Työryhmän mietintö: henkilötietolaki kumotaan, tilalle tietosuojalaki

Oikeusministeriön työryhmä esittää nykyisen henkilötietolain kumoamista ja tilalle uutta tietosuojalakia. Taustalla on EU:n 25.5.2018 voimaan tulevan tietosuoja-asetuksen kansallinen täytäntöönpano. Tämän lisäksi työryhmä esittää muutamia merkittäviä poikkeuksia tietosuoja-asetuksen soveltamisalaan esimerkiksi tiedonvälityksen ja julkisuusperiaatteen vuoksi.

Vaikka henkilötietolaki on tarkoitus kumota, se on toiminut perustana uudelle tietosuojalaille. Tietosuojalaki olisi kuitenkin ainoastaan tietosuoja-asetusta täydentävä laki. Pääosa sääntelystä tulisi siis tietosuoja-asetuksesta. Tällainen lähestymistapa ei ole tyypillistä Suomessa vaan tapana on ollut “kääntää” EU-säädökset kokonaan Suomen laeiksi. Tietosuoja-asetus on kuitenkin suoraan sovellettavaa EU-lainsäädäntöä joten mitään tarvetta toistaa asetuksen pykäliä kansallisessa laissa ei ole.

Esityksessä ehdotetaan tietosuoja-asetuksen säännösten soveltamista kattavasti kaikkeen henkilötietojen käsittelyyn, jollei laissa ole toisin säädetty. Tietosuojalaki yleislakina koskisi siten henkilötietojen käsittelyä laajasti yhteiskunnan eri sektoreilla. Lisäksi tietosuoja-asetusta ja tietosuojalakia sovellettaisiin sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan sekä osittain henkilötietojen käsittelyyn, joka tapahtuisi yhteisen ulko- ja turvallisuuspolitiikkaan liittyen.

Henkilötietolain lisäksi ehdotetaan kumottavaksi tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki sekä asetus.

 

Tietosuojavaltuutetun toimistosta tietosuojavirasto

Tietosuojavaltuutetun toimisto ehdotetaan muutettvan tietosuojavirastoksi. Laissa ei kuitenkaan sinänsä ehdoteta perustettavaksi uutta viranomaista vaan muutaman organisatorisen muutoksen sisältävä nimenvaihdos.

Koska tietosuoja-asetuksen perusajatuksena on ollut rekisterinpitäjän osoitusvelvollisuus, tietosuojalautakunta lakkautettaisiin sen keskeisen lupatehtävän poistumisen myötä.

Tietosuojavirastossa olisi edelleen tietosuojavaltuutetun virka, joka toimisi viraston päällikkönä. Kasvavien asiamäärien sekä asioiden laadun ja laajuuden vuoksi tietosuojavirastoa vahvistettaisiin säätämällä, että virastossa olisi tietosuojavaltuutetun viran lisäksi yhden tai useamman apulaistietosuojavaltuutetun virka. Apulaistietosuojavaltuutettu toimisi omalla tehtäväalueella samoin toimivaltuuksin kuin tietosuojavaltuutettu.

Tietosuojavaltuutetun toimistolle annettaisiin laajat toimivaltuudet tehdä muun muassa tarkastuksia tietojen käsittelijöiden tiloissa, mukaan lukien myös kotona. Eli tarkastusta ei voisi kieltää vetoamalla kotirauhaan jos esimerkiksi serverit on kotinurkassa. Tietosuojavaltuutettu voi määrätä myös väliaikaisia rajoitteita tai jopa kieltää väliaikaisesti tietojen käsittelyn. Tällaisesta kieltopäätöksestä ei voisi valittaa.

Tietosuojaviraston sisällä valvontaviranomaisen päätöksentekoon liittyvää toimivaltaa jaettaisiin myös säätämällä, että virastossa toimisi valtuutettujen lisäksi seuraamuslautakunta. Seuraamuslautakunta koostuisi viidestä sivutoimisista jäsenistä ja, se käsittelisi hallinnollisen sakon määräämistä sekä pysyviä että määräaikaisia käsittelykieltoja koskevia asioita valtuutetun esittelystä. Seuraamuslautakunnan tarkoituksena on toimia yhtenä oikeussuojakeinona hallinnollisia sakkoja määrättäessä ja se voi tarpeen mukaan järjestää suullisia kuulemisia asian käsittelyn yhteydessä.

