Viimeksi julkaistu 9.5.2021 17.36

2012 vp Hallintovaliokunta Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi)

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi) (U 21/2012 vp): Hallintovaliokuntaan on saapunut jatkokirjelmä UJ 3/2015 vp mahdollisia toimenpiteitä varten.

Asiantuntijat

Valiokunta on kuullut:

EU-asiantuntija Anu Talus
oikeusministeriö
asiantuntija Niina Harjunheimo
Elinkeinoelämän keskusliitto EK ry
päälakimies Timo Koskinen
Suomen Ammattiliittojen Keskusjärjestö SAK ry
lakimies Anu-Tuija Lehto
Suomen Ammattiliittojen Keskusjärjestö SAK ry
emeritusprofessori Ahti Saarenpää.

Valiokunta on saanut kirjallisen lausunnon:

tietosuojavaltuutetun toimisto
KT Kuntatyönantajat.

Viitetiedot

Valiokunta on aikaisemmin antanut asiasta lausunnot HaVL 11/2012 vp, HaVL 6/2013 vp, HaVL 22/2014 vp, HaVL 30/2014 vp ja HaVL 36/2014 vp.

VALTIONEUVOSTON JATKOKIRJELMÄ

Ehdotus

Euroopan komissio antoi 25 päivänä tammikuuta 2012 ehdotuksen henkilötietojen suojaa koskevaksi uudeksi EU:n lainsäädäntökehykseksi. Jatkokirjelmä koskee ehdotusta Euroopan parlamentin ja neuvoston asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus). Ehdotuksella on tarkoitus varmistaa yhtenäinen tietosuojan taso EU:n alueella sekä yksityis- että julkissektorilla. Tietosuoja-asetuksella on tarkoitus korvata voimassa oleva EY:n henkilötietodirektiivi.

Oikeus- ja sisäasioiden neuvosto on valmistellut ehdotusta tietosuoja-asetuksesta hyväksymällä kesäkuusta 2014 alkaen ns. osittaisia yleisnäkemyksiä asetusehdotuksen sisällöstä. Tähän mennessä neuvostossa on saavutettu osittainen yleisnäkemys luvuista II, IV, V, VI, VII, IX.

Jatkokirjelmän mukaan puheenjohtajan tavoitteena on, että 15.—16.6.2015 kokoontuva neuvosto hyväksyy osittaisen yleisnäkemyksen asetuksen luvuista I, III, VIII, X, XI. Luvuissa säädetään muun muassa tietosuoja-asetuksen soveltamisalasta, rekisteröidyn oikeuksista, oikeussuojakeinoista ja seuraamuksista sekä komission toimivallasta antaa delegoituja säädöksiä ja täydennetään kansallista liikkumavaraa koskevaa sääntelyä. Samalla vahvistettaisiin neuvoston yleisnäkemys koko asetuksesta eli kaikkien osittaisten yleisnäkemysten muodostamasta kokonaisuudesta. Tämän jälkeen neuvottelut Euroopan parlamentin kanssa voitaisiin aloittaa. Eurooppa-neuvosto on asettanut tavoitteeksi tietosuoja-asetuksen hyväksymisen vuoden 2015 aikana.

Valtioneuvoston kanta

Suomi on pitänyt tervetulleena komission ehdotusta EU:n tietosuojalainsäädännön oikeudellisen kehikon uudistamiseksi. Suomen keskeiset sisällölliset neuvottelutavoitteet ovat koskeneet muun muassa henkilötietojen suojan ja asiakirjajulkisuuden välistä suhdetta, työelämän tietosuojaa, yhden luukun mekanismia (one stop shop OSS), hallinnollisia sanktioita, kotitalouspoikkeusta, oikeutta siirtää tiedot järjestelmästä toiseen, oikeutta tulla unohdetuksi (right to be forgotten), hallinnollista taakkaa (mm. tietosuojavastaavan nimittämistä ja tietoturvaloukkauksista ilmoittamista), hallinnollisia sanktioita ja delegoituja säädöksiä. Lisäksi Suomen yleisenä tavoitteena on ollut sääntelyn selkeys.

