Arvion lähtökohdat

Esityksessä ehdotetaan säädettäväksi tietosuojalaki. Lailla täydennettäisiin ja täsmennettäisiin Euroopan unionin yleistä tietosuoja-asetusta (jäljempänä myös tietosuoja-asetus), jonka soveltaminen alkaa 25.5.2018. Tietosuoja-asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta. Yleistä tietosuoja-asetusta täydentävässä yleislaissa säädettäisiin valvontaviranomaisesta siten kuin tietosuoja-asetuksessa edellytetään. Lisäksi yleislakiin otettaisiin säännökset käsittelyn oikeusperusteista eräissä tapauksissa, oikeusturvasta ja seuraamuksista sekä tietojen käsittelyn erityistilanteista esimerkiksi tieteellisessä tutkimuksessa ja journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.  

Hallituksen esitys pohjautuu oikeusministeriön helmikuussa 2016 asettaman laaja-alaisen työryhmän valmisteluun. Perustuslakivaliokunta on pitänyt tärkeänä, että sanotun lainvalmisteluhankkeen yhteydessä kartoitetaan myös erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä (PeVL 38/2016 vp, s. 4). Työryhmä on loppumietinnössään (Oikeusministeriön julkaisu 8/2018) esittänyt linjauksia henkilötietolainsäädännön kehittämisestä muun muassa nykyisen erityissääntelyn tarpeettoman yksityiskohtaisuuden vähentämiseksi. Loppumietinnössä esitetään myös linjauksia kansallisen liikkumavaran käytöstä.  

Hallituksen esitykseen sisältyvät lakiehdotukset sekä henkilötietoja koskevan lainsäädännön kehittäminen ja kansallisen liikkumavaran käyttö vastaisuudessa ovat merkityksellisiä yksityiselämän ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on arvioidessaan henkilötietojen käsittelyä koskevaa sääntelyä vakiintuneessa käytännössään katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. PeVL 14/1998 vp, s. 2 ja esimerkiksi PeVL 1/2018 vp, s. 2).  

Perustuslakivaliokunta on kuitenkin kiinnittänyt huomiota myös siihen, että Euroopan unionin yleisessä tietosuoja-asetuksessa vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta (ks. PeVL 2/2018 vp, s. 4—8, PeVL 31/2017 vp, s. 3 ja PeVL 42/2016 vp, s. 7—8). Tietosuoja-asetus on EU:n säädös, joka on kaikilta osiltaan velvoittava ja jota sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. myös esim. PeVL 51/2014 vp, s. 2/II). 

Perustuslakivaliokunta on uudemmassa käytännössään katsonut, ettei estettä ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 2/2018 vp, s. 4—8, PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9 ja PeVL 38/2016 vp, s. 4).  

Kansallisen erityislainsäädännön tarpeellisuus

Tietosuoja-asetuksen sääntely henkilötietojen suojasta on olennaisesti yksityiskohtaisempaa kuin henkilötietodirektiivin (95/46/EY) ja sen toimeenpanemiseksi annetun henkilötietolain sääntely. Perustuslakivaliokunta on pitänyt merkityksellisenä myös, että EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan (PeVL 31/2017 vp, s. 3). Valiokunta on painottanut, että EU:n henkilötietojen käsittelyä koskevaa lainsäädäntöä sovellettaessa on otettava huomioon mainitut perusoikeuskirjan artiklat kiinnittäen huomiota siihen, että EU:n tuomioistuimen antamat tuomiot määrittävät näiltä osin yksityiselämän ja henkilötietojen suojan keskeistä sisältöä (ks. esim. PeVL 21/2017 vp, s. 3). 

Perustuslakivaliokunta on kiinnittänyt huomiota henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 2/2018 vp, s. 4—8, 11, PeVL 49/2017 vp, s. 3, PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta on katsonut, että henkilötietojen suojan toteuttaminen ei voi enää jatkossa perustua nykyisenkaltaisen sääntelymallin varaan. Henkilötietojen suojan toteuttaminen tulisi valiokunnan mukaan jatkossa ensisijaisesti taata yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi (PeVL 2/2018 vp, s. 5).  

EU-tuomioistuimen vakiintuneen oikeuskäytännön mukaan kansallista sääntelyä ei saa antaa asetuksen soveltamisalalla, ellei asetus nimenomaisesti velvoita tai valtuuta täydentävään kansalliseen sääntelyyn tai muuhun päätöksentekoon (asia 34/73, Variola, tuomio 10.10.1973, asia 50/76, Amsterdam Bulb, tuomio 2.2.1977, 33 kohta). Yksityiskohtaisemman sääntelyn tarpeen ja sisällön osalta on otettava huomioon myös yleisen tietosuoja-asetuksen tavoitteet ja sääntelytapa. 

Oikeusministeriön asettaman työryhmän loppumietinnössä viitataan siihen, että henkilötietojen käsittelyn perustuessa yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a, b, d tai f alakohtaan seuraa käsittelyperuste suoraan asetuksesta eikä se siten edellytä käsittelyperusteesta säätämistä kansallisessa laissa. Mainittuja käsittelyperusteita ei työryhmän mukaan edes saa mukauttaa säätämällä niistä kansallisessa lainsäädännössä (s. 30). Henkilötietojen suojaan liittyvän sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden voidaan työryhmän käsityksen mukaan katsoa seuraavan lähtökohtaisesti suoraan yleisestä tietosuoja-asetuksesta silloin, kun kysymys on henkilötiedoista, joiden käsittelyyn ei sisälly mitään erityisiä tietosuojariskejä (s. 25).  

Perustuslakivaliokunta kiinnittää erityistä huomiota sääntelytarpeeseen silloin, kun henkilötietoja käsittelee viranomainen. Tietosuoja-asetuksen 6 artiklan c alakohdan mukaan käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Artiklan e alakohdan mukaan käsittely on lainmukaista, jos se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.  

Oikeusministeriön asettaman työryhmän loppumietinnössä viitataan siihen, että tietosuoja-asetuksen johdanto-osan 45 kappaleen mukaan kummassakin tilanteessa käsittelyllä tulisi joka tapauksessa olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tämä tarkoittaa, että viranomaisen tehtävä ja toimivaltuudet tulee kuvata lainsäädännössä niin, että henkilötietojen käsittelyn oikeusperusta ja tarkoitus voidaan perustellusti siitä johtaa toiminnan tavoite huomioon ottaen. Työryhmä viittaa kuitenkin myös siihen, että mainitussa johdanto-osan kappaleessa selvennetään, ettei asetuksessa edellytetä, että kaikkia yksittäisiä tiedonkäsittelytilanteita varten olisi olemassa erityislaki. Useiden käsittelytoimien perustana oleva yksi laki voi siten olla riittävä käsittelyn perustuessa rekisterinpitäjän lakisääteiseen velvoitteeseen tai jos käsittely on tarpeen yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi (s. 33). Perustuslakivaliokunnalla ei ole huomauttamista tähän lähtökohtaan.  

Perustuslakivaliokunta katsoo tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä.  

Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla.  

Perustuslakivaliokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa.  

Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla. 

Arkaluonteisten tietojen käsittely

Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että yksityiselämän suojaan kohdistuvia rajoituksia on arvioitava kulloisessakin sääntely-yhteydessä perusoikeuksien yleisten rajoitusedellytysten valossa (ks. PeVL 42/2016 vp, s. 2—3 ja siinä viitatut lausunnot). Merkityksellistä on ollut, että valiokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa henkilötietojen käsittelystä säädettäessä erityisesti se, että henkilötietojen suoja osittain sisältyy perustuslain 10 §:n samassa momentissa turvatun yksityiselämän suojan piiriin. Lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on tämän vuoksi arvioinut erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskevan yksityiselämään kuuluvan henkilötietojen suojan ydintä (PeVL 37/2013 vp, s. 2/I), minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta (PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp). Valiokunta on antanut merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina arvioidessaan tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevan sääntelyn kattavuutta, täsmällisyyttä ja sisältöä (ks. esim. PeVL 38/2016 vp, s. 3). 

Perustuslakivaliokunta on painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. Valiokunnan mielestä arkaluonteisia tietoja sisältäviin laajoihin tietokantoihin liittyy tietoturvaan ja tietojen väärinkäyttöön liittyviä vakavia riskejä, jotka voivat viime kädessä muodostaa uhan henkilön identiteetille (PeVL 13/2016 vp, s. 4, PeVL 14/2009 vp, s. 3/I). Myös EU:n yleisen tietosuoja-asetuksen johdantokappaleessa 51 painotetaan, että asetuksen 9 artiklassa tarkoitettuja erityisiä henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Valiokunta on tämän johdosta kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (ks. esim. PeVL 3/2017 vp, s. 5).  

Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on sanotun johdosta, tietosuoja-asetuksen mahdollistamissa puitteissa, edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta. Yleistä tietosuoja-asetusta yksityiskohtaisemman lakitasoisen sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen puitteissa tapauskohtaisesti. Sääntelyn tarpeen osalta on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan. Valiokunta painottaa, että myös arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön.  

