Valiokunnan lausunto
LaVL
5
2018 vp
Lakivaliokunta
Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi
Hallintovaliokunnalle
JOHDANTO
Vireilletulo
Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi (HE 9/2018 vp): Asia on saapunut lakivaliokuntaan lausunnon antamista varten. Lausunto on annettava hallintovaliokunnalle. 
Asiantuntijat
Valiokunta on kuullut: 
lainsäädäntöjohtaja
Tuula
Majuri
oikeusministeriö
lainsäädäntöneuvos
Ville
Hinkkanen
oikeusministeriö
lainsäädäntöneuvos
Tanja
Jaatinen
oikeusministeriö
lainsäädäntöneuvos
Anu
Talus
oikeusministeriö
erityisasiantuntija
Tiina
Mantere
sisäministeriö
poliisitarkastaja
Juha
Tuovinen
sisäministeriö
ylituomari
Liisa
Heikkilä
Helsingin hallinto-oikeus
neuvotteleva virkamies
Virpi
Jalkanen
Valtakunnansyyttäjänvirasto
tietosuojavaltuutettu
Reijo
Aarnio
tietosuojavaltuutetun toimisto
ylitarkastaja
Anna
Hänninen
tietosuojavaltuutetun toimisto
erityisasiantuntija
Tuula
Seppo
Suomen Kuntaliitto
varapuheenjohtaja
Elias
Aarnio
Electronic Frontier Finland - Effi ry
johtaja
Hannu
Rautiainen
Elinkeinoelämän keskusliitto EK ry
asianajaja
Jukka
Lång
Suomen Asianajajaliitto
professori
Sakari
Melander
professori
Olli
Mäenpää
Valiokunta on saanut kirjallisen lausunnon: 
Vantaan käräjäoikeus
Oikeusrekisterikeskus
Poliisihallitus
Kirkkohallitus
Kansaneläkelaitos
Ahvenanmaan maakunnan hallitus
Suomen Asiakastieto Oy
Kaupan liitto ry
Keskuskauppakamari
Suomen Yrittäjät ry
professori
Kimmo
Nuotio
VALIOKUNNAN PERUSTELUT
Yleistä
Euroopan unionin yleinen tietosuoja-asetus (jäljempänä asetus) on tullut voimaan 24.5.2016, ja sen soveltaminen alkaa 25.5.2018. Asetus koskee lähtökohtaisesti kaikkea henkilötietojen käsittelyä yksityisellä ja julkisella sektorilla. Poliisin, syyttäjien, tuomioistuinten ja muiden toimivaltaisten viranomaisten henkilötietojen käsittelyä rikosasioissa koskee kuitenkin asetuksen kanssa samaan aikaan hyväksytty nk. rikosasioiden tietosuojadirektiivi (direktiivi luonnollisten henkilöiden suojelusta toimivaltaisen viranomaisen suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta, (EU) 2016/680). Asetus ja direktiivi muodostavat keskeisen osan niin sanotusta tietosuojapaketista, jonka tarkoituksena on nykyaikaistaa ja yhdenmukaistaa EU:n tietosuojalainsäädäntöä. Kyseessä on merkittävä lainsäädäntöuudistus, jonka tavoitteena on vahvistaa yksilön oikeuksia ja tehostaa täytäntöönpanon valvontaa. Taustalla on informaatioteknologian nopea kehittyminen ja jäsenvaltioiden henkilötietojen suojaa koskevien säännösten hajanaisuus ja epäyhtenäisyys.  
Asetus on jäsenvaltioissa suoraan sovellettavaa oikeutta, ja sen sääntely on yksityiskohtaista ja kattavaa. Hallituksen esityksen tarkoituksena on antaa asetusta täydentävä ja täsmentävä lainsäädäntö siltä osin kuin tällaiset kansalliset säännökset ovat yleisen tietosuoja-asetuksen mukaan mahdollisia ja tarpeellisia. Ehdotettua kansallista lainsäädäntöä sovelletaan asetuksen kanssa rinnakkain. Rikostietosuojadirektiivin kansalliseksi täytäntöönpanemiseksi on annettu erillinen hallituksen esitys, joka myös on parhaillaan eduskunnan käsiteltävänä (HE 31/2018 vp). 
Lakivaliokunta keskittyy lausunnossaan toimialansa mukaisesti oikeusturvaan ja seuraamuksiin. 
Seuraamukset
Seuraamusjärjestelmän tehostaminen
Yleisen tietosuoja-asetuksen yhtenä keskeisenä tavoitteena on tehostaa seuraamusjärjestelmää. Asetuksen mukaan tämä edellyttää EU:n alueella saman tasoisia valtuuksia valvoa henkilötietojensuojaa koskevien sääntöjen noudattamista ja saman tasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa (johdanto-osan kappale 11). Tämän mukaisesti asetus sisältää varsin kattavat ja yksityiskohtaiset säännökset seuraamusjärjestelmästä ja valvontaviranomaisen toimivaltuuksista. 
Asetuksessa säädetään valvontaviranomaisen korjaavista toimivaltuuksista (58 artiklan 2 kohta), joita ovat muun muassa rekisterinpitäjälle tai henkilötietojen käsittelijälle annettava varoitus tai huomautus siitä, että aiotut käsittelytoimet ovat asetuksen vastaisia (a ja b alakohta), sekä käsittelyn väliaikainen tai pysyvä rajoittaminen, mukaan lukien käsittelykielto (f alakohta). Korjaavien toimenpiteiden lisäksi tai niiden sijasta valvontaviranomainen voi määrätä hallinnollisen sakon (i alakohta).  
Hallinnollisten sakkojen määräämisen yleisistä edellytyksistä säädetään asetuksen 83 artiklassa. Artiklan 4 kohdassa lueteltujen säännösten rikkomisesta määrättävä hallinnollinen sakko voi olla suuruudeltaan enintään 10 000 000 euroa tai, jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Kyseisessä kohdassa tarkoitettuja rikkomuksia ovat muun muassa toimiminen vastoin 31 artiklassa säädettyä yhteistyövelvoitetta valvontaviranomaisen kanssa sekä toimiminen vastoin 33 ja 34 artiklassa säädettyjä velvollisuuksia ilmoittaa valvontaviranomaiselle ja rekisteröidylle henkilötietojen tietoturvaloukkauksesta. Artiklan 5 kohdassa tarkoitetuissa tapauksissa hallinnollinen sakko on enintään 20 000 000 euroa tai, jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Kyseinen kohta koskee muun muassa rekisteröityjen 12—22 artiklan mukaisten oikeuksien rikkomista. 
Asetuksen soveltamisen myötä kansallisen valvontaviranomaisen toimivaltuudet laajenevat merkittävästi suoraan asetuksen nojalla. Tämä merkitsee huomattavaa muutosta Suomen nykytilaan. 
Hallinnollisen sakon määräämisessä ja sen suuruutta arvioitaessa on asetuksen 83 artiklan 2 kohdan mukaan otettava huomioon useita seikkoja, kuten rikkomisen luonne, vakavuus ja kesto, vahingollisuus ja toistuvuus samoin kuin rikkomisen tahallisuus ja tuottamuksellisuus. Sääntely ei näin ollen perustu ankaraan vastuuseen eikä käännettyyn todistustaakkaan, mikä on perusteltua Euroopan ihmisoikeussopimuksessa ja perustuslain 21 §:ssä tarkoitetun oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon kannalta. Näiden takeiden noudattaminen on hallinnollisen sanktion määräämisessä tärkeää, koska hallinnollisessa sakossa on asiallisesti kyse rangaistusluonteisesta taloudellisesta seuraamuksesta, jonka Euroopan ihmisoikeustuomioistuin ja perustuslakivaliokunta ovat katsoneet rinnastuvan rikosoikeudelliseen seuraamukseen. Toisaalta, kuten perustuslakivaliokunta on todennut esityksestä antamassaan lausunnossa (PeVL 14/2018 vp, s. 18), kohdassa mainittujen seikkojen keskinäisen suhteen arvioimiseen jää merkittävästi harkinnanvaraa. Niin ikään harkinnanvaraa jää hallinnollisen sakon suuruuden arvioimiseen, sillä asetuksessa asetetaan vain sakon enimmäistaso. Lakivaliokunta korostaakin oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon takeiden huomioon ottamista hallinnollista sakkoa määrättäessä ja pitää tärkeänä, että asetukseen on sisällytetty nimenomaiset säännökset siitä, että valvontaviranomaisen toimivaltuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia (83 artiklan 8 kohta sekä 58 artiklan 4 kohta). 
Asetuksen 84 artiklassa edellytetään, että jäsenvaltiot vahvistavat säännöt asetuksen rikkomisten vuoksi määrättäviä seuraamuksia varten erityisesti niiden rikkomisten osalta, joihin ei 83 artiklan nojalla sovelleta hallinnollisia sakkoja. Asetuksesta ilmenee lisäksi, että tällaisia kansallisia sääntöjä voidaan vahvistaa tarvittaessa myös muissa tapauksissa, esimerkiksi silloin, kun kyseessä on asetuksen vakava rikkominen (johdanto-osan kappale 152). Tällaisten seuraamusten luonne olisi määriteltävä jäsenvaltion lainsäädännössä, ja ne voivat olla joko rikosoikeudellisia tai hallinnollisia. 
Vaikka asetuksen seuraamuksia koskeva sääntely on varsin yksityiskohtaista, kansalliseen lainsäädäntöön on tarpeen sisällyttää täydentäviä säännöksiä muun muassa asetuksen 83 artiklassa tarkoitettujen hallinnollisten sakkojen määräämisestä. Lisäksi on annettava kansalliset säännökset sellaisia tilanteita varten, joihin ei sovelleta asetuksessa tarkoitettuja hallinnollisia sakkoja, ja määriteltävä, ovatko ne rikosoikeudellisia tai hallinnollisia seuraamuksia. Lisäksi on arvioitava, onko tällaisia kansallisia säännöksiä tarpeen antaa sellaisia tilanteita varten, joissa asetusta on rikottu vakavasti.  
Hallinnollisen seuraamusjärjestelmän ja rikosoikeudellisen seuraamusjärjestelmän suhde
Asetuksen seuraamusjärjestelmä merkitsee kansallisesti merkittävää muutosta, sillä asetuksen seuraamukset perustuvat vahvasti kansallisen valvontaviranomaisen määräämiin hallinnollisiin seuraamuksiin. Nykyinen kansallinen järjestelmämme perustuu sen sijaan tuomioistuimen määräämiin rikosoikeudellisiin seuraamuksiin. Rikoslain 38 luvun 9 § sisältää hyvin laajan henkilörekisteririkoksen tunnusmerkistön, johon voi syyllistyä kuka tahansa, joka tahallaan tai törkeästä huolimattomuudesta käsittelee henkilötietoja vastoin henkilötietolain käyttötarkoitussidonnaisuutta, käsittelyn yleisiä edellytyksiä, henkilötietojen tarpeellisuutta tai virheettömyyttä, arkaluonteisia tietoja, henkilötunnusta tai henkilötietojen käsittelyä erityisiä tarkoituksia varten koskevia säännöksiä.  