Suomi on pitänyt tärkeänä, että Euroopan unionin henkilötietoja koskevaa lainsäädäntöä yhdenmukaistetaan ja yksinkertaistetaan siten, että samalla säilytetään tietosuojan korkea taso. Koska kyseessä on suoraan sovellettava asetus, tulee se voimaantullessaan yhdenmukaistamaan eurooppalaista tietosuojasääntelyä, joka tällä hetkellä muodostuu 28 jäsenvaltion varsin epäyhtenäisestä sääntelystä. Sääntelyn yhdenmukaistaminen asetuksella on omiaan tukemaan rajat ylittävän toiminnan sujuvuutta sisämarkkinoilla. Suomi pitää tärkeänä sitä, että neuvoston yleisnäkemyksessä julkisen sektorin erityispiirteet on huomioitu luomalla asetuksen sisälle tarvittavaa kansallista liikkumavaraa huomattavasti kattavammin kuin komission alkuperäisessä ehdotuksessa. Asetustekstiä on myös useilta osin yksinkertaistettu ja yksityiskohtaista sääntelyä on karsittu. Koska kyseessä on kuitenkin asetus, joka on suoraan sovellettavaa lainsäädäntöä, on artiklateksti paikoin yksityiskohtaistakin. Myös valtuutuksien runsas karsiminen delegoitujen säädösten ja täytäntöönpanosäädösten antamiselle on korostanut tarvetta riittävän yksityiskohtaiseen säätelyyn artiklatasolla. Myös PeV (12/2012 vp) on edellyttänyt, että erityisesti läheisesti perusoikeuksien toteutumiseen liittyvässä sääntelyssä vaatimusta keskeisten osien sisällyttämisestä lainsäätämisjärjestyksessä hyväksyttävään säädökseen on tulkittava laajasti. Tämä merkitsee sitä, että ainakin yksilön oikeuksien ja velvollisuuksien perusteista tulee säätää lainsäätämisjärjestyksessä hyväksyttävän asetuksen tasolla.

Komission ehdotus ei sisältänyt tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamista koskevaa artiklaa. Yksi Suomen keskeisimmistä neuvottelutavoitteista on ollut, että asetukseen otettaisiin säännös, joka oikeuttaa huomioimaan asiakirjajulkisuuden tietosuoja-asetusta sovellettaessa. Asetustekstiin onkin saatu neuvoteltua artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa.

Suomi on pitänyt myös keskeisenä, ettei asetuksesta seuraisi rekisterinpitäjälle kohtuutonta hallinnollista taakkaa. Komission ehdotukseen nähden useat rekisterinpitäjälle kaavaillut velvoitteet ovat neuvoston yleisnäkemyksessä keventyneet. Esimerkiksi tietosuojavastaavan nimittäminen ei olisi enää asetukseen perustuva velvollisuus, vaan yrityksille annettu mahdollisuus. Vähäpätöisistä tietoturvaloukkauksista ilmoittaminen on jätetty ilmoitusvelvollisuuden ulkopuolelle. Samaan aikaan on myös tärkeää, että rekisteröidyn oikeudet tulevat suojatuiksi nyky-yhteiskunnan edellyttämällä tavalla. Asetuksessa muun muassa vahvistetaan rekisteröidyn oikeutta saada itseään koskevia tietoja sähköisesti.

Yksi Suomen keskeisiä neuvottelutavoitteita on myös ollut se, että asetuksella luotavasta yhdenmukaisuusmekanismista ja yhden luukun mekanismista tulee tehokas ja toimiva. Samalla Suomi on pitänyt tärkeänä, että rekisteröidyn oikeudet ja aidosti käytettävissä olevat mahdollisuudet valittaa tietosuojaviranomaisen päätöksestä turvataan. Järjestelmän rakenteeseen on neuvotteluissa tehty muutoksia, jotka ovat selkeyttäneet mekanismeja. Rekisteröidyllä on aidosti käytettävissä mahdollisuudet valittaa tietosuojaviranomaisen päätöksestä. Muun muassa Euroopan tietosuojaneuvoston toimivaltuuksien laajentaminen omalta osaltaan edesauttaa tehokkaan ja toimivan mekanismin rakentamisessa.

