HALLINTOVALIOKUNNAN LAUSUNTO 22/2014 vp

HaVL 22/2014 vp - U 21/2012 vp

Tarkistettu versio 2.1

Valtioneuvoston kirjelmä ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Suuri valiokunta on 26 päivänä syyskuuta 2014 lähettänyt jatkokirjelmän 2. OM 24.09.2014 asiassa U 21/2012 vp hallintovaliokunnalle mahdollisia toimenpiteitä varten.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

EU-erityisasiantuntija Anu Talus, oikeusministeriö

asiantuntija Niina Harjunheimo, Elinkeinoelämän keskusliitto EK ry

Lisäksi kirjallisen lausunnon ovat antaneet

  • tietosuojavaltuutettu
  • työ- ja elinkeinoministeriö.

Viitetiedot

Valiokunta on aikaisemmin antanut asiasta lausunnot HaVL 11/2012 vp ja HaVL 6/2013 vp.

VALTIONEUVOSTON JATKOKIRJELMÄ

Ehdotus

Euroopan komissio antoi 25 päivänä tammikuuta 2012 ehdotuksen henkilötietojen suojaa koskevaksi uudeksi EU:n lainsäädäntökehykseksi. Käsiteltävänä oleva 2. jatkokirje koskee kokonaisuuteen kuuluvaa ehdotusta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ehdotuksen tarkoituksena on varmistaa yhtenäinen tietosuojan taso EU:n alueella sekä yksityis- että julkissektorilla. Tietosuoja-asetuksella korvataan voimassa oleva EY:n henkilötietodirektiivi.

Jatkokirjeessä annetaan tilannekatsaus yleisen tietosuoja-asetuksen valmisteluun, kuvataan neuvostokäsittelyn aikana valmisteltuja muutoksia komission asetusehdotukseen ja täydennetään valtioneuvoston kantaa tiettyihin asetusehdotukseen sisältyviin keskeisiin kysymyksiin. Erityisesti jatkokirjeessä käsitellään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksia koskevaa IV lukua, jonka sisällöstä on ennakkotietojen mukaan tarkoitus sopia oikeus- ja sisäasioiden neuvostossa 9.—10.10.2014.

Valtioneuvoston kanta

Suomi on pitänyt tervetulleena komission ehdotusta EU:n tietosuojalainsäädännön oikeudellisen kehikon uudistamiseksi. Suomi on pitänyt tärkeänä, että EU:n osittain hajanaista ja monimutkaista tietosuojalainsäädäntöä yksinkertaistetaan ja yhdenmukaistetaan siten, että samalla säilytetään tietosuojan korkea taso.

Yksityiskohtaisempia kantoja on esitetty asiakokonaisuuksittain pääasiallisen sisällön kuvauksen yhteydessä seuraavasti.

Henkilötietojen käsittelyn periaatteet (II LUKU, 5—10 artiklat)

Valtioneuvosto katsoo, että henkilötietojen käsittelyn periaatteita koskeva asetusehdotuksen II luku on kehittynyt toivotulla tavalla. Jatkoneuvotteluissa tulisi pyrkiä vielä täsmentämään 6 artiklan (f) alakohdassa tarkoitettua rekisterinpitäjän oikeutettua etua. Valtioneuvosto katsoo myös, että tieteellistä, tilastollista ja historiallista tutkimusta koskevan 6 artiklan toisen kohdan palauttaminen artiklaan voisi selkeyttää sääntelyä. Valtioneuvosto tukee sellaisten reunaehtojen määrittelemistä, joiden perusteella henkilötietojen käsittelyä myöhempiin tarkoituksiin voidaan pitää yhteensopivana henkilötietojen alkuperäisen käyttötarkoituksen kanssa.

Rekisterinpitäjä ja henkilötietojen käsittelijä (IV luku, 22—39 artiklat)

Asetuksen IV luku on kehittynyt valtioneuvoston toivomaan suuntaan. Valtioneuvosto katsoo, että tietosuojaviranomaisen ennakkokuulemisen sijaan myös ennakkohyväksyntä voisi tulla kyseeseen erittäin korkean riskin tilanteissa.

