Tällä hetkellä voimassa olevaa henkilötietolakia sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Henkilötietolailla on pantu täytäntöön henkilötietodirektiivi. Direktiivin soveltamisalan ulkopuolelle on rajattu tilanteet, joissa henkilötietojen käsittelyä suoritetaan sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan. Näitä toimintoja ovat esimerkiksi toiminta, josta on määrätty Euroopan unionista tehdyn sopimuksen V ja VI osastossa, ja henkilötietojen käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittely on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa.
2.1.3 Käsittelyn oikeusperuste
Nykyisin henkilötietojen käsittelyn oikeusperusteesta eli käsittelyn yleisistä edellytyksistä säädetään henkilötietolain 8 §:ssä. Henkilötietojen käsittelyn yleiset edellytykset koskevat lähtökohtaisesti kaikkea henkilötietojen käsittelyä. Henkilötietolain 8 § perustuu henkilötietodirektiivin 7 artiklaan, jossa määritellään tietojenkäsittelyn laillisuutta koskevat periaatteet. Yleisessä tietosuoja-asetuksessa säädetyt henkilötietojen käsittelyn lainmukaisuutta koskevat 6 artiklan edellytykset vastaavat sisällöllisesti henkilötietodirektiivin 7 artiklan laillisuutta koskevia periaatteita.
Henkilötietojen käsittelyn yleisistä edellytyksistä säädetään henkilötietolain 8 §:ssä yksityiskohtaisesti. Henkilötietojen käsittely on sallittua ainoastaan jonkin 8 §:ssä mainitun edellytyksen täyttyessä. Käsiteltäessä arkaluonteisia henkilötietoja tulee lisäksi jonkin henkilötietolain 12 §:ssä säädetyistä edellytyksistä täyttyä. Lisäksi henkilötietolain 4 luvussa säädetään eräistä henkilötietojen käsittelytilanteista, kuten tieteellisestä tutkimuksesta, tilastoinnista ja sukututkimuksesta.
2.1.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
Perustuslain 6 §:n 3 momentin mukaan lapsia on kohdeltava tasa-arvoisesti yksilöinä, ja heidän tulee saada vaikuttaa itseään koskeviin asioihin kehitystään vastaavasti. Henkilötietolaissa ei ole säädetty lasta koskevasta ikärajasta, eikä henkilötietolakiin muutoinkaan sisälly nimenomaisesti lapsen henkilötietojen käsittelyä koskevia säännöksiä.
Rekisteröidyn oikeudet kuuluvat lähtökohtaisesti jokaiselle luonnolliselle henkilölle. Alaikäisen lapsen itsemääräämisoikeus henkilötietoihinsa määräytyy yleisten ja erityisten alaikäisen lapsen itsemääräämisoikeutta määrittävien säännösten perusteella. Tällaisia säännöksiä sisältyy perustuslain ja henkilötietolain lisäksi esimerkiksi Yhdistyneiden kansakuntien (jäljempänä YK) lapsen oikeuksien yleissopimukseen. YK:n lapsen oikeuksien yleissopimuksen 3 artiklan 1 kohdan mukaan kaikissa julkisen tai yksityisen sosiaalihuollon, tuomioistuinten, hallintoviranomaisten tai lainsäädäntöelimien toimissa, jotka koskevat lapsia, on ensisijaisesti otettava huomioon lapsen etu.
Yleissopimuksen 12 artiklan 1 kohdan mukaan sopimusvaltiot takaavat lapselle, joka kykenee muodostamaan omat näkemyksensä, oikeuden vapaasti ilmaista nämä näkemyksensä kaikissa lasta koskevissa asioissa. Lapsen näkemykset on otettava huomioon lapsen iän ja kehitystason mukaisesti.
Yleissopimuksen 13 artiklan mukaan lapsella on oikeus ilmaista vapaasti mielipiteensä. Tämä oikeus sisältää vapauden hakea, vastaanottaa ja levittää kaikenlaisia tietoja ja ajatuksia yli rajojen suullisessa, kirjallisessa, painetussa, taiteen tai missä tahansa muussa lapsen valitsemassa muodossa. Tämän oikeuden käytölle voidaan asettaa tiettyjä rajoituksia. Rajoituksista tulee kuitenkin säätää laissa ja niiden tulee olla välttämättömiä muiden oikeuksien tai maineen kunnioittamiseksi tai kansallisen turvallisuuden, yleisen järjestyksen tai väestön terveyden tai moraalin suojelemiseksi.
EU:n perusoikeuskirjan lasten oikeuksia koskevan 24 artiklan 1 ja 2 kohdan mukaan lapsella on oikeus hänen hyvinvoinnilleen välttämättömään suojeluun ja huolenpitoon. Lapsen on saatava ilmaista vapaasti mielipiteensä. Lapsen mielipide on otettava huomioon häntä koskevissa asioissa hänen ikänsä ja kehitystasonsa mukaisesti. Kaikissa lasta koskevissa viranomaisten tai yksityisten laitosten toimissa on ensisijaisesti otettava huomioon lapsen etu.
2.1.5 Valvontaviranomaiset
Suomessa tietosuojaviranomaisen tehtävät on osoitettu kahdelle eri viranomaiselle. Henkilötietojen suojaa koskevien asioiden käsittelemiseksi on vuodesta 1987 alkaen ollut tietosuojalautakunta ja tietosuojavaltuutetun virka. Tietosuojaviranomaisten tehtävistä ja toimivallasta säädettiin henkilörekisterilain (474/1987) lisäksi tietosuojaviranomaisia koskevassa laissa tietosuojalautakunnasta ja tietosuojavaltuutetusta (474/1987).
Tietosuojavaltuutetun virka perustettiin seuraamaan, ohjaamaan ja valvomaan henkilörekisterien perustamista, käyttöä ja niissä olevien tietojen luovutusta. Tietosuojavaltuutetun perustehtävänä on edelleen toimia ensisijaisesti ohjaavana ja neuvovana viranomaisena. Tietosuojalautakunnan tehtäväksi säädettiin henkilörekisterilainsäädännön mukaisista velvoitteista ja kielloista päättäminen. Tietosuojalautakunnan tehtäviin kuuluvat ennen kaikkea henkilötietolaissa määritellyt lupa- ja määräyspäätökset.
Voimassa oleva laki tietosuojalautakunnasta ja tietosuojavaltuutetusta (389/1994) vastaa sisällöltään pääpiirteittäin aiemmin voimassa ollutta tietosuojaviranomaisia koskevaa lakia. Lakiin tehdyt muutokset olivat lähinnä teknisiä tarkistuksia, jotka johtuivat merkittäviltä osin valtion virkamieslainsäädännön voimaantulosta. Lisäksi osa lain (471/1987) säännöksistä siirrettiin tietosuojalautakunnasta ja tietosuojavaltuutetusta annettuun asetukseen (432/1994).
Tietosuojaviranomaisia koskevia säännöksiä uudelleen arvioitiin henkilötietodirektiivin täytäntöönpanon yhteydessä. Henkilötietodirektiivin 28 artiklan mukaan jäsenvaltioiden oli säädettävä siitä, että jäsenvaltioiden direktiivin mukaisesti toteuttamien toimenpiteiden soveltamista sen alueella valvoo yksi tai useampi julkinen viranomainen. Viranomaisten tulee olla toiminnassaan täysin itsenäisiä. Henkilötietodirektiivi pantiin täytäntöön henkilötietolailla, joka sisältää myös eräitä säännöksiä tietosuojaviranomaisten tehtävistä ja toimivallasta. Tietosuojaviranomaisten tehtäviä koskevia säännöksiä sisältyy edelleen myös tietosuojalautakunnasta ja tietosuojavaltuutetusta annettuun lakiin.
Kuten aiemmassa lainsäädäntöuudistuksessa vuodelta 1994, myös henkilötietolaissa tehdyt tietosuojaviranomaisia koskevat säännösmuutokset olivat merkittävin osin teknisiä tarkistuksia, jotka johtuivat osittain henkilötietodirektiivistä, mutta toisaalta myös kansallisen lainsäädännön kehityksestä sekä käytännön kokemuksista (HE 96/1998 vp).
Henkilötietolailla tietosuojaviranomaisten toimivaltaa muutettiin siten, että tietosuojavaltuutetulle säädettiin toimivalta tehdä rekisterinpitäjiä sitovia päätöksiä rekisteröidyn tarkastusoikeutta ja tiedon korjaamista koskevissa asioissa. Tietosuojalautakunnan toimivaltaa muutettiin siten, että lautakunnan henkilörekisterilaissa säädetystä yleisestä poikkeuslupatoimivallasta luovuttiin ja korvattiin se täsmällisemmin määritellyllä lupatoimivallalla. Tällainen lupa voidaan myöntää, jollei mikään muu henkilötietolain 8 tai 12 §:ssä säädetty käsittelyn oikeusperuste tule sovellettavaksi ja jos henkilötietolain 43 §:n edellytykset täyttyvät. Tietosuojalautakunnan tehtäväksi säädettiin lisäksi henkilötietojen käsittelyyn liittyvien lain soveltamisalan kannalta periaatteellisesti tärkeiden kysymysten käsittely.
Tietosuojavaltuutettu
Oikeusministeriön hallinnonalalla on tietosuojavaltuutetun virka. Tietosuojavaltuutetun kelpoisuusvaatimuksena on oikeustieteen kandidaatin tutkinto, hyvä perehtyneisyys tietosuoja-asioihin sekä käytännössä osoitettu johtamistaito ja johtamiskokemus. Tietosuojavaltuutettu nimitetään virkaan enintään viiden vuoden määräajaksi. Tietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa tai tointa siksi ajaksi, jonka hän toimii tietosuojavaltuutettuna.
Tietosuojavaltuutettua avustaa ja hänen sijaisenaan toimii toimistopäällikkö, joka voi tietosuojavaltuutetun määräyksestä käyttää tämän puhevaltaa. Toimistopäällikön virka ei ole määräaikainen. Tietosuojavaltuutetun toimiston toimistopäällikön kelpoisuusvaatimuksena on oikeustieteen kandidaatin tutkinto, riittävä perehtyneisyys tietosuoja-asioihin ja käytännössä osoitettu johtamistaito. Tietosuojavaltuutetulla on toimisto, jossa on esittelijöinä toimivia virkamiehiä ja muuta henkilökuntaa. Tietosuojavaltuutetun toimisto on henkilötietodirektiivin edellyttämällä tavalla toiminnassaan täysin riippumaton.
Tietosuojavaltuutetun tehtävät
Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 5 §:n mukaan tietosuojavaltuutetun tehtävänä on käsitellä ja ratkaista henkilötietojen ja luottotietojen käsittelyä koskevat asiat siten kuin henkilötietolaissa ja luottotietolaissa säädetään sekä hoitaa muut mainituista laeista johtuvat tehtävät. Lisäksi sen tehtävänä on seurata henkilötietojen ja luottotietojen käsittelyn yleistä kehitystä ja tehdä tarpeelliseksi katsomiaan aloitteita. Tietosuojavaltuutetun tehtävänä on niin ikään huolehtia toimialaansa kuuluvasta tiedotustoiminnasta ja henkilötietojen käsittelyyn liittyvästä kansainvälisestä yhteistyöstä. Tässä tarkoituksessa tietosuojavaltuutetulla on oikeus kuulla asiantuntijoita sekä pyytää näiltä lausuntoja sekä oikeus tarvittaessa saada poliisilta virka-apua hänelle kuuluvien tehtävien hoitamiseksi tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 7 ja 8 §:n nojalla.
Tietosuojavaltuutetun tehtävistä säädetään myös henkilötietolain 9 luvussa. Henkilötietolain 38 §:n 1 momentin mukaan tietosuojavaltuutetun tehtävänä on antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoa henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi. Tietosuojavaltuutetun ensisijainen tehtävä on vaikuttaa ennakollisilla toimenpiteillä henkilötietojen käsittelyn lainmukaisuuteen. Tietosuojavaltuutetun henkilötietolain soveltamiseen liittyvä ohjaus- ja valvontatehtävä on valtakunnallinen ja kattaa julkisen ja yksityisen sektorin rekisterinpitäjät sekä rekisteröidyt. Tietosuojavaltuutetun on rekisteröityjen etujen lisäksi otettava toiminnassaan huomioon rekisterinpitäjien ja sivullisten intressit (HE 96/1998 vp). Henkilötietolain 40 §:n 1 momentissa tarkennetaan, että tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ensisijaisesti ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista menettelyä jatketa tai uusita.
Tietosuojavaltuutettu voi henkilötietolain 40 §:n 3 momentin nojalla antaa tarkempia ohjeita siitä, miten henkilötiedot on suojattava henkilötietojen laittomalta käsittelyltä. Tämän on katsottu olevan tarpeen, sillä henkilötietolain 32 §:ssä ei yksityiskohtaisesti määritellä niitä teknisiä ja muita toimia, jotka henkilötietojen käsittelyn suojaamiseksi on suoritettava (HE 96/1998 vp). Kyseistä säännöstä sovelletaan myös silloin, kun henkilötietoja käsitellään henkilötietolain 2 §:n 5 momentin mukaisesti toimitukselliseen taikka kirjallisen ja taiteellisen ilmaisun tarkoituksia varten.
Henkilötietolain 36 ja 37 §:ssä säädetään henkilötietodirektiivin 18 artiklan mukaisesti ilmoitusvelvollisuudesta tietosuojavaltuutetulle. Ilmoitusvelvollisuuden avulla tietosuoja-valtuutettu valvoo ennakolta henkilötietojen käsittelyä. Muun muassa eräillä henkilötietoja automaattisen tietojenkäsittelyn avulla käsittelevillä rekisterinpitäjillä, toimeksiannosta tietojenkäsittelyä hoitavilla sekä tiettyä elinkeinotoimintaa harjoittavilla on velvollisuus tehdä ilmoitus henkilötietojen käsittelystä tietosuojavaltuutetulle. Henkilötietolaissa omaksutusta yleisestä ilmoitusvelvollisuudesta on kuitenkin säädetty eräitä poikkeuksia. Henkilötietolain 41 §:n 1 momentissa säädetään henkilötietodirektiivin 28 artiklan 2 kohdan mukaisesti velvollisuudesta kuulla tietosuojavaltuutettua valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä. Tarkoituksena on antaa tietosuojavaltuutetulle mahdollisuus tulla kuulluksi henkilötietojen käsittelyyn liittyvien lainsäädännöllisiin ja hallinnollisiin uudistuksiin jo valmisteluvaiheessa. Lisäksi tämä korostaa sitä, että tietosuojavaltuutetun ensisijainen tehtävä on vaikuttaa ennakollisilla toimenpiteillä henkilötietojen käsittelyn lainmukaisuuteen (HE 96/1998 vp).
Henkilötietolain 41 §:n 2 momentin mukaan virallisen syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa taikka henkilörekisteri-rikosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi.
Henkilötietolain 42 §:n nojalla rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä henkilötietolain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi. Tietosuojavaltuutettu antaa tarvittaessa neuvontaa ja ohjausta käytännesääntöjen laadinnassa sekä voi myös tarkastaa laaditut ehdotukset käytännesäännöiksi.
Tietosuojavaltuutetun toimivaltuudet
Tietosuojavaltuutetulla on laissa säädettyjen tehtäviensä mukaisesti toimivalta antaa henkilötietojen käsittelyä koskevaa yleistä ohjausta ja neuvontaa sekä valvoa henkilötietojen käsittelyä henkilötietolain tavoitteiden toteuttamiseksi.
Tietosuojavaltuutetun päätösvallasta säädetään henkilötietolain 40 §:n 2 momentissa, jonka nojalla tietosuojavaltuutetulla on ratkaisupakko tarkastusoikeutta ja tiedon korjaamista koskevissa asioissa sekä toimivalta antaa määräys rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta. Päätöksistä on oikeus valittaa hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään.
Tietosuojavaltuutettu voi henkilötietolain 40 §:n 1 momentin mukaan tarvittaessa viedä asian tietosuojalautakunnan päätettäväksi tai ilmoittaa syytteeseen panoa varten. Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 8 §:n mukaan poliisi on velvollinen tarvittaessa antamaan tietosuojavaltuutetulle virka-apua tehtäviensä hoitamiseksi.
Henkilötietolain 39 §:ssä säädetään tietosuojaviranomaisten tiedonsaanti- ja tarkastus-oikeudesta. Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Tiedonsaantioikeus on laaja ja se henkilötietodirektiivin 28 artiklan 3 kohdan mukaisesti koskee myös muita kuin rekisterinpitäjiä. Tiedonsaantioikeus on ulotettu koskemaan kaikkia henkilötietojen käsittelyn lainmukaisuuden valvonnassa tarvittavia tietoja. Henkilötietolain 39 §:n 3 momentin mukaan toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tapahtuvan henkilötietojen käsittelyn osalta tietosuojavaltuutettu valvoo 32 §:ssä säädetyn tietojen suojaamisvelvoitteen noudattamista. Tietosuojavaltuutetulla on oikeus tässä tarkoituksessa saada tarpeellisia tietoja rekistereiden suojaamisesta. Tietosuojavaltuutetulla on henkilötietolain 39 §:n 2 momentin nojalla oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän ja hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettäväkseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet. Kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Tarkastus on toimitettava niin, että siitä ei aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.
Henkilötietolain 38 §:n 3 momentissa säädetään henkilötietodirektiivin 28 artiklan 6 kohdan mukaisesti, että tietosuojaviranomaiset voivat käyttää henkilötietolain 9 luvussa tarkoitettuja toimivaltuuksia silloinkin, kun henkilötietojen käsittelyyn ei 4 §:n mukaisesti sovelleta henkilötietolakia. Tietosuojaviranomaiset toimivat yhteistyössä muiden EU:n jäsenvaltioiden tietosuojaviranomaisten kanssa ja antavat tarvittaessa virka-apua.
Tietosuojavaltuutetun tehtävät ja toimivalta kansallisessa erityislainsäädännössä
Tietosuojavaltuutetun tehtävistä ja toimivallasta säädetään henkilötietolain ja lain tietosuojalautakunnasta ja tietosuojavaltuutetusta lisäksi useassa laissa, joissa on annettu tietosuojavaltuutetulle valvontatehtäviä sekä erilaisia oikeuksia henkilötietojen suojan edistämiseksi. Kansallisesti on voimassa lisäksi useita satoja säädöksiä, joissa säädetään henkilötietojen käsittelystä, muttei erikseen näiden säännösten noudattamisen valvonnasta. Tietosuojavaltuutettu on toimivaltainen silloinkin, kun henkilötietojen käsittelyyn sovelletaan henkilötietolain ohella tai sijasta muita säännöksiä (HE 98/1998 vp).
Tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 5 §:ssä viitataan luotto-tietojen käsittelyn valvontaan, josta säädetään luottotietolaissa (527/2007), jonka yleinen valvonta kuuluu tietosuojavaltuutetulle. Henkilöluottotietojen käsittelyn valvonnan lisäksi tietosuojavaltuutettu valvoo myös yritysluottotietojen käsittelyä. Luottotietolain määräysten antamista koskevan 35 §:n 1 momentin 2 kohdan nojalla tietosuojavaltuutetulla on oikeus velvoittaa luottotietotoiminnan harjoittaja määräajassa oikaisemaan, mitä yritysluottotietojen käsittelyssä on oikeudettomasti tehty tai laiminlyöty. Tietosuojavaltuutetulla on lisäksi oikeus luottotietolain 35 §:n 1 momentin 3 kohdan nojalla velvoittaa luottotoiminnan harjoittaja ryhtymään toimenpiteisiin luottotietolain 3 luvussa säädettyjen velvollisuuksien hoitamiseksi. Luottotietolain 3 luku sisältää säännöksiä luottotietotoiminnan harjoittamisen yleisistä edellytyksistä (8 §), johtoa ja henkilöstöä koskevista vaatimuksista (9 §), palvelua koskevista velvoitteista (10 §) ja rekisteröityjen yhdenvertaisesta kohtelusta (11 §). Luottotietolain 34 §:ssä säädetään lisäksi tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeudesta.
Tietosuojavaltuutetulla on eräissä laeissa säädetty oikeus tarkastaa rekisteröidyn puolesta häntä koskevien henkilötietojen käsittelyn lainmukaisuus silloin, kun rekisteröidyn henkilötietolaissa säädettyä tarkastusoikeutta on rajoitettu. Tällaisia säännöksiä sisältyy rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain (503/2008) 36 §:ään, ulosottokaaren (705/2007) 1 luvun 28 §:ään, henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1069/2015) 31 §:ään, henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain (579/2005) 42 §:ään, sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain (255/2014) 123 §:ään, henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 29 §:ään sekä henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 45 §:ään. Turvallisuusselvityslain (726/2014) 56 §:n mukaan tietosuojavaltuutetulla on oikeus tutustua turvallisuusselvityslain nojalla laadittuun turvallisuusselvitykseen sen henkilötietojen käsittelyn lainmukaisuuden tarkastamiseksi.
Eräissä laeissa säädetään velvollisuudesta ilmoittaa tietosuojavaltuutetulle henkilörekisterin perustamisesta koskevasta päätöksestä ja siihen tehdyistä olennaisista muutoksista. Sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa annetun lain (255/2014) 110 §:n 4 momentin nojalla valtakunnallisessa käytössä olevien tilapäisten henkilörekisterien osalta rekisterin perustamista koskevasta päätöksestä ja sen olennaisesta muuttamisesta on ilmoitettava viimeistään kuukautta ennen rekisterin perustamista tai muuttamista tietosuojavaltuutetulle. Perustamispäätöksessä on mainittava henkilörekisterin käyttötarkoitus. Henkilötietojen käsittelystä Tullissa annetun lain (639/2015) 8 §:n nojalla valtakunnallisen henkilörekisterin perustamisesta ja sen olennaisesta muuttamisesta on ilmoitettava tietosuojavaltuutetulle viimeistään kuukausi ennen perustamista tai muuttamista.
Eräissä laeissa säädetään velvollisuudesta kuulla tietosuojavaltuutettua. Rikoslain (39/1889) 38 luvun 10 §:n mukaan syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa taikka henkilörekisteririkosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskuksen tilastotoimesta annetun lain (409/2001) 3 §:n 2 momentin mukaan tutkimus- ja kehittämiskeskuksen on kuultava tietosuojavaltuutettua ennen tiedonkeruuta koskevan päätöksen tekemistä. Säännökset tietosuojavaltuutetun kuulemisvelvollisuudesta ennen tietojen luovuttamista tieteellistä tutkimusta varten sisältyy terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain (556/1989) 4 §:ään ja lääkelain (395/1987) 30 §:ään.
Tietoyhteiskuntakaaren (917/2014) pääasiallinen valvonta kuuluu Viestintävirastolle. Tietoyhteiskuntakaaren 305 §:n mukaan tietosuojavaltuutetun tehtävänä on valvoa yhteisötilaajan välitystietojen käsittelyä koskevan 18 luvun säännösten noudattamista, sijaintitietojen käsittelyä koskevan 20 luvun säännösten noudattamista, yhteys-tietopalveluja koskevien 197—199 §:n noudattamista, yhteistietopalveluja koskevien 197—199 §:n noudattamista, suoramarkkinointia koskevien 200 ja 202—204 §:n säännösten noudattamista sekä tiedonsaantioikeuksia ja vaitiolovelvollisuutta koskevien 40 luvun säännösten noudattamista sijaintitietojen osalta. Tietoyhteiskuntakaaren 315 ja 316 §:ssä säädetään tietosuojavaltuutetun tiedonsaantioikeudesta.
Eräänlainen henkilötietojen tietoturvaloukkausta koskeva ilmoitusvelvollisuus tietosuojavaltuutetulle sisältyy vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettuun lakiin (617/2009). Lain 16 §:n 2 momentissa säädetään tunnistuspalvelun tarjoajan velvollisuudesta ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöstä tietosuojavaltuutetulle, jos uhka tai häiriö kohdistuu henkilötietolain 32 §:ssä tarkoitettuun tietojen suojaamiseen. Lain 42 b §:n nojalla tietosuojavaltuutetun tehtävänä on valvoa sen henkilötietoja koskevien säännösten noudattamista.
Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 60 §:ssä säädetään väestörekisterikeskuksen selvitysvelvollisuudesta tietosuojavaltuutetulle. Säännöksen mukaan väestörekisterikeskuksen on toimitettava vähintään kerran vuodessa lokirekisteriin talletettujen tietojen ja tapahtumatietojen käsittelystä yksityiskohtainen selvitys tietosuojavaltuutetulle. Lisäksi väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 55 §:ssä säädetään käyttäjärekisterin tietojen luovuttamisesta tietosuojavaltuutetulle ja -lautakunnalle tietosuojan valvonnan toteuttamista varten. Kyseisen lain 58 §:ssä säädetään lokirekisterin tietojen luovuttamisesta tietosuojavaltuutetulle ja tietosuojalautakunnalle tietosuojan valvonnan toteuttamista varten sekä sen 59 §:ssä säädetään tapahtumatietojen luovuttamisesta tietosuojavaltuutetulle ja tietosuojalautakunnalle tietosuojan valvonnan toteuttamista varten.
Yksityisyyden suojasta työelämästä annetun lain (759/2004) 22 §:n mukaan lain noudattamista valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa.
Eräissä laeissa viitataan tietosuojavaltuutetun valvontatehtävien osalta tietosuojavaltuutetun laissa säädettyyn toimivaltaan. Tällaisia säännöksiä sisältyy sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) 20 §:ään, sähköisestä lääkemääräyksestä annetun lain (61/2007) 24 §:ään ja Suomen metsäkeskuksen metsätietojärjestelmästä annetun lain (419/2011) 16 §:ään. Biopankkilain (688/2012) 31 §:n 3 momentti sisältää valvontatehtävien osalta viittaussäännöksen lakiin tietosuojalautakunnasta ja tietosuojavaltuutetusta.
Saamen kielilakia (1086/2003) sovelletaan tietosuojavaltuutetun ja tietosuojalautakuntaan. Laissa säädetään muun muassa saamelaisten oikeudesta käyttää omaa kieltään tuomioistuimessa ja muussa viranomaisessa sekä julkisen vallan velvollisuuksista toteuttaa ja edistää saamelaisten kielellisiä oikeuksia.
Tietosuojavaltuutetulla tai tietosuojalautakunnalla ei ole toimivaltaa tulkita toisen viranomaisen puolesta, onko asiakirja julkinen vai salassa pidettävä. Julkisuuslain salassapitosäännösten soveltamista koskevien ratkaisujen tekeminen kuuluu kullekin viranomaiselle itselleen. Viime kädessä asian ratkaisee hallintotuomioistuin. Esimerkiksi Saksan ja Iso-Britannian valvontaviranomaisilla on myös viranomaistoiminnan avoimuuteen ja viranomaisten asiakirjojen julkisuuteen liittyvää toimivaltaa.
Tietosuojavaltuutetun EU -asetuksiin perustuvat tehtävät
Euroopan unionin lainvalvontayhteistyövirastosta annetun lain (214/2017) 5 §:n mukaan tietosuojavaltuutettu on Euroopan unionin lainvalvontayhteistyövirastosta (Europol) annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/794 (jäljempänä Europol-asetus) mukainen kansallinen valvontaviranomainen. Europol-asetuksen 42 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on valvottava, että jäsenvaltion suorittama henkilötietojen siirto, haku ja mikä tahansa toimittaminen Europolille on luvallinen, ja tutkia, loukkaako tällainen siirto, haku tai toimittaminen asianomaisten rekisteröityjen oikeuksia. Kansallisen valvontaviranomaisen on valvottava kansallisten yksiköiden ja yhteyshenkilöiden toimintaa, siltä osin kuin toiminnalla on merkitystä henkilötietojen suojan kannalta. Europol-asetuksen 44 artiklan 1 kohta velvoittaa tekemään yhteistyötä Euroopan tietosuojavaltuutetun ja kansallisten viranomaisten kanssa. Europol-asetuksen 44 artiklan 2 kohdan perusteella valvontaviranomaisten on vaihdettava asiaa koskevia tietoja ja avustettava toisiaan tarkastusten suorittamisessa Euroopan tietosuojavaltuutetun kanssa. Europol-asetuksen 45 artiklan mukaan kansallisen valvontaviranomaisen on osallistuttava muiden kansallisten valvontaviranomaisten ja Euroopan tietosuojavaltuutetun kanssa Yhteistyöneuvoston työhön.
Tietosuojavaltuutettu on Eurodac-järjestelmää koskevan Euroopan parlamentin ja neuvoston asetuksen (EU) N:o a 603/2013 (jäljempänä Eurodac-asetus) mukainen kansallinen valvontaviranomainen. Eurodac-asetuksen 30 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on valvottava asetuksen nojalla tapahtuvan henkilötietojen käsittelyn lainmukaisuutta, mukaan lukien näiden tietojen siirtäminen keskusjärjestelmään. Eurodac-asetuksen 32 artiklan 1 kohdan mukaan kansallisten valvontaviranomaisten ja Euroopan tietosuojavaltuutetun on tehtävä yhteistyötä. Eurodac-asetuksen 32 artiklan 4 kohdan mukaan kansallisen valvontaviranomaisen on osallistuttava Eurodac-järjestelmän valvonnan koordinaatioryhmän toimintaan Euroopan tietosuojavaltuutetun ja muiden kansallisten valvontaviranomaisten kanssa. Kansallisen valvontaviranomaisen on tehtävä kyseisen asetuksen 32 artiklan kohdan 2 mukainen tarkastus joka vuosi.
Tietosuojavaltuutettu on SIS II-järjestelmää (Schengenin tietojärjestelmää) koskevan Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 1987/2006 (jäljempänä SIS II-asetus) mukainen kansallinen valvontaviranomainen. SIS II-asetuksen 44 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on valvottava SIS II:ssa olevien henkilötietojen alueellaan tapahtuvan käsittelyn ja niiden alueeltaan toimittamisen lainmukaisuutta sekä lisätietojen vaihtoa ja edelleenkäsittelyä. SIS II-asetuksen 46 artiklan mukaan kansallisen valvontaviranomaisen on osallistuttava SIS II:n valvonnan koordinaatioryhmän toimintaan Euroopan tietosuojavaltuutetun ja muiden kansallisten valvontaviranomaisten kanssa. SIS II-asetuksen 44 artiklan 2 kohdan mukaan kansallisen valvontaviranomaisen on varmistettava, että SIS II:ssa tapahtunut tietojenkäsittely tarkastetaan vähintään joka neljäs vuosi kansainvälisten tarkastuskäytäntöjen mukaisesti.
VIS-järjestelmää (viisumitietojärjestelmä) koskevan Euroopan parlamentin ja neuvoston asetuksen (EY) 767/2008 (jäljempänä VIS-asetus) mukainen kansallinen valvontaviranomainen on tietosuojavaltuutettu. VIS-asetuksen 41 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on valvottava henkilötietojen käsittelyn lainmukaisuutta asianomaisessa jäsenvaltiossa, mukaan luettuna näiden tietojen siirtäminen viisumitietojärjestelmään ja ulos viisutietojärjestelmästä. VIS-asetuksen 43 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on tehtävä yhteistyötä kansallisten valvontaviranomaisten ja Euroopan tietosuojavaltuutetun kanssa. VIS-asetuksen 43 artiklan 3 kohdan mukaan kansallisen valvontaviranomaisen on osallistuttava VIS-järjestelmän valvonnan koordinaatioryhmän toimintaan Euroopan tietosuojavaltuutetun ja muiden kansallisten valvontaviranomaisten kanssa sekä varmistettava, että kansallisessa järjestelmässä tapahtunut tietojenkäsittely tarkastetaan vähintään joka neljäs vuosi asiaankuuluvien kansainvälisten tarkastuskäytäntöjen mukaisesti VIS-asetuksen 41 artiklan 2 kohdan nojalla.
Tullitietojärjestelmää koskevien Euroopan parlamentin ja neuvoston asetusten (EY) N:o 515/97 ja kyseisen asetuksen muuttamisesta annetun asetuksen N:o 766/2008 mukainen kansallinen valvontaviranomainen on tietosuojavaltuutettu. Tullitietojärjestelmää koskevan asetuksen 37 artiklan 1 kohdan mukaan kansallisen valvontaviranomaisen on valvottava riippumattomasti henkilötietojen käsittelyn lainmukaisuutta asianomaisessa jäsenvaltiossa. Valvontaviranomaisen on kyseisen asetuksen 37 artiklan 4 kohdan mukaan osallistuttava tullijärjestelmän valvonnan koordinaatioryhmän toimintaan Euroopan tietosuojavaltuutetun ja muiden kansallisten valvontaviranomaisten kanssa.
Tietosuojavaltuutetun toimiston toiminta
Tietosuojavaltuutetun toimiston toiminta voidaan jakaa ennaltaehkäisevään toimintaan ja jälkikäteisvalvontaan. Toiminnan painopiste on henkilötietolaissa säädettyjen tehtävien mukaisesti ennaltaehkäisevässä toiminnassa, johon toimisto on käyttänyt pääsääntöisesti noin puolet resursseistaan. Ennaltaehkäisevään toimintaan sisältyvät rekisterinpitäjien neuvonta, ohjaus ja konsultointi sekä muu yleisohjaus, ennakkovalvonta ilmoitusmenettelyn kautta, tietopalvelu, sidosryhmäyhteistyö, tiedottaminen ja ohjausmateriaalin tuottaminen, lausuntojen antaminen lainsäädännöllisistä ja hallinnollisista uudistuksista, käytännesäännöistä sekä Terveyden ja hyvinvoinninlaitokselle tehdyistä tutkimuslupa-hakemuksista, koulutusten järjestäminen ja kansainvälinen toiminta. Jälkikäteisvalvonta kattaa määräysten antamisen rekisteröityjen oikeuksien toteuttamiseen liittyvissä asioissa, asioiden saattamisen tietosuojalautakunnan käsiteltäväksi tai poliisin tutkittavaksi sekä tarkastustoiminnan. Tarkastustoiminta on osittain sekä ennakollista että jälkikäteistä valvontaa.
Tietosuojavaltuutetun toimistossa on vuosien 2013—2016 aikana tullut noin 3400—3900 asiaa vireille vuosittain. Yleisen tietosuoja-asetuksen hyväksymisen jälkeen tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä on vuodessa kasvanut 25 prosentilla. Edeltävänä vuonna 2016 vastaava kasvu oli 10 prosenttia. Asetuksesta seuraavan rekisteröidyn oikeudellisen aseman sekä seuraamusjärjestelmän vahvistumisen myötä on todennäköistä, että yleinen tietoisuus henkilötietojen suojaa koskevasta lainsäädännöstä lisääntyisi ja viranomaisen kysyntä jatkaisi edelleen kasvuaan. Myös rekisterinpitäjät ja henkilötietojen käsittelijät tulevat oletettavasti tarvitsemaan enemmän ohjausta ja neuvontaa lainsäädännön muuttuessa.
Tietosuojavaltuutetun toimiston toiminnassa kansalaisten toimenpidepyynnöt muodostavat toimiston ratkaisutoiminnan keskeisimmän ja asiamääriltään merkittävimmän osa-alueen. Toimenpidepyynnöt koskevat joko pyyntöjä rekisteröidyn oikeuksien toteuttamista koskevan määräyksen antamiseen tai yleisiä neuvonta-asioita. Esimerkiksi tarkastusoikeutta ja virheellisen tiedon korjaamista koskevien päätösasioiden määrä on kolminkertaistunut noin 100 asiasta noin 300 asiaan vuosien 2007—2014 aikana. Vuonna 2016 tietosuojavaltuutetun toimistossa tuli vireille noin 385 tarkastusoikeutta ja virheen korjaamista koskevaa asiaa. Vireille tulleiden virheen korjaamista koskevien asioiden määrä kasvoi tuntuvasti 13 päivänä toukokuuta 2014 annetun Unionin tuomioistuimen nk. Google vrs. Espanja -ratkaisun (C-131/12) myötä. Kyseisessä ratkaisussa Unionin tuomioistuin katsoi, että hakukoneen ylläpitäjä oli henkilötietodirektiivissä tarkoitettu rekisterinpitäjä. Näin ollen hakukone oli EU:n perusoikeuskirjan 7 ja 8 artiklaan perustuen velvollinen poistamaan hakutulosten luettelosta rekisteröidyn nimellä suoritetun haun tuloksena saatavan arviointiajankohtana virheellisen tai puutteellisen henkilötiedon.
Tietosuojavaltuutetun toimistossa käsiteltävien asioiden määrä on nelinkertaistunut vuodesta 2000, kun taas toimiston henkilöstömäärä ja resurssit ovat pysyneet lähestulkoon ennallaan. Vuoden 2017 keväänä tietosuojavaltuutetun toimiston henkilötyövuosien määrä on 21,64 henkilötyövuotta, kun 2000-luvun alkupuolella henkilötyövuosien määrä oli noin 20 henkilötyövuotta.
Tietosuojavaltuutettu osallistuu laajasti henkilötietojen käsittelyyn liittyvään kansainväliseen yhteistyöhön. Tietosuojavaltuutetun toimisto osallistuu henkilötietodirektiivin 29 artiklan mukaisen tietosuojatyöryhmän (Article 29 Working Party jäljempänä tietosuojatyöryhmä) työhön sekä tekee tiivistä yhteistyötä muiden pohjoismaiden valvontaviranomaisten kanssa. Itsenäisen tietosuojatyöryhmän tehtävänä on antaa komissiolle lausuntoja ja suosituksia henkilötietojen suojaan liittyvistä asioista. Tietosuojatyöryhmän tehtävistä säädetään tarkemmin henkilötietodirektiivin 30 artiklassa. Tietosuojatyöryhmän yhteydessä toimii eri alatyöryhmiä, joista tietosuojavaltuutetun toimisto on osallistunut erityisesti Future of Privacy -työryhmä, Co-operation -työryhmän sekä Technology -työryhmän työhön. Tietosuojavaltuutettu osallistuu myös tietosuojaviranomaisten väliseen kansainväliseen yhteistyöhän EU:n ulkopuolella, esimerkiksi vuosittain järjestettävään kansainvälisten tietosuojaviranomaisten maailmankokoukseen.
Tietosuojavaltuutetun toimisto osallistuu lisäksi erilaisten EU-valvontaelinten toimintaan. Edellä todettujen säännösten nojalla tietosuojavaltuutettu osallistuu Europolin yhteisen valvontaelimen, Europolin yhteisen muutoksenhakukomitean, Schengenin tietojärjestelmän yhteisen valvontaelimen, Schengenin tietojärjestelmän yhteisen valvontaelimen, Tullitietojärjestelmän yhteisen valvontaelimen sekä yhteisen valvonnan koordinointiryhmän toimintaan. Lisäksi tietosuojavaltuutettu osallistuu Eurodac-järjestelmän yhteiseen valvontaan ja viisumitietojärjestelmän yhteiseen valvontaryhmään.
Tietosuojalautakunta
Suomessa toimii tietosuojavaltuutetun ohella toisena tietosuojaviranomaisena tietosuojalautakunta. Tietosuojalautakunta on oikeusministeriön yhteydessä toimiva itsenäinen viranomainen, jonka valtioneuvosto nimittää kolmeksi vuodeksi kerrallaan. Tietosuojalautakunnasta säädetään henkilötietolain lisäksi tietosuojalautakunnasta ja tietosuojavaltuutetusta annetussa laissa sekä asetuksessa. Tietosuojalautakunta perustettiin henkilörekisterilain nojalla vuonna 1987. Tietosuojalautakunta on toiminut yhtäjaksoisesti siitä saakka, vaikka tietosuojalautakunnan tehtävät muuttuivat merkittävästi henkilötietodirektiivin antamisen ja henkilötietolain säätämisen myötä 1990-luvun loppupuoliskolla, kun tietosuojalautakunnan henkilörekisterilain mukaisesta yleisestä poikkeuslupatoimivallasta luovuttiin.
Tietosuojalautakunnassa on puheenjohtaja ja varapuheenjohtaja sekä viisi muuta jäsentä. Kullakin heistä on lisäksi henkilökohtainen varajäsen. Tietosuojalautakunnan puheenjohtaja ja muut jäsenet toimivat virkamiehen vastuulla. Tietosuojalautakunnan jäsenten ja varajäsenten tulee olla tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun asetuksen mukaan rekisteritoimintaa tuntevia. Sen lisäksi puheenjohtajalla, varapuheenjohtajalla ja yhdellä jäsenellä ja tämän varajäsenellä tulee olla oikeustieteen kandidaatin tutkinto. Lautakunnassa tulee myös olla edustettuna hyvä tietotekniikan asiantuntemus. Tietosuojalautakunnalla voi olla päätoiminen sihteeri ja sivutoimisia sihteereitä. Sihteerillä tulee olla oikeustieteen kandidaatin tutkinto.
Tietosuojalautakunta käsittelee henkilötietolain 38 §:n mukaan henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja käyttää päätösvaltaa tietosuoja-asioissa siten kuin henkilötietolaissa säädetään.
Henkilötietolain 43 §:ssä säädetään tietosuojalautakunnan lupatoimivallasta. Pykälän 1 momentin mukaan tietosuojalautakunta voi antaa henkilötietolain 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Pykälän 2 momentin mukaan tietosuojalautakunta voi antaa henkilötietolain 12 §:n 13 kohdassa tarkoitetun luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä. Lupahakemusasiat tulevat vireille rekisterinpitäjän hakemuksesta.
Luvan myöntämisen edellytykset ovat näin ollen henkilötietolain 43 §:n 1 momentissa lähtökohtaisesti samat kuin henkilötietodirektiivin 7 artiklan d—f alakohdassa henkilötietojen käsittelylle säädetyt edellytykset. Henkilötietolain esitöissä tällainen lupamenettely katsottiin tarpeelliseksi, jotta näiden edellytysten täyttyminen ei jäisi yksinomaan rekisterinpitäjän yksipuolisesti arvioitavaksi ja jotta saataisiin aikaan yhdenmukainen soveltamiskäytäntö (HE 96/1998 vp).
Pykälän 3 momentin mukaan tietosuojalautakunta voi myöntää luvan määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.
Henkilötietolain 44 §:ssä säädetään tietosuojalautakunnan määräystoimivallasta. Ainoastaan tietosuojavaltuutettu voi saattaa pykälässä tarkoitetun määräysasian vireille tietosuojalautakunnassa. Tietosuojalautakunta voi lainkohdan nojalla tietosuojavaltuutetun hakemuksesta kieltää henkilötietolain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn. Tietosuojalautakunta voi niin ikään velvoittaa muissa kuin henkilötietolain 40 §:n 2 momentissa tarkoitetuissa asioissa asianomaisen määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty. Lisäksi se voi määrätä rekisteritoiminnan lopetettavaksi, jos lainvastaiset toimet tai laiminlyönnit huomattavasti vaarantavat rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan, jollei rekisteristä ole laissa säädetty. Tietosuojalautakunta voi myös peruuttaa edellä kuvatun henkilötietolain 43 §:n mukaisen luvan, kun edellytyksiä luvan myöntämiselle ei enää ole tai kun rekisterinpitäjä toimii luvan tai siihen liitettyjen määräysten vastaisesti.
Tietosuojalautakunta voi henkilötietolain 46 §:n nojalla asettaa lain 39 §:n 1 momentin mukaisen tietojenantovelvollisuuden ja 44 §:n nojalla tekemänsä päätöksen tehosteeksi uhkasakon siten kuin uhkasakkolaissa (1113/1990) säädetään. Tietosuojalautakunnan päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään. Myös tietosuojavaltuutettu saa hakea muutosta tietosuojalautakunnan henkilötietolain 43 §:n nojalla tekemään päätökseen.
Tietosuojalautakunnan toiminta
Vuosien 2012—2016 aikana tietosuojalautakunnassa käsiteltiin 3—11 asiaa vuosittain. Varsinaisten hakemusperusteisten asioiden lisäksi tietosuojalautakunta on antanut lausuntoja hallinto-oikeuksille ja korkeimmalle hallinto-oikeudelle lautakunnan päätöksistä tehdyistä valituksista sekä muista sen toimialaan kuuluvista asioista. Tietosuojalautakunnan antamat päätökset ovat valtaosassa tapauksia pysyneet valitusasteissa ennallaan.
Viime vuosien aikana suuri osa lautakunnan käsittelemistä asioista on ollut henkilötietolain 43 §:ssä tarkoitettuja rekisterinpitäjän lupahakemuksia. Valtaosassa tapauksista luvan myöntämisen perusteena on ollut rekisterinpitäjän tai tiedot saavan sivullisen oikeutettu etu. Tietosuojalautakunta on tällöin säännönmukaisesti liittänyt lupaan rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset, jotta on voitu tasapainottaa rekisterinpitäjän tai tiedot saavan sivullisen oikeutettu etu ja rekisteröidyn edut ja oikeudet keskenään siten kuin henkilötietodirektiivin 7 artiklan f kohdassa edellytetään. Yleisen tietosuoja-asetuksen voimaantulon jälkeen tietosuojalautakunta on ryhtynyt myöntämään lupia määräaikaisena siten, että lupien voimassaolo päättyy, kun yleinen tietosuoja-asetus tulee sovellettavaksi.
Henkilötietodirektiivin 7 artikla ei edellyttänyt, että kaikki siinä mainitut käsittelyn perusteet tulisi sellaisenaan ottaa kansalliseen lainsäädäntöön. Näin ollen esimerkiksi oikeutettua etua koskevaa 7 artiklan f kohtaa ei ole pantu kansallisessa henkilötietolaissa täytäntöön sellaisenaan. Henkilötietolain 8 §:n 1 momentin 5 (yhteysvaatimus), 6 (käsittely konsernisuhteen perusteella) ja 8 (henkilön asemaa ja tehtäviä julkisyhteisössä tai elinkeinoelämässä kuvaavien tietojen käsittely) kohdat perustuvat pitkälti juuri henkilötietodirektiivin 7 artiklan f kohtaan. Sen sijaan siltä osin kun henkilötietojen käsittely on mahdollista ainoastaan sellaisen oikeutetun edun käsillä ollessa, joka ei mene edellä viitattujen henkilötietolain 8 §:n 1 momentin kohtien piiriin, on tietosuojalautakunnan lupaa edellytetty.
Tietosuojalautakunta on esimerkiksi myöntänyt vuosien mittaan useille perintätoimistoille luvan käsitellä ammattimaisessa perintätoiminnassa väestötietojärjestelmän suorakyselytoiminnon avulla saatavia sellaisten henkilöiden tietoja, joiden osalta yhtiöllä ei ole perintätoimeksiantoa. Tietosuojalautakunta on ratkaisuissaan katsonut, että tällaisen suoratunnistuskyselyn avulla saatavien tietojen käsittely on ollut tarpeen lupaa hakeneiden perintätoimistojen oikeutetun edun toteuttamiseksi, jotta perintätoimi on voitu kohdistaa oikeaan henkilöön.
Tietosuojalautakunta on niin ikään oikeutetun edun perusteella myöntänyt muutamille yrityksille määräaikaisia lupia henkilötietojen käsittelemiseksi katunäkymäpalvelun luomista ja ylläpitämistä varten. Tällöinkin edellytyksenä on ollut, että luvansaaja toimii tietosuojalautakunnan asettamien lupamääräysten mukaisesti. Yhteistä edellä kuvatuille tapauksille on ollut, että niissä rekisterinpitäjä on kerännyt henkilötietoja toimintansa ohella ilman varsinaista tarkoitusta käsitellä tällaisia tietoja. Esimerkiksi edellä kuvatun katunäkymäpalvelun luominen olisi käytännössä mahdotonta ilman henkilötietojen käsittelyä katujen kuvaamisvaiheessa. Tapaukset, joissa tietosuojalautakunta ei ole myöntänyt hakijalle henkilötietolain 43 §:n mukaista lupaa, ovat usein liittyneet arkaluonteisten henkilötietojen käsittelyyn. Luvan myöntäminen edellyttää tällöin lain mukaan tärkeää yleistä etua koskevaa syytä.
Tietosuojalautakunta on myös vähäisemmässä määrin antanut henkilötietolain 44 §:n mukaisia määräyspäätöksiä. Kuitenkin esimerkiksi vuonna 2011 tietosuojalautakunta käsitteli lukuisia pikaluottoja myöntäviä rekisterinpitäjiä koskevia määräysasioita. Lisäksi tietosuojalautakunta on määräysasioissaan käsitellyt muun muassa toimituksellisen käsittelyn ja rekisterinpitäjän käsitteisiin liittyviä kysymyksiä.
Ahvenanmaan maakuntalainsäädäntö
Ahvenanmaan maakunnalla on oma henkilötietojen käsittelyä koskeva maakuntalaki (landskpaslag (2007:88) om behandling av personuppgifter inom landskaps- och kommunalförvaltiningen). Lain tarkoituksena on sen 1 §:n 1 momentin mukaan suojata luonnollisia henkilöitä asiattomalta henkilötietojen käsittelyltä sekä edistää viranomaisten hyvää tietojen käsittelytapaa. Lakia sovelletaan sen 1 §:n 2 momentin mukaan viranomaisten harjoittamaan automaattiseen henkilötietojen käsittelyyn. Lakia sovelletaan myös sellaiseen henkilötietojen käsittelyyn, joista muodostuu rekisteri tai sen osa. Viranomaisten suorittamalla henkilötietojen käsittelyllä tarkoitetaan sellaista henkilötietojen käsittelyä, johon Ahvenanmaan itsehallintolain 18 §:ssä säädetyn maakunnan lainsäädäntötoimivallan mukaan sovelletaan maakuntalakeja. Ahvenanmaan maakunnalla on oma itsenäinen tietosuojavaltuutettu, Datainspektionen, joka toimii hallinnollisesti Ahvenanmaan maakuntahallituksen alaisuudessa. Ahvenanmaan tietosuojavaltuutetun toiminnasta vastaa sen johtaja. Ahvenanmaan tietosuojavaltuutetusta säädetään tietosuojavaltuutettua koskevassa maakuntalaissa (landskapslag (89:2007) om Datainspektionen). Lain 1 §:n mukaan Ahvenanmaan tietosuojavaltuutetun tehtävänä on seurata henkilötietojen käsittelyn yleistä kehitystä ja tehdä tarpeellisiksi katsomiaan aloitteita. Hänen tehtävänään on myös henkilötietojen käsittelyyn liittyvä ohjaus ja neuvonta.
Henkilötietojen käsittelyä koskevan maakuntalain 26 §:n mukaan lain yleinen valvonta kuuluu Ahvenanmaan tietosuojavaltuutetulle. Lain 27 §:ssä säädetään Ahvenanmaan tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeudesta, joka vastaa pääosin tietosuojavaltuutetun ja tietosuojalautakunnan tiedonsaantia ja tarkastusoikeutta koskevia säännöksiä. Lain 28 §:n mukaan Ahvenanmaan tietosuojavaltuutetun on ensin ohjein ja neuvoin pyrittävä siihen, ettei lainvastaista henkilötietojen käsittelyä jatketa. Jos lainvastaista käsittelyä jatketaan ohjeista ja neuvoista huolimatta tai, jos asia on kiireellinen, voi Ahvenanmaan tietosuojavaltuutettu kieltää henkilötietojen käsittelyn. Jos käsittely vaarantaa rekisteröidyn yksityisyyden suojaa, voi Ahvenanmaan tietosuojavaltuutettu tehdä päätöksen toiminnan lopettamisesta.
2.1.6 Oikeusturva ja seuraamukset
Henkilötietodirektiivin 24 artikla edellytti, että jäsenvaltiot toteuttavat tarvittavat toimenpiteet direktiivin säännösten täydellisen soveltamisen varmistamiseksi ja määrittävät erityisesti sanktiot, joita sovelletaan direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa. Henkilötietolain 48 § sisältää rangaistussäännökset ja se täyttää osaltaan henkilötietodirektiivin 24 artiklassa jäsenmaille asetettua velvollisuutta määritellä sanktiot, joita sovelletaan direktiivin mukaisesti säädettyjen säännösten rikkomistapauksissa (HE 96/1998 vp).
Suomessa tietosuojaviranomaisilla ei ole valtuuksia määrätä hallinnollisia seuraamusmaksuja tai muita rangaistuksenomaisia hallinnollisia seuraamuksia. Suomen oikeusjärjestyksessä on kuitenkin sinänsä tavanomaista, että viranomaisella voi olla toimivalta määrätä hallinnollisia seuraamusmaksuja. Henkilötietolain 46 §:n nojalla tietosuojavaltuutettu voi asettaa henkilötietolain 39 §:n 1 ja 3 momentin mukaisen tietojenantovelvollisuuden ja 40 §:n 2 momentin nojalla tekemänsä päätöksen ja tietosuojalautakunta 39 §:n 1 momentin mukaisen tietojenantovelvollisuuden ja 44 §:n nojalla tekemänsä päätöksen tehosteeksi uhkasakon siten kuin uhkasakkolaissa säädetään. Tietosuojavaltuutettuun ja tietosuojalautakuntaan sovelletaan kuten muihinkin viranomaisiin hallintolakia samoin kuin muuta julkiseen hallintoon yleisesti sovellettavaa lainsäädäntöä.
Rangaistus henkilörekisteririkoksesta säädetään henkilötietolain 48 §:n 1 momentin mukaan rikoslain 38 luvun 9 §:ssä ja henkilörekisteriin kohdistuvasta tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus henkilötietolain 33 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.
Rikoslain 38 luvun 1 §:ssä säädetään salassapitorikoksesta ja saman luvun 2 §:ssä salassapitorikkomuksesta. Salassapitorikoksesta tuomitaan se, joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon taikka käyttää tällaista salaisuutta omaksi tai toisen hyödyksi. Edellytyksenä lisäksi on, että teko ei ole rangaistava lain 40 luvun 5 §:n nojalla. Mainitussa pykälässä säädetään virkasalaisuuden rikkomisesta ja tuottamuksellisesta virkasalaisuuden rikkomisesta.
Rikoslain 38 luvun 8 §:ssä säädetään tietomurrosta. Sen mukaan se, joka käyttämällä hänelle kuulumatonta käyttäjätunnusta taikka turvajärjestelyn muuten murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa sähköisesti tai muulla vastaavalla teknisellä keinolla käsitellään, varastoidaan tai siirretään tietoja tai dataa, taikka sellaisen järjestelmän erikseen suojattuun osaan, on tuomittava tietomurrosta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Rikoslain 38 luvun 8 a §:ssä säädetään lisäksi törkeästä tietomurrosta.
Rikoslain 38 luvun 9 §:ssä säädetään henkilörekisteririkoksesta. Siitä tuomitaan sakkoon tai vankeuteen enintään vuodeksi se, joka tahallaan tai törkeästä huolimattomuudesta käsittelee henkilötietoja vastoin henkilötietolain käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä, arkaluonteisia tietoja, henkilötunnusta tai henkilötietojen käsittelyä erityisiä tarkoituksia varten koskevia säännöksiä taikka rikkoo henkilötietojen käsittelyä koskevia erityissäännöksiä. Henkilörekisteririkokseen ei sovelleta oikeushenkilön rangaistusvastuuta. Näin ollen säännöksen nojalla tuomitut henkilöt ovat käytännössä olleet luonnollisia henkilöitä.
Henkilötietolain 48 §:n 2 momentissa säädetään lisäksi henkilörekisteririkkomuksesta. Sen mukaan joka tahallaan tai törkeästä huolimattomuudesta henkilötietolain vastaisesti laiminlyö noudattaa, mitä henkilötietojen käsittelyn tarkoitusten määrittelystä, rekisteriselosteen laatimisesta, tietojen käsittelystä, informoimisesta, henkilörekisterissä olevan tiedon korjaamisesta, rekisteröidyn kielto-oikeudesta tai ilmoituksen tekemisestä tietosuojavaltuutetulle säädetään, ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, henkilörekisteririkkomuksesta sakkoon. Niin ikään henkilörekisteririkkomuksesta on tuomittava se, joka antaa tietosuojaviranomaiselle henkilötietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon, rikkoo henkilötietojen suojaamisesta ja henkilörekisterin hävittämisestä annettuja säännöksiä ja määräyksiä taikka rikkoo tietosuojalautakunnan 43 §:n 3 momentin nojalla antamaa lainvoimaista määräystä.
2.1.7 Sananvapaus
Perustuslain 12 §:n 1 momentin mukaan jokaisella on sananvapaus. Sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Tarkempia säännöksiä sananvapauden käyttämisestä annetaan lailla. Lailla voidaan säätää kuvaohjelmia koskevia lasten suojelemiseksi välttämättömiä rajoituksia. Perustuslain 10 §:n mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Henkilötietojen suojasta säädetään pykälän mukaan tarkemmin lailla.
Henkilötietojen suoja ja sananvapaus ovat molemmat niin ikään EU:n perusoikeuskirjassa tunnustettuja perusoikeuksia. Perusoikeuskirjan 11 artiklan mukaan jokaisella on oikeus sananvapauteen. Tämä oikeus sisältää mielipiteenvapauden sekä vapauden vastaanottaa ja levittää tietoja tai ajatuksia viranomaisten siihen puuttumatta ja alueellista rajoista riippumatta. Tiedotusvälineiden vapautta ja moniarvoisuutta kunnioitetaan. Henkilötietojen suojasta säädetään perusoikeuskirjan 8 artiklassa.
Euroopan neuvoston ihmisoikeussopimuksen 10 artiklan mukaan jokaisella on sananvapaus. Tämä oikeus sisältää vapauden pitää mielipiteitä sekä vastaanottaa ja levittää tietoja ja ajatuksia alueellisista rajoista riippumatta ja viranomaisten siihen puuttumatta. Tämä artikla ei estä valtioita tekemästä radio-, televisio- ja elokuvayhtiöitä luvanvaraisiksi. Koska näiden vapauksien käyttöön liittyy velvollisuuksia ja vastuuta, se voidaan asettaa sellaisten muodollisuuksien, ehtojen, rajoitusten ja rangaistusten alaiseksi, joista on säädetty laissa ja jotka ovat välttämättömiä demokraattisessa yhteiskunnassa kansallisen turvallisuuden, alueellisen koskemattomuuden tai yleisen turvallisuuden vuoksi, epäjärjestyksen tai rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, muiden henkilöiden maineen tai oikeuksien turvaamiseksi, luottamuksellisten tietojen paljastumisen estämiseksi, tai tuomioistuinten arvovallan ja puolueettomuuden varmistamiseksi. Ihmisoikeussopimuksen 8 artiklassa taataan jokaisen oikeus nauttia yksityis- ja perhe-elämän kunnioitusta.
Nykyään henkilötietolakia sovelletaan ainoastaan rajoitetusti henkilötietojen käsittelyyn toimituksellista sekä kirjallisen ja taiteellisen ilmaisun tarkoituksia varten. Henkilötietolain sääntely perustuu henkilötietodirektiivin 9 artiklaan ja ennen henkilötietolakia voimassa olleessa henkilörekisterilaissa omaksuttuun sääntelytapaan. Henkilötietolaissa sääntely ulotettiin henkilötietodirektiivin edellyttämällä tavalla koskemaan toimituksellisen tarkoituksen ohella myös henkilötietojen käsittelyä taiteellisen ja kirjallisen ilmaisun tarkoituksia varten.
Henkilötietojen käsittelyyn toimituksellisia sekä taiteelliseen ja kirjalliseen ilmaisun tarkoituksia varten sovelletaan henkilötietolain 1 luvun yleisten säännösten ja 11 luvun voimaantulo- ja siirtymäsäännösten lisäksi lain 32 §:ää, jossa säädetään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudesta huolehtia henkilötietojen asianmukaisesta suojaamisesta. Henkilötietolain esitöissä todetaan organisatoristen suojatoimien osalta, että tiedotusvälineen toimitukselliselta rekisteriltä edellytetään, että sen käyttäjäpiiri on rajattu niin, ettei rekisteri ole muiden kuin toimitustyöhön osallistuvien käytettävissä.
Tietosuojavaltuutetun tehtävänä on valvoa 32 §:ssä säädetyn suojaamisvelvoitteen noudattamista. Tietosuojavaltuutetulla on tämän tehtävän hoitamiseksi oikeus saada rekisterinpitäjältä tarpeellisia tietoja sekä asettaa tietojenantovelvollisuuden tehosteeksi uhkasakko. Tietosuojavaltuutetulla on toimivalta antaa toimituksellisen sekä taiteellisen ja kirjallisen ilmaisun osalta henkilötietojen käsittelyyn liittyvää ohjausta ja neuvontaa sekä tarkempia ohjeita henkilötietojen suojaamiseksi laittomalta käsittelyltä. Henkilötietodirektiivi ei mahdollista poikkeamista käytännesääntöjä koskevista säännöksistä, joten henkilötietolain 42 §:n säännöstä toimialakohtaisista käytännesäännöistä sovelletaan myös soveltuvin osin henkilötietojen käsittelyyn toimituksellisia sekä taiteellisia ja kirjallisen ilmaisun tarkoituksia varten.
Myös silloin kun henkilötietoja käsitellään toimituksellisessa sekä taiteellisen ja kirjallisen ilmaisun tarkoituksissa, tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta velvoittaa määräajassa oikaisemaan sen, mitä oikeudettomasti on laiminlyöty. Tietosuojalautakunta voi asettaa päätöksensä tehosteeksi uhkasakon. Tietosuojaviranomaisten päätöksiin voidaan hakea muutosta henkilötietolain 45 §:n mukaisesti. Lisäksi toimituksellisessa sekä taiteellisen ja kirjallisen ilmaisun tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn sovelletaan henkilötietolain 47 §:n vahingonkorvaussäännöstä ja 48 §:n 2 momentin säännöstä henkilörekisteririkkomuksesta.
Nykyistä henkilötietolakia edeltäneeseen henkilörekisterilakiin sisältyi säännös, jonka mukaan oikeudesta julkaista painokirjoituksia säädetään erikseen. Säännös viittasi ennen perusoikeusuudistusta voimassa olleen hallitusmuodon 10 §:ään, jossa painovapaus turvattiin kansalaisten perusoikeudeksi sekä painovapauslakiin, jossa säädetään tarkemmin painovapaudesta. Henkilötietolaissa ei säädetä erikseen oikeudesta julkaista henkilötietoja toimituksellisessa tarkoituksessa. Tällaisen säännöksen ottamista henkilötietolakiin ei pidetty tarpeellisena muun muassa sen vuoksi, että perusoikeusuudistuksen yhteydessä uudistetussa hallitusmuodon 10 §:ssä turvataan jokaiselle sananvapaus. Sananvapautta ei ole säännöksessä sidottu mihinkään tiettyyn viestinnän muotoon, vaan se turvataan riippumatta ilmaisemiseen tai julkistamiseen käytettävästä menetelmästä.
Kansallisesti sananvapauden ilmaisua koskevaa oikeutta on täydennetty erilaisilla jälkivalvonnallisilla menettelyillä. Tällaisia säännöksiä sisältyy lakiin sananvapauden käyttämisestä joukkoviestinnässä (460/2003, jäljempänä sananvapauslaki) ja rikoslakiin (39/1889).
Sananvapauslaissa annetaan tarkempia säännöksiä perustuslaissa turvatun sananvapauden käyttämisestä joukkoviestinnässä. Lakia sovelletaan Suomessa harjoitettavaan julkaisu- ja ohjelmatoimintaan. Lisäksi eräitä sen säännöksiä sovelletaan myös silloin, kun yksityinen henkilö ylläpitää kotisivuja sähköisessä viestintäverkossa. Sananvapauslain eräitä säännöksiä sovelletaan myös toimintaan, jossa huolehditaan pelkästään julkaisun tai verkkoviestin teknisestä valmistamisesta, lähettämisestä tai jakelusta.
Sananvapauslaki sisältää myös henkilötietojen suojan ja sananvapauden ilmaisun yhteensovittamisen kannalta huomioon otettavia säännöksiä. Näitä ovat säännökset julkaisijan ja ohjelmatoiminnan harjoittajan velvollisuuksista, vastineesta ja oikaisusta, vastuusta julkaistun viestin sisällöstä, pakkokeinoista sekä seuraamuksista ja syyteoikeudesta.
Rikoslaissa säädetään niin kutsutuista sananvapausrikoksista. Valtakunnansyyttäjänviraston sananvapausrikostyöryhmän mietinnön (24.5.2004) mukaan sananvapausrikoksina voidaan pitää vain sellaisia rikoksia, joista rankaiseminen on sananvapauden rajoittamista. Henkilötietojen suojan kannalta keskeisinä voidaan mainita rikoslain 11 luvun 10 §:n kiihottaminen kansanryhmää vastaan, rikoslain 24 luvun 8 § ja 8 a §:n yksityiselämään loukkaava tiedon levittäminen sekä rikoslain 24 luvun 9 § ja 10 §:n kunnianloukkausta koskevat kriminalisoinnit.
