Ehdotuksen tausta

Ehdotetulla tietosuojalailla ja siihen liittyvillä lakiehdotuksilla on tarkoitus antaa kansalliset säännökset, joilla täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (jäljempänä tietosuoja-asetus). Tietosuoja-asetus on tullut voimaan 24.5.2016, ja sen soveltaminen on alkanut 25.5.2018. Tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä. 

Tietosuoja-asetus on osa Euroopan unionin suurta tietosuojalainsäädännön uudistusta. Uudistus on tarpeellinen informaatioteknologian nopean kehityksen ja jäsenvaltioiden hajanaisten henkilötietojen suojaa koskevien säädösten ja niiden epäyhtenäisen soveltamisen vuoksi. Tavoitteena on vahvistaa henkilöiden oikeuksia henkilötietoja käsiteltäessä ja parantaa EU:n digitaalisten sisämarkkinoiden toimintaedellytyksiä yhdenmukaistamalla EU:n jäsenvaltioiden henkilötietojen suojaa koskevat säännökset. 

Toimintaympäristön muutoksesta huolimatta henkilötietodirektiivissä (95/46/EY) säädetyt henkilötietojen käsittelyä koskevat yleiset periaatteet ovat olleet kestäviä, ja vastaavat periaatteet sisältyvät myös tietosuoja-asetukseen. Keskeisiä periaatteita ovat siten edelleen käyttötarkoitussidonnaisuus, käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tietojen minimointi, tietojen täsmällisyys, tietojen säilytyksen rajoittaminen sekä tietojen eheys ja luottamuksellisuus. Tietosuoja-asetuksessa henkilötietodirektiiviin ja henkilötietolakiin (523/1999) nähden uusi periaate on osoitusvelvollisuus, jonka mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista. Henkilötietojen käsittelyn periaatteet koskevat kaikkea henkilötietojen käsittelyä. 

EU:n tietosuojauudistukseen kuuluu myös muun muassa direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisen viranomaisen suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi), jonka kansallista täytäntöönpanoa koskee hallituksen esitys HE 31/2018 vp. EU:n toimielimiä koskeva tietosuoja-asetus on hyväksytty 11.10.2018. Lisäksi valmisteltavana on ehdotus sähköisen viestinnän tietosuojaa koskevaksi asetukseksi. 

Tietosuoja-asetus on asetuksena siinä mielessä poikkeuksellinen, että se jättää eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Kansallisen liikkumavaran käyttäminen on monelta osin jätetty kansallisen lainsäätäjän harkintaan. Ehdotetussa tietosuojalaissa liikkumavaraa ehdotetaan käytettäväksi tilanteissa, joissa henkilötietolain (523/1999) kumoamisesta seuraisi tarve kansalliseen sääntelyyn, esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa tai tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle nykyisen kaltaisina. Kansallista liikkumavaraa on mahdollista käyttää myös myöhemmin esimerkiksi annettaessa erityislainsäädäntöä. 

Tietosuoja-asetus sisältää myös velvoitteita jäsenvaltioille, kuten velvollisuuden säätää eräistä kansallista valvontaviranomaista koskevista asioista. Lisäksi jäsenvaltioiden on sovitettava yhteen tietosuoja-asetuksen mukainen henkilötietojen suoja eräiden muiden oikeuksien, kuten sananvapauden ja julkisuusperiaatteen, kanssa. Ehdotus tietosuojalaiksi sisältää myös muun muassa näitä koskevat ehdotukset. 

Lisäksi hallituksen esityksessä ehdotetaan, että tietosuojalain nojalla tietosuoja-asetus tulisi eräin rajauksin sovellettavaksi myös silloin, kun henkilötietojen käsittely jäisi tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle. 

Perustuslakivaliokunta on antanut hallituksen esityksestä lausunnon PeVL 14/2018 vp, jonka mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli valiokunnan sen eduskunnan valtiopäivätoimintaan kohdistuvasta soveltamisalasta, valvontaviranomaisen ylimpiin laillisuusvalvojiin kohdistuvasta valvontavallasta, hallinnollisten seuraamusten määräämismenettelystä sekä henkilötietolain kumoamisesta tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 

Hallintovaliokunta pyysi 6.6.2018 eduskunnan työjärjestyksen 38 §:n 2 momentin mukaisesti perustuslakivaliokunnan lausuntoa vielä hallinnollisen seuraamusmaksun määräämiseen liittyvästä sääntelykokonaisuudesta. Perustuslakivaliokunta antoi lausunnon PeVL 24/2018 vp, jonka mukaan hallintovaliokunnan lausuntopyynnön liitteenä olleet pykäläehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Perustuslakivaliokunta kuitenkin edellytti myös muiden, erityisesti oikeusturvaan liittyvien huomautusten huomioimista mietinnössä. 

Hallituksen esityksen ja saamansa selvityksen perusteella hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. Lisäksi ehdotetaan yhden uuden lakiehdotuksen ja yhden lausuman hyväksymistä. 

Tietosuoja-asetusta täydentävä kansallinen yleinen ja erityislainsäädäntö

Tietosuoja-asetusta täydentävänä kansallisena säädöksenä ehdotettu tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan tietosuoja-asetuksen rinnalla. Perustuslakivaliokunta on esityksen lähtökohtia arvioidessaan viitannut uudempaan lausuntokäytäntöönsä, jonka mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Perustuslakivaliokunnan mielestä tietosuoja-asetusta täydentävä hallituksen esitys on perusteiltaan hyväksyttävä. (PeVL 14/2018 vp) 

Hallintovaliokunta pitää tarkoituksenmukaisena, että ehdotetun tietosuojalain rakenne seuraa tietosuoja-asetuksen rakennetta. Sääntelykokonaisuus muodostuu siitä huolimatta varsin monimutkaiseksi, mitä korostaa se, että tietosuoja-asetus on itsessäänkin paikoin vaikeaselkoinen. Unionin oikeudesta seuraa, että asetuksen käsitteitä ei voida tulkita kansallisella lailla. Sen vuoksi tietosuojalaissa on pitäydytty tietosuoja-asetuksen terminologiassa. Käsitteiden sisältöä on pyritty avaamaan selostamalla esityksen perusteluissa käsitteisiin liittyvää unionin oikeuskäytäntöä. 

Tietosuojasääntelyä sisältyy lisäksi paljon kansalliseen erityislainsäädäntöön, johon tietosuoja-asetuksesta johtuvia tarkistuksia parhaillaan valmistellaan ministeriöissä. Henkilötietojen käsittelyä sisältäviä erityissäädöksiä on useita satoja. 

Perustuslakivaliokunta on todennut arvioineensa nykyisen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja myös viitannut aikaisempaan lausuntokäytäntöönsä, jonka mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (PeVL 31/2017 vp, PeVL 45/2016 vp, PeVL 41/2006 vp). 

Myös hallintovaliokunta tähdentää selkeän sääntelyn merkitystä ja korostaa, että sääntelyn soveltamista helpottamaan tulee lisäksi olla tarjolla ymmärrettävää ohjeistusta ja neuvontaa. Sääntelyä voidaan selkeyttää myös esimerkiksi tietosuoja-asetuksen mukaisilla käytännesäännöillä. Käytännesäännöt on mahdollista laatia siten, että kulloinkin kyseessä olevan toimialan erityistarpeet tulevat asianmukaisesti huomioiduiksi. Valiokunta lisäksi huomauttaa, että suomenkieliseen asetustekstiin sisältyy virheitä, esimerkkinä 9 artiklan 1 kohta, jossa määre "henkilön yksiselitteistä tunnistamista varten" tulisi liittyä ainoastaan biometristen tietojen käsittelyyn. Kielivirheiden korjaamiseksi tulee ryhtyä viipymättä tarvittaviin toimenpiteisiin. 

Perustuslakivaliokunta katsoo tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. 

Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Valiokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. 

Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla (PeVL 14/2018 vp). Perustuslakivaliokunnan linjauksen mukaan henkilötietolain mukaisella arkaluonteisten tietojen käsitteellä tulee vastaisuudessakin olemaan merkitystä valtiosääntöoikeudellisessa arvioinnissa. 

Hallintovaliokunta viittaa tässä yhteydessä lisäksi muihin perustuslakivaliokunnan lausunnosta ilmeneviin, kansallista lainvalmistelua ohjaaviin kannanottoihin. 

Tietosuojalain soveltamisala

Ehdotetun tietosuojalain 2 §:n mukaan lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tietosuojalakia sovelletaan tietosuoja-asetusta täydentävänä yleislakina laajasti yhteiskunnan eri sektoreilla. Tietosuoja-asetuksen mukaisesti tietosuojalakia ei kuitenkaan sovelleta sellaiseen henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa, eikä rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvaan henkilötietojen käsittelyyn. 

Lisäksi tietosuojalain 2 §:ssä ehdotetaan, että tietosuoja-asetusta sovelletaan tietosuojalain perusteella ja siinä säädetyin rajauksin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan, sekä henkilötietojen käsittelyyn, joka tapahtuisi Euroopan unionista tehdyn sopimuksen V osaston 2 jaksossa tarkoitettuun yhteiseen ulko- ja turvallisuuspolitiikkaan liittyen. Tämän kansallisesti tehtävän asetuksen soveltamisalan laajennuksen ulkopuolelle jäisivät kuitenkin tietosuoja-asetuksen VI ja VII luku siltä osin kuin kyse on ns. yhdenluukunmekanismista ja yhdenmukaisuusmekanismista, jotka koskevat tilanteita, joissa rekisterinpitäjä käsittelee henkilötietoja useamman jäsenvaltion alueella. 

Perustuslakivaliokunta on tältä osin tarkastellut unionin toimivaltaan liittyviä näkökohtia. Perustuslakivaliokunnan mielestä asetuksen soveltamisalan laajennus kansallisin lainsäädäntötoimin on lähtökohtaisesti kuitenkin perusteltu ratkaisu. Perustuslain 10 §:n lakivaraus edellyttää henkilötietojen suojasta säädettävän lailla. Henkilötietojen suojaa koskevan yleisen lainsäädännön soveltamisalan on tämän johdosta oltava kattava. Koska unionin oikeuden soveltamisalan määrittely ei ole aina mahdollista selkeästi ja yksiselitteisesti, on valittu sääntelymalli asetuksen soveltamisalan laajentamisesta myös valtiosääntöisesti perusteltu. 

Perustuslakivaliokunta on kiinnittänyt lausunnossaan huomiota myös tietosuojalain soveltamiseen eduskunnan toiminnassa. Eduskunnan toiminta voidaan jakaa perustuslaissa ja eduskunnan työjärjestyksessä säänneltyyn valtiopäivätoimintaan ja eduskunnan virastojen suorittamaan hallintotoimintaan. 

Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei ole sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (ks. PeVL 30/1998 vp, s, 6/II). Perustuslakivaliokunnan lausunnossa todetaan, että eduskunnan virastot on muiden viranomaisten tavoin asianmukaisesti rajattu lakiehdotuksessa seuraamusmaksusääntelyn ulkopuolelle. Hallituksen esityksessä ei kuitenkaan muilta osin säännellä tai perusteluissa tarkastella eduskunnan valtiopäivätoiminnan ja siihen osallistuvien eduskunnan elimien, kuten valiokuntien, puhemiesneuvoston, tai kansanedustajien suhdetta ehdotettuun sääntelyyn tai EU:n tietosuoja-asetukseen. Perustuslakivaliokunnan käsityksen mukaan eduskunnan valtiopäivätoiminta ei kuulu unionin oikeuden soveltamisalalle. Tietosuojalakiehdotuksen 2 §:n 1 momentin sääntely johtaisi kuitenkin siihen, että tietosuoja-asetusta olisi noudatettava myös eduskunnan valtiopäivätoiminnassa. Lisäksi eduskunnan valtiopäivätoimintaan osallistuvat elimet olisivat seuraamusmaksun alaisia. 

Valtiopäivätoimintaan liittyvästä tietojen käsittelystä säädetään perustuslain 50 §:ssä ja eduskunnan työjärjestyksessä. Perustuslain 50 §:ssä on eräitä tietojen julkaisemiseen, julkisuuteen ja salassapitoon liittyviä eduskunnan työjärjestykseen kohdistuvia sääntelyvarauksia. Perustuslain - 52 §:n mukaan eduskunnan työjärjestyksessä annetaan tarkempia säännöksiä valtiopäivillä noudatettavasta menettelystä sekä eduskunnan toimielimistä ja eduskuntatyöstä. Perustuslakivaliokunnan mielestä eduskunnan asemasta ylimpänä valtioelimenä ja EU-oikeuden rajatusta sovel-tamisalasta seuraa, että hallituksen esityksen 1. lakiehdotusta on muutettava siten, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa eduskunnan valtiopäivätoiminnan rajaamiseksi lain soveltamisalan ulkopuolelle tietosuojalain 2 §:n muuttamista yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Henkilötietojen suojan ja julkisuusperiaatteen välinen suhde

Julkisuusperiaate on yksi keskeinen hallinnon periaate Suomessa. Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. 

Asiakirjajulkisuutta sääntelevä yleislaki on viranomaisten toiminnan julkisuudesta annettu laki (621/1999, jäljempänä julkisuuslaki). Julkisuuslaki ja nykyinen henkilötietolaki muodostavat kokonaisuuden, joka sääntelee viranomaisten ylläpitämien henkilörekistereiden ja muiden asiakirjojen sekä niihin sisältyvien tietojen julkisuutta ja salassapitoa sekä henkilötietojen käsittelyssä noudatettavia vaatimuksia. 

Hallintovaliokunta on useissa tietosuoja-asetusehdotuksesta antamissaan lausunnoissa pitänyt tärkeänä, että tietosuoja-asetukseen sisällytetään säännös asiakirjajulkisuuden huomioonottamisesta tietosuoja-asetusta sovellettaessa (esim. HaVL 11/2012 vp, HaVL 30/2014 vp, HaVL 2/2015 vp, HaVL 25/2015 vp). Komission asetusehdotus ei sisältänyt säännöstä tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamisesta. Asia oli kuitenkin merkityksellinen, sillä tietosuoja-asetus merkitsee samalla henkilötietolain taustalla olevan henkilötietodirektiivin kumoamista. Hallintovaliokunta pitää tärkeänä, että asetukseen on saatu neuvoteltua artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa. 

