Hallituksen esitys eduskunnalle tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta HE 62/2023

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Esityksessä ehdotetaan muutettavaksi tietosuojalakia ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia. Esityksen tarkoituksena on tehdä lainsäädäntöön Euroopan unionin tietosuojalainsäädännön täytäntöönpanon kannalta välttämättömät muutokset. Lakeihin ehdotetaan lisättäväksi säännökset, joiden mukaan rekisteröidyllä on tietosuojavaltuutetun passiivisuustilanteessa valitusmahdollisuus. Jos tietosuojavaltuutettu ei ole käsitellyt asiaa kolmen kuukauden kuluessa sen vireilletulosta tai ilmoittanut tässä ajassa rekisteröidylle arviota päätöksen antamisajankohdasta, rekisteröidyllä on oikeus tehdä valitus hallinto-oikeudelle ja valituksen katsotaan tällöin kohdistuvan asian käsittelyä koskevaan kielteiseen päätökseen.

Tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain säännöksiä henkilötunnuksen käsittelystä ehdotetaan täsmennettäviksi. Lakeihin ehdotetaan myös Euroopan unionin tietosuojalainsäädäntöön perustuvia teknisiä täsmennyksiä.

Tietosuojalakiin ehdotetaan lisättäväksi säännökset tietosuojavaltuutetun oikeudesta siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille asioissa, joissa lain soveltamiskäytäntö on vakiintunut. Ehdotettujen säännösten tarkoituksena on parantaa edellytyksiä siihen, että perustuslaissa ja hallintolaissa turvattu rekisteröidyn oikeus asian viivytyksettömään käsittelyyn toteutuu.

Esitys liittyy valtion vuoden 2024 talousarvioesitykseen ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Lait on tarkoitettu tulemaan voimaan 1.1.2024.

PERUSTELUT

1 Asian tausta ja valmistelu

1.1 Tausta

EU:n yleisen tietosuoja-asetuksen tultua voimaan asiaryhmät, joissa valvontaviranomaisen on tehtävä valituskelpoinen hallintopäätös, kasvoivat merkittävästi. Tätä ennen tietosuojavaltuutetulla oli toimivaltuudet tehdä valituskelpoisia hallintopäätöksiä ainoastaan tarkastusoikeutta ja tiedon korjaamista koskevissa asioissa (henkilötietolaki 523/1999). Esimerkiksi henkilötietojen käsittelykieltoa koskevissa asioissa tietosuojalautakunta oli aikaisemmin toimivaltainen tekemään päätöksen tietosuojavaltuutetun hakemuksesta.

Tietosuojavaltuutetun toimistoon tulee vuosittain vireille noin 11 000 asiaa. Tämä luku sisältää kanteluiden lisäksi myös muut asiat, kuten ilmoitukset henkilötietojen tietoturvaloukkauksista sekä tiedustelut. Ennen yleisen tietosuoja-asetuksen soveltamisen alkamista Tietosuojavaltuutetun toimistoon tuli vireille vuosittain noin 3200–3500 asiaa.

Jokaisella on oikeus hyvän hallinnon takeisiin, mukaan lukien oikeus saada viranomaiselta perusteltu päätös ja oikeus hakea siihen muutosta tuomioistuimelta. Myös asian käsittely ilman aiheetonta viivytystä on osa hyvää hallintoa. Perustuslaki, Euroopan unionin perusoikeuskirja ja Euroopan ihmisoikeussopimus sisältävät lisäksi oikeuden tehokkaaseen oikeussuojakeinoon. Näistä perusoikeuskirjan 47 artikla nimenomaisesti edellyttää oikeussuojakeinojen osalta tuomioistuinmenettelyä. Euroopan unionin tietosuojalainsäädäntö sisältää viittauksen perusoikeuskirjan 47 artiklaan.

Viranomaisia koskevaa yleisesti sovellettavaa sääntelyä erityisistä oikeussuojakeinoista viranomaisen käsittelyn viivästys- tai passiivisuustilanteessa on arvioitu vuonna 2008 (Käsittelyn joutuisuus hallinnossa ja oikeussuojakeinot käsittelyn viivästyessä, Työryhmämietintö 2008:5). Kriittisen lausuntopalautteen johdosta asiaa koskevaa hallituksen esitystä ei tuolloin annettu.

Tietosuoja-asetusta täydentävää tietosuojalakia valmistellut työryhmä esitti säädettäväksi valvontaviranomaisen passiivisuustilanteita koskevasta oikeussuojakeinosta mietinnössään (EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintö, Oikeusministeriön julkaisu 35/2017). Työryhmän ehdotusta ei kuitenkaan sisällytetty eduskunnalle annettuun hallituksen esitykseen (HE 9/2018 vp).

Komissio antoi Suomelle 6.4.2022 virallisen huomautuksen sekä 27.1.2023 perustellun lausunnon, jossa se katsoo, että Suomen lainsäädäntö ei ole kaikilta osin asetuksen (EU) 2016/679 78 artiklan 2 kohdan ja direktiivin (EU) 2016/680 53 artiklan 2 kohdan mukainen. Erityisesti komissio katsoo, että Suomessa käytettävissä olevien oikeussuojakeinojen ei voida katsoa täyttävän vaatimusta tehokkaasta oikeussuojasta tuomioistuimessa EU-oikeuden edellyttämällä tavalla. Suomen komissiolle esittämän näkemyksen mukaan Suomen lainsäädännön mukaiset oikeussuojakeinot ovat kokonaisuutena muodostaneet kyseisissä tietosuojalainsäädännön säännöksissä tarkoitetun tehokkaan oikeussuojakeinon. Suomi on vastannut 23.3.2023 Euroopan komission perusteltuun lausuntoon ja ilmoittanut aloittaneensa lainsäädäntömuutosten valmistelun.

1.2 Valmistelu

EU-säädöksen valmistelu

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), ja Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta (jäljempänä rikosasioiden tietosuojadirektiivi) tulivat voimaan 5 päivänä toukokuuta 2016. Tietosuoja-asetuksella kumottiin Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Rikosasioiden tietosuojadirektiivillä kumottiin neuvoston puitepäätös 2008/977/YOS, joka koski EU:n jäsenvaltioiden rajat ylittävää henkilötietojen käsittelyä rikosasioissa.

Tietosuoja-asetuksen soveltaminen alkoi 25 päivänä toukokuuta 2018. Tietosuoja-asetusta täydentävä tietosuojalaki (1050/2018) ja rikosasioiden tietosuojadirektiivin täytäntöönpanoa koskeva laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018, jäljempänä rikosasioiden tietosuojalaki) tulivat voimaan 1 päivänä tammikuuta 2019.

Hallituksen esityksen valmistelu

Oikeusministeriö asetti 14.2.2023 työryhmän valmistelemaan tietosuojalain ja rikosasioiden tietosuojalain muuttamista. Hallituksen esityksen luonnoksesta järjestettiin lausuntokierros 26.5.-7.7.2023. Oikeusministeriö pyysi lisäksi osana jatkovalmistelua täydentävän lausunnon muutamalta lausunnonantajalta 4.9.-15.9.2023. Luonnosta koskevat lausunnot ja muut hankkeen valmisteluasiakirjat ovat saatavilla oikeusministeriön verkkosivustolta ja valtioneuvoston verkkosivustolta tunnuksella OM016:00/2023.

Jatkovalmistelussa tähän esitykseen lisättiin henkilötunnuksen käsittelyä koskevat lainmuutokset, jotka sisältyivät edellisellä vaalikaudella rauenneeseen hallituksen esitykseen HE 132/2022 vp. Lisäksi tietosuojalakiin ja rikosasioiden tietosuojalakiin on lisätty eräitä teknisluonteisia täsmennyksiä. Ehdotetut tietosuojalain 29 §:n ja rikosasioiden tietosuojalain 12 §:n muutokset olivat erikseen lausuntokierroksella 15.6.-13.7.2022. Lausunnot ovat saatavilla oikeusministeriön verkkosivustolta ja valtioneuvoston verkkosivustolta tunnuksella OM044:00/2022.

2 EU-säädösten tavoitteet ja pääasiallinen sisältö

EU:n tietosuojalainsäädännön tavoitteena on varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä riippumatta henkilöiden kansallisuudesta tai asuinpaikasta. Luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojelua koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikissa jäsenvaltioissa. EU:n tietosuojalainsäädännön tavoitteena on myös taata tehokkaat oikeussuojakeinot, joista säädetään yleisessä tietosuoja-asetuksessa ja rikosasioiden tietosuojadirektiivisissä. Tehokkaat oikeussuojakeinot perustuvat EU:n perusoikeuskirjan 47 artiklaan, jossa edellytetään, että ”jokaisella, jonka unionin oikeudessa taattuja oikeuksia ja vapauksia on loukattu, on oikeus tehokkaisiin oikeussuojakeinoihin tuomioistuimessa”. Tietosuoja-asetuksen johdanto-osan 141 kappaleessa täsmennetään, että rekisteröidyllä olisi oltava oikeus turvautua tehokkaisiin oikeussuojakeinoihin perusoikeuskirjan 47 artiklan mukaisesti, ja että asia olisi voitava saattaa tuomioistuimen käsiteltäväksi. Vastaava viittaus perusoikeuskirjan 47 artiklaan sisältyy rikosasioiden tietosuojadirektiivin johdanto-osan 85 kappaleeseen.

Yleisen tietosuoja-asetuksen 77 artiklassa säädetään rekisteröidyn oikeudesta tehdä kantelu valvontaviranomaiselle. Asetuksen 77 artiklan 2 kohdan mukaan valvontaviranomaisen, jolle kantelu on tehty, on ilmoitettava kantelun tekijälle sen etenemisestä ja ratkaisusta, mukaan lukien 78 artiklan mukaisten oikeussuojakeinojen mahdollisuudesta. Rikosasioiden tietosuojadirektiivin 52 artiklan 4 kohta sisältää vastaavat vaatimukset. Lisäksi valvontaviranomaisen tehtäviä koskeva tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohta ja rikosasioiden tietosuojadirektiivin 46 artiklan 1 kohdan f alakohta sisältää vaatimuksen asian tutkimisesta ja selvityksestä ilmoittamisesta kohtuullisessa ajassa. Rikosasioiden tietosuojadirektiivin 46 artiklan 1 kohdan g alakohta asettaa saman vaatimuksen myös käsittelyn lainmukaisuuden tarkistamisesta ilmoittamiselle.

Asetuksen 78 artiklan 2 kohdan mukaan jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja. Rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohta sisältää tietosuoja-asetuksen 78 artiklan 2 kohtaa vastaavat säännökset, jotka liittyvät 52 artiklan nojalla tehtyihin kanteluihin.

Edellä mainitut säännökset asettavat toimivaltaiselle viranomaiselle kolmen kuukauden määräajan, jossa rekisteröidylle on vähintään ilmoitettava kantelun etenemisestä tai ratkaisusta. Tietosuojalainsäädäntö ei sen sijaan edellytä, että asia olisi käsiteltävä kokonaan tai ratkaistava kolmen kuukauden määräajassa.

3 Nykytila ja sen arviointi

Tietosuojavaltuutetun päätöksenteko

Tietosuojavaltuutetun päätöksenteosta säädetään tietosuojalain 15 §:ssä. Pykälän mukaan tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Tämä pykälä sekä 16 §:n säännökset apulaistietosuojavaltuutetun tehtävistä ja toimivaltuuksista rajaavat ratkaisutoimivallan tietosuojavaltuutetulle ja apulaistietosuojavaltuutetuille. Lain säännökset eivät siten mahdollista sitä, että muu virkamies voisi käyttää ratkaisuvaltaa.

Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Perustuslakivaliokunta on etenkin perusoikeuskytkentäisen sääntelyn yhteydessä pitänyt välttämättömänä, että toimivaltainen viranomainen ilmenee laista yksiselitteisesti tai muuten täsmällisesti tai että ainakin viranomaisen toimivaltasuhteiden lähtökohdat samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti. Sen sijaan yksittäisten viranhaltijoiden tehtävät ja toimivaltuudet ilmenevät lain sijasta tyypillisemmin asetuksesta tai työjärjestyksestä. Tietosuojavaltuutetun työjärjestyksessä on mahdollistettu esittelijöille rajallisesti ratkaisuvaltaa tilanteissa, joissa ei yleensä tehdä hallintopäätöstä.

Jos esittelijänä toimivalle virkamiehelle katsotaan tarkoituksenmukaiseksi ohjata ratkaisuvaltaa joissakin asioissa, erityisesti jos tarkoituksena on mahdollistaa se nykyistä laajemmin, laissa olisi säädettävä riittävällä tarkkuudella ainakin tietosuojavaltuutetun oikeudesta siirtää ratkaisuvaltaa tällaiselle virkamiehelle sekä tällaisen toimivallan siirron edellytyksistä.

Käsittelyn viivästyminen

Tietosuojavaltuutetun toimiston asioiden käsittely on yleisen tietosuoja-asetuksen voimaantulon jälkeen ruuhkautunut. Ylimmät laillisuusvalvojat ovat viime vuosien aikana käsitelleet useita käsittelyn viivästymiseen liittyviä kanteluita. Kantelut voivat koskea pitkiä käsittelyaikoja (käsittelyn viivästyminen) tai tilanteita, joissa viranomainen ei ole käsitellyt asiaa tai ei ole vastannut rekisteröidylle ollenkaan (viranomaisen passiivisuus).

Hallintoviranomaisissa vireillä olevissa asioissa käsittelyn alkamisajankohtana, josta lukien Euroopan ihmisoikeustuomioistuin on yleensä arvioinut käsittelyn keston kohtuullisuutta, voidaan pitää päivää, jolloin asia saatetaan vireille viranomaisessa. (esim. Vilho Eskelinen ja muut v. Suomi, tuomio 19.4.2007, kohdat 65-66, Hellborg v. Ruotsi, tuomio 28.2.2006, kohta 59) Euroopan ihmisoikeustuomioistuin arvioi käsittelyn keston kohtuullisuutta kokonaisuutena, ottaen huomioon käsiteltävän asian yksityiskohdat sekä tuomioistuimen vakiintuneesta oikeuskäytännöstä seuraavat kriteerit, erityisesti asian mahdollisen monimutkaisuuden sekä valittajan ja asiaan liittyvien viranomaisten toimenpiteet. Viimeksi mainittujen toimenpiteiden osalta tuomioistuin arvioi myös asian merkitystä valittajan kannalta. Viranomaisen toimenpiteiden osalta arvioidaan tyypillisesti sitä, sisältyykö käsittelyn kestoon sellaisia viivästyksiä, joille ei löydy hyväksyttävää selitystä kuten prosessuaalisten toimenpiteiden edellyttämää aikaa. (Eskelinen ja muut v. Suomi, tuomion kohdat 67-70) Viranomaisen mahdollisten passiivisuusjaksojen tarkastelu on osa käsittelyn kokonaiskeston arviointia. Viranomaiselta tyypillisesti edellytetään aktiivisia käsittelytoimenpiteitä. Viranomaisen viivästystilanteeseen voi kuitenkin liittyä muitakin laiminlyöntejä kuin passiivisuutta. Laillisuusvalvonnassa viranomaisten käsittelyn viipymistä koskevissa ratkaisuissa on arvioitu vastaavia näkökohtia kuin Euroopan ihmisoikeustuomioistuimen tuomioissa.

Hallituksen esityksen valmistelun tukena on käytetty oikeuskanslerin ja eduskunnan oikeusasiamiehen ratkaisuja vuosilta 2018–2022. Tarkastelluista ratkaisuista ei suoraan käy ilmi, että kyse olisi ollut tietosuoja-asetuksen 78 artiklan 2 kohdan tai rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan tarkoittamasta passiivisuustilanteesta, jossa rekisteröity ei ole saanut mitään vastausta asian vireille saattamisesta lähtien. Niissä tilanteissa, joissa passiivisuutta on selvästi ilmennyt, kyseessä vaikuttaisi kuitenkin olleen inhimillinen virhe (esim. OKV/116/10/2020 ja EOAK/1010/2021).

Passiivisuustilanteita useammin ratkaisuissa on ollut kyse asian käsittelyn aiheettomasta viivästymisestä tietosuojavaltuutetun toimistossa (vaihteluvälin ollessa noin 1 vuosi 5 kuukautta–3 vuotta 6 kuukautta). Tietosuojavaltuutetun ylimmille laillisuusvalvojille toimittamissa selvityksissä esitettyinä syinä viivästyksille ovat olleet muun muassa tietosuojalainsäädännöstä seuranneet muutokset, koronapandemiasta johtuneet työn uudelleenjärjestelyt ja etenkin resurssien riittämättömyys. Ylimpien laillisuusvalvojien ratkaisukäytännössä on kuitenkin vakiintuneesti katsottu, ettei vetoaminen yleisiin resurssien niukkuuteen liittyviin syihin oikeuta poikkeamaan laissa säädetyistä asioiden käsittelyä koskevista vaatimuksista. Joissakin tapauksissa ylin laillisuusvalvoja on saattanut todeta tietosuojavaltuutetun antaman selvityksen asian luonteen tai erityisten olosuhteiden aiheuttamasta käsittelyn pidentymisestä ainakin osittain hyväksyttäväksi perusteeksi (esim. OKV/631/10/2021).

Osa kanteluista on koskenut tietosuojavaltuutetulle tehtyihin tiedustelupyyntöihin vastaamista. Tällaisissa tapauksissa itse asia on saatettu jo aiemmin vireille. Kun ratkaisua tai neuvontaa ei ole saatu, asianosaiset ovat tiedustelleet asian etenemistä ja tarkempia käsittelyaikoja. Tietosuojavaltuutettu ei ole välttämättä vastannut näihin tiedustelupyyntöihin nopeasti tai vastaukset ovat olleet liian yleisluontoisia tai muutoin puutteellisia (vastauksessa on esimerkiksi kerrottu keskimääräisiä käsittelyaikoja). Vastaus on saatettu myös antaa vasta ylimmälle laillisuusvalvojalle tehdyn kantelun jälkeen (esim. OKV/934/10/2020). Vastaamatta jääminen on tietosuojavaltuutetun selvitysten mukaan johtunut teknisistä tai inhimillisistä virheistä. Käsittelyn viivästymisen syynä on useimmiten ollut kiire ja resurssipula.

Asioiden ruuhkautunutta käsittelyä on onnistuttu purkamaan ja asioiden käsittelyn nopeuttamiseksi on tehty useita kehittämistoimenpiteitä, mukaan lukien tilapäinen henkilöresurssien osoittaminen työruuhkan purkamiseen. Oikeuskansleri on myös oma-aloitteisesti selvittänyt tietosuojavaltuutetun toimiston käsittelyiden viivästymistä ja ruuhkanpurkutoimenpiteitä ja todennut tulosten olevan niiden osalta lupaavia. Tilanteen on tuolloin arvioitu normalisoituvan vuoden 2022 aikana, edellyttäen kuitenkin, että tietosuojavaltuutetun toimiston resurssit ovat riittävät.

Vaikka asioiden käsittelytilannetta on kohennettu jo erilaisin organisatorisin keinoin, asioiden joutuisa käsittely edellyttää kuitenkin tietosuojavaltuutetun toimiston toimintojen edelleen kehittämistä. Huomioiden sen, että suurin osa käsittelyn viivästymistä koskevista kanteluista ovat koskeneet muita kuin tietosuoja-asetuksen 78 artiklan 2 kohdassa ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdassa tarkoitettuja tilanteita, kyseisten kohtien täytäntöönpanon lisäksi on tarpeen tarkastella myös muita lainsäädännön keinoja. Tietosuojavaltuutetun resursseja on lisätty viime vuosien aikana siten, että henkilöstömäärä on vuoteen 2016 verrattuna noin kaksinkertainen. Asiamäärät ovat kuitenkin erityisesti oikeudellisesti yksinkertaisissa ja toistuvissa asioissa suuria, vaikka niiden määrä onkin vakiintunut. Tästä johtuen riittävän resursoinnin lisäksi erityisesti päätöksentekomenettelyn keventämisellä yksinkertaisissa asioissa olisi käsittelyn viiveitä vähentävää vaikutusta. Tämä kuitenkin edellyttäisi tietosuojalain muuttamista.

Oikeussuojakeinot viranomaisen viivästys- ja passiivisuustilanteessa

Perustuslain 21 §:n 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Hallintolain 23 §:n 1 momentin mukaan asia on käsiteltävä ilman aiheetonta viivytystä. Pykälän 2 momentin mukaan viranomaisen on esitettävä asianosaiselle tämän pyynnöstä arvio päätöksen antamisajankohdasta sekä vastattava käsittelyn etenemistä koskeviin tiedusteluihin. Asian käsittely ja käsittelyn viivytyksettömyys ovat myös virkamiehen virkavelvollisuuksia. Valtion virkamieslaissa (750/1994) ja kunnan ja hyvinvointialueen viranhaltijasta annetussa laissa (304/2003) säädetään virkamiesten ja viranhaltijoiden yleisestä velvollisuudesta suorittaa tehtävänsä asianmukaisesti ja viivytyksettä. Tietosuoja-asetuksen 77 artiklan 2 kohdan ja rikosasioiden tietosuojalain 29 §:n 2 momentin ja 57 §:n säännökset ovat osittain päällekkäisiä näiden hallintolain ja virkamiehiä koskevan lainsäädännön mukaisten vaatimusten kanssa. Tietosuojalainsäädäntö kuitenkin edellyttää, että valvontaviranomainen ilmoittaa asian etenemisestä oma-aloitteisesti rekisteröidylle.

Hallintolaissa ei säädetä yleisesti sovellettavasta määräajasta, jossa hallintoasia olisi käsiteltävä. Hallintoasian laatu ja laajuus vaikuttavat merkittävästi siihen, miten joutuisasti se on mahdollista käsitellä. Hallintolain 23 a §:n mukaan viranomaisen on kuitenkin määriteltävä toimialansa keskeisissä asiaryhmissä odotettavissa oleva käsittelyaika sellaisille hallintopäätöksellä ratkaistaville asioille, jotka voivat tulla vireille vain asianosaisen aloitteesta. Tämä ei koske asioita, joiden käsittelylle on säädetty määräaika. EU:n tietosuojalainsäädäntö ei aseta myöskään määräaikaa, jossa valvontaviranomaisen olisi käsiteltävä asia. Sen sijaan Suomen lainsäädäntöön on jo aiemmin sisältynyt joitakin säännöksiä, joilla viranomaisen ratkaisutoiminnalle asetetaan nimenomaisia määräaikoja tietyissä asiaryhmissä. Tällöin on säädetty yleensä myös siitä, että jos viranomainen ei ole tehnyt päätöstä määräajassa, asiassa voidaan tehdä valitus, jonka katsotaan kohdistuvan viranomaisen kielteiseen päätökseen. Näillä erityissäännöksillä on pantu tyypillisesti täytäntöön unionin oikeuteen sisältyviä direktiivejä, joissa on nimenomaisesti edellytetty määräaikaan sidottua päätöksentekoa ja mahdollisuutta saattaa asia tuomioistuimen käsiteltäväksi, jollei määräaikaa noudateta. (Ks. Hallintolainkäytön kehittämistarpeita – Näkökohtia lainvalmistelun pohjaksi, Oikeusministeriön julkaisuja 2006:4, s. 97) Yksittäisiin lakeihin sisältyviä säännöksiä, jotka koskevat oikeussuojakeinoja viranomaisen passiivisuustilanteisiin, ovat nykyisin esim. ammattipätevyyden tunnustamisesta annetun lain (1384/2015) 24 § 2 momentti, terveydenhuollon ammattihenkilöistä annetun lain (559/1994) 39 § 4 momentti, luottolaitostoiminnasta annetun lain (610/2014) 4 luvun 2 §:n 3 momentti, ja vakuutusyhtiölain (521/2008) 2 luvun 6 §:n 4 momentti.

Oikeudenkäynnistä hallintoasioissa annettuun lakiin (808/2019) ei sisälly nimenomaisia säännöksiä tuomioistuimissa käytettävistä oikeussuojakeinoista, jotka koskisivat viranomaisen passiivisuustilannetta. Tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan edellyttämästä valitusoikeudesta tuomioistuimeen valvontaviranomaisen passiivisuustilanteessa ei säädetä myöskään tietosuojalaissa ja rikosasioiden tietosuojalaissa.

Jos hallintoviranomainen laiminlyö hallintopäätöksen tekemisen tai hallintopäätöksen tekeminen viivästyy, asianosaisella ei ole yleensä mahdollisuutta saattaa tällaista asiaa tuomioistuimen käsiteltäväksi. Perustuslain 21 §:n sanamuoto mahdollistaa sen, että tehokas oikeussuojakeino voi tuomioistuimen lisäksi olla myös muu viranomainen. Perustuslain 21 §:ssä ei toisaalta nimenomaisesti säädetä oikeussuojakeinosta toimivaltaisen viranomaisen passiivisuustilanteessa. Oikeudenkäynnistä hallintoasioissa annetun lain esitöistä (HE 29/2018 vp) tai oikeuskäytännöstä ei myöskään löydy tukea sille, että viranomaisen passiivisuutta koskeva asia voitaisiin saattaa hallintoriitana tai muuna hallintolainkäyttöasiana tuomioistuimen käsiteltäväksi. Lain 20 §:n perusteluissa nimenomaisesti todetaan, että hallintoriita ei olisi käytettävissä silloin, kun viranomainen ei ole tehnyt toimivaltaansa kuuluvaa valituskelpoista hallintopäätöstä tai hallintopäätöksen tekeminen on viivästynyt. Hallintoviranomaisen passiivisuus ei ollut peruste kumotun hallintolainkäyttölain mukaiselle hallintoriitamenettelylle oikeussuojan saamiseksi tapauksessa KHO 2007:22, jossa oli kyse poroaidan rakentamisesta ja paliskunnan velvollisuudesta antaa asiassa valituskelpoinen päätös. Toisaalta hallintolainkäyttölain mukainen oikeuskäytäntö ei ole ollut täysin yksiselitteinen. Tapauksessa KHO 2018:168 korkein hallinto-oikeus huomioi sen, että Maahanmuuttovirasto ei ole voinut hakijoita sitovalla tavalla päättää olla maksamatta päätökseensä perustuvia korvauksia, ja katsoi, että hakijat ovat voineet vaatia niiden maksamista hallintolainkäyttölain 69 §:ssä tarkoitetulla hallintoriitahakemuksella.

Viranomaisen passiivisuustilanteessa käytettäväksi jäävät käytännössä hallintokantelu sekä kantelu ylimmille laillisuusvalvojille, jotka eivät tarkoita pääsyä tuomioistuimeen. Hallintokantelu on luonteeltaan vapaamuotoinen ilmoitus valvontaviranomaiselle siitä, että viranomainen on menetellyt lainvastaisesti tai ei täytä velvollisuuksiaan. Jos valvontaviranomainen katsoo, että valvottava on menetellyt lainvastaisesti, se voi ryhtyä hallinnollisiin ohjaus- tai kurinpitotoimenpiteisiin, joiden sisältö vaihtelee hallinnonaloittain. Vastaavasti ylimmät laillisuusvalvojat, eli eduskunnan oikeusasiamies ja valtioneuvoston oikeuskansleri, voivat ilmaista valvottavalle käsityksensä menettelyn lainvastaisuudesta tai antaa tälle huomautuksen. Sen sijaan kanteluita käsittelevät viranomaiset eivät yleensä voi varsinaisesti puuttua asian käsittelyyn viranomaisessa. Vakavissa tapauksissa laillisuusvalvojat voivat määrätä nostettavaksi syytteen virkarikoksesta. Perustuslain 118 §:n mukaan virkamies vastaa virkatoimiensa lainmukaisuudesta. Virkavastuu voi toteutua rikosoikeudellisena tai vahingonkorvausvastuuna.

Tietosuojavaltuutetun osalta rekisteröidyillä on käytännössä käytettävissään kantelu eduskunnan oikeusasiamiehelle tai valtioneuvoston oikeuskanslerille. Jotta tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan mukaiset vaatimukset toteutuisivat, valitusoikeudesta tuomioistuimeen passiivisuustilanteissa olisi säädettävä erikseen.