2.1.8 Tieteellinen ja historiallinen tutkimus
Perustuslain 16 §:n 3 momentin mukaan tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. Perustuslakia koskevan hallituksen esityksen (1/1998) mukaan 16 § vastaa edeltävän hallitusmuodon 13 §:ää. Perustuslakien perusoikeussäännösten muuttamisesta eduskunnalle annetun hallituksen esityksen 39/1993 vp mukaan tieteen, taiteen ja ylimmän opetuksen vapaudella luodaan edellytykset kulttuurin kehitykselle. Säännöksellä on myös kiinteä yhteys sananvapautta koskevaan perusoikeuspykälään.
Perustuslain turvaamaan tieteen vapauteen kuuluu sen harjoittajan oikeus valita tutkimusaiheensa ja -menetelmänsä. Tieteen suuntautumisen tulee toteutua ensisijaisesti tieteellisen yhteisön itsensä harjoittaman tieteen kritiikin kautta. Tieteen, taiteen ja ylimmän opetuksen vapautta suojaa myös lakiin perustuva yliopistojen ja korkeakoulujen itsehallinto.
Henkilötietolaki sisältää yleisluontoisempien periaatteiden lisäksi useita säännöksiä, jotka liittyvät nimenomaisesti henkilötietojen käsittelyyn tieteellisissä tarkoituksissa. Henkilötietolain 7 §:ssä säädetään käyttötarkoitussidonnaisuudesta. Lainkohdan mukaan henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton henkilötietolain 6 §:ssä tarkoitettujen käsittelyn tarkoitusten kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei kuitenkaan pidetä yhteensopimattomana alkuperäisten käsittelyn tarkoitusten kanssa.
Henkilötietolain 11 §:n mukaan arkaluonteisten henkilötietojen käsittely on lähtökohtaisesti kielletty. Henkilötietolain 12 §:n 1 momentin 6 kohdan mukaan arkaluonteisten henkilötietojen käsittelykielto ei kuitenkaan estä tietojen käsittelyä historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Henkilötietolain 13 §:n 1 momentin 3 kohdan mukaan myös henkilötunnusta saa käsitellä historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Henkilötietolain esitöissä todetaan, että historiallisessa ja tieteellisessä tutkimuksessa sekä tilastoinnissa rekisteröidyn yksiselitteinen yksilöiminen on yleensä välttämätöntä ainakin henkilörekistereitä yhdistettäessä.
Henkilötietolain 4 luvussa säädetään henkilötietojen käsittelystä erityisiä tarkoituksia varten. Lain 14 §:n mukaan historiallista tai tieteellistä tutkimusta varten saa henkilötietoja käsitellä muilla kuin sen 8 §:n 1 momentissa säädetyillä perusteilla, jos tutkimusta ei voi suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi ole mahdollista hankkia. Lisäksi lainkohdassa edellytetään, että henkilörekisterin käyttö perustuu asianmukaiseen tutkimussuunnitelmaan ja tutkimuksella on vastuullinen johtaja tai siitä vastaava ryhmä. Edellytyksenä on niin ikään, että henkilörekisteriä käytetään ja siitä luovutetaan henkilötietoja vain historiallista tai tieteellistä tutkimusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille, ja että henkilörekisteri hävitetään tai siirretään arkistoitavaksi tai sen tiedot muutetaan sellaiseen muotoon, ettei tiedon kohde ole niistä tunnistettavissa, kun henkilötiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai sen tulosten asianmukaisuuden varmistamiseksi.
Mitä henkilötietolain 14 §:n 1 momentissa säädetään, sovelletaan täydentävästi myös silloin, kun henkilötietojen käsittely perustuu 8 §:n 1 momenttiin, kuten esimerkiksi rekisteröidyn antamaan yksiselitteiseen suostumukseen. Henkilötietodirektiivissä edellytettiin, että silloin kun tietoja käsitellään myöhempää käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten huolehditaan riittävistä suojatoimista. Tämän vaatimuksen on katsottu toteutuvan henkilötietolain 4 luvun säännöksillä.
Henkilötietolain 27 §:n 1 momentin 3 kohdan mukaan lain 26 §:ssä tarkoitettua tarkastusoikeutta ei ole, jos rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Jos kuitenkin vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne jäisivät 27 §:n 1 momentin mukaan tarkastusoikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut hänestä talletetut tiedot.
Rekisteröidyn tarkastusoikeuden rajoittamista henkilötietolain 27 §:n 1 momentin 3 mukaisella tavalla silloin, kun henkilötietoja käsitellään ainoastaan historiallista tai tieteellistä tutkimusta tai tilastojen laatimista varten, on pidetty mahdollisena henkilötietodirektiivin 13 artiklan 2 kohdan nojalla. Kyseisen kohdan mukaan jäsenvaltiot voivat, milloin siitä ei ilmeisesti aiheudu vaaraa yksityisyydelle, lainsäädännöllä rajoittaa 12 artiklassa säädettyjä oikeuksia, jos tietoja käsitellään ainoastaan tieteellisessä tarkoituksessa tai säilytetään henkilötietojen muodossa ainoastaan niin kauan, kuin on tarpeen tilastojen luomiseksi. Tällöin lainsäädännössä tulee huomioida asianmukaiset oikeudelliset takeet ja erityisesti se, että tietoja ei käytetä tiettyä rekisteröityä koskevien toimenpiteiden toteuttamiseen tai päätösten tekemiseen.
Viranomaisten henkilörekistereistä henkilötietoja tutkimustarkoituksiin luovutettaessa tulee ottaa huomioon myös julkisuuslaki mahdollisen erityislainsäädännön ohella. Julkisuuslaissa säädetään oikeudesta saada tieto viranomaisten julkisista asiakirjoista sekä viranomaisessa toimivan vaitiolovelvollisuudesta, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista samoin kuin viranomaisten velvollisuuksista tämän julkisuuslain tarkoituksen toteuttamiseksi.
Julkisuuslain 27 §:ssä säädetään arkistoon siirrettyjen asiakirjojen antamisesta. Pykälän 1 momentin mukaan arkistolaissa (831/1994) säädetyssä järjestyksessä arkistoon siirretystä, salassa pidettäväksi säädetystä viranomaisen asiakirjasta saa antaa tietoja tutkimusta tai muuta hyväksyttävää tarkoitusta varten, jollei asiakirjan siirtänyt viranomainen ole toisin määrännyt. Tietojen antamista harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Pykälän 2 momentin mukaan asiakirjan saaneen on annettava kirjallinen sitoumus siitä, ettei hän käytä asiakirjaa sen henkilön vahingoksi tai halventamiseksi, jota asiakirja koskee, tai hänen läheisensä vahingoksi tai halventamiseksi taikka sellaisten muiden etujen loukkaamiseksi, joiden suojaksi salassapitovelvollisuus on säädetty.
Julkisuuslain 24 §:ssä säädetään salassa pidettävistä viranomaisten asiakirjoista. Julkisuuslain 28 §:ssä säädetään, että viranomainen voi, jollei lailla toisin säädetä, antaa yksittäistapauksessa luvan tietojen saamiseen salassa pidettävästä asiakirjastaan tieteellistä tutkimusta, tilastointia taikka viranomaisen suunnittelu- tai selvitystyötä varten, jos on ilmeistä, ettei tiedon antaminen loukkaa niitä etuja, joiden suojaksi salassapitovelvollisuus on säädetty. Lupaa harkittaessa on huolehdittava siitä, että tieteellisen tutkimuksen vapaus turvataan. Jos asiakirjaan sisältyvät tiedot on annettu viranomaiselle sen suostumuksella, jonka etujen suojaamiseksi salassapitovelvollisuus on säädetty, lupaa ei saa antaa vastoin suostumuksessa tiedon käytölle ja luovutukselle asetettuja ehtoja. Jos lupa tarvitaan usean saman ministeriön alaisen viranomaisen asiakirjasta, luvasta päättää ministeriö asianomaisia viranomaisia tarvittaessa kuultuaan. Julkisuuslain säännökset ovat merkittäviä etenkin rekisteritutkimuksen kannalta.
Lupa voidaan antaa määräajaksi, ja siihen on liitettävä yleisen ja yksityisen edun suojaamiseksi tarpeelliset määräykset. Lupa voidaan peruuttaa, milloin siihen harkitaan olevan syytä. Julkisuuslain esitöissä todetaan olevan asianmukaista, että ennen luvan myöntämistä tietosuojavaltuutetulle varattaisiin tilaisuus tulla kuulluksi, jos henkilötietoja luovutetaan viranomaisen henkilörekisteristä tai henkilörekisteriin talletettaviksi (HE 30/1998 vp).
Kaikenlaista tutkimusta ei voida pitää tieteellisenä tutkimuksena. Esimerkiksi mielipide- ja markkinatutkimuksesta säädetään henkilötietolaissa tieteellisestä tutkimuksesta poikkeavasti, eikä sitä lähtökohtaisesti pidetä tieteellisenä tutkimuksena. Tieteellisen tutkimuksen käsitettä ei ole määritelty henkilötietolaissa tai sen esitöissä. Henkilötietolain esitöissä nimenomaisesti todetaan, että lakiin ei sisällytetä historiallisen ja tieteellisen tutkimuksen määritelmää, vaan niiden sisältö on määräytynyt samalla tavoin kuin ne yleensä ymmärretään.
Historiallinen tutkimus voi hallituksen esityksen 96/1998 mukaan olla esimerkiksi tieteellistä tutkimusta edeltävää tutkimusta tai itsenäistä tutkimusta, joka ei täytä tieteellisen tutkimuksen kriteereitä. Henkilötietolain 14 §:ssä tarkoitetun tieteellisen tutkimuksen on lisäksi esitöiden mukaan täytettävä yleisesti hyväksytyt tieteellisen tutkimuksen kriteerit. Erityisesti arkaluonteisia tietoja sisältävän tutkimuksen on täytettävä myös yleisesti hyväksytyt tutkimuseettiset periaatteet.
2.1.9 Tilastointi
Henkilötietolaki sisältää useita säännöksiä, jotka liittyvät nimenomaisesti henkilötietojen käsittelyyn tilastointitarkoituksissa. Muutoinkin käsiteltäessä henkilötietoja tilastollisia tarkoituksia varten henkilötietolain säännökset tulevat sovellettavaksi, jollei erityislainsäädännössä toisin säädetä. Mitä henkilötietolain 7 §:ssä säädetään käyttötarkoitussidonnaisuudesta ja 12 §:n 1 momentin 6 kohdassa arkaluonteisten henkilötietojen käsittelystä tieteellisessä tutkimustarkoituksessa, sovelletaan myös henkilötietojen käsittelyyn tilastointia varten.
Henkilötietojen käsittely tilastollisia tarkoituksia varten edellyttää henkilötietolaista ilmenevää käsittelyperustetta. Käsittelyn yleisistä edellytyksistä säädetään henkilötietolain 8 §:ssä. Henkilötietojen käsittely tilastotarkoituksissa voi perustua esimerkiksi kyseisen pykälän 1 momentin 1 (rekisteröidyn suostumus) tai 4 (käsittelystä säädetään laissa tai käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta) kohtaan. Lisäksi henkilötietojen käsittely tilastollisia tarkoituksia varten voi perustua henkilötietolain 15 §:ään.
Henkilötietolain 15 §:ssä säädetään tilastointia koskevasta erityisestä käsittelyperusteesta. Pykälän mukaan tilastotarkoituksia varten saa henkilötietoja käsitellä muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla, jos momentissa luetellut edellytykset täyttyvät. Henkilötietodirektiivi edellyttää, että riittävistä suojatoimista huolehditaan silloin, kun tietoja käsitellään myöhempää käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten. Näiden katsottiin voivan toteutua henkilötietolain 4 luvun säännöksillä.
Edellytyksenä 15 §:n 1 momentissa on, että tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä ja että tilaston tuottaminen kuuluu rekisterinpitäjän toimialaan. Lisäksi tilastorekisteriä tulee käyttää vain tilastollisiin tarkoituksiin eikä siitä saa luovuttaa tietoja siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten. Kaikkien pykälässä mainittujen edellytysten on täytyttävä, jotta henkilötietoja voidaan käsitellä tilastotarkoituksia varten.
Henkilötietolain 27 §:n 1 momentin 3 kohdan mukaan lain 26 §:ssä tarkoitettua tarkastusoikeutta ei ole, jos rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Jos kuitenkin vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne jäisivät 27 §:n 1 momentin mukaan tarkastusoikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut hänestä talletetut tiedot.
Tilastointia koskevasta erityislainsäädännöstä merkittävin laki on tilastolaki (280/2004). Tilastolaissa säädetään valtion viranomaisten tilastojen laatimisessa sovellettavista tiedonkeruuta sekä tilastojen suunnittelua ja laadintaa koskevista menettelytavoista ja periaatteista. Tietojen keräämiseen, luovuttamiseen, suojaamiseen ja muuhun käsittelyyn tilastoja laadittaessa sovelletaan kuitenkin, mitä julkisuuslaissa ja henkilötietolaissa säädetään.
2.1.10 Yleisen edun mukainen arkistointi
Viranomaisten toimintaan liittyvän rekisterin säilyttämiseen sovelletaan arkistolakia (831/1994) sen 1 §:n mukaisesti. Arkistolaissa säädetään arkistotoimesta ja sen järjestämisestä sekä asiakirjojen laatimisesta, säilyttämisestä ja käytöstä. Arkistolain 5 luvussa säädetään Kansallisarkiston tehtävistä liittyen yksityisiin arkistoihin. Lain 17 §:ssä säädetään, että yksityinen arkisto tai siihen kuuluvia asiakirjoja voidaan arkiston omistajan kanssa tehtävän sopimuksen nojalla ottaa Kansallisarkiston, maakunta-arkiston tai muun arkistolaissa tarkoitetun arkiston säilytettäväksi ja hoidettavaksi. Lain 18 §:n mukaan arkistolaitos voi pitää rekisteriä tieteellisen tutkimuksen kannalta merkityksellisistä yksityisistä arkistoista ja niihin kuuluvista asiakirjoista.
Henkilötietolain 35 §:ssä säädetään henkilötietojen siirrosta arkistoon. Pykälän 1 momentin mukaan arkistolaitokseen tai siihen verrattavaan arkistoon siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen säädetään. Tällaiseen arkistointiin ei siten ole sovellettu henkilötietolakia. Arkistolaitoksen tai siihen verrattavan arkiston on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä henkilötietolaissa säädetään henkilötietojen käsittelystä ja luovuttamisesta, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.
Arkistolaitoksella tarkoitetaan henkilötietolain 35 §:ssä Kansallisarkistoa, josta säädetään arkistolaissa. Muita siihen verrattavia arkistoja ovat henkilötietolakia koskeneen hallituksen esityksen mukaan muun muassa ulkoasiainministeriön arkisto, sota-arkisto ja Suomalaisen Kirjallisuuden Seuran arkisto sekä ammattiliittojen arkistot (HE 96/1998 vp). Kansallisarkistosta ja sen tehtävistä säädetään Kansallisarkistosta annetussa laissa (1145/2016).
Henkilötietolain 35 §:n 2 momentin mukaan henkilörekisteri, joka on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen, voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan laitoksen tai viranomaisen arkistoon, jos Kansallisarkisto on antanut siihen luvan. Kansallisarkisto voi antaa yhteisölle, säätiölle ja laitokselle luvan siirtää arkistoonsa näiden omassa toiminnassa syntyneitä henkilörekistereitä, jotka täyttävät edellä mainitut vaatimukset. Kansallisarkiston on päätöksessään määrättävä, miten rekistereiden suojaus on järjestettävä sekä miten henkilötietojen käyttöä on valvottava. Kansallisarkiston on ennen edellä tarkoitetun luvan antamista varattava tietosuojavaltuutetulle tilaisuus lausunnon antamiseen.
Myös henkilötietolain 36 §:ssä viitataan arkistointiin. Sen mukaan henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 §:ssä tarkoitetulla tavalla arkistoon.
2.2 Kansainvälinen kehitys sekä ulkomaiden ja Euroopan unionin lainsäädäntö
2.2.1 Euroopan neuvosto
Ensimmäinen kansainvälinen henkilötietojen suojaa koskeva oikeudellisesti sitova instrumentti oli Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (ETS nro 108, tietosuojayleissopimus). Euroopan neuvosto hyväksyi yleissopimuksen vuonna 1981. Sopimus velvoittaa sopimusosapuolet sisällyttämään kansalliseen lainsäädäntöönsä toimenpiteet, joilla varmistetaan, että yksilöiden oikeuksia kunnioitetaan henkilötietojen käsittelyssä. Tietosuojayleissopimusta sovelletaan automaattiseen henkilötietojen käsittelyyn ja se koskee kaikkea henkilötietojen käsittelyä, mukaan lukien henkilötietojen käsittelyä poliisi- ja rikosoikeudellisen yhteistyön alalla. Tietosuojayleissopimus on toiminut mallina myös henkilötietodirektiiville ja sen nojalla on annettu lukuisia henkilötietojen käsittelyä koskevia suosituksia.
Tällä hetkellä sopimuksen on ratifioinut 47 Euroopan neuvoston jäsenvaltiota ja neljä Euroopan neuvoston ulkopuolista valtiota. Kaikki EU:n jäsenvaltiot ovat yleissopimuksen sopimusosapuolia. Suomen osalta sopimus tuli voimaan vuonna 1992. Tietosuojayleissopimusta täydennettiin vuonna 2001 valvontaviranomaisia ja tietojen siirtoa rajojen yli koskevalla lisäpöytäkirjalla (ETS nro 181). Lisäpöytäkirjan on ratifioinut 36 Euroopan neuvoston jäsenvaltiota, mukaan lukien Suomi. Lisäksi lisäpöytäkirjan on ratifioinut neljä Euroopan neuvoston ulkopuolista valtiota. Lisäpöytäkirja tuli Suomen osalta voimaan vuonna 2012.
Samanaikaisesti yleistä tietosuoja-asetusta koskevien neuvotteluiden kanssa Euroopan neuvostossa on myös laadittu lisäpöytäkirjaluonnos, jonka tavoitteena on mukauttaa yleissopimus nykyisiin ja tuleviin tietosuojahaasteisiin. EU valmistelee liittymistä uudistettuun yleissopimukseen. Pöytäkirjaa yleissopimuksen muuttamisesta ei ole vielä hyväksytty.
Euroopan ihmisoikeussopimuksen (SopS 19/1990) 8 artiklan mukaan jokaisella on oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan.
2.2.2 Euroopan unionin yleinen tietosuoja-asetus
Nykyisin henkilötietojen suojasta säädetään Euroopan unionin primaarioikeudessa, Euroopan unionin toiminnasta tehdyn sopimuksen (jäljempänä SEUT) 16 artiklassa. Artiklan 1 kohdan mukaan jokaisella on oikeus henkilötietojensa suojaan. Artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden silloin, kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Primaarioikeudessa säädetään myös siitä, että henkilötietojen suojaa koskevien sääntöjen noudattamista valvoo riippumaton viranomainen. Euroopan parlamentti ja neuvosto ovat antaneet yleisen tietosuoja-asetuksen SEUT 16 artiklan nojalla, samoin poliisi- ja rikosoikeudellisen yhteistyön alalla sovellettavan tietosuojadirektiivin ((EU) 2016/680, jäljempänä rikosasioiden tietosuojadirektiivi).
SEUT 16 artiklan mukaan sen nojalla annetut säännöt eivät vaikuta Euroopan unionista tehdyn sopimuksen (jäljempänä SEU) 39 artiklassa tarkoitettuihin erityisiin sääntöihin. SEU 39 artiklan mukaan neuvosto tekee päätöksen, jolla vahvistetaan SEUT 16 artiklan mukaisesti ja sen 2 kohdasta poiketen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat jäsenvaltioiden yhteistä ulko- ja turvallisuuspolitiikkaa toteuttaessaan suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Sääntöjen noudattamista valvoo riippumaton viranomainen. Neuvosto ei ole toistaiseksi vahvistanut yhteisen ulko- ja turvallisuuspolitiikan alalla sovellettavia sääntöjä.
Tietosuoja-asetus
Yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) on tullut voimaan 24.5.2016, ja sen soveltaminen alkaa 25.5.2018. Yleistä tietosuoja-asetusta sovelletaan kyseisestä päivämäärästä lähtien kaikissa EU:n jäsenmaissa. Tietosuoja-asetuksella kumotaan vuonna 1995 annettu henkilötietodirektiivi. Yleistä tietosuoja-asetusta sovelletaan lähtökohtaisesti kaikkeen henkilötietojen käsittelyyn. Sovellettavaksi voi lisäksi tulla ehdotettu tietosuojalaki tai kansallinen erityislainsäädäntö. Poliisin, syyttäjien, tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, rajavalvontaviranomaisen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja rikosasioissa sovelletaan kuitenkin yleislakina rikosasioiden tietosuojadirektiivin täytäntöönpanemiseksi ehdotettua lakia. Kyseistä lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.
Komission vuonna 2012 antama ehdotus tietosuojapaketiksi on suurin henkilötietojen suojaa koskevan lainsäädännön muutos Euroopassa yli 20 vuoteen. Euroopan komissio on pyrkinyt kyseisellä lainsäädäntöhankkeella yhdenmukaistamaan, vahvistamaan ja saattamaan ajan tasalle eurooppalaista henkilötietojen suojaa koskevaa lainsäädäntöä. Tämä näkyy muassa yksilön oikeuksien lujittamisena ja täytäntöönpanon valvonnan tehostamisena. Täytäntöönpanon valvontaa on tehostettu muun muassa valvontaviranomaisen toimivaltuuksia vahvistamalla ja erilaisilla institutionaalisilla järjestelyillä. Tietosuoja-asetuksen tavoitteena on myös vahvistaa sisämarkkinoita. Näitä tavoitteita kuvastavat muun muassa tietosuojakehyksen yhtenäisyyttä, kattavuutta ja ajanmukaisuutta vahvistavat toimet. Lisäksi komission kunnianhimoisena tavoitteena on ollut asettaa globaalit standardit henkilötietojen suojalle.
Tavoitetta yhtenäisen ja kattavan tietosuojakehyksen luomiseksi ja sisämarkkinoiden vahvistamiseksi kuvastaa tietosuojaviranomaisten yhteistyömekanismin luomisen ohella myös valitun lainsäädäntöinstrumentin luonne. Asetus tulee sellaisenaan voimaan kaikissa jäsenvaltioissa. Asetus poikkeaa lainsäädäntöinstrumenttina direktiivistä, joka edellyttää kansallista täytäntöönpanevaa lainsäädäntöä. Asetus ei lainsäädäntöinstrumenttina lähtökohtaisesti salli kansallista, edes asetuksen mukaista lainsäädäntöä. Yleisen tietosuoja-asetuksen mahdollistamaa kansallista liikkumavaraa tuleekin arvioida tästä lähtökohdasta käsin.
Oikeusperusta
Yleinen tietosuoja-asetus on annettu henkilötietojen suojaa koskevan SEUT 16 artiklan 1 kohdan nojalla. Lissabonin sopimuksen myötä unionin primäärilainsäädäntöön otettiin 16 artiklan 1 kohta, jonka mukaan jokaisella on oikeus henkilötietojensa suojaan. Henkilötietodirektiivi on puolestaan annettu sisämarkkinoiden toimivuutta koskevan Euroopan yhteisöjen perustamissopimuksen 100 a artiklan nojalla (myöhemmin EY:n perustamissopimuksen 95 artikla, nykyisin SEUT 114 artikla). Tämä muutos korostaa tavoitteen olevan henkilötietojen suojaaminen. Tästä huolimatta tietosuoja-asetuksen tavoite on myös varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Vapaan liikkuvuuden esteenä voidaan pitää esimerkiksi henkilötietojen käsittelylle asetettuja ylimääräisiä edellytyksiä.
Henkilötietojen suoja on vahvistunut unionin lainsäädäntökehikossa myös Euroopan unionin perusoikeuskirjan tullessa oikeudellisesti sitovaksi vuonna 2009. EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. Perusoikeuskirjan 8 artiklan mukaan jokaisella on oikeus henkilötietojensa suojaan. Tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sääntöjen noudattamista. Koska henkilötietojen suoja on perusoikeuskirjan 8 artiklassa tunnustettu perusoikeus, tulee henkilötietojen suojaa rajoitettaessa perusoikeuskirjan 52 artiklan 1 kohdan mukaisten edellytysten täyttyä.
Soveltamisala
Yleisen tietosuoja-asetuksen soveltamisala on laaja. Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista. Jos henkilötietoja käsitellään muussa kuin automaattisessa muodossa, ratkaisevaa asetuksen soveltamisen kannalta on se, muodostuuko tiedoista rekisteri, — tai onko niistä tarkoitus muodostaa rekisteri tai sen osa. Asetusta sovelletaan yksityisellä ja julkisella sektorilla. Lisäksi asetusta sovelletaan unionin ulkopuolelle sijoittautuneeseen rekisterinpitäjään, jos tavaroita tai palveluja tarjotaan suoraan rekisteröidyille unionissa. Sama koskee tilanteita, joissa kyse on rekisteröityjen käyttäytymisen seurannasta unionin alueella. Tällainen tilanne voi olla käsillä esimerkiksi profiloinnissa.
Asetuksen soveltamisalaa käsitellään tarkemmin luvuissa 2.3.2, 5.1 ja 7.1.
Henkilötietojen käsittelyä koskevat periaatteet
Yhteiskunnan kehityksestä ja digitalisaatiosta huolimatta henkilötietodirektiivissä säädetyt henkilötietojen käsittelyä koskevat yleiset periaatteet ovat yhä pätevät. Vastaavista henkilötietojen käsittelyä koskevista periaatteista säädetään myös yleisessä tietosuoja-asetuksessa.
Keskeisiä henkilötietojen käsittelyä koskevia periaatteita ovat käyttötarkoitussidonnaisuus; tietojen minimoinnin periaate; täsmällisyys, lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaate; säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus. Käyttötarkoitussidonnaisuudella tarkoitetaan sitä, että henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä henkilötietoja saa käsitellä myöhemmin näiden käyttötarkoitusten kanssa yhteensopimattomalla tavalla. Tietojen minimointia koskevan periaatteen mukaan kerättävien henkilötietojen tulee olla asianmukaisia, olennaisia ja tarpeellisia niiden käsittelytarkoituksen kannalta. Henkilötietoja ei siten voi kerätä esimerkiksi ainoastaan siltä varalta, että niiden käyttö voisi myöhemmin osoittautua hyödylliseksi. Tietojen täsmällisyyttä koskeva periaate tarkoittaa, että rekisterinpitäjän on huolehdittava tietojen täsmällisyydestä. Epätarkat ja virheelliset tiedot on oikaistava tai poistettava viipymättä.
Henkilötietojen käsittelyn lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskeva periaate puolestaan edellyttää, että henkilötietojen käsittely on lainmukaista ja rekisteröidyn kannalta läpinäkyvää. Henkilötietojen läpinäkyvällä käsittelyllä tarkoitetaan sitä, että rekisteröity saa tietoja itseään koskevasta henkilötietojen käsittelystä. Läpinäkyvyyden perustekijöihin kuuluvat vaatimukset, joiden mukaan tietojen on oltava helposti saatavilla ja ymmärrettäviä sekä selkeästi muotoiltuja.
Säilytyksen rajoittamista koskevan periaatteen mukaan henkilötietoja voi säilyttää sellaisessa muodossa, jossa rekisteröity on tunnistettavissa ainoastaan niin pitkään kuin se on tarpeellista käsittelytarkoituksen toteutumisen kannalta. Eheyttä ja luottamuksellisuutta koskeva periaate korostaa henkilötietojen käsittelyn turvallisuudesta huolehtimista.
Henkilötietodirektiivin ja henkilötietolakiin nähden uusi henkilötietojen käsittelyä koskeva periaate on osoitusvelvollisuus. Rekisterinpitäjän on kyettävä osoittamaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista. Osoitusvelvollisuudesta ei ole 5 artiklan 2 kohdan lisäksi erityisiä säännöksiä tietosuoja-asetuksessa, mutta se koskee kaikkea henkilötietojen käsittelyä.
Osoitusvelvollisuuden merkitys korostuu tietosuoja-asetuksessa omaksutussa nk. riskipohjaisessa lähestymistavassa. Yleinen tietosuoja-asetus ilmentää nykyistä henkilötietojen suojaa koskevaa lainsäädäntöä vahvemmin nk. riskipohjaista lähestymistapaa. Riskipohjaisen lähestymistavan keskeinen ajatus on, että rekisterinpitäjä ja henkilötietojen käsittelijä voi sovittaa toimenpiteet, joilla se suojaa henkilötietoja, käsittelyyn sisältyvän riskin mukaisiksi. Rekisterinpitäjän ja henkilötietojen käsittelijän on siten kyettävä osoittamaan, että valitut toimenpiteet henkilötietojen suojaamiseksi ovat olleet oikeasuhtaisia käsittelyyn liittyviin riskeihin nähden. Riskipohjainen lähestymistapa ei kuitenkaan koske rekisteröidyn oikeuksia. Rekisteröidyllä on samat oikeudet saada esimerkiksi tietää, mitä tarkoitusta varten henkilötietoja käsitellään, riippumatta siitä, millaisia riskejä kyseinen henkilötietojen käsittely sisältää.
Henkilötietojen käsittelyä koskevat periaatteet koskevat kaikkea henkilötietojen käsittelyä. Yleisen tietosuoja-asetuksen yksityiskohtaisemmat säännökset ilmentävät yleisten periaatteiden mukaisia tavoitteita. Esimerkiksi yleisen tietosuoja-asetuksen 15 artiklassa säädetty rekisteröidyn oikeus tutustua itsestään kerättyihin tietoihin ilmentää henkilötietojen käsittelyn läpinäkyvyyttä koskevaa periaatetta.
Henkilötietojen käsittelyn lainmukaisuus
Henkilötietojen käsittelylle tulee olla oikeudellinen perusta. Henkilötietojen käsittelyn oikeusperusteesta säädetään tietosuoja-asetuksen 6 artiklassa. Asetuksen 6 artikla on suoraan sovellettavaa lainsäädäntöä, lukuun ottamatta artiklan c ja e alakohtaa. Näiden alakohtien nojalla henkilötietojen käsittely on mahdollista rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Julkisen sektorin henkilötietojen käsittelyn tulisi lähtökohtaisesti perustua näihin käsittelyn oikeusperusteisiin.
Yleisessä tietosuoja-asetuksessa säädetään myös nykyistä tarkemmin suostumuksen edellytyksistä.
Käsiteltäessä erityisin henkilötietoryhmiin kuuluvia tietoja (ent. arkaluonteiset henkilötiedot), tulee lisäksi jonkin yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan luetelmakohdista täyttyä. Joissain tilanteissa erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on mahdollista suoraan jonkin tietosuoja-asetuksen 9 artiklan 2 kohdan luetelmakohdan nojalla. Näin on esimerkiksi silloin kun rekisteröity on antanut henkilötietojen käsittelyyn nimenomaisen suostumuksen. Joissain tilanteissa 9 artiklan 2 kohdan soveltuminen edellyttää, että käsittelystä on säädetty jäsenvaltion lainsäädännössä tai unionin oikeudessa. Tietosuojalaissa ehdotetaan säädettävän eräistä erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelytilanteista. Tietosuoja-asetuksen 9 artiklan 2 kohdan antaman kansallisen liikkumavaran puitteissa voidaan antaa myös erityislainsäädäntöä.
Rekisteröidyn oikeudet
Yksi tietosuoja-asetuksen tavoitteista on rekisteröidyn oikeuksien lujittaminen. Rekisteröidyllä on jo nykyisin henkilötietolain nojalla oikeus saada esimerkiksi tieto henkilötietojen käsittelyn tarkoituksesta, rekisterinpitäjästä ja siitä, mihin tietoja säännönmukaisesti luovutetaan. Rekisteröidyllä on myös esimerkiksi oikeus tarkastaa mitä tietoja hänestä on tallennettu, tai vastaavasti saada tietää, ettei hänestä ole tallennettu tietoja.
Rekisteröidyn oikeuksista säädetään yleisessä tietosuoja-asetuksessa kuitenkin nykyistä yksityiskohtaisemmin. Rekisteröidyn oikeuksia on myös kehitetty vastaamaan paremmin digitalisoituneen yhteiskunnan rakenteita. Tietosuoja-asetuksessa säädetään esimerkiksi joitain uusia oikeuksia rekisteröidylle, kuten rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen. Lisäksi tietosuoja-asetuksessa säädetään muun muassa siitä, että tiedot on toimitettava rekisteröidylle lähtökohtaisesti sähköisesti.
Osa rekisteröidyn oikeuksista on sidoksissa henkilötietojen käsittelyn oikeusperusteeseen. Esimerkiksi oikeus siirtää tiedot järjestelmästä toiseen koskee ainoastaan tilanteita, joissa henkilötietoja käsitellään suostumuksen tai sopimuksen perusteella. Vastaisuudessa rekisteröidyllä on eräissä tilanteissa myös oikeus vastustaa henkilötietojensa käsittelyä.
Toisin kuin tällä hetkellä, tietosuoja-asetuksessa on kiinnitetty erityistä huomiota lapsen asemaan. Tämä ilmenee muun muassa niin kutsutun tietoyhteiskunnan palvelua koskevan ikärajan kautta. Myös asetuksen johdanto-osassa korostetaan, että kohdennettaessa henkilötietojen käsittelyä lapseen, tulisi käsittelyä koskeva informaatio toimittaa niin yksinkertaisella kielellä, että lapsi kykenee sen ymmärtämään.
Rekisteröidyllä on oikeus saattaa asia valvontaviranomaisen käsiteltäväksi, mikäli katsoo, että häntä itseään koskevien henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta. Rekisteröidyllä on myös oikeus saada korvausta vahingosta, jos hänelle on aiheutunut vahinkoa asetuksen rikkomisesta. Rekisteröidyllä, samoin kuin rekisterinpitäjällä ja henkilötietojen käsittelijällä on myös oikeus valittaa valvontaviranomaisen tekemästä oikeudellisesti sitovasta päätöksestä. Suomessa tietosuojavaltuutetun päätöksestä valitetaan hallinto-oikeuteen.
Rekisterinpitäjän velvollisuudet
Yksi tietosuoja-asetuksen tavoitteista on tehdä henkilötietojen suojasta erottamaton osa organisatorisia menettelyitä ja teknistä kehitystä. Asetuksessa säädetään esimerkiksi sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Rekisterinpitäjän onkin jo henkilötietojen käsittelyä suunnitellessaan arvioitava teknisiä ja organisatorisia toimenpiteitä siten, että tietosuojaperiaatteet toteutuisivat tehokkaasti.
Rekisterinpitäjälle seuraa asetuksesta eräitä uusia velvoitteita. Uusia velvoitteita ovat muun muassa velvollisuus tehdä tietosuojaa koskeva vaikutustenarviointi ja sitä seuraava valvontaviranomaisen ennakkokuuleminen, velvollisuus nimetä tietosuojavastaava eräissä tapauksissa ja velvollisuus ilmoittaa tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidylle.
Riskipohjainen lähestymistapa ilmenee rekisterinpitäjän uusista velvoitteista. Esimerkiksi vaikutustenarviointi on tehtävä korkean riskin tilanteissa ja velvollisuus tietosuojavastaan nimeämiseen on yksityisen sektorin osalta rajattu tilanteisiin, joissa on kyse joko erityisiin henkilötietoryhmiin kuuluvien tietojen ja rikostuomioihin ja rikkomuksin liittyvien tietojen laajamittaisesta käsittelystä tai rekisterinpitäjän tai käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laajuutensa ja tarkoitustensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa.
Yleisestä tietosuoja-asetuksesta seuraa velvoitteita suoraan myös henkilötietojen käsittelijälle. Henkilötietojen käsittelijä käsittelee tietoja rekisterinpitäjän lukuun. Henkilötietojen käsittelijän on esimerkiksi laadittava tietosuoja-asetuksen 30 artiklan 2 kohdan mukainen seloste käsittelytoimista. Henkilötietojen käsittelijän on myös vastattava käsittelyn turvallisuudesta tietosuoja-asetuksen 32 artiklan mukaisesti. Asetuksessa säädetään myös yksityiskohtaisesti rekisterinpitäjän ja henkilötietojen käsittelijän välisestä sopimuksesta.
Valvontaviranomainen
Tietosuoja-asetuksessa säädetään valvontaviranomaisesta ja valvontaviranomaisen toimivaltuuksista. Yksi tietosuoja-asetuksen tavoitteista on ollut valvontaviranomaisen riippumattomuuden ja toimivaltuuksien vahvistaminen. Nykytilaan nähden merkittävin valvontaviranomaisen toimivaltuuksia koskeva muutos seuraa viranomaisen toimivaltuuksista määrätä hallinnollisia seuraamusmaksuja, jotka voivat kohota huomattavan korkeiksi.
Tietosuoja-asetuksella on luotu puitteet myös viranomaisten väliselle yhteistyölle. Viranomaiset voivat tehdä yhteistyötä niin kutsutun yhdenmukaisuusmekanismin puitteissa. Yhdenmukaisuusmekanismin tavoitteena on yhdenmukaistaa asetuksen tulkintakäytäntöä unionissa. Lisäksi tietosuoja-asetuksella on perustettu Euroopan tietosuojaneuvosto, jolla on toimivaltuudet antaa sitovia päätöksiä eräissä asioissa. Kansallisen valvontaviranomaisen on tällaisessa tilanteessa päätöstään tehdessään noudatettava Euroopan tietosuojaneuvoston päätöstä.
Vaikka tietosuoja-asetuksessa säädetään valvontaviranomaisen tehtävistä ja toimivaltuuksista, on jäsenvaltioiden säädettävä muun muassa valvontaviranomaisen perustamisesta ja valvontaviranomaisen pätevyydestä ja kelpoisuusvaatimuksista. Suuri osa ehdotetun tietosuojalain säännöksistä koskee valvontaviranomaista koskevaa sääntelyä.
Henkilötietojen siirrot kolmansiin maihin
Tietosuoja-asetuksessa säädetään myös henkilötietojen siirroista kolmansiin maihin. Kuten nykyisinkin, henkilötietoja voidaan siirtää kolmansiin maihin, jos komissio on tehnyt päätöksen tietosuojan riittävästä tasosta. Henkilötietoja on mahdollista siirtää kolmanteen maahan myös sellaiselle rekisterinpitäjälle tai käsittelijälle, joka huolehtii rekisteröidyn oikeuksista, eli on toteuttanut asianmukaiset suojatoimet. Lisäksi rekisteröidyillä on oltava käytössä täytäntöönpanokelpoisia oikeuksia ja tehokkaita oikeussuojakeinoja.
Rekisterinpitäjä voi huolehtia rekisteröidyn oikeuksista esimerkiksi ottamalla käyttöön yritystä koskevat sitovat säännöt, komission tai tietosuojaviranomaisen vakiolausekkeilla tai asetuksessa tarkoitetuilla käytännesäännöillä. Tietoja voidaan siirtää kolmansiin maihin myös erityistilanteita koskevissa poikkeustapauksissa, kuten jos siirto on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Kansallinen liikkumavara
Yleinen tietosuoja-asetus on huomattavasti yksityiskohtaisempi kuin henkilötietodirektiivi. Kuten edellä on käynyt ilmi, myös lainsäädäntöinstrumentin luonne on erilainen. Vaikka tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä, jättää asetus eräissä asioissa kansalliselle lainsäätäjälle direktiivinomaista liikkumavaraa. Kansallinen harkintamarginaali koskee erityisesti julkisen sektorin henkilötietojen käsittelyä. Tämä ilmenee esimerkiksi henkilötietojen käsittelyperusteen mahdollistamasta kansallisesta liikkumavarasta. Kansallista harkintamarginaali koskee joissain määrin myös yksityisen sektorin henkilötietojen käsittelyä.
Yleistä tietosuoja-asetusta on mahdollista täydentää ja sen soveltamista täsmentää kansallisella lainsäädännöllä siten kuin asetuksessa säädetään.
Tietosuoja-asetuksessa on myös eräitä velvoitteita jäsenvaltioille, kuten valvontaviranomaisen perustamisesta säätäminen. Jäsenvaltioiden on myös sovitettava yhteen sananvapauden suoja henkilötietojen suojan kanssa. Lisäksi tietosuoja-asetuksen 23 artiklassa annetaan jäsenvaltioille mahdollisuus rajoittaa rekisteröidyn oikeuksia tietyissä tilanteissa. Rekisteröidyn oikeuden rajoittaminen on mahdollista muun muassa mikäli se on välttämätöntä kansallisen turvallisuuden sitä edellyttäessä. Lisäksi kansallinen lainsäätäjä voi rajoittaa rekisteröidyn oikeuksia eräissä asetuksen IX luvussa säädetyissä erityistilanteissa, esimerkiksi käsiteltäessä henkilötietoja tieteellistä tutkimustarkoitusta varten.
Tietosuoja-asetuksen kansallista liikkumavaraa selostetaan jäljempänä tarkemmin yksityiskohtaisten perustelujen yhteydessä.
Eduskuntaa on informoitu yleisen tietosuoja-asetuksen valmistelusta U-kirjelmällä (U 21/2012 vp) ja siihen liittyvillä U-jatkokirjeillä (UJ 9/2013 vp, UJ 36/2014, UJ 3/2015, UJ 10/2015, UJ 22/2015 ja UJ 45/2015). Lisäksi eduskunnalle on toimitettu oikeus- ja sisäasioiden neuvoston valmistelun yhteydessä useita yleistä tietosuoja-asetusta koskevia perusmuistioita. Hallintovaliokunta on antanut useita lausuntoja tietosuoja-asetuksesta (HaVL 11/2012 vp, HaVL 6/2013 vp, HaVL 30/2014 vp, HaVL 22/2014 vp, HaVL 36/2014 vp, HaVL 2 /2015 vp, HaVL 10/2015 vp ja HaVL 25/2015 vp), myös perustuslakivaliokunta on antanut lausunnon tietosuoja-asetuksesta (PeVL 12/2012 vp).
2.2.3 OECD:n tietosuojasuositus
Taloudellisen kehityksen ja yhteistyön järjestö (OECD) hyväksyi vuonna 1980 yksityisyyden suojaa ja kansainvälistä henkilötietojen siirtoa koskevan suosituksen (Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of the Personal Data 23.8.1980). Suositus sisältää muun muassa henkilötietojen keräämistä ja laatua, rekisteröidyn tarkastusoikeutta, tietoturvaa ja kansainvälistä tiedonsiirtoa koskevia yleisperiaatteita, jotka valtioiden tulisi järjestää lainsäädännössään. OECD:n tietosuojasuositus valmisteltiin samanaikaisesti ja yhteistyössä tietosuojasopimusta valmistelleen komitean kanssa. Suositusta päivitettiin vuonna 2013 teknologian kehityksen ja henkilötietojen taloudellisen ja yhteiskunnallisen merkityksen huomattavan kehityksen johdosta.
2.3 Nykytilan arviointi
2.3.1 Yleistä
Henkilötietodirektiivin antamisesta on jo yli kaksi vuosikymmentä. Yhteiskunnassa on tänä aikana tapahtunut merkittäviä muutoksia erityisesti teknologian nopean kehityksen myötä. Digitalisaatio ja globalisaatio ovat tuoneet henkilötietojen suojelulle uusia haasteita. Henkilötietoja jaetaan ja kerätään nykyään merkittävästi enemmän kuin 1990-luvulla. Myös luonnolliset henkilöt saattavat yhä useammin henkilötietojaan yleisesti saataville esimerkiksi erilaisten sosiaalisen median palveluiden välityksellä. Tietojenkäsittelyn keinot ovat vuosien saatossa tehostuneet merkittävästi. Tämä on tehostanut henkilötietojen liikkuvuutta EU:n alueella, mutta herättänyt osaltaan myös perusteltuja huolia luonnollisten henkilöiden yksityisyyden ja henkilötietojen suojan kannalta.
Jäsenvaltiot ovat voineet panna henkilötietodirektiivin täytäntöön kansallisella lainsäädännöllään hyvin eri tavoin. Lainsäädännön soveltamisessa on myös esiintynyt eroja. Jäsenvaltioiden hajanaisten tietosuojalainsäädäntöjen on nähty muodostavan esteitä henkilötietojen vapaalle liikkuvuudelle sisämarkkinoilla. Eroavuudet jäsenvaltioiden lainsäädännössä voivat muodostua esteeksi EU:n taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Kuten yleisen tietosuoja-asetuksen johdanto-osan 9 kappaleessa todetaan, henkilötietodirektiivin tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä.
Yleisellä tietosuoja-asetuksella pyritään varmistamaan luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen EU:ssa. Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet EU:ssa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason henkilötietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Yleinen tietosuoja-asetus ei kuitenkaan kaikilta osin yhdenmukaista henkilötietojen suojaa koskevia sääntöjä EU:ssa, sillä esimerkiksi henkilötietojen käsittelyä lakisääteisen velvoitteen noudattamista tai yleisen edun vuoksi toteutettavan tehtävän tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten jäsenvaltioiden voivat pitää voimassa tai ottaa käyttöön kansallisia säännöksiä, joilla yleisen tietosuoja-asetuksen sääntöjen soveltamista täsmennetään ja täydennetään. Edelleenkin jäsenvaltioiden on yleisen tietosuoja-asetuksen sallimissa rajoissa mahdollista säilyttää ja säätää sektorikohtaisia lakeja aloilla, joilla tarvitaan yksityiskohtaisempia säännöksiä.
Yleisen tietosuoja-asetuksen tarkoitus on yhtäältä taata luonnollisten henkilöiden suojelu henkilötietojen käsittelyn yhteydessä ja toisaalta tukea vapauden, turvallisuuden ja oikeuden alueen ja talousunionin kehittämistä, taloudellista ja sosiaalista edistystä, talouksien lujittamista ja lähentämistä EU:n sisämarkkinoilla.
2.3.2 Lain tarkoitus ja soveltamisala
Kun henkilötietodirektiiviä pantiin täytäntöön henkilötietolailla, ei lain soveltamisalaa rajattu yhteisön oikeuden soveltamisalaan. Toisin kuin henkilötietodirektiivi, yleinen tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä. Tämän vuoksi yleistä tietosuoja-asetusta ei panna henkilötietodirektiivin lailla erikseen täytäntöön. Kysymystä soveltamisalasta ei näin ollen voida ratkaista vastaavalla tavalla kuin henkilötietodirektiivin täytäntöönpanossa.
Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Lisäksi soveltamisalan ulkopuolelle jää henkilötietojen käsittely, jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Yleinen tietosuoja-asetus tulee näin ollen sovellettavaksi kaikkeen henkilötietojen käsittelyyn, joka kuuluu unionin lainsäädännön alaan, mutta jää rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle. Yleistä tietosuoja-asetusta ei myöskään sovelleta unionin toimielinten henkilötietojen käsittelyyn. Lisäksi henkilötietojen käsittely niin kutsutun kotitalouspoikkeuksen nojalla jää asetuksen soveltamisalan ulkopuolelle.
EU:n toimivaltaa koskeva perusperiaate on annetun toimivallan periaate. Sen mukaan unioni toimii ainoastaan jäsenvaltioiden sille perussopimuksissa antaman toimivallan rajoissa ja perussopimuksissa asetettujen tavoitteiden saavuttamiseksi. EU:n toimivalta on rajoitettua toimivaltaa, jonka jäsenvaltiot ovat sille luovuttaneet. Yleistoimivalta kuuluu edelleen jäsenvaltioille. Tämä tehdään selväksi SEU 4 ja 5 artiklassa, joiden mukaan toimivalta, jota perustamissopimuksessa ei ole annettu unionille, kuuluu jäsenvaltioille. Jäsenvaltiot ovat siten siirtäneet osan toimivallastaan EU:lle hyväksyessään perussopimuksen määräykset. Eri politiikanalojen tavoite- ja oikeusperustamääräyksessä käy periaatteessa ilmi, mitä toimivaltaa EU:lle on siirretty ja missä laajuudessa. Aina ei oikeusperustamääräyksen nojalla kuitenkaan ole selvää, miten toimivalta EU:n ja sen jäsenvaltioiden välillä jakaantuu.
Yleistä tietosuoja-asetusta ei sovelleta esimerkiksi kansalliseen turvallisuuteen liittyvään henkilötietojen käsittelyyn. Kansallinen turvallisuus jää unionin oikeuden ja näin asetuksen soveltamisalan ulkopuolelle. Rajanveto unionin oikeuteen kuuluvien osa-alueiden osalta ei kuitenkaan ole selkeä. Jos voidaan osoittaa, että asialla on riittävä yhteys unionin lainsäädäntöön esimerkiksi implementoinnin tai poikkeamisen seurauksena, unionin lainsäädäntö tulee sovellettavaksi (Booker Aquacultural, C-20/00 ja C-64/00; ERT C-260/89).
Henkilötietojen käsittelyä koskevassa tapauksessa Lindqvist (C-101/01) kyse oli toimista, jotka liittyivät pääasiallisesti vapaaehtoistyöhön ja uskonnolliseen toimintaan, eivät taloudelliseen toimintaan. Vaikka henkilötietodirektiivi oli annettu sisämarkkinaoikeusperustalla, yhteisöjen tuomioistuin (nykyisin unionin tuomioistuin) katsoi kyseisen käsittelyn kuuluvan unionin lainsäädännön alaan ja kiinnitti perusteluissaan huomiota siihen, että päinvastaisella tulkinnalla saatettaisiin aiheuttaa se, että kyseisen direktiivin soveltamisalat kävisivät erityisen epävarmoiksi ja epäselviksi, mikä olisi ristiriidassa direktiivin oleellisen tavoitteen kanssa. Unionin tuomioistuin myös korosti, että ei olisi asianmukaista tulkita ilmaisua ”toiminta, joka ei kuulu yhteisön oikeuden soveltamisalaan”, siten, että tapauskohtaisesti olisi tarpeen selvittää, vaikuttaako kyseessä oleva toiminta suoraan vapaaseen liikkuvuuteen jäsenvaltioiden välillä.
Åkerberg Fransson -tapauksessa (C-617/10) unionin tuomioistuin puolestaan katsoi, että vaikka jäsenvaltion toiminta ei määräydy täysin unionin oikeuden perusteella, kansalliset viranomaiset ja tuomioistuimet saavat soveltaa perusoikeuksien suojaa koskevia kansallisia standardeja sillä edellytyksellä, ettei tämä soveltaminen vaaranna perusoikeuskirjassa vahvistettua suojan tasoa. Lisäksi tuomioistuin totesi, että unionin oikeuden luonteesta johtuvien vaatimusten kanssa ovat yhteensopimattomia kaikki sellaiset kansallisen oikeusjärjestyksen oikeussäännöt tai lainsäädännölliset, hallinnolliset taikka tuomioistuinten käytännöt, jotka heikentäisivät unionin oikeuden tehokkuutta.
Unionin tuomioistuin on myös katsonut, että tilanteessa, jossa direktiivi jätti jäsenvaltioille mahdollisuuden rajoittaa direktiivissä säädettyjä oikeuksia ja velvollisuuksia kansallisen turvallisuuden (valtion turvallisuuden) sekä puolustuksen, yleisen turvallisuuden tai rikosten ja sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan mukaisesti, tulivat rajoittamista koskevat kansalliset toimenpiteet direktiivin ja samalla myös unionin oikeuden soveltamisalaan (Tele2Sverige, AB C-203/15).
EU:n perusoikeuskirjan 51 artiklan 1 kohdan mukaan jäsenvaltioiden on noudatettava perusoikeuskirjan määräyksiä soveltaessaan unionin oikeutta. Unionin tuomioistuin on katsonut, että tämä edellytys voi täyttyä myös tilanteessa, jossa sovellettavaa kansallista lainsäädäntöä ei ole annettu EU:n direktiivin saattamiseksi osaksi kansallista oikeutta, vaan muunkinlainen liittymä EU-oikeuteen riittää (Åkerberg Fransson, C-617/10 ja Tele2 Sverige AB, C-203/15).
2.3.3 Käsittelyn oikeusperuste eräissä tapauksissa
Kansallisen harkintamarginaalin perusta on yleisen tietosuoja-asetuksen 6 artiklassa, jolla annetaan jäsenvaltioille mahdollisuus säätää kansallisesti henkilötietojen käsittelyn oikeusperusteesta. Henkilötietojen käsittelyn oikeusperusteesta voidaan säätää jäsenvaltion lainsäädännössä tilanteissa, joissa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan c ja e alakohta). Julkisen sektorin henkilötietojen käsittelyn tulisi lähtökohtaisesti perustua näihin henkilötietojen käsittelyn oikeusperusteisiin. Muilta osin henkilötietojen käsittelyn oikeusperusteesta ei voida antaa tarkempaa tai muutakaan kansallista sääntelyä, vaan käsiteltäessä henkilötietoja esimerkiksi suostumuksen tai rekisterinpitäjän oikeutetun edun perusteella (6 artiklan 1 kohdan a ja f alakohta), seuraa henkilötietojen käsittelyn oikeusperuste suoraan yleisestä tietosuoja-asetuksesta. Käsittelyn oikeusperusteista ei ole siten mahdollista säätää kansallisesti ehdotettua kattavammin siltä osin kuin oikeusperusteesta säädetään jo yleisessä tietosuoja-asetuksessa. Henkilötietojen käsittelyn oikeusperusteesta säädetään siten vastaisuudessa yleisessä tietosuoja-asetuksessa, tietosuojalaissa, kansallisessa erityislainsäädännössä sekä mahdollisessa unionin oikeudessa.
Tällä hetkellä henkilötietojen käsittelyn oikeusperusteesta säädetään henkilötietolain 8 §:ssä yksityiskohtaisemmin kuin yleisen tietosuoja-asetuksen 6 artiklassa. Henkilötietodirektiivin 7 artikla on pantu täytäntöön kansallisella lainsäädännöllä verrattain yksityiskohtaisesti. Yleisen tietosuoja-asetuksen täytäntöönpaneminen on mahdollista ainoastaan siltä osin kuin siihen on asetuksessa suora valtuutus. Näin ollen henkilötietojen käsittely rekisteröidyn suostumuksen, sopimuksen täytäntöönpanemiseksi, rekisteröidyn tai toisen elintärkeän edun suojaamiseksi ja rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi on mahdollista suoraan yleisen tietosuoja-asetuksen nojalla. Kansallinen yleistä tietosuoja-asetusta täydentävä lainsäädäntö on sitä vastoin tarpeellista henkilötietojen käsittelyn perustuessa rekisterinpitäjän lakisääteiseen velvoitteeseen tai silloin, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.
Henkilötietojen käsittelyn yleisiä edellytyksiä koskevaa henkilötietolain 8 §:ää laadittaessa on otettu huomioon, että käsittelystä voidaan erityislainsäädännöllä säätää henkilötietolaista poikkeavasti tai sitä täydentävästi. Ehdotetun tietosuojalain käsittelyn oikeusperustetta koskevien säännöksien lisäksi voidaan vastaisuudessakin säätää erityislainsäädännöllä yleistä tietosuoja-asetusta täydentävästi käsittelyn oikeusperusteesta. Sääntely on tällöin toteutettava yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan ja 2—4 kohdan asettamissa puitteissa.
Henkilötietojen käsittelyn yleiset edellytykset
Henkilötietolain 8 §:n 1 momentin 1 kohdan mukaan henkilötietojen käsittely on sallittua rekisteröidyn yksiselitteisesti antamalla suostumuksella. Tämä vastaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohtaa, jonka mukaan henkilötietojen käsittely on lainmukaista, jos rekisteröity on antanut siihen suostumuksensa. Yleisessä tietosuoja-asetuksessa on lisäksi täsmennetty, että suostumus voidaan antaa yhtä tai useampaa erityistä tarkoitusta varten. Suostumuksen määritelmää koskevan 4 artiklan 11 kohdassa suostumukselta edellytetään yksiselitteisyyttä. Lisäksi tietosuoja-asetuksen 7 artiklassa säädetään suostumuksen edellytyksistä. Nykyisin henkilötietolaissa ei ole vastaavia säännöksiä suostumuksen edellytyksistä.
Henkilötietolain 8 §:n 1 momentin 2 kohdan mukaan henkilötietoja voi käsitellä rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Henkilötietolain mukaan rekisteröidyn tulee olla osallisena sopimuksessa, yleisen tietosuoja-asetuksen mukaan rekisteröidyn on oltava sopimuksessa osapuolena. Henkilötietolain muotoilu on yhdenmukainen henkilötietodirektiivin suomenkielisen toisinnon kanssa. Yleisen tietosuoja-asetuksen englanninkielinen teksti on kuitenkin yhdenmukainen henkilötietodirektiivin kanssa, joten oikeustila ei tältä osin muuttuisi. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohta ei sisällä mainintaa ”rekisteröidyn toimeksiannosta”, muilta osin b alakohta vastaa henkilötietolain 8 §:n 1 momentin 2 kohtaa.
Henkilötietolain 8 §:n 1 momentin 3 kohdan mukaan henkilötietojen käsittely on sallittua, jos käsittely on yksittäistapauksessa tarpeen rekisteröidyn elintärkeän edun suojaamiseksi. Lainkohta ei ole siten tullut sovellettavaksi, jos henkilötietojen käsittely on ollut tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa. Tällaisissa tilanteissa henkilötietojen käsittelyyn on tarvittu henkilötietolain 43 §:n 1 momentissa tarkoitettu tietosuojalautakunnan lupa. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan d alakohta ei koske ainoastaan yksittäistapauksia, joten mahdollisuus käsitellä henkilötietoja kyseisen käsittelyperusteen nojalla laajenee. Lisäksi kyseinen alakohta mahdollistaa henkilötietojen käsittelyn rekisteröidyn elintärkeän edun suojaamisen ohella myös toisen luonnollisen henkilön elintärkeän edun suojaamiseksi. Vastaisuudessa käsittelyn oikeusperuste edellä mainittuihin tarkoituksiin seuraa suoraan yleisestä tietosuoja-asetuksesta. Näin ollen edellä mainitun kaltainen lupamenettely ei olisi vastaisuudessa tarpeellinen taikka edes mahdollinen.
Henkilötietolain 8 §:n 1 momentin 4 kohdan mukaan henkilötietoja saa käsitellä, jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetyistä tai sen nojalla määrätystä tehtävästä tai velvoitteesta. Laissa säädetyllä käsittelyllä tarkoitetaan kyseisessä lainkohdassa käsittelyä, josta säädetään muussa laissa. Henkilötietolain hallituksen esityksen perusteluissa todetaan, että henkilötietojen käsittely ei voi perustua kansalliseen asetukseen tai sellaisen nojalla määrättyyn tehtävään tai velvoitteeseen. Tämä johtuu perustuslain 8 §:n 1 momentista, jonka mukaan henkilötietojen suojasta säädetään tarkemmin nimenomaan lailla.
Lisäksi perusteluissa todetaan, että ehdotus vastaa henkilötietodirektiivin 7 artiklan c alakohtaa, jonka mukaan henkilötietojen käsittely on sallittua, jos se on tarpeen rekisterinpitäjälle lain mukaan kuuluvan velvoitteen täyttämiseksi (HE 96/1998 vp, s.39). Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittely on sallittua, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Tästä käsittelyn oikeusperusteesta on säädettävä jäsenvaltion lainsäädännössä tai unionin oikeudessa. Henkilötietoja ei voida siten käsitellä suoraan 6 artiklan 1 kohdan c alakohdan nojalla. Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 41 selvennetään, että aina kun yleisessä tietosuoja-asetuksessa viitataan käsittelyn oikeusperusteeseen tai lainsäädäntötoimeen, siinä ei välttämättä edellytetä parlamentissa hyväksyttyä säädöstä. Tämä ei kuitenkaan rajoita asianomaisen jäsenvaltion perustuslaillisen järjestyksen edellyttämien vaatimusten soveltamista.
Henkilötietolain 8 §:n 1 momentin 5 kohdan mukaan henkilötietojen käsittely on sallittua tapauksissa, joissa rekisteröidyllä on asiallinen yhteys rekisterinpitäjän toimintaan. Henkilötietojen käsittely on sallittua, jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan. Kyseinen lainkohta on katsottu mahdolliseksi henkilötietodirektiivin 7 artiklan f alakohdan nojalla. Kohta sallii henkilötietojen käsittelyn, jos se on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn suojaa tarvitsevat intressit ja perusoikeudet ja -vapaudet. Yleinen tietosuoja-asetus ei sisällä yhteysvaatimusta vastaavaa henkilötietojen käsittelyn oikeusperustetta. Henkilötietodirektiivin tavoin yleisen tietosuoja-asetuksen mukaan henkilötietoja voi kuitenkin käsitellä rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun toteuttamiseksi. Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 47 selvennetään, että tällainen oikeutettu etu voi olla olemassa esimerkiksi, kun rekisteröidyn ja rekisterinpitäjän välillä on merkityksellinen ja asianmukainen suhde, kuten että rekisteröity on rekisterinpitäjän asiakas tai tämän palveluksessa.
Henkilötietolain 8 §:n 6 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä. Hallituksen esityksessä 96/1998 henkilötietolaiksi tätä on perusteltu sillä, että vastaava säännös oli otettu henkilötietolakia edeltävään henkilörekisterilakiin, koska lain edellyttämä yhteysvaatimus ei välttämättä toteutunut konsernien ja muiden taloudellisten yhteenliittymien henkilöstö- ja asiakasrekistereissä ja koska ei katsottu tarkoituksenmukaiseksi säätää tällaisten henkilörekistereiden pitämistä luvanvaraiseksi.
Mainitussa hallituksen esityksessä todetaan myös, että monet suuret rekisterinpitäjät pitävät nykyisin yhteistä konsernirekisteriä. Rekisterin hajauttaminen kunkin oikeushenkilön yksin pidettäväksi merkitsisi rekisterinpitäjille suuria kustannuksia. Tämä lainkohta on katsottu mahdolliseksi rekisterinpitäjän oikeutettua etua koskevan henkilötietodirektiivin 7 artiklan f alakohdan nojalla. Hallituksen esityksen perusteluissa katsotaan, että yhteisen rekisterin pitäminen konsernin tai muun taloudellisen yhteenliittymän työntekijöistä ei voida katsoa vaarantavan rekisteröidyn yksityisyyden suojaa. Sama koskee yhteistä asiakasrekisteriä ja siihen sisältyvien tietojen käsittelyä yhteenliittymän sisällä edellyttäen, että käsittelyssä noudatetaan ehdotetun lain 2 lukuun sisältyviä muita henkilötietojen käsittelyä koskevia yleisiä periaatteita. Perusteluissa korostetaan, että asiakastietojen käsittelyssä on kiinnitettävä erityistä huomiota lakiehdotuksen 5 §:n huolellisuusvelvoitteeseen ja 7 §:ssä säädettyyn käyttötarkoitussidonnaisuuden periaatteeseen (HE 96/1998 vp, s. 39—40).
Yleiseen tietosuoja-asetukseen ei tältä osin sisälly yhtä tarkkarajaista käsittelyn oikeusperustetta. Henkilötietojen käsittelyn oikeusperuste konsernin sisäiseen käsittelyyn seuraa yleisen tietosuoja-asetuksen 6 artiklan f alakohdasta, jonka mukaan henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Yleisen tietosuoja-asetuksen johdanto-osan kappaleen 48 mukaan rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Uutta nykytilaan verrattuna on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukainen rekisterinpitäjän harkintaan jäävä punninta siitä, milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut.
Yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 48 myös todetaan, että tämä ei vaikuta yleisperiaatteisiin, joita sovelletaan henkilötietojen siirtoon konsernin sisällä kolmannessa maassa sijaitsevaan yritykseen. Tämä ei kuitenkaan muuta nykytilaa. Hallituksen esityksen perusteluissa on todettu, että konserninsisäistä tiedonsiirtoa koskeva säännös kattaisi kaikenlaisen kyseissä kohdassa tarkoitettujen tietojen käsittelyn yhteenliittymän sisällä, paitsi henkilötietojen siirtämisen EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle, jolloin tulisivat sovellettaviksi lakiehdotuksen 22 ja 23 §:n säännökset henkilötietojen siirrosta EU:n jäsenvaltioiden alueen tai ETA:n ulkopuolelle (HE 96/1998 vp, s. 40).
Henkilötietolain 8 §:n 1 momentin 7 kohdan mukaan henkilötietoja saa käsitellä, jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä, tai muita niihin verrattavia tehtäviä varten. Hallituksen esityksessä on todettu, että toimeksiannon saajalla ei olisi itsenäistä oikeutta käsitellä tietoja, vaan hänen oikeutensa perustuisi aina rekisterinpitäjällä olevaan oikeuteen. Toimeksiannon saajalla olisi oikeus käsitellä henkilötietoja toimeksiannosta ilman erityistä sääntelyäkin. Kohta on otettu henkilötietolakiin selvyyden vuoksi (HE 96/1998 vp, s. 39—40). Hallituksen esityksen perusteluissa ei selvennetä, mitä henkilötietodirektiivin 7 artiklan kohtaa kyseisellä lainkohdalla on pantu täytäntöön. Yleiseen tietosuoja-asetukseen ei sisälly vastaavaa henkilötietojen käsittelyn oikeusperustetta. Rekisterinpitäjän ja henkilötietojen käsittelijän välisestä suhteesta sitä vastoin säädetään yleisen tietosuoja-asetuksen 28 artiklassa.
