Esityksessä ehdotetaan sosiaaliturva- ja vakuutuslainsäädäntöön muutoksia, jotka johtuvat EU:n yleisestä tietosuoja-asetuksesta (2016/679 EU). Tietosuoja-asetus on kaikilta osiltaan velvoittavaa sääntelyä, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Esityksen tavoitteena on saattaa kansallinen sosiaaliturva- ja vakuutuslainsäädäntö yhteensopivaksi tietosuoja-asetuksen kanssa. Tietosuoja-asetuksen kanssa ristiriitaiset tai päällekkäiset säännökset ehdotetaan kumottaviksi. Lisäksi esityksessä ehdotetaan eräitä tietosuoja-asetusta tarkentavia säännöksiä ja välttämättömiä poikkeuksia tietosuoja-asetuksen velvoitteista.  

Vakuutusyhtiöitä koskevaan lainsäädäntöön ehdotetaan lisättäviksi säännökset, jotka mahdollistaisivat rikosepäilyihin ja rikostuomioihin liittyvien henkilötietojen käsittelyn ja luovuttamisen toisille vakuutusyhtiöille väärinkäytösrekistereiden ylläpidossa. Vastaava säännös ehdotetaan lisättäväksi myös luottolaitostoiminnasta annettuun lakiin. 

Sosiaaliturva- ja vakuutuslainsäädäntöön ehdotetaan lisättäviksi myös säännökset automaattisten päätösten antamisesta. Automaattiset päätökset olisivat sallittuja lakisääteisen sosiaaliturvan toimeenpanossa, jos se on käsiteltävänä olevan asian laatu ja laajuus ja hyvän hallinnon vaatimukset huomioon ottaen mahdollista. Yksityisvakuutusta koskeva automaattinen päätöksenteko olisi sallittua, mutta rekisteröidyllä olisi oikeus vaatia, että luonnollinen henkilö käsittelee asian uudelleen.  

Talousvaliokunta pitää ehdotettua sääntelyä perusteltuna ja puoltaa sen hyväksymistä kiinnittäen toimialansa mukaisesti sosiaali- ja terveysvaliokunnan huomion eräisiin vakuutus- ja luottolaitostoimintaan kohdistuvan sääntelyn kysymyksiin. 

Ehdotetun lainsäädännön arviointia vaikeuttaa, ettei vielä ole tiedossa, minkä sisällön kansallinen tietosuojalakimme tulee saamaan. Perustuslakivaliokunnan lausunnon (PeVL 14/2018 vp — HE 9/2018 vp) valossa on ilmeistä, ettei hallituksen esityksen mukainen tietosuojalainsäädäntö tule voimaan ehdotetussa muodossaan, vaan osin muutettuna. Perustuslakivaliokunnan lausunnon mukaan kansallisen erityislainsäädännön säätämistä tulisi ylipäänsä välttää ja varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Mitä korkeampi riski tietojen käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Talousvaliokunta pitää hallituksen esityksessä esitettyä sääntelyratkaisua perusteltuna. 

Finanssialan väärinkäytösrekisterien käyttö perustuu nykyisellään tietosuojalautakunnan hakemuksesta myöntämään lupaan. Tietosuoja-asetuksen voimaantulon myötä lautakunta — ja sen myötä poikkeuslupakäytäntö — lakkautetaan. Oikeusvarmuuden turvaamiseksi on tärkeää, että väärinkäytösrekisterien ylläpito ja hyödyntäminen voivat kuitenkin jatkua keskeytyksettä. Tämän vuoksi säännökset henkilötietojen käsittelystä ja tietojen luovuttamisesta salassapitovelvollisuuden estämättä on saatettava lainsäädäntöön edellyttäen niiltä tarkkarajaisuutta ja erityisiä suojatoimia. Talousvaliokunta toteaa ehdotetun sääntelyn vastaavan näihin vaatimuksiin.  

Esityksessä vakuutusalan väärinkäytösrekisterien jatko turvataan uudella vakuutusyhtiölain (VYL) 30 luvun 3 a §:llä. Lainkohtaan sisällytetyt tietosuoja-asetuksen edellyttämät suojatoimenpiteet vastaavat nykyiselle väärinkäytösrekisterille annetun tietosuojalautakunnan luvan mukaisia ehtoja.  

