Eduskunnan hallintovaliokunta hyväksyi torstaina 25. lokakuuta EU:n tietosuojapaketin kansalliseen täytäntöönpanoon liittyvät mietinnöt tietosuojalaista (HaVM 13/2018 vp) sekä laista henkilötietojen käsittelystä rikosasioissa (HaVM 14/2018 vp).
Tietosuojalaki täsmentää ja täydentää henkilötietojen käsittelyä koskevaa EU:n yleistä tietosuoja-asetusta. Laki henkilötietojen käsittelystä rikosasioissa panee täytäntöön rikosasioiden tietosuojadirektiivin. Hallintovaliokunta toteaa, että lait on tarpeen saattaa voimaan samanaikaisesti.
Tietosuojalaki täydentämään EU:n tietosuoja-asetusta
EU:n tietosuoja-asetus koskee lähtökohtaisesti kaikenlaista henkilötietojen käsittelyä. Se sisältää säännökset rekisteröidyn oikeuksista sekä rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista. Tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta. Asetus jättää kuitenkin tiettyjä mahdollisuuksia kansallisiin poikkeuksiin ja täsmennyksiin, joista säädetään ehdotetulla tietosuojalailla. Tietosuojalaissa säädetään myös eräistä henkilötietojen käsittelyn erityistilanteista. Hallintovaliokunta puoltaa tietosuojalain hyväksymistä valiokunnan mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin.
Hallintovaliokunta puoltaa hallituksen ehdottamaa 13 vuoden ikärajaa tietoyhteiskunnan palveluiden tarjoamisesta suoraan lapselle. Tätä nuorempi lapsi tarvitsisi vanhempien suostumuksen henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Suomessa lapsen ikäraja olisi siten alempi kuin tietosuoja-asetuksessa säädetty 16 vuotta. Hallintovaliokunta tähdentää toimia, joilla vaikutetaan siihen, että lapset ja nuoret voivat toimia turvallisesti verkkomaailmassa. Valiokunta korostaa muun muassa mediataitojen merkitystä ja verkkopalveluiden käyttöehtojen ymmärrettävyyttä. Valiokunta pitää tärkeänä, että tietosuojalainsäädännön toimeenpanossa turvataan laaja-alaisesti lasten oikeuksien toteutuminen.
Tietosuoja-asetuksen nojalla kansallisen valvontaviranomaisen, joka tietosuojalain mukaisesti on tietosuojavaltuutettu, toimivaltuudet laajenevat merkittävästi. Säännösten rikkomisesta tietosuojavaltuutettu voisi lievempien keinojen lisäksi määrätä hallinnollisen seuraamusmaksun, joka perustuu tietosuoja-asetukseen. Perustuslakivaliokunnan lausuntojen johdosta hallintovaliokunta ehdottaa, että seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamusmaksua koskeva päätös tehtäisiin esittelystä ja siihen saisi hakea muutosta valittamalla hallinto-oikeuteen. Mietinnössä selvitetään myös oikeusturvaa parantavia muita menettelytakeita.
Hallintovaliokunta korostaa, että tietosuojasääntelyn soveltamista helpottamaan tulee olla tarjolla ymmärrettävää ohjeistusta ja neuvontaa. Lisäksi valiokunta katsoo, että resurssien riittävyyttä tietosuoja-asetuksen täytäntöönpanoon tulee seurata aktiivisesti ja tarpeen vaatiessa tarkistaa. Henkilötietojen suojan toteutumisen ja valvonnan tehokkuuden kannalta on välttämätöntä, että tietosuojavaltuutetun toimiston resurssien riittävyys turvataan.
Hallintovaliokunta ehdottaa lisäksi lausumaa, jossa edellytetään hallituksen selvittävän, tulisiko tietosuojan valvontaviranomaisen organisaatiota kehittää virastomuotoiseksi, ja tarvittaessa valmistelevan asiasta lainsäädännön muutokset. Organisaatiota kehitettäessä tulee muiden seikkojen ohella ottaa huomioon hallinnollisten seuraamusmaksujen määrääminen viraston monijäsenisessä toimielimessä ja EU:n tietosuoja-asetuksen vaatimukset valvontaviranomaisen itsenäisyydestä ja riippumattomuudesta.
Laki henkilötietojen käsittelystä rikosasioissa panee täytäntöön rikosasioiden tietosuojadirektiivin
Henkilötietojen käsittely rikosasioissa on rajattu EU:n yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle. Rikosasioiden tietosuojadirektiivin tavoitteena on nykyaikaistaa sääntelyä, helpottaa tietojen vapaata liikkuvuutta EU-maiden poliisi- ja oikeusviranomaisten välillä sekä varmistaa henkilötietojen suoja rikosasioita käsiteltäessä.
Direktiivin toimeenpanevaa henkilötietojen käsittelystä rikosasioissa annettua lakia sovellettaisiin muun muassa silloin, kun on kyse rikoksen ennalta ehkäisemisestä, selvittämisestä tai syyteharkintaan saattamisesta, syytetoimista, rikosasian käsittelemisestä tuomioistuimessa, seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvien uhkien ehkäisemisestä. Lain noudattamista valvoisi tietosuojavaltuutettu.
Hallintovaliokunta ehdottaa henkilötietojen käsittelystä rikosasioissa annetun lain hyväksymistä valiokunnan mietinnöstä ilmenevin muutoksin.