Myös perustuslakivaliokunta piti tärkeänä ja julkisuuden asianmukaisen turvaamisen vähimmäisvaatimuksena nimenomaista säännöstä asiakirjajulkisuudesta (PeVL 12/2012 vp, PeVL 60/2017 vp, PeVL 15/2017 vp). Valiokunnan mielestä olennaista on, että nyt tietosuojalakiehdotuksella täydennettävään tietosuoja-asetuksen 86 artiklaan on sisällytetty nimenomainen virallisten asiakirjojen julkisuutta koskeva artikla. 

Hallituksen esityksessä ehdotetun tietosuojalain 28 §:ssä säädetään julkisuusperiaatteen huomioon ottamisesta. Ehdotuksen mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Säännös vastaa perustuslakivaliokunnan myötävaikutuksella säädetyn voimassaolevan henkilötietolain 8 §:n 4 momenttia (PeVL 25/1998 vp). Henkilötietolain esitöissä katsottiin, että säännöksessä viitatussa laissa on säädetty yksityisyyden suojan kannalta tarpeellisista henkilötietojen luovuttamisen rajoituksista (HE 96/1998 vp, s. 41/II). Perustuslakivaliokunnan myötävaikutuksella säädettyyn julkisuuslakiin (PeVL 43/1998 vp) ei ehdoteta nyt muutoksia. Perustuslakivaliokunnan käsityksen mukaan tietosuoja-asetuksen soveltamisen alkaminen ei aiheuta välitöntä tarvetta julkisuuslain muuttamiseen (PeVL 14/2018 vp). 

Perustuslakivaliokunta toteaa pitävänsä ehdotettua sääntelyratkaisua perusteltuna perustuslain 12 §:n 2 momentin näkökulmasta. Valiokunnan mielestä perustuslain 12 §:n 2 momentissa julkisuuden rajoituksiin kohdistettu välttämättömyysvaatimus ei rajoitu yksin salassapitosäännöksiin. Valiokunta on arvioinut esimerkiksi henkilötietojen luovuttamisen laajan sitomisen käyttötarkoitukseen merkitsevän julkisuusperiaatteen rajoitusta, jolle on kuitenkin osoitettavissa perustuslain 10 §:ään nojautuvat hyväksyttävät perusteet (PeVL 3/2009 vp, s. 2/II, PeVL 2/2008 vp, s. 2/I ja PeVL 40/2005 vp, s. 2/II). 

Julkisuuslain 17 §:n 1 momentin mukaan viranomainen on lain mukaisia päätöksiä tehdessään ja muutoinkin tehtäviään hoitaessaan velvollinen huolehtimaan muun ohella siitä, että tietojen saamista viranomaisen toiminnasta ei julkisuusperiaate ja sen tarkoitus huomioon ottaen rajoiteta enempää kuin suojattavan edun vuoksi on tarpeellista. Säännös on tältä osin muotoiltu hallintovaliokunnan mietinnössä (HaVM 31/1998 vp, s. 11/I—12/II). Hallintovaliokunta täydensi ehdotettua julkisuuslain 17 §:ää, koska perustuslakivaliokunta oli pitänyt lausunnossaan säätämisjärjestyskysymyksenä sääntelyn täydentämistä siten, että salassapitosääntelystä ilmenee salassapidon poikkeusluonne pääsääntönä olevaan asiakirjajulkisuuteen nähden siten, että jo lakitekstissä korostuu, että salassapitosäännöksiä on tulkittava suppeasti (PeVL 43/1998 vp, s. 3/II). 

Julkisuuslaista antamassaan lausunnossa perustuslakivaliokunta viittasi myös siihen, että harkintavallan rajoituksina olisi merkitystä yleisillä hallinto-oikeudellisilla periaatteilla, kuten tarkoitussidonnaisuudella, suhteellisuudella, objektiivisuudella ja yhdenvertaisuudella, ja piti asiakirjajulkisuutta koskevan perusoikeussäännöksen kannalta tärkeänä, että tällaisista seikoista johtuvia viranomaisen harkintavallan rajoituksia täsmennetään itse lakitekstissä (PeVL 43/1998 vp, s. 3/I). Yleisistä hallinto-oikeudellisista periaatteista säädetään nykyisin hallintolain (434/2003) 6 §:ssä, ja valiokunta on kiinnittänyt yleisemminkin huomiota siihen, että lakia soveltava viranomainen on sidottu erityisesti hallintolain 6 §:ssä säädettyihin tarkoitussidonnaisuuden ja suhteellisuuden vaatimuksiin (PeVL 17/2004 vp, s. 5/I, PeVL 17/2016 vp, s. 3). Perustuslakivaliokunta korostaa edelleen mainittujen, myös julkisuuslain 17 §:stä ilmenevien seikkojen merkitystä julkisuuslain tulkinnassa ja soveltamisessa myös silloin, kun julkisuuslakia sovelletaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä (PeVL 14/2018 vp). 

Sananvapaus

Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tietosuojalain 27 §:ssä ehdotetaan säädettävän vapautuksista ja poikkeuksista tietosuoja-asetukseen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden kanssa. Perustuslakivaliokunnan käsityksen mukaan ehdotetussa sääntelyssä on tältä osin kyse sananvapauden rajoittamisesta henkilötietojen suojan tarkoituksessa ja vastaavasti henkilötietojen suojan rajoittamisesta sananvapauden tarkoituksessa. Valiokunta pitää tällaista tasapainottamista valtiosääntöisesti välttämättömänä (PeVL 14/2018 vp). 

Tietosuojalain 27 §:ään ehdotetut säännökset ovat perustuslakivaliokunnan mielestä kuitenkin osin tulkinnanvaraisia. Perusoikeusrajoitusten tulee olla tarkkarajaisia ja riittävän täsmällisesti määritettyjä, minkä lisäksi rajoitusten olennaisen sisällön tulee ilmetä laista (PeVM 25/1994 vp, s. 5/I). Tietosuojalakiehdotuksen 27 § ei täytä kaikilta osin tätä vaatimusta. Perustuslakivaliokunta kiinnittää huomiota esimerkiksi 2 momentin virkkeeseen, jonka mukaan tietosuoja-asetuksen 44—50 artiklaa ei sovelleta, jos soveltaminen "loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen". Vastaavasti 3 momentissa säädettäisiin, että tietosuoja-asetuksen eräitä säännöksiä sovellettaisiin ainoastaan "soveltuvin osin" henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Perustuslakivaliokunnan lausunnon mukaan hallintovaliokunnan on perustuslain 10 ja 12 §:stä johtuvista syistä täsmennettävä sääntelyä olennaisesti (PeVL 14/2018 vp). 

Hallintovaliokunta toteaa, että pykälässä on käytetty ilmaisua "soveltuvin osin", jota säädöskielessä tulisi lähtökohtaisesti välttää. Esimerkiksi Lainkirjoittajan oppaan mukaan viittaus toisen lain soveltamiseen tai noudattamiseen on pyrittävä kirjoittamaan auki muilla keinoin ja täsmällisesti. Ehdotetussa pykälässä on viitattu tietosuoja-asetuksen tiettyjen artiklojen soveltamiseen. Hallituksen esityksen perustelutekstissä selvennetään yksityiskohtaisesti, miltä osin pykälässä mainittuja artikloja on sovellettava. 

Esimerkiksi tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista yleisistä periaatteista. Yleiset periaatteet voivat tulla sovellettaviksi ainoastaan tilanteessa, jossa jokin rekisterinpitäjän varsinainen velvoite tai rekisteröidyn oikeus tulee sovellettavaksi. Yleisiä periaatteita ei voida soveltaa itsenäisesti muista velvoitteista ja oikeuksista irrallisena. Yleisten periaatteiden soveltumista soveltuvin osin on kuvattu ja selvennetty yksityiskohtaisesti hallituksen esityksen perusteluissa. 

Ehdotuksen mukaan myös esimerkiksi rekisterinpitäjän vastuuta koskevaa 24 artiklaa sovellettaisiin vain soveltuvin osin. Rekisterinpitäjän vastuuta koskevassa 24 artiklassa on säädetty yleisellä tasolla rekisterinpitäjän vastuusta. Rekisterinpitäjän vastuuta koskevaa artiklaa on tulkittava yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännöksien kanssa. Tietosuoja-asetuksen 24 artiklaa ei voida soveltaa itsenäisesti rekisterinpitäjän muista velvoitteista irrallisena velvoitteena. Asetuksen 24 artikla tulee ehdotuksen mukaan sovellettavaksi niissä tilanteissa, joissa jokin tietosuoja-asetuksen mukainen rekisterinpitäjän velvoite tulee sovellettavaksi. Tämä on todettu hallituksen esityksen perusteluissa. 

Edellä annettujen kahden esimerkin lisäksi vastaava asetelma koskee myös muita 27 §:n 3 momentissa lueteltuja tietosuoja-asetuksen artikloja. Pykälässä mainittuja artikloja ei voida soveltaa itsenäisesti, muista velvoitteista tai oikeuksista irrallisina. Esityksen perusteluissa on kunkin 27 §:ssä viitatun artiklan osalta yksityiskohtaisesti selvennetty, millä tavoin asianomainen artikla tulee sovellettavaksi kyseisessä pykälässä tarkoitettuun henkilötietojen käsittelyyn. 

Hallintovaliokunta toteaa, että vaikka ehdotetussa 27 §:ssä on käytetty ilmaisua "soveltuvin osin", ei lakiehdotus jätä rekisterinpitäjän tai valvontaviranomaisen harkintaan sitä, miltä osin 3 momentissa tarkoitetut artiklat tulevat sovellettaviksi. Tämä käy edellä kuvatuin tavoin ilmi hallituksen esityksen perusteluista. 

Perustuslakivaliokunnan lausunnossa (PeVL 14/2018 vp) on myös kiinnitetty huomiota pykälän 2 momentin virkkeeseen. Hallituksen esityksen perusteluissa on selvennetty, että tiedonsiirtoja koskevia 44—50 artiklaa sovelletaan velvoitteiden koskiessa henkilötietojen suojaamista ja tietoturvallisuutta. Ehdotetun momentin ilmaisu "loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen" on puolestaan johdettu tietosuoja-asetuksen 86 artiklasta, jonka mukaan jäsenvaltioiden on säädettävä poikkeuksia eräistä tietosuoja-asetuksen artikloista, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa. 

Hallintovaliokunnan näkemyksen mukaan keskeistä on, että sääntelyratkaisu on alaltaan mahdollisimman kattava. Ei ole myöskään mahdollista tyhjentävästi yksilöidä sääntelytasolla erilaisia tilanteita, joissa asetuksen sääntelystä tulisi poiketa tässä tarkoitettujen oikeuksien yhteen sovittamiseksi. Tämän vuoksi sääntely on jätettävä yleisten ilmaisujen varaan. Lisäksi valiokunta toteaa, että Euroopan unionin tuomioistuimen oikeuskäytännössä on korostettu, että sananvapautta on tulkittava laajasti (Satamedia, ECLI:EU:C:2008:727). Valiokunta vielä korostaa, että ehdotetun sääntelyn tavoitteena on nykytilan säilyttäminen, joten säännöksen tulkinnassa voidaan nojautua nykykäytäntöön. Säännösehdotuksen yksityiskohtaisissa perusteluissa on myös seikkaperäisesti selvitetty säännösten sisältöä. Valiokunta katsoo, että tässä sääntely-yhteydessä ei ole nähtävissä edellytyksiä sääntelyn edelleen täsmentämiseen. Valiokunnan mielestä merkityksellistä on myös se, että media- ja journalistialan lausuntojen perusteella ehdotuksessa on pykälän moniportaisuudesta ja siitä johtuvasta vaikealukuisuudesta huolimatta kuitenkin kokonaisuutena onnistuttu säilyttämään nykyinen tasapaino oikeuksien välillä varsin hyvin. 

Seuraamussääntely

Seuraamusjärjestelmä ja valvontaviranomaisen toimivaltuudet

Tietosuoja-asetuksessa korostetaan, että henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien ja rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksien vahvistamisen lisäksi myös samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa. Asetus sisältääkin varsin kattavat ja yksityiskohtaiset säännökset seuraamusjärjestelmästä ja valvontaviranomaisen toimivaltuuksista. 

Seuraamuksista puhuttaessa huomio on pitkälti kiinnittynyt valvontaviranomaisen määräämiin hallinnollisiin sakkoihin. Hallintovaliokunta tässä yhteydessä toteaa, että valvontaviranomaisella on käytössään myös muita keinoja. Valvontaviranomaisen ns. korjaavista toimivaltuuksista säädetään tietosuoja-asetuksen 58 artiklan 2 kohdassa. Näitä ovat muun muassa rekisterinpitäjälle tai henkilötietojen käsittelijälle annettava varoitus tai huomautus siitä, että aiotut käsittelytoimet ovat asetuksen vastaisia (a ja b alakohta), sekä käsittelyn väliaikainen tai pysyvä rajoittaminen, mukaan lukien käsittelykielto (f alakohta). Hallinnollisesta sakosta säädetään 2 kohdan i alakohdassa. Sen mukaan valvontaviranomainen voi määrätä hallinnollisen sakon 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. 

Hallinnollisten sakkojen määräämisen yleisistä edellytyksistä säädetään asetuksen 83 artiklassa. Artiklan 4 kohdassa lueteltujen säännösten rikkomisesta määrättävä hallinnollinen sakko voi olla suuruudeltaan enintään 10 000 000 euroa tai, jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Kyseisessä kohdassa tarkoitettuja rikkomuksia ovat muun muassa toimiminen vastoin 31 artiklassa säädettyä yhteistyövelvoitetta valvontaviranomaisen kanssa sekä toimiminen vastoin 33 ja 34 artiklassa säädettyjä velvollisuuksia ilmoittaa valvontaviranomaiselle ja rekisteröidylle henkilötietojen tietoturvaloukkauksesta. Artiklan 5 kohdassa tarkoitetuissa tapauksissa hallinnollinen sakko on enintään 20 000 000 euroa tai, jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Kyseinen kohta koskee muun muassa rekisteröityjen 12— 22 artiklan mukaisten oikeuksien rikkomista. 

