1
Lakiehdotusten perustelut
1.1
Laki Kilpailu- ja kuluttajavirastosta
1 luku Kilpailu- ja kuluttajavirastoa koskevat säännökset
7 a §.Rajoitus rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Lakiin ehdotetaan lisättäväksi uusi 7 a §, jossa säädettäisiin poikkeus tietosuoja-asetuksen 15 artiklassa säädettyyn rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin. Sen lisäksi, mitä tietosuojalain 34 §:n 1 momentissa säädetään, rekisteröidyllä ei olisi oikeutta tutustua hänestä kerättyihin Kilpailu- ja kuluttajaviraston rekisterissä oleviin tietoihin, joita virasto käsittelee sen hoitaessa kilpailulain, hankintalain tai erityisalojen hankintalain mukaisia valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi.
Kilpailu- ja kuluttajaviraston kilpailuvastuualue käsittelee henkilötietoja hoitaessaan lakisääteisiä valvontatehtäviään. Henkilötietoja käsitellään niin kilpailuvalvonnan, julkisten hankintojen valvonnan, yrityskauppavalvonnan kuin neutraliteettivalvonnankin yhteydessä. Tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden rajaaminen on tarpeen valvonnan yleisten toteuttamisedellytysten sekä yksittäisten valvontatoimien onnistumisen turvaamiseksi.
Ehdotetun tietosuojalain 34 §:n 1 momentissa säädettäisiin niistä tilanteista, joissa rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihin, joita hänestä on kerätty. Pykälän 2—4 momentissa säädettäisiin erityisistä toimenpiteistä, joita tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytetään, kun rekisteröidyn oikeuksia rajoitetaan artiklan 1 kohdan tarkoittamissa tilanteissa. Tietosuojalain 34 §:n 1 momentin 2 kohdan mukaan rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa silloin, jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa jonkun muun oikeuksille. Kohta soveltuu Kilpailu- ja kuluttajaviraston kilpailuvastuualueen valvontatehtäviin muun muassa tilanteessa, jossa rekisteröidyn oikeuden rajoittaminen perustuu tarpeelle suojata ilmiantajan anonymiteetti.
Edelleen ehdotetun tietosuojalain 34 §:n 1 momentin 3 kohdan mukaan rekisteröidyllä ei olisi tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua tietoihinsa silloin, jos rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai EU:n tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi. Kilpailu- ja kuluttajaviraston lakisääteisten valvontatehtävien ei voida täysin yksiselitteisesti tulkita sisältyvän tietosuojalain 34 §:n 1 momentin 3 kohdan piiriin, minkä vuoksi kansallisen liikkumavaran laajempi käyttö on välttämätöntä. Rekisteröidyn oikeuden rajoittaminen yksinomaan tietosuojalain 34 §:n 1 momentin 2 kohdassa säädetysti ei ole riittävä turvaamaan valvonnan tai sen tarkoituksen täysimääräistä toteutumista.
Kilpailu- ja kuluttajaviraston kilpailuvastuualueen valvontatehtävien tehokkuuden turvaamiseksi on välttämätöntä, että tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden suhde julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla salassa pidettäviin henkilötietoihin on lainsäädännössä ratkaistu yksiselitteisesti. Edellä mainitun julkisuuslain kohdan mukaan asiakirjat, jotka sisältävät tietoja viranomaisen tehtäväksi säädetystä tarkastuksesta tai muusta valvontatoimeen liittyvästä seikasta, ovat salassa pidettäviä, jos tiedon antaminen niistä vaarantaisi valvonnan tai sen tarkoituksen toteutumisen tai ilman painavaa syytä olisi omiaan aiheuttamaan vahinkoa asiaan osalliselle.