Toisaalta Suomi on pitänyt mekanismia, jolla tietosuojaneuvoston päätöksistä valitetaan sekavana ja vaikeaselkoisena. Suomi oli kuitenkin valmis hyväksymään puheenjohtajan kompromissiehdotuksen osana osittaista yleisnäkemystä, sillä näytti selvältä, että neuvottelutulosta selkeämmästä järjestelmästä ei ollut odotettavissa ja koska samassa yhteydessä hyväksyttyyn II lukuun oli tehty Suomen tärkeinä pitämiä muutoksia. Asetustekstiin on nyt myös otettu Suomen ja joidenkin muiden jäsenvaltioiden toivoma erillinen yhdenluukunmekanismia koskeva arviointilauseke. Näin ollen Suomen kantaa ei ole neuvotteluiden tässä vaiheessa tarpeen arvioida uudelleen, edellyttäen kuitenkin että osittaisia yleisnäkemyksiä ei avata Suomelle keskeisiltä osin. Suomelle on erityisesti tärkeää, että asetuksessa omaksutut ratkaisut eivät muodosta estettä biopankkitoiminnalle ja rekisteriaineiston käyttämiselle kontrolloidusti tutkimustarkoituksessa.

Hallinnollisia sanktioita koskeviin artikloihin on tehty tässä U-jatkokirjeessä myöhemmin kuvatun mukaisesti useita Suomen tärkeinä pitämiä muutoksia suhteellisuusperiaatteen huomioon ottamiseksi. Työelämän tietosuojaa koskevien neuvotteluiden seurauksena mahdollisuus antaa henkilötietolain yleisten periaatteiden mukaisia erityissäännöksiä työelämän tietosuojasta on säilynyt asetustekstistä ja työelämän tietosuojaa koskevien artiklojen muotoilussa on otettu huomioon Suomen erityistarpeet.

Asetuksen soveltamisalan osalta Suomi on pitänyt komission ehdottamaa nk. kotitalouspoikkeusta liian kapeana. Suomen tavoitteiden mukaisesti tätä soveltamisalan rajausta onkin lavennettu komission ehdotukseen nähden.

Suomelle on neuvotteluissa ollut myös tärkeää, että rekisterinpitäjän oikeutettua etua henkilötietojen käsittelyperusteena tarkennetaan esimerkiksi antamalla johdanto-osan lausekkeissa esimerkkejä siitä, milloin kyse voi olla rekisterinpitäjän oikeutetusta edusta. Asetustekstissä on Suomen ehdotus tätä koskevaksi johdanto-osan lausekkeeksi. Komission ehdotuksen 6 artiklan 4 kohdan mukaan henkilötietojen jatkokäsittelyn, joka on alkuperäisen käsittelytarkoituksen kanssa yhteensopimatonta edellyttää, että henkilötietojen käsittelyperusta on 6 artiklan 1(a) — (e) kohdassa. Suomen valtuuskunta ei ole neuvotteluissa pitänyt tätä tarpeellisena, koska on selvää, että rekisterinpitäjällä tulee aina olla käsittelyperusta henkilötietojen käsittelylle.

Nyt hyväksyttävinä oleviin asetuksen lukuihin on tehty useita Suomelle tärkeitä muutoksia. Suomelle keskeisimmistä kysymyksistä ei näiden lukujen osalta enää neuvotella. Näin ollen osittainen yleisnäkemys jäljellä olevista luvuista voidaan hyväksyä, edellyttäen kuitenkin, ettei aiemmin saavutettuja yleisnäkemyksiä avata Suomelle keskeisiltä osin.

Tietosuoja-asetus on osa komission digitaalisia sisämarkkinoita koskevaa strategiaa. Suomi tukee komission strategian tavoitteita. Digitaalisen talouden kasvun edellytyksiä Euroopassa tulee vahvistaa ja sisämarkkinoiden toiminnan esteitä poistaa. Suomi tukee tietosuoja-asetuksen hyväksymistä Eurooppa-neuvoston asettamassa määräajassa vuoden 2015 aikana. Näin ollen koko neuvottelujen ajan voimassa olleen Suomen yleisvarauman poistamista arvioidaan kesäkuun OSA-neuvoston valmistelun yhteydessä.