Nykyisen henkilötietolain 8 §:n 1 momentin 8 kohdan nojalla saa käsitellä sellaisia henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavia tietoja, jotka ovat yleisesti saatavilla ja joita käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Yleinen tietosuoja-asetus ei sisällä vastaavaa käsittelyn oikeusperustetta. Vastaavasta perusteesta ehdotetaan kuitenkin säädettävän tietosuojalailla kansallisen liikkumavaran puitteissa.
Henkilötietolain 8 §:n 1 momentin 9 kohdan mukaan henkilötietojen käsittely on sallittua myös, jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan. Lupa on voitu myöntää, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa tai jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa on voitu myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi edellyttäen, ettei tietojen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia. Lupamenettelyllä on pantu täytäntöön henkilötietodirektiivin 7 artiklan d, e ja f alakohtaa. Nämä alakohdat vastaavat yleisen tietosuoja-asetuksen 6 artiklan d, e ja f alakohtaa. Näistä d alakohta, joka koskee rekisteröidyn tai luonnollisen henkilön elintärkeän edun suojaamista ja f alakohta, joka koskee rekisterinpitäjän oikeutettua etua, eivät jätä kansallista liikkumavaraa. Lupamenettely katsottiin henkilötietolakia säädettäessä tarpeelliseksi, jotta näiden edellytysten täyttyminen ei jäisi rekisterinpitäjän yksipuolisesti arvioitavaksi tapauksissa, joissa henkilötietodirektiivin 7 artiklan d—f alakohdan mukaisesta henkilötietojen käsittelystä ei ole erikseen säädetty. Vastaisuudessa oikeutetun edun olemassaolon samoin kuin elintärkeiden etujen suojaamisen edellytysten täyttyminen jää kuitenkin ensivaiheessa rekisterinpitäjän vastuulle. Jäsenvaltioilla ei ole kansallista liikkumavaraa ottaa käyttöön yksityiskohtaisempia säännöksiä yleisessä tietosuoja-asetuksessa vahvistettujen sääntöjen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään asetuksen 6 artiklan 1 kohdan d ja f alakohdan noudattamiseksi.
Yleisen tietosuoja-asetuksen käsittelyn lainmukaisuutta koskeva 6 artikla vastaa keskeisiltä osin henkilötietodirektiivin 7 artiklaa, jossa säädetään tietojen laillisuutta koskevista periaatteista. Toisin kuin nykyisin, käsittelyn oikeusperuste seuraa kuitenkin lähtökohtaisesti suoraan yleisestä tietosuoja-asetuksesta, mistä seuraa edellä kuvattuja muutoksia.
Erityisiä henkilötietoryhmiä koskeva käsittely
Käsiteltäessä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, tulee yleisen tietosuoja-asetuksen 6 artiklan mukaisen henkilötietojen käsittelyn oikeusperusteen lisäksi jonkin 9 artiklan 2 kohdan edellytyksistä täyttyä. Osa yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyistä edellytyksistä on suoraan sovellettavia, kun taas osa edellyttää kansallista lainsäädäntöä, jossa on säädetty asianmukaisista suojatoimista.
Tällä hetkellä henkilötietolain 11 §:ssä säädetään arkaluonteisten henkilötietojen käsittelykiellosta ja määritellään arkaluonteisina pidettävät tiedot. Henkilötietolain 11 §:n mukaan arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan 1) rotua tai etnistä alkuperää, 2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista, 3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta, 4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia, 5) henkilön seksuaalista suuntautumista tai käyttäytymistä tai 6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.
Henkilötietolain 11 §:n kaltaisesta arkaluonteisten henkilötietojen käsittelykiellosta säädetään yleisen tietosuoja-asetuksen 9 artiklassa, joka koskee erityisten henkilötietoryhmien käsittelyä. Vaikka yleisen tietosuoja-asetuksen erityisiin henkilötietoryhmiin kuuluvat tiedot pääasiassa vastaavatkin henkilötietolaissa tarkoitettuja arkaluonteisia henkilötietoja, on näiden tietojen välillä joitain eroja. Toisin kuin henkilötietolaissa yleisen tietosuoja-asetuksen mukaan geneettinen tai biometrinen tieto, jota käsitellään henkilön yksiselitteistä tunnistamista varten, katsotaan käsittelykiellon piiriin kuuluvaksi erityiseksi henkilötiedoksi. Sitä vastoin henkilön sosiaalihuollon tarve tai hänen saamat sosiaalihuollon palvelut, tukitoimet ja muut sosiaalihuollon etuudet eivät kuulu yleisen tietosuoja-asetuksen käsittelykiellon piiriin, kuten ne henkilötietolaissa tällä hetkellä kuuluvat. Tämä ei kuitenkaan muuta sitä, että julkisuuslain 24 §:n mukaan asiakirjat, jotka sisältävät tietoja sosiaalihuollon asiakkaasta sekä tämän saamasta etuudesta tai tukitoimesta taikka sosiaalihuollon palvelusta, ovat salassa pidettäviä asiakirjoja.
Tällä hetkellä poikkeuksista arkaluonteisten henkilötietojen käsittelykieltoon säädetään henkilötietolain 12 §:ssä. Henkilötietolain mukaan arkaluonteisia henkilötietoja saa käsitellä, jos rekisteröity on antanut siihen nimenomaisen suostumuksensa. Lisäksi niitä saa käsitellä, jos tieto koskee sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi tai jos tietojen käsittely on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeän edun suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan. Sallittua arkaluonteisten käsittely on myös, jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi taikka jos tietojen käsittelystä säädetään laissa tai se johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä.
Lisäksi henkilötietolain 12 §:n nojalla arkaluonteisia henkilötietoja saa käsitellä silloin, kun tietoja käsitellään historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Sallittua on myös uskonnollista, poliittista tai yhteiskunnallista vakaumusta koskevien tietojen käsittely tällaista vakaumusta edustavien yhdistysten ja muiden yhteisöjen toiminnassa, jos tiedot koskevat näiden yhdistysten tai yhteisöjen jäseniä taikka henkilöitä, joilla on niihin säännölliset, yhdistysten ja yhteisöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta. Sallittua on niin ikään ammattiliittoon kuulumista koskevien tietojen käsittely ammattiyhdistysten ja niiden muodostaman liiton toiminnassa, jos tiedot koskevat näiden järjestöjen jäseniä taikka henkilöitä, joilla on järjestöihin säännölliset, järjestöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta. Ammattiliittoon kuulumista koskevan tiedon käsittely on myös mahdollista, jos se on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla.
Henkilötietolain 11 §:n mukainen arkaluonteisten henkilötietojen käsittelykielto ei myöskään estä terveydenhuollon toimintayksikön tai terveydenhuollon ammattihenkilön näiden tässä toiminnassa saamien tietojen käsittelyä rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta tai häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja. Se ei myöskään estä vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista taikka sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi. Arkaluonteisten henkilötietojen käsittelykielto ei estä sosiaalihuollon viranomaista tai muuta sosiaalihuollon etuuksia myöntävää viranomaista, laitosta tai yksityisten sosiaalipalvelujen tuottajaa käsittelemästä kyseisen viranomaisen, laitoksen tai palvelujen tuottajan toiminnassaan saamia tietoja rekisteröidyn sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista tai hänelle myönnetyistä muista sosiaalihuollon etuuksista taikka muita rekisteröidyn huollon kannalta välttämättömiä tietoja. Lisäksi arkaluonteisia henkilötietoja voidaan käsitellä henkilötietolain 12 §:n 13 kohdan mukaan tietosuojalautakunnan myöntämän luvan nojalla.
Yleisen tietosuoja-asetuksen säännökset erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä noudattelevat rakenteellisesti arkaluonteisia henkilötietoja koskevia henkilötietolain säännöksiä. Ensin säädetään kyseisten henkilötietojen käsittelykiellosta, tämän jälkeen tilanteista, joissa kyseisiä tietoja saa käsitellä. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetään henkilötietojen käsittelytilanteista, joihin ei sovelleta saman artiklan 1 kohdan käsittelykieltoa. Tietosuoja-asetuksen 9 artiklan 2 kohdassa tarkoitetuissa tilanteissa voidaan siten käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja. Osa 9 artiklan 2 kohdassa luetelluista tilanteista on suoraan sovellettavissa, osa edellyttää, että käsittelystä säädetään jäsenvaltion lainsäädännössä, jossa säädetään myös asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien suojaamiseksi.
Erityisiin henkilötietoryhmiin kuuluvia tietoja voi yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan a alakohdan nojalla käsitellä, jos rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten. Tämä vastaa nykyisen henkilötietolain 12 §:n 1 kohtaa. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa kuitenkin tarkennetaan, että suostumus voidaan antaa yhtä tai useampaa tiettyä tarkoitusta varten. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan c kohdan mukaan erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voidaan käsitellä, jos käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi, jos rekisteröity on fyysisesti tai juridisesti estynyt antamasta suostumusta. Tämä puolestaan vastaa nykyisen henkilötietolain 12 §:n 3 kohtaa. Yleisessä tietosuoja-asetuksessa tarkennetaan, että toisen henkilön, jonka elintärkeän edun suojaamiseksi henkilötietoja voi käsitellä, on oltava luonnollinen henkilö. Lisäksi yleisessä tietosuoja-asetuksessa tarkennetaan, että rekisteröity on voinut estyä antamasta suostumusta joko fyysisestä tai juridisesta syystä.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan d alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on myös mahdollista, jos käsittely suoritetaan poliittisen, filosofisen, uskonnollisen tai ammattiliittotoimintaan liittyvän säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin, sillä edellytyksellä, että käsittely koskee ainoastaan näiden yhteisöjen jäseniä tai entisiä jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet, ja että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta. Tällä hetkellä henkilötietolain 12 §:n 7 ja 8 kohta sisältää vastaavan mahdollisuuden käsitellä arkaluonteisia henkilötietoja. Henkilötietolain 7 kohta kuitenkin sallii ainoastaan uskonnollista, poliittista tai yhteiskunnallista vakaumusta koskevan tiedon käsittelyn, vastaavasti 8 kohta sallii ainoastaan ammattiliittoon kuulumista koskevan tiedon käsittelyn. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan d alakohdassa ei rajata niitä erityisiin henkilötietoryhmiin kuuluvia tietoja, joita rekisterinpitäjä saa kyseisen kohdan nojalla käsitellä. Mahdollisuus käsitellä henkilötietoja rajataan sekä yleisessä tietosuoja-asetuksessa että henkilötietolaissa käsittelyyn, joka koskee kyseessä olevien yhteisöjen jäseniä tai henkilöitä, joilla on yhteisöihin säännölliset, yhteisöjen tarkoituksiin liittyvät yhteydet. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan d alakohdassa mainitaan lisäksi entiset jäsenet. Lisäksi sekä henkilötietolaissa ja yleisessä tietosuoja-asetuksessa edellytetään, että henkilötietoja ei luovuteta yhteisön ulkopuolelle ilman rekisteröidyn suostumusta. Yleisessä tietosuoja-asetuksessa tarkennetaan lisäksi, että käsittelyn on tapahduttava säätiön, yhdistyksen tai muun voittoa tavoittelemattoman yhteisön laillisen toiminnan yhteydessä ja asianmukaisin suojatoimin.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saa myös käsitellä, jos rekisteröity on nimenomaan saattanut ne julkisiksi. Tällä hetkellä henkilötietolain 12 §:n 2 kohdan mukaan sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskeva tiedon käsittely, jonka rekisteröity on itse saattanut julkiseksi, on sallittua. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan e alakohta siten laajentaa kyseistä mahdollisuutta myös muihin kuin yhteiskunnalliseen, poliittiseen tai uskonnolliseen vakaumukseen tai ammattiliittoon kuulumista koskevien erityisten henkilötietoryhmien käsittelyyn. Rekisteröidyn on kuitenkin tullut saattaa tieto nimenomaisesti julkiseksi. Henkilötietolaki ei sisällä vastaavaa edellytystä nimenomaisesta julkiseksi saattamisesta.
Lisäksi erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan f alakohdan mukaan mahdollista, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai aina, kun tuomioistuimet suorittavat lainkäyttötehtäviään. Henkilötietolaki sisältää vastaavan kohdan. Henkilötietolain 12 §:n 4 kohdassa ei kuitenkaan mainita erikseen tuomioistuimia näiden suorittaessa lainkäyttötehtäviään. Henkilötietolain mukaan arkaluonteisia henkilötietoja sitä vastoin on mahdollista käsitellä oikeusvaateen ratkaisemiseksi. Henkilötietolaki ei siten rajaa oikeusvaateen ratkaisemista tuomioistuimiin.
Edellä luetelluissa tilanteissa erityisiin henkilötietoryhmiin kuuluvia henkilötietoja on mahdollista käsitellä suoraan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan nojalla. Nykyisen henkilötietolain 12 §:ssä on säädetty vastaavista perusteista arkaluonteisten henkilötietojen käsittelylle. Tämän lisäksi henkilötietolain 12 §:ssä on lueteltu seitsemän muuta tilannetta, jossa arkaluonteisia henkilötietoja on mahdollista käsitellä. Käsittely näissä muissa henkilötietolain 12 §:ssä tarkoitetuissa tilanteissa ei ole mahdollista suoraan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan perusteella. Näistä muista henkilötietojen käsittelytilanteista on kuitenkin mahdollista säätää kansallisella lailla. Tämä on mahdollista yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan b, g—j alakohdan antaman kansallisen harkintamarginaalin puitteissa. Tämä ei kuitenkaan koske henkilötietolain 12 §:n 13 kohtaa, jonka mukaan arkaluonteisten henkilötietojen käsittely on mahdollista tietosuojalautakunnan luvalla.
2.3.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
Yleisen tietosuoja-asetuksen 8 artikla
Yleisen tietosuoja-asetuksen tietoyhteiskunnan palveluihin liittyvää lapsen suostumusta koskevassa 8 artiklan 1 kohdan mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Jäsenvaltiot voivat säätää tätä tarkoitusta koskevasta alemmasta iästä, ikäraja saa kuitenkin alimmillaan olla 13 vuotta.
Tietosuoja-asetuksen 8 artiklan 3 kohdassa tarkennetaan, että artiklan 1 kohta ei vaikuta jäsenvaltioiden yleiseen sopimusoikeuteen, kuten sääntöihin, jotka koskevat sopimuksen pätevyyttä, muodostamista tai vaikutuksia suhteessa lapseen.
Näin ollen mikäli kansallisessa lainsäädännössä ei säädetä muusta ikärajasta, tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle ilman tämän vanhempainvastuunkantajan suostumusta tai valtuutusta olisi Suomessa sallittua vain 16-vuotiaille ja sitä vanhemmille lapsille. Vanhempainvastuunkantajalla voidaan tarkoittaa lapsen vanhempia ja muita henkilöitä tai toimielimiä, joilla on oikeus huolehtia joistakin tai kaikista vanhemmille kuuluvista velvollisuuksista. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleessa 38 selvennetään, että vanhempainvastuunkantajan suostumus ei ole tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle.
Asetuksen 4 artiklan 25 kohdan mukaan tietoyhteiskunnan palveluilla tarkoitetaan asetuksessa palveluja, jotka määritellään Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/1535 1 artiklan 1 kohdan b alakohdassa. Direktiivin 2015/1535 määritelmän mukaan tietoyhteiskunnan palvelulla tarkoitetaan kaikkia etäpalveluina sähköisessä muodossa palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavia palveluita, joista tavallisesti maksetaan korvaus. Etäpalvelu tarkoittaa palvelua, joka toimitetaan siten että osapuolet eivät ole samanaikaisesti läsnä. Sähköisellä muodolla tarkoitetaan palvelua, joka lähetetään lähetyspaikasta ja vastaanotetaan määränpäässä tietoja elektronisesti käsittelevien laitteiden tai tietojen säilytyksen avulla ja joka lähetetään, siirretään ja vastaanotetaan kokonaan linjoja, radioyhteyttä, optisia tai muita elektromagneettisia välineitä käyttäen. Palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavalla palvelulla tarkoitetaan palvelua, joka toimitetaan henkilökohtaisen pyynnön perusteella tapahtuvana tiedonsiirtona.
Tietoyhteiskuntakaaren (917/2014) 3 §:n 29 kohdassa määritellään ”tietoyhteiskunnan palvelu” sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavaksi palveluksi. Lain esitöissä todetaan, että määritelmän tiivistämisestä huolimatta määritelmän asiasisältöä ei ole tarkoitus muuttaa sähkökauppalain (458/2002) mukaisesta määritelmästä. Sähkökauppadirektiivissä 2003/31/EY, johon kumottu sähkökauppalaki ja sittemmin tietoyhteiskuntakaareen sisällytetty sääntely perustuu, viitataan tietoyhteiskunnan palvelun määritelmän osalta direktiivin 98//34/EY, muutettuna direktiivillä 98//48/EY. Viimeksi mainittu direktiivi on kumottu ja korvattu direktiivillä EU 2015/1535, johon puolestaan viitataan yleisessä tietosuoja-asetuksessa tietoyhteiskunnan määritelmän osalta.
Tarve lasten erityiseen suojeluun korostuu 8 artiklan lisäksi useassa yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleessa. Esimerkiksi kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä (johdanto-osan perustelukappale 58). Lapseen ei myöskään saa kohdistaa profilointia, joka asetuksen mukaan tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi, erityisesti rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksen kohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen analysoimiseksi tai ennakoimiseksi, siltä osin kuin sillä on rekisteröityyn kohdistuvia oikeudellisia vaikutuksia tai se vaikuttaa häneen vastaavasti merkittävällä tavalla (johdanto-osan perustelukappale 71).
Muussa lainsäädännössä säädetty lapsen ikäraja
Hallintolain 14 §:n mukaan 15 vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta. Tietosuojavaltuutettu on tarkastusoikeutta koskevassa ohjeessaan edellä mainittuun hallintolain säännökseen viitaten katsonut, että viranomaistoiminnassa ainakin 15-vuotiaalla on tarkastusoikeus. Tietosuojavaltuutettu on ohjeessaan katsonut, että sosiaalihuollossa jo 12-vuotiaalla lapsella on tarkastusoikeus tietoihinsa.
Tietoyhteiskuntakaaren 162 §:ssä säädetään, että sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa ja tiedonsaantioikeutta koskevassa asiassa alle 15-vuotiasta edustaa hänen huoltajansa. Lisäksi lapsen edustamisesta säädetään lapsen huollosta ja tapaamisoikeudesta annetussa laissa. Muuta kuin alaikäistä vajaavaltaista edustaa hänen edunvalvojansa, jollei tämä ole palvelun teknisen toteutuksen takia mahdotonta. Edellä tarkoitetun vajaavaltaisen edustamisesta säädetään holhoustoimesta annetussa laissa.
Tarve vanhemman suostumukseen alaikäisen tehdessä ostoksia riippuu kuluttaja-asiamiehen linjauksen mukaan paitsi lapsen iästä myös ostoksen hinnasta ja laadusta. Myyjän vastuulla on ostajan iän ja vanhempien suostumuksen varmistaminen. Jos lapsi on ostanut tuotteen ilman vanhemman suostumusta tai velaksi, vanhempi voi vaatia myyjältä kaupan purkamista. Alle 18-vuotias voi tehdä ilman vanhemman tai huoltajan suostumusta vain tavanomaisia ja merkitykseltään vähäisiä ostoksia, joita ovat esimerkiksi taskurahoilla hankitut, kohtuullisen hintaiset, samanikäisten yleisesti ostamat tuotteet. Omia ansioitaan, kuten kesätyörahoja, 15 vuotta täyttänyt voi puolestaan käyttää merkittävämpiinkin ostoksiin.
2.3.5 Valvontaviranomaiset
Valvontaviranomaisen riippumatonta asemaa, toimivaltaa, tehtäviä, valtuuksia, yhteistyötä ja yhdenmukaisuutta koskevat säännökset sisältyvät yleisen tietosuoja-asetuksen VI—VII lukuun. Yleinen tietosuoja-asetuksen mukaan jäsenvaltioiden on säädettävä valvontaviranomaisen perustamisesta ja eräistä muista valvontaviranomaista koskevista asioista, kuten pätevyydestä ja kelpoisuusehdoista. Yleinen tietosuoja-asetus ei sisällä säännöksiä valvontaviranomaisen organisaatiorakenteesta tai valvontaviranomaisten lukumäärästä, vaan tämä on jäsenvaltioiden päätettävissä.
Yleisen tietosuoja-asetuksen 51 artiklasta seuraa, että valvontaviranomainen on vastuussa asetuksen soveltamisen valvonnasta luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojaamiseksi henkilötietojen käsittelyssä ja henkilötietojen vapaan liikkuvuuden helpottamiseksi unionissa. Jäsenvaltioiden valvontaviranomaisten on myötävaikutettava asetuksen yhdenmukaiseen soveltamiseen kaikkialla unionissa. Tätä varten valvontaviranomaisten on tehtävä yhteistyötä keskenään ja komission kanssa asetuksessa säädetyllä tavalla. Yleisen tietosuoja-asetuksen johdonmukaisen soveltamisen edistämiseksi asetuksessa säädetään Euroopan tietosuojaneuvoston perustamisesta, joka on riippumattomaton unionin elin, jolla on oikeushenkilöllisyys.
Valvontaviranomaisella on oltava valtuudet hoitaa tehtävänsä ja käyttää toimivaltaansa täysin riippumattomasti. Valvontaviranomaisten täysi riippumattomuus on keskeinen henkilötietojen suojaa valvoville viranomaisille asetettu edellytys niin henkilötietodirektiivissä kuin yleisessä tietosuoja-asetuksessa. Yleisen tietosuoja-asetuksen 54 artiklan mukaan valvontaviranomaisen on toimittava täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan. Vaatimus henkilötietojen suojaa valvovan viranomaisen riippumattomuudesta sisältyy myös EU:n perusoikeuskirjan 8 artiklan 3 kohtaan sekä SEUT 16 artiklan 2 kohtaan.
Unionin tuomioistuin on ratkaisukäytännössään arvioinut henkilötietojen suojaa koskevan valvontaviranomaisen riippumattomuuden toteutumista. Tuomioistuin on pitänyt riippumattomuudesta varmistumisen kannalta keskeisenä, että ulkopuoliset eivät voi vaikuttaa valvontaviranomaisen päätöksiin suoraan taikka välillisesti. Sitä vastoin tuomioistuin ei ole pitänyt riittävänä, että valvontaviranomaisen jäsenet ovat toiminnassaan riippumattomia. Valvonnan on oltava objektiivista, tehokasta ja luotettavaa, jotta voidaan vahvistaa valvontaviranomaisen päätöksen kohteen oikeussuojaa (C-518/07, C-614/10 ja C-288/12).
Valvontaviranomaista koskevien kansallisten säännösten kannalta yleisen tietosuoja-asetuksen 54 artikla on keskeinen. Artiklassa velvoitetaan jäsenvaltiot säätämään valvontaviranomaisen perustamista koskevista säännöistä. Kunkin jäsenvaltion on säädettävä valvontaviranomaisen perustamisesta sekä pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettävältä edellytetään. Lisäksi jäsenvaltioiden tulee säätää valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä tai menettelyistä sekä kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta. Ensimmäiselle toimikaudelle yleisen tietosuoja-asetuksen voimaantulon jälkeen osa jäsenistä voidaan nimittää tehtävään lyhyemmäksi ajaksi, jos tämä on tarpeen valvontaviranomaisen riippumattomuuden suojaamiseksi porrastetun nimittämismenettelyn avulla.
Jäsenvaltioiden tulee yleisen tietosuoja-asetuksen 54 artiklan mukaan säätää myös siitä, voidaanko valvontaviranomaisen jäsen tai jäsenet nimittää uudelleen ja, jos kyllä, kuinka moneksi toimikaudeksi. Jäsenvaltion lainsäädännössä tulee lisäksi säätää valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä, yhteensopimatonta toimintaa ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen sekä tehtävien päättymistä koskevista säännöistä.
Yleisessä tietosuoja-asetuksessa säädetään jäsenvaltioiden valvontaviranomaisten tehtävistä ja toimivallasta. Valvontaviranomaisen tehtävät ja toimivaltuudet ovat jäsenvaltiossa suoraan sovellettavaa oikeutta. Valvontaviranomaisen toimivalta perustuu pääosin yleisen tietosuoja-asetuksen 58 artiklaan. Yleisen tietosuoja-asetuksen 58 artikla ei kuitenkaan estä jäsenvaltioita säätämästä valvontaviranomaiselle muita kuin 58 artiklan 1—3 kohdan mukaisia valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata asetuksen VII luvun tehokasta toimivuutta. Lisäksi jäsenvaltioiden lainsäädännössä voidaan edellyttää, että valvontaviranomainen hyväksyy asetuksen 36 artiklan 5 kohdassa tarkoitetun käsittelyn.
Valvontaviranomaisen tehtävistä säädetään yksityiskohtaisesti yleisen tietosuoja-asetuksen 57 artiklassa.
2.3.6 Oikeusturva ja seuraamukset
Oikeusturva
Yleisessä tietosuoja-asetuksessa edellytetään, että seuraamusten, kuten hallinnollisten seuraamusmaksujen, määräämiseen sovelletaan riittäviä menettelytakeita unionin lainsäädännön ja perusoikeuskirjan yleisten periaatteiden mukaisesti. Näihin periaatteisiin sisältyy vaatimus tehokkaista oikeussuojakeinoista ja asianmukaisista menettelyistä. Yleisen tietosuoja-asetuksen johdanto-osan 149 kappaleen mukaan jäsenvaltiot voivat vahvistaa asetuksen rikkomiseen sekä asetuksen mukaisesti ja siinä asetetuissa rajoissa annettujen kansallisten sääntöjen rikkomiseen sovellettavia rikosoikeudellisia seuraamuksia koskevat säännöt. Nämä rikosoikeudelliset seuraamukset voisivat mahdollistaa myös yleisen tietosuoja-asetuksen rikkomisella saadun hyödyn menettämisen. Tällaisten kansallisten sääntöjen rikkomiseen sovellettavien rikosoikeudellisten ja hallinnollisten seuraamusten määräämisen ei kuitenkaan tulisi johtaa ne bis in idem -periaatteen rikkomiseen.
Kaksoisrangaistavuutta koskevan kiellon voidaan katsoa sisältyvän perustuslain 21 §:n 2 momentissa turvattuun oikeudenmukaisen oikeudenkäynnin takeisiin (HE 309/1993 vp, s. 74/II; PeVL 9/2012 vp, s. 3 ja PeVL 17/2013 vp, s. 3). Kahdesti rankaiseminen samasta teosta kielletään myös Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjassa. Lisäpöytäkirjan 4 artiklan mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti. Samankaltainen kielto sisältyy myös kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 7-8/1976) 14 artiklan 7 kohtaan sekä EU:n perusoikeuskirjan 50 artiklaan.
Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä ne bis in idem -kiellon soveltamisala ei rajoitu rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös rangaistusluonteisiin hallinnollisiin seuraamuksiin. Esimerkiksi veronkorotus ja tullinkorotus voivat olla tällaisia rangaistusluonteisia hallinnollisia seuraamuksia. Niin ikään yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettuja hallinnollisia seuraamusmaksuja olisi pidettävä tällaisina rangaistusluonteisina hallinnollisina seuraamuksina. Hallinnollisten seuraamusmaksujen osalta on lisäksi huomattava, etteivät ne saa menettelynsä puolesta muodostua perustuslain 21 §:ssä tarkoitetun syyttömyysolettaman vastaisiksi.
Hallinnolliset seuraamusmaksut voivat joissakin tapauksissa sisältyä Euroopan ihmisoikeussopimuksen 6 artiklassa tarkoitetun rikossyytteen käsitteeseen ja sopimuksen 7. lisäpöytäkirjan 4 artiklan kaksinkertaisen syyttämisen ja rankaisemisen kiellon piiriin. Tällöin on otettava huomioon rikossyytteen käsittelyä koskevat sopimuksen 6 artiklan vaatimukset. Hallinnollisen seuraamusmaksun määräämistä koskevaan päätökseen on myös voitava hakea muutosta kansallisten menettelysääntöjen mukaisesti.
Perustuslakivaliokunta on vakiintuneesti katsonut, että lainvastaisesta teosta määrättävä maksu ei ole perustuslain 81 §:n mukainen vero tai maksu, vaan rangaistusluonteinen taloudellinen seuraamus. Valiokunta onkin rinnastanut tällaiset seuraamukset rikosoikeudellisiin seuraamuksiin (PeVL 31/2014 vp, PeVL 28/2014 vp, PeVL 14/2013 vp, PeVL 9/2012 vp ja PeVL 55/2005 vp).
Seuraamukset
Yleisen tietosuoja-asetuksen johdanto-osan 11 kappaleessa todetaan, että henkilötietojen suojaaminen tehokkaasti koko EU:n alueella edellyttää samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa. Yleisen tietosuoja-asetuksen VIII luvussa säädetään oikeussuojakeinoista, vastuusta ja seuraamuksista.
Yleisen tietosuoja-asetuksen seuraamusjärjestelmä nojautuu voimakkaasti hallinnollisiin seuraamuksiin. Tämä on merkittävä muutos nykytilaan verrattuna, sillä kansallisella tietosuojaviranomaisella ei ole ollut henkilötietolain nojalla mahdollista määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle hallinnollisia seuraamusmaksuja. Sen sijaan tietosuojaa koskeva seuraamusjärjestelmä on painottunut vahvasti rikosoikeudelliseen järjestelmään.
Yleisen tietosuoja-asetuksen 83 artikla sisältää hallinnollisten seuraamusmaksujen määräämisen yleiset edellytykset. Hallinnollinen seuraamusmaksu määrätään tietosuoja-asetuksen 83 artiklan 2 kohdan mukaisesti kunkin yksittäisen tapauksen olosuhteiden perusteella asetuksen 58 artiklan 2 kohdan a—h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Kun päätetään hallinnollisen seuraamusmaksun määräämisestä ja seuraamusmaksun määrästä, kussakin yksittäisessä tapauksessa on otettava asianmukaisesti huomioon 83 artiklan 2 kohdassa luetellut seikat.
Yleisen tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan asetuksen eräiden säännösten rikkomisesta määrätään hallinnollinen seuraamusmaksu, joka on suuruudeltaan enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tällainen seuraamusmaksu määrätään rekisterinpitäjän ja henkilötietojen käsittelijän 8, 11, 25—39 ja 42 ja 43 artiklan mukaisten velvollisuuksien rikkomisesta, sertifiointielimen 42 ja 43 artiklan mukaisten velvollisuuksien rikkomisesta sekä 41 artiklan 4 kohdassa tarkoitettuun valvontaelimen velvollisuuksien rikkomisesta.
Yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan asetuksen eräiden muiden säännösten rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Tällainen korkeampi seuraamusmaksu voidaan määrätä yleisen tietosuoja-asetuksen 5, 6, 7 ja 9 artiklassa tarkoitettujen käsittelyn perusperiaatteiden rikkomisesta, suostumuksen edellytykset mukaan luettuna, sekä rekisteröityjen 12—22 artiklan mukaisten oikeuksien rikkomisesta. Niin ikään tällainen seuraamusmaksu voidaan määrätä asetuksen 44—49 artiklan sekä asetuksen IX luvun mukaisesti hyväksytystä jäsenvaltion lainsäädännöstä johtuvien velvollisuuksien rikkomisesta. Seuraamusmaksu voidaan määrätä lisäksi valvontaviranomaisen 58 artiklan 2 kohdan nojalla antaman määräyksen tai väliaikaisen tai lopullisen rajoituksen tai tietovirtojen keskeyttämismääräyksen noudattamatta jättämisestä tai 58 artiklan 1 kohdan mukaista pääsyn antamista koskevan velvollisuuden rikkomisesta.
Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaisesti jäsenvaltiot voivat asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kansallisesti hallinnollisia seuraamusmaksuja ja missä määrin.
2.3.7 Sananvapaus
Yleistä tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn journalistisia sekä akateemisen, kirjallisen ja taiteellisen ilmaisun tarkoituksia varten. Yleisen tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen. Siten jäsenvaltioiden on säädettävä eräitä vapautuksia ja poikkeuksia yleisen tietosuoja-asetuksen säännöksiin henkilötietoja käsittelyä journalistisia tarkoituksia taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Yleisen tietosuoja-asetuksen johdanto-osan 153 perustelukappaleessa täsmennetään, että poikkeuksia olisi sovellettava erityisesti audiovisuaalisella alalla sekä uutis- ja lehtiarkistoissa tapahtuvaan henkilötietojen käsittelyyn.
Kansallisesti säädettävät vapautukset tai poikkeukset voivat koskea II lukua (periaatteet), III lukua (rekisteröidyn oikeudet), IV lukua (rekisterinpitäjä ja henkilötietojen käsittelijä), V lukua (henkilötietojen siirto kolmansiin maihin tai kansainvälisille järjestöille), VI lukua (riippumattomat valvontaviranomaiset), VII lukua (yhteistyö ja yhdenmukaisuus) ja IX lukua (tietojenkäsittelyyn liittyvät erityistilanteet). Poikkeusten ja vapautusten säätäminen on mahdollista, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa. Unionin tuomioistuin on todennut asiassa Satakunnan Markkinapörssi Oy ja Satamedia Oy, C-73/07, että kahden perusoikeuden välisen harmonisen tasapainon löytämiseksi yksityisyyttä koskevan perusoikeuden suoja edellyttää, että tietojen suojaamisen osalta säädetyt poikkeukset ja rajoitukset toteutetaan täysin välttämättömän rajoissa.
Euroopan unionin tuomioistuin on ratkaisun Lindqvist, C-101/01 yhteydessä todennut, että henkilötietodirektiivin säännökset eivät sellaisenaan sisällä sananvapautta koskevan yleisen periaatteen tai muiden, erityisesti Euroopan ihmisoikeussopimuksen 10 artiklaa vastaavien Euroopan unionissa voimassa olevien oikeuksien ja vapauksien vastaisia rajoituksia. Direktiivin täytäntöönpanevan kansallisen sääntelyn soveltamisesta vastaavien kansallisten viranomaisten ja tuomioistuinten tehtävänä on taata kyseessä olevien oikeuksien ja intressien välinen asianmukainen tasapaino. Euroopan ihmisoikeustuomioistuin on asiassa Delfi AS vrs.Viro, 64669/09 todennut, että Euroopan ihmisoikeussopimuksen 8 artikla ja 10 artikla ovat periaatteessa samanarvoisia ja molempiin artikloihin on sovellettava samanlaista harkintavaltaa. Valtioilla on yleensä laaja harkintavalta, kun kilpailevien oikeuksien välillä on löydettävä tasapaino.
Yleisen tietosuoja-asetuksen lähestymistapa vastaa henkilötietodirektiivin lähestymistapaa, sillä yleisessä tietosuoja-asetuksessa ei määritetä, mitkä poikkeukset ovat tarpeellisia sananvapauden ilmaisun sekä tiedonvälityksen vapauden ja henkilötietojen suojan yhteensovittamiseksi. Tämä on jätetty kansallisen lainsäätäjän ratkaistavaksi. Jäsenvaltiot eivät kuitenkaan voi säätää poikkeuksia tai vapautuksia yleisen tietosuoja-asetuksen I lukuun (yleiset säännökset), VII lukuun (oikeussuojakeinot, vastuu ja seuraamukset), X lukuun (delegoidut säännökset) tai XI lukuun (loppusäännökset).
Henkilötietojen käsittelyn luonne on muuttunut merkittävästi henkilötietolain säätämisen jälkeen. Tämä koskee myös henkilötietojen käsittelyä journalistisia tarkoituksia sekä akateemisen, kirjallisen ja taiteellisen ilmaisun tarkoituksia varten. Myös sananvapauden ilmaisun keinot ovat muuttuneet merkittävästi digitalisoitumisen, teknologian kehityksen, verkkojulkaisujen ja sosiaalisen median myötä.
Journalismi on digitaalisessa ympäristössä muuttunut aiempaa vuorovaikutteisemmaksi. Teknologian kehitys on mahdollistanut jokaisen osallistumisen joukkoviestintään verkon välityksellä ja viestin vastaanottajan roolista on tullut aiempaa aktiivisempi. Yleistä tietosuoja-asetusta ei sen johdanto-osan perustelukappaleen 18 mukaisesti sovelleta luonnollisen henkilön suorittamaan henkilötietojen käsittelyyn toiminnassa, joka on yksinomaan henkilökohtaista tai kotitaloutta koskevaa toimintaa ja joka näin ollen ei ole sidoksissa mihinkään ammatilliseen ja kaupalliseen toimintaan. Henkilökohtaista tai kotitaloutta koskevaa toimintaa voi olla esimerkiksi sosiaalinen verkostoituminen ja verkkotoiminta, jota harjoitetaan tällaisen henkilökohtaisen tai kotitaloutta koskevan toiminnan yhteydessä.
Henkilötietolaissa omaksuttu henkilötietojen suojan ja sananvapauden ilmaisun yhteensovittaminen on toiminut viimeisen kahdenkymmenen vuoden ajan verrattain hyvin. Tämä johtunee osaltaan myös kansallisesta kattavasta ja toimivasta joukkoviestinnän itsesääntelyjärjestelmästä, jossa journalistinen toiminta on sitoutettu ammattieettiseen säännöstöön, Journalistin ohjeisiin. Ohjeiden noudattamista valvoo Julkisen sanan neuvosto. Rikoslain ja sananvapauslain säännökset turvaavat viime kädessä myös luonnollisten henkilöiden henkilötietojen suojaa julkaisutilanteissa.
Tietosuojavaltuutetun toimistossa on vuosien 2008—2017 aikana ollut vireillä noin 200 asiaa, jotka ovat koskeneet sananvapauden ilmaisun ja henkilötietojen suojan yhteensovittamista. Viime vuosina merkittävä osa kansalaisten tekemistä kanteluista edellä mainituissa asioissa on liittynyt henkilötietojen julkaisemiseen verkossa ja erilaisissa joukkoviestintävälineissä. Osa käsiteltävistä asioista on tullut vireille, koska tietosuojavaltuutettu on katsonut, ettei kyseinen henkilötietojen käsittely kuulu henkilötietolain 2 §:n 5 momentin soveltamisalarajauksen piiriin. Tästä esimerkkinä verotustietojen julkaisemiseen liittyvä niin kutsuttu Veropörssi-asia (KHO 2009:82), josta korkein hallinto-oikeus pyysi vuonna 2007 ennakkoratkaisua unionin tuomioistuimelta.
Korkein hallinto-oikeus totesi unionin tuomioistuimen antaman ennakkoratkaisun C-73/07 –perusteella antamassaan ratkaisussa KHO 2009:82 sananvapauden ja henkilötietojen yhteensovittamisen osalta, että henkilötietolain 2 §:n 5 momentin soveltamisalan rajauksen arvioinnin lähtökohtana on se, onko kyseisen toiminnan tarkoituksena tietojen, mielipiteiden ja ajatusten ilmaiseminen yleisölle. Arvioinnissa on otettava huomioon se, missä määrin toiminnan voidaan katsoa edistävän yhteiskunnallisesti kiinnostavaa keskustelua pikemmin kuin pyrkiä yhteiskunnallisesta keskustelusta irrallaan tyydyttämään yksittäisten henkilöiden uteliaisuutta.
Ratkaisun mukaan henkilötietojen käsittelynä toimituksellista tarkoitusta varten ei kuitenkaan voida pitää tietojen sellaista käsittelyä, jossa toimituksellisessa tarkoituksessa muodostettu henkilörekisteri laajamittaisesti, lähes kokonaisuudessaan ja lähes sellaisenaan, vaikkakin eri osissa ja kunnittain, julkaistaan erillisinä luetteloina. Koska rekisteröityjen tietojen julkaiseminen tässä laajuudessa rinnastui koko asianomaisen yhtiön toimituksellisessa tarkoituksessa keräämän niin sanotun taustarekisterin julkaisemiseen, kysymys ei ollut pelkästään tietojen, mielipiteiden tai ajatusten ilmaisemisesta. Demokraattisessa yhteiskunnassa välttämätön, avoin ja yhteiskunnallisesti kiinnostava keskustelu taikka yhteiskunnallisen vallankäytön kontrolli ja arvostelun vapaus eivät edellytä yksittäisiä henkilöitä ratkaisusta ilmenevin tavoin yksilöityjen henkilötietojen julkaisemista siinä laajuudessa. Euroopan ihmisoikeustuomioistuimen suuri jaosto antoi asiassa ratkaisunsa 27.6.2017.
Unionin tuomioistuin katsoi asiassa Google Spain, C-131/12, ettei hakukoneen ylläpito ole journalistiseen tarkoitukseen tapahtuvaa henkilötietojen käsittelyä. Verkkosivuston julkaisijan toiminta voi olla journalistisessa tarkoituksessa tapahtuvaa, sitä vastoin hakukoneen tulokset eivät. Sananvapauden ilmaisua koskevien poikkeuksien soveltamisalan ulottuvuuden kannalta tuomioistuimen ratkaisulla on merkitystä, mutta tuomioistuin ei punninnut ratkaisussaan oikeutta henkilötietojen suojaan suhteessa sananvapauteen, vaan rekisteröidyn oikeuksia suhteessa rekisterinpitäjän ja sivullisen oikeutettuihin etuihin.
Esityksen valmistelun yhteydessä saadun palautteen perusteella nykylainsäädännön soveltamisessa ei ole ilmennyt ongelmia. Yleisen tietosuoja-asetuksen täytäntöönpanon yhteydessä tulisi siten pyrkiä säilyttämään nykytilaa vastaava tila, jossa henkilötietojen käsittelyyn journalistisia tarkoituksia ja taiteellisen ja kirjallisen sekä vastaisuudessa myös akateemisen ilmaisun tarkoituksia varten sovelletaan säännöksiä, jotka koskevat lähinnä henkilötietojen suojaamisvelvoitetta ja vastaavasti tietosuojaviranomaisen näitä velvoitteita koskevia valtuuksia.
2.3.8 Tieteellinen ja historiallinen tutkimus
Yleinen tietosuoja-asetus sisältää lukuisia kohtia, joissa nimenomaisesti viitataan tieteelliseen ja historialliseen tutkimukseen. Lisäksi asetusta kokonaisuudessaan sovelletaan henkilötietojen käsittelyyn tieteellisiä ja historiallisia tutkimustarkoituksia varten.
Yleisen tietosuoja-asetuksen sisältämä tieteellisen tutkimuksen määritelmä ei välttämättä ole täysin yhteneväinen tämänhetkisen kansallisen käytännön kanssa. Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 159 mukaan henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tietosuoja-asetuksen soveltamista varten tulkittava laajasti. Tieteelliset tutkimustarkoitukset voisivat näin ollen tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta. Siinä olisi lisäksi otettava huomioon SEUT 179 artiklan 1 kohdassa vahvistettu eurooppalaisen tutkimusalueen toteuttamista koskeva unionin tavoite. Tieteellisiin tutkimustarkoituksiin olisi kyseisen perustelukappaleen mukaan sisällyttävä myös kansanterveyden alalla yleistä etua varten tehdyt tutkimukset. Henkilötietojen käsittelyä tieteellisiin tutkimustarkoituksiin koskevien erityispiirteiden huomioon ottamiseksi olisi sovellettava erityisiä edellytyksiä etenkin henkilötietojen julkaisuun tai muuhun luovuttamiseen tieteellisten tutkimustarkoitusten yhteydessä.
Tieteellistä tutkimusta ei ole tietosuoja-asetuksen 6 artiklan 1 kohdassa mainittu nimenomaisena käsittelyperusteena, mutta 5 artiklan 1 kohdan b alakohta sisältää voimassa olevan lainsäädännön mukaisen periaatteen, jonka mukaan tieteelliset tutkimustarkoitukset eivät ole alkuperäisten tarkoitusten kanssa yhteensopimattomia. Kun henkilötietoja käsitellään tieteellisessä tutkimuksessa, tulisi 6 artiklan 1 kohdan osalta kyseeseen todennäköisesti lähinnä sen a (suostumus), c (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi), e (yleistä etua koskeva tehtävä) tai f (oikeutettu etu) alakohta.
Yleisen tietosuoja-asetuksen johdanto-osan perustelukappaleen 52 mukaan henkilötietojen erityisryhmien käsittelykiellosta olisi voitava poiketa siinä tapauksessa, että poikkeaminen perustuu unionin oikeuteen tai jäsenvaltion lainsäädäntöön ja tapahtuu asianmukaisia suojatoimia soveltaen, jotta voidaan suojata henkilötietoja ja muita perusoikeuksia, kun se on perusteltua yleistä etua koskevien syiden vuoksi. Tällainen poikkeus voidaan tehdä esimerkiksi yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.
Henkilötietojen käsittelylle tulee aina olla henkilötietolaissa määritelty oikeusperuste myös silloin, kun tietoja käsitellään tieteellistä tutkimusta varten. Näin ollen käsittelyä rajaa merkittävästi henkilötietolain henkilötietojen käsittelyperusteita koskevien säännösten tarkkarajaisuus. Henkilötietojen käsittelyperusteet tulevat kuitenkin tietosuoja-asetuksen myötä muuttumaan väljemmäksi. Rekisterinpitäjä voi vastaisuudessa käsitellä henkilötietoja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan perusteella. Kyseisen kohdan mukaan henkilötietoja voidaan käsitellä rekisterinpitäjän tai kolmannen oikeutettujen etujen toteuttamiseksi. Ensi kädessä rekisterinpitäjä itse arvioi oikeutetun edun olemassaoloa.
Tieteellisen tutkimuksen käsitettä tulee yleistä tietosuoja-asetusta sovellettaessa arvioida asetuksen johdanto-osan perustelukappaleiden pohjalta. Tieteelliseksi tutkimukseksi katsotaan johdanto-osan perustelukappaleiden mukaan muun muassa teknologian kehittäminen ja esittely, perustutkimus, soveltava tutkimus ja yksityisin varoin rahoitettu tutkimus. Tämä saattaa joiltain osin olla laajempi tulkinta tieteellisestä tutkimuksesta kuin mitä kansallisesti on sovellettu. Myös tämä osaltaan voi laventaa mahdollisuuksia käsitellä henkilötietoja tieteellistä tutkimuskäyttöä varten.
Tästä huolimatta henkilötietolain 27 §:n mukainen lähtökohta tulisi pitkälti säilyttää, jotta ei vaarannettaisi tieteen vapautta tai merkittävästi heikennettäisi tieteellisen tutkimuksen tekemisen edellytyksiä. Näin ollen on perusteltua säätää poikkeuksesta 15 artiklan osalta 89 artiklan 2 kohdan mahdollistamalla tavalla. Tästä seuraisi looginen poikkeus myös 16, 18 ja 21 artiklaan. Toisaalta myös rekisteröidyn tiedollista itsemääräämisoikeutta on kunnioitettava, eikä tiedonsaantioikeutta tulisi myöskään rajoittaa enempää kuin henkilötietolaissa on rajoitettu tai kuin on tarpeellista. Yleisen tietosuoja-asetuksen 89 artiklan 4 kohdan mukaisesti jos 2 kohdassa tarkoitettua henkilötietojen käsittelyä käytetään samanaikaisesti myös muihin tarkoituksiin, poikkeuksia sovelletaan ainoastaan kyseisissä kohdissa mainituissa tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn.
Joissain tilanteissa mahdollisuus poiketa rekisteröidyn oikeuksista seuraa suoraan yleisestä tietosuoja-asetuksesta. Esimerkiksi 17 artiklan oikeutta tulla unohdetuksi ei ole silloin, kun tietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos oikeus tulla unohdetuksi todennäköisesti estäisi kyseisen käsittelyn tai vaikeuttaisi sitä suuresti.
Siltä osin kuin asetuksesta seuraa suoraan mahdollisuus poiketa rekisteröidyn oikeuksista käsiteltäessä henkilötietoja esimerkiksi tieteellisiä tutkimustarkoituksia varten, sisältyy asetukseen tarvittavat suojalausekkeet. Rekisterinpitäjällä on myös yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukainen osoitusvelvollisuus, joten rekisterinpitäjän on osoitettava menetelleensä asetuksen mukaisesti poiketessaan edellä mainituissa artikloissa tarkoitetuista rekisteröidyn oikeuksista. Tältä osin kansallinen lisäsääntely ei ole tarpeellista, eikä edes mahdollista.
Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys, sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
Tätä erityisiä henkilötietoryhmiä koskevaa käsittelykieltoa ei kuitenkaan sovelleta muun muassa silloin, jos käsittely sanotun artiklan 2 kohdan j alakohdan mukaan on tarpeen tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Jotta erityisiin henkilötietoryhmiin kuuluvia tietoja, jotka pääosiltaan vastaavat henkilötietolaissa tarkoitettuja arkaluonteisia tietoja, voisi edelleenkin käsitellä tieteellisissä ja historiallisissa tutkimustarkoituksissa, tulisi tästä säätää laissa. Lakiin tulisi sisällyttää lisäksi tarpeelliset suojalausekkeet, joilla suojataan rekisteröidyn perusoikeuksia.
Yleisen tietosuoja-asetuksen 4 artiklan kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön lisäehtoja, mukaan lukien rajoituksia, jotka koskevat geneettisten tietojen, biometristen tietojen tai terveystietojen käsittelyä. Näistä säätäminen tulisi kyseeseen lähinnä kansallisen erityislainsäädännön yhteydessä.
2.3.9 Tilastointi
Yleistä tietosuoja-asetusta on sovellettava, kun henkilötietoja käsitellään tilastotarkoituksia varten. Tilastollisilla tarkoituksilla tarkoitetaan yleisen tietosuoja-asetuksen johdanto-osan mukaan mitä tahansa henkilötietojen keräämis- ja käsittelytoimenpidettä, joka on tarpeen tilastotutkimuksia varten tai tilastollisten tulosten tuottamiseksi. Tilastollinen tarkoitus perustuu lähtökohtaan, jonka mukaan tilastollisiin tarkoituksiin tehtävän käsittelyn tuloksena ei tule olla henkilötietoja, vaan yhdistelmätietoja ja että tätä tulosta tai näitä tietoja ei hyödynnetä ketään luonnollista henkilöä koskevissa toimenpiteissä tai päätöksissä.
Ehdotettuun yleislakiin ei olisi tarpeen sisällyttää henkilötietolain 15 §:n kaltaista käsittelyperustetta tilastollisia tarkoituksia varten. Käsittelyperuste seuraa lähtökohtaisesti suoraan yleisen tietosuoja-asetuksen 6 artiklasta. Lisäksi on ehdotettu säädettävän 6 artiklan 1 kohdan e alakohtaa täydentävä käsittelyn lainmukaisuutta koskeva 4 §:n 3 kohta, jonka perusteella voi myös käsitellä henkilötietoja tilastollisia tarkoituksia varten. Erityisten henkilötietoryhmien käsittely tilastointitarkoitusta edellyttää kansallista yleisen tietosuoja-asetuksen 9 artiklaa täsmentävää lainsäädäntöä. Tämän vuoksi ehdotetun lain 6 §:n 7 kohdassa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tilastointitarkoituksessa.
Henkilötietojen käsittelylle tulee nykyäänkin olla aina laissa säädetty peruste myös silloin, kun tietoja käsitellään tilastollisia tarkoituksia varten. Käsittelyä rajaa merkittävästi henkilötietolain henkilötietojen käsittelyperustaa koskevien säännösten tarkkarajaisuus. Henkilötietojen käsittelyperusta tulee kuitenkin tietosuoja-asetuksen myötä muuttumaan osin väljemmäksi. Rekisterinpitäjä voi vastaisuudessa käsitellä henkilötietoja esimerkiksi suoraan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan perusteella. Kyseisen kohdan mukaan henkilötietoja voidaan käsitellä rekisterinpitäjän tai kolmannen oikeutettujen etujen toteuttamiseksi. Ensi kädessä rekisterinpitäjä itse arvioi oikeutetun edun olemassaoloa.
Vastaavasti kuin tieteellisen ja historiallisen tutkimuksen osalta, tulee erityisiä henkilötietoryhmiä koskevan käsittelyn osalta tilastoinninkin yhteydessä noudattaa, mitä yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdassa on säädetty.
2.3.10 Yleisen edun mukainen arkistointi
Yleistä tietosuoja-asetusta tullaan soveltamaan myös arkistointiin. Yleisen tietosuoja-asetuksen johdanto-osan 156 kappaleen mukaan henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia varten olisi sovellettava asetuksen mukaisia rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia. Yleistä tietosuoja-asetusta ei kuitenkaan sovelleta kuolleiden henkilöiden henkilötietoihin johdanto-osan 27 ja 158 kappaleen mukaisesti.
Viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, voi edelleenkin jäsenvaltion lainsäädännön nojalla olla palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntää pääsy niihin. Jäsenvaltiolla on myös mahdollisuus yleisen tietosuoja-asetuksen johdanto-osan 158 kappaleen mukaisesti säätää, että henkilötietoja voidaan käsitellä myöhemmin arkistointitarkoituksiin.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdassa säädetään, että 9 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä koskeva käsittely on mahdollista, jos käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia varten asetuksen 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Lisäksi edellytetään, että se on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja että siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaan käsittelyyn sovelletaan yleisen tietosuoja-asetuksen 89 artiklan 1 kohdan nojalla rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia asetuksen mukaisesti. Näillä suojatoimilla tulee varmistua, että on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen. Jos yleisen edun mukainen arkistointitarkoitus on mahdollista täyttää käsittelemällä myöhemmin tietoja, joiden johdosta ei enää ole mahdollista tunnistaa rekisteröityjä, tarkoitus on täytettävä tällä tavoin.
Yleisen tietosuoja-asetuksen 89 artiklan 3 kohdassa mahdollistetaan eräistä poikkeuksista ja suojatoimista säätäminen kansallisessa lainsäädännössä, kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten. Kansallisessa lainsäädännössä voidaan säätää poikkeuksista asetuksen 15, 16, 18, 19, 20 ja 21 artiklassa tarkoitettuihin oikeuksiin, jos sovelletaan 89 artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia. Poikkeuksia voidaan kuitenkin säätää vain siltä osin kuin kyseiset oikeudet todennäköisesti estäisivät erityisten tarkoitusten saavuttamisen tai vaikeuttaisivat sitä suuresti. Lisäksi poikkeusten tulee olla tarpeen näiden tarkoitusten täyttämiseksi.
3 Esityksen tavoitteet ja keskeiset ehdotukset
3.1 Tavoitteet
Esityksen tavoitteena on antaa yleistä tietosuoja-asetusta täydentävä tarpeellinen lainsäädäntö, kuten valvontaviranomaista koskevat säännökset. Lisäksi tietosuoja-asetuksen mahdollistamaa harkinnanvaraista kansallista liikkumavaraa ehdotetaan käytettävän nykytilan säilyttämiseksi mahdollisimman laajasti.
Esityksessä ehdotetaan, että henkilötietolaki kumotaan kokonaisuudessaan. Samalla ehdotetaan kumottavaksi tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki. Esityksessä ehdotetaan säädettäväksi tietosuojalaki, jolla täydennettäisiin yleistä tietosuoja-asetusta. Lisäksi ehdotetaan yleisen tietosuoja-asetuksen säännösten soveltamista kattavasti kaikkeen henkilötietojen käsittelyyn, jollei laissa ole toisin säädetty. Koska kyse on tietosuoja-asetusta täydentävästä lainsäädännöstä, muodostaa ehdotettu tietosuojalaki yhtenäisen kokonaisuuden tietosuoja-asetuksen kanssa.
Siinä määrin kuin on mahdollista, on nykyistä henkilötietolakia pidetty lähtökohtana esityksessä. Tietosuojalaki yleislakina koskisi henkilötietojen käsittelyä laajasti yhteiskunnan eri sektoreilla. Henkilötietolain kaltaisen hyvin yleisen ja kattavan sääntelyn toteuttaminen ei kuitenkaan ole mahdollista esimerkiksi oikeusperusteiden suhteen. Eräissä tilanteissa käsittelyn oikeusperuste seuraa suoraan yleisestä tietosuoja-asetuksesta. Tavoitteena kuitenkin on, että tietosuoja-asetus pysyisi selkeästi yleislakina.
3.2 Lain tarkoitus ja soveltamisala
Ehdotettu tietosuojalaki olisi yleislaki. Lailla täydennettäisiin yleistä tietosuoja-asetusta ja sitä olisi sovellettava yleisen tietosuoja-asetuksen kanssa rinnakkain. Henkilötietojen suojaa koskevan sääntelyn aineellinen sisältö seuraa pääosin suoraan yleisestä tietosuoja-asetuksesta. Tietosuojalailla täsmennettäisiin henkilötietojen käsittelyn oikeudellista perustaa, annettaisiin yleistä tietosuoja-asetusta täydentävät valvontaviranomaista koskevat säännökset ja säädettäisiin eräistä tietojen käsittelyyn liittyvistä erityistilanteista.
Siltä osin kuin henkilötietojen käsittely jää sekä yleisen tietosuoja-asetuksen että niin kutsutun rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle, voitaisiin vaihtoehtoisesti joko laajentaa yleinen tietosuoja-asetus koskemaan myös tätä henkilötietojen käsittelyä soveltuvin osin tai säilyttää nykyinen henkilötietolaki koskemaan henkilötietojen käsittelyä siltä osin kuin käsittely jää asetuksen soveltamisalan ulkopuolelle.
Jos yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle jäävään henkilötietojen käsittelyyn sovellettaisiin voimassa olevaa henkilötietolakia tai muuta yleislakia, jäisi rajatapauksissa rekisterinpitäjän arvioitavaksi, tulisiko sovellettavaksi yleinen tietosuoja-asetus vai henkilötietolaki. Olisi myös mahdollista, että saman rekisterinpitäjän tulisi soveltaa sekä yleistä tietosuoja-asetusta että henkilötietolakia käsitellessään henkilötietoja. Oikeustila jäisi tässä vaihtoehdossa hyvin epämääräiseksi ja olisi sekä rekisterinpitäjän että rekisteröidyn kannalta hankalasti hallittavissa.
Tämän vuoksi ehdotetaan, että yleinen tietosuoja-asetus tulisi eräin rajauksin sovellettavaksi myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa.
3.3 Käsittelyn oikeusperuste eräissä tapauksissa
Koska henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteesta yksityiskohtaisemmin kuin yleisessä tietosuoja-asetuksessa, ehdotetaan tietosuojalailla täydennettävän käsittelyn oikeusperusteita. Henkilötietojen käsittelyn oikeusperusteesta ei kuitenkaan ehdoteta säädettävän tyhjentävästi tietosuojalailla, vaan erityislainsäädännöllä on vastaisuudessakin mahdollista säätää käsittelyn oikeusperusteesta asetuksesta ilmenevin reunaehdoin.
Esityksessä ehdotetaan, että henkilötietoja saisi käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kun käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden tai jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Säännös vastaisi henkilötietolaissa säädettyä ottaen kuitenkin huomioon tietosuoja-asetuksen mukaisia lisäkriteereitä. Säännös edistäisi myös julkisuusperiaatteen toteutumista.
Lisäksi säädettäisiin viranomaisen yleistä etua koskeva yleinen oikeusperuste yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaisesti sekä oikeusperuste tieteellistä tai historiallista tutkimusta ja tilastointia ja yleisen edun mukaisia arkistointitarkoituksia varten.
Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely edellyttää joissain tilanteissa suojatoimista säätämistä kansallisessa lainsäädännössä. Koska yleisestä tietosuoja-asetuksesta ei seuraa suoraan mahdollisuutta käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja kaikissa henkilötietolain sallimissa tilanteissa, ehdotetaan erityisiä henkilötietoryhmiä koskevaa sääntelyä, jonka puitteissa tällainen henkilötietojen käsittely olisi vastaisuudessakin mahdollista.
Nykylainsäädännön pohjalta on ilmeinen tarve säätää vakuutusyhtiön oikeudesta käsitellä eräitä erityisiin henkilötietoryhmiin kuuluvien tietojen lisäksi rikostuomioihon ja rikkomuksiin liittyviä tietoja vakuutusyhtiön vastuun selvittämiseksi. Vastaavasta oikeudesta säädetään tällä hetkellä henkilötietolaissa. Koska yleisestä tietosuoja-asetuksesta ei seuraa vakuutusyhtiölle suoraan oikeutta käsitellä eräitä erityisiin henkilötietoryhmiin kuuluvia ja 10 artiklassa tarkoitettuja tietoja vastuunsa selvittämiseksi, olisi ehdotettuun lakiin otettava käsittelyn oikeusperuste kyseistä tarkoitusta varten. Henkilötietolain tapaan säädettäisiin käsittelyn oikeusperusteesta oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi.
3.4 Tietoyhteiskunnan palveluihin liittyvä lapsen ikäraja
Ehdotusta hallituksen esitykseksi valmistelleen työryhmän järjestämässä kuulemistilaisuudessa esitetyissä puheenvuoroissa sekä saaduissa lausunnoissa korostettiin internetin merkitystä nuorille ja katsottiin internetin tarjoavan nuorille ympäristön itseilmaisun ja ihmissuhdetaitojen kehittämiseen.
Matalamman ikärajan puolestapuhujat ovat katsoneet, että jo 13-vuotiaat lapset ovat tottuneet käyttämään internetin palveluita esimerkiksi itsensä ilmaisuun ja koulutöihin ilman huoltajien nimenomaista myötävaikutusta. Vuonna 2011 tehdyssä tutkimuksessa (EU Kids Online. The London School of Economics and Political Science) 77 % 13—16-vuotiaista lapsista ilmoitti perustaneensa profiilin johonkin sosiaalisen median palveluun. Internet voi tarjota esimerkiksi seksuaalisen identiteetin tai vaikean perhetilanteen kanssa kamppailevalle teini-ikäiselle lapselle mahdollisuuden hakea apua ja vertaistukea. Teknologian on katsottu vahvistavan lasten asemaa, sillä teknologian ansiosta lapset eivät ole riippuvaisia aikuisista hankkiessaan tietoa erityisesti arkaluonteisista aiheista.
Matalamman ikärajan puoltajat ovat myös esittäneet, että 16 vuoden ikäraja johtaisi siihen, että lapset, jotka ovat tottuneet käyttämään tietoyhteiskunnan palveluita pyrkisivät kiertämään ikäraa antamalla palvelulle virheellistä tietoa iästään nykyistä herkemmin. Edellä mainitun tutkimuksen mukaan 9—12 –vuotiaista lapsista 38 % käyttää sosiaalisen median palveluita ikärajoista huolimatta. Monissa kannanotoissa suhtauduttiin epäilevästi tietosuoja-asetuksen 8 artiklassa asetettuun 16 vuoden ikärajaan ja puollettiin mahdollisimman alhaista eli 13 vuoden ikärajaa. Lapsella on YK:n lapsen oikeuksien sopimuksen 6 artiklan nojalla oikeus kehittymiseen, ja työryhmän järjestämän kuulemisen yhteydessä on esitetty, että sosiaalisen median vaikutus siihen on nykyään hyvin suuri.
Toisaalta lapsen ikärajaa koskevissa kannanotoissa on puollettu 15 vuoden ikärajaa, sillä kyseistä ikärajaa sovelletaan myös monessa muussa kansallisessa säännöksessä. Lisäksi lähellä 16 vuotta olevan ikärajan on katsottu olevan perusteltu, koska 8 artiklan tarkoitus on parantaa lasten henkilötietojen suojan tasoa ja korkeammalla ikärajalla voitaisiin paremmin varmistua lasten henkilötietojen käsittelyn lainmukaisuudesta.
EU:n tietosuoja-asetuksen yritysvaikutuksia koskevassa selvityksessä havaittiin, että selvitykseen vastanneista yrityksistä 21 % kannatti 16 vuoden ikärajaa, 27 % 15 vuoden ikärajaa, 12 % 13 vuoden ikärajaa, 14 vuoden vaihtoehtoa ei valinnut kukaan. Huomattavaa kuitenkin on, että 13 % kyselyyn osallistuneista yrityksistä ei vastannut kysymykseen. Kyselyyn vastanneista yrityksistä 73 % arvio ikärajan merkityksen yritykselle hyvin tärkeäksi tai tärkeäksi, vain kaksi yritystä arvioi, että ikärajalla ei ole merkitystä yrityksen toiminnalle. Vähämerkityksellisenä omalle toiminnalleen ikärajaa piti 13 % yrityksistä. Osansa yritysvaikutuksia koskevaa selvitystä tehdyissä teemahaastatteluissa ikärajan tasoa pidettiin lapsen etua koskevana asiana. Liiketoimintaympäristön kannalta olisi vastausten perusteella kuitenkin tärkeää, että ikäraja olisi tasosta huolimatta sama mahdollisimman monessa jäsenvaltiossa.
Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista. Olisi toivottavaa, että ikäraja olisi mahdollisimman yhdenmukainen EU:ssa. Vaikuttaa kuitenkin siltä, EU:ssa ei saavuteta yhtenäistä ikärajaa. Muiden pohjoismaiden ratkaisut asiassa huomioon ottaen ja lausuntokierrokselta saadun palautteen perusteella ikärajaksi ehdotetaan 13 vuotta.
3.5 Valvontaviranomainen
Esityksen mukaan kansalliset yleisen tietosuoja-asetuksen mukaiset viranomaistehtävät keskitetään vastaisuudessa yhdelle viranomaiselle eli tietosuojavaltuutetulle. Tietosuojavaltuutetun toimisto jatkaisi eräin pienin, sisäisin organisatorisin muutoksin nykyisen tietosuojavaltuutetun toimiston toimintaa. Tietosuojavaltuutettu olisi myös yleisellä tietosuoja-asetuksella perustetun Euroopan tietosuojaneuvoston jäsen.
Tietosuojalautakunnan keskeinen tehtävä on liittynyt henkilötietodirektiivin 7 artiklan f kohdan toimeenpanemiseksi säädettyyn ennakkolupamenettelyyn. Kyseisen säännöksen mukaan henkilötietoja saa käsitellä, jos käsittely on tarpeen rekisterinpitäjän oikeutetun intressin toteuttamiseksi. Tietosuojalautakunta on lupia myöntäessään arvioinut, onko henkilötietojen käsittely tarpeellista rekisterinpitäjän oikeutetun edun toteuttamiseksi. Vastaava henkilötietojen käsittelyn oikeusperuste seuraa vastaisuudessa suoraan yleisestä tietosuoja-asetuksesta. Yleisen tietosuoja-asetuksen tullessa sovellettavaksi on rekisterinpitäjän itse ensi kädessä arvioitava, onko henkilötietojen käsittely kussakin tilanteessa sallittua 6 artiklan 1 kohdan f alakohdan nojalla. Jäsenvaltiot eivät voi antaa tarkentavia tai täsmentäviä säännöksiä f alakohdan soveltamisesta. Tietosuojalautakunnan keskeinen tehtävä henkilötietojen käsittelyä koskevana lupaviranomaisena ei siten ole asetuksen soveltamisen alkaessa enää mahdollinen. Yleisestä tietosuoja-asetuksesta seuraavien muutosten johdosta ei tietosuojalautakunnan kaltaiselle viranomaiselle ole enää tarvetta.
Tietosuojavaltuutettu toimisi vastaisuudessakin toimiston päällikkönä. Kasvavien asiamäärien sekä asioiden laadun ja laajuuden vuoksi tietosuojavaltuutetun toimistoa vahvistettaisiin säätämällä, että toimistossa olisi tietosuojavaltuutetun viran lisäksi yksi tai useampi apulaistietosuojavaltuutetun virka. Apulaistietosuojavaltuutettu toimisi omalla tehtäväalueellaan samoin toimivaltuuksin kuin tietosuojavaltuutettu.
Tietosuojavaltuutetun toimistossa toimisi valtuutettujen lisäksi asiantuntijalautakunta. Asiantuntijalautakunta koostuisi viidestä sivutoimisesta jäsenestä ja se antaisi lausuntoja. tietosuojavaltuutetun pyynnöstä henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.
Voimassa olevissa säännöksissä on säädetty vakinaisesta toimistopäällikön virasta, koska toimistopäällikkö on toiminut tietosuojavaltuutetun sijaisena. Esityksessä ei enää esitetä säädettäväksi toimistopäällikön virasta, koska yleinen tietosuoja-asetus velvoittaa säätämään ainoastaan valvontaviranomaisen jäseniä koskevista seikoista. Toimistopäällikkö ei olisi valvontaviranomaisen jäsen, vaan osa viranomaisen muuta henkilöstöä. Toimistopäällikön tai vastaavan virkaan kuuluvat hallinnolliset tehtävät säilyisivät valtuutetun toimistossa edelleen. Toimistopäällikkö ei enää toimisi tietosuojavaltuutetun sijaisena, koska tietosuojavaltuutetun sijaisena toimisi apulaistietosuojavaltuutettu siten kuin siitä erikseen määrätään.
Ahvenanmaan maakuntalakeihin liittyvää henkilötietojen käsittelyä valvoisi maakunnan uudistuvaa tietosuojalainsäädäntöä koskevan ehdotuksen mukaan edelleen Ahvenanmaan maakunnan tietosuojavaltuutettu. Näin ollen tietosuojavaltuutetun ohella Suomessa toimisi edelleen myös Ahvenanmaan maakunnan tietosuojavaltuutettu, jonka tehtävänä olisi Ahvenanmaan maakuntalakeihin liittyvä henkilötietojen käsittelyn valvonta. Ahvenanmaan itsehallintolain (111/1991) 59 b §:n 3 momentin mukaan, jos jäsenvaltio unionin oikeuden mukaan voi nimetä vain yhden hallintoviranomaisen sellaisessa tilanteessa, jossa sekä maakunnalla että valtakunnalla olisi toimivaltaa, viranomaisen nimeäminen kuuluu valtakunnalle. Tämän viranomaisen sellainen päätös, joka muutoin kuuluisi maakunnan toimivaltaan, tulee tehdä maakunnan hallituksen esittämän kannan mukaisesti. Yleisen tietosuoja-asetuksen 51 artiklan 3 kohdan mukaan, jos jäsenvaltiossa on useampi kuin yksi valvontaviranomainen, kyseisen jäsenvaltion on nimettävä valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja perustettava mekanismi, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä. Näin ollen laissa ehdotetaan säädettäväksi, että tietosuojavaltuutettu edustaisi Suomea Euroopan tietosuojaneuvostossa.
Tietosuojavaltuutetun toimisto säilyisi nykytilaa vastaavasti eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin ylimmän laillisuusvalvonnan sekä valtiontalouden tarkastusviraston valvonnan piirissä.
Tiedustelutoiminnan valvontaa varten on tarkoitus perustaa uusi tiedusteluvaltuutetun virka. Tiedusteluvaltuutettu ja hänen henkilöstönsä sijoitettaisiin hallinnollisesti tietosuojavaltuutetun toimiston yhteyteen. Tiedusteluvaltuutettu olisi toiminnassaan itsenäinen ja riippumaton.
3.6 Oikeusturva ja seuraamukset
Yleisen tietosuoja-asetuksen 84 artiklan 1 kohdassa edellytetään, että jäsenvaltiot vahvistavat säännöt asetuksen rikkomisten vuoksi määrättäviä seuraamuksia varten erityisesti niiden rikkomisten osalta, joihin ei 83 artiklan nojalla sovelleta hallinnollisia sakkoja. Niin ikään kohdassa edellytetään, että jäsenvaltiot toteuttavat kaikki tarvittavat toimenpiteet näiden seuraamusten täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Tällaisten seuraamusten luonne olisi määriteltävä jäsenvaltion lainsäädännössä, ja ne voisivat asetuksen johdanto-osan 152 kappaleen mukaan olla joko rikosoikeudellisia tai hallinnollisia.
Ehdotettuun tietosuojalakiin olisi tarpeen sisällyttää yleistä tietosuoja-asetusta täydentävä säännös hallinnollisen seuraamusmaksunmääräämisestä. Yleisen tietosuoja-asetuksen 10 artiklan, jossa säädetään rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä, rikkomista ei ole mainittu asetuksen 83 artiklassa. Kyseistä artiklaa koskevista rikkomisista ei siten voida määrätä hallinnollista seuraamusmaksua suoraan yleisen tietosuoja-asetuksen nojalla. Näin ollen esityksessä ehdotetaan, että 10 artiklan rikkomiseen sovellettaisiin, mitä 83 artiklan 5 kohdassa on säädetty. Ottaen huomioon kyseessä olevien henkilötietojen erityislaatuisuus ja läheisyys asetuksen 9 artiklassa tarkoitettujen erityisten henkilötietoryhmien kanssa, olisi artiklan rikkomisesta perusteltua voida määrätä seuraamus korkeamman sakkoluokan mukaan.
Kun otetaan huomioon henkilötietojen käsittelyä koskevan seuraamusjärjestelmän perustavanlaatuinen muutos yleisen tietosuoja-asetuksen myötä, olisi myös rikoslakiin tehtävä eräitä muutoksia. Rikosoikeudellisista seuraamuksista säädettäisiin kansallisesti ainoastaan siltä osin kuin se on tarpeellista ja siltä osin kuin yleisen tietosuoja-asetuksen VIII luvun mukaiset seuraamukset eivät tulisi sovellettaviksi.
Rikoslain nykyään sisältämä henkilörekisteririkoksen rangaistussäännös on laaja, ja valtaosa siinä rangaistaviksi säädetyistä teoista tulee yleisen tietosuoja-asetuksen myötä rangaistavaksi sen 83 artiklan nojalla. Näin ollen nykyinen henkilörekisteririkos tulisi sellaisenaan poistaa ja korvata se tarkemmin rajatulla rangaistussäännöksellä.
Tarpeellista olisi säätää sellainen menettely rangaistavaksi, jossa esimerkiksi rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa oleva henkilö tahallaan tai törkeästä huolimattomuudesta hankkii (urkkii) henkilötietoja vastoin niiden käyttötarkoitusta. Tällaisiin henkilöihin ei yleensä voida kohdistaa seuraamuksia suoraan yleisen tietosuoja-asetuksen perusteella.
Valvontaviranomaisen 83 artiklan mukaisten valtuuksien käyttöön tulee soveltaa asianmukaisia kansallisia menettelytakeita, kuten tehokkaita oikeussuojakeinoja ja asianmukaista menettelyä. Tietosuojavaltuutetun toimiston valtuuksien käyttöön ja toimintaan sovellettaisiin yleistä hallinto-oikeudellista lainsäädäntöä. Sovellettavaksi tulisivat siten esimerkiksi hallintolain 5 luvun sisältämät asian käsittelyä koskevat yleiset vaatimukset sekä 6 luvun sisältämät säännökset asian selvittämisestä ja asianosaisen kuulemisesta. Tietosuojavaltuutetun päätöksistä saisi valittaa hallintolainkäyttölain mukaisesti.
Esityksessä ehdotetaan, että hallinnollista seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Tässä yhteydessä itsenäisen julkisoikeudellisen laitoksen käsite kattaa myös yliopistolaitoksen. Lähtökohtaisesti valtion liikelaitokset eivät enää toimi kilpailuilla markkinoilla, vaan tuottavat palveluita valtionhallinnon sisällä. Ehdotetun lain mukaan rajaus ei koskisi niitä yksityisiä tahoja, jotka hoitavat PL 124 §:n tarkoittamia julkisia hallintotehtäviä. Tällaisia toimijoita ei voida rajata hallinnollisen seuraamusmaksun soveltamisen ulkopuolelle tietosuoja-asetuksen 83 artiklan 7 kohdan nojalla, jonka mukaan liikkumavara koskee ainoastaan viranomaisia. Tällainen viranomaiseen kohdistuva rangaistusluonteinen hallinnollinen seuraamus olisi nykyisen oikeusjärjestyksen kannalta vieras menettely, ja edellyttäisi eräänlaista järjestelmämuutosta, joka olisi jouduttu valmistelemaan pikaisella aikataululla. Julkishallinnossa viranomaisten seuraamusmaksulla ei ehkä olisi myöskään vastaavanlaista vaikutusta kuin yksityissektorilla ottaen huomioon toiminnan budjettisidonnaisuuden.
Hallinnollista seuraamusmaksua ei ole tarpeellista tässä vaiheessa ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on myös muutoin noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu. Perustuslain 118 §:n 1 momentin mukaan virkamies vastaa virkatoimensa lainmukaisuudesta. Viranomaisten toiminnasta voidaan tehdä myös hallintokanteluja. Tietosuojavaltuutetun mahdollisuus asettaa uhkasakko koskisi esityksen mukaan myös viranomaisia. Lisäksi eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja virkamiesten toiminnan lainmukaisuutta ja sitä, että viranomaiset ja virkamiehet täyttävät velvollisuutensa.
Tietosuoja-asetuksen rikkomisesta viranomaiselle aiheutuvien seuraamuksien tehokkuutta on kuitenkin seurattava. Lisäksi on arvioitava yksityisen ja julkisen sektorin rajamaastossa olevien toimintaorgaanien kehitystä. Hallinnollisten seuraamusmaksujen määräämistä viranomaisille arvioidaan vastaisuudessa uudelleen kertyneen seurantatiedon ja oikeuskäytännön sekä unionintason suositusten ja linjausten valossa.
Julkissektoriin kohdistuu merkittävästi tiukempaa sääntely kuin yksityissektoriin, joten julkissektorin ja yksityissektorin välillä on muitakin eroja kuin julkissektorin jättäminen seuraamusmaksu-uhan ulkopuolelle. Kilpailullisten vaikutusten arvioiminen valmistelun tässä vaiheessa jäisi vain oletusten varaan. Kilpailullisia vaikutuksia onkin mahdollista arvioida vasta myöhemmässä vaiheessa, kun seuraamusmaksuista kertyy ratkaisukäytäntöä niin unionissa kuin jäsenvaltioissa.
Oikeusministeriössä on parhaillaan vireillä rangaistuksenluonteisia hallinnollisia seuraamuksia koskeva selvitys- ja valmisteluhanke, jonka johtopäätöksiä voidaan tulevassa arvioinnissa hyödyntää.
3.7 Sananvapaus
Henkilötietojen suojan ja sananvapauden yhteensovittamiseksi eräistä yleisen tietosuoja-asetuksen säännöksistä on säädettävä poikkeus. Yhteensovittamisella tulisi varmistaa, että sananvapauden ydinalueelle kuuluvaa ilmaisuvapautta ei rajoitettaisi.
Ehdotetulla lailla säädettäisiin eräistä tarpeellisista poikkeuksista sananvapauden ja henkilötietojen suojan yhteensovittamiseksi silloin, kun henkilötietoja käsitellään journalistisia tarkoituksia taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Unionin tuomioistuimen oikeuskäytännössä henkilötietojen käsittelyksi journalistisessa tarkoituksessa on katsottu toiminta, jonka ainoana tarkoituksena on tietojen, mielipiteiden ja ajatusten ilmaiseminen yleisölle. Unionin tuomioistuin on korostanut, että merkitystä sitä vastoin ei ole sillä, liittyykö toimintaan voitontavoittelu, eikä liioin tavalla, jolla tiedot siirretään. Lisäksi oikeuskäytännössä on painotettu, että henkilötietojen käsittelyä koskevat poikkeukset koskevat joukkotiedotusyritysten lisäksi kaikkia journalismia harjoittavia henkilöitä. Vastaavaa oikeuskäytäntöä henkilötietojen käsittelystä akateemisen ilmaisun tarkoitusta varten ei vielä ole, sillä akateeminen ilmaisu on vasta sisällytetty yleisen tietosuoja-asetuksen sananvapautta ja tiedonvälityksen vapautta koskevaan 85 artiklaan. Kansallisella lailla ei ole myöskään mahdollista tarkentaa tai määritellä yleisen tietosuoja-asetuksen käsitteistöä.
Tavoitteena olisi nykyisenkaltaisen oikeustilan säilyttäminen. Yhteensovittaminen on kuitenkin mukautettavamuuttuneeseen toimintaympäristöön ja yleisestä tietosuoja-asetuksesta seuraaviin henkilötietojen käsittelyä koskeviin säännöksiin. Yleisen tietosuoja-asetuksen 85 artikla koskee journalististen tarkoitusten sekä taiteellisen tai kirjallisen ilmaisun lisäksi akateemista ilmaisua, joten henkilötietojen suojaan tehtävät poikkeukset laajenevat nykyiseen henkilötietolain 2 §:n 5 momenttiin nähden.
Kuten tällä hetkellä, henkilötietojen suojaamista koskevat velvoitteet tulisivat sovellettavaksi, kun henkilötietoja käsitellään journalistisia tarkoituksia varten tai akateemisen, taiteellisen ja kirjallisen ilmaisun tarkoituksia varten. Unionin tuomioistuin on todennut asiassa Satakunnan Markkinapörssi Oy ja Satamedia Oy, C-73/07, että kahden perusoikeuden välisen harmonisen tasapainon löytämiseksi yksityisyyttä koskevan perusoikeuden suoja edellyttää, että tietojen suojaamisen osalta säädetyt poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa.
Esityksessä ehdotettaisiin säädettävän poikkeus yleisen tietosuoja-asetuksen henkilötietojen käsittelyn periaatteita koskevan 5 artiklan 1 kohdan c ja d—e alakohtaan. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettu siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”). Tietojen minimoinnin periaatteen soveltaminen ei olisi tarkoituksenmukaista, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Nämä tarkoitukset edellyttävät tyypillisesti laajoja tietovarantoja. Näin ollen ehdotetaan säädettävän poikkeus tietojen minimoinnin periaatteesta. On otettava huomioon, että henkilötietojen keräämisen ja muun käsittelyn olisi oltava perusteltua journalistisen taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksien kannalta.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Lisäksi kyseisen alakohdan mukaan on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä (”täsmällisyys”). Rekisteröidyn yleisen tietosuoja-asetuksen 12—22 artiklassa säädetyt oikeudet eivät tulisi sovellettavaksi, joten rekisteröidyllä ei olisi oikeutta vaatia virheellisen tiedon oikaisemista yleisen tietosuoja-asetuksen nojalla. Tämän vuoksi kyseistä periaatettakaan ei sovellettaisi silloin, kun henkilötietoja käsitellään 85 artiklassa säädetyissä tarkoituksissa. Yksityisellä henkilöllä on joka tapauksessa sananvapauslain 3 luvun mukainen vastine- ja oikaisuoikeus. Lisäksi rikoslain kunnianloukkaussäännökset suojaavat valheellisen tiedon levittämiseltä.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan, kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietoja voidaan kuitenkin säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että yleisessä tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”). Myös säilytyksen rajoittamisen periaatteesta säädettäisiin poikkeus, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Henkilötietoja voidaan tarvita esimerkiksi journalistiseen taustamateriaaliin pitkältä ajalta, eikä tiedon säilytysaikaa voida näin ollen aina yksiselitteisesti määrittää. Säilytettävien tietojen olisi kuitenkin oltava tarpeellisia 85 artiklassa säädettyjä tarkoituksia varten.
Esityksessä ehdotetaan säädettäväksi poikkeus käsittelyn lainmukaisuutta koskevaan 6 artiklaan, jossa säädetään henkilötietojen käsittelyn oikeusperusteista. Ehdotuksen valmistelun yhteydessä oli vaihtoehtona arvioitavana mahdollisuus käyttää 6 artiklan 1 kohdan e alakohdan kansallista harkintamarginaalia, joka mahdollistaisi asetusta täydentävän kansallisen sääntelyn yleisen edun mukaisen tehtävän suorittamiseksi. Tämän ei katsota olevan perusteltua. Tällaisen oikeusperusteen tulisi mahdollistaa henkilötietojen käsittely journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten, kun henkilötietoja käsitellään 85 artiklassa tarkoitetuissa tilanteissa ja joita koskisi tietosuojalailla säädettävät poikkeukset. Tässä pykälässä ehdotettavaksi säädettyjen poikkeusten soveltamisen kannalta oleellista olisi, että henkilötietojen käsittely tapahtuu 85 artiklassa säädetyissä tarkoituksissa. Yleisen tietosuoja-asetuksen 6 artiklasta säädettäväksi ehdotetun poikkeuksen johdosta ehdotetaan säädettäväksi poikkeus myös suostumuksen edellytyksiä koskevasta 7 artiklasta. On huomioitava, että säädettävällä poikkeuksella ei ole vaikutusta siihen, että rikoslain yksityiselämää loukkaava tiedon levittämistä koskevan rangaistussäännöksen oikeudettomuutta koskevan tunnusmerkin mukaisesti tiedon esittäminen on sallittua henkilön suostumuksen perusteella.
Esityksessä ehdotetaan säädettäväksi poikkeus myös erityisiä henkilötietoryhmiä koskevaan 9 artiklaan ja rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyä koskevaan 10 artiklaan. Nämä tiedot vastaavat hyvin pitkälti nykyisen henkilötietolain 11 §:ssa tarkoitettuja arkaluonteisia henkilötietoja. Journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten voisi käsitellä myös erityisiin henkilötietoryhmiin kuuluvia ja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Yleisessä tietosuoja-asetuksessa omaksutun riskiperusteisen lähestymistavan mukaisesti näiden tietoryhmien käsittelyssä tulisi joka tapauksessa noudattaa asianmukaisia suojatoimia siten kuin yleisen tietosuoja-asetuksen 24, 25 ja 32 artiklassa säädetään. Rikoslain yksityiselämää loukkaava tiedon levittämistä koskeva sääntely suojaa osaltaan oikeudetonta tiedon levittämistä myös erityisiin henkilötietoryhmiin ja rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen osalta.
Esityksessä ehdotetaan säädettäväksi poikkeus myös yleisen tietosuoja-asetuksen 11 artiklan 2 kohtaan. Kyseisen artiklan 2 kohta liittyy rekisteröidyn oikeuksien toteuttamista koskeviin 15—20 artiklaan, joita ei tässä esitetyllä tavalla sovellettaisi silloin, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Näin ollen yleisen tietosuoja-asetuksen 11 artiklan 2 kohtaa ei sovellettaisi silloin, kun henkilötietoja käsitellään 85 artiklassa säädetyissä tarkoituksissa.
Esityksessä ehdotetaan poikkeusta myös yleisen tietosuoja-asetuksen rekisteröidyn oikeuksia koskevan III luvun 12—22 artiklaan. Henkilötietolain 2 §:n 5 momentin mukaan rekisteröidyn oikeuksia koskevia säännöksiä ei sovelleta toimituksellisia tarkoituksia taikka taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tapahtuvaan henkilötietojen käsittelyyn. Henkilötietolaissa säädettyjä rekisteröidyn oikeuksia ovat lain 24 §:n oikeus saada informaatioita henkilötietojen käsittelystä, lain 26 ja 28 §:ssä säädetty tarkastusoikeus, lain 29 §:n mukainen oikeus saada virheellinen tieto korjatuksi, automatisoidun päätöksenteon rajoittamista koskeva 31 § ja oikeus kieltää henkilötietojen käsittely suoramarkkinoinnissa ja muissa vastaavissa tarkoituksissa lain 30 §:n mukaisesti. Näitä oikeuksia vastaavat säännökset sisältyvät yleisen tietosuoja-asetuksen 13—17, 19 ja 21—22 artiklaan. Yleisen tietosuoja-asetuksen säännökset ovat henkilötietolain säännöksiä yksityiskohtaisempia kuitenkin myös tältä osin. Näillä poikkeuksilla säilytettäisiin nykytilaa vastaava tila.
Yleisen tietosuoja-asetuksen 12 artiklaa on luettava yhdessä yleisen tietosuoja-asetuksen 13—22 ja 34 artiklan kanssa. Koska nämä artiklat eivät tulisi sovellettavaksi henkilötietojen käsittelyyn asetuksen 85 artiklassa tarkoitetuissa tilanteissa, ei myöskään 12 artikla tulisi sovellettavaksi 85 artiklassa tarkoitetuissa käsittelytilanteissa.
Esityksessä ehdotetaan säädettäväksi poikkeus myös henkilötietojen käsittelyn rajoittamista koskevaan 18 artiklaan. Rekisteröity voi yleisen tietosuoja-asetuksen nojalla vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojensa paikkansapitävyyden. Henkilötietolaki ei sisällä vastaavaa säännöstä. Artiklan soveltaminen henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa voisi johtaa ennakolliseen puuttumiseen sananvapauden ilmaisuun, joten 18 artiklaa ei sovellettaisi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen 20 ja 21 artiklan soveltaminen riippuu siitä, minkä asetuksen 6 artiklassa säädetyn käsittelyn oikeusperusteennojalla henkilötietoja käsitellään. Yleisen tietosuoja-asetuksen 20 artiklan mukaista oikeutta siirtää tiedot järjestelmästä toiseen sovelletaan silloin, kun henkilötietojen käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan nojalla taikka sopimukseen 6 artiklan 1 kohdan b alakohdan nojalla. Yleisen tietosuoja-asetuksen 21 artiklan mukaista vastustamisoikeutta sovelletaan silloin, kun käsittely perustuu 6 artiklan 1 kohdan e tai f alakohtaan. Henkilötietolaissa ei ole säädetty vastaavista oikeuksista. Vastustamisoikeus koskee henkilötietolain mukaan ainoastaan henkilötietojen käsittelyä suoramarkkinointia ja vastaavia tarkoituksia varten.
Ehdotetun mukaisesti yleisen tietosuoja-asetuksen 6 artikla ei tulisi sovellettavaksi silloin, kun henkilötietoja käsitellään 85 artiklassa säädetyissä tarkoituksissa. Selkeyden vuoksi olisi kuitenkin johdonmukaista säätää poikkeus 20 ja 21 artiklan mukaisiin rekisteröidyn oikeuksiin. Tämä vastaisi lisäksi nykytilaa, sillä rekisteröidyn oikeuksia koskevat henkilötietolain säännökset eivät tule sovellettavaksi henkilötietojen käsittelyyn toimituksellisia sekä taiteellisen ja kirjallisen ilmaisun tarkoituksia varten.
Pykälän 1 momentissa ehdotettaisiin säädettäväksi poikkeus myös yleisen tietosuoja-asetuksen rekisterinpitäjää ja henkilötietojen käsittelijää koskevan IV luvun 30 artiklaan ja 34 artiklan 1—3 kohtaan sekä 35 ja 36 artiklaan.
Yleisen tietosuoja-asetuksen 30 artiklassa säädetään rekisterinpitäjän velvollisuudesta laatia ja ylläpitää selostetta käsittelytoimista. Tällä hetkellä rekisterinpitäjän velvollisuudesta rekisteriselosteen laatimiseen säädetään henkilötietolain 10 §:ssä, joka ei tule sovellettavaksi käsiteltäessä henkilötietoja toimituksellisia sekä taiteellisen ja kirjallisen ilmaisun tarkoituksia varten. Nykytilan säilyttämiseksi yleisen tietosuoja-asetuksen 30 artiklasta ehdotetaan säädettävän poikkeus.
Yleisen tietosuoja-asetuksen 34 artiklaa, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle, ei sovellettaisi muilta kuin sen 4 kohdan osalta henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa.
Käsiteltäessä henkilötietoja toimituksellisia tarkoituksia varten on käsittely rajattu henkilötietolain soveltamisalan ulkopuolelle siltä osin, kun kyse on rekisteröidyn oikeuksista. Nykytilaa vastaavan tilan säilyttämiksi suuri osa rekisteröidyn yleisen tietosuoja-asetuksen mukaisista oikeuksista ei tulisi sovellettavaksi käsiteltäessä henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa. Rekisteröidyllä ei olisi oikeutta saada esimerkiksi 15 artiklan mukaisesti tietoa siitä, että häntä koskevia tietoja käsitellään tai tietoa henkilötietojen käsittelytarkoituksesta, eikä 17 artiklassa tarkoitettua oikeutta saada rekisterinpitäjä poistamaan itseään koskevat henkilötiedot. Nykytilaa vastaavan tilan säilyttämiseksi myös rekisterinpitäjän velvollisuutta ilmoittaa tietoturvaloukkauksesta rekisteröidylle olisi rajoitettava käsiteltäessä henkilötietoja yleisen tietosuoja-asetuksen 85 artiklan tarkoittamissa tilanteissa. Toimitukselliset rekisterit eivät tyypillisesti myöskään sisällä rekisteröityjen yhteystietoja, joten tiedon toimittaminen rekisteröidylle muulla kuin julkisella tiedonannolla voisi edellyttää kohtuutonta vaivaa rekisterinpitäjältä.
Ilmoitus tietoturvaloukkauksesta tietosuojaviranomaiselle olisi tässä yhteydessä riittävä oikeussuojakeino. Sovellettavaksi tulisi kuitenkin yleisen tietosuoja-asetuksen 34 artiklan 4 kohta, jonka mukaan valvontaviranomainen voi vaatia 34 artiklassa tarkoitetun ilmoituksen tekemistä rekisteröidylle, tai päättää, ettei ilmoitusta rekisteröidylle edellytetä. Valvontaviranomainen voisi siten velvoittaa rekisterinpitäjän ilmoittamaan tietoturvaloukkauksesta rekisteröidylle, mikäli arvioisi kyseessä olevien olosuhteiden tätä edellyttävän. Yleisen tietosuoja-asetuksen 34 artiklan 4 kohta tulisi sovellettavaksi tilanteissa, joissa tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisen henkilön oikeuksille ja vapauksille. Lainkohdan soveltuminen henkilötietojen käsittelyyn journalistisia tarkoituksia ja akateemisen, taiteellisen ja kirjallisen ilmaisun tarkoituksia varten on perusteltua, sillä tietoturvaloukkausta koskevalla ilmoitusvelvollisuudella pyritään vahvistamaan tietosuojaa. Tietojen asianmukaisen suojaamisen merkitys korostuu poikettaessa laajasti rekisteröidyn oikeuksista. Artiklan 4 kohta tulisi siten sovellettavaksi tilanteissa, joissa 34 artikla tulisi muutoinkin sovellettavaksi.
Yleisen tietosuoja-asetuksen 35 artiklan mukaan rekisterinpitäjän on eräissä tilanteissa suoritettava tietosuojaa koskeva vaikutustenarviointi. Sananvapauden ilmaisun yhteydessä punninta tulisi lähtökohtaisesti suorittaa tiedon julkaisemista koskevan intressin ja tiedon kohteen rikoslaissa omaksutun yksilön yksityiselämää ja kunniaa koskevan suojan kannalta. Poikkeuksen säätäminen ei kuitenkaan estäisi rekisterinpitäjää tai henkilötietojen käsittelijää tekemästä yleisen tietosuoja-asetuksen 35 artiklassa tarkoitettua vaikutustenarviointia sen käsitellessä henkilötietoja yleisen tietosuoja-asetuksen 85 artiklan tarkoittamissa tilanteissa.
Tietosuojaa koskevaa vaikutustenarviointia on tarkasteltava yhdessä myös 36 artiklan ennakkokuulemista koskevan velvoitteen kanssa. Yleisen tietosuoja-asetuksen mukaisten edellytysten täyttyessä rekisterinpitäjän on asetuksen 36 artiklassa säädetyn menettelyn mukaisesti kuultava valvontaviranomaista ennen henkilötietojen käsittely aloittamista. Tällainen velvollisuus olisi yhteensopimaton sananvapauden ydinalueelle kuuluvan ennakkotarkastuksen kiellon kanssa.
Esityksessä ehdotetaan säädettävän poikkeus myös yleisen tietosuoja-asetuksen riippumattomia valvontaviranomaisia koskevan VI luvun johtavan valvontaviranomaisen toimivaltaa koskevaan 56 artiklaan. Yleisen tietosuoja-asetuksen 55 artiklan 2 kohdan mukaan, jos käsittelyn suorittavat viranomaiset tai yksityiset elimet 6 artiklan 1 kohdan c tai e alakohdan nojalla, toimivalta on asianomaisen jäsenvaltion valvontaviranomaisella. Tällöin ei sovelleta 56 artiklaa. Kuten 6 artiklan 1 kohdan c tai e alakohdan nojalla annetussa lainsäädännössä, myös asetuksen 85 artiklan nojalla tehtävässä sananvapauden ja henkilötietojen suojan yhteensovittamisessa on kyse kansallisesta lainsäädännöstä. Tämä tulee ilmi lainvalintaa koskevasta yleisen tietosuoja-asetuksen johdanto-osan 153 perustelukappaleesta, jonka mukaan jos 85 artiklan nojalla säädetyt vapautukset tai poikkeukset vaihtelevat jäsenvaltiosta toiseen, olisi sovellettava rekisterinpitäjään sovellettavan jäsenvaltion lainsäädäntöä.
Koska ehdotetaan säädettäväksi poikkeus 56 artiklaan, ehdotetaan selkeyden vuoksi säädettäväksi poikkeus myös yhteistyötä ja yhdenmukaisuutta koskevan VII luvun 60—63 ja 65—67 artiklaan. Tietosuojaneuvostoa koskevia 68—76 artikloita sovellettaisiin, jotta kansallisella lainsäädännöllä ei poissuljettaisi 85 artiklan tarkoituksessa henkilötietoja käsittelevien toimijoiden mahdollisuutta ottaa käyttöön tietosuojaneuvoston hyväksymiä käytännesääntöjä ja sertifikaatteja.
Lisäksi esityksessä ehdotetaan säädettäväksi poikkeus valvontaviranomaisen toimivaltuuksia koskevan 58 artiklan 2 kohdan f alakohtaan, jonka mukaan valvontaviranomaisella on toimivaltuus asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto. Henkilötietojen suojan ja sananvapauden ilmaisun yhteensovittamisessa on huomioitava, etteivät valvontaviranomaisen toimivaltuudet voi rajoittaa joukkotiedotusvälineiden keskeisiä yhteiskunnallisia tehtäviä taikka kohdistua sellaiseen toimintaan, joka rajoittaisi sananvapauden käyttämistä demokraattisessa yhteiskunnassa ja oikeusvaltiossa. Sääntelyssä ja sen tulkinnassa on kunnioitettava jokaisen oikeutta vastaanottaa ja levittää tietoja tai ajatuksia viranomaisten siihen puuttumatta.
Täten ehdotetaan säädettäväksi, ettei yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohtaa sovellettaisi 85 artiklassa säädetyissä tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn. Kyseisen säännöksen nojalla valvontaviranomaisella on oikeus asettaa väliaikainen tai pysyvä rajoitus käsittelylle, mukaan lukien käsittelykielto. Tällaista valtuutta suhteessa sananvapauden ilmaisun merkitykseen demokraattisessa yhteiskunnassa voidaan pitää liiallisena puuttumisena sananvapauden keskeiseen sisältöön. Valvontaviranomaisella olisi kuitenkin valtuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa. Tämä vastaa nykyistä henkilötietolain sääntelyä.
Esityksessä ehdotetaan säädettäväksi rajattu poikkeus yleisen tietosuoja-asetuksen 27 artiklasta, joka koskee unionin ulkopuolelle sijoittuneiden rekisterinpitäjien velvollisuutta nimetä edustaja. Artiklan mukaan rekisterinpitäjän tai henkilötietojen käsittelijän on nimettävä edustaja, joka on sijoittautunut johonkin jäsenvaltioista. Kyseinen velvollisuus koskee tilanteita, joissa nämä eivät ole sijoittuneet unioniin ja palveluita tarjotaan unioniin sijoittuneille rekisteröidyille tai kyse on rekisteröityjen käyttäytymisen seurannasta. Kyse voi olla esimerkiksi profiloinnista. Artiklassa säädetään eräistä poikkeuksista tähän velvollisuuteen. Tietosuojalain 27 §:n nojalla artikla ei tulisi myöskään sovellettavaksi tilanteessa, jossa joukkoviestimen päätoimittajalla olisi sananvapauslaista seuraava vastuu julkaistujen viestien sisällöstä.
Henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen 85 artiklassa tarkoitetuissa tilanteissa tulisi siten sovellettavaksi asetuksen 5(1)(f), 8, 23, 28—29, 32—33, 37—38 ja 40—43 artikla. Lisäksi edellä mainittuun henkilötietojen käsittelyyn sovellettaisiin soveltuvin osin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a—b alakohtaa ja 2 kohtaa, 24—26, 31, 39—40, 42, 57—58, 64 ja 70 artiklaa.
3.8 Tieteellinen ja historiallinen tutkimus
Kun henkilötietoja käsitellään tieteellistä ja historiallista tutkimusta varten, yleisen tietosuoja-asetuksen 89 artiklan 2 kohta antaa jäsenvaltioille mahdollisuuden poiketa kansallisella lainsäädännöllä eräistä rekisteröidyn oikeuksista (15, 16, 18 ja 21 artikla) siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. Lisäksi poikkeaminen edellyttää, että sovelletaan artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia. Poikkeusten tulee siis olla tarpeellisia ja perusteltuja, ja lisäksi tulee huomioida edellytysten ja suojatoimien olemassaolo.
Esityksessä ehdotetaan henkilötietolain 27 §:n mukainen lähtökohta pitkälti säilytettäväksi. Näin ollen ehdotetaan säädettäväksi poikkeuksesta 15 artiklan osalta, kun poikkeaminen on tarpeellista 89 artiklan 2 kohdan edellyttämällä tavalla. Oikeus tarkastaa itseään koskevat tiedot voitaisiin sulkea pois, kun otetaan huomioon ehdotettavat lisäedellytykset, jotka vastaisivat pitkälti henkilötietolain 15 §:n sisältämiä edellytyksiä. Tästä seuraisi, että poikkeukset olisi tarkoituksenmukaista tehdä myös 16, 18 ja 21 artiklaan. Esityksessä ehdotetaan, että poikkeaminen näistäkin rekisteröidyn oikeuksista olisi kuitenkin mahdollista vain tarvittaessa ja noudattaen pykälässä lueteltuja asianmukaisia suojatoimia.
Esityksessä ehdotetaan, että vastaisuudessa olisi edelleenkin mahdollista tieteellistä ja historiallista tutkimusta varten käsitellä erityisiä henkilötietoryhmiä yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdassa säädetyllä tavalla sekä 10 artiklassa tarkoitettuja tietoja. Lakiin ehdotetaan otettavaksi erityisiä suojatoimia, joiden täyttyessä tällainen käsittely olisi sallittua. Yleisen tietosuoja-asetuksen sisältämillä ja laissa ehdotetuilla suojatoimilla voidaan katsoa täytettävän 9 artiklan 2 kohdan j alakohdan sisältämät vaatimukset.
3.9 Tilastointi
Kun henkilötietoja käsitellään tilastollisissa tarkoituksissa, tietosuoja-asetuksen 89 artiklan 2 kohta antaa jäsenvaltioille mahdollisuuden poiketa kansallisella lainsäädännöllä eräistä rekisteröidyn oikeuksista (15, 16, 18 ja 21 artikla) siltä osin kuin tällaiset oikeudet todennäköisesti estävät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. Lisäksi poikkeaminen edellyttää, että sovelletaan artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia. Poikkeusten tulee siis olla tarpeellisia ja perusteltuja, ja lisäksi tulee huomioida edellytysten ja suojatoimien olemassaolo.
Myös tältä osin ehdotetaan henkilötietolain 27 §:n mukainen sääntely pitkälti säilytettäväksi. Näin ollen esityksessä ehdotetaan säädettäväksi poikkeuksesta 15 artiklan osalta. Oikeus tarkastaa itseään koskevat tiedot voitaisiin sulkea pois tilastoinnin osalta, kun otetaan huomioon tilastoinnin tarkoitukset ja vähäinen puuttuminen yksityisyyden suojaan sekä ehdotettavat lisäedellytykset, jotka vastaisivat pitkälti henkilötietolain 15 §:n sisältämiä edellytyksiä. Tästä seuraisi, että poikkeukset olisi tarkoituksenmukaista tehdä myös 16, 18 ja 21 artiklaan asianmukaisia suojatoimia noudattaen. Esityksessä ehdotetaan, että poikkeaminen näistäkin rekisteröidyn oikeuksista olisi kuitenkin mahdollista vain tarvittaessa ja noudattaen pykälässä lueteltuja asianmukaisia suojatoimia.
Rekisteröidyn perusoikeuksia ja tiedollista itsemääräämisoikeutta on kuitenkin kunnioitettava. Näin ollen on tärkeää, että laissa säädetään asianmukaisista suojatoimenpiteistä. Lisäksi yleisestä tietosuoja-asetuksesta itsestään seuraa merkittäviä suojatoimia. Esimerkiksi rekisteröidyn tiedonsaantioikeutta on tärkeää korostaa, kun poiketaan rekisteröidyn oikeuksista. Tältä osin yleisen tietosuoja-asetuksen 13 ja 14 artikla turvaisivat asianmukaisella tavalla rekisteröidyn tiedonsaantioikeutta, eikä tältä osin ole tarpeen säätää tarkentavista säännöksistä.
Lisäksi yleislakiin ehdotetaan sisällytettäväksi henkilötietolain 33 §:ää vastaava pykälä henkilötietojen käsittelyyn osallistuvan vaitiolovelvollisuudesta. Tällä velvollisuudella yhdessä tietosuoja-asetuksen sisältämillä tietoturvavelvoitteilla varmistettaisiin muun muassa tilastollisen käsittelyn luottamuksellisuutta yleisen tietosuoja-asetuksen edellyttämällä tavalla.
Esityksessä ehdotetaan, että vastaisuudessa olisi edelleenkin mahdollista käsitellä erityisiä henkilötietoryhmiä tilastollisia tarkoituksia varten yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdassa säädetyllä tavalla. Lisäksi ehdotetaan, että myös 10 artiklassa tarkoitettujen tietojen käsitteleminen olisi sallittua tilastollisia tarkoituksia varten. Lakiin ehdotetaan otettavaksi erityisiä suojatoimia, joiden täyttyessä tällainen käsittely olisi mahdollista. Yleisen tietosuoja-asetuksen sisältämillä ja laissa ehdotetuilla suojatoimilla voidaan katsoa täytettävän 9 artiklan 2 kohdan j alakohdan sisältämät vaatimukset.
3.10 Yleisen edun mukainen arkistointi
Yleistä tietosuoja-asetusta tullaan soveltamaan henkilötietojen käsittelyyn yleisen edun mukaisia arkistointitarkoituksia varten. Arkistointia ei ole yleisessä tietosuoja-asetuksessa määritelty itsenäiseksi käsittelyperusteeksi, mutta yleisen edun mukainen arkistointitarkoitus toistuu useissa asetuksen kohdassa. Lisäksi yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten käsittelyn tarkoitusten kanssa.
Yleisen tietosuoja-asetuksen 89 artiklan 3 kohdan nojalla on mahdollista säätää poikkeuksista eräisiin rekisteröidyn oikeuksiin, kun henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten. Tällöin laissa tulee lisäksi säätää asianmukaisista edellytyksistä ja suojatoimista. Yleisen edun mukaisten arkistointitarkoitusten toteuttaminen edellyttää, että 89 artiklan 3 kohdassa mainituista rekisteröidyn oikeuksissa voidaan tietyissä tilanteissa poiketa. Yleislakiin ehdotetaan sisällytettäväksi pykälä, jonka nojalla rekisteröidyn oikeuksista voidaan poiketa yleisen edun mukaista arkistointitarkoitusta varten.
Viranomaisia koskeva arkistolainsäädäntö on jo pitkään ollut laajemman uudistamistarpeen ja tarkastelun kohteena. Esityksen kanssa samanaikaisesti valmistellaan uutta tiedonhallintalakia. Kunta- ja uudistusministeri on asettanut 9.1.2018 valmistelutiimin ja sen työtä tukevan ohjausryhmän, joiden tavoitteena on valmistella uusi tiedonhallintaa julkisessa hallinnossa sääntelevä yleislaki, julkisen hallinnon tiedonhallintalaki. Tiedonhallintalakiin koottaisiin sääntelyä julkisuuslaista, arkistolaista ja tietohallintolaista.
Lakiehdotukseen on otettu nimenomainen henkilötietojen käsittelyn oikeusperuste tieteellistä tai historiallista tutkimusta ja tilastointia varten, samoin tutkimusaineistojen, kulttuuriperintöaineistojen ja näiden kuvailutietojen käsittelemiseksi yleisen edun mukaisessa arkistointitarkoituksessa. Lisäksi erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä edellä mainituissa tarkoituksissa ehdotetaan säädettävän nimenomaisin säännöksin lain 6 §:ssä. Ehdotetut säännökset jättäisivät laajaa harkintamarginaalia rekisterinpitäjälle sen arvioimiseksi, millaiset suojatoimenpiteet ovat kulloinkin kyseessä olevan henkilötietojen käsittelyn kannalta asianmukaisia.
4 Esityksen vaikutukset
Esityksellä ei ole merkittäviä taloudellisia tai muita yhteiskunnallisia vaikutuksia. Tietosuojalainsäädännön uudistukseen liittyvät vaikutukset seuraavat suoraan yleisestä tietosuoja-asetuksesta. Yleisen tietosuoja-asetuksen tavoitteena on rekisteröityjen oikeussuojan sekä elinkeinoelämän toimintaedellytysten parantaminen sisämarkkinoilla sekä lainsäädännön noudattamisen varmistaminen yhdenmukaisten velvoitteiden ja yhdenmukaisen valvonnan kautta. Yleisen tietosuoja-asetuksen säännökset aiheuttavat moninaisia kustannuksia sekä valvontaviranomaisille että rekisterinpitäjille ja henkilötietojen käsittelijöille niin yksityisellä kuin julkisella sektorilla.
Vaikutukset viranomaistoimintaan
Keskeinen yksittäinen yleisen tietosuoja-asetuksen vaikutus liittyy valvontaviranomaisen organisointiin niin, että se pystyy tehokkaasti suoriutumaan yleisen tietosuoja-asetuksen mukaisista tehtävistä. Ehdotetulla lailla säädettäisiin valvontaviranomaisesta, jonka hoidettavaksi tulisivat yleisen tietosuoja-asetuksen mukaiset tehtävät. Viranomaistoiminnan järjestämisestä yleisen tietosuoja-asetuksen vaatimusten mukaiseksi syntyy taloudellisia vaikutuksia ennen kaikkea henkilöstö-, yleishallinto-, toimitila- ja tietojärjestelmäkuluina.
Tietosuojavaltuutetun toimistolle on osoitettu tietosuoja-asetuksen täytäntöönpanoon lisäresursseja vuoden 2017 talousarviossa 80 000 euroa ja vuoden 2018 talousarviossa 525 000 euroa. Tämän lisäksi vuodesta 2019 lähtien tarvitaan tietosuoja-asetuksen täytäntöönpanoon vuotuista lisäystä 675 000 euroa.
Arvion mukaan yleisestä tietosuoja-asetuksesta aiheutuu valvontaviranomaisen resursseihin vuodesta 2019 lähtien 16 henkilötyövuoden tarve, jossa on 8 henkilötyövuoden lisäys vuoteen 2018 verrattuna. Rahoitus katetaan kehysten ja talousarvioiden mukaisten määrärahojen ja htv-määrien puitteissa.
Yleisessä tietosuoja-asetuksessa tarkoitetusta valvontaviranomaisesta säätämisen lisäksi tällä esityksellä on muitakin vaikutuksia valvontaviranomaisten toimintaan. Esityksellä on merkittävin vaikutus tietosuojalautakunnan toimintaan, sillä se lakkautettaisiin sen keskeisen lupatehtävän poistumisen myötä. Tietosuojavaltuutetun toimistoa vahvistettaisiin säätämällä, että viranomaisessa olisi tietosuojavaltuutetun viran lisäksi apulaistietosuojavaltuutetun virka sekä asiantuntijalautakunta.
Esityksestä seuraavista asiantuntijalautakunnan järjestelyistä ei alustavan arvion mukaan aiheutuisi merkittäviä taloudellisia lisäkuluja, sillä asiantuntijalautakunnan vuosittaisen määrärahatarpeen voidaan arvioida vastaavan tietosuojalautakunnan noin 15 000 euron vuosittaisia kuluja. Apulaistietosuojavaltuutetun virka ja akkreditointitehtävästä aiheutuva määrärahan tarve on otettu huomioon arvioitaessa yleisestä tietosuoja-asetuksesta seuraavaa kokonaisresurssitarvetta.
Hallintotuomioistuinten asiamääriin yleinen tietosuoja-asetus voi vaikuttaa jossain määrin valvontaviranomaisen toimivallan laajenemisen ja näin ollen valituskelpoisten päätösten mahdollisen lisääntymisen vuoksi, mutta vaikutus ei todennäköisesti ole merkittävä.
Oikeusrekisterikeskuksen tehtävänä olisi vastata hallinnollisen seuraamusmaksun täytäntöönpanosta. Arvioin mukaan seuraamusmaksusta ei muodostu määrällisesti sellaista tehtävää Oikeusrekisterikeskukselle, joka edellyttäisi lisäresurssointia.
Lisäksi kunkin ministeriön hallinnonalan erityislainsäädännön tarkistamisesta yhdenmukaiseksi yleisen tietosuoja-asetuksen kanssa saattaa seurata asianomaisen hallinnonalan viranomaisille ja julkisia hallintotehtäviä hoitaville organisaatioille kuluja, joiden määrää on kuitenkin vaikea arvioida. Kuntaliiton kustannusarvion mukaan yleisestä tietosuoja-asetuksesta seuraavat kustannukset kunnissa ja kuntayhtymissä on noin 100 miljoonaa euroa. Hallituksen esitysluonnos on ollut arvioitavana kuntatalouden ja –hallinnon neuvottelukunnassa (Kuthanek) tammikuussa 2018.
Yritysvaikutukset
Ehdotetulla tietosuojalailla pyritään oikeustilan pysyttämiseen nykyisellään kansallista liikkumavaraa käytettäessä (esimerkiksi henkilötunnusta, tieteellistä tutkimusta ja tilastointia, sananvapautta ja vakuutuslaitosten käsittelyä koskeva sääntely). Näillä kansallisilla ratkaisuilla vaikutettaisiin yritykselle asetuksesta seuraavan hallinnollisen taakan keventymiseen.
Yritysvaikutukset seuraavat pääasiassa yleisestä tietosuoja-asetuksesta. Valtioneuvoston selvitys- ja tutkimustoiminnan rahoittaman Tampereen yliopiston yritysvaikutuksista tekemän selvityksen perusteella suuret yritykset ovat omana arvionaan esittäneet asetuksen uusiin velvoitteisiin varautumisen ja kertaluonteisten kustannusten olevan keskimäärin 2,5 miljoonaa euroa. Alkuvaiheen jälkeen suuret yritykset arvioivat uusien kustannusten asettuvan noin 900 000 euroon. Pienet ja keskisuuret yritykset eivät ole tehdyn selvityksen yhteydessä vielä kyenneet arvioimaan EU:n tietosuojauudistuksesta aiheutuvia kuluja.
Yritysvaikutuksia koskevassa selvityksessä katsotaan, että yleisestä tietosuoja-asetuksesta seuraa oikeudellista epävarmuutta. Yleisessä tietosuoja-asetuksessa on esimerkiksi yhä täsmentymättömiä termejä. Tämän lisäksi yleisen tietosuoja-asetuksen salliman poikkeuksellisen laajan liikkumavaran katsotaan johtavan täsmentymättömään oikeustilaan. Yritysten toimintaympäristö koetaan tämän vuoksi vaikeaksi. Selvityksessä on katsottu, että yritysmyönteisen oikeudellisen liiketoimintaympäristön toteuttamiseksi tietosuojaviranomaisella tulisi olla riittävät resurssit. Viranomaisten riittävän resursoinnin nähdään edesauttavan epäselväksi koetun tilanteen selkiytymistä.
Selvitykseen osallistui 90 yritystä, näistä noin 63 % on alle 10 henkeä työllistäviä, noin 18 % vastanneista yrityksistä työllistää 50—250 henkeä ja yli 250 henkeä työllistäviä yrityksiä oli kyselyyn osallistuneista noin 17 % (Valtioneuvoston selvitys- ja tutkimustoiminnan artikkelisarja 10/2017). Selvityksen perusjoukon ollessa koko suomalainen yrityskenttä, aineistoa voidaan pitää ominaisuuksiltaan perusjoukkoa edustavana ja siitä voidaan tehdä yrityskenttää kuvaavia päätelmiä. Aineisto on kuitenkin ollut erittäin pieni. Kyselyyn saatiin jakeluun nähden erittäin vähän vastauksia. Tarkkojen prosenttiosuuksien esittäminen näin pienestä aineistosta on lähinnä havainnollistavaa.
Tietosuoja-asetuksen yritysvaikutukset
Oikeusministeriö teetti arvioinnin asetuksen vaikutuksista suomalaisiin yrityksiin yleisen tietosuoja-asetuksen hyväksymisen yhteydessä. Selvitys EU:n yleisen tietosuoja-asetuksen vaikutukset suomalaisiin yrityksiin (15.1.2016) on valtioneuvoston hankeikkunassa.
Euroopan komission laatiman vaikutusarvion mukaan Euroopan unionin tietosuojalainsäädännön yhdenmukaistaminen ja yksinkertaistaminen luo huomattavia säästöjä. Komissio oli konsultoinut laajasti eri intressitahoja kaksi vuotta kestäneen valmistelun yhteydessä. Kansallisten lainsäädäntöjen yhdenmukaistaminen toisi komission arvion mukaan noin 2, 3 miljardin euron säästön yritysmaailmalle vuositasolla. (http://ec.europa.eu/justice/data-protection/document/ review2012/sec_2012_72_en. pdf). Taloudelliset hyödyt korostuvat useissa jäsenvaltioissa toimivien yritysten toiminnassa. Nykytilaan verrattuna kustannuksia vähentää myös se, että yritykset voivat asioida vain yhden tietosuojaviranomaisen kanssa, vaikka toimisivatkin useissa jäsenvaltioissa.
Elinkeinoelämän keskusliitto puolestaan arvioi asetuksesta seuraavan merkittäviä kustannuksia yrityksille. Yrityksille tulee aiheutumaan kustannuksia asetuksen sisältämien velvoitteiden noudattamisesta.
Oikeusministeriön teettämässä selvityksessä kiinnitettiin huomiota seuraaviin seikkoihin.
Tietosuojasääntelyn yrityksille aiheuttamat kustannukset voidaan jaotella sääntelyn noudattamisesta yrityksille aiheutuviin, hallinnollisten velvoitteiden muodossa välittömästi aktualisoituviin kustannuksiin (adminsitrative burden) sekä sääntelyn sisältämien velvoitteiden tai sanktioiden muodostamien insentiivien mukaisesta toiminnasta aiheutuviin välillisiin kustannuksiin (compliance costs). Ensimmäisenä mainittujen välittömien kustannusten piiriin kuuluvat esimerkiksi tiettyä toimintaa harjoittavaa tai muutoin tietyt kriteerit täyttävää yritystä sitovien hallinnollisten velvoitteiden täyttäminen. Tällaisten velvoitteiden, kuten esimerkiksi tietosuojavastaavan nimittämisvelvollisuuden, täyttämisen, taikka tietystä asetuksen määrittämästä tilanteesta, kuten esimerkiksi tietoturvaloukkauksesta ilmoittaminen aiheuttaa yrityksille sisäisiä ja ulkoisia hallinnollisia kustannuksia muun muassa kasvavien palkkakustannusten sekä ulkoisten palveluntarjoajien palkkioiden muodossa.
Huomattavasti edellä todettuja hallinnollisia kustannuksia suurempi taloudellinen vaikutus on asetuksen myötä syntyvillä välillisillä kustannuksilla. Yrityksen compliance-velvoitteet perustuvat paljon laajempaan joukkoon yritykseen asetuksen perusteella kohdistuvia velvoitteita kuin edellä mainitut hallinnolliset velvoitteet. Kasvavien compliance-kustannusten taustalla on ensisijaisesti asetuksen myötä muuttuva yrityksen riskiprofiili ja mahdollisuus joutua merkittävien hallinnollisten seuraamusmaksujen kohteeksi. Näiden tietosuojaviranomaisten langettamien sakkojen kohteeksi voi joutua sekä yritys, joka on jonkin asetukseen perustuvan tietosuojavelvoitteen laiminlyönnillä aiheuttanut sakon langettamisen, mutta myös tällaisen yrityksen sopimuskumppani, jonka kannettavaksi sanktioriski on yksityisoikeudellisella sopimuksella siirretty. Selvityksessä esitetyn arvion mukaan tietosuoja-asetus tulee vaikuttamaan olennaisesti juuri yritysten riskienhallintakäytäntöihin.
Välittömästi vaikuttavia ja compliance-kustannuksia aiheuttavia asetuksen uusia velvoitteita ovat sanktionormien ohella erityisesti yrityksille määritetystä osoitusvelvollisuus (”accountability”) ja sisäänrakennetun tietosuojan vaatimuksesta (”privacy by design”) aiheutuvat laajavaikutukselliset ja yleisellä tasolla varsin täsmentymättömät toimintavelvoitteet. Käytännössä compliance-kustannukset muodostuvat muun muassa niistä uusista kustannuksista, jotka yrityksille välillisesti aiheutuvat nykytilannetta tarkemman ennakollisen riskienhallinnan seurauksena sekä kasvavina transaktiokustannuksina tilanteissa, joissa yritys neuvottelee tietosuojan ja tietoturvan toteuttamiseen liittyvien palveluiden hankinnasta.
Asetuksen myötä elinkeinoelämälle aiheutuvien hyötyjen voidaan katsoa realisoituvan niin ikään sekä välittöminä että välillisinä hyötyinä.
Yksi asetuksen keskeisistä tarkoituksista on ollut alentaa yrityksille hallinnollisten velvoitteiden muodossa kohdistuvia välittömiä kustannuksia. Niiden EU-jäsenvaltioiden, joissa nykyinen henkilötietodirektiivi on implementoitu laajoja ilmoitus- tai rekisteröitymisvelvollisuuksia luovalla tavalla, näkökulmasta näin myös tapahtuu. Sen sijaan esimerkiksi Suomessa asetuksen myötä vähenevät hallinnolliset ilmoitusvelvollisuudet ovat yritysten näkökulmasta positiivisilta vaikutuksiltaan rajatummat ja kohdistuvat merkittävinä ainoastaan niihin yrityksiin, joilla on liiketoimintaa lukuisissa EU-jäsenvaltioissa. Näin on siitä huolimatta, että asetus vähentää kaikenlaisten yritysten hallinnollisia kustannuksia vähentämällä suomalaisille viranomaisille tehtäviä ilmoituksia ja poistamalla tarpeen tietosuojalautakunnalle esitettäville lupahakemuksille.
Keskeisin ja vaikeammin arvioitavissa oleva kysymys asetuksen taloudellisista vaikutuksista kiteytyy kysymykseen siitä, minkälaisiksi muodostuvat asetuksen välilliset positiiviset vaikutukset elinkeinoelämälle. Jos edellä eritellyt asetuksen säätämisen taustalla vaikuttavat digitalisaation etenemiseen ja sen mahdollistamiin uusiin innovaatioihin sekä niiden edellytyksenä olevaan kuluttajien ja palveluiden käyttäjien luottamuksen vahvistamiseen liitetyt tavoitteet asetuksen myötä toteutuvat, on mahdollista, että nämä asetuksen välilliset positiiviset vaikutukset kumoavat merkitykseltään kaikkien yritykselle aiheutuvien välittömien ja välillisten kustannusten merkityksen.
Yhdenmukaistamisen merkitys
Useassa jäsenvaltiossa toimiva yritys on nykyisin velvollinen selvittämään jokaisen jäsenvaltion säädöksistä johtuvat toisistaan poikkeavat velvoitteet erikseen. Yritykseen kohdistuvista eri EU-jäsenvaltioiden välillä toisistaan poikkeavista velvoitteista aiheutuu merkittäviä kustannuksia erityisesti verkkokauppaa, verkon kautta toimitettavia palveluita, tietojenkäsittelypalveluita ja muuta sähköistä liiketoimintaa harjoittaville yrityksille. Lisäksi velvoitteista aiheutuvien muutosten huomioiminen itse palvelussa ja sen käyttöönotossa aiheuttaa merkittäviä kustannuksia erityisesti liiketoimintaa tai palvelun tarjoamista aloitettaessa, mutta myös säännöllisesti tämän jälkeen.
Asetus vähentää merkittävästi tietosuojasääntelyyn liittyviä kansallisia erityispiirteitä ja poistaa ne osittain kokonaan. Yksityiskohtaisempaa kansallista sääntelyä tulee jäämään yritystoiminnan kannalta merkityksellisestä näkökulmasta lähinnä työelämän tietosuojan sääntelyyn.
Erityispiirteiden vähentäminen nopeuttaa unionin laajuisen liiketoiminnan aloittamista sekä vähentää rajat ylittävän liiketoiminnan kustannuksia. Yhdenmukainen sääntely myös lisää pitkän aikavälin oikeusvarmuutta, sillä se vähentää eri maiden säännöstöjen välisten ristiriitojen aiheuttamia ongelmia.
Toisaalta uuden säännöstön käyttöönoton myötä syntyvät tulkintaepäselvyydet ja uusien normien tulkintaan liittyvän oikeuskäytännön puute heikentävät oikeusvarmuutta ja ennakoitavuutta erityisesti säännösten voimassaolon ensimmäisinä vuosina.
Asetuksen VII luvussa säädetään tietosuojaviranomaisten yhdenmukaistetusta valvonnasta. Yhdenmukaistetun valvonnan voidaan olettaa keventävän yritysten hallinnollisia velvoitteita, sillä se vähentää yritysten tarvetta ja velvollisuutta asioida usean eri jäsenvaltion tietosuojaviranomaisen kanssa.
Toisaalta asetuksen myötä kasvavat hallinnolliset velvoitteet ja niiden taloudellinen sanktiointi tekee tietosuojaan liittyvistä hallintoprosesseista nykyistä selvästi todennäköisempiä. Jos tietosuojalaiminlyönnin seuraamuksena yritykseen uhkaa kohdistua nykyisin käytössä olevan huomautuksen tai vastaisuudessa tapahtuvaan toimintaan kohdistuvan kiellon sijaan jopa miljoonien eurojen suuruinen hallinnollinen sanktiomaksu, on huomattavan paljon todennäköisempää, että yritys haluaa valittaa tällaisesta viranomaispäätöksestä.
Vastaavasti, jos tietyn jäsenvaltion langettaman tietosuojaviranomaisen sanktiota koskeva päätös poikkeaa siitä, mitä vastaavan tilanteen osalta olisi todennäköisesti jossain muussa EU-jäsenvaltiossa toimittu, muodostuu yritykselle nykyistä herkemmin intressi viedä asian käsittely yhdenmukaistetun valvontamekanismin mahdollistamalla tavalla toisen eurooppalaisen tietosuojaviranomaisen tai valituselimen käsittelyyn. Tästä syystä yhdenmukaistetun valvontamekanismin vaikutukset muodostuvat todennäköisesti hyvin merkityksellisiksi ja muuttavat nykyisiä valvontakäytäntöjä olennaisesti.
Yhdenmukaistettu valvonta edellyttää tietosuojaviranomaisten välistä yhteistyötä. Väärin tai liian vähin resurssein toteutettuna yksittäisen tapauksen käsittely voi yhteistyön johdosta kuitenkin pitkittyä nykyisiin käsittelyaikoihin nähden.
Yksittäiskysymyksiä
Asetuksen 33 ja 34 artikla velvoittavat rekisterinpitäjää kertomaan tietomurrosta sekä viranomaisille että rekisteröidylle. Henkilötietolaki ei sisällä vastaavanlaista nimenomaista velvollisuutta ilmoittaa tietomurroista viranomaisille, rekisteröidylle tai muutoin. Suomen lainsäädännössä velvollisuus kertoa tietomurrosta on asetettu toimialakohtaisesti tietoyhteiskuntakaaren (917/2014) 275 §:n mukaisesti teleyrityksille. Asetus asettaa tietomurtoilmoitukselle hyvin alhaisen kynnyksen, lyhyen toteutusajan ja laajan tietosisällön. Nämä velvollisuudet saavat aikaan merkittäviä kustannuksia yrityksille, sillä teknologisen kehityksen johdosta yritysten on lähes mahdotonta täysin torjua tietomurtoja. Siten myös huolellisesti toimiva yritys voi joutua tietomurron kohteeksi. Tietomurtoilmoituksesta syntyy välittömiä kustannuksia erityisesti ilmoituksen tekemiseen liittyvien käytäntöjen laatimisesta ja ilmoituksen tekemisestä yksittäistapauksessa. Sekä käytäntöjen laatiminen että ilmoituksen tekeminen edellyttävät todennäköisesti yrityksen ulkopuolisten tietoturva- ja tietosuoja-asiantuntijoiden käyttämistä. Välittömien kustannusten lisäksi velvollisuus ilmoittaa tietomurroista voi aiheuttaa merkittävää mainehaittaa yrityksille, sillä laaja joukko yksityishenkilöitä ja yhtiöitä saa tiedon murrosta joko suoraan tai epäsuorasti ilmoituksen kautta. Tämä mainehaitta voi merkittävästi heikentää yrityksen tulevaa liiketoimintaa. On todennäköistä, että monet yritykset pyrkivät rajoittamaan tietomurron seurauksista aiheutuvia vahinkojaan käyttämällä ulkopuolisten konsulttien, kuten viestintätoimistojen ja tietoturvayhtiöiden sekä asianajotoimistojen palveluita tietomurrosta viestiessään ja varautuessaan sopimuskumppaneidensa ja asiakkaisen reaktioihin. Tämä puolestaan lisää tietomurtoilmoituksesta aiheutuvia välittömiä kustannuksia.
