1.1
Uusi tietosuojalainsäädäntö
Euroopan parlamentti ja neuvosto antoivat keväällä 2016 Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä tietosuoja-asetus). Asetuksella kumottava EU:n henkilötietodirektiivi 95/46/EY on Suomessa pantu täytäntöön henkilötietolailla (523/1999). Tietosuoja-asetus tuli jäsenvaltioissa suoraan sovellettavaksi 25 päivänä toukokuuta 2018. Asetus jättää jäsenvaltioiden lainsäätäjille kansallista, asetuksen säännöksiä täsmentävää ja täydentävää liikkumavaraa.
Tietosuojalailla (HE 9/2018 vp) täydennetään ja täsmennetään tietosuoja-asetusta. Samalla voimassa oleva henkilötietolaki (523/1999) tullaan kumoamaan. Tietosuojalaki on kansallinen henkilötietojen käsittelyyn sovellettava yleislaki, jota sovelletaan rinnakkain tietosuoja-asetuksen kanssa. Tietosuojalain sääntelystä voitaisiin erityislainsäädännössä poiketa, jos poikkeaminen on mahdollista tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa. Tietosuojalaissa säädetään henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista.
Kirkkolaissa on henkilötietojen käsittelyä ja henkilörekistereitä koskevia säännöksiä. Kirkkolain voimassa olevat säännökset on todettu valtioneuvoston kanslian kesäkuussa 2017 julkaistun tietosuojasäädösten muutostarvetta koskeneen selvityksen mukaan yleisen tietosuoja-asetuksen mukaisiksi (Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 41/2017). Lisäksi seurakuntavaaleihin liittyviä henkilötietojen käsittelyä koskevia säännöksiä on täsmennetty tietosuoja-asetus huomioon ottaen kirkkolain muutoksella (209/2018). Kirkkolaissa viitataan kolmesti henkilötietolakiin, joka ehdotetaan kumottavaksi. Tämä aiheuttaa muutostarpeen kyseisiin kirkkolain säännöksiin.
Kirkkolain 16 luvun 14 §:n 1 momentin mukaan kirkkolaissa tarkoitettujen henkilötietojen käsittelystä säädetään lisäksi henkilötietolaissa, viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009, jäljempänä nykyinen väestötietolaki). Kun jäsentietojärjestelmän tietoja käytetään seurakunnan tai seurakuntayhtymän omassa toiminnassa, tietojen käsittelyyn sovelletaan kirkkolain lisäksi henkilötietolakia ja viranomaisten toiminnan julkisuudesta annettua lakia. Kun seurakunta tai seurakuntayhtymä luovuttaa jäsentietojärjestelmästä sivullisille sellaisia tietoja, jotka ovat myös väestötietojärjestelmän tietoja, sovelletaan nykyistä väestötietolakia. Nykyisestä väestötietolaista ilmenee, millaisia väestötietojärjestelmään merkittyjä tietoja seurakunnilla on oikeus luovuttaa jäsenistään. Sellaisten kirkonkirjoissa olevien tietojen luovuttamiseen, jotka eivät ole väestötietoja, sovelletaan voimassa olevan säännöksen mukaan henkilötietolakia ja viranomaisten toiminnan julkisuudesta annettua lakia.
Henkilötietolain kumoutuessa henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa sekä tietosuojalaissa. Kirkkolain 16 luvun 14 §:n 1 momenttia ehdotetaan muutettavaksi siten, että viittaus henkilötietolakiin muutetaan viittaukseksi tietosuoja-asetukseen sekä tietosuojalakiin. Ehdotetun tietosuojalain mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovellettaisiin viranomaisten toiminnan julkisuudesta annettua lakia. Viittaus viranomaisten toiminnan julkisuudesta annettuun lakiin on siten tässä kohtaa lähinnä informatiivinen.