Edellä olevan perusteella voidaan todeta, että kansallisen valvontaviranomaisen toimivaltuudet laajenevat merkittävästi suoraan asetuksen nojalla. Tämä merkitsee huomattavaa muutosta Suomen nykytilaan. Samalla on syytä huomata, että Euroopan tietosuojaneuvosto laatii valvontaviranomaisille suuntaviivoja, jotka koskevat korjaavien toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä (tietosuoja-asetuksen 70 artiklan 1 kohdan k alakohta). Näillä pyritään edistämään tietosuoja-asetuksen yhdenmukaista soveltamista jäsenvaltioissa. 

Lakivaliokunta on lausunnossaan kiinnittänyt huomiota muun ohella hallinnollisen sakon määräämiseen liittyviin näkökohtiin. Hallinnollisen sakon määräämisessä ja sen suuruutta arvioitaessa on asetuksen 83 artiklan 2 kohdan mukaan otettava huomioon useita seikkoja, kuten rikkomisen luonne, vakavuus ja kesto, vahingollisuus ja toistuvuus samoin kuin rikkomisen tahallisuus ja tuottamuksellisuus. Sääntely ei näin ollen perustu ankaraan vastuuseen eikä käännettyyn todistustaakkaan, mikä on perusteltua Euroopan ihmisoikeussopimuksessa ja perustuslain 21 §:ssä tarkoitetun oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon kannalta. Lakivaliokunta toteaa, että näiden takeiden noudattaminen on hallinnollisen sanktion määräämisessä tärkeää, koska hallinnollisessa sakossa on asiallisesti kyse rangaistusluonteisesta taloudellisesta seuraamuksesta, jonka Euroopan ihmisoikeustuomioistuin ja perustuslakivaliokunta ovat katsoneet rinnastuvan rikosoikeudelliseen seuraamukseen. Toisaalta, kuten perustuslakivaliokunta on esityksestä antamassaan lausunnossa PeVL 14/2018 vp todennut, kohdassa mainittujen seikkojen keskinäisen suhteen arvioimiseen jää merkittävästi harkinnanvaraa. Niin ikään harkinnanvaraa jää hallinnollisen sakon suuruuden arvioimiseen, sillä asetuksessa asetetaan vain sakon enimmäistaso. 

Myös hallintovaliokunta korostaa hyvän hallinnon ja oikeusturvan vaatimusten huomioon ottamista hallinnollista sakkoa määrättäessä ja pitää tärkeänä, että asetukseen on sisällytetty nimenomaiset säännökset siitä, että valvontaviranomaisen toimivaltuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia (83 artiklan 8 kohta sekä 58 artiklan 4 kohta). 

Vaikka asetuksen seuraamuksia koskeva sääntely on varsin yksityiskohtaista, kansalliseen lainsäädäntöön on tarpeen sisällyttää täydentäviä säännöksiä muun muassa tietosuoja-asetuksen 83 artiklassa tarkoitettujen hallinnollisten sakkojen määräämisestä. Lisäksi on asetuksen 84 artiklaan liittyen annettava kansalliset säännökset sellaisia tilanteita varten, joihin ei sovelleta asetuksessa tarkoitettuja hallinnollisia sakkoja, ja määriteltävä, ovatko ne rikosoikeudellisia tai hallinnollisia seuraamuksia. Lisäksi on arvioitava, onko tällaisia kansallisia säännöksiä tarpeen antaa sellaisia tilanteita varten, joissa asetusta on rikottu vakavasti.  

Hallinnollisen seuraamusmaksun määräämismenettely

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena toimii esityksen mukaan tietosuojalain 8 §:n perusteella tietosuojavaltuutettu. Valvontaviranomaisen tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55—59 artiklassa. Toimivalta hallinnollisen sakon määräämiseen kuuluu asetuksen 58 artiklan 2 kohdan i alakohdan mukaan jäsenvaltion valvontaviranomaiselle. Tämä merkitsee, että lakiehdotuksen mukaan Suomessa tietosuojavaltuutetun toimivaltaan kuuluu määrätä asetuksen tarkoittama hallinnollinen sakko. 

Niissä tapauksissa, kun kyse on rajat ylittävästä henkilötietojen käsittelystä, asian aineellisoikeudellinen kysymys ratkaistaan EU:n tasolla valvontaviranomaisten välisessä yhteistyömenettelyssä, mikä tarkoittaa monijäsenisen kokoonpanon käsittelyä. Tällöin kansallisen valvontaviranomaisen ratkaistavaksi jää seuraamusmaksun suuruudesta päättäminen. 

Hallinnollinen sakko voi tietosuoja-asetuksen mukaan muodostua hyvin ankaraksi rangaistusluonteiseksi seuraamukseksi. Erityisesti oikeusturvaan ja asianmukaisen menettelyn takeisiin liittyvien näkökohtien huomioon ottaminen on sen vuoksi erityisen tärkeää. Hallintovaliokunta kiinnittää huomiota siihen, että hallinnollisen sakon määrääminen on hallituksen esityksessä uskottu yksittäiselle virkamiehelle, joka voisi määrätä sen itsenäisesti. Ehdotetun tietosuojalain 15 §:n mukaan tietosuojavaltuutettu ratkaisisi asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Säännös mahdollistaisi periaatteessa myös sen, että hallinnollinen sakko määrättäisiin ilman esittelyä. Hallintovaliokunnan asiantuntijakuulemisessa on ehdotetusta sääntelystä esitetty kriittisiä huomioita. 

Suomen lainsäädäntöön sisältyy hallinnollisia seuraamusmaksuja, jotka määrää hallintoviranomainen. Perustuslakivaliokunnan mielestä tietosuoja-asetuksen mahdollistamat hyvin suuret hallinnolliset seuraamusmaksut eivät kuitenkaan rinnastu viranomaisten nykyisin määräämiin hallinnollisiin seuraamuksiin. Toisaalta esimerkiksi finanssimarkkinoiden valvonnassa, jossa on mahdollista määrätä ankaria hallinnollisia seuraamusmaksuja, seuraamusmaksun määrääminen on tietyissä tilanteissa osoitettu monijäseniselle toimielimelle, Finanssivalvonnan johtokunnalle. Lisäksi on hallinnollisia seuraamusmaksuja, joista päättää tuomioistuin. Tällaisia ovat esimerkiksi markkinaoikeuden kilpailulain (948/2011) nojalla määräämät seuraamusmaksut. 

Tietosuoja-asetuksen 83 artiklan 9 kohdan mukaan, jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Kuten edellä on todettu, Suomen oikeusjärjestyksessä hallinnolliset seuraamusmaksut ovat kuitenkin mahdollisia ja niistä on säännöksiä. Valiokunnan saaman selvityksen mukaan artiklan 9 kohdassa tarkoitettu mahdollisuus koskee ainoastaan Tanskaa ja Viroa, mikä käy ilmi asetuksen johdanto-osan kappaleesta 151. Sen mukaan "Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia sakkoja. Hallinnollisia sakkoja koskevia sääntöjä voi soveltaa niin, että Tanskassa sakon määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa sakon määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. …" Saadun selvityksen mukaan Suomella ei siten ole kansallista harkintamarginaalia säätää menettelystä, jossa hallinnollisen seuraamusmaksun määräisi valvontaviranomaisen sijaan tuomioistuin. 

Perustuslakivaliokunta on pitänyt hallituksen esityksessä ehdotetun kaltaista hallinnollista seuraamusmaksua koskevaa päätöksentekomenettelyä perustuslain 21 §:n vastaisena ja katsonut, että hallinnollisesta seuraamusmaksusta päättäminen tulee säätää monijäsenisen toimielimen tehtäväksi. Seuraamusmaksun määräämistä edeltävä asian selvittäminen ja muu valmistelu sekä esittely voidaan osoittaa tietosuojavaltuutetun tehtäväksi. Määräämismenettelyn asianmukaisuutta, riippumattomuutta ja puolueettomuutta perustuslain 21 §:n edellyttämällä tavalla turvaa se, että seuraamusmaksun määräämisestä päättäminen säädetään monijäsenisen elimen toimivaltaan kuuluvaksi. Tällaisen muutoksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. (PeVL 14/2018 vp) 

Myös lakivaliokunta on katsonut, että asetuksessa tarkoitettujen hallinnollisten sakkojen määrääminen on perusteltua kansallisesti osoittaa monijäseniselle toimielimelle ottaen huomioon, että sanktioluonteiset maksut voivat asetuksen nojalla nousta määriltään hyvinkin korkeiksi. Kyse on siten erittäin merkittävästä toimivaltuudesta. Se, millainen toimielin tästä päättää ja millaisessa menettelyssä, on siten erittäin merkityksellistä maksun kohteen oikeusturvan kannalta. Monijäsenisen toimielimen päätöksentekoa puoltaa myös se, että niissä tapauksissa, joissa asetuksen rikkominen kuuluu hallinnollisen sakon piiriin, rikosoikeudellisten seuraamusten käytöstä pääasiallisesti luovutaan, jolloin edes vakavimmatkaan asetuksen rikkomiset eivät tule tuomioistuimen arvioitaviksi. Lakivaliokunta on esittänyt tietosuojalain 9, 23 ja 25 §:ään muutoksia, jotka sen käsityksen mukaan tulisi lakiehdotukseen ainakin tehdä. 

EU:n perusoikeuskirjan 8 artiklan 3 kohdasta ja tietosuoja-asetuksen 51 ja 52 artiklasta seuraa, että hallinnollisista seuraamusmaksuista päättävän monijäsenisen elimen asiantuntemus, riippumattomuus ja puolueettomuus tulee asianmukaisesti varmistaa. Tietosuoja-asetuksesta tulee myös eräitä reunaehtoja valvontaviranomaisen organisoinnille. Vaikka jäsenvaltiot voivat asetuksen 51 artiklan mukaan organisoida valvontaviranomaisen siten, että jäsenvaltiossa on valvontaviranomaisia useampi kuin yksi, asetus ei jätä kansallista harkintamarginaalia valvontaviranomaisen organisoimiseksi siten, että valvontaviranomaisen toimivaltuuksia jaettaisiin useamman viranomaisen kesken. Tämä johtuu siitä, että asetuksen 58 artiklan mukaan jokaisella valvontaviranomaisella on lähtökohtaisesti kaikki asetuksen mukaiset toimivaltuudet. 

Perustuslakivaliokunnan lausuntojen johdosta hallintovaliokunta ehdottaa yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin, että tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, jonka puheenjohtajana toimii tietosuojavaltuutettu. Ehdotus sisältää säännökset päätöksentekomenettelystä. Päätös tehtäisiin esittelystä. 

Perustuslakivaliokunnan lausunnon PeVL 24/2018 vp mukaan hallintovaliokunnan sääntelyratkaisu seuraamusmaksun määräämistä koskevasta päätöksenteosta täyttää pääosin perustuslain 21 §:stä johtuvat vähimmäisvaatimukset eikä sen säätämiselle ole perustuslaista johtuvaa estettä. Perustuslakivaliokunnan mielestä hallintovaliokunnan on kuitenkin vielä tarkasteltava, onko päätöksenteon sitominen esittelyyn mahdollista ulottaa myös joihinkin muihin tietosuoja-asetuksen 58 artiklassa tarkoitettuihin toimivaltuuksiin. 

Tietosuoja-asetuksen 58 artiklan 2 kohta sisältää kaikkiaan 10 erilaista, ns. korjaavaa toimivaltuutta, joista ehkä merkittävimpiä ovat seuraamusmaksun määrääminen ja väliaikaisen tai pysyvän rajoituksen asettaminen henkilötietojen käsittelylle (f-alakohta). Viimeksi mainitun toimivaltuuden tarve voi ilmetä tilanteessa, jossa on nopealla päätöksenteolla estettävä rekisteröityjen oikeuksiin kohdistuvat, välittömästi uhkaavat loukkaukset. Samankaltainen asetelma voi olla käsillä tiedonsiirron keskeyttämisessä kolmanteen maahan (j-alakohta). Päätöksenteon sitominen valtuutetun toimiston esittelijän esitykseen voisi muodostua käytännössä hankalaksi ja rekisteröityjen oikeusturvaa heikentäväksi. Tämän vuoksi hallintovaliokunta ei pidä perusteltuna laajentaa esittelymenettelyä edellyttävän päätöksentekomenettelyn alaa. 

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että ehdotukseen ei sisälly säännöksiä seuraamuskollegion päätösvaltaisuudesta. Lisäksi se on katsonut, että apulaistietosuojavaltuutetun sijaistamista seuraamuskollegiossa ei ole valtiosääntöoikeudellisesti asianmukaista jättää tietosuojavaltuutetun toimiston työjärjestyksen varaan, jos tarkoituksena on, että tällaiset apulaistietosuojavaltuutetun sijaiset toimisivat myös jäseninä seuraamuskollegiossa. Seuraamuskollegio käyttäisi ehdotuksen mukaan merkittävää julkista valtaa. Tämän johdosta sen kokoonpanon tulee käydä perustuslain 2 §:n 3 momentin ja 119 §:n 2 momentin johdosta ilmi suoraan laista. Sääntelyä on täsmennettävä myös säännöksillä kollegion päätösvaltaisuudesta. Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa näitä koskevat täsmennykset. 