Asetuksessa säädetään myös tietosuojavastaavasta, asetuksen 37 artikla velvoittaa nimeämään tietosuojavastaavan eräissä tilanteissa. Henkilötietolaki ei sisällä vastaavaa velvollisuutta nimittää tietosuojasta vastaavaa henkilöä. Sen sijaan velvollisuus nimittää tietosuojavastaava on nykyisin asetettu toimialakohtaisesti sähköisestä lääkemääräyksestä annetussa laissa (61/2007) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007). Lakien mukainen velvollisuus koskee muun muassa apteekkeja, terveydenhuollon palveluiden antajia ja Kansaneläkelaitosta.
Velvollisuus nimittää tietosuojavastaava koskee sekä rekisterinpitäjiä että käsittelijöitä. Velvollisuus ei kuitenkaan koske kaikkia yrityksiä, vaan sitä on rajoitettu luonteeltaan erityisen merkitykselliseen käsittelyyn. Velvollisuus nimittää tietosuojavastaava koskee ensinnäkin yrityksiä, joiden liiketoiminnan keskeisenä osana on käsitellä henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista valvontaa. Lisäksi velvollisuus koskee yrityksiä, jotka keskeisenä osana liiketoimintaansa käsittelevät laajoja määriä erityisiin henkilötietoryhmiin kuuluvia ja rikostuomioihin ja rikkomuksiin liittyviä tietoja.
Velvollisuus nimittää tietosuojavastaava lisää yritysten sisäisen hallinnon kustannuksia. Kustannusten lisäys voi kuitenkin jäädä suhteellisen vähäiseksi kolmesta eri syystä. Ensinnäkin, velvollisuus nimittää tietosuojavastaava koskee erityisesti erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentilatietoja, käsitteleviä yrityksiä. Monet tällaiset yritykset ovat jo nykylainsäädännön perusteella velvollisia nimeämään tietosuojavastaavan. Asetuksen velvoitteet eivät siten merkittävästi lisää yritysten velvollisuuksia. Toiseksi, vaikka henkilötietolaki ei velvoita yrityksiä nimeämään tietosuojavastaavaa, erityisesti monet suuret ja keskisuuret yritykset ovat hallinnollisista syistä nimittäneet tietosuojavastaavan jo nyt tai osoittaneet sitä vastaavat työtehtävät yhdelle tai useammalle yrityksen työntekijälle. Tämä pitää erityisesti paikkansa yrityksissä, joissa tietojenkäsittely muodostaa merkittävän osan liiketoimintaa. Kolmanneksi, tehokkaasti toteutettuna tietosuojaan liittyvien tehtävien keskittäminen edistää asetuksen mukaisten velvollisuuksien tehokasta toteutumista. Siten tietosuojavastaavan nimittäminen saattaa välillisesti vähentää tietojenkäsittelystä aiheutuvia välillisiä ja välittömiä kustannuksia pitkällä aikavälillä verrattuna siihen, että yritys toteuttaa asetuksen mukaiset velvoitteensa keskittämällä tietosuojaan liittyviä tehtäviä yhdelle tai useammalle henkilölle.
EU:n tietosuoja-asetuksen yritysvaikutuksia koskevassa selvityksessä tietosuojavastaavan asema rinnastettiin Compliance Officeriin tai muuhun keskijohdon asiantuntijaan. Suurten yritysten näkemyksen mukaan tietosuojavastaavalla on luottamusmieheen rinnastettava työoikeudellinen asema. Vastanneista yrityksistä suuret arvioivat tietosuojavastaavasta aiheutuvat kustannukset vuositasolla keskimäärin 70 000 euron suuruisiksi. Pk-yrityksissä tulevia kustannuksia ei tutkimuksentekohetkellä osattu vielä arvioida. Pienissä yrityksissä velvoitteen nähtiin kuitenkin lisäävän yrittäjän vastuita ja työmäärää.
5 Asian valmistelu
5.1 Valmisteluvaiheet ja aineisto
Oikeusministeriö asetti helmikuussa 2016 laaja-alaisen työryhmän (niin sanottu TATTI-työryhmä), jonka keskeisenä tehtävänä oli valmistella lainsäädäntöehdotus yleisen tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran käytöstä sekä valmistella ehdotus kansallisesta valvontaviranomaisesta. Työryhmän tehtävänä oli arvioida henkilötietolain kaltaisen yleislain tarvetta ja tehdä ehdotus mahdollisesti tarvittavasta yleislaista.
Työryhmän mietintö luovutettiin oikeusministeriölle ja julkaistiin 21.6.2017 (OM:n mietintöjä ja lausuntoja 35/2017). Työryhmä ehdotti mietinnössään, että henkilötietolaki kumotaan ja säädetään uusi henkilötietojen suojaa koskeva yleislaki, tietosuojalaki, jolla täsmennetään ja täydennetään yleistä tietosuoja-asetusta. Lisäksi työryhmä ehdotti eräitä muutoksia rikoslakiin ja sakon täytäntöönpanosta annettuun lakiin.
Työryhmä piti ehdotuksessaan monelta osin henkilötietolakia sääntelyn lähtökohtana. Työryhmä ehdotti, että yleinen tietosuoja-asetus tulisi sovellettavaksi soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan ja jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaan. Yleisen tietosuoja-asetuksen soveltamisalan laajentaminen ei ehdotuksen mukaan kuitenkaan koskisi tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty.
Yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat lainsäädännössään kuitenkin säätää alemmasta ikärajasta, joka ei saa olla alle 13 vuotta. Työryhmä piti perusteltuna tällaisesta alemmasta ikärajasta säätämistä, mutta piti mahdollisena sekä 13 että 15 vuoden ikärajan asettamista.
Valvontaviranomaisen osalta työryhmä ehdotti tietosuojavaltuutetun ja hänen toimistonsa laajentamista tietosuojavirastoksi. Työryhmä ehdotti, että tietosuojalautakunnan toiminnan päättyessä tietosuojaviraston sisäisenä päätöksentekoelimenä olisi erityinen seuraamuslautakunta, joka ratkaisisi luonteeltaan merkittävimpiä seuraamusasioita eli hallinnollisten sakkojen määräämistä tai henkilötietojen käsittelyä koskevia rajoituksia tai kieltoja.
Työryhmä ehdotti myös, että tietosuojalaissa säädettäisiin eräistä poikkeuksista yleisen tietosuoja-asetuksen säännöksiin henkilötietojen suojan ja sananvapauden ilmaisun yhteensovittamiseksi. Lisäksi työryhmä ehdotti, että laissa säädettäisiin mahdollisuudesta poiketa eräistä yleisen tietosuoja-asetuksen säännöksistä ja poikkeamisen mahdollistavista suojatoimista käsiteltäessä henkilötietoja tieteellistä ja historiallista tutkimusta sekä tilastointia varten.
Oikeusministeriö lähetti työryhmän mietinnön lausunnoille kesällä 2017, minkä jälkeen hallituksen esitys on valmisteltu oikeusministeriössä. Esityksen valmistelun aikana oikeusministeriö on keskustellut useista säännöksistä erikseen muun muassa tietosuojavaltuutetun sekä eri ministeriöiden edustajien kanssa.
Jatkovalmistelun aikana esitystä on täydennetty ja eräiltä osin muokattu työryhmän ehdotukseen nähden. Esityksessä muun muassa ehdotetaan, että tietosuojan valvontaviranomaisena jatkaisi edelleen tietosuojavaltuutettu ja hänen toimistonsa ja tietosuojavaltuutetun toimiston yhteydessä toimisi työryhmän ehdottaman seuraamuslautakunnan sijaan asiantuntijalautakunta, joka antaisi tietosuojavaltuutetun pyynnöstä lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Lisäksi lakiehdotuksessa on täydennetty henkilötietojen käsittelyn oikeudellista perustaa ja edellytyksiä, joiden täyttyessä erityisiin henkilötietoryhmiin kuuluvia tietoja voidaan käsitellä. Esitystä on myös täydennetty eräillä rekisteröidyn oikeuksien rajoittamista koskevilla säännöksillä. Henkilötietojen käsittelyn edellytyksiä ja rekisteröidyn oikeuksien rajoituksia koskevilla uusilla ehdotuksilla pyritään siihen, että esitys vastaisi paremmin nykytilaa eikä syntyisi tarpeettomia sääntelyaukkoja tai sektorikohtaisen lainsäädännön tarvetta.
Luonnos hallituksen esitykseksi on ollut lainsäädännön arviointineuvostossa arvioitavana. Arviointineuvosto antoi lausuntonsa esitysluonnoksesta 8.2.2018. Arviointineuvosto kiinnitti lausunnossaan huomiota siihen, ettei esitysluonnoksen perusteella pysty muodostamaan yleiskäsitystä tietosuoja-asetuksesta ja sen vaikutuksista. Lisäksi arviointineuvosto katsoi, että esityksen vaikutusarviot ovat puutteelliset, eikä esitysluonnoksessa käsitellä huolellisesti kilpailullisia vaikutuksia siitä, että seuraamusuhka on erilainen viranomaisille ja ei-viranomaisille. Arviointineuvosto piti esitysluonnosta myös vaikealukuisena ja katsoi, että esitysluonnoksessa ei ole tarkemmin eritelty lain kohderyhmiä, eikä sitä, miten lakia sovelletaan kuhunkin kohderyhmään.
Lakiehdotuksen jatkovalmistelussa arviointineuvoston lausunto on otettu huomioon seuraavalla tavalla. Esityksen vaikutuksia koskevaa 4 lukua on täydennetty tietosuoja-asetuksen yritysvaikutuksia koskevalla arvioilla. Esitystä on myös täydennetty yleiskuvauksella yleisestä tietosuoja-asetuksesta ja tietosuoja-asetuksen tavoitteista luvussa 2.2.2. Lisäksi esitykseen on tehty eräitä muita täydennyksiä ja selvennyksiä arviointineuvoston lausunnon perusteella.
Ehdotusta hallituksen esitykseksi valmistellut TATTI-työryhmä on loppumietinnössään toimeksiantonsa mukaisesti esittänyt linjauksia henkilötietolainsäädännön kehittämisestä muun muassa nykyisen erityissääntelyn tarpeettoman yksityiskohtaisuuden vähentämiseksi. Loppumietinnössä esitetään myös linjauksia kansallisen liikkumavaran käytöstä.
Eduskuntaa on informoitu yleisen tietosuoja-asetuksen valmistelusta U-kirjelmällä (U 21/2012 vp) ja siihen liittyvillä U-jatkokirjeillä (UJ 9/2013 vp, UJ 36/2014, UJ 3/2015, UJ 10/2015, UJ 22/2015 ja UJ 45/2015). Lisäksi eduskunnalle on toimitettu oikeus- ja sisäasioiden neuvoston valmistelun yhteydessä useita yleistä tietosuoja-asetusta koskevia perusmuistioita. Hallintovaliokunta on antanut useita lausuntoja tietosuoja-asetuksesta (HaVL 11/2012 vp, HaVL 6/2013 vp, HaVL 30/2014 vp, HaVL 22/2014 vp, HaVL 36/2014 vp, HaVL 2 /2015 vp, HaVL 10/2015 vp ja HaVL 25/2015 vp), myös perustuslakivaliokunta on antanut lausunnon tietosuoja-asetuksesta (PeVL 12/2012 vp).
5.2 Lausunnot ja niiden huomioon ottaminen
Oikeusministeriö lähetti mietinnön laajalle lausuntokierrokselle Lausuntopalvelun kautta 30.6.2017. Lausunnon antoi kaikkiaan 105 tahoa, joista 40 oli viranomaisia ja 65 yhteisöjä. Lausuntopyyntö ja saadut lausunnot ovat lausuntopalvelu.fi-sivustolla ja valtioneuvoston hankeikkunassa. Lausunnoista on myös laadittu lausuntotiivistelmä, joka on tallennettu valtioneuvoston hankeikkunaan.
Lausunnonantajat pitivät yleistä tietosuoja-asetusta täsmentävää ja täydentävää yleislakia yleisesti kannatettavana. Yleislailla katsottiin voitavan tarkoituksenmukaisella tavalla käyttää tietosuoja-asetuksen mahdollistamaa liikkumavaraa, ja näin vähentää tarvetta erityislainsäädännölle. Kaiken kaikkiaan lausunnoissa esitettiin lukuisia ja keskenään hyvin erilaisia näkemyksiä ja muutosehdotuksia, joita ei kaikilta osin ole jatkovalmistelussa nähty tarpeelliseksi tai asetuksen mahdollistaman liikkumavaran puitteissa edes mahdolliseksi huomioida.
Usea lausunnonantaja kiinnitti huomiota siihen, että tietosuojalakiluonnoksen 3 §:n 2 kohdassa toistettiin sellaisenaan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Säännöstä pidettiin liian laajana ja epäselvänä. Lausunnonantajat katsoivat, että yleisen edun käsitettä tulisi edelleen täsmentää itse lakitekstissä ja myös sen perusteluissa. Useat lausunnonantajat esimerkiksi katsoivat, että yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan perustuva tieteellistä ja historiallista tutkimusta koskeva nimenomainen käsittelyperuste tulisi sisällyttää tietosuojalakiin. Lausuntokierroksen perusteella yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisista käsittelyperusteista ehdotetaankin säänneltävän täsmällisemmin.
Monet lausunnonantajat totesivat näkemyksenään, että työryhmän ehdottama erityisiä henkilötietoryhmiä koskeva sääntely on liian suppeaa, mikä voisi johtaa lisääntyvän erityislainsäädännön tarpeeseen. Esimerkiksi sosiaali- ja terveysministeriön mielestä olisi perusteltua laajentaa tietosuojalain erityisiä henkilötietoryhmiä koskevaa sääntelyä sosiaali- ja terveydenhuollossa tapahtuvaan käsittelyyn. Lausuntopalautteen pohjalta esitykseen on sisällytetty useita erityisiä henkilötietoryhmiä koskevia käsittelyperusteita, jotka ovat merkityksellisiä etenkin sosiaali- ja terveysministeriön sekä opetus- ja kulttuuriministeriön hallinnonalalla.
Työryhmän mietinnössä esitettiin, että yleisen tietosuoja-asetuksen 8 artiklassa tarkoitettu lapsen ikäraja voisi olla vaihtoehtoisesti 13 tai 15 vuotta. Valtaosa lausunnonantajista piti perusteltuna huomioida etenkin muissa pohjoismaissa omaksutut ratkaisut ikärajan osalta ja piti toivottavana sitä, että ikäraja olisi EU:ssa mahdollisuuksien mukaan yhtenäinen. Lausunnonantajien näkemykset jakautuivat erityisesti työryhmänkin ehdottamien 13 ja 15 vuoden ikärajan kesken. Matalin mahdollinen ikäraja eli 13 vuotta sai kuitenkin eniten kannatusta. Matalan ikärajan kannalla olivat liikenne- ja viestintäministeriö, Teknologiateollisuus ry, Lastensuojelun Keskusliitto, Effi ry, Kirkkohallitus, EHYT ry, Kuluttajaliitto—Konsumenförbundet ry, Mannerheimin Lastensuojeluliitto, Asiakkuusmarkkinointiliitto, Suomen Tilaajavastuu Oy, Kansallinen audiovisuaalinen instituutti KAVI, Pelastakaa Lapset ry, Allianssi ry, Akava, Suomen Lakimiesliitto, FiCom, Kansalliskirjasto, Oikeuskanslerinvirasto, Nokia Oyj sekä opetus- ja kulttuuriministeriö. Lausunnoissa korostetiin etenkin lasten osallistumisoikeutta ja painotettiin, että osallistuminen digitaaliseen kulttuuriin on lapsille ja nuorille merkittävä osa arkea, ilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Saatujen lausuntojen pohjalta esityksessä ehdotetaankin, että yleisen tietosuoja-asetuksen 8 artiklassa tarkoitettu ikäraja olisi Suomessa 13 vuotta.
Lisäksi lakiehdotusta on saadun lausuntopalautteen perusteella täydennetty eräillä rekisteröidyn oikeuksien rajoittamista koskevilla säännöksillä yleisen tietosuoja-asetuksen 23 artiklan mahdollistamalla tavalla. Lausunnonantajat katsoivat, että henkilötietolain kumoutuessa syntyisi muutoin tarve säätää poikkeuksista rekisteröidyn oikeuksiin jopa useissa kymmenissä erityislaeissa.
Valtiovarainministeriö kritisoi lausunnossaan tietosuojavaltuutetun toimiston nimen muuttamista tietosuojavirastoksi. Sen mukaan tietosuojavaltuutetun toimisto kuvaa nimenä toimintayksikön organisatorista asemaa paremmin kuin ehdotettu tietosuojavirasto, sillä virastonimitystä tulisi käyttää ainoastaan kirjanpitoyksikkönä toimivasta tulosohjatusta virastosta, jollaista ei ole ehdotettu. Jatkovalmistelussa päädyttiin tarkistamaan esitystä valtiovarainministeriön esittämällä tavalla siten, että tietosuojavaltuutetun organisaatiorakenne pysyisi ennallaan, eikä tietosuojavaltuutetun toimistoa ainakaan tässä vaiheessa laajennettaisi virastoksi.
TATTI-työryhmän mietintöön ei sisältynyt ehdotusta siitä, tulisiko yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettuja seuraamusmaksuja voida määrätä viranomaisille ja julkishallinnon elimille. Oikeusministeriö pyysi lausuntopyynnössään lausunnonantajia ottamaan tähän kysymykseen kantaa. Kannanotot puolesta ja vastaan jakaantuivat voimakkaasti niukan enemmistön kuitenkin katsoessa, ettei hallinnollisten seuraamusmaksujen ulottaminen viranomaisiin ole perusteltua. Tätä tietosuoja-asetuksen 83 artiklan 7 kohdan mahdollistaman liikkumavaran täysimääräistä käyttämistä kannattivat valtiovarainministeriö, sisäministeriö, opetus- ja kulttuuriministeriö, maa- ja metsätalousministeriö, Elintarviketurvallisuusvirasto Evira, Itä-Suomen yliopisto, Tekes, Oikeuskanslerinvirasto, Jyväskylän yliopisto, Kuopion museokeskus, liikenne- ja viestintäministeriö, Patentti- ja rekisterihallitus, Suomen Kuntaliitto, Kansalliskirjasto, Maaseutuvirasto, Nets Oy, Eduskunnan oikeusasiamiehen kanslia, Oikeusrekisterikeskus, Suomen yliopistokirjastojen neuvosto, Kansallisarkisto, CSC-Tieteen tietotekniikan keskus Oy, Museovirasto, Liikenteen turvallisuusvirasto Trafi, Väestörekisterikeskus, Kilpailu- ja kuluttajavirasto, Eduskunnan kanslia ja Kirkkohallitus. Jatkovalmistelussa on lausuntokierroksen jälkeen päädytty ehdottamaan, ettei yleisessä tietosuoja-asetuksessa tarkoitettuja hallinnollisia seuraamusmaksuja kohdisteta tässä vaiheessa viranomaisiin ja julkishallinnon elimiin. Tämän ratkaisun perusteluja käsitellään tarkemmin jaksossa 3.6 ja tietosuojalakiehdotuksen 26 §:n yksityiskohtaisissa perusteluissa
Työryhmän ehdotukseen henkilötietojen suojan ja sananvapauden yhteensovittamisesta suhtauduttiin lausunnonantajien keskuudessa pääosin myönteisesti. Eräät mediakonsernit sekä Suomen Journalistilitto kuitenkin katsoivat, että nykyisen oikeustilan säilyttämiseksi myös eräistä muista yleisen tietosuoja-asetuksen säännöksistä tulisi säätää kansalliset poikkeukset silloin, kun henkilötietoja käsitellään esimerkiksi journalistisia tarkoituksia varten. Jatkovalmistelun aikana tällaisten poikkeusten tarpeellisuutta on huolellisesti arvioitu, ja päädytty ehdottamaan, että myös yleisen tietosuoja-asetuksen 30 artiklasta säädettäisiin poikkeus tilanteissa, joissa henkilötietoja käsitellään asetuksen 85 artiklassa lueteltuja tarkoituksia varten.
Useat lausunnon antaneet kulttuuriperintöorganisaatiot pitivät työryhmän mietintöä niiden toiminnan kannalta monin paikoin aukollisena. Saadun lausuntopalautteen perusteella esitystä on tältä osin täydennetty. Lakiehdotukseen on ensinnäkin sisällytetty yleisen edun mukaisia arkistointitarkoituksia koskeva käsittelyperuste. Lisäksi tietosuojalakiin ehdotetaan sisällytettävän yleisen tietosuoja-asetuksen 89 artiklan 3 mukaista poikkeussäännöstä rekisteröidyn oikeuksista, kun tietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia varten.
Tietosuojavaltuutetun toimisto esitti lausunnossaan huolensa siitä, että työryhmän ehdotuksen perustella jäisi epäselväksi, mitä tapahtuu tietosuojavaltuutetun toimistossa vireillä oleville asioille tietosuojalain tullessa voimaan. Lakiehdotuksen siirtymäsäännöksiä on jatkovalmistelussa tarkistettu ja täsmennetty.
Vaikka työryhmä ei lopulta päätynyt ehdottamaan muutoksia julkisuuslakiin, kommentoivat useat lausunnonantajat silti mietinnön osana ollutta julkisuuslain muutoksia arvioinutta liitettä. Suurin osa näistä lausunnonantajista katsoi, että tietosuojalain säätämisen johdosta olisi välttämätöntä tehdä muutoksia myös julkisuuslakiin. Eduskunnan oikeusasiamiehen kanslia ja Väestörekisterikeskus myös yhtyivät pääosin mietinnön liitteenä olleeseen vähemmistön kantaan julkisuuslain muutosehdotuksista. Jatkovalmistelun yhteydessä päätettiin, että julkisuuslakiin tehtäviä muutostarpeita arvioidaan erikseen.
6 Riippuvuus muista esityksistä
Esityksellä on yhteys henkilötietojen käsittelyä rikosasioissa koskevan tietosuojadirektiivin täytäntöönpanoon. Oikeusministeriössä on valmisteltu hallituksen esitys tätä koskevaksi yleiseksi lainsäädännöksi ja oikeusministeriön hallinnonalan lainsäädännön tarkistamiseksi. Valvontajärjestelmän osalta tietosuojadirektiivin täytäntöönpanoa koskeva esitys pohjautuu tietosuojalakiehdotukseen. Samanaikaisesti valmistellaan rikosasioiden tietosuojadirektiiviä täytäntöönpanevaa sektorikohtaista lainsäädäntöä. Esityksellä on lisäksi yhteys Ahvenmaan maakuntahallituksen selvitystyöhön, joka koskee yleisestä tietosuoja-asetuksesta seuraavia muutostarpeita maakunnan omassa lainsäädännössä.
Esitys sisältää lakiviittauksen nykyiseen hallintolainkäyttölakiin (586/1996), joka on tarkoitus kumota uudella oikeudenkäynnistä hallintoasioissa annettavalla lailla. Esitys tästä annetaan eduskunnalle helmikuussa 2018.
Esityksellä on myös välitön yhteys maakuntauudistukseen (HE 15/2017 vp), sillä tarkoituksena on, että tietosuojalain 25 §:ään lisätään maininta maakuntaviranomaisista.
Edellä esitetyn perusteella annetaan Eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:
YKSITYISKOHTAISET PERUSTELUT
1 Lakiehdotusten perustelut
1.1 Tietosuojalaki
1 luku Yleiset säännökset
1 §. Lain tarkoitus. Pykälä ilmaisisi lain tarkoituksen. Säännöksen mukaan lain tarkoituksena olisi täsmentää ja täydentää yleistä tietosuoja-asetusta. Koska yleinen tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä, tietosuojalailla voidaan ainoastaan täsmentää yleisen tietosuoja-asetuksen kansallista soveltamista sen ollessa tarpeellista tai välttämätöntä yleisen tietosuoja-asetuksen täydentämiseksi. Kansallisella lainsäädännöllä voidaan täsmentää asetusta ainoastaan yleisessä tietosuoja-asetuksessa annetun kansallisen liikkumavaran puitteissa.
Nykyisen henkilötietolain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista. Henkilötietolailla pantiin täytäntöön henkilötietodirektiivi, jonka tavoitteisiin kuului turvata yksilön perusoikeudet ja -vapaudet, erityisesti heidän oikeutensa yksityisyyteen henkilötietojen käsittelyssä. Tämän ja perusoikeusuudistuksen vuoksi myös henkilötietolain keskeisenä tavoitteena on yksityiselämän suojan ja muiden yksityisyyden suojaa turvaavien perusoikeuksien toteuttaminen henkilötietoja käsiteltäessä.
Yleisen tietosuoja-asetuksen kohteesta ja tavoitteista säädetään asetuksen 1 artiklassa. Yleisen tietosuoja-asetuksen tavoitteena on suojella perusoikeuksia ja vapauksia yleisemmin, ei ainoastaan turvata yksilöiden oikeutta yksityisyyteen henkilötietojen käsittelyssä. Yleisellä tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia, erityisesti heidän oikeuttaan henkilötietojen suojaan. Henkilötietodirektiivin antamisen jälkeen voimaan tullut Euroopan unionin perusoikeuskirja on vahvistanut henkilötietojen suojan asemaa itsenäisenä perusoikeutena. Henkilötietoja ei suojata enää ainoastaan osana yksityisyyden suojaa. Tästä huolimatta henkilötietojen suojaa on yhä edelleen arvioitu usein yhteydessä yksityisyyden suojaan Euroopan unionin tuomioistuimen oikeuskäytännössä (esim. yhdistetyt asiat C-293/12 ja C-594/12).
Lisäksi asetuksen 1 artiklassa korostetaan, että henkilötietojen vapaata liikkuvuutta ei saa unionin sisällä rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.
Täsmennettäessä yleisen tietosuoja-asetuksen kansallista soveltamista tietosuojalailla on yleisen tietosuoja-asetuksen tavoitteilla välitön vaikutus myös tietosuojalain tarkoitukseen. Täsmennettäessä yleisen tietosuoja-asetuksen kansallista soveltamista tulee täsmentämisen tapahtua yleisessä tietosuoja-asetuksessa asetettujen tavoitteiden mukaisesti.
2 §. Soveltamisala. Pykälän 1 momentissa ilmaistaisiin lain soveltamisala. Soveltamisalaa koskevan pykälän 1 momentissa todettaisiin, että lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Yleisen tietosuoja-asetuksen 2 artiklan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdassa rajataan asetuksen soveltamisalan ulkopuolelle henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan ja käsittely, jota suorittavat jäsenvaltiot toteuttaessaan erityismääräyksiä yhteisestä ulko- ja turvallisuuspolitiikasta koskevan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Lisäksi rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluva henkilötietojen käsittely on rajattu yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle, samoin henkilötietojen käsittely, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Lisäksi yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle on suljettu unionin toimielinten, elinten ja laitosten henkilötietojen käsittely.
Yleisen tietosuoja-asetuksen 2 artiklan 4 kohdassa myös selvennetään, että asetuksella ei rajoiteta direktiivin 2000/31/EY soveltamista etenkään niiltä osin kuin on kyse tuon direktiivin 12—15 artiklassa säädetyistä välittäjinä toimivien palveluntarjoajien vastuuta koskevista säännöistä.
Tietosuojalakia sovellettaisiin yleisen tietosuoja-asetukseen nähden täydentävästi. Tietosuojalakia ei siten sovellettaisi henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa eikä rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvaan henkilötietojen käsittelyyn. Lisäksi pykälässä säädettäisiin, että yleisetä tietosuoja-asetusta sovellettaisiin sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan sekä henkilötietojen käsittelyyn, joka tapahtuisi SEU V osaston 2 jaksossa tarkoitettuun yhteisen ulko- ja turvallisuuspolitiikkaan liittyen.
Sovellettaessa yleistä tietosuoja-asetusta lähtökohtaisesti sen soveltamisalan ulkopuolelle jäävään henkilötietojen käsittelyyn, osa yleisessä tietosuoja-asetuksen säännöksistä tulisi sulkea tällaisen soveltamisen ulkopuolelle.
Soveltamisalan ulkopuolelle tulisi sulkea yleisen tietosuoja-asetuksen VI-VII luku siltä osin kuin kyse on niin sanotusta yhdenluukunmekanismista ja yhdenmukaisuusmekanismista. Esimerkiksi tietosuoja-asetuksen VI luvun 56 artiklassa säädetään johtavan valvontaviranomaisen toimivallasta. Yhdenluukunmekanismia ja yhdenmukaisuusmekanismia koskevat artiklat eivät tulisi sovellettavaksi, sillä ne koskevat tilanteita, joissa rekisterinpitäjä käsittelee henkilötietoja useamman jäsenvaltion alueella ja tavoitteena on yleisen tietosuoja-asetuksen yhdenmukainen soveltaminen EU:n alueella. Toimivaltainen viranomainen on tällöin rekisterinpitäjän päätoimipaikan tietosuojaviranomainen ja päätöksentekoon osallistuvat useamman jäsenvaltion tietosuojaviranomaiset. Järjestelmän puitteissa tehdyt päätökset sitovat kansallista tietosuojaviranomaista. Kyseen ollessa lähtökohtaisesti yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle jäävästä henkilötietojen käsittelystä ei tämänkaltaisia asioita ole tarpeellista arvioida ylikansallisessa päätöksentekomenettelyssä. Tällaiselle arvioinnille ei myöskään olisi edellytyksiä, sillä kyse olisi lähtökohtaisesti vahvoja kansallisia piirteitä sisältävistä kysymyksistä.
Yleisen tietosuoja-asetuksen soveltamisalan laajentaminen ei koskisi tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty.
Pykälä 2 momentissa säädettäisiin vielä 1 momenttia täydentävästi, että tietosuojalakia ei sovellettaisi sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (xx/2018). Kyseisellä lailla on tarkoitus panna täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisen viranomaisen suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimusta, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta. Mainittu laki tulisi sovellettavaksi myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu edellä mainitun direktiivin soveltamisalaan. Tarkoituksena on, että mainittu laki koskisi myös sellaista henkilötietojen käsittelyä, joka liittyy poliisiin, rajavartiolaitoksen ja puolustusvoimien tehtäviin kansallisen turvallisuuden alalla. Tämän vuoksi 2 momentissa olisi tarpeellista selventää, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta on säädetty edellä mainitulla lailla. Valvontajärjestelmän organisaation osalta rikosasioiden tietosuojadirektiivin täytäntöönpanoa koskeva esitys nojautuu kuitenkin tietosuojalakiehdotukseen.
Esimerkiksi kansallinen turvallisuus jää lähtökohtaisesti unionin lainsäädännön soveltamisalan ulkopuolelle. Tarkoituksena on, että henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 §:n 2 momentin 2 kohdan mukaan kyseistä lakia sovellettaisiin poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. Poliisilain 1 luvun 1 §:n 1 momentin mukaan poliisin tehtävänä on oikeus- ja yhteiskuntajärjestyksen turvaaminen, yleisen järjestyksen ja turvallisuuden ylläpitäminen sekä rikosten ennalta estäminen, paljastaminen, selvittäminen ja syyteharkintaan saattaminen. Poliisi toimii turvallisuuden ylläpitämiseksi yhteistyössä muiden viranomaisten kanssa.
Suojelupoliisin käsitellessä henkilötietoja tehtävänsä suorittamiseksi eli kansallisen turvallisuuden suojaamiseksi, sen henkilötietojen käsittely ei kuulu unionin lainsäädännön soveltamisalaan. Kansallinen turvallisuus on Euroopan unionista tehdyssä sopimuksessa suljettu EU:n toimivallan ulkopuolelle. Tästä syystä kansallisen turvallisuuden perusteella käsiteltävistä henkilötiedoista on säädettävä kansallisessa lainsäädännössä. Pykälän 2 momentissa tarkoitettua lakia sovellettaisiin myös muun poliisin yksikön suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään poliisilain 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.
Henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 §:n 2 momentin 3 kohdan mukaan lakia sovellettaisiin myös Rajavartiolaitoksen suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään kansallisen turvallisuuden suojaamisen yhteydessä. Rajavartiolain 3 §:ssä säädetään Rajavartiolaitoksen tehtävistä. Kansallisen turvallisuuden suojaamiseen niistä liittyvät erityisesti eräät valvontatehtävät sekä sotilaallisen maanpuolustuksen tehtävät.
Lisäksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 1 §:n 2 momentin 1 kohdan mukaan lakia sovellettaisiin sellaiseen Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, jota suoritetaan puolustusvoimista annetun lain 2 §:n 1 momentin mainituissa kohdissa säädettyjen tehtävien suorittamiseksi.
3 §. Sovellettava laki. Pykälässä säädettäisiin henkilötietojen käsittelyyn sovellettavasta laista. Tietosuoja-asetuksessa ei ole lainvalintaa koskevaa sääntelyä. Lainvalintasääntely soveltuisi tilanteeseen, jolla on liittymiä kahteen tai useampaan jäsenvaltioon. Näin on esimerkiksi silloin, kun rekisterinpitäjä on sijoittunut yhden jäsenvaltion alueelle ja rekisteröidyt, joiden henkilötietoja käsitellään, asuvat toisessa jäsenvaltiossa. Lainvalintasääntelyllä olisi käytännössä merkitystä ainoastaan siltä osin kuin on kyse yleistä tietosuoja-asetusta täydentävästä, jäsenvaltion harkintamarginaalin puitteissa annetusta lainsäädännöstä. Jos tällaista sääntelyä ei lainvalintasäännön osoittamassa jäsenvaltiossa ole, sovelletaan yksinomaan yleistä tietosuoja-asetusta.
Sovellettavaksi tulisi pykälän 1 momentin mukaan Suomen laki, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa. Henkilötietojen käsittely, jota suoritetaan toimipaikkaan liittyvän toiminnan yhteydessä, ei edellytä, että asiaomainen toimipaikka suorittaa itse kyseessä olevaa henkilötietojen käsittelyä.
Pykälän 2 momentissa säädettäisiin sovellettavista suojatoimista tilanteessa, jossa henkilötietojen käsitellään tieteellistä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Tietosuojalailla ehdotetaan säädettävän laajoista mahdollisuuksista poiketa rekisteröidyn eräistä oikeuksista, kun henkilötietoja käsitellään tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten.
Pykälän 2 momentin nojalla rekisteröidyn oikeuksia koskevia suojatoimenpiteitä koskevaa 31 §:ää olisi sovellettava siinäkin tapauksessa, että henkilötietojen käsittelyyn muutoin sovelletaan vieraan valtion lakia. Lain 31 § olisi siten luonteeltaan niin sanotusti kansainvälisesti pakottaa sääntelyä, jota on sovellettava lainvalinnasta riippumatta. Jos rekisteröidyn oikeuksista poikkeaminen olisi sovellettavan lain nojalla mahdollista, niistä voitaisiin poiketa ainoastaan sillä edellytyksellä, että nyt ehdotettavan lain 31 §:ssä säädettyjä suojatoimenpiteitä noudatetaan.
Lainvalintasääntelyllä ei ole vaikutusta siihen, miten toimivaltainen viranomainen tai toimivaltainen tuomioistuin määräytyy. Viranomaisen toimivallasta ja sen määräytymisestä säädetään yleisessä tietosuoja-asetuksessa.
2 luku Käsittelyn oikeusperuste eräissä tapauksissa
Yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn ollessa tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi ja käsittelyn ollessa tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi on käsittelyn perustasta säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Erityisten henkilötietoryhmien käsittely edellyttää lisäksi jonkin yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan edellytyksen täyttymistä. Lukuun otettaisiin yleisen tietosuoja-asetuksen kansallista täsmentämistä koskevat säännökset käsittelyn perustasta 6, 9 ja 10 artiklan osalta.
4 §. Käsittelyn lainmukaisuus. Pykälässä täsmennettäisiin yleisen tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa henkilötietojen käsittelyn lainmukaisuutta 6 artiklan 1 kohdan e alakohdan mukaisissa tilanteissa, joissa henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Yleisen tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jonkin 6 artiklan 1 kohdan edellytyksen täyttyessä.
Pykälän 1 kohdassa säädettäisiin henkilötietojen käsittelyn oikeudellisesta perustasta tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista ja käsittely on yleisen edun mukainen ja käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden yleisen tietosuoja-asetuksen edellyttämällä tavalla.
Nykyisen henkilötietolain 8 § :n 1 momentin 8 kohdassa säädetään pääosin vastaavasta henkilötietojen käsittelyn yleisestä edellytyksestä. Tämä henkilötietojen käsittelyn peruste on katsottu mahdolliseksi henkilötietodirektiivin rekisterinpitäjän oikeutettua etua koskevan 7 artiklan f alakohdan nojalla. Tietosuojalain käsittelyperuste 1 momentin 1 kohdassa tarkoitetulle henkilötietojen käsittelylle johdettaisiin yleisen tietosuoja-asetuksen kansallisesta liikkumavaran mahdollistamasta 6 artiklan 1 kohdan e alakohdan yleistä etua koskevan tehtävän suorittamista koskevasta käsittelyperusteesta. Henkilön asemaa, tehtävää ja niiden hoitamista koskevaa käsittelyperustetta lavennettaisiin nykymuotoiluun nähden lisäämällä käsittelyperusteeseen ”muu vastaava toiminta” ja poistamalla siitä sanat ”yleisesti saatavilla olevia”.
Muu vastaava toiminta laajentaisi käsittelyperustan soveltamisalaa henkilötietolain vastaavaan kohtaan nähden muihinkin tahoihin kuin julkisyhteisöihin tai elinkeinoelämään. Nykyisin sovellettavan henkilötietolain henkilön asemaa, tehtäviä tai niiden hoitoa koskeva käsittelyedellytys ei edellytä rekisterinpitäjää arvioimaan henkilötietojen käsittelyn yleisen edun mukaisuutta ja oikeasuhtaisuutta sillä tavoiteltuun päämäärään nähden. On katsottu, etteivät henkilön yksityisyyden suojaa turvaavat edut syrjäytä henkilötietolain 8 §:n 1 momentin 8 kohdassa tarkoitetuissa tilanteissa rekisterinpitäjän tai sivullisen intressejä, koska kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista tiedoista ja tiedot ovat yleisesti saatavilla. Lainkohdassa kuitenkin edellytettäisiin, että käsittely on yleisen edun mukainen ja käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden. Tämä edellytys seuraa yleisen tietosuoja-asetuksen 6 artiklan 3 kohdasta. Käsittelyperuste ei oikeuttaisi siinä tarkoitettujen henkilötietojen käsittelyä mitä hyvänsä tarkoitusta varten. Esimerkiksi julkisuuden henkilöiden henkilötiedoista epäasiallisin perustein kerättyä listaa ei voitaisi oikeuttaa tällä käsittelyn oikeusperusteella.
Oikeasuhtaisuutta arvioitaisiin kerättyjen henkilötietojen määrän lisäksi myös muun muassa käsittelytoimenpiteiden perusteella. Pykälän 1 momentin 1 kohta ei oikeuttaisi henkilötietojen pitämistä julkisesti saatavilla. Kohdassa tarkoitetun henkilötietojen käsittelyn tulisi myös kaikilta muilta osin vastata yleisessä tietosuoja-asetuksessa rekisterinpitäjälle asetettuja vaatimuksia. Myös yleisen tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet tulisivat täysimääräisesti sovellettavaksi. Rekisteröidyllä olisi oikeus esimerkiksi yleisen tietosuoja-asetuksen 17 artiklan mukaiseen oikeuteen tietojen poistamiseen (oikeus tulla unohdetuksi) ja 21 artiklassa tarkoitettuun vastustamisoikeuteen.
Pykälän 2 kohdassa säädettäisiin käsittelyn oikeusperusteesta henkilötietojen käsittelemiseksi viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Säännöksessä myös selvennetään, että käsittelyn on oltava tarpeen ja oikeasuhtaista. Säännöksen tarkoituksena on mahdollistaa viranomaisten toimesta tapahtuva henkilötietojen käsittely silloin, kun oikeutta käsittelyyn ei voida suoraan johtaa viranomaista koskevasta tehtävä- ja toimivaltasäännöksestä eikä mahdollisesta yksityiskohtaisemmasta erityissääntelystä. Koska säännös edellyttäisi, että käsittely on tarpeen viranomaisen toiminnassa, säännös mahdollistaisi henkilötietojen käsittelyn, joka olisi asianmukaisesti perusteltua viranomaisen tehtävien ja toimivallan kannalta. Lisäksi käsittelyn tulisi olla oikeasuhtaista viranomaisen tehtävän suorittamiseksi. Tämä selkiyttäisi sitä, että viranomaisen olisi aina tapauskohtaisesti arvioitava, voidaanko kyseessä olevaa henkilötietojen käsittelyä pitää oikeasuhtaisena käsittelyn tarkoitukset huomioon ottaen. Kuten kaikessa henkilötietojen käsittelyssä, tässäkin arvioinnissa olisi otettava huomioon yleisen tietosuoja-asetuksen 5 artiklan henkilötietojen käsittelyä koskevat periaatteet, kuten tietojen minimoinnin periaate, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Rekisterinpitäjän olisi myös arvioitava käsittelyn oikeasuhtaisuutta suhteessa rekisteröidyn etuihin ja perusoikeuksiin. Rekisterinpitäjän käsitellessä henkilötietoja tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan rekisterinpitäjän oikeutetun edun nojalla, rekisterinpitäjän on kiinnitettävä erityistä huomiota siihen, onko rekisteröity lapsi. Vastaavasti rekisterinpitäjän olisi kiinnitettävä huomiota tähän seikkaan käsitellessään henkilötietoja ehdotetun 2 kohdan mukaisesti.
Kansallisella lailla voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joita varten henkilötietojen myöhempää käsittelyä on pidettävä yhteensopivana ja laillisena, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Säännöksen tarkoituksena ei olisi luoda käsittelyn oikeudellista perustaa henkilötietojen myöhemmälle käsittelylle, joka on henkilötietojen alkuperäisten käsittelytarkoituksen kanssa yhteensopimatonta. Jos käsittely sopii yhteen niiden tarkoituksien kanssa, joita varten henkilötiedot on alun perin kerätty, ei henkilötietojen keruun oikeuttaneen käsittelyn oikeusperusteen lisäksi edellytetä muuta erillistä käsittelyn oikeusperustetta. Kyseessä ei siten olisi yleisen tietosuoja-asetuksen johdanto-osan kappaleessa 50 tarkoitettu tilanne, jossa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan määrittää ja täsmentää tehtävät ja tarkoitukset, joiden myöhempää käsittelyä olisi pidettävä yhteensopivana ja laillisena. Säädettäessä tällaisesta käsittelyn oikeusperusteesta on tätä arvioitava yleisen tietosuoja-asetuksen 6 artiklan 4 kohdan mukaan yleisen tietosuoja-asetuksen 23 artiklan 1 kohdassa asetettujen tavoitteiden turvaamisen kannalta. Säädettäessä muussa laissa henkilötietojen käsittelyn oikeusperusteesta, jonka nojalla henkilötietojen myöhempi yhteensopimaton käsittely olisi mahdollista, olisi tämä aina perusteltava yksityiskohtaisesti ottaen erityisesti yleisen tietosuoja-asetuksen 23 artiklan huomioon.
Lainkohdassa säädetty käsittelyn oikeudellinen peruste koskisi ainoastaan viranomaisten henkilötietojen käsittelyä. Yksityisoikeudellisten yhteisöjen hoitaessa julkisia hallintotehtäviä, tulisi sovellettavaksi joko yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta tai f alakohta, jonka mukaan henkilötietoja voi käsitellä rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Artiklan f alakohtaa ei kuitenkaan sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. Ehdotettu 3 §:n 2 kohta olisi siten tarpeellinen, jotta viranomaiset voivat käsitellä henkilötietoja muiden tehtävien kuin lakisääteisten velvoitteiden suorittamiseksi. Tällainen tehtävä voisi olla esimerkiksi viranomaisen suunnittelu- ja selvitystehtävä.
Kyseisen lainkohdan nojalla henkilötietoja voisi käsitellä myös esimerkiksi viranomaisen suunnittelu- ja selvitystehtäviä varten vastaisuudessakin. Tällä hetkellä henkilötietolain 16 §:ssä säädetään viranomaisen mahdollisuudesta muilla kuin henkilötietolain 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin suunnittelu- ja selvitystehtäviä varten. Henkilötietolain 16 §:ssä tarkoitettua rekisteriä on mahdollista ylläpitää vain määräajan. Henkilötietojen keräämisessä ja tallettamisessa on tällöin noudatettava soveltuvin osin henkilötietolain 14 §:n säännöksiä henkilötietojen käsittelystä historiallista tai tieteellistä tutkimusta varten. Henkilötietolain säännöstä on pidetty tarpeellisena sen vuoksi, että siinä tarkoitettu viranomaisen suunnittelu- ja selvitystehtävä ei yleensä ole sellaista historiallista tai tieteellistä tutkimusta, jota 14 §:ssä tarkoitetaan. Henkilötietolaissa tarkoitettu suunnittelu- tai selvitystehtävä voi liittyä sellaiseen yhteiskunnallisen kehityksen myötä syntyneeseen uuteen ilmiöön, johon liittyvien tehtävien hoito ei vielä selvästi kuulu minkään viranomaisen lakisääteisiin tehtäviin, eikä henkilötietojen käsittely ole siten ollut mahdollista henkilötietolain 8 §:n 1 momentin 4 kohdan nojalla. Tällaista suunnittelutehtävien suorittamista ja selvitysten tekemistä on pidetty yleisen edun vuoksi perusteltuna. Tällöin voi olla tarpeen kerätä ja tallettaa myös henkilötietoja.
Henkilötietolain 16 §:n on katsottu olevan mahdollinen paitsi henkilötietodirektiivin 7 artiklan f alakohdan, myös artiklan e alakohdan nojalla. Henkilötietodirektiivin 7 artiklan e alakohta sallii henkilötietojen käsittelyn, kun se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle. Kun henkilötietojen keräämisessä ja tallettamisessa henkilötietolain 16 §:n nojalla on noudatettava soveltuvin osin 14 §:ssä henkilötietojen käsittelylle historiallista ja tieteellistä tutkimusta varten asetettuja vaatimuksia, on lain esitöissä katsottu, että rekisteröidyn oikeudet ja vapaudet tulevat kyseisessä pykälässä otetuiksi huomioon siten kuin henkilötietodirektiivi edellyttää. Henkilötietolain viranomaisten selvitystehtäviä koskevalla henkilötietojen käsittelyn oikeudellisella perustalla on lisäksi pantu täytäntöön henkilötietodirektiivin 7 artiklan f alakohtaa. Henkilötietodirektiivin 7 artiklan e alakohta vastaa ehdotettua käsittelyn oikeusperustetta. Käsittelyn oikeusperuste johdettaisiin siten yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdasta. Henkilötietojen käsittely viranomaisen suunnittelu- ja selvitystehtävien toteuttamiseksi olisi tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Käsiteltäessä henkilötietoja yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla, on rekisteröidyllä oikeus vastustaa henkilötietojensa käsittelyä yleisen tietosuoja-asetuksen 21 artiklan nojalla. Tällä hetkellä henkilötietolakiin ei sisälly vastaavaa mahdollisuutta vastustaa henkilötietojen käsittelyä viranomaisten käsitellessä henkilötietoja suunnittelu- tai selvitystehtäviin.
Pykälän 3 kohdassa säädettäisiin henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan yleistä etua koskevan tehtävän suorittamiseksi tieteellistä tai historiallista tutkimusta ja tilastointia varten. Säännös perustuisi yleisen tietosuoja-asetuksen 6 artiklan 2 kohdan valtuutukseen, joka mahdollistaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan täsmentämisen erityisesti IX luvun käsittelytilanteiden osalta kansallisella lainsäädännöllä. Osaltaan ehdotetulla säännöksellä myös toteutettaisiin yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista vaatimusta kansallisesti säätää 6 artiklan 1 kohdan e alakohdan mukaisen käsittelyn perustasta. Säännös on luonteeltaan asetusta täydentävä ja täsmentävä. Sillä täsmennettäisiin 6 artiklan 1 kohdan e alakohdan sisältöä Suomen tutkimusjärjestelmän ja oikeusjärjestelmän olosuhteissa.
Säännös ei rajoittaisi niiden toimijoiden piiriä, jotka voisivat vedota tähän käsittelyperusteeseen. Henkilötietoja voisi säännöksen perusteella käsitellä luonnolliset henkilöt ja julkiset sekä yksityiset oikeushenkilöt.
Henkilötietojen käsittely tieteellistä tai historiallista tutkimustarkoituksia tai tilastointia varten edellyttää, että jokin yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisista käsittelyperusteista täyttyy. Ehdotetun lainkohdan lisäksi henkilötietojen käsittely edellä mainituissa tilanteissa on siten myös mahdollista, jos jokin muu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisista käsittelyperusteista täyttyy. Henkilötietojen käsittely tieteellisessä tutkimustarkoituksessa on siten mahdollista, jos käsittelylle on esimerkiksi rekisteröidyn suostumus tai kyseessä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdassa tarkoitettu rekisterinpitäjän oikeutettu etu.
Henkilötietoja voitaisiin käsitellä lainkohdan nojalla tieteellistä tai historiallista tutkimusta tai tilastointia varten, jos käsittely on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden. Tarpeellisuutta ja oikeasuhtaisuutta arvioitaessa tulisi kiinnittää aivan erityistä huomiota yleisen tietosuoja-asetuksen 5 artiklan c ja e alakohtiin henkilötietojen käsittelyn periaatteista. Rekisterinpitäjällä on yleisen tietousoja-asetuksen 5 artiklan 1 kohdan f alakohdasta seuraava osoitusvelvollisuus. Rekisterinpitäjän on siten kyettävä osoittamaan käsittelyn tarpeellisuus ja oikeasuhtaisuus. Henkilötietojen myöhempi käsittely ehdotetussa säännöksessä tarkoitettuihin käsittelytarkoituksiin olisi aina erikseen arvioitava. Tätä arvioitaessa olisi otettava huomioon esimerkiksi aineistoon liittyvät tutkimusluvan ehdot ja aineistoon liittyvät aiemmat suostumukset. Yleisen tietosuoja-asetuksen johdanto-osan 33 kappaleen mukaan usein tieteellisiä tutkimustarkoituksia varten tehtävän käsittelyn tarkoitusta ei ole mahdollista täysin määrittää siinä vaiheessa, kun henkilötietoja kerätään. Tästä syystä rekisteröityjen olisi voitava antaa suostumuksensa tietyille tieteellisen tutkimuksen aloille silloin, kun noudatetaan tieteellisen tutkimuksen tunnustettuja eettisiä standardeja. Rekisteröidyillä olisi oltava mahdollisuus antaa suostumuksensa ainoastaan tietyille tutkimusaloille tai tutkimushankkeiden osille siinä määrin kuin tarkoitus sen mahdollistaa.
Lainkohdassa tarkoitettua henkilötietojen käsittelyä tilastollisia tarkoituksia varten voisi olla esimerkiksi palkkatilastointi.
Pykälän 4 kohdassa säädettäisiin henkilötietojen käsittelystä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan yleistä etua koskevan tehtävän suorittamiseksi, jos henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.
Säännös perustuisi yleisen tietosuoja-asetuksen 6 artiklan 2 kohdan valtuutukseen, joka mahdollistaa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan täsmentämisen erityisesti IX luvun käsittelytilanteisen osalta kansallisella lainsäädännöllä. Osaltaan ehdotetulla säännöksellä myös toteutettaisiin yleisen tietosuoja-asetuksen 6 artiklan 3 kohdan mukaista vaatimusta kansallisesti säätää 6 artiklan 1 kohdan e alakohdan mukaisen käsittelyn perustasta. Säännös on luonteeltaan asetusta täydentävä ja täsmentävä. Sillä täsmennettäisiin 6 artiklan 1 kohdan e alakohdan sisältöä Suomen tutkimusjärjestelmän ja oikeusjärjestelmän olosuhteissa, joissa esimerkiksi kaikkien merkittävien arkistointitoimijoiden asemasta ei ole lainsäädäntöä. Säännöksellä ei kuitenkaan pyrittäisi rajoittamaan henkilötietojen käsittelyn alaa tieteellisissä ja historiallisissa tutkimustarkoituksissa siitä, mitä se on suoraan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla.
Säännöksellä ei pyrittäisi määrittelemään yleisen edun mukaisesta arkistointitarkoituksesta seuraavaa käytön laajuutta, joka määräytyy viime kädessä EU-tuomioistuimen tulkintakäytännössä. Sen voidaan joka tapauksessa katsoa kattavan myös muuta aineiston käsittelyä kuin säilyttämistä. Yleisen edun mukaiseen arkistointiin liittyy yleensä ainakin aineistojen järjestämistä, metatietojen määrittelemistä ja tietojen yhdistelyä.
Henkilötietojen käsittely arkistointitarkoituksia varten edellyttää, että vähintään yksi tietosuoja-asetuksen 6 artiklan 1 kohdan mukaisista käsittelyperusteista täyttyy. Kaikki artiklan mukaiset käsittelyperusteet ovat tasa-arvoisia. Arkistointi on siten mahdollista, jos jokin näistä käsittelyperusteista täyttyy. Sikäli kuin yleisen tietosuoja-asetuksen 5 artiklassa säädetystä henkilötietojen käsittelyä koskevasta käyttötarkoitussidonnaisuutta tai säilytyksen rajoittamista koskevasta periaatteesta kuitenkin poiketaan, edellyttää yleinen tietosuoja-asetus, että kyse on yleisen edun mukaisesta arkistointitarkoituksesta. Henkilötietojen säilyttäminen niiden alkuperäistä käyttötarkoitusta pidempään arkistointitarkoituksessa on siten mahdollista ainoastaan arkistoinnin ollessa yleisen edun mukaista. Sillä, mihin 6 artiklan 1 kohdan käsittelyn oikeusperusteeseen henkilötietojen käsittely perustuu, on myös vaikutusta siihen, mitä oikeuksia rekisteröidyllä on. Ehdotetussa lainkohdassa täsmennettäisiin 6 artiklan 1 kohdan e alakohdan mukaisen käsittelyperusteen täyttymistä yleisen edun mukaisen arkistointitarkoituksen osalta.
Kulttuuriperintöaineistoja tallennetaan laajasti moninaisissa muistiorganisaatioissa: kirjastoissa, arkistoissa ja museoissa. Nämä toimijat voivat olla sekä viranomaisia että yksityisiä toimijoita. Säännös ei rajoittaisi niiden toimijoiden piiriä, jotka voisivat käsitellä henkilötietoja 4 kohdan käsittelyperusteen nojalla. Henkilötietojen käsittely olisi siten ehdotetun kohdan mukaan mahdollista niin luonnollisille henkilöille kuin julkisille tai yksityisille oikeushenkilöille. Olennaista olisi yleisen edun mukainen toiminta sekä sen suhde rekisteröidyn oikeuksiin. Viranomaisen osalta arkistointitehtävästä säädettäisiin kuitenkin lailla. Tutkimusaineistoja syntyy erityisesti korkeakoulujen ja tutkimuslaitosten toiminnassa. Näiden aineistojen käsittelyedellytykset olisivat samat kuin kulttuuriperintöaineistojen. Niiden arkistointi edellyttäisi siten tarveharkintaa ja suhteellisuusarvioita.
Henkilötietojen käsittely sisältää ajatuksen henkilötietojen elinkaaresta, jossa henkilörekisterille ja henkilötietojen käsittelylle on määriteltävä alku ja loppu. Elinkaaren loppupuolella aineiston voi hävittää, anonymisoida tai se voidaan arkistoida, jos arkistoinnille on olemassa asialliset perusteet. Lähtökohta kuitenkin on, että henkilötietojen käsittelyn on palveltava ensisijaista käsittelytarkoitusta, ja vain poikkeuksellisesti aineisto voidaan katsoa niin merkittäväksi, että sen säilyttäminen muuta käyttötarkoitusta varten on perusteltua. Rekisterinpitäjän vastuu käsitellä henkilötietoja sisältävää arkistoitua aineistoa yleisen tietosuoja-asetuksen mukaisesti säilyy arkistoinnista huolimatta.
Lainkohdan vaatimuksella käsittelyn tarpeellisuudesta ja oikeasuhtaisuudesta tarkoitettaisiin, että henkilötietojen säilyttämisen oikeutus tulisi arvioida säännönmukaisesti kunkin säilytettävän henkilötiedon tai henkilötietoryhmän osalta suhteessa yleisen edun mukaiseen arkistointitarpeeseen. Arkistointitarpeeseen vaikuttaisivat erityisesti tiedon mahdollinen tutkimuskäyttö ja muu kulttuuriperintöön liittyvä arvo. Arviossa tulisi kiinnittää aivan erityistä huomiota yleisen tietosuoja-asetuksen 5 artiklan c ja e alakohtiin henkilötietojen käsittelyä koskeviin periaatteisiin. Asetuksen 5 artiklan c alakohta sisältää tietojen minimoinnin periaatteen, henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on puolestaan säilytettävä muodossa, jossa rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten noudattamista varten. Henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että yleisessä tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi.
Sääntely koskisi sekä muun toiminnan yhteydessä syntyviä kulttuuriperintöaineistoja että tutkimuksen puitteissa kertyviä tutkimusaineistoja. Kulttuuriperintöaineistojen kirjo on laaja. Ne voivat sisältää ihmisten toiminnassa kertyvien, toiminnan historiasta ja merkityksestä kertovien aineistojen lisäksi muun muassa tietoa luonnonperinnöstä ja taiteesta. Kulttuuriperintöaineisto voi olla esimerkiksi asiakirjoja, esineitä, painotuotteita, taideteoksia, luonnontieteellisiä aineistoja, kuvia ja audiovisuaalisia aineistoja, sekä dokumenttiaineistoja ja kyselyaineistoja. Yleisen tietosuoja-asetuksen ja ehdotetun tietosuojalain soveltuminen kuitenkin edellyttää, että kulttuuriperintöaineistot tai niiden kuvailuaineistot sisältävät henkilötietoja. Kuvailutiedoilla tarkoitetaan kulttuuriperintöaineistoihin liitettäviä viitetietoja ja muita määreitä, joilla aineisto yhdistetään asioihin ja henkilöihin ja joilla pyritään lisäämään aineiston informatiivisuutta ja saatavuutta.
Ehdotettu henkilötietojen käsittelyperusta pitää sisällään myös mahdollisuuden käsitellä kulttuuriperintöaineistoja siinä tarkoituksessa, että kyseiset aineistot saatetaan käytettäväksi. Rekisterinpitäjän on tässäkin käsittelytarkoituksessa arvioitava, onko käsittely tarpeellista ja oikeasuhtaista sillä tavoiteltuihin päämääriin nähden. Rekisterinpitäjän on käsittelyn oikeasuhtaisuutta arvioidessaan otettava huomioon rekisteröidyn oikeudet ja henkilötietojen käsittelyn yleiset periaatteet. Jos rekisteröidyn oikeuksista on poikettu ehdotetun lain 33 §:n nojalla, on rekisterinpitäjän kiinnitettävä tähän erityistä huomiota arvioidessaan käsittelyn oikeasuhtaisuutta. Kun saatetaan esimerkiksi laajoja valokuva-aineistoja käytettäväksi, voi rekisterinpitäjä kiinnittää huomiota esimerkiksi aineiston ikään ja siihen, missä laajuudessa aineisto saatettaisiin käytettäväksi.
5 §. Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja. Pykälässä säädettäisiin, että tarjottaessa tietoyhteiskunnan palveluja suoraan lapselle, lapsen henkilötietojen käsittely olisi lainmukaista vain, jos lapsi on vähintään 13-vuotias. Jos lapsi on alle 13 vuotta, tällainen käsittely olisi lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Lapsen ikärajasta säätäminen on mahdollista yleisen tietosuoja-asetuksen 8 artiklan 1 kohdan nojalla. Jos lapsen ikärajasta ei kansallisesti säädetä, määräytyy se suoraan tietosuoja-asetuksen 8 artiklan perusteella 16 vuodeksi. Pykälässä säädetty ikäraja koskisi ainoastaan henkilötietojen käsittelyä, jossa käsittelyn oikeudellinen käsittelyperuste on yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohta eli rekisteröidyn suostumus.
Vanhempainvastuunkantajalla tarkoitetaan esimerkiksi Bryssel II -asetuksen (neuvoston asetus (EY) N:o 2201/2003, annettu 27 päivänä marraskuuta 2003 tuomioistuimen toimivallasta sekä tuomioiden tunnustamisesta ja täytäntöönpanosta avioliittoa ja vanhempainvastuuta koskevissa asioissa ja asetuksen (EY) N:o 1347/2000 kumoamisesta) mukaan ketä tahansa henkilöä, jolla on vanhempainvastuu lapseen nähden. Vanhempainvastuulla tarkoitetaan Bryssel II –asetuksen mukaan sellaisia oikeuksia ja velvollisuuksia, jotka liittyvät lapsen henkilöön tai omaisuuteen ja jotka jollakin luonnollisella henkilöllä tai oikeushenkilöllä on tuomioistuimen tuomion tai lain taikka voimassa olevan sopimuksen perusteella. Ilmaisu käsittää erityisesti oikeuden lapsen huoltoon ja tapaamisoikeuden. Kansallisesti vanhempainvastuunkantajina on yleensä pidetty lapsen huoltajaa ja edunvalvojaa.
Tietoyhteiskunnan palvelulla tarkoitettaisiin yleisen tietosuoja-asetuksen 4 artiklan 25 kohdan nojalla Euroopan parlamentin ja neuvoston direktiiviin (EU) 2015/1535 1 artiklan 1 kohdan b alakohdassa tarkoitettuja palveluita. Mainitun säännöksen mukaan tietoyhteiskunnan palvelulla tarkoitetaan kaikkia etäpalveluina sähköisessä muodossa palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavia palveluita, joista tavallisesti maksetaan korvaus. Etäpalvelulla tarkoitettaisiin palvelua, joka toimitetaan siten että osapuolet eivät ole samanaikaisesti läsnä. Sähköisellä muodolla viitattaisiin palveluun, joka lähetetään lähetyspaikasta ja vastaanotetaan määränpäässä tietoja elektronisesti käsittelevien laitteiden tai tietojen säilytyksen avulla ja joka lähetetään, siirretään ja vastaanotetaan kokonaan linjoja, radioyhteyttä, optisia tai muita elektromagneettisia välineitä käyttäen. Palvelun vastaanottajan henkilökohtaisesta pyynnöstä toimitettavalla palvelulla tarkoitettaisiin, että palvelu toimitetaan henkilökohtaisen pyynnön perusteella tapahtuvana tiedonsiirtona.
Yleisen tietosuoja-asetuksen 8 artiklan 3 kohdan mukaisesti tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot eivät vaikuta kansalliseen sopimus- tai velvoiteoikeuteen, kuten lapsen kelpoisuuteen ylipäätään tehdä oikeustoimia.
6 §. Erityisiä henkilötietoryhmiä koskeva käsittely. Pykälässä säädettäisiin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä. Pykälässä säädetyissä tilanteissa olisi mahdollista käsitellä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Henkilötietojen käsittelyyn ei siten sovellettaisi pykälässä tarkoitetuissa tilanteissa yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa, jossa kielletään kyseisten tietojen käsittely.
Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetään tilanteista, joissa erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voidaan käsitellä. Osa 9 artiklan 2 kohdan luetelmakohdista on suoraan sovellettavia, osa edellyttää jäsenvaltion lainsäädäntöä. Kansallisella lainsäädännöllä ei tällöinkään voida ohittaa yleisestä tietosuoja-asetuksesta johtuvia vaatimuksia ja periaatteita. Ehdotetussa 6 §:ssä säädettäisiin nykyisen henkilötietolain 12 §:n mukaisista tilanteista, joissa arkaluonteisia henkilötietoja saa käsitellä siltä osin kuin kyseinen henkilötietojen käsittely ei ole mahdollista suoraan yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan nojalla. Yleinen tietosuoja-asetus edellyttää, että jäsenvaltion lainsäädännössä säädetään tällöin myös asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Eräitä muutoksia henkilötietolain 12 §:ään nähden seuraisi kuitenkin siitä, että erityisiin henkilötietoryhmiin ei kuulu tiedot, jotka on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta. Henkilötietolain mukaan edellä mainitut tiedot ovat arkaluonteisia henkilötietoja. Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä säädetään yleisen tietosuoja-asetuksen 10 artiklassa. Erityisiin henkilötietoryhmiin ei myöskään kuulu nykyisin henkilötietolaissa arkaluonteiseksi säädetyt tiedot henkilön sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista ja muista sosiaalihuollon etuuksista. Nykyisen henkilötietolain 12 §:n 13 kohdan mukaisesta arkaluonteisten henkilötietojen käsittelystä, joka on mahdollista tietosuojalautakunnan luvalla, ei enää säädettäisi.
Ehdotetussa 6 §:n 2 momentissa säädettäisiin asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Ehdotetun 6 §:n lisäksi yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa tarkoitetusta henkilötietojen käsittelystä on mahdollista säätää tarkemmin myös erityislainsäädännöllä.