VALIOKUNNAN PERUSTELUT

Yleistä

Ehdotus yleiseksi tietosuoja-asetukseksi on osa EU:n tietosuojasääntelyn uudistamista. Uudistamisen taustalla ovat erityisesti vuoden 2009 Tukholman ohjelma ja EU:n perusoikeuskirjan säännökset. Yleisen tietosuoja-asetuksen tarkoituksena on varmistaa yhtenäinen tietosuojan taso unionin alueella sekä yksityisellä että julkisella sektorilla. Yleisen tietosuoja-asetuksen soveltamis-alan ulkopuolelle jää henkilötietojen käsittely poliisi- ja oikeudellisessa yhteistyössä, josta säädetään erikseen direktiivillä. Mainitun direktiivin valmistelu unionissa on myös käynnissä. Lisäksi esimerkiksi sähköisen viestinnän tietosuojaa koskeva direktiivi (2002/58/EY) on tarkoitus ottaa kokonaistarkasteluun tietosuoja-asetuksen hyväksymisen jälkeen. Lissabonin sopimuksen myötä perustamissopimuksissa on oma erillinen oikeusperustansa henkilötietojen suojalle (SEUT 16 art.), jonka mukaan jokaisella on oikeus henkilötietojensa suojaan.

Tietosuoja-asetus korvaisi nykyisen henkilötietodirektiivin (95/46/EY). Teknologian nopean kehityksen ja globalisaation myötä henkilötietoja kerätään nykyisin huomattavasti enemmän ja erilaisin tekniikoin kuin unionin voimassa olevan tietosuojasääntelyn antamisen aikaan. Valiokunta pitää EU:n tietosuojasääntelyn ajanmukaistamista ja yhdenmukaistamista tarpeellisena. Erityisen tärkeä eurooppalainen lainsäädäntö on niille, jotka toimivat useamman jäsenvaltion alueella. Tietosuoja-asetus on myös osa digitaalisten sisämarkkinoiden kehittämistä. Valiokunta pitää tärkeänä tietosuoja-asetuksen tavoitetta parantaa digitaalisten sisämarkkinoiden toimintaedellytyksiä ja vahvistaa EU:n kansalaisten luottamusta sähköisiin palveluihin ja viranomaisten toimintaan. Valiokunta tukee tavoitetta tietosuoja-asetuksen aikaansaamiseksi vuoden 2015 kuluessa.

Asetusehdotuksen luvut I, III, VIII, X ja XI

Tietosuoja-asetus on laaja säädöshanke, minkä vuoksi oikeus- ja sisäasioiden neuvosto on valmistellut asetusehdotusta hyväksymällä ns. osittaisia yleisnäkemyksiä asetusehdotuksen luvuista kesäkuusta 2014 alkaen. Luvuista I, III, VIII, X ja XI osittaista yleisnäkemystä ei ole vielä hyväksytty. Luvuissa säädetään muun muassa tietosuoja-asetuksen soveltamisalasta, rekisteröidyn oikeuksista, oikeussuojakeinoista ja seuraamuksista sekä komission toimivallasta antaa delegoituja säädöksiä ja täydennetään kansallista liikkumavaraa koskevaa sääntelyä.

Suomen keskeisimmät neuvottelutavoitteet näissä luvuissa ovat koskeneet oikeutta tulla unohdetuksi, ts. rekisteröidyn oikeutta saada itseään koskevat tiedot poistetuksi, tietojen siirrettävyyttä, ts. rekisteröidyn mahdollisuutta saada itseään koskevat tiedot koneluettavassa muodossa ja siirtää kyseiset tiedot esimerkiksi toiselle palveluntarjoajalle, hallinnollisia sanktioita sekä komission valtuuksia antaa delegoituja ja täytäntöönpanosäädöksiä.

Saadun selvityksen mukaan asetustekstiä on muokattu keskeisten tavoitteiden osalta Suomen toivomaan suuntaan. Artiklatekstissä mm. tarkennetaan, että rekisteröidyn oikeus saada itseään koskevat tiedot poistettavaksi ei koske tilanteita, joissa rekisterinpitäjällä on lakiin perustuva velvoite käsitellä tietoja. Tiedon siirrettävyyttä koskevan artiklan soveltamisalaa on Suomen tavoitteiden mukaisesti neuvottelujen kuluessa kavennettu komission ehdotukseen nähden. Julkinen sektori on jätetty sen soveltamisalan ulkopuolelle. Lisäksi kyseinen artikla tulee sovellettavaksi ainoastaan tilanteissa, joissa henkilötietojen käsittely perustuu suostumukseen tai sopimukseen. Valiokunnalle toimitetun selvityksen mukaan puheenjohtajan 3.6.2015 päivättyyn kompromissiehdotukseen on vielä lisätty Suomen ehdotuksesta johdanto-osan lauseke, jossa tarkennetaan, että oikeudesta siirtää tiedot ei ole johdettavissa rekisterinpitäjälle velvoitetta yhteensopivien järjestelmien käyttämiselle.