Henkilötunnuksen käytön sääntely ja käyttötavat yhteiskunnassa

Henkilötunnuksen käsittelystä säädettiin yksityiskohtaisesti yleislain tasolla ensimmäisen kerran 1.6.1999 voimaan tulleessa henkilötietolaissa (523/1999). Henkilörekisterilaki (471/1987) sisälsi vain henkilötunnuksen luovuttamista koskevat rajoitussäännökset. Taustalla sääntelytarpeelle oli yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY, jossa edellytettiin, että jäsenvaltiot määrittelevät ne olosuhteet, joissa henkilötunnusta ja muuta yleisesti käytettävissä olevaa tunnistetta saa käsitellä. Sääntelytarpeen taustalla oli lisäksi tietosuojavaltuutetun ja tietosuojalautakunnan henkilötunnuksen käyttöä ja merkitsemistä asiakirjoihin koskevaa käytäntöä. Henkilötietolaki on sittemmin kumottu tietosuojalailla. Tietosuojalakia säädettäessä henkilötunnuksen käsittelyä koskeva sääntely pysytettiin ennallaan.

Henkilötunnuksen käsittelyä koskevien säännösten lähtökohtana on ollut käsittelyn rajaaminen vain sellaisiin tilanteisiin, joissa henkilön yksiselitteinen yksilöiminen on tärkeää säännöksessä mainitun tehtävän suorittamiseksi. Tietosuojalain 29 §:n esitöissä nimenomaisesti todetaan, ettei esimerkiksi pelkkä laissa säädetyn tehtävän helpompi tai nopeampi suorittaminen henkilötunnuksen avulla oikeuta henkilötunnuksen käsittelyä, vaan käsittely on sallittua ainoastaan silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää tehtävästä suoriutumiseksi (HE 9/2018 vp, s. 113–114). Tietosuojalain 29 §:n esitöissä käsitettä ”yksilöiminen” vastaa ruotsinkielisessä tekstissä ”identifiering”. Tässä esityksessä käsitettä ”yksilöiminen” vastaa johdonmukaisuussyistä ruotsin kielessä ”specificering”.

Henkilötunnusta ei ole säädetty varsinaisesti salassa pidettäväksi tiedoksi, eikä se ole myöskään tietosuoja-asetuksen 9 artiklassa tarkoitettu erityisiin henkilötietoryhmiin kuuluva tieto. Henkilötunnusta on silti vakiintuneesti käsitelty yhteiskunnassa erityisesti suojattavana tietona, jonka käsittelyä, merkitsemistä asiakirjoihin ja julkaisemista tulisi välttää. Kuvaavaa suhtautumiselle henkilötunnukseen on muun muassa se, että henkilötietolaissa henkilötunnusta koskevat säännökset sijoitettiin arkaluonteisten henkilötietojen käsittelyä koskevien säännösten yhteyteen.

Henkilötunnuksen käsittelyä koskeva sääntely ja tunnuksen tosiasiallinen suojaaminen ovat tosiasiallisesti johtaneet myös tiettyihin ei-toivottuihin seurauksiin. Henkilötunnusta käytetään yhteiskunnan eri palvelussa melko usein salasanan kaltaisena tietona, jolla tunnistetaan asioiva henkilö. Tyypillistä on, että esimerkiksi käyntiasioinnissa henkilöä pyydetään kertomaan henkilötunnuksensa tai sen loppuosa. Samoin puhelinasioinnissa on tyypillistä, että asiakas tunnistetaan kysymällä häneltä henkilötunnus tai sen loppuosa ja muita vastaavia henkilötietoja. Henkilötunnuksen käyttö salasanan kaltaisena tietona perustuu oletukseen, ettei tunnus ole ulkopuolisten tiedossa ja tunnuksen tietäminen siten todistaa henkilön henkilöllisyyden. Tosiasiallisesti henkilötunnus on kuitenkin lähes aina useiden muidenkin henkilöiden tiedossa, minkä johdosta tunnuksia voidaan käyttää identiteettivarkauksien välineenä. Kuvattu käyttötapa puolestaan entisestään korostaa tarvetta ehkäistä henkilötunnusten päätymistä vääriin käsiin tunnusta suojaamalla.

Käytännössä henkilötunnuksen suojaaminen on kuitenkin erittäin vaikeaa. Henkilötunnusta kysytään useissa asiointitilanteissa ja sitä merkitään erittäin laajasti erilaisiin sopimuksiin ja lomakkeisiin sekä talletetaan tietojärjestelmiin. Tunnusta siten käytetään ja jaetaan yhteiskunnassa laajasti ja se voi suojatoimista huolimatta päätyä vääriin käsiin esimerkiksi tietomurtojen yhteydessä. Esimerkiksi vuoden 2020 loppupuolella julkisuuteen tulleen Vastaamo-tietomurron yhteydessä varastettiin kymmeniä tuhansia henkilötunnuksia ja muita henkilötietoja. Tunnuksen suojaaminen voi toisaalta estää sen käyttämistä sellaisissa toiminnoissa, joissa yksilöivän tunnisteen käyttö olisi tarpeen. Useat organisaatiot käyttävätkin toiminnassaan henkilötunnuksen käsittelyn käyttötarkoituksia rajaavan tietosuojalain 29 §:n vuoksi erilaisia organisaatiokohtaisia keinotekoisia tunnuksia myös niille henkilöille, joilla on suomalainen henkilötunnus.

Ahvenanmaan maakuntalainsäädäntö

Ahvenanmaan maakunnan lainsäädäntövallasta säädetään Ahvenanmaan itsehallintolain (1144/1991) 18 §:ssä. Valtakunnan lainsäädäntövallasta säädetään lain 27 §:ssä. Ahvenanmaan itsehallintolain 18 §:n mukaan maakunnalla on lainsäädäntövaltaa asioissa, jotka koskevat maakunnan hallitusta sekä sen alaisia viranomaisia ja laitoksia. Ahvenanmaan maakunnan ja kuntien viranomaisten hallussa olevien henkilötietojen suoja on Ahvenanmaan itsehallintolain 19 §:ssä tarkoitetussa maakuntalakien lainsäädäntövalvonnassa katsottu itsehallintolain 18 §:n 1 ja 4 kohdan nojalla kuuluvan maakunnan lainsäädäntövaltaan. Ehdotettu sääntely ei tule koskemaan Ahvenanmaata siltä osin kuin asia kuuluu maakunnan lainsäädäntövaltaan.

4 Ehdotukset ja niiden vaikutukset

4.1 Keskeiset ehdotukset

Esityksessä ehdotetaan muutettavaksi tietosuojalain 15 §:ää. Ehdotuksen mukaan tietosuojavaltuutettu voisi siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille asioissa, joissa lain soveltamiskäytäntö on vakiintunut. Ehdotuksen tarkoituksena on mahdollistaa oikeudellisesti yksinkertaisten, mutta hallintopäätöstä edellyttävien asioiden ratkaisu nopeammin ja vapauttaa samalla tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen resursseja enemmän oikeudellista harkintaa edellyttävien asioiden ratkaisuun. Samalla muutoksen tavoitteena on parantaa edellytyksiä siihen, että rekisteröidyn oikeus asian viivytyksettömään käsittelyyn toteutuu.

Esityksessä ehdotetaan muutettavaksi tietosuojalain 21 §:ää sekä rikosasioiden tietosuojalain 57 §:ää. Esityksen mukaan tilanteessa, jossa tietosuojavaltuutettu ei ole käsitellyt asiaa kolmen kuukauden kuluessa tai ilmoittanut tässä ajassa rekisteröidylle arviota päätöksen antamisajankohdasta, rekisteröity voisi tehdä valituksen hallinto-oikeuteen. Valituksen katsottaisiin tällöin kohdistuvan tietosuojavaltuutetun asian käsittelyä koskevaan kielteiseen päätökseen. Ehdotetuilla säännöksillä varmistettaisiin, että rekisteröidyllä on kaikissa tietosuojalainsäädännön edellyttämissä tilanteissa EU:n perusoikeuskirjan 47 artiklassa tarkoitettu tehokas oikeussuojakeino tuomioistuimessa.

Esityksessä ehdotetaan, että rekisteröityä ei saisi tunnistaa yksinomaan henkilötunnuksella tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmällä. Esityksellä täsmennettäisiin ja selkeytettäisiin henkilötunnuksen alkuperäistä tarkoitusta toimia henkilön yksiselitteisen yksilöimisen välineenä. Henkilötunnuksen ongelmaksi on muodostunut, että tunnusta käytetään sen käyttötarkoituksen eli henkilön yksiselitteisen yksilöimisen lisäksi henkilön tunnistamiseen. Edellä mainitun vuoksi esityksessä ehdotetaan rajoitettavaksi henkilötunnuksen käyttämistä rekisteröidyn tunnistamistarkoitukseen.

Esityksessä ehdotetaan, että tietosuojalain 7 ja 24 §:ään sekä rikosasioiden tietosuojalain 13 §:ään tehtäisiin teknisluonteiset täsmennykset. Tietosuojalain osalta kyse olisi laissa käytettyjen termien saattamisesta vastaamaan tietosuoja-asetuksen suomenkielisen tekstin oikaisua, joka julkaistiin Euroopan unionin virallisessa lehdessä 4.3.2021, ja lain 7 §:n osalta myös tietosuoja-asetuksen ruotsinkielisen tekstin oikaisua, joka julkaistiin Euroopan unionin virallisessa lehdessä 23.5.2018. Rikosasioiden tietosuojalain 13 §:n sisältöä puolestaan täsmennettäisiin siten, että rikosasioiden tietosuojadirektiivin automatisoituihin yksittäispäätöksiin liittyvät vaatimukset ilmenisivät laista paremmin.

4.2 Pääasialliset vaikutukset

Yhteiskunnalliset vaikutukset

Rekisteröidyn käytettävissä on nykyisin mahdollisuus kannella valtioneuvoston oikeuskanslerille tai eduskunnan oikeusasiamiehelle, jos tietosuojavaltuutettu ei ole vastannut rekisteröidyn yhteydenottoon kolmen kuukauden kuluessa sen vastaanottamisesta. Oikeuskanslerin ja oikeusasiamiehen päätöksiä yleensä kunnioitetaan ja noudatetaan. Heidän asemansa ja roolinsa ovat niin vakiintuneet, että kansalaiset tietävät, miten he voivat käyttää tätä oikeussuojakeinoa. Ylimmille laillisuusvalvojille tehtävällä kantelulla on myös etuja tuomioistuinmenettelyyn nähden, koska se on maksuton ja eikä siihen liity erityisiä muotovaatimuksia. Viranomaisiin kohdistuvaa laillisuusvalvontaa täydennetään rikosoikeudellisilla keinoilla, jotka ovat rekisteröidyn käytettävissä, jos asian käsittelyssä ilmenee vakavia viivästyksiä, sekä vahingonkorvausoikeudellisilla keinoilla, jos viivästyksistä aiheutuu vahinkoa.

Edellä mainitut oikeussuojakeinot koskevat tietosuoja-asetuksen 78 artiklan 2 kohtaa ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohtaa laajemmin myös tilanteita, joissa käsittelyaika on muodostunut kohtuuttoman pitkäksi. Ylimpien laillisuusvalvojien käsiteltävänä on ollut vain harvoin kyseisten artiklojen tarkoittamia passiivisuustilanteita koskevia asioita.

Rekisteröidyn käytössä ei ole nykyisin valitusoikeutta tuomioistuimeen asian käsittelyn jouduttamiseksi tietosuojavaltuutetun passiivisuustilanteessa. Ehdotettu oikeussuojakeino tietosuojavaltuutetun passiivisuustilanteisiin tarkoittaisi, että se korvaisi laillisuusvalvojalle tehtävän kantelun näissä tilanteissa. Eduskunnan oikeusasiamiehestä annetun lain (197/2002) 3 §:n ja valtioneuvoston oikeuskanslerista annetun lain (193/2000) 4 §:n kantelun käsittelyä koskevien säännösten mukaisesti mukaan kantelu ei johda toimenpiteisiin esimerkiksi silloin, kun asia ei kuulu laillisuusvalvojan toimivaltaan, kantelu on vanhentunut, asia on vireillä toimivaltaisessa viranomaisessa tai siinä voidaan hakea muutosta säännönmukaisin muutoksenhakukeinoin (ks. myös PeVM 12/2010 vp). Rekisteröidyllä olisi sen sijaan käytössään Euroopan ihmisoikeussopimuksen tulkintakäytännöstä johtuvat vaatimukset täyttävä, tehokas oikeussuojakeino tilanteessa, jossa rekisteröidyn asian käsittely tietosuojavaltuutetun toimistossa on aiheettomasti viivästynyt passiivisuustilanteessa. Määräaikaa koskevalla säännöksellä ja sillä, että valituksen katsottaisiin kohdistuvan suoraan asian käsittelyä koskevaan kielteiseen päätökseen, lisäksi varmistettaisiin, että oikeussuojakeino on myös tosiasiallisesti käytettävissä. Vaikka tietosuojavaltuutetulle ei ehdoteta edelleenkään ehdotonta määräaikaa asioiden ratkaisulle tai käsittelylle, vaan tietosuojavaltuutettu voisi tarvittaessa ilmoittaa kuhunkin yksittäistapaukseen soveltuvan arvion päätöksen antamisajankohdasta, esitys korjaisi tilannetta suhteessa nykytilaan. Esityksellä arvioidaan siten olevan myönteistä vaikutusta rekisteröidyn oikeuksien toteutumiseen ja oikeusturvaan niissä tilanteissa, joissa rekisteröity ei ole saanut tietosuoja-asetuksen 78 artiklan 2 kohdassa tai rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdassa tarkoitettua vastausta.

Ehdotettu oikeussuojakeino ei vaikuttaisi rekisteröidyn oikeuteen hakea muutosta päätökseen, jolla tietosuojavaltuutettu on ratkaissut rekisteröidyn kantelun. Ehdotettu oikeussuojakeino ei myöskään vaikuttaisi siihen, että rekisteröidyllä on aina tuomioistuimeen tehtävän valituksen sijasta mahdollisuus tehdä tietosuojavaltuutetulle asian ratkaisua tai käsittelyn etenemistä koskeva tiedustelu, johon tietosuojavaltuutetulla on velvollisuus vastata hallintolain mukaisesti. Rekisteröidyn käytettävissä olisi edelleen oikeus kannella ylimmille laillisuusvalvojille sellaisista tietosuojavaltuutetun laiminlyönneistä, joista ei voi valittaa hallinto-oikeuteen. Tällaisia tilanteita voivat olla esimerkiksi neuvontavelvollisuuden laiminlyönti tai laiminlyönti vastata tiedusteluihin muissa kuin edellä mainituissa artikloissa tarkoitetuissa asioissa.

Oikeudenkäyntimaksu ei käytännössä vaikuttaisi juurikaan rajoittavasti oikeussuojakeinon saatavuuteen. Hallinto-oikeuden oikeudenkäyntimaksu on vuonna 2023 suuruudeltaan 270 euroa. Oikeudenkäyntimaksua ei tuomioistuinmaksulain (1455/2015) 7 §:n mukaan peritä oikeusapulain nojalla käsittelymaksuista vapautetuilta eikä siinä tapauksessa, että maksun periminen olisi ilmeisen kohtuutonta. Tuomioistuinmaksulain 9 §:n mukaan oikeudenkäyntimaksua ei peritä myöskään siinä tapauksessa, että hallinto-oikeus tai korkein hallinto-oikeus muuttaa valituksenalaista päätöstä muutoksenhakijan eduksi. Oletettavasti monet passiivisuusvalituksia koskevat asiat tulisivat raukeamaan, mikäli tietosuojavaltuutettu ehtisi korjata laiminlyöntinsä asian ollessa vireillä hallintotuomioistuimessa. Tuomioistuinmaksulain mukaan asian raukeaminen ei ole sellaisenaan peruste maksuttomuudelle, mutta maksun periminen raukeamistilanteessa johtaisi siihen, että oikeudenkäyntimaksuja mahdollisesti perittäisiin asioissa, joissa tuomioistuin todennäköisesti olisi päätynyt muuttamaan asiaa valittajan eduksi, jos asia ei olisi rauennut. Tilanteessa, jossa valituksen käsittely raukeaa viranomaisen korjattua laiminlyöntinsä, hallinto-oikeudella olisi kuitenkin mahdollisuus jättää oikeudenkäyntimaksu perimättä sillä perusteella, että oikeudenkäyntimaksun periminen olisi ilmeisen kohtuutonta. Tätä tulkintaa tukevat myös tuomioistuinmaksulain esityöt. Tuomioistuinmaksulakia koskevassa hallituksen esityksessä (HE 29/2015 vp, s. 49) todetaan, että maksu perittäisiin vastaisuudessa täysimääräisenä, vaikka asia raukeaisi tai jäisi tutkimatta. Kuitenkin kohtuuttomissa yksittäistapauksissa maksun määrääjä voisi lain 7 §:n 2 momentin nojalla päättää, ettei maksua peritä. Lainkohta voisi tulla sovellettavaksi esimerkiksi tapauksessa, jossa viranomaisen antaa kesken valitusprosessin päätöksen, jolloin valituksen käsittely raukeaa.

Rekisteröidyn kannalta on tärkeää, että tietosuojavaltuutetun toiminta on tehokasta ja viivytyksetöntä. Ehdotuksella olisi myönteisiä vaikutuksia kansalaisten luottamukseen, yhdenvertaisuuteen, tasa-arvoisuuteen ja tuloksellisuuteen. Ehdotetun oikeussuojakeinon tavoitteena on edistää sellaista hallintokulttuuria, jossa käsittelyaikoihin kiinnitetään riittävää huomiota ja käsittelyn joutuisuus mielletään toiminnan keskeiseksi laatu- ja oikeusturvatekijäksi. Oikeussuojakeinon lisääminen lakiin ei kuitenkaan vaikuttaisi laajemmin rakenteellisiin käsittelyn viipymisongelmiin. Siihen, miten tehokkaasti rekisteröidyt pystyvät käyttämään oikeuksiaan ja saavat oikeussuojaa, vaikuttavat ennen kaikkea riittävät resurssit kohtuullisten käsittelyaikojen saavuttamiseksi. Tätä edellyttää myös perustuslain 22 §:ssä oleva säännös julkisen vallan velvollisuudesta turvata perus- ja ihmisoikeuksien toteutuminen.

Taloudelliset vaikutukset ja vaikutukset viranomaisiin

Ylimmät laillisuusvalvojat

Oikeuskanslerille tehtyjä kanteluita tuli vuonna 2022 vireille 2162, joista 1654 otettiin tarkempaan laillisuusvalvonnalliseen arviointiin, ja kanteluiden kokonaismäärä on ollut 2088–2844 vuosina 2018–2021.Tietosuojavaltuutettua koskevia kanteluita kirjattiin 12 vuonna 2022, kun lukumäärät vuosina 2018–2021 vaihtelivat, ollen 4–25. Eduskunnan oikeusasiamiehelle tehtiin yhteensä 5561–7651 kantelua vuosina 2018–2021. Sellaisia kanteluita, joissa vähintään yksi kantelun kohteista oli tietosuojavaltuutettu, tuli vireille vuonna 2022 yhteensä 18. Tällaisia kanteluita oli 5–23 vuosina 2018–2021. Ylimpien laillisuusvalvojien käsittelemien kanteluiden lukumäärät sisältävät myös muita kuin käsittelyn viipymistä tai käsittelyaikaa koskevia asioita. Käsittelyn viipymistä tai käsittelyaikaa koskevia kanteluita on kuitenkin tehty vuosittain useita erityisesti vuodesta 2020 alkaen.

Vireille tulleiden tai ratkaistujen kanteluasioiden lukumääristä ei pysty sellaisenaan tekemään varmoja johtopäätöksiä mahdollisen käsittelyn viipymiseen liittyvän ongelman laajuudesta tai ehdotettujen lainmuutosten vaikutuksista, ottaen huomioon sen, että kaikki rekisteröidyt eivät kantele asiasta. Tilastojen perusteella voidaan kuitenkin esittää suuntaa antavia arvioita, ja johtopäätösten tukena voidaan käyttää annettujen ratkaisujen kvalitatiivista arviointia. Tarkastelluista ylimpien laillisuusvalvojien käsittelemistä kanteluista suurin osa on tietosuojavaltuutetun osalta koskenut asian käsittelyaikaa, kun taas ylimpien laillisuusvalvojien käsiteltävänä on vain harvoin ollut sellaisia kanteluita, jotka ovat koskeneet tilanteita, joissa rekisteröity ei ole saanut ollenkaan vastausta tietosuojavaltuutetulta kolmen kuukauden kuluessa.

Ehdotetulla oikeussuojakeinolla olisi välillistä vaikutusta ylimpien laillisuusvalvojien työmäärään. Tuomioistuimenettely korvaisi jatkossa ylimmälle laillisuusvalvojalle tehtävän kantelun tietosuojavaltuutetun passiivisuustilanteessa. Ylimmät laillisuusvalvojat käsittelisivät kuitenkin edelleen muita tietosuojavaltuutetun laiminlyöntejä koskevia kanteluita. Erityisesti ehdotettujen säännösten soveltamisen alkuvaiheessa voi syntyä tarvetta tulkintakäytännölle siitä, miten tuomioistuinten ja ylimpien laillisuusvalvojien toimivalta tarkemmin jakautuu. Ylimpien laillisuusvalvojien käsiteltäväksi tulevista tietosuojavaltuutettua koskevista kanteluasioista jäisi pois vuosittain ainakin osa nykyisestä arviolta 5–20 kanteluasiasta. Vaikka näistä kanteluista vain harva on koskenut passiivisuustilanteita, ehdotetuilla muutoksilla voi olla rajaavaa vaikutusta myös muiden käsittelyn kestoa koskevien kanteluasioiden käsittelyyn. Ehdotetuilla muutoksilla ei ole kuitenkaan ylimmille laillisuusvalvojille henkilöstövaikutuksia tai muita suoria taloudellisia vaikutuksia. Resursseja voidaan myös suunnata vapautuvilta osin muihin laillisuusvalvontatehtäviin kuten omien aloitteiden tutkintaan ja tarkastustoimintaan. Koska ehdotus ei koske laajemmin muita hallintoviranomaisia, vaikutukset ylimpien laillisuusvalvojien työmäärään jäisivät kokonaisuutena vähäisiksi.

Tietosuojavaltuutettu

Ehdotettujen uutta oikeussuojakeinoa koskevien säännösten sekä tietosuojalain 15 §:n muutoksen tavoitteena on edistää yleisesti asioiden käsittelyä kohtuullisessa ajassa. Ehdotetut määräaikaa koskevat tietosuojalain ja rikosasioiden tietosuojalain säännökset aiheuttaisivat tietosuojavaltuutetulle tarvetta tarkistaa asiainhallintaa koskevia käytäntöjä sekä ohjeita rekisteröidylle annettavasta vastauksesta. Asiainhallintaa koskevien käytäntöjen tarkistaminen voisi edellyttää myös tietojärjestelmämuutosta. Tietojärjestelmämuutoksesta seuraavat kertaluonteiset kustannukset olisi katettava valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista. Ehdotuksesta seuraisi lisätyötä, joka aiheutuisi päätöksen arvioitua antamisajankohtaa koskevista ilmoituksista. Lisätyö seuraisi siitä, että voimassa olevasta hallintolain vaatimuksesta poiketen käsittelyaikaa koskeva arvio ilmoitettaisiin oma-aloitteisesti ilman rekisteröidyn pyyntöä. Jo nykyisin rekisteröidylle on kuitenkin ilmoitettava vähintään asian etenemisestä kolmen ensimmäisen kuukauden aikana, ja käsittelyaikaa koskeva arvio katsottaisiin asian etenemistä koskevaksi ilmoitukseksi. Säännökset eivät kuitenkaan vaikuttaisi suoraan asian käsittelyaikoihin, koska tietosuojavaltuutetulla ei olisi edelleenkään lakisääteistä velvollisuutta ratkaista asioita kolmen kuukauden kuluessa. Alustavan arvion mukaan ehdotuksesta aiheutuva välitön pysyvä lisätyön määrä vastaisi kokonaisuutena 1 henkilötyövuotta, joka katettaisiin vuoden 2024 talousarviossa (momentti 25.01.03). Arvioon liittyy kuitenkin epävarmuutta, koska tietosuojavaltuutetun työmäärässä on havaittu vuonna 2023 kasvua. Lisätyövaikutusta on seurannut myös muista lainmuutoksista. Muista syistä syntyneitä vaikutuksia ja ehdotettujen lainmuutosten vaikutuksia voi toisaalta olla vaikea erotella.

Ehdotettu 15 §:n muutos lisäksi vapauttaisi tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen resursseja siten, että niitä voitaisiin kohdentaa aiempaa tarkoituksenmukaisemmalla tavalla enemmän oikeudellista harkintaa edellyttävien asioiden käsittelyyn ja ratkaisuun. Samalla muutos antaisi tietosuojavaltuutetulle mahdollisuuden järjestää toimiston työtä nykyistä tehokkaammin.

Tietosuojavaltuutetun toimistoon tulee vuosittain vireille noin 11 000 asiaa. Vireille tulevien asioiden kokonaislukumäärä sisältää kanteluiden lisäksi myös muita asioita kuten erilaisia tiedusteluja, joiden johdosta ei ole tarpeen tehdä hallintopäätöstä. Asioita, joissa lain soveltamiskäytäntö on joiltakin osin vakiintunut, ovat esimerkiksi terveydenhuollon sektorilla rekisteröidyn pyynnöt potilaskertomuksiin sisältyvien kuvasten tai lääkärin diagnoosien muuttamiseksi, sekä henkilötietojen tietoturvaloukkauksia koskevat ilmoitukset. Terveydenhuollon sektorilla on tullut vuosittain vireille 1878–2450 asiaa vuosina 2018–2022. Tietoturvaloukkauksia koskevat ilmoitukset muodostavat tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Henkilötietojen tietoturvaloukkauksia koskevia ilmoituksia on tullut vuosittain vireille 2220–5446 vuosina 2018–2022. Vuosien 2019–2021 aikana ilmoitusten käsittelyprosessia on jo kehitetty ja tehostettu muun muassa ottamalla käyttöön vakiovastaus niiden tietoturvaloukkausten osalta, jotka todennäköisesti eivät johda jatkotoimenpiteisiin. Siltä osin kuin ilmoitusten johdosta on tehtävä hallintopäätös, sovellettava menettely on kuitenkin tietosuojalain 15 §:n mukaisesti esittelymenettely.

Edellä mainittujen tilastojen valossa ehdotetun 15 §:n muutoksen vaikutukset tietosuojavaltuutetun toimistolle olisivat merkittäviä jo pelkästään henkilötietojen tietoturvaloukkauksia koskevien ilmoitusten osalta, kun ilmoitusten johdosta tehtäviä toistuvaisluontoisia hallintopäätöksiä koskeva menettely tehostuisi. Alustavan arvion mukaan ehdotetun 15 §:n säännöksen mukaista ratkaisuvallan siirtoa voisi myös soveltaa useaan kymmeneen prosenttiin vireille tulevista terveydenhuollon sektoria koskevista asioista. Tietosuojavaltuutetun toimiston voimassa olevassa työjärjestyksessä on mahdollistettu esittelijöille vain rajallisesti ratkaisuvaltaa. Koska työjärjestyksessä on kyse asioista, joissa ei yleensä tehdä hallintopäätöstä, ehdotetuilla lainmuutoksilla ei olisi vaikutusta kyseisiin asioihin.

Kun valtuutettujen resursseja ei olisi tarpeen käyttää sellaisten asioiden käsittelyyn ja ratkaisuun, joissa lain soveltamiskäytäntö on vakiintunut, lainmuutoksella olisi menettelyä nopeuttavaa ja käsittelyn viiveitä vähentävää vaikutusta erityisesti niissä asiaryhmissä, joita muutos koskisi. Koska nämä ovat lukumäärällisesti merkittäviä suhteessa vuosittain vireille tulevien asioiden kokonaismäärään, muutoksilla olisi myös laajemmin tietosuojavaltuutetun työtä tehostavaa vaikutusta.