Viraston kilpailuvastuualueen lakisääteisten valvontatehtävien hoitaminen edellyttää tietosuojalain 34 §:ää laajempaa rekisteröidyn oikeuden rajoittamista. Rekisteröidyn tietosuoja-asetuksen 15 artiklassa säädetty oikeus vaarantaisi valvonnan tai sen tarkoituksen toteutumisen, jos rekisteröidyn oikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 15 kohdan nojalla. Esimerkkinä voidaan mainita yllätystarkastuksen valmistelu. Jos tutkinnan kohteena olevan elinkeinonharjoittajan työntekijä, joka on keskeisessä roolissa kilpailulain nojalla kielletyssä toiminnassa, voisi tässä vaiheessa tutkintaa käyttää tietosuoja-asetuksen 15 artiklan mukaista oikeuttaan, julkisuuslain 24 §:n 1 momentin 15 kohdassa ja vakiintuneessa oikeuskäytännössä vahvistettu tutkimusrauha vesittyisi ja tutkinnan onnistuminen vaarantuisi kestämättömällä tavalla. Oikeuden toteuttaminen tässä vaiheessa paljastaisi viraston kiinnostuksen kiellettyä menettelyä kohtaan tutkinnan kohteille tehden viraston jatkotoimet tehottomiksi. Valvonnan tai sen tarkoituksen toteutuminen edellyttää, ettei rekisteröidyn oikeus vaarantaisi julkisuuslain 24 §:n 1 momentin 15 kohdassa turvattuja ja vakiintuneessa oikeuskäytännössä vahvistettuja salassapitoperusteita tutkimusrauhasta, tutkinnallisista syistä ja anonymiteetista.
Julkisuuslain 24 §:n 1 momentin 15 kohta turvaa tarkastus- ja valvontatoiminnan tehokkuutta. Säännöksen tavoitteena on turvata sekä valvonnan yleisiä toteuttamisedellytyksiä että mahdollistaa myös yksittäisten valvontatoimien onnistuminen. Ehdotettu rekisteröidyn oikeuden rajoitus vastaisi julkisuuslain 24 §:n 1 momentin 15 kohdan soveltamisalaa. Rajoitus ei olisi pysyvä, vaan päättyisi, kun perustetta salassapidolle ei julkisuuslain edellä mainitun kohdan nojalla enää olisi. Säännökseen ehdotetaan rajoituksen oikeasuhtaisuuden turvaamiseksi otettavaksi viittaus julkisuuslain 24 §:n 1 momentin 15 kohtaan.
Rajoitus kohdistuisi tyypillisimmin valvontatoimen kohteena olevien tahojen edustajien tai työntekijöiden henkilötietoihin, kuten nimiin, yhteystietoihin ja koulutukseen sekä tietoihin työnantajasta, työtehtävistä, työhistoriasta ja asemasta. Rajaus kattaisi sekä oikeuden saada tietosuoja-asetuksen 15 artiklassa tarkoitetun vahvistuksen että oikeuden saada pääsy henkilötietoihin.
Ehdotettu rajoitus perustuisi tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohtaan. Tietosuoja-asetuksen 23 artiklan 1 kohdan e ja h alakohdan nojalla rekisteröidyn oikeuden soveltamisalaa voidaan rajoittaa, jotta voidaan taata jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. Kilpailu- ja kuluttajaviraston kilpailuvastuualueen lakisääteisissä valvontatehtävissä ja EU:n kilpailusääntöjen tehokkaan täytäntöönpanon turvaamisessa on kyse tietosuoja-asetuksen 23 artiklassa tarkoitetusta yleiseen julkiseen etuun liittyvästä tärkeästä tavoitteesta. Jos rekisteröidyn oikeutta ei näissä tilanteissa voitaisi rajoittaa, tulisivat Kilpailu- ja kuluttajaviraston toimintaedellytykset ja mahdollisuudet hoitaa täysimääräisesti ja tehokkaasti lakisääteisiä tehtäviään oleellisesti vaarantumaan.
Tietosuoja-asetuksen 23 artiklan 2 kohdan mukaan rekisteröityjen oikeuksia rajoitettaessa lainsäädäntötoimenpiteiden on sisällettävä tarpeen mukaan erityisiä säännöksiä. Tietosuoja-asetuksen 23 artiklan 2 kohdassa edellytettyinä suojatoimina sovellettaisiin tietosuojalain 34 §:n 2-4 momentissa säädettyjä suojatoimia. Rajoitusta koskevassa säännöksessä määriteltäisiin käsittelyn tarkoitus, rekisterinpitäjä ja rajoituksen soveltamisala. Rajoituksen perusteet ja sisältö annettaisiin tiedoksi rekisteröidylle tietosuoja-asetuksen 13 ja 14 artiklan edellyttämän informoinnin yhteydessä.