Pykälän muotoilu poikkeaisi nykyisestä henkilötietolain muotoilusta siten, että ehdotetun pykälän mukaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovellettaisi 6 §:ssä säädetyissä tilanteissa. Henkilötietolain 12 §:n mukaan arkaluonteisten henkilötietojen käsittelykielto ei estä henkilötietojen käsittelyä lain 12 §:ssä luetelluissa tilanteissa. Muutoksella ei pyrittäisi muuttamaan nykytilaa, vaan kyse olisi yhdenmukaisesta ilmaisutavasta yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan kanssa.
Pykälän 1 momentin 1 kohdassa täsmennettäisiin erityisten henkilötietoryhmien käsittelyä koskevia käsittelytilanteita vakuutuslaitosten vakuutustoiminnassa saatujen tietojen käsittelyn osalta. Tämä on mahdollista yleisen tietosuoja-asetuksen 9 artiklan g kohdan nojalla. Pykälän 1 kohdan täsmennys olisi tarpeellinen, jotta vakuutuslaitokset voisivat vastaisuudessakin käsitellä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista tiedoista. Momentin 1 kohta vastaisi nykyisen henkilötietolain 12 §:n 11 kohtaa, jonka mukaan vakuutuslaitokset voivat käsitellä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista taikka sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.
Nykyisen henkilötietolain 12 §:n 11 kohdan mukainen käsittelyn oikeusperuste ei nimenomaisesti sisälly henkilötietodirektiivin erityisiä tietoryhmiä koskevaan 8 artiklaan, mutta se on katsottu mahdolliseksi 8 artiklan 4 ja 5 kohdan nojalla. Kyseisen 4 kohdan mukaan jäsenvaltiot voivat, ottaen huomioon tarvittavat suojatoimet, tärkeää yleistä etua koskevasta syystä, toteuttaa muita kuin 8 artiklan 2 kohdassa säädettyjä poikkeuksia joko kansallisella lailla tai valvontaviranomaisen päätöksellä. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohta käsittää vastaavan g alakohdan, jonka mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on mahdollista, jos se on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla, edellyttäen että se on oikeasuhtainen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin henkilötietojen suojaa ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Ehdotettua säännöstä voidaan pitää siten oikeasuhtaisena. Lisäksi vakuutuslaitosten toiminta on yksityiskohtaisesti säänneltyä.
Momentin 1 kohdan mukaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohta ei estäisi vakuutuslaitosta vastaisuudessakaan käsittelemästä eräitä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja vastuunsa selvittämiseksi. Vakuutuslaitos voisi siten käsitellä tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista. Yleisen tietosuoja-asetuksen 9 artiklan 1 kohta käsittää muun muassa terveyttä koskevat tiedot. Tietosuojalain 6 §:ssä tarkoitetut tiedot ovat terveyttä koskevia tietoja. Erityisiä henkilötietoryhmiä koskeva 9 artikla käsittää henkilötietolaissa arkaluonteisiksi katsottujen tietojen lisäksi muun muassa henkilön geneettisten tai biometristen tietojen käsittelyn henkilön yksiselitteistä tunnistamista varten. Vakuutuslaitoksilla ei ehdotetun pykälän mukaan olisi vastaisuudessakaan oikeutta käsitellä geneettisiä tietoja.
Koska myös muilla vakuutuslaitoksilla kuin vakuutusyhtiöillä — kuten vakuutusyhdistyksillä ja eläkesäätiöillä ja -kassoilla — on samanlainen tarve käsitellä toiminnassaan henkilöiden terveydentilaa koskevia tietoja kuin vakuutusyhtiöillä, ehdotetaan säädettäväksi vakuutuslaitoksen oikeudesta käsitellä tietoja. Vakuutuslaitokset saisivat 6 §:n nojalla käsitellä vakuutettua koskevien tietojen lisäksi myös korvauksenhakijaa koskevia tietoja. Tämä johtuu siitä, että vakuutuslaitokset joutuvat toiminnassaan käsittelemään myös muita korvauksenhakijoita kuin vakuutettuja koskevia terveydentilatietoja. Esimerkiksi liikenneonnettomuudessa loukkaantunut henkilö ei useinkaan ole vakuutettu, vaan ulkopuolinen henkilö, jolle liikenneonnettomuudessa on aiheutunut henkilövahinko.
Momentin 1 kohta ei nykyisen henkilötietolain 12 §:n 11 kohdan tavoin sisältäisi käsittelyperustetta henkilötietojen käsittelylle korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, sillä rikostuomioihin ja rikkomuksiin koskevasta henkilötietojen käsittelystä säädettäisiin ehdotetun lain 7 §:ssä.
Vakuutuslaitoksia koskevan yksityiskohtaisen sääntelyn yhdessä vakuutustoiminnan luvanvaraisuuden ja vastuunselvittämiseen rajoitetun käsittelyoikeuden kanssa voidaan katsoa osaltaan muodostavan asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Ehdotetun 6 §:n 1 momentin 2 kohdassa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelystä, jos käsittelystä on säädetty laissa tai jos käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Kyseinen kohta vastaisi nykyisen henkilötietolain 12 §:n 5 kohtaa. Henkilötietolain säännös on katsottu mahdolliseksi henkilötietodirektiivin 8 artiklan 4 kohdan perusteella. Direktiivin 8 artiklan 4 kohdan mukaan jäsenvaltiot voivat, ottaen huomioon tarvittavat suojatoimet, tärkeää yleistä etua koskevasta syystä, toteuttaa muita kuin direktiivin 2 kohdassa säädettyjä poikkeuksia kansallisella lailla. Myös yleisen tietosuoja-asetuksen 9 artiklan 2 alakohdan g alakohta sisältää mahdollisuuden poiketa erityisiä henkilötietoryhmiä koskevasta käsittelykiellosta jäsenvaltion lainsäädännön nojalla, jos käsittely on tarpeen tärkeää yleistä etua koskevasta syystä. Lisäksi tietosuoja-asetuksessa edellytetään, että kyseinen lainsäädäntö on oikeasuhteinen tavoitteeseensa nähden, siinä noudatetaan keskeiseltä osin henkilötietojen suojaa ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Lainsäätäjän on otettava nämä edellytykset asianmukaisesti huomioon. Vastaavat vaatimukset seuraavat myös lainsäätäjää sitovista perusoikeuksien yleisistä rajoitusedellytyksistä. Ehdotettu lainkohta olisi siten mahdollinen yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla. Asianmukaisista ja erityisistä suojatoimista säädettäisiin ehdotetun pykälän 2 momentissa.
Momentin 3 kohdassa säädettäisiin ammattiliittoon kuulumista koskeva tiedon käsittelystä tilanteessa, jossa se on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla. Kyseinen kohta vastaisi nykyisen henkilötietolain 12 §:n 9 kohtaa, jonka mukaan ammattiliittoon kuulumista koskevan tiedon käsittely, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla, on mahdollista. Pykälän 3 kohta mahdollistaisi ainoastaan ammattiliittoon kuulumista koskevan tiedon käsittelyn. Siten niillä muutoksilla, joita erityisiin henkilötietoryhmiin katsottavaksi kuuluvien tietojen osalta seuraa yleisestä tietosuoja-asetuksesta, ei olisi vaikutusta kyseiseen lainkohtaan.
Ehdotettu lainkohta mahdollistaisi nykyiseen tapaan sen, että myös työnantaja voi siinä säädetyillä edellytyksillä käsitellä ammattiliiton jäsenyystietoja. Tällainen tilanne voi olla esimerkiksi silloin, kun ammattiliiton jäsenyystietoa tarvitaan virka- ja työehtosopimuksen sidonnaisuuden selvittämisessä tai työtaistelutilanteessa sen selvittämiseksi, ketkä kuuluvat työtaistelun piiriin. Henkilötietolain säännös on katsottu mahdolliseksi henkilötietodirektiivin 8 artiklan 2 kohdan b alakohdan perusteella, jonka mukaan erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voi käsitellä, jos käsittely on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla, siltä osin kuin se sallitaan kansallisessa lainsäädännössä, jolla säädetään riittävistä suojatoimista. Yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan b alakohta sisältää vastaavan mahdollisuuden. Kyseisen kohdan mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on mahdollista, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista.
Mahdollisuus käsitellä ammattiliittoon kuulumista koskevaa tietoa olisi rajattu tilanteisiin, joissa kyse on rekisterinpitäjän oikeuksista tai velvoitteista työoikeuden alalla. Ehdotettua säännöstä voidaan siten pitää oikeasuhtaisena. Rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista säädettäisiin pykälän 2 momentissa.
Momentin 4 kohdassa säädettäisiin terveydenhuollon palveluntarjoajan oikeudesta käsitellä kyseisessä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja. Ehdotettu 4 kohta vastaisi eräin muutoksin nykyisen henkilötietolain 12 §:n 10 kohtaa, joka on katsottu mahdolliseksi henkilötietodirektiivin 8 artiklan 3 kohdan nojalla. Ehdotettu 4 kohta olisi mahdollinen yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan h ja i alakohdan nojalla. Artiklan h alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely on mahdollista, jos käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia. Artiklan i alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voi käsitellä, jos käsittely on tarpeen kansaterveyteen liittyvän yleisen edun vuoksi, kuten vakavilta rajatylittäviltä terveysuhkilta suojautumiseksi tai terveydenhuollon, lääkevalmisteiden tai lääkinnällisten laitteiden korkeiden laatu- ja turvallisuusnormien varmistamiseksi sellaisen unionin oikeuden tai jäsenvaltion lainsäädännön perusteella, jossa säädetään asianmukaista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien ja vapauksien, erityisesti salassapitovelvollisuuden, suojaamiseksi. Vastaisuudessa ehdotetun lainkohdan nojalla ei olisi enää mahdollista käsitellä rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevaa tietoa, sillä kyseiset tiedot eivät sisälly erityisiin henkilötietoryhmiin. Tällä muutoksella ei kuitenkaan olisi sanottavaa merkitystä, sillä terveydentilaa, sairautta, vammaisuutta ja hoitotoimenpidettä koskevien tietojen lisäksi lainkohta mahdollistaisi sellaisten henkilötietojen käsittelyn, jotka ovat rekisteröidyn hoidon kannalta välttämättömiä. Tieto rikollisesta teosta, rangaistuksesta tai muu rikoksen seuraamuksesta ei lähtökohtaisesti ole rekisteröidyn hoidon kannalta välttämätön. Asianmukaisista ja erityisistä toimenpiteistä säädettäisiin ehdotetun pykälän 2 momentissa.
Henkilötietolain 12 §:n mukaan terveydenhuollon toimintayksiköllä tai terveydenhuollon ammattihenkilöllä on oikeus käsitellä edellä mainittuja tietoja. Ehdotetun lainkohdan mukaan vastaava oikeus olisi vastaisuudessa terveydenhuollon palveluntarjoajalla. Palveluntarjoaja on yleiskäsite, joka kattaa palvelunjärjestäjän ja -tuottajan. Näitä ovat terveyden- ja sosiaalihuollon toimintayksiköt ja ammattihenkilöt sekä niiden alaisuudessa toimiva avusta henkilöstö. Rekisteröityyn kohdistettu toimenpide korvattaisiin muotoilulla hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta. Kuntoutusta voi antaa liikuntatoimi, kulttuuri- tai sivistystoimi ja opetustoimi. Ehdotetut muutokset ovat nykyistä muotoilua kattavammat ja yhdenmukaiset julkisuuslain salassapitoperusteissa käytetyn terminologian kanssa. Näiden muutosten lisäksi oikeutta käsitellä tietoja rajattaisiin palvelujen järjestämiseen ja tuottamiseen. Nykyisin oikeus koskee väljemmin ylipäänsä kyseisen toiminnan yhteydessä saatuja tietoja.
Momentin 5 kohdassa säädettäisiin, että sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia saisi käsitellä tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja. Säännöksessä tarkoitettuja rekisteröidyn huollon kannalta välttämättömiä tietoja voivat olla esimerkiksi vammaishuollossa vammaisuutta koskevat tiedot tai vastaavat huollon tarpeen ja sisällön perustana olevat tiedot.
Ehdotettu 5 kohta olisi mahdollinen yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan b ja g alakohdan nojalla. Artiklan b alakohdan mukaan erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittely on mahdollista, jos käsittely on tarpeen rekisterinpitäjän tai rekisteröidyn velvoitteiden ja erityisten oikeuksien noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä tai jäsenvaltion lainsäädännön mukaisessa työehtosopimuksessa, jossa säädetään rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista.
Ehdotettu 5 kohta vastaisi eräin muutoksin nykyisen henkilötietolain 12 §:n 12 kohtaa. Vaikka henkilön sosiaalihuollon tarve tai hänen saamansa sosiaalihuollon palvelut, tukitoimet ja muut sosiaalihuollon etuudet eivät ole yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, on nykyisen kaltainen säännös yhä tarpeellinen, sillä säännöksessä tarkoitetuilla toimijoilla voi olla lainkohdassa tarkoitetussa toiminnassa tarpeellista käsitellä muita erityisiin henkilötietoryhmiin kuuluvia henkilötietoja, esimerkiksi terveyttä koskevia tietoja. Säännöksestä jäisi kuitenkin pois nykyisen henkilötietolain mukainen kohta, joka koskee rekisteröidyn saamia sosiaalihuollon palveluita ja tukitoimia, sillä tältä osin ei yleisen tietosuoja-asetuksen soveltamisen alkaessa ole enää tarpeellista säätää erikseen oikeudesta käsitellä näitä tietoja, jotka eivät kuulu yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan käsittelykiellon piiriin.
Ehdotetun lainkohdan mukaan erityisiin henkilötietoryhmiin kuuluvia henkilötietoja saisi nykyiseen tapaan käsitellä sosiaalihuollon viranomaisten lisäksi myös muut sosiaalihuollon etuuksia myöntävät viranomaiset ja laitokset. Tätä on pidetty tarpeellisena, sillä myös nämä tahot joutuvat sosiaalihuollon etuuksia myöntäessään ja sosiaalihuollon palveluja antaessaan käsittelemään sosiaalihuollon järjestämiseen liittyviä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja. Säännöksen nojalla siinä tarkoitettuja tietoja saisivat lisäksi käsitellä myös yksityiset sosiaalipalvelujen tuottajat.
Ehdotettu 5 kohta olisi saman pykälän 4 kohdan kaltainen. Ehdotettu 5 kohta koskisi kuitenkin sosiaalihuollon palveluntarjoajaa ehdotetun 4 kohdan koskiessa terveydenhuollon palvelun tarjoajaa. Ehdotettu lainkohta eroaa 4 kohdassa myös siten, että 5 kohdan nojalla palveluntarjoajalla olisi oikeus käsitellä lainkohdassa tarkoitettuja tietoja myös myöntäessään etuuksia. Lisäksi lainkohtaan sisältyisi oikeus käsitellä palveluntarjoajan saamien tietojen ohella tämän tuottamia tietoja. Pykälän 5 kohta ei nykyisen henkilötietolain 12 §:n 12 kohdan tavoin sisältäisi mahdollisuutta käsitellä tietoja, jotka on tarkoitettu kuvaamaan rikollista tekoa, rangaistusta tai muuta rikoksen seuramausta. Rikostuomioihin ja rikkomuksiin koskevasta henkilötietojen käsittelystä säädettäisiin ehdotetun lain 7 §:ssä.
Mahdollisuus käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja olisi rajattu tarkasti lainkohdassa tarkoitettuihin toimijoihin ja tilanteisiin. Ehdotettua säännöstä voidaan siten pitää oikeasuhtaisena. Rekisteröidyn perusoikeuksia ja etuja koskevista asianmukaisista suojatoimista säädettäisiin pykälän 2 momentissa.
Pykälän 6 kohta olisi uusi. Vastaavaa arkaluonteisten henkilötietojen käsittelyperustetta ei sisälly henkilötietolakiin. Ehdotetun kohdan mukaan geneettisiä ja terveyttä koskevia tietoja olisi mahdollista käsitellä sen ollessa välttämätöntä antidopingytyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi. Oikeus käsitellä tietoja olisi rajattu geneettisiin ja terveyttä koskeviin tietoihin. Ehdotettu kohta olisi mahdollinen tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan nojalla.
Ehdotetun lainkohdan mukaan tietoja olisi mahdollista käsitellä ensinnäkin antidopingtyön mahdollistamiseksi. Dopingin vastaisen työn tietosuojakysymykset liittyvät erityisesti näytteenottoon ja niin sanottuihin erivapauksiin, joissa urheilijalle myönnetään hänen terveystietojensa perusteella oikeus käyttää muutoin kiellettyjä lääkeaineita tai menetelmiä. Suomessa antidopingtyöstä vastaa Suomen urheilun eettinen keskus SUEK ry yhdessä kansallisten ja kansainvälisten lajiliittojen kanssa. Suomi on sitoutunut dopingin vastaiseen työhön kahdella kansainvälisellä sopimuksella, jotka ovat Strasbourgissa 16 päivänä marraskuuta 1989 tehty Euroopan neuvoston dopingin vastainen yleissopimus sekä Pariisissa 19 päivänä lokakuuta 2005 tehty Yhdistyneiden kansakuntien (YK) dopingin vastainen yleissopimus. Euroopan neuvoston dopingin vastainen yleissopimus on saatettu Suomessa voimaan blankettilailla. YK:n dopingin vastainen yleissopimus on saatettu Suomessa voimaan tasavallan presidentin asetuksella. Ehdotetun kaltaisesta, erityisiin henkilötietoryhmiin kuuluvasta tietojen käsittelystä, joka koskee hyvin kapeaa sektoria, tulee lähtökohtaisesti säätää erityislailla. Ehdotetulle lainkohdalle ei kuitenkaan ole luontevaa paikkaa kansallisessa erityislainsäädännössä, sillä Suomea sitovat kansainväliset velvoitteet on saatettu voimaan blankettilailla ja tasavallan presidentin asetuksella. Tämän vuoksi lähtökohtaisesta erityislainsäädännöllä säädettävästä erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä ehdotetaan säädettävän yleislailla.
Ehdotetun lainkohdan mukaan geneettisiä ja terveyttä koskevia tietoja olisi mahdollista käsitellä myös vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi. Pitkäaikaissairaiden sisällyttäminen ehdotettuun lainkohtaan olisi tarpeellista, sillä esimerkiksi paraolympialaisiin voi vammaisten lisäksi osallistua pitkäaikaissairaat elinsiirron saaneet ja dialyysihoidettavat. YK:n yleissopimus vammaisten henkilöiden oikeuksista (Convention on the Rights of Persons with Disabilities 13.12.2006, CRPD), jonka Suomi on ratifioinut, turvaa vammaisille yhdenvertaisen oikeuden osallistua urheilutoimintaan kaikilla tasoilla (30 artikla). Vammaisurheilun osalta tietosuojakysymykset liittyvät erityisesti vammaluokituksiin ja niihin tarvittaviin terveystietoihin. Vammaisurheilun keskeiset toimijat Suomessa ovat Suomen Vammaisurheilu ja -liikunta VAU ry ja Suomen paralympiakomitea. Ne ovat Kansainvälisen paralympiakomitean (International Paralympic Committee) jäseniä. Kansainvälinen Paralympiakomitea on vahvistanut tietosuojastandardin (International Standard for Classification Data Protection), jonka noudattamista se edellyttää jäseniltään. Tätä säännöstä voidaan noudattaa myös kansainvälisen paralympiakomitean edustamien vammaryhmien ulkopuolella. Vammaisurheilussa vapaaehtoisen ja nimenomaisen suostumuksen edellytykset voivat täyttyä muuta huippu- ja ammattiurheilua helpommin, minkä vuoksi myös 9 artiklan 2 kohdan a alakohta voi tulla kyseeseen käsittelyn mahdollistavana perusteena.
Toiminnan kansainvälisen luonteen vuoksi antidopingtoiminnassa ja vammaisurheilussa on kiinnitettävä erityistä huomiota tietojen siirtämiseen kolmansiin maihin ja yleisen tietosuoja-asetuksen tietojen siirtämistä koskevaan V lukuun.
Ehdotetun 6 §:n 1 momentin 7 kohdassa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävästä henkilötietojen käsittelystä. Ehdotettu kohta olisi mahdollinen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdan nojalla. Yleisen tietosuoja-asetuksen erityisiä tietoryhmiä koskevan 9 artiklan 2 kohdan j alakohdan mukaan 1 kohdassa tarkoitettujen tietojen käsittely on sallittua silloin, kun se on tarpeen tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Tällöin edellytetään, että lainsäädäntö on oikeasuhteinen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi mahdollistettava vastaisuudessakin tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten kansallisessa lainsäädännössä. Ehdotetun lainkohdan nojalla erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi mahdollista, jos rekisterinpitäjä ja henkilötietojen käsittelijä toteuttaa pykälän 2 momentin mukaisesti asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi.
Ehdotettu 2 momentti jättäisi siten rekisterinpitäjän ja henkilötietojen käsittelijän arvioitavaksi ensivaiheessa, millaiset suojatoimenpiteet ovat käsittelytoimiin nähden asianmukaiset. Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan osoitusvelvollisuudesta seuraa, että rekisterinpitäjän ja henkilötietojen käsittelijän on kyettävä osoittamaan valittujen suojatoimien asianmukaisuus ja oikeasuhtaisuus.
Ehdotetun lainkohdan nojalla ei olisi mahdollista poiketa tietosuoja-asetuksessa säädetyistä rekisteröidyn oikeuksista, ellei se ole mahdollista suoraan tietosuoja-asetuksen nojalla. Rekisteröidyn oikeuksista poikkeamisesta ehdotetaan säädettävän tietosuojalain 31 §:ssä. Ehdotetun 31 §:n lisäksi rekisteröidyn oikeuksia rajoitetaan tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdassa, 17 artiklan 3 kohdan d alakohdassa ja 21 artiklan 6 kohdassa.
Rekisterinpitäjä voi käsitellä henkilötietoja ehdotetussa lainkohdassa tarkoitettuihin tarkoituksiin myös jonkin muun yleisen tietosuoja-asetuksen 9 artiklan 2 kohdan alakohdan perusteella, kuten 9 artiklan 2 kohdan a alakohdassa tarkoitetun nimenomaisen suostumuksen.
Ehdotetun 6 §:n 1 momentin 8 kohdassa säädettäisiin erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tieteellisten tutkimusaineistojen ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa. Ehdotettu kohta olisi mahdollinen tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdan nojalla. Yleisen tietosuoja-asetuksen erityisiä tietoryhmiä koskevan 9 artiklan 2 kohdan j alakohdan mukaan 1 kohdassa tarkoitettujen tietojen käsittely on sallittua silloin, kun se on tarpeen yleisen edun mukaisia arkistointitarkoituksia varten 89 artiklan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Tällöin edellytetään, että lainsäädäntö on oikeasuhtainen tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Ehdotettu lainkohta koskisi ainoastaan tutkimus- ja kulttuuriperintöaineistojen käsittelyä yleishyödyllisessä arkistointitarkoituksessa. Kulttuuriperintöaineistoa ei ole määritelty lainsäädännössä. Kulttuuriperintöaineisto voi käsittää esimerkiksi asiakirjoja, esineitä, painotuotteita, taideteoksia, luonnontieteellisiä aineistoja, kuvia ja audiovisuaalista aineistoa, sekä dokumentointiaineistoa ja kyselyaineistoja. Lainkohdan soveltaminen kuitenkin edellyttäisi, että aineisto sisältää henkilötietoja. Lainkohdassa tarkoitettu tutkimusaineiston arkistointi edellyttäisi, ettei aineisto ole aktiivisessa käytössä. Arkistoidusta tutkimusaineistosta voitaisiin myöhemmin esimerkiksi tarkistaa tai varmistaa tutkimusta koskevia seikkoja.
Arvioitaessa milloin kyse on lainkohdassa tarkoitetusta yleishyödyllisestä arkistointitarkoituksesta, voidaan huomiota kiinnittää esimerkiksi siihen, onko rekisterinpitäjän lakisääteinen tai sääntömääräinen tehtävä tutkimus- tai kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen. Lisäksi huomiota tulisi kiinnittää siihen, perustuuko arkistotoiminta julkisesti saatavilla olevaan suunnitelmaan. Ehdotettu yleishyödyllisen arkistointitarkoituksen käsite ei täysin vastaisi yleisessä tietosuoja-asetuksessa käytettyä ilmaisua ”yleisen edun mukainen arkistointitarkoitus”, vaan olisi tätä kapeampi.
Ehdotetun lainkohdan nojalla erityisiin henkilötietoryhmiin kuuluvien tietojen käsittely olisi mahdollista yleishyödyllisessä arkistointitarkoituksessa, jos rekisterinpitäjä ja henkilötietojen käsittelijä toteuttaa pykälän 2 momentin mukaisesti asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Säännös ei kuitenkaan sallisi geneettisten tietojen käsittelemistä arkistointitarkoituksessa, vaan tästä tulisi säätää erikseen.
Pykälän 2 momentissa säädettäisiin asianmukaisista ja erityisistä toimenpiteistä, joita rekisterinpitäjän tai henkilötietojen käsittelijän olisi toteutettava käsitellessään henkilötietoja pykälän 1 momentissa tarkoitetuissa tilanteissa. Pykälän 2 momentissa olisi lista toimenpiteistä, joita asianmukaiset ja erityiset toimenpiteet voisivat sisältää. Lista ei siten olisi kattava eikä pakottava. Rekisterinpitäjän harkintaan jäisi ensivaiheessa sen arvioiminen, millaisia suojatoimenpiteitä henkilötietojen käsittelyyn sisältyvät riskit edellyttävät. Ehdotetun 2 momentin mukaan näitä suojatoimenpiteitä voisivat olla toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty; toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista; tietosuojavastaavan nimittäminen; rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin; henkilötietojen pseudonymisointi; henkilötietojen salaaminen; toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi; erityiset menettelysäännökset, jolla varmistetaan yleisen tietosuoja-asetuksen ja tämän lain mukaisuus siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen; tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi sekä muut tekniset, menettelylliset ja organisatoriset toimenpiteet. Pykälän 2 momentin suojatoimenpiteet ovat asetuksen mukaisia ja voivat olla esimerkiksi asetuksessa rekisterinpitäjälle säädettyjä velvoitteita, joihin ryhtyminen on rekisterinpitäjän harkinnan varassa. Pykälän 2 momentissa tarkoitettuja erityisten henkilötietojen käsittelyä koskevista suojatoimenpiteistä on säädetty vastaavasti esimerkiksi Saksan kansallisessa yleistä tietosuoja-asetusta täydentävässä henkilötietojen suojaa koskevassa yleislaissa.
7 §. Rikostuomioihin ja rikkomuksiin liittyvä käsittely. Pykälässä säädettäisiin rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Nykyisin henkilötietolain 11 §:ssä rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta koskevat tiedot on säädetty arkaluonteisiksi henkilötiedoiksi. Yleisen tietosuoja-asetuksen mukaan tällaiset tiedot eivät kuulu erityisiin henkilötietoryhmiin, mutta asetuksen 10 artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely on mahdollista yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan perusteella silloin, kun se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista. Tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja on mahdollista käsitellä myös suoraan 10 artiklan edellytysten mukaisesti, jos henkilötietoja käsitellään viranomaisen valvonnassa. Ehdotetun lain 7 §:ssä säädettäisiin neljästä tilanteesta, jossa rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saisi käsitellä.
Pykälän 1 momentin 1 kohdassa säädettäisiin oikeudesta käsitellä rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Vastaava arkaluonteisten henkilötietojen käsittelyn oikeusperuste sisältyy henkilötietolain 12 §:ään. Lisäksi tällainen käsittelyn oikeusperuste sisältyy yleisen tietosuoja-asetuksen erityisiä henkilötietoryhmiä koskevan 9 artiklan 2 kohdan f alakohtaan. Jotta myös rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja voidaan vastaisuudessakin käsitellä oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi, on 7 §:n 1 momentin 1 kohdan säännös tarpeellinen ja selventävä.
Pykälän 1 momentin 2 kohta täydentäisi ehdotetun tietosuojalain 6 §:ää. Pykälän 1 momentin 2 kohdassa säädettäisiin, että tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja saa käsitellä tietosuojalain 6 §:n 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa. Tietosuojalain 6 §:n 1 kohdan mukaan vakuutuslaitos saisi käsitellä eräitä erityisiin henkilötietoryhmiin kuuluvia henkilötietoja vakuutuslaitoksen vastuun selvittämiseksi. Tällä hetkellä vakuutuslaitos saa henkilötietolain 12 §:n 11 kohdan mukaan käsitellä tietoja vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta vastuunsa selvittämiseksi. Jotta vakuutuslaitoksilla olisi vastaisuudessakin mahdollisuus käsitellä tällaisia tietoja vastuunsa selvittämiseksi, on 7 §:n 1 momentin 2 kohta tarpeellinen. Henkilötietolain 12 §:n 11 kohdasta poiketen tässä tarkoitetuista tiedoista säädettäisiin erikseen, sillä rikostuomioita ja rikkomuksiin liittyvien henkilötietojen käsittelystä ehdotetaan säädettävän omassa pykälässä. Lisäksi ehdotetun pykälän 1 momentin 2 kohdan mukaan tietosuoja-asetuksen 10 artiklassa tarkoitettuja henkilötietoja saisi käsitellä, jos tietojen käsittelystä säädetään laissa tai tietojen käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Nykyisin henkilötietolain 12 §:n 5 kohdan mukaan arkaluonteiseksi katsottuja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta kuvaavia tietoa on mahdollista käsitellä henkilötietolain 12 §:n 5 kohdan nojalla, jonka mukaan arkaluonteisia henkilötietoja saa käsitellä, jos käsittelystä säädetään laissa tai käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Nykytilan säilyttämiseksi ehdotettu viittaus tietosuojalain 6 §:n 2 kohtaan on tarpeellinen. Lisäksi 1 momentin 2 kohdassa säädettäisiin, että rikostuomioihin ja rikkomuksiin ja niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saisi käsitellä 6 §:n 1 momentin 7 kohdassa säädetyssä tarkoituksessa. Toisin sanoen kyseisiä tietoja saisi käsitellä tieteellistä tai historiallista tutkimusta varten tehtävään tietojen käsittelyyn. Käsiteltäessä henkilötietoja ehdotetun lainkohdan nojalla, tulisivat rekisteröidyn tietosuoja-asetuksen mukaiset oikeudet sovellettavaksi käsittelyyn.
Pykälän 2 momentissa viitattaisiin suojatoimenpiteiden osalta 6 §:n 2 momenttiin. Ehdotetun 6 §:n 2 momentissa ehdotetaan säädettävän, että rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi silloin kun se käsittelee erityisiin henkilötietoryhmiin kuuluvia tietoja tietosuojalain 6 §:n nojalla. Lisäksi momentissa ehdotetaan säädettävän suojatoimenpiteistä. Myös tietosuoja-asetuksen 10 artiklan mukainen henkilötietojen käsittely kansallisen lainsäädännön perusteella edellyttää, että laissa on säädetty asianmukaisista suojatoimista. Ehdotetun lainkohdan mukaan tietosuoja-asetuksen 10 artiklassa tarkoitettujen henkilötietojen käsittely olisi mahdollista, jos rekisterinpitäjä tai henkilötietojen käsittelijä toteuttaa asianmukaiset suojatoimenpiteet ehdotetun lain 6 §:n 2 momentin mukaisesti.
3 luku Valvontaviranomainen
8 §. Tietosuojavaltuutettu. Pykälässä säädettäisiin, että yleisessä tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena toimii tietosuojavaltuutettu. Tietosuojavaltuutettu toimisi oikeusministeriön yhteydessä kuten nykyisinkin. Ahvenanmaan maakunnassa toimisi maakunnan uudistuvaa tietosuojalainsäädäntöä koskevan ehdotuksen mukaan edelleen Ahvenanmaan maakunnan tietosuojavaltuutettu.
Lisäksi pykälän 2 momentissa säädettäisiin, että tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Muiden erityisvaltuutettujen tapaan tietosuojavaltuutetun toimisto olisi ministeriön yhteydessä, mutta toiminnassaan itsenäinen ja riippumaton viranomainen. Valtuutettu olisi ratkaisu- ja muussa toiminnassaan riippumaton muiden tahojen kuten viranomaisten tai eri intressiryhmien samoin kuin ratkaistavana olevan asian osapuolten vaikutuksesta. Valvontaviranomaisen riippumattomuudesta säädetään yleisen tietosuoja-asetuksen 52 artiklassa. Tietosuojavaltuutetun riippumattomuutta koskeva sääntely seuraa siten suoraan asetuksesta tietosuojavaltuutetun hoitaessa asetuksen mukaisia tehtäviä ja käyttäessään asetuksessa säädettyjä toimivaltuuksiaan. Tietosuojavaltuutetulla on muitakin tehtäviä ja toimivaltuuksia kuin asetuksessa säädetyt, joissa hän niin ikään toimii itsenäisesti ja riippumattomasti. Tietosuojavaltuutetun hoitaessa muita, kuin yleisen tietosuoja-asetuksen mukaisia tehtäviä, ei yleisen tietosuoja-asetuksen 52 artikla tule suoraan sovellettavaksi. Tietosuojavaltuutetun tulee kuitenkin kaikessa tehtävän hoidossaan olla itsenäinen ja riippumaton, myös niitä tehtäviä hoitaessaan, jotka eivät seuraa suoraan asetuksesta. Myös tämän vuoksi on tarpeellista säätää tietosuojavaltuutetun riippumattomuudesta kansallisen yleislain valvontaviranomaista koskevassa luvussa.
Pykälässä toimeenpantaisiin tietosuoja-asetuksen 54 artiklan 1 kohdan a alakohdan mukainen velvoite säätää kunkin valvontaviranomaisen perustamisesta. Yleisperusteluissa esitetyn mukaisesti esityksessä ei ehdoteta perustettavaksi uutta viranomaista, vaan tietosuojavaltuutettu ja hänen toimistonsa jatkaisi tietosuojavalvontaviranomaisena pienin rakenteellisin muutoksin.
9 §. Tietosuojavaltuutetun toimisto. Pykälässä säädettäisiin tietosuojavaltuutetun toimistosta ja sen henkilöstöstä. Pykälän 1 momentissa säädettäisiin, että tietosuojavaltuutetun toimistossa on yksi tai useampi apulaistietosuojavaltuutettu. Apulaistietosuojavaltuutetun virasta säädettäisiin, jotta tietosuojavaltuutetun ratkaisu- ja puhevaltaa voitaisiin pysyvästi ja päätoimisesti hajauttaa tietosuojavaltuutetun toimiston sisällä useammalle taholle. Tämä olisi tarpeellista käytännön kokemuksen ja valtuutetun lisääntyvien tehtävien perusteella. Henkilötietojensuojan toimintaympäristö on muuttunut merkittävästi ja vaikuttanut pysyvästi valvontaviranomaisessa käsiteltävien asioiden laatuun ja laajuuteen. Tietosuojavaltuutetun toimiston käsittelemien asioiden määrä on nelinkertaistunut vuoden 2000 jälkeen. Myös tietosuoja-asetus lisää valtuutetun tehtäviä.
Tietosuojavaltuutettu toimisi toimistonsa päällikkönä, joten tämän tehtävänä olisi myös toimiston toiminnan yleinen johtaminen. Tietosuojavaltuutettu vastaisi muun muassa toimiston sisäistä hallintoa koskevista asioista sekä siitä, että valvontaviranomaisen tehtävät hoidetaan tarkoituksenmukaisesti ja tehokkaasti. Tietosuojavaltuutetun tehtävänä olisi yhtenäisen tietosuojapolitiikan koordinointi ja kansallisen näkemyksen edustaminen eurooppalaisessa yhteistyössä. Lähtökohtana olisi, että apulaistietosuojavaltuutettu vastaisi tietosuojavaltuutetun sijaan tietyistä tietosuojavaltuutetun toimistolle kuuluvista henkilötietojen suojaa koskevista tehtävistä. Apulaistietosuojavaltuutettu toimisi myös tietosuojavaltuutetun sijaisena tietosuojavaltuutetun poissaolon aikana. Mahdollisesta apulaistietosuojavaltuutetun sijaisesta voitaisiin tarvittaessa määrätä toimiston työjärjestyksessä. Apulaistietosuojavaltuutetun virkoja voisi olla tietosuojavaltuutetun toimiston tarpeiden ja käytettävissä olevien resurssien puitteissa yksi tai useampi.
Nykyisin tietosuojavaltuutetun toimistossa ratkaisu- ja puhevalta kuuluu ainoastaan tietosuojavaltuutetulle. Tietosuojavaltuutettua avustaa ja hänen sijaisenaan toimii toimistopäällikkö, joka voi tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 1 §:n 2 momentin mukaan käyttää valtuutetun määräyksestä tämän puhevaltaa. Toimistopäällikön tehtäviin kuuluu muun muassa toimiston yleisten hallinnollisten asioiden hoito. Toimistopäällikön virkaa ei ole sidottu tiettyyn määräaikaan, vaan virka on tietosuojavaltuutetun virasta poiketen vakinainen. Yleisen tietosuoja-asetuksen nojalla valvontaviranomaisessa ratkaisuvaltaa käyttävien jäsenien toimet ja virkasuhteet olisivat määräaikaisia. Toimistopäällikön tehtävien määräaikaistaminen ei olisi tarkoituksenmukaista valvontaviranomaisen hallinnollisten tehtävien hoidon sujuvuuden ja jatkuvuuden varmistamiseksi. Toimistopäällikön hallinnolliset tehtävät säilyisivät tietosuojavaltuutetun toimistossa, vaikka toimistopäällikön virasta ja sen kelpoisuusehdoista ei enää ehdotetussa laissa nimenomaisesti säädettäisi. Hallinnollisten tehtävien määrän voidaan olettaa kasvavan tietosuojavaltuutetun toimistossa, sillä yleisestä tietosuoja-asetuksesta seuraa tietosuojavaltuutetulle uusia tehtäviä ja valtuutetun toimivaltuudet laajenevat. Lisäksi hallinnollisten tehtävien määrään voi vaikuttaa ehdotus tiedusteluvaltuutetun viran sijoittamisesta tietosuojavaltuutetun toimiston yhteyteen, samoin yleisestä tietosuoja-asetuksesta seuraava henkilöresurssien lisäys.
Pykälän 1 momentissa säädettäisiin lisäksi, että tietosuojavaltuutetun toimistossa on tarpeellinen määrä tietosuojavaltuutetun tehtävänalaan perehtyneitä esittelijöitä ja muuta henkilöstöä. Tietosuojavaltuutetun tehtävän tehokkaaksi hoitamiseksi on viranomaisen asianmukainen resursointi keskeistä. Tähän on myös perustuslakivaliokunta kiinnittänyt huomiota (PeVL 3/2017 vp).
Pykälän 2 momentissa säädettäisiin tietosuoja-asetuksen 52 artiklan 5 kohdan mukaisesti, että tietosuojavaltuutettu nimittäisi toimiston virkamiehet ja ottaisi palvelukseen muun henkilöstön, jotka toimisivat tietosuojavaltuutetun yksinomaisessa ohjauksessa. Tämä turvaa osaltaan valtuutetun itsenäistä ja riippumatonta asemaa. Apulaistietosuojavaltuutetun nimittäisi valtioneuvosto ehdotetun 11 §:n 1 momentin mukaisesti.
Pykälän 3 momentin mukaan tietosuojavaltuutettu hyväksyisi toimiston työjärjestyksen. Valtuutetun ja apulaisvaltuutetun tehtävänjaosta määrättäisiin tietosuojavaltuutetun toimiston työjärjestyksessä. Apulaistietosuojavaltuutettu toimisi ehdotetun lain 16 §:ssä tarkoitetuissa tehtävissään samoin toimivaltuuksin kuin tietosuojavaltuutettu ja ratkaisisi tälle kuuluvat asiat itsenäisesti.
10 §. Kelpoisuusvaatimukset ja nimitysperusteet. Pykälässä säädettäisiin tietosuojavaltuutetun ja apulaisvaltuutetun kelpoisuusvaatimuksista ja nimitysperusteista. Yleisen tietosuoja-asetuksen 54 artiklan mukaan jäsenvaltioilla on velvollisuus säätää näistä asioista. Tietosuojavaltuutetun ja apulaisvaltuutetun nimityksessä olisi otettava huomioon myös se, mitä yleisen tietosuoja-asetuksen 52 artiklan 3 kohdassa on säädetty jäsenten riippumattomuudesta. Yleisen tietosuoja-asetuksen 53 artiklan 2 kohdan mukaan kullakin valvontaviranomaisen jäsenellä on oltava tehtävien hoitamisessa ja valtuuksien käyttämisessä tarvittava pätevyys, kokemus ja ammattitaito erityisesti henkilötietojen suojaamisen alalta.
Pykälässä esitetty valtuutettujen viran kelpoisuusvaatimukset vastaisivat pääosin nykyisiä tietosuojavaltuutetun viran kelpoisuusvaatimuksia.
Tietosuojavaltuutetun kelpoisuusvaatimuksena on tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun asetuksen mukaan oikeustieteen kandidaatin tutkinto. Tämä kelpoisuusvaatimus ei muuttuisi, sillä ehdotuksen mukaan tietosuojavaltuutetun kelpoisuusvaatimuksena olisi muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto. Valtuutetun tehtävät henkilötietojen käsittelyn valvojana edellyttävät oikeudellista asiantuntemusta.
Johtuen yleisen tietosuoja-asetuksen yhteiseurooppalaisesta valvontamekanismista, valtuutetuilta edellytetään jatkossa myös kykyä hoitaa kansainvälisiä tehtäviä. Apulaistietosuojavaltuutetun viran kelpoisuusehtojen tulisi vastata tietosuojavaltuutetun kelpoisuusehtoja, koska tämä toimii tietosuojavaltuutetun sijaisena ja käyttää tehtävissään samoja toimivaltuuksia kuin tietosuojavaltuutettu.
11 §. Nimittäminen ja toimikausi. Pykälässä säädettäisiin tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittämisestä ja toimikaudesta. Yleisen tietosuoja-asetuksen 54 artiklan 1 kohdan c alakohdan mukaan jäsenvaltion on säädettävä laissa valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä ja menettelystä sekä jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta. Yleisen tietosuoja-asetuksen 53 artiklan 3 kohdan mukaan jäsenen tehtävät päättyvät toimikauden päättyessä tai kun hän eroaa tai kun hän jää pakolliselle eläkkeelle asianomaisen jäsenvaltion lainsäädännön mukaisesti. Yleisen tietosuoja-asetuksen 53 artiklan 4 kohdan mukaan jäsen voidaan erottaa ainoastaan vakavan väärinkäytöksen perusteella tai jos hän ei enää täytä tehtävän suorittamiseen tarvittavia edellytyksiä. Yleisen tietosuoja-asetuksen säännökset valvontaviranomaisen jäsenen erottamisesta ja tehtävien päättymisestä vastaavat valtion virkamieslain 25 ja 33 §:ssä säädettyä virkamiehen irtisanomisesta tai virkasuhteen purkamisesta.
Pykälän 1 momentissa säädettäisiin, että valtioneuvosto nimittäisi tietosuojavaltuutetun ja apulaisvaltuutetun viideksi vuodeksi kerrallaan. Tämä vastaa pitkälti nykytilaa sillä, tietosuojalautakunnasta ja tietosuojavaltuutetusta annetun lain 6 §:n mukaan valtioneuvosto nimittää tietosuojavaltuutetun enintään viideksi vuodeksi. Tietosuojavaltuutettu on siten voitu nimittää viittä vuotta lyhyemmäksikin ajaksi. Yleisen tietosuoja-asetuksen mukaan toimikauden on kuitenkin oltava vähintään neljä vuotta, joten toimikausi säädettäisiin viiden vuoden pituiseksi. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun virkavapauteen sovellettaisiin yleisiä valtion virkamieslain ja asetuksen virkavapautta koskevia säännöksiä.
Pykälän 2 momentissa säädettäisiin, että tietosuojavaltuutetuksi tai apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa tai tointa siksi ajaksi, jonka hän toimii tietosuojavaltuutettuna tai apulaistietosuojavaltuutettuna. Tämä vastaisi voimassa olevaa lainsäädäntöä ja säännös olisi edelleen tarpeellinen tietosuojavaltuutetun ja apulaistietosuojavaltuutetun viran määräaikaisen luonteen vuoksi. Säännöksen taustalla on myös yleisen tietosuoja-asetuksen 52 artiklan 3 kohta, jonka mukaan kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän tehtäviensä hoitamisen kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta ammattitoimintaa.
Yleisen tietosuoja-asetuksen 54 artiklan 1 kohdan e alakohdan mukaan jäsenvaltion on säädettävä siitä, voidaanko valvontaviranomaisen jäsenet nimittää uudelleen ja, jos näin tehdään, kuinka moneksi toimikaudeksi. Yleisessä tietosuoja-asetuksessa ei ole rajattu toimikausien määrää tai pituutta. Tällä hetkellä tietosuojalautakunnasta ja tietosuojavaltuutetusta annetussa laissa tietosuojalautakunnan jäsenten tai tietosuojavaltuutetun toimikausien määrää ei ole rajoitettu. Tämä lähtökohta tulisi säilyttää myös vastaisuudessa. Asetus jättää jäsenvaltioiden päätettäväksi, kuinka moneksi toimikaudeksi valtuutettu voidaan nimittää. Kansallisesta oikeusjärjestyksestä kuitenkin seuraa, että valtuutetun toimikausien määrää ei ole rajattu, ellei siitä erikseen säädetä. Näin ollen asetuksen edellytykset täyttyvät kansallisen oikeusjärjestyksen yleisten periaatteiden kautta.
12 §. Asiantuntijalautakunta. Asiantuntijalautakunta olisi tietosuojavaltuutetun toimistoon kuuluva toimiston sisäinen asiantuntijaelin, joka antaisi lausuntoja tietosuojavaltuutetun pyynnöstä henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä kysymyksistä. Kyse olisi siten uudenlaisesta, nykyisestä tietosuojalautakunnasta poikkeavasta toimielimestä. Asiantuntijalautakunta ei olisi päätoiminen, vaan lautakunta kokoontuisi tarvittaessa puheenjohtajan koolle kutsumana. Asiantuntijalautakunnalla ei olisi muodollista päätösvaltaa.
Pykälän 1 momentissa säädettäisiin asiantuntijalautakunnan kokoonpanosta. Lautakunnassa olisi viisi jäsentä, jotka olisivat henkilötietojen suojan asiantuntijoita. Kullakin jäsenellä olisi henkilökohtainen varajäsen. Myös nykyisen tietosuojalautakunnan jäsenillä on henkilökohtainen varajäsen. Henkilökohtaisella varajäsenellä on tyypillisesti ollut samantyylistä asiantuntemusta kuin varsinaisella jäsenellä. Puheenjohtajan ollessa estynyt, varapuheenjohtaja toimii lautakunnan puheenjohtajana. Puheenjohtajan varajäsen osallistuu lautakunnan kokoukseen tällaisessa tilanteessa tavallisen jäsenen roolissa.
Pykälän 2 momentissa säädettäisiin, että valtioneuvosto nimittää asiantuntijalautakunnan kolmen vuoden toimikaudeksi. Koska kyseessä ei olisi muodollisia päätöksiä tekevä elin, vaan tietosuojavaltuutetun toimiston sisäinen asiantuntijaelin, ei kyse ole yleisen tietosuoja-asetuksen 54 artiklassa tarkoitetuista valvontaviranomaisen jäsenistä, joiden toimikauden pituuden on asetuksen mukaan oltava vähintään neljä vuotta. Nykyisin tietosuojalautakunnan toimikausi on kolme vuotta. Nykyistä toimikauden pituutta ei ole pidetty liian lyhyenä, joten lautakunnan toimikausi voi vastaisuudessakin olla kolme vuotta.
Pykälän 3 momentissa säädettäisiin, että asiantuntijalautakunnan puheenjohtajaksi ja varapuheenjohtajaksi voidaan nimittää oikeustieteen muun ylemmän korkeakoulututkinnon kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinnon suorittanut henkilö. Lisäksi puheenjohtajalta ja varapuheenjohtajalta edellytettäisiin hyvää perehtyneisyyttä henkilötietojen suojaa koskeviin asioihin. Lautakunnan muun jäsenen osalta riittäisi perehtyneisyys henkilötietojen suojaa koskeviin asioihin. Lisäksi edellytettäisiin muuta tehtävän hoidon edellyttämää pätevyyttä. Lautakunnan muulta jäseneltä ei edellytettäisi korkeakoulututkintoa. Tehtävän hoidon edellyttämä muu pätevyys voi olla esimerkiksi tietotekniikan asiantuntemusta. Lautakunta voisi myös kuulla ulkopuolisia asiantuntijoita ehdotetun lain 17 §:n mukaan. Tällainen ulkopuolinen asiantuntija voisi olla myös tietotekniikan asiatuntija, jos se asian laadun vuoksi vaikuttaisi tarkoituksenmukaiselta.
Pykälän 4 momentissa säädettäisiin, että asiantuntijalautakunnan jäsenen rikosoikeudellisesta virkavastuusta hänen suorittaessaan tämän lain mukaisia tehtäviä. Jäsenen henkilökohtaisesta virkavastuusta säätäminen olisi tarpeellista, sillä jäsen ei ole virkasuhteessa tietosuojavaltuutetun toimistoon. Mitä jäsenen rikosoikeudellisesta virkavastuusta on säädetty, koskisi myös lautakunnan jäsenen varajäsentä tämän hoitaessa jäsenen tehtäviä. Asiantuntijalautakunnan jäsenellä olisi myös vahingonkorvauslain mukainen vahingonkorvausvastuu.
Pykälän 5 momentissa säädettäisiin lautakunnan jäsenille ja varajäsenille maksettavasta palkkiosta. Oikeusministeriö vahvistaisi palkkioiden määrät.
13 §. Selvitys sidonnaisuuksista. Pykälässä säädettäisiin siitä, että tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamieslain 8 a §: ssä tarkoitettu selvitys sidonnaisuuksistaan. Valtion virkamieslain 8 a §:ssä säädetty velvollisuus sidonnaisuusselvityksen antamiseen koskee vain lain 26 §:n 1—4 kohdassa tarkoitettuja virkoja eikä siten ulotu tietosuojavaltuutettuun ja apulaisvaltuutettuun. Tämän vuoksi asiasta on säädettävä erikseen.
Valtion virkamieslain 8 a §:n mukaan virkaan nimitettäväksi esitettävän henkilön on ennen nimittämistä annettava selvitys elinkeinotoiminnastaan, omistuksistaan yrityksissä ja muusta varallisuudesta, kyseiseen virkaan kuulumattomista tehtävistään, 18 §:ssä tarkoitetuista sivutoimistaan sekä muista sidonnaisuuksistaan, joilla voi olla merkitystä arvioitaessa hänen edellytyksiään hoitaa täytettävänä olevan viran tehtäviä. Kyseiseen ilmoitukseen tulee valtion virkamieslain mukaan sisällyttää lain 18 §:ssä tarkoitettujen sivutoimien osalta tieto niistä saaduista tuloista. Yleisen tietosuoja-asetuksen 52 artiklassa säädetään valvontaviranomaisten jäsenten riippumattomuudesta ja jäsenvaltion velvollisuudesta säätää valvontaviranomaisen jäsenen toimen kanssa yhteensopimattomasta toiminnasta asetuksen 54 artiklan 1 kohdan f alakohdassa. Myös muutoin tietosuojavaltuutetun toiminnan luotettavuuden kannalta on tärkeää, ettei tietosuojavaltuutetulla tai apulaisvaltuutetulla epäillä olevan sellaisia taloudellisia tai muita sidonnaisuuksia, joilla voisi olla vaikutusta heidän ratkaisuihinsa.
Tietosuojavaltuutetun ja apulaisvaltuutetun olisi ilmoitettava viipymättä myös myöhemmistä muutoksista sidonnaisuusilmoituksessa annettuihin tietoihin valtion virkamieslain 8 a §:n mukaisesti. Sama koskee mahdollisesti myöhemmin havaittuja puutteita. Lisäksi virka-aseman perusteella tulleet ulkopuoliset tehtävät ja niistä mahdollisesti saatu tulo on ilmoitettava.
Yleisen tietosuoja-asetuksen 54 artiklan 1 kohdan f alakohdan mukaan jäsenvaltion on säädettävä valvontaviranomaisen jäsenen tai jäsenten ja henkilöstön velvollisuuksia koskevista edellytyksistä ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen ja tehtävien päättymistä koskevista säännöistä.
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kiellosta harjoittaa yhteensopimatonta toimintaa ei ole tarpeen säätää erikseen, vaan sovellettavaksi tulevat virkamieslain yleiset virkasuhdetta koskevat säännökset, kuten sivutoimia koskevat säännökset. Lisäksi yleisen tietosuoja-asetuksen 52 artiklan 3 kohta on suoraan sovellettava säännös. Artiklan 3 kohdan mukaan kunkin valvontaviranomaisen jäsenen tai jäsenten on pidättäydyttävä kaikesta toiminnasta, joka ei sovi yhteen heidän hoitamiensa tehtävien kanssa, eivätkä he saa toimikautensa aikana harjoittaa muuta palkallista tai palkatonta yhteensopimatonta toimintaa.
14 §. Tietosuojavaltuutetun tehtävät ja toimivaltuudet. Pykälän 1 momentissa olisi informatiivinen viittaus valvontaviranomaisen tehtäviä ja toimivaltuuksia koskevaan yleisen tietosuoja-asetuksen 55—59 artiklaan. Tietosuojavaltuutetun tehtävät ja toimivaltuudet seuraavat suoraan yleisestä tietosuoja-asetuksesta. Siltä osin kuin tietosuojavaltuutetun tehtävistä ja toimivaltuuksista on säädetty yleisessä tietosuoja-asetuksessa, ei niistä säädetä erikseen kansallisesti. Valvontaviranomaisella voi olla muitakin tehtäviä kuin yleisessä tietosuoja-asetuksessa säädetyt. Lisäksi yleisen tietosuoja-asetuksen 58 artiklan 6 kohdan mukaan jäsenvaltio voi säätää laissa, että sen valvontaviranomaisella on myös muita kuin asetuksessa säädettyjä valtuuksia. Näiden valtuuksien käyttäminen ei saa haitata yleisen tietosuoja-asetuksen VII luvun tehokasta toimivuutta. Informatiivisen viittauksen lisäksi momentissa todettaisiin, että tietosuojavaltuutetulla on myös muita tehtäviä ja toimivaltuuksia siten kuin niistä erikseen lailla säädetään. Näin otettaisiin huomioon tietosuojavaltuutetun laaja yleistoimivalta ja muusta lainsäädännöstä tulevat tehtävät ja toimivaltuudet. Esimerkiksi luottotietolain (527/2007) yleinen valvonta kuuluu tietosuojavaltuutetulle. Tietosuojavaltuutettu valvoo henkilöluottotietojen käsittelyn lisäksi myös yritysluottotietojen käsittelyä.
Pykälän 2 momentissa säädettäisiin, että tietosuojavaltuutettu edustaisi Suomea Euroopan tietosuojaneuvostossa. Ahvenanmaan maakuntalakeihin liittyvää henkilötietojen käsittelyä valvoisi maakunnan uudistuvaa tietosuojalainsäädäntöä koskevan ehdotuksen mukaan edelleen Ahvenanmaan maakunnan tietosuojavaltuutettu. Näin ollen Suomessa olisi kaksi tietosuoja-asetuksen tarkoittamaa valvontaviranomaista. Yleisen tietosuoja-asetuksen 51 artiklan 3 kohta edellyttää, että tällöin nimetään valvontaviranomainen, joka edustaa viranomaisia tietosuojaneuvostossa, ja perustetaan mekanismi, jolla varmistetaan, että muut valvontaviranomaiset noudattavat 63 artiklassa tarkoitettuun yhdenmukaisuusmekanismiin liittyviä sääntöjä.
Pykälän 3 momentissa säädettäisiin sertifiointielimen akkreditoinnista. Yleisen tietosuoja-asetuksen 43 artiklan 1 kohdan mukaan sertifioinnin myöntää ja uusii sertifiointielin, jolla on tietosuojaan liittyvä asianmukaisen tason asiantuntemus sen jälkeen, kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien käyttämisen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia tehtäviä ja valtuuksia. Jäsenvaltioiden on säädettävä siitä, akkreditoiko nämä sertifiointielimet yksi tai molemmat seuraavista: 55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen tai Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.
Suomessa kansallinen akkreditointielin, mittatekniikan keskuksen akkreditointiyksikkö (FINAS-akkreditointipalvelu) täyttää akkreditointia koskevat kansainväliset ja eurooppalaiset arviointiperusteet. Lisäksi Viestintävirastolla on laissa tietoturvallisuuden arviointilaitoksista (1405/2011) säädetty akkreditointitehtävä. Lain mukaan arviointilaitokset voivat hakea Viestintäviraston hyväksyntää toimintaansa varten.
Yleisen tietosuoja-asetuksen mukaisen sertifiointielimen akkreditointiperusteista säädetään yleisen tietosuoja-asetuksen 43 artiklan 2 kohdassa. Tietosuojavaltuutetun toimistolla olisi sellainen asiantuntemus, jota yleisen tietosuoja-asetuksessa säädettyjen sertifiointielimien akkreditoinnilta edellytetään. Tämän vuoksi momentissa säädettäisiin, että tietosuojavaltuutetun toimisto akkreditoisi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen.
Henkilötietolain 40 §:n 1 momentin mukaan tietosuojavaltuutetun on tarvittaessa ilmoitettava asia syytteeseen panoa varten. Tietosuojavaltuutettu voi ilmoittaa asian esitutkintaviranomaiselle ilman nimenomaista säännöstäkin eikä tästä siten säädettäisi uudessa tietosuojalaissa.
Pykälän 4 momentissa säädettäisiin yleisen tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen toimittamisesta vuosittain eduskunnalle ja valtioneuvostolle tietosuoja-asetuksen vaatimusten mukaisesti.
15 §. Tietosuojavaltuutetun päätöksenteko. Pykälän 1 momentin mukaan tietosuojavaltuutettu ratkaisisi sille kuuluvat asiat esittelystä. Tietosuojavaltuutettu voi säännöksen nojalla yksittäistapauksessa käsitellä ja ratkaista asiat itse. Oikeusasiamiehellä on eduskunnan oikeusasiamiehestä annetun lain (197/2002) 15 §:n mukaan vastaava mahdollisuus harkintansa mukaan käsitellä ja ratkaista asia ilman esittelyä. Tietosuojavaltuutettu voisi siten säännöksen nojalla yksittäistapausta koskevan harkintansa perusteella ratkaista asian ilman esittelyä. Tietosuojavaltuutettu ei kuitenkaan voisi esimerkiksi työjärjestyksellä määrätä asiasta. Asiat tulisivat vireille tietosuojavaltuutetun toimistossa joko rekisteröidyn, rekisterinpitäjän, henkilötietojen käsittelijän tai muun henkilön toimesta taikka tietosuojavaltuutetun omasta aloitteesta.
16 §. Apulaistietosuojavaltuutetun tehtävät ja toimivaltuudet. Pykälässä säädettäisiin tietosuojavaltuutetun ja apulaistietosuojavaltuutetun välisestä tehtävien jaosta ja apulaistietosuojavaltuutetun toimivaltuuksista. Tehtävänjaosta määrättäisiin työjärjestyksellä, jonka tietosuojavaltuutettu hyväksyisi 9 §:ssä ehdotetun mukaisesti. Apulaistietosuojavaltuutetulla voisi olla erilaisia tietosuojavaltuutetun toimiston tehtäväkenttään kuuluvia tehtäviä. Apulaistietosuojavaltuutetulla voisi olla myös 14 §:ssä säädettäväksi ehdotettuja tehtäviä, jos siitä työjärjestyksessä on määrätty. Apulaistietosuojavaltuutettu hoitaisi itsenäisesti sille työjärjestyksen mukaan kuuluvat tehtävät.
Pykälän 2 momentin mukaan apulaistietosuojavaltuutetulla olisi tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla. Tietosuojavaltuutetun toimivaltuuksista on säädetty yleisen tietosuoja-asetuksen 58 artiklassa. Apulaistietosuojavaltuutetulla olisi siten 58 artiklassa tarkoitetut toimivaltuudet sen hoitaessa tehtäviä, jotka tietosuojavaltuutetun toimiston työjärjestyksen mukaan kuuluvat sille. Tietosuojavaltuutetun muista kuin asetuksessa tarkoitetuista toimivaltuuksista voidaan säätää kansallisella lailla. Esimerkiksi luottotietolain (197/2002) 33 §:n mukaan lain yleinen valvonta kuuluu tietosuojavaltuutetulle. Kun tietosuojavaltuutetulla on muita kuin yleisessä tietosuoja-asetuksessa tarkoitettuja toimivaltuuksia, on apulaistietosuojavastaavalla myös nämä muut toimivaltuudet sen hoitaessa tehtäviä, joiden hoitamiseksi toimivaltuudet on säädetty.
17 §. Asiantuntijalautakunnan tehtävät ja asioiden käsittely. Pykälässä säädettäisiin asiantuntijalautakunnan tehtävistä ja asioiden käsittelystä asiantuntijalautakunnassa.
Pykälän 1 momentin mukaan lautakunnan tehtävänä olisi antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. Lautakunta antaisi lausuntoja tietosuojavaltuutetun pyynnöstä. Olisi siten tietosuojavaltuutetun harkinnassa, mistä asioista hän pyytää asiantuntijalautakunnanlausuntoa. Asian tulisi kuitenkin olla luonteeltaan merkittävä. Asian merkittävyyttä arvioitaessa huomiota voitaisiin kiinnittää ainakin seuraaviin seikkoihin. Jos asia koskee laajaa rekisteröityjen piiriä, voidaan asia yleisesti arvioida merkittäväksi. Samoin henkilötietojen käsittelyn kannalta keskeisiä käsitteitä ja esimerkiksi soveltamisalaa koskevat kysymykset ovat luonteeltaan sellaisia, että ne voitaisiin katsoa merkittäväksi. Myös merkittävät taloudelliset intressit olisi mahdollista ottaa huomioon arvioitaessa asian merkittävyyttä. Edellä mainittujen asioiden käsittelyä lautakunnassa voi kuitenkin rajoittaa asian käsittely yleisen tietosuoja-asetuksen mukaisessa yhdenmukaisuusmekanismissa ja Euroopan tietosuojaneuvostossa. Näille menettelyille säädetyt aikarajat voivat käytännössä merkittävästi hankaloittaa asiantuntijalautakunnan mahdollisuutta lausua käsiteltävästä asiasta. Sitä vastoin asiantuntijalautakunnalla olisi korostunut merkitys tilanteissa, joissa on kyse kansallisesta, asetusta täydentävän lainsäädännön tulkinnasta.
Pykälän 2 momentissa säädettäisiin asiantuntijalautakunnan mahdollisuudesta kuulla ulkopuolisia asiantuntijoita. Vaikka kyseessä on asiantuntijalautakunta, on mahdollista, että yksittäisestä asiasta lausuminen edellyttää sellaista asiantuntemusta, jota lautakunnassa ei ole edustettuna. Henkilötietojen käsittelyä koskevan asian ratkaiseminen voi edellyttää lisäksi esimerkiksi lääketieteellistä asiantuntemusta tai tietoteknistä asiantuntemusta, jolloin lautakunnan ulkopuolisen asiantuntijan kuuleminen saattaa olla tarpeellista lautakunnan kannan muodostamiseksi asiasta.
Tietosuojavaltuutetun tulisi kuitenkin pyrkiä valmistelemaan lautakunnalle esittämänsä lausuntopyynnöt siten, että tällainen tiedontarve olisi jo lähtökohtaisesti otettu mahdollisimman kattavasti huomioon lausuntopyyntöä valmisteltaessa valtuutetun omasta aloitteesta.
Pykälän 3 momentissa säädettäisiin, että lautakunnan sihteerinä toimii tietosuojavaltuutetun toimiston esittelijä. Asetuksessa tietosuojalautakunnasta ja tietosuojavaltuutetusta (432/1994) on säännelty yksityiskohtaisemmin tietosuojalautakunnan sihteerin kelpoisuusvaatimuksista, tehtävistä ja sihteerin ottamisesta tietosuojalautakunnalle. Asiantuntijalautakunta ei kuitenkaan ole itsenäinen viranomainen. Sihteerin tehtävistä ja ottamisesta ei siten ole tarpeen säätää yksityiskohtaisesti. Lautakunnan sihteerin on täytettävä tietosuojavaltuutetun toimiston esittelijälle laissa säädetyt kelpoisuusvaatimukset. Asiantuntijalautakunnan sihteerin tulee siten olla tietosuojavaltuutetun tehtäväalaan perehtynyt henkilö. Asiantuntijalautakunnan sihteerin tehtävänä olisi valmistella ja esitellä lautakunnan käsittelemät asiat. Asiantuntijalautakunnan toimintaan liittyvät hallinnolliset asiat, samoin juoksevien asioiden hoitaminen kuuluisi valtuutetun toimiston henkilöstölle, jonka tehtäviin tällaisten asioiden hoitaminen muutoinkin kuuluu. Tietosuojavaltuutettu voisi olla läsnä asiantuntijalautakunnan kokouksessa, mikäli tämä olisi asian käsittelyn ja asiasta käytävän keskustelun vuoksi tarpeellista. Asiantuntijalautakunta kuitenkin päättäisi lausuntonsa sisällöstä ilman tietosuojavaltuutetun läsnäoloa.
