Valiokunnan lausunto
HaVL
25
2015 vp
Hallintovaliokunta
Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi)
Suurelle valiokunnalle
JOHDANTO
Vireilletulo
Valtioneuvoston kirjelmä eduskunnalle ehdotuksesta asetukseksi yksilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (Yleinen tietosuoja-asetus) sekä direktiiviksi yksilöiden suojelusta toimivaltaisten viranomaisten henkilötietojen käsittelyssä rikosten torjumiseksi, tutkimiseksi, selvittämiseksi tai niistä syyttämiseksi tai rikosoikeudellisten seuraamusten täytäntöönpanemiseksi ja näiden tietojen vapaasta liikkuvuudesta (Tietosuojadirektiivi) (U 21/2012 vp): Hallintovaliokuntaan on saapunut jatkokirjelmä UJ 22/2015 vp — U 21/2012 vp mahdollisia toimenpiteitä varten. 
Asiantuntijat
Valiokunta on kuullut: 
EU-asiantuntija
Anu
Talus
oikeusministeriö
tietosuojavaltuutettu
Reijo
Aarnio
tietosuojavaltuutetun toimisto
lakimies
Ida
Sulin
Suomen Kuntaliitto
asiantuntija
Niina
Harjunheimo
Elinkeinoelämän keskusliitto EK ry
Valiokunta on saanut kirjallisen lausunnon: 
sisäministeriö
työ- ja elinkeinoministeriö
Suomen Ammattiliittojen Keskusjärjestö SAK ry
Viitetiedot
Hallintovaliokunta on aiemmin antanut sääntelykokonaisuudesta lausunnot HaVL 11/2012 vp, HaVL 6/2013 vp, HaVL 22/2014 vp, HaVL 30/2014 vp, HaVL 36/2014 vp, HaVL 2/2015 vp ja HaVL 10/2015 vp
VALTIONEUVOSTON JATKOKIRJELMÄ
Ehdotus
Komissio antoi ehdotuksensa yleiseksi tietosuoja-asetukseksi tammikuussa 2015. Neuvosto hyväksyi yleisnäkemyksen asetustekstistä kesäkuussa 2015. Puheenjohtajavaltion tavoitteena on saattaa parhaillaan käynissä olevat kolmikantaneuvottelut päätökseen vuoden 2015 loppuun mennessä. 
Tietosuoja-asetuksessa säädetään muun muassa henkilötietojen käsittelyä koskevista yleisistä periaattesta, rekisteröidyn oikeuksista, rekisterinpitäjän ja henkilötietojen käsittelijästä, henkilötietojen siirrosta kolmansiin maihin tai kansainvälisille järjestöille, riippumattomista valvontaviranomaisista, oikeussuojakeinoista ja seuraamuksista, tietojen käsittelyyn liittyvistä erityistilanteista sekä komission toimivallasta antaa delegoituja säädöksiä ja täytäntöönpanosäännöksiä. 
Jatkokirjeessä kuvataan kolmikantaneuvotteluiden aikana neuvoston yleisnäkemykseen tehtyjä keskeisiä muutoksia ja tehdään selkoa niiden suhteesta Suomen kannalta keskeisiin säännöksiin ja Suomen tekemiin ehdotuksiin. Lisäksi jatkokirje sisältää kuvauksen ehdotuksen taloudellisista vaikutuksista. 
Valtioneuvoston kanta
Suomi on pitänyt tärkeänä, että Euroopan unionin henkilötietoja koskevaa lainsäädäntöä yhdenmukaistetaan ja yksinkertaistetaan siten, että samalla säilytetään tietosuojan korkea taso. EU:n tietosuojalainsäädännön uudistus on yksi keskeisistä toimenpiteistä EU:n digitaalisten sisämarkkinoiden kehittämiseksi. Tietosuojasääntelyn ajantasaisuus, vahvuus ja yhdenmukaisuus edistää luottamusta sähköisten palveluiden ja verkossa toimimisen turvallisuuteen. 
Suomi hyväksyi kesäkuussa 2015 OSA-neuvostossa yleisnäkemyksen asetustekstistä. Suomen kanta muodostettiin neuvostossa saavutetun neuvottelutuloksen kokonaisarvion pohjalta. Kolmikantaneuvottelujen tuloksena suuressa osassa Suomen keskeisiä neuvottelutavoitteita neuvostossa saavutettu neuvottelutulos on kyetty säilyttämään, vaikka parlamentin teksti poikkeaa osin huomattavastikin neuvoston tekstistä. 