1.2
Laki majoitus- ja ravitsemistoiminnasta
1 §. Soveltamisala ja määritelmät. Pykälän 5 momentin viittaus henkilötietolakiin ehdotetaan poistettavaksi. Momenttiin ehdotetaan lisättäväksi informatiivinen viittaus tietosuoja-asetukseen ja tietosuojalakiin.
7 §.Matkustajarekisteri. Pykälän 2 momentin säännöstä, jonka mukaan majoitustoiminnan harjoittaja voi käyttää matkustajatietoja ja matkustajarekisteriä asiakaspalveluun ja suoramarkkinointiin, jollei matkustaja ole käyttänyt henkilötietolain 30 §:ssä tarkoitettua kielto-oikeuttaan, ehdotetaan muutettavaksi siten, että siitä poistetaan viittaus henkilötietolain 30 §:ään. Momenttiin ehdotetaan selvyyden vuoksi lisättäväksi viittaus rekisteröidyn oikeuteen vastustaa henkilötietojen käsittelyä. Säännöksen voidaan katsoa olevan tietosuoja-asetuksen 6 artiklan liikkumavaran mukainen.
Asiakaspalvelua varten tapahtuvan henkilötietojen käsittelyn perustuessa rekisterinpitäjän oikeutettuun etuun on rekisteröidyllä tietosuoja-asetuksen 21 artiklan 1 kohdan nojalla oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, kuten profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Tietosuoja-asetuksen 21 artiklan 2 kohdan mukaan, jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin. Artiklan 3 kohdan mukaan, jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
Saman artiklan 4 kohdan mukaan viimeistään silloin, kun rekisteröityyn ollaan yhteydessä ensimmäisen kerran, 1 ja 2 kohdassa tarkoitettu oikeus on nimenomaisesti saatettava rekisteröidyn tietoon ja esitettävä selkeästi ja muusta tiedotuksesta erillään.
8 §. Matkustajatietojen luovuttaminen poliisille sekä matkustajailmoitusten ja -tietojen säilyttäminen ja hävittäminen. Pykälän 3 momentin mukaan majoitustoiminnan harjoittajan on säilytettävä matkustajailmoitukset ja -tiedot yhden vuoden ajan matkustajailmoituksen allekirjoittamispäivästä, minkä jälkeen ne on hävitettävä. Matkustajarekisterissä olevat matkustajatiedot on säilytettävä yhden vuoden ajan niiden merkitsemisestä, minkä jälkeen ne on hävitettävä. Asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä henkilötietolain 29 §:ssä säädetään. Mainitussa pykälässä säädetään tiedon korjaamisesta siten, että rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto
Säännös, jonka mukaan asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä henkilötietolain 29 §:ssä säädetään, lisättiin lakiin eduskuntakäsittelyssä (TaVM 1/2006 vp). Koska majoitustoiminnan harjoittajalle saattaa olla tärkeää pitää asiakasrekisteriä, talousvaliokunta täydensi 3 momentin säännöstä siten, että asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen ei sovelleta vuoden määräaikaa, vaan tällaisten tietojen poistamiseen sovelletaan henkilötietolain 29 §:ää.
Henkilötietolain kumoamisen johdosta pykälän 3 momentin viimeisen virkkeen viittaus henkilötietolakiin muutettaisiin viittaukseksi tietosuoja-asetukseen. Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimointi). Tietosuoja-asetuksen 25 artiklan 2 kohdassa säädetään rekisterinpitäjän velvollisuudesta toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Rekisteröidyn oikeudesta tietojen poistamiseen säädetään tietosuoja-asetuksen 17 artiklassa.
13 §.Rangaistussäännökset. Pykälän 3 momentin viittaus henkilörekisteririkokseen ehdotetaan muutettavaksi rikoslain muutosehdotusta vastaavasti viittaukseksi tietosuojarikokseen ja viittaus henkilötietolaissa säädettyyn henkilörekisteririkkomukseen poistettavaksi.
1.3
Laki matkapalveluyhdistelmien tarjoajista
16 §.Tietojen luovuttaminen rekisteristä. Pykälässä oleva viittaus henkilötietolain henkilötunnuksen käsittelyä koskevaan 13 §:ään ehdotetaan muutettavaksi viittaukseksi saman sisältöiseen tietosuojalain 29 §:ään.