Muutoksia lehdistönvapauden turvaamiseksi

Työryhmä ehdottaa muutoksia henkilötietojen käsittelyyn tiedonvälityksessä. Pyrkimyksenä on helpottaa tietojen käsittelyä tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista ja käsittely on yleisen edun mukainen ja käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden yleisen tietosuoja-asetuksen edellyttämällä tavalla. Tällainen käsittelyperuste on erillinen tietosuoja-asetuksen 6 artiklan mukaisista käsittelyperusteista (mun muassa henkilön suostumus, oikeutettu etu jne.).

Syynä kansalliselle poikkeukselle on se, että vastaava kohta on jo tällä hetkellä henkilötietolaissa. Pyrkimyksenä on siis vain säilyttää nykytilaa vastaava tila, jossa henkilötietojen käsittelyyn journalistisia tarkoituksia ja taiteellisen ja kirjallisen ilmaisun tarkoituksia varten sovelletaan säännöksiä, jotka liittyvät henkilötietojen suojaamisvelvoitteeseen ja vastaavasti rajoittaa tietyiltä osin tietosuojaviranomaisen näitä velvoitteita koskevia valtuuksia.

Käsittelyperusteen lisäksi lehdistön asemaa helpotetaan usealla eri poikkeuksella tietosuoja-asetuksen soveltamiseen. Esimerkiksi journalistisia, taiteellista tai akateemista tutkimusta varten kerätyn tiedon osalta ei tarvitsisi noudattaa 5 artiklan edellyttämää tietojen minimointia. Laissa kuitenkin edellytettäisiin, että henkilötietojen keräämisen ja muun käsittelyn olisi oltava perusteltua journalistisen taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksien kannalta.

Samaten tietosuoja-asetuksen 5 artiklan mukaisen henkilötietojen täsmällisyyden vaatimusta ei tarvitsisi noudattaa. Vastineparina tälle poikkeukselle ovat esimerkiksi sananvapauslain 3 luvun edelllyttämät vastine- ja oikaisuoikeudet sekä rikoslain kunnianloukkaussäännökset. Eli vaikka henkilö ei pääsisi “oikaisemaan” vanhoja tietojaan lehtien arkistosta, päätoimittajat ja toimittajat olisivat edelleen vastuussa siitä, että julkaistu tieto on oikeaa. Lisäksi rekisteröidyn oikeudet eivät tulisi sovellettavaksi ja siksi rekisteröidyllä ei olisi oikeutta vaatia virheellisen tiedon oikaisemista yleisen tietosuoja-asetuksen nojalla.

Myös säilytyksen rajoittamisen periaatteesta säädettäisiin poikkeus, kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Henkilötietoja voidaan tarvita esimerkiksi journalistiseen taustamateriaaliin pitkältä ajalta, eikä tiedon säilytysaikaa voida näin ollen aina yksiselitteisesti määrittää.

Journalistisiin tarkoituksiin, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten voisi lisäksi käsitellä myös henkilötietojen erityisryhmiin kuuluvia ja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Tällaisessa käsittelyssä tulisi kuitenkin edelleen noudattaa asianmukaisia suojatoimia. Henkilöllä ei myöskään olisi oikeutta vastustaa käsittelyä, vaatia tietojen käsittelyn rajoittamista, tietojen poistoa, tai oikeutta siirtää tietoja toiseen järjestelmään kun henkilötietoja käsitellään journalistisiin tarkoituksiin taikka akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.

Journalistiseen tarkoitukseen henkilötietoja käsittelevät toimijat eivät myöskään olisi velvollisia ilmoittamaan tietoturvaloukkauksista rekisteröidylle, vaan ainoastaan viranomaisille. Viranomaiset voisivat tosin joissain tilanteissa edellyttää rekisterinpitäjää myös ilmoittamaan loukkauksesta rekisteröidylle.

Täysin vapaita kaikesta tietosuoja-asetuksen vaatimuksista eivät kuitenkaan journalistisiin tarkoituksiin käsittelevät toimijat ole. Muun muassa vaatimus tietojen suojaamisesta ja eheydestä sekä käsittelyn lainmukaisuudesta koskee edelleen näitäkin toimijoita ja joissakin tilanteissa myös toimitukset joutuisivat nimeämään tietosuojavastaavan.