Kirkkolain 24 luvun 3 §:n 4 momentissa säädetään oikaisuvaatimuksen tekemisestä kirkonkirjoihin sisältyvien tietojen osalta. Sen mukaan kirkonkirjoihin sisältyvien väestötietojen oikaisuun sovelletaan nykyistä väestötietolakia. Jäsenrekisterissä olevien muiden kuin väestötietojen oikaisuun sovelletaan puolestaan henkilötietolakia. Oikaisuvaatimusta kirkonkirjoihin sisältyvien ennen 1 päivänä lokakuuta 1999 talletettujen väestötietojen oikaisun osalta ei käsitellä lopullisesti seurakunnan toimielimessä, jos toimielin ei voisi hyväksyä kirkkoherran tai rekisterijohtajan päätöksestä tehtyä oikaisuvaatimusta. Yhteisen kirkkoneuvoston tai kirkkoneuvoston tulee tällöin saattaa asia nykyisen väestötietolain 80 §:n 8 kohdan mukaisesti maistraatin käsiteltäväksi kahden viikon kuluessa oikaisuvaatimuksen saapumisesta. Jos väestötieto on talletettu jäsenrekisteriin 1 päivänä lokakuuta 1999 tai myöhemmin, väestötiedon korjaaminen kuuluu nykyisen väestötietolain 75 §:n mukaisesti henkilön kotikunnan maistraatille. Myös oikaisuvaatimukseen rekisterinpitäjän päätöksestä ja mahdolliseen muutoksenhakuun oikaisuvaatimuksesta tehtyyn päätökseen sovelletaan siten nykyistä väestötietolakia.
Tietosuoja-asetuksen 77 artiklan mukaan jokaisella rekisteröidyllä on oikeus tehdä valitus asetuksen mukaiselle valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakituinen asuinpaikkansa tai työpaikkansa on tai jossa väitetty rikkomus on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan kyseistä asetusta. Säännös ei kuitenkaan rajoita muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja, joten asetuksen oikeussuojakeino on rinnakkainen keino muulle hallinnolliselle oikeussuojalle. Ehdotetun tietosuojalain mukaan valvontaviranomaisena toimisi tietosuojavaltuutettu. Säännökset koskisivat myös seurakuntien, seurakuntayhtymien ja kirkon viranomaisten ylläpitämiä henkilörekistereitä.
Kirkkolain nykyinen viittaus henkilötietolakiin on tarkoittanut sitä, että henkilötietolain 29 §:n mukaan kirkonkirjojen tietojen korjaamista koskeva asia on voitu saattaa tietosuojavaltuutetun käsiteltäväksi. Kirkon viranomaiset ylläpitävät kuitenkin myös muita henkilörekistereitä, joiden tietoja koskevaan kirkon viranomaisen päätöksentekoon sovelletaan kirkkolain mukaisia muutoksenhakukeinoja. Henkilötietolain kumoutuessa kirkkolain 24 luvun 3 §:n 4 momentti ehdotetaan muutettavaksi siten, että siinä säädettäisiin muutoksenhausta ainoastaan kirkonkirjojen sisältämien väestötietojen osalta. Kyseessä olisi siten poikkeusäännös kirkkolain mukaisesta muutoksenhausta. Kirkonkirjojen muita henkilötietoja koskeviin päätöksiin haettaisiin muutosta kirkkolain 24 luvun mukaisilla oikeussuojakeinoilla. Lisäksi 16 luvun 14 §:n 1 momentin nojalla olisi käytettävissä tietosuoja-asetuksessa ja tietosuojalaissa säädetty rinnakkainen oikeussuojakeino.
Kirkkolain 25 luvun 8 a §:n 3 momentti koskee äänioikeutettujen luettelon julkisuutta ja siinä olevien tietojen käsittelyä. Säännöksen mukaan äänioikeutettujen luettelon julkisuudesta ja käsittelystä on muutoin voimassa, mitä viranomaisten toiminnan julkisuudesta annetussa laissa ja henkilötietolaissa säädetään. Henkilötietolain kumoutuessa viittaussäännöstä ehdotetaan muutettavaksi siten, että henkilötietolain sijasta viitataan yleiseen tietosuoja-asetukseen ja ehdotettuun tietosuojalakiin.
1.2
Laki digitaalisten palvelujen tarjoamisesta
Yhdenvertaisuuteen ja sen edistämiseen liittyvistä velvollisuuksista on säännökset muun muassa Yhdistyneiden Kansakuntien kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen 26 artiklassa ja Euroopan ihmisoikeussopimuksen 14 artiklassa. Vammaisten henkilöiden oikeuksista tehdyn yleissopimuksen ja sen valinnaisen pöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta annetun lain (373/2015) ja sen nojalla annetun asetuksen (398/2016) perusteella Yhdistyneiden Kansakuntien yleissopimus vammaisten henkilöiden oikeuksista tuli Suomessa voimaan kesäkuussa 2016. Euroopan parlamentin ja neuvoston direktiivin julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuudesta 2016/2102/EU (jäljempänä saavutettavuusdirektiivi) tavoitteena on edistää saavutettavuutta sisämarkkinoilla yhdenmukaistamalla julkisen sektorin elinten verkkosivustojen ja mobiilisovellusten saavutettavuusvaatimuksia. Tavoitteena on myös parantaa julkisen sektorin elinten palvelujen ja mobiilisovellusten saavutettavuutta käyttäjien, erityisesti vammaisten henkilöiden parissa. Saavutettavuusdirektiivin organisatorisena soveltamisalana on julkisen sektorin elimet, joilla tarkoitetaan muun muassa valtion viranomaisia, alue- ja paikallisviranomaisia sekä julkisoikeudellisia laitoksia.
