Yleistä
Esityksen tavoitteena on saattaa kansallinen sosiaaliturva- ja vakuutuslainsäädäntö yhteensopivaksi EU:n yleisen tietosuoja-asetuksen kanssa. Tietosuoja-asetus on suoraan sovellettavaa oikeutta, joten asetuksen kanssa ristiriitaiset tai päällekkäiset säännökset ehdotetaan kumottaviksi. Lisäksi esityksessä esitetään eräitä tietosuoja-asetusta tarkentavia säännöksiä ja välttämättömiä poikkeuksia tietosuoja-asetuksen velvoitteista.
Esitys on pääosin saman sisältöinen kuin eduskunnan käsittelyssä aiemmin ollut hallituksen esitys HE 52/2018 vp, joka raukesi maaliskuussa 2019. Keskeisimpänä erona aiemmin annettuun esitykseen verrattuna on se, ettei nyt käsiteltävänä oleva esitys sisällä automaattista päätöksentekoa koskevaa sääntelyä. Esityksen perusteluiden mukaan automaattista päätöksentekoa koskevan sääntelyn poistamisen lisäksi perustuslakivaliokunnan hallituksen esityksestä HE 52/2018 vp antamassa lausunnossa PeVL 78/2018 vp esitetyt muut kannanotot on otettu huomioon.
Perustuslakivaliokunta on nyt käsiteltävänä olevasta hallituksen esityksestä antamassaan lausunnossa PeVL 17/2019 vp katsonut, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Perustuslakivaliokunta on kuitenkin lausunnossaan todennut, että laajasti arkaluonteisten tietojen käsittelyä koskevan sääntelyn kohdalla sosiaali- ja terveysvaliokunnan on huolehdittava erityisen tarkasti lakiehdotusten yhteensopivuudesta yleisen tietosuoja-asetuksen kanssa.
Sosiaali- ja terveysvaliokunta pitää ehdotettuja muutoksia tarpeellisina ja tarkoituksenmukaisina ja puoltaa lakiehdotusten hyväksymistä muutettuna jäljempänä yksityiskohtaisissa perusteluissa selvitetyllä tavalla. Valiokunnan ehdottamat muutokset ovat luonteeltaan pääosin teknisiä ja johtuvat osittain hallituksen esitykseen sisältyvien lakien muuttumisesta.
Valiokunta kiinnittää yleisesti huomiota henkilötietojen suojaan liittyvän lainsäädännön monimutkaisuuteen, kun sääntelyn kokonaisuus muodostuu EU:n yleisen tietosuoja-asetuksen ja kansallisen tietosuojalain (1050/2018) säännöksistä sekä sosiaaliturvalainsäädännön henkilötietojen käsittelyä koskevasta erityissääntelystä. Myös perustuslakivaliokunta on lausunnossaan katsonut, että henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 78/2018 vp ja PeVL 17/2019 vp).
Automaattinen päätöksenteko
Hallituksen esityksen mukaan perustuslakivaliokunnan rauenneesta esityksestä HE 52/2018 vp antamassa lausunnossa PeVL 78/2018 vp edellyttämä automaattista päätöksentekoa koskevan sääntelyn täsmentäminen edellyttää laajaa selvitys- ja valmistelutyötä. Automatisoidun päätöksenteon sääntelyn täsmentäminen edellyttää hallinnon yleislainsäädännön päivittämistä ja hallinnonalat ylittäviä linjauksia automatisoidun päätöksenteon yleisperiaatteista. Nämä selvitykset ja niiden pohjalta tehtävä analyysi koskevat useiden ministeriöiden hallinnonalaa.
Valiokunta yhtyy hallituksen esityksessä todettuun näkemykseen siitä, että mahdollisuus tehdä automaattisia päätöksiä myös silloin, kun kysymys on julkisen hallintotehtävän hoitamisesta, on hyvin tärkeää digitalisoituvan yhteiskunnan kehityksen kannalta. Myös valiokunnan saamissa asiantuntijalausunnoissa on tuotu voimakkaasti esille automaattista päätöksentekoa koskevan sääntelyn tarpeellisuus ja kiireellisyys.