1.4
Laki vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta
130 §.Rekisterit. Pykälän 4 momentin sisältämät informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin ehdotetaan poistettavaksi. Tietosuoja-asetuksen 5 artiklan 1 kohdan c ja d alakohdassa säädetään tietojen minimoinnin ja täsmällisyyden vaatimuksista ja 25 artiklan 2 kohdassa rekisterinpitäjän velvollisuudesta toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Momentin viimeisen virkkeen säännös, jonka mukaan rekisterissä olevat tiedot on tarkastettava ja tarpeettomat tiedot poistettava tarkastuksen yhteydessä, on siten siltä osin, kuin se koskee henkilötietojen käsittelyä, päällekkäinen tietosuoja-asetuksen suoraan sovellettavien säännösten kanssa. Säännöstä ehdotetaan päällekkäisyyden poistamiseksi muutettavaksi siten, että se koskisi muita kuin henkilötietoja. Lisäksi momenttiin ehdotetaan selvyyden vuoksi lisättäväksi informatiivinen säännös, jonka mukaan rekisterinpitäjän velvollisuuksista henkilötietojen käsittelyssä säädetään erikseen.
Muutoin pykälä vastaisi voimassa olevaa lakia.
1.5
Laki vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta
11 §.Rekisterit. Pykälän 2 momentti, joka sisältää informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin, ehdotetaan kumottavaksi.
1.6
Mittauslaitelaki
53 §.Rekisterit. Pykälän 2 momentti, joka sisältää informatiiviset viittaukset henkilötietolakiin ja julkisuuslakiin, ehdotetaan kumottavaksi.
1.7
Tilintarkastuslaki
4 luku Tilintarkastajaa koskevat muut säännökset
9 §.Asiakasrekisteri. Tilintarkastajan on 9 §:n 1 momentin mukaan pidettävä asiakasrekisteriä. Tilintarkastajan asiakasrekisteriä koskevan pykälän 2 momentin mukaan tilintarkastaja voi ulkoistaa asiakasrekisterin pitämisen toisen tilintarkastajan tehtäväksi. Vastuu asiakasrekisterin asianmukaisuudesta on aina asiakkaan tilintarkastajalla. Momentti ehdotetaan kumottavaksi. Voimassa oleva säännös jättää epäselväksi tietosuoja-asetuksen mukaisen rekisterinpitäjän vastuun kohdentumisen. Rekisterinpitäjän vastuun ulkoistaminen ei tietosuoja-asetuksen nojalla ole mahdollista.
Voimassa olevan pykälän esitöiden (HE 70/2016 vp) mukaan mahdollisuus asiakasrekisterin ulkoistamiseen voi olla tarpeen esimerkiksi silloin, kun tilintarkastusyhteisössä työskentelevä tilintarkastaja hoitaa tilintarkastusyhteisön toimeksiantojen lisäksi tilintarkastuksia, joihin hänet henkilökohtaisesti on valittu tilintarkastajaksi. Esitöiden mukaan ei ole perusteltua edellyttää tilintarkastajalta investointeja asiakasrekisteriin, jos hän voi hoitaa asian tehokkaasti ulkoistamalla sen pitämisen tilintarkastusyhteisölle. Momentin kumoamisesta huolimatta tilintarkastaja voisi edelleen ulkoistaa rekisterinpitoon liittyvät tehtävät. Eri tilanteista ei ole tarkoituksenmukaista säätää yksityiskohtaisesti laissa, vaan tilanteita arvioitaisiin henkilötietojen käsittelyyn liittyvien vastuiden osalta tietosuoja-asetuksen nojalla. Rekisterinpitoon soveltuvat tietosuoja-asetuksen suoraan sovellettavat säännökset mukaan lukien rekisterinpitäjää, rekisterinpitäjän vastuuta, yhteisrekisterinpitoa ja henkilötietojen käsittelijää koskevat säännökset.
Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Tietosuoja-asetuksessa mahdollistetaan myös useamman elimen yhteisrekisterinpitäjyys. Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta.
Myös henkilötietojen käsittelyyn liittyvien tehtävien ulkoistaminen henkilötietojen käsittelijälle, joka käsittelee henkilötietoja rekisterinpitäjän lukuun, on mahdollista suoraan tietosuoja-asetuksen nojalla. Tällaisissa tilanteissa on noudatettava tietosuoja-asetuksen 28 artiklaa.