Kolmikantaneuvotteluiden viimeisissä vaiheissa Suomen keskeisimmät neuvottelutavoitteet liittyvät siihen, että asetuksen aiheuttamat kustannukset ja hallinnollinen taakka rekisterinpitäjälle pysyy kohtuullisena, sekä siihen, että tuleva asetus ei tarpeettomasti rajoita tieteellistä tutkimusta erityisesti liittyen biopankkien toimintaan. Asetuksesta on neuvoteltu vuoden 2012 tammikuusta lähtien, lähes neljä vuotta. Raskaita neuvotteluita on jatkettu ja vaikeita kompromissiratkaisuja hyväksytty, sillä jäsenvaltioissa vallitsee laaja yhteisymmärrys siitä, että tarvitaan nykyaikainen, yhteinen EU-tason tietosuojasääntely.  
Suomi on osallistunut aktiivisesti neuvotteluihin. Kaikkia Suomen neuvottelutavoitteita ei ole saavutettu. Suomi on kuitenkin saavuttanut keskeiset tavoitteensa kansallista asiakirjajulkisuutta ja työelämän tietosuojaa koskevan sääntelyn osalta, ja rekisterinpitäjän oikeutettua etua on tarkennettu Suomen toivomalla tavalla, kuten myös sitä, että tietojen siirrettävyydestä järjestelmästä toiseen ei seuraa rekisterinpitäjille velvoitetta ottaa käyttöön ja ylläpitää keskenään yhteensopivia järjestelmiä. Suomi on saavuttanut tavoitteensa myös muun muassa sanktioiden, ryhmäkanteen, delegoitujen säädöksien ja oikeuden tulla unohdetuksi osalta. Useassa näistä kysymyksistä Suomi on ollut joko yksin tai muutaman pienen valtion vähemmistössä. Suomen näkemykset on huomioitu myös lukuisissa muissa pienemmissä kysymyksissä. Neuvottelutilanteen ja neuvottelutuloksen kokonaisarvion perusteella Suomi on valmis hyväksymään saavutetun neuvottelutuloksen. Suomelle on kuitenkin tärkeää, että neuvotteluiden loppumetreillä ei hyväksytä ratkaisuja, jotka tarpeettomasti hankaloittaisivat tieteellistä tutkimusta.  
VALIOKUNNAN PERUSTELUT
Yleistä
Ehdotus yleiseksi tietosuoja-asetukseksi on osa EU:n tietosuojalainsäädännön kokonaisuudistusta. Taustalla ovat erityisesti vuoden 2009 Tukholman ohjelma sisä- ja oikeusasioiden kehittämisestä sekä EU:n perusoikeuskirjan säännökset. Henkilötietojen suojan perusteista säädetään EU:n perusoikeuskirjassa. 
Tietosuoja-asetuksella korvataan voimassa oleva henkilötietodirektiivi (95/46/EY). Teknologian nopean kehityksen ja globalisaation myötä henkilötietoja kerätään nykyisin huomattavasti enemmän ja erilaisin tekniikoin kuin henkilötietodirektiivin antamisen aikaan parikymmentä vuotta sitten. Uuden tietosuoja-asetuksen merkitys ja lisäarvo on ennen kaikkea sääntelyn nykyaikaistamisessa ja yhdenmukaistamisessa. Valiokunta pitää tietosuojasääntelyn uudistamista välttämättömänä. 
EU:n tietosuojalainsäädännön uudistus on yksi keskeisistä toimenpiteistä EU:n digitaalisten sisämarkkinoiden kehittämiseksi. Tietosuojasääntelyn ajantasaisuus, vahvuus ja yhdenmukaisuus edistävät luottamusta sähköisten palveluiden ja verkossa toimimisen turvallisuuteen. Yleisen tietosuoja-asetuksen tarkoituksena on varmistaa yhtenäinen tietosuojan taso unionin alueella sekä yksityisellä että julkisella sektorilla. Valiokunta pitää lisäksi tärkeänä, että lainsäädäntö antaa mahdollisuuden reagoida ketterästi teknologiassa tapahtuviin muutoksiin. Tätä osaltaan toteuttaa asetuksessa komissiolle jätetty mahdollisuus antaa delegoituja säädöksiä ja täytäntöönpanosäädöksiä. 
Tietosuoja-asetuksen soveltamisalan ulkopuolelle jää henkilötietojen käsittely poliisi- ja oikeudellisessa yhteistyössä, josta säädetään uudessa tietosuojadirektiivissä. Muilta osin direktiivissä tarkoitettujen viranomaisten suorittamaan henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta. Kansallisen täytäntöönpanon yhteydessä tulee kiinnittää huomiota mahdollisiin rajanvetotilanteisiin viranomaisten toimintaedellytysten varmistamiseksi. 