Saavutettavuusdirektiivissä saavutettavuudella tarkoitetaan periaatteita ja tekniikoita, joita on noudatettava verkkosivustojen ja mobiilisovellusten sekä niissä esitettävän sisällön suunnittelussa, kehittämisessä, ylläpidossa ja päivittämisessä, jotta ne olisivat paremmin käyttäjien, erityisesti vammaisten henkilöiden, saavutettavissa. Käytännössä esimerkiksi verkkosivustojen sisältö on suunniteltava siten, että kaikki käyttäjäryhmät voivat käyttää sivustoa ilman lisälaitteita tai avustavien laitteiden kanssa. Saavutettavuusvaatimukset on tarkoitettu teknologiariippumattomiksi. Saavutettavuuden neljä periaatetta ovat: havaittavuus, hallittavuus, ymmärrettävyys ja toimintavarmuus. Saavutettavuusdirektiivi on saatettava kansallisesti voimaan viimeistään 23 päivänä syyskuuta 2018.
Lailla digitaalisten palvelujen tarjoamisesta (HE 60/2018 vp) pannaan kansallisesti täytäntöön saavutettavuusdirektiivi. Laki koskee paitsi digitaalisten palvelujen savutettavuutta myös muita digitaalisten palvelujen tarjoamiseen liittyviä erityisiä velvollisuuksia, jotka koskevat viranomaisia. Samalla sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) sellaiset säännökset, jotka ovat rinnakkaisia ehdotettavan uuden lain kanssa, kumoutuvat.
Lailla digitaalisten palvelujen tarjoamisesta pyritään edistämään jokaisen mahdollisuuksia käyttää yhdenvertaisesti digitaalisia palveluja parantamalla niiden saatavuutta, tietoturvallisuutta, laatua ja sisällön saavutettavuutta. Sen tavoitteena on edistää YK:n vammaissopimuksesta johtuvien velvoitteiden toteutumista sekä jokaisen mahdollisuuksia toimia tietoverkossa erilaisia digitaalisia palveluja käyttäessä. Tavoitteena on parantaa digitaalisten palvelujen laatua sekä lisätä tällä tavalla digitaalisten palvelujen käyttöä erityisesti julkisella sektorilla.
Digitaalisella palvelulla tarkoitetaan verkkosivustoa ja mobiilisovellusta. Laissa säädetään keinoista, joilla digitaalisten palvelujen saavutettavuutta edistetään, sekä saavutettavuusvaatimusten yleisistä perusteista, saavutettavuusselosteesta, valvontaviranomaisesta ja sen tehtävistä sekä verkkosivustojen ja mobiilisovellusten käyttäjien oikeuksien toteuttamisesta. Laissa säädetään myös saavutettavuusdirektiivin mukaisista siirtymäajoista.
Lakia digitaalisten palvelujen tarjoamisesta sovelletaan muun muassa viranomaisen ja julkisoikeudellisen laitoksen digitaalisiin palveluihin. Lain 2 lukua sovelletaan vain viranomaisiin ja julkista hallintotehtävää hoitaviin siltä osin kuin tehtävän hoitamisen yhteydessä tarjotaan digitaalisia palveluja. Lain 2 luvun säännökset koskisivat hallinnon asiakkaille tarjottavia digitaalisia palveluja, mutta 2 luvun sääntelyn ulkopuolelle jäävät hallinnon sisäiset digitaaliset palvelut. Perustuslain 76 §:n 1 momentin mukaan evankelis-luterilaisen kirkon järjestysmuodosta ja hallinnosta säädetään kirkkolaissa. Koska laissa digitaalisten palvelujen tarjoamisesta säädetään palvelun tarjoamista koskevista menettelyllistä seikoista, kuuluu asiasta säätäminen kirkkolain alaan. Koska jo saavutettavuusdirektiivin soveltamisala on määritelty koskemaan julkisen sektorin elimiä, voidaan edellyttää kansallisen sääntelyn koskevan myös evankelis-luterilaista kirkkoa. Kirkko ja seurakunnat kuuluvat julkishallintoon ja käyttävät julkista valtaa. Siten on perusteltua, että laki digitaalisten palvelujen tarjoamisesta koskee sellaisenaan myös kirkkoa ja sen seurakuntia. Lain omaksuminen on perusteltua myös kirkon omasta arvoperustasta käsin, ja se vastaa kirkon saavutettavuusohjelmaa.
