Lausunnon antaminen EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmän (TATTI) mietinnöstä

Pormestari päätti antaa Helsingin kaupungin puolesta seuraavan lausunnon yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi.

Euroopan parlamentti ja neuvosto antoivat keväällä 2016 yleisen tietosuoja-asetuksen 2016/679 (EU). Yleinen tietosuoja-asetus tulee jäsenvaltioissa suoraan sovellettavaksi 25.5.2018. Asetus jättää jäsenvaltioiden lainsäätäjälle kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa. Työryhmän keskeisenä tehtävänä oli valmistella lainsäädäntöehdotus kansallisen liikkumavaran käytöstä.

1. luku Yleiset säännökset

Yleiset kommentit

On välttämätöntä, että kansallinen lainsäädäntö saatetaan yhteensopivaksi yleisen tietosuoja-asetuksen kanssa viimeistään yleisen tietosuoja-asetuksen soveltamisen alkaessa 25.5.2018. Työryhmän mietintö sisältää kuitenkin esityksiä ainoastaan uuden tietosuojalain säätämiseksi sekä rikoslain 38 luvun ja sakon täytäntöönpanosta annetun lain 1 §:n 1 momentin muuttamiseksi. Lisäksi liitteenä on eräiden työryhmän jäsenten esitys viranomaisten toiminnan julkisuudesta annetun lain muuttamiseksi. Mietinnöstä ei käy ilmi, onko ryhdytty toimenpiteisiin myös niiden lukuisten muiden kansallisten lakien muuttamiseksi, joissa koskevat henkilötietojen käsittelyä. Koska yleinen tietosuoja-asetus on normihierarkiassa kansallisen lainsäädännön yläpuolella, on välttämätöntä selvittää myös muun lainsäädännön muutostarve.

Lausuntoa työryhmän mietinnöstä ja esityksestä tietosuojalaiksi ei ole pyydetty ainoaltakaan kunnalta, ainoastaan kuntaliitolta. Kunnat käsittelevät erittäin laajassa määrin kuntalaisten, muiden palvelujen käyttäjien sekä palveluksessaan olevien henkilöiden henkilötietoja. Yleinen tietosuoja-asetus ja tietosuojalaki tulevat olemaan kuntien toiminnan kannalta merkittäviä lakeja ja niiden vaikutukset ulottuvat kaikkien kuntien palveluksessa olevien henkilöiden toimintaan. Helsingin kaupunki katsoo, että mietinnöstä olisi tullut pyytää useamman suomalaisen kunnan lausunto, jotta erilaisten kuntien tarpeet tulisivat lainvalmistelussa huomioiduiksi.

Lakiesityksen teksti on epäselvää ja tulkinnanvaraista sekä sisältää erittäin laajasti viittauksia tietosuoja-asetuksen eri artikloihin. Tämä tekee lakiesityksestä erittäin vaikealukuisen. Lakiesityksen sisällön pystyy ymmärtämään vain lukemalla sitä yhdessä tietosuoja-asetuksen ja lakiesityksen perusteluiden kanssa. Lakia tulevat kuitenkin soveltamaan niin pienet kunnat kuin pienet yrityksetkin. Olisi ollut suotavaa, että lain luettavuuteen olisi kiinnitetty enemmän huomiota. Liian vaikeaselkoinen laki jää helposti noudattamatta.

Lakiesityksessä ei ole riittävästi otettu huomioon perustuslain julkisuusperiaatteen ja tietosuoja-asetuksen yhteensovittamista, vaikka yleisen tietosuoja-asetuksen 86 artikla antaa tähän kansalliselle lainsäätäjälle mahdollisuuden.

2. luku Käsittelyn oikeusperuste eräissä tapauksissa

Yleiset kommentit käsittelyn lainmukaisuutta koskevasta 3 §:stä

Tietosuojalain 3 §:n 1 momentin 1 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn peruste on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään asti. Tätä säännöstä on pidettävä perusteltuna, koska nämä tiedot eivät ole samanlaisen suojan tarpeessa kuin henkilön yksityiselämään liittyvät tiedot. Laki ei perustelujen mukaan kuitenkaan oikeuta käsittelemään näitä tietoja siten, että ne pidettäisiin julkisesti saatavilla.