Muut valtiosääntöisesti erityiset käsittelytilanteet

Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp, s. 6). Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta (PeVL 51/2006 vp, s. 2/I).  

Perustuslakivaliokunnan mielestä perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" (PeVL 15/1994 vp, s. 1/II, PeVL 67/2010 vp, s. 2—3).  

Tietosuoja-asetuksen 2 artiklan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten. 

Perustuslakivaliokunnan käsiteltävänä on nyt arvioitavan hallituksen esityksen kanssa samanaikaisesti hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä sekä eräiksi siihen liittyviksi laeiksi (HE 31/2018 vp), jonka tarkoituksena on panna täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta. Toisin kuin suoraan sovellettava tietosuoja-asetus, mainittu ns. poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. 

Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta. Valiokunta on toisaalta kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 31/2017 vp, s. 4 ja PeVL 71/2014 vp, s. 3). Valiokunta muistuttaa tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 31/2017 vp, s. 3—4, PeVL 5/2017 vp, s. 9, PeVL 38/2016 vp, s. 4). Valiokunnan mielestä henkilötietoja koskevan lainsäädännön selvyys edellyttää, että erityislainsäädäntöön ei sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. 

Yksityiselämän ja henkilötietojen suoja perusoikeusjärjestelmän kokonaisuudessa

Perustuslakivaliokunnan valtiosääntöisiin tehtäviin ei lähtökohtaisesti kuulu kansallisen täytäntöönpanosääntelyn arviointi EU:n aineellisen lainsäädännön kannalta (ks. esim. PeVL 31/2017 vp, s. 4). Valiokunta korostaa kuitenkin edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/2018 vp, PeVL 25/2005 vp).  

Tietosuoja-asetuksessa jätetään eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Tietosuoja-asetuksessa säädetään myös joistakin jäsenvaltioiden velvoitteista, kuten velvollisuudesta säätää eräistä kansallista valvontaviranomaista koskevista asioista. Lisäksi jäsenvaltioiden on sovitettava yhteen yleisen tietosuoja-asetuksen mukainen henkilötietojen suoja eräiden muiden oikeuksien ja intressien, kuten sananvapauden ja julkisuusperiaatteen, kanssa (ks. HE, s. 4—5). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 1/2018 vp, s. 3, PeVL 26/2017 vp, s. 42, PeVL 2/2017 vp, s. 2, PeVL 44/2016 vp, s. 4). 

Perustuslakivaliokunnan mielestä valtiosääntöisessä arviossa painopiste on henkilötietojen suojan ja käsittelyä määrittävien säännösten sisällöllisessä arvioinnissa. Kansallisen liikkumavaran käyttöön kohdistuvassa valtiosääntöisessä arvioinnissa ovat merkityksellisiä esimerkiksi paitsi yksityiselämän ja henkilötietojen suojan asettamat sisällölliset vaatimukset myös muiden informaatioon liittyvien perusoikeuksien suojan suhde yksityiselämän ja henkilötietojen suojaan. Valtiosääntöisiä kysymyksiä liittyy myös esimerkiksi kansallista sääntelyä edellyttäviin oikeusturvan ja hyvän hallinnon takeisiin. 

Arvioitavan hallituksen esityksen perusteluissa viitataan siihen, että henkilötietojen suojaan läheisesti liittyviä perusoikeuksia ovat yksityiselämän suojan lisäksi oikeus kunniaan, oikeus yhdenvertaiseen kohteluun, oikeus henkilökohtaiseen koskemattomuuteen, oikeus ihmisarvoiseen kohteluun, oikeus turvallisuuteen sekä yhdenvertaisuus ja syrjinnän kielto ja oikeus vaikuttaa itseään koskeviin asioihin, uskonnonvapaus ja omantunnon vapaus, sananvapaus ja julkisuus (HE, s. 6).  

Perustuslakivaliokunta painottaa, että yksityiselämän ja henkilötietojen suoja tulee suhteuttaa toisiin perus- ja ihmisoikeuksiin sekä muihin painaviin yhteiskunnallisiin intresseihin, kuten esimerkiksi yleiseen turvallisuuteen liittyviin intresseihin, jotka voivat ääritapauksessa palautua henkilökohtaisen turvallisuuden perusoikeuteen (PeVL 5/1999 vp, s. 2/II). Lainsäätäjän tulee turvata yksityiselämän ja henkilötietojen suoja tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa.  

Perustuslakivaliokunta on käytännössään kiinnittänyt erityistä huomiota perustuslain 12 §:n 2 momentissa turvatun asiakirjajulkisuuden suhteeseen yksityiselämän ja henkilötietojen suojaan (ks. esim. PeVL 43/1998 vp, s. 2/II ja PeVL 60/2017 vp, s. 3). Valiokunta on katsonut, että esimerkiksi arkaluonteisten tietojen salassapitoa voidaan pitää välttämättömänä perustuslain 10 §:n 1 momentissa turvatun yksityiselämän suojaamiseksi (PeVL 39/2009 vp, s. 2/I). Tällainen toisen perusoikeuden edistäminen on muodostanut sellaisen välttämättömän syyn, jonka vuoksi viranomaisen hallussa olevien asiakirjojen julkisuutta on ollut mahdollista perustuslain 12 §:n 2 momentin nojalla lailla erikseen rajoittaa (PeVL 2/2008 vp, s. 2, PeVL 40/2005 vp, s. 2/II).  

Perustuslakivaliokunta painottaa, että yksityiselämän ja henkilötietojen suojalla ei ole etusijaa muihin perusoikeuksiin nähden. Arvioinnissa on kyse kahden tai useamman perusoikeussäännöksen yhteensovittamisesta ja punninnasta (ks. esim. PeVL 54/2014 vp, s. 2/II, PeVL 10/2014 vp, s. 4/II). Valiokunta on korostanut erityisesti asiakirjajulkisuuden ja henkilötietojen suojan välistä tasapainoa (PeVL 22/2008 vp, s. 4/I). Valiokunta on esimerkiksi katsonut, että julkishallinnon palkkaustietoihin ei kytkeydy niin vahvaa yksityisyyden suojaamisen intressiä, että se asiakirjajulkisuutta koskevan perusoikeuden valossa oikeuttaisi näiden tietojen laajan salassapidon. Valiokunta piti säännöksen muuttamista edellytyksenä lakiehdotuksen käsittelylle tavallisen lain säätämisjärjestyksessä (PeVL 43/1998 vp, s. 7/II—8/I). 

Tietosuojalakiehdotuksen arviointi

Perustuslakivaliokunta on antanut EU:n yleistä tietosuoja-asetusta koskevasta valtioneuvoston kirjelmästä (U 21/2012 vp) lausunnon PeVL 12/2012 vp. Valiokunta katsoi tuolloin, että henkilötietojen suojan osalta ehdotus yleiseksi tietosuoja-asetukseksi ja tietosuojadirektiiviehdotus noudattelivat ja konkretisoivat varsin hyvin EU:n perusoikeuskirjan 8 artiklan määräyksiä henkilötietojen suojasta. Valiokunta ei pitänyt ehdotuksia ongelmallisina myöskään perustuslain 10 §:n 1 momentin ja sitä koskevan perustuslakivaliokunnan käytännön näkökulmasta. Valiokunta kiinnitti asetusehdotuksen sisällön kannalta kuitenkin erityistä huomiota tietosuojan ja julkisuusperiaatteen väliseen suhteeseen, eräisiin delegointivaltuuksiin sekä asetuksen soveltamisalarajaukseen, jonka mukaan asetusta ei sovellettu EU:n toimielimiin. 

Perustuslakivaliokunnan mielestä tietosuoja-asetusta täydentävä hallituksen esitys on perusteiltaan hyväksyttävä. Ehdotettu sääntely toteuttaa perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Sääntely sovittaa yhteen ja tasapainottaa henkilötietojen suojaa muiden perusoikeuksien kanssa pääosin asianmukaisesti. Valiokunta kuitenkin painottaa, että yksityiselämän ja henkilötietojen suojan suhde muihin perusoikeuksiin määräytyy konkreettisesti vasta yksittäistapauksessa kunkin tapauksen erityispiirteet huomioiden viranomaisissa ja tuomioistuimissa. Valiokunnan mielestä on selvää, että tällaista perusoikeusherkkää lainsäädäntöä on sovellettava perusoikeuksien yleisten rajoitusedellytysten puitteissa myös edellä luonnehditulla tavalla muut kulloinkin asian kannalta merkitykselliset perusoikeudet huomioiden.  

Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että ehdotettu sääntely ei ole erityisen selkeää, mikä ei ole perustuslain näkökulmasta täysin ongelmatonta perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Ongelmaa korostaa ehdotuksella täydennettävän tietosuoja-asetuksen vaikeaselkoisuus.  