Tietosuojavaltuutetun toimisto on toteuttanut jo aiemmin useita toimenpiteitä, joiden tarkoituksena on ollut tehostaa asianhallintaa ja nopeuttaa asioiden käsittelyä. Lainsäädännön muutosten vaikutuksia tietosuojavaltuutetun työmäärään olisi siten seurattava edelleen kokonaisuutena.

Hallinto-oikeudet

Ehdotetuilla tietosuojalain ja rikosasioiden tietosuojalain muutoksilla olisi lisätyötä aiheuttavaa vaikutusta hallinto-oikeuksille. Ehdotettu sääntely ei sisältäisi erityisiä säännöksiä, joiden nojalla rekisteröidyn olisi esimerkiksi ensin esitettävä tietosuojavaltuutetulle kiirehtimispyyntö tai vaadittava asian ratkaisua. On kuitenkin odotettavissa, että suurin osa rekisteröidyistä olisi ensisijaisesti yhteydessä tietosuojavaltuutettuun nykyiseen tapaan sen selvittämiseksi, miten asian käsittely etenee sen sijaan, että he saattaisivat asian suoraan hallinto-oikeuden käsiteltäväksi. On myös mahdollista, että tietosuojavaltuutettu ehtii korjata laiminlyöntinsä kesken hallinto-oikeuden käsittelyn, jolloin rekisteröidyllä ei olisi enää oikeussuojan tarvetta passiivisuuden osalta. Tällaisessa tilanteessa voisi tulla kyseeseen asian raukeaminen hallinto-oikeudessa. Tietosuojalain 21 §:n 2 momentti, jonka mukaan tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa, ei rajoittaisi tietosuojavaltuutetun mahdollisuutta korjata havaitsemaansa tai tietoonsa tullutta passiivisuusvalitustilannetta.

Hallinto-oikeuksille aiheutuvaan lisätyön määrään liittyy epävarmuutta. Nykyisin ylimpien laillisuusvalvojien käsittelemien tietosuojavaltuutettua koskevien kanteluiden kokonaismäärä on kuitenkin vaihdellut muutaman kantelun ja reilun kahdenkymmenen vuosittaisen kantelun välillä. Näistä ei voida vetää suoria johtopäätöksiä siitä, miten monta valitusta voisi vuosittain tulla hallinto-oikeuksien käsiteltäväksi ehdotettujen säännösten tarkoittamissa tilanteissa. Valitukset jakautuisivat kuitenkin kaikkiin alueellisiin hallinto-oikeuksiin. Lisäksi osa valitusasioista voisi raueta sen johdosta, että tietosuojavaltuutettu on ehtinyt korjata laiminlyönnin. Siten yksittäiselle hallinto-oikeudelle ei arvioida seuraavan merkittävästi lisätyötä suhteessa vuosittain käsiteltävien valitusasioiden kokonaismäärään. Ehdotettujen lainmuutosten vaikutuksia hallinto-oikeuksiin on kuitenkin tarpeen seurata niiden soveltamisen ensimmäisten vuosien aikana. Korkeimmalle hallinto-oikeudelle aiheutuva lisätyö riippuisi siitä, missä määrin hallinto-oikeuksien päätöksiin haettaisiin valituslupaa. Esityksestä aiheutuva lisätyö olisi katettava olemassa olevista valtion talouden kehyspäätösten ja valtion talousarvion mukaisista määrärahoista.

Hallintoasioiden asianmukaisen käsittelemisen ja muutoksenhakujärjestelmän tarkoituksenmukaisuuden kannalta hallintotuomioistuimen käsiteltäväksi tulisi ohjautua vain asioita, joissa asiaa on ensin selvitetty riittävästi hallintoviranomaisessa. Myös ehdotetun sääntelyn lähtökohtana on edelleen, että hallintoasian selvittämisen ja päätöksen tekemisen olisi sujuttava ilman aiheetonta viivytystä hallintoviranomaisessa.

Muut viranomaisvaikutukset ja vaikutukset elinkeinoelämään

Henkilötunnuksen käsittelyä koskevalla ehdotuksella olisi vaikutuksia myös muille kuin edellä mainituille viranomaisille sekä elinkeinoelämään. Vaikutukset riippuvat siitä, minkälaiset rekisteröidyn tunnistamiskäytännöt ja dokumentointikäytännöt organisaatiolla on nykyisin käytössä. Digi- ja väestötietoviraston tilaamassa selvityksessä (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021) kartoitettiin, miten henkilötunnusta käytetään tunnistamiseen eri asiointimuodoissa. Selvitys koski julkista, yksityistä ja kolmatta sektoria. Näihin sisältyivät apteekki- ja kemikaalitavaroiden vähittäiskaupan, julkisen hallinnon, koulutuksen, rahoitus- ja vakuutustoiminnan, sosiaali- ja terveydenhuollon, sähkö-, kaasu- ja lämpöhuollon sekä jäähdytysliiketoiminnan (energiateollisuuden) toimialat. Selvitys ei kuitenkaan kata kaikkia yhteiskunnan alueita. Raportin mukaan henkilötunnusta käytetään laajalti osana asiakkaan tunnistamista, mutta kuitenkin ainoastaan harvoin yksinään. Sähköisessä asiointitilanteessa yleisin tapa tunnistaa asiakas on vahva sähköinen tunnistaminen. Puhelinasioinnissa yleisin keino asiakkaan tunnistamiseen on kysyä henkilötunnus ja muita tarkentavia tietoja. Käyntiasioinnissa yleisin tapa tunnistaa asiakas on virallinen asiakirja, kuten passi tai henkilökortti. Raportin mukaan puhelinasioinnissa ilmeni joitakin tapauksia, joissa asiakas tunnistetaan pelkän henkilötunnuksen avulla, esimerkiksi apteekkialalla ja sosiaali- ja terveydenhuollon alalla. Syinä henkilötunnuksen käytölle ainoana asiakkaan tunnistustekijänä nähdään muun muassa helppous, matalat kustannukset, koettu luotettavuus, puuttuvat lisätiedot tai asiakkaiden valmiuksien puute ottaa vaihtoehtoisia tunnistustapoja käyttöön. Lisäksi esimerkiksi apteekkialalla ja sosiaali- ja terveydenhuollon alalla henkilötunnus vaaditaan asiakkaan tietoihin pääsemiseksi. Ehdotettu muutos vaikuttaisi mainittuihin aloihin lähinnä siten, että puhelinasioinnin yhteydessä suoritettavien tunnistuskäytäntöjen ohjeistukset olisi tarkistettava.

Vaikutustenarvioinnissa on hyödynnetty Digi- ja väestötietoviraston teettämän selvityksen lisäksi oikeusministeriön saamaa lausuntopalautetta, joka kattaa laajemmin sellaisia toimijoita, jotka eivät olleet mukana selvityksessä. Lausuntopalaute tukee pääosin selvityksessä esitettyjä arvioita, joskin yksittäiset lausunnonantajat pitivät vaikutuksia merkittävämpinä. Osa lausunnonantajista kuitenkin katsoo, että arviointia vaikeuttaa se, että yksilöinnin ja tunnistamisen sekä henkilöllisyyden todentamisen ja varmentamisen käsitteitä ei ole kattavasti määritelty lainsäädännössä ja niitä myös käytetään yhteiskunnassa epäjohdonmukaisesti. Lainmuutosten vaikuttavuuden arvioinnissa on huomioitu se, että tietosuojalainsäädännön säännökset koskevat pelkästään henkilötunnuksen käsittelyä, eivät laajemmin esimerkiksi tunnistamismenettelyitä.

Vaikutukset kohdistuvat erityisesti niin sanottuihin heikkoihin tunnistamistilanteisiin, joissa asiakkaan henkilöllisyyttä ei yleensä todenneta luotettavana pidettävästä lähteestä kuten henkilöllisyyden osoittavasta virallisesta asiakirjasta. Vaikutusten arvioidaan olevan merkittävämpiä erityisesti pienten organisaatioiden osalta, jos niiden asiakasrekistereissä ei ole suurta määrää tietoja asiakkaista. Lisäksi ehdotus voisi vaikuttaa yksittäisten viranomaisten tai muiden organisaatioiden tarpeeseen arvioida rekisterinpitäjänä sitä, millä tavalla se voisi osoittaa noudattaneensa henkilötunnuksen käsittelyssä tietosuoja-asetuksen ja rikosasioiden tietosuojalain mukaisia henkilötietojen käsittelyä koskevia vaatimuksia. Tämä voisi myös joissakin tapauksissa aiheuttaa tarpeen tarkistaa tietosuoja-asetuksen 30 artiklassa ja rikosasioiden tietosuojalain 18 §:ssä tarkoitettua selostetta käsittelytoimista, huomioiden myös henkilötunnuksen käsittelytarkoituksen. Koska ehdotus ei kuitenkaan muuttaisi osoitusvelvollisuuden laajuutta eikä tarkoittaisi nykyistä yksityiskohtaisempia dokumentointivelvoitteita, vaikutusten arvioidaan jäävän vähäisiksi. Vaikutukset voisivat olla merkittävämpiä siinä tapauksessa, että rekisterinpitäjä ei ole huolehtinut osoittamisvelvollisuuden kannalta riittävästä dokumentoinnista siten kuin tietosuojalainsäädäntö jo nykyisin edellyttää.

Tietosuojavaltuutettu valvoo tietosuoja-asetuksen 55–59 artiklassa, tietosuojalaissa ja rikosasioiden tietosuojalaissa säädettyjen tehtävä- ja toimivaltuuksien perusteella rekisterinpitäjän ja henkilötietojen käsittelijän suorittamaa henkilötunnuksen käsittelyä. Tietosuoja-asetus mahdollistaa esimerkiksi huomautuksen antamisen rekisterinpitäjälle tai määräyksen antamisen rekisterinpitäjälle saattaa käsittelytoimet lainmukaisiksi. Lisäksi tietosuojalainsäädäntö mahdollistaa yksityissektorin rekisterinpitäjien ja henkilötietojen käsittelijöiden osalta hallinnollisen seuraamusmaksun määräämisen. Tietosuojavaltuutetun toimistolle osoitetut kantelut ja yhteydenotot, jotka koskevat henkilötunnuksen käyttämisestä yksinomaisena tietona henkilön tunnistamisessa, ovat vähäisiä. Tietosuojavaltuutetun toimisto vastaanottaa vuosittain joitakin tällaisia yhteydenottoja. Erityisesti niissä tilanteissa, joissa rekisterinpitäjä katsoo tarpeelliseksi tarkistaa selosteita käsittelytoimistaan tai arvioida muuten käytäntöjään, uudet säännökset voisivat aiheuttaa joitakin yhteydenottoja. Koska ehdotetut säännökset vastaavat tietosuojavaltuutetun ohjeistusta, tietosuojavaltuutetulle ehdotuksesta seuraavan mahdollisen lisätyön arvioidaan kuitenkin jäävän vähäiseksi.

Esitys lisäisi joillakin aloilla puhelinasioinnin yhteydessä kysyttävien tunnistustietojen määrää, millä olisi vähäisiä vaikutuksia asiakaspuhelujen kestoon niitä pidentävästi. Koska henkilötunnusta käytetään jo nykyisin ainoastaan harvakseltaan yksinomaan rekisteröidyn tunnistamiseen, esityksellä ei arvioida olevan merkittäviä vaikutuksia viranomaisiin tai elinkeinoelämään.

Vaikutukset perusoikeuksien ja henkilötietojen suojaan

Tietosuojalaissa ja rikosasioiden tietosuojalaissa ei ole tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin edellyttämää säännöstä oikeudesta oikeussuojakeinoihin tuomioistuimessa tilanteessa, jossa tietosuojavaltuutettu ei ota valitusta käsiteltäväksi tai anna rekisteröidylle vähintään ilmoitusta asian etenemisestä. Ehdotettujen lainmuutosten tavoitteena on panna täytäntöön tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin säännökset puuttuvilta osin siten, että rekisteröidyn oikeudet toteutuvat säännösten edellyttämällä tavalla myös näissä tilanteissa. Rekisteröidyn käytettävissä olisi tehokas oikeussuojakeino, joka yhdessä ehdotetun määräaikaa koskevan säännöksen kanssa vaikuttaisi myönteisesti perusoikeuksien ja henkilötietojen suojaan tietosuojavaltuutetun passiivisuustilanteessa.

Ehdotetulla tietosuojalain 15 §:llä arvioidaan olevan oikeusturvaa sekä välillisesti myös henkilötietojen suojaa ja rekisteröidyn oikeuksia edistävää vaikutusta. Vaikutukset syntyisivät siitä, että tietosuojavaltuutetun toimiston ratkaisumenettely nopeutuisi eräissä asiaryhmissä, mikä vapauttaisi samalla resursseja enemmän oikeudellista harkintaa edellyttävien asioiden käsittelyyn. Muutos tukisi perustuslain 21 §:ssä ja hallintolain 23 §:ssä turvattua oikeutta viivytyksettömään käsittelyyn. Viivytyksetön käsittely samalla edistää rekisteröidyn mahdollisuuksia käyttää tietosuoja-asetuksen ja rikosasioiden tietosuojalain mukaisia oikeuksiaan tehokkaammin.

Henkilötunnuksen käsittelyä koskevalla ehdotuksella olisi myönteisiä vaikutuksia henkilötietojen ja yksityiselämän suojaan ja sillä vahvistettaisiin perustuslain 10 §:ssä ja Euroopan unionin perusoikeuskirjan 7 ja 8 artiklassa turvattuja oikeuksia. Yksinomaan henkilötunnuksen tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmän käyttäminen rekisteröityä tunnistettaessa kiellettäisiin. Ehdotus madaltaisi riskiä joutua identiteettivarkauden uhriksi, koska henkilötunnuksella tai henkilötunnuksen ja nimen yhdistelmällä ei voisi salasanan omaisesti enää esittää väitettä henkilöllisyydestä. Sillä parannettaisiin erityisesti salassapitovelvollisuuden alaisten henkilötietojen suojaa vaikeuttamalla mainittujen tietojen hankkimista oikeudettomasti. Ehdotuksella ei kuitenkaan poistettaisi kokonaan identiteettivarkauden riskejä, vaan identiteettivarkauksien osalta tavoitteen toteutuminen on riippuvainen siitä, että henkilötunnuksen ja nimen lisäksi tunnistamistarkoituksessa käytetyt muut tiedot eivät ole muiden henkilöiden tiedossa tai selvitettävissä. Tavoitteen toteutumisen kannalta on myös oleellista, että korkean riskin tilanteissa luonnollinen henkilö tunnistetaan muulla, luotettavammalla tavalla.

Rikosasioiden tietosuojalain 13 §:n täsmentämisellä olisi henkilötietojen suojaa ja erityisesti rekisteröidyn oikeuksia edistävää vaikutusta, sillä täsmennyksellä korostettaisiin rekisteröidyn oikeutta olla joutumatta yksinomaan automatisoidun profiloinnin perusteella tehtyjen päätösten kohteeksi, jollei laissa toisin säädetä.

Vaikutukset yhdenvertaisuuteen

Tietosuoja-asetus edellyttää, että jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Vastaavasti rikosasioiden tietosuojadirektiivin mukaisen oikeussuojan tulisi olla rekisteröidyn saatavilla asuinjäsenvaltiosta riippumatta. Hallituksen esityksellä lisättäisiin Suomen oikeusjärjestelmään siitä tällä hetkellä puuttuva tietosuojalainsäädännön edellyttämä oikeussuojakeino. Ehdotus saattaisi siten Suomessa asuvat rekisteröidyt tältä osin yhdenvertaiseen asemaan niissä EU:n jäsenvaltioissa asuvien rekisteröityjen kanssa, joissa oikeussuojakeino on jo toteutettu.

Perustuslain 6 § edellyttää ihmisten yhdenvertaisuutta lain edessä. Myös hallintolain 6 §:n mukaan hallinnossa asioivia on kohdeltava tasapuolisesti ja viranomaisilta edellytetään puolueettomuutta. Ehdotettu uusi oikeussuojakeino olisi yhdenvertaisesti rekisteröityjen käytettävissä.

Sähköinen asiointi on lisääntynyt ja henkilötunnuksen käsittelyä koskeva ehdotus voisi kannustaa joissakin tapauksissa nykyistä enemmän sähköisen asioinnin ja vahvan sähköisen tunnistamisen käyttöä erityisesti sellaisissa tilanteissa, joissa henkilötietojen käsittelyyn arvioidaan liittyvän erityisiä riskejä. Tällaisissa tilanteissa ehdotettu lainmuutos voisi vaikeuttaa sellaisten ikääntyneiden henkilöiden, alaikäisten ja muiden henkilöiden asiointia, jotka eivät käytä digitaalisia palveluja. Ehdotuksella ei kuitenkaan edellytetä nykyistä laajemmin vahvan sähköisen tunnistamisen tai sähköisen asioinnin käyttöä, eikä myöskään estetä henkilötunnuksen käyttöä yhtenä tietona muiden joukossa henkilöä tunnistettaessa. Vaikutusten arvioidaan siten jäävän vähäisiksi.

Taloudelliset vaikutukset rekisterinpitäjille

Henkilötunnuksen käsittelyn rajoittamista koskevan säännöksen ei arvioida edellyttävän merkittäviä muutoksia rekisterinpitäjien tietojärjestelmiin tai muihin menettelyihin, joihin liittyy henkilötunnuksen käsittelyä. Ehdotuksen tarkoituksena on täsmentää ja selkiyttää lain alkuperäistä tarkoitusta. Ehdotus vastaisi tietosuojavaltuutetun toimiston voimassa olevaa ohjeistusta. Myös käytännössä tilanteet, joissa henkilötunnus on ainoa tai henkilön nimen kanssa ainoa kysyttävä tieto henkilön tunnistamisessa, ovat vähäisiä. Näin ollen henkilötunnuksen käsittelyä koskevalla ehdotuksella ei arvioida olevan merkittäviä taloudellisia vaikutuksia.

5 Muut toteuttamisvaihtoehdot

5.1 Vaihtoehdot ja niiden vaikutukset

Uuden oikeussuojakeinon soveltamisala

Valmistelussa on yhtenä toteuttamisvaihtoehtona arvioitu yleisesti viranomaisiin sovellettavaa sääntelyä oikeussuojakeinosta viivästystilanteisiin. Oikeusministeriön asettama passiivisuustyöryhmä, joka työskenteli vuosina 2007–2008, tarkasteli mietinnössään oikeussuojakeinoja tilanteissa, joissa hallintoviranomainen on laiminlyönyt hallintopäätöksen tekemisen tai hallintopäätöksen tekeminen on viivästynyt (Käsittelyn joutuisuus hallinnossa ja oikeussuojakeinot käsittelyn viivästyessä. Työryhmämietintö 2008:5). Mietinnössä ehdotettiin muun ohella säädettäväksi sellaisista uusista oikeussuojakeinoista, jotka olisivat asianosaisen käytettävissä hänen oikeuttaan, etuaan tai velvollisuuttaan koskevan asian käsittelyn viivästyessä hallinnossa (ns. kiirehtimisvaatimus ja viivästysvalitus). Ehdotettu oikeussuojakeinojen soveltamisala olisi kattanut laajalti käsittelyn kohtuuttoman viipymisen.

Passiivisuustyöryhmän mietinnöstä saadussa lausuntopalautteessa (Oikeusministeriön lausuntoja ja selvityksiä 2009:8) lausunnonantajat suhtautuivat kriittisimmin ehdotukseen hallintotuomioistuimessa käsiteltävästä viivästysvalituksesta. Työryhmän ehdotukseen hallinnon sisäisestä kiirehtimisvaatimusvaiheesta suhtauduttiin lähtökohtaisesti varsin myönteisesti, vaikka myös osaan sen yksityiskohdista kohdistui kritiikkiä. Osa lausunnonantajista koki oikeussuojakeinojen kokonaisuuden perusteltuna ja tarpeellisena, mutta tätä suurempi osa katsoi viivästysvalitusmenettelyn olevan liian raskas ja voivan johtaa tuomioistuinten työmäärän kasvuun. Lisäksi epäiltiin hallinnon ja oikeudenkäytön rajan hämärtyvän. Myös uuden oikeussuojakeinon soveltamisalan laajuudesta ja epäyhtenäisyydestä esitettiin kriittisiä huomioita.

Passiivisuustyöryhmän mietinnöstä saatujen lausuntojen perusteella oikeusministeriössä valmisteltiin keväällä 2012 uusi ehdotus käyttöalaltaan rajoitetummasta viivästysvalitusjärjestelmästä, joka olisi kuitenkin liittynyt laajemmin käsittelyn kestoon pelkän passiivisuustilanteen sijasta. Vaikka lausunnonantajat pitivät esityksen tavoitteita sinänsä kannatettavina, suhtauduttiin ehdotetun sääntelyn käytännön toimivuuteen ja tarpeellisuuteen edelleen varsin varauksellisesti (ks. lausuntotiivistelmä, Oikeusministeriön mietintöjä ja lausuntoja 18/2013). Oikeusministeriö päätyi lausuntopalautteen perusteella tuolloin siihen, että hallinnon oikeussuojajärjestelmän laajentamisen asemasta tarkoituksenmukaisempaa on jättää sääntely hallintoasioiden käsittelyn viivytyksettömyydestä hallintolain varaan ja pyrkiä ratkaisemaan käsittelyn viivästymisestä mahdollisesti aiheutuvia oikeusturvaongelmia hallintoasioiden aineelliset erityispiirteet huomioon ottavassa erityislainsäädännössä (ks. hallituksen esitys eduskunnalle laiksi hallintolain muuttamisesta, HE 50/2013 vp, s. 19–20).

Yleinen oikeussuojakeino viranomaisen käsittelyn viivästystä tai passiivisuutta vastaan on kantelu toimintaa valvovalle viranomaiselle (hallintolain 8 a luku) tai ylimmille laillisuusvalvojille eli eduskunnan oikeusasiamiehelle tai valtioneuvoston oikeuskanslerille. Jos viranomainen laiminlyö hallintopäätöksen tekemisen tai hallintopäätöksen tekeminen viivästyy, asianosaisella ei ole yleensä mahdollisuutta saattaa asiaa tuomioistuimen käsiteltäväksi. Kantelu ylimmille laillisuusvalvojille on katsottu jatkossakin toimivaksi, tarkoituksenmukaisimmaksi, tehokkaimmaksi ja siksi perustelluksi säilyttää käsittelyn viivästystilanteiden osalta.

Viranomaisen viivästys- tai passiivisuustilanteita koskeva oikeussuojakeino hallintotuomioistuimessa olisi kansallisessa oikeusjärjestelmässämme poikkeuksellinen. Voimassa olevaan lainsäädäntöön sisältyvät esimerkit viranomaisen viivästystilanteita koskevista oikeussuojakeinoista liittyvät tilanteisiin, joissa viranomaiselle on säädetty asian ratkaisua koskeva määräaika. Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin säännökset, jotka edellyttävät valvontaviranomaisen passiivisuustilanteen saattamista tuomioistuimen käsiteltäväksi, poikkeavat oleellisesti edellä mainituista esimerkeistä. Tietosuojalainsäädännössä ei säädetä asian ratkaisua koskevasta määräajasta, vaan se edellyttää, että rekisteröidylle ilmoitetaan määräajassa vähintään asian etenemisestä. Oikeussuojakeinon tulee myös poikkeuksellisesti olla käytettävissä tuomioistuimessa tilanteessa, jossa viranomaiselta vähintään edellytettävät käsittelytoimet puuttuvat. Voimassa olevat sääntelyratkaisut viranomaisen viivästystilanteissa eivät siten sellaisenaan sovellu tietosuojalainsäädännössä tarkoitettuihin passiivisuustilanteisiin, vaan niissä omaksuttua sääntelyratkaisua on tarpeen mukauttaa tietosuojavaltuutettua koskevissa säännöksissä. Tästä syystä ja edellä mainituista syistä perustelluimpana toteutusvaihtoehtona pidetään oikeussuojakeinon rajaamista koskemaan ainoastaan tietosuojavaltuutettua sekä tietosuoja-asetuksen 78 artiklan 2 kohdassa ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdassa tarkoitettuja tilanteita eli passiivisuustilanteita.

Kantelu ylimmille laillisuusvalvojille olisi edelleen rekisteröidyn käytössä oleva oikeusturvakeino silloin, kun kyse on sellaisesta viranomaisen lainvastaisesta menettelystä tai velvollisuuden täyttämättä jättämisestä, jota koskevaa vaatimusta tuomioistuin ei ole toimivaltainen käsittelemään. Esimerkiksi rikosasioiden tietosuojadirektiivissä edellytetään tarkistuksen tai tutkinnan etenemisestä ja tuloksista ilmoittamisesta kohtuullisessa ajassa (direktiivin 46 artikla). Nämä vaatimukset on pantu täytäntöön rikosasioiden tietosuojalain 29 §:ssä ja 57 §:n 1 momentissa.

Viivästys- tai passiivisuusasian käsittelyyn liittyviä kysymyksiä

Valmistelussa on arvioitu tarpeellisuutta säätää kiirehtimisvaatimuksen tai muun tiedustelun esittäminen tietosuojavaltuutetulle edellytykseksi saattaa kysymys laissa säädetyn määräajan ylittymisestä tuomioistuimen käsiteltäväksi. Passiivisuusasian käsittelyn ei kuitenkaan tulisi aiheuttaa rekisteröidylle, tietosuojavaltuutetulle eikä tuomioistuimille tarpeetonta lisätyötä. Koska menettelyn tulisi olla mahdollisimman selkeä kaikille osallisille, tällaista välivaihetta ei pidetty tarkoituksenmukaisena. Siihen liittyisi myös riski, että säännökset eivät olisi EU-oikeuden mukaisia. Rekisteröity voi lähestyä tietosuojavaltuutettua tiedustellakseen asiansa käsittelyn vaihetta ilman laissa säädettyä velvoitettakin ennen kuin hän ottaa yhteyttä tuomioistuimeen. Todennäköistä on, että mahdollinen asian käsittelyssä tapahtunut laiminlyönti taikka muu erehdys tai laiminlyönti ratkeaa jo tällaisen vapaamuotoisen yhteydenoton perusteella, eikä oikeusturvan tarvetta panna asiaa vireille tuomioistuimessa ole lainkaan.

Hallinto-oikeuksien käsittelyjärjestyksen osalta valmistelussa on arvioitu, tulisiko tietosuojavaltuutetun passiivisuustilanne saattaa vireille hallintoriita-, hakemus- vai valitusasiana. Passiivisuustyöryhmä ehdotti, että viivästysvalitus olisi käsitelty hallintoriita-asioiden järjestyksessä. Hallintoriidan käyttöalaa ovat erilaiset julkisoikeudelliset maksuvelvollisuudet, korvaukset ja hyvitykset taikka muut oikeussuhteen sisältöä, laajuutta tai voimassaoloa koskevat erimielisyydet (ks. esim. Mäenpää 2018, s. 960–964).