18 §. Tietosuojavaltuutetun tiedonsaanti ja tarkastusoikeus. Pykälän 1 momentissa viitattaisiin tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeuden osalta yleisen tietosuoja-asetuksen 58 artiklan 1 kohtaan. Tämän lisäksi momentissa säädettäisiin tietosuovaltuutetun oikeudesta saada salassapitosäännösten estämättä tehtäviensä hoidon kannalta tarpeelliset tiedot. Sama koskisi apulaistietosuojavaltuutettua ehdotetun lain 16 §:n nojalla. Tietosuojavaltuutetun tiedonsaantia ja tarkastusoikeutta koskevat toimivaltuudet seuraavat suoraan asetuksesta. Oikeudesta saada tiedot salassapitosäännösten estämättä on kuitenkin säädettävä erikseen.
Pykälän 1 momentin mukaan tietosuojavaltuutetulla on oikeus saada tiedot sen lisäksi mitä yleisessä tietosuoja-asetuksessa säädetään. Tämä olisi tarpeellista tietosuojavaltuutetun tiedonsaantioikeuden ulottamiseksi myös muihin tietoihin kuin niihin, jotka yleisen tietosuoja-asetuksen 58 artiklan mukaan kuuluvat tietosuojavaltuutetun tiedonsaantioikeuden piiriin. Tietosuojavaltuutetulla on oikeus saada myös muita tietoja kuin henkilötietoja, jos ne ovat sen tehtävien hoitamisen kannalta tarpeellisia.
Lisäksi pykälän 1 momentissa säädettäisiin siitä, että tietosuojavaltuutetulla on oikeus saada lainkohdassa tarkoitetut tiedot maksutta.
Tällä hetkellä tietosuojavaltuutetulla on henkilötietolain 39 §:n mukaan oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Pykälän 1 momentissa säädettäisiin myös nykytilaa vastaavalla tavalla, että valvontaviranomaisella on kyseiset valtuudet salassapitosäännösten estämättä. Valvontaviranomaisen valtuudesta määrätä rekisterinpitäjä ja henkilötietojen käsittelijä ja tarvittaessa rekisterinpitäjä ja henkilötietojen käsittelijän edustaja antamaan kaikki valtuutetun tehtävien suorittamiseksi tarvittavat tiedot säädetään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan a alakohdassa. Yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan e alakohdassa säädetään valvontaviranomaisen valtuudesta saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen sen tehtävien suorittamista varten.
Yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan b alakohdan nojalla valvontaviranomaisella on valtuus toteuttaa tutkimuksia tietosuojaa koskevien tarkastusten muodossa. Vastaavasta tarkastusoikeudesta säädetään tällä hetkellä henkilötietolain 39 §:ssä, jossa säädetään myös oikeudesta käyttää tarkastuksessa asiantuntijoita. Vastaavaa säännöstä asiantuntijoiden käytöstä ei sisälly yleiseen tietosuoja-asetukseen, joten asiantuntijoiden käytöstä tarkastusten yhteydessä olisi tarpeellista säätää ehdotetun tietosuojalain 19 §:ssä.
Muita yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan valvontaviranomaisen toimivaltuuksia ovat c alakohdassa säädetty toimivaltuus toteuttaa 42 artiklan 7 kohdan mukaisesti myönnettyjen sertifiointien uudelleentarkastelu sekä d alakohdan mukainen toimivaltuus ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle asetuksen väitetystä rikkomisesta.
Pykälän 2 momentissa säädettäisiin tarkastuksen tekemisestä pysyväisluonteiseen asumiseen käytettyyn tilaan. Yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan f alakohdassa säädetään valvontaviranomaiselle valtuus saada pääsy kaikkiin rekisterinpitäjän ja henkilötietojen käsittelijän tiloihin, tietojenkäsittelylaitteet ja -keinot mukaan lukien, unionin tai jäsenvaltion prosessioikeuden mukaisesti.
Henkilötietojen käsittely voi tapahtua sellaisessa paikassa tai tilassa, joka nauttii perustuslain 10 §:ssä tarkoitettua kotirauhan suojaa. Perustuslain 10 §:n 3 momentin mukaan lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä.
Tietosuojavaltuutetun tehtävien tehokkaan toteutumisen varmistamiseksi valvontaviranomaisen on kyettävä valvomaan myös kotirauhan suojaan kuuluvassa tilassa luonnollisten henkilöiden perusoikeuksien toteutumista henkilötietoja käsiteltäessä.
Voimassa olevan henkilötietolain 39 §:n 2 momentin mukaan kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan.
Pykälän 2 momentissa ehdotetaan, että tarkastus voidaan toimittaa pysyväisluonteisiin asumiseen käytetyssä tilassa vain, jos se välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa säädetty rangaistus. Sääntelyn oikeasuhtaisuuden näkökulmasta perustuslakivaliokunnan lähtökohtana on ollut, ettei kotirauhan suojaan tule puuttua enimmillään sakolla rangaistavien, moitittavuudeltaan vähäisten rikkomusten selvittämiseksi (PeVL 40/2002). Tarkastusoikeus on tavallisella lailla voitu kuitenkin kytkeä myös rangaistusluonteisella maksulla sanktioituun käyttäytymiseen (PeVL 7/2004 vp ja PeVL 39/2005 vp). Yleisen tietosuoja-asetuksen rikkomisesta määrättävät hallinnolliset seuraamusmaksut ovat rangaistusluonteisia, joten ehdotus vastaa perustuslakivaliokunnan käytäntöä.
Pysyväisluonteiseen asumiseen käytettyyn tilaan tehtävän tarkastuksen olisi oltava välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi. Tällainen välttämättömyys voisi tulla kyseeseen esimerkiksi silloin, kun henkilötietojen käsittelyssä käytettävät laitteet tai henkilötiedot sijaitsevat pysyväisluonteiseen asumiseen käytetyssä tilassa ja näiden laitteiden fyysinen tarkastaminen olisi välttämätöntä henkilötietojen suojaa koskevien säännösten noudattamisen selvittämiseksi. Välttämättömyyden lisäksi edellytetään, että on olemassa perusteltu ja yksilöity syy epäillä, että henkilötietojen suojaa koskevia säännöksiä on rikottu tai niitä rikotaan. Kyse olisi siten yleisen tietosuoja-asetuksen 83 artiklan 4 ja 5 kohdassa lueteltujen säännösten rikkomisesta sekä yleisen tietosuoja-asetuksen 10 artiklan rikkomisesta. Kyse voisi olla myös erityislainsäädännön säännöksien rikkomisesta. Edellytyksenä kuitenkin olisi, että epäillystä rikkomuksesta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa säädetty rangaistus.
Tarkastuksessa noudatettaisiin ilman nimenomaista säännöstäkin hallintolain 39 §:ää, jonka mukaan viranomaisen on muun muassa ilmoitettava tarkastuksen aloittamisajankohdasta asianosaiselle, ellei ilmoittaminen vaaranna tarkastuksen tarkoituksen toteuttamista. Tarkastuksen kuluessa asianosaiselle on myös muun muassa kerrottava tarkastuksen tavoitteista, sen suorittamisesta ja jatkotoimenpiteistä, mikäli tämä on mahdollista. Tarkastus on myös suoritettava aiheuttamatta tarkastuksen kohteelle tai sen haltijalle kohtuutonta haittaa. Myös muutoin hallintolaista ilmenevät hyvän hallinnon periaatteet tulevat sovellettavaksi. Pyydettävien asiakirjojen ja muiden selvitysten tulisi olla tarpeen valvontatehtävän kannalta ja pyynnön laajuuden oikeassa suhteessa tavoiteltavaan päämäärään nähden.
19 §. Asiantuntijoiden käyttö. Pykälä sisältäisi säännökset tietosuojavaltuutetun oikeudesta käyttää ulkopuolisia asiantuntijoita. Pykälässä säädettäisiin oikeudesta käyttää ulkopuolisia asiantuntijoita erotuksena tietosuojavaltuutetun toimistossa olevaan asiantuntijalautakuntaan. Henkilötietojen suoja koskee laaja-alaisesti yhteiskunnan eri osa-alueista. Erityisasiantuntemus, jota tietosuojavaltuutetun tehtävien hoitaminen edellyttää, voi joissain tapauksissa edellyttää ulkopuolisen asiantuntija-avun käyttämistä. Ulkopuolista asiantuntijaa voitaisiin käyttää esimerkiksi tilanteessa, jossa tarvittaisiin erityistä tietoa jonkin toimialan tai asian erityispiirteistä henkilötietojen käsittelyyn liittyvän riskin arvioimiseksi. Näin voi olla esimerkiksi tehtävien koskiessa genomitietoja tai biopankkeja. Tällöin tietosuojavaltuutetun tehtävien hoitaminen voi edellyttää lääketieteellistä asiantuntemusta. Tällainen ulkopuolinen asiantuntemus voi olla tarpeellista hoidettaessa tietosuojavaltuutetun toimiston yleisiä ohjaus- ja neuvontatehtäviä. Erityisasiantuntemuksen merkitys kuitenkin korostuu tehtävissä, jotka koskevat tiedon korjaamista ja rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin (nykyinen tarkastusoikeus)
Pykälän 1 momentissa säädettäisiin tietosuojavaltuutetun oikeudesta kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. Myös tietosuojalautakunnasta ja tietosuojavaltuutusta annetun lain 7 §:ssä säädetään tietosuojavaltuutetun ja tietosuojalautakunnan oikeudesta kuulla asiantuntijoita ja pyytää näiltä lausuntoja. Asiantuntijan nimeäisi tietosuojavaltuutettu tai apulaistietosuojavaltuutettu. Asiantuntijalautakunta voisi käyttää asiantuntijaa omasta aloitteestaan ehdotetun 17 §:n mukaisesti.
Pykälän 2 momentissa säädettäisiin tietosuojavaltuutetun oikeudesta käyttää apunaan ulkopuolisia asiantuntijoita suorittaessaan toimivaltaansa kuuluvia tarkastuksia. Tietosuojavaltuutetulla on yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan mukaan oikeus tehdä tarkastuksia. Voimassa olevan henkilötietolain 39 §:n mukaan tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Säännös on edelleen tarpeellinen tietosuojavaltuutetun tehtävien tehokkaan toteuttamisen varmistamiseksi.
Asiantuntija voisi tarpeen mukaan osallistua tietosuojavaltuutetun yleisen tietosuoja-asetuksen 58 artiklan 1 kohdassa tarkoitettuun tarkastukseen, jolloin asiantuntijaan sovellettaisiin myös, mitä yleisen tietosuoja-asetuksen 1 kohdassa säädetään tiedonsaantioikeudesta. Asiantuntijan tehtävä olisi tarkastuksessa aina avustava. Pykälän 2 momentissa säädettäisiin lisäksi siitä, että asiantuntijaan sovellettaisiin rikosoikeudellisia virkavastuuta koskevia säännöksiä asiantuntijan avustaessa tietosuojavaltuutettua tarkastuksen suorittamisessa. Lisäksi momentissa olisi viittaus vahingonkorvauslain mukaiseen vahingonkorvausvastuuseen.
20 §. Virka-apu. Pykälässä säädettäisiin tietosuojavaltuutetun oikeudesta saada tehtäviensä suorittamiseksi pyynnöstä poliisilta virka-apua. Ehdotettu säännös vastaa asiallisesti nykyisin voimassa olevassa tietosuojalautakunnasta ja tietosuojavaltuutetusta annetussa laissa olevaa vastaavaa säännöstä. Virka-apu voisi tulla kyseeseen esimerkiksi tarkastusten toteuttamisen yhteydessä, jolloin tietosuojavaltuutettu voi tarvita poliisilta virka-apua tarkastuskohteeseen pääsemiseksi.
4 luku Oikeusturva ja seuraamukset
21 §. Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi. Pykälässä säädettäisiin, että rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Tietosuoja-asetuksen 77 artiklassa säädetään rekisteröidyn oikeudesta tehdä valitus valvontaviranomaiselle. Säännös olisi tarpeellinen, sillä rekisteröidyllä on muitakin kuin yleisen tietosuoja-asetuksen soveltamisalaan kuuluvia oikeuksia kansallisen lainsäädännön perusteella.
Tietosuojavaltuutettu voi esimerkiksi neuvoa tai ohjeistaa sille tutkittavaksi saatetussa asiassa. Asian luonteesta riippuen tietosuojavaltuutettu voi tehdä asiassa myös valituskelpoisen hallintopäätöksen.
22 §. Uhkasakko. Pykälässä säädettäisiin, että tietosuojavaltuutettu voi asettaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c—g ja j alakohdassa tarkoitetun päätöksen tehosteeksi uhkasakon. Pykälässä myös säädettäisiin, että tietosuojavaltuutettu voi asettaa uhkasakon tietosuojalain 18 §:ssä säädetyn tiedonsaantioikeuden tehosteeksi. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).
Pykälän 2 momentin mukaan uhkasakkoa ei saa asettaa luonnolliselle henkilölle tietosuojalaissa säädetyn tietojenantovelvollisuuden tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa.
23 §. Muutoksenhaku. Pykälän 1 momentissa säädettäisiin muutoksenhausta tietosuojavaltuutetun päätökseen. Tietosuojavaltuutettu käyttäisi päätöstä tehdessään yleisestä tietosuoja-asetuksesta seuraavia toimivaltuuksia. Päätöksen valituskelpoisuus määräytyisi kuitenkin hallintolainkäyttölain mukaan. Lainkohdan mukaan tietosuojavaltuutetun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Momentti vastaisi siten henkilötietolain 45 §:n 1 momenttia, jonka mukaisesti tietosuojavaltuutetun ja tietosuojalautakunnan päätökseen haetaan muutosta valittamalla hallinto-oikeuteen hallintolainkäyttölain mukaisesti. Nykytilaan nähden rekisteröidyn oikeus hakea muutosta tietosuojaviranomaisen päätökseen kuitenkin laajenisi, kun osa tietosuojalautakunnan päätöksistä siirtyy tietosuojavaltuutetun toimivaltaan. Tällä hetkellä rekisteröidyllä ei ole oikeutta hakea muutosta tietosuojalautakunnan päätökseen. Tämä oikeus on ainoastaan tietosuojavaltuutetulla ja rekisterinpitäjällä. Asia on voinut tulla vireille tietosuojavaltuutetun toimistossa rekisteröidyn aloitteesta ja tietosuojavaltuutettu on voinut asian käsittelyn edetessä hakea tietosuojalautakunnalta esimerkiksi määräystä henkilötietojen käsittelyn kieltämiseksi. Tietosuojalautakunnan käsittelemän jutun asianosaisia ovat kuitenkin vain tietosuojavaltuutettu ja rekisterinpitäjä.
Pykälän 2 momentissa säädettäisiin valitusoikeudesta hallinto-oikeuden päätökseen. Henkilötietolain 45 §:n 2 momenttia vastaavasti hallinto-oikeuden päätökseen saisi säännösehdotuksen mukaan edelleenkin hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Momentin toisessa virkkeessä säädettäisiin siitä, että myös tietosuojavaltuutetulla on oikeus hakea muutosta hallinto-oikeuden ehdotetun 22 §:n 1 momentin nojalla tekemään päätökseen. Viranomaisen valitusoikeudella voidaan varmistaa, että korkeimman hallinto-oikeuden ratkaistavaksi tulee asioita paitsi rekisterinpitäjän, myös viranomaisen aloitteesta. Viranomaisen valitusoikeudella korostetaan tietosuojavaltuutetun tehtävää laillisuusvalvojana, jonka tehtävänä on valvoa yleisen tietosuoja-asetuksen noudattamista. Valvontaviranomaisen valitusoikeus on tarpeellinen myös oikeuskäytännön yhtenäisyyden varmistamiseksi. Tietosuojavaltuutettu on yleisellä tietosuoja-asetuksella perustetun Euroopan tietosuojaneuvoston jäsen. Yksi uuden toimielimen keskeisistä tehtävistä on varmistaa yleisen tietosuoja-asetuksen yhdenmukainen soveltaminen jäsenvaltioissa. Näin osaltaan varmistettaisiin tietosuojavaltuutetun tehokas mahdollisuus valvoa yleisen tietosuoja-asetuksen ja kansallisten henkilötietojen suojaa koskevien lakien soveltamista siten kuin yleisessä tietosuoja-asetuksessa edellytetään.
Pykälän 3 momentissa säädettäisiin, että tietosuojavaltuutetun päätöksessä voitaisiin määrätä, että sen päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin varmistettaisiin se, että tietosuojavaltuutetulla olisi mahdollisuus puuttua tehokkaasti lainvastaiseen henkilötietojen käsittelyyn. Esimerkiksi henkilötietojen käsittelyn keskeyttämistä tai tietojen siirtoa koskeva päätös olisi käytännössä hyödytön, jos sen noudattamista ei voitaisi edellyttää jo päätöksentekohetkestä lukien. Myös nykyisin henkilötietolain 45 §:n 3 momentin mukaan tietosuojalautakunnan päätöksessä voidaan määrätä vastaavasti velvollisuudesta noudattaa päätöstä muutoksenhausta huolimatta. Momentin mukaan päätöksessä ei kuitenkaan voitaisi määrätä, että sitä on noudatettava muutoksenhausta huolimatta kyseen ollessa hallinnollisesta seuraamusmaksusta. Hallinnollisen seuraamusmaksu on siten täytäntöönpantavissa vasta päätöksen tultua lainvoimaiseksi.
24 §. Komission päätökset. Pykälässä säädettäisiin komission päätöksen tietosuojan riittävän tason kansallisesta arvioinnista eräissä tilanteissa. Pykälä ei perustuisi suoraan yleiseen tietosuoja-asetukseen, vaan unionin tuomioistuimen ennakkoratkaisuun asiassa Schrems, C-362/14, EU:C:2015:650, tuomio 6.10.2015. Kyseisessä tapauksessa ratkaistavana oli kysymys muun ohella henkilötietodirektiivin 28 artiklassa tarkoitetun kansallisen valvontaviranomaisen toimivallasta, kun kyse on henkilötietodirektiivin 25 artiklan 6 kohtaan perustuvasta päätöksestä, jolla komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason.
Unionin tuomioistuin katsoi ratkaisussaan, että henkilötietodirektiivin artiklan 6 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 47 artiklan valossa, on tulkittava siten, että kyseiseen säännökseen perustuva päätös, jolla komissio toteaa kolmannen maan takaavan tietosuojan riittävän tason, ei ole esteenä sille, että henkilötietodirektiivin 28 artiklassa tarkoitettu jäsenvaltion valvontaviranomainen tutkii vaatimuksen, jonka henkilö on esittänyt oikeuksiensa ja vapauksiensa suojasta jäsenvaltiosta kyseiseen kolmanteen maahan siirrettyjen henkilötietojensa käsittelyssä, kun henkilön mukaan kyseisessä maassa voimassa olevat oikeussäännöt ja käytännöt eivät takaa tietosuojan riittävää tasoa.
Lisäksi edellä mainitun ratkaisun 65 kohdassa unionin tuomioistuin toteaa, että kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla asianomainen kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voisivat pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta päätöksen pätevyyden tutkimiseksi, mikäli ne kyseisen viranomaisen tavoin epäilevät komission päätöksen pätevyyttä. Näin ollen kansalliseen lainsäädäntöön on tarpeen sisällyttää säännökset tässä tarkoitettujen komission päätösten arvioimiseksi kansallisessa valvontaviranomaisessa ja tuomioistuimessa. Osa jäsenvaltioista on jo muuttanut kansallista lainsäädäntöään vastaamaan näitä vaatimuksia.
Pykälän 1 momentissa säädettäisiin, että jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa Euroopan komission päätöksen tietosuojan tason riittävyydestä olevan yleisen tietosuoja-asetuksen vastainen, tietosuojavaltuutettuvoi saattaa asia tältä osin hallinto-oikeuden ratkaistavaksi. Tapaukset olisi niiden oletettavasti vähäisen määrän ja asiassa tarvittavan asiantuntemuksen vuoksi syytä keskittää yhteen hallinto-oikeuteen, minkä vuoksi tietosuojavaltuutetun tulisi lainkohdan mukaan saattaa asia Helsingin hallinto-oikeuden käsiteltäväksi.
Pykälän 2 momentin mukaisesti hallinto-oikeuden tekemään päätökseen voisi hakea muutosta jos korkein hallinto-oikeus myöntää asiassa valitusluvan.
25 §. Hallinnollinen seuraamusmaksu. Pykälän 1 momentissa säädettäisiin seuraamuksista tilanteissa, joissa yleisen tietosuoja-asetuksen 10 artiklaa on rikottu. Kyseisessä artiklassa säädetään rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä. Lainkohdan mukaan myös tällaisesta rikkomisesta voitaisiin määrätä yleisen tietosuoja-asetuksen ja tietosuojalain mukaisesti hallinnollinen seuraamusmaksu noudattaen, mitä yleisen tietosuoja-asetuksen 83 artiklan 5 kohdassa on säädetty.
Säännös olisi tarpeellinen ennen kaikkea yleisen tietosuoja-asetuksen 84 artiklan vuoksi. Sen 1 kohdan mukaan jäsenvaltioiden tulee vahvistaa säännöt yleisen tietosuoja-asetuksen rikkomisten vuoksi määrättäviä seuraamuksia varten, erityisesti niiden rikkomisten osalta, joihin ei 83 artiklan nojalla sovelleta hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Yleisen tietosuoja-asetuksen 10 artiklan rikkomiseen ei suoraan 83 artiklan nojalla sovelleta hallinnollisia seuraamusmaksuja. Näin ollen kansallisessa lainsäädännössä on tarpeen säätää seuraamus yleisen tietosuoja-asetuksen 10 artiklan vastaisesta henkilötietojen käsittelystä. Tietosuoja-asetuksen 10 artiklan nojalla rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä on mahdollista säätää myös kansallisella lailla. Ehdotettu lainkohta koskisi myös 10 artiklan nojalla annettujen kansallisten säännöksien rikkomista.
Pykälän 2 momentissa säädettäisiin hallinnollisen seuraamusmaksun määräämisestä viranomaiselle tai julkishallinnon elimelle. Yleisen tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin. Pykälässä säädettäisiin, että tietosuoja-asetuksen 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua ei voitaisi määrätä valtion viranomaisille, valtion liikelaitokselle, kunnallisille viranomaisille, itsenäiselle julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Toisin sanoen hallinnollista seuraamusmaksua ei voitaisi määrätä hallintolain 2 §:ssä tarkoitetuille viranomaisille eikä valtion liikelaitokselle. Tässä yhteydessä itsenäisen julkisoikeudellisen laitoksen katsotaan käsittävän myös yliopistolaitoksen. Lähtökohtaisesti valtion liikelaitokset eivät enää toimi kilpailluilla markkinoilla, vaan tuottavat palveluita valtionhallinnon sisällä. Ehdotetun lain mukaan rajaus ei koskisi vain niitä yksityisiä tahoja, jotka hoitavat PL 124 §:n tarkoittamia julkisia hallintotehtäviä. Tällaisia toimijoita ei voida rajata hallinnollisen seuraamusmaksun soveltamisen ulkopuolelle tietosuoja-asetuksen 83 artiklan 7 kohdan nojalla, jonka mukaan liikkumavara koskee ainoastaan viranomaisia.
Valtion liikelaitoksen mainitseminen ehdotetussa lainkohdassa on tarpeellista, sillä valtion viranomainen käsittää ainoastaan viranomaisorganisaatioon kuuluvat laitokset. Kunnallinen viranomainen sisältää puolestaan myös kunnalliset liikelaitokset.
Viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely, joten tässä vaiheessa pidetään perusteltuna sulkea tämä seuraamus julkishallinnon osalta pois. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, viranomaisten on myös noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisten toiminta on budjettisidonnaista, jolloin rahamääräisen seuraamuksen vaikutus ei ole samanlainen kuin yksityisellä sektorilla. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä.
Eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja virkamiesten toiminnan lainmukaisuutta ja sitä, että viranomaiset ja virkamiehet täyttävät velvollisuutensa. Laillisuusvalvojat voivat niille tehdyn kantelun seurauksena nostaa syytteen, jos kyse on vakavasta lainvastaisuudesta, antaa viranomaiselle huomautuksen, saattaa viranomaisen tietoon käsityksensä lainmukaisesta menettelystä sekä kiinnittää viranomaisten huomiota hyvän hallinnon vaatimuksiin tai näkökohtiin, jotka edistävät perus- ja ihmisoikeuksien toteutumista, tehdä viranomaiselle esityksen virheen oikaisemiseksi tai epäkohdan korjaamiseksi ja hyvittämiseksi.
Tietosuojalain säätämisen yhteydessä ehdotetaan säädettävän tietosuojarikoksesta. Tämä osaltaan varmistaisi seuraamusjärjestelmän tehokkuuden. Tietosuojalailla ehdotetaan lisäksi säädettävän mahdollisuudesta asettaa uhkasakko tietosuojavaltuutetun päätöksen tehosteeksi. Uhkasakko on mahdollista asettaa myös viranomaiselle ja julkishallinnon elimelle.
Tarkoituksena on, että tietosuojalain täytäntöönpanoa seurataan ja hallinnollista seuraamusmaksua koskevaa sääntelyratkaisua arvioidaan tarpeen mukaan uudelleen ottaen myös huomioon mahdolliset EU:n suositukset ja ohjeet asiassa.
Pykälän 3 momentin mukaan seuraamusmaksua ei saisi määrätä, jos rikkomuksesta tai laiminlyönnistä on kulunut yli 10 vuotta. Kohta olisi mahdollinen yleisen tietosuoja-asetuksen 83 artiklan 8 kohdan nojalla. Artiklan 8 kohdan mukaan valvontaviranomaisen valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia. Ehdotettu rajaus olisi perusteltu seuraamusten oikeasuhtaisuusvaatimuksen kannalta. Hallinnollisten seuraamusmaksujen määräämisessä olisi otettava huomioon myös rikosoikeudelliseen laillisuusuusperiaatteeseen sisältyvät seikat, kuten muun muassa taannehtivan rikoslain kielto.
Pykälän 4 momentissa olisi informatiivinen viittaus sakon täytäntöönpanosta annettuun lakiin (672/2002). Yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen seuraamusmaksu pantaisiin täytäntöön noudattaen, mitä sakon täytäntöönpanosta annetussa laissa säädetään. Yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu olisi täytäntöönpanokelpoinen hallinnollista seuraamusmaksua koskevan päätöksen tultua lainvoimaiseksi. Lainvoimainen päätös seuraamusmaksusta olisi täytäntöönpanokelpoinen. Täytäntöönpanoon ryhtymisellä tarkoitetaan Oikeusrekisterikeskuksen maksukehotuksella aloittamaa täytäntöönpanoa. Lähtökohtaisesti rahaseuraamukseen velvoitetulle on aina varattava tilaisuus maksaa seuraamus vapaaehtoisesti ennen Oikeusrekisterikeskuksen suorittamaa ja ulosottotoimin tapahtuvaa perintää. Ennen ulosmittausta rahasuoritukseen velvoitettua vielä pääsääntöisesti kahdesti kehotetaan maksamaan seuraamus. Hallinnollinen seuraamusmaksu maksettaisiin valtiolle.
26 §. Rangaistussäännökset. Pykälän 1 momentti sisältäisi viittaussäännöksen rikoslain säännöksiin, jotka voivat tulla kyseeseen lain rikkomisten johdosta määrättävinä rikosoikeudellisina seuraamuksina.
Momentti sisältäisi viittaussäännöksen rikoslain 38 luvun 9 §:ään, jossa säädettäisiin tietosuojarikoksesta. Uutta tietosuojarikosta koskevaa rangaistussäännöstä, jolla kumottaisiin nykyinen henkilörekisteririkosta koskeva rangaistussäännös, ehdotetaan tämän lain säätämisen yhteydessä. Tietosuojarikos ei olisi tunnusmerkistöltään päällekkäinen hallinnollisen seuraamusmaksun kanssa.
Momentissa viitattaisiin myös henkilötietolain 48 §:ää vastaavalla tavalla rikoslain 38 luvun 3, 4, 8 ja 8 a §:ään, jossa säädetään rangaistus viestintäsalaisuuden loukkauksesta sekä tietomurrosta. Rangaistus 34 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomittaisiin rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.
Pykälän 2 momentti sisältäisi viittaussäännöksen rikoslain 38 luvun 10 §:n 3 momenttiin, jossa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen 2 momentissa tarkoitettuja rikoksia koskevan syytteen nostamista. Tietosuojavaltuutetulle tulisi lisäksi varata mahdollisuus tulla kuulluksi 2 momentissa mainittua rikosta tuomioistuimessa käsiteltäessä.
5 luku Tietojenkäsittelyn erityistilanteet
27 §. Henkilötietojen käsittely journalististen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Pykälässä säädettäisiin vapautuksista ja poikkeuksista yleiseen tietosuoja-asetukseen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden kanssa.
Pykälän 1 momentissa säädettäisiin artikloista, joita ei sovellettaisi henkilötietojen käsittelyyn journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Sovellettavaksi eivät tulisi yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c—e alakohta, 6—7 artikla, 9—10 artikla, 11 artiklan 2 kohta, 12—22 artikla, 34 artiklan 1—3 kohta, 35—36 artikla, 56 artikla, 58 artiklan 2 kohdan f alakohta, 60—63 artikla ja 65—67 artikla. Sitä vastoin henkilötietojen käsittelyyn edellä mainituissa tarkoituksissa sovellettaisiin 5(1)(f), 8, 23, 28—29, 32—33 artiklaa, 34 artiklan 4 kohtaa, 37—38 ja 40—43 artiklaa. Lisäksi sovellettavaksi tulevat yleisen tietosuoja-asetuksen säännökset siltä osin kuin niistä ei ole mahdollista poiketa.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”). Eheyden ja luottamuksellisuuden periaate liittyy rekisterinpitäjälle yleisessä tietosuoja-asetuksessa asetettuihin tietoturvaa ja henkilötietojen suojaamista koskeviin velvoitteisiin, joita sovellettaisiin myös 85 artiklassa tarkoitettuun henkilötietojen käsittelyyn. Täten myös eheyden ja luottamuksellisuuden periaatetta olisi sovellettava 85 artiklassa tarkoitettuun henkilötietojen käsittelyyn.
Yleisen tietosuoja-asetuksen II luvun säännöksistä sovellettavaksi tulisi 8 artikla, jossa säädetään tietoyhteiskunnan palveluihin liittyvän lapsen suostumukseen sovellettavasti tulevista ehdoista. Jos 85 artiklassa säädettyihin tarkoituksiin liittyy tietoyhteiskunnanpalveluiden tarjoamista, tulee asetuksen 8 artikla sovellettavaksi myös tällaisen henkilötietojen käsittelyn osalta. Artiklan soveltaminen rajoittuu tilanteisiin, joissa tietoyhteiskunnan palveluita tarjotaan suoraan lapselle. Siten toimituksellinen työ, kuten lasten haastattelut, uutisointi lapsiin liittyvistä tapahtumista ja asioista, jää artiklan soveltamisalan ulkopuolelle, ellei kyse ole tietoyhteiskunnan palvelun tarjoamisesta suoraan lapselle.
Yleisen tietosuoja-asetuksen rekisteröidyn oikeuksia koskevan III luvun säännöksistä tulisi sovellettavaksi 23 artikla, jossa säädetään mahdollisuudesta rajoittaa yleisessä tietosuoja-asetuksessa rekisteröidylle säädettyjä oikeuksia unionin oikeudessa tai jäsenvaltion lainsäädännössä. Artikla ei koske rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuuksia, vaan lainsäätäjälle annettuja toimivaltuuksia. Artiklasta ei ole siten tarpeen poiketa henkilötietojen suojan yhteensovittamiseksi sananvapauden ja tiedonvälityksen vapauden kanssa.
Yleisen tietosuoja-asetuksen 28 artiklassa säädetään henkilötietojen käsittelijästä. Tällä hetkellä henkilötietojen käsittelijää koskevat henkilötietolain 5 ja 32 §. Henkilötietojen käsittelyyn toimituksellisia tarkoituksia varten sovelletaan 32 §:ää. Henkilötietolain mukaan henkilötietojen käsittelijällä on velvollisuus antaa ennen tietojen käsittelyyn ryhtymistä rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 32 §:n 1 momentissa tarkoitetulla tavalla. Yleisen tietosuoja-asetuksen 28 artikla on henkilötietolain 5 ja 32 §:ää yksityiskohtaisempi. Yleisen tietosuoja-asetuksen 28 artikla sisältää muun muassa pakottavia säännöksiä toimeksiantosopimuksesta. Käsittelijää koskeva sääntely tulisi sovellettavaksi esimerkiksi tilanteissa, jossa lehtitalo ulkoistaisi henkilötietojen säilyttämisen toiselle organisaatiolle, esimerkiksi pilvipalveluna. Yleisen tietosuoja-asetuksen säännösten soveltuminen tällaiseen toimintaan ei muodostaisi estettä sananvapauden ilmaisulle, eikä yleisen tietosuoja-asetuksen 28 artiklasta tulisi siten säätää poikkeusta kyseen ollessa henkilötietojen käsittely yleisen tietosuoja-asetuksen 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen 29 artiklan mukaan henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö ei saa käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti. Tietosuojalailla ehdotetaan poikettavan useista rekisteröidyn oikeuksista käsiteltäessä henkilötietoja 85 artiklan tarkoittamissa tilanteissa. Tehtäessä huomattavia poikkeuksia rekisteröidyn oikeuksiin, korostuu tietojen suojaamista koskevien velvoitteiden merkitys. Siten yleisen tietosuoja-asetuksen 29 artiklasta ei tulisi poiketa käsiteltäessä henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen 32 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Tällä hetkellä henkilötietolain tietojen suojaamista koskevaa 32 §:ää sovelletaan henkilötietojen käsittelyyn toimituksellisessa tarkoituksessa. Tietoturvaa ja tietojen suojaamista koskeva velvoite on keskeinen vaatimus rekisteröidyn oikeusturvan toteutumisen varmistamiseksi tilanteessa, jossa säädetään useita poikkeuksia yleisen tietosuoja-asetuksen periaatteista, rekisteröidyn oikeuksista ja rekisterinpitäjän velvoitteista yleisen tietosuoja-asetuksen 85 artiklan nojalla. Tämän vuoksi 32 artiklaa tulisi soveltaa henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Henkilötietojen suojaamista koskevan henkilötietolain 32 §:n ja käsittelyn turvallisuutta koskevan yleisen tietosuoja-asetuksen 32 artiklan välillä on kuitenkin eroja.
Yleisen tietosuoja-asetuksen 33 artiklan mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta toimivaltaiselle valvontaviranomaiselle. Henkilötietolaissa ei säädetä rekisterinpitäjän tai henkilötietojen käsittelijän velvollisuudesta ilmoittaa tietoturvaloukkauksesta. Tällä hetkellä henkilötietolain tietojen suojaamisvelvoitetta koskeva 32 § tulee kuitenkin sovellettavaksi henkilötietojen käsittelyyn toimituksellisia tarkoituksia varten. Tietosuojavaltuutettu valvoo 32 §:ssä säädettyjen velvoitteiden noudattamista myös rekisterinpitäjän käsitellessä henkilötietoja toimituksellisissa tarkoituksissa. Tietosuojavaltuutetulla on oikeus saada tässä tarkoituksessa tarpeellisia tietoja rekistereiden suojaamisesta. Koska tietojen suojaamista ja tietoturvaa koskevat velvoitteet tulisivat sovellettavaksi 85 artiklassa tarkoitetuissa tilanteissa tapahtuvaan henkilötietojen käsittelyyn, olisi myös yleisen tietosuoja-asetuksen 33 artiklaa sovellettava henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Tällä tavoin valvontaviranomaisella olisi mahdollisuus saada tieto sattuneista tietoturvaloukkauksista. Lisäksi sovellettavaksi tulisi yleisen tietosuoja-asetuksen 34 artiklan 4 kohta, jonka mukaan valvontaviranomainen voi vaatia 34 artiklassa tarkoitetun ilmoituksen tekemistä rekisteröidylle.
Yleisen tietosuoja-asetuksen tietosuojavastaavan nimeämistä koskeva 37 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen 85 artiklan tarkoittamissa tilanteissa. Velvollisuus nimetä tietosuojavastaava koskee rajatusti yksityisen sektorin toimijoita. Tietosuojavastaava on nimettävä tilanteissa, joissa rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laatunsa ja/tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa sekä tilanteissa, joissa rekisterinpitäjän ja henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin.
Velvollisuus tietosuojavastaavan nimeämiseen koskisi vain rajatusti henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa käsitteleviä tahoja, eikä tätä velvollisuutta olisi tarpeellista rajata asetuksesta säädetystä. Tietosuojalailla ehdotetaan merkittäviä rajauksia rekisteröidyn oikeuksiin käsiteltäessä henkilötietoja 85 artiklan tarkoittamissa tilanteissa, esimerkiksi rekisteröidyn oikeudesta olla joutumatta automatisoidun päätöksenteon kohteeksi, kuten profiloinnin. Sitä vastoin tietoturvaa koskevista säännöksistä ei ehdoteta poikettavan tietosuojalailla. Tietosuojavastaava on nimettävä tilanteissa, joissa on kyse rekisteröityjen laajamittaisesta, säännöllisestä ja järjestelmällisestä seurannasta, kuten profiloinnista. Ehdotettaessa poikettavan yleisen tietosuoja-asetuksen lähtökohdasta, jonka mukaan rekisteröidyllä on oikeus olla joutumatta automatisoidun päätöksenteon kohteeksi, korostuu muiden rekisteröidyn oikeuksien turvaamiseksi säädettyjen keinojen merkitys. Siten 37 artiklan mukainen velvollisuus tietosuojavastaavan nimeämiseen tulisi sovellettavaksi käsiteltäessä henkilötietotoja 85 artiklassa tarkoitetuissa tilanteissa. Tietosuojavastaavan tehtävänä on antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle tietoja ja neuvoja. Henkilötietojen käsittelyä koskevat päätökset tekee kuitenkin rekisterinpitäjä.
Yleisen tietosuoja-asetuksen 38 artiklassa säädetään tietosuojavastaavan asemasta. Tietosuojavastaavan asemaa koskevilla säännöksillä pyritään varmistamaan, että tietosuojavastaavalla on asianmukaiset toimintaedellytykset tehtäviensä hoitamiselle. Näin ollen 38 artiklan soveltamista ei rajattaisi tietosuojalailla.
Yleisen tietosuoja-asetuksen käytännesääntöjä koskeva 40 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Tällä hetkellä henkilötietolain toimialakohtaisia käytännesääntöjä koskevaa 42 §:ää sovelletaan henkilötietojen käsittelyyn toimituksellisessa tarkoituksessa. Henkilötietolain 42 §:n mukaan rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä henkilötietolain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi sekä toimittaa laatimansa ehdotukset tietosuojavaltuutetulle. Tietosuojavaltuutettu voi tarkastaa, että käytännesäännöt ovat henkilötietolain ja muiden henkilötietojen käsittelyyn vaikuttavien säännösten mukaisia. Yleisen tietosuoja-asetuksen käytännesääntöjä koskeva 40 artikla on yksityiskohtaisempi. Käytännesäännöt ovat rekisterinpitäjälle mahdollisuus, ei velvollisuus. Tämä mahdollisuus tulisi vastaisuudessakin säilyttää rekisterinpitäjille, jotka käsittelevät henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen 41 artikla koskee hyväksyttyjen käytännesääntöjen seurantaa. Sikäli kuin 40 artikla tulee sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa, myös käytännesääntöjen seurantaa koskeva 41 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn.
Yleisen tietosuoja-asetuksen 42 artikla koskee sertifiointia. Sertifiointia koskeva artikla tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Mahdollisuus käyttää sertifiointia tulisi säilyttää rekisterinpitäjillä ja henkilötietojen käsittelijöillä, jotka käsittelevät henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen sertifiointielimiä koskeva 43 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa sikäli kuin 42 artikla sertifioinnista tulisi sovellettavaksi.
Yleisen tietosuoja-asetuksen IX luvussa säädetään tietojen käsittelyyn liittyvistä erityistilanteista. Ehdotuksessa ei esitetä säädettävän poikkeuksia IX luvun säännöksiin.
Pykälän 2 momentin mukaan tietosuoja-asetuksen 27 artiklaa ei sovellettaisi sellaiseen henkilötietojen käsittelyyn, joka liittyy sananvapauden käyttämisestä joukkoviestinnässä annetussa laissa säädettyyn toimintaan. Tietosuoja-asetuksen 27 artikla koskee unionin ulkopuolelle sijoittuneiden rekisterinpitäjien ja käsittelijöiden velvollisuutta nimetä edustaja. Kyseinen velvollisuus koskee tilanteita, joissa nämä eivät ole sijoittuneet unioniin ja palveluita tarjotaan unioniin sijoittuneille rekisteröidyille tai kyse on rekisteröityjen käyttäytymisen seurannasta, eli kyse voi olla esimerkiksi profiloinnista. Tietosuoja-asetuksen 27 artiklassa säädetään eräistä poikkeuksista tähän velvollisuuteen. Tietosuojalain 27 §:n nojalla tietosuoja-asetuksen 27 artikla ei tulisi myöskään sovellettavaksi tilanteessa, jossa joukkoviestimen päätoimittajalla olisi sananvapauslaista seuraava vastuu julkaistujen viestien sisällöstä. Lisäksi 2 momentissa säädettäisiin, että yleisen tietosuoja-asetuksen V lukua (44—50 artikla) henkilötietojen siirroista kolmansiin maihin tai kansainvälisille järjestöille ei sovellettaisi, jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen. Sovellettavaksi tulisi siten tiedonsiirtoa kolmansiin maihin koskevat velvoitteet, jotka koskevat henkilötietojen suojaamista ja tietoturvallisuutta. Käsiteltäessä henkilötietoja yleisen tietosuoja-asetuksen 85 artiklassa tarkoitetuissa tilanteissa voitaisiin rekisteröidyn oikeuksista poiketa laajasti. Näin ollen tietojen suojaamista koskevat velvoitteet, erityisesti siirrettäessä tietoja kolmansiin maihin esimerkiksi henkilötietojen säilyttämistarkoituksessa, korostuvat.
Ehdotetun pykälän 3 momentissa säädettäisiin, että eräät yleisen tietosuoja-asetuksen artiklat tulisivat ainoastaan osittain sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Näissä tilanteissa kyse voi olla joko siitä, että sovellettavaksi tulisi ainoastaan kyseisen artiklan tietty kohta tai siitä, että artikla on luonteeltaan yleinen ja sitä on luettava yhdessä toisen artiklan kanssa. Viimeksi mainitussa tilanteessa artiklan soveltaminen olisi sidoksissa siihen, tulisiko artikla, johon se läheisesti liittyy, sovellettavaksi. Henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa tulisivat sovellettavaksi soveltuvin 5 artiklan 1 kohdan a—b alakohta ja 2 kohta, 24—26 artikla, 31 artikla, 39—40 artikla, 42 artikla, 57—58 artikla, 64 artikla ja 70 artikla.
Pykälän 3 momentissa säädettäisiin, että 5 artiklan 1 kohdan a ja b alakohdassa sekä 2 kohdassa säädettyjä tietosuojaperiaatteita sovellettaisiin journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten tapahtuvaan henkilötietojen käsittelyyn siltä osin kuin yleistä tietosuoja-asetusta 85 artiklan nojalla säädettyjen poikkeusten ja vapautusten nojalla sovellettaisiin tällaiseen käsittelyyn.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (”lainmukaisuus, kohtuullisuus ja läpinäkyvyys”). Lainmukaisuuden ja kohtuullisuuden periaatteita sovellettaisiin 85 artiklassa säädetyissä tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn. Läpinäkyvyyden periaatetta ilmentävät yleisen tietosuoja-asetuksen 12—15 artikla ei tulisi sovellettavaksi silloin, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Näin ollen periaatetta ei sovellettaisi tältä osin. Journalistisen tarkoituksen osalta henkilötietojen käsittely ei voisi olla yleisesti läpinäkyvää, sillä median tehtävä vallankäytön valvojana edellyttää tyypillisesti tietojen keräämistä henkilöistä myös näiden tietämättä. Lähdesuojan piiriin kuuluvat tiedot on suojattava. Näin ollen periaatetta ei sovellettaisi läpinäkyvyyden osalta.
Yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kannalta yhteensopimattomalla tavalla. Myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei kuitenkaan katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (käyttötarkoitussidonnaisuuden periaate). Soveltuvin osin tarkoittaisi käyttötarkoitussidonnaisuuden periaatteen osalta, että journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten kerättyjä henkilötietoja voidaan käsitellä vain näihin liittyvissä tarkoituksissa. Näitä henkilötietoja ei sitä vastoin voitaisi käsitellä esimerkiksi erilaisissa hallinto- tai markkinointitehtävissä. Tämä vastaisi henkilötietolain esitöiden perusteella nykyistä sääntelyä ja on edelleen perusteltua siitä syystä, että sananvapauden ilmaisemisen tarkoituksessa ehdotetaan säädettäväksi laajoja poikkeuksia henkilötietojen suojaan.
Yleisen tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”). Osoitusvelvollisuutta sovellettaisiin niiltä osin ja niihin 5 artiklan 1 kohdan periaatteisiin, joita sovelletaan käsiteltäessä henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa.
Yleisen tietosuoja-asetuksen 24 artiklassa säädetään, että rekisterinpitäjän on toteutettava sellaiset tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittely on yleisen tietosuoja-asetuksen mukaista. Yleisen tietosuoja-asetuksen 24 artiklaa sovellettaisiin henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa soveltuvin osin. Yleisen tietosuoja-asetuksen 24 artiklaa on luettava yhdessä muiden yleisen tietosuoja-asetuksen rekisterinpitäjän velvoitteita koskevien artiklojen kanssa. Yleisen tietosuoja-asetuksen 24 artiklaa olisi siten sovellettava tilanteissa, joissa jokin muu yleisen tietosuoja-asetuksen mukainen rekisterinpitäjän velvoitetta koskeva artikla tulisi sovellettavaksi.
Yleisen tietosuoja-asetuksen sisäänrakennettua ja oletusarvoista tietosuojaa koskeva 25 artikla tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa soveltuvin osin. Luonnollisten henkilöiden oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että toteutetaan asiamukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan että asetuksessa säädetyt vaatimukset täyttyvät. Käsiteltäessä henkilötietoja 85 artiklan tarkoittamissa tilanteissa, olisi sisäänrakennettua ja oletusarvoista tietosuojaa koskeva velvoite otettava huomioon siltä osin kuin yleisen tietosuoja-asetuksen velvoitteet koskevat rekisterinpitäjää sen käsitellessä henkilötietoja kyseisessä tarkoituksessa.
Yleisen tietosuoja-asetuksen 26 artiklassa asetetaan yhteisrekisterinpitäjille velvollisuus määritellä kunkin vastuualueet asetuksessa vahvistettujen velvoitteiden noudattamiseksi. Yhteisrekisterinpitäjien vastuiden selkeä ja läpinäkyvä määrittely ei muodosta rajoitusta sananvapauden käyttämiselle. Artiklasta ei siten olisi syytä säätää poikkeusta. Yhteisrekisterinpitäjiä koskeva 26 artikla tulisi siten sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa soveltuvin osin, eli siltä osin kuin yleinen tietosuoja-asetus tulisi muutoinkin sovellettavaksi. Ehdotuksen mukaisesti yleisen tietosuoja-asetuksen 13 ja 14 artikla eivät tulisi sovellettavaksi käsiteltäessä henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa. Siten 26 artiklaa ei sovellettaisi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa siltä osin kuin kyse on rekisterinpitäjän vastuualueiden määrittelemisestä 13 ja 14 artiklan mukaisen tietojen toimittamista koskevien tehtävien osalta.
Yleisen tietosuoja-asetuksen 31 artiklan mukaan rekisterinpitäjän ja henkilötietojen käsittelijän sekä näiden edustajan on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa. Niiltä osin kuin valvontaviranomaisen tehtäviä ja toimivaltuuksia sovelletaan yleisen tietosuoja-asetuksen 85 artiklassa tarkoitetuissa tilanteissa tapahtuvaan henkilötietojen käsittelyyn, tulisi myös 31 artikla sovellettavaksi. Yleisen tietosuoja-asetuksen 31 artiklaa sovellettaisiin siten soveltuvin osin 85 artiklassa tarkoitettuun henkilötietojen käsittelyyn.
Yleisen tietosuoja-asetuksen 39 artiklassa säädetään tietosuojavastaavan tehtävistä. Artikla tulisi sovellettavaksi soveltuvin osin. Artiklan 1 kohdan c alakohta, jonka mukaan tietosuojavastaava antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoo sen toteutusta 35 artiklan mukaisesti ei tulisi sovellettavaksi, sillä 35 artiklaa ei sovellettaisi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa. Lisäksi 39 artiklan e alakohta rajautuisi soveltamisen ulkopuolelle siltä osin kuin siinä asetetaan tietosuojavastaavalle tehtävä toimia yhteyspisteenä 36 artiklan mukaisessa ennakkokuulemisessa. Tätä kohtaa ei sovellettaisi, sillä 36 artikla ei tulisi sovellettavaksi henkilötietojen käsittelyyn 85 artiklassa tarkoitetuissa tilanteissa.
Tietosuojavastaavan tehtäviä rajaisivat myös yleisen tietosuoja-asetuksen 85 artiklan nojalla tietosuojalailla säädettäväksi suunnitellut rajaukset. Koska henkilötietojen käsittelyyn 85 artiklassa tarkoitettuihin tilanteisiin ei sovellettaisi yleisen tietosuoja-asetuksen III luvussa säädettyjä rekisteröidyn oikeuksia, eivät tietosuojavastaavan tehtävätkään voisi sisältää rekisterinpitäjän tai käsittelijän neuvontaa siltä osin kuin kyse on rekisteröidyn oikeuksista. Näin ollen tietosuojavastaavan neuvontatehtävät koskisivat lähinnä tietosuojaa ja tietojen turvaamista koskevia rekisterinpitäjän velvollisuuksia.
Pykälän 3 momentissa säädettäisiin lisäksi, että yleisen tietosuoja-asetuksen valvontaviranomaisten tehtäviä koskevaa 57 artiklaa sekä toimivaltaa koskevaa 58 artiklaa sovellettaisiin soveltuvin osin. Tämä tarkoittaisi, että valvontaviranomaisen tehtäviä koskevia säännöksiä sovelletaan niiltä osin, kuin yleisen tietosuoja-asetuksen säännöksiä sovelletaan 85 artiklassa tarkoitettuihin tilanteisiin.
Ehdotuksen ensimmäisessä momentissa ehdotettaisiin säädettäväksi poikkeus yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan f alakohtaan. Yleisen tietosuoja-asetuksen 58 artiklan eräitä muita alakohtia ei myöskään sovellettaisi, jos valvontaviranomaisen valtuuden taustalla olevaa artiklaa ei sovellettaisi 85 artiklassa säädetyissä tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn. Esimerkiksi asetuksen 58 artiklan 3 kohdan a alakohta ei tulisi sovellettavaksi, koska edellä esitetyn mukaisesti ehdotetaan säädettäväksi poikkeus 36 artiklan mukaisesta ennakkokuulemismenettelystä. Myöskään rekisteröityjen oikeuksien toteuttamista koskeva 58 artiklan 2 kohdan c alakohdan määräysvaltuus ei tulisi sovellettavaksi, sillä rekisteröityjen oikeuksia koskevaa III lukua ei sovellettaisi 85 artiklassa säädetyissä tarkoituksissa tapahtuvaan henkilötietojen käsittelyyn. Tällä tavalla säilytettäisiin nykytilaa vastaava sääntely. Nykytilaa vastaavalla tavalla tietosuojaviranomaisen toimivaltuudet puuttua 85 artiklassa tarkoitettuun henkilötietojen käsittelyyn koskisivat lähinnä henkilötietojen suojaamista koskevia velvoitteita.
Yleisen tietosuoja-asetuksen tehtäviä ja toimivaltaa koskevia 64 artiklaa ja 70 artiklaa sovellettaisiin pykälän 3 momentin mukaisesti soveltuvin osin, jotta 85 artiklan tarkoituksissa henkilötietoja käsittelevät toimijat voisivat ottaa käyttöön tietosuojaneuvoston hyväksymiä käytännesääntöjä ja sertifikaatteja.
28 §. Julkisuusperiaate. Pykälä olisi informatiivinen ja ilmaisisi sen, että henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä säädettäisiin vastaisuudessakin laissa viranomaisten asiakirjojen julkisuudesta. Lakiin viranomaisten asiakirjojen julkisuudesta ei ehdotettaisi muutoksia. Nykytila kuitenkin muuttuisi, sillä ehdotetulla lailla kumottaisiin henkilötietolaki ja sovellettavaksi tulee yleinen tietosuoja-asetus, jota lisäksi täydennettäisiin ehdotetulla tietosuojalailla.
29 §. Henkilötunnuksen käsittely. Pykälässä säädettäisiin henkilötunnuksen käsittelystä. Yleisen tietosuoja-asetuksen 87 artiklan mukaan jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilönumeron tai muun yleisen tunnisteen käsittelyn edellytykset. Tässä tapauksessa kansallista henkilönumeroa tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia yleisen tietosuoja-asetuksen mukaisesti.
Tällä hetkellä oikeus henkilötunnuksen käsittelyyn määräytyy henkilötietolain 13 §:n perusteella. Ehdotuksessa pysytettäisiin nykyinen sääntely.
Säännöksiä henkilötunnuksen käsittelystä sisältyy nykyään esimerkiksi väestötietolakiin (661/2009), lakiin ajoneuvoliikennerekisteristä (541/2003), verotusmenettelystä annettuun lakiin (1558/1995), rikosrekisterilakiin (770/1993) ja kaupparekisterilakiin (129/1979).
Tietosuojalain 29 §:llä pyrittäisiin säilyttämään nykytila. Ehdotetussa 29 §:ssä käsittelyn erityisiä edellytyksiä määriteltäisiin muun muassa rajaamalla mahdollisuutta käsitellä henkilötunnusta ainoastaan tiettyjen käsittelyn oikeusperusteiden nojalla. Tämä vastaisi nykytilaa. On huomattava, että henkilötunnus on tarkoitettu erottamaan henkilö muista henkilöistä, mutta henkilötunnuksen ilmoittaminen tai esittäminen ei ole välttämättä tae siitä, että kyseessä on henkilötunnuksen tarkoittama henkilö.
Pykälän 1 momentin mukaan henkilötunnuksen käsittely olisi sallittua yleisessä tietosuoja-asetuksessa henkilötietojen käsittelylle säädettyjen yleisten edellytysten mukaisesti rekisteröidyn suostumuksella. Henkilötietolaissa on edellytetty yksiselitteistä suostumusta. Muutoksella ei pyrittäisi muuttamaan nykytilaa. Suostumuksen määritelmä ja suostumukselle asetettavat edellytykset seuraavat suoraan yleisestä tietosuoja-asetuksesta. Pykälän 1 momentin mukaan henkilötunnuksen käsittely olisi sallittua myös silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää 1) laissa säädetyn tehtävän suorittamiseksi, 2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi tai 3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Näin ollen henkilötunnusta saisi käsitellä yksiselitteisen suostumuksen lisäksi yleisen tietosuoja-asetuksen 6 artiklan c alakohdan nojalla rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Lisäedellytyksenä yleisen tietosuoja-asetuksen käsittelyn oikeusperusteeseen nähden edellytettäisiin, että tehtävästä on säädetty laissa.
Kaikissa tapauksissa henkilötunnuksen käsittelyn perusedellytyksenä on, että rekisteröidyn yksiselitteinen yksilöiminen on tärkeää säännöksessä mainitun tehtävän suorittamiseksi. Tämän vuoksi esimerkiksi pelkkä laissa säädetyn tehtävän helpompi tai nopeampi suorittaminen henkilötunnuksen avulla ei oikeuttaisi henkilötunnuksen käsittelyä, vaan käsittely olisi sallittua ainoastaan silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää tehtävästä suoriutumiseksi. Historiallisessa tai tieteellisessä tutkimuksessa pitäisi lähtökohtaisesti pyrkiä saamaan rekisteröidyn suostumus henkilötietojen käsittelyyn. Tämän vuoksi ja myös siksi, että historiallisessa ja tieteellisessä tutkimuksessa sekä tilastoinnissa tulisi mahdollisuuksien mukaan pyrkiä käsittelemään tietoja siten, etteivät rekisteröidyt ole niistä tunnistettavissa, ehdotetaan rekisteröidyn yksiselitteisen yksilöimisen tärkeys säädettäväksi henkilötunnuksen käsittelyn edellytykseksi myös historiallisen ja tieteellisen tutkimuksen sekä tilastoinnin osalta. Historiallisessa ja tieteellisessä tutkimuksessa sekä tilastoinnissa rekisteröidyn yksiselitteinen yksilöiminen on yleensä välttämätöntä henkilörekistereitä yhdistettäessä.
Pykälän 2 momentin mukaan henkilötunnusta saisi käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuoltoa ja muuta sosiaaliturvaa toteutettaessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. Soveltamiskäytännössä henkilötunnuksen käsittely on edellä mainituissa toiminnoissa yleensä katsottu tarpeelliseksi henkilön yksiselitteisen yksilöinnin varmistamiseksi. Näissä tapauksissa henkilön luotettava yksilöinti on usein välttämätöntä jo rekisteröidyn oikeusturvankin kannalta.
Pykälän 3 momentin mukaan henkilötunnuksen saisi sen lisäksi, mitä käsittelystä muutoin säädetään, luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.
Pykälän 4 momentissa säädettäisiin siitä, että henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin asiakirjoihin, henkilötietoja ei ylipäänsäkään tule merkitä tarpeettomasti asiakirjoihin. Rekisterinpitäjän olisi siten huolehdittava esimerkiksi siitä, että henkilötunnuksia ei merkitä näkyvästi postilähetyksiin. Henkilötunnuksia ei myöskään saisi merkitä esimerkiksi kiertäviin työvuoro- tai lomalistoihin eikä oppilaitoksen ilmoitustaululla nähtävillä oleviin koetuloslistoihin.
30 §. Käsittely työsuhteen yhteydessä. Pykälä olisi luonteeltaan informatiivinen. Yleisen tietosuoja-asetuksen 88 artiklan mukaan jäsenvaltiot voivat antaa lakisääteisesti tai työehtosopimuksella yksityiskohtaisempia sääntöjä työntekijöiden henkilötietojen käsittelystä työsuhteen yhteydessä. Työelämän tietosuojaa koskevassa laissa säädetään työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta. Voimassaolevia työehtosopimuksia, joissa on henkilötietojen käsittelyä koskevia määräyksiä, ei pykälässä kuitenkaan mainittaisi.
31 §. Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet. Pykälän 1 momentissa säädettäisiin poikkeuksista eräisiin rekisteröidyn oikeuksiin sekä tällaisten poikkeusten edellytyksistä ja niihin liittyvistä suojatoimista tieteellisen ja historiallisen tutkimuksen yhteydessä.
Poikkeuksista ja niitä koskevista suojatoimista säätäminen perustuisi yleisen tietosuoja-asetuksen 89 artiklan 2 kohtaan. Kohdan mukaan kun henkilötietoja käsitellään tieteellisessä tai historiallisessa tutkimustarkoituksessa taikka tilastollisessa tarkoituksessa, voidaan kansallisella lainsäädännöllä poiketa rekisteröidyn 15, 16, 18 ja 21 artiklassa säädetyistä oikeuksista. Yleisen tietosuoja-asetuksen 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin (tarkastusoikeus), 16 artiklassa oikeudesta tietojen oikaisemiseen, 18 artiklassa oikeudesta käsittelyn rajoittamiseen ja 21 artiklassa oikeudesta vastustaa käsittelyä. Kaikista näistä oikeuksista olisi mahdollisuus poiketa, kun noudatetaan 1 momentissa lueteltuja suojatoimia.
Poikkeusten tekeminen tietosuojalaissa olisi perusteltua, jotta ei tarpeettomasti vaaranneta tieteellisten ja historiallisten tutkimustarkoitusten toteutumista. Tämä vastaisi pitkälti myös nykytilaa, sillä henkilötietolain 27 §:n nojalla rekisteröidyllä ei ole tarkastusoikeutta, kun henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
Poikkeaminen on kuitenkin sallittua momentin mukaan ainoastaan tarvittaessa. Täten poikkeaminen rekisteröidyn oikeuksista on mahdollista ainoastaan siltä osin kuin tällaiset oikeudet todennäköisesti estävät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. Esimerkiksi tilanteessa, jossa tutkimusaineisto on täysin pseudonymisoitu eikä rekisterinpitäjällä ole koodiavainta hallussaan, voisi rekisteröidyn tarkastusoikeuden käyttäminen vaikeuttaa tutkimuksen tekemistä suuresti. Rekisterinpitäjän olisi näin tapauskohtaisesti harkittava, onko poikkeaminen tarpeellista ja asianmukaisesti perusteltua. Yksinomaan momentin 1—3 kohdissa lueteltujen suojatoimien toteuttaminen ei siten oikeuttaisi rekisteröidyn oikeuksista poikkeamista.
Momentissa säädettäisiin yleisen tietosuoja-asetuksen 89 artiklan mukaisesti erityisistä suojatoimista tilanteissa, joissa on tarpeen poiketa rekisteröidyn eräistä oikeuksista. Yleinen tietosuoja-asetus itsessään sisältää merkittäviä suojatoimia. Rekisteröidyn oikeuksia turvaa esimerkiksi se, että hän voi saattaa asian valvontaviranomaisen käsiteltäväksi, jos hän epäilee henkilötietoja käsiteltävän tieteellisessä tutkimustarkoituksessa tietosuoja-asetuksen vastaisesti.
Momentin 1 kohdassa säädettäisiin, että poikkeaminen on mahdollista, jos käsittely perustuu asianmukaiseen tutkimussuunnitelmaan. Tutkimussuunnitelman avulla voidaan tarvittaessa esimerkiksi valvoa, että käsittely tosiasiassa tapahtuu sellaisen tutkimuksen piirissä, jota voidaan pitää tieteellisenä tai historiallisena tutkimuksena. Julkisuuslain 24 §:n 21 kohdan nojalla tieteellisen tutkimuksen suunnitelmat ja perusaineistot säilyisivät edelleen salassa pidettävinä. Lisäksi tutkimuksen tulisi nykykäytäntöä vastaavasti täyttää myös yleiset tutkimuseettiset periaatteet etenkin silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja.
Momentin 2 kohdassa säädettäisiin, että poikkeaminen edellyttäisi, että tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä. Myöskään tältä osin oikeustila ei muuttuisi nykytilaan nähden.
Momentin 3 kohdassa säädettäisiin pitkälti nykytilaa vastaavasti, että henkilötietoja tulee käyttää vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimia niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille. Henkilötietolaissa tietojen myöhempi käyttö on sallittua ainoastaan historiallista tai tieteellistä tutkimusta varten. Ehdotuksen mukaisesti tietojen sekundäärinen käyttö laajenisi käsittämään myös muut yhteensopivat käyttötarkoitukset. Näin ollen tutkimuksessa käsiteltyjä henkilötietoja voitaisiin myöhemmin käsitellä esimerkiksi tilastollisia tarkoituksia varten.
Pykälän 2 momentissa säädettäisiin 1 momenttia vastaavasti poikkeuksista eräisiin rekisteröidyn oikeuksiin sekä tällaisten poikkeusten edellytyksistä tilastoinnin yhteydessä. Poikkeaminen perustuisi niin ikään yleisen tietosuoja-asetuksen 89 artiklan 2 kohtaan.
Oikeus tarkastaa itseään koskevat tiedot voitaisiin sulkea pois tilastoinnin osalta, kun otetaan huomioon tilastoinnin tarkoitukset ja vähäinen puuttuminen yksityisyyden suojaan sekä ehdotettavat lisäedellytykset, jotka vastaisivat pitkälti henkilötietolain 15 §:n sisältämiä edellytyksiä. Etenkin 16 ja 18 artiklan mukaisten oikeuksien käyttämisen tarkoituksenmukaisuus liittyy olennaisesti siihen, onko rekisteröidyllä ylipäänsä pääsyä tietoihinsa 15 artiklan mukaisesti. Tilastojen käytettävyys ja luotettavuus saattavat lisäksi joissakin tilanteissa edellyttää, että oikeutta käsittelyn vastustamiseen ei ole. Poikkeaminen olisi kuitenkin 1 momenttia vastaavasti mahdollista ainoastaan tarvittaessa.