Perustuslakivaliokunnan mielestä hallintovaliokunnan on syytä pyrkiä parantamaan lakiehdotusten kieliasua selkeämmäksi erityisesti niiltä osin, kun lakiehdotusten sanamuodot poikkeavat asetuksen tekstistä. Esimerkiksi hallituksen esityksen 1. lakiehdotuksen (jäljempänä myös tietosuojalakiehdotus) 25 §:ssä säädetään siitä, että tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta. Tietosuoja-asetuksen 83 artiklan sanamuotoon on valittu kuitenkin sinänsä epäonnistunut hallinnollisen sakon käsite, minkä on syytä heijastua ainakin informatiivisena täydennyksenä tietosuojalakiehdotuksen sisältöön. Valiokunnan käsityksen mukaan tietosuojalakiin on syytä lisätä myös yleinen informatiivinen viittaussäännös siitä, että henkilötietojen suojasta säädetään tietosuoja-asetuksessa. 

Perustuslakivaliokunnan mielestä sääntelyn vaikeaselkoisuuden johdosta korostuu tarve seurata sääntelyn vaikutuksia. Valiokunta painottaa mahdollisesti havaittavien ongelmien asianmukaista korjaamista. 

Lakiehdotuksen soveltamisala

Tietosuojalakiehdotuksen 2 §:n 1 momentin mukaan lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Säännöksen perusteluissa viitataan siihen, että tietosuoja-asetuksen 2 artiklan mukaan asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Tietosuoja-asetuksen 2 artiklan 2 kohdassa rajataan kuitenkin asetuksen soveltamisalan ulkopuolelle henkilötietojen käsittely, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan, ja käsittely, jota suorittavat jäsenvaltiot toteuttaessaan erityismääräyksiä yhteisestä ulko- ja turvallisuuspolitiikasta koskevan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa.  

Asetuksen soveltamisala-artiklan mukaan myös rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluva henkilötietojen käsittely on rajattu yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle. Nykyistä oikeustilaa vastaten asetuksen soveltamisalalta on rajattu myös henkilötietojen käsittely, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa. Lisäksi yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle on suljettu unionin toimielinten, elinten ja laitosten henkilötietojen käsittely, mistä säädetään erikseen unionin toimielimiä koskevassa asetuksessa (ks. myös PeVL 15/2017 vp ja PeVL 60/2017 vp).  

Tietosuoja-asetuksen soveltamisala on organisatorisesti laaja. Asetusta sovelletaan jäsenvaltioissa julkisella ja yksityisellä sektorilla. 

Tietosuojalakiehdotuksen 2 §:n 1 momentin mukaan lain nojalla tietosuoja-asetusta sovellettaisiin lisäksi, lukuun ottamatta sen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. Tietosuoja-asetusta sovellettaisiin siten tietosuojalakiehdotuksen perusteella myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan, sekä henkilötietojen käsittelyyn, joka tapahtuisi Euroopan unionista tehdyn sopimuksen (SEU) V osaston 2 jaksossa tarkoitettuun yhteiseen ulko- ja turvallisuuspolitiikkaan liittyen. Tietosuojalakiehdotuksen perusteella kansallisesti määritellyn asetuksen soveltamisalan laajennuksen ulkopuolelle jäävät kuitenkin yleisen tietosuoja-asetuksen VI ja VII luku siltä osin kuin kyse on niin sanotusta yhdenluukunmekanismista ja yhdenmukaisuusmekanismista.  

Unionin oikeuden soveltamisalaa koskevan rajauksen osalta perustuslakivaliokunnan käsityksen mukaan yleisenä lähtökohtana on unionin perussopimuksissa, että unioni käyttää toimivaltaa vain asioissa, joissa perussopimuksissa unionille on annettu toimivaltaa. Tietosuoja-asetuksen oikeusperustana toimii asetuksen mukaan Euroopan unionin toiminnasta tehdyn sopimuksen 16 artikla, jossa turvataan jokaisen oikeus henkilötietojensa suojaan. Mainitun artiklan 2 kohdan mukaan Euroopan parlamentti ja neuvosto antavat tavallista lainsäätämisjärjestystä noudattaen luonnollisten henkilöiden suojaa koskevat säännöt, jotka koskevat unionin toimielinten, elinten ja laitosten sekä jäsenvaltioiden, silloin kun viimeksi mainitut toteuttavat unionin oikeuden soveltamisalaan kuuluvaa toimintaa, suorittamaa henkilötietojen käsittelyä, sekä säännöt, jotka koskevat näiden tietojen vapaata liikkuvuutta. Myös EU:n perusoikeuskirjan henkilötietojen suojaa koskeva 8 artikla sitoo perusoikeuskirjan 51 artiklan mukaan jäsenvaltioita ainoastaan silloin, kun ne soveltavat unionin oikeutta. 

Perustuslakivaliokunnan mielestä asetuksen soveltamisalan laajennus kansallisin lainsäädäntötoimin on lähtökohtaisesti kuitenkin perusteltu ratkaisu. Perustuslain 10 §:n lakivaraus edellyttää henkilötietojen suojasta säädettävän lailla. Henkilötietojen suojaa koskevan yleisen lainsäädännön soveltamisalan on tämän johdosta oltava kattava. Koska unionin oikeuden soveltamisalan määrittely ei ole aina mahdollista selkeästi ja yksiselitteisesti, on valittu sääntelymalli asetuksen soveltamisalan laajentamisesta myös valtiosääntöisesti perusteltu.  

Eduskunnan asema

Suomen valtiojärjestyksen perusteisiin kuuluvat Suomen valtiojärjestyksen rakentuminen edustuksellisen demokratian varaan ja eduskunnan asema ylimpänä valtioelimenä. Nämä periaatteet on johdettu perustuslain 2 §:n 1 momentin säännöksestä, jonka mukaan valtiovalta Suomessa kuuluu kansalle, jota edustaa valtiopäiville kokoontunut eduskunta. Tämä ilmenee nimenomaisesti myös perustuslakiuudistuksen perusteluista (HE 1/1998 vp, s. 73).  

Eduskunnan toiminta voidaan jakaa perustuslaissa ja eduskunnan työjärjestyksessä säänneltyyn valtiopäivätoimintaan ja eduskunnan virastojen suorittamaan hallintotoimintaan. Eduskunnan valtiosääntöinen asema merkitsee myös sitä, ettei eduskunnan valtiopäivätoiminta voi olla ulkopuolisen valvonnan kohteena, vaan eduskunnan toiminnan laillisuusvalvonta on säädetty perustuslaissa tyhjentävästi eduskunnan omien elinten, eduskunnan puhemiehen ja perustuslakivaliokunnan, tehtäväksi. 

Euroopan unionista tehdyn sopimuksen I osastossa on määritelty ne toimivallan alat, joilla unionilla on joko yksinomainen tai jaettu toimivalta. Kansallista lainsäädäntömenettelyä ei ole sisällytetty näihin aloihin. Unionilla ei perustuslakivaliokunnan käsityksen mukaan ole toimivaltaa säätää valtiopäivätoiminnassa noudatettavasta menettelystä. 

Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei ole sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (ks. PeVL 30/1998 vp, s, 6/II). Eduskunnan virastot on muiden viranomaisten tavoin asianmukaisesti rajattu lakiehdotuksessa seuraamusmaksusääntelyn ulkopuolelle. Hallituksen esityksessä ei kuitenkaan muilta osin säännellä tai perusteluissa tarkastella eduskunnan valtiopäivätoiminnan ja siihen osallistuvien eduskunnan elimien, kuten valiokuntien, puhemiesneuvoston, tai kansanedustajien suhdetta ehdotettuun sääntelyyn tai EU:n tietosuoja-asetukseen. Valiokunnan käsityksen mukaan eduskunnan valtiopäivätoiminta ei kuulu unionin oikeuden soveltamisalalle. Tietosuojalakiehdotuksen 2 §:n 1 momentin sääntely johtaisi kuitenkin siihen, että tietosuoja-asetusta olisi noudatettava myös eduskunnan valtiopäivätoiminnassa. Lisäksi eduskunnan valtiopäivätoimintaan osallistuvat elimet olisivat seuraamusmaksun alaisia.  

Valtiopäivätoimintaan liittyvästä tietojen käsittelystä säädetään perustuslain 50 §:ssä ja eduskunnan työjärjestyksessä. Perustuslain 50 §:ssä on eräitä tietojen julkaisemiseen, julkisuuteen ja salassapitoon liittyviä eduskunnan työjärjestykseen kohdistuvia sääntelyvarauksia. Perustuslain 52 §:n mukaan eduskunnan työjärjestyksessä annetaan tarkempia säännöksiä valtiopäivillä noudatettavasta menettelystä sekä eduskunnan toimielimistä ja eduskuntatyöstä. Valiokunnan mielestä eduskunnan asemesta ylimpänä valtioelimenä ja EU-oikeuden rajatusta soveltamisalasta seuraa, että hallituksen esityksen 1. lakiehdotusta on muutettava siten, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.  