Oikeudenkäynnistä hallintoasioissa annettua lakia valmisteltaessa on katsottu, että hallintoriita ei olisi käytettävissä silloin, kun viranomainen ei ole tehnyt toimivaltaansa kuuluvaa valituskelpoista hallintopäätöstä tai hallintopäätöksen tekeminen on viivästynyt (HE 29/2018 vp, s. 91). Tämä kanta on otettu myös oikeuskäytännössä asioissa, joissa käsiteltävässä asiassa on saatavissa toimivaltaisen viranomaisen ratkaisu (esim. KHO 2016:85; KHO 2008:38; KHO 2007:22). Ehdotettu oikeussuojakeino olisi käytettävissä asiassa, jossa viranomainen ei vielä ole tehnyt pääasiassa ratkaisua, jolloin se ei luonteeltaan vertaudu erityisen hyvin hallintoriita-asioina tyypillisesti käsiteltäviin asiaryhmiin. Näillä perusteilla tässä esityksessä on päädytty siihen, että hallintoriita ei olisi myöskään tarkoituksenmukainen tietosuojalainsäädännön täytäntöönpanon kannalta. Valmistelussa on arvioitu, voisiko kyseeseen tulla hallintoriita-asian sijasta se, että rekisteröidyn vireille panema tietosuojavaltuutetun passiivisuustilannetta koskeva asia käsiteltäisiin hakemusasiana (muuna hallintolainkäyttöasiana) tai valitusasiana. Muita hallintolainkäyttöasioita ovat esimerkiksi hallintotuomioistuimessa käsiteltävät hakemus- ja alistusasiat, joista säädetään erikseen erityislainsäädännössä. Tietosuojalainsäädännön edellyttämän oikeussuojakeinon oleellisena tarkoituksena on varmistaa muutoksen saaminen tilanteeseen, jossa valvontaviranomainen on passiivinen, toisin sanoen käsittelemään asia tai ilmoittamaan rekisteröidylle asian etenemisestä. Tietosuojalainsäädännössä myös edellytetään, että valvontaviranomainen käsittelee asian kohtuullisessa ajassa. Oikeussuojakeinon tehokkuuteen kannalta merkityksellistä on, että sillä voidaan korjata laiminlyönti ja että se on tosiasiallisesti rekisteröidyn käytettävissä. Tietosuojalainsäädäntö lisäksi edellyttää, että oikeussuojakeinon käsittelijänä on tuomioistuin. Oleellista on tarkastella hallinto-oikeuden menettelyn ohella myös sitä, miten ehdotetulla sääntelyllä voidaan edistää sille asetetun tarkoituksen toteutumista eli sitä, että tietosuojavaltuutetun asioiden käsittely sujuisi kohtuullisessa ajassa.

Valmistelussa on päädytty johdonmukaisuussyistä ehdottamaan valitusta tietosuojavaltuutetun passiivisuustilanteeseen sovellettavana oikeussuojakeinona, koska se on viranomaisen viivästystilanteessa käytössä jo edellä mainituissa erityislaeissa, joiden taustalla on muuta EU-lainsäädäntöä. Siten ehdotetuilla säännöksillä ei luotaisi täysin uudenlaista oikeussuojakeinoa, vaikka tietosuojalainsäädännön mukainen oikeussuojan vaatimus ei kohdistu pelkästään päätöksen, vaan myös sitä edeltävien käsittelytoimien puuttumiseen. Esitykseen sisältyvä sääntelyehdotus on tästä tietosuojalainsäädännön vaatimuksesta johtuen Suomen oikeusjärjestelmässä poikkeuksellinen, ja ehdotetuissa säännöksissä joudutaan myös huomioimaan tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin vaatimusten poikkeuksellinen sisältö. Ehdotettu oikeussuojakeino huomioisi tuomioistuinten ja ylimpien laillisuusvalvojien välisen toimivallanjaon. Valitusta on myös vakiintuneesti pidetty tehokkaana oikeussuojakeinona perus- ja ihmisoikeuksien suojaa koskevassa tulkintakäytännössä, ja se täyttäisi yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin vaatimukset. Passiivisuusvalitukseen sovellettaisiin hallintotuomioistuimissa samoja säännöksiä kuin muihin valitusasioihin.

Oikeudenkäynnistä hallintoasioissa annetun lain 6 §:n mukaan valittamalla saa hakea muutosta päätökseen, jolla viranomainen on ratkaissut hallintoasian tai jättänyt sen tutkimatta. Valittamalla ei saa hakea muutosta päätökseen, joka koskee vain asian valmistelua tai täytäntöönpanoa. Valittamalla ei myöskään saa hakea muutosta hallinnon sisäiseen määräykseen, joka koskee tehtävän tai muun toimenpiteen suorittamista. Viranomaisen passiivisuustilanteessa päätöstä ei kuitenkaan ole tehty. Aiemmissa EU-oikeuteen perustuvissa viivästysvalitussäännöksissä päätöksen puuttuminen on rinnastettu yleensä viranomaisen kielteiseen päätökseen, kuten hakemuksen hylkäämiseen.

Jotta valitus olisi mahdollinen tietosuojalainsäädännössä tarkoitettuna oikeussuojakeinona, laissa olisi täsmennettävä, mikä valituksen kohde on. Tietosuojavaltuutetun asian käsittelylle olisi myös asetettava määräaika, jonka laiminlyöntiin valitusoikeus kohdistuisi. Ehdotettu määräaika perustuisi tietosuoja-asetuksessa säädettyyn ajanjaksoon, jonka jälkeen oikeussuojakeinon on oltava käytettävissä. Ehdotetussa oikeussuojakeinossa on lisäksi tarpeen huomioida tietosuojalainsäädännön erityispiirteet ja tietosuojavaltuutetun rooli valvontaviranomaisena. Koska tietosuojalainsäädäntö ei aseta yksiselitteistä määräaikaa asian ratkaisulle, tietosuojavaltuutettu voisi kyseisessä määräajassa joko käsitellä asian tai vaihtoehtoisesti ilmoittaa rekisteröidylle asian etenemisestä, eli arvion päätöksen antamisajankohdasta, ottaen huomioon kyseisen asian laadun ja laajuuden. Tietosuojavaltuutetun passiivisuustilanteessa on kyse siitä, että tietosuojalainsäädännössä edellytetyt ratkaisu tai muut asian käsittelytoimenpiteet puuttuvat kokonaan, toisin sanoen asiaa ei ole otettu käsiteltäväksi. Tällainen passiivisuustilanne ehdotetaan valitusmenettelyn käyttöönottamiseksi rinnastettavaksi asian käsittelyä koskevaan kielteiseen päätökseen.

Tuomioistuimen ratkaisu viivästys- tai passiivisuusasiassa

Oikeudenkäynnistä hallintoasioissa annetun lain 81 §:n mukaan hallintotuomioistuin voi hyväksyä tai hylätä valituksen tai jättää sen tutkimatta kokonaan tai osittain. Päätöksessään tuomioistuin voi pysyttää tai kumota valituksen kohteena olevan päätöksen, palauttaa asian uudelleen käsiteltäväksi, muuttaa valituksen kohteena olevaa päätöstä tai siirtää valituksen toimivaltaiseen viranomaiseen tai tuomioistuimeen. Oikeudenkäynnistä hallintoasioissa annetun lain 81 §:n 2 momentissa säädetään tilanteista, joissa hallintotuomioistuin jättää valituksen tutkimatta. Saman pykälän viimeisen momentin mukaan asian käsittely raukeaa, jos valitus peruutetaan tai siihen on muu vastaava syy. Tällainen muu vastaava syy voisi olla esimerkiksi tilanne, jossa tietosuojavaltuutettu on valituksen vireillä ollessa korjannut passiivisuustilanteen ratkaisemalla asian tai ilmoittamalla rekisteröidylle arvion päätöksen antamisajankohdasta.

Muissa jäsenvaltioissa on käytössä tuomioistuimen määräystä tehostavia keinoja, joita ovat useimmiten määräajan asettaminen tai hallinnollinen sanktio, ja joissakin jäsenvaltioissa on mahdollista maksaa rekisteröidylle korvaus viivästyksen johdosta. Jäsenvaltioiden lainsäädännön vertailun perusteella vaikuttaisi siltä, että määräajan asettaminen asian käsittelylle tai rekisteröidylle tehtävälle ilmoitukselle suoraan laissa olisi toimivampi sääntelyratkaisu kuin tuomioistuimen päätöstä tehostavat keinot. Valitusoikeus kytkeytyisi määräajan laiminlyöntiin. Tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi eivät kuitenkaan edellytä, että asiat olisi ratkaistava kolmessa kuukaudessa, vaikka muutama jäsenvaltio on päätynyt tällaiseen sääntelyratkaisuun. Ehdottoman määräajan asettamisella asian ratkaisulle voitaisiin myös aiheuttaa haittaa asian riittävän perusteelliselle selvittämiselle. Sen sijaan valmistelussa on katsottu, että tarkoituksenmukaisempaa olisi edistää tehokkaampaa ja joutuisampaa asian käsittelyä tietosuojavaltuutetun toimistossa asettamalla nykyisin sovellettavia hallintolain säännöksiä tiukempi velvollisuus arvioida kunkin asian edellyttämiä käsittelytoimenpiteitä siten, että laissa säädettäisiin tietosuojavaltuutetun velvoitteesta ilmoittaa vähintään arvio päätöksen antamisajankohdasta rekisteröidylle oma-aloitteisesti kolmen kuukauden määräajassa. Ehdotuksessa on otettu huomioon laillisuusvalvonnassa esitetyt huomautukset siitä, minkälaista vastausta rekisteröidylle voidaan pitää riittävänä. Ottaen huomioon tietosuojavaltuutetun käsittelytoimille ehdotetun määräajan, sitä, että tuomioistuin voisi asettaa tietosuojavaltuutetulle uuden määräajan päätöksensä tehostamiskeinona, ei pidetä tarpeellisena ehdotetun oikeussuojakeinon kannalta.

Yhtenä vaihtoehtona on myös arvioitu tuomioistuimen mahdollisuutta asettaa uhkasakko päätöksensä tai asettamansa määräajan noudattamisen tehosteeksi. Tätä ehdotettiin passiivisuustyöryhmän mietinnössä, sitä seuranneessa esityksessä vuonna 2012 ja tietosuojalainsäädäntöä valmistelleen TATTI-työryhmän mietinnössä (Oikeusministeriön mietintöjä ja lausuntoja 35:2017). Uhkasakkotehostetta ei kuitenkaan pidetä tarpeellisena, koska valitus on jo sellaisenaan riittävän tehokas oikeussuojakeino tietosuojalainsäädännön tarkoittamien tilanteiden kannalta.

Vastaavalla tavalla on arvioitu, ettei hyvitysmahdollisuus olisi tarkoituksenmukainen päätös-tyyppi passiivisuustilanteisiin (vrt. esim. oikeudenkäynnin viivästymisen hyvittämisestä annettu laki 362/2009). Oikeudenmukaista hyvityksen määrää olisi tässä vaiheessa käytännössä hyvin vaikeaa arvioida, ottaen huomioon tietosuojalainsäädännössä tarkoitetun passiivisuustilanteen luonteen asiana. Esimerkiksi pakollista sosiaalivakuutusta koskevassa lainsäädännössä on säädetty oikeudesta saada rahallista hyvitystä, jos asian käsittely on viivästynyt yli laissa säädetyn määräajan. Näin on myös tapaturma-asioita koskevassa erityislainsäädännössä (ns. viivästyskorotus). Kyse on kuitenkin hyvin eriluonteisista asiaryhmistä, joissa lainsäädäntö turvaa asianosaisen taloudellista toimeentuloa.

Ylimpien laillisuusvalvojien ratkaisukäytännössä on vakiintuneesti katsottu olevan mahdollista, asianosaiseen kohdistuneen loukkauksen sitä edellyttäessä, antaa hyvitysesityksiä, joissa viranomaista on suositeltu hyvittämään aiheuttamansa vahinko. Hyvitys voi olla aineeton toimenpide, kuten pahoittelu tai anteeksipyyntö, tai rahallinen korvaus. Hyvitysesityksillä on tähdätty tapahtuneen virheen hyvittämiseen (esim. EOAK/1503/2022; EOAK/602/2021). Kuten todettua, ylimpien laillisuusvalvojien ratkaisuja kunnioitetaan ja viranomaiset noudattavat niitä. Tämäkin oikeusturvakeino olisi edelleen rekisteröidyn käytettävissä tilanteissa, joita tuomioistuin ei olisi toimivaltainen ratkaisemaan.

Henkilötunnuksen käsittelyn rajoittaminen rekisteröityä tunnistettaessa

Henkilötunnuksen käsittelyn rajoittamista koskevan ehdotuksen vaihtoehtona on arvioitu sitä, että henkilötunnuksen käsittelyä koskevat säännökset voitaisiin jättää nykyisen sääntelyn varaan. Henkilötunnuksen käsittelyä koskeva sääntely ja tunnuksen suojaamiskäytännöt ovat kuitenkin johtaneet tiettyihin ei-toivottuihin seurauksiin. Käytännössä on ilmennyt joitakin tilanteita, joissa henkilötunnusta on käytetty henkilön tunnistamiseen joko yksinomaisena tietona tai yhdistettynä yksinomaan henkilön nimeen. Henkilötunnuksen laajaan käyttöön yhteiskunnassa liittyy myös väärinkäytösriskejä. Lain täsmentämistä on näiden vuoksi pidettävä tarpeellisena.

Henkilötunnuksen käsittely rekisteröityä tunnistettaessa voitaisiin myös kieltää kokonaan ehdottomalla kieltosääntelyllä. Tätä ei kuitenkaan voida pitää perusteltuna ottaen huomioon, että henkilötunnusta käytetään laajalti osana asiakkaan tunnistamista (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021, s. 42). Ehdottomalla kiellolla olisi todennäköisesti merkittäviä ja ennakoimattomia taloudellisia vaikutuksia. Henkilötunnuksen käsittelyn ehdoton kielto saattaisi johtaa myös päinvastaiseen tarkoitukseen, kuten esimerkiksi matalariskisessä käsittelyssä siihen, että henkilötunnuksen sijaan rekisteröity tunnistettaisiin muilla julkisista tietolähteistä saatavilla olevilla henkilötiedoilla.

Henkilötunnuksen käsittelyä rekisteröityä tunnistettaessa voitaisiin rajoittaa myös rekisteröidyn nimen ja henkilötunnuksen yhdistelmän lisäksi muilla henkilötietojen yhdistelmillä, kuten esimerkiksi henkilötunnuksen, rekisteröidyn nimen ja rekisteröidyn vakinaisen osoitteen yhdistelmällä. Yleislainsäädännössä on kuitenkin otettava huomioon myös rekisterit, jotka sisältävät vain joitakin henkilötietoja, ja joihin kohdistuva henkilötietojen käsittely on riskitasoltaan matalaa. Tällaisia voisivat olla esimerkiksi pienten yhdistysten jäsenrekisterit. Näin ollen käsittelyn lisärajoittaminen erilaisilla julkisista tietolähteistä saatavilla olevien henkilötietojen yhdistelmillä voisi johtaa joissakin tapauksissa sellaiseen oikeustilaan, jossa rekisterinpitäjän tulisi kerätä rekisteriin lisää henkilötietoja ainoastaan rekisteröidyn tunnistamisen vuoksi. Tällaista tietojen keräämistä ei voitaisi pitää yhteensopivana tietosuoja-asetuksen tietojen minimointia koskevan periaatteen kanssa.

5.2 Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

EU:n jäsenvaltioiden lainsäädäntö on muuttunut ja yhdenmukaistunut merkittävästi EU:n uudistuneen tietosuojalainsäädännön myötä. Komissio on myös seurannut yleisen tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin täytäntöönpanoa jäsenvaltioissa (komission tiedonannot COM(2020) 264 final, COM(2022) 364 final). Huomioiden EU:n tietosuojalainsäädännön tavoitteen varmistaa mahdollisimman yhtenäinen tietosuojan taso koko unionin alueella, osana esityksen sisältämien ehdotusten valmistelua on vertailtu, millä tavalla muut jäsenvaltiot ovat toteuttaneet tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan edellyttämät tehokkaat oikeussuojakeinot tilanteessa, jossa toimivaltainen valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa sille tehdyn valituksen etenemisestä tai ratkaisusta.

Useat jäsenvaltiot ovat saattaneet tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan edellyttämät oikeussuojakeinot voimaan tietosuoja-asetusta täydentävässä lainsäädännössä ja rikosasioiden tietosuojadirektiivin täytäntöönpanolainsäädännössä. Osassa jäsenvaltioista tällaisista oikeussuojakeinoista säädetään tietosuojalainsäädännön lisäksi tai yksinomaan yleisesti julkishallintoa koskevassa lainsäädännössä. Joissakin jäsenvaltioissa tietosuoja-asetuksen 78 artiklan 2 kohdan tarkoittamat oikeussuojakeinot perustuvat suoraan asetuksen säännöksiin. Useimmissa jäsenvaltioissa tuomioistuin voi palauttaa asian tietosuojaviranomaisen käsiteltäväksi ja määrätä sen tutkimaan asia ja tekemään asiassa päätöksen. Joissakin jäsenvaltioissa on sen lisäksi käytössä tuomioistuimen päätöstä tehostavia keinoja, erityisesti mahdollisuus velvoittaa valvontaviranomainen ratkaisemaan asia määräajassa tai mahdollisuus määrätä viranomaiselle taloudellisia seuraamuksia. Joissakin jäsenvaltioissa tuomioistuin voi tehdä asiassa myös aineellisen ratkaisun tai kohdistaa toimenpiteitä rekisterinpitäjään. Joskus tuomioistuin voi päättää samalla rekisteröidylle käsittelyn viivästyksen johdosta maksettavasta korvauksesta. Suomen hallintoprosessioikeuteen ovat vaikuttaneet erityisesti ruotsalainen, saksalainen ja ranskalainen järjestelmä, joissa kaikissa on erilliset hallintotuomioistuimet, kun esimerkiksi tanskalainen järjestelmä poikkeaa siitä selvästi (HE 9/2018 vp). Myös norjalainen järjestelmä poikkeaa Tanskan tavoin suomalaisesta. Jäljempänä vertaillaan tiiviisti Saksan, Itävallan, Alankomaiden, Ranskan, Irlannin ja Tanskan säännöksiä sekä Euroopan talousalueen valtioista Norjan säännöksiä.

Saksassa henkilötietojen käsittelystä säädetään kansallisesti sekä liittovaltio- että osavaltiotasolla. Tietosuoja-asetuksen 78 artiklan 2 kohta on pantu täytäntöön Saksassa liittovaltiotason tietosuojalaissa (Bundesdatenschutzgesetz, jäljempänä BDSG), jonka mukaan rekisteröidyllä on oikeus saattaa asia tietosuojaviranomaista vastaan vireille hallintotuomioistuimessa. Säännökset kattavat sekä liittovaltion tietosuojaviranomaisen (Aufsichtsbehörde des Bundes/ Bundesbeauftragte) että osavaltioiden tietosuojaviranomaiset (Aufsichtsbehörden der Länder). Tietosuoja-asetuksen 78 artiklan 2 kohtaa sovelletaan suoraan, minkä lisäksi tulevat sovellettavaksi yleiset hallintolainkäyttölain (Verwaltungsgerichtsordnung) säännökset. Jos rekisteröity haluaa tietosuojaviranomaiselta passiivisuustilanteessa muodollisen hallintopäätöksen (Vervaltungsakt), tämän käytettävissä on mahdollisuus valittaa hallintotuomioistuimeen, joka voi velvoittaa viranomaisen tekemään päätöksen (Verpflichtungsklage, 42 §, 75 §). Saksassa on myös mahdollista, että tuomioistuin pelkästään määrää viranomaisen käsittelemään asiaa. Hallintolainkäyttölain 113.5 §:n nojalla niissä tilanteissa, joissa hallintoviranomainen ei ole käsitellyt asiaa tai on laiminlyönyt asian käsittelyn ja tästä on aiheutunut asianosaisen oikeuksien loukkaus, tuomioistuin voi velvoittaa viranomaisen tekemään hallintopäätöksen, jos asia on valmis ratkaistavaksi, tai ilmoittamaan asiasta asianosaiselle, ottaen tuomioistuimen näkemyksen huomioon. Hallintoprosessissa ei ole käytössä erityisiä päätöksen tehostamiskeinoja, mutta rekisteröidyllä on kiireellisissä asioissa mahdollisuus saada tuomioistuimelta hallintolainkäyttölain 123 §:n mukaisesti väliaikaismääräys (Einstweilige Anordnung). Myös rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohta on pantu täytäntöön BDSG:ssä. Lain 61 §:n mukaan muutoksenhakua koskevia säännöksiä sovelletaan nimenomaisesti myös tilanteeseen, jossa tietosuojaviranomainen (Bundesbeauftragte) ei ole käsitellyt rekisteröidyn valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa asian ratkaisusta tai etenemisestä.

Itävallassa tietosuoja-asetusta täydentää kansallinen laki (Gesamte Rechtsvorschrift für Datenschutzgesetz, Fassung vom 17.03.2023). Rikosasioiden tietosuojadirektiivi on pantu täytäntöön neljällä eri säädöksellä (Datenschutz-Anpassungsgesetz 2018, Datenschutz-Deregulierungs-Gesetz 2018, Materien-Datenschutz-Anpassungsgesetz 2018, Strafprozeßordnung 1975 (StPO) (Stammfassung in der derzeit geltenden Fassung; muutettu viimeksi BGBl. I Nr. 70/2018). Sekä tietosuoja-asetusta täydentävän lainsäädännön että rikosasioiden tietosuojadirektiivin täytäntöönpanolainsäädännön mukaan Itävallan tietosuojaviranomaisen (Datenschutzbehörde) on ilmoitettava rekisteröidylle asian käsittelyn etenemisestä ja ratkaisusta kolmen kuukauden kuluessa valituksen tekemisestä. Mikäli tietosuojaviranomainen ei käsittele valitusta tai ilmoita rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisemisesta, rekisteröidyllä on oikeus valittaa liittovaltion hallintotuomioistuimeen (Bundesverwaltungsgericht). Valitukset käsitellään liittovaltion hallintotuomioistuimessa erityisessä kokoonpanossa (Senat). Näitä säännöksiä täydentävät yleisesti sovellettavat perustuslain (Bundes-Verfassungsgesetz (B-VG, Art. 130 Abs. 1 Z 3) ja oikeudenkäyntiä hallintoasioissa koskevan lain (Bundesgesetz über das Verfahren der Verwaltungsgerichte (Verwaltungsgerichtsverfahrensgesetz – VwGVG), Art. 28 Abs. 7) säännökset. Saksan tavoin myös Itävallassa tuomioistuin voi velvoittaa tietosuojaviranomaisen käsittelemään asian, jos kyseessä on viranomaisen perustuslaissa säädetyn päätöksentekovelvollisuuden laiminlyönti (Bundes-Verfassungsgesetz (B-VG), Artikel 130–133).

Alankomaissa on annettu eräitä tietosuoja-asetusta täydentäviä säännöksiä oikeussuojakeinoista. Kyseessä olevassa laissa tietosuojaviranomaisen päätös rinnastetaan hallintolaissa tarkoitettuun päätökseen, johon voi hakea muutosta (Uitvoeringswet Algemene verordening gegevensbescherming, Artikel 34). Tietosuoja-asetuksen 78 artiklan 2 kohdassa tarkoitettuihin tilanteisiin sovelletaan suoraan tietosuoja-asetuksen säännöksiä, minkä lisäksi niitä koskevat hallintolain yleisesti sovellettavat säännökset muutoksenhausta (Algemene wet bestuursrecht, Hoofdstuk 6). Muutoksenhakua edeltää oikaisuvaatimus tietosuojaviranomaiselle. Hallintolaissa tarkoitettuun päätökseen rinnastetaan myös tilanteet, joissa päätöstä ei anneta tai päätöstä ei anneta määräajassa (Artikel 6.2). Laissa säädetään myös menettelystä näitä tilanteita varten (Artikel 6.12). Rikosasioiden tietosuojadirektiivi on pantu täytäntöön kahdella erillisellä lailla, joista toinen koskee poliisia (Wijzigingswet Wet politiegegevens, enz. (implementatie Europese regelgeving inzake verwerking van persoonsgegevens)). Laissa säädetään tietosuojaviranomaisen päätöstä koskevasta määräajasta, joka on kolme kuukautta (Artikel 31a.5). Muutoksenhakuun ja passiivisuustilanteisiin sovelletaan edellä mainittuja hallintolain säännöksiä. Tietosuojaviranomaista vastaan voidaan nostaa myös kanne tuomioistuimessa (Artikel 31b) Vastaavat säännökset sisältyvät toiseen täytäntöönpanolakiin, joka koskee muita rikosasioissa toimivaltaisia viranomaisia (Wet justitiële en strafvorderlijke gegevens, Artikel 26a.5, Artikel 26b). Edellä mainittujen jäsenvaltioiden tavoin myös Alankomaissa tuomioistuin voi määrätä valvontaviranomaisen käsittelemään ja ratkaisemaan asian, mutta sillä on mahdollisuus myös itse ratkaista asia. Se voi lisäksi asettaa päätöksensä tehosteeksi määräajan, jossa asia on ratkaistava, sekä rikemaksun, joka peritään jokaiselta päivältä niin kauan kuin valvontaviranomainen ei ole noudattanut tuomioistuimen määräystä.

Ranskassa on annettu tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin täytäntöönpanosta erityinen laki (Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles), jota täydentää vuonna 1978 säädetty informaatioteknologiaa ja henkilötietojen suojaa koskeva laki (La loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). Tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan tarkoittamista oikeussuojakeinoista kansallista tietosuojaviranomaista (La Commission nationale de l'informatique et des libertés, jäljempänä CNIL) vastaan säädetään hallinnon yleislakien ja erityissäännösten yhdistelmällä. Vuoden 1978 laki sisältää säännökset muun muassa valvontaviranomaisesta sekä säännöksen, joka edellyttää rekisteröidylle ilmoittamista asian käsittelyn etenemisestä kohtuullisessa ajassa. Lisäksi vuoden 1978 lain nojalla annettuun asetukseen sisältyvät säännökset eräistä CNIL:n päätöksentekoa koskevista määräajoista sekä säännös, jonka mukaan päätös katsotaan annetuksi, jos sitä ei ole annettu asetuksen mukaisessa määräajassa. Kolmen kuukauden jälkeen puuttuva päätös katsotaan kielteiseksi päätökseksi. (Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978, l’article 9, l’article 10) Muutoksenhausta viranomaisten päätöksiin säädetään hallintoviranomaisia koskevassa yleislainsäädännössä (Code des relations entre le public et l'administration ja Code de justice administrative). Koska Ranskassa puuttuva valvontaviranomaisen päätös katsotaan kielteiseksi päätökseksi, tuomioistuin voi kumota sen, jos tuomioistuin pitää kielteistä päätöstä lainvastaisena. Tuomioistuin voi myös palauttaa tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan tarkoittaman asian takaisin CNIL:n käsiteltäväksi sekä asettaa asian ratkaisulle määräajan ja sisällöllisiä vaatimuksia. Tuomioistuimen päätökseen voi liittyä CNIL:lle määrätty seuraamusmaksu. Ranskassa oikeussuojakeino kohdistuu käytännössä tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan tarkoittamien tilanteiden lisäksi myös laajemmin käsittelyn viipymiseen.

Irlannissa tietosuoja-asetus ja rikosasioiden tietosuojadirektiivi on pantu täytäntöön samassa kansallisessa tietosuojalaissa (Data Protection Act 2018). Laissa säädetään rekisteröidyn oikeudesta nostaa kanne Irlannin tietosuojaviranomaista (Data Protection Commissioner) vastaan, mikäli se ei käsittele rekisteröidyn valitusta tai ilmoita rekisteröidylle valituksen etenemisestä tai sen lopputuloksesta kolmen kuukauden kuluessa. Oikeus nostaa kanne on ulotettu koskemaan myös muita valvontaviranomaisia, mikäli asia kuuluu niiden toimivaltuuksiin muun lainsäädännön nojalla. Lain mukaan tuomioistuimella on näissä tilanteissa mahdollisuus määrätä Irlannin tietosuojaviranomainen noudattamaan sovellettavaa säännöstä.