Osittain 1 kohdassa mainittujen henkilötietojen pitäminen julkisesti saatavilla olisi yleisen edun mukaista, koska on yleinen tarve tietää, ketkä henkilöt ovat yhteiskunnallisesti merkittävässä asemassa, sekä saada tietoa heidän toiminnastaan. Säännöstä tulisi täsmentää siten, että tietyin edellytyksin näiden tietojen julkisesti saatavilla pitäminen olisi sallittua.

Ilmeisesti on kuitenkin tarkoitus, että erityislaeissa olevat määräykset henkilötietojen julkaisemisesta yleisessä tietoverkossa ovat voimassa tietosuoja-asetuksen soveltamisen alkamisen jälkeenkin. Esimerkiksi kuntalaki velvoittaa julkaisemaan tiettyjen kunnan luottamushenkilöiden ja viranhaltijoiden sidonnaisuusilmoitukset yleisessä tietoverkossa. Muutoinkin kuntalaki velvoittaa tiedottamaan kunnan toiminnasta asukkaille, palveluiden käyttäjille, järjestöille ja muille yhteisöille. Tiedotusvelvollisuuden piiriin voitaneen katsoa kuuluvan myös kunnan luottamushenkilöiden, viranhaltijoiden ja työntekijöiden henkilötietojen kuten heidän nimensä ja työyhteystietonsa julkisesti saatavilla pitäminen.

Lisäksi voitaneen ajatella, että yhteiskunnallisesti merkittävässä asemassa olevista henkilöistä tiedottamisen voidaan katsoa kuuluvan yleisen tietosuoja-asetuksen 85 artiklan 2 kohdan ja tietosuojalain 27 §:n mukaisen poikkeuksen piiriin (sananvapauteen pohjautuva käsittely journalistisia tai kirjallisen ilmaisun tarkoituksia varten). Olisikin hyvä, jos lainkohdan yksityiskohtaisissa perusteluissa todettaisiin tarkemmin siitä, että kielto pitää näitä tietoja julkisesti saatavilla ei ole ehdoton.

Tietosuojalain 3 § 1 momentin 2 kohta on suora lainaus tietosuoja-asetuksesta. Lain perusteluista ei ilmene, miksi on katsottu tarpeelliseksi sisällyttää lakiin suora lainaus tietosuoja-asetuksen 6 artiklan e)-kohdasta ilman mitään lisämääreitä.

Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä

Rikostuomioita ja rikkomuksia koskevassa 6 §:ssä säädetään siitä, että niihin liittyviä henkilötietoja saa käsitellä, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi tai vakuutuslaitos edellä 5 §:ssä mainitussa tarkoituksessa. Tietosuoja-asetuksen 10 artiklan mukaan näiden henkilötietojen käsittely on sallittua, kun se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Esitetyssä tietosuojalaissa ei ole säännöstä näistä asianmukaisista suojatoimista. Tietosuojalakiesitystä tulisi täsmentää tältä osin.

Lain kohtaa täsmentäisi toteamus siitä, että näitä tietoja saa käsitellä niin rekisterinpitäjän kuin kolmannenkin oikeusvaateen laatimiseksi, esittämiseksi, puolustamiksi tai ratkaisemiseksi, koska julkisyhteisöt joutuvat usein käsittelemään rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja kolmannen edun vuoksi.

Ikärajaa koskevat perustelut

Yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat lainsäädännössään kuitenkin säätää alemmasta ikärajasta, joka ei saa olla alle 13 vuotta. Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista.

Helsingin kaupunki katsoo, että tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla 15 vuotta.

Tietoyhteiskunnan tarjoamista palveluista tavallisesti maksetaan rahallinen korvaus. Joskus palveluntarjoajalle riittävä korvaus on nimenomaisesti sen saamat henkilötiedot, joita voidaan käyttää esimerkiksi markkinointitarkoituksessa. Ikärajaa tulisi tarkastellakin sen mukaan, milloin voidaan lapsen katsoa olevan riittävän kypsä harkitsemaan henkilötietojensa luovuttamisen merkitystä. Tämä puoltaisi mieluummin 15 vuoden kuin 13 vuoden ikärajaa.

Viidentoista vuoden ikää on pidettävä sopivampana ikärajana kuin kolmeatoista vuotta myös, koska viidentoista vuoden ikää on pidetty oikeudellisesti merkityksellisenä rajana laajalti muualla lainsäädännössä. Rikoslain 3 luvun 4 §:n mukaan rangaistusvastuun edellytyksenä on, että tekijä on teon hetkellä täyttänyt viisitoista vuotta ja on syyntakeinen. Viisitoista vuotta täyttänyt saa myös nuorista työntekijöistä annetun lain nojalla tehdä itse työsopimuksen. Oikeudenkäymiskaaren 12 luvun 1 § 2 momentin viimeisen virkkeen mukaan alaikäinen käyttää huoltajan tai muun laillisen edustajan ohella itsenäisesti puhevaltaansa henkilöään koskevassa asiassa, jos hän on täyttänyt 15 vuotta.