Koska seuraamusjärjestelmä perustuu vastaisuudessa lähtökohtaisesti suoraan asetuksen 83 artiklan mukaisiin hallinnollisiin sakkoihin ja artikla kattaa laajasti asetuksen vastaisen menettelyn, hallituksen esityksessä katsotaan, ettei nykyisen rikoslain 38 luvun 9 §:n mukainen hyvin laaja kriminalisointi ole enää perusteltu. Esityksessä ehdotetaan sen vuoksi, että nykyinen kriminalisointi kumotaan ja korvataan sellaisella rangaistussäännöksellä, jonka mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä (s. 124). Esityksen mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa (s. 128). 
Hallituksen esityksen perusteluista saa sellaisen kuvan, että rikosoikeudellinen vastuu koskee jatkossa vain tilanteita, joissa lainvastainen menettely ei kuulu asetuksessa säädetyn hallinnollisen sakon soveltamisalaan ja joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Toisin sanoen niissä tapauksissa, joissa kyse on asetuksen tarkoittamasta rekisterinpitäjästä tai henkilötietojen käsittelijästä, jonka lainvastainen menettely kuuluu asetuksessa tarkoitetun hallinnollisen sakon piiriin, rikosoikeutta ei käytetä lainkaan. Asetuksen tarkoittamia hallinnollisia sakkoja ja rikosoikeudellista järjestelmää ei tällöin miltään osin käytettäisi päällekkäin. 
Lakivaliokunnan näkemyksen mukaan edellä esitetty pitää paikkansa kuitenkin vain osittain. Tämä johtuu siitä, että tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä ja henkilötietojen käsittelijä on rajattu henkilötietojen hankkimista, luovuttamista ja siirtämistä koskevan ehdotetun rikoslain 38 luvun 9 §:n 1 momentin soveltamisalan ulkopuolelle, mutta ei kyseisen tietoturvaloukkauksia koskevan 2 momentin ulkopuolelle. Jälkimmäinen rangaistussäännös on tekijäpiiriä koskevalta soveltamisalaltaan yleinen. 
Oikeusministeriöltä esityksen valiokuntakäsittelyn aikana saatujen tietojen mukaan esityksen lähtökohtana on ollut, että hallinnollisten seuraamusten käyttöalaa laajennettaessa samalla kumotaan vastaavia tekoja koskevat rangaistussäännökset. Henkilötietojen turvallisuuden osalta tämä ei kuitenkaan ole osoittautunut perustelluksi. Taustalla on se, että tietosuoja-asetuksessa henkilötietojen turvallisuudesta säädetään muun muassa 32—34 artiklassa. Asetuksen 83 artiklan 4 kohdan a alakohdan mukaan mainittujen säännösten velvollisuuksien rikkomisesta määrätään hallinnollinen sakko. Tietoturvaa koskevista velvollisuuksista säädetään kuitenkin myös muissa ehdotetun rikoslain 38 luvun 9 §:n 2 momentissa viitatuissa säädöksissä, eikä näiden rikkomista ole pääsääntöisesti sanktioitu asetuksessa tarkoitetulla hallinnollisella sakolla. Tällöin voi syntyä tilanteita, joissa tekokokonaisuuteen voivat tulla sovellettaviksi sekä asetuksen että muun lainsäädännön tietoturvasäännökset. Tämän vuoksi oikeusministeriö katsoo, että tilanteissa, joissa asetuksessa säädetyt hallinnolliset seuraamukset koskevat tietyn tyyppistä tekokokonaisuutta vain osittain, on perusteltua säätää rikosoikeudellisista rangaistussäännöksistä, jotka kattavat teon kokonaisuudessaan, vaikka tämä johtaa siihen, että seuraamukset ovat tällöin osin päällekkäisiä.  
Oikeusministeriön mukaan esitetty ratkaisu on perusteltu myös kaksoisrangaistavuuden kieltoon liittyvistä syistä. Euroopan ihmisoikeustuomioistuin on katsonut ratkaisussaan Sergey Zolotukhin v. Venäjä (14939/03, suuren jaoston tuomio 10.2.2009, kohta 82), että asioiden samuuden arvioinnissa keskeistä on se, onko kysymys samoista tai olennaisesti samoista tosiseikoista, ei muodollisista rangaistussäännösten tunnusmerkeistä. Kaksoisrangaistavuuden kielto saattaa siten eräissä tapauksissa estää samaa tekokokonaisuutta (samat tai olennaisesti samat tosiseikat) koskevien asioiden käsittelyn erillisissä prosesseissa, vaikka tunnusmerkistöt olisikin muotoiltu niin, että ne eivät ole muodollisesti päällekkäisiä. Edellä esitetyn vuoksi kaikkien henkilötietojen käsittelyn turvallisuutta loukkaavien tekojen ehdotetaan olevan rangaistavia. 
Lakivaliokunta arvioi hallituksen esityksessä käytettyä sääntelytapaa seuraavasti. 
Valiokunta toteaa ensinnäkin, että rangaistusluonteisten hallinnollisten seuraamusten käyttö lainsäädännössä on viime aikoina lisääntynyt. Taustalla on hallituksen pitkän aikavälin linjaus hallinnollisten sanktioiden käyttöalan laajentamisesta rikosoikeudellisten keinojen sijaan. Ajatuksena on, että rikosoikeudellista järjestelmää ei tulisi rasittaa sisällyttämällä sen piiriin kaikkein lievimpiä yhteiskunnalle vain vähän haittaa aiheuttavia tekoja. Tämän mukaisesti hallinnollisten seuraamusten on katsottu soveltuvan ennen kaikkea tilanteisiin, joissa on kysymys vähäisistä rikkomuksista tai laiminlyönneistä ja joissa maksun määrääminen voi tapahtua verraten yksinkertaisessa menettelyssä hallintoviranomaisessa. Esimerkkinä tällaiselle linjaukselle pohjautuvasta hallinnollisten seuraamusten käyttöalan laajentamisesta on liikennevirhemaksu, jonka ehdotetaan korvaavan suurimman osan rikesakoista (HE 180/2017 vp). 
Rangaistusluonteisten hallinnollisten seuraamusten käyttö on lisääntynyt myös EU-lainsäädännön seurauksena. Esimerkiksi finanssimarkkinoiden väärinkäyttöä koskeva sääntely mahdollistaa hallinnollisten seuraamusmaksujen määräämisen sääntelyn rikkomisesta, ja tällaiset seuraamusmaksut voivat määrältään olla hyvin ankaria (Finanssivalvonnasta annettu laki 878/2008). Vastaavanlaista sääntelyä sisältyy rahanpesun ja terrorismin estämisestä annettuun lakiin (444/2017). Näissä sääntelykokonaisuuksissa hallinnollisia seuraamuksia käytetään rikosoikeudellisten keinojen kanssa rinnakkain siten, että vakavimpia tekoja koskee myös rikosvastuun toteuttamisen mahdollisuus (ks. esim. LaVL 8/2016 vpHE 65/2016 vp, s. 2). Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä hallinnollinen seuraamusmaksu on rinnastettu rikosoikeudelliseen rangaistukseen, jolloin samasta teosta ei voida määrätä sekä hallinnollista seuraamusmaksua että rikosoikeudellista seuraamusta. Kaksoisrangaistavuuden kielto eli ne bis in idem -sääntö ei merkitse ehdotonta kieltoa säätää aineellisesti päällekkäisistä tunnusmerkeistä, mutta hallinnollisten seuraamusmaksujen ja rikosoikeudellisten seuraamusten käyttö tulee sovittaa menettelyllisesti yhteen. 
Hallituksen esityksessä ehdotettu ratkaisu merkitsee rikosoikeudellisten rangaistusten merkittävää vähenemistä henkilötietoja koskevassa sääntelyssä ja siirtymistä hallinnollisiin seuraamuksiin. Rikoslain nykyisen henkilörekisteririkoksen soveltamisalan kaventaminen ehdotetuin tavoin merkitsee siten varsin laaja-alaista dekriminalisointia. Edes vakavimmatkaan teot eivät ole rikosoikeudellisen järjestelmän, vaan hallinnollisen seuraamusmaksun piirissä. Tämä on poikkeuksellista, koska rikosoikeudellisen rangaistuksen katsotaan lähtökohtaisesti ilmentävän hallinnollista seuraamusta suurempaa moitittavuutta. Silloin, kun asetuksen tarkoittamaa hallinnollista sakkoa ja rikosoikeudellista seuraamusta ei käytetä rinnakkain, myöskään hallinnollinen seuraamusmenettely ja rikosoikeudellinen prosessi eivät ole mahdollisia rinnakkain. 
Kansallisessa tietosuojasääntelyssä olisi voitu harkita sellaistakin vaihtoehtoa, jossa hallinnolliset seuraamusmaksut ja rikosoikeudellinen järjestelmä olisivat olleet rinnakkaisia asetuksen mahdollistamissa rajoissa. Kuten edellä on todettu, kansallisia sääntöjä voidaan asetuksen mukaan vahvistaa tarvittaessa myös esimerkiksi silloin, kun kyseessä on asetuksen vakava rikkominen (johdanto-osan kappale 152), mutta tämä ei kuitenkaan saa johtaa ne bis in idem -periaatteen rikkomiseen (johdanto-osan kappale 149). Kuten edellä esitetystä ilmenee, tällaista sääntelytapaa on aiemmin käytetty EU-lainsäädännön täytäntöönpanossa.  
Saamaansa selvitystä kokonaisuutena arvioituaan valiokunta on kuitenkin päätynyt pitämään perusteltuna sitä, että nyt käsillä olevan EU-asetuksen soveltamisalalla siirrytään mahdollisimman laaja-alaisesti käyttämään pelkästään asetuksen hallinnollisia seuraamuksia, koska hyvin merkittävä osa sääntelystä — myös seuraamusjärjestelmän osalta — tulee suoraan asetuksesta ja asetus edellyttää hallinnollisten sakkojen määräämistä siinä säädetyissä tapauksissa. Ottaen huomioon, että asetus mahdollistaa hyvinkin ankarien hallinnollisten sakkojen määräämisen, vakavienkaan tietosuoja-asetuksen rikkomisten saattaminen rikosoikeudellisen järjestelmän piiriin ei käsillä olevassa sääntelytilanteessa ole välttämätöntä eikä tarpeellista. Valiokunta korostaakin, ettei dekriminalisointi tässä tapauksessa merkitse sitä, että suhtautuminen rangaistaviksi säädettyihin tekoihin olisi lieventynyt, eikä sitä, että teot jäisivät jatkossa ilman seuraamuksia. Lisäksi on otettava huomioon, että sellainen sääntelytapa, jossa hallinnollinen ja rikosoikeudellinen seuraamusjärjestelmä eivät ole päällekkäisiä, on sekä lainsäädännön että käytännön kannalta selkeä ja takaa varmimmin sen, ettei kaksoisrangaistavauuden kieltoa rikota. 