Valvontaviranomaisen organisaation kehittäminen

Vaikka hallintovaliokunnan ehdottama seuraamuskollegiota koskeva sääntely on säädettävissä tavallisen lain säätämisjärjestyksessä, on perustuslakivaliokunta kiinnittänyt lausunnossaan PeVL 24/2018 vp huomiota siihen, että perustuslain kannalta olisi ongelmattomampaa järjestää kansallinen valvontaviranomainen ehdotettua itsenäisemmäksi, esimerkiksi virastomuodossa. Tietosuoja-asetus mahdollistaa ratkaisun, jossa valvontaviranomaiseen kuuluisi useita jäseniä (ks. 53 ja 54 artikla). Tällöin seuraamusmaksun määrääminen ja mahdollisesti jotkin muut toimivaltuudet voitaisiin aidosti osoittaa viraston sisällä monijäseniselle päätöksentekoelimelle. Perustuslakivaliokunta on pohtinut virastomuotoista organisaatiomallia lausunnossaan laajemminkin. 

Myös lakivaliokunta on pitänyt tärkeänä, että jatkossa selvitetään, onko hallinnollisen seuraamusmaksun määräämismenettelyä ja päätöksenteon kokoonpanoa mahdollista vielä kehittää ja vahventaa. Aiheellista olisi selvittää esimerkiksi esityksen valmistelussakin esillä ollutta vaihtoehtoa, jossa valvontaviranomainen organisoitaisiin tietosuojavirastoksi, jossa toimisi sekä tietosuojavaltuutettu että seuraamuslautakunta. Huomioon tulisi tällöin ottaa myös muiden erityisvaltuutettujen asema ja organisoiminen. (LaVL 5/2018 vp) 

Virastomuotoa voitaisiin hallintovaliokunnan mielestä pitää henkilöviranomaisorganisaatiota luontevampana ratkaisuna kansalliselle valvontaviranomaiselle myös ottaen huomioon tietosuojavaltuutetun toimiston henkilöresurssien lisäys. Edellytyksenä virastomallissakin on se, että monijäseninen toimielin muodostuu jäsenistöltään sellaiseksi, että tietosuoja-asetuksen vaatimukset itsenäisyydestä ja riippumattomuudesta täyttyvät. Kysymys siitä, millaiseksi valtuutetun rooli olisi perusteltua tällaisessa organisaatiossa muodostaa, on kuitenkin hyvä jättää erikseen tehtävän selvityksen varaan. 

Hallintovaliokunta edellyttää, että hallitus selvittää, tulisiko tietosuojan valvontaviranomaisen organisaatiota kehittää virastomuotoiseksi, ja tarvittaessa valmistelee asiasta lainsäädännön muutokset. Organisaatiota kehitettäessä tulee muiden seikkojen ohella ottaa huomioon hallinnollisten seuraamusmaksujen määrääminen viraston monijäsenisessä toimielimessä ja EU:n tietosuoja-asetuksen vaatimukset valvontaviranomaisen itsenäisyydestä ja riippumattomuudesta. (Valiokunnan lausumaehdotus) 

Oikeusturvaa parantavien muiden menettelytakeiden selvittäminen

Seuraamusmaksun määräämiseen liittyvät menettelyt

Perustuslakivaliokunta lausunnossaan toteaa, että menettelyyn liittyvien oikeusturvajärjestelyiden merkitystä korostaa osaltaan se, ettei tietosuoja-asetuksessa tarkemmin määritellä, minkä suuruisena seuraamusmaksu kussakin tilanteessa tulee määrätä. Asetuksessa asetetaan ainoastaan maksun hyvin korkeat ylärajat ja luetellaan erilaisia tekijöitä, jotka tulee ottaa huomioon hallinnollisia sanktioita määrättäessä (83 artiklan 2 kohta). Perustuslakivaliokunnan mukaan hallintovaliokunnan on tästä syystä tarkoin selvitettävä myös, millaisia muita oikeusturvaa parantavia menettelyyn liittyviä muutoksia hallinnollisesta seuraamusmaksusta päättävän monijäsenisen elimen perustaminen sääntelyyn edellyttää. (PeVL 14/2018 vp, PeVL 24/2018 vp) 

Hallintovaliokunta toteaa, että hallinnollisen sakon määräämisen perusteet sekä sakon määräämisessä huomioon otettavat seikat ja käytettävissä oleva harkintavalta on määritelty varsin yksityiskohtaisesti asetuksen 83 artiklassa. Lisäksi Euroopan tietosuojaneuvosto laatii valvontaviranomaisille hallinnollisten sakkojen määräämistä koskevat suuntaviivat, joiden tarkoituksena on edistää tietosuoja-asetuksen yhdenmukaista soveltamista jäsenmaissa.  

Hallinnollisen sakon määräämisessä noudatettavaa menettelyä ei sen sijaan ole säännelty tietosuoja-asetuksessa, koska jäsenvaltion prosessuaalisen autonomian perusteella toimivaltaisten viranomaisten ja niiden soveltaman menettelyn määrittely lailla kuuluu jäsenvaltiolle. Ehdotettuun tietosuojalakiin sisältyvät säännökset päätöksenteosta seuraamusmaksua määrättäessä mukaan lukien äänestysmenettely. Ehdotukseen ei sisälly erityisiä menettelysäännöksiä. Sovellettaviksi tulevat siten hallintolaki (434/2003) ja muu yleishallinto-oikeudellinen lainsäädäntö.  

Hallintolakiin sisältyvät yleiset menettelyllisiä oikeusturvatakeita koskevat säännökset ovat varsin kattavia. Hallintolaissa säädetään muun muassa neuvonnasta, oikeudesta käyttää asiamiestä ja avustajaa, viranomaisen selvittämisvelvollisuudesta, selvitysten pyytämisestä ja asiakirjan täydentämisestä, kuulemisesta ja siihen liittyvästä menettelystä, suullisesta selvittämisestä ja todistelusta, katselmuksesta ja tarkastuksesta, tulkitsemisesta ja kääntämisestä samoin kuin päätöksen muodosta, sisällöstä, perustelemisesta ja valitusosoituksesta. Hallintomenettelyssä noudatetaan virallisperiaatetta. 

Seuraamusmaksua koskevasta päätöksestä olisi valitusoikeus. Esityksen mukaan tietosuojavaltuutetun päätökseen saa tietosuojalain 23 §:n perusteella hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Seuraamusmaksupäätös olisi täytäntöönpanokelpoinen vain lainvoimaisena. Hallintovaliokunta pitää sääntelyä lähtökohtaisesti asianmukaisena. Ehdotettu hallinnollisen seuraamusmaksun määräämismenettely tulee kuitenkin ottaa huomioon muutoksenhakusäännöksissä. Lisäksi sääntelyä on tarpeen teknisesti selkeyttää. Valiokunta viittaa yksityiskohtaisissa perusteluissa tarkemmin esitettyyn. 

Ehdotus sisältää säännökset seuraamusmaksun vanhentumisesta. Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Lakivaliokunta on lausunnossaan todennut, että vanhentumisaika on pitkä, mutta sitä voidaan pitää perusteltuna asetuksen tehokkaan täytäntöönpanon varmistamiseksi. Ehdotus myös vastaa finanssimarkkinoiden valvontaa sekä rahanpesun ja terrorismin estämistä koskevia säädöksiä, jotka myös mahdollistavat ankarat hallinnolliset seuraamusmaksut. Lisäksi on otettava huomioon, että asetuksen rikkomiset voivat olla hyvinkin laajoja, vakavia ja oikeudellisesti monimutkaisia ja ne voivat tulla valvontaviranomaisen tietoon pitkänkin ajan kuluttua. Sen vuoksi on tärkeää, että asian selvittämiseen ja seuraamusmaksun määräämiseen on riittävästi aikaa. Tietosuoja-asioissa rikkomukset tai laiminlyönnit voivat kuitenkin olla paitsi kertaluonteisia myös jatkuvia, mitä säännöksessä ei ole otettu huomioon. Hallintovaliokunta ehdottaa säännöstä tältä osin täydennettäväksi yksityiskohtaisissa perusteluissa esitetyllä tavalla. 

Tietosuojalakiin ei sisälly säännöksiä hallinnollisen seuraamusmaksun täytäntöönpanokelpoisuudesta, mistä seuraa, että täytäntöönpanokelpoisuus määräytyy hallintolainkäyttölain (586/1996) mukaan. Valvontaviranomaisen päätös hallinnollisesta seuraamusmaksusta on siten täytäntöönpanokelpoinen, kun päätös on saanut lainvoiman. Lakivaliokunta on pitänyt ratkaisua kannatettavana ottaen huomioon hallinnollisten seuraamusmaksujen sanktioluonteisuus ja ankaruus. Hallintolainkäyttölain perusteella hallinto-oikeuden päätös on sen sijaan pantavissa täytäntöön ilman lainvoimaa, jollei korkein hallinto-oikeus kiellä sitä. 

Kun valvontaviranomaisen päätös koskee muuta kuin hallinnollista seuraamusmaksua, päätöksessä voidaan tietosuojalain 23 §:n 3 momentin mukaan kuitenkin määrätä, että sitä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Hallituksen esityksen perustelujen mukaan tällä on tarkoitus varmistaa se, että valvontaviranomaisella on tehokkaat keinot puuttua lainvastaiseen henkilötietojen käsittelyyn. Hallintovaliokunta pitää tätä perusteltuna. 

Hallituksen esityksen mukaan seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Lakivaliokunta on arvioinut kyseisessä laissa säädetyn menettelyn soveltuvan lähtökohtaisesti sellaisenaan asetuksen 83 artiklassa tarkoitetun hallinnollisen seuraamusmaksun täytäntöönpanoon. Kyseinen laki koskee myös muiden lakien perusteella määrättyjen vastaavien hallinnollisten seuraamusmaksujen täytäntöönpanoa. Perusteltuna voidaan pitää myös sitä, että sakon täytäntöönpanosta annettuun lakiin lisätään hallituksen esityksessä ehdotetuin tavoin (3. lakiehdotus) säännös, jonka mukaan asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu pannaan täytäntöön kyseisessä laissa säädetyssä järjestyksessä. 

Hallituksen esitykseen ei sisälly säännöksiä hallinnollisen seuraamusmaksun täytäntöönpanon vanhentumisesta. Yleissäännöksiä asiasta ei tällä hetkellä ole. Erityislainsäädäntöön tällaisia säännöksiä kuitenkin sisältyy, ja niiden perusteella tavanomainen vanhentumisaika on viisi vuotta. Hallintovaliokunta katsoo lakivaliokunnan tavoin, että vastaavanlaisen erityissäännöksen sisällyttäminen tietosuojalakia koskevaan ehdotukseen on perusteltua, ja viittaa yksityiskohtaisissa perusteluissa esitettyyn. 

Hallinnollisen seuraamusjärjestelmän ja rikosoikeudellisen seuraamusjärjestelmän välisen suhteen arviointia

Tietosuoja-asetuksessa säädetty seuraamusjärjestelmä merkitsee kansallisesti merkittävää muutosta myös siinä suhteessa, että asetuksen seuraamukset perustuvat vahvasti kansallisen valvontaviranomaisen määräämiin hallinnollisiin seuraamuksiin. Nykyinen kansallinen järjestelmämme perustuu sen sijaan tuomioistuimen määräämiin rikosoikeudellisiin seuraamuksiin. 

Koska seuraamusjärjestelmä perustuu vastaisuudessa lähtökohtaisesti suoraan asetuksen 83 artiklan mukaisiin hallinnollisiin sakkoihin ja artikla kattaa laajasti asetuksen vastaisen menettelyn, hallituksen esityksessä katsotaan, ettei nykyisen rikoslain 38 luvun 9 §:n mukainen hyvin laaja kriminalisointi ole enää perusteltu. Hallituksen esityksessä ehdotetaan sen vuoksi, että nykyinen kriminalisointi kumotaan ja korvataan sellaisella rangaistussäännöksellä, jonka mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä. Esityksen mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. 

Lakivaliokunta on kiinnittänyt huomiota siihen, että hallituksen esityksen perusteluista saa sellaisen kuvan, että rikosoikeudellinen vastuu koskee jatkossa vain tilanteita, joissa lainvastainen menettely ei kuulu asetuksessa säädetyn hallinnollisen sakon soveltamisalaan ja joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Toisin sanoen niissä tapauksissa, joissa kyse on asetuksen tarkoittamasta rekisterinpitäjästä tai henkilötietojen käsittelijästä, jonka lainvastainen menettely kuuluu asetuksessa tarkoitetun hallinnollisen sakon piiriin, rikosoikeutta ei käytetä lainkaan. Asetuksen tarkoittamia hallinnollisia sakkoja ja rikosoikeudellista järjestelmää ei tällöin miltään osin käytettäisi päällekkäin. Valiokunnan näkemyksen mukaan tämä pitää paikkansa kuitenkin vain osittain. Tämä johtuu siitä, että tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä ja henkilötietojen käsittelijä on rajattu henkilötietojen hankkimista, luovuttamista ja siirtämistä koskevan ehdotetun rikoslain 38 luvun 9 §:n 1 momentin soveltamisalan ulkopuolelle, mutta ei kyseisen tietoturvaloukkauksia koskevan 2 momentin ulkopuolelle. Jälkimmäinen rangaistussäännös on tekijäpiiriä koskevalta soveltamisalaltaan yleinen. 

Saamaansa selvitystä kokonaisuutena arvioituaan lakivaliokunta on kuitenkin päätynyt pitämään perusteltuna sitä, että nyt käsillä olevan EU-asetuksen soveltamisalalla siirrytään mahdollisimman laaja-alaisesti käyttämään pelkästään asetuksen hallinnollisia seuraamuksia, koska hyvin merkittävä osa sääntelystä — myös seuraamusjärjestelmän osalta — tulee suoraan asetuksesta ja asetus edellyttää hallinnollisten sakkojen määräämistä siinä säädetyissä tapauksissa. Ottaen huomioon, että asetus mahdollistaa hyvinkin ankarien hallinnollisten sakkojen määräämisen, vakavienkaan tietosuoja-asetuksen rikkomisten saattaminen rikosoikeudellisen järjestelmän piiriin ei käsillä olevassa sääntelytilanteessa ole välttämätöntä eikä tarpeellista. Lakivaliokunta on korostanut, ettei dekriminalisointi tässä tapauksessa merkitse sitä, että suhtautuminen rangaistaviksi säädettyihin tekoihin olisi lieventynyt, eikä sitä, että teot jäisivät jatkossa ilman seuraamuksia. Lisäksi on otettava huomioon, että sellainen sääntelytapa, jossa hallinnollinen ja rikosoikeudellinen seuraamusjärjestelmä eivät ole päällekkäisiä, on sekä lainsäädännön että käytännön kannalta selkeä ja takaa varmimmin sen, ettei kaksoisrangaistavuuden kieltoa (ne bis in idem) rikota. 