3. luku Valvontaviranomainen

Asian selvittämiseksi seuraamuslautakunnassa voitaisiin toimittaa tarvittaessa suullinen käsittely. Seuraamuslautakunnan olisi toimitettava suullinen käsittely, jos asianosainen pyytää sitä. Suullisessa käsittelyssä voitaisiin kuulla asianosaisia, todistajia ja asiantuntijoita sekä vastaanottaa muuta selvitystä. Tämä olisi yksi oikeusturvatae määrättäessä hallinnollisia sakkoja, jotka voivat nousta huomattavan korkeiksi.

Yleiset kommentit suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä

On perusteltua, että seuraamuslautakunnassa toimitetaan suullisia käsittelyjä. Toivottavaa on, että seuraamuslautakunta ei kovin helpoin perustein katsoisi, että suullinen käsittely on asian laadun vuoksi tai muusta syystä ilmeisen tarpeetonta, koska suullisessa käsittelyssä asian osapuolten näkemyksiä voidaan käsitellä perusteellisemmin ja on myös mahdollisuus kuulla todistajia. Erityisesti tämä on toivottavaa tietosuoja-asetuksen soveltamisen alkuvaiheessa, jolloin hallinnollisten sakkojen tasot eivät ole vielä vakiintuneet.

Muut yleiset kommentit valvontaviranomaista koskevasta 3 luvusta

Muilta osin ei ole kommentoitavaa 3. luvusta. Toivottavaa on, että tietosuojavirastolle turvataan riittävät resurssit sen tehtävien hoitamiselle.

4. luku Oikeusturva ja seuraamukset

Yleiset kommentit käsittelyn viivästymistä koskevasta 23 §:stä

Helsingin kaupungilla ei ole kommentoitavaa tältä osin.

Tulisiko yleisen tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin?

Työryhmä ei ollut yksimielinen siitä, tulisiko viranomaisiin ja julkishallinnon elimiin voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta.

Helsingin kaupunki katsoo, että hallinnollisia sakkoja tulisi kohdistaa myös viranomaisiin ja julkishallinnon elimiin, mutta sakkojen enimmäismäärää tulisi niiden osalta madaltaa.

Mikäli julkishallinnon elimille ei kansallisen lainsäädännön nojalla voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta, tulisi olla olemassa vaihtoehtoinen seuraamus, jonka vaikutus on tehokas, oikeasuhtainen ja varoittava. Rikosoikeudellinen järjestelmä ei voi olla tämä vaihtoehtoinen seuraamusjärjestelmä, koska rikosoikeudelliset seuraamukset kohdistuvat ainoastaan yksittäiseen luottamushenkilöön, viranhaltijaan tai virkamieheen. Yksittäisen henkilön saattaminen vastuuseen henkilötietojen lainvastaisesta käsittelystä on kohtuutonta silloin, kun lain rikkominen johtuu rekisterinpitäjän tai henkilötietojen käsittelijän toimintalinjauksista, jotka ovat johtaneet henkilötietojen lainvastaiseen käsittelyyn. Hallinnollisen sakon vaihtoehtona tulisi olla siten jokin suoraan viranomaiseen tai julkishallinnon elimeen kohdistuva seuraus.

Eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja niiden palveluksessa olevien henkilöiden sekä muiden julkista tehtävää hoitavien toiminnan lainmukaisuutta. Tehtäviä toteuttaessaan laillisuusvalvojat valvovat perusoikeuksien ja ihmisoikeuksien toteutumisesta. Laillisuusvalvoja voivat antaa viranomaiselle huomautuksen, saattaa viranomaisen tietoon käsityksensä lainmukaisesta menettelystä sekä tehdä viranomaiselle esityksen virheen tai epäkohdan korjaamiseksi tai hyvittämiseksi.