13 §.Epäilyksistä ilmoittaminen. Pykälän 1 momentin mukaan tilintarkastajan on järjestettävä palveluksessaan oleville henkilöille sisäinen menettely, jolla varmistetaan, että kyseiset henkilöt voivat nimettömästi ilmoittaa tilintarkastusta koskevan sääntelyn rikkomisepäilyistään.
Pykälän 2 momentissa oleva viittaus henkilötietolakiin ehdotetaan poistettavaksi.
Voimassa olevan pykälän 4 momentissa säädetään rekisteröidyn tarkastusoikeuden rajoituksesta rikkomisepäilyjä koskevan ilmoitusmenettelyn osalta. Säännöksen mukaan sen lisäksi, mitä henkilötietolaissa säädetään, edellä 1 momentissa tarkoitetun ilmoituksen kohteena olevalla ei ole tarkastusoikeutta 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Ilmoituksen kohteena olevan oikeuksista säädetään henkilötietolaissa.
Tietosuojalain 34 §:ssä säädettäisiin niistä edellytyksistä, joilla rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin voitaisiin rajoittaa. Vastaavista rekisteröidyn tarkastusoikeuden rajoituksista on säädetty henkilötietolain 27 §:ssä.
Tietosuoja-asetuksen 23 artiklan mukaan jäsenvaltiot voivat lainsäädännöllisillä toimenpiteillä rajoittaa muun muassa 15 artiklassa säädettyä rekisteröidyn oikeutta tutustua tietoihin, joita hänestä on kerätty, jos se on välttämätöntä ja oikeasuhtaista artiklan 1 kohdassa mainittujen seikkojen varmistamiseksi. Voimassa olevan lain mukainen rajoitus voidaan säilyttää tietosuoja-asetuksen 23 artiklan 1 kohdan g alakohdan liikkumavaran nojalla. Tietosuoja-asetuksen 23 artiklan 2 kohdassa säädetään niistä asioista, joista tulisi tarpeen mukaan säätää rekisteröidyn oikeuksia rajoitettaessa.
Pykälän 4 momentin ensimmäisen virkkeen sanamuoto ehdotetaan muutettavaksi vastaamaan tietosuoja-asetusta ja tietosuojalakia. Ilmoituksen kohteena olevalla ei sen lisäksi, mitä tietosuojalain 34 §:n 1 momentissa säädetään, olisi tietosuoja-asetuksen 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Rajoitettaessa rekisteröidyn oikeutta olisi noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään, mikä vastaisi tietosuoja-asetuksen 23 artiklan 2 kohtaa.
Pykälän 4 momentin jälkimmäinen virke ehdotetaan poistettavaksi. Rekisteröidyn oikeuksista säädetään tietosuoja-asetuksessa.
Muutokset olisivat pääasiassa teknisluonteisia eikä tarkoituksena ole muuttaa oikeustilaa lukuun ottamatta viittausta rekisteröidyn oikeutta rajoitettaessa sovellettaviin tietosuojalain mukaisiin suojatoimiin, joista ei nykyisin ole säädetty.
6 luku Hyväksyminen ja rekisteröinti
9 §.Tilintarkastajarekisteri. Pykälän 6 momenttia ehdotetaan muutettavaksi siten, että rekisterinpitoa koskevien tarkempien säännösten sijasta valtioneuvoston asetuksella voitaisiin antaa tarkempia säännöksiä rekisteri-ilmoituksista ja rekisterimerkinnöistä. Asetuksenantovaltuuden sanamuoto ei ole rekisterinpitoa koskevien säännösten osalta tietosuoja-asetukseen sisältyvän kansallisen liikkumavaran mukainen. Muutos olisi teknisluonteinen. Siirtymäsäännöksellä säädettäisiin, että kyseisen lainkohdan nojalla osittain annettu tilintarkastuksesta annettu valtioneuvoston asetus (1377/2015) jäisi voimaan myös siltä osin kuin se on annettu muutettavan kohdan nojalla.
8 luku Valvontavaltuudet
6 §.Tietojen saaminen muilta viranomaisilta. Pykälän viimeisen virkkeen arkaluonteisia tietoja koskeva säännös ehdotetaan nykytilan säilyttämiseksi muutettavaksi koskemaan tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.