Mainittua lähtökohtaa ei kuitenkaan ole voitu toteuttaa hallituksen esityksessä yhtenäisesti. Lakivaliokunnan näkemyksen mukaan se, että henkilötietojen turvallisuutta loukkaavat teot ovat sekä asetuksen tarkoittamien hallinnollisten sakkojen että rikosoikeudellisten seuraamusten piirissä, monimutkaistaa sääntelyä ja vaikeuttaa säännösten soveltamista. Saamansa selvityksen valossa ja ottaen huomioon päällekkäisyyden kapea-alaisuus ehdotettu sääntelytapa on kuitenkin lakivaliokunnan mielestä hyväksyttävä. 

Itsekriminointisuoja

Siirtyminen rikosoikeuden käytöstä hallinnollisiin seuraamuksiin ei merkitse sitä, että Euroopan ihmisoikeussopimuksen ja perustuslain oikeudenmukaisen oikeudenkäynnin takeet ja syytetyn vähimmäisoikeudet olisivat hallinnollisen seuraamuksen määräämistä koskevassa menettelyssä merkityksettömiä. Itsekriminointisuojan keskeisenä sisältönä on oikeus olla rikosasiassa todistamatta itseään vastaan ja oikeus olla myötävaikuttamatta oman syyllisyyden toteamiseen. Suoja kuuluu perustuslain 21 §:ssä turvatun oikeudenmukaisen oikeudenkäynnin takeisiin (ks. PeVL 39/2014 vp, s. 4/I ja HE 309/1993 vp, s. 74/II). Myös Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä itsekriminointisuojan on katsottu kuuluvan Euroopan ihmisoikeussopimuksen 6 artiklan 1 kohdassa turvatun oikeudenmukaisen oikeudenkäynnin ydinalueelle (esim. Saunders v. Yhdistynyt kuningaskunta, 17.12.1996). Itsekriminointisuojan keskeisimmät soveltamistapaukset ovat oikeuskäytännössä koskeneet rikoksen esitutkintaa ja rikosoikeudenkäyntiä, mutta joissain tilanteissa itsekriminointisuojan on katsottu ulottuvan myös muihin tilanteisiin, joissa kyse ei ole rikosoikeudellisista seuraamuksista. 

Lakivaliokunnan mukaan itsekriminointisuoja ei sinällään estä lainsäätäjää antamasta hallinnollista ilmoitusvelvollisuutta koskevia säännöksiä, mutta itsekriminointisuoja saattaa eräissä tapauksissa olla merkityksellinen arvioitaessa ilmoitusvelvollisuuden noudattamista. Valiokunta on kiinnittänyt huomiota muun muassa tietosuoja-asetuksen 33 artiklaan, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle. Ilmoitusvelvollisuuden tekemättä jättämisestä voidaan asetuksen mukaan määrätä hallinnollinen seuraamusmaksu tai sen sijaan antaa esimerkiksi huomautus. Lakivaliokunnan käsityksen mukaan ilmoitusvelvollisuuteen sovellettavia seuraamussäännöksiä on tällöin tulkittava itsekriminointisuojan kanssa yhteensopivasti ottaen huomioon muun muassa Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö. Viime kädessä asian arvioiminen jää tuomioistuimen ratkaistavaksi. 

Lakivaliokunta on lausunnossaan kiinnittänyt huomiota myös tietosuojalain 22 §:ään, joka sisältää säännökset uhkasakosta. Sääntelyyn liittyviä, itsekriminointisuojaa koskevia näkökohtia käsitellään tarkemmin jäljempänä pykälän yksityiskohtaisissa perusteluissa. 

Rekisteröidyn oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja muutoksenhaku

Ehdotetun tietosuojalain 21 §:n mukaan rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Tietosuojavaltuutetun päätökseen saa tietosuojalain 23 §:n mukaan hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. 

Ehdotettujen säännösten tarkoituksena on antaa tietosuoja-asetuksen oikeussuojakeinoja koskevia säännöksiä täydentävät kansalliset säännökset. Asetuksen 77 artiklassa säädetään rekisteröidyn oikeudesta tehdä valitus valvontaviranomaiselle, 78 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin valvontaviranomaisen päätöstä vastaan ja 79 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan. 

Hallituksen esityksessä valvontaviranomaisen päätökseen ei ehdoteta oikaisuvaatimusmahdollisuutta, vaan ensimmäisen oikeussuojakeinon muodostaa varsinainen muutoksenhaku hallinto-oikeuteen. Lakivaliokunta on pitänyt sääntelyä perusteltuna, sillä oikaisuvaatimusmenettelyä ei ole tarkoitettu pakolliseksi vaiheeksi kaikkiin hallintoasioihin eikä se sovellu kaikkiin hallintoasioihin. Tässä tarkoitetut valvontaviranomaisen päätökset ovat luonteeltaan erityisen laillisuusvalvontaviranomaisen yksittäisessä valvonta-asiassa antamia hallintopäätöksiä, jotka kyseinen valvontaviranomainen on asian huolellisen selvittämisen ja erityisasiantuntemukseensa perustuvan oikeudellisen harkinnan perusteella antanut. Tällaiset päätökset eivät tyypillisesti ole yksinkertaisia tai esimerkiksi sillä tavoin massaluonteisia, että niiden alistaminen saman viranomaisen tarkempaan tarkasteluun oikaisuvaatimusmenettelyssä olisi perusteltua tai tarkoituksenmukaista. 

Lakivaliokunnalla ei ole ollut huomauttamista myöskään valitusluvan edellyttämiseen jatkovalituksen yhteydessä. Ehdotettu säännös vastaa yleistä linjausta korkeimman hallinto-oikeuden aseman kehittämisestä. Lisäksi lausunnossa todetaan, että valvontaviranomaisen muutoksenhakuoikeutta puoltaa kyseisen viranomaisen tehtävä valvoa yleisen tietosuoja-asetuksen noudattamista samoin kuin tarve varmistaa oikeuskäytännön yhtenäisyys. Nämä seikat puoltavat lakivaliokunnan mukaan myös sitä, että viranomaisen muutoksenhakuoikeus on avoin, vaikkakin on oletettavaa, että käytännössä valvontaviranomaisen intressi valittaa hallinto-oikeuden päätöksestä koskee sellaisia tilanteita, joissa hallinto-oikeus muuttaa valvontaviranomaisen päätöstä tai kumoaa sen. 

Saamansa selvityksen perusteella hallintovaliokunta pitää ehdotettua muutoksenhakusääntelyä asianmukaisena. Ehdotukset seuraamusmaksun määräävästä monijäsenisestä elimestä aiheuttavat kuitenkin muutostarpeita muutoksenhakusäännöksiin. Lisäksi sääntelyä on tarpeen lakiteknisesti selkeyttää. 

Rekisteröidyn oikeus saattaa asia muun kuin tietosuojavaltuutetun käsiteltäväksi

Tietosuoja-asetuksen 79 artiklassa säädetään rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan tämän oikeuden kuitenkaan rajoittamatta muun muassa 77 artiklaan perustuvaa oikeutta tehdä valitus valvontaviranomaiselle. Artiklan 2 kohdan mukaan kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Esitettyyn tietosuojalakiin ei sisälly erityisiä säännöksiä mainituista seikoista. 

Asetuksen 79 artikla on suoraan sovellettava säännös. Rekisteröity voi näin ollen vedota oikeuksiensa tueksi suoraan kyseiseen säännökseen. Lakivaliokunta lausunnossaan toteaa, että asetuksen säännös ei myöskään vaikuta jättävän mahdollisuutta kansallisesti rajoittaa rekisteröidyn mahdollisuuksia kääntyä myös muiden tahojen kuin tietosuojavaltuutetun puoleen, vaikkakin käytännössä luontevampi tapa on kääntyä tietosuojavaltuutetun puoleen. 

Suomen oikeusjärjestelmä sisältää jo nykyisin keinoja, joiden voidaan katsoa täyttävän 79 artiklan mukaiset rekisteröidyn oikeudet tehokkaisiin oikeussuojakeinoihin. Esimerkiksi silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on muu kuin viranomainen, estettä ei ole sille, etteikö rekisteröity voi saattaa henkilötietojen käsittelyä koskevan asian riita-asiana käräjäoikeuden käsiteltäväksi. Kyse voi olla velvoittamiskanteesta tai vahvistuskanteesta. Rekisteröity voi velvoittamiskanteella vaatia rekisterinpitäjää toteuttamaan tietosuoja-asetuksen mukaisia oikeuksia, kuten rekisteröidyn tiedonsaantioikeus. Tuomioistuimen velvoittamiskanteen johdosta antama tuomio voidaan panna täytäntöön ulosottomenettelyssä. Rekisteröity voi nostaa henkilötietojen käsittelyä koskevassa asiassa myös vahvistuskanteen, joka voi koskea esimerkiksi sopimusehdon pätevyyttä. Lisäksi rekisteröity voi saattaa tietosuoja-asetuksen vahingonkorvausta koskevan 82 artiklan mukaisen vaatimuksen vireille käräjäoikeudessa. 

Jos rekisterinpitäjä on viranomainen, rekisteröity voi valittaa viranomaisen rekisterinpitäjänä tekemästä hallintopäätöksestä hallinto-oikeuteen. Lakivaliokunnan käsityksen mukaan viranomaisen tekemä hallintopäätös voi koskea myös henkilötietojen käsittelyä, ja tarvittaessa rekisteröity voi pyytää asiasta hallintopäätöksen, josta valituksen voi tehdä. 

Hallintovaliokunta yhtyy lakivaliokunnan esittämiin näkemyksiin. 

Toisiinsa liittyvät menettelyt

Käytännössä on mahdollista, että tietosuoja-asetuksen rikkominen on samanaikaisesti vireillä valvontaviranomaisella ja tuomioistuimessa. Kyse voi olla esimerkiksi siitä, että rekisteröity vaatii vahingonkorvausta kanteella tuomioistuimessa, koska valvontaviranomaisella ei ole toimivaltuuksia määrätä tällaisia korvauksia. Tällöin kyse olisi samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta tietosuoja-asetuksen tai tietosuojalain väitetystä rikkomisesta. 

Ehdotetun sääntelyn valossa ei lakivaliokunnan mielestä ole selvää, miten tällaisten toisiinsa liittyvien rinnakkaisten menettelyjen suhteen toimitaan. Lakivaliokunnan näkemyksen mukaan tietosuojavaltuutetulle voidaan säätää mahdollisuus keskeyttää sillä vireillä olevan asian käsittely, jos se on vireillä tuomioistuimessa. Asian keskeyttäminen ei merkitse asian käsittelyn lopettamista, vaan tietosuojavaltuutettu voi jatkaa käsittelyä myöhemmin. Vastaavanlainen säännös sisältyy rikosasioiden tietosuojadirektiivin kansallista täytäntöönpanoa koskevaan hallituksen esitykseen (HE 31/2018 vp, 1. lakiehdotuksen 57 §). 

Saamansa selvityksen perusteella hallintovaliokunta katsoo, että tietosuojalain 21 §:ää on selvyyden vuoksi aiheellista täydentää mainitunlaisella keskeyttämistä koskevalla säännöksellä, ja viittaa yksityiskohtaisissa perusteluissa esitettyyn. 

Viivästysvalitus

Tietosuoja-asetuksen 78 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta. Tietosuojalakiehdotukseen ei sisälly nimenomaisia säännöksiä tällaisista oikeussuojakeinoista. 

Lakivaliokunta on lausunnossaan tarkastellut, olisiko tarvetta säätää erityisestä tuomioistuimelle tehtävästä viivästysvalituksesta. Valiokunta katsoo, ettei asemaltaan itsenäisen valvontaviranomaisen toiminnan valvonta asetuksen tarkoittamalla tavalla kuulu luontevasti tuomioistuimille. Tarkoituksenmukaista ei myöskään ole ottaa käyttöön erityistä viivästysvalitusta pelkästään tietosuoja-asetuksen tarkoittamia asioita varten. Valiokunta myös katsoo, että jo nykyinen kantelumahdollisuus ylimmille laillisuusvalvojille on tehokas oikeussuojakeino, sillä niiden tehtävänä on ryhtyä kantelun johdosta tarvittaviin toimenpiteisiin. Ne voivat myös nostaa syytteen taikka määrätä suoritettavaksi esitutkinnan. Ne voivat myös tehdä viranomaiselle esityksen virheen oikaisemiseksi tai epäkohdan korjaamiseksi tai hyvittämiseksi. Edellä esitetyn valossa lakivaliokunta on puoltanut hallituksen esittämää ratkaisua. Hallintovaliokunta arvioi esille tuotuja näkökohtia samoin ja pitää hallituksen esityksessä ehdotettua ratkaisua perusteltuna. 

Yhteenveto

Perustuslakivaliokunta on edellyttänyt lausunnossaan, että hallintovaliokunta selvittää, millaisia muita oikeusturvaa parantavia menettelytakeita seuraamusmaksusta päättävän monijäsenisen elimen perustaminen sääntelyyn edellyttää. Hallintovaliokunnan näkemyksen mukaan käsillä olevassa ehdotuksessa on hallituksen esitys, lakivaliokunnan lausunto ja muu asiassa saatu selvitys huomioiden huolehdittu muiltakin osin oikeusturvaa parantavista menettelyistä. Näistä keskeisimpinä voidaan mainita muun muassa äänestysmenettelyn sääntely, muutoksenhakuoikeus seuraamusmaksupäätöksestä, seuraamusmaksun ja sen täytäntöönpanon vanhentuminen, päätöksen täytäntöönpanokelpoisuus lainvoimaisena, hallinnon yleislakien soveltaminen menettelyyn, viranomaisen selvitysvastuu ja näyttövelvollisuus, tietosuoja-asetukseen perustuva seuraamusmaksun oikeasuhtaisuus sekä syyttömyysolettaman, kaksoisrangaistavuuden kiellon ja itsekriminointisuojan noudattaminen. Lisäksi mietinnössä ehdotetaan sääntelyyn selkeytyksiä ja terminologian täsmentämistä. Oikeusturvanäkökohtien kannalta tärkeitä ovat myös rangaistussäännöksiin tehtävät tarkennukset. 