Valiokunta toteaa, että myös sanktioita koskeviin artikloihin on otettu mukaan useita Suomen muotoiluehdotuksia. Tekstissä otetaan mm. huomioon mahdollisuus antaa huomautuksia hallinnollisten sanktioiden sijaan. Asetusehdotuksessa luetellaan kriteerit, joiden pohjalta tulee arvioida, määrätäänkö hallinnollisia sanktioita ja minkä suuruisena sanktio tulisi määrätä. Selvityksen mukaan Suomi on neuvotteluissa mm. korostanut sitä, että kriteereissä ei saisi korostua teon ennalta arvaamattoman seurauksen merkitys. Asetusehdotukseen on tehty muutoksia näiden kommenttien pohjalta. Lisäksi asetuksen johdanto-osaan on otettu mukaan Suomen ehdottama tekstimuotoilu, joka korostaa huomautusten käyttömahdollisuutta tilanteissa, joissa kyse on vähäisistä rikkomuksista tai sakko olisi luonnolliselle henkilölle kohtuuton seuraamus. Valiokunta tähdentää, että asetuksella säädettäisiin ainoastaan sakkojen enimmäismäärästä. Jäsenvaltioiden viranomaisille jää siten tältä osin harkinnanvaraa sakon suuruuden suhteen. Seuraamuksia määrättäessä on otettava huomioon yleiset oikeasuhtaisuuden vaatimukset.

Asetusehdotuksen keskeisimpien käsitteiden määritelmät vastaavat pitkälti voimassa olevaa henkilötietodirektiiviä. Henkilötiedon määritelmään on tehty tarkennuksia, jotka valiokunnan käsityksen mukaan vastaavat nykytulkintaa. Valiokunta pitää myös tarpeellisena asetusehdotuksen johdanto-osaan tehtyä lisäystä, että myös osuuskuntia voidaan kohdella yritysryhmänä.

Asetusehdotus sisältää myös uusia käsitteitä. Pääosin niistä ei arvioida seuraavan juurikaan muutoksia sääntelyn nykytilaan Suomessa. Esimerkiksi henkilötietojen suojan suunnittelu on jo nykyisin rekisterinpitäjän nimenomainen velvollisuus. Vastaavasti oikeus tulla unohdetuksi voidaan sekin johtaa nykyisen lain säännöksistä. Tärkeä muutos nykytilaan on alaikäisten aseman huomioiminen sääntelyssä, esimerkkinä lapsen suostumusta koskeva 8 artikla.

Kansallinen liikkumavara liittyy siihen, miten jäsenvaltioille annetaan mahdollisuus säilyttää tai antaa täsmentävää kansallista lainsäädäntöä asetuksen soveltamisesta. Kysymys on vahvasti sidoksissa asetuksen oikeudelliseen luonteeseen lainsäädäntöinstrumenttina. Valiokunta on lausunut kansallisesta liikkumavarasta erityisesti lausunnoissaan HaVL 22/2014 vp ja HaVL 30/2014 vp. Selvityksen mukaan asetuksen kohdetta ja tavoitetta koskevaan 1 artiklaan on lisätty uusi kohta, jolla annetaan kansallista liikkumavaraa tarkentavan kansallisen lainsäädännön antamiseksi. Säännös mahdollistaa mainitussa valiokunnan lausunnossa tähdennetyn kansallisen liikkumavaran liittyen esimerkiksi työelämän erityissääntelyyn ja palkkatilastointiin. Lisäksi asetuksen johdanto-osaan on lisätty uusi 6 a kohta, joka selkeyttää asetuksen soveltamista kansallisella tasolla.

Delegoiduilla säädöksillä viitataan komissiolle säädettävään toimivaltaan antaa muita kuin lainsäätämisjärjestyksessä hyväksyttäviä, soveltamisalaltaan yleisiä säädöksiä, joilla täydennetään tai muutetaan lainsäätämisjärjestyksessä hyväksytyn säädöksen muita kuin sen keskeisiä osia. Suomi on pitänyt komissiolle alun perin ehdotettua valtaa antaa delegoituja säädöksiä laajana ja yksityiskohtaisena. Suomi on kuitenkin kannattanut delegoitujen säädösten käyttöä silloin, kun se on perusteltua ja perussopimusten mukaista. Selvityksen perusteella voidaan todeta, että asetustekstistä on Suomen kannan mukaisesti poistettu valtuutuksia antaa delegoituja säädöksiä ja täytäntöönpanosäädöksiä useista artikloista. Hallinnollisten sanktioiden osalta komissiolle ehdotettua delegointivaltaa on kavennettu siten, ettei komissiolla olisi harkintavaltaa hallinnollisten sanktioiden määrien uudelleen arvioimiseen, vaan ainoastaan rahapolitiikan kehitykseen sidottu mahdollisuus mukauttaa sanktioiden enimmäisrajoja.