9 luku Tietojen luovuttaminen ja viranomaisyhteistyö
1 §. Oikeus tietojen luovuttamiseen. Pykälän 2 momentin arkaluonteisia tietoja koskeva säännös ehdotetaan nykytilan säilyttämiseksi muutettavaksi koskemaan tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja.
3 §.Kansainvälinen valvontayhteistyö. Pykälän 2 momentin 4 kohdan viittaus henkilötietolakiin ehdotetaan korvattavaksi viittauksella tietosuoja-asetukseen.
1.8
Laki yrityspalvelujen asiakastietojärjestelmästä
2 §.Lain soveltamisala. Pykälän 2 momentin viittaus henkilötietolakiin ehdotetaan poistettavaksi. Momenttiin ehdotetaan lisättäväksi informatiivinen viittaus tietosuoja-asetukseen ja tietosuojalakiin.
6 §.Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät. Voimassa olevassa pykälässä säädetään asiakastietojärjestelmän teknisestä ylläpitäjästä ja rekisterinpitäjistä sekä niiden vastuista. Tekniseksi ylläpitäjäksi on määritelty työ- ja elinkeinoministeriö. Pykälää ehdotetaan täsmennettäväksi siten, että siitä ilmenee työ- ja elinkeinoministeriön asema henkilötietojen käsittelijänä. Tietosuoja-asetuksessa ei ole määritelty teknistä ylläpitäjää, ja pykälän 1 momentissa tekniselle ylläpitäjälle säädetyt tehtävät ovat tietosuoja-asetuksen mukaan osittain rekisterinpitäjän vastuulle kuuluvia tehtäviä. Säännöksen sanamuodosta ei siten selkeästi ilmene teknisen ylläpitäjän asema tietosuoja-asetuksessa tarkoitettuna henkilötietojen käsittelijänä.
Työ- ja elinkeinoministeriötä ei ole perusteltua nimetä rekisterinpitäjäksi, koska sen vastuulle kuuluu rekisterinpitäjän tehtävistä vain pieni osa. Tietosuojavaltuutetun toimiston lainsäädäntölausuntoja varten antamassa ohjeessa (16.10.2017) korostetaan, että rekisterinpitäjän vastuun on oltava osa toiminnallista vastuuta. Kun rekisterinpitäjästä säädetään laissa, tulee määrittelyyn suhtautua erityisen tarkkaavaisesti ja varmistua siitä, että vastuu kohdentuu oikealle taholle. Ohjeen mukaan rekisterinpitäjän määrittelyn riskinä on, että rekisterinpitäjä on määritelty vain muodollisesti ja ilman, että toimijan tosiasiallista roolia henkilötietojen käsittelyssä käytännön tasolla on tunnistettu. Ohjeen mukaan rekisterinpitäjäksi tulee osoittaa sellainen taho, joka tosiasiallisesti käyttää rekisterinpitäjälle kuuluvaa määräysvaltaa ja voi toteuttaa rekisterinpitäjälle kuuluvat velvoitteet.
Pykälän 2 momentin sanamuotoa ehdotetaan täsmennettäväksi siten, että rekisterinpitäjän vastuu sekä oikeus luovuttaa tietoja koskisi rekisterinpitäjän tallettamia tietoja.
Rekisterinpitäjän vastuu määräytyy tietosuoja-asetuksen mukaisesti.
Muutos olisi terminologinen eikä sillä olisi sisällöllistä vaikutusta teknisen ylläpitäjän ja lain 4 §:n 1 momentissa tarkoitettujen tahojen voimassa olevan lain mukaiseen vastuunjakoon.
Muutoin pykälä vastaisi voimassa olevaa lakia.
9 §.Tietojen poistaminen. Voimassa olevan pykälän 2 momentin mukaan teknisellä ylläpitäjällä on oikeus poistaa asiakastietoja, jos ne ovat vanhentuneita tai jos poistaminen on tarpeen asiakastietojärjestelmän teknisen toimivuuden varmistamiseksi. Momentti ehdotetaan kumottavaksi. Momentti on osin päällekkäinen tietosuoja-asetuksen 5 artiklan 1 kohdan d alakohdan täsmällisyysvaatimuksen, joka edellyttää käsittelyn tarkoituksiin nähden epätarkkojen ja virheellisten henkilötietojen poistamista viipymättä, kanssa. Tietojen poistamisen tulisi kuulua rekiterinpitäjän vastuulle.