Yhdenmukaisuusmekanismi, yhden luukun periaate ja Euroopan tietosuojaneuvosto, VI—VIII luvut

Valtioneuvosto katsoo edelleen, että yhdenmukaisuusmekanismin luominen on lähtökohtaisesti kannatettavaa. Samalla on pyrittävä varmistamaan, että mekanismia voitaisiin käyttää ainoastaan joissakin, tietyn kynnyksen ylittävissä tapauksissa, jotta mekanismi voisi olla tehokas. Valtioneuvosto pitää tärkeänä, että luotavasta mekanismista tulee mahdollisimman selkeä ja toimiva sekä kansalaisten että yritysten näkökulmasta.

Jatkoneuvotteluissa on perusteltua tutkia tarkemmin myös neuvoston oikeuspalvelun esille nostamia vaihtoehtoja yhdenmukaisuusmekanismin toteuttamiselle, ml. mahdollisuus perustaa eurooppalainen toimija, tietosuojavirasto. Kaikissa vaihtoehdoissa tulee tarkoin selvittää myös niiden kustannukset.

Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset, (IX luku, 80—85 artiklat)

Valtioneuvosto katsoo, että IX lukuun voidaan lisätä säännökset henkilötietojen käsittelystä sosiaaliturvatarkoituksiin sekä henkilötunnuksen käsittelyä varten. Valtioneuvosto pitää tärkeänä, että asetuksen puitteissa on mahdollista käsitellä henkilötietoja arkistointia ja sukututkimusta varten. Jatkoneuvotteluissa tulee myös pyrkiä varmistamaan, että henkilötietojen käsittely tieteellistä tutkimusta varten ei tarpeettomasti hankaloidu.

Henkilötietojen siirto kolmansiin maihin, (V luku, 42(a)/43 artikla)

Valtioneuvosto ei vastusta Euroopan parlamentin mietinnössä ehdotetun kaltaisen säännöksen sisällyttämistä asetustekstiin.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Ehdotus yleiseksi tietosuoja-asetukseksi on osa käynnissä olevaa EU:n henkilötietosuojalainsäädännön uudistamista. Hallintovaliokunta on antanut säädöskokonaisuudesta aikaisemmin lausunnot HaVL 11/2012 vp ja HaVL 6/2013 vp. Tietosuoja-asetuksella on tarkoitus korvata nykyinen henkilötietodirektiivi (95/46/EY).

Käsiteltävässä U-jatkokirjelmässä annetaan tilannekatsaus yleisen tietosuoja-asetuksen valmistelutilanteesta ja täydennetään valtioneuvoston kantaa eräiltä osin. Erityisesti kirjelmässä käsitellään rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksia koskevaa IV lukua (22—39 artiklat), josta saatujen ennakkotietojen mukaan pyritään aikaansaamaan yleisnäkemys lokakuussa 2014 oikeus- ja sisäasioiden neuvostossa. Kirjelmässä käsitellään myös muita asetusehdotuksen lukuja.

Teknologian nopean kehityksen ja globalisaation myötä henkilötietoja kerätään nykyisin huomattavasti enemmän ja erilaisin tekniikoin kuin unionin voimassa olevan tietosuojasääntelyn antamisen aikaan. Valiokunta pitää tärkeänä uudistuksen tavoitteita ajanmukaistaa ja yhdenmukaistaa EU:n osittain hajanaista ja monimutkaista tietosuojasääntelyä, parantaa digitaalisten sisämarkkinoiden toimintaedellytyksiä sekä vahvistaa EU:n kansalaisten luottamusta sähköisiin palveluihin ja viranomaisten toimintaan. EU:n tietosuojalainsäädännön uudistaminen on merkittävä niin henkilötietojen suojan kuin myös eri viranomaisten ja yksityisen sektorin toimintaedellytysten kannalta.

Koska kyseessä on laaja kokonaisuus, on toisaalta ymmärrettävää, että on tarve ottaa kantaa tiettyihin osakysymyksiin ja linjauksiin, vaikka säädöspaketista vielä muilta osin neuvotellaan. Toisaalta asetuskokonaisuudesta tulee olla selkeä käsitys tehtäessä asiaa koskevia päätöksiä ja arvioitaessa uudistuksen mahdollisia vaikutuksia. Kaikenkattava arvio asetuksen vaikutuksista on valiokunnan käsityksen mukaan tehtävissä kuitenkin vasta siinä vaiheessa, kun lainsäädännön eri osien sisällöstä on riittävä varmuus.

