Kirkonkirjoja ja kirkon yhteistä jäsentietojärjestelmää koskevat säännösmuutokset
Kirkkolain 16 lukuun ehdotettujen muutosten tavoitteena on kirkon yhteisen jäsenrekisterin ja siihen talletettujen tietojen tietoturvallisuuden parantaminen ja sitä kautta myös rekisteröityjen henkilöiden yksityisyyden suojan parantaminen. Pyrkimyksenä on myös selkeyttää kirkon viranomaisten vastuita ja jäsenrekisterin käyttöön liittyviä oikeuksia. Lisäksi tarkoitus on korjata niitä säännöspuutteita, joita kirkkolakiin on jäänyt kirkon yhteistä jäsentietojärjestelmää koskevan kirkkolain muutoksen yhteydessä vuonna 2010 ja jotka ovat ilmenneet vasta tietojärjestelmän käyttöönoton jälkeen.
Lakiehdotuksen 16 luvun 5 §:ssä täsmennetään voimassa olevaa sääntelyä. Ehdotetun 5 §:n 1 momentin mukaan rekisterinpitäjiä ovat seurakunnat ja keskusrekisterit. Asiantuntijakuulemisessa on valiokunnan huomiota kiinnitetty siihen, että 5 §:n 2 momentin 3 kohdan muotoilu, jonka mukaan seurakunnassa kirkkoherra ja keskusrekisterissä sen johtaja vastaa rekisteritietojen virheettömyydestä, voi aiheuttaa virheellisen käsityksen siitä, että nämä henkilöt olisivat rekisterinpitäjän sijaan yksin henkilökohtaisessa vastuussa tietojen virheettömyydestä. Perusteluina on viitattu henkilötietolain (523/1999) 47 §:ään, jonka mukaan vahingonkorvausvelvollisuus mainitun lain vastaisesta henkilötietojen käsittelystä on rekisterinpitäjällä. Kuulemisessa on tämän vuoksi esitetty 5 §:n 2 momentin sääntelyn tarkistamista käyttämällä sanan "vastaa" sijaan ilmaisua "huolehtii".
Henkilötietojen käsittelyyn liittyvät yleiset velvoitteet kuuluvat henkilötietolain mukaan rekisterinpitäjälle. Tämän on esimerkiksi kyseisen lain 9 §:n mukaan huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Myös henkilötietolain vastaisesta henkilötietojen käsittelystä aiheutuneen vahingon korvausvastuu on rekisterinpitäjällä. Henkilötietolakia sovelletaan kirkkolain 16 luvun 14 §:n (787/2010) mukaan täydentävästi myös kirkkolaissa tarkoitettujen henkilötietojen käsittelyyn.
Valiokunta toteaa, että ehdotetun lain 5 §:n 2 momentin 3 kohdassa mainittu tehtävä on määritelty pykälän 1 momentin pohjalta rekisterinpitäjänä olevan seurakunnan palveluksessa olevan kirkkoherran tehtäväksi ja keskusrekisterin osalta sen johtajan tehtäväksi. Tästä huolimatta henkilötietolain mukainen rekisterinpitäjän vastuu henkilötietojen käsittelyn lainmukaisuudesta kuuluu kyseessä olevalle seurakunnalle ja keskusrekisterille. Valiokunta kiinnittää huomiota myös siihen näkökohtaan, että kirkkoherranvirastot ja keskusrekisterit ovat päällikkövirastoja, joissa kirkkoherralla ja keskusrekisterin johtajalla on omalta osaltaan kokonaisvastuu kyseisen viranomaisen toiminnasta. Valiokunta ei pidä asiantuntijakuulemisessa esiin noussutta sanamuodon muuttamista välttämättömänä.
Lakiehdotuksen 16 luvun 6 a §:n 2 momentin mukaan kirkkohallitus päättää tietojen luovuttamisesta jäsenrekisteristä teknisen käyttöyhteyden välityksellä ja muusta kuin kirkon jäsenten yksittäisten tietojen luovuttamisesta. Valiokunta pitää saamansa selvityksen perusteella poikkeuksellisena sitä, että tietojen luovuttamisesta päättäminen kuuluisi sellaiselle taholle, joka ei ole rekisterinpitäjä. Ehdotusta voidaan kuitenkin pitää tässä tilanteessa ymmärrettävänä ottaen huomioon kirkkohallituksen keskeisen yhdistävän roolin kirkon organisaatiossa. Sääntelyllä voidaan esimerkiksi edistää yhtenäisen käytännön syntymistä luovutettaessa henkilötietoja teknisen käyttöyhteyden avulla. Edellä mainittu 6 a §:n 2 momentti vastaa voimassa olevaa 16 luvun 7 §:n 2 momenttia.