Tanskassa tietosuoja-asetusta täsmentävän lain (Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (LOV nr 502 af 23/05/2018, databeskyttelsesloven)) mukaan valvontaviranomaisen (Datatilsynet) tekemät päätökset tai se, että rekisteröidyn tekemää valitusta ei ole käsitelty tai siitä ei ole ilmoitettu tietosuoja-asetuksen 78 artiklan mukaisesti, voidaan saattaa tuomioistuimen käsiteltäväksi. Vastaavasti rikosasioiden tietosuojadirektiiviä täytäntöönpanevassa laissa (Lov om retshåndhævende myndigheders behandling af personoplysninger (LOV nr 410 af 27/04/2017, § 48 Stk. 2)) säädetään rekisteröidyn oikeudesta valittaa tuomioistuimeen valvontaviranomaisen tekemästä päätöksestä tai siitä, että valvontaviranomainen ei ole käsitellyt rekisteröidyn tekemää valitusta tai että se ei ole ilmoittanut rekisteröidylle valituksen etenemisestä tai ratkaisusta kolmen kuukauden kuluessa. Tanskassa hallintoasian käsittelyä pidetään yleensä siviiliprosessina. Sen lisäksi, että tuomioistuin voi tutkia toimen laillisuuden, se voi myös kumota päätöksen, peruuttaa hallintoviranomaisen tekemän sopimuksen tai määrätä hallintoviranomaisen määrättyyn toimeen (esim. myöntämään luvan). Pääsääntöisesti tuomioistuin ei kuitenkaan itse muuta päätöksiä tai hallintotoimia, vaan ennemmin palauttaa ne asianomaiselle viranomaiselle (hjemvisning). Viimeksi mainittu tulee kyseeseen myös tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan tarkoittamissa tilanteissa. Lisäksi tuomioistuin voi määrätä vahingonkorvauksia asianosaiselle, jolle hallintoviranomainen on toimillaan tai laiminlyönnillään aiheuttanut vahinkoa.

EU-jäsenvaltioiden ohella Norja on pannut täytäntöön unionin tietosuojalainsäädännön. Norjalaisessa hallintojärjestelmässä hallintokantelu on ensisijainen muutoksenhakukeino suhteessa tuomioistuimeen tehtävään valitukseen (Lov om behandlingsmåten i forvaltningssaker, 27 b §). Norjassa rekisteröidyn oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaisen viivästys- tai passiivisuustilanteessa perustuu suoraan tietosuoja-asetuksen 78 artiklan 2 kohtaan (Prop. 56 LS (2017-2018) kohta 29.5). Rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohta on pantu täytäntöön laissa poliisin ja syyttäjäviranomaisen tietojenkäsittelystä (Lov om behandling av opplysninger i politiet og påtalemyndigheten, 57.2 §). Kyseisen säännöksen mukaan rekisteröidyllä on oikeus panna vireille kanne tuomioistuimessa tietosuojaviranomaista vastaan, jos tietosuojaviranomainen ei käsittele rekisteröidyn valitusta kolmen kuukauden kuluessa tai anna tietoja asian etenemisestä tai lopputuloksesta kolmen kuukauden kuluessa. Tanskan tavoin asiat käsitellään yleisissä tuomioistuimissa (Lov om domstolene). Tuomioistuin voi määrätä tietosuojaviranomaisen käsittelemään asian.

Edellä mainituista jäsenvaltioista Alankomaissa ja Ranskassa on käytössä erityisiä tuomioistuimen päätöstä tehostavia keinoja. Vaikka kummassakin jäsenvaltiossa on hallinto-oikeusjärjestelmä, niiden lainsäädännössä on myös eroja suomalaiseen verrattuna. Kummassakin jäsenvaltiossa on esimerkiksi asetettu määräaika valvontaviranomaisen asian käsittelylle, kun taas Suomessa ei ole tyypillisesti säädetty viranomaisten käsittelylle määräaikoja. Hallituksen esityksessä ehdotettu sääntelyvaihtoehto vastaisi yleisesti jäsenvaltioissa omaksuttua sääntelyratkaisua, jossa tuomioistuin lähinnä toteaa rikkomuksen ja määrää valvontaviranomaisen käsittelemään asian. Hallituksen esityksessä myös linjataan Saksan sääntelyä vastaavasti, että uusi oikeussuojakeino kytkeytyisi nimenomaisesti tietosuoja-asetuksen 78 artiklan 2 kohtaan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohtaan, mutta ehdotetaan lisäksi säädettäväksi siitä, että tuomioistuin voisi asettaa rekisteröidylle annettavaa ilmoitusta koskevan uuden määräajan. Tämä ei kuitenkaan tarkoittaisi, että asia olisi ratkaistava asetettavassa määräajassa.

Ruotsin kansallisessa tietosuoja-asetusta täsmentävässä laissa (Lag med kompletterande bestämmelser till EU:s dataskyddsförordning, SFS 2018:218) tai rikosasioiden tietosuojadirektiivin täytäntöönpanolaissa (brottsdatalagen, 2018:1177) ei toistaiseksi säädetä rekisteröidyn oikeudesta saada asia tuomioistuimen käsiteltäväksi tilanteessa, jossa valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa. Ruotsin hallintolain 11 §:n nojalla ensimmäisen asteen viranomaisella on velvollisuus ilmoittaa vireillä olevan asian osapuolelle, jos asian ratkaisu viivästyy oleellisesti. Lain 12 §:n mukaisesti asian osapuoli voi vaatia viranomaista ratkaisemaan asian, jos sitä ei ole ratkaistu kuuden kuukauden kuluessa. Viranomaisen on joko ratkaistava asia tai hylättävä vaatimus nimenomaisella päätöksellä neljän viikon kuluessa. Tähän päätökseen voi hakea muutosta toimivaltaiselta tuomioistuimelta tai hallintoviranomaiselta. Ruotsissa ei ole kuitenkaan tietosuoja-asetuksen 78 artiklan 2 kohdassa tarkoitettua mahdollisuutta saattaa viranomaisen passiivisuustilanne hallinto-oikeuden käsiteltäväksi. Hallintolain säännökset voivat kanteluasian käsittelyn viivästystilanteessa tulla sovellettaviksi, mutta ne edellyttävät nimenomaista päätöstä, johon haetaan muutosta. Rekisteröidyn tulisi siinä tapauksessa myös olla hallintolaissa tarkoitettu asianosainen. (Prop. 2017:18:105, s. 17) Kuten Suomessa, rekisteröidyllä on oikeus kannella ylimmille laillisuusvalvojille. Komissio on avannut myös Ruotsia koskevan rikkomusmenettelyn.

6 Lausuntopalaute

1. Hallituksen esityksen luonnosta koskeva lausuntokierros

Hallituksen esityksen luonnos, joka oli lausuntokierroksella 26.5.-7.7.2023, sisälsi säännökset rekisteröidyn oikeudesta saattaa tietosuojavaltuutetun passiivisuustilanne vireille hakemusasiana hallinto-oikeudessa ja ehdotuksen tietosuojalain 15 §:n muuttamiseksi sekä ehdotuksen hallinto-oikeuslain 12 b §:n muuttamiseksi. Lausuntokierroksella saatiin lausunto Eduskunnan oikeusasiamieheltä, Valtioneuvoston oikeuskanslerilta, Helsingin, Hämeenlinnan ja Itä-Suomen hallinto-oikeuksilta ja Korkeimmalta hallinto-oikeudelta, Ahvenanmaan maakunnan hallitukselta ja valvontaviranomaiselta (Datainspektionen). Lausunnoissa otetaan pääosin kantaa ehdotettuun oikeussuojakeinoon ja hallinto-oikeuden käsittelyä koskeviin näkökohtiin. Ylimpien laillisuusvalvojien ja Helsingin hallinto-oikeuden lausunnoissa esitetään myös ehdotettuihin tietosuojalain 15 §:n säännöksiin liittyviä näkökohtia.

Oikeusministeriö pyysi jatkovalmistelun aikana 4.9.2023 täydentävän lausunnon 15.9.2023 mennessä tietosuojalain 21 §:n ja rikosasioiden tietosuojalain 57 § tarkistuksista valtioneuvoston oikeuskanslerilta, eduskunnan oikeusasiamieheltä, Korkeimmalta hallinto-oikeudelta sekä Helsingin, Hämeenlinnan ja Itä-Suomen hallinto-oikeudelta, joista muut paitsi oikeuskansleri antoivat lausunnon.

Passiivisuustilanteita koskeva oikeussuojakeino

Yleisesti ehdotettua oikeussuojakeinoa kommentoineet lausunnonantajat suhtautuvat ehdotettuihin muutoksiin kriittisesti, erityisesti oikeussuojakeinon tehokkuuden osalta, vaikkakin lausunnoissa todetaan tarve täytäntöönpanoon. Useassa lausunnossa nousee esiin epäselvyys siitä, mitä hallinto-oikeudelta odotettaisiin ehdotetun kaltaisen hakemusasian käsittelyssä.

Valtioneuvoston oikeuskansleri pitää sääntelyä perusteltuna siitä näkökulmasta, että uudella oikeussuojakeinolla on tarkoitus korjata komission toteama puute asetuksen ja direktiivin kansallisessa täytäntöönpanossa. Oikeuskansleri katsoo, että sen tosiasiallinen oikeussuojaa lisäävä vaikutus jäänee kuitenkin vähäiseksi.

Eduskunnan oikeusasiamies kiinnittää huomiota siihen, että ehdotetut säännökset eivät ratkaisisi niitä perustavanlaatuisia ongelmia, joita tietosuojavaltuutetun toimiston toimintaan tietosuoja-asetuksen soveltamisen alettua on liittynyt. Itä-Suomen hallinto-oikeus kiinnittää myös huomiota siihen, että ongelma on laajempi. Eduskunnan oikeusasiamiehen mukaan esitystä, jonka mukaan rekisteröidyllä olisi oltava oikeus saattaa asia hallinto-oikeuden käsiteltäväksi tilanteessa, jossa tietosuojavaltuutettu laiminlyö asian käsittelyn tai ei ilmoita asian etenemisestä taikka ratkaisusta kolmen kuukauden kuluessa, voidaan valtion kokonaisresurssien kohdentamisen näkökulmasta pitää epätarkoituksenmukaisena, koska se veisi voimavaroja varsinaisten asioiden käsittelyltä sekä viranomaisessa että tuomioistuimessa ja olisi lisäksi viivästysten juurisyiden kannalta menettelynä ilmeisen tehoton. Oikeusasiamiehen kanslian havaintojen mukaan tietosuojavaltuutetun toimiston toiminnan viivästyksissä on ollut kysymys tilanteesta, jossa viranomaisten riittämätön resursointi vaarantaa perusoikeuksien toteutumisen. Myös Hämeenlinnan hallinto-oikeus ja Datainspektionen korostavat lausunnoissaan resurssien merkitystä. Eduskunnan oikeusasiamies ja Hämeenlinnan hallinto-oikeus katsovat, että ehdotettua oikeussuojakeinoa ei voida myöskään pitää tehokkaana. Itä-Suomen hallinto-oikeus ja Korkein hallinto-oikeus lisäksi kyseenalaistavat sen EU-oikeuden mukaisuuden.

Helsingin hallinto-oikeus toteaa, että ehdotettu oikeussuojakeino viivästymis-/passiivisuustilanteessa on oikeusjärjestyksellemme vieras. Se ei myöskään vastaa jo nyt yksittäisiin lakeihin sisältyviä viranomaisen passiivisuustilanteisiin liittyviä oikeussuojakeinoja, joissa passiivisuus tulkitaan hylkääväksi päätökseksi ja pääasia tutkitaan hallinto-oikeudessa.

Hämeenlinnan hallinto-oikeuden lausunnossa kiinnitetään huomiota siihen, että HE-luonnoksen mukaan ehdotettu menettely ei poistaisi rekisteröidyn oikeutta kannella tietosuojavaltuutetun käsittelyn viivästystilanteessa ylimmille laillisuusvalvojille, joten asian käsittelyjä ohjautunee sekä hallinto-oikeuteen että kanteluviranomaisille, mikä ei ole tarkoituksenmukaista ottaen erityisesti huomioon molempien tahojen ratkaisujen oletettava samankaltaisuus heikon velvoittavuuden osalta. Lisäksi hallinto-oikeuden mukaan on epäselvää, mikä kantelun ja tuomioistuinkäsittelyn (ensisijaisuus)suhde asioissa tulisi olemaan.

Korkein hallinto-oikeus katsoo, että esitysluonnoksessa ei ole esitetty mitään oikeussuojakeinoja viranomaisen ”täydellistä passiivisuutta” vastaan, mikä kuitenkin myös on asetuksen 78 artiklan 2 kohdan tarkoitus, huomioiden tietosuoja-asetuksen 57 artiklan 1 kohdan f alakohdan sisältämän käsittelyvaatimuksen.

Korkein hallinto-oikeus ei pidä ehdotettuja säännöksiä myöskään ongelmattomina. Se katsoo, että tämän tyyppistä asiaa ei voida ratkaista ikään kuin summaarisesti pelkän hakemuksen perusteella, koska hallinto-oikeudella tulee olla tieto sekä asian laadusta että sen todellisesta käsittelytilanteesta. Samaan seikkaan kiinnitettiin huomiota myös muissa lausunnoissa (Itä-Suomen hallinto-oikeus, Datainspektionen).

Itä-Suomen hallinto-oikeus katsoo, että hallinto-oikeuden sitovan päätöksen tehosteeksi säädettävä mahdollisuus asettaa uusi määräaika rekisteröidylle annettavalle ilmoitukselle vaikuttaa riittämättömältä. Sen näkemyksen mukaan hallinto-oikeudella tulisi olla ainakin mahdollisuus asettaa uhkasakko päätöksensä tai asettamansa määräajan noudattamisen tehosteeksi.

Toisin kuin hallituksen esityksen luonnoksen perusteluissa tuodaan esiin, useassa lausunnossa (Helsingin hallinto-oikeus, Hämeenlinnan hallinto-oikeus, Korkein hallinto-oikeus, Datainspektionen) pidetään tarkoituksenmukaisena säätää tuomioistuinkäsittelyn edellytykseksi sitä edeltävän kiirehtimisvaatimuksen tai muun tiedustelun esittäminen tietosuojavaltuutetulle. Korkein hallinto-oikeus katsoo, että yleisen tietosuoja-asetuksen säännökset eivät ole esteenä sellaiselle kansalliselle lainsäädäntöratkaisulle, jossa viranomaisen viivästymistapauksessa asianosaisen tulisi ensiksi tehdä pyyntö tietosuojaviranomaiselle asian ratkaisemista tai toimenpiteistä ilmoittamisesta. Tietosuojaviranomaisen tulisi vastata pyyntöön lyhyessä laissa määriteltävässä määräajassa ja vasta tämän vastauksen jälkeen asia voitaisiin saattaa hallintotuomioistuimen käsiteltäväksi, mikäli vastaus siihen antaa aihetta.

Valtioneuvoston oikeuskansleri pitää epäselvänä ehdotettua 30 päivän määräaikaa, jonka kuluessa asia olisi pantava vireille hallinto-oikeudessa, ja katsoo, että sitä tulisi ainakin perustella tarkemmin. Helsingin hallinto-oikeus ja eduskunnan oikeusasiamies kiinnittävät huomiota samaan yksityiskohtaan. Helsingin hallinto-oikeuden näkemyksen mukaan kyseistä kohtaa tulisi muuttaa siten, että asian saisi saattaa hallinto-oikeuden käsiteltäväksi ainoastaan laiminlyönnin aikana, eikä enää sen päättymisen jälkeen. Muussa tapauksessa asian tutkiminen olisi luonteeltaan puhtaasti hallintokantelun tutkimista, minkä ei jatkossakaan tulisi kuulua hallinto-oikeuden toimivaltaan.

Itä-Suomen hallinto-oikeus katsoo lausunnossaan, että viranomaisten passiivisuustilanteisiin tulisi Suomessa olla olemassa yleinen oikeussuojakeino ja tällaista sääntelyä pitäisi edistää. Tämän vuoksi hallinto-oikeuden näkemyksen mukaan ei ole perusteltua, että EU-oikeuden myötä tapauskohtaisesti esiin nousevia ongelmia pyritään korjaamaan ehdotetuilla rajatuilla erityislainsäädännön muutoksilla. Toisaalta Helsingin hallinto-oikeus pitää ehdottoman kannatettavana, että tällä uudella oikeussuojakeinolla olisi mahdollisimman rajattu soveltamisala ja rajatut vaikutukset.

Esityksessä on pitäydytty siinä, että oikeussuojakeino rajataan koskemaan tietosuojavaltuutetun passiivisuustilanteita. Lausuntopalautteen voimakkain kritiikki liittyi samoihin seikkoihin, joilla Suomen voimassa olevaa järjestelmää oli perusteltu komissiolle. Kritiikki kohdistui ehdotetun oikeussuojakeinon tarpeeseen ja tehokkuuteen Suomessa, jossa kantelumahdollisuus ylimmille laillisuusvalvojille yhdistettynä muihin oikeussuojakeinoihin muodostaa jo tehokkaan oikeussuojakeinon viranomaisen passiivisuustilanteisiin. Vaikka EU:n tietosuojalainsäädännön täytäntöönpano edellyttää nimenomaisesti pääsyä tuomioistuimeen, hallituksen esityksen perusteluissa on huomioitu myös se, että tuomioistuinmenettely ei Suomen järjestelmässä välttämättä tee oikeussuojakeinosta tehokkaampaa. Ehdotettu oikeussuojakeino on kuitenkin muutettu oleellisesti erityisesti sen huomioimiseksi, mitä lausunnoissa aiheellisesti todetaan tehokkuudesta ja siitä, että asian käsittelyn tulisi painottua viranomaiseen. Lausuntopalautteen perusteella 1. ja 2. lakiehdotuksen säännöksiä on muutettu siten, että tietosuojavaltuutetulla olisi velvollisuus käsitellä asia kolmessa kuukaudessa tai ilmoitettava tässä ajassa rekisteröidylle arvio päätöksen antamisajankohdasta. Rekisteröidyllä olisi valitusoikeus hallinto-oikeuteen, jos tietosuojavaltuutettu laiminlyö kolmen kuukauden määräajan noudattamisen. Valitusoikeuden katsotaan täyttävän tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin vaatimuksen siitä, että oikeussuojakeinon tulee olla tehokas. Samalla ehdotetut määräaikaa koskevat säännökset edistäisivät asian asianmukaista selvittämistä ja käsittelyä viranomaisessa. Oikeussuojakeinona valitusoikeus myös poistaisi epäselvyyden suhteessa ylimmille laillisuusvalvojille tehtäviin kanteluihin. Lausuntopalautteessa ehdotettuja erilaisia täsmennyksiä ei ole tehty pykäliin, koska tehtyjen muutosten arvioidaan poistavan esiin nostetut ongelmat. Lausunnoissa esiin nostettuja ongelmia on kuitenkin huomioitu täydentämällä esityksen perusteluja useilta osin.

Korkeimman hallinto-oikeuden lausunnon perusteella esityksen perusteluissa on täydennetty Ruotsin lainsäädäntöä koskevaa tekstiä hallintolain osalta. Euroopan komissio on kuitenkin katsonut, että Suomen tavoin myöskään Ruotsin lainsäädäntö ei täytä tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan vaatimuksia.

Ehdotettu hallinto-oikeuslain 12 b §:n muutos, joka mahdollistaisi yhden tuomarin ratkaisukokoonpanon, sai tukea lausunnoissa. Itä-Suomen hallinto-oikeus kiinnitti kuitenkin huomiota ratkaisukokoonpanojen osalta siihen, että ehdotusta olisi perusteltua käsitellä laajemmassa yhteydessä. Se katsoi, että jos ehdotus kuitenkin sisällytetään hallituksen esitykseen, tarvittava laajempi kokoonpano voisi olla kolmen tuomarin kokoonpanon lisäksi kahden tuomarin kokoonpano. Lakiehdotus on poistettu esityksestä jatkovalmistelun aikana, huomioiden sen, että oikeussuojakeino olisi valitus.

Myös ehdotettua valituskieltoa korkeimpaan hallinto-oikeuteen lausunnon antajat pitivät perusteltuna, lukuun ottamatta Itä-Suomen hallinto-oikeutta, joka ei ole vakuuttunut esitysluonnoksen perusteella siitä, että jatkovalituskielto olisi perusteltu. Valituskielto on poistettu jatkovalmistelun aikana, koska valitusasiaa koskisi normaali valituslupamenettely.

Ratkaisuvallan siirtäminen esittelevälle virkamiehelle

Valtioneuvoston oikeuskansleri pitää 15 §:ään esitettyä lisäystä tietosuojavaltuutetun oikeudesta siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille mahdollisena keinona nopeuttaa asioiden käsittelyä. Lausunnossa arvioidaan, että ehdotus ei esitetyssä muodossa vaarantaisi asioita tietosuojavaltuutetun toimistoon vireille saattavien oikeusturvaa tai heikentäisi tietosuojavaltuutetun päätöksenteon riippumattomuutta. Myöskään eduskunnan oikeusasiamiehen lausunnossa ei nosteta esiin erityisiä juridisia ongelmia, mutta siinä pidetään selvänä, että asiasta tulee säätää laissa. Kummassakin lausunnossa kiinnitetään kuitenkin huomioita voimassa olevaan tietosuojavaltuutetun toimiston työjärjestykseen ja katsotaan, että hallituksen esityksestä tulisi käydä ilmi, miten työjärjestyksen 26 §:n soveltamiseen perustuva nykyinen tilanne muuttuisi. Hallituksen esityksen perusteluja on täydennetty lausuntojen johdosta siten, että niistä käy ilmi ehdotettujen säännösten tarkoittamien ratkaisutilanteiden ja voimassa olevassa työjärjestyksessä tarkoitettujen ratkaisutilanteiden välinen ero.

Eduskunnan oikeusasiamiehen lausunnossa kiinnitetään huomiota lisäksi hallituksen esityksen luonnoksessa (s. 22) olleeseen perustelulausumaan. Perustelulausuma on poistettu selkeyden vuoksi, jotta ei synny käsitystä, että tietosuojavaltuutettu tai apulaistietosuojavaltuutettu voisi antaa ohjausta yksittäisen tapauksen ratkaisemisessa.

Helsingin hallinto-oikeus toteaa, että ehdotetulla ratkaisutoimivallan siirtoa koskevalla muutoksella ei ole suoria vaikutuksia hallinto-oikeuden toimintaan, mutta välillisesti ehdotettu muutos voi vaikuttaa hallinto-oikeuden toimintaan siten, että hallinto-oikeuden tutkittavaksi tulee lainkäyttöasioissa myös päätöksentekijän ratkaisutoimivallan puuttumiseen liittyviä väitteitä. Tästä syystä on tärkeää, että ratkaisutoimivallan siirrosta on säännelty täsmällisesti.

Ehdotettujen muutosten vaikutukset

Itä-Suomen hallinto-oikeus katsoo, että esitysluonnoksessa on liian suoraviivaisesti vähätelty sen vaikutuksia hallinto-oikeuksille. Pelkästään esitysluonnoksen perusteella hallinto-oikeuden on vaikea hahmottaa riittävällä tavalla sitä, millaisia vaatimuksia hallinto-oikeuksille tultaisiin esittämään ja minkä sisältöisiä hallinto-oikeuden päätökset tulisivat mahdollisesti olemaan. Hallinto-oikeuksille toimitettavat kirjelmät vaatimuksineen voivat olla hyvinkin erilaisia ja esimerkiksi mahdollinen tutkimatta jättäminenkin voi edellyttää asian tarkkaa selvittämistä. Tämän vuoksi olisikin perusteltua varautua siihen, että lakimuutoksilla voi olla välittömiä resurssivaikutuksia hallinto-oikeuksille.

Helsingin hallinto-oikeus toisaalta yhtyy hallituksen esityksen luonnoksessa esitettyyn arvioon siitä, että käsiteltävien asioiden määrä hallinto-oikeuksissa tuskin tulisi olemaan suuri. Siltikään ei hallinto-oikeuden näkemyksen mukaan voida sulkea pois sitä, etteivätkö ehdotetut muutokset merkitsisi hallinto-oikeuksille lisätyötä. Vaikka todettuja passiivisuus- ja laiminlyöntitilanteita on ollut vähäisesti, on esimerkiksi mahdollista, että tämä uusi oikeussuojakeino merkitsisi tietosuoja-asioihin liitännäisten kantelunluonteisten, tutkimatta jäävien asioiden lisääntymistä.

Esityksen vaikutusten arviointia on tarkistettu sen huomioimiseksi, että oikeussuojakeinona olisi valitus sen sijaan, että asiat käsiteltäisiin hallinto-oikeuksissa hakemusasioina. Tämä tarkoittaisi myös, että ylimmät laillisuusvalvojat eivät käsittelisi samaa asiaa koskevia kanteluita samanaikaisesti. Arviointia on täsmennetty ylimpien laillisuusvalvojien tilastojen valossa, minkä lisäksi siinä on huomioitu vaikutuksiin liittyvät epävarmuustekijät. Valtioneuvoston oikeuskanslerin lausunnon johdosta esitykseen on tehty tilastoja koskeva täsmennys. Myös ehdotetun tietosuojalain 15 §:n muutoksen vaikutusten arviointia on täsmennetty voimassa olevan työjärjestyksen huomioimiseksi.

Ahvenanmaan maakunnan hallituksen lausunnosta käy ilmi, että ehdotettu sääntely ei tule koskemaan Ahvenanmaata siltä osin kuin asia kuuluu maakunnan lainsäädäntövaltaan. Tämä on huomioitu esityksen kappaleessa, joka koskee maakunnan lainsäädäntöä. Maakunnan hallituksella ei ollut lausuttavaa muutoin ehdotuksen sisällöstä.

Ehdotettua valitusmenettelyä koskeva täydentävä lausuntopyyntö

Oikeusministeriö pyysi, että täydentävissä lausunnoissa otetaan kantaa tietosuojalain 21 §:n ja rikosasioiden tietosuojalain 57 §:n tarkistettuihin luonnoksiin. Lisäksi ministeriö pyysi lausunnoissa arvioita ehdotuksesta erityisesti oikeussuojakeinon tehokkuuden ja selkeyden sekä tuomioistuinten ja ylimpien laillisuusvalvojien toimivallan jaon kannalta.

Täydentävissä lausunnoissa näkemykset eroavat jonkin verran toisistaan erityisesti ehdotetun valitusmenettelyn yksityiskohtien osalta sekä toisaalta siltä osin, miten se vaikuttaisi tuomioistuinten ja ylimpien laillisuusvalvojien toimivallan jakoon. Osassa täydentävistä lausunnoista kyseenalaistetaan myös ehdotetun valitusmenettelyn tehokkuus siitä syystä, että se ei vaikuta niihin syihin, joiden vuoksi asian käsittely tietosuojavaltuutetun toimistossa viipyy.

Eduskunnan oikeusasiamies toteaa, että hallinto-oikeusprosessin tai sen lopputuloksen kannalta lienee käytännössä merkityksetöntä, onko hallinto-oikeuteen toimitettava asiakirja luokiteltavissa hakemukseksi vai valitukseksi. Samoin katsovat myös Hämeenlinnan hallinto-oikeus ja Korkein hallinto-oikeus. Itä-Suomen pitää ehdotettua valitusmenettelyä selkeämpänä kuin aiemmin lausuntokierroksella ollutta mallia. Helsingin hallinto-oikeus toteaa, että tilanne, jossa tietosuojavaltuutetun passiivisuus katsotaan tutkimatta jättämistä koskevaksi päätökseksi, on järjestelynä keinotekoinen, mutta se sopii sinänsä aiemmin ehdotettua oikeussuojakeinoa paremmin jo olemassa olevaan oikeussuojakeinovalikoimaan. Valitusta voidaan Helsingin hallinto-oikeuden näkemyksen mukaan pitää riittävän tehokkaana oikeussuojakeinona asian laatu huomioon ottaen.

Hallintotuomioistuinten täydentävissä lausunnoissa nostetaan esiin ehdotettuihin säännöksiin liittyviä haasteita. Itä-Suomen hallinto-oikeus pitää haasteellisena sitä, että valituksen käsittely voi muuttua merkityksettömäksi milloin tahansa asian vireillä ollessa, jos tietosuojavaltuutettu on ryhtynyt korjaaviin toimenpiteisiin. Hämeenlinnan hallinto-oikeus katsoo, että tarkistettuun ehdotukseen valitusmenettelystä tulisi liittyä sitä edeltävä kiirehtimispyynnön tai tiedustelun esittäminen tietosuojavaltuutetulle. Myös eduskunnan oikeusasiamies pitää puutteena sitä, että ehdotettu sääntely ei sisältäisi säännöksiä, joiden nojalla rekisteröidyn olisi ennen valituksen tekemistä esitettävä tietosuojavaltuutetulle kiirehtimispyyntö tai nimenomaisesti vaadittava asian ratkaisua. Korkein hallinto-oikeus pitää ehdotettuja määräaikoja koskevia säännöksiä epämääräisinä. Korkein hallinto-oikeus ei pidä hyväksyttävänä sitä, että tarkistetusta ehdotuksesta on poistettu valituskielto Korkeimpaan hallinto-oikeuteen.