Hallintovaliokunta korostaa, että Suomen yleisvarauma asetukseen tulee säilyttää, vaikka IV luvusta hyväksyttäisiin neuvoston osittainen yleisnäkemys. Valiokunta katsoo, että IV luvun hyväksymiselle tulee asettaa tiukat reunaehdot, joista tärkein on, ettei mistään ole sovittu ennen kuin kaikesta on sovittu. Asetustekstiin on voitava vielä palata, mikäli se neuvottelujen myöhemmässä vaiheessa osoittautuu tarpeelliseksi. Osittainen yleisnäkemys ei myöskään valtuuta puheenjohtajaa aloittamaan neuvotteluita Euroopan parlamentin kanssa.

Asetusehdotuksen IV luku rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksista

Hallintovaliokunta on aikaisemmissa lausunnoissaan kiinnittänyt huomiota muun muassa hallinnollisen taakan vähentämistavoitteeseen.

Asetusehdotus sisältää rekisterinpitäjille ja henkilötietojen käsittelijöille uusia velvollisuuksia. Toisaalta artikloihin, joista olisi seurannut rekisterinpitäjälle huomattavaa hallinnollista taakkaa, on neuvottelujen kuluessa tullut osin merkittäviäkin muutoksia. Esimerkiksi velvollisuus nimetä tietosuojavastaava, johon valiokunta on aiemmin kiinnittänyt huomiota, on asetusehdotuksen nykytekstin mukaan vapaaehtoista. Jotkut kansallisessa lainsäädännössä nykyisin olevat rekisterinpitäjän velvoitteet, joista seuraa hallinnollista taakkaa, näyttäisivät uudistuksen myötä kevenevän. Esimerkiksi osa rekisterinpitäjistä olisi vapautumassa velvoitteesta laatia rekisteriseloste. Myös rekisterinpitäjän velvollisuus hakea eräissä tilanteissa tietosuojalautakunnalta lupa henkilötietojen käsittelyyn olisi selvityksen mukaan kapenemassa tai poistumassa kokonaan.

Asetusehdotuksessa pyritään vähentämään hallinnollista taakkaa myös ns. riskipohjaisella lähestymistavalla. Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisen toiminnan ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa. Esimerkiksi asetusehdotuksen nykymuotoilussa lähdetään siitä, että velvollisuus ennakkokuulemiseen on sidottu henkilötietojen käsittelyyn sisältyvään korkeaan riskiin. Myös velvollisuus vaikutustenarviointiin on sidottu henkilötietojen käsittelyyn sisältyvään korkeaan riskiin. Valiokunta viittaa lausuntoonsa HaVL 6/2013 vp ja korostaa, että on tärkeää antaa selkeät kriteerit sen määrittelemiseksi, mikä on asetuksessa tarkoitettua korkean riskin toimintaa, ja huomioida myös viranomaistoiminnassa olevat erityispiirteet ja -tarpeet.

Asetusehdotuksen 23 artikla oletusarvoisesta tietosuojasta koskee rekisterinpitäjän suunnitteluvelvollisuutta. Järjestelmät, joissa henkilötietoja käsitellään, tulisi jo lähtökohtaisesti rakentaa siten, että henkilötietojen käsittely ei vaaranna rekisteröityjen yksityisyyden suojaa. Rekisteröidyn oikeuksia ja yksityisyyttä on tarpeen suojata myös henkilötietojen käsittelyn huolellisella ennakkosuunnittelulla.

Valiokunnan näkemyksen mukaan asetuksen IV luku on kokonaisuutena arvioiden kehittynyt Suomen toivomaan suuntaan. Käytettävissä olevan tiedon valossa asetuksen IV luvussa voidaan katsoa olevan kohtuullinen tasapaino rekisteröityjen ihmisten henkilötietojen suojan ja rekisterinpitäjille tästä johtuvien velvollisuuksien kesken. Valiokunta kuitenkin edelleen tähdentää sen tärkeyttä, että asetusehdotuksessa pyritään sellaisiin ratkaisuihin, jotka vähentävät yritysten ja viranomaisten tarpeetonta hallinnollista taakkaa ja pitävät sääntelyn noudattamisen kokonaiskustannukset kohtuullisina siten, että samalla säilytetään tietosuojan korkea taso. Valiokunta viittaa myös edellä Yleistä-jaksossa toteamaansa, että asetustekstiin on voitava vielä palata, mikäli se neuvottelujen myöhemmässä vaiheessa osoittautuu tarpeelliseksi.