Lakiehdotuksen 16 luvun 7 §:ssä säädetään jäsenrekisterin tietojen käsittelyn seurannasta ja valvonnasta. Pykälän 1 momentista ilmenee, että jäsenrekisteristä luovutettuja 6 a §:n 2 momentissa tarkoitettuja tietoja saa käyttää vain siihen tarkoitukseen, johon ne on luovutettu. Tiedot saa luovuttaa edelleen tai muuten antaa sivulliselle vain, jos siitä on säädetty laissa tai jos kirkkohallitus on antanut luvan. Valiokunta toteaa kirkkolain 16 luvun 14 §:stä ilmenevän, että henkilötietojen käsittelyyn sovelletaan kirkkolain ja henkilötietolain lisäksi julkisuuslakia (521/1999) sekä väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annettua lakia (661/2009). Käsiteltävänä olevasta 7 §:n 1 momentista ilmenevä kirkkohallituksen luvalla tapahtuva tietojen edelleen luovutus voi tulla kysymykseen valiokunnan käsityksen mukaan lähinnä henkilötietolain 4 luvussa säädettyihin tarkoituksiin. Valiokunta tähdentää joka tapauksessa sitä seikkaa, ettei kirkkohallituksen toimivalta luvan myöntämisessä tietojen luovuttamiseen voi olla laissa säädettyä laajempi.
Asiantuntijakuulemisessa on noussut esiin myös 7 §:n 3 momentissa ehdotettu kirkkohallituksen määräämän tarkastajan oikeus toimittaa tarkastus jäsenrekisterin tietojen käytön ja suojauksen valvomiseksi. Tarkastus on voitava toteuttaa salassapitosäännösten estämättä 3 momentista tarkemmin ilmenevin tavoin. Kuulemisessa on kannettu huolta tarkastusoikeuden laajuudesta ja pidetty sitä poikkeuksellisena. Valiokunta toteaa, että ehdotuksen perustelujen mukaan kirkkohallituksen määräämän tarkastajan valvonta- ja tarkastusoikeus kohdistuisi seurakuntien ja seurakuntayhtymien käytössä oleviin asiakastietojärjestelmiin ja niiden tietoihin sekä koskisi oikeutta päästä tässä yhteydessä tiedon käyttäjänä olevan seurakunnan tai seurakuntayhtymän hallinnassa oleviin tiloihin. Saadun selvityksen perusteella tarkoitus ei ole päästä tarkastuksen suorittamiseksi kotirauhan piiriin kuuluviin tiloihin. Ehdotuksen tavoitteena on perustelujen mukaan yksityisyyden suojan ja tietoturvallisuuden parantaminen.
Kirkkolakiehdotuksen valmistelusta
Kirkkolain erityinen säätämisjärjestys perustuu kirkkolain 2 luvun 1 §:ään. Vain kirkolliskokouksella on oikeus tehdä ehdotus kirkkolain säätämisestä, muuttamisesta tai kumoamisesta. Eduskunta ei voi muuttaa kirkolliskokouksen ehdotusta, vaan eduskunta voi ainoastaan hyväksyä tai hylätä ehdotuksen. Lainsäädäntötekninen virhe, joka ei vaikuta lakiehdotuksen sisältöön, voidaan kuitenkin oikaista kirkkohallituksen annettua asiassa lausuntonsa.
Muusta lainsäädännöstä poikkeavasta valmistelutavasta ja erityisestä säätämisjärjestyksestä johtuen valiokunta korostaa kirkkolain osalta lainvalmistelun huolellisuuden merkitystä. Tähän huolelliseen valmisteluun kuuluu myös asian laadun edellyttämän erityisasiantuntemuksen, kuten tietosuojavaltuutetun osaamisen, hyödyntäminen. Esimerkiksi käsiteltävänä olevan lakiehdotuksen valmistelun yhteydessä ei ole kuultu tietosuojavaltuutettua.
Yhteenveto
Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa hallituksen esitykseen sisältyvän lakiehdotuksen hyväksymistä muuttamattomana.