Pykälän 3 momentti käsittelee ehtoja, joiden täyttyessä rekisterimerkintä on poistettava. Talousvaliokunta katsoo, että säännöksen kirjoitusasu voi johtaa epäselvään välitilaan, jos asiaan liittyvässä tuomioistuinprosessissa haetaan muutosta ensimmäisen oikeusasteen antamaan tuomioon. 

Talousvaliokunta kiinnittää huomiota myös saman pykälän 4 momenttiin, jonka mukaan tiedot olisi poistettava rekisteristä viimeistään viiden vuoden kuluttua siitä, kun rikosta koskevat tiedot on ensimmäisen kerran rekisteröity. Ottaen huomioon oikeudenkäyntien keskimääräisetkin kestoajat on viiden vuoden määräaika varsin lyhyt, etenkin muutoksenhakutilanteissa. 

Talousvaliokunta esittää sosiaali- ja terveysvaliokunnan punnittavaksi vaihtoehtoa, jossa 3 momenttia muutettaisiin siten, että merkintä on poistettava välittömästi vapauttavan lainvoimaisen tuomion jälkeen. Neljännen momentin ehdottoman takarajan asettava säännös tulisi muuttaa vastaavasti siten, että merkinnän poistamisen määräaika lähtisi vastaavasti juoksemaan lainvoimaisesta tuomiosta. Tällöin määräajan tulisi olla luonnollisesti viittä vuotta lyhyempi. 

Luottolaitosten asiakashäiriörekisterissä tapahtuvaa henkilötietojen käsittelyä koskeva uusi luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 18 a § mahdollistaa rekisterin ylläpidon luotto- ja rahoituslaitoksille. Hallituksen esityksessä ehdotetut muutokset eivät kuitenkaan todennäköisesti ehdi tulemaan voimaan tietosuoja-asetuksen soveltamisen alkamisaikaan mennessä (25.5.2018) Talousvaliokunnan saaman selvityksen mukaan nyt ehdotetun säännöksen täydentämiseksi valtioneuvostossa on lisäksi valmistelussa lainsäädäntöä, jolla rekisterin ylläpito laajennetaan koskemaan maksulaitoksia ja sijoituspalveluyhtiöitä ja jolla mahdollistetaan rekisterin tosiasiallinen tietojen luovuttaminen edellä mainittujen toimijoiden välillä. Siten rekisterin tosiasiallisesta toiminnasta, tietojen luovuttamisesta finanssialan toimijoiden kesken säädetään vasta lausuntovaiheessa olevalla lainsäädännöllä. Jos säännökset tulevat voimaan eritahtisesti, on epäselvää, mikä on rekisterien oikeusasema väliaikana. Talousvaliokunta kiinnittää huomiota siirtymä- ja voimaantulosäännösten koordinointitarpeeseen. 

Esityksen mukaan vakuutuslaitoksille annettaisiin mahdollisuus tehdä automatisoituja päätöksiä muutoinkin kuin rekisteröidyn nimenomaisella suostumuksella tai silloin, kun se on välttämätöntä sopimuksen tekemistä tai täytäntöönpanoa varten. Valiokunta pitää selvitettynä, että esityksen mukainen mahdollisuus tehdä automaattisia päätöksiä on tarpeen esimerkiksi niissä korvaustilanteissa, joissa korvauksenhakija ei ole vakuutusyhtiön asiakas eikä ehkä lainkaan yhteydessä vakuutusyhtiöön koko prosessin aikana.  

Hallituksen esityksessä on huomioitu yhtäältä velvoittavan EU-oikeuden kansalliselle sääntelylle asettamat rajat ja toisaalta myös teknisten ratkaisujen kehitys. Säädösviitekehystä arvioitaessa on huomioitava finanssialan toimintaympäristö kokonaisuutena: toimintojen luvanvaraisuus, yksityiskohtainen sääntely ja valvonta suojaavat varsin kattavasti rekisteröidyn oikeuksien toteutumista. Valiokunta pitää ehdotettua sääntelyä tarpeellisena ja tarkoituksenmukaisena, jotta kansallinen lainsäädäntömme olisi yhteensopiva EU-sääntelyn kanssa, ilmaisten kuitenkin huolensa säädösten eritahtisen voimaantulon mahdollisesti aiheuttamista epäjatkuvuuskohdista.