Asetusehdotuksen II luku henkilötietojen käsittelyn periaatteista

Asetusehdotuksen II lukuun sisältyvä 6 artikla sisältää säännökset niistä perusteista, joilla henkilötietoja voidaan käsitellä lainmukaisesti. Komission ehdotuksen mukaan henkilötietojen käsittely olisi sallittua pääosin samoin perustein kuin nykyisen henkilötietodirektiivin mukaan. Henkilötietoja voidaan ehdotuksen mukaan käsitellä mm. rekisteröidyn suostumuksella tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, taikka jos käsittely on tarpeen rekisteröidyn elintärkeiden etujen turvaamiseksi. Henkilötietojen käsittely olisi myös sallittua, jos se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Henkilötietojen käsittely olisi lainmukaista myös, jos se on tarpeen rekisterinpitäjän tai tiedot saavan rekisterinpitäjän oikeutetun edun toteuttamiseksi. Poikkeuksena tästä ovat tämän intressin syrjäyttävät rekisteröidyn henkilötietojen suojaa tarvitsevat edut tai perusoikeudet, erityisesti, jos rekisteröity on lapsi. Tätä perustetta ei kuitenkaan sovelleta viranomaisten tehtäviensä yhteydessä suorittamaan henkilötietojen käsittelyyn.

Komission ehdotuksessa 6 artiklan toisen kohdan mukaan henkilötietojen käsittely, joka on tarpeen historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten, olisi lainmukaista, jos em. tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevassa 83 artiklassa tarkoitettuja edellytyksiä ja takeita on noudatettu. Selvityksen mukaan tämä kohta on poistettu neuvotteluiden aikana. Lisäksi 6 artiklaan on lisätty 3(a) kohta, jossa tarkennetaan niitä reunaehtoja, joiden perusteella henkilötietojen jatkokäsittelyä voidaan pitää yhteensopivana henkilötietojen alkuperäisen käyttötarkoituksen kanssa.

Valiokunta toteaa, että henkilötietojen käsittely tieteellistä, tilastollista ja historiallista tutkimusta varten on katettu varsin yksityiskohtaisesti asetusehdotuksen IX lukuun sisältyvissä 83 (a)—83 (d) artikloissa. Asetusehdotuksen 6 artiklan toisen kohdan palauttaminen 6 artiklaan voisi kuitenkin selkeyttää sääntelyä soveltajan näkökulmasta.

Asetusehdotuksen IX luku tietojen käsittelyyn liittyvistä erityistilanteista

Asetusehdotuksen IX lukuun on tehty neuvotteluissa huomattavia muutoksia, joiden taustalla on ollut erityisesti jäsenvaltioiden halu varmistaa julkisen sektorin erityistarpeiden huomioon ottaminen.

Mainittuun IX lukuun on lisätty asiakirjajulkisuutta koskeva 80 (a) artikla, joka Suomen tavoitteiden mukaisesti mahdollistaa henkilötietojen luovuttamisen kansallisen asiakirjajulkisuutta koskevan lainsäädännön perusteella. Työelämän tietosuojaa koskeva 82 artikla mahdollistaa kansallisten erityissäännösten antamisen tällä alalla. Lukuun on myös lisätty 82 (a) artikla henkilötietojen käsittelystä sosiaaliturvaa koskevia tarkoituksia varten sekä henkilötunnuksen käsittelyä koskeva 80 (b) artikla.

Selvityksen mukaan terveyttä koskevien henkilötietojen käsittelyä koskevasta 81 artiklasta käytävän keskustelun yhteydessä Suomi on neuvotteluissa kiinnittänyt huomiota siihen, että vakuutusyhtiöiden mahdollisuutta käsitellä terveyttä koskevia henkilötietoja ei tulisi kaventaa nykyiseen verrattuna.

Asetuksen 83 artiklassa säädettäisiin niistä edellytyksistä, joilla henkilötietoja voidaan käsitellä historiantutkimusta taikka tilastollisia tai tieteellisiä tutkimustarkoituksia varten. Valtioneuvoston arvion mukaan komission asetusehdotus jätti jossain määrin epäselväksi, mahdollistaisiko asetus henkilötietojen käsittelyn nykyisellä tavalla myös arkistoinnin ja sukututkimuksen yhteydessä. Kyseinen artikla on neuvotteluissa jaettu neljään erilliseen artiklaan, jotka koskevat tieteellistä tutkimusta, tilastollisia tarkoituksia, historiallista tutkimusta ja arkistointitarkoituksia. Selvityksen mukaan Suomi on kiinnittänyt työryhmässä käydyissä neuvotteluissa huomiota siihen, että tilastollisia tarkoituksia koskeva artikla on muotoiltu liian kapeasti. Tätä on pidetty neuvotteluissa tarpeellisena, jotta henkilötietojen käsittelyn sääntelyssä voidaan ottaa huomioon em. alojen erityispiirteet.