Ikäraja vielä auki

Tietosuoja-asetus edellyttää, että ennen tietojen käsittelyä tietoyhteiskunnan palveluja tarjoavan toimijan on hankittava alle 16-vuotiaan vanhemmalta (tietosuoja-asetuksessa “vanhempainvastuunkantaja” joka lienee ilmeisesti yksi edunvalvojista) suostumus eli vain yli 16-vuotiaat saavat itse antaa suostumuksen. Työryhmä ehdottaa että ikärajaa laskettaisiin. Ehdotuksessa jätetään vielä avoimeksi lasketaanko raja 13 vai 15 vuoteen.

Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista ja aikoo tältä osin seurata muiden jäsenvaltioiden kehitystä. Työryhmän tavoitteena onkin, että ikäraja olisi mahdollisimman yhdenmukainen EU:ssa. Muussa tapauksessa tulisi ehdottaa säädettäväksi 15 vuoden ikärajasta joka on linjassa muualla lainsäädännössä omaksuttujen ikärajojen kanssa. Ruotsissa ikärajaksi on ehdotettu 13 vuotta.

Julkisyhteisöt eivät ole sakkojen piirissä?

Mielenkiintoisimpia asioita muiden ohella on se, että työryhmä ei ehdota mahdollisuutta määrätä hallinnollisia sakkoja viranomaisille tai julkishallinnon elimille samalla tasolla kuin yrityksillekin (eli 20 M€ tai 4 % liikevaihdosta). Tietosuoja-asetus sallisi myös mahdollisuuden määrätä kansallisesti myös sakoista esimerkiksi kunnille ja valtion virastoille, mutta Suomessa tätä vaihtoehtoa ei ilmeisesti käytetä. Ruotsissa tietosuojaviranomaisille on myös tarkoitus antaa mahdollisuus määrätä sakkoja myös viranomaisille ja julkishallinnon elimille, mutta sakkojen määrät tulevat ilmeisesti olemaan alhaisempia.

Rikosoikeudellinen vastuu muuttuu

Nykyinen rikoslaissa oleva henkilörekisteririkosta koskeva säännös ehdotetaan poistettavaksi kokonaan ja korvattavaksi uudella tietosuojarikosta koskevalla säännöksellä. Tämä johtuu pääosin siitä, että tietosuoja-asetuksen tuomat varsin raskaat hallinnolliset seuraamukset kattavat suurimman osan “rangaistustarpeesta”.

Tämän vuoksi tarpeelliseksi katsotaan vain säätää sellainen menettely rangaistavaksi, jossa esimerkiksi rekisterinpitäjän tai henkilötietojen käsittelijän palveluksessa oleva henkilö tahallaan tai törkeästä huolimattomuudesta hankkii (urkkii) henkilötietoja vastoin niiden käyttötarkoitusta. Rangaistussäännös tulisi sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Tällaisiin henkilöihin ei lähtökohtaisesti voida kohdistaa seuraamuksia suoraan yleisen tietosuoja-asetuksen perusteella.

 

Muita muutoksia

Yllämainittujen lisäksi tietosuojalakiin on tulossa muutamia muita täydennyksiä kuten

  • Vakuutusyhtiöille oikeus käsitellä rikostuomiohin liittyviä tietoja
  • Tieteellistä ja historiallista tutkimusta varten oikeus käsitellä erityisiä henkilötietoryhmiä koskevia tietoja (esim terveystiedot, sosiaalinen asema, poliittinen vakaumus ja rikostuomiot. Lakiin ehdotetaan tiettyjä suojatoimia joiden täyttyessä tällainen käsittely olisi sallittua
  • Tilastollisia tarkoituksia varten olisi edelleenkin mahdollista käsitellä erityisiä henkilötietoryhmiä koskevia tietoja

 

Oikeusministeriön työryhmän mietintö

Ruotsin mietintö SOU2017:39

 

Published by

Panu Pökkylä

Blogger, enterpeneur and a senior legal counsel at Nordea. Certified Information Privacy Professional / Europe (CIPP/E). I write in Finnish about technology and law, public procurement and privacy. All opinions are mine

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s