3
Suhde perustuslakiin ja säätämisjärjestys
Perustuslain 10 §:n 1 momentin mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Saman lainkohdan mukaan henkilötietojen suojasta säädetään tarkemmin lailla.
Perustuslakivaliokunta on tietosuoja-asetukseen liittyen pitänyt tärkeänä, että valtioneuvoston piirissä kartoitetaan myös erityislainsäädännön tarpeellisuuteen ja alaan liittyviä kysymyksiä (PeVL 38/2016 vp).
Perustuslakivaliokunta on pitänyt tärkeänä, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 14/2018 vp). Valiokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta.
Perustuslakivaliokunta on katsonut (PeVL 14/2018 vp) tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla.
Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunta on arvioinut nykyisen henkilötietojen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja viitannut siihen, että valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa (ks. PeVL 31/2017 vp, PeVL 45/2016 vp, s. 3 ja PeVL 41/2006 vp, s. 4/II). Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa.
Perustuslakivaliokunnan mielestä (PeVL 14/2018 vp) on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla.
Tietosuoja-asetuksen 23 artiklassa annetaan jäsenvaltioille kansallista liikkumavaraa rekisteröidyn oikeuksien soveltamisalan suhteen. Jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteillä rajoittaa asetuksen 12—22 artiklassa, 34 artiklassa ja 5 artiklassa säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata jokin 23 artiklassa säädetty oikeushyvä. Yksi peruste rajoitukselle on 23 artiklan 1 kohdan e alakohdan mukaan, että rajoituksella voidaan taata jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet. Tällainen tavoite on muun muassa jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu. Artiklan 1 kohdan h alakohdassa rajoittamisen mahdollisena perusteena mainitaan valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a—e ja g alakohdassa tarkoitetuissa tapauksissa.
Esityksessä ehdotetaan säännöstä, jolla rajoitettaisiin rekisteröidyn tietosuoja-asetuksen 15 artiklan mukaista oikeutta Kilpailu- ja kuluttajaviraston valvontatehtävien yhteydessä keräämiin henkilötietoihin. Rajoitusta on pidettävä välttämättömänä ja oikeasuhtaisena toimenpiteenä viraston valvontatehtävien hoidon edellytysten turvaamiseksi. Lain tasoisella tarkkarajaisella rajoituksella ei puututtaisi rekisteröidyn oikeuteen enempää kuin on välttämätöntä ja sovellettavaksi tulisivat rekisteröidyn oikeuksien turvaamiseksi tarpeelliset suojatoimet. Rajoitusta voidaan siten pitää suhteellisuusperiaatteen mukaisena. Rajoituksella ei puututtaisi rekisteröidyn henkilötietojen suojan ydinalueeseen. Suojatoimenpiteistä ehdotetaan säädettäväksi viittaamalla tietosuojalain rekisteröidyn oikeuksien rajoittamista koskevaan säännökseen sisältyviin suojatoimenpiteisiin.
Esityksessä ehdotetaan tilintarkastuslain 6 luvun 9 §:n 6 momentin asetuksenantovaltuuden täsmentämistä. Asetuksenantovaltuuden muutos olisi teknisluonteinen. Asetuksenantovaltuuden nojalla voitaisiin antaa tarkempia säännöksiä rekisteri-ilmoituksista ja rekisterimerkinnöistä sekä rekisteriin merkittävistä muista tiedoista kuin henkilötiedoista. Ne eivät koskisi sillä tavalla yksilöiden oikeuksia tai velvollisuuksia, että niistä olisi säädettävä lailla. Asetuksenantovaltuus on tarkkarajaisempi ja täsmällisempi kuin voimassa olevan lain mukainen asetuksenantovaltuus. Asetuksenantovaltuuden katsotaan täyttävän perustuslain 80 §:ssä säädetyt vaatimukset. Muutoin muutokset ovat pääosin täsmennyksiä voimassa olevaan lainsäädäntöön ja teknisluonteisia viittaussäännösten muutoksia eikä niillä siten ole erityistä merkitystä henkilötietojen suojan kannalta.
Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.