Hallintovaliokunta pitää tärkeänä, että henkilötietojen suojaa koskevaa EU-sääntelyä yhdenmukaistetaan ja yksinkertaistetaan siten, että samalla säilytetään tietosuojan korkea taso. Nykyistä henkilötietodirektiiviä säädettäessä useilla jäsenmailla oli asiasta jo omaa lainsäädäntöä, eikä direktiivillä ole saatu aikaan riittävää yhdenmukaisuutta. Valiokunnan mielestä asetustasoista sääntelyä voidaan tässä pitää perusteltuna ratkaisuna. Huomionarvoista on, että asetuksessa annetaan poikkeuksellisen paljon kansallista liikkumavaraa, joka mahdollistaa jäsenvaltiolle säilyttää tai antaa tarkentavaa kansallista sääntelyä esimerkiksi julkisen sektorin erityispiirteisiin tai työelämän erityissääntelyyn liittyen. 
Ehdotus tietosuoja-asetukseksi sisältää enemmän ja huomattavasti yksityiskohtaisempaa sääntelyä kuin nykyinen henkilötietodirektiivi. Osaksi se johtuu siitä, että asetus on suoraan sovellettavaa oikeutta, jolloin yksityiskohtaisempaa sääntelyä ei voida jättää samalla tavoin kansallisesti säädettäväksi kuin direktiivin implementoinnissa. Osaksi asetustekstin yksityiskohtaisuus on seurausta siitä, että komissiolle ehdotettua ohjausvaltaa on — Suomenkin tavoitteiden mukaisesti — haluttu karsia. Asetustekstiä on selkeytetty ja yksinkertaistettu verrattuna komission antamaan asetusehdotukseen, mutta tekstin selkeydessä on edelleen toivomisen varaa. Tähän vaikuttaa osaltaan se, että asetusehdotukseen on tehty neuvottelujen kuluessa useita muutosehdotuksia eri jäsenmaiden taholta ja muutoksia on tehty myös kolmikantaneuvotteluissa, joten käsillä oleva asetusteksti on monella tavoin kompromissi. 
Valiokunta pitää tärkeänä, että Suomi on osallistunut aktiivisesti neuvotteluihin. Kaikkia neuvottelutavoitteita ei ole saavutettu. Suomi on kuitenkin saavuttanut merkittäviä neuvottelutuloksia esimerkiksi kansallisen asiakirjajulkisuuden ja henkilötietojen suojan yhteensovittamisessa sekä työelämän tietosuojaa koskevan sääntelyn osalta. Rekisterinpitäjän oikeutettua etua on tarkennettu Suomen toivomalla tavalla, kuten myös sitä, että tietojen siirrettävyydestä järjestelmästä toiseen ei seuraa rekisterinpitäjille velvoitetta ottaa käyttöön ja ylläpitää keskenään yhteensopivia järjestelmiä. Keskeisiä ovat myös muun muassa säännökset sanktioista, ryhmäkanteesta, delegoiduista säädöksistä sekä rekisteröidyn oikeudesta tulla unohdetuksi. Suomen näkemykset on huomioitu myös lukuisissa muissa pienemmissä kysymyksissä. 
Puheenjohtajavaltion tavoitteena on saattaa käynnissä olevat kolmikantaneuvottelut päätökseen Eurooppa-neuvoston asettamassa määräajassa, vuoden 2015 loppuun mennessä. Asetuksesta rekisterinpitäjille aiheutuviin kustannuksiin ja hallinnolliseen taakkaan on vielä kiinnitettävä erityistä huomiota. Valiokunta tukee valtioneuvoston tavoitetta pyrkiä vielä neuvottelujen loppumetreillä yritysten, viranomaisten ja muiden rekisterinpitäjien kannalta mahdollisimman järkeviin ratkaisuihin. Valiokunta pitää myös tärkeänä, että tieteellisen tutkimuksen edellytykset turvataan. 
Hallinnollinen taakka
Suomi on pitänyt keskeisenä sitä, ettei asetuksesta seuraisi rekisterinpitäjälle kohtuutonta hallinnollista taakkaa. Valiokunta on neuvottelujen kuluessa korostanut, että tulisi pyrkiä ratkaisuihin, jotka vähentävät yritysten ja viranomaisten tarpeetonta hallinnollista taakkaa ja pitävät sääntelyn noudattamisen kokonaiskustannukset kohtuullisina siten, että samalla säilytetään tietosuojan korkea taso (mm. HaVL 6/2013 vp ja HaVL 22/2014 vp). Kokonaisarviota tehtäessä on huomioitava myös se, että henkilödirektiivin säätämisen jälkeen henkilötietojen suojasta on tullut EU:n perusoikeuskirjassa vahvistettu perusoikeus. Perusoikeuskirja asettaa reunaehdot sääntelylle. 
Asetusehdotuksesta seuraa joitakin uusia velvoitteita rekisterinpitäjälle, esimerkiksi henkilötietojen käsittelyä koskeva vaikutusarviointi asetuksessa määritetyissä tapauksissa. Tietosuojavastaavan nimittäminen on kolmikantaneuvotteluissa etenemässä suuntaan, jossa tietosuojavastaava olisi pakollinen tietyissä tilanteissa, kun se neuvoston yleisnäkemyksessä perustui kokonaan vapaaehtoisuuteen. Valiokunta viittaa tietosuojavastaavan osalta jäljempänä esitettyyn. Asetusehdotus tulee toisaalta keventämään joitain kansallisessa lainsäädännössä nykyisin olevia rekisterinpitäjän velvoitteita, jotka aiheuttavat hallinnollista taakkaa. Esimerkiksi rekisterinpitäjän velvollisuus hakea eräissä tilanteissa tietosuojalautakunnalta lupa henkilötietojen käsittelyyn on kapenemassa tai poistumassa kokonaan. Osa rekisterinpitäjistä on vapautumassa velvoitteesta laatia rekisteriseloste. 
Asetusehdotuksessa pyritään vähentämään hallinnollista taakkaa myös riskipohjaisella lähestymistavalla. Tarkoituksena on ottaa sääntelyssä huomioon henkilötietojen käsittelyyn kulloinkin liittyvät riskit ja yhtäältä välttää vähäriskisen toiminnan ylisääntelyä ja toisaalta varmistaa rekisteröidyn suoja korkean riskin toiminnassa. Esimerkiksi edellä mainittu velvollisuus arvioida henkilötietojen käsittelyn vaikutuksia koskee vain korkean riskin toimintaa. Korkean riskin kriteereistä on annettu suuntaviivoja johdanto-osan lausekkeessa (mm. HaVL 22/2014 vp). Myös velvollisuutta ilmoittaa tietoturvaloukkauksista on rajattu. 
Asetusehdotuksessa säädetään ns. sisäänrakennetusta ja oletusarvoisesta tietosuojasta, joka koskee rekisterinpitäjän suunnitteluvelvollisuutta. Sen mukaan järjestelmät, joissa henkilötietoja käsitellään, tulisi jo lähtökohtaisesti rakentaa siten, että henkilötietojen käsittely ei vaaranna rekisteröityjen yksityisyyden suojaa. Valiokunnan näkemyksen mukaan tämä on myös voimassa olevan henkilötietolain lähtökohta. Lisäksi nykyisen henkilötietolain mukaisesta henkilötietojen käytön suunnitteluvelvollisuudesta, käyttötarkoitussidonnaisuudesta ja tarpeellisuusvaatimuksesta seuraa rekisterinpitäjälle velvoitteita, jotka on huomioitava verrattaessa tietosuoja-asetuksesta johtuvaa hallinnollista taakkaa nykytilanteeseen. 
Tietosuojavastaava
Suomen henkilötietolaki ei sisällä velvollisuutta nimittää tietosuojasta vastaava henkilö. Sen sijaan tällainen velvollisuus on nykyisin asetettu toimialakohtaisesti sähköisistä lääkemääräyksistä annetussa laissa (61/2007) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007). Lakien mukainen velvollisuus koskee muun muassa apteekkeja, terveydenhuollon palveluiden antajia ja Kansaneläkelaitosta. 
Asetusehdotukseen kaavailtu velvollisuus nimittää tietosuojavastaava koskisi sekä rekisterinpitäjiä että käsittelijöitä. Velvollisuus ei kuitenkaan koskisi kaikkia rekisterinpitäjiä ja käsittelijöitä, vaan se on rajattu luonteeltaan erityisen merkitykselliseen käsittelyyn. Selvityksen mukaan velvollisuus koskisi ensinnäkin niitä tahoja, joiden toiminnan keskeisenä osana (core acitivities) on käsitellä henkilötietoja tavalla, joka edellyttää rekisteröityjen säännöllistä ja systemaattista laajamittaista valvontaa. Lisäksi velvollisuus koskisi niitä tahoja, jotka keskeisenä osana toimintaansa käsittelevät laajoja määriä arkaluonteisia tai rikosoikeudellisiin sanktioihin liittyviä tietoja. Velvollisuus nimittää tietosuojavastaava koskee myös viranomaisia, tuomioistumia koskevin poikkeuksin (court acting in their judicial capacities). 
Selvityksessä todetaan, että velvollisuus nimittää tietosuojavastaava lisää sisäisen hallinnon kustannuksia. Kustannusten lisäys voi kuitenkin eri syistä jäädä suhteellisen vähäiseksi. Ensinnäkin velvollisuus koskee erityisesti arkaluonteisia tietoja, kuten terveydentilatietoja, käsitteleviä tahoja, jotka ovat jo nykylainsäädännön perusteella velvollisia nimeämään tietosuojavastaavan. Toiseksi, vaikka nykyinen henkilötietolaki ei velvoita nimeämään tietosuojavastaavaa, esimerkiksi monet suuret ja keskisuuret yritykset ovat hallinnollisista syistä nimittäneet tietosuojavastaavan tai osoittaneet sitä vastaavat työtehtävät yhdelle tai useammalle yrityksen työntekijälle. Näin on tehty erityisesti yrityksissä, joissa tietojenkäsittely muodostaa merkittävän osan liiketoimintaa. Kolmanneksi, tehokkaasti toteutettuna tietosuojaan liittyvien tehtävien keskittäminen edistää asetuksen mukaisten velvollisuuksien tehokasta toimeenpanoa. Siten tietosuojavastaavan nimittäminen saattaa vähentää tietojenkäsittelystä aiheutuvia välillisiä ja välittömiä kustannuksia pitkällä aikavälillä. 
Valiokunnan käsityksen mukaan tietosuojavastaavan nimittämisestä aiheutuu lisäkustannuksia etenkin silloin, jos tietosuojavastaava on pelkästään tähän tehtävään palkattava uusi henkilö. Osalla yrityksistä ja viranomaisista on jo nykyisin henkilöitä, jotka vastaavat henkilötietojen käsittelyyn liittyvästä neuvonnasta muiden tehtäviensä ohella. Valiokunta pitää säännösten täytäntöönpanon ja kustannustehokkuuden kannalta tärkeänä, että tehtävä voidaan järjestää rekisterinpitäjän organisaation tai toiminnan näkökulmasta tarkoituksenmukaisella tavalla. Saadun selvityksen mukaan asetus mahdollistaa esimerkiksi sen, että tehtävän voi yhdistää muihin tehtäviin. Organisaatiot voivat myös nimetä yhteisen tietosuojavastaavan. Palvelut voidaan myös ostaa ulkoiselta palvelun tarjoajalta. 
Valiokunta katsoo, että tietosuojavastaavalla on tulevaisuudessa yhä suurempi merkitys yritysten ja viranomaisten kannalta, kun digitalisaatio etenee, sähköiset palvelut lisääntyvät ja henkilötietoja kerätään entistä enemmän. Parhaimmillaan tietosuojavastaava edistää sekä hyvän tietojenkäsittelytavan kehittämistä että hallinnon taakan vähentämistä ja vahvistaa osaamista esimerkiksi tietojärjestelmäinvestoinneissa. 
Yhden luukun periaate
Asetusehdotukseen sisältyvän ns. yhden luukun mekanismin (one-stop-shop) tarkoituksena on, että esimerkiksi yritys, joka toimii useammassa jäsenvaltiossa, voisi asioida vain yhden tietosuojaviranomaisen kanssa. Yhdenmukaisuusmekanismilla puolestaan pyritään yhdenmukaistamaan asetuksen soveltamista unionin alueella. 
Yksi Suomen keskeinen tavoite on ollut se, että mekanismien muodostamasta kokonaisuudesta tulee tehokas ja toimiva. Samalla on ollut tärkeää, että rekisteröidyn oikeudet ja aidosti käytettävissä olevat mahdollisuudet valittaa tietosuojaviranomaisen päätöksestä turvataan. Asetusehdotukseen sisältyy rekisteröidyn mahdollisuus valittaa tietosuojaviranomaisen päätöksestä. Lisäksi Euroopan tietosuojaneuvoston toimivaltuuksia on laajennettu antamalle sille oikeus tehdä sitovia päätöksiä, minkä toivotaan tehostavan mekanismin toimintaa. 
Yhden luukun mekanismin rakentamisessa hankaluutena on erityisesti se, miten yhteensovitetaan yhtäältä läheisyysperiaatteen, toisaalta rekisterinpitäjän tarpeet. Valiokunta suhtautui kompromissin pohjalta rakennettuun malliin varsin kriittisesti, mutta ei vastustanut sen hyväksymistä osana osittaista yleisnäkemystä ottaen huomioon, että osittaisessa yleisnäkemyksessä hyväksyttyihin lukuihin oli saatu neuvoteltua useita Suomelle tärkeitä muutoksia (HaVL 36/2014 vp). Sen jälkeen asetustekstiin lisättiin Suomen ja eräiden muiden jäsenvaltioiden toivoma lauseke komission velvollisuudesta arvioida yhden luukun mekanismin toimivuutta, mitä valiokunta pitää erittäin tärkeänä. 
Neuvoston omaksuma yhden luukun mekanismi ja siihen liitetty komission arviointivelvollisuus ovat saadun selvityksen mukaan säilyneet asetustekstissä myös kolmikantaneuvotteluissa. Valiokunta pitää tärkeänä, että komission arviointivelvollisuus säilyy myös asetuksen lopullisessa muodossa. 
Seuraamukset
Asetusehdotus sisältää säännöksiä hallinnollisten seuraamusten määräämisestä. Asetuksen mukaan valvontaviranomaisella olisi valtuudet langettaa hallinnollisia seuraamuksia asetuksessa luetelluista teoista määräämällä sakkoja tiettyyn enimmäismäärään asti kuhunkin tapaukseen liittyvät olosuhteet asianmukaisesti huomioon ottaen. Sanktioitavat teot on jaettu kolmeen eri luokkaan. Selvityksen mukaan kolmikantaneuvotteluissa haettu kompromissiratkaisu on euromäärältään lähempänä neuvoston yleisnäkemystä kuin parlamentin kantaa, mutta määristä ei ole vielä lopullisesti päätetty. Valiokunta pitää tärkeänä, että asetuksella säädetään ainoastaan sakkojen enimmäismäärästä. Jäsenvaltioiden viranomaisille jää siten harkinnanvaraa sakon suuruuden suhteen. Seuraamuksia määrättäessä on otettava huomioon yleiset oikeasuhtaisuuden vaatimukset. 
Hallinnollisia seuraamuksia koskeviin säännöksiin Suomen aloitteesta tehtyjä muutoksia on osittain karsittu. Artiklatekstissä on kuitenkin säilynyt muun muassa mahdollisuus antaa huomautuksia hallinnollisten sanktioiden sijaan, mitä valiokunta pitää erittäin tärkeänä. Asetusehdotuksessa luetellaan edelleen myös kriteerit, joiden pohjalta tulee arvioida, määrätäänkö hallinnollisia sanktioita ja minkä suuruisena sanktio tulisi määrätä. Suomi on neuvotteluissa tähdentänyt sitä, että kriteereissä ei saisi korostua teon ennalta arvaamattoman seurauksen merkitys. Tätä koskevat muutokset ovat säilyneet asetustekstissä. Lisäksi asetuksen johdanto-osaan sisältyy edelleen Suomen ehdottama tekstimuotoilu, joka korostaa huomautusten käyttömahdollisuutta tilanteissa, joissa kyse on vähäisistä rikkomuksista tai sakko olisi luonnolliselle henkilölle kohtuuton seuraamus. 
Kolmikantaneuvotteluissa on haettu kompromissia neuvoston yleisnäkemyksen sanktioita koskevan artiklan ja parlamentin hyväksymän ns. blankkorangaistussäännöksen välillä. Parlamentin huoleen siitä, ettei kaikkia rikkomuksia ole lueteltu sanktioartiklassa, on löydetty ratkaisu Suomen ehdottamalla kompromissilla, jonka mukaan sanktiointi on mahdollista, jos tietosuojaviranomaisen määräystä ei ole noudatettu. Valiokunta tähdentää Suomelle keskeisten periaatteiden säilymistä myös neuvottelujen loppuvaiheessa. 
Työelämän tietosuoja ja palkkatilastointi
Valiokunta on aiemmissa lausunnoissaan useamman kerran kiinnittänyt huomiota siihen, miten Suomen työelämän tietosuojasääntely istuu ehdotettuun kokonaisuuteen ja miten työelämän erityispiirteet tulevat asetusehdotuksessa huomioon otetuiksi (HaVL 22/2014 vp, HaVL 30/2014 vp, HaVL 2/2015 vp). Valiokunta pitää erittäin tärkeänä, että työelämän erityissääntely on tunnustettu asetuksen IX luvussa. 
Yksi keskeinen kysymys liittyy palkkatilastoihin, joita Suomessa tuottavat työnantajajärjestöt. Elinkeinoelämän keskusliiton tuottaman palkkatilastoinnin pohjalta laaditaan selvityksiä ja laskelmia, joita hyödynnetään työmarkkinajärjestöjen välisissä työehtosopimusneuvotteluissa sekä ansiokehityksen seurannassa eri aloilla ja henkilöstöryhmissä. Elinkeinoelämän keskusliitto luovuttaa keräämänsä palkkatilastoaineiston myös Tilastokeskukselle, joka käyttää aineistoa sen julkaiseman virallisen palkkatilaston osana. Hallintovaliokunta on korostanut sen varmistamista, ettei asetusehdotus merkitse sääntelyn kiristymistä niin, että nykyisenkaltainen palkkatilastointi kävisi mahdottomaksi. 
Saadun selvityksen mukaan palkkatilastointia koskevat kysymykset voidaan hoitaa asetukseen ehdotetulla kansallisella liikkumavaralla, josta säädetään asetuksen 6 artiklan 1 kohdan c) ja e) alakohdissa. Mikäli järjestöjen palkkatilastoinnin turvaaminen edellyttää kansallista lainsäädäntöä asiasta, asetusluonnos antaa tähän mahdollisuuden. Valiokunta painottaa, että kansallinen liikkumavara on säilytettävä myös neuvottelujen loppuvaiheissa. 
Tietosuoja-asetuksen taloudellisista vaikutuksista
Valtioneuvoston kirjelmään sisältyy tietosuoja-asetuksen taloudellisia vaikutuksia koskeva jakso, jossa vaikutuksia on arvioitu pääasiassa suomalaisten yritysten kannalta. Selvityksen mukaan yrityksille aiheutuu sekä hallinnollisten velvoitteiden muodossa välittömästi syntyviä kustannuksia että ennen kaikkea merkittäviä välillisiä kustannuksia, joiden taustalla ensisijaisesti on asetuksen pohjalta määriteltävä yritysten riskiprofiili sekä mahdollisuus joutua kilpailuoikeudellisen sääntelyn tyyppisten hallinnollisten seuraamusmaksujen kohteeksi. Selvityksessä arvioidaan myös yksittäisten velvoitteiden aiheuttamia taloudellisia vaikutuksia. 
Myös yrityksille syntyvät hyödyt ryhmitellään välittömiin ja välillisiin. Suomalaisille viranomaisille tehtävien ilmoitusten vähentäminen ja tietosuojalautakunnalle esitettävien lupahakemusten poistaminen vähentävät kaikenlaisten yritysten hallinnollisia kustannuksia. Suurimmat vaikutukset asetuksen myötä vähentyvistä hallinnollisista ilmoitusvelvollisuuksista kohdistuvat Suomessa erityisesti sellaisiin yrityksiin, joilla on liiketoimintaa eri EU-maissa. Sääntelyn yhdenmukaistaminen nopeuttaa unionin laajuisen liiketoiminnan aloittamista sekä vähentää rajat ylittävän liiketoiminnan kustannuksia. Sääntelyn yhdenmukaistaminen myös lisää oikeusvarmuutta pitemmällä aikavälillä. Yhdenmukaistetun valvonnan arvioidaan keventävän yritysten hallinnollisia velvoitteita, sillä se vähentää yritysten tarvetta ja velvollisuutta asioida usean eri jäsenvaltion tietosuojaviranomaisen kanssa. 
Taloudellisia vaikutuksia koskevaan jaksoon sisältyy myös tietosuojavaltuutetun arvio tietosuoja-asetuksen vaikutuksista tietosuojavaltuutetun toimiston toimintaan ja resurssitarpeisiin. 
Hallintovaliokunta kiinnittää huomiota siihen, että kunnille aiheutuvat taloudelliset vaikutukset jäävät selvityksessä vain lyhyen luonnehdinnan varaan siitä huolimatta, että tietosuoja-asetuksella on huomattava merkitys myös kuntasektorin kannalta. Rekisterien ylläpito ja henkilötietojen käsittely ovat keskeisiä tehtäviä kuntien ja koko julkissektorin toiminnassa. Asetuksesta voidaan arvioida aiheutuvan myös kunnallisille viranomaisille hallinnollista taakkaa ja resurssien tarvetta. 
Asetusehdotus sisältää useampia säännöksiä kansallisesta liikkumavarasta julkishallinnon osalta. Ehdotuksen 6 artiklan 2 a ja 3 kohdat antavat valtuudet kansallisesti säätää tarkentavasti henkilötietojen käsittelystä viranomaistoiminnassa ja laissa säädettyjen tehtävien hoidossa. Lisäksi kansallisesti voi tarkentavasti säätää henkilötietojen käsittelystä yleisen edun perusteella. Ehdotuksen 79 artiklan 3 b kohdassa säädetään kansallisesta liikkumavarasta sanktioiden osalta julkishallinnolle. Julkisen sektorin liikkumavaraa on myös muissa yksittäisissä artikloissa. 
Kansallinen liikkumavara on erittäin tärkeä elementti asetuksessa, ja se tulee hyödyntää täysimääräisesti julkishallinnon hallinnollisen ja taloudellisen taakan vähentämiseksi. Suomalaiset kunnat käsittelevät henkilötietoja sekä viranomaistoimintaansa liittyen lakisääteisten tehtävien hoidossa että kunnan yleiseen toimialaan kuuluvien tehtävien yhteydessä. Valiokunta katsoo, että julkishallinnon käsitettä tulisi käyttää johdonmukaisesti tai ainakin selkeyttää kuntien ja valtion viranomaisten toiminnan kokonaiskäsitettä tulkintaepäselvyyksien välttämiseksi. 
Tietosuoja-asetuksesta aiheutuu kunnille sekä välittömiä että välillisiä kustannuksia. Välittömiin kustannuksiin vaikuttaa muun muassa tietosuojavastaavan nimittäminen, josta voi aiheutua merkittäviä kustannuksia, jos tietosuojavastaavan tehtävään joudutaan palkkaamaan uusi henkilö, mahdolliset tila- ja materiaalikustannukset mukaan lukien. Kuntaliiton arvion mukaan tietosuojavastaavan toimen täyttämisestä aiheutuisi kuntasektorilla välittömiä kustannuksia noin 35 miljoonaa euroa vuodessa ottaen huomioon myös mahdollisuus käyttää yhteistä tietosuojavastaavaa esimerkiksi kuntakonsernissa. Samalla on huomioitava myös mahdolliset tietojärjestelmien päivittämistarpeet. Valiokunnan käsityksen mukaan kustannukset ovat pienemmät, mikäli tehtävä voidaan yhdistää jonkin muun tehtävän hoitoon. 
Suurin taloudellinen vaikutus tulee kunnissakin välillisistä kustannuksista. Valiokunnan näkemyksen mukaan välillisten kustannusten lopullinen taso riippuu pitkälti kansalliseen liikkumavaraan liittyvistä ratkaisuista. Valiokunta toteaa, että julkissektorin välillisiin kustannuksiin on mahdollista merkittävästi vaikuttaa toimeenpanovaiheessa. 
Tietosuoja-asetuksesta seuraa lainsäädännön muutostarpeita ainakin julkisuuslakiin, henkilötietolakiin ja henkilötietojen käsittelyä koskevaan erityislainsäädäntöön. Kansallisen lainsäädännön kartoittaminen tarjoaa samalla tilaisuuden myös tarpeettomien normien purkuun. Lisäksi asetuksen vaatimukset on sovittava yhteen meneillään oleviin digitalisaatioon liittyviin hankkeisiin, esimerkiksi kansallisen palveluväylän lainsäädäntöön ja toimintoihin. 
Hallintovaliokunta katsoo, että tietosuoja-asetuksen kansallinen toimeenpano tulee aloittaa mahdollisimman pian asetuksen tultua hyväksytyksi. Digitalisaatiohankkeiden koordinaatio asetuksen vaatimusten kanssa on välttämätöntä, ja siihen tulee ryhtyä etupainotteisesti. Toimeenpanotyössä tulee olla laajasti edustettuna asetuksen vaikutuspiirissä olevat tahot mukaan lukien kuntasektori. 
VALIOKUNNAN LAUSUNTO
Hallintovaliokunta ilmoittaa,
että se yhtyy asiassa valtioneuvoston kantaan korostaen edellä esitettyjä näkökohtia. 
Helsingissä 14.12.2015 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Pirkko
Mattila
ps
jäsen
Thomas
Blomqvist
r
jäsen
Antti
Häkkänen
kok
jäsen
Mika
Kari
sd
jäsen
Mikko
Kärnä
kesk
jäsen
Sirpa
Paatero
sd
jäsen
Wille
Rydman
kok
jäsen
Joona
Räsänen
sd
jäsen
Vesa-Matti
Saarakkala
ps
jäsen
Mari-Leena
Talvitie
kok
varajäsen
Toimi
Kankaanniemi
ps
varajäsen
Ilkka
Kantola
sd
varajäsen
Kari
Tolvanen
kok
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Minna-Liisa
Rinne
Viimeksi julkaistu 28.5.2018 9:09