Ylimmän laillisuusvalvonnan asema

Valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies ovat perustuslain mukaan tehtäviltään ja toimivallaltaan toisiinsa nähden rinnasteisia laillisuusvalvontaviranomaisia. Perustuslain esitöissä puhutaan oikeuskanslerista ja oikeusasiamiehestä nimenomaan ylimpinä laillisuusvalvontaviranomaisina (HE 1/1998 vp, s. 165—166). Perustuslain mukaan molemman laillisuusvalvojan yleisenä laillisuusvalvontatehtävänä on valvoa, että tuomioistuimet ja muut viranomaiset sekä virkamiehet, julkisyhteisöjen työntekijät ja muutkin julkista tehtävää hoitaessaan noudattavat lakia ja täyttävät velvollisuutensa. Tehtäväänsä hoitaessaan laillisuusvalvojat valvovat perustuslain mukaan perusoikeuksien ja ihmisoikeuksien toteutumista. Tietosuoja-asetus ja ehdotettava tietosuojalaki ovat jatkossa osa oikeusjärjestystä, jonka noudattamista ylimmät laillisuusvalvojat valvovat. Laillisuusvalvojien perustuslaillisiin tehtäviin kuuluu myös yksityiselämän ja henkilötietojen suojaa koskevien perus- ja ihmisoikeuksien toteutumisen valvonta.  

Oikeuskanslerin ja oikeusasiamiehen oikeudellisesta vastuusta säädetään perustuslain 117 §:ssä, jonka mukaan heidän virkatointensa lainmukaisuuden tutkimisesta, syytteen nostamisesta heitä vastaan lainvastaisesta menettelystä virkatoimessa sekä tällaisen syytteen käsittelystä on voimassa, mitä 114 ja 115 §:ssä valtioneuvoston jäsenestä säädetään. Tämä merkitsee, että syyte oikeuskansleria ja oikeusasiamiestä vastaan lainvastaisesta menettelystä virkatoimessa käsitellään valtakunnanoikeudessa ja syytteen nostamisesta päättää eduskunta saatuaan perustuslakivaliokunnan kannanoton menettelyn lainvastaisuudesta. Asian vireillepanoon sovelletaan perustuslain 115 §:n menettelyä, jonka mukaan tutkinta pannaan vireille perustuslakivaliokunnassa. Ylimpien laillisuusvalvojien virkatointen lainmukaisuuden tutkiminen ja niiden toiminnan valvonta on siten suoraan perustuslaissa säädetty eduskunnan ja sen perustuslakivaliokunnan tehtäväksi. Perustuslain sääntely on perustuslakivaliokunnan mielestä tarkoitettu tyhjentäväksi ja se korostaa ylimpien laillisuusvalvojien toiminnan riippumattomuutta erityisesti suhteessa valvottaviin viranomaisiin. 

Perustuslakivaliokunnan mielestä merkityksellistä on, että ylimpien laillisuusvalvojien toimivalta ulottuu toistensa virkatoimia lukuun ottamatta kaikkeen viranomaistoimintaan. Ylimpien laillisuusvalvojien toimivalta ulottuu myös muihin toimialaltaan rajoitettuihin valvontaelimiin. Muut hallintotoimintaa valvovat viranomaiset ovat siten viranomaisina oikeuskanslerin ja oikeusasiamiehen valvonnan alaisina. Tämä vastaa sitä perustuslain ilmentämää lähtökohtaa, jonka mukaan valvontaviranomaisten välillä vallitsee hierarkkinen asetelma, jossa ylimpinä laillisuusvalvojina ovat oikeuskansleri ja oikeusasiamies. Näiden laillisuusvalvonnan piirissä ovat siten myös sellaiset erityiset valvontaviranomaiset kuin tietosuojavaltuutettu, yhdenvertaisuusvaltuutettu ja tasa-arvovaltuutettu. 

Merkityksellistä on lisäksi, että oikeusasiamiehen valitsee neljän vuoden toimikaudeksi perustuslain 38 §:n mukaan eduskunta. Oikeusasiamies on siten eduskunnan toimielin, jonka valtiosääntöisenä tehtävänä on eduskunnan puolesta valvoa kaikkea julkista hallintoa. Valtiosäännön perustaviin lähtökohtiin kuuluu eduskunnan ja valtioneuvoston välinen tehtäväjako. Perustuslain 2 ja 3 §:ssä säädettyjen valtiollisten tehtävien jaon ja valtioelinten välisten toimivaltasuhteiden kannalta ei lähtökohtaisesti ole perusteltua, että valtioneuvoston alaiseen hallintoon kuuluva viranomainen voisi valvoa eduskunnan tai eduskunnan oikeusasiamiehen toimintaa. 

Perustuslakivaliokunnan mielestä valtiosääntöisenä lähtökohtana on siten, että tietosuojalakiehdotuksen 3 luvussa säännelty ja tietosuoja-asetuksessa tarkoitettu kansallinen valvontaviranomainen, tietosuojavaltuutettu, kuuluu perustuslain 108 ja 109 §:n perusteella oikeuskanslerin ja oikeusasiamiehen valvonnan kohteisiin. Myös hallituksen esityksen perusteluissa katsotaan, että tietosuojavaltuutetun toimisto säilyisi nykytilaa vastaavasti oikeusasiamiehen, oikeuskanslerin ja valtiontalouden tarkastusviraston valvonnan piirissä (HE, s. 55).  

Perustuslakivaliokunta on pitänyt aikaisemmassa käytännössään perustuslain vastaisena lakiehdotusta, jossa valtiovarainministeriölle olisi annettu valta ohjata eduskunnan virastojen tietohallintoa. Valiokunta katsoi, että eduskunnan oikeusasiamies on jo tehtävänsä laadun puolesta riippumaton ulkopuolisesta ohjauksesta. Valiokunnan mielestä ehdotuksen arvioinnissa oli kuitenkin viime kädessä merkityksellistä perustuslain 2 §:ään palautuva valtiojärjestyksen perusteisiin kuuluva institutionaalinen ratkaisu, jossa lainsäädäntövaltaa käyttävä ja valtiontaloudesta päättävä eduskunta on ylimpänä valtioelimenä erotettu hallitusvaltaa käyttävästä valtioneuvostosta. Tämän perusratkaisun vastaista olisi valiokunnan mielestä ollut selvästi sellainen tilanne, jossa valtiovarainministeriö ohjaisi eduskunnan virastojen tietohallintoa (PeVL 46/2010 vp, s. 5/II).  

Perustuslakivaliokunnan mielestä ylimpien laillisuusvalvojien valtiosääntöinen asema ja tehtävät sekä laillisuusvalvonnan valtiosääntöinen kokonaisuus eivät mahdollista asteellisesti alemman tietosuojavaltuutetun ylimpiin laillisuusvalvojiin kohdistuvaa valvontaa. Tällaisen rajauksen on ilmettävä myös tietosuojalain säännöksistä nimenomaisesti.  

Perustuslakivaliokunnan mukaan on kuitenkin sinänsä selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. PeVL 20/2017 vp, s. 6 ja PeVL 51/2014 vp, s. 2/II), eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 26/2017 vp, s. 42). Valiokunnan käsityksen mukaan on myös selvää, että tietosuoja-asetuksen sääntely ei sanamuotonsa puolesta vaikuttaisi mahdollistavan tällaisen rajauksen säätämistä.  

Tietosuoja-asetuksen johdantokappaleessa 20 viitataan siihen, että vaikka asetusta sovelletaan muun muassa tuomioistuinten ja muiden oikeusviranomaisten toimintaan, unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta. Soveltamisalan rajaus ei kuitenkaan ulotu organisatorisesti yhtä laajalle kuin valtuutus täsmentämiseen, vaan johdantokappaleen mukaan valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Asetuksen 55 artiklassa säädetään nimenomaisesti, että valvontaviranomaisilla ei ole toimivaltaa valvoa käsittelytoimia, joita tuomioistuimet suorittavat lainkäyttötehtäviensä yhteydessä.  

Perustuslakivaliokunta kiinnittää kuitenkin huomiota siihen, että ylimpien laillisuusvalvojien edellä kuvattu valtiosääntöinen asema ei valiokunnan saaman selvityksen mukaan samastu muissa jäsenvaltioissa säädettyihin laillisuusvalvontajärjestelyihin, eikä tietosuoja-asetuksen valmistelussa ole kiinnitetty huomiota Suomen valtiosääntöisen järjestelmän erityispiirteisiin.  