Mainittua lähtökohtaa ei kuitenkaan ole voitu toteuttaa yhtenäisesti. Se, että henkilötietojen turvallisuutta loukkaavat teot ovat sekä asetuksen tarkoittamien hallinnollisten sakkojen että rikosoikeudellisten seuraamusten piirissä, monimutkaistaa sääntelyä ja vaikeuttaa säännösten soveltamista. Oikeusministeriön toimittamien lisätietojen valossa ja ottaen huomioon päällekkäisyyden kapea-alaisuus ehdotettu sääntelytapa on kuitenkin valiokunnan mielestä hyväksyttävä.  
Lopuksi lakivaliokunta toistaa pitävänsä ongelmallisena sitä, että hallinnollisia seuraamuksia koskeva sääntely on hyvin hajanaista ja epäyhtenäistä ja ettei Suomessa ole yhtenäisesti ja johdonmukaisesti kehitetty hallinnollisten sanktioiden ja niiden määräämismenettelyn sääntelyä (ks. esim. LaVL 3/2017 vp). Rangaistusluonteisten hallinnollisten seuraamusten käytön yleistyminen ja se, että sääntelyratkaisut eri hallinnonaloilla vaihtelevat, korostavat tarvetta arvioida hallinnollisten sanktioiden järjestelmää ja sitä, tulisiko useisiin eri lakeihin perustuvien hallinnollisten sanktioiden käyttöä säännellä nykyistä yhtenäisemmin. 
Tietosuojavaltuutettu hallinnollisen seuraamusmaksun määrääjänä
Asetuksen 58 artiklan 2 kohdan i alakohdan mukaan valvontaviranomaisella on toimivaltuudet määrätä asetuksen 83 artiklassa tarkoitettu hallinnollinen sakko. Asetuksen 83 artiklan 9 kohdan mukaan hallinnollisen sakon voi määrätä eräissä tilanteissa valvontaviranomaisen sijaan tuomioistuin. Kyseinen mahdollisuus koskee kuitenkin ainoastaan Tanskaa ja Viroa, mikä käy ilmi asetuksen johdanto-osan kappaleesta 153. Suomella ei siten ole kansallista harkintamarginaalia säätää menettelystä, jossa hallinnollisen seuraamusmaksun määräisi valvontaviranomaisen sijaan tuomioistuin.  
Esityksessä ehdotetaan, että asetuksessa tarkoitettuna kansallisena valvontaviranomaisena on tietosuojavaltuutettu (tietosuojalakiehdotuksen 8 §). Ehdotuksesta seuraa, että Suomessa asetuksen tarkoittaman hallinnollisen sakon määrää tietosuojavaltuutettu. Sitä, että hallinnollinen sakko, joka voi määrältään olla erittäin suuri, olisi tällä tavalla näin yksittäisen virkamiehen määrättävissä, on lakivaliokunnan asiantuntijakuulemisissa arvosteltu hyvin voimakkaasti. Tietosuojavaltuutettu ei nykyisin voi määrätä hallinnollista seuraamusmaksua. Yleinen näkemys on sen sijaan ollut, että tällainen päätös tulisi tehdä laajapohjaisella kokoonpanolla.  
Lakivaliokunta toteaa, että kansallisesti meillä on hallinnollisia seuraamusmaksuja, jotka määrää hallintoviranomainen. Toisaalta esimerkiksi finanssimarkkinoiden valvonnassa, jossa on mahdollista määrätä ankaria hallinnollisia seuraamusmaksuja, seuraamusmaksun määrääminen on tietyissä tilanteissa osoitettu monijäseniselle toimielimelle, Finanssivalvonnan johtokunnalle. Lisäksi on hallinnollisia seuraamusmaksuja, joista päättää tuomioistuin. Tällaisia ovat esimerkiksi markkinaoikeuden kilpailulain (948/2011) nojalla määräämät seuraamusmaksut.  
Hallituksen esityksestä ilmenee, että esityksen valmistelussa on esillä ollut vaihtoehto, jossa hallinnollisen seuraamusmaksun määrää seuraamuslautakunta. Oikeusministeriöltä saatujen tietojen mukaan kyseinen vaihtoehto olisi edellyttänyt, että valvontaviranomainen olisi organisoitu virastomuodossa. Työryhmän ehdotuksen mukaan tietosuojavirastossa olisi toiminut sekä tietosuojavaltuutettu että seuraamuslautakunta. Tietosuojavaltuutetun toimiston hallinnollisorganisatorista rakennetta ei kuitenkaan ollut mahdollista toteuttaa työryhmän ehdottomalla tavalla, koska tämä olisi edellyttänyt pidempää valmisteluaikaa. 
Lisäksi oikeusministeriö on tuonut esiin, että vaikka jäsenvaltiot voivat asetuksen mukaan organisoida valvontaviranomaisen siten, että jäsenvaltiossa on yhtä useampi valvontaviranomainen (51 artikla), asetus ei jätä kansallista harkintamarginaalia valvontaviranomaisen organisoimiseksi siten, että valvontaviranomaisen valtuuksia olisi jaettu useamman viranomaisen välillä. Tämä johtuu siitä, että asetus edellyttää, että jokaisella valvontaviranomaisella on lähtökohtaisesti kaikki asetuksen mukaiset toimivaltuudet (58 artikla). Edellä esitetyn vuoksi sellainen seuraamuslautakuntamalli, jossa erillinen viranomainen päättäisi seuraamusmaksun suuruudesta, ei tule kyseeseen.  
Oikeusministeriö on kiinnittänyt huomiota myös siihen, että kun kyse on rajat ylittävästä henkilötietojen käsittelystä, asian aineellisoikeudellinen kysymys ratkaistaan EU:n tasolla valvontaviranomaisten välisessä yhteistyömenettelyssä, mikä tarkoittaa monijäsenisen kokoonpanon käsittelyä. Tällöin kansallisen valvontaviranomaisen ratkaistavaksi jää seuraamusmaksun suuruudesta päättäminen. 
Perustuslakivaliokunta on kuitenkin esityksestä antamassaan lausunnossa (PeVL 14/2018 vp, s. 19 ja 20) katsonut, että ehdotetun kaltainen hallinnollista seuraamusmaksua koskeva päätöksentekomenettely on perustuslain 21 §:n vastainen ja että hallinnollisesta seuraamusmaksusta päättäminen tulee säätää monijäsenisen toimielimen tehtäväksi. Tällaisen muutoksen tekeminen on perustuslakivaliokunnan mukaan edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 
Myös lakivaliokunta katsoo, että asetuksessa tarkoitettujen hallinnollisten sakkojen määrääminen on perusteltua kansallisesti osoittaa monijäseniselle toimielimelle ottaen huomioon, että sanktioluonteiset maksut voivat asetuksen nojalla nousta määriltään hyvinkin korkeiksi. Kyse on siten erittäin merkittävästä toimivaltuudesta. Se, millainen toimielin tästä päättää ja millaisessa menettelyssä, on siten erittäin merkityksellistä maksun kohteen oikeusturvan kannalta. Monijäsenisen toimielimen päätöksentekoa puoltaa myös se, että niissä tapauksissa, joissa asetuksen rikkominen kuuluu hallinnollisen sakon piiriin, rikosoikeudellisten seuraamusten käytöstä pääasiallisesti luovutaan, jolloin edes vakavimmatkaan asetuksen rikkomiset eivät tule tuomioistuimen arvioitaviksi. 
Oikeusministeriö on perustuslakivaliokunnan lausunnon johdosta esittänyt, että hallinnollisten seuraamusten määräämismenettelyä kehitettäisiin tässä yhteydessä luomalla tietosuojavaltuutetun toimistoon monijäseninen kokoonpano, joka muodostuisi tietosuojavaltuutetusta ja apulaisvaltuutetuista. Tällöin tietosuojalakiehdotuksen 9 §:ää tulisi täsmentää siten, että tietosuojavaltuutetun toimistossa on vähintään kaksi apulaisvaltuutettua. Tällä muutoksella voitaisiin varmistaa, että apulaisvaltuutettuja on riittävä määrä monijäsenisen kokoonpanon muodostamiseksi.  
Lisäksi hallinnollista seuraamusmaksua koskevassa 25 §:ssä tulisi oikeusministeriön mukaan säätää siitä, että tietosuojavaltuutettu ja apulaisvaltuutetut yhdessä määräisivät hallinnollisen seuraamusmaksun. Niin ikään tulisi säätää seuraamusmaksun määräämistä koskevasta menettelystä siten, että seuraamusmaksua koskeva asia olisi aina ratkaistava esittelystä. Tästä olisi tarpeen säätää erikseen, koska tietosuojavaltuutettu voi tietosuojalakiehdotuksen 15 §:n mukaan päättää asian ratkaisemisesta myös ilman esittelyä. Lisäksi tulisi säätää, että äänten mennessä tasan monijäsenisen kokoonpanon kannaksi tulisi se kanta, joka on lievempi seuraamusmaksun kohteen kannalta.  
Oikeusministeriön mukaan hallinnollista seuraamusmaksua koskevan asian valmistelisi ja sen esittelisi tietosuojavaltuutetun toimiston esittelijä. Monijäsenisen kokoonpanon varmistamiseksi apulaistietosuojavaltuutetun sijaistamisesta voitaisiin määrätä tietosuojavaltuutetun toimiston työjärjestyksessä. Oikeusministeriön mukaan näistä asioista ei olisi tarpeellista ottaa nimenomaisia säännöksiä tietosuojalakiin. 
Lakivaliokunta pitää edellä kuvattua oikeusministeriön esittämää kokoonpanoa ja määräämismenettelyä parannuksena hallituksen esitykseen nähden. Voidaan myös arvioida, että esitetyn kokoonpanon käyttöönotto olisi mahdollista toteuttaa käytännössä suhteellisen ripeästi, mikä on tärkeää ottaen huomioon asetuksen soveltamisen alkaminen. Toisaalta on selvää, että esitetty kokoonpano on poikkeuksellinen. 