Automaattista päätöksentekoa koskevan lainsäädännön valmistelua selvitetään parhaillaan oikeusministeriössä. Valiokunta pitää välttämättömänä, että automaattisen päätöksenteon vaatimat yleislainsäädännön muutokset ja lainsäädännön toimeenpanon edellyttämät tiedonhallinnan tekniset järjestämisratkaisut sekä niitä koskeva sääntely valmistellaan viivytyksettä. (Valiokunnan lausumaehdotus)
Oikeus käsittelyn rajoittamiseen
Tietosuoja-asetuksen 18 artiklan 1 kohdan a alakohdan mukaan rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä, jos rekisteröity kiistää niiden paikkansapitävyyden. Tällöin tietojen käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden. Rekisteröidyn oikeuksia on tietosuoja-asetuksen mukaan mahdollista rajoittaa, jos rajoittaminen toteutetaan tietosuoja-asetuksen 23 artiklassa tarkoitetulla tavalla ja siinä säädetyin edellytyksin. Rajoituksessa tulee noudattaa keskeisiltä osin perusoikeuksia ja -vapauksia, ja sen tulee olla demokraattisessa yhteiskunnassa välttämätön ja oikeasuhtainen toimenpide, jotta voidaan taata jokin tietosuoja-asetuksen 23 artiklan 1 kohdassa lueteltu tarkoitus. Tällainen tarkoitus voi olla 23 artiklan 1 kohdan e alakohdan perusteella muun muassa jäsenvaltion yleiseen etuun liittyvä tärkeä tavoite, kuten kansanterveys ja sosiaaliturva.
Esityksessä sosiaaliturvalainsäädäntöön ehdotetaan lisättäväksi säännökset, joilla poiketaan tietosuoja-asetuksen mukaisesta oikeudesta käsittelyn rajoittamiseen. Lakiehdotusten mukaan rekisteröidyllä ei ole oikeutta siihen, että rekisterinpitäjä rajoittaa henkilötietojen käsittelyä siltä osin kuin kyse on laissa säädetyn tehtävän hoitamisesta, jos rekisteröidyn vaatimus käsittelyn rajoittamisesta on ilmeisen perusteeton.
Perustuslakivaliokunnan lausunnon mukaan sosiaali- ja terveysvaliokunnan on syytä harkita, ovatko asetuksen suoraan soveltuva sääntely huomioiden näin laajat rajoitukset oikeuteen käsittelyn rajoittamisesta välttämättömiä.
Ehdotetun sääntelyn mukaan oikeutta käsittelyn rajoittamiseen rajoitetaan vain, jos vaatimus on ilmeisen perusteeton. Rekisteröidyn oikeuden rajaaminen ei poista rekisterinpitäjän velvollisuutta selvittää rekisteröidyn väitettä henkilötietojen paikkansapitävyydestä. Tietosuoja-asetuksen 16 artiklan perusteella rekisterinpitäjän on oikaistava rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä. Säännös ei myöskään poista vakuutuslaitoksen velvollisuutta noudattaa hyvän hallinnon periaatteita. Lakisääteistä tehtävää hoidettaessa on noudatettava hallintolakia (434/2003), jossa edellytetään muun muassa, että toimeenpanijan on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Myös sosiaaliturvalainsäädännön muutoksenhakukeinot toimivat rekisteröidyn oikeusturvan takeina, kun rekisteröidyltä evätään mahdollisuus tietojen käsittelyn rajoittamiseen.
Hallituksen esityksen mukaan perusteena oikeuden toteuttamista koskevaksi poikkeukseksi on lähinnä sosiaaliturvan toimeenpanon ja siihen sisältyvän valvonnan turvaaminen. Sosiaali- ja terveysvaliokunnan saaman selvityksen mukaan sosiaaliturvan toimeenpanossa rekisteröidyn oikeus käsittelyn rajoittamiseen tietosuoja-asetuksen pääsäännön mukaisesti saattaa johtaa siihen, että lakisääteisiä etuuksia ei voitaisi myöntää tai maksaa tai etuuden maksamista ei voisi pätevästäkään syystä keskeyttää tai lakkauttaa. Sosiaaliturvan toimeenpanon kannalta on ongelmallista, jos oikeutta voidaan perusteettomasti käyttää lakisääteisen toiminnan viivästyttämiseen tai estämiseen. Valiokunnan näkemyksen mukaan ehdotettua rajoitusta voidaan pitää välttämättömänä ja oikeasuhtaisena toimenpiteenä tietosuoja-asetuksen 23 artiklan 1 kohdan e alakohdan perusteella.