Perustuslakivaliokunta viittaa ensinnäkin ylimpien laillisuusvalvojien tehtävään. Perustuslain 108 §:n mukaisiin oikeuskanslerin ja 109 §:n mukaisiin oikeusasiamiehen tehtäviin kuuluu valvoa, että muun muassa tuomioistuimet noudattavat lakia ja täyttävät velvollisuutensa. Lisäksi tehtäviään hoitaessa niin oikeuskansleri kuin oikeusasiamies valvovat perus- ja ihmisoikeuksien toteutumista. Tietosuoja-asetuksen 55 artiklassa säädettyyn tuomioistuimia koskevaan rajaukseen liittyvän johdantokappaleen 20 mukaan tuomioistuinten lainkäyttötehtäviensä yhteydessä suorittamien tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia. Valiokunnan käsityksen mukaan tuomioistuinten riippumattomuus vaarantuisi tavalla, joka olisi vastoin myös asetuksen 55 artiklan tarkoitusta, mikäli tuomioistuimiin kohdistuvaan, perustuslailla säädettyyn ylimpään laillisuusvalvontaan säädettäisiin kohdistuvaksi ylimmän laillisuusvalvonnan kohteena olevan hallintoviranomaisen valvontatoimivalta. 

Perustuslakivaliokunta kiinnittää huomiota lisäksi siihen, että Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaan unioni kunnioittaa jäsenvaltioiden tasa-arvoa perussopimuksia sovellettaessa sekä niiden kansallista identiteettiä, joka on olennainen osa niiden poliittisia ja valtiosäännön rakenteita, myös alueellisen ja paikallisen itsehallinnon osalta. Valiokunnan käsityksen mukaan säännös ilmentää lähtökohtaa siitä, ettei EU:n aineellisen oikeuden voi katsoa kyseenalaistavan jäsenvaltioiden valtiosääntöistä institutionaalista julkisen vallankäytön rakennetta. EU-tuomioistuin on esimerkiksi Digibet-tuomiossa (Digibet Ltd & Albers v. Westdeutsche Lotterie GmbH & Co. OHG, C-156/13 k. 34) katsonut, ettei rahapelisääntelyn epäjohdonmukaisuuteen johtanutta osavaltioiden välistä toimivallan jakoa voida kyseenalaistaa, koska sitä suojataan sanotulla SEU 4 artiklan 2 kohdan määräyksellä.  

Perustuslakivaliokunnan käsityksen mukaan on kuitenkin selvää, että kansallista valtiosäännön rakenteisiin kiinnittyvää identiteettiä koskeva sopimusmääräys voi muodostaa vain kapeasti sovellettavissa olevan oikeasuhtaisen perusteen poiketa EU-oikeuden täysimääräisestä soveltamisesta. Unionin tuomioistuimen vakiintuneessa oikeuskäytännössä on katsottu, että unionin oikeuden ensisijaisuuden periaatteen, joka on unionin oikeusjärjestyksen olennainen ominaisuus, mukaan se, että jäsenvaltio vetoaa kansallisen oikeutensa säännöksiin, edes perustuslain tasoisiin säännöksiin, ei voi heikentää unionin oikeuden vaikutusta tämän jäsenvaltion alueella (ks. mm. asia 11/70, Internationale Handelsgesellschaft, tuomio 17.12.1970, 3 kohta ja asia C 409/06, Winner Wetten, tuomio 8.9.2010, 61 kohta ja erityisesti asia C-399/11, Melloni, tuomio 26.2.2013, k. 59).  

EU-tuomioistuin on asiassa Sayn-Wittgenstein v. Landeshauptmann von Wien (C-208/09, k. 92) tarkastellut SEU 4 artiklan 2 kohdan tarkoittamaa kansallista valtiosääntöidentiteetin kunnioittamista nimenomaan oikeasuhtaisuuden kannalta. Tuomioistuin katsoi, että EU:n oikeuden takaamaa unionin kansalaisten liikkumis- ja oleskeluvapautta perusteettomasti rajoittavana toimenpiteenä ei ole pidettävä sitä, että jäsenvaltion viranomaiset kieltäytyvät tunnustamasta toisen jäsenvaltion kansalaisen sukunimeä kaikkine osatekijöineen, kun sukunimeen sisältyy aatelisarvonimi, joka ei ole sallittu jäsenvaltiossa sen perustuslain mukaan. Arvio perustui siihen, että käsiteltävässä asiassa ei ollut suhteetonta, että jäsenvaltio pyrkii saavuttamaan yhdenvertaisuusperiaatteen säilyttämisen tavoitteen antamalla kiellon, jonka mukaan sen kansalaiset eivät voi hankkia, pitää tai käyttää aatelisarvonimiä tai aateluutta osoittavia osatekijöitä, jotka voivat saada muut ajattelemaan, että nimeä käyttävällä henkilöllä olisi tällainen arvoasema. Kun jäsenvaltion toimivaltaiset väestörekisteriviranomaiset kieltäytyvät tunnustamasta pääasian valittajan nimessä olevan kaltaisia aateluutta osoittavia osatekijöitä, ne eivät tuomioistuimen mukaan näyttäneet ylittävän sitä, mikä on tarpeen niiden tavoitteleman perustavanlaatuisen perustuslaillisen päämäärän saavuttamiseksi. 

Perustuslakivaliokunnan käsityksen mukaan oikeasuhtaisuusarviossa olennaista on, että nyt käsillä olevassa tilanteessa kyse ei ole aineellisesta ristiriidasta perustuslain sisällön ja EU:n oikeuden välillä. Kysymys on sen sijaan siitä, että unionin oikeus johtaa sellaiseen ristiriitaan Suomen perustuslain institutionaalisten ratkaisujen kanssa, jota tietosuoja-asetuksessa ei ole nimenomaisesti tavoiteltu. Valiokunnan mielestä olennaista on, että ylimpien laillisuusvalvojien osalta tehtävät soveltamisalan rajaukset eivät vaaranna tietosuoja-asetuksen johdannon mukaisia oikeussuojan ja tehokkaan valvonnan tavoitteita eivätkä unionin tuomioistuimen oikeuskäytännössä todettuja tietosuojaviranomaisten toiminnan perimmäisiä tavoitteita. 

Viimekätinen toimivalta Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan, tietosuoja-asetuksen sekä näiden keskinäisen suhteen tulkintaan on EU-tuomioistuimella. Valiokunta kuitenkin katsoo, että tulkinnan ollessa vielä tältä osin epäselvä, ei hallituksen esityksessä ole esitetty riittäviä EU-oikeudellisia perusteita tietosuojavaltuutetun valvontavallan ulottamiseen ylimpiin laillisuusvalvojiin. Tietosuojalakiehdotusta on tämän johdosta muutettava siten, että ylimpien laillisuusvalvojien harjoittamaan laillisuusvalvontaan ei kohdistu tietosuojalaissa tarkoitetun valvontaviranomaisen valvontatoimivaltaa. Tämä voidaan toteuttaa esimerkiksi rajauksella, jonka mukaan henkilötietojen käsittelyyn ylimmissä laillisuusvalvojissa ei sovelleta tietosuoja-asetuksen VI, VII ja VIII lukua eikä tietosuojalain 3 ja 4 lukua. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Suhde julkisuusperiaatteeseen

Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta.  

Perustuslakivaliokunta katsoi EU:n yleistä tietosuoja-asetusta koskevasta valtioneuvoston kirjelmästä (U 21/2012 vp) antamassaan lausunnossa PeVL 12/2012 vp, että julkisuusperiaatteen huomioon ottaminen jäi sekä sisältönsä että säädösteknisen sijoittelunsa puolesta varsin heikoksi, vaikka komission laatiman asetusehdotuksen johdantokappaleessa 18 todettiin, että asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. Valiokunta piti tämän vuoksi valtioneuvoston tavoin tärkeänä, että itse asetukseen otetaan säännös asiakirjajulkisuuden huomioon ottamisesta. Valiokunta on sittemmin katsonut arvioidessaan valtioneuvoston kirjelmää komission ehdotuksesta Euroopan parlamentin ja neuvoston asetukseksi (Unionin toimielinten tietosuoja-asetus, U 26/2017 vp), että julkisuuden asianmukaisen turvaamisen vähimmäisvaatimuksena voidaan pitää nimenomaista säännöstä asiakirjajulkisuudesta (PeVL 60/2017 vp, s. 3, PeVL 15/2017 vp, s. 5). Valiokunnan mielestä olennaista on, että nyt tietosuojalakiehdotuksella täydennettävään tietosuoja-asetuksen 86 artiklaan on sisällytetty nimenomainen virallisten asiakirjojen julkisuutta koskeva artikla.  

Tietosuojalakiehdotuksen 28 §:ssä säädetään julkisuusperiaatteen huomioon ottamisesta. Ehdotuksen mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Säännös vastaa perustuslakivaliokunnan myötävaikutuksella säädetyn voimassaolevan henkilötietolain 8 §:n 4 momenttia (PeVL 25/1998 vp). Henkilötietolain esitöissä katsottiin, että säännöksessä viitatussa laissa on säädetty yksityisyyden suojan kannalta tarpeellisista henkilötietojen luovuttamisen rajoituksista (HE 96/1998 vp, s. 41/II). Perustuslakivaliokunnan myötävaikutuksella säädettyyn viranomaisten toiminnan julkisuudesta annettuun lakiin (PeVL 43/1998 vp, jäljempänä julkisuuslaki) ei ehdoteta nyt muutoksia. Valiokunnan käsityksen mukaan tietosuoja-asetuksen soveltamisen alkaminen ei aiheuta välitöntä tarvetta julkisuuslain muuttamiseen. 