Tietosuoja-asetuksen kokonaisarviointia

Sääntelyn yhdenmukaistaminen ja yksinkertaistaminen

Valiokunta on pitänyt tärkeänä, että henkilötietojen suojaa koskevaa EU-sääntelyä yhdenmukaistetaan ja yksinkertaistetaan siten, että samalla säilytetään tietosuojan korkea taso. Henkilötietodirektiiviä säädettäessä useilla jäsenmailla oli asiasta jo omaa lainsäädäntöä, eikä direktiivillä ole saatu aikaan riittävää yhdenmukaisuutta. Valiokunnan mielestä asetustasoista sääntelyä voidaan tässä pitää perusteltuna ratkaisuna. Tärkeää samalla on, että asetuksessa kuitenkin annetaan kansallista liikkumavaraa, joka mahdollistaa jäsenvaltiolle säilyttää tai antaa tarkentavaa kansallista sääntelyä, esimerkiksi julkisen sektorin erityispiirteisiin tai työelämän erityissääntelyyn liittyen.

Valiokunta toteaa, että ehdotus tietosuoja-asetukseksi on huomattavasti yksityiskohtaisempi kuin nykyinen henkilötietodirektiivi. Osaksi se johtuu siitä, että asetus on suoraan sovellettavaa oikeutta, jolloin yksityiskohtaisempaa sääntelyä ei voida jättää samalla tavoin kansallisesti säädettäväksi kuin direktiivin implementoinnissa. Osaksi asetustekstin yksityiskohtaisuus on seurausta siitä, että komissiolle ehdotettua ohjausvaltaa on — Suomenkin tavoitteiden mukaisesti — haluttu karsia. Vaikka asetustekstiä on selkeytetty ja yksinkertaistettu verrattuna komission antamaan asetusehdotukseen, tekstin selkeydessä on edelleen toivomisen varaa. Tähän vaikuttaa osaltaan sekin, että asetusehdotukseen on tehty neuvottelujen kuluessa useita muutosehdotuksia eri jäsenmaiden taholta ja käsillä oleva asetusteksti on monelta osin kompromissi.

Henkilötietojen suojan ja asiakirjajulkisuuden yhteensovittaminen

Suomessa viranomaisten toiminnan julkisuudesta annettu laki (621/1999, jäljempänä julkisuuslaki) ja henkilötietolaki (523/1999) muodostavat kokonaisuuden, joka sääntelee viranomaisten ylläpitämien henkilörekistereiden ja muiden asiakirjojen sekä niihin sisältyvien tietojen julkisuutta ja salassapitoa sekä henkilötietojen käsittelyssä noudatettavia vaatimuksia. Komission asetusehdotus ei sisältänyt säännöstä tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamisesta. Yksi Suomen keskeisistä neuvottelutavoitteista onkin ollut se, että asetukseen otettaisiin säännös, joka oikeuttaa huomioimaan asiakirjajulkisuuden tietosuoja-asetusta sovellettaessa. Valiokunta toteaa tyydytyksellä, että asetusehdotukseen on saatu neuvoteltua artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa.

Hallinnollinen taakka

Suomi on pitänyt keskeisenä myös sitä, ettei asetuksesta seuraisi rekisterinpitäjälle kohtuutonta hallinnollista taakkaa. Valiokunta on todennut, että tulisi pyrkiä ratkaisuihin, jotka vähentävät yritysten ja viranomaisten tarpeetonta hallinnollista taakkaa ja pitävät sääntelyn noudattamisen kokonaiskustannukset kohtuullisina siten, että samalla säilytetään tietosuojan korkea taso (mm. HaVL 6/2013 vp ja HaVL 22/2014 vp). Kokonaisarviota tehtäessä on huomioitava myös se, että henkilödirektiivin säätämisen jälkeen henkilötietojen suojasta on tullut EU:n perusoikeuskirjassa vahvistettu perusoikeus.

