2.1
2.1 Väärinkäytöstietojen käsittelyoikeudet
Esityksen tavoitteena on varmistaa teleyrityksen edellytykset käsitellä teleyritykseen, sen asiakkaisiin tai muihin teleyrityksiin kohdistuvien vahinkojen ehkäisemiseksi välttämättömiä tietoja teleyrityksen liiketoimintaan kohdistuvista rikoksista ja identiteettivarkauksista. Esityksellä pyritään varmistamaan, että teleyrityksillä on riittävät mahdollisuudet turvautua väärinkäytöksiä vastaan myös tietosuojalautakunnan myöntämien käsittelylupien lakattua tietosuoja-asetuksen voimaantulon myötä ja rajata käsittelyoikeus tietosuoja-asetuksen edellyttämällä tavalla. Tämän vuoksi esityksessä ehdotetaan tietoyhteiskuntakaareen sisällytettäväksi säännös teleyrityksen oikeudesta käsitellä tiettyihin rikoksiin liittyviä erikseen määriteltyjä henkilötietoja.
Tietosuojalautakunta on voinut antaa luvan henkilötietojen käsittelyyn oikeutetun edun perusteella. Jatkossa tällaisia lupia ei myönnetä. Henkilötietojen käsittelyyn rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi sovelletaan tietosuoja-asetuksen tultua voimaan sen 6 artiklan 1 kohdan f alakohdan mukaista käsittelyperustetta. Kyseistä käsittelyperustetta ei voida tarkentaa kansallisessa lainsäädännössä mainitun 6 artiklan 2 kohta huomioon ottaen. Tämän johdosta tietosuojalautakunnan teleyrityksille myöntämiä käsittelyoikeuksia ei ole tarkoituksenmukaista tai mahdollista viedä saman sisältöisinä kansalliseen lainsäädäntöön. Esitys koskee siten vain esityksessä rajattuja väärinkäytöstietoja. Siten maksuhäiriötietoja koskeva henkilötietojen käsittely jää tämän esityksen ulkopuolelle.
Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelystä säädetään tietosuoja-asetuksen 10 artiklassa, jota sovelletaan 25 toukokuuta 2018 alkaen. Näiden tietojen käsittely on sallittua, kun on olemassa tietosuoja-asetuksen 6 artiklan 1 kohdan mukainen käsittelyperuste ja tämä käsittely tehdään viranomaisen valvonnassa tai kansallisessa lainsäädännössä on säädetty käsittelystä ja asianmukaisista suojatoimista. Tämän perusteella kansallisessa laissa voidaan säätää rikostuomioihin liittyvien henkilötietojen käsittelystä, mutta se edellyttää asianmukaisista suojatoimista säätämistä rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.
Tämä tarkoittaa sitä, että jäisi aina teleyrityksen arvioitavaksi, onko käsillä tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukainen oikeutettu etu, ja kansallinen sääntely on rajattava koskemaan tietosuoja-asetuksen 10 artiklassa tarkoitettuja tietoja. Tämän lisäksi teleyrityksen on arvioitava, että rekisteröidyn edut ja perusoikeudet eivät syrjäytä viitattua oikeutettua etua. Esityksen mukainen henkilötietojen käsittely koskisi siis vain sellaisia esityksen mukaisesti rajattuja tietoja, joita käsitellään mainitun oikeutetun edun toteuttamiseksi.
Esityksen mukaiset käsittelyoikeudet mahdollistaisivat esityksen mukaisesti rajattujen tietojen luovuttamisen teleyritysten välillä. Tietojen luovuttaminen on mahdollista toteuttaa teleyritysten yhteisen rekisterin avulla tai muulla menettelyllä silloin, kun tässä esityksessä, tietosuoja-asetuksessa ja valmisteltavana olevassa tietosuojalaissa (HE 9/2018 vp) asetut vaatimukset käsittelylle täyttyvät.
Tietosuoja-asetusta täsmentävästä ja täydentävästä tietosuojalaista annetun hallituksen esityksen HE 9/2018 vp mukaan tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Tämän esityksen mukainen sektorikohtainen lainsäädäntö täydentäisi käsittelyoikeuksia siten, että teleyrityksellä olisi oikeus käsitellä oikeutettujen etujen toteuttamiseksi teleyritykseen, sen asiakkaisiin tai muihin teleyrityksiin kohdistuvien vahinkojen ehkäisemiseksi välttämättömiä tietoja tietyistä rikostuomioista teleyritysten liiketoimintaan kohdistuneista rikoksista ja toisen henkilön identiteetin varastamisesta.
Tietosuoja-asetuksen 10 artiklassa tarkoitettujen tietojen käsittely edellyttää suojatoimista säätämistä rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tämän esityksen mukaisia suojatoimia ovat käsiteltävien tietojen rajaaminen laissa tarkkarajaisesti määriteltyihin käsittelyn tarkoituksen kannalta välttämättömiin tietoihin ja tietojen säilyttämisaikojen rajoittaminen. Käsiteltävät tiedot rajattaisiin tiettyihin tuomioistuimen antamiin rikostuomioihin, joissa on kyse teleyrityksen liiketoimintaan kohdistuneista rikoksista tai identiteettivarkaudesta. Lisäksi esityksessä ehdotetaan, että sovellettavaksi tulevat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi, joista on ehdotettu säädettävän tietosuojalain 6 §:n 2 momentissa.
Käsittelyoikeudet rajattaisiin vain siihen, mikä on välttämätöntä vahinkojen ehkäisemiseksi teleyritykselle, sen asiakkaille tai toisille teleyrityksille. Esityksen mukaan teleyritysten oikeus käsitellä rikoksia koskevia tietoja rajattaisiin siten vain niihin tietoihin, jotka liittyvät rikostuomioihin petoksesta, törkeästä petoksesta, maksuvälinepetoksista, identiteettivarkaudesta, velallisen epärehellisyydestä, törkeästä velallisen epärehellisyydestä, velallisen petoksesta tai törkeästä velallisen petoksesta. Tällä tarkoitetaan rikoksia, joista säädetään rikoslain (39/1889) 36, 37, 38 ja 39 luvussa. Ehdotuksen mukainen käsittelyoikeus on lisäksi rajattu vahinkojen ehkäisemiseksi välttämättömiin tietoihin ja erikseen määriteltyihin tietokategorioihin mainittujen rikosten osalta. Tämä tarkoittaisi, että esityksen mukainen teleyrityksen oikeus luovuttaa tietoja toisille teleyrityksille rajattaisiin vain näihin tietoihin.
Esityksen mukaan tiedot väärinkäytöksistä tulisi poistaa teleyrityksen rekistereistä viimeistään viiden vuoden kuluttua merkinnän tekemisestä tai sitä aikaisemmin silloin, jos rikostuomio kumotaan tai puretaan. Jos tuomiota muutetaan muutoksenhaun tai oikaisun johdosta, tiedot tulee oikaista rekisterissä. Määräajan tarkoituksena on mahdollistaa tietojen käsittely sen ajan, kun se on välttämätöntä vahinkojen ehkäisemiseksi. Viiden vuoden enimmäissäilytysaika vastaa tietosuojalautakunnan myöntämien lupien mukaista enimmäissäilytysaikaa. Viiden vuoden säilytysaika on myös linjassa rikosrekisterilain (770/1993) 10 §:n mukaisen rekisterimerkinnän lyhimmän säilytysajan kanssa. Valmistelussa ei ole ilmennyt perusteita lyhyemmälle säilytysajalle.
Lisäksi ehdotetaan, että edellä kuvattujen väärinkäytöstietojen käsittelyyn tulisivat sovellettavaksi ne suojatoimet, joista on ehdotettu säädettävän tietosuoja-asetusta täydentävässä kansallisessa lainsäädännössä. Tietosuojalakia koskevan ehdotuksen (HE 9/2018 vp) 6 §:n 2 momentissa säädettäisiin asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, joita rekisterinpitäjän ja henkilötietojen käsittelijän tulisi toteuttaa käsiteltäessä erityisiä henkilötietoryhmiä sekä rikoksia ja rikkomuksia koskevia tietoja. Yhdenmukaisten toimenpiteiden soveltaminen on tarkoituksenmukainen ratkaisu käsiteltäessä rikoksia koskevia tietoja myös tämän esityksen mukaisesti sektorikohtaisen erityislainsäädännön nojalla.