Perustuslakivaliokunta pitää nyt valittua sääntelyratkaisua perusteltuna perustuslain 12 §:n 2 momentin näkökulmasta. Valiokunnan mielestä perustuslain 12 §:n 2 momentissa julkisuuden rajoituksiin kohdistettu välttämättömyysvaatimus ei rajoitu yksin salassapitosäännöksiin. Valiokunta on arvioinut esimerkiksi henkilötietojen luovuttamisen laajan sitomisen käyttötarkoitukseen merkitsevän julkisuusperiaatteen rajoitusta, jolle on kuitenkin osoitettavissa perustuslain 10 §:ään nojautuvat hyväksyttävät perusteet (PeVL 3/2009 vp, s. 2/II, PeVL 2/2008 vp, s. 2/I ja PeVL 40/2005 vp, s. 2/II).  

Julkisuuslain 17 §:n 1 momentin mukaan viranomainen on lain mukaisia päätöksiä tehdessään ja muutoinkin tehtäviään hoitaessaan velvollinen huolehtimaan muun ohella siitä, että tietojen saamista viranomaisen toiminnasta ei julkisuusperiaate ja sen tarkoitus huomioon ottaen rajoiteta enempää kuin suojattavan edun vuoksi on tarpeellista. Säännös on tältä osin muotoiltu hallintovaliokunnan mietinnössä (HaVM 31/1998 vp, s. 11/I—12/II). Hallintovaliokunta täydensi ehdotettua julkisuuslain 17 §:ää, koska perustuslakivaliokunta oli pitänyt lausunnossaan säätämisjärjestyskysymyksenä sääntelyn täydentämistä siten, että salassapitosääntelystä ilmenee salassapidon poikkeusluonne pääsääntönä olevaan asiakirjajulkisuuteen nähden siten, että jo lakitekstissä korostuu, että salassapitosäännöksiä on tulkittava suppeasti (PeVL 43/1998 vp, s. 3/II).  

Perustuslakivaliokunta viittasi lausunnossaan myös siihen, että harkintavallan rajoituksina olisi merkitystä yleisillä hallinto-oikeudellisilla periaatteilla, kuten tarkoitussidonnaisuudella, suhteellisuudella, objektiivisuudella ja yhdenvertaisuudella, ja piti asiakirjajulkisuutta koskevan perusoikeussäännöksen kannalta tärkeänä, että tällaisista seikoista johtuvia viranomaisen harkintavallan rajoituksia täsmennetään itse lakitekstissä (PeVL 43/1998 vp, s. 3/I). Yleisistä hallinto-oikeudellisista periaatteista säädetään nykyisin hallintolain 6 §:ssä, ja valiokunta on kiinnittänyt yleisemminkin huomiota siihen, että lakia soveltava viranomainen on sidottu erityisesti hallintolain 6 §:ssä säädettyihin tarkoitussidonnaisuuden ja suhteellisuuden vaatimuksiin (PeVL 17/2004 vp, s. 5/I, PeVL 17/2016 vp, s. 3). Valiokunta korostaa edelleen mainittujen, myös julkisuuslain 17 §:stä ilmenevien seikkojen merkitystä julkisuuslain tulkinnassa ja soveltamisessa myös silloin, kun julkisuuslakia sovelletaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä. 

Sananvapaus

Perustuslain 12 §:n 1 momentin mukaan jokaisella on sananvapaus. Sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Tarkempia säännöksiä sananvapauden käyttämisestä annetaan lailla. Lailla voidaan säätää kuvaohjelmia koskevia lasten suojelemiseksi välttämättömiä rajoituksia. 

Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tietosuojalakiehdotuksen 27 §:ssä säädettäisiin vapautuksista ja poikkeuksista yleiseen tietosuoja-asetukseen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden kanssa. Valiokunnan käsityksen mukaan ehdotetussa sääntelyssä on tältä osin kyse sananvapauden rajoittamisesta henkilötietojen suojan tarkoituksessa ja vastaavasti henkilötietojen suojan rajoittamisesta sananvapauden tarkoituksessa. Valiokunta pitää tällaista tasapainottamista valtiosääntöisesti välttämättömänä. 

Perustuslakivaliokunnan mielestä tietosuojalakiehdotuksen 27 §:ään ehdotetut säännökset ovat kuitenkin osin tulkinnanvaraisia. Perusoikeusrajoitusten tulee olla tarkkarajaisia ja riittävän täsmällisesti määritettyjä, minkä lisäksi rajoitusten olennaisen sisällön tulee ilmetä laista (PeVM 25/1994 vp, s. 5/I). Tietosuojalakiehdotuksen 27 § ei täytä kaikilta osin tätä vaatimusta. Perustuslakivaliokunta kiinnittää huomiota esimerkiksi 2 momentin virkkeeseen, jonka mukaan tietosuoja-asetuksen 44—50 artiklaa ei sovelleta, jos soveltaminen "loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen". Vastaavasti 3 momentissa säädettäisiin, että tietosuoja-asetuksen eräitä säännöksiä sovellettaisiin ainoastaan "soveltuvin osin" henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Hallintovaliokunnan on perustuslain 10 ja 12 §:stä johtuvista syistä täsmennettävä sääntelyä olennaisesti. 

Suhde tieteen vapauteen

Perustuslain 16 §:n 3 momentin mukaan tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. Tietosuoja-asetuksen 89 artiklassa säädetään muun muassa tieteellisiä ja historiallisia tutkimustarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista. Artiklan 2 kohdan mukaan, kun henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan säätää tietyistä poikkeuksista asetuksessa tarkoitettuihin oikeuksiin. 

Tietosuojalakiehdotuksen 31 §:ssä säädettäisiin poikkeuksista eräisiin rekisteröidyn oikeuksiin sekä tällaisten poikkeusten edellytyksistä ja niihin liittyvistä suojatoimista tieteellisen ja historiallisen tutkimuksen yhteydessä. Säännöstä perustellaan sillä, että poikkeusten tekeminen tietosuojalaissa olisi perusteltua, jotta ei tarpeettomasti vaaranneta tieteellisten ja historiallisten tutkimustarkoitusten toteutumista (HE, s. 115). Perustuslakivaliokunta yhtyy poikkeusten tarpeen perusteltavuuteen valtiosääntöisestä näkökulmasta. 

Tietosuojalakiehdotuksen 31 §:n 3 momentin mukaan poikkeaminen edellyttäisi tietosuoja-asetuksen 35 artiklan mukaisen vaikutusarvioinnin laatimista ja sen toimittamista etukäteen tietosuojavaltuutetulle, jos siinä käsitellään tietosuoja-asetuksen 9 artiklan 1 kohdassa tai 10 artiklassa tarkoitettuja henkilötietoja. Perustuslakivaliokunnan käsityksen mukaan tällainen vaikutusten arviointi liittyy tietosuoja-asetuksessa 35 artiklan mukaan ns. korkean riskin tilanteisiin (etenkin uutta teknologiaa käytettäessä). Valiokunta kiinnittää huomiota siihen, että esimerkiksi historialliseen tutkimukseen voi liittyä täysin säännönmukaisesti sellaisten henkilötietojen käsittely, joista ilmenee asetuksen 9 artiklan mukaisia henkilötietoja, kuten henkilön poliittisia mielipiteitä tai uskonnollinen vakaumus. Tietosuojavaltuutetulle toimitettavan vaikutusten arvioinnin pakollinen liittäminen esimerkiksi tällaiseen tutkimukseen puuttuu perustuslain 16 §:n 3 momentissa turvattuun tieteen vapauteen tavalla, joka ei valiokunnan mielestä ole kaikilta osiltaan oikeasuhtaisuusvaatimuksen mukainen. Hallintovaliokunnan on muutettava sääntelyä tietosuoja-asetuksen mahdollistamissa rajoissa siten, että tieteen vapaus tulee paremmin turvatuksi. 

Seuraamussääntely

Tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisten seuraamusmaksujen määräämisen yleisistä edellytyksistä. Tietosuoja-asetuksen 83 artiklan 4 kohdan mukaan asetuksen eräiden säännösten rikkomisesta määrätään hallinnollinen seuraamusmaksu, joka on suuruudeltaan enintään 10 000 000 euroa, tai jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Lisäksi yleisen tietosuoja-asetuksen 83 artiklan 5 kohdan mukaan asetuksen eräiden muiden säännösten rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Edelleen 83 artiklan 6 kohdan mukaan asetuksen 58 artiklan 2 kohdassa tarkoitetun valvontaviranomaisen määräyksen noudattamatta jättämisestä määrätään tämän artiklan 2 kohdan mukaisesti hallinnollinen sakko, joka on enintään 20 000 000 euroa, tai jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.  