Asetusehdotuksesta seuraa joitain uusia velvoitteita rekisterinpitäjälle, esimerkiksi vaikutusten arviointi 33 artiklassa. Neuvottelujen kuluessa artikloihin, joista olisi seurannut rekisterinpitäjälle huomattavaa hallinnollista taakkaa, on tehty merkittäviäkin muutoksia. Esimerkiksi velvollisuus nimetä tietosuojavastaava, johon valiokunta on kiinnittänyt huomiota, on asetusehdotuksen mukaan vapaaehtoista. Jotkut nykyisin kansallisessa lainsäädännössä olevat rekisterinpitäjän velvoitteet, joista seuraa hallinnollista taakkaa, kevenevät uudistuksen myötä. Esimerkiksi osa rekisterinpitäjistä on vapautumassa velvoitteesta laatia rekisteriseloste. Myös rekisterinpitäjän velvollisuus hakea eräissä tilanteissa tietosuojalautakunnalta lupa henkilötietojen käsittelyyn on kapenemassa tai poistumassa kokonaan.

Asetusehdotuksessa pyritään vähentämään hallinnollista taakkaa myös riskipohjaisella lähestymistavalla. Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisen toiminnan ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa. Esimerkiksi velvollisuus arvioida henkilötietojen käsittelyn vaikutuksia koskee vain korkean riskin toimintaa. Korkean riskin kriteereistä on annettu suuntaviivoja johdanto-osan lausekkeessa (mm. HaVL 22/2014 vp). Myös velvollisuutta ilmoittaa tietoturvaloukkauksista on rajattu.

Asetusehdotuksessa säädetään myös ns. sisäänrakennetusta ja oletusarvoisesta tietosuojasta, joka koskee rekisterinpitäjän suunnitteluvelvollisuutta. Järjestelmät, joissa henkilötietoja käsitellään, tulisi jo lähtökohtaisesti rakentaa siten, että henkilötietojen käsittely ei vaaranna rekisteröityjen yksityisyyden suojaa. Valiokunnan näkemyksen mukaan tämä on myös voimassa olevan henkilötietolain lähtökohta. Lisäksi henkilötietolain mukaisesta henkilötietojen käytön suunnitteluvelvollisuudesta, käyttötarkoitussidonnaisuudesta ja tarpeellisuusvaatimuksesta seuraa rekisterinpitäjälle velvoitteita, jotka on huomioitava verrattaessa tietosuoja-asetuksesta johtuvaa hallinnollista taakkaa nykytilanteeseen.

Asiassa saadun selvityksen perusteella on asetusehdotuksessa saavutettu rekisteröityjen ihmisten henkilötietojen suojan ja rekisterinpitäjille tästä johtuvien velvollisuuksien kesken valiokunnan näkemyksen mukaan kohtuullinen tasapaino.

Yhden luukun mekanismi

Ns. yhden luukun mekanismin tarkoituksena on se, että esimerkiksi yritys, joka toimii useammassa jäsenvaltiossa, voisi asioida vain yhden tietosuojaviranomaisen kanssa. Yhdenmukaisuusmekanismilla puolestaan pyritään yhdenmukaistamaan asetuksen soveltamista unionin alueella. Yksi Suomen keskeinen tavoite on ollut se, että mekanismien muodostamasta kokonaisuudesta tulee tehokas ja toimiva. Samalla on ollut tärkeää, että rekisteröidyn oikeudet ja aidosti käytettävissä olevat mahdollisuudet valittaa tietosuojaviranomaisen päätöksestä turvataan. Puheenjohtajan ehdotukseen sisältyy rekisteröidyn mahdollisuus valittaa tietosuojaviranomaisen päätöksestä. Lisäksi Euroopan tietosuojaneuvoston toimivaltuuksia on laajennettu antamalle sille oikeus tehdä sitovia päätöksiä, minkä toivotaan tehostavan mekanismin toimintaa.

Yhden luukun mekanismin rakentamisessa hankaluutena on ollut erityisesti se, miten yhteen sovitetaan yhtäältä läheisyysperiaatteen, toisaalta rekisterinpitäjän tarpeet. Valiokunta suhtautui puheenjohtajan kompromissiehdotukseen varsin kriittisesti, mutta ei vastustanut sen hyväksymistä osana osittaista yleisnäkemystä ottaen huomioon, että osittaisessa yleisnäkemyksessä hyväksyttyihin lukuihin oli saatu neuvoteltua useita Suomelle tärkeitä muutoksia (HaVL 36/2014 vp). Valtioneuvoston selvityksestä ilmenee, että asetustekstiin on sittemmin lisätty Suomen ja eräiden muiden jäsenvaltioiden toivoma lauseke komission velvollisuudesta arvioida yhden luukun mekanismin toimivuutta, mitä valiokunta pitää erittäin tärkeänä.

Työelämän tietosuoja ja palkkatilastointi

Valiokunta on myös kiinnittänyt huomiota siihen, miten Suomen työelämän tietosuojasääntely istuu ehdotettuun kokonaisuuteen ja miten työelämän erityispiirteet tulevat asetusehdotuksessa huomioon otetuiksi (HaVL 22/2014 vp, HaVL 30/2014 vp). Yksi tällainen kysymys liittyy palkkatilastoihin, joita Suomessa tuottavat työnantajajärjestöt. Elinkeinoelämän keskusliiton tuottaman palkkatilastoinnin pohjalta laaditaan selvityksiä ja laskelmia, joita hyödynnetään työmarkkinajärjestöjen välisissä työehtosopimusneuvotteluissa sekä ansiokehityksen seurannassa eri aloilla ja henkilöstöryhmissä. Elinkeinoelämän keskusliitto luovuttaa keräämänsä palkkatilastoaineiston myös Tilastokeskukselle, joka käyttää aineistoa sen julkaiseman virallisen palkkatilaston osana. Valiokunta on korostanut sen varmistamista, ettei asetusehdotus merkitse sääntelyn kiristymistä niin, että nykyisenkaltainen palkkatilastointi kävisi mahdottomaksi.

Saadun selvityksen mukaan työelämän tietosuojaa koskevien neuvotteluiden seurauksena mahdollisuus antaa henkilötietolain yleisten periaatteiden mukaisia erityissäännöksiä työelämän tietosuojasta on säilynyt asetustekstissä ja työelämän tietosuojaa koskevien artiklojen muotoilussa on otettu huomioon Suomen erityistarpeet. Valiokunta pitää ensiarvoisen tärkeänä, että asetusehdotuksessa mahdollistettu kansallinen liikkumavara kansallisten erityispiirteiden huomioimiseksi säilyy.

Johtopäätökset

Valiokunta toteaa, että nyt hyväksyttävänä oleviin asetuksen lukuihin on tehty useita Suomelle tärkeitä muutoksia, viimeisimmät käsiteltävänä olevan E-jatkokirjelmän antamisen jälkeen. Valiokunnan arvion mukaan osittainen yleisnäkemys jäljellä olevista luvuista olisi saadun selvityksen perusteella hyväksyttävissä.

Arvioitaessa nyt hyväksyttävänä olevaa puheenjohtajan kompromissiehdotusta tietosuoja-asetukseksi kokonaisuutena valiokunta katsoo, että ehdotus olisi hyväksyttävissä edellyttäen kuitenkin, ettei Suomelle keskeisiin asioihin tule muutoksia.

Kun asetusehdotuksen eri osat ovat nyt tarkentuneet ja asetuksen sisällöstä on muodostunut kokonaiskuva, on asetuksen taloudellisia vaikutuksia mahdollista arvioida tarkemmin, vaikkakin asetuksen sisältöön voi parlamentin kanssa käytävissä neuvotteluissa tulla muutoksia. Valiokunta pitää välttämättömänä, että asetuksen hyväksymisestä johtuvia taloudellisia vaikutuksia arvioidaan asetuksen soveltamisalaan kuuluvien sekä yksityisten että julkisten organisaatioiden osalta, mukaan lukien kuntasektori. Myös tietosuojavaltuutetun toimiston riittävään resursointiin on kiinnitettävä huomiota.

Lopuksi valiokunta toteaa, että EU:n tasolla on useita tietosuojaan ja tietoturvaan liittyviä strategioita ja säädöshankkeita. Näiden eri asiakirjojen ja hankkeiden yhteensovittamiseen tulee kiinnittää erityistä huomiota päällekkäisyyksien ja hallinnollisen taakan kasvun välttämiseksi. Tärkeää myös on, että valmistelua koordinoidaan riittävästi sekä EU- että kansallisella tasolla.