Esityksessä ehdotetaan, että laki digitaalisten palvelujen tarjoamisesta saatettaisiin koskemaan sellaisenaan evankelis-luterilaista kirkkoa ja sen seurakuntia kirkkolain säätämisjärjestyksessä kirkkolain 25 lukuun otettavalla uudella 5 b §:n viittaussäännöksellä. Digitaalisilla palveluilla tarkoitettaisiin sekä verkkosivuja että mobiilisovelluksia. Viittaussäännöksen yhteydessä säädettäisiin kuitenkin lain soveltamisalaa koskevasta rajauksesta, joka perustuu saavutettavuusdirektiivissä olevaan liikkumavaraan.
Ehdotetun digitaalisten palvelujen tarjoamisesta koskevan lain 3 §:n 3 momentissa säädetään lain soveltamisalaa koskevista rajauksista, jotka perustuisivat saavutettavuusdirektiivissä olevaan liikkumavaraan. Säännöksen 2 kohdan mukaan lakia ei muun muassa sovellettaisi varhaiskasvatuslain (36/1973) mukaisessa varhaiskasvatuksessa, kun verkkosivusto tai mobiilisovellus tuotetaan varhaiskasvatuksen yhteydessä ja sen käyttö tapahtuu rajatussa ryhmässä määräaikaisesti. Lakiin digitaalisten palvelujen tarjoamisesta otettujen rajoitussäännösten lisäksi yksinomaan kirkon hallintoa ja toimintaa koskevista vastaavista rajauksista olisi säädettävä kirkkolaissa. Saavutettavuusdirektiivin 1 artiklan 5 kohdan mukaan jäsenvaltiot voivat jättää direktiivin soveltamisalan ulkopuolelle koulujen ja päiväkotien verkkosivustot ja mobiilisovellukset lukuun ottamatta niiden sisältöä, joka liittyy olennaisiin hallinnollisiin tehtäviin verkossa. Rippikouluopetuksen sekä seurakuntien varhaiskasvatuksen voidaan katsoa sisältyvän säännöksen mukaiseen liikkumavaraan. Vaikka seurakuntien varhaiskasvatuksessa noudatetaan varhaiskasvatuslain linjauksia, se ei kuitenkaan kuulu kyseisen lain soveltamisalaan. Seurakuntien toteuttamaa varhaiskasvatusta koskevasta lain soveltamisen rajauksesta on siten säädettävä kirkkolaissa.
Viittaussäännökseen ehdotetaan otettavaksi lain soveltamisalaa koskeva säännös, jonka tarkoituksena on rajata ulkopuolelle ne digitaaliset palvelut, jotka suunnitellaan ja toteutetaan rippikouluopetuksen tai seurakuntien toteuttaman varhaiskasvatuksen yhteydessä rajatussa ryhmässä määräaikaisesti tai kokeiluluontoisesti. Jos opetuksen yhteydessä tuotettu palvelu otetaan pysyväisluontoiseen käyttöön, tulisi kuitenkin huolehtia digitaalisten palvelujen savutettavuuden toteutumisesta. Säännös vastaisi ehdotetun digitaalisten palvelujen tarjoamisesta annettavan lain 3 §:n 3 momentin 2 kohtaa. Käytännössä lain soveltamisalan ulkopuolelle rajautuisivat ne digitaaliset palvelut, jotka suunnitellaan ja toteutetaan rippikouluopetuksen tai varhaiskasvatuksen yhteydessä rippikoulu- tai varhaiskasvatusryhmän sisällä määräaikaisesti tai kokeiluluontoisesti. Siten lain soveltamisalan ulkopuolelle rajautuisivat oppilaiden suunnittelemat ja toteuttamat digitaaliset palvelut sekä opetuksessa käytettävät rippikoulu- tai varhaiskasvatusryhmän opetuksessa käytettävät seurakunnan henkilöstön luomat digitaaliset palvelut. Tällöinkin on kuitenkin otettava tarvittaessa huomioon yhdenvertaisuuslaista (1325/2014) tulevat velvoitteet kohtuullisista mukautuksista.