Lakivaliokunta pitääkin tärkeänä, että hallintovaliokunta vielä mietintövaliokuntana arvioi, onko oikeusministeriön edellä esittämä kokoonpano ja määräämismenettely perusteltu ja toteuttamiskelpoinen ja millaisia säännösmuutoksia ne edellyttäisivät. Lakivaliokunnan käsityksen mukaan tietosuojalakiehdotukseen tulisi tehdä ainakin seuraavia muutoksia.  
Tietosuojalakiehdotuksen 9 §:n 1 momenttia tarkistettaisiin esimerkiksi seuraavasti: 
Tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.  
Lisäksi tietosuojalakiehdotuksen 25 §:n uudeksi 1 ja 2 momentiksi lisättäisiin esimerkiksi seuraavat kaksi momenttia: 
Tietosuoja-asetuksen 83 artiklassa säädetty hallinnollinen sakko (hallinnollinen seuraamusmaksu) määrätään tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostamassa kokoonpanossa. Tietosuojavaltuutettu toimii kokoonpanon puheenjohtajana
Päätös tehdään esittelystä. Päätökseksi tulee se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu.  
Uusien momenttien lisäämisen vuoksi hallituksen esitykseen sisältyvän 25 §:n 1—4 momenttien numerointi muuttuisi kahta suuremmaksi. Lisäksi hallituksen esitykseen sisältyvän 25 §:n 1 momenttia tulisi tarkistaa seuraavasti:  
(Poist.) Seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta noudattaen, mitä tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tässä laissa säädetään.  
Lisäksi hallinnollisen seuraamusmaksun määräämismenettely tulisi ottaa huomioon muutoksenhakua koskevassa tietosuojalakiehdotuksen 23 §:n 1 ja 3 momentissa esimerkiksi seuraavasti: 
Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä 23 §:ssä säädettyyn päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään (1 mom.). 
Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun (poist.) päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää (3 mom.). 
Lakivaliokunta pitää tärkeänä, että jatkossa vielä selvitetään, onko hallinnollisen seuraamusmaksun määräämismenettelyä ja päätöksenteon kokoonpanoa mahdollista vielä edellä esitetystä kehittää ja vahventaa. Aiheellista olisi selvittää esimerkiksi esityksen valmistelussakin esillä ollutta vaihtoehtoa, jossa valvontaviranomainen organisoitaisiin tietosuojavirastoksi, jossa toimisi sekä tietosuojavaltuutettu että seuraamuslautakunta. Huomioon tulisi tällöin ottaa myös muiden erityisvaltuutettujen asema ja organisoiminen.  
Hallinnollinen seuraamusmaksu
Täydentävät kansalliset säännökset asetuksen 83 artiklassa tarkoitetun hallinnollisen sakon määräämisestä sisältyvät tietosuojalakiehdotuksen 25 §:ään "hallinnollisesta seuraamusmaksusta". Seuraamuksen nimi ei vastaa asetuksessa käytettyä, mutta vastaavaa käytetään muualla kansallisessa lainsäädännössä. Lakivaliokunta yhtyy perustuslakivaliokunnan lausunnossaan esittämään siitä, että asetuksessa käytetyn hallinnollisen sakon käsitteen on syytä heijastua ainakin informatiivisena täydennyksenä tietosuojalakiehdotuksen sisältöön (PeVL 14/2018 vp, s. 9). Yksi mahdollisuus on, että pykälään lisätään viittaus tietosuoja-asetuksen 83 artiklassa säädettyyn hallinnolliseen sakkoon siten kuin lakivaliokunta on edellä hallinnollisen seuraamusmaksun määräämismenettelyn yhteydessä esittänyt (uusi 1 mom.).  
Hallituksen esitykseen sisältyvän 25 §:n 1 momentin mukaan tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta. Kyseinen artikla koskee rikostuomioihin ja rikkomuksiin liittyviä henkilötietojen käsittelyä. Kansallinen säännös on tarpeen, sillä vaikka asetuksen 83 artiklassa säädetään kattavasti hallinnollisista seuraamusmaksuista ja artikla kattaa laajasti asetuksen vastaisen menettelyn, hallinnollista seuraamusmaksua ei asetuksen kyseisen artiklan nojalla voida määrätä asetuksen 10 artiklan rikkomisesta. Jos 25 §:ään lisätään lakivaliokunnan edellä esittämät kaksi uutta momenttia liittyen uuteen hallinnollisen seuraamusmaksun määräämismenettelyyn, nyt käsiteltävänä oleva momentti siirtyy pykälän 3 momentiksi.  
Hallituksen esitykseen sisältyvässä 25 §:n 2 momentissa rajoitetaan seuraamusmaksun soveltamisalaa siten, että seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Jos pykälään lisätään lakivaliokunnan edellä esittämät kaksi uutta momenttia liittyen uuteen hallinnollisen seuraamusmaksun määräämismenettelyyn, nyt käsiteltävänä oleva momentti siirtyy pykälän 4 momentiksi.  
Momentin taustalla on yleisen tietosuoja-asetuksen 83 artiklan 7 kohta, jonka mukaan jäsenvaltiot voivat asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kansallisesti hallinnollisia seuraamusmaksuja ja missä määrin. Kansallista liikkumavaraa ehdotetaan siten käytettäväksi siten, että viranomaiset ja julkishallinnon elimet suljetaan kokonaan hallinnollisen seuraamusmaksun ulkopuolelle. 
Hallituksen esityksessä ratkaisua on perusteltu (s. 56, 57, 105 ja 106) muun muassa sillä, että julkishallinnolle määrättävä hallinnollinen seuraamusmaksu on oikeusjärjestyksemme kannalta vieras menettely ja lainsäädäntömme asettaa julkishallinnolle muita erityisvaatimuksia, jotka eivät koske yksityistä sektoria. Tällaisia erityisvaatimuksia seuraa muun muassa hallinnon lainmukaisuudesta ja hallinnon yleislaeista. Henkilötietojen käsittely viranomaisissa on myös viranomaisten lakisääteinen tehtävä ja kuuluu siten virkamiehen virkavelvollisuuksiin ja virkavastuun piiriin. Virkavastuu voi käytännössä merkitä kurinpidollista, vahingonkorvausoikeudellista ja rikosoikeudellista vastuuta. Asian arvioinnissa on otettu myös huomioon se, että eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja virkamiesten toiminnan lainmukaisuutta ja sitä, että viranomaiset ja virkamiehet täyttävät velvollisuutensa. Lisäksi esityksen perusteluissa viranomaisten rajaamista hallinnollisen seuraamusmaksun ulkopuolelle perustellaan viranomaisten toiminnan budjettisidonnaisuudella, mistä seuraa, ettei hallinnollisella seuraamusmaksulla olisi viranomaiselle vastaavaa vaikutusta kuin yksityisen sektorin toimijalle. 
Ehdotusta on lakivaliokunnan asiantuntijakuulemisissa sekä kannatettu että vastustettu. Ehdotusta kannattavat ovat tuoneet pitkälti samoja perusteita esiin kuin hallituksen esityksessä. Ehdotusta vastustavat — erityisesti yksityisen sektorin edustajat — ovat muun muassa katsoneet, että ehdotus saattaa julkisen ja yksityisen sektorin toimijat keskenään eriarvoiseen asemaan sanktioriskin osalta, mitä on pidetty ongelmallisena erityisesti silloin, kun yksityisen ja julkisen sektorin toimijat toimivat samoilla markkinoilla. Niin ikään on tuotu esiin, että rikosoikeudellista virkavastuuta ei tässä yhteydessä voida suhteuttaa varsin ankaraan hallinnolliseen seuraamusmaksuun. 
Lakivaliokunnan saamien tietojen mukaan vaikuttaa siltä, että EU:n jäsenvaltiot ovat päätymässä liikkumavaran käyttämisessä keskenään erilaisiin lopputuloksiin ja että seuraamusjärjestelmät kokonaisuudessaan tulevat pohjautumaan erilaisiin kansallisiin ratkaisuihin. Viranomaiselle määrättävän hallinnollisen sakon aikovat näillä näkymin mahdollistaa Alankomaat, Irlanti, Luxemburg, Ranska, Ruotsi, Tanska ja Yhdistynyt kuningaskunta. Myös Ranskassa viranomaiset ovat hallinnollisen seuraamusmaksun piirissä, lukuun ottamatta valtiota. Ruotsi, Tanska ja Irlanti vuorostaan aikovat käyttää liikkumavaraa siten, että viranomaiselle määrättävän seuraamusmaksun enimmäismäärä on alennettu. Sen sijaan Itävalta ja Saksa ovat jättämässä viranomaiset hallinnollisen seuraamusmaksun ulkopuolelle. Tietoihin liittyy kuitenkin epävarmuutta, koska asetuksen täytäntöönpano on useassa jäsenvaltiossa vielä kesken. 
Perustuslakivaliokunta on esityksestä antamassaan lausunnossa (PeVL 14/2018 vp, s. 20 ja 21) katsonut, että esityksessä mainittujen seikkojen lisäksi viranomaisille määrättävä hallinnollinen seuraamusmaksu on ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. Perustuslakivaliokunnan käsityksen mukaan on ilmeistä, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan määrältään varsin huomattavan seuraamusmaksun uhka voi vaarantaa perusoikeuksien keskinäisen punninnan tasapainoisuuden viranomaistoiminnassa ja johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. Perustuslakivaliokunnan mielestä seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei olisi sanotuista syistä valtiosääntöisesti ongelmatonta. 
Myös lakivaliokunta katsoo, että esityksessä on esitetty useita hyväksyttäviä perusteita sille, että viranomaiset jätetään hallinnollisen seuraamusmaksun ulkopuolelle, minkä vuoksi valiokunta on päätynyt tukemaan esitettyä ratkaisua. Ratkaisua tulisi jatkossa kuitenkin seurata. 
Momentissa on lueteltu ne viranomaiset ja julkishallinnon toimijat, joille hallinnollista seuraamusmaksua ei voida määrätä. Koska luettelo on tyhjentävä, on tärkeää kiinnittää huomiota siinä lueteltuihin tahoihin. Tältä osin lakivaliokunta katsoo, että momenttia on tarpeen täydentää ainakin siten, että siinä otetaan huomioon evankelis-luterialinen kirkko ja ortodoksinen kirkko sekä mainittujen kirkkojen seurakunnat ja seurakuntayhtymät, sillä ne ovat julkisyhteisöjä. Lakivaliokunta esittää, että hallintovaliokunta täydentää momenttia näiltä osin. 