Näiden suojatoimien lisäksi teleyrityksen käsitellessä henkilötietoja sovellettavaksi tulevat kaikki ne kattavat suojatoimenpiteet, joita sovelletaan suoraan tietosuoja-asetuksen nojalla. Tietosuoja-asetus sisältää merkittävän määrän yksityiskohtaista sääntelyä, jonka tarkoituksena on suojata rekisteröidyn oikeuksia ja vapauksia. Henkilötietojen käsittelyn minimointiperiaatteen mukaisesti henkilötietojen tulee olla asianmukaisia ja käsittelyn tulee rajoittua siihen, mikä on tarpeen suhteessa niihin tarkoituksiin, joista varten tietoja käsitellään. Käyttötarkoitussidonnaisuuden periaatteen mukaisesti henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla. Täsmällisyysvaatimuksen mukaisesti henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Tietosuoja-asetuksen mukaiset suojatoimet pitävät sisällään muun muassa sen, että rekisteröidylle tulee ilmoittaa kirjallisesti väärinkäytöksiä koskevien tietojen käsittelystä ja tietosuoja-asetuksen mukaisista rekisteröidyn oikeuksista. Rekisteröidyn oikeuksiin kuuluu muun muassa oikeus siihen, että rekisterinpitäjä oikaisee virheelliset tiedot rekisterissä. Lisäksi rekisterinpitäjän on huolehdittava, että asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi.
Suojatoimien kokonaisuus muodostuisi tietosuoja-asetuksen, esitetyn tietosuojalain ja tietoyhteiskuntakaareen ehdotettavan erityissääntelyn mukaisista toimenpiteistä. Tämä kokonaisuus pitää sisällään laajan ja merkittävän määrän erilaisia toimenpiteitä, joilla suojataan rekisteröidyn oikeuksia.
2.2
2.2. Matkapuhelinliittymien puhelinmarkkinoinnin kielto
Esityksessä ehdotetaan, että nykyistä puhelinmarkkinoinnin kieltoa jatketaan nykyisen kaltaisena kolmen vuoden määräajaksi 1 päivänä heinäkuuta 2021 asti.
Nykysäännöksen jatkamista uudella määräaikaisella kaudella pidetään perusteltuna, sillä suurin osa valmisteluun osallistuneista sidosryhmistä pitää kiellon jatkamista määräaikaisena edelleen toimivana ratkaisuna ehkäistä häiriöitä markkinoilla ja parantaa kuluttajien suojaa häiriöllisiltä markkinointimenettelyiltä.
Sääntelyn taustalla olevissa olosuhteissa ei ole havaittu sellaisia muutoksia, jotka osoittaisivat kiellon olevan jatkossa tarpeeton tai kohtuuton toimenpide. Numeronsiirtoprosessit ovat pysyneet samanlaisina kuin viimeksi sääntelyä uudistettaessa, joten mahdollisuus puhelinmarkkinoiden ylilyönteihin ja kuluttajien kannalta haitallisiin markkinointimenettelyihin on edelleen olemassa. Vaikka muiden myyntikanavien merkitys on kasvanut, pidetään puhelinmarkkinointikieltosääntelyn perusteluja edelleen ajantasaisina. Viestintäpalvelujen puhelinmarkkinointiin liittyvät erityiset haasteet kohdistuvat edelleen matkapuhelinliittymien puhelinmarkkinointiin. Voimassaolevan kiellon kaltaisen erityissääntelyn laajentamiselle muihin viestintäpalveluihin ei ole ilmennyt tarvetta.
EU:ssa valmistellaan parhaillaan sähköisen viestinnän tietosuojadirektiivin korvaamista sähköisen viestinnän tietosuoja-asetuksella, mikä tulisi vaikuttamaan komission ehdotuksen (COM/2017/010) mukaan puhelinmarkkinoinnin sääntelyyn yleisellä tasolla EU:ssa. On tarkoituksenmukaista, että matkapuhelinliittymien puhelinmarkkinointikieltosääntelyä arvioitaisiin uuden asetuksen ja sen toimeenpanon yhteydessä.