Eduskunnan oikeusasiamies kiinnittää huomiota siihen, että hallinto-oikeuksille ei ehdoteta erityisiä tehostavia keinoja. Myös Korkein hallinto-oikeus pitää ongelmallisena sitä, että laissa ei säädettäisi mistään hallinto-oikeudelle kuuluvasta päätöksenteon tehostamistoimivallasta eikä uuden määräajan asettamisesta päätöksenteolle. Lausunnossa viitataan lakiehdotuksesta poistettuun tietosuojalain 21 §:n 4 momentin säännökseen, jonka hallinto-oikeus voisi asettaa määräajan, jonka kuluessa tietosuojavaltuutetun on ilmoitettava rekisteröidylle asian etenemisestä tai ratkaisusta.

Eduskunnan oikeusasiamies pitää ongelmallisena esitysluonnoksen perusteluissa tehtyä asian käsittelemättä jättämisen rinnastusta tutkimatta jättämistä koskevaan päätökseen. Korkein hallinto-oikeus huomauttaa, että eräissä EU-oikeudellisissa yhteyksissä erikseen säädetyn päätöksenteon määräajan ylittyessä viranomaisen päätös presumoidaan laissa joko hakemuksen hylkääväksi tai hakemuksen hyväksyväksi päätökseksi. Missään aikaisemmassa yhteydessä ei ole tehty presumptiota, että kysymys olisi kantelun (siis hakemustyyppisen asian) tutkimatta jättämisestä. Itä-Suomen hallinto-oikeus toteaa lausunnossaan, että mikäli valituksen katsotaan koskevan päätöstä asian tutkimatta jättämisestä, hallinto-oikeuden ratkaistavana on se, olisiko tietosuojavaltuutetun pitänyt tehdä asiassa päätös. Se katsoo, että tässä tapauksessa käsittelytoimien tai päätöksen tekemisen laiminlyömisen ja viivästymisen muu arvioiminen tai siitä moittiminen eli kanteluluonteisten väitteiden varsinainen ratkaiseminen ei edelleenkään kuuluisi hallinto-oikeuden toimivaltaan.

Helsingin hallinto-oikeus kiinnittää huomiota siihen, että tietosuojalain 21 §:n tai rikosasioiden tietosuojalain 57 §:n otsikossa ei tule ilmi, että kyse on oikeussuojakeinosta, ja pyytää harkitsemaan otsikoiden muuttamista tältä osin. Lisäksi Helsingin hallinto-oikeus katsoo, että ehdotetun oikeussuojakeinon voimaan tullessa hallinto-oikeuksiin tulevat valitukset voitaisiin niiden luonne huomioon ottaen käsitellä kolmen tuomarin kokoonpanon asemesta yhden tuomarin kokoonpanossa.

Täydentävien lausuntojen valossa hallituksen esityksessä on päätetty pitäytyä siinä, että tietosuojavaltuutetun passiivisuustilanteisiin sovellettavaksi oikeussuojakeinoksi ehdotetaan valitusoikeutta. Vaikka ehdotetut säännökset eivät vaikuttaisi käsittelyn viipymistä koskeviin rakenteellisiin ongelmiin, ehdotetut määräaikaa koskevat säännökset vaikuttaisivat alkuperäistä ehdotusta paremmin tietosuojavaltuutetun omien käsittelytoimenpiteiden tehostamiseen. Sillä, että asian käsittelyn ensimmäisten kolmen kuukauden aikana edellytettäisiin aktiivisempia toimenpiteitä, voidaan vaikuttaa hyvän hallintotavan toteutumiseen. Valitusoikeus myös mahdollistaa ratkaisuna sen, että hallinto-oikeuksiin ei luoda kokonaan uudenlaista asiaryhmää. Lisäksi valitusoikeus täyttää riittävällä tavalla tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin vaatimuksen tehokkaasta oikeussuojasta, huomioiden erityisesti passiivisuusasioiden luonteen. Huomioiden passiivisuusasioiden luonteen, erityisiä hallinto-oikeuksien päätösten tehostamiskeinoja ei pidetä tarpeellisina. Lain muutostarpeita voidaan myöhemmin kuitenkin arvioida, jos säännösten soveltamisessa ilmenee ongelmia (ks. myös hallituksen esityksen jakso 10).

Ehdotettujen tietosuojalain 21 §:n ja rikosasioiden tietosuojalain 57 §:n säännösten sanamuotoa on täsmennetty täydentävien lausuntojen johdosta siten, että valitus kohdistuisi tutkimatta jättämistä koskevan päätöksen sijasta asian käsittelyä koskevaan kielteiseen päätökseen. Tällä muutoksella huomioidaan se, että säännöksissä tarkoitetuissa tilanteissa asian käsittelytoimet puuttuvat kokonaan. Johtuen tietosuojalainsäädännön oikeussuojaa koskevien säännösten erityispiirteistä, rinnastus kielteiseen päätökseen on jouduttu kuitenkin tarkoituksella tekemään muun lainsäädännön viivästysvalitussäännöksistä poikkeavalla tavalla. Lisäksi valituksen tekemistä hallinto-oikeuteen koskevaa määräaikaa on täsmennetty. Muotoilussa on kuitenkin huomioitu aiemmin lausuntokierroksella saatu palaute. Lainsäädäntöteknisenä täsmennyksenä pykälien otsikkoon on lisätty viittaus passiivisuusvalitukseen.

2. Henkilötunnuksen käsittelyn edellytykset

Henkilötunnuksen käsittelyn edellytyksiä koskevat luonnokset olivat lausuntokierroksella 15.6.-13.7.2022. Lausuntokierroksen perusteella tarkistetut luonnokset sisällytettiin hallituksen esitykseen (HE 132/2022 vp). Esitystä ei ehditty käsittelemään loppuun ennen eduskuntavaaleja. Perustuslakivaliokunta ehti antamaan esityksestä lausunnon (PeVL 87/2022 vp).

Suurin osa lausunnonantajista suhtautui myönteisesti ehdotettuun rajoitukseen, joka koskee henkilötunnuksen käyttöä tunnistamistarkoitukseen. Yksinomaan henkilötunnuksen tai henkilötunnuksen ja nimen yhdistelmän käyttö tunnistamistarkoitukseen on lausuntojen valossa harvinaista. Lausuntopalaute myös pääosin tukee ehdotuksen vaikutustenarviointia. Joissakin elinkeinoelämän edustajien lausunnoissa nousi kuitenkin esiin kysymyksiä suhteessa sellaisiin tilanteisiin, joissa henkilötunnusta nykyisin käytetään yhtenä kysyttävänä tietona tunnistamistarkoituksessa. Osassa lausuntoja kiinnitettiin huomiota terminologisiin epäjohdonmukaisuuksiin ja siihen, että Suomen lainsäädäntö ei sisällä kattavia määritelmiä luonnollisen henkilön tunnistamisesta tai henkilöllisyyden todentamisesta. Ehdotettuja säännöksiä henkilötunnuksen osalta on täsmennetty lausuntopalautteen sekä niiden aiemman eduskuntakäsittelyn yhteydessä esitettyjen huomioiden johdosta sisällyttämällä tietosuojalain 29 §:ään ja rikosasioiden tietosuojalain 12 §:ään yksilöinnin ja tunnistamisen määritelmät. Täsmentämisessä on otettu myös huomioon rahanpesun ja terrorismin rahoittamisen estämisestä annettu laki (444/2017, jäljempänä rahanpesulaki), jossa on jo määritelmät ja säännökset henkilön tunnistamisesta ja henkilöllisyyden todentamisesta. Sen sijaan tietosuojalainsäädäntöön ei pidetä mahdollisena sisällyttää yksityiskohtaisempia säännöksiä tunnistamismenettelyistä, koska tietosuojalain ja rikosasioiden tietosuojalain pykälät koskevat pelkästään henkilötunnuksen käsittelyn edellytyksiä. Säännöskohtaisia perusteluja on lausuntopalautteen perustella täsmennetty myös sen selventämiseksi, miten käsitteet eroavat toisistaan, ja riskiperusteisen käsittelyn korostamiseksi. Lisäksi ehdotettujen säännösten terminologiaa ja perusteluja on täsmennetty korvaamalla henkilötunnuksen haltijan käsite tietosuojalainsäädännössä omaksutulla rekisteröidyn käsitteellä.

Erityisinä kysymyksinä lausuntokierroksella nousivat esiin mahdolliset vaikutukset tietosuojalainsäädännön mukaiseen rekisterinpitäjän osoittamisvelvollisuuteen ja siihen liittyen käsittelytoimien selosteen ja ohjeistuksen tarkistamistarpeisiin. Useassa lausunnossa kiinnitettiin huomiota myös siihen, että ehdotetut rajaukset eivät kokonaan poistaisi riskiä identiteettivarkauksista. Ehdotuksen vaikutustenarviointia on näiltä osin täsmennetty lausuntokierroksen jälkeen. Muun muassa tietosuojavaltuutetun lausunnossa katsottiin, että säännöksiä on mahdollista arvioida tarkemmin vasta kokonaisuutena, kun myös yksilöintitunnuksen käsittelyä koskeva lopullinen ehdotus on tiedossa. Tähän esitykseen ei kuitenkaan sisälly ehdotusta yksilöintitunnuksen käsittelystä.

Eduskunnan oikeusasiamiehen kanslian lausunnon johdosta tietosuojalain 29 §:n 2 momenttia on täsmennetty sen tarkoituksen selventämiseksi ja sen varmistamiseksi, että momentin suhde uuteen 5 momenttiin ei jäisi epäselväksi.

7 Säännöskohtaiset perustelut

7.1 Tietosuojalaki

7 §. Rikostuomioihin ja rikoksiin liittyvä käsittely. Pykälän otsikkoon ja 1 momenttiin ehdotetaan tehtäväksi EU:n yleiseen tietosuoja-asetukseen perustuvat tekniset täsmennykset. Termin ”rikkomukset” sijaan pykälässä käytettäisiin jatkossa termiä ”rikokset”. Näin pykälä vastaisi siinä viitatun tietosuoja-asetuksen 10 artiklan oikaistua muotoa.

15 §. Tietosuojavaltuutetun päätöksenteko. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jonka mukaan tietosuojavaltuutettu voisi siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille työjärjestyksellä tarkemmin määrättävissä asioissa, joissa lain soveltamiskäytäntö on vakiintunut ja joissa asian ratkaiseminen ei asian oikeudellisesta luonteesta tai sisällöstä johtuen edellytä esittelyä tietosuojavaltuutetulle. Nykyisestä pykälästä tulisi samalla 1 momentti. Lisättävän momentin tarkoituksena olisi mahdollistaa ratkaisuvallan siirto rajallisissa oikeudellisesti yksinkertaisissa asioissa siten, että 1 momentin mukainen päätöksenteko säilyisi pääsääntönä. Tietosuojavaltuutetulla olisi kuitenkin yksittäistapauksessa oikeus ottaa ratkaistavakseen asia, joka muutoin olisi esittelijän ratkaistava.

Asioilla, joissa lain soveltamiskäytäntö on vakiintunut, tarkoitettaisiin asioita, joihin sisältyvän oikeudellisen kysymyksen tietosuojavaltuutettu tai apulaistietosuojavaltuutettu on jo aiemmin ratkaissut ja joka on luonteeltaan toistuva. Tietosuojavaltuutetun toimiston työjärjestyksessä määritettäisiin tarkemmin ne asiat, joissa esittelijänä toimiva virkamies olisi toimivaltainen ratkaisemaan asian, sekä muut asiaan liittyvät edellytykset.

Asian päättäminen tietosuojavaltuutetun toimistossa voi edellyttää hallintopäätöstä, vaikka asiaan liittyvä oikeudellinen kysymys olisikin selvä. Esimerkiksi terveydenhuollon sektorilla rekisteröity usein vaatii omaa asiaansa koskevan hallintopäätöksen myös oikeudellisesti selvissä asioissa. Näin voi olla esimerkiksi tilanteessa, jossa tietosuojavaltuutetun toimistoon on tullut virheen korjausta koskevana kanteluna vireille asia, jossa rekisteröity pyytää esimerkiksi potilaskertomukseen sisältyvän kuvauksen tai lääkärin diagnoosin muuttamista. Myös henkilötietojen tietoturvaloukkauksia koskevissa ilmoituksissa on tyypillisesti asioita, joiden päättäminen edellyttää valituskelpoista hallintopäätöstä, vaikka asia ei edellyttäisi oikeudellisesta harkintaa. Tällainen tilanne voi olla esimerkiksi rekisterinpitäjälle annettava määräys ilmoittaa tietoturvaloukkauksesta rekisteröidyille. Myös muissa asiaryhmissä on vastaavia oikeudellisesti yksinkertaisia asioita, joiden päättäminen edellyttää hallintopäätöstä.

Muutos tukisi perustuslain 21 §:ssä ja hallintolain 23 §:ssä turvattua oikeutta viivytyksettömään käsittelyyn, kun oikeudellisesti yksinkertaiset asiat voitaisiin ratkaista nopeammin ilman esittelymenettelyä. Muutos vapauttaisi samalla resursseja siihen, että tietosuojavaltuutettu ja apulaistietosuojavaltuutetut voisivat keskittyä käsittelemään niitä kysymyksiä, joiden ratkaiseminen edellyttää laajempaa oikeudellista harkintaa rutiininomaisten asioiden käsittelyn sijaan.

Voimassa olevan 15 §:n mukaan tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Tämä säännös sekä 16 §:n säännökset apulaistietosuojavaltuutetun tehtävistä ja toimivaltuuksista rajaavat ratkaisutoimivallan tietosuojavaltuutetulle ja apulaistietosuojavaltuutetuille. Jotta ylitarkastajalle tai muulle tietosuojavaltuutetun toimiston esittelijänä toimivalle virkamiehelle voitaisiin ohjata ratkaisuvaltaa, laissa on tarpeen nimenomaisesti säätää tietosuojavaltuutetun oikeudesta siirtää ratkaisuvaltaa muulle virkamiehelle.

Tietosuojavaltuutetun työjärjestyksen 26 §:n mukaan esittelijät voivat nykyisin tehtävänkuvansa puitteissa ratkaista ilman esittelyä asiat, jotka ovat ilmeisen perusteettomia, eivät vakiintuneen tulkinnan mukaan kuulu tietosuojavaltuutetun toimivaltaan tai joissa vastauksena annetaan yleistä neuvontaa, joka selkeästi noudattaa voimassa olevaa lainsäädäntöä ja tietosuojavaltuutetun toimiston vakiintunutta tulkintalinjaa. Kyse voi olla esimerkiksi ilmeisen perusteettomista vaatimuksista tai siitä, että rekisteröidyn esiin nostama rekisterinpitäjän toiminta on ilmeisen lainmukaista suoraan lain nojalla tai tietosuojavaltuutetun aiemman kannanoton perusteella. Kyse voi olla myös asiasta, jossa mahdollinen rekisterinpitäjän toiminnan virheellisyys ja oikeusturvan tarve on vähäinen, ja asian voidaan arvioida ratkeavan nopeammin neuvomalla rekisteröity asioimaan suoraan rekisterinpitäjän kanssa. Näissä tilanteissa ei nykyisin tehdä ensi vaiheessa hallintopäätöstä. Jos rekisteröity kuitenkin pyytää sitä, asiassa tehdään valituskelpoinen päätös. Ehdotettujen säännösten mukaisissa tapauksissa asian ratkaisu edellyttäisi sen sijaan pääsääntöisesti valituskelpoisen hallintopäätöksen tekemistä.

Ehdotettujen säännösten perusteella ratkaisuvaltaa käyttävät esittelijät käyttäisivät samalla tietosuoja-asetuksen mukaisia toimivaltuuksia. Kaikki 58 artiklassa tarkoitetut toimivaltuudet, erityisesti merkittävimmät korjaavat toimivaltuudet kuten huomautuksen antaminen tai seuraamusten määräämiseen liittyvät toimivaltuudet, eivät kuitenkaan tulisi kyseeseen. Seuraamusten määräämiseen sovellettavasta menettelystä myös säädetään erikseen tietosuojalaissa. Ratkaisuihin ei myöskään liittyisi uudenlaista oikeudellista harkintaa. Tietosuoja-asetuksen 58 artiklan 6 kohta mahdollistaa sen, että jäsenvaltion laissa säädetään myös muista toimivaltuuksista kuin artiklan 1–3 kohdassa tarkoitetut valtuudet. Muiden valtuuksien käyttäminen ei saa haitata VII luvun tehokasta toimivuutta. Ehdotetut säännökset eivät vaikuttaisi tietosuoja-asetuksen VII luvun soveltamiseen kielletyllä tavalla.

Tietosuojavaltuutettu on tietosuoja-asetuksessa ja rikosasioiden tietosuojadirektiivissä tarkoitettu valvontaviranomainen. Tietosuojalain 8 §:n 2 momentin mukaan tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Riippumattomuus on myös EU:n tietosuojalainsäädännössä keskeinen henkilötietojen suojaa valvoville viranomaisille asetettu edellytys. Yleisen tietosuoja-asetuksen 54 artiklan mukaan valvontaviranomaisen on toimittava täysin riippumattomasti hoitaessaan tehtäviään ja käyttäessään valtuuksiaan. Vaatimus henkilötietojen suojaa valvovan viranomaisen riippumattomuudesta sisältyy myös EU:n perusoikeuskirjan 8 artiklan 3 kohtaan sekä SEUT 16 artiklan 2 kohtaan.

Unionin tuomioistuin on ratkaisukäytännössään arvioinut henkilötietojen suojaa koskevan valvontaviranomaisen riippumattomuuden toteutumista. Tuomioistuin on pitänyt riippumattomuudesta varmistumisen kannalta keskeisenä, että ulkopuoliset eivät voi vaikuttaa valvontaviranomaisen päätöksiin suoraan taikka välillisesti. Sitä vastoin tuomioistuin ei ole pitänyt riittävänä, että valvontaviranomaisen jäsenet ovat toiminnassaan riippumattomia. Valvonnan on oltava objektiivista, tehokasta ja luotettavaa, jotta voidaan vahvistaa valvontaviranomaisen päätöksen kohteen oikeussuojaa (C-518/07, C-614/10 ja C-288/12). Ehdotetut säännökset tehostaisivat valvontaa niissä asioissa, joita muutokset koskisivat, ja siten myös vaikuttaisivat myönteisesti päätösten kohteiden oikeussuojaan. On kuitenkin tärkeää, että ehdotetuilla säännöksillä ei vaaranneta luottamusta valvonnan objektiivisuuteen. Tästä syystä säännökset ehdotetaan rajattavaksi sellaisiin asioihin, joissa lain soveltamiskäytäntö on vakiintunut. Koska säännökset liittyisivät oleellisesti lain soveltamiseen, on myös oleellista, että tietosuojavaltuutetulla säilyy ratkaisuvalta siitä, missä asioissa soveltamiskäytännön voidaan katsoa vakiintuneen siinä määrin, että ratkaisuvallan siirto on mahdollista. Yleiset hyvän hallinnon periaatteet, kuten hallintolaissa viranomaisen toiminnalle asetettu puolueettomuusvaatimus, koskevat kaikkia virkamiehiä. Ehdotetut säännökset eivät myöskään vaikuttaisi tietosuojavaltuutetun tai apulaistietosuojavaltuutettujen riippumattomuuteen.

Valvontaviranomaista koskevien kansallisten säännösten kannalta yleisen tietosuoja-asetuksen 54 artikla on keskeinen. Artiklassa velvoitetaan jäsenvaltiot säätämään valvontaviranomaisen perustamista koskevista säännöistä. Kunkin jäsenvaltion on säädettävä valvontaviranomaisen perustamisesta sekä pätevyydestä ja kelpoisuusehdoista, joita kunkin valvontaviranomaisen jäseneksi nimitettävältä edellytetään. Lisäksi jäsenvaltioiden tulee säätää valvontaviranomaisen jäsenen tai jäsenten nimittämiseen sovellettavista säännöistä tai menettelyistä sekä kunkin valvontaviranomaisen jäsenen tai jäsenten toimikauden kestosta, jonka on oltava vähintään neljä vuotta.

Tietosuojalain esitöissä valvontaviranomaisen jäseninä on pidetty tietosuojavaltuutetun lisäksi apulaistietosuojavaltuutettuja. (HE 9/2018 vp, s. 94-95). Tietosuojalaissa säädetään näiden kelpoisuusvaatimuksista, nimittämisperusteista ja toimikauden kestosta tietosuoja-asetuksen 54 artiklan mukaisesti. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto. Sen sijaan tietosuojavaltuutettu nimittää toimiston virkamiehet sekä ottaa palvelukseen muun toimiston henkilöstön. Esittelijöinä toimivat virkamiehet ovat joko vakinaisia tai määräaikaisia eivätkä he ole tietosuojalain esitöissä omaksutun ratkaisun mukaisesti myöskään tietosuoja-asetuksen 54 artiklassa tarkoitettuja jäseniä, vaan he ovat artiklassa tarkoitettua henkilöstöä. Artikla ei edellytä jäseniä lukuun ottamatta muun henkilöstön pätevyydestä tai kelpoisuusehdoista säätämistä, mutta asettaa velvollisuuden säätää myös henkilöstön velvollisuuksia koskevista edellytyksistä ja yhteensopimattomia ammatteja ja etuja koskevista kielloista toimikauden aikana ja sen jälkeen sekä tehtävien päättymistä koskevista säännöistä. Tietosuojalaki kuitenkin sisältää virkamiesten nimittämistä koskevan säännöksen sekä lain 9 §:ssä säädetyn vaatimuksen tehtäväalaan perehtyneisyydestä. Tietosuojalain 35 §:ssä säädetään lisäksi vaitiolovelvollisuudesta, joka koskee kaikkia tietosuojavaltuutetun toimiston virkamiehiä ja muuta henkilöstöä. Henkilöstön kiellosta harjoittaa yhteensopimatonta toimintaa ei ole tarpeen säätää erikseen, vaan sovellettavaksi tulevat virkamieslain (750/1994) 4 luvun yleiset virkamiehen velvollisuuksia koskevat säännökset, kuten taloudellista tai muuta etua ja sivutoimia koskevat säännökset.

Jokaista esittelijänä toimivaa virkamiestä koskee myös perustuslain 118 §:stä johtuva virkavastuu. Ratkaisuvaltaa käyttävät esittelijät toimisivat henkilökohtaisella virkavastuulla. Virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Esittelijöiden vastuulla oleviin hallintopäätöksiin olisi mahdollista hakea muutosta oikeudenkäynnistä hallintoasioissa annetun lain mukaisesti. Tietosuojavaltuutetun toimiston palveluksessa oleviin virkamiehiin kohdistuu myös laillisuusvalvontaa.

21 §. Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja passiivisuusvalitus. Pykälän otsikko muutettaisiin vastaamaan laajemmin muutettavan pykälän sisältöä siten, että sen loppuun lisätään viittaus passiivisuustilanteita koskevaan oikeussuojakeinoon (passiivisuusvalitus). Pykälään ehdotetaan lisättäväksi säännökset uudesta rekisteröidyn käytettävissä olevasta oikeussuojakeinosta tietosuojavaltuutetun passiivisuustilanteessa. Säännöksillä toteutettaisiin tietosuoja-asetuksen 78 artiklan 2 kohdan edellyttämä oikeussuojakeino. Kyseinen kohta edellyttää, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos 55 ja 56 artiklan nojalla toimivaltainen valvontaviranomainen ei ole käsitellyt kantelua tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn kantelun etenemisestä tai ratkaisusta. Rekisteröidyllä olisi näissä tilanteissa oikeus tehdä valitus hallinto-oikeudelle.

Pykälään lisättäisiin uusi 3 momentti, jolla mukautettaisiin tietosuoja-asetuksen 78 artiklan 2 kohtaa siten, että laissa säädettäisiin asian käsittelyä koskevasta määräajasta. Ehdotetun momentin mukaan tietosuojavaltuutetun olisi käsiteltävä tietosuoja-asetuksen 77 artiklan nojalla vireille tullut kanteluasia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei ole käsiteltävissä tässä ajassa, tietosuojavaltuutetun olisi ilmoitettava tässä ajassa rekisteröidylle arvio päätöksen antamisajankohdasta. Momentti ei edellyttäisi yksiselitteisesti asian käsittelyä kolmessa kuukaudessa, vaan vähintään rekisteröidylle annettavaa ilmoitusta. Tietosuoja-asetuksen 78 artiklan 2 kohta ei myöskään edellytä, että tietosuojavaltuutetun olisi ratkaistava asia kolmen kuukauden kuluessa, vaan että rekisteröidylle vähintään ilmoitetaan asian etenemisestä. Momentissa kuitenkin säädettäisiin tietosuoja-asetusta tarkemmin, mitä asian etenemisestä ilmoittamisella tarkoitetaan. Päätöksen antamisajankohtaa koskevaa ilmoitusta pidettäisiin käsittelytoimena, jolla rekisteröidylle ilmoitetaan, miten asia etenee ja milloin ratkaisu on odotettavissa. Koska tietosuojavaltuutetun käsiteltävänä olevat kanteluasiat ovat laadultaan ja laajuudeltaan hyvin erilaisia, laissa ei ole mahdollista asettaa sellaista yksiselitteistä määräaikaa, jonka kuluessa kaikki kanteluasiat olisi käsiteltävä. Toisaalta kaikissa tietosuojavaltuutetun käsiteltävänä olevissa kanteluasioissa ei ole tarpeen tehdä hallintopäätöstä. Tämän vuoksi tietosuojavaltuutettu voisi vaihtoehtoisesti joko käsitellä asian kolmen kuukauden kuluessa sen vireilletulosta tai, jos tämä ei ole mahdollista, ilmoittaa rekisteröidylle kyseisen asian laadun ja laajuuden perusteella arvioidun päätöksen antamisajankohdan. Läheskään kaikkia asioita ei ole mahdollista ratkaista kolmen kuukauden kuluessa, vaan esimerkiksi asian kansainvälisellä luonteella tai monimutkaisuudella sekä asian vaatimilla selvityksillä on oleellisesti vaikutusta asian käsittelyn kestoon kokonaisuutena. Myös rekisterinpitäjän yhteistyöllä voi olla joskus huomattavastikin vaikutusta siihen, miten nopeasti asia on ratkaistavissa. Lisäksi rikosasioiden tietosuojalain soveltamisalaan kuuluvissa asioissa esimerkiksi mahdollisen esitutkinnan vaiheella voi olla vaikutusta siihen, onko asiassa mahdollista vielä tehdä ratkaisua.

Ehdotettu asian käsittelyä tai rekisteröidylle annettavaa ilmoitusta koskeva vaatimus olisi erityissäännös, jolla tehostettaisiin hallintolaista nykyisin seuraavia vaatimuksia ajallisesti. Hallintolaista seuraa vaatimus esittää käsittelyaika-arvio asianosaisen pyynnöstä, kun ehdotetut tietosuojalain säännökset tarkoittaisivat, että se on esitettävä ilman pyyntöä. Säännöksillä samalla pyrittäisiin edistämään hyvää hallintotapaa siten, että asian käsittelyn edellyttämiä toimenpiteitä arvioitaisiin ja asiaa käsiteltäisiin siinä määrin kuin se on kolmen kuukauden kuluessa kohtuullista.

Hyvään hallintoon on myös yleisemmin katsottu kuuluvan, että asiat tulee käsitellä asian laatu ja siihen vaikuttavat olosuhteet huomioon ottaen kohtuullisessa ajassa. Käsittelyn vaatima aika voi vaihdella tapauskohtaisesti huomattavasti. (HE 72/2002 vp s. 79-81) Laillisuusvalvonnassa on kiinnitetty hallintolain tulkinnassa huomiota siihen, että arvion paikkansapitävyydeltä ei voida vaatia ehdotonta luotettavuutta. Asian monimutkaisuus ja käsittelyn aikana mahdollisesti tapahtuvat olosuhteiden muutokset saattavat hidastaa hakemuksen käsittelyä. Jos arviosta myöhemmin ilmenevien syiden vuoksi joudutaan joustamaan, asianosainen voisi pyytää viranomaiselta uuden arvion päätöksen antamisajankohdasta. Samalla asianosaiselle tulisi ilmoittaa syy käsittelyn viivästymiseen. (esim. OKV/1717/10/2022, OKV/3473/10/2021, OKV/340/10/2020, OKV/138/1/2016) Tietosuojavaltuutetun osalta laillisuusvalvonnassa on katsottu, että käsittelyaika-arvion tulee olla yksittäisessä asiassa annettu arvio, eikä kyseisen asiaryhmän keskimääräistä käsittelyaikaa koskeva tieto. Vaikka arvio voikin olla suuntaa antava, tulee sen kuitenkin perustua kyseisen yksittäisen asian käsittelyyn ja olla todellisuutta vastaava (OKV/631/10/2021).

Ehdotetun 4 momentin mukaan, jos tietosuojavaltuutettu laiminlöisi 3 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen, rekisteröidyllä olisi oikeus tehdä valitus hallinto-oikeudelle. Valituksen katsottaisiin tässä tapauksessa kohdistuvan asian käsittelyä koskevaan kielteiseen päätökseen. Tietosuojavaltuutetun käsiteltäväksi saatetuissa kanteluasioissa ei ole välttämättä kyse konkreettisen rekisteröidyn pyynnön tai vaatimuksen käsittelystä. Kanteluasioissa ei ole myöskään aina mahdollista tehdä eroa kielteisen tai myönteisen päätöksen välillä, eikä rekisteröidylle tehtävässä ilmoituksessa tehdä erityistä päätöstä. Käytännössä kielteisessä päätöksessä kyse olisi siitä, että tietosuojalainsäädännön edellyttämät käsittelytoimenpiteet puuttuvat eli kanteluasiaa ei ole otettu vielä käsiteltäväksi. Valitus voitaisiin siten tehdä, jos tietosuojavaltuutettu ei ole tehnyt valituskelpoista hallintopäätöstä tai muutoin käsitellyt kanteluasiaa kolmen kuukauden kuluessa asian vireilletulosta tai vähintään ilmoittanut tässä ajassa rekisteröidylle arvion päätöksen antamisajankohdasta. Momentissa tarkoitettu valitus olisi tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai ilmoittanut arvion päätöksen antamisajankohdasta. Tietosuojavaltuutetun katsottaisiin noudattaneen määräaikaa, kun rekisteröity on saanut vähintään arvion päätöksen antamisajankohdasta. Niissä tilanteissa, joissa tietosuojavaltuutettu on tehnyt rekisteröidyn asiaa koskevan hallintopäätöksen, rekisteröidyllä olisi oikeus hakea siihen muutosta tietosuojalain 25 §:n mukaisesti. Oikeussuojakeino rajoittuisi niihin asioihin, jotka saatetaan käsiteltäväksi tietosuoja-asetuksen 77 artiklan nojalla. Menettelyä ei sovellettaisi muihin tietosuojalain 21 §:n 1 momentin perusteella vireille tulleiden asioiden käsittelyn viivästystilanteisiin, joissa on tyypillisesti kyse neuvonannosta tai erilaisiin tiedusteluihin vastaamisesta.

Oikeussuojakeinona valitus tarjoaisi rekisteröidylle tehokasta oikeussuojaa tietosuoja-asetuksen 77 artiklassa tarkoitetussa tilanteessa. Valitusasian käsittelyyn sovellettaisiin samoja säännöksiä kuin muiden valitusasioiden käsittelyyn. Se, että valitus on myös tosiasiallisesti rekisteröidyn käytettävissä, varmistettaisiin sillä, että passiivisuustilanne katsottaisiin kolmen kuukauden jälkeen asian käsittelyä koskevaksi kielteiseksi päätökseksi.

24 §. Hallinnollinen seuraamusmaksu. Pykälän 1 momentin suomenkielistä sanamuotoa ehdotetaan muutettavaksi tekemällä siihen tietosuoja-asetukseen perustuva tekninen täsmennys, jolla luovuttaisiin termin hallinnollinen sakko käytöstä. Tietosuoja-asetuksen 83 artiklan oikaistun muodon mukaisesti momentissa käytettäisiin siinä tarkoitetusta hallinnollisesta sanktiosta pelkästään termiä hallinnollinen seuraamusmaksu. Lisäksi täsmennys olisi linjassa sen sääntelyperiaatteen kanssa, että hallinnollisesta sanktiosta ei tule käyttää ilmaisua, joka voi viitata rikosoikeudelliseen rangaistukseen.

29 §. Henkilötunnuksen käsittely. Pykälän 1 momenttia ehdotetaan muutettavaksi lisäämällä sen toiseen virkkeeseen säännöksen sisäinen yksilöinnin määritelmä. Voimassa oleva 29 § ei sisällä henkilön tunnistamisen ja yksilöinnin määritelmiä. Perustuslakivaliokunnan mielestä tunnistaminen ja yksilöinti on syytä määritellä selkeästi laissa (PeVL 87/2022 vp, kohta 4). Henkilötunnusta saisi käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää: 1) laissa säädetyn tehtävän suorittamiseksi; 2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai 3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että sen tarkoitus mahdollistaa henkilötunnuksen käsittely rekisteröidyn yksilöimiseksi ilmenee 1 momentin tavoin selkeämmin laista. Momentin täsmentäminen on tarpeen sen varmistamiseksi, että säännöksen tarkoitus on selvä ja vastaa sen alkuperäistä tarkoitusta. Voimassa olevan pykälän 2 momentti ei sisällä nimenomaista sääntelyä tunnuksen käyttötarkoituksesta momentissa mainituilla toimialoilla ja käyttötilanteissa, vaan käyttö yksilöintitarkoitukseen ilmenee ainoastaan säännöksen esitöistä. Voimassa olevan lain esitöissä todetaan, että soveltamiskäytännössä henkilötunnuksen käsittely on 2 momentissa luetelluissa toiminnoissa yleensä katsottu tarpeelliseksi henkilön yksiselitteisen yksilöinnin varmistamiseksi. Näissä tapauksissa henkilön luotettava yksilöinti on usein välttämätöntä jo rekisteröidyn oikeusturvankin kannalta (HE 9/2018 vp, s. 113). Momenttia täsmennettäisiin lisäksi kielellisesti.

Pykälän 4 momentissa termi ”henkilörekisteri” korvattaisiin termillä ”rekisteri” säännöksen yhtenäistämiseksi rikosasioiden tietosuojalain vastaavan säännöksen kanssa. Samalla termi vastaisi tietosuoja-asetuksen 4 artiklan 6 kohdan määritelmää. Momentin suomenkielistä sanamuotoa täsmennettäisiin myös kielellisesti.

Pykälään ehdotetaan lisättäväksi uusi 5 momentti, jossa säädettäisiin rajoituksesta henkilötunnuksen käsittelyyn rekisteröidyn tunnistamisen yhteydessä. Momentissa kiellettäisiin rekisteröidyn henkilöllisyyden selvittäminen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) yksinomaan henkilötunnuksella tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmän perusteella. Säännöksellä ei olisi tarkoitus muuttaa nykytilaa. Säännöksellä täsmennettäisiin ja selkiytettäisiin henkilötunnuksen alkuperäistä käyttötarkoitusta toimia rekisteröityjen yksilöintikeinona rajoittamalla henkilötunnuksen käsittelyä tunnistamistilanteissa. Momentti sisältäisi myös säännöksen sisäisen tunnistamisen määritelmän.

Voimassa olevan tietosuojalain 29 §:n esitöistä ilmenee, että henkilötunnuksen käyttötarkoituksena on nimenomaan henkilön yksilöiminen. Esitöissä todetaan, että henkilötunnus on tarkoitettu erottamaan henkilö muista henkilöistä, mutta henkilötunnuksen ilmoittaminen tai esittäminen ei ole välttämättä tae siitä, että kyseessä on henkilötunnuksen tarkoittama henkilö. Edelleen esitöissä todetaan, että 1 momentin kaikissa tapauksissa henkilötunnuksen käsittelyn perusedellytyksenä on, että rekisteröidyn yksiselitteinen yksilöiminen on tärkeää säännöksessä mainitun tehtävän suorittamiseksi. Tämän vuoksi esimerkiksi pelkkä laissa säädetyn tehtävän helpompi tai nopeampi suorittaminen henkilötunnuksen avulla ei oikeuttaisi henkilötunnuksen käsittelyä, vaan käsittely olisi sallittua ainoastaan silloin, kun rekisteröidyn yksiselitteinen yksilöiminen on tärkeää tehtävästä suoriutumiseksi (HE 9/2018 vp, s. 113). Edelleen esitöiden perustelut pykälän 2 momentille ilmentävät henkilötunnuksen käyttötarkoitusta henkilön yksilöintiin.

Myös väestötietojärjestelmästä ja Digi- ja väestötietoviraston varmennepalveluista annetun lain (661/2009) henkilötunnuksen antamista koskevissa yksityiskohtaisissa perusteluissa tuodaan ilmi, että tunnuksen käytön kannalta olisi otettava huomioon, ettei henkilön tunnistamisen tulisi tapahtua pelkästään tunnuksen avulla, vaan siihen tulisi aina käyttää lisäksi muita tietoja ja havaintoja henkilöstä (HE 89/2008 vp, s. 72).

Henkilötunnuksen ongelmaksi on muodostunut, että tunnusta käytetään sen käyttötarkoituksen, henkilön yksiselitteisen yksilöimisen, lisäksi joissakin tilanteissa henkilön tunnistamiseen joko yksin tai yhdessä henkilön nimen kanssa. Henkilötunnuksen käyttö salasanan kaltaisena tietona perustuu oletukseen, että kyky ilmoittaa tunnus osoittaisi asiakkaan olevan kyseisen tunnuksen oikea haltija. Käytännössä tämä perustuu myös laajasti siihen, että ihmiset yleensä muistavat oman henkilötunnuksensa, minkä lisäksi yleisesti ajatellaan henkilötunnuksen olevan vain oikean haltijansa tiedossa. Tosiasiallisesti henkilötunnus voi kuitenkin olla useiden ihmisten tiedossa, minkä vuoksi toisen henkilön henkilötunnuksen avulla on mahdollista päästä esiintymään toisen henkilön identiteetillä. Esimerkiksi terveydenhuollon palveluissa ja etenkin puhelinpalvelussa on mahdollista saada tietoonsa salassa pidettäviä toisen henkilön terveystietoja esiintymällä tämän henkilötunnuksella. Henkilötunnuksen avulla voi myös tunnistautua joihinkin verkkopalveluihin. Voimassa olevassa tietosuojalain 29 §:ssä ei kielletä henkilötunnuksen käyttöä edellä kuvatulla tavalla, vaikkakin tämä on ollut lain tarkoitus.

Digi- ja väestötietoviraston tilaaman selvityksen perusteella monessa organisaatiossa on vaikeuksia erottaa yksilöinnin ja tunnistamisen erot (Digi- ja väestötietovirasto – henkilötunnuksen käyttö tunnistamisessa – loppuraportti 18.6.2021, s. 12). Henkilön yksilöinnillä tarkoitetaan esimerkiksi asiakkaan ja hänen tietojensa erottamista muista samaan rekisteriin kuuluvista tiedoista. Henkilötunnusta käytetään usein henkilöiden yksilöimiseen esimerkiksi asiakasrekisterissä. Tunnistamisella tarkoitetaan esimerkiksi tilannetta, jossa virkailija tunnistaa asiakkaan vertaamalla asiakkaan kertomia tunnistetietoja rekisterissä oleviin tietoihin. Tunnistamisella ja yksilöinnillä on eri tavoite, jonka vuoksi käsittelytoimet tulisi aina havaita toisistaan eroaviksi toimenpiteiksi.

Suomen lainsäädäntö ei sisällä kaikkea toimintaa kattavia määritelmiä luonnollisen henkilön yksilöinnistä tai tunnistamisesta eikä henkilöllisyyden varmentamisesta tai todentamisesta. Sen sijaan rahanpesulaki sisältää asiakkaan tunnistamisen ja henkilöllisyyden todentamisen määritelmät ja laissa säädetään myös näitä koskevista menettelyistä. Rahanpesulain 1 luvun 4 §:n 1 momentin 6 kohdan mukaan tunnistamisella tarkoitetaan asiakkaan henkilöllisyyden selvittämistä asiakkaan toimittamien tietojen perusteella. Momentin 7 kohdan mukaan henkilöllisyyden todentamisella tarkoitetaan asiakkaan henkilöllisyyden varmistamista luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella. Käytännössä tämä tarkoittaa esimerkiksi passia tai henkilökorttia. Ehdotetussa 5 momentissa tunnistamisen määritelmän lähtökohta olisi sama kuin rahanpesulaissa.

Tietosuojalaissa ei säädettäisi siitä, minkälaisia tunnistamiskäytäntöjä rekisterinpitäjän olisi käytettävä, eikä siitä, missä tilanteissa henkilön tunnistamisen lisäksi henkilöllisyys olisi todennettava esimerkiksi henkilökortin tai passin avulla. Tietosuojalain 29 §:n säännökset koskevat pelkästään henkilötunnuksen käsittelyn edellytyksiä. Asiakkaan tunnistamisessa henkilötunnuksen käyttäminen yhtenä tunnistamistietona vahvistaisi tunnistamista joissakin tilanteissa, mutta luonnollisen henkilön varma ja luotettava tunnistaminen ei voisi perustua pelkästään henkilötunnukseen tai henkilötunnuksen ja nimen yhdistelmään. Tunnistaminen olisi sitä vahvempi, mitä useampaa henkilötietoa tarkoitukseen käytettäisiin.

Puhelinasioinnissa rekisteröidyltä voidaan tunnistamistilanteessa kysyä esimerkiksi asiakasnumeroa, osoitetta, henkilötunnusta sekä turvakysymyksiä. Käyntiasioinnissa rekisteröidyltä voidaan joissakin tilanteissa edellyttää virallista henkilöllisyyden osoittavaa asiakirjaa. Muita tyypillisiä rekisteröidyn tunnistamisen tapoja ovat muun muassa vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009, jäljempänä tunnistuslaki) tarkoitettu vahva sähköinen tunnistaminen tai salasanan syöttäminen järjestelmään. Vahva sähköinen tunnistaminen on henkilötunnuksen tunnistuskäytön korvaamisen näkökulmasta kestävin ja turvallisin ratkaisu käsittelytilanteissa, joihin liittyy erityisen korkeita riskejä. Rekisterinpitäjien käytettävissä on pankeilta ja mobiilioperaattoreilta saatavia palveluita. Kaikkien näiden menettelyjen tarkoituksena on varmistua siitä, että asioiva luonnollinen henkilö on se, joka hän väittää olevansa.

Rekisterinpitäjä saisi rekisteröidyn tunnistamistarkoituksessa edelleen käyttää henkilötunnusta yhtenä tietona muiden joukossa. Rekisterinpitäjä ei kuitenkaan voisi rakentaa tunnistamiskäytäntöjään yksinomaan henkilötunnuksen ja nimen kysymisen varaan. Rekisterinpitäjän tulisi rakentaa esimerkiksi puhelinasioinnissa tapahtuva tunnistaminen siten, että tunnistettavalta henkilöltä kysyttäisiin muitakin tunnistetietoja, kuten asiakasnumeroa tai muita asiakassuhteelle tyypillisiä lisätietoja, jotka eivät olisi helposti kaikkien saatavilla. Esimerkiksi kotikunta- tai osoitetietoa ei voitaisi pitää riittävinä lisätietoina henkilön varman ja luotettavan tunnistamisen kannalta. Mikäli henkilötunnuksen kysyminen katsottaisiin tarpeelliseksi käyntiasioinnin yhteydessä tapahtuvassa tunnistamisessa, voitaisiin rekisteröity tunnistaa kysymällä henkilötunnuksen lisäksi esimerkiksi muita asiointiin liittyviä lisätietoja, kuten asiakaskorttia tai asiakasnumeroa. Rekisterinpitäjän olisi kuitenkin arvioitava soveltuvia lisätietoja tapauskohtaisesti, huomioiden käsittelytilanteeseen liittyvät riskit. Tilanteessa, jossa asiakas on joutunut tietomurron tai identiteettivarkauden kohteeksi, myöskään asiakasnumero ei tuo lisävarmuutta tunnistamiseen, jos on todennäköistä, että se on rikoksen kautta päätynyt asiakassuhteen ulkopuolisen henkilön tietoon. Hyvänä käytäntönä voisi toimia esimerkiksi se, että puhelinasioinnissa asiakkaalta kysytään hänen tunnistamisekseen henkilötunnuksen lisäksi useampi kuin yksi kysymys, joka liittyy asiakkaan asiaan kyseisessä palvelussa. Toisaalta joissakin puhelinasiointitilanteissa saattaa olla kysymys ainoastaan esimerkiksi ajan varaamisesta palveluun pääsemiseksi. Näissäkin tilanteissa rekisterinpitäjän olisi riskiperusteisesti arvioitava, mitä tietoja rekisteröidyltä edellytetään. Henkilötunnuksen käyttäminen henkilön tunnistamiseen voi myös perustua erityislakiin.

Tunnistamiskäytäntöjä rakentaessa rekisterinpitäjän olisi kiinnitettävä erityistä huomiota siihen, olisiko kyse ns. ensivaiheen tunnistamisesta esimerkiksi asiakassuhteen aloittamiseksi, jossa saattaa asian laadusta riippuen olla korkeampi riski identiteettivarkauksille kuin voimassa olevan asiakassuhteen hoitamiseen liittyvässä tunnistamisessa, tai jossa toisen henkilön identiteetin hyödyntämisestä seuraisi erityistä haittaa tai vahinkoa, kuten taloudellisia menetyksiä. Ensivaiheen tunnistamisessa voi usein olla tarpeen tunnistaa henkilö todentamalla henkilöllisyys esimerkiksi henkilöllisyyden osoittavasta asiakirjasta tai edellyttämällä vahvaa sähköistä tunnistautumista. Rekisterinpitäjän olisi myös kiinnitettävä huomiota siihen, että tunnistamiskäytäntöjä ja -välineitä valitessa olisi otettava huomioon EU:n yleisessä tietosuoja-asetuksessa omaksuttu riskiperusteinen lähestymistapa, joka edellyttää rekisterinpitäjää arvioimaan henkilötietojen käsittelyn riskitasoa, johon vaikuttaa erityisesti käsiteltävien henkilötietojen arkaluonteisuus ja se, ovatko asiointitilanteessa käsiteltävät tiedot salassa pidettäviä. Korkean riskin käsittelytilanteissa ei lähtökohtaisesti tulisi käyttää henkilötietojen kysymiseen perustuvia tunnistamiskäytäntöjä. Toisaalta rekisterinpitäjä voi joutua arvioimaan myös sitä, voisiko vahinkoa seurata siitä, että rekisteröidyn pyytämään toimenpiteeseen ei suostuttaisi yksinkertaisen, henkilötietojen tarkistamiseen perustuvan tunnistamisen avulla. Menetelmän käyttäminen voisi siten olla tarpeen esimerkiksi kiireellisessä palvelun passivointi- tai sulkupyynnön tilanteessa, eikä ehdotetun lainmuutoksen tarkoituksena ole rajoittaa sitä. Myös tällaisessa tilanteessa rekisterinpitäjän olisi kuitenkin arvioitava, mitä henkilötietoja se pitää riittävinä. Ehdotus ei myöskään rajoita sellaisia sulku- ja passivointipalveluita, joissa henkilötunnusta käsitellään ainoastaan rekisteröidyn yksilöintitarkoitukseen, eikä palvelun käyttäjää ole tarpeen tunnistaa.

Ehdotetulla sääntelyllä ei olisi vaikutusta henkilötunnuksen käsittelyyn esimerkiksi vahvan sähköisen tunnistamisen palveluiden tarjoamisen yhteydessä. Tunnistuslaki edellyttää, että tunnistuspalvelun tarjoajan ja luottamuspalveluja tarjoavan varmentajan tulee tarkastaa hakijalta tämän henkilötunnus tarkastaessaan hakijan henkilöllisyyden.

Ehdotettu 5 momentti vastaisi tietosuojavaltuutetun toimiston verkkosivustolla julkaistua voimassa olevaa ohjeistusta, jonka mukaan rekisterinpitäjä ei saa rakentaa tunnistamiskäytäntöjään yksinomaan henkilötunnuksen ja nimen kysymisen varaan. Edelleen ohjeessa todetaan, että henkilötunnusta saa kuitenkin kysyä yhtenä tietona muiden joukossa, kun henkilö soittaa esimerkiksi yrityksen asiakaspalveluun, terveydenhuollon toimintayksikköön tai viranomaiselle. Erityislainsäädännössä on kuitenkin mahdollista säätää yksityiskohtaisemmin esimerkiksi asiakkaan tuntemismenettelyistä tai henkilöllisyyden selvittämisestä. Tietosuojalainsäädännössä säädetään pelkästään henkilötunnuksen käsittelyn edellytyksistä, mikä on eri asia kuin asiakkaan tuntemis- tai tunnistamismenettelyt, henkilöllisyyden todentamismenettelyt tai henkilöllisyyden selvittämistä koskevat toimivaltuudet ja menettelyt. Erityissäännöksiä menettelyistä sisältyy esimerkiksi rahanpesulakiin ja poliisilakiin (872/2011) sekä tunnistuslakiin.

7.2 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

12 §. Henkilötunnuksen käsittely. Pykälän 1 momenttia ehdotetaan muutettavaksi tietosuojalain 29 §:n 1 momenttia vastaavasti lisäämällä sen toiseen virkkeeseen säännöksen sisäinen yksilöinnin määritelmä.

Pykälään ehdotetaan lisättäväksi uusi 3 momentti, jossa säädettäisiin rajoituksesta henkilötunnuksen käsittelyyn rekisteröidyn tunnistamisen yhteydessä. Momentissa kiellettäisiin rekisteröidyn henkilöllisyyden selvittäminen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) yksinomaan henkilötunnuksen tai henkilötunnuksen ja nimen yhdistelmän perusteella. Säännöstä sovellettaisiin henkilötietojen käsittelyssä, joka kuuluu EU:n yleisen tietosuoja-asetuksen ja tietosuojalain sijaan rikosasioiden tietosuojalain soveltamisalaan. Momentti vastaisi sisällöltään ehdotettua tietosuojalain 29 §:n 5 momenttia, jonka yksityiskohtaiset perustelut on selostettu edellä, ja sisältäisi sitä vastaavasti tunnistamisen määritelmän.

Myöskään rikosasioiden tietosuojalain säännökset eivät vaikuttaisi luonnollisen henkilön tunnistamiseen tai henkilöllisyyden todentamiseen tai selvittämiseen käytettäviin menettelyihin, joista säädetään muualla laissa. Esimerkiksi poliisilain 2 luvun 1 §:ssä säädetään poliisin toimivaltuuksista henkilöllisyyden selvittämiseksi. Rikosasioiden tietosuojalain 2 §:n 1 momentti myös mahdollistaa laista poikkeamisen erityislainsäädännössä. Momentin mukaan, jos muussa laissa on tästä laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta. Siltä osin kuin on kuitenkin kyse direktiivin (EU) 2016/680 täytäntöönpanosäännöksistä, erityislainsäädännössä ei ole mahdollista poiketa direktiivin edellyttämästä tietosuojan vähimmäistasosta. Jäsenvaltioiden on kuitenkin mahdollista säätää korkeammasta tietosuojan tasosta.

13 §. Automatisoidut yksittäispäätökset. Pykälän 1 momenttia ehdotetaan täsmennettäväksi siten, että profilointi mainittaisiin nimenomaisesti automatisoidun henkilötietojen käsittelyn muotona. Täsmennys perustuisi rikosasioiden tietosuojadirektiivin 11 artiklan 1 kohdan vaatimuksiin. Ehdotetun muutoksen mukaan, jollei laissa toisin säädetä, päätöstä ei saisi tehdä pelkästään automatisoidun henkilötietojen käsittelyn kuten profiloinnin perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.

Kyse olisi teknisluonteisesta täsmennyksestä, jolla ei olisi tarkoitus laajentaa automatisoituihin yksittäispäätöksiin liittyvää kieltoa nykyisestä. Voimassa olevaan pykälään kuitenkin liittyy riski tulkita sen soveltamisalaa liian suppeasti direktiivin tarkoitukseen nähden. Selkeyssyistä olisi siten perusteltua, että laista kävisi ilmi profiloinnin asema yhtenä automatisoidun päätöksenteon muotona. Myös yleisen tietosuoja-asetuksen 22 artiklassa profilointi mainitaan erikseen automatisoitujen yksittäispäätösten yhteydessä.

57 §. Toimenpidepyynnön käsitteleminen ja passiivisuusvalitus. Voimassa oleva pykälä ehdotetaan korvattavaksi uudella pykälällä. Pykälän otsikkoon lisättäisiin viittaus passiivisuusvalitukseen. Pykälän 1 momentin mukaan tietosuojavaltuutetun olisi käsiteltävä 56 §:n nojalla vireille tullut asia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei olisi käsiteltävissä tässä ajassa, ilmoitettava tässä ajassa rekisteröidylle arvio päätöksen antamisajankohdasta. Säännökset vastaisivat tietosuojalain 21 §:n 3 momenttia ja niillä pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 52 artiklan 4 kohta. Direktiivin kohdasta poiketen 1 momentissa asetettaisiin määräaika, joka koskisi asian käsittelyä, kun direktiivi edellyttää asian ratkaisua kohtuullisessa ajassa. Direktiivin 53 artiklan 2 kohdasta kuitenkin on johdettavissa se, että kolmea kuukautta voidaan pitää kohtuullisena asian ratkaisemisen tai vähintään asian etenemistä koskevan ilmoituksen osalta. Tietosuoja-asetuksen tavoin myöskään direktiivi ei edellytä, että asia olisi ratkaistava kaikissa tapauksissa kolmessa kuukaudessa. Tietosuojalain säännöstä vastaavasti tämä huomioitaisiin siten, että tietosuojavaltuutettu voisi vaihtoehtoisesti ilmoittaa arvion päätöksen antamisajankohdasta. Lisäksi valtuutetun olisi ilmoitettava nykytilaa vastaavasti asian vireillepanijalle, jos käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen.

Voimassa olevan pykälän ensimmäisestä virkkeestä tulisi 2 momentti. Tietosuojavaltuutettu voisi nykytilaa vastaavasti keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa.

Pykälän 3 momentti vastaisi sisällöllisesti tietosuojalain 21 §:n 4 momenttia. Momentilla pantaisiin täytäntöön rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohta. Rekisteröidyllä olisi oikeus tehdä valitus hallinto-oikeudelle, jos tietosuojavaltuutettu laiminlöisi 1 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen. Valitus olisi tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai ilmoittanut rekisteröidylle arvion päätöksen antamisajankohdasta. Valituksen katsottaisiin tässä tapauksessa kohdistuvan asian käsittelyä koskevaan kielteiseen päätökseen.

Rikosasioiden tietosuojalaissa pitäydyttäisiin rikosasioiden tietosuojadirektiivin vaatimuksissa siten, että passiivisuusvalitusta ei sovellettaisi muihin kuin 56 §:n nojalla vireille tuleviin asioihin. Tietosuojavaltuutetun käsiteltäväksi tulee erityisesti niin sanotun välillisen tarkastusoikeuden käyttöä koskevia asioita rikosasioiden tietosuojalain 29 §:n mukaisesti. Pykälän 2 momentissa säädetään erikseen tietosuojavaltuutetun velvollisuudesta ilmoittaa rekisteröidylle toteutetuista toimenpiteistä ja oikeudesta tehdä 56 §:ssä tarkoitettu toimenpidepyyntö. Direktiivi ei edellytä, että rekisteröidyllä tulisi olla oikeus saattaa tällaisia ilmoituksia koskevat passivisuustilanteet tuomioistuimen käsiteltäväksi.

8 Voimaantulo

Ehdotetut lait on tarkoitettu tulemaan voimaan 1.1.2024. Lakeihin sisältyvien siirtymäsäännösten perusteella tietosuojalain 21 §:n uutta 3 ja 4 momenttia ja rikosasioiden tietosuojalain muutettua 57 §:ää ei sovellettaisi vanhoihin, lain voimaan tullessa tietosuojavaltuutetun käsiteltävänä oleviin asioihin. Siirtymäsäännökset ovat tarpeen sen huomioimiseksi, että asian käsittelyn kolmea ensimmäistä kuukautta koskevien säännösten soveltaminen pidempään vireillä olleisiin asioihin ei olisi tarkoituksenmukaista. Säännösten soveltaminen aiemmin vireille tulleisiin asioihin ei olisi myöskään mahdollista ilman kaikkien vireillä olevien asioiden manuaalista läpikäyntiä.

9 Toimeenpano ja seuranta

Ehdotettujen uutta oikeussuojakeinoa koskevien säännösten soveltamista olisi seurattava niiden voimaantuloa seuraavien viiden vuoden aikana sen arvioimiseksi, miten ne toimivat suhteessa nykyisiin rekisteröidyn käytettävissä oleviin oikeussuojakeinoihin. Myös kanteluiden ja valitusten lukumääriä on tarpeen seurata. Arvioinnissa voidaan hyödyntää ylimpien laillisuusvalvojien ja hallinto-oikeuksien ratkaisuja, jotka koskevat tietosuojavaltuutetun passiivisuus- ja viivästystilanteita, sekä näitä koskevia tilastoja.

Lisäksi ehdotettujen lakien voimaantulon jälkeen on tarpeen seurata tietosuojalain 15 §:n uusien säännösten vaikutuksia tietosuojavaltuutetun toimiston työhön ja käsittelyaikoihin. Tässä yhteydessä olisi myös arvioitava, onko käsittelyaikojen seurantaa syytä muutoin tehostaa. Oikeusministeriö toteuttaa seurannan osana vuosittaista tietosuojavaltuutetun työmäärän ja resurssien riittävyyden tarkastelua.

10 Suhde muihin esityksiin

10.1 Suhde talousarvioesitykseen

Esitys liittyy hallituksen esitykseen eduskunnalle valtion talousarvioksi vuodelle 2024 ja on tarkoitettu käsiteltäväksi sen yhteydessä.

11 Suhde perustuslakiin ja säätämisjärjestys

Ehdotetut lainmuutokset ovat merkityksellisiä perustuslain 21 §:n mukaisen oikeusturvan kannalta. Perustuslain 21 §:n 1 momentin mukaan jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa sekä oikeus saada oikeuksiaan ja velvollisuuksiaan koskeva päätös tuomioistuimen tai muun riippumattoman lainkäyttöelimen käsiteltäväksi. Pykälän 2 momentin mukaan käsittelyn julkisuus sekä oikeus tulla kuulluksi, saada perusteltu päätös ja hakea muutosta samoin kuin muut oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeet turvataan lailla. Ehdotettujen säännösten tavoitteena on erityisesti vaikuttaa myönteisesti asioiden viivytyksettömään käsittelyyn tietosuojavaltuutetun toimesta vahvistamalla EU:n perusoikeuskirjan mukaista tehokasta oikeussuojaa.

Ehdotettu sääntely on merkityksellistä myös perustuslain 10 §:n mukaisen yksityiselämän suojan ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on ottanut aiemmin yksityiskohtaisesti kantaa ehdotettuihin tietosuojalain ja rikosasioiden tietosuojalain säännöksiin lakiehdotusten käsittelyn yhteydessä (PeVL 14/2018 vp ja PeVL 30/2018 vp). Hallituksen esityksessä ei ehdoteta muutoksia henkilötietojen käsittelyyn sovellettavia vaatimuksia koskeviin säännöksiin lukuun ottamatta henkilötunnuksen käsittelyn rajoittamista koskevaa ehdotusta, joka on aiemmin ollut perustuslakivaliokunnan käsiteltävänä (PeVL 87/2022 vp). Ehdotetuilla päätöksentekomenettelyä ja oikeusturvaa koskevilla säännöksillä on kuitenkin myös yksityiselämän suojaa ja henkilötietojen suojaa edistävää vaikutusta. Ehdotetut päätöksentekomenettelyä koskevat säännökset ovat lisäksi merkityksellisiä perustuslain 2, 80 ja 119 §:n kannalta.

Oikeusturva ja tehokkaat oikeussuojakeinot

Perustuslain 21 §:n lisäksi oikeusturvasta säädetään EU:n perusoikeuskirjassa, jonka oikeussuojakeinoja koskevien säännösten sanamuoto poikkeaa perustuslain 21 §:stä. Perusoikeuskirjan 47 artiklan mukaan jokaisella, jonka unionin oikeudessa taattuja oikeuksia ja vapauksia on loukattu, on oltava tässä artiklassa määrättyjen edellytysten mukaisesti käytettävissä tehokkaat oikeussuojakeinot tuomioistuimessa. Lisäksi artiklan mukaan jokaisella on oikeus kohtuullisen ajan kuluessa oikeudenmukaiseen ja julkiseen oikeudenkäyntiin riippumattomassa ja puolueettomassa tuomioistuimessa, joka on etukäteen laillisesti perustettu. Jokaisella on oltava mahdollisuus saada neuvoja ja antaa toisen henkilön puolustaa itseään. Perusoikeuskirjan 47 artiklaa täydentävät tietosuoja-asetuksen 78 artiklan ja rikosasioiden tietosuojadirektiivin 53 artiklan säännökset.

Siltä osin kuin perusoikeuskirjan 47 artikla vastaa Euroopan ihmisoikeussopimuksessa taattuja oikeuksia, perusoikeuskirjan 52 artiklan 3 kohdasta seuraa, että perusoikeuskirjan 47 artiklalla on sama merkitys ja soveltamisala kuin vastaavilla ihmisoikeussopimuksen määräyksillä, ja siinä otetaan huomioon Euroopan ihmisoikeustuomioistuimen (EIT) tulkinta. Sen vuoksi perusoikeuskirjan 47 artiklaa tulkittaessa on otettava Euroopan unionin tuomioistuimen oikeuskäytännön lisäksi huomioon myös Euroopan ihmisoikeussopimuksen 6 ja 13 artiklaa koskeva EIT:n oikeuskäytäntö (tuomio 13.3.2007, Unibet, C-432/05, 37 kohta).

Perusoikeuskirjan 47 artiklassa, luettuna yhdessä Euroopan ihmisoikeussopimuksen 13 artiklan kanssa, tarkoitettujen tehokkaiden oikeussuojakeinojen edellytyksenä on, että kansallisilla oikeussuojakeinoilla pystytään estämään väitetty lain rikkominen tai sen jatkaminen ja että jo tapahtuneet loukkaukset voidaan korjata asianmukaisesti (tuomio 26.10.2000, Kudła v. Poland, 158 kohta). Näin ollen käytettävissä olevalla oikeussuojakeinolla on voitava suoraan korjata riidanalainen tilanne (Euroopan ihmisoikeustoimikunnan päätös 2.5.1989, Pine Valley Developments Ltd and Others v. Ireland, valitus nro 12742/87). Lisäksi oikeussuojakeinon on oltava riittävä ja saatavilla (tuomio 25.3.2014, Vuckovic and Others v. Serbia, 71–74 kohta), niin että täytetään velvoite toimia viipymättä (tuomio 26.10.2004, Çelik and İmret v. Turkey, 2004, 59 kohta), ja sen on oltava käytettävissä tuomioistuimessa, jolla on täysi toimivalta tutkia kantelun sisältö (tuomio 12.11.2013, Galina Kostova v. Bulgaria, 59 kohta). Oikeussuojan riittävyyden tarkastelussa olisi otettava huomioon kaikkien kansallisessa oikeudessa säädettyjen oikeussuojakeinojen yhdistelmä, joka voi täyttää perusoikeuskirjan vaatimukset, vaikka mikään yksittäinen oikeussuojakeino ei yksinään niitä täyttäisi (tuomio 26.3.1987, Leander v. Sweden, 77 kohdan c alakohta; edellä mainittu Kudła v. Poland -tuomio, 157 kohta). Joissakin tapauksissa esimerkiksi mahdollisuutta vahingonkorvaukseen on pidetty 13 artiklassa tarkoitettuna tehokkaana oikeussuojakeinona (esim. tuomio 14.3.2002, Paul and Audrey Edwards v. the United Kingdom, 99 kohta). Toisaalta vahingonkorvauksen mahdollisuutta ei pidetty riittävänä korjaamaan sitä, että parlamentin oikeusasiamiestä ja oikeuskansleria ei voitu pitää tehokkaana oikeussuojakeinona, koska näillä elimillä ei ole toimivaltaa tehdä oikeudellisesti sitovaa päätöstä (tuomio 6.6.2006, Segerstedt-Wiberg and others v. Sweden, 118, 120 ja 121 kohta).

Valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies ovat perustuslain mukaan tehtäviltään ja toimivallaltaan toisiinsa nähden rinnasteisia laillisuusvalvontaviranomaisia. Perustuslain esitöissä puhutaan oikeuskanslerista ja oikeusasiamiehestä nimenomaan ylimpinä laillisuusvalvontaviranomaisina (HE 1/1998 vp, s. 165–166). Perustuslain mukaan molemman laillisuusvalvojan yleisenä laillisuusvalvontatehtävänä on valvoa, että tuomioistuimet ja muut viranomaiset sekä virkamiehet, julkisyhteisöjen työntekijät ja muutkin julkista tehtävää hoitaessaan noudattavat lakia ja täyttävät velvollisuutensa. Tehtäväänsä hoitaessaan laillisuusvalvojat valvovat perustuslain mukaan perusoikeuksien ja ihmisoikeuksien toteutumista. (PeVL 14/2018 vp, s. 11) Myös tietosuoja-asetus ja tietosuojalaki ovat osa oikeusjärjestystä, jonka noudattamista ylimmät laillisuusvalvojat valvovat. Laillisuusvalvojien perustuslaillisiin tehtäviin kuuluu myös yksityiselämän ja henkilötietojen suojaa koskevien perus- ja ihmisoikeuksien toteutumisen valvonta. Valvonta kohdistuu myös tietosuojavaltuutettuun. (PeVL 14/2018 vp, s. 11–12)

Valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies valvovat riippumattomina laillisuusvalvojina viranomaistoiminnan lainmukaisuutta paitsi käsittelemällä tähän toimintaan kohdistuvia kanteluja myös puuttumalla epäkohtiin omasta aloitteestaan ja suorittamalla tarkastuksia. Laillisuusvalvojilla on perustuslain 111 §:n mukaan tehtävissään laaja tiedonsaantioikeus, joka käsittää kaikki viranomaisen tai muun julkista tehtävää hoitavan hallussa olevat laillisuusvalvontaa varten tarvittavat tiedot. Ylimpien laillisuusvalvojien harjoittamassa laillisuusvalvonnassa ankarin keino puuttua lainvastaiseen toimintaan on virkasyyte.

Vaikka kantelu valtioneuvoston oikeuskanslerille ja eduskunnan oikeusasiamiehelle täyttää useimmat tehokkaan oikeussuojakeinon vaatimukset siten kuin ne ilmenevät Euroopan ihmisoikeustuomioistuimen ja EU:n tuomioistuimen oikeuskäytännöstä, ylimmät laillisuusvalvojat eivät rinnastu lainkäyttöelimeen eivätkä ne voi suoranaisesti puuttua asian käsittelyyn. Ylimpien laillisuusvalvojien päätöksiin ei voi myöskään hakea muutosta tuomioistuimessa. Siten kantelu valtioneuvoston oikeuskanslerille tai eduskunnan oikeusasiamiehelle ei voi johtaa myöskään muutoksenhaun kautta tietosuoja-asetuksen 78 artiklan ja rikosasioiden tietosuojadirektiivin 53 artiklan tarkoittamaan tuomioistuinkäsittelyyn.

Perustuslakivaliokunta on toistuvasti todennut, että sen valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 33/2022 vp, s. 4/ kohta 12, PeVL 48/2018 vp, s. 6–7, PeVL 31/2017 vp, s. 4). Valiokunnan mukaan on kuitenkin ollut selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (PeVL 33/2022 vp, kohta 12 sekä PeVL 14/2018 vp, s. 13 ja PeVL 20/2017 vp, s. 6).

EU-tuomioistuimen oikeuskäytännön mukaan kansallista sääntelyä ei saa antaa asetuksen soveltamisalalla, ellei asetus nimenomaisesti velvoita tai valtuuta täydentävään kansalliseen sääntelyyn tai muuhun päätöksentekoon (asia C-34/73, Variola, tuomio 10.10.1973, asia C-50/76, Amsterdam Bulb, tuomio 2.2.1977, 33 kohta). Lissabonin sopimuksen voimaantulon jälkeen unionin tuomioistuin on myös vakiintuneesti vahvistanut aikaisemman oikeuskäytännön, joka koskee unionin oikeuden ensisijaisuuden periaatetta, joka velvoittaa kaikki jäsenvaltioiden elimet huolehtimaan unionin eri oikeussääntöjen täyden vaikutuksen toteutumisesta, joten jäsenvaltioiden oikeudella ei voida puuttua siihen vaikutukseen, joka näillä eri oikeussäännöillä katsotaan olevan mainittujen valtioiden alueella (asia C-430/21, RS, tuomio 22.2.2022, 50 kohta, asia C-357/19, Euro Box Promotion ym., tuomio 21.12.2021, 250 kohta oikeuskäytäntöviittauksineen) Tästä oikeuskäytännöstä ilmenee, että unionin oikeuden ensisijaisuuden periaatteen nojalla se, että jäsenvaltio vetoaa kansallisen oikeuden säännöksiin, ei saa vahingoittaa unionin oikeuden yhtenäisyyttä ja tehokkuutta. (asia C-430/21, RS, tuomio 22.2.2022, 51 kohta, asia C-11/70, Internationale Handelsgesellschaft, tuomio 17.12.1970, 3 kohta ja asia C-357/19, Euro Box Promotion ym., tuomio 21.12.2019, 251 kohta).

Valiokunta on myös korostanut, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/2018 vp, PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4).

EU:n yleisen tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan mukaiseen tavoitteeseen varmistaa, että valvontaviranomainen käsittelee rekisteröidyn vireille saattaman asian, voitaisiin päästä lähtökohtaisesti myös olemassa olevien oikeussuojakeinojen avulla. Ehdotetun sääntelyn vaikutukset rekisteröityihin olisivat myös pitkälti nykyisiä oikeussuojakeinoja vastaavat. Kyseiset EU-oikeuden säännökset eivät tule kuitenkaan suoraan sovellettaviksi Suomessa, vaan edellyttävät niiden täydentämistä kansallisilla säännöksillä, eivätkä ne myöskään sisällä kansallista liikkumavaraa. Perusoikeuskirjan 47 artikla myös edellyttää sanamuotonsa mukaisesti, että käytettävissä olevan oikeussuojakeinon on oltava tuomioistuin, ja tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin johdanto-osassa viitataan nimenomaisesti perusoikeuskirjan 47 artiklaan.

Sekä tietosuojalaissa että rikosasioiden tietosuojalaissa säädettäisiin rekisteröidyn oikeudesta tehdä valitus hallinto-oikeudelle tilanteessa, jossa tietosuojavaltuutettu ei ole käsitellyt asiaa kolmessa kuukaudessa sen vireilletulosta tai ilmoittanut tässä ajassa rekisteröidylle arviota päätöksen antamisajankohdasta. Esityksessä ei ehdoteta säännöksiä, jotka menisivät soveltamisalan osalta yleisen tietosuoja-asetuksen 78 artiklan 2 kohdan ja rikosasioiden tietosuojadirektiivin 53 artiklan 2 kohdan vaatimuksia pidemmälle. Laissa säädettäisiin kuitenkin kyseisiä unionin oikeuden säännöksiä täsmällisemmin siitä, minkälainen oikeussuojakeino olisi kyseessä, ja tehostettaisiin nykyisin hallintolaista seuraavia vaatimuksia ajallisesti. Se, että tietosuojavaltuutettu olisi laiminlyönyt kokonaan vastauksen antamisen rekisteröidylle kolmen kuukauden kuluessa, katsottaisiin asian käsittelyä koskevaksi kielteiseksi päätökseksi. Oikeussuojakeino olisi tehokas ja tosiasiallisesti käytettävissä siten kuin Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä on edellytetty. Ehdotettu oikeussuojakeino valvontaviranomaisen passiivisuustilanteessa vahvistaisi osaltaan perustuslain edellyttämiä hyvän hallinnon takeita ja erityisesti käsittelyn joutuisuutta. Samalla ehdotetuilla säännöksillä vahvistettaisiin rekisteröidyn oikeusturvaa viranomaisen passiivisuus- tai viivästystilanteessa. Lisäksi hallituksen esityksen tavoitteena on turvata perusoikeuskirjan 47 artiklan mukaista luonnollisen henkilön oikeutta saada asiansa toimivaltaisen tuomioistuimen käsiteltäväksi.

Henkilötietojen suoja

Perustuslain 10 §:n mukaista suojaa täydentävät ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (Euroopan ihmisoikeussopimus) 8 artiklan mukainen yksityiselämän suoja sekä Euroopan unionin perusoikeuskirjan 7 artiklassa turvattu yksityiselämän suoja ja 8 artiklassa turvattu henkilötietojen suoja. Perustuslain 10 §:n 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Kansallisia henkilötunnuksia koskevista tietosuojavaatimuksista säädetään tietosuoja-asetuksen 87 artiklassa. Rikosasioiden tietosuojadirektiivi ei sisällä asiasta säännöksiä. Tietosuoja-asetuksen 87 artiklan mukaan jäsenvaltiot voivat määritellä tarkemmin erityiset kansallisen henkilötunnuksen tai muun yleisen tunnisteen käsittelyn edellytykset. Tässä tapauksessa kansallista henkilötunnusta tai muuta yleistä tunnistetta on käytettävä ainoastaan noudattaen rekisteröidyn oikeuksia ja vapauksia koskevia asianmukaisia suojatoimia tämän asetuksen mukaisesti.

Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4) Perustuslakivaliokunta katsoo myös, että sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellainen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta. (PeVL 14/2018 vp, s. 5)

Tietosuoja-asetuksen mukaista liikkumavaraa on käytetty tietosuojalain 29 §:ssä ja henkilötunnuksen käsittelyä koskevat säännökset on sisällytetty myös rikosasioiden tietosuojalain 12 §:ään. Ehdotettu henkilötunnuksen käsittelyä rajoittava sääntely olisi mahdollista antaa tietosuoja-asetuksen 87 artiklan kansallisen liikkumavaran puitteissa. Henkilötunnus rinnastettiin henkilötietolaissa arkaluonteisiin tietoihin. Vaikka henkilötunnusta ei voimassa olevassa laissa varsinaisesti rinnasteta niihin, sen käsittelyyn liittyy erityisiä riskejä luonnollisen henkilön oikeuksille ja vapauksille, erityisesti väärinkäytösriskejä. Henkilötunnuksen käyttöä koskeva laintasoinen rajoitussäännös on perusteltu rekisteröidyn suojan vahvistamiseksi. Ehdotetulla sääntelyllä olisi myönteisiä vaikutuksia rekisteröityjen henkilötietojen suojaan erityisesti tilanteissa, joissa on käytössä ns. heikko tunnistamismenettely.

Julkisen vallan käyttö

Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Kaikessa julkisessa toiminnassa on noudatettava tarkoin lakia. Tietosuojavaltuutetun tehtäviin kuuluu julkisen vallan käyttöä, mistä johtuen tietosuojavaltuutetun toimivallasta ja toimivaltuuksien käytöstä tulee säätää perustuslain 119 §:n 2 momentin mukaisesti lailla. Perustuslain 80 §:n 2 momentin mukaisesti muu (kuin 1 momentissa mainittu) viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuutuksen tulee olla soveltamisalaltaan täsmällisesti rajattu.

Perustuslakivaliokunta on aikaisemmassa käytännössään suhtautunut pidättyväisesti mahdollisuuteen poiketa toimivaltaisia viranomaisia koskevista lain säännöksistä. Lähtökohtana on, että erityisesti perusoikeuskytkentäisen sääntelyn yhteydessä toimivaltaisen viranomaisen tulisi ilmetä laista yksiselitteisesti tai muuten täsmällisesti tai että ainakin viranomaisten toimivaltasuhteiden lähtökohdat samoin kuin toimivallan siirtämisen edellytykset ilmenevät laista riittävän täsmällisesti (esim. PeVL 49/2014 vp, s. 4/II, PeVL 9/2014 vp, s. 3/II, PeVL 3/2014 vp, s. 4/I, PeVL 32/2012 vp, s. 6 ja PeVL 2/2012 vp, s. 3). Viranomaiselle ei siten voida lailla antaa täysin rajoituksetonta valtuutta siirtää tehtäviään tai toimivaltaansa toiselle viranomaiselle (esim. PeVL 9/2014 vp, s. 3/II, PeVL 61/2010 vp, s. 5, PeVL 35/2008 vp, s. 3). Jos muulle kuin päällikkövirkamiehelle annetaan laissa ratkaisuvaltaa tai ratkaisuvallan siirto viranomaisen sisäisesti mahdollistetaan laissa, edellä mainitut toimivallan siirtämisen edellytyksiä koskevat huomautukset laissa säätämisen tarpeellisuudesta ovat merkityksellisiä myös näissä tilanteissa. Perustuslakivaliokunta on antanut esimerkiksi tehtävien merkittävyydelle painoarvoa arvioidessaan ehdotettua sääntelyä tarkempien määräysten antamiseksi työjärjestyksessä johtavien kihlakunnanvoutien tehtävistä katsoessaan, että tehtävien perusteista tulee säätää laissa (PeVL 30/2018 vp, s. 2–3). Perustuslakivaliokunta ei ole pitänyt ongelmallisena työjärjestystä koskevaa sääntelyä esimerkiksi silloin, kun työjärjestyksen sisältö on rajautunut koskemaan tuomioistuimen sisäisiä määräyksiä. Tällaisessa tapauksessa sääntelyn voitiin nähdä vahvistavan tuomioistuinten riippumattomuutta toimeenpanovallasta. (PeVL 14/2016 vp, s. 5)

Tietosuojalain muuttamista koskevaan lakiehdotukseen sisältyy säännös, jonka nojalla tietosuojavaltuutettu voisi siirtää ratkaisuvaltaa esittelijänä toimiville virkamiehille asioissa, joissa lain soveltamiskäytäntö on vakiintunut. Perustuslakivaliokunnan myötävaikutuksella on eduskunnassa aiemmin hyväksytty esimerkiksi konkurssiasiamiehen osalta vastaavan säännöksen sisältänyt lakiehdotus (PeVL 69/2018 vp), vaikka perustuslakivaliokunta ei ole nimenomaisesti ottanut ehdotukseen kantaa. Perustuslain tulkintakäytännöstä ei kuitenkaan vaikuttaisi johtuvan erityisiä esteitä säännöksille, joiden nojalla toimivaltaa voitaisiin siirtää viranomaisen sisäisesti, edellyttäen että ainakin merkittävien tehtävien perusteista säädetään laissa ja säännökset täyttävät yleisesti viranomaisen toimivaltuussääntelyn täsmällisyydelle asetettavat vaatimukset. Ratkaisuvallan siirto olisi mahdollista vain rajallisesti, eikä se olisi mahdollista sellaisissa tapauksissa, jotka edellyttäisivät uudenlaista oikeudellista harkintaa. Ehdotetuilla säännöksillä ei olisi valvontaviranomaiselta edellytettyä riippumattomuutta ja objektiivisuutta kaventavaa vaikutusta. Ehdotettu nopeampi päätöksentekomenettely asioissa, joissa lain soveltamiskäytäntö on vakiintunut, vahvistaisi myös osaltaan perustuslain edellyttämiä hyvän hallinnon takeita ja erityisesti käsittelyn joutuisuutta.

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Ponsi

Koska direktiivissä ja asetuksessa on säännöksiä, jotka ehdotetaan pantaviksi täytäntöön lailla ja joita ehdotetaan täydennettäviksi lailla, annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

1.

Laki tietosuojalain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan tietosuojalain (1050/2018) 7 §, 21 §:n otsikko, 24 §:n 1 momentin suomenkielinen sanamuoto ja 29 § sekä

lisätään 15 §:ään uusi 2 momentti ja 21 §:ään uusi 3 ja 4 momentti seuraavasti:

7 §
Rikostuomioihin ja rikoksiin liittyvä käsittely

Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos:

1) käsittely on tarpeen oikeusvaateen selvittämiseksi, laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai

2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa.


Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tämän pykälän 1 momentissa tarkoitettuja henkilötietoja.


15 §
Tietosuojavaltuutetun päätöksenteko

Tietosuojavaltuutettu voi siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille työjärjestyksellä tarkemmin määrättävissä asioissa, joissa lain soveltamiskäytäntö on vakiintunut ja joissa asian ratkaiseminen ei asian oikeudellisesta luonteesta tai sisällöstä johtuen edellytä esittelyä tietosuojavaltuutetulle. Tietosuojavaltuutetulla on kuitenkin yksittäistapauksessa oikeus ottaa ratkaistavakseen asia, joka muutoin olisi esittelijän ratkaistava.


21 §
Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja passiivisuusvalitus

Tietosuojavaltuutetun on käsiteltävä tietosuoja-asetuksen 77 artiklan nojalla vireille tullut kanteluasia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei ole käsiteltävissä tässä ajassa, ilmoitettava rekisteröidylle tässä ajassa arvio päätöksen antamisajankohdasta.


Jos tietosuojavaltuutettu laiminlyö 3 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen, rekisteröidyllä on oikeus tehdä valitus hallinto-oikeudelle. Valitus on tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai on antanut arvion päätöksen antamisajankohdasta. Valituksen katsotaan tässä tapauksessa kohdistuvan asian käsittelyä koskevaan kielteiseen päätökseen.


24 §
Hallinnollinen seuraamusmaksu

Tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä.



29 §
Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.


Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteiseksi yksilöimiseksi luotonannossa ja saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa sekä virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.


Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.


Henkilötunnusta ei tule tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.


Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää.



Tämä laki tulee voimaan päivänä kuuta 20 .

Tämän lain 21 §:n 3 ja 4 momenttia ei sovelleta lain voimaan tullessa tietosuojavaltuutetun käsiteltävinä oleviin asioihin.


2.

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 12 §, 13 §:n 1 momentti ja 57 § seuraavasti:

12 §
Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää:

1) toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamiseksi; tai

3) 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten.


Henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.


Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää.


13 §
Automatisoidut yksittäispäätökset

Jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn, kuten profiloinnin perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.



57 §
Toimenpidepyynnön käsitteleminen ja passiivisuusvalitus

Tietosuojavaltuutetun on käsiteltävä 56 §:n nojalla vireille tullut asia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei ole käsiteltävissä tässä ajassa, ilmoitettava tässä ajassa rekisteröidylle arvio päätöksen antamisajankohdasta. Valtuutetun on myös ilmoitettava asian vireillepanijalle, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen.


Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa.


Jos tietosuojavaltuutettu laiminlyö 1 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen, rekisteröidyllä on oikeus tehdä valitus hallinto-oikeudelle. Valitus on tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai on antanut arvion päätöksen antamisajankohdasta. Valituksen katsotaan tässä tapauksessa kohdistuvan asian käsittelyä koskevaan kielteiseen päätökseen.



Tämä laki tulee voimaan päivänä kuuta 20 .

Tämän lain voimaan tullessa tietosuojavaltuutetun käsiteltävinä oleviin asioihin sovelletaan 57 §:ää sellaisena kuin se oli tämän lain voimaan tullessa.


Helsingissä 12.10.2023

Pääministeri
Petteri Orpo

Oikeusministeri
Leena Meri