Hallituksen esitykseen sisältyvässä 25 §:n 3 momentissa säädetään seuraamusmaksun määräämisoikeuden vanhentumisesta. Jos pykälään lisätään lakivaliokunnan edellä esittämät kaksi uutta momenttia liittyen uuteen hallinnollisen seuraamusmaksun määräämismenettelyyn, nyt käsiteltävänä oleva momentti siirtyy pykälän 5 momentiksi.  
Momentin mukaan seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Vanhentumisaika on pitkä, mutta sitä voidaan pitää perusteltuna asetuksen tehokkaan täytäntöönpanon varmistamiseksi. Ehdotus myös vastaa finanssimarkkinoiden valvontaa sekä rahanpesun ja terrorismin estämistä koskevia säädöksiä, jotka myös mahdollistavat ankarat hallinnolliset seuraamusmaksut (finanssivalvonnasta annetun lain 4 luvun 42 a §:n 2 mom. ja rahanpesun ja terrorismin estämisestä annetun lain 8 luvun 7 §). Lisäksi on otettava huomioon, että asetuksen rikkomiset voivat olla hyvinkin laajoja, vakavia ja oikeudellisesti monimutkaisia ja ne voivat tulla valvontaviranomaisen tietoon pitkänkin ajan kuluttua. On siten tärkeää, että asian selvittämiseen ja seuraamusmaksun määräämiseen on riittävästi aikaa. Tietosuoja-asioissa rikkomukset tai laiminlyönnit voivat kuitenkin olla paitsi kertaluonteisia myös jatkuvia, minkä vuoksi lakivaliokunta esittää hallintovaliokunnalle ehdotetun momentin täydentämistä esimerkiksi seuraavasti: 
Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt. 
Hallituksen esitykseen sisältyvän 25 §:n 4 momentti koskee seuraamusmaksun täytäntöönpanoa. Jos pykälään lisätään lakivaliokunnan edellä esittämät kaksi uutta momenttia liittyen uuteen hallinnollisen seuraamusmaksun määräämismenettelyyn, nyt käsiteltävänä oleva momentti siirtyy pykälän 6 momentiksi. 
Momentin mukaan seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Lakivaliokunnan mielestä kyseisessä laissa säädetty menettely soveltuu lähtökohtaisesti sellaisenaan asetuksen 83 artiklassa tarkoitetun hallinnollisen seuraamusmaksun täytäntöönpanoon. Kyseinen laki koskee myös muiden lakien perusteella määrättyjen vastaavien hallinnollisten seuraamusmaksujen täytäntöönpanoa. 
Niin ikään on perusteltua, että myös sakon täytäntöönpanosta annettuun lakiin lisätään hallituksen esityksessä ehdotetuin tavoin säännös, jonka mukaan asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu pannaan täytäntöön kyseisessä laissa säädetyssä järjestyksessä (3. lakiehdotuksen 1 §:n 1 momentin 12 kohta). Lakivaliokunnalla ei ole huomauttamista kyseiseen ehdotukseen. 
Ehdotus ei sisällä säännöksiä hallinnollisen seuraamusmaksun täytäntöönpanokelpoisuudesta, mistä seuraa, että täytäntöönpanokelpoisuus määräytyy hallintolainkäyttölain (586/1996) mukaan. Hallinnollinen seuraamusmaksu on siten täytäntöönpanokelpoinen, kun se on saanut lainvoiman (hallintolainkäyttölain 31 §:n 1 mom.). Lakivaliokunta pitää ratkaisua kannatettavana ottaen huomioon hallinnollisten seuraamusmaksujen sanktioluonteisuus ja ankaruus. Jos asiassa tarvitaan valituslupa, valitus ei kuitenkaan estä täytäntöönpanoa, paitsi jos korkein hallinto-oikeus kieltää täytäntöönpanon (hallintolainkäyttölain 31 §:n 3 mom.). Tämä koskee myös hallinnollista seuraamusmaksua, koska hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan (tietosuojalakiehdotuksen 23 §:n 2 mom.). Edellä esitetty merkitsee sitä, että valvontaviranomaisen hallinnollista seuraamusmaksua koskevaa päätöstä ei voida panna täytäntöön, jollei se ole lainvoimainen, mutta hallinto-oikeuden päätös on pantavissa täytäntöön ilman lainvoimaa, jollei korkein hallinto-oikeus valituslupaa käsitellessään kiellä sitä (ks. myös hallintolainkäyttölain 32 §).  
On kuitenkin huomattava, että kun valvontaviranomaisen päätös koskee muuta kuin hallinnollista seuraamusmaksua, päätöksessä voidaan tietosuojalakiehdotuksen 23 §:n 3 momentin mukaan kuitenkin määrätä, että sitä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Näin on tarkoitus varmistaa se, että valvontaviranomaisella on tehokkaat keinot puuttua lainvastaiseen henkilötietojen käsittelyyn (HE, s. 104).  
Momentissa ei säädetä hallinnollisen seuraamusmaksun täytäntöönpanon vanhentumisesta. Yleissäännöksiä asiasta ei tällä hetkellä ole. Erityislainsäädäntöön tällaisia säännöksiä kuitenkin sisältyy, ja niiden perusteella tavanomainen vanhentumisaika on viisi vuotta. Lakivaliokunta pitää vastaavanlaisen erityissäännöksen sisällyttämistä nyt käsillä olevaan lakiehdotukseen perusteltuna ja siksi esittää hallintovaliokunnalle, että momenttia tarkistetaan seuraavasti: 
Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua sen määräämispäivästä.  
Tietosuojalakiehdotukseen ei sisälly erityisiä säännöksiä hallinnollisen seuraamusmaksun määräämismenettelystä. Tästä seuraa, että sovellettavaksi tulee yleinen hallintolaki (434/2003). Siinä säädetään muun muassa oikeudesta käyttää asiamiestä ja avustajaa, viranomaisen selvittämisvelvollisuudesta, kuulemisesta ja siihen liittyvästä menettelystä, suullisesta selvittämisestä ja todistelusta, katselmuksesta ja tarkastuksesta sekä päätöksen muodosta, sisällöstä, perustelemisesta ja valitusosoituksesta. 
Rangaistussäännökset
Tietosuojalakiehdotuksen 26 § sisältää viittaussäännökset sääntelykokonaisuuden kannalta merkityksellisiin rikoslain säännöksiin. Pykälän 1 momentin viimeisessä virkkeessä viitataan rikoslain säännöksiin tietosuojalain 36 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta. Tietosuojalakiehdotuksen 36 § koskee kuitenkin ilmoittajan henkilöllisyyden suojaamista ja 35 § vaitiolovelvollisuutta. Lakivaliokunta katsoo, että viittauksen tulee koskea molempia säännöksiä, joten lakivaliokunta esittää, että virke muutetaan kuulumaan seuraavasti: 
Rangaistus tämän lain 35 §:ssä säädetyn vaitiolovelvollisuuden ja 36 §:ssä säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. 
Rikoslain 38 luvun 9 §:ssä säädetään nykyisin laaja-alaisesta henkilörekisteririkoksesta, johon syyllistynyt voidaan tuomita sakkoon tai vankeuteen enintään yhdeksi vuodeksi. 
Edellä selvitetyin tavoin seuraamusjärjestelmä perustuu jatkossa lähtökohtaisesti suoraan yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettuihin hallinnollisiin sakkoihin, minkä vuoksi hallituksen esityksessä ehdotetaan, että laaja-alainen rikoslain 38 luvun 9 § kumotaan ja korvataan uuden sisältöisellä kapea-alaisemmalla rangaistussäännöksellä. Lakivaliokunta on edellä päätynyt pitämään hallituksen esityksessä ehdotettua sääntelyratkaisua hyväksyttävänä. 
Ehdotetusta tietosuojarikoksesta tuomitaan 1 momentin mukaan se, joka muutoin kuin tietosuoja-asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin  
yleisen tietosuoja-asetuksen, 
tietosuojalain, 
henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain tai 
henkilötietojen käsittelyä koskevan muun lain  
henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa. 
Ehdotetun rangaistussäännöksen 2 momentin mukaan tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1—4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. Rangaistus tietosuojarikoksesta on sakko tai enintään yhden vuoden vankeus. 
Perustuslakivaliokunta on esityksestä antamassaan lausunnossa kiinnittänyt huomiota siihen, että ehdotetussa rangaistussäännöksessä viitataan olennaisilta osin muualle lainsäädäntöön, jossa tarkemmin määritellään ne teot ja laiminlyönnit, jotka voivat tulla tietosuojarikoksena rangaistaviksi. Perustuslakivaliokunnan mielestä laillisuusperiaatteen asettamat vaatimukset täyttyisivät paremmin, jos säännöksen 1 kohdassa viitattaisiin niihin tietosuoja-asetuksen määräyksiin ja 2 ja 3 kohdassa niissä mainitun kansallisen lain säännöksiin, joiden rikkominen voi tulla tietosuojarikoksena rangaistavaksi. Erityisen ongelmallinen on säännöksen 1 momentin 4 kohta, jonka mukaan rangaistavaa on henkilötietojen käsittelyä koskevassa "muussa laissa" tarkoitetun henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevan säännöksen rikkominen. Perustuslakivaliokunnan käsityksen mukaan säännöksen 4 kohdassa tarkoitettuja muita säännöksiä on useita satoja, mikä tekee mahdottomaksi niiden luettelemisen säännöksessä. Tästä syystä perustuslakivaliokunta katsoo, että säännöksen täsmentäminen tulisi toteuttaa rikoksen tunnusmerkistötekijöitä tarkentamalla.  
Niin ikään perustuslakivaliokunta kiinnittää huomiota siihen, ettei myöskään ehdotetun säännöksen 2 momentissa viitata tarkemmin henkilötietojen käsittelyn turvallisuutta koskeviin aineellisiin säännöksiin tai määräyksiin. Myös tämän säännöksen täsmentäminen tulisi perustuslakivaliokunnan mukaan toteuttaa viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla.  
Lakivaliokunta toteaa, että käytetyn viittaustekniikan vuoksi ehdotettu rangaistussäännös saa osan aineellisesta sisällöstään muualta lainsäädännöstä. Tällainen sääntelytapa ei ole lain soveltajan kannalta kaikkein selkein ja yksinkertaisin, mutta sitä käytetään jo voimassa olevassa lainsäädännössä tyypillisesti silloin, kun asiaa säännellään kansallisessa erityislainsäädännössä ja aineellisen oikeuden sisältö määrittyy keskeisesti EU-lainsäädännön tai kansainvälisen sopimuksen perusteella.  