Ylimmän laillisuusvalvonnan asema suhteessa valvontaviranomaiseen

Perustuslakivaliokunta on kiinnittänyt huomiota tietosuoja-asetuksen soveltamisen valvonnassa ylimmän laillisuusvalvonnan asemaan. Valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies ovat perustuslain mukaan tehtäviltään ja toimivallaltaan toisiinsa nähden rinnasteisia laillisuusvalvontaviranomaisia. Perustuslain esitöissä puhutaan oikeuskanslerista ja oikeusasiamiehestä nimenomaan ylimpinä laillisuusvalvontaviranomaisina (HE 1/1998 vp, s. 165—166). Perustuslain mukaan kummankin laillisuusvalvojan yleisenä laillisuusvalvontatehtävänä on valvoa, että tuomioistuimet ja muut viranomaiset sekä virkamiehet, julkisyhteisöjen työntekijät ja muutkin julkista tehtävää hoitaessaan noudattavat lakia ja täyttävät velvollisuutensa. Tehtäväänsä hoitaessaan laillisuusvalvojat valvovat perustuslain mukaan perusoikeuksien ja ihmisoikeuksien toteutumista. Tietosuoja-asetus ja ehdotettu tietosuojalaki ovat jatkossa osa oikeusjärjestystä, jonka noudattamista ylimmät laillisuusvalvojat valvovat. Laillisuusvalvojien perustuslaillisiin tehtäviin kuuluu myös yksityiselämän ja henkilötietojen suojaa koskevien perus- ja ihmisoikeuksien toteutumisen valvonta. Lausunnossa myös todetaan, että ylimpien laillisuusvalvojien virkatointen lainmukaisuuden tutkiminen ja niiden toiminnan valvonta on suoraan perustuslaissa säädetty eduskunnan ja sen perustuslakivaliokunnan tehtäväksi. 

Perustuslakivaliokunnan mielestä ylimpien laillisuusvalvojien valtiosääntöinen asema ja tehtävät sekä laillisuusvalvonnan valtiosääntöinen kokonaisuus eivät mahdollista asteellisesti alemman tietosuojavaltuutetun ylimpiin laillisuusvalvojiin kohdistuvaa valvontaa. Tällaisen rajauksen on ilmettävä myös tietosuojalain säännöksistä nimenomaisesti. 

Perustuslakivaliokunnan mukaan on kuitenkin sinänsä selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. PeVL 20/2017 vp, s. 6 ja PeVL 51/2014 vp, s. 2/II) eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin (PeVL 26/2017 vp, s. 42). Valiokunnan käsityksen mukaan on myös selvää, että tietosuoja-asetuksen sääntely ei sanamuotonsa puolesta vaikuttaisi mahdollistavan tällaisen rajauksen säätämistä. 

Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaan unioni kunnioittaa jäsenvaltioiden tasa-arvoa perussopimuksia sovellettaessa sekä niiden kansallista identiteettiä, joka on olennainen osa niiden poliittisia ja valtiosäännön rakenteita, myös alueellisen ja paikallisen itsehallinnon osalta. Perustuslakivaliokunnan käsityksen mukaan säännös ilmentää lähtökohtaa siitä, ettei EU:n aineellisen oikeuden voi katsoa kyseenalaistavan jäsenvaltioiden valtiosääntöistä institutionaalista julkisen vallankäytön rakennetta. Perustuslakivaliokunnan käsityksen mukaan on kuitenkin selvää, että kansallista valtiosäännön rakenteisiin kiinnittyvää identiteettiä koskeva sopimusmääräys voi muodostaa vain kapeasti sovellettavissa olevan oikeasuhtaisen perusteen poiketa EU-oikeuden täysimääräisestä soveltamisesta. 

Oikeasuhtaisuusarviossa olennaista perustuslakivaliokunnan käsityksen mukaan on, että nyt käsillä olevassa tilanteessa kyse ei ole aineellisesta ristiriidasta perustuslain sisällön ja EU:n oikeuden välillä. Kysymys on sen sijaan siitä, että unionin oikeus johtaa sellaiseen ristiriitaan Suomen perustuslain institutionaalisten ratkaisujen kanssa, jota tietosuoja-asetuksessa ei ole nimenomaisesti tavoiteltu. Valiokunnan mielestä olennaista on, että ylimpien laillisuusvalvojien osalta tehtävät soveltamisalan rajaukset eivät vaaranna tietosuoja-asetuksen johdannon mukaisia oikeussuojan ja tehokkaan valvonnan tavoitteita eivät unionin tuomioistuimen oikeuskäytännössä todettuja tietosuojaviranomaisten toiminnan perimmäisiä tavoitteita. 

Viimekätinen toimivalta Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan, tietosuoja-asetuksen sekä näiden keskinäisen suhteen tulkintaan on EU-tuomioistuimella. Perustuslakivaliokunta kuitenkin katsoo, että tulkinnan ollessa vielä tältä osin epäselvä ei hallituksen esityksessä ole esitetty riittäviä EU-oikeudellisia perusteita tietosuojavaltuutetun valvontavallan ulottamiseen ylimpiin laillisuusvalvojiin. Tietosuojalakiehdotusta on tämän johdosta muutettava siten, että ylimpien laillisuusvalvojien harjoittamaan laillisuusvalvontaan ei kohdistu tietosuojalaissa tarkoitetun valvontaviranomaisen valvontatoimivaltaa. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausuntoon viitaten tietosuojavaltuutetun toimivallan rajaamista tarkemmin yksityiskohtaisista perusteluista ilmenevin tavoin. 

Hallinnollisen seuraamusmaksun määrääminen viranomaiselle

Tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin. Hallituksen esityksessä tätä kansallista liikkumavaraa on käytetty ehdottamalla tietosuojalain 25 §:n 2 momentissa, että 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. 

Hallituksen esityksessä säännöstä perustellaan sillä, että viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisten toiminta on budjettisidonnaista, jolloin rahamääräisen seuraamuksen vaikutus ei ole samanlainen kuin yksityisellä sektorilla. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. 

Hallintovaliokunta katsoo, että ehdotettuun sääntelyyn on esitettävissä perusteita sekä puolesta että vastaan, kuten lakivaliokunnan lausunnostakin ilmenee. Myös hallintovaliokunnan kuulemisissa on kiinnitetty huomiota muun muassa julkisen ja yksityisen sektorin toimijoiden erilaiseen asemaan sanktioriskin suhteen. Tietosuoja-asetuksen kansallinen täytäntöönpano on vielä osassa EU:n jäsenvaltioita kesken, mutta tämänhetkisen tiedon mukaan vaikuttaa siltä, että jäsenvaltioissa ollaan päätymässä liikkumavaran käytössä erilaisiin lopputuloksiin ja että seuraamusjärjestelmät kokonaisuudessaan tulevat pohjautumaan erilaisiin kansallisiin ratkaisuihin. 

Perustuslakivaliokunnalla ei ole huomauttamista hallituksen esityksessä mainittuihin perusteluihin. Valiokunta huomauttaa kuitenkin, että mainittujen seikkojen lisäksi viranomaisille määrättävä hallinnollinen seuraamusmaksu olisi ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. Kuten valiokunta on lausunnossaan painottanut, lainsäätäjän tulee turvata perustuslain 10 §:ssä turvatut oikeudet tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa suhteuttamalla yksityiselämän ja henkilötietojen suoja toisiin perus- ja ihmisoikeuksiin. Valiokunnan käsityksen mukaan on ilmeistä, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan määrältään varsin huomattavan seuraamusmaksun uhka voi vaarantaa perusoikeuksien keskinäisen punninnan tasapainoisuuden viranomaistoiminnassa ja johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. Valiokunnan mielestä seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei olisi sanotuista syistä valtiosääntöisesti ongelmatonta. 

Lakivaliokunta lausunnossaan katsoo, että esityksessä on esitetty useita hyväksyttäviä perusteita sille, että viranomaiset jätetään hallinnollisen seuraamusmaksun ulkopuolelle, minkä vuoksi valiokunta on päätynyt tukemaan esitettyä ratkaisua. Ratkaisua tulisi jatkossa kuitenkin seurata. 

Saamansa selvityksen perusteella hallintovaliokunta puoltaa hallituksen esityksessä esitettyä rajausta yksityiskohtaisissa perusteluissa ehdotetuin eräin tarkennuksin. Hallintovaliokunta painottaa perustuslakivaliokunnan lausuntoon viitaten, että kyse on viranomaistoiminnan rajaamisesta hallinnollisen seuraamusmaksun ulkopuolelle. Toimintaympäristö julkisella sektorilla kehittyy monin tavoin, ja hallintovaliokunta pitää sen vuoksi tärkeänä, että ehdotettua ratkaisua seurataan kiinnittäen huomiota muun ohella viranomaistoiminnan ja muun toiminnan väliseen rajanvetoon. 

Henkilötietojen käsittelyn oikeusperuste

Käsittelyn lainmukaisuus

Henkilötietojen käsittelyn oikeusperusteeseen sovelletaan 25.5.2018 alkaen tietosuoja-asetusta. Tietosuoja-asetuksen 6 artiklan mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi artiklan 1 kohdassa mainituista edellytyksistä täyttyy. 

Tietosuoja-asetuksen 6 artiklassa annetaan jäsenvaltioille kuitenkin eräiltä osin kansallista liikkumavaraa. Henkilötietojen käsittelyn oikeusperusteesta voidaan säätää jäsenvaltion lainsäädännössä tarkemmin tilanteissa, joissa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (6 artiklan 1 kohdan c alakohta) tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan e alakohta). 

Muilta osin henkilötietojen käsittelyn oikeusperusteesta ei voida antaa tarkempaa tai muutakaan kansallista sääntelyä, vaan käsiteltäessä henkilötietoja esimerkiksi suostumuksen (6 artiklan 1 kohdan a alakohta) tai rekisterinpitäjän oikeutetun edun perusteella (6 artiklan 1 kohdan f alakohta), seuraa henkilötietojen käsittelyn oikeusperuste suoraan tietosuoja-asetuksesta. 

Koska voimassa olevassa henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteista eräiltä osin yksityiskohtaisemmin kuin tietosuoja-asetuksessa, hallintovaliokunnan mielestä on perusteltua, että oikeusperusteita täsmennetään tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Näitä koskevat säännösehdotukset sisältyvät tietosuojalain 4 §:ään. 

Asetuksen 6 artiklassa tarkoitettua kansallista liikkumavaraa voidaan käyttää myös annettaessa kansallista erityissääntelyä. Artiklan 1 kohdan mukaan "käsittely on lainmukaista, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:". Saadun selvityksen mukaan edellytyksiä artiklan tulkitsemiselle muulla tavoin kuin sen sanamuodon mukaan ei tällä hetkellä ole. Artiklan sanamuodon perusteella henkilötietojen käsittely voisi siten perustua useampaankin 6 artiklassa tarkoitettuun käsittelyn oikeusperusteeseen. Valiokunta huomauttaa, että 1 kohdan c alakohta ja e alakohta voivat olla osin päällekkäisiäkin. Valiokunta korostaa, että useamman kuin yhden henkilötietojen käsittelyn oikeusperusteen käyttäminen ei kuitenkaan voi johtaa siihen, että jäisi epäselväksi, mitä oikeuksia rekisteröidyllä sanotun lain mukaan olisi. Tämän tulee käydä aina selkeästi ilmi ehdotetusta lainsäädännöstä. 

Kulttuuriperintöaineistot

Ehdotetun tietosuojalain 4 §:n 4 kohdan mukaan henkilötietoja saa käsitellä, jos henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden. Sääntelyn tavoitteena on, että oikeustila ei ehdotuksen myötä muutu. Arkistointitarkoituksen voidaan katsoa kattavan myös muuta aineiston käsittelyä kuin säilyttämistä. Pykälän yksityiskohtaisissa perusteluissa todetaan, että ehdotettu henkilötietojen käsittelyperusta sisältää myös mahdollisuuden käsitellä kulttuuriperintöaineistoja siinä tarkoituksessa, että kyseiset aineistot saatetaan käytettäväksi. Rekisterinpitäjän on kuitenkin myös tässä käsittelytarkoituksessa arvioitava, onko käsittely tarpeellista ja oikeasuhtaista sillä tavoiteltuihin päämääriin nähden. Valiokunta toteaa näin olevan jo nykyisin. Rekisterinpitäjän on käsittelyn oikeasuhtaisuutta arvioidessaan otettava huomioon rekisteröidyn oikeudet, käyttötarkoitussidonnaisuus ja muut henkilötietojen käsittelyn yleiset periaatteet. Jos rekisteröidyn oikeuksista on poikettu ehdotetun lain 33 §:n nojalla, on rekisterinpitäjän kiinnitettävä tähän erityistä huomiota arvioidessaan käsittelyn oikeasuhtaisuutta. 

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty siihen, että tietosuojalakiin tulisi sisällyttää nimenomainen säännös, jonka nojalla kulttuuriperintöorganisaatioilla olisi oikeus saattaa henkilötietoja sisältäviä kulttuuriperintöaineistoja ja niiden kuvailutietoja yleisön saataville. Valiokunta viittaa edellisessä kappaleessa sanottuun ja toteaa lisäksi, ettei voimassa olevaan henkilötietolakiin eikä valiokunnan käsityksen mukaan muuhunkaan säädökseen nykyisin sisälly mainitunlaista nimenomaista säännöstä. Valiokunnan mielestä olennaista on, että oikeustila ei nyt ehdotetun sääntelyn myötä muutu. Valiokunta kuitenkin korostaa digitalisaation kasvavaa merkitystä ja pitää tärkeänä, että modernin yhteiskunnan haasteisiin vastataan kehittämällä verkkopalveluita ja edistetään maantieteellistä tasa-arvoa, tiedon saavutettavuutta ja hyödynnettävyyttä sekä erilaisten kumppanuusmallien käyttöönottoa ja yhteistyötä. Lainsäädännön toimivuutta tässä suhteessa on sen vuoksi syytä arvioida huomioiden samalla henkilötietojen suojaa koskevat vaatimukset. 

Hallintovaliokunta toteaa, että tietosuojalakiin ehdotetuissa arkistointia ja kulttuuriperintöaineistojen käsittelyä koskevissa säännöksissä on kysymys laajasti muustakin henkilötietoja sisältävästä aineistosta kuin esimerkiksi vanhasta valokuva-aineistosta. Säännökset kattavat myös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn. Nämä voivat olla esimerkiksi yksityishenkilöiden kirjeitä tai vankien kanteluita. Esimerkiksi Kansallisarkisto säilyttää laajasti erilaista henkilötietoja sisältävää materiaalia. Lisäksi Suomessa toimii lukuisia yksityisiä ja julkisia tahoja, jotka käsittelevät henkilötietoja ehdotetun tietosuojalain 4 §:n 4 kohdan mukaisissa tarkoituksissa. 

Kulttuuriperintöaineistojen kirjo on laaja, eikä kulttuuriperintöaineisto käsitteenä ole vielä kovin täsmentynyt. Hallituksen esityksen perusteluissa todetaan kulttuuriperintöaineistojen voivan sisältää ihmisten toiminnassa kertyvien, toiminnan historiasta ja merkityksestä kertovien aineistojen lisäksi muun muassa tietoa luonnonperinnöstä ja taiteesta. Kulttuuriperintöaineisto voi olla esimerkiksi asiakirjoja, esineitä, painotuotteita, taideteoksia, luonnontieteellisiä aineistoja, kuvia ja audiovisuaalisia aineistoja sekä dokumenttiaineistoja ja kyselyaineistoja. 

Ehdotetun tietosuojalain 4 §:n 4 kohdassa ja 6 §:n 8 kohdassa tarkoitettua käsittelyä arkistointitarkoituksessa tapahtuu Suomessa ennen kaikkea kirjastoissa, arkistoissa ja museoissa, ja tämä toimintakenttä on hyvin laaja ja epäyhtenäinen, mikä on tullut asiantuntijakuulemisessa esille. Hallintovaliokunta toteaa lisäksi, että mikäli nimenomaisen, aineistojen saattamista yleisön saataville koskevan säännöksen tarkoituksena olisi, ettei kaikkea kokoelmiin kuuluvaa avattaisi avoimeksi verkkoon, tulisi myös tämä huomioida sääntelyn yhteydessä. Sääntelystä tulisi siten ilmetä, keitä ja mitä materiaalia oikeus tiedon saataville saattamiseen voisi koskea. 

Tietosuojalain 31 §:ssä ehdotetaan säädettävän laajoja poikkeuksia rekisteröidyn oikeuksiin, kun henkilötietoja käsitellään ehdotetun 4 §:n 4 kohdan mukaisiin arkistointitarkoituksiin. Ehdotettuja rajauksia rekisteröidyn oikeuksiin voidaan pitää perusteltuna hallituksen esityksestä ilmenevin perustein. Tiedon saataville saattamista koskevaa nimenomaista säännöstä harkittaessa tulisi selvittää muun ohella, millä tavoin nämä ehdotetut rajaukset rekisteröidyn oikeuksiin otettaisiin säännöksessä huomioon ja millä tavoin varmistettaisiin rekisteröidyn oikeuksien ja vapauksien asianmukainen suojaaminen tietosuoja-asetuksen edellyttämällä tavalla. 

Hallintovaliokunta toteaa, että sen ei ole mahdollista suorittaa sellaista perusteellista selvitystyötä, jota tämänkaltainen teknisesti vaativa asiakokonaisuus vaatii. Valiokunta edellyttää, että kulttuuriperintöaineistoja koskevan sääntelyn arviointi digitalisaation kehittymisen ja henkilötietojen suojan vaatimusten kannalta tulee sen vuoksi tehdä erikseen ja ryhtyä sen pohjalta tarvittaessa lainsäädäntötoimenpiteisiin. 

Tieteellisiin ja historiallisiin tutkimustarkoituksiin sekä tilastollisiin tutkimustarkoituksiin liittyvät poikkeukset ja suojatoimet

Tietosuoja-asetuksen 89 artiklan 2 kohdan mukaan, kun henkilötietoja käsitellään tieteellisessä tai historiallisessa tutkimustarkoituksessa taikka tilastollisessa tarkoituksessa, voidaan kansallisella lainsäädännöllä poiketa 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista, jos sovelletaan 89 artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia. Mainitussa 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin, 16 artiklassa oikeudesta tietojen oikaisemiseen, 18 artiklassa oikeudesta käsittelyn rajoittamiseen ja 21 artiklassa oikeudesta vastustaa käsittelyä. 

Tietosuoja-asetus sisältää jo itsessään merkittäviä suojatoimia rekisteröidyn oikeuksien turvaamiseksi. Esimerkiksi rekisteröity voi saattaa asian valvontaviranomaisen käsiteltäväksi, jos hän epäilee henkilötietoja käsiteltävän tieteellisessä tutkimustarkoituksessa tietosuoja-asetuksen vastaisesti. Tietosuoja-asetuksen mukaan kansallisessa laissa tulee kuitenkin säätää erityisistä suojatoimista tilanteissa, joissa kansallisesti pidetään tarpeellisena poiketa rekisteröidyn oikeuksista. 

Tietosuojalaissa ehdotettuja poikkeuksia voidaan pitää perusteltuina, jotta ei tarpeettomasti vaaranneta tieteellisten ja historiallisten tutkimustarkoitusten toteutumista. Tämä vastaa pitkälti myös nykytilaa, sillä voimassa olevan henkilötietolain 27 §:n nojalla rekisteröidyllä ei ole tarkastusoikeutta, kun henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Hallituksen esityksen perustelujen mukaan poikkeaminen rekisteröidyn oikeuksista on kuitenkin mahdollista ainoastaan siltä osin kuin tällaiset oikeudet todennäköisesti estävät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. 

Poikkeuksista rekisteröidyn oikeuksiin sekä niihin liittyvistä suojatoimista tieteellisen ja historiallisen tutkimustarkoituksen osalta ehdotetaan säädettävän tietosuojalain 31 §:n 1 momentissa ja tilastollisen tutkimustarkoituksen osalta 2 momentissa. 

Pykälän 3 momentin mukaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä oikeuksista voitaisiin poiketa myös silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja tieteellistä tai historiallista tutkimusta tai tilastointia varten. Sama koskisi tietosuoja-asetuksen 10 artiklassa mainittuja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Erityisiä henkilötietoryhmiä tietosuoja-asetuksen 9 artiklan mukaan ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisten henkilötietoryhmien käsittelyä on myös geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Erityisissä henkilötietoryhmissä on pitkälti kyse tiedoista, joita henkilötietodirektiivissä kutsuttiin arkaluonteisiksi tiedoiksi. Käsiteltäessä 3 momentissa tarkoitettuja tietoja poikkeaminen rekisteröidyn oikeuksista edellyttäisi esityksen mukaan 1 ja 2 momentissa säädetyn lisäksi tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin laatimista. 

Tietosuojalain 31 §:n 3 momentissa ehdotettua vaikutustenarviointia on hallintovaliokunnan asiantuntijakuulemisessa yhtäältä pidetty hallinnollista taakkaa lisäävänä ja katsottu sen voivan joissain tilanteissa vaikuttaa myös kilpailukykyyn. Toisaalta sen toimivuuteen lisäsuojatoimenpiteenä on myös esitetty epäilyjä. Perustuslakivaliokunta puolestaan on kiinnittänyt huomiota siihen, että esimerkiksi historialliseen tutkimukseen voi liittyä täysin säännönmukaisesti sellaisten henkilötietojen käsittely, joista ilmenee asetuksen 9 artiklan mukaisia henkilötietoja, kuten henkilön poliittisia mielipiteitä tai uskonnollinen vakaumus. Tietosuojavaltuutetulle toimitettavan vaikutustenarvioinnin pakollinen liittäminen esimerkiksi tällaiseen tutkimukseen puuttuu perustuslain 16 §:n 3 momentissa turvattuun tieteen vapauteen tavalla, joka ei perustuslakivaliokunnan mielestä ole kaikilta osiltaan oikeasuhtaisuusvaatimuksen mukainen. Perustuslakivaliokunta lausuu, että hallintovaliokunnan on muutettava sääntelyä tietosuoja-asetuksen mahdollistamissa rajoissa siten, että tieteen vapaus tulee paremmin turvatuksi. 

Hallintovaliokunta toteaa, että vaikutustenarviointi voi tulla tehtäväksi jo suoraan tietosuoja-asetuksen nojalla. Vaikutustenarviointi on tietosuoja-asetuksen mukaan tehtävä aina korkean käsittelyriskin tapauksissa. Hallintovaliokunta katsoo, että pykälän 1 momentin mukaisia suojatoimia ei kuitenkaan voida pitää yksinään riittävinä toimenpiteinä yleisesti kaikkien erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn osalta oikeuttamaan laajamittaista poikkeamista rekisteröidyn oikeuksista. Tietosuoja-asetuksen johdantokappaleen 51 mukaan asetuksen 9 artiklassa tarkoitettuja henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Myös perustuslakivaliokunta on toisaalla lausunnossaan painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. 

Tietosuojalakiin on kuitenkin mahdollista sisällyttää vaikutustenarvioinnin lisäksi muitakin suojatoimenpiteitä, joiden nojalla rekisteröidyn oikeuksista on mahdollista poiketa. Esimerkiksi tietosuoja-asetuksen 40 artiklan mukaiset tietosuojaviranomaisen hyväksymät käytännesäännöt voivat eräin edellytyksin olla tällainen suojatoimenpide. Hallintovaliokunnan näkemyksen mukaan käytännesääntöjen sisällyttämisellä tietosuojalain 31 §:n 3 momenttiin valinnaisena suojatoimenpiteenä voitaisiin joustavoittaa sääntelyä ja antaa rekisterinpitäjälle valinnanvaraa suojatoimien osalta rekisteröidyn aseman turvaavalla tavalla. Käytännesäännöt keventäisivät myös rekisterinpitäjän ja valvontaviranomaisen hallinnollista taakkaa. Käytännesäännöt on myös mahdollista laatia siten, että kulloinkin kyseessä olevan toimialan erityistarpeet tulevat asianmukaisesti huomioiduiksi. 

Käytännesäännöt voivat koskea myös sellaista henkilötietojen käsittelyä, joka tapahtuu useamman jäsenvaltion alueella. Käsittelyn tapahtuessa useamman jäsenvaltion alueella Euroopan tietosuojaneuvosto antaa lausunnon käytännesäännöistä. Selvityksen mukaan eurooppalaisessa keskustelussa on esitetty huolia tieteellistä tutkimusta koskevan sääntelyn pirstoutumisesta ja sen vaikutuksista rajat ylittävälle tieteelliselle tutkimukselle. Valiokunnan käsityksen mukaan käytännesääntöjen avulla olisi mahdollista vastata osaltaan myös tähän huoleen. 

Edellä todetuista syistä hallintovaliokunta katsoo, että tietosuojalain 31 §:n 3 momenttia on perusteltua täydentää käytännesääntöjä koskevalla säännöksellä jäljempänä yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Hallintovaliokunta kiinnittää vielä erityistä huomiota siihen, että säädettäessä poikkeuksia rekisteröidyn oikeuksista on sääntelyratkaisua tarkasteltava kokonaisuutena. Suomessa henkilötunnuksen laaja-alainen käyttö mahdollistaa sellaisen rekisteripohjaisen tutkimuksen, joka ei ole mahdollista useassa muussa unionin jäsenvaltiossa. Esimerkiksi Saksassa ei ole käytössä vastaavaa henkilötunnusta, jonka avulla rekisteröityjen tietojen laajamittainen yhdistely eri rekistereistä olisi mahdollista. Juuri rekisteripohjainen tutkimus on tyypillisesti luonteeltaan sellaista, jossa yhteydessä on tarpeellista poiketa rekisteröidyn oikeuksista. 

Eri jäsenvaltioiden välillä sääntelyratkaisuissa saattaa olla myös muita eroja, jotka eivät ole havaittavissa ainoastaan tarkastelemalla sitä, millä tavoin rekisteröidyn oikeuksista on ehdotettu säädettävän poikkeuksia. On esimerkiksi mahdollista, että tietosuoja-asetuksen 9 artiklan 4 kohdan nojalla kansallisella lailla on säädetty laajempi henkilötietojen käsittelyä koskeva rajoitus, joka koskee geneettisten tietojen, biometristen tietojen tai terveyttä koskevien tietojen käsittelyä. 

Hallintovaliokunta toteaa lopuksi, että tietosuojalain 13 §:ssä edellytetyt suojatoimet eivät luonnollisestikaan ole tarpeellisia, jos henkilötietojen käsittelyssä ei poiketa rekisteröidyn oikeuksista. Lisäksi on syytä huomata, että rekisteröidyn oikeuksia rajoitetaan tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdassa, 17 artiklan 3 kohdan d alakohdassa ja 21 artiklan 6 kohdassa. Näiden asetuksen kohtien mukaisesti rekisteröidyn oikeuksista voidaan poiketa suoraan asetuksen nojalla. Tietosuoja-asetukseen sisältyvät näiltä osin myös tarvittavat suojalausekkeet. 

Sikäli kuin rekisteröidyn oikeuksista ei ole tarpeen poiketa, kuten usein on kerättäessä tiedot suoraan tutkittavilta ja tutkimusaineiston ollessa pieni, voidaan erityisiin henkilötietoryhmiin kuuluvia tietoja käsitellä myös muiden tietosuoja-asetuksen 9 artiklan 2 kohdan alakohtien nojalla, esimerkiksi nimenomaisen suostumuksen perusteella. 

Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja

Tietosuoja-asetuksen yhtenä tärkeänä tavoitteena on parantaa lasten suojaa henkilötietojen käsittelyssä. Lasten oikeudet korostuvat tietosuoja-asetuksen 8 artiklassa, jossa säädetään tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavista ehdoista, sekä lisäksi useassa tietosuoja-asetuksen johdanto-osan kohdassa (esim. 38, 58, 65 ja 71 kohta) sekä muissa artikloissa (esim. 12, 17 ja 40 artikla). Lisäksi tietosuoja-asetus perustuu monelta osin ns. riskiperusteiselle lähestymistavalle, jossa merkitystä muiden seikkojen ohella voi olla sillä, käsitelläänkö lapsia koskevia tietoja. Hallintovaliokunnan mielestä olisi asian merkitys huomioon ottaen ollut toivottavaa, että tietosuoja-asetuksen ja ehdotetun tietosuojalain lapsivaikutuksia olisi tarkasteltu esityksen yhteydessä laajemmin. 

Tietosuoja-asetuksen 8 artiklan 1 kohdan mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat säätää tätä tarkoitusta koskevasta alemmasta iästä, ikäraja saa kuitenkin alimmillaan olla 13 vuotta. Hallituksen esityksessä ehdotetaan ikärajaksi 13 vuotta (tietosuojalain 5 §). Tätä nuoremman lapsen osalta rekisterinpitäjän olisi tarkistettava, että lapsella on vanhempien suostumus esimerkiksi sosiaalisen median palvelujen käyttämiseen. 

Hallituksen esityksen perustelujen ja saamansa selvityksen perusteella hallintovaliokunta puoltaa ehdotettua 13 vuoden ikärajaa. Selvityksen mukaan ehdotettu ikäraja myös vastaisi pitkälti ainakin Pohjoismaissa muodostumassa olevaa linjaa. Valiokunta toteaa, että ikärajojen asettaminen sinänsä on lähtökohtaisesti varsin haastavaa jo lasten ja nuorten yksilöllisen kehittymisen kannalta. Lasten ja nuorten oikeutta hyödyntää tietoyhteiskunnan palveluita ja osallistua digitaaliseen kulttuuriin ei kuitenkaan pidä rajoittaa tarpeettomasti. Samalla valiokunta tähdentää lisäksi muita toimia, joilla vaikutetaan siihen, että lapset ja nuoret voivat toimia turvallisesti verkkomaailmassa. Valiokunta korostaa muun muassa mediataitojen merkitystä ja verkkopalveluiden ehtojen ymmärrettävyyttä. 

Tietosuoja-asetuksen ja lainsäädännön toimeenpano on eräänlaista tasapainoilua lapsen suojaamisen ja osallistumisoikeuden välillä. Hallintovaliokunta viittaa YK:n lapsen oikeuksien sopimukseen ja pitää tärkeänä, että tietosuojalainsäädännön toimeenpanossa kiinnitetään kattavasti huomiota lasten oikeuksiin ja turvataan niiden laaja-alainen toteutuminen. Lasten ja nuorten itsensä lisäksi muun muassa huoltajat ja lasten kanssa työskentelevät ammattilaiset tarvitsevat tuekseen riittävästi tietoa ja selkeää ohjausta tietosuojalainsäädäntöön liittyen. Myös tietosuojavaltuutetun resursoinnissa tulee huomioida lasten ja nuorten tietosuoja-asioiden erityistuntemus. 

Tietosuojasääntelyn täytäntöönpano

Lakien voimaantulo ja yhtymäkohta hallituksen esitykseen HE 31/2018 vp

Hallituksen esityksessä on ehdotettu, että tietosuojalaki ja sen liitelait tulisivat voimaan 25.5.2018, toisin sanoen samaan aikaan, kun tietosuoja-asetuksen soveltaminen alkaa. Koska ehdotettujen lakien ei ole mahdollista tulla voimaan esitettynä ajankohtana, hallintovaliokunta ehdottaa voimaantulosäännösten jättämistä avoimeksi yksityiskohtaisissa perusteluissa esitetyin tavoin. 

Ehdotetun tietosuojalain 37 §:n 2 momentin mukaan lailla kumotaan henkilötietolaki (523/1999) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994). Henkilötietolaki on yleislaki, jossa säädetään muun muassa käsittelyn lainmukaisuuden edellytyksistä, valvontaviranomaisen tehtävistä ja toimivallasta sekä rekisteröidyn oikeuksista ja oikeusturvasta. 

Perustuslakivaliokunta on lausunnossaan PeVL 14/2018 vp kiinnittänyt huomiota siihen, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. Valiokunnan mielestä henkilötietolakia ei voi kumota ennen mainitun lain voimaantuloa kokonaisuudessaan, sillä perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan mielestä on selvää, että perustuslain 10 §:n 1 momentin sääntelyvarauksella ilmaistaan lailla säätämisen lisäksi se lähtökohta, että henkilötietojen suojaa koskeva perusoikeus selvästi edellyttää tuekseen tavallista lainsäädäntöä (ks. myös PeVM 25/1994 vp, s. 5/II—6/I). 

Perustuslakivaliokunnan mukaan hallintovaliokunnan on siirtymäsäännöksin varmistettava, että henkilötietojen suojaa koskevan yleislainsäädännön soveltamisala on kattavaa myös ennen poliisidirektiivin toimeenpanoon liittyvän lain voimaantuloa, mikäli tietosuojalakiehdotus hyväksytään ennen sitä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Perustuslakivaliokunnan tarkoittamassa hallituksen esityksessä rikosasioiden tietosuojadirektiivin kansallisesta täytäntöönpanosta (HE 31/2018 vp) ehdotetut lait on alun perin tarkoitettu tulemaan voimaan 6.5.2018. Esitykseen sisältyvät lakiehdotukset on kuitenkin laadittu lakiteknisesti siitä näkökulmasta, että ne tulevat voimaan samanaikaisesti nyt käsillä olevassa hallituksen esityksessä ehdotettujen lakien kanssa. Hallituksen esitys HE 31/2018 vp on hallintovaliokunnassa parhaillaan samanaikaisesti käsiteltävänä. Hallintovaliokunta toteaa, että suunniteltu etenemisjärjestys on käsillä olevassa tilanteessa mahdollinen, jolloin perustuslakivaliokunnan mainitsemaa ongelmaa ei synny. Mietintöön ei sen vuoksi ehdoteta siirtymäsääntelyä. Hallintovaliokunta toteaa, että lait tulee saattaa voimaan samanaikaisesti, jolloin mitään siirtymäsäännöksiä ei tarvita. 

Ohjeistus, neuvonta ja koulutus

Tarve tietosuojalakia ja yleistä tietosuoja-asetusta koskevalle ohjeistukselle, neuvonnalle ja koulutukselle koskee sekä lainvalmistelua että tietosuojalain ja tietosuoja-asetuksen soveltamista yleisemminkin. Tietosuoja-asetuksesta johtuva erityislainsäädännön tarkistaminen on ministeriöissä monelta osin vielä kesken. Asiantuntijakuulemisen perusteella viranomaisilla, hallinnon asiakkailla, yrityksillä ja kuluttajilla ei välttämättä ole täyttä varmuutta siitä, kuinka henkilötietojen käsittelyä koskevia säännöksiä sovelletaan. Myös välivaihe, ennen kuin erityislainsäädäntö on saatettu ajan tasalle, vaatii ohjeistusta lainsäädännön soveltamiseen ja neuvontaa mahdollisesti havaittaviin normiristiriitoihin. Valiokunta kiinnittää lisäksi erityistä huomioita niiden viranomaisten tilanteeseen, joiden toimintaan sovelletaan osaksi tietosuoja-asetusta ja osaksi rikosasioiden tietosuojadirektiiviä. 

Tietosuoja-asetus on tuonut yrityksille uusia velvollisuuksia ja lisännyt monelta osin myös hallinnollista taakkaa. Tietosuoja-asetuksessa säädetään uusista hallinnollisista seuraamuksista, kuten hallinnollisesta seuraamusmaksusta, joka voi joissain tilanteissa nousta erittäinkin suureksi. Neuvonta ja koulutus, joilla voidaan auttaa yrityksiä mukauttamaan toimintaansa vastaamaan tietosuoja-asetuksen ja tietosuojalain vaatimuksia, on tärkeää. Hallintovaliokunta tähdentää erityisesti pk-yritysten, yhdistysten ja muiden pienten toimijoiden kannalta helppokäyttöisten työkalujen ja ohjeiden laatimista. Myös eri toimialojen sektorikohtainen ohjeistus liittyen esimerkiksi työelämään, terveydenhuoltoon ja suoramarkkinointiin on tarpeen. Tietotarvetta on myös esimerkiksi lapsiin liittyvästä tietosuojasääntelystä. 

Valiokunta toteaa, että tietosuoja-asetuksen yhtenä tavoitteena on vahvistaa kuluttajien luottamusta digitaalisiin palveluihin ja tätä kautta pidemmällä aikavälillä edistää erityisesti pienten ja keskisuurten yritysten liiketoimintamahdollisuuksia. Sen vuoksi on tärkeää, että myös yleistä tietoisuutta tietosuojalainsäädännöstä lisätään. 

Resurssit

Euroopan unionin perusoikeuskirjan 8 artiklasta ilmenee, että riippumattomien tietosuojaviranomaisten harjoittama henkilötietojen suojan toteutumisen valvonta on osa tehokasta oikeutta henkilötietojen suojaan. Tietosuojalainsäädännön hyvin laaja soveltamisala digitalisoituneessa yhteiskunnassa ja sääntelyn vaikeaselkoisuus lisäävät tietosuojaviranomaisten antaman ohjauksen ja neuvonnan merkitystä. Tietosuoja-asetuksen myötä tietosuojavaltuutetun tehtävissä korostuu aikaisempaa enemmän myös EU-ulottuvuus. Tietosuoja-asetuksen 52 artiklan 4 kohta velvoittaa jäsenvaltiot varmistamaan, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti. Hallintovaliokunta toteaa, että resurssitarpeita aiheutuu tietosuoja-asetuksen lisäksi muun muassa rikosasioiden tietosuojadirektiivistä. EU:ssa valmistellaan useita muitakin säädöksiä, joista seuraa velvoitteita kansallisille tietosuojaviranomaisille. Tältä osin voidaan mainita esimerkiksi sähköisen viestinnän tietosuoja-asetus sekä oikeus- ja sisäasioiden eri alojen tietojärjestelmiä koskevat säädösehdotukset. 

Hallintovaliokunta on toistuvasti kiinnittänyt huomiota tietosuojavaltuutetun resurssien vahvistamiseen julkisen talouden suunnitelmista ja valtion talousarvioesityksistä antamissaan lausunnoissa sekä EU:n tietojärjestelmiä ja tietosuojasääntelyn uudistamista koskevissa lausunnoissaan. Vuoden 2018 talousarviossa tietosuojavaltuutetun toimistolle on osoitettu lisärahoitusta 525 000 euroa. Hallituksen esityksen perustelujen mukaan sen lisäksi tarvitaan vuodesta 2019 lähtien tietosuoja-asetuksen täytäntöönpanoon vuotuista lisäystä 675 000 euroa. Perusteluissa esitetyn arvion mukaan tietosuoja-asetuksesta aiheutuu valvontaviranomaisen resursseihin vuodesta 2019 lähtien 16 henkilötyövuoden (htv) tarve, jossa on 8 htv:n lisäys vuoteen 2018 verrattuna. Vuoden 2019 talousarvioesityksessä tietosuojavaltuutetun toimiston määrärahoja ehdotetaankin lisättäviksi. Talousarvioesityksen mukaan tietosuojavaltuutetun toimintaan on arvioitu käytettäväksi 3,244 miljoonaa euroa (25.01.03). Hallintovaliokunta katsoo, että resurssien riittävyyttä tietosuoja-asetuksen täytäntöönpanoon tulee seurata aktiivisesti ja tarpeen vaatiessa tarkistaa. Lisäksi kehyssuunnittelussa tulee huomioida se edellä todettu seikka, että tietosuojavaltuutetun tehtävien arvioidaan lisääntyvän edelleen. Henkilötietojen suojan toteutumisen ja valvonnan tehokkuuden kannalta on välttämätöntä, että tietosuojavaltuutetun toimiston resurssien riittävyys turvataan. 

Uudistuksella on vaikutuksia myös esimerkiksi hallintotuomioistuinten kannalta. Tietosuoja-asetuksen soveltamisen seurauksena hallinto-oikeuksien käsiteltäväksi tulee kokonaan uusia asiaryhmiä, kuten hallinnolliset seuraamusmaksut ja eräät muut valvontaviranomaisen toimivaltuuksien käyttöä koskevat päätökset. Koska kyse on uudesta EU-sääntelystä, josta ei vielä ole oikeuskäytäntöä, asioiden voidaan arvioida olevan keskimääräistä vaikeampia ja niihin liittyvän myös vaikeita tulkintakysymyksiä. Oletettavasti unionin tuomioistuimeen tehdään myös kansallisista tuomioistuimista ennakkoratkaisupyyntöjä tietosuoja-asetukseen liittyvistä kysymyksistä. Taloudellisia vaikutuksia on kuitenkin tässä vaiheessa vaikea ennakoida. On kuitenkin selvää, että kyseessä on hallinto-oikeuksien kannalta muutos, joka vaatii koulutusta, ja työmäärä tulee jonkin verran lisääntymään. Valiokunta pitää tärkeänä, että taloudellisia vaikutuksia tuomioistuinten kannalta seurataan ja niihin reagoidaan ajoissa asianmukaisin resurssein.