Asetuksessa säädetyt seuraamusmaksut ovat määrältään huomattavia ja voivat muodostua oikeasuhtaisuuden kannalta ongelmallisiksi, mikä korostaa oikeusturvalle asetettavia vaatimuksia. Asetuksen 83 artiklan 2 kohdassa on sinänsä lueteltu niitä seikkoja, jotka kussakin yksittäistapauksessa on otettava huomioon seuraamuksen määrää arvioitaessa. Luettelossa mainittujen seikkojen keskinäisen suhteen arvioimiseen jää kuitenkin merkittävästi harkinnanvaraa, ja on oletettavaa, että edellytysten sisältö täsmentyy vastaisuudessa oikeuskäytännössä. 

Tietosuojalakiehdotuksen 8 §:n mukaan tietosuojavaltuutettu toimii tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena. Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään ehdotuksen 14 §:n 1 momentin mukaan tietosuoja-asetuksen 55—59 artiklassa. Toimivalta hallinnollisen sakon määräämiseen kuuluu asetuksen 58(2) artiklan i-alakohdan mukaan jäsenvaltion valvontaviranomaiselle. Tämä merkitsee, että tietosuojavaltuutetun toimivaltaan kuuluu määrätä asetuksen tarkoittama hallinnollinen sakko, vaikka lakiehdotuksessa ei nimenomaisesti määritellä tällaista toimivaltaa tietosuojavaltuutetulle. 

Tietosuoja-asetuksen 58 artiklan 2 i) kohdan mukaan valvontaviranomaisella on toimivaltuus määrätä 83 artiklan nojalla hallinnollinen sakko. Päätöksen seuraamusmaksun määräämisestä tekisi Suomessa siten tietosuojavaltuutettu. Ottaen huomioon seuraamusmaksun suuruus kyse on suomalaisessa oikeusjärjestelmässä erikoislaatuisesta tilanteesta. Valvontaviranomainen eli tietosuojavaltuutettu, joka on yksittäinen virkamies, voi määrätä itsenäisesti erittäin korkean hallinnollisen seuraamusmaksun. Vertailun vuoksi perustuslakivaliokunta kiinnittää huomiota siihen, että esimerkiksi kilpailulain mukaisesta hallinnollisesta seuraamusmaksusta päättää riippumaton tuomioistuin, markkinaoikeus, mikä itsessään sisältää olennaisesti hallinnollista menettelyä vahvemmat menettelylliset oikeusturvatakeet.  

Tietosuoja-asetuksen 58 artiklan 4 kohdan mukaan valvontaviranomaiselle kyseisen artiklan nojalla annettujen valtuuksien käyttöön sovelletaan asianmukaisia suojatoimia, muun muassa tehokkaita oikeussuojakeinoja ja oikeudenmukaista menettelyä, joista säädetään unionin oikeudessa ja jäsenvaltion lainsäädännössä perusoikeuskirjan mukaisesti. Vastaavasti asetuksen 83 artiklan 8 kohdan mukaan valvontaviranomaisen kyseisen artiklan mukaisten valtuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaisia prosesseja. Tietosuoja-asetus siis edellyttää, että jäsenvaltion lainsäädännössä huolehditaan riittävistä oikeusturvatakeista ja prosessisääntelystä hallinnollisen seuraamusmaksun osalta. Vastaavuusperiaatteen mukaan kansallisen menettelysääntelyn on EU-lainsäädännön täytäntöönpanossa vastattava kuitenkin samanlaisen kansallisen lainsäädännön täytäntöönpanossa noudatettavaa sääntelyä. 

Jokaisella on perustuslain 21 §:n 1 momentin mukaan oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä lain mukaan toimivaltaisessa tuomioistuimessa tai muussa viranomaisessa. Kun on kysymys hallintoviranomaisen toiminnasta, asian käsittelyssä on noudatettava hyvän hallinnon takeita, joita pykälän 2 momentin mukaan ovat muun muassa käsittelyn julkisuus, oikeus tulla kuulluksi ja saada perusteltu päätös sekä oikeus hakea muutosta. Nämä hyvän hallinnon takeet turvataan perustuslain mukaan lailla.  

Lakiehdotuksen 15 § koskee tietosuojavaltuutetun päätöksentekoa. Sen mukaan tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Sanottu säännös koskee myös hallinnollisen sakon määräämismenettelyä. Perustuslakivaliokunnan mielestä perustuslain kannalta ongelmallisena on pidettävä säännöstä siitä, että hallinnollinen seuraamusmaksu voitaisiin määrätä ilman esittelyä, jos tietosuojavaltuutettu päättäisi harkintansa mukaan luopua esittelystä. 

Hallituksen esityksessä valittu ratkaisu merkitsee, että hallinnollisen seuraamusmaksun määräämiseen sovelletaan hallintolakia. Esityksessä katsotaan, että menettelyllinen oikeusturva hallinnollisen seuraamusmaksun määräämisessä toteutuisi pelkästään soveltamalla kaikkia hallintoasioita koskevaa yleishallinnollista lainsäädäntöä. Hallintolaissa säädetään mm. neuvonnasta, oikeudesta käyttää asiamiestä ja avustajaa, viranomaisen selvittämisvelvollisuudesta, selvitysten pyytämisestä ja asiakirjan täydentämisestä, kuulemisesta ja siihen liittyvästä menettelystä, suullisesta selvittämisestä ja todistelusta, katselmuksesta ja tarkastuksesta, tulkitsemisesta ja kääntämisestä samoin kuin päätöksen muodosta, sisällöstä, perustelemisesta ja valitusosoituksesta. Tietosuojavaltuutetun päätökseen saa tietosuojalakiehdotuksen 23 §:n perusteella hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 

Perustuslakivaliokunta kiinnittää huomiota siihen, että oikeusturvaintressi nyt ehdotetuissa hallinnollisissa seuraamusmaksuissa on voimakkaasti korostunut ottaen huomioon seuraamusmaksun sanktioluonteen ja ankaruuden. Perustuslakivaliokunnan mielestä tietosuoja-asetuksen mahdollistamat hyvin suuret hallinnolliset seuraamusmaksut eivät rinnastu viranomaisten nykyisin määräämiin hallinnollisiin seuraamuksiin. Perustuslain 21 §:ssä säädettyjen oikeusturvan ja ennen muuta asianmukaisen menettelyn takeiden ja niiden tarkoitusperien voidaan katsoa olevan tällaisessa tilanteessa erityisen korostuneita.  

Perustuslakivaliokunta pitää ehdotetun kaltaista hallinnollista seuraamusmaksua koskevaa päätöksentekomenettelyä perustuslain 21 §:n vastaisena. Valiokunta kiinnittää huomiota siihen, että esimerkiksi rahoitusmarkkinoiden valvonnassa hallinnollisten seuraamusmaksujen määrääminen on tietyissä tilanteissa osoitettu monijäseniselle toimielimelle, Finanssivalvonnan johtokunnalle. Valiokunta katsoo, että hallinnollisesta seuraamusmaksusta päättäminen tulee säätää monijäsenisen toimielimen tehtäväksi. Seuraamusmaksun määräämistä edeltävä asian selvittäminen ja muu valmistelu sekä esittely voidaan osoittaa tietosuojavaltuutetun tehtäväksi. Määräämismenettelyn asianmukaisuutta, riippumattomuutta ja puolueettomuutta perustuslain 21 §:n edellyttämällä tavalla turvaa se, että seuraamusmaksun määräämisestä päättäminen säädetään monijäsenisen elimen toimivaltaan kuuluvaksi. Tällaisen muutoksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.  

EU:n perusoikeuskirjan 8(3) artiklasta ja tietosuoja-asetuksen 51 ja 52 artiklasta seuraa, että hallinnollisista seuraamusmaksuista päättävän monijäsenisen elimen asiantuntemus, riippumattomuus ja puolueettomuus tulee asianmukaisesti varmistaa. Koska toimivalta hallinnollisen seuraamusmaksun määräämiseen kuuluu tietosuoja-asetuksen mukaan jäsenvaltion valvontaviranomaiselle, monijäsenisen toimielimen asema on ilmeisesti järjestettävä lailla niin, että se on tietosuoja-asetuksen tarkoittamalla tavalla valvontaviranomaisen toimielin.  

Perustuslakivaliokunta kiinnittää lisäksi huomiota siihen, että menettelyyn liittyvien oikeusturvajärjestelyiden merkitystä korostaa osaltaan se, ettei tietosuoja-asetuksessa tarkemmin määritellä, minkä suuruisena seuraamusmaksu kussakin tilanteessa tulee määrätä. Asetuksessa asetetaan ainoastaan maksun hyvin korkeat ylärajat ja luetellaan erilaisia tekijöitä, jotka tulee ottaa huomioon hallinnollisia sanktioita määrättäessä (83 artikla 2 kohta). Hallintovaliokunnan on tästä syystä tarkoin selvitettävä, millaisia muita oikeusturvaa parantavia menettelyyn liittyviä muutoksia hallinnollisesta seuraamusmaksusta päättävän monijäsenisen elimen perustaminen sääntelyyn edellyttää. 