Lakivaliokunta on arvioinut mahdollisuuksia täsmentää ehdotettua sääntelyä siten, että se vastaisi paremmin rikosoikeudellista laillisuusperiaatetta. Se, että 1 momentin 1 kohdassa viitattaisiin tarkasti niihin tietosuoja-asetuksen määräyksiin, joiden rikkominen voi tulla tietosuojarikoksena rangaistavaksi, ei valiokunnan näkemyksen mukaan kuitenkaan selkeytä sääntelyä, koska asetuksesta ei ole kaikilta osin mahdollista poimia sellaisia yksittäisiä säännöksiä, joihin rangaistavuus voidaan perustaa. Esimerkiksi se, hankkiiko henkilö henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, edellyttää useiden asetuksen säännösten huomioon ottamista. Myöskään henkilötietojen luovuttamisen ja siirtämisen osalta ei voida osoittaa asetuksen yksittäisiä aineellisia säännöksiä, vaan kysymyksiä säännellään useissa erityyppisissä säännöksissä.  
Lakivaliokunnan mielestä tarkempia säännösviittauksia ei ole perusteltua lisätä myöskään momentin 2 tai 3 kohtaan. Esimerkiksi 2 kohdan osalta merkitykselliset säännökset sisältyvät ennen kaikkea viitatun tietosuojalain 2 ja 5 lukuun, mutta niitäkin on yleensä tulkittava yhdessä tietosuoja-asetuksen kanssa. 
Erityisen laaja-alainen on momentin 4 kohta, jossa viitataan yleisesti "muuhun lainsäädäntöön". Kohdan täsmentäminen on kuitenkin mahdotonta, sillä tällaisia muita säännöksiä on useita satoja. Toisaalta jo nykyisin lainsäädäntöön sisältyy vastaavia rangaistussäännöksiä, jotka sisältävät laajoja viittauksia muuhun lainsäädäntöön. Tällaisia viittauksia, joissa ei yksilöidä lainsäädäntöä edes säädöstasolla, sisältyy muun muassa rangaistussäännöksiin, jotka koskevat järjestystä ylläpitävän henkilön vastustamista (RL 17:6.1), salassapitorikosta (RL 38:1) ja ympäristön turmelemista (RL 48:1).  
Momentissa rangaistavuuden alaa on täsmennetty myös tekotapaa ja seurausta koskevilla tunnusmerkeillä, minkä vuoksi se ei ole täysin avoin. Esimerkiksi tekotavan osalta edellytyksenä on, että tekijä "hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja". Seurauksen osalta vuorostaan edellytetään, että tekotavan mukaisesti toimimalla tekijä "loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa".  
Edellä esitettyä kokonaisuutena arvioituaan lakivaliokunta on päätynyt tukemaan 1 ja 2 momentissa käytettyä sääntelytapaa, vaikka viittaukset ovat varsin laaja-alaisia. 
Selvyyden vuoksi lakivaliokunta toteaa, että ehdotetun rangaistussäännöksen 1 momentin henkilöllinen soveltamisala ei ole sama kuin 2 momentissa. Säännöksen 1 momentti koskee: "Joka muutoin kuin Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä…". Muotoilu on monimutkainen, mutta esityksen perustelujen mukaan säännös tulee sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen asetuksessa tarkoitetun rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa (HE, s. 124). Taustalla on edellä selvitetyin tavoin se, että nyt puheena olevassa momentissa rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen tarkoittamien hallinnollisten sakkojen piirissä.  
Edellä esitetystä seuraa, että 1 momentin henkilöllinen soveltamisala on kapea. Valiokunnan näkemyksen mukaan se tulee sovellettavaksi lähinnä rekisterinpitäjien palveluksessa tai lukuun toimiviin henkilöihin, silloin kun heidän toimintansa täyttää säädetyt tunnusmerkit, mutta ei merkitse itsenäistä rekisterinpitoa. Onkin huomattava, että henkilöä, joka ryhtyy itsenäisesti käsittelemään henkilötietoja laittomasti, oli tiedot sitten hankittu toisesta rekisteristä tai rekisteröidyiltä itseltään, on yleensä pidettävä rekisterinpitäjänä, jolloin hän kuuluu hallinnollisten seuraamusten piiriin. 
Sen sijaan tietoturvaloukkauksia koskeva 2 momentti on tekijäpiirin osalta yleinen. Koska momentin soveltamisalan ulkopuolelle ei ole jätetty tietosuoja-asetuksen tarkoittamia rekisterinpitäjiä ja henkilötietojen käsittelijöitä, sen mukaisesti rangaistavien tekojen osalta sovellettaviksi tulevat myös asetuksessa tarkoitetut hallinnolliset sakot. Hallinnollisten seuraamusmaksujen ja rangaistussäännösten päällekkäisyys koskee kuitenkin vain rekisterinpitäjiä ja henkilötietojen käsittelijöitä, jotka ovat luonnollisia henkilöitä. Tämä vähentää päällekkäisyyden käytännön merkitystä, koska asetuksessa tarkoitetut rekisterinpitäjät ovat pääsääntöisesti oikeushenkilöitä. 
Lopuksi lakivaliokunta kiinnittää huomiota siihen, että ehdotetun rangaistussäännöksen osalta on tarpeen säätää erityisestä siirtymäsäännöksestä, joka on poikkeus rikoslain 3 luvun 2 §:n 2 momentista ilmenevään lievemmän lain periaatetta koskevaan pääsääntöön. Ajallisesta soveltamisesta on tarpeen säätää erikseen, koska dekriminalisointi ei edellä todetuin tavoin tässä tapauksessa lähtökohtaisesti merkitse sitä, että suhtautuminen rangaistaviksi säädettyihin tekoihin olisi lieventynyt, eikä rangaistussäännöksen osittainen kumoaminen merkitse sitä, että teot jäisivät jatkossa ilman seuraamuksia.  
Ennen lain voimaantuloa tehdyistä teoista ja laiminlyönneistä tulee määrätä lähtökohtaisesti rikosoikeudellinen rangaistus. Rikosoikeudellisen sääntelyn osittainen korvaaminen asetuksen tarkoittamalla hallinnollisella sakolla ei siten merkitse rangaistusvastuusta vapautumista, vaan lievemmän lain periaate otetaan huomioon rangaistusta määrättäessä (ks. LaVL 3/2017 vp). Jos yleisen tietosuoja-asetuksen ja tietosuojalain mukainen hallinnollinen sakko tai rikosoikeudellinen seuraamus ehdotetusta uudesta tietosuojarikoksesta on yksittäistapauksessa tosiasiallisesti lievempi kuin rikosoikeudellinen seuraamus aikaisemmassa laissa tarkoitetusta henkilörekisteririkoksesta, siirtymäsäännöstä on tulkittava kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 8/1976) 15 artiklan 1 kohdan kanssa yhteensopivasti. Esimerkiksi päiväsakkojen lukumäärää voidaan tällöin tarvittaessa alentaa. 
Edellä esitetyn perusteella lakivaliokunta esittää hallintovaliokunnalle, että 2. lakiehdotuksen voimaantulosäännökseen lisätään uusi 2 momentti seuraavasti: 
Ennen tämän lain voimaantuloa tehtyihin tekoihin ja laiminlyönteihin sovelletaan tämän lain voimaan tullessa voimassa ollutta 38 luvun 9 §:ää. Jos tämän lain, yleisen tietosuoja-asetuksen ja tietosuojalain soveltaminen johtaisi lievempään lopputulokseen, on tämä otettava huomioon rangaistusta määrättäessä. 
Oikeusturva ja oikeussuojakeinot
Rekisteröidyn oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja muutoksenhaku
Tietosuojalakiehdotuksen 21 §:n mukaan rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Tietosuojavaltuutetun päätökseen saa tietosuojalakiehdotuksen 23 §:n mukaan hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen.  
Ehdotettujen säännösten tarkoituksena on antaa tietosuoja-asetuksen oikeussuojakeinoja koskevia säännöksiä täydentävät kansalliset säännökset. Asetuksen 77 artiklassa säädetään rekisteröidyn oikeudesta tehdä valitus valvontaviranomaiselle, 78 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin valvontaviranomaisen päätöstä vastaan ja 79 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan.  
Edellä on käsitelty perustuslakivaliokunnan edellyttämiä muutoksia hallinnollisen seuraamusmaksun määräämismenettelyyn ja oikeusministeriön niiden johdosta esittämää uutta monijäsenistä kokoonpanoa, joka päättäisi hallinnollisesta seuraamusmaksusta. Edellä selvitetyin tavoin tällaiset muutokset vaikuttaisivat myös hallituksen esityksessä ehdotettuihin muutoksenhakusäännöksiin. Niiden lisäksi lakivaliokunta lausuu muutoksensäännösehdotuksista seuraavaa.  
Lakivaliokunta toteaa ensinnäkin, että valvontaviranomaisen päätökseen ei ehdoteta oikaisuvaatimusmahdollisuutta, vaan ensimmäisen oikeussuojakeinon muodostaa tietosuojalakiehdotuksen 23 §:n 1 momentin mukaan varsinainen muutoksenhaku hallinto-oikeuteen. Lakivaliokunta pitää tätä perusteltuna, sillä oikaisuvaatimusmenettelyä ei ole tarkoitettu pakolliseksi vaiheeksi kaikkiin hallintoasioihin eikä se sovellu kaikkiin hallintoasioihin. Nyt tarkoitetut valvontaviranomaisen päätökset ovat luonteeltaan erityisen laillisuusvalvontaviranomaisen yksittäisessä valvonta-asiassa antamia hallintopäätöksiä, jotka kyseinen valvontaviranomainen on asian huolellisen selvittämisen ja erityisasiantuntemukseensa perustuvan oikeudellisen harkinnan perusteella antanut. Tällaiset päätökset eivät tyypillisesti ole yksinkertaisia tai esimerkiksi sillä tavoin massaluonteisia, että niiden alistaminen saman viranomaisen tarkempaan tarkasteluun oikaisuvaatimusmenettelyssä olisi perusteltua tai tarkoituksenmukaista.  
Tietosuojalakiehdotuksen 23 §:n 2 momentin ensimmäisen virkkeen mukaan hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Ehdotettu säännös vastaa yleistä linjausta korkeimman hallinto-oikeuden aseman kehittämisestä. Lakivaliokunnalla ei ole huomauttamista valitusluvan edellyttämiseen.  
Momentin toisen virkkeen mukaan myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. Valvontaviranomaisen muutoksenhakuoikeutta puoltaa kyseisen viranomaisen tehtävä valvoa yleisen tietosuoja-asetuksen noudattamista samoin kuin tarve varmistaa oikeuskäytännön yhtenäisyys. Nämä seikat puoltavat valiokunnan mukaan myös sitä, että viranomaisen muutoksenhakuoikeus on avoin, vaikkakin on oletettavaa, että käytännössä valvontaviranomaisen intressi valittaa hallinto-oikeuden päätöksestä koskee sellaisia tilanteita, joissa hallinto-oikeus muuttaa valvontaviranomaisen päätöstä tai kumoaa sen. 
Rekisteröidyn oikeus saattaa asia muun kuin tietosuojavaltuutetun käsiteltäväksi
Asetuksen 79 artiklassa säädetään rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan tämän oikeuden kuitenkaan rajoittamatta muun muassa 77 artiklaan perustuvaa oikeutta tehdä valitus valvontaviranomaiselle. Artiklan 2 kohdan mukaan kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Tietosuojalakiehdotukseen ei sisälly erityisiä säännöksiä mainituista seikoista.  
Mainittua artiklaa on valiokunnan asiantuntijakuulemisissa tulkittu yhtäältä siten, että se edellyttää nimenomaan tuomioistuimessa toteutettavia oikeussuojakeinoja, ja toisaalta siten, että oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja oikeus hakea muutosta tietosuojavaltuutetun päätöksestä tuomioistuimelta on riittävä.  
Lakivaliokunta toteaa, että asetuksen 79 artikla on suoraan sovellettava säännös. Rekisteröity voi näin ollen vedota oikeuksiensa tueksi suoraan kyseiseen säännökseen. Asetuksen säännös ei myöskään vaikuta jättävän mahdollisuutta kansallisesti rajoittaa rekisteröidyn mahdollisuuksia kääntyä myös muiden tahojen kuin tietosuojavaltuutetun puoleen, vaikkakin käytännössä luontevampi tapa on kääntyä tietosuojavaltuutetun puoleen.  
Oikeusjärjestelmämme sisältää jo nykyisin keinoja, joiden voidaan katsoa täyttävän 79 artiklan mukaiset rekisteröidyn oikeudet tehokkaisiin oikeussuojakeinoihin. Esimerkiksi silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on muu kuin viranomainen, estettä ei ole sille, etteikö rekisteröity voi saattaa henkilötietojen käsittelyä koskevan asian riita-asiana käräjäoikeuden käsiteltäväksi. Kyse voi olla velvoittamiskanteesta tai vahvistuskanteesta. Rekisteröity voi velvoittamiskanteella vaatia rekisterinpitäjää toteuttamaan yleisen tietosuoja-asetuksen mukaisia oikeuksia, kuten rekisteröidyn tiedonsaantioikeus. Tuomioistuimen velvoittamiskanteen johdosta antama tuomio voidaan panna täytäntöön ulosottomenettelyssä. Rekisteröity voi nostaa henkilötietojen käsittelyä koskevassa asiassa myös vahvistuskanteen, joka voi koskea esimerkiksi sopimusehdon pätevyyttä. Lisäksi rekisteröity voi saattaa yleisen tietosuoja-asetuksen vahingonkorvausta koskevan 82 artiklan mukaisen vaatimuksen vireille käräjäoikeudessa.  
Jos rekisterinpitäjä taas on viranomainen, rekisteröity voi valittaa viranomaisen rekisterinpitäjänä tekemästä hallintopäätöksestä hallinto-oikeuteen. Valiokunnan käsityksen mukaan viranomaisen tekemä hallintopäätös voi koskea myös henkilötietojen käsittelyä, ja tarvittaessa rekisteröity voi pyytää asiasta hallintopäätöksen, josta valituksen voi tehdä. 
Rinnakkaiset menettelyt
Asetuksen rikkominen voi olla samanaikaisesti vireillä valvontaviranomaisella ja tuomioistuimessa. Kyse voi olla esimerkiksi siitä, että rekisteröity vaatii vahingonkorvausta kanteella tuomioistuimessa, koska valvontaviranomaisella ei ole toimivaltuuksia määrätä tällaisia korvauksia. Tällöin kyse olisi samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta yleisen tietosuoja-asetuksen tai tietosuojalain väitetystä rikkomisesta.  
Ehdotetun sääntelyn valossa ei kuitenkaan ole selvää, miten tällaisten toisiinsa liittyvien rinnakkaisten menettelyjen suhteen toimitaan. Lakivaliokunnan näkemyksen mukaan tietosuojavaltuutetulle voidaan säätää mahdollisuus keskeyttää sillä vireillä olevan asian käsittely, jos se on vireillä tuomioistuimessa. Asian keskeyttäminen ei merkitse asian käsittelyn lopettamista, vaan tietosuojavaltuutettu voi jatkaa käsittelyä myöhemmin. Vastaavanlainen säännös sisältyy rikosasioiden tietosuojalakiehdotukseen (HE 31/2018 vp, 1. lakiehdotuksen 57 §).  
Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa.  
Asian käsittelyn keskeyttäminen on tietosuojavaltuutetun harkinnassa. Säännös on väljä, joten se jättää tietosuojavaltuutetulle harkintavaltaa arvioida, mikä kussakin tilanteessa on perusteltua ja tarkoituksenmukaista. Momentissa käytettyä ilmaisua "liittyvä asia" arvioitaessa voidaan kiinnittää huomiota siihen, onko kyse samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta yleisen tietosuoja-asetuksen tai tietosuojalain väitetystä rikkomisesta.  
Viivästysvalitus
Tietosuoja-asetuksen 78 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta. Tietosuojalakiehdotukseen ei sisälly nimenomaisia säännöksiä tällaisista oikeussuojakeinoista. 
Saadun selvityksen mukaan oikeusministeriössä on pohdittu, onko tarpeen valmistella säännöksiä erityisestä tuomioistuimelle tehtävästä viivästysvalituksesta. Lausuntopalautteessa tällaisen järjestelmän tarpeellisuutta ja toimivuutta kuitenkin epäiltiin, minkä vuoksi nyt käsillä olevaan esitykseen ei ole sisällytetty ehdotusta viivästysvalituksen käyttöönotosta. Esityksessä lähdetään näin ollen siitä, että oikeuskanslerin ja eduskunnan oikeusasiamiehen valvonta ja mahdollisuus kannella tietosuojavaltuutetun toiminnasta näille laillisuusvalvojille on direktiivin täytäntöönpanemiseksi riittävää.  
Lakivaliokunta katsoo, ettei asemaltaan itsenäisen valvontaviranomaisen toiminnan valvonta asetuksen tarkoittamalla tavalla kuulu luontevasti tuomioistuimille. Tarkoituksenmukaista ei myöskään ole ottaa käyttöön erityistä viivästysvalitusta pelkästään yleisen tietosuoja-asetuksen tarkoittamia asioita varten. Valiokunta myös katsoo, että jo nykyinen kantelumahdollisuus laillisuusvalvojille on tehokas oikeussuojakeino, sillä niiden tehtävänä on ryhtyä kantelun johdosta tarvittaviin toimenpiteisiin. Ne voivat myös nostaa syytteen taikka määrätä suoritettavaksi esitutkinnan. Ne voivat myös tehdä viranomaiselle esityksen virheen oikaisemiseksi tai epäkohdan korjaamiseksi tai hyvittämiseksi. Edellä esitetyn valossa lakivaliokunta puoltaa hallituksen esittämää ratkaisua.  
Komission päätös tietosuojatason riittävyydestä
Tietosuojalakiehdotuksen 24 §:n 1 momentin mukaan, jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi. Viitatussa tietosuoja-asetuksen 45 artiklassa mahdollistetaan henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. Komission on arviointia tehdessään otettava huomioon kyseisessä artiklassa mainitut seikat.  
Tietosuojalakiehdotuksen 24 §:n taustalla on valiokunnan saaman selvityksen mukaan unionin tuomioistuimen ratkaisu asiassa Schrems, (C-362/14), jossa tuomioistuin on katsonut, että kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voivat tarvittaessa pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta komission päätöksen pätevyyden tutkimiseksi, jos ne valvontaviranomaisen tavoin epäilevät komission päätöksen asetuksenmukaisuutta. Tavoitteena on siten mahdollistaa se, että kansallinen valvontaviranomainen voi saattaa Helsingin hallinto-oikeuden ratkaistavaksi kysymyksen siitä, onko komission päätöksen asetuksenmukaisuudesta tarpeen pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta. Hakemuksen hyväksyminen tarkoittaa tällöin käytännössä ennakkoratkaisupyynnön tekemistä ja hakemuksen hylkääminen sitä, että ennakkoratkaisua ei pyydetä.  
Ehdotetun säännöksen sanamuodosta voi kuitenkin saada sellaisen käsityksen, että Helsingin hallinto-oikeuden ratkaistavaksi saatetaan Euroopan komission päätöksen asetuksenmukaisuus. Kansallisilla viranomaisilla ei kuitenkaan ole toimivaltaa arvioida komission päätöksen asetuksenmukaisuutta, vaan yksinoikeus tähän on Euroopan unionin tuomioistuimella. Säännöksen tarkoitus on tämän mukaisesti mahdollistaa lähinnä se, että tietosuojavaltuutettu saattaa tuomioistuimen ratkaistavaksi kysymyksen siitä, onko komission päätöksen asetuksenmukaisuutta tarpeen selvittää. Lakivaliokunta esittää, että hallintovaliokunta vielä arvioi, onko ehdotettua momenttia mahdollista selkeyttää niin, että se vastaisi paremmin tarkoitustaan. 
Ehdotettu sääntely ei sisällä erityisiä menettelyä koskevia säännöksiä nyt tarkoitetun hakemusasian käsittelystä hallinto-oikeudessa. Selvyyden vuoksi valiokunta toteaa, että nyt puheena olevaan hakemusasiaan soveltuu hallintolainkäyttölain 72 §, joka koskee "muuta hallintolainkäytössä käsiteltävää asiaa kuin valitusta, ylimäärästä muutoksenhakua tai hallintoriita-asiaa". Tällainen asia pannaan kyseisen pykälän mukaan vireille toimittamalla vireillepanoa koskeva asiakirja sille viranomaiselle, jonka toimivaltaan asian ratkaiseminen kuuluu. Lisäksi sovellettavaksi tulee hallintolainkäyttölain 73 §, jonka mukaan menettelystä on muuten soveltuvin osin voimassa, mitä kyseisessä laissa säädetään valituksesta. Valituksen käsittelyä koskevat hallintolainkäyttölain säännökset ovat joustavia, joten valiokunnan näkemyksen mukaan ne mahdollistavat nyt käsiteltävänä olevan hakemusasian erityispiirteiden huomioon ottamisen asian käsittelyssä.  
Ehdotetun 24 §:n 2 momentti sisältää erityissäännöksen muutoksenhausta Helsingin hallinto-oikeuden päätökseen. Momenttiin on tarpeen lisätä sanat "valittamalla vain" seuraavasti: 
Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 
Momentti ei sisällä erityisiä säännöksiä siitä, kenellä on valitusoikeus. Valitusoikeuteen soveltuvat tällöin hallintolainkäyttölain yleiset säännökset. Kyseisen lain 6 §:n 1 momentin mukaan päätöksestä saa valittaa se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa. Ottaen huomioon, että nyt puheena olevassa hakemusasiassa hakijana on valvontaviranomainen, päätös kohdistuu lakivaliokunnan mukaan edellä tarkoitetun säännöksen tarkoittamalla tavalla valvontaviranomaiseen, jolla on siten valitusoikeus hallinto-oikeuden päätökseen. Käytännössä tarve valittaa hallinto-oikeuden päätöksestä ajankohtaistuu lähinnä, jos hallinto-oikeuden päätös poikkeaa valvontaviranomaisen kannasta.  
Kysymys siitä, onko rekisteröidyllä, jonka asian käsittelyn yhteydessä epäselvyys komission päätöksen asetuksenmukaisuudesta on syntynyt, valitusoikeus Helsingin hallinto-oikeuden päätökseen, edellyttää sen arvioimista, katsotaanko hallinto-oikeuden päätöksen hallintolainkäyttölain 6 §:n 1 momentissa tarkoitetulla tavalla "välittömästi" vaikuttavan rekisteröidyn oikeuteen, velvollisuuteen tai etuun. Lähtökohtaisesti on valiokunnan näkemyksen mukaan mahdollista katsoa, ettei hallinto-oikeuden ennakkoratkaisun pyytämistä koskeva päätös koske rekisteröityä "välittömästi", jolloin valitusoikeutta ei ole. Toisaalta mahdollista on, että joissakin tapauksissa hallinto-oikeus harkitsee päätöksen vaikuttavan rekisteröidyn oikeuteen hallintolainkäyttölaissa tarkoitetulla tavalla "välittömästi", jolloin tällä olisi valitusoikeus.  
Itsekriminointisuoja
Siirtyminen rikosoikeuden käytöstä hallinnollisiin seuraamuksiin ei merkitse sitä, että Euroopan ihmisoikeussopimuksen ja perustuslain oikeudenmukaisen oikeudenkäynnin takeet ja syytetyn vähimmäisoikeudet olisivat hallinnollisen seuraamuksen määräämistä koskevassa menettelyssä merkityksettömiä. Itsekriminointisuojan keskeisenä sisältönä on oikeus olla rikosasiassa todistamatta itseään vastaan ja oikeus olla myötävaikuttamatta oman syyllisyyden toteamiseen. Suoja kuuluu perustuslain 21 §:ssä turvatun oikeudenmukaisen oikeudenkäynnin takeisiin (ks. PeVL 39/2014 vp, s. 4/I ja HE 309/1993 vp, s. 74/II). Myös Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä itsekriminointisuojan on katsottu kuuluvan EIOS 6 artiklan 1 kohdassa turvatun oikeudenmukaisen oikeudenkäynnin ydinalueelle (esim. Saunders v. Yhdistynyt kuningaskunta, 17.12.1996). Itsekriminointisuojan keskeisimmät soveltamistapaukset ovat oikeuskäytännössä koskeneet rikoksen esitutkintaa ja rikosoikeudenkäyntiä, mutta joissain tilanteissa itsekriminointisuojan on katsottu ulottuvan myös muihin tilanteisiin, joissa kyse ei ole rikosoikeudellisista seuraamuksista.  
Itsekriminointisuoja ei sinällään estä lainsäätäjää antamasta hallinnollista ilmoitusvelvollisuutta koskevia säännöksiä, mutta itsekriminointisuoja saattaa eräissä tapauksissa olla merkityksellinen arvioitaessa ilmoitusvelvollisuuden noudattamista. Ilmoitusvelvollisella on katsottu olevan oikeus vaitioloon, kun hallinnollisen ilmoitusvelvollisuuden kanssa samanaikaisesti on vireillä samoja seikkoja koskeva rikostutkinta tai kun ilmoitusvelvollinen ei ollut voinut sulkea pois sitä mahdollisuutta, että annettavat tiedot voisivat johtaa rikosprosessiin tai tulla käytettäviksi rikosprosessissa ja ilmoitusvelvollisuuden laiminlyönnistä rangaistukseen tuomitsemisen on katsottu loukkaavan oikeutta oikeudenmukaiseen oikeudenkäyntiin (esim. Funke v. Ranska 25.2.1993 kohta 44, J.B. v. Sveitsi 3.5.2001 kohdat 47 ja 66 ja Shannon v. Yhdistynyt kuningaskunta 4.10.2005 kohta 38). 
Edellä olevan valossa lakivaliokunta kiinnittää huomiota yleisen tietosuoja-asetuksen 33 artiklaan, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle. Ilmoitusvelvollisuuden tekemättä jättämisestä voidaan asetuksen mukaan määrätä hallinnollinen seuraamusmaksu tai sen sijaan antaa esimerkiksi huomautus. Valiokunnan käsityksen mukaan ilmoitusvelvollisuuteen sovellettavia seuraamussäännöksiä on tällöin tulkittava itsekriminointisuojan kanssa yhteensopivasti ottaen huomioon muun muassa Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö. Viime kädessä asian arvioiminen jää tuomioistuimen ratkaistavaksi.  
Tässä yhteydessä lakivaliokunta kiinnittää huomiota myös tietosuojalakiehdotuksen 22 §:ään, joka sisältää säännökset uhkasakosta. Pykälän 1 momentin mukaan tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen eräiden päätösten sekä tietosuojalakiehdotuksen 18 §:ssä säädetyn tiedonsaantioikeuden tehosteeksi uhkasakon. Pykälän 2 momentin mukaan uhkasakkoa ei kuitenkaan saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. Jälkimmäisessä momentissa on kyse itsekriminointisuojasta. 
Uhkasakon määräämättä jättämisen kynnys on pykälän 2 momentissa liitetty ilmaisuun "on aihetta epäillä". Lakivaliokunta on rahanpesun ja terrorismin estämistä koskevaa lainsäädäntöehdotusta käsitellessään katsonut, että säädettäessä uhkasakon määräämisestä luonnolliselle henkilölle tietojenantovelvollisuuden tehostamiseksi säännöksessä tulee käyttää ilmaisua "on syytä epäillä", koska tällöin sanamuodosta kävisi selkeämmin ilmi, että arvion tekee esitutkintaviranomainen (LaVL 3/2017 vp). 
Uhkasakon määräämättä jättämisen kynnyksestä ei ole muodostunut vakiintunutta linjaa, vaan lainsäädäntöratkaisut vaihtelevat. Sanamuodon valinnassa merkitystä voidaan antaa sille, minkä viranomaisen tekemästä arviosta asiassa katsotaan olevan kyse, sekä sille, kytketäänkö itsekriminointisuoja ainoastaan niihin tilanteisiin, joissa esitutkintaviranomainen on jo tehnyt päätöksen esitutkinnan käynnistämisestä ("on syytä epäillä"), vai tulisiko itsekriminointisuoja ulottaa myös niihin tilanteisiin, joissa valvontaviranomainen arvioi, että tapaus saattaa myöhemmin johtaa rikosoikeudellisiin seuraamuksiin ("on aihetta epäillä").  
Lakivaliokunnan mielestä ilmaisua "on aihetta epäillä" puoltaa se, että se antaa tietojenantovelvolliselle luonnolliselle henkilölle suojaa laaja-alaisemmin, joten se olisi paremmin sopusoinnussa itsekriminointisuojan kanssa. Itsekriminointisuojan kytkeminen ilmaisuun "on syytä epäillä" voi sitoa itsekriminointisuojan liian tiukasti muodollisen esitutkinnan aloittamiseen.  
Lakivaliokunta ei kuitenkaan näe estettä sille, etteikö säännöksessä voitaisi käyttää myös ilmaisua "on syytä epäillä". On kuitenkin huomattava, että jos näin tehdään, säännös ei kuitenkaan sääntele tyhjentävästi itsekriminointisuojan merkitystä, vaan suojan ala voi tapauskohtaisesti ulottua säännöstä laajemmalle. 
Lakiteknisiä huomioita
Tietosuojalakiehdotuksen 23—25 §:n keskinäinen järjestys ei lakivaliokunnan mielestä ole kaikkein johdonmukaisin, sillä muutoksenhakua koskeva pykälä on sijoitettu eri päätöksiä koskevien pykälien keskelle. Valiokunta esittääkin, että muutoksenhakua koskeva 23 § siirretään 25 §:ksi, jolloin esitykseen sisältyvä komission päätöstä koskeva 24 § siirtyy 23 §:ksi ja hallinnollista seuraamusmaksua koskeva 25 § siirtyy 24 §:ksi.  
Ehdotetut lait on tarkoitettu tulemaan voimaan 25.5.2018, ja ajankohta on kirjattu ehdotettuihin voimaantulosäännöksiin. Asiaa on kuitenkin tarpeen arvioida uudelleen, koska esityksen eduskuntakäsittely on vielä kesken.  
Tietosuojalakiehdotuksen samoin kuin rikoslain muuttamista koskevan lakiehdotuksen säännöksissä viitataan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettuun lakiin. Tällä tarkoitetaan rikostietosuojadirektiivin täytäntöönpanemiseksi annettuun hallituksen esitykseen (HE 31/2018 vp) sisältyvää 1. lakiehdotusta. Jos nyt käsiteltävänä oleva hallituksen esitys hyväksytään ennen mainittua direktiivin täytäntöönpanolakia, tämä tulee lakiteknisesti ottaa huomioon mainittujen lakiehdotusten säännöksissä.  
VALIOKUNNAN PÄÄTÖSESITYS
Lakivaliokunta esittää,
että hallintovaliokunta ottaa edellä olevan huomioon
Helsingissä 24.5.2018 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Kari
Tolvanen
kok
varapuheenjohtaja
Eva
Biaudet
r
jäsen
Eeva-Johanna
Eloranta
sd
jäsen
Ari
Jalonen
sin
jäsen
Johanna
Karimäki
vihr
jäsen
Pia
Kauma
kok
jäsen
Niilo
Keränen
kesk
jäsen
Suna
Kymäläinen
sd
jäsen
Antero
Laukkanen
kd
jäsen
Ilmari
Nurminen
sd
jäsen
Juha
Pylväs
kesk
jäsen
Mari-Leena
Talvitie
kok
jäsen
Ville
Tavio
ps
jäsen
Kaj
Turunen
kok
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Marja
Tuokila
Viimeksi julkaistu 4.6.2018 12:54