Momentissa säädettäisiin niistä suojatoimista, jotka toteuttamalla rekisteröidyn oikeuksista voitaisiin poiketa momentin tarkoittamissa tilanteissa. Momentin 1 kohdassa säädettäisiin henkilötietolain 15 §:n 1 kohtaa mukaillen, että poikkeaminen on sallittua, jos tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä.
Momentin 2 kohdassa edellytettäisiin, että kyseessä olevan tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan. Sisällöllisesti kohta vastaisi henkilötietolain 15 §:n 2 kohdassa säädettyä, mutta siihen on tehty lähinnä sanonnallinen muutos selkeyttämään nykyisin tulkinnanvaraiseksi koettua muotoilua.
Momentin 3 kohdassa edellytettäisiin edelleen nykytilaa ja henkilötietolain 15 §:n 3 kohtaa vastaavasti, että tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.
Pykälän 3 momentissa säädettäisiin, että tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista voitaisiin poiketa myös silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja tieteellistä tai historiallista tutkimusta tai tilastointia varten. Sama koskisi tietosuoja-asetuksen 10 artiklassa mainittuja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Edellytyksenä tällöinkin kuitenkin olisi, että poikkeaminen oikeuksista on tarpeellista. Poikkeaminen voisi olla tarpeellista esimerkiksi siksi, että oikeuksien toteuttaminen tekisi tieteellisen tutkimuksen täysin mahdottomaksi.
Edellytyksenä 1 ja 2 momentissa säädettyjen toimenpiteiden lisäksi olisi velvollisuus laatia yleisen tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Tällä edellytyksellä korostettaisiin rekisterinpitäjän suunnitteluvelvollisuutta. Tietosuojaa koskeva vaikutustenarviointi tulisi lähettää kirjallisesti vähintään 30 päivää ennen käsittelyyn ryhtymistä, jotta tietosuojavaltuutettu ehtisi tarvittaessa puuttua henkilötietojen käsittelyyn. Lainkohdassa ei kuitenkaan aseteta tietosuojavaltuutetulle velvollisuutta ryhtyä toimiin sille toimitetun vaikutustenarvioinnin johdosta.
On huomattava, että velvollisuudella laatia yleisen tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi sekä lähettää se tiedoksi tietosuojavaltuutetulle ei mitenkään rajoiteta yleisestä tietosuoja-asetuksesta seuraavia velvollisuuksia esimerkiksi 36 artiklan mukaisesti kuulla tietosuojavaltuutettua.
Lisäksi on huomattava, että pykälässä edellytetyt suojatoimet eivät ole tarpeellisia, jos henkilötietojen käsittelyssä ei poiketa 15, 16 ja 18 artiklassa säädetyistä rekisteröidyn oikeuksista. Rekisteröidyn oikeuksia rajoitetaan tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdassa, 17 artiklan 3 kohdan d alakohdassa ja 21 artiklan 6 kohdassa. Koska yleinen tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä, on rekisteröidyn oikeuksista mahdollista poiketa edellä mainittujen asetuksen kohtien mukaisesti suoraan asetuksen nojalla.
32 §. Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet. Pykälässä säädettäisiin yleisen tietosuoja-asetuksen 89 artiklan 2 ja 3 kohdan mahdollistamista poikkeuksista rekisteröidyn oikeuksiin. Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten, voitaisiin tietosuoja-asetuksen 15, 16, 18—21 artiklassa tarkoitetuista rekisteröidyn oikeuksista poiketa tietosuoja-asetuksen 89 artiklan 3 kohdan mukaisin edellytyksin. Rekisteröidyn oikeuksista poikkeaminen ehdotetun lainkohdan nojalla edellyttäisi siten, että kyseiset oikeudet joko todennäköisesti estäisivät kyseisten tarkoitusten saavuttamisen tai vaikeuttaisivat sitä suuresti. Lainkohdassa tarkoitetut rekisteröidyn oikeudet ovat luonteeltaan sellaisia, että niiden toteuttaminen arkistoinnin yhteydessä saattaa olla hyvin vaikeaa. Esimerkiksi yleisen tietosuoja-asetuksen 16 artiklan mukainen oikeus tietojen oikaisemiseen olisi vaikeasti toteutettavissa arkistoitujen tietojen osalta. Lisäksi lainkohdassa edellytetään, että arkistointi on yleisen edun mukaista, jotta rekisteröidyn oikeuksista voidaan poiketa. Ehdotetun pykälän nojalla olisi mahdollista poiketa tietosuoja-asetuksen 19 ja 20 artiklassa säädetyistä rekisteröidyn oikeuksista. Vastaavaa oikeutta poiketa rekisteröidyn oikeuksista ei sisältyisi tieteellistä ja historiallista tutkimusta ja tilastollisia tarkoituksia koskevaan 31 pykälään. Tämä johtuu siitä, että tietosuoja-asetuksen 89 artikla ei sisällä vastaavaa kansallista harkintamarginaalia tieteellisen ja historiallisen tutkimustarkoituksen ja tilastoinnin osalta. Rekisterinpitäjän on huolehdittava, että käsittelyssä noudatetaan asetuksen mukaisia suojatoimia.
Tällä hetkellä henkilötietolaissa ei säädetä poikkeuksista rekisteröidyn oikeuksiin kun henkilötietoja käsitellään arkistointitarkoituksiin. Henkilötietolain 35 §:ssä säädetään henkilötietojen siirrosta arkistoon. Pykälän 1 momentin mukaan arkistolaitokseen tai siihen verrattavaan arkistoon siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen säädetään. Tällaiseen arkistointiin ei siten ole sovellettu henkilötietolakia. Arkistolaitoksen tai siihen verrattavan arkiston on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä henkilötietolaissa säädetään henkilötietojen käsittelystä ja luovuttamisesta, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.
Arkistolaitoksella tarkoitetaan henkilötietolain 35 §:ssä Kansallisarkistoa, josta säädetään arkistolaissa. Muita siihen verrattavia arkistoja ovat henkilötietolakia koskeneen hallituksen esityksen mukaan muun muassa ulkoasiainministeriön arkisto, sota-arkisto ja Suomalaisen Kirjallisuuden Seuran arkisto sekä ammattiliittojen arkistot (HE 96/1998 vp). Kansallisarkistosta ja sen tehtävistä säädetään Kansallisarkistosta annetussa laissa (1145/2016).
33 §. Rajoitukset rekisteröidylle toimitettaviin tietoihin. Pykälässä säädettäisiin niistä edellytyksistä, joilla voidaan rajoittaa rekisteröidyn oikeutta saada itseään koskevien henkilötietojen käsittelyyn liittyviä tietoja. Rajoitukset koskisivat yleisen tietosuoja-asetuksen 13 ja 14 artiklassa säädettyjä rekisteröidyn oikeuksia. Asetuksen 13 artiklassa säädetään rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle henkilötietojen käsittelyyn liittyviä tietoja tilanteessa, jossa tietoja kerätään rekisteröidyltä itseltään. Asetuksen 14 artiklassa säädetään vastaavasta velvollisuudesta niissä tilanteissa, joissa henkilötietoja ei ole kerätty rekisteröidyltä itseltään. Nykyisin rekisterinpitäjän mahdollisuudesta poiketa tiedonantovelvollisuudesta säädetään henkilötietolain 24 §:ssä. Rekisteröidyn oikeuksiin 33 ja 34 § :ssä ehdotetuilla rajoituksilla pyritään lähtökohtaisesti nykytilan säilyttämiseen, eikä ehdotetuilla säännöksillä ole siten tarkoitus muuttaa laillisuusvalvonnassa ja muussa hallintoviranomaisten valvonnassa nykyisin noudatettua käytäntöä rekisteröityjen informoinnista.
Pykälän 1 momentissa säädettäisiin, että yleisen tietosuoja-asetuksen 13 ja 14 artiklasta voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi. Ehdotettu säännös vastaisi nykyisen henkilötietolain 2 momentin 2 kohtaa. Kohta olisi mahdollinen yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan a—e alakohdan nojalla.
Pykälän 2 momentissa säädettäisiin, että yleisen tietosuoja-asetuksen 14 artiklan 1—4 kohdasta voidaan poiketa, jos tiedon toimittaminen aiheuttaisi olennaista vahinkoa tai haittaa rekisteröidylle eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon. Vastaava kohta sisältyy henkilötietolain 24 §:n 2 momentin 3 kohtaan. Tietojen antaminen rekisteröidylle voi aiheuttaa tälle olennaista vahinkoa tai haittaa esimerkiksi sellaisessa lääketieteellisessä tutkimuksessa, jossa käsitellään perinnöllisiä sairauksia koskevia tietoja. Edellytyksenä tietojen antamatta jättämiselle olisi tällöin myös, ettei tällaisia tietoja käytetä rekisteröityä koskevaan päätöksentekoon. Haitan olisi oltava olennainen, pelkkä haitan aiheutuminen ei siten riittäisi rajoitukseen. Ehdotettu 2 momentti olisi mahdollinen yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan i alakohdan nojalla. Muista henkilötietolaissa säädetyistä rajoituksista rekisteröidyn tiedonsaantioikeuteen ei ole tarpeellista säätää erikseen, sillä yleisen tietosuoja-asetuksen 14 artiklan 5 kohdan mukaan rekisteröidylle voidaan jättää toimittamatta henkilötietojen käsittelyyn liittyviä tietoja, jos tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta haittaa tai jos tietojen hankinnasta tai luovuttamisesta säädetään jäsenvaltion lainsäädännössä. Henkilötietolain 24 §:n ssä säädetyn kaltaisesta rajoitusperusteesta, joka koskee tilanteita, joissa rekisteröity on jo saanut pykälässä tarkoitetut tiedot, ei myöskään ole tarpeellista säätää erikseen. Vastaava kohta sisältyy yleisen tietosuoja-asetuksen 14 artiklan 5 kohtaan ja on siten Suomessakin suoraan sovellettavissa.
Pykälän 3 momentissa säädettäisiin rekisterinpitäjän velvollisuudesta toteuttaa asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Yksi näistä toimenpiteistä olisi yleisen tietosuoja-asetuksen 14 artiklassa 1 ja 2 kohdassa tarkoitettujen tietojen pitäminen kaikkien saatavilla. Tätä velvollisuutta ei kuitenkaan olisi, jos tietojen pitäminen kaikkien saatavilla vaarantaisi pykälässä säädetyn rajoituksen tarkoituksen. Nykyisin rekisterinpitäjän on henkilötietolain 10 §:n mukaan pidettävä rekisteriseloste kaikkien saatavilla. Rekisteriseloste sisältää osittain samoja tietoja kuin yleisen tietosuoja-asetuksen 14 artiklan 1 ja 2 edellytetään toimitettavan rekisteröidylle. Nykyisin rekisteröidyn informointia koskevassa henkilötietolain 24 §:ssä ei säädetä rekisterinpitäjän velvollisuudesta toimittaa rekisteröidylle tietoa henkilötietojen säilytysajasta tai kyseisen ajan määrittämiskriteereistä. Henkilötietolain 24 § ei myöskään edellytä, että rekisterinpitäjä informoisi rekisteröityä siitä, onko tietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset. Yleisen tietosuoja-asetuksen 13 ja 14 artikla sisältää velvollisuuden toimittaa edellä mainitut tiedot rekisteröidylle. Myös näistä rekisterinpitäjän velvollisuuksia olisi mahdollista poiketa ehdotetun pykälän nojalla.
34 §. Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Pykälässä säädettäisiin niistä edellytyksistä, joilla rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin voitaisiin rajoittaa. Nykyään rekisteröidyn tarkastusoikeuden rajoituksista säädetään henkilötietolain 27 §:ssä. Yleisen tietosuoja-asetuksen 23 artiklan mukaan jäsenvaltiot voivat lainsäädännöllisillä toimenpiteillä rajoittaa muun muassa 15 artiklassa säädettyä rekisteröidyn oikeutta tutustua tietoihin, joita hänestä on kerätty, jos se on välttämätöntä ja oikeasuhtaista artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Tietosuoja-asetuksen 23 artiklan 2 kohdassa säädetään niistä asioista, joista tulisi tarpeen mukaan säätää rekisteröidyn oikeuksia rajoitettaessa.
Pykälän 1 momentissa säädettäisiin niistä tilanteista, joissa rekisteröidyllä ei olisi 15 artiklassa tarkoitettua oikeutta tutustua tietoihin, joita hänestä on kerätty. Pykälän 2—4 momentissa säädettäisiin erityisistä toimenpiteistä, joita yleisen tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, kun rekisteröidyn oikeuksia rajoitetaan artiklan 1 kohdan tarkoittamissa tilanteissa.
Pykälän 1 momentin 1 kohdan mukaan rekisteröidyllä ei olisi kyseistä oikeutta, jos tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä. Nykyisen henkilötietolain 27 §:n 1 momentin 1 kohdassa säädetään pääosin vastaavanlaisista tarkastusoikeuden rajoitusperusteista. Kohta olisi mahdollinen yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan a—d alakohdan nojalla.
Pykälän 1 momentin 2 kohdan mukaan rekisteröidyllä ei olisi 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa myöskään silloin, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille. Säännös vastaa pääpiirteissään nykyisen lain 27 §:n 1 momentin 2 kohtaa. Säännökseen ehdotettaisiin lisäystä, jonka mukaan rekisteröidyn oikeutta tutustua tietoihin voitaisiin rajoittaa myös sen vuoksi, että rekisteröidyn oikeuksille aiheutuisi vakavaa vaaraa. Tämä olisi tarpeellista, jotta säännös kattaisi myös tyypillisesti lastensuojeluasioissa esiintyvät tilanteet, jossa lapsi on rekisteröity ja hänen tietojensa antaminen huoltajalle olisi lapsen edun vastaista. Ehdotettu lisäys vastaisi viranomaisen nykyistä tulkintakäytäntöä. Nykyisin tarkastusoikeuden rajoitusta koskevan säännöksen käsitettä hoito on tulkittu laajasti, ja sen on katsottu kattavan edellä mainitut tilanteet. Myös vakavan vaaran aiheutuminen jonkun muun oikeuksille olisi edelleen tarpeellinen peruste rajoittaa rekisteröidyn oikeutta saada tutustua itseään koskeviin tietoihin. Tämä olisi tarpeellinen esimerkiksi whistleblower -tyyppisissä tilanteista esimerkiksi asunto-osakeyhtiöissä tai lastensuojeluilmoituksia tehtäessä. Ehdotettu 2 kohta olisi mahdollinen yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan j alakohdan nojalla. Kyseisen kohdan mukaan rekisteröidyn oikeuksia on mahdollista rajoittaa rekisteröidyn suojelun tai muille kuuluvien oikeuksien ja vapauksien varmistamiseksi.
Pykälän 1 momentin 3 kohdan mukaan rekisteröidyllä ei olisi 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa myöskään silloin, jos rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai EU:n tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi. Säännös vastaa nykyisen henkilötietolain 27 §:n 1 momentin 4 kohtaa. Henkilötietolain säännös on perustunut henkilötietodirektiivin 13 artiklan 1 kohdan e ja f alakohtaan. Yleisen tietosuoja-asetuksen 23 artiklan 1 kohta sisältää direktiivin f kohtaa vastaavan h alakohdan. Nykyisen henkilötietodirektiivin 13 artiklan 1 kohdan e alakohtaa vastaava kohtaa sisältyy puolestaan yleisen tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohtaan. Ehdotettu 3 kohta olisi siten edelleen mahdollinen.
Pykälän 2 momentissa säädettäisiin selkeyden vuoksi rekisteröidyn tiedonsaantioikeudesta silloin, kun vain osa henkilörekisteriin talletetuista tiedoista jää pykälän 1 momentin tarkastusoikeuden ulkopuolelle. Rekisteröidyllä on tällöinkin oikeus saada tietää muut häntä koskevat tiedot. Samanlainen säännös sisältyy nykyisen lain 27 §:n 2 momenttiin.
Pykälän 3 momentin mukaan rekisteröidylle olisi ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. Tämä vastaisi yleisen tietosuoja-asetuksen 23 artiklan 2 kohdan h alakohtaa. Tällä varmistettaisiin henkilötietojen läpinäkyvä käsittely ja rekisteröidyn oikeus saada yleisellä tasolla tietoa hänestä kerättyihin tietoihin koskevasta rajoituksesta. On kuitenkin mahdollista, että toisinaan jo pelkän yleisemmän tason tiedon antaminen voisi vaarantaa rajoituksen tarkoituksen. Tällaisessa tilanteessa rekisterinpitäjällä ei olisi velvollisuutta kertoa rajoituksen syistä.
Pykälän 4 momentin mukaan tiedot olisi annettava rekisteröidyn pyynnöstä tietosuojavaltuutetulle. Näin varmistettaisiin, että rekisteröidyn oikeudet tulevat asianmukaisesti suojatuksi, vaikka rekisteröidyllä itsellään ei olekaan tarkastusoikeutta.
6 luku Erinäiset säännökset
35 §. Vaitiolovelvollisuus. Pykälässä säädettäisiin yleisestä vaitiolovelvollisuudesta. Pykälä vastaisi henkilötietolain 33 §:ssä säädettyä, mutta säännöstä ehdotetaan osin tarkistettavaksi. Henkilötietolaissa asetetaan nykyisin vaitiolovelvollisuus sille, joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta. Pykälää tarkistettaisiin siten, että vaitiolovelvollisuus koskisi myös, mitä henkilö on saanut tietää jonkin toisen henkilön liike salaisuudesta. Suomessa eri laeissa käytetään liikesalaisuuden osalta eri käsitteitä: liikesalaisuus, liike- ja ammattisalaisuus, ammatti- ja liikesalaisuus, yrityssalaisuus sekä yritys- ja liikesalaisuus. Käytännössä käsitteiden on katsottu tarkoittavan samaa asiaa, ja niitä on myös oikeuskäytännössä tulkittu pitkälti samalla tavalla. Liikesalaisuusdirektiivin kansallisen täytäntöönpanon yhteydessä on tarkoitus yhtenäistää liikesalaisuuskäsitteen käyttö lainsäädännössä.
Nykyisin henkilötietolain 33 §:ssä mainittuja tietoja ei saa henkilötietolain vastaisesti ilmaista sivulliselle. Sanamuotoa tarkistettaisiin siten, että tietoja ei saisi oikeudettomasti ilmaista sivulliselle. Ilmaisemisen oikeudettomuus voisi siten perustua muunkin lain kuin tietosuojalain vastaisuuteen. Lisäksi säännöstä täydennettäisiin tiedon oikeudettoman käytön kiellolla.
Pykälässä viitataan kaikkiin henkilötietojen käsittelyyn liittyviin toimenpiteisiin. Vaitiolovelvollisuus koskisi esimerkiksi rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa olevaa henkilöä sekä tietosuojavastaavaa.
36 §. Ilmoittajan henkilöllisyyden suojaaminen. Pykälässä säädettäisiin henkilötietojen suojaa koskevien säännöksien rikkomisesta ilmoituksen tehneen luonnollisen henkilön henkilöllisyyden salaamisesta. Vastaavaa säännöstä ei sisälly nykyiseen henkilötietolakiin. Rikkomuksen ilmoittajan henkilöllisyyden suojaamisesta säädetään tällä hetkellä esimerkiksi Finanssivalvonnan muuttamisesta annetun lain (1442/2016) 71 a §:ssä. Lisäksi säädetään ilmoituskanavista, joiden kautta voidaan raportoida lain rikkomisista (engl. whistleblowing) esimerkiksi luottolaitoksille luottolaitostoiminnasta annetun lain (610/2014) 7 luvun 6 §:n nojalla, vakuutusyhtiöille vakuutusyhtiölain (521/2008) 6 luvun 17 a §:n nojalla sekä arvopaperimarkkinalain muuttamisesta annetun lain (519/2016) 3 §:n nojalla.
Rikkomuksen ilmoittajan henkilöllisyyden salaaminen on luonteeltaan tarkkaan rajattuihin tilanteisiin kohdistuvaa sääntelyä. Kyse ei siten ole yleisesti sovellettavaksi tulevasta salassapitoperusteesta, vaan tiukasti tietosuojavaltuutetun tehtävien hoitamiseen rajoittuvasta salassapitoperusteesta. Kyseisestä salassapitoperusteesta on näin ollen tarkoituksenmukaista säätää tietosuojalain valvontaviranomaista koskevassa luvussa, vaikka salassapitoperusteita koskevan sääntelyn pääsääntönä onkin säännösten keskittäminen julkisuuslakiin. Tämä on myös yhdenmukaista muun niin sanotun whistleblowing -sääntelyn kanssa.
Ehdotetulla säännöksellä pantaisiin täytäntöön 54 artiklan 2 kohdan jälkimmäinen lause, jossa edellytetään rikkomuksista ilmoittaneiden henkilöiden henkilöllisyyden suojaamista. Ellei jokin julkisuuslain 24 §:ssä säädetyistä salassapitoperusteista tule sovellettavaksi, olisi ehdotetun 1 momentin nojalla pidettävä salassa ainoastaan ilmoittajan henkilöllisyyden suoraan tai välillisesti ilmaisevat tiedot.
Kyseisen säännöksen tarkoituksena olisi suojella sellaista ilmoittajaa, jonka henkilöllisyyden paljastuminen voisi aiheuttaa haittaa ilmoittajalle. Ilmoittajan tulisi voida saattaa tietosuojavaltuutetun toimiston tietoon henkilötietojen suojaa koskevien säännösten rikkominen ilman pelkoa haitallisista seuraamuksista. Ilmoittajan henkilöllisyyttä koskeva salassapitoperuste ei olisi ehdoton, sillä säännöksen soveltamisen edellytyksenä olisi, että henkilöllisyyden paljastuminen aiheuttaisi haittaa ilmoittajalle. Haitta voisi liittyä esimerkiksi siihen, että ilmoittaja on erityisessä suhteessa ilmoituksen kohteena olevaan rekisterinpitäjään tai henkilötietojen käsittelijään ja ilmoituksen tekeminen voisi aiheuttaa haittaa tälle suhteelle. Säännöksessä tarkoitetut olosuhteet olisivat käsillä esimerkiksi ilmoittajan ollessa työsuhteessa rekisterinpitäjään tai henkilötietojen käsittelijään. Ilmoittajan subjektiivinen käsitys haitan aiheutumisesta ei yksistään riittäisi säännöksessä tarkoitetun salassapitoperusteen soveltamiseen. Säännös ei tulisi sovellettavaksi esimerkiksi silloin, kun ilmoitus koskee ilmoittajan yleisen tietosuoja-asetuksen III luvussa säädettyjen rekisteröityjen oikeuksien toteuttamisesta. Tällöin ilmoittajan henkilöllisyyden ilmaiseminen rekisterinpitäjälle on jopa välttämätöntä asian selvittämiseksi.
Yleisen tietosuoja-asetuksen 54 artiklan 2 kohdan mukaan kunkin valvontaviranomaisen jäsenen tai jäsenten tai henkilöstön on unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti pidettävä salassa sekä toimikautensa aikana että sen jälkeen kaikki luottamukselliset tiedot, jotka ovat tulleet heidän tietoonsa heidän suorittaessaan tehtäviään tai käyttäessään valtuuksiaan. Tietosuojavaltuutetun toimiston henkilöstön vaitiolovelvollisuudesta ei ole tarpeellista säätää erikseen, sillä Tietosuojavaltuutetun toimisto on julkisuuslaissa tarkoitettu viranomainen, jonka toimintaan sovelletaan julkisuuslakia. Näin ollen myös henkilöstön salassapitovelvollisuutta koskevat säännökset tulevat suoraan julkisuuslain nojalla sovellettavaksi Tietosuojavaltuutetun toimiston henkilöstöön. Tietosuojavaltuutetun toimiston henkilöstön lisäksi sama koskee tietosuojavaltuutettua, apulaisvaltuutettua, asiantuntijalautakuntaa sekä ulkopuolisia asiantuntijoita. Julkisuuslain 23 §:ssä säädetään vaitiolovelvollisuudesta ja hyväksikäyttökiellosta. Pykälän 1 momentin mukaan viranomaisen palveluksessa oleva samoin kuin luottamustehtävää hoitava ei saa paljastaa asiakirjan salassa pidettävää sisältöä tai tietoa, joka asiakirjaan merkittynä olisi salassa pidettävä, eikä muutakaan viranomaisessa toimiessaan tietoonsa saamaa seikkaa, josta lailla on säädetty vaitiolovelvollisuus. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun toiminta viranomaisessa tai tehtävän hoitaminen viranomaisen lukuun on päättynyt. Virkamiehen vaitiolovelvollisuus ulottuu näin ollen myös virkasuhteen jälkeiselle ajalle.
Tietojen hyväksikäyttökiellosta säädetään julkisuuslain 23 §:n 3 momentissa. Vaitiolovelvollinen ei saa käyttää salassa pidettäviä tietoja omaksi tai toisen hyödyksi tai toisen vahingoksi. Rikoslain 40 luvun 5 §:ssä säädetään virkasalaisuuden rikkomisesta ja tuottamuksellisesta virkasalaisuuden rikkomisesta palvelussuhteen aikana ja sen päätyttyä.
Julkisuuslain 11 §:n mukaan hakijalla, valittajalla sekä muulla, jonka oikeutta, etua tai velvollisuutta asia koskee (asianosainen), on oikeus saada asiaa käsittelevältä tai käsitelleeltä viranomaiselta tieto muunkin kuin julkisen asiakirjan sisällöstä, joka voi tai on voinut vaikuttaa hänen asiansa käsittelyyn. Julkisuuslain 11 § :n 2 momentin 1 kohdan mukaan oikeutta ei kuitenkaan ole, jos tiedon antaminen olisi vastoin erittäin tärkeää yleistä etu tai vastaavasti vastoin erittäin tärkeää yksityistä etua. Tiedon antaminen rikkomusta koskevasta ilmoituksesta ilmoituksen kohteelle voi olla julkisuuslaissa tarkoitettu erittäin tärkeä yleinen etu, jos tiedon antaminen voisi haitata epäiltyjen rikkomusten selvittämistä. Tiedon antaminen ilmoituksen tekijästä voi puolestaan olla vastoin julkisuuslaissa tarkoitettua tärkeää yksityistä etua, jos ilmoittajan henkilöllisyyden paljastaminen vaarantaisi ilmoittajan turvallisuutta, etuja tai oikeuksia. Tällöin asianosaisjulkisuutta olisi rajoitettava, Säännöksen soveltamisen edellytyksenä on, että asiassa ilmi tulleiden seikkojen perusteella tietosuojavaltuutetun toimistolla on perusteltu syy arvioida suojantarpeen olemassaolo.
37 §. Voimaantulo. Pykälän 1 momentissa säädettäisiin lain voimaantulosta. Laki tulisi voimaan 25 päivänä toukokuuta 2018, jolloin myös yleistä tietosuoja-asetusta aletaan soveltaa.
Pykälän 2 momentin mukaan lailla kumottaisiin 22 päivänä huhtikuuta 1999 annettu henkilötietolaki ja 27 päivänä toukokuuta 1994 annettu laki tietosuojalautakunnasta ja tietosuojavaltuutetusta.
38 §. Siirtymäsäännökset. Pykälässä säädettäisiin tarvittavista siirtymäsäännöksistä erityisesti tilanteissa, joissa on otettava huomioon sovellettavan lainsäädännön muuttuminen.
Pykälän 1 momentin mukaan tietosuojalautakunnan myöntämien lupien voimassaolo päättyisi lain tullessa voimaan. Tietosuojalautakunta on voinut myöntää henkilötietolain 43 §:ssä tarkoitettuja lupia joko toistaiseksi tai määräajaksi. Yleisen tietosuoja-asetuksen tullessa sovellettavaksi, ei henkilötietoja voida käsitellä enää tietosuojalautakunnan luvan perusteella, vaan käsittelylle tulee olla jokin yleisen tietosuoja-asetuksen 6 sekä tarvittaessa 9 artiklan mukainen käsittelyperuste taikka kansallisessa laissa säädetty peruste.
Momentissa säädettäisiin myös siitä, että tietosuojalautakunnassa ennen ehdotetun lain voimaantuloa vireillä olevat asiat raukeaisivat ehdotetun lain voimaan tullessa. Näin ollen sekä tietosuojalautakunnassa vireillä olleet henkilötietolain 43 §:ssä tarkoitetut lupahakemusasiat että 44 §:n mukaiset määräysasiat raukeaisivat, kun uutta lakia alettaisiin soveltaa. Tietosuojalautakunta tai muukaan tietosuojaviranomainen ei enää yleisen tietosuoja-asetuksen tullessa sovellettavaksi voi myöntää henkilötietojen käsittelyyn henkilötietolain 43 §:ssä tarkoitettua lupaa, joka on voitu myöntää esimerkiksi silloin, kun käsillä on ollut rekisterinpitäjän oikeutettu etu. Oikeutettua etua koskeva käsittelyperuste seuraa vastaisuudessa suoraan yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdasta.
Tietosuojalautakunta lakkautettaisiin ehdotetulla lailla. Näin ollen olisi perusteltua, että myös mahdollisesti vireillä olevat määräysasiat raukeaisivat. Henkilötietolain 44 §:n nojalla ainoastaan tietosuojavaltuutettu on voinut laittaa vireille henkilötietojen käsittelyä koskevan määräysasian tietosuojalautakunnassa. Yleisen tietosuoja-asetuksen tullessa sovellettavaksi valvontaviranomaisella eli tietosuojavaltuutetulla on vastaavan kaltainen mahdollisuus antaa henkilötietojen käsittelyä koskevia määräyksiä.
Tietosuojavaltuutetun toimistossa ennen ehdotetun lain voimaatuloa vireille tulleisiin asioihin sovellettaisiin ehdotetun lain voimaantulon jälkeen lähtökohtaisesti soveltamishetkellä voimassa olevaa lainsäädäntöä, eli yleistä tietosuoja-asetusta ja ehdotettua tietosuojalakia. Ehdotetun lain voimaan tullessa tietosuojavaltuutetun toimistossa vireillä olleeseen asiaan sovellettaisiin ehdotettua tietosuojalakia ja yleistä tietosuoja-asetusta, jollei lain siirtymäsäännöksissä toisin säädetä. Esimerkiksi henkilötietolain 40 §:n 1 momentissa tarkoitettuihin ohjaus- ja neuvonta-asioihin, 41 §:ssä tarkoitettuihin lausuntoasioihin sekä 42 §:ssä tarkoitettuihin toimialakohtaisten käytännesääntöjen tarkastamista koskeviin asioihin sovellettaisiin yleistä tietosuoja-asetusta ja ehdotettua lakia, vaikka asia olisi tullut vireille tietosuojavaltuutetun toimistossa ennen ehdotetun lain voimaantuloa.
Kaikilta osin uuden lainsäädännön soveltaminen tietosuojavaltuutetun toimistossa vireillä oleviin asioihin ei kuitenkaan olisi perusteltua esimerkiksi siksi, että uusissa säädöksissä ei säädettäisi mitään tietyistä asia- tai tehtävätyypeistä. Tämän vuoksi pykälän 2 momentin mukaan ehdotetun lain voimaan tullessa vireillä olevaan tietosuojavaltuutetulle tehtävää ilmoitusta koskevaan asiaan sovellettaisiin lain voimaan tullessa voimassa olleen henkilötietolain 36 ja 37 §:n säännöksiä ilmoitusvelvollisuudesta ja ilmoituksen tekemisestä. Yleisessä tietosuoja-asetuksessa tai sitä täydentävällä ehdotetulla tietosuojalailla ei enää säädettäisi vastaavien ilmoitusten tekemisestä, joten uuden lainsäädännön soveltaminen tällaisten ilmoitusten käsittelyyn ei olisi mahdollista.
Pykälän 3 momentissa säädettäisiin, että ehdotetun lain voimaan tullessa vireillä olleeseen tarkastusoikeuden toteuttamista ja henkilötietojen korjaamista koskevaan asiaan sovellettaisiin lähtökohtaisesti tietosuojalakia ja yleistä tietosuoja-asetusta. Mainittuja säädöksiä ei kuitenkaan sovellettaisi siltä osin, kun kyse on sellaisista asetuksen 12 ja 15—18 artiklan säännöksistä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia henkilötietolain sisältämiin säännöksiin verrattuna ja jos näiden asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta kyseisessä tapauksessa. Lähtökohtaisesti siis myös rekisteröidyn oikeuteen saada pääsy tietoihin ja oikaista tiedot sovellettaisiin uuden lainsäädännön vaatimuksia niissäkin tapauksissa, joissa asia on tullut vireille ennen ehdotetun lain voimaantuloa. Yksittäistapauksessa saattaisi kuitenkin olla kohtuutonta edellyttää rekisterinpitäjän noudattavan sellaisia vaatimuksia, joita ei henkilötietolakiin ole sisältynyt. Tällöin tietosuojavaltuutettu voisi jättää soveltamatta tällaisia asetuksen säännöksiä. Selvää lisäksi on, ettei tietosuojavaltuutettu voi määrätä yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua teoista, jotka ovat tapahtuneet ennen ehdotetun lain voimaantuloa.
Pykälän 4 momentissa säädettäisiin, että muutoksenhaussa ennen ehdotetun lain voimaantuloa tehtyyn tietosuojalautakunnan ja tietosuojavaltuutetun päätökseen sovellettaisiin ehdotetun lain voimaan tullessa voimassa olleita säännöksiä. Ylimääräiseen muutoksenhakuun sovellettaisiin säännöksen mukaan ehdotetun lain voimaan tullessa voimassa olleita säännöksiä kuitenkin vain silloin, kun ylimääräistä muutoksenhakua koskeva asia on pantu vireille ennen ehdotetun lain voimaantuloa.
Pykälän 5 momentin mukaan velvollisuuteen korvata vahinko sovellettaisiin ehdotetun lain voimaan tullessa voimassa olleita säännöksiä, jos vahinkoa aiheuttanut teko olisi tehty ennen tämän lain voimaantuloa. Yleisen tietosuoja-asetuksen 82 artiklassa säädetään vahingonkorvausvelvollisuudesta tavalla, joka poikkeaa henkilötietolain lähtökohdista. Siten myös sopimusperusteinen vastuunjako käytännössä perustuu näiltä osin erilaisille lähtökohdille. Henkilötietolain 47 §:n mukaan vain rekisterinpitäjä on velvollinen korvaamaan vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle henkilötietolain vastaisesta henkilötietojen käsittelystä. Yleisen tietosuoja-asetuksen 82 artiklassa sen sijaan säädetään, että myös henkilötietojen käsittelijä voi olla vahingonkorvausvelvollinen asetuksen rikkomisesta aiheutuneista vahingoista. Artikla sisältää myös muutoin merkittäviä säännöksiä koskien esimerkiksi vastuun jakautumista eri osapuolten välillä. Täten ehdotettu säännös olisi tarpeen, jotta vältettäisiin mahdollisesti hyvinkin merkittävä taannehtiva puuttuminen henkilötietolain aikana voimassaolleisiin oikeussuhteisiin ja sopimuksiin.
1.2 Rikoslaki
38 luku Tieto- ja viestintärikoksista
9 §. Tietosuojarikos. Nykyinen henkilörekisteririkosta koskeva säännös ehdotetaan korvattavaksi uudella tietosuojarikosta koskevalla säännöksellä.
Voimassa olevan rikoslain 38 luvun 9 §:n mukaan henkilörekisteririkoksesta tuomitaan sakkoon tai vankeuteen enintään vuodeksi se, joka tahallaan tai törkeästä huolimattomuudesta käsittelee henkilötietoja vastoin henkilötietolain käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä, arkaluonteisia tietoja, henkilötunnusta tai henkilötietojen käsittelyä erityisiä tarkoituksia varten koskevia säännöksiä taikka rikkoo henkilötietojen käsittelyä koskevia erityissäännöksiä. Niin ikään henkilörekisteririkoksesta tuomitaan se, joka tahallaan tai törkeästä huolimattomuudesta antamalla rekisteröidylle väärän tai harhaanjohtavan tiedon estää tai yrittää estää rekisteröityä käyttämästä hänelle kuuluvaa tarkastusoikeutta taikka siirtää henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolisiin valtioihin henkilötietolain 5 luvun vastaisesti. Edellytyksenä tunnusmerkistön täyttymiselle kaikissa edellä mainituissa tilanteissa on, että teko loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa.
Rikoslain 38 luvun 9 §:n kaltainen hyvin laaja henkilötietojen käsittelyä koskeva kriminalisointi ei enää ole perusteltu. Yleisen tietosuoja-asetuksen sisältämien hallinnollisten seuraamusmaksujen myötä tietosuojalainsäädäntöä koskeva seuraamusjärjestelmä muuttuu perustavanlaatuisesti. Näin ollen rikosoikeudellinen vastuu tulisi kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei olisi asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä.
Pykälän 1 momentissa säädettäisiin, että henkilö, joka muutoin kuin yleisessä tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin yleisessä tietosuoja-asetuksen, tietosuojalain, henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain tai henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, olisi tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Rangaistussäännös tulisi siten sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan c alakohdan rajoitussäännös ei estä rangaistussäännöksen soveltamista tällaisissa tapauksissa, koska tietojen varsinainen käsittely kuuluu yleisen tietosuoja-asetuksen soveltamisalaan. Rangaistussäännökseen ei ehdoteta sovellettavan oikeushenkilön rangaistusvastuuta.
Esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely ilman käsittelyn oikeuttavaa perustetta. Tällaiset niin sanotut urkintatilanteet ovatkin käytännössä osoittautuneet verrattain yleisiksi. Esimerkiksi terveydenhuoltohenkilökuntaan kuuluvalla henkilöllä voi käyttöoikeuksiensa perusteella olla oikeus käsitellä sellaisten henkilöiden henkilötietoja, joiden hoitoon he osallistuvat. Sen sijaan silkasta uteliaisuudesta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista. Tarkoituksena on, että säännöstä sovellettaisiin urkintatapauksiin samalla tavoin kuin voimassa olevaa henkilörekisteririkosta koskevaa säännöstä henkilörekisteririkoksesta, jonka nojalla on katsottu edellä kuvatuissa tilanteissa henkilötietojen käsittelyn tapahtuneen vastoin käyttötarkoitussidonnaisuutta koskevia säännöksiä.
Pykälän 2 momentin mukaan tietosuojarikoksesta voitaisiin tuomita myös 1 momentissa tarkoitettu henkilö, joka toimii vastoin sitä, mitä momentin 1—4 kohdassa tarkoitetussa säännöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Esimerkiksi yleisen tietosuoja-asetuksen 32 artikla sääntelee henkilötietojen käsittelyn turvallisuutta. Tällainen tilanne voisi olla kyseessä esimerkiksi silloin, kun rekisterinpitäjän palveluksessa hävittää henkilötietoja vastoin tietoturvallisuudesta säädettyä. Rangaistavaa voisi olla muun muassa menettely, jossa henkilö lainvastaisesti heittää pois henkilörekisteristä tulostetut asiakirjat huolehtimatta niiden tietoturvallisesta hävittämisestä.
10 §. Syyteoikeus. Pykälän 3 momenttiin ehdotetaan tehtäväksi tekninen muutos. Viittaus henkilörekisteririkokseen muutettaisiin viittaukseksi tietosuojarikokseen 9 §:ään ehdotettua muutosta vastaavasti. Lisäksi lainkohtaan lisättäisiin törkeä tekomuoto tietomurrosta.
1.3 Laki sakon täytäntöönpanosta
1 §. Lain soveltamisala. Pykälän 1 momenttiin ehdotetaan lisättäväksi uusi 12 kohta, jonka mukaan laissa säädetyssä järjestyksessä pannaan täytäntöön myös yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu, jonka tietosuojavaltuutettumäärää. Tietosuojalaissa hallinnollisesta seuraamusmaksusta ehdotetaan säädettävän 25 §:ssä. Hallintolainkäyttölain 31 §:n mukaan hallinnollisen seuraamusmaksun määräämistä koskeva päätös ei olisi täytäntöönpanokelpoinen ennen kuin se on saanut lainvoiman. Sakon täytäntöönpanosta annetun lain 3 §:n mukaisesti täytäntöönpanosta huolehtisi Oikeusrekisterikeskus.
2 Voimaantulo
Lait ehdotetaan tulevan voimaan 25 päivänä 2018. Lait tulisivat siten voimaan samaan aikaan kun yleistä tietosuoja-asetusta aletaan sen 99 artiklan 2 kohdan mukaisesti soveltaa.
3 Suhde perustuslakiin ja säätämisjärjestys
Perustuslain 10 §:n mukaan jokaisella on oikeus yksityiselämän suojaan. Pykälän 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Lisäksi henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkuma-alaa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuuden kannalta.
Perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeänä sääntelykohteena rekisteröinnin tavoitetta. Lisäksi perustuslakivaliokunta on vakiintuneesti pitänyt henkilötietojen suojan kannalta tärkeänä sääntelykohteena ainakin rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia, mukaan luettuna tietojen luovutettavuus, sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Lailla säätämisen vaatimus ulottuu myös mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla. Lailla on säädettävä lisäksi mahdollisuudesta yhdistää rekisteritietoja (PeVL 17/2007 vp, s. 3 ja PeVL 30/2005 vp, s. 4). Henkilötietojen käsittelyä koskevan sääntelyn lain tasolla tulee lisäksi olla kattavaa, täsmällistä ja tarkkarajaista.
Voimassaolevan henkilötietolain yhdessä julkisuuslain kanssa on katsottu täyttävän henkilötietojen suojaa koskevalle lainsäädännölle perustuslakivaliokunnan käytännössä asetetut vaatimukset. Viimeaikaisessa lausuntokäytännössään perustuslakivaliokunta on todennut, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimuksia voidaan täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (PeVL 38/2016 vp, s. 4, PeVL 5/2017 vp, s. 9, PeVL 1/2018 vp ja PeVL 2/2018 vp).
Ehdotukseen sisältyy sääntelyä, joka on merkityksellistä perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. On huomattava, että henkilötietojen käsittelyä koskeva yleinen sääntely seuraisi vastaisuudessa suoraan EU:n yleisestä tietosuoja-asetuksesta, joka on sisällöltään merkittävästi kattavampaa ja yksityiskohtaisempaa kuin voimassaoleva henkilötietolaki. Ehdotetulla sääntelyllä täydennetään ja täsmennetään yleistä tietosuoja-asetusta siltä osin kuin se kansallisen liikkumavaran puitteissa on mahdollista ja tarkoituksenmukaista. Yleisellä tietosuoja-asetuksella ja sitä täydentävällä kansallisella säännöstöllä täytettäisiin perustuslaissa säädetyt ja sen vakiintuneessa tulkinnassa omaksutut vaatimukset.
Ehdotetun tietosuojalain 18 §:n 2 momentti on merkityksellinen perustuslain 10 §:ssä turvatun yksityiselämän ja kotirauhan kannalta. Perustuslain 10 §:n 3 momentin mukaan lailla voidaan säätää perusoikeuksien turvaamiseksi tai rikosten selvittämiseksi välttämättömistä kotirauhan piiriin ulottuvista toimenpiteistä. Voimassa olevan henkilötietolain 39 §:n 2 momentin mukaan kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Henkilötietolain säännös vastaa perustuslakivaliokunnan käytäntöä, sillä valiokunta on katsonut (PeVL 20/2001, vp 69/2002 vp) kotirauhan piiriin ulottuvan toimen olevan hyväksyttävä ”rikosten selvittämiseksi”, jos toimi sidotaan säännöksessä siihen, että on olemassa konkreettinen ja yksilöity syy epäillä lakia rikotun tai rikottavan. Kotirauhan piiriin puuttuvan sääntelyn osalta valiokunta on lausunnoissaan (PeVL 46/2001 vp ja PeVL 48/2001 vp) pitänyt tavallisen lainsäätämisjärjestyksen edellytyksenä sitä, että lainsäännöksistä tulee ilmetä, että tarkastus voidaan toimittaa asunnossa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi. Välttämättömyyden lisäksi edellytettäisiin, että on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa säädetty rangaistus. Tarkastusoikeus on valiokunnan käytännön mukaan voitu kytkeä myös rangaistusluonteisella seuraamusmaksulla sanktioituun käyttäytymiseen. (esim. PeVL 7/2004 vp, PeVL 39/2005 vp, PeVL 39/2016 vp, PeVL 39/2016 vp). Ehdotetulla säännöksellä täsmennettäisiin pysyväisluonteiseen asumiseen käytetyssä tilassa suoritettavien tarkastusten edellytyksiä. Ehdotettu sääntely ei edellä todetuilla perusteilla ole ongelmallinen perustuslain kannalta. Tarkastustoiminnassa on noudatettava hallintolain 39 §:n säännöksiä tarkastuksista. Sääntely täyttää tältäkin osin perustuslakivaliokunnan käytännössä asetetut vaatimukset (PeVL 11/2013 vp).
Perustuslain 12 §:n 1 momentin mukaan jokaisella on sananvapaus. Perustuslain 12 §:n 1 momentissa jokaiselle turvattuun sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä (PeVL 54/2002 vp). Sananvapaus ymmärretään perustuslaissa laajasti ja välineneutraalina (HE 309/1993 vp, s. 56—57). Perustuslain sananvapaussääntelyyn sisältyy erityinen rajoituslauseke. Tämän lisäksi perustuslakivaliokunta on katsonut, että sananvapauden rajoitusten sallittavuutta on arvioitava perusoikeuksien yleisten rajoitusedellytysten (PeVM 25/1994 vp, s. 4—5) valossa. Rajoituksesta on säädettävä lailla, sen on oltava hyväksyttävä, täsmällinen ja tarkkarajainen, eikä rajoitus saa koskea perusoikeuden ydinaluetta. Rajoitusten on oltava myös oikeassa suhteessa tavoiteltuihin päämääriin nähden.
Ehdotetun tietosuojalain 27 §:n keskeisenä tavoitteena on yhteensovittaa henkilötietojen suoja ja sananvapaus. Ehdotettua säännöstä tulee tarkastella perustuslain sananvapaussäännöksen kannalta. Ehdotettu sääntely tasapainottaa henkilötietojen suojaa ja sananvapautta asianmukaisella tavalla ja siinä on otettu huomioon perusoikeuksien yleiset rajoitusedellytykset. Ehdotus on myös yhdenmukainen perustuslain 16 §:ssä turvatun tieteenvapauden kanssa samoin kuin tieteellistä tutkimusta koskevat säännökset lakiehdotuksen 4 ja 6 §:ssä.
Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. Ehdotetun tietosuojalain 28 §:ään sisältyy nykyistä oikeustilaa vastaava viittaussäännös, jonka mukaan oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten toiminnan julkisuudesta säädetään.
Lisäksi perustuslain 12 §:n 2 momentissa säädetyn julkisuusperiaatteen näkökulmasta merkityksellinen on myös ehdotettu 37 §, joka koskee salassapitoa. Eduskunta on korostanut, että viranomaisten tietojen salassapitoa koskevia säännöksiä tulisi erityislainsäädännön sijaan sisällyttää keskitetysti julkisuuslakiin (esim. PeVL 2/2008 vp, s. 2 ja PeVL 13/2000 vp). Ehdotettu salassapitosäännös, joka koskisi tietosuojavaltuutetulle rikkomuksista ilmoittaneiden henkilöllisyyden salaamista, on kuitenkin perusteltua sijoittaa tietosuojalakiin ottaen huomioon säännöksen erityisen luonteen ja sen merkityksen tietosuojavaltuutetun valvonnan kannalta.
Tietosuojalakiehdotuksen 5 §:ssä säädettävässä, tietoyhteiskunnan palvelujen tarjoamista koskevassa ikärajassa on otetut huomioon perustuslain 6 §:n 3 momentin vaatimukset.
Perustuslain 21 §:ssä säädetään oikeusturvasta. Pykälän 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Ehdotetun tietosuojalain 3 luvussa säädettäisiin valvontaviranomaisesta ja 4 luvussa oikeusturva- ja muutoksenhakukeinoista. Ehdotukset on laadittu ottaen huomioon perustuslain 21 §:ssä turvattu oikeus oikeusturvaan, ja ehdotetuilla säännöksillä yhdessä yleisen tietosuoja-asetuksen sisältämillä oikeusturvatakeilla varmistuttaisiin oikeusturvan toteutumisesta perustuslain edellyttämällä tavalla.
Perustuslain 124 §:ssä tarkoitetun julkisen hallintotehtävän hoitamisen on perustuslakivaliokunnan käytännössä (esim. PeVL 8/2014 vp, s. 5/I ja PeVL 29/2013 vp) katsottu lähtökohtaisesti edellyttävän, että tehtävää hoitavat luonnolliset henkilöt toimivat tehtävässään virkavastuulla, minkä vuoksi ehdotetun tietosuojalain 12 §:n 3 momentin ja 19 §:n 3 momentissa ulotettaisiin rikosoikeudellinen virkavastuu koskemaan myös tietosuojavaltuutetun käyttämiä asiantuntijoita ja asiantuntijalautakunnan jäseniä.
Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklassa on määritelty kaksoisrangaistavuuden kielto (ne bis in indem -kielto). Ne bis in idem –kiellon mukaan ketään ei saa saman valtion tuomiovallan nojalla tutkia uudelleen tai rangaista oikeudenkäynnissä rikoksesta, josta hänet on jo lopullisesti vapautettu tai tuomittu syylliseksi kyseisen valtion lakien ja oikeudenkäyntimenettelyn mukaisesti. Kiellon katsotaan sisältyvän myös Suomen perustuslain yksilön oikeusturvaa koskevan 21 §:n 2 momentin säännökseen oikeudenmukaisen oikeudenkäynnin takeista, joka on lailla turvattava (HE 309/1993 vp, s.74/II; PeVL 9/2012 vp). Samankaltainen kielto sisältyy myös kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 7—8/1976) 14 artiklan 7 kohtaan sekä EU:n perusoikeuskirjan 50 artiklaan. Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä kiellon soveltamisala ei rajoitu vain varsinaisiin rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös erilaisiin rangaistusluonteisiin hallinnollisiin seuraamuksiin. Perustuslakivaliokunta on rangaistuksenluonteisia seuraamuksia koskevan sääntelyn yhteydessä arvioinut, onko kaksoisrangaistavuuden kiellon vaatimukset otettu asianmukaisesti huomioon (PeVL 10/2016 vp ja PeVL 17/2013 vp).
Yleisen tietosuoja-asetuksen sisältämien hallinnollisten seuraamusmaksujen myötä tietosuojalainsäädäntöä koskeva seuraamusjärjestelmä muuttuu perustavanlaatuisesti. Näin ollen nykyisen rikoslain 38 luvun 9 §:n kaltainen hyvin laaja henkilötietojen käsittelyä koskeva kriminalisointi ei ole enää perusteltu. Tämän vuoksi ehdotetaan säädettäväksi rikoslain 38 luvun 9 §:ssä uusi kriminalisointi, tietosuojarikos, joka olisi tunnusmerkistöltään huomattavasti rajatumpi nykyisiin 9 §:ään verrattuna. Tietosuojarikos koskisi tilanteita, jossa henkilötietojen käsittelijän ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Rikosoikeudellinen vastuu tulisi siten kyseeseen vain tilanteissa, joissa lainvastainen käsittely ei olisi asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä. Myös tietosuojalakiehdotuksen 25 § hallinnollisesta seuraamusmaksusta ja siihen liittyen lakiehdotuksen 23 §:n 3 momentti vastaa perustuslakivaliokunnan tulkintakäytäntöä.
Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä. Hallituksen esitys on syytä saattaa perustuslakivaliokunnan arvioitavaksi ottaen huomioon erityisesti sen keskeiset kytkennät perustuslain 10 §:ssä säädettyyn henkilötietojen suojaan.
Lakiehdotukset
1.
Tietosuojalaki
Eduskunnan päätöksen mukaisesti säädetään:
1 luku
Yleiset säännökset
1 §Lain tarkoitus
Tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista.
2 §
Soveltamisala
Tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tämän lain nojalla tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta sen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä.
Tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ).
3 §
Sovellettava laki
Henkilötietojen käsittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, sovelletaan Suomen lakia, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.
Jos henkilötietojen käsittelyyn sovelletaan vieraan valtion lakia ja sen nojalla poiketaan tietosuoja-asetuksen 89 artiklan 2 kohdan mukaisesti rekisteröidyn suojaksi säädetyistä oikeuksista, jäljempänä 31§:ssä rekisteröidyn suojaksi säädettyjä suojatoimia on kuitenkin noudatettava lainvalinnasta riippumatta.
2 luku
Käsittelyn oikeusperuste eräissä tapauksissa
4 §Käsittelyn lainmukaisuus
Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos
1) kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden;
2) käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi;
3) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden; tai
4) henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.
5 §
Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja
Kun henkilötietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kyseessä on tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias.
6 §
Erityisiä henkilötietoryhmiä koskeva käsittely
Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta:
1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;
2) tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;
3) ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla;
4) kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;
5) kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja;
6) terveyttä koskevien ja geneettisten tietojen käsittelyyn antidopingtyössä ja vammaisurheilun yhteydessä siltä osin kuin näiden tietojen käsittely on välttämätöntä antidopingtyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi;
7) tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn;
8) tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta.
Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat:
1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty;
2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista;
3) tietosuojavastaavan nimittäminen;
4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin;
5) henkilötietojen pseudonymisointi;
6) henkilötietojen salaaminen;
7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;
8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi;
9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen;
10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen;
11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet.
7 §
Rikostuomioihin ja rikkomuksiin liittyvä käsittely
Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos
1) käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai
2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa.
Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä 1 momentissa tarkoitettuja henkilötietoja.
3 luku
Valvontaviranomainen
8 §Tietosuojavaltuutettu
Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.
Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton.
9 §
Tietosuojavaltuutetun toimisto
Tietosuojavaltuutetulla on toimisto, jossa on yksi tai useampi apulaistietosuojavaltuutettu sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.
Tietosuojavaltuutettu nimittää toimiston virkamiehet ja ottaa palvelukseen toimiston muun henkilöstön.
Tietosuojavaltuutettu hyväksyy toimiston työjärjestyksen.
10 §
Kelpoisuusvaatimukset ja nimitysperusteet
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kelpoisuusvaatimuksena on muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto, hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin sekä käytännössä osoitettu johtamistaito. Lisäksi edellytetään kykyä hoitaa kansainvälisiä tehtäviä.
11 §
Nimittäminen ja toimikausi
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan.
Tietosuojavaltuutetuksi ja apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa siksi ajaksi, jona hän toimii tietosuojavaltuutettuna tai apulaistietosuojavaltuutettuna.
12 §
Asiantuntijalautakunta
Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Kullakin heistä on henkilökohtainen varajäsen.
Valtioneuvosto asettaa lautakunnan kolmen vuoden toimikaudeksi.
Lautakunnan puheenjohtajan ja varapuheenjohtajan on oltava oikeustieteen muun ylemmän korkeakoulututkinnon kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinnon suorittanut henkilö, jolla on hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin ja muu tehtävän hoidon edellyttämä pätevyys. Lautakunnan muulta jäseneltä edellytetään perehtyneisyyttä henkilötietojen suojaa koskeviin asioihin ja tehtävän hoidon edellyttämää muuta pätevyyttä.
Lautakunnan jäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävästään palkkio. Oikeusministeriö vahvistaa palkkioiden määrät.
13 §
Selvitys sidonnaisuuksista
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamieslain (750/1994) 8 a §:ssä tarkoitettu selvitys sidonnaisuuksistaan.
14 §
Tietosuojavaltuutetun tehtävät ja toimivaltuudet
Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55—59 artiklassa. Tietosuojavaltuutetulla on myös muita tässä tai muussa laissa säädettyjä tehtäviä ja toimivaltuuksia.
Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa.
Tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen.
Tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus on pidettävä yleisesti saatavilla.
15 §
Tietosuojavaltuutetun päätöksenteko
Tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä.
16 §
Apulaistietosuojavaltuutetun tehtävät ja toimivaltuudet
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun välisestä tehtävien jaosta määrätään tietosuojavaltuutetun toimiston työjärjestyksessä.
Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.
17 §
Asiantuntijalautakunnan tehtävät ja asioiden käsittely
Asiantuntijalautakunnan tehtävänä on tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.
Lautakunta voi kuulla ulkopuolisia asiantuntijoita.
Lautakunnan sihteerinä toimii tietosuojavaltuutetun toimiston esittelijä.
18 §
Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus
Sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot.
Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa (39/1889) säädetty rangaistus.
19 §
Asiantuntijoiden käyttö
Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja.
Tietosuojavaltuutettu voi käyttää toimivaltaansa kuuluvan tarkastuksen suorittamisessa apunaan ulkopuolisia asiantuntijoita. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tällaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.
20 §
Virka-apu
Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.
4 luku
Oikeusturva ja seuraamukset
21 §Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi
Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.
22 §
Uhkasakko
Tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan c—g ja j alakohdassa tarkoitetun päätöksen ja tämän lain 18 §:n 1 momenttiin perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).
Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksentehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa.
23 §
Muutoksenhaku
Tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.
Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen.
Tietosuojavaltuutetun muussa kuin hallinnollista seuraamusmaksua koskevassa päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.
24 §
Komission päätökset
Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi.
Hallinto-oikeuden päätökseen saa hakea muutosta, jos korkein hallinto-oikeus myöntää valitusluvan.
25 §
Hallinnollinen seuraamusmaksu
Tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta noudattaen, mitä tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tässä laissa säädetään.
Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle.
Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut.
Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002).
26 §
Rangaistussäännökset
Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta ja törkeästä tietomurrosta 38 luvun 8 ja 8 a §:ssä. Rangaistus tämän lain 36 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.
Rikoslain 38 luvun 10 §:n 3 momentissa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen 1 momentissa mainittuja rikoksia koskevan syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tällaista asiaa käsitellessään tietosuojavaltuutetulle tilaisuus tulla kuulluksi.
5 luku
Tietojenkäsittelyn erityistilanteet
27 §Henkilötietojen käsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten
Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta tietosuoja-asetuksen 5 artiklan 1 kohdan c—e alakohtaa, 6 ja 7 artiklaa, 9 ja 10 artiklaa, 11 artiklan 2 kohtaa, 12—22 artiklaa, 30 artiklaa, 34 artiklan 1—3 kohtaa, 35 ja 36 artiklaa, 56 artiklaa, 58 artiklan 2 kohdan f alakohtaa, 60—63 artiklaa ja 65—67 artiklaa.
Tietosuoja-asetuksen 27 artiklaa ei sovelleta sellaiseen henkilötietojen käsittelyyn, joka liittyy sananvapauden käyttämisestä joukkoviestinnässä annetussa laissa (460/2003) säädettyyn toimintaan. Tietosuoja-asetuksen 44—50 artiklaa ei sovelleta, jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen.
Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten sovelletaan tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohtaa ja 2 kohtaa, 24—26 artiklaa, 31 artiklaa, 39 ja 40 artiklaa, 42 artiklaa, 57 ja 58 artiklaa, 64 artiklaa ja 70 artiklaa ainoastaan soveltuvin osin.
28 §
Julkisuusperiaate
Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.
29 §
Henkilötunnuksen käsittely
Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:
1) laissa säädetyn tehtävän suorittamiseksi;
2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai
3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.
Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.
Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.
Henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.
30 §
Henkilötietojen käsittely työsuhteen yhteydessä
Työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).
31 §
Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet
Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:
1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan;
2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja
3) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.
Käsiteltäessä henkilötietoja tilastollisia tarkoituksia varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:
1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä;
2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan; ja
3) tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.
Käsiteltäessä tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja 1 tai 2 momentissa säädetyssä tarkoituksessa poikkeaminen tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista edellyttää sen lisäksi, mitä 1 ja 2 momentissa säädetään, että laaditaan tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Vaikutustenarviointi tulee toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle 30 päivää ennen käsittelyyn ryhtymistä.
32 §
Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet
Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten 4 §:n 4 kohdan nojalla voidaan tietosuoja-asetuksen 15, 16 ja 18—21 artiklassa tarkoitetuista rekisteröidyn oikeuksista poiketa tietosuoja-asetuksen 89 artiklan 3 kohdassa säädetyin edellytyksin.
33 §
Rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle
Tietosuoja-asetuksen 13 ja 14 artiklan mukaisesta velvollisuudesta toimittaa tiedot rekisteröidylle voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi.
Tietosuoja-asetuksen 14 artiklan 1—4 kohdasta voidaan poiketa myös, jos tiedon toimittaminen aiheuttaa olennaista vahinkoa tai haittaa rekisteröidylle eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon.
Jos rekisteröidylle ei toimiteta 1 tai 2 momentin perusteella tietoa, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näihin toimenpiteisiin kuuluu yleisen tietosuoja-asetuksen 14 artiklan 1 ja 2 kohdassa tarkoitettujen tietojen pitäminen kaikkien saatavilla, ellei tämä vaaranna tietojen toimittamista koskevan rajoituksen tarkoitusta.
34 §
Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin
Rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos:
1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä;
2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille; tai
3) henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.
Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut häntä koskevat tiedot.
Rekisteröidylle on ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta.
Jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.
6 luku
Erinäiset säännökset
35 §Vaitiolovelvollisuus
Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.
36 §
Ilmoittajan henkilöllisyyden suojaaminen
Kun luonnollinen henkilö on tehnyt tietosuojavaltuutetun toimistolle ilmoituksen sen valvontaan kuuluvien säännösten epäillystä rikkomisesta, ilmoittajan henkilöllisyys on pidettävä salassa, jos henkilöllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida aiheutuvan haittaa ilmoittajalle.
37 §
Voimaantulo
Tämä laki tulee voimaan 25 päivänä toukokuuta 2018.
Tällä lailla kumotaan henkilötietolaki (523/1999) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994).
38 §
Siirtymäsäännökset
Tietosuojalautakunnan myöntämien lupien voimassaolo päättyy tämän lain tullessa voimaan. Tietosuojalautakunnassa ennen tämän lain voimaantuloa vireille tulleet asiat raukeavat lain voimaan tullessa.
Tämän lain voimaan tullessa vireillä olevaan tietosuojavaltuutetulle tehtävää ilmoitusta koskevaan asiaan sovelletaan henkilötietolain 36 ja 37 §:n säännöksiä ilmoitusvelvollisuudesta ja ilmoituksen tekemisestä.
Tämän lain voimaan tullessa vireillä olevassa tarkastusoikeuden toteuttamista ja henkilötietojen korjaamista koskevassa asiassa ei sovelleta sellaisia tietosuoja-asetuksen 12 ja 15—18 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tämän lain voimaan tullessa voimassa olleet säännökset edellyttävät jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta.
Haettaessa muutosta ennen tämän lain voimaantuloa tehtyyn tietosuojalautakunnan ja tietosuojavaltuutetun päätökseen sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä. Ylimääräiseen muutoksenhakuun sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä kuitenkin vain, jos se on pantu vireille ennen tämän lain voimaantuloa.
Jos vahinkoa aiheuttanut teko on tehty ennen tämän lain voimaantuloa, velvollisuuteen korvata vahinko sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä.
2.
Laki rikoslain 38 luvun 9 ja 10 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan rikoslain (39/1889) 38 luvun 9 § ja 10 §:n 3 momentti,
sellaisina kuin ne ovat, 38 luvun 9 § laeissa 525/1999 ja 480/2001 ja 10 §:n 3 momentti laissa 441/2011, seuraavasti:
38 luku
Tieto- ja viestintärikoksista
9 §Tietosuojarikos
Joka muutoin kuin Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin
1) yleisen tietosuoja-asetuksen,
2) tietosuojalain ( / ),
3) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ( / ) tai
4) henkilötietojen käsittelyä koskevan muun lain
henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1—4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta.
10 §
Syyteoikeus
Syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta, tietomurtoa, törkeää tietomurtoa tai tietosuojarikosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi.
Tämä laki tulee voimaan 25 päivänä toukokuuta 2018.
3.
Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta
Eduskunnan päätöksen mukaisesti
muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 1 momentin 11 kohta, sellaisena kuin se on laissa 470/2017, ja
lisätään 1 §:n 1 momenttiin, sellaisena kuin se on laeissa 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 ja 470/2017, uusi 12 kohta seuraavasti:
Lain soveltamisala
Tässä laissa säädetyssä järjestyksessä pannaan täytäntöön seuraavat seuraamukset:
11) rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) 8 luvun 1 §:ssä tarkoitettu rikemaksu ja 8 luvun 3 §:ssä tarkoitettu seuraamusmaksu;
12) Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu.
Tämä laki tulee voimaan 25 päivänä toukokuuta 2018.
Helsingissä 1 päivänä maaliskuuta 2018
Pääministeri
Juha Sipilä
Oikeusministeri
Antti Häkkänen