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty erityisesti siihen, miten Suomen työelämän tietosuojasääntely istuu ehdotettuun kokonaisuuteen ja miten työelämän erityispiirteet tulevat asetusehdotuksessa huomioon otetuiksi. Yksi tällainen kysymys liittyy palkkatilastoihin, joita Suomessa tuottavat työnantajajärjestöt. Elinkeinoelämän keskusliiton tuottaman palkkatilastoinnin pohjalta laaditaan selvityksiä ja laskelmia, joita hyödynnetään työmarkkinajärjestöjen välisissä työehtosopimusneuvotteluissa sekä ansiokehityksen seurannassa eri aloilla ja henkilöstöryhmissä. Elinkeinoelämän keskusliitto luovuttaa keräämänsä palkkatilastoaineiston myös Tilastokeskukselle, joka käyttää aineistoa sen julkaiseman virallisen palkkatilaston osana.

Saadun selvityksen mukaan Suomi on keväästä 2014 alkaen toiminut neuvotteluissa aktiivisesti sen puolesta, että tilastollisia tarkoituksia koskevan artiklan soveltamisalasta ei muodostuisi liian kapeaa ja että sitä ei rajoitettaisi koskemaan ainoastaan julkisia viranomaisia ja virallisia tilastoja (public authority and official statistics). Valiokunnan saaman tiedon mukaan kyseistä 83 (b) artiklaa on käsitelty viimeksi neuvoston työryhmässä 1.10.2014, jolloin artiklan soveltamisalasta oli poistettuna viittaus termeihin public authority ja official statistics. Oikeusministeriöstä saadun arvion mukaan tämä artiklan muotoilu voisi mahdollistaa palkkatilastoinnin jatkumisen Suomessa. Hallintovaliokunta kuitenkin katsoo, että neuvotteluissa tulee näkyvästi tuoda esille palkkatilastointiin liittyvät kysymykset. Neuvotteluissa tulee varmistaa, ettei ehdotus merkitse sääntelyn kiristymistä niin, että nykyisenkaltainen palkkatilastointi kävisi mahdottomaksi.

Valiokunnan huomiota on kiinnitetty myös 81 artiklaan, joka sisältää mm. terveydentilatietojen käsittelyä koskevia määräyksiä. Saadun selvityksen mukaan työehtosopimuksissa sovittujen sairausajan palkkojen maksaminen edellyttää, että työnantaja saa luotettavan tiedon työntekijän sairauspoissaolon perusteesta. Valiokunta katsoo, että määräyksiä on syytä selvittää myös tältä osin.

Lopuksi hallintovaliokunta toteaa, että EU:n tasolla on myös muita tietosuojaan ja tietoturvaan liittyviä strategioita ja säädöshankkeita. Näiden eri asiakirjojen ja hankkeiden yhteensovittamiseen tulee kiinnittää erityistä huomiota päällekkäisyyksien ja hallinnollisen taakan kasvun vähentämiseksi. Lisäksi, koska tietosuoja-asetus on horisontaalista, suoraan sovellettavaa oikeutta, on tärkeää, että valmistelua koordinoidaan sekä EU- että kansallisella tasolla riittävästi ja että eri alojen erityispiirteet pyritään ottamaan mahdollisimman hyvin huomioon.

Lausunto

Lausuntonaan hallintovaliokunta ilmoittaa,

että se yhtyy asiassa edellä esitetyin täsmennyksin ja täydennyksin valtioneuvoston kantaan.

Helsingissä 8 päivänä lokakuuta 2014

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Pirkko Mattila /ps
  • vpj. Mika Kari /sd
  • jäs. Maarit Feldt-Ranta /sd
  • Rakel Hiltunen /sd
  • Reijo Hongisto /ps
  • Risto Kalliorinne /vas
  • Elsi Katainen /kesk
  • Antti Lindtman /sd
  • Markus Lohi /kesk
  • Mika Raatikainen /ps
  • Ulla-Maj Wideroos /r
  • vjäs. Lasse Hautala /kesk
  • Arja Juvonen /ps
  • Mikael Palola /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne