Valiokunnan lausunto
PeVL
26
2016 vp
Perustuslakivaliokunta
Valtioneuvoston selvitys: Komission tiedonanto henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä
Suurelle valiokunnalle
JOHDANTO
Vireilletulo
Valtioneuvoston selvitys: Komission tiedonanto henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä (E 33/2016 vp): Asia on saapunut perustuslakivaliokuntaan mahdollisia toimenpiteitä varten. 
Asiantuntijat
Valiokunta on kuullut: 
EU-erityisasiantuntija
Anu
Talus
oikeusministeriö
tietosuojavaltuutettu
Reijo
Aarnio
tietosuojavaltuutetun toimisto
professori
Juha
Lavapuro
professori
Tuomas
Ojanen
professori
Tomi
Voutilainen
VALTIONEUVOSTON SELVITYS
Ehdotus
E-kirjeen tarkoituksena on informoida eduskuntaa Euroopan komission 29.2.2016 antamasta transatlanttisia tietovirtoja koskevasta tiedonannosta, jossa käsitellään henkilötietojen siirtoa EU:n ja Yhdysvaltojen välillä. Tiedonannon taustalla ovat Yhdysvalloissa vuonna 2013 paljastuneet tiedustelutietovuodot. Komissio antoi vastauksena heränneisiin yksityisyyden suojaa koskeviin huoliin tiedonannon vuonna 2013 (E 27/2014 vp), jossa se katsoi keskeisiä toimia luottamuksen saavuttamiseksi olevan seuraavat: 
- EU:n tietosuojalainsäädännön uudistamista koskevan paketin hyväksyminen  
- tietosuojatakeiden lujittaminen lainvalvonta-alan yhteistyötä varten erityisesti saattamalla päätökseen neuvottelut tietosuojaa käsittelevästä EU:n ja Yhdysvaltojen välisestä puitesopimuksesta (EU-US tietosuojasopimus) sekä  
- Safe Harbour -järjestelmän turvallisuuden lisääminen 
Komission uudessa tiedonannossa kerrotaan, miten yllämainittujen toimenpiteiden toteuttamisessa on edistytty. E-kirjeessä käsitellään tästä syystä erityisesti Safe Harbour -järjestelmän korvaavaa Privacy Shield -järjestelyä, jota koskeva komission päätös on tarkoitus tehdä komitologiamenettelyssä. 
Valtioneuvoston kanta
Suomi on pitänyt tärkeänä komission käynnistämiä toimenpiteitä, joiden tarkoituksena on ollut palauttaa luottamus EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin tilanteessa, jossa Yhdysvaltojen NSA:n harjoittamaa laajamittaista urkintaa koskevat paljastukset horjuttivat vakavasti eurooppalaisten luottamusta verkkoviestintään.  
EU:n tietosuojauudistus, EU-US tietosuojasopimus sekä uusi Privacy Shield -järjestely pyrkivät varmistamaan transatlanttisen tiedonsiirron jatkuvuuden. Suomi pitää tärkeänä, että tiedonsiirtojen jatkuvuus EU:n ja Yhdysvaltojen välillä turvataan. Privacy Shield -järjestelyn osalta Suomi on pitänyt perusteltuna Safe Harbour -järjestelmän kehittämistä siten, että rekisteröityjen yksityisyyden suojalle on riittävät takeet siirrettäessä tietoja järjestelmän puitteissa. On tärkeää, että asian jatkovalmistelussa otetaan asianmukaisesti huomioon Euroopan tietosuojaviranomaisten (”WP 29”) esittämä lausunto. 
VALIOKUNNAN PERUSTELUT
Oikeusministeriö on toimittanut eduskunnalle 21.4.2016 päivätyn E-kirjeen Euroopan komission tiedonannosta (COM(2016) 117 final) henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä. Komission tiedonannossa selvitetään, miten tietosuojapaketti, EU-USA-tietosuojasopimus ja ns. Safe Harbour -järjestelmän uudelleenneuvottelut ovat edistyneet. Tietosuojapaketti hyväksyttiin huhtikuussa 2016, ja ns. yleinen tietosuoja-asetus ja poliisidirektiivi on julkaistu Euroopan unionin virallisessa lehdessä 4.5.2016. Tietosuoja-asetus tuli voimaan 24.5.2016. Asetuksen soveltaminen alkaa tästä kahden vuoden kuluttua. EU-USA-tietosuojasopimuksesta on toimitettu eduskunnalle erikseen U-kirjelmä, ja perustuslakivaliokunta on antanut asiasta lausunnon PeVL 20/2016 vp.  
Valtioneuvoston selvityksen mukaan valtioneuvosto pitää tärkeänä komission käynnistämiä toimenpiteitä, joiden tarkoituksena on ollut palauttaa luottamus EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin tilanteessa, jossa Yhdysvaltojen NSA:n harjoittamaa laajamittaista urkintaa koskevat paljastukset horjuttivat vakavasti eurooppalaisten luottamusta verkkoviestintään. Valtioneuvosto kiinnittää kuitenkin huomiota eräisiin jatkovalmistelua vaativiin seikkoihin. Perustuslakivaliokunnan mielestä valtioneuvoston kanta on näiltä osin perusteltu. Valiokunta kiinnittää kuitenkin huomiota siihen, että eduskunnalle tämänkaltaisessa asiassa annettavassa kirjelmässä olisi syytä seikkaperäisemmin eritellä ja tuoda esiin vielä yksityiskohtaisemmin niitä näkökohtia, jotka suuntaavat ja määrittävät Suomen kantaa asian jatkovalmistelussa. 
Henkilötietojen siirroille EU:sta Yhdysvaltoihin puitteet luova Safe Harbour -järjestelmä on komission ja Yhdysvaltojen käymien neuvotteluiden aikana nimetty Privacy Shield -järjestelmäksi. Komissio toi vuoden 2013 tiedonannossa (COM (2013) 847 final) esiin Safe Harbour -järjestelmässä ilmenneitä heikkouksia ja aloitti tammikuussa 2014 neuvottelut Safe Harbour -järjestelmän lujittamiseksi. EU:n tuomioistuin mitätöi 6.10.2015 Safe Harbour -järjestelyn tuomiolla asiassa C-362/14 (Maximillian Schrems vastaan Data Protection Commissioner). Tuomiossa kiinnitetään myös huomiota edellytyksiin, jotka tiedonsiirtoa koskevien puitteiden olisi täytettävä. Valiokunta huomauttaa, että sekä EU:n tuomioistuimessa että Euroopan ihmisoikeustuomioistuimessa on vireillä useita asioita, joissa annettavat ratkaisut määrittävät yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Jatkovalmistelussa on perustuslakivaliokunnan mielestä syytä seurata oikeuskäytännön kehittymistä. 
Valtioneuvoston selvitys liittyy ennen muuta velvollisuuteen turvata EU:n henkilötietolainsäädännön edellyttämä riittävä henkilötietojen suojan taso siirrettäessä henkilötietoja EU:n alueelta Yhdysvaltoihin. Privacy Shield -järjestely on valtiosääntöoikeudellisesti merkityksellinen erityisesti yksityiselämän ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on arvioidessaan tällaista sääntelyä katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 20/2016 vp, s. 3—4). Myös Euroopan unionin perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 
Perustuslakivaliokunnan mielestä riittävän henkilötietojen suojan tason EU:n ja USA:n välillä mahdollistavalle järjestelylle ja sitä koskevalle komission päätökselle on painava yhteiskunnallinen tarve, joka liittyy yksityiselämän ja henkilötietojen suojaan. Valiokunta korostaa, että järjestelyn laadinnassa on syytä ottaa erityisen vakavasti edellä mainitut perus- ja ihmisoikeudet. Perustuslakivaliokunta kiinnittää erityisesti huomiota siihen, että ns. Schrems-tuomion mukaan yleinen ja erittelemätön pääsy viestien sisältöihin loukkaa yksityiselämän suojan keskeistä sisältöä. Myös valiokunnan käytännön mukaan laajamittainen, erittelemätön, pitkäaikainen ja rajoittamaton tietojen säilyttäminen yhdistettynä viranomaisten erittelemättömään ja rajoittamattomaan pääsyyn näihin tietoihin on valtiosääntöisesti ongelmallinen suhteessa edellä mainittuihin perus- ja ihmisoikeuksiin (PeVL 20/2016 vp, s. 5, PeVL 18/2014 vp, s. 6/I—II). 
Perustuslakivaliokunnan mukaan Privacy Shield -järjestely vaikuttaisi edelleen sallivan Yhdysvaltain tiedusteluviranomaisten yleisen ja erittelemättömän pääsyn viestiliikenteeseen. Privacy Shield -asiakirjojen liitteessä 6 kuvattu Yhdysvaltain harjoittamaa signaalitiedustelua koskeva Presidential Policy Directive 28 vaikuttaisi mahdollistavan sekä kohdennetun (targeted) että massamuotoisen tiedonhankinnan (intelligence collected in bulk). Perustuslakivaliokunnan mielestä järjestelyn jatkovalmistelussa tulisi varmistaa, että viranomaisten pääsy tietoihin ja niiden myöhempi käyttö rajataan siihen, mikä on välttämätöntä tavoiteltavan hyväksyttävän päämäärän, kuten terrorismin torjunnan, saavuttamiseksi (ks. myös PeVL 18/2014 vp, s. 7/I). Erityisesti viestinnän tunnistamistietojen osalta valiokunta muistuttaa myös, että käytännössä sähköisen viestinnän käyttöön liittyvät tunnistamistiedot sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen voivat olla yksityiselämän suojan näkökulmasta siinä määrin ongelmallisia, että erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 18/2014 vp, s. 6/II). Jatkovalmistelussa ei siten tule tukeutua kategoriseen erotteluun viestin sisällön ja tunnistamistietojen välillä siten, että jälkimmäiset jäisivät aina luottamuksellisen viestin salaisuutta suojaavan perusoikeuden reuna-alueelle (vrt. PeVL 33/2013 vp, s. 3/I ja siinä viitatut lausunnot). 
Perustuslakivaliokunnan mukaan perustuslain 21 §:ssä säädetyt oikeusturvan takeet ovat merkityksellisiä henkilötietojen käsittelyssä (ks. PeVL 20/2016 vp, s. 4). Valiokunta kiinnittää valtioneuvoston huomiota siihen, että tällaiselle näkökohdalle on annettu perusoikeuskirjan 47 artiklan johdosta keskeinen painoarvo myös Schrems-tuomiossa. Valiokunnan mukaan valtioneuvoston tulee varmistua siitä, että järjestelyssä yksilöille taataan riittävät mahdollisuudet hakea hallinto- tai oikeusteitse tehokasta oikeussuojaa, jotta heillä on muun muassa mahdollisuus tutustua itseään koskeviin tietoihin ja saada ne tarvittaessa oikaistuiksi tai poistetuiksi. 
Perustuslakivaliokunnan käsityksen mukaan asianmukaisesti järjestetty tuomioistuinvalvonta ei kuitenkaan poista tarvetta riittävän itsenäiselle ja riippumattomalle viranomaiselle, jolla on toimivalta valvoa henkilötietojen siirtoa ja tutkia yksityisten väitteitä, joiden mukaan henkilötietojen siirtoa koskevat oikeussäännöt tai käytännöt eivät takaa tietosuojan riittävää tasoa.  
Perustuslakivaliokunnan mielestä tulisi pyrkiä myös siihen, että järjestelyssä taattu tietosuoja on yhdenmukainen EU:n yleisen tietosuoja-asetuksen kanssa siten, että järjestely kattaa jokaiselle samat oikeudet henkilötietojen käsittelyssä silloin, kun EU:n alueelta siirrettyjä tietoja käsitellään Yhdysvalloissa. Tämän johdosta esimerkiksi käyttötarkoituksen rajoittamista koskevia periaatteita tulisi täsmentää ja ottaa kantaa automatisoidun päätöksenteon rajoittamiseen. Valiokunta painottaa myös sitä, että Privacy Shield -järjestelmässä on oltava riittävän selvät ja nimenomaiset takeet, joiden avulla henkilötiedot voidaan tehokkaasti suojata väärinkäytöltä.  
VALIOKUNNAN LAUSUNTO
Perustuslakivaliokunta ilmoittaa,
että se yhtyy asiassa valtioneuvoston kantaan kiinnittäen huomiota edellä esitettyihin valtiosääntöoikeudellisiin seikkoihin. 
Helsingissä 31.5.2016 
Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa
puheenjohtaja
Annika
Lapintie
vas
jäsen
Simon
Elo
ps
jäsen
Maria
Guzenina
sd
jäsen
Anna-Maja
Henriksson
r
jäsen
Hannu
Hoskonen
kesk
jäsen
Antti
Häkkänen
kok
jäsen
Ilkka
Kantola
sd
jäsen
Kimmo
Kivelä
ps
jäsen
Jaana
Laitinen-Pesola
kok
jäsen
Markus
Lohi
kesk
jäsen
Leena
Meri
ps
jäsen
Ville
Niinistö
vihr
jäsen
Wille
Rydman
kok
jäsen
Ville
Skinnari
sd
varajäsen
Mats
Löfström
r
Valiokunnan sihteerinä on toiminut
valiokuntaneuvos
Mikael
Koillinen
Viimeksi julkaistu 13.6.2016 10:24