Seuraamusmaksusääntelyn suhde viranomaisiin

Tietosuojalakiehdotuksen 25 §:n 2 momentin mukaan seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Sääntelyssä on kyse kansallisen liikkumavaran käytöstä. Tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin.  

Hallituksen esityksessä säännöstä perustellaan sillä, että viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisten toiminta on budjettisidonnaista, jolloin rahamääräisen seuraamuksen vaikutus ei ole samanlainen kuin yksityisellä sektorilla. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä.  

Perustuslakivaliokunnalla ei ole huomauttamista hallituksen esityksessä mainittuihin perusteluihin. Valiokunta huomauttaa kuitenkin, että mainittujen seikkojen lisäksi viranomaisille määrättävä hallinnollinen seuraamusmaksu olisi ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. Kuten valiokunta on tässä lausunnossa painottanut, lainsäätäjän tulee turvata perustuslain 10 §:ssä turvatut oikeudet tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa suhteuttamalla yksityiselämän ja henkilötietojen suoja toisiin perus- ja ihmisoikeuksiin. Valiokunnan käsityksen mukaan on ilmeistä, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan määrältään varsin huomattavan seuraamusmaksun uhka voi vaarantaa perusoikeuksien keskinäisen punninnan tasapainoisuuden viranomaistoiminnassa ja johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. Valiokunnan mielestä seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei olisi sanotuista syistä valtiosääntöisesti ongelmatonta.  

Laillisuusperiaate

Hallituksen esityksessä ehdotetaan, että voimassa oleva henkilörekisteririkosta koskeva rikoslain 38 luvun 9 §:n säännös kumotaan ja että se korvataan tietosuojarikosta koskevalla säännöksellä. Tarkoitus on (esim. s. 56, 124 ja 128), että tietosuojarikosta koskeva säännös koskisi vain niitä tilanteita, joissa yleisessä tietosuoja-asetuksessa tarkoitetut hallinnolliset sanktiot eivät tule sovellettaviksi. 

Tietosuojarikoksesta tuomitaan se, joka muutoin kuin tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin 1) yleisen tietosuoja-asetuksen, 2) tietosuojalain, 3) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain tai 4) henkilötietojen käsittelyä koskevan muun lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa. Rangaistus tietosuojarikoksesta on ehdotuksen mukaan sakko tai enintään yhden vuoden vankeus. 

Perustuslain 8 §:n rikosoikeudellisen laillisuusperiaatteen ydinsisällön mukaan kunkin rikoksen tunnusmerkistö on ilmaistava riittävällä täsmällisyydellä siten, että säännöksen sanamuodon perusteella on ennakoitavissa, onko jokin toiminta tai laiminlyönti rangaistavaa. Euroopan ihmisoikeustuomioistuimen ja EU-tuomioistuimen käytännössä periaatteelle on annettu käytännössä vastaava ydinsisältö, jossa on korostettu sääntelyn ennustettavuutta eli sitä, että säännöksen sanamuodon perusteella voidaan ennakoida, mikä on rangaistavaa. 

Tietosuojarikosta koskevassa säännöksessä viitataan olennaisilta osin muualle lainsäädäntöön, jossa tarkemmin määritellään ne teot ja laiminlyönnit, jotka voivat tulla tietosuojarikoksena rangaistaviksi. Säännöksen 1 momentissa viitataan yleiseen tietosuoja-asetukseen (1 kohta), kahteen kansalliseen lakiin (2 ja 3 kohta) sekä epätäsmällisellä tavalla henkilötietojen käsittelyä koskevaan muuhun lakiin (4 kohta). Säännöksessä sinänsä luetellaan niitä tekotapoja, jotka voivat tulla tietosuojarikoksena rangaistaviksi.  

Perustuslakivaliokunnan mielestä laillisuusperiaatteen asettamat vaatimukset täyttyisivät paremmin, jos säännöksen 1 kohdassa viitattaisiin niihin tietosuoja-asetuksen määräyksiin ja 2 ja 3 kohdassa niissä mainitun kansallisen lain säännöksiin, joiden rikkominen voi tulla tietosuojarikoksena rangaistavaksi. Erityisen ongelmallinen on säännöksen 1 momentin 4 kohta, jonka mukaan rangaistavaa on henkilötietojen käsittelyä koskevassa "muussa laissa" tarkoitetun henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevan säännöksen rikkominen. Perustuslakivaliokunnan käsityksen mukaan säännöksen 4 kohdassa tarkoitettuja muita säännöksiä on useita satoja, mikä tekee mahdottomaksi niiden luettelemisen säännöksessä. Tästä syystä valiokunta katsoo, että säännöksen täsmentäminen tulisi toteuttaa rikoksen tunnusmerkistötekijöitä tarkentamalla.  

Ehdotetun säännöksen 2 momentin mukaan tietosuojarikoksesta tuomittaisiin myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1—4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Tässäkään säännöksessä ei viitata tarkemmin henkilötietojen käsittelyn turvallisuutta koskeviin aineellisiin säännöksiin tai määräyksiin. Myös tämän säännöksen täsmentäminen tulisi toteuttaa viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla. 

Muita seikkoja

Hallituksen esitys on annettu eduskunnalle 1.3.2018. Lakiehdotusten voimaantulosäännösten mukaisesti lait on tarkoitettu tulemaan voimaan 25.5.2018 eli samaan aikaan, kun yleinen tietosuoja-asetus tulee sovellettavaksi. Ensimmäisen lakiehdotuksen 2 §:n 2 momentin mukaan lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa; kyseinen ehdotus annettiin eduskunnalle 5.4.2018.  

Perustuslakivaliokunta on käytännössään kiinnittänyt valtioneuvoston huomiota siihen, että valiokunnan perustuslain 74 §:ssä säädetyn tehtävän toteuttaminen vaarantuu, jos hallitusten esitysten eduskuntakäsittelylle ei varata riittävää ja kohtuullista aikaa (PeVL 60/2016 vp, s. 3—4). Kun hallituksen esitys on sen merkitys huomioiden sisältänyt valiokunnan mielestä liian kireän voimaantuloajankohdan, valiokunta on pitänyt liian kireää aikataulutavoitetta perustuslain kannalta hyvin ongelmallisena ja korostanut tarvetta varata ehdotusten eduskuntakäsittelyyn aina riittävästi aikaa (PeVL 26/2017 vp, s. 9). 

Kuten edellä on käynyt ilmi, käsiteltävänä olevaan hallituksen esitykseen sisältyy periaatteellista merkitystä omaavia kysymyksiä, jotka edellyttävät, että eduskunnalla on riittävät mahdollisuudet perusteellisesti perehtyä niihin. Komissio antoi 25.1.2012 ehdotuksen henkilötietojen suojaa koskevaksi uudeksi EU:n lainsäädäntökehykseksi. Suomi on osallistunut aktiivisesti asetusehdotuksen jatkovalmisteluun. Tietosuoja-asetus on tullut voimaan jo 25.5.2016, ja sen sisältö on siten ollut hallituksen tiedossa jo pitkään. Perustuslakivaliokunta kiinnittää vastaisen varalle hallituksen huomiota siihen, että hallituksen esitysten antamisen ja tavoitteena olevan voimaantuloajan väliin jätetään riittävä aika perusteelliselle eduskuntakäsittelylle. Valiokunta pitää ongelmallisena, että eduskuntakäsittelylle varatun ajan niukkuuden johdosta yleistä tietosuoja-asetusta koskevaa kansallista lainsäädäntöä ei ole mahdollista saattaa voimaan sinä ajankohtana, jolloin tietosuoja-asetuksen suora soveltaminen alkaa eli 25.5.2018 mennessä.  

Perustuslakivaliokunta kiinnittää lisäksi huomiota siihen, että tietosuojalakiehdotuksen 25 §:n 2 momentin mukaan lailla kumotaan henkilötietolaki sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki. Henkilötietolaki on yleislaki, jossa säädetään mm. käsittelyn lainmukaisuuden edellytyksistä, valvontaviranomaisen tehtävistä ja toimivallasta sekä rekisteröidyn oikeuksista ja oikeusturvasta.  

Perustuslakivaliokunta kiinnittää huomiota siihen, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. Valiokunnan mielestä henkilötietolakia ei voi kumota ennen mainitun lain voimaantuloa kokonaisuudessaan, sillä perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan mielestä on selvää, että perustuslain 10 §:n 1 momentin sääntelyvarauksella ilmaistaan lailla säätämisen lisäksi se lähtökohta, että henkilötietojen suojaa koskeva perusoikeus selvästi edellyttää tuekseen tavallista lainsäädäntöä (ks. myös PeVM 25/1994 vp, s. 5/II—6/I).  

Hallintovaliokunnan on siirtymäsäännöksin varmistettava, että henkilötietojen suojaa koskevan yleislainsäädännön soveltamisala on kattavaa myös ennen mainitun poliisidirektiivin toimeenpanoon liittyvän lain voimaantuloa, mikäli tietosuojalakiehdotus hyväksytään ennen sitä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä.