Lausuntopyyntö, yleisen tietosuoja-asetuksen toimivuus ja sen soveltamiseen liittyvät kokemukset, oikeusministeriö

HEL 2023-010357
Asialla on uudempia käsittelyjä
§ 129

Lausunto oikeusministeriölle yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

Kansliapäällikkö

Päätös

Kansliapäällikkö antoi seuraavan lausunnon:

Mitkä ovat yleisen tietosuoja-asetuksen soveltamiseen liittyvät merkittävimmät hyödyt ja haasteet?

EU:n tietosuoja-asetuksen voimaantulon myötä organisaatioiden tiedonhallintaan on lähdetty kiinnittämään aiempaa systemaattisemmin huomiota. EU-lainsäädäntö on vaikuttanut vahvemmalta ohjaukselta. Tiedonhallintalain myötä voimaan tuli myös arviointivaatimuksia tiedonhallintaan. Eri näkökulmista tehdyistä vaikutustenarvioinneista syntyy kuitenkin helposti irrallisia prosesseja. Arviointeja tehdään julkishallinnossa organisaatiokohtaisesti samoista kokonaisuuksista ja teknisistä ratkaisuista. Kuntien tehtävien osalta samantyyppinen arviointi voi toistua 309 kertaa. Lisäksi on julkishallinnossa yhteisiä yleishallinnon alueita, jossa valtiolla ja kunnilla tehdään samat arvioinnit.

Kansallisesti ja julkishallinnolle olisi hyvä, että tietosuojaan muodostuisi kansallisten viranomaisten yhteistyömalli, joka tukisi palveluiden tarjoamista sekä kehittämistä. Viranomaistyönä tehtävät objektiiviset ennakkoarvioinnit laajalti käytetyistä palveluista tai muutoin merkittävistä ratkaisumalleista niin tietosuojan, tietoturvan kuin riskienhallinnankin näkökulmasta tulisivat tarpeeseen. Tällä toimintamallilla voitaisiin vähentää saman työn tekemistä ja parantaa arviointien laatua, koska kaikilla toimijoilla ei ole mahdollista saada erikoisosaamista arviointeihin.

Kunnat käyttävät samankaltaisia tietojärjestelmiä samantapaisten henkilörekisterien henkilötiedoille. Koska tietosuojavelvoitteet ovat samat, olisi hyödyllistä voida hankkia valmiiksi tietosuojan kannalta asianmukaisiksi arvioituja digipalveluita. Tällaisia tietosuojan kannalta riittäviksi sertifioituja digipalveluita hankkiessaan kunta voisi luottaa noudattavansa tietosuojasäädöksiä ja sen oma tietosuoja-arviointi olisi suoraviivaista tehdä. Kansallinen ohjausrakenne on meillä erilainen kuin muissa maissa, mutta malleja laajasti hyödynnetyistä kansallisista aineistoista löytyy mm. UK ICO. Lisäksi gov.uk Digital Marketplace tarjoaa toimijoille valmiiksi arvioituja palveluita.

Tietosuojalainsäädäntö mahdollistaa kansallisen viranomaisen hyväksymät käytännesäännöt, jotka voisivat olla yksi keino rakentaa yhteisiä malleja (Käytännesäännöt | Tietosuojavaltuutetun toimisto)

Edellisen hallituskauden aikana toimineen digitalisaation edistämisen ohjelman alla lainsäädännön haasteita ja muutostarpeita työstänyt työryhmä (johon kuului edustajia erityisesti ministeriöistä ja valtion virastoista sekä myös Helsingin kaupungilta) kuuli laajalti kuntien ja muiden sidosryhmien tarpeita myös tietosuojalainsäädännön soveltamisen haasteista. Ko. kuulemisessa aktiivista tietojen jakamista ja verkostojen avulla tehtävää yhteistä tulkintaa ei pidetty riittävänä toimintatapana. Vastuuta laintulkintaan uudenlaisissa palvelukehitystilanteissa ei voi sälyttää vapaamuotoisille verkostoille (muutama aktiivinen toimija), vaan tulkintaa pitää tehdä kansallisesti viranomaisen taholta (erillinen elin). Verkostojen tulkinnasta ei voi tulla kansallista tulkintaa, johon kaikki toimijat voivat vedota palveluja kehitettäessä.

Onko tietosuojalaki koettu yleisesti toimivaksi? Minkälaisia haasteita sen soveltamisessa on ilmennyt?

Ei.

Tietosuojalaki on vaikealukuinen ja sisältää laajasti viittauksia tietosuoja-asetuksen lainkohtiin. Lain sisällön pystyy ymmärtämään vain lukemalla sitä yhdessä tietosuoja-asetuksen ja tietosuojalain esitöiden kanssa. Lisäksi laki sisältää useita viittaussäännöksiä muihin tietosuojaa koskeviin erityislakeihin, esimerkiksi 30 §, joka sisältää viittaussäännöksen työelämän tietosuojalakiin sen sijaan, että kyseiseen erityislakiin kirjattaisiin sen sisällön määrätyiltä osin täsmentävän ja täydentävän yleisen tietosuoja-asetuksen sisältöä. Tietosuojalain on lain 1 §:n mukaisesti tarkoitus täsmentää ja täydentää tietosuoja-asetusta ja sen kansallista soveltamista, minkä vuoksi valittu lain kirjoitustapa on periaatteessa ymmärrettävä, mutta käytännössä hankaloittaa lain sisällön ymmärtämistä.

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty EU:ssa ja Suomessa tarkoituksenmukaisella tavalla? Jos ei, miten ja minkälaisia tilanteita varten tietosuoja-asetuksen sääntelyliikkumavaraa tulisi käyttää eri tavoin kuin on tehty?

Ei.

Kansallisen liikkumavaran käytössä olisi tullut kiinnittää enemmän huomiota lainsäädännön selkeyteen ja yhtenäisyyteen.

Tietosuojalain 4 §:n 1 momentin 1 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn peruste on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään asti. Tätä säännöstä on pidettävä perusteltuna, koska nämä tiedot eivät ole samanlaisen suojan tarpeessa kuin henkilön yksityiselämään liittyvät tiedot.

Laki ei perustelujen mukaan kuitenkaan oikeuta käsittelemään näitä tietoja siten, että ne pidettäisiin julkisesti saatavilla. Osittain 1 kohdassa mainittujen henkilötietojen pitäminen julkisesti saatavilla olisi yleisen edun mukaista, koska on yleinen tarve tietää, ketkä henkilöt ovat yhteiskunnallisesti merkittävässä asemassa, sekä saada tietoa heidän toiminnastaan. Käytännössä avoimuuden toteuttaminen tehokkaasti edellyttää usein sitä, että tiedot pidetään julkisesti saatavilla yleisessä tietoverkossa. Säännöstä tulisi täsmentää siten, että tietyin edellytyksin näiden tietojen julkisesti saatavilla pitäminen olisi sallittua. Vastaavan kaltainen säännös sisältyy myös kuntalain 140 §:ään.

Kaupungin toiminnassa haasteellisia sovellettavia ovat myös kuntalain 140 §, joka kieltää julkaisemasta pöytäkirjassa muut kuin tiedonsaannin kannalta välttämättömät henkilötiedot ja jonka mukaan pöytäkirjan sisältämät henkilötiedot on poistettava tietoverkosta oikaisuvaatimus- tai valitusajan päättyessä. Välttämättömyyden lisäksi säännös ei ota mitään kantaa henkilötietojen luonteeseen. Pykälää tulisi muuttaa siten, että henkilötietojen suoja kytketään yksityisyyden suojan intressiin.

Tulkintaepäselvyyksiä on myös tilanteissa, joissa kunnan tiedotusvelvollisuus ja kuntalaisten tiedonsaanti-intressi puoltavat pöytäkirjan pitämistä yleisessä tietoverkossa henkilötietoineen muutoksenhakuaikaa pidempään. Kuntalain sanamuoto ei tunnista tilanteita, joissa avoimuus edellyttää myös henkilötiedon pitämistä saatavilla muutoksenhakuaikaa pidempään. Kuntalain 140 §:ää olisi syytä tarkentaa sen osalta, millaisia kunnan tiedotusvelvollisuuteen liittyviä tilanteita voidaan pitää perusteltuina syinä pitää pöytäkirja ja sen sisältämät henkilötiedot saatavilla yleisessä tietoverkossa myös muutoksenhakuaikaa pidempään. Pykälän nykyinen sanamuoto on omiaan johtamaan julkisuusperiaatetta rajoittaviin tulkintoihin ja vaikeuttamaan kuntalaisten tiedonsaantia.

Henkilötietojen suojassa ei sinänsä ole kysymys tietojen salassapidosta, vaikka salassapidolla suojattava etu saattaakin yksityisyyden suojan osalta olla päällekkäinen henkilötietojen suojan kanssa. Salassapito voi liittyä henkilötietojen suojaan myös siten, että salassapito voi olla säädetty henkilötietojen käsittelyn mahdollistavaksi yhdeksi suojatakeeksi. Käytännössä tietosuojaa on kunnan toiminnassa mahdoton toteuttaa tuntematta julkisuuslain ja erityislakien useita yksityisyyttä suojaavia salassapitosäännöksiä, joten pykälien sijoittuminen merkittävään määrään eri lakeja vaarantaa yksityisyyden suojan toteutumisen käytännössä.

Julkisuus- ja salassapitolainsäädäntö kaipaisi kokonaisuudistusta, jossa säädöksiä nykyaikaistettaisiin. Tällä hetkellä tietosuojaa, salassapitoa, tietojen luovuttamista ja teknisiä käyttöyhteyksiä koskeva lainsäädäntö on niin pirstaleista ja vaikeaselkoista, että sen hallitsemiseen ei monella organisaatiolla ole resursseja. Tämä näkyy erityisesti tietojärjestelmähankkeissa ja paitsi aiheuttaa kustannuksia ja viivästyksiä myös vaarantaa tietosuojan tosiasiallisen toteutumisen. Liian vaikeaselkoinen lainsäädäntö jää helposti noudattamatta. Myös terminologiaa tulisi yhdenmukaistaa. Pirstaleinen tietosuoja- ja salassapitolainsäädäntö koskee erityisesti arkaluonteisia henkilötietoja, vaikka perustuslakivaliokunnan lausuntojen (PeVL 14/2018 vp s.6 ja PeVL 71/2018 vp s.3) mukaan arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön.

Julkisuuslain 16 §:n 3 momentti, joka koskee tietojen luovuttamista viranomaisen henkilörekistereistä, aiheuttaa käytännön työssä tulkintaongelmia. Saman pykälän 4 momentti, jonka mukaan tietojen antamisesta teknisen rajapinnan ja katseluyhteyden avulla säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa kuvastaa hyvin säädösten hajaantumista. Tietojen luovuttamista koskevia pykäliä tulisi muuttaa siten, että niissä käytetään johdonmukaisesti yleisen tietosuoja-asetuksen ja tietosuojalain käsitteitä.

Nykyisen lainsäädännön mukaan esimerkiksi henkilön omia tietoja koskevia tietopyyntöjä on mahdollista tehdä viranomaiselle sekä julkisuuslain 12 §:n että tietosuoja-asetuksen 15 artiklan nojalla, jolloin tietopyyntöjä koskevat eri säännökset menettelyineen ja määräaikoineen. Määrätyillä toimialoilla erityislainsäädäntö mahdollistaa vielä muitakin perusteita omien tietojensa pyytämiseen. Viranomaisen on tarvittaessa selostettava tiedon pyytäjälle eri tiedonsaantioikeuksia koskevat säännökset sen selvittämiseksi, minkä säännöksen perusteella tietoja halutaan pyytää. Viranomaisen neuvontavelvollisuuteen kuuluu erojen selostus ja tiedonpyytäjälle edullisemman tiedonsaantioikeuden tarjoaminen. Asia on kuitenkin asiakkaalle vaikeasti ymmärrettävä eikä aina ole selvää kumpi tiedonsaantisäännös on edullisempi, koska asiakirjoista perittäviä maksuja ja muutoksenhakua koskevat määräykset ovat eri tapauksissa erilaisia.

Helsingin kaupunki katsoo, että hallintolakiin ja tiedonhallintalakiin tehdyt muutokset, jotka mahdollistavat automaattiset hallintopäätökset asioissa, jotka eivät edellytä viranomaisen harkintaa, ovat hyvä uudistus. Automaattiset hallintopäätökset mahdollistavat erilaisten massapäätösten tuottamisen tehokkaasti ja säästää henkilöstöresursseja asioihin, joissa tosiasiassa tarvitaan ihmisen työpanosta.

Automaattisia hallintopäätöksiä on kuitenkin mahdollista käyttää ainoastaan niissä asioissa, joissa päätöksen tuottaminen voidaan pelkistää kerran hyväksytyiksi käsittelysäännöiksi. Lisäksi käsittelysääntöjen dokumentointiin ja julkaisuun liittyvä velvoite on luonteeltaan raskas menettely ja nämä velvoitteet rajaavatkin automaattisten hallintopäätösten käyttöalaa. Tämä sulkee erilaisten koneoppimiseen perustuvien ratkaisujen käytön automaattisten hallintopäätösten ulkopuolelle. Helsingin kaupunki pitää perusteltuna, että oikeusministeriö selvittää koneoppimiseen perustuvien ratkaisujen mahdollistamista automaattisessa päätöksenteossa, sillä koneoppimisella olisi suuri potentiaali tehostaa hallintotoimintaa ja automaattista päätöksentekoa.

Tuoreeseen hallitusohjelmaan kirjattu tavoite toteuttaa tietosuojalainsäädännön kokonaisuudistus, jossa kumotaan tiedon liikkuvuuteen, pilvipalveluiden tarkoituksenmukaiseen käyttöön tai muuten julkisten palveluiden tarkoituksenmukaista järjestämistä haittaavat säädökset, on hyvä ja tarpeellinen. Esimerkiksi palvelutarvetta ennakoivien, proaktiivisesti tarjottavien julkisten palveluiden kehityksessä on jo Helsingin kaupungillakin törmätty kansallisen lainsäädännön osalta haasteeseen mm. automaattisiin yksittäispäätöksiin liittyen (ks. esim. apulaistietosuojavaltuutetun päätös 6482/186/2020). Asian automaattinen käsittely, kuten profilointi, voidaan mahdollistaa paitsi rekisteröidyn suostumuksella, myös kansallisella lainsäädännöllä rekisteröidyn oikeudet huomioiden. Sote-palveluiden ennakoivassa tarjoamisessa tämä vaatisi muutosta esimerkiksi asiakastietolakiin. Lisäksi olisi syytä tarkentaa toisiolain sääntelyä siitä, miten rekisterinpitäjä voi käyttää omassa rekisterissään olevia tietoja koneoppivien algoritmien kouluttamiseen, sillä tällä on huomattava potentiaali parantaa ennakoivan terveydenhuollon toimintaa.

Millä toimialoilla yleistä tietosuoja-asetusta on pantu täytäntöön tehokkaasti ja onnistuneesti huomioiden asetukselle asetetut tavoitteet edistää rekisteröityjen oikeuksien ja vapauksien toteutumista sekä edistää tiedon vapaata liikkuvuutta EU-alueella?

Helsingin kaupunki ei tunnista tällaisia toimialoja.

Minkälaisia haasteita on ilmennyt yleisen tietosuoja-asetuksen ja kansallisen lainsäädännön tai muun EU-lainsäädännön yhteensovittamisessa eri soveltamistilanteissa?

Sosiaali- ja terveystoimialalla haasteena on yhä tietosuoja-asetusta edeltävän ja hajanaisen (useisiin lakeihin jakautuvan) tietosuojaa koskevan lainsäädännön yhteensovittaminen tietosuoja-asetuksen kanssa. Koska kansallinen lainsäädäntö on perustaltaan sama kuin mitä se oli vuonna 2019, myös tämä perustavanluonteinen ongelma on yhä olemassa, vaikka käytännön soveltamistilanteissa yhteensovittamisongelmaan on löytynyt joissain tapauksissa tulkintaratkaisuja.

Vuoden 2024 alusta tulee voimaan uusi asiakastietolaki, jolla annetaan tietosuoja-asetusta täsmentävät säädökset, kun henkilötietoja käsitellään sote-palveluiden järjestämisen ja toteuttamisen tarkoituksessa. Samalla vanhaa lainsäädäntöä kumoutuu. Asiat siis ovat kehittymässä oikeaan suuntaan.

Tietosuoja-asetuksen voimaantulon yhteydessä kansallista lainsäädäntöä arvioitiin siitä näkökulmasta, ovatko säännökset ristiriidassa uuden EU-sääntelyn kanssa, mutta ei riittävästi kansallisten säädösten tarpeellisuuden ja välttämättömyyden kautta. EU:n yleistä tietosuoja-asetusta on kesällä 2023 sovellettu jo viisi vuotta ja sen tulkinta on asteittain selkeytynyt, vaikka tulkinnanvaraisuutta ja oikeustilaan liittyvää epävarmuutta on edelleen valitettavan paljon.

Tietosuojalainsäädännön suhdetta myös muuhun kansalliseen lainsäädäntöön tulisi tarkastella tarkemmin erityisesti julkisten palveluiden kehittämisen näkökulmasta. Tiedon liikkumista suostumuspohjaisesti tai erillislakien kautta organisaatio- ja järjestelmärajojen yli tulisi edistää lainsäädäntöesteitä tarkastelemalla ja purkamalla. Henkilötietojen käsittelyyn ja viranomaisten väliseen asiakastiedon luovuttamiseen liittyvä lainsäädäntö on epäselvää ja hajanaista. Tietosuojaan ja tiedonhallintaan liittyvät epäjohdonmukaiset tulkinnat johtavat raskaisiin prosesseihin ja vievät aikaa. Tilanne vaikeuttaa erityisesti runsaasti palveluita käyttävien asiakkaiden asioinnin sujuvuutta.

Nykyinen hallitus tulee jatkamaan kansallisen digikompassin toimeenpanoa mm. elämäntapahtumalähtöisen digitalisaation osalta. Esimerkiksi edellä mainittu digitalisaation edistämisen ohjelman alainen lainsäädäntöryhmä nosti raportissaan esiin tarpeen tarkastella tietosuojalainsäädännön ja perustuslain ohella myös hallintolain ja palveluita ohjaavan erityislainsäädännön muutostarpeita ennakoivan toiminnan mahdollistamiseksi (esimerkkinä asioiden vireillepano hakemuksesta vs. ennakoiva tarjoaminen).

Julkisen sektorin palveluita ohjaavaa lainsäädäntöä ei toistaiseksi ole laadittu tiedonhallinnan ja modernin tiedonkäsittelyn näkökulmasta. Seurauksena on epäselvyyksiä lakien toimeenpanossa mm. tiedon liikkumisen ja -käsittelyn näkökulmasta. Lainsäädäntövalmisteluun tarvitaan sisälle rakennettuna arviointia lakien vaikutuksista tiedon liikkuvuuteen ja hyödynnettävyyteen.

Tulevan uuden EU-tason lainsäädännön kannalta on myös olennaista, että jo nykyisiin tulkinnanvaraisiin ongelmakohtiin saataisiin selkeytystä. Esimerkiksi tuleva EU:n datasäädös ja sen myötä käyttäjien pääsy omasta IoT-laitteiden käytöstä syntyvään dataan ja oikeus jakaa dataansa kolmansille osapuolille tulee lisäämään suostumuspohjaisen datanjakamisen mahdollisuuksia entisestään.

Onko eri jäsenvaltioiden tietosuojalainsäädäntöjen eroavaisuuksiin ja täytäntöönpanoon liittyen tunnistettu haasteita? Jos on, minkälaisia haasteita?

-

Ovatko Euroopan tietosuojaneuvoston antamat ohjeet auttaneet käytännön soveltamistilanteisiin liittyvien ratkaisujen tekemisessä? Mitä yleisen tietosuoja-asetuksen tulkintaa koskevia ohjeita vielä tarvittaisiin?

Euroopan tietosuojaneuvoston ohjeet avaavat valvontaviranomaisten näkemyksiä tietosuojalainsäädännön tulkinnasta rekisterinpitäjille, mikä lisää valvontakäytännön ennakoitavuutta. Tietosuojaneuvoston ohjeet ovat yleisesti ottaen hyödyllisiä mutta monessa ohjeessa on vältetty ottamasta kantaa juuri niihin tulkintakysymyksiin, joiden kanssa rekisterinpitäjät painivat.

EU-tietosuojaneuvoston ohjeet ovat varsin käyttökelpoisia, mutta valitettavasti vielä jonkin verran epäsuoria. Ohjeistuksissa tulisi pyrkiä vahvemmin selkeyttämään, miten saa/ei saa, tai miten tulee/ei-tule toimia tulkinnanvaraisuuksien vähentämiseksi. Erityisesti pienempien kuntien resurssit seurata tarkkaan EU-tietosuojaneuvoston ohjeistuksia ovat keskimäärin vähäiset, ja suomalaiskunnilla on lisäksi kansallisia omaispiirteitä palveluiden järjestämisen ja kehittämisen sekä sitä myöden järjestelmien tarpeiden osalta.

Henkilötietojen anonymisointia ja pseudonymisointia olisi syytä ohjeistaa unionin laajuisesti. Euroopan tietosuojaneuvoston edeltäjä artiklan 29 työryhmä, WP 29, on antanut vuonna 2014 anonymisointia koskevan mielipiteensä, jota ei kuitenkaan ole päivitetty yleisen tietosuoja-asetuksen myötä eikä tietosuojaneuvosto ole ilmaissut sille hyväksyntäänsä toisin kuin muutamille muille WP 29:n mielipiteille ja suosituksille. Useissa käytännön tilanteissa anonymisoinnin ja pseudonymisoinnin käsitteet eivät ole selviä erilaisten käsittelytoimien osapuolille, vaan pseudonymisoitua tietoa kutsutaan monesti anonymisoiduksi ja käsitellään tämän mukaisesti, mikä on omiaan aiheuttamaan riskejä rekisteröidyn oikeuksille.

Tietosuojaneuvoston ohjeiden lisäksi olisi tarpeen saada oikea-aikaista kansallisen valvontaviranomaisen ohjeistusta kansallisen lainsäädännön yhteensovittamiseksi tietosuojalainsäädännön kanssa.

Onko edustamanne organisaatio ollut mukana laatimassa yleisen tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä tai harkinnut niiden laatimista? Mitkä ovat käytännesääntöjen laatimiseen liittyviä merkittävimpiä hyötyjä ja haasteita?

-

Onko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvä seuraamusjärjestelmä Suomessa tehokas ja tarkoituksenmukainen? Mitä merkittävimpiä hyötyjä ja haasteita seuraamusjärjestelmään liittyy?

Helsingin kaupunki katsoo, että nykymuotoiseen seuraamusjärjestelmään ei ole tarpeellista tehdä muutoksia. Tietosuojavaltuutetun oikeudet määrätä rekisterinpitäjä noudattamaan rekisteröidyn oikeuksien käyttöä koskevia pyyntöjä sekä oikeus asettaa käsittelykieltoja ovat tehokkaita toimia. Hallinnollinen sakko, tietosuojarikoksen kriminalisointi sekä virkavastuu ovat nykyisellään tehokkaita valvontaviranomaisen toimivaltuuksia tehostavia seuraamuksia.

Ovatko yleisen tietosuoja-asetuksen kansainväliset tiedonsiirtomekanismit toimivia vai tulisiko niitä kehittää edelleen ja miten niitä tulisi kehittää edelleen? Mitkä ovat olleet kansainvälisiin tiedonsiirtoihin liittyvät merkittävimmät hyödyt ja haasteet?

Tietosuoja-asetus nykymuodossaan määrittelee kansainvälisten tiedonsiirtomekanismit suhteellisen juridisteknisten sopimusmekanismien ja sertifikaattien kautta. Siirtomekanismit kuvataan sopimuksina, päätöksinä ja erilaisina sertifikaatteina. Schrems II –ratkaisun myötä on noussut ilmeinen tarve määritellä myös sellaisia siirtomekanismeja, tai siirtomekanismeja tukevia lisäsuojatoimenpiteitä, jotka mahdollistavat tietojen siirrot myös silloin, kun edellä mainittuja sopimuksiin, päätöksiin tai sertifikaatteihin perustuvia siirtomekanismeja ei ole käytettävissä.

Unionin tuomioistuin viittaa Schrems II –ratkaisussaan yleisen tietosuoja-asetuksen perustelukappaleissa mainittuihin lisäsuojaa tarjoaviin toimenpiteisiin. Esimerkiksi perustelukappaleessa 114 todetaan, että jos komissio ei ole tehnyt päätöstä kolmannen maan tietosuojan riittävyydestä, rekisterinpitäjän tai henkilötietojen käsittelijän olisi turvauduttava ratkaisuihin, joilla rekisteröidyille annetaan täytäntöönpanokelpoiset ja tehokkaat oikeudet, jotka koskevat heidän tietojensa käsittelyä unionissa näiden tietojen siirtämisen jälkeen, jotta he voisivat edelleen nauttia perusoikeuksista ja suojatoimista. Näitä ratkaisuja ei kuitenkaan ole asetuksessa avattu, eikä niistä ole annettu unionissa sitovia päätöksiä tai ratkaisuja.

Erilaisten teknisten tai organisatoristen toimenpiteiden, joiden avulla tietosuojan taso tietojen siirroissa on mahdollista pitää tasolla, joka unionissa pääosin tarjotaan, on jäänyt puhtaasti tulkinnanvaraisten viranomaisohjeiden varaan, joita jäsenmaissa tulkitaan eri tavoin. Tämä aiheuttaa huomattavaa epävarmuutta oikeustilasta rekisterinpitäjille, joiden toiminnassa tapahtuu tietojen siirtoja kolmansiin maihin. Erityisesti tietojen siirrot Yhdysvaltoihin ovat olleet jatkuvan muutoksen tilassa vuosia, mikä ei ole omiaan luomaan oikeusvarmuutta.

Helsingin kaupunki katsoo, että kansainvälisiä tiedonsiirtoja koskevaa lainsäädäntöä olisi syytä täydentää sääntelyllä, joka määrittelisi sitovasti sellaiset tekniset ja organisatoriset toimenpiteet, joiden voidaan katsoa suojaavan rekisteröidyn oikeudet tavalla, joka vastaa pääosiltaan unionissa taattua suojan tasoa tilanteessa, jossa komission riittävyyspäätöstä siirron kohdemaan osalta ei ole ja vakiosopimuslausekkeita ei ole mahdollista kyseisen maan lainsäädännön suoksi tehokkaasti käyttää.

Komission uutta riittävyyspäätöstä voidaan pitää positiivisena asiana. On hyvä, että kansainväliseen tiedonsiirtoon liittyviä asioita pyritään ratkaisemaan EU-tasolla, eikä siihen liittyviä kysymyksiä jätetä yksittäisten rekisterinpitäjien ongelmaksi, kuten jossain määrin on tapahtunut täydentävien suojatoimenpiteiden osalta.

Onko yleisen tietosuoja-asetuksen ns. laajennettu alueellinen soveltamisala, joka kattaa myös EU:n markkinoilla toimivien kolmansien maiden toimijoiden suorittaman henkilötietojen käsittelyn, toiminut tarkoituksenmukaisella tavalla? Olisiko yleisen tietosuoja-asetuksen täytäntöönpanoon liittyvää yhteistyötä kolmansien maiden kanssa tarpeen kehittää ja miten?

-

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset

Helsingin kaupunki katsoo, että osa yleisen tietosuoja-asetuksen terminologiasta on vaikeasti ymmärrettävää, mikä vaikeuttaa rekisterinpitäjien, henkilötietojen käsittelijöiden ja rekisteröityjen välistä viestintää. Esimerkiksi rekisteröidyn käsite on kieliasunsa perusteella suppeampi kuin esimerkiksi englanninkielinen termi data subject, joka selkeästi johtaa ajattelemaan henkilöä, jota tieto koskee rekisteriin kirjaamisen sijaan. Sama kielellinen ongelma koskee myös rekisterinpitäjän käsitettä.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

Suostumuksen edellytykset on tietosuoja-asetuksen 7 artiklassa kirjoitettu selkeästi. Perustelukappaleessa 43 on kuitenkin asetettu viranomaistoimintaa koskeva käyttörajoitus ”Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.” Rajoitus on kirjoitettu turhan jyrkästi ja sekoittaa 7 artiklan tulkintatilanteita. Kohta ei sulje pois aidon suostumuksen käyttöä viranomaistoiminnassa, mutta antaa kuvan siitä, ettei se olisi mahdollista. Viranomaistoiminnassa on esimerkiksi salassa pidettävien tietojen osalta kuitenkin varsin tavallista, että niiden luovutus toiselle viranomaiselle ja käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen on mahdollista vain rekisteröidyn suostumuksella. Tällainen tilanne voi tulla kyseeseen esimerkiksi silloin, kun rekisteröity antaa suostumuksensa luovuttaa potilastietojaan poliisille esitutkintaa varten. Suostumuksen käyttöä viranomaistoiminnassa koskevaa sääntelyä olisi siis joko asetuksen tai kansallisen lainsäädännön tasolla selkeyttää.

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

Helsingin kaupunki pitää rekisteröityjen oikeuksia säätelevää III lukua pääsääntöisesti hyvänä, mutta runsaiden asetuksen sisäisten viittausten vuoksi hyvin raskaslukuisena. Lisäksi kyseistä lukua tulee lukea yhdessä tietosuojalain sekä sektorilakien kanssa, sillä rekisteröityjen oikeuksia koskevia erityissääntöjä sekä poikkeuksia on siroteltu muualle lainsäädäntöön.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä

Tietosuoja-asetuksen 33 artiklan asettaman 72 tunnin aikarajan sisällä on usein haastavaa saada täydellisiä tai oikeita tietoja tietoturvaloukkauksista. Tiedot ovat usein vajavaiset ja voivat olla jopa täysin vääriä ensimmäisen 72 tunnin aikana. 72 tunnin määräaika käynnistyy siitä hetkestä, jolloin tietoturvaloukkaus tuli ilmi mutta asetus ei anna tukea sen arvioimiseen, milloin kyse on vasta poikkeamaa koskevasta epäilystä ja milloin tietoturvaloukkauksen voidaan katsoa tulleen ilmi. Monesti tietoturvaloukkaukset paljastuvat henkilötietojen käsittelijän toista asiaa koskevan ilmoituksen kautta, mikä johtaa asian selvittämiseen ja tätä kautta varsinaisen tietoturvaloukkauksen ilmituloon. Tällöin 72 tunnin määräajan alkamisen hetki ei ole selkeästi määriteltävissä.

Velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta valvontaviranomaiselle ja siihen luotu Helsingin kaupungin sisäinen prosessi ovat tehneet kaupungin tosiasiallisen tietosuojan tilanteen näkyvämmäksi. Tämä helpottaa tietosuojaa parantavien toimenpiteiden suunnittelua.

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

Helsingin kaupungin mukaan V luvun säännökset ovat tarpeellisia EU-kansalaisten henkilötietojen suojaamiselle, mutta säännöksiä tulisi kuitenkin tarkentaa, jotta käytännön lainsoveltamisesta tulisi selkeämpää ja johdonmukaisempaa.

Helsingin kaupunki kiinnittää huomiota myös tiedon siirtoja koskevien siirtomekanismien jatkuvuuteen. Erityisesti tiedon siirtoja Yhdysvaltoihin koskevat siirtomekanismit ovat useasti kumoutuneet Euroopan unionin tuomioistuimessa. Siirtomekanismien jatkuva muuttuminen, kumoutuminen tai vaihtuminen vaikeuttaa rekisterinpitäjien ja henkilötietojen käsittelijöiden toimintaa kohtuuttomasti ja tekee oikeustilasta epävarman. Rekisterinpitäjän on vaikea noudattaa lainmukaisia velvollisuuksiaan, mukaan lukien osoitusvelvollisuus, mikäli nämä lainmukaiset velvollisuudet ja valvontaviranomaisten käytännöt eivät ovat jatkuvassa muutoksen tilassa.

Helsingin kaupungin arvion mukaan tietosuoja-asetuksessa olisi ollut suotavaa ottaa syvemmällä tasolla kantaa niihin konkreettisiin tietosuojan tasoa parantaviin toimenpiteisiin, joita laillinen käsittely EU-/ETA-alueen ulkopuolella rekisterinpitäjältä edellyttää. Tällä hetkellä näiden niin kutsuttujen lisäsuojatoimenpiteiden luominen ja niiden tehokkuuden arviointi ovat ainoastaan valvontaviranomaisten antamien suositusten varassa. Mikäli EU-tuomioistuin toteaisi nykyiset sopimusmekanismit ja riittävyyspäätöksen yhteensopimattomiksi EU-oikeuden kanssa, joutuisivat rekisterinpitäjät kaupungin mukaan vaikeaan tilanteeseen joutuessaan arvioimaan, millä tavalla ja minkälaisilla teknisillä ja organisatorisilla suojatoimenpiteillä rekisterinpitäjä voi tosiasiallisesti turvata käsittelemänsä henkilötiedot ja jatkaa toimintaansa.

Kommentit yleisen tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset

Helsingin kaupunki on havainnut, että tietosuojavaltuutetun toimistosta on usein vaikea saada ohjausta lainsäädännön tulkintatilanteissa. Tietosuojaa koskevien vaikutusten arviointien ennakkokuulemiset tietosuojavaltuutetun toimistossa ovat usein venyneet tietosuoja-asetuksen 36 artiklassa säädetystä kahdeksan viikon, monimukaisissa tapauksissa 14 viikon, määräajoista.

Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus

Helsingin kaupunki katsoo yhteistyötä ja yhdenmukaisuutta koskevien määräysten käytännössä johtaneen siihen, että ohjauksen ja neuvonnan saaminen tietosuojavaltuutetun toimistosta vaikeissa tulkintatilanteissa on vaikeutunut. Valvontaviranomainen on usein pidättäytynyt antamasta ohjeita tilanteissa, joissa se katsoo tarvittavan unionin tasoisia yhtenäisiä linjauksia. Helsingin kaupunki katsoo tämän olevan ongelmallista, sillä valvontaviranomaisen neuvontaa kaivattaisiin nimenomaan niissä tilanteissa, joissa EU-tason kannanottojen saaminen on hyvin hidasta. Rekisterinpitäjät joutuvat kaupungin mukaan tekemään tulkintoja ilman riittävää ohjausta, mikä johtaa tietosuojan toteutumisen kannalta huonoon lopputulokseen.

Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset

Rekisteröidyn oikeussuojakeinot ovat tehokkaita.

Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

Tietosuoja-asetuksen 86 artikla, joka mahdollistaa kansallisen lainsäädännön julkisuuperiaatteen toteuttamiseksi on tärkeä ja erittäin selkeä. Sen sijaan 86 artiklan mahdollistama kansallinen sääntely Suomessa ei ole onnistunut optimaalisesti. Ongelmia on kuvattu kansallisen liikkumavaran käyttöä koskevan kysymyksen kohdalla.

Päätöksen perustelut

Oikeusministeriö on 14.8.2023 pyytänyt kaupungin lausuntoa yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista. Lausunnon määräaika on 6.9.2023.

Lausunto annetaan vastaamalla lausuntopalvelu.fi:ssä. Lausunto on oikeusministeriönpyynnön mukaisesti otsikoitu lausuntopyynnössä ilmoitettujen väliotsikoiden mukaisesti.

Lausuntopyynnön johdosta toimialoilta, virastoilta ja liikelaitoksilta on pyydetty kommentteja asiassa. Lisäksi kaupunginkanslian oikeuspalveluista on pyydetty kommentit lausuntopyyntöön.

Helsingin kaupungin hallintosäännön (kvsto 16.8.2023 § 182) 19 luvun 5 §:n 2 momentin mukaan asian periaatteellisen ja taloudellisen merkityksen ollessa vähäinen, kaupungin esitykset tai lausunnot antaa se kaupungin viranomainen, jonka tehtäviin asia kuuluu.

Päätös tullut nähtäväksi 07.09.2023

MUUTOKSENHAKUKIELTO

Tähän päätökseen ei saa hakea muutosta, koska päätös koskee asian valmistelua tai täytäntöönpanoa.

Sovellettava lainkohta: Kuntalaki 136 §

Sulje

Lisätietojen antaja

Tiina Kangas, Tietosuojavastaava, puhelin:

tiina.kangas2@hel.fi

Päättäjä

Sami Sarvilinna
kansliapäällikkö
Kirsi Remes
hallintojohtaja

Liitteet (pdf)

1. Lausuntopyyntö 14.8.2023
Liitettä ei julkaista internetissä.

Päätösasiakirjoissa on mainittu liitteitä, joita ei julkaista internetissä. Pois jätetään liitteet, jotka sisältävät salassa pidettäviä tietoja, joissa olevien tietojen julkistaminen voi vaarantaa yksityisyyden suojan, tai joita ei ole teknisistä syistä saatu sähköiseen muotoon. Keskeisimmät säädökset, joita asiassa sovelletaan, ovat laki viranomaisten toiminnan julkisuudesta (julkisuuslaki 621/1999), laki sähköisen viestinnän palveluista (917/2014), tietosuojalaki (1050/2018), laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023) sekä laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016). Päätösasiakirjoja voi tiedustella myös Helsingin kaupungin kirjaamosta.