Helsingin kaupunki katsoo, että tietosuojalainsäädännön rikkomusten ensisijaisina seuraamuksina viranomaisille ja julkishallinnon elimille voisivat olla vastaavanlaiset seuraamukset kuin mitä laillisuusvalvojilla on käytettävissään: huomautus, lainmukaisen menettelyn tietoon saattaminen sekä esitys virheen tai epäkohdan korjaamiseksi. Kyseisillä laillisuusvalvojien käyttämillä seuraamuksilla on todettu olevan merkittävä ohjaava vaikutus viranomaisten toimintaan ja tällaiset seuraamukset olisivat useimmissa tapauksissa riittäviä ohjaamaan viranomaisia ja julkishallinnon elimiä myös tietosuoja-asioissa.

Mikäli viranomainen tai julkishallinnon elin ei noudattaisi sille annettuja huomautuksia tai kehotuksia tai mikäli kyseessä olisi erityisen törkeä yleisen tietosuoja-asetuksen velvoitteiden rikkominen, voitaisiin viranomaisen tai julkishallinnon elin määrätä maksamaan hallinnollisia sakkoja. Hallinnollisten sakkojen enimmäismäärän tulisi kuitenkin olla huomattavasti alempi kuin 10.000.000 tai 20.000.000 euroa. Miljoonien eurojen suuruiset sakot on tarkoitettu käytettäväksi lähinnä suurten monikansallisten yritysten rikkoessa erityisen tuomittavalla tavalla tietosuoja-asetusta. Sakkojen määrän tulee olla suuri, jotta sillä on tosiasiallista vaikutusta suurien yritysten toimintaan. Julkishallinnon elinten osalta huomattavasti pienemmillä hallinnollisilla sakoilla voidaan saavuttaa sama tosiasiallinen vaikutus.

Muut yleiset kommentit oikeusturvaa ja seuraamuksia koskevasta 4. luvusta

Muilta osin Helsingin kaupungilla ei ole lausuttavaa 4. luvusta.

5. luku Tietojen käsittelyn erikoistilanteet

Yleiset kommentit henkilötietojen käsittelyä journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia koskevasta 27 §:stä

Kirjallisen ilmaisun käsitettä ei ole määritelty sen paremmin yleisessä tietosuoja-asetuksessa kuin tietosuojalaissakaan. Koska 27 §:ssä säädetyt poikkeukset ovat erittäin laajoja, olisi tarpeen määritellä tarkkaan, mitä kirjallisella ilmaisulla tarkoitetaan. Kyseiset poikkeukset mahdollistavat mm. henkilötietojen julkaisemisen yleisessä tietoverkossa.

Yleiset kommentit tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista ja suojatoimista

Helsingin kaupungilla ei ole lausuttavaa tältä osin.

Muut yleiset kommentit tietojenkäsittelyn erityistilanteita koskevasta 5 luvusta.

Henkilötunnuksen käsittelystä on säädetty 29 §:ssä. Henkilötunnuksen käsittely on sallittua vain tietyissä tilanteissa ja henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin ja laadittuihin asiakirjoihin. Henkilötunnusta voidaan käyttää väärin muun muassa identiteettivarkauksiin. Tämän vuoksi henkilötunnuksen luovuttamisen edellytyksistä tulisi säätää yksityiskohtaisemmin.

Muut mahdolliset kommentit

Muita huomioita työryhmän mietinnöstä ja ehdotuksesta hallituksen esitykseksi

Tietosuojalain säätämisen yhteydessä on välttämätöntä tehdä muutoksia myös viranomaisten toiminnan julkisuudesta annettuun lakiin. On perusteltua, että julkisuuslain tietojen luovuttamista koskevia pykäliä muutetaan siten, että niissä käytetään yleisen tietosuoja-asetuksen ja tietosuojalain käsitteitä. Samalla voidaan julkisuuslain sisältöä muutoinkin nykyaikaistaa kuten työryhmän eräiden jäsenten ehdotuksessa esitetään.

Helsingin kaupunki katsoo kuitenkin, että kyseisen ehdotuksen 9 a § rajoittaa oikeutta saada tieto julkisesta asiakirjasta tavalla, joka merkittävästi supistaa oikeutta saada tieto julkisesta asiakirjasta. Viranomaisten toiminnan avoimuuden ja läpinäkyvyyden vuoksi on tärkeää, että perustuslain 12 § 2 momentin mukaista jokaisen oikeutta saada tieto julkisesta asiakirjasta ei tällä tavoin rajoitettaisi. Oikeus saada tieto julkisesta asiakirjasta lisää viranomaisten toiminnan läpinäkyvyyttä ja avoimuutta ja mahdollistaa viranomaisten toiminnan valvonnan.