Vakuutusyhtiön oikeus käsitellä tietoja rikoksista ja rikosepäilyistä
Hallituksen esityksessä vakuutusyhtiöitä koskevaan lainsäädäntöön (Lakiehdotus 36. Laki vakuutusyhtiölain muuttamisesta ja lakiehdotus 18. Laki ulkomaisista vakuutusyhtiöistä) ehdotetaan lisättäviksi säännökset, jotka mahdollistavat rikosepäilyihin ja rikostuomioihin liittyvien henkilötietojen käsittelyn ja luovuttamisen toisille vakuutusyhtiöille väärinkäytösrekistereiden ylläpitoa varten. Ehdotetut säännökset toimivat toisaalta valtuutuksena rekisterinpitäjälle tietojen tallennukseen ja toisaalta rajoituksena sille, mitä tietoja, millä edellytyksillä ja kuinka kauan saadaan tallentaa. Tietosuojalautakunnan lupaan perustuva vakuutusyhtiöiden väärinkäytösrekisteri on ollut käytössä vuodesta 1996 maaliskuun loppuun 2019. Tietosuoja-asetuksen voimaantulon seurauksena rekisteristä on säädettävä lailla.
Perustuslakivaliokunta on pitänyt väärinkäytösrekistereihin liittyvän sääntelyn tarkoitusta hyväksyttävänä rauenneen hallituksen esityksen käsittelyn yhteydessä (ks. PeVL 78/2018 vp). Perustuslakivaliokunta on kuitenkin tuolloin ja tätä esitystä koskevassa lausunnossaan katsonut, että väärinkäytösrekistereiden kohdalla on huolehdittava erityisen tarkasti lakiehdotusten yhteensopivuudesta yleisen tietosuoja-asetuksen kanssa.
Tietosuoja-asetuksen 10 artiklan mukaan rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely asetuksen 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi.
Esitykseen sisältyvä vakuutusyhtiöiden väärinkäytösrekisteriä koskeva ehdotus on keskeiseltä sisällöltään samanlainen kuin aiemmin eduskunnassa hyväksytty luotto- ja rahoituslaitosten asiakashäiriörekisteriä koskeva sääntely (luottolaitostoiminnasta annetun lain 610/2014 15 luvun 18 a §). Lainkohtaan sisällytetyt tietosuoja-asetuksen edellyttämät suojatoimenpiteet vastaavat nykyiselle väärinkäytösrekisterille annetun tietosuojalautakunnan luvan mukaisia ehtoja. Rekisteröidyn oikeusturvan takaamiseksi merkintä väärinkäytösrekisteriin voidaan tehdä vasta, kun rekisteröitävästä väärinkäytöksestä on ilmoitettu esitutkintaviranomaiselle tai syyttäjälle. Merkintä väärinkäytösrekisteristä on poistettava rekisteristä, jos rekisteröity henkilö on todettu tuomioistuimessa syyttömäksi tai jos oikeusprosessista on luovuttu. Merkintä on aina poistettava viimeistään viiden vuoden kuluessa merkinnän tekemisestä. Vakuutetulle on myös ilmoitettava, jos vakuutushakemuksen epääminen taikka muu rekisteröidylle kielteinen päätös johtuu rekisterissä olevista tiedoista. Lisäksi rekisteröidyn oikeuksia turvaa vakuutuslaitoksen palveluksessa oleville säädetty salassapitovelvollisuus. Sosiaali- ja terveysvaliokunta katsoo, että lakiehdotukseen sisältyvät suojatoimenpiteet ovat riittäviä rekisteröidyn oikeuksien ja vapauksien suojelemiseksi ja ehdotettua sääntelyä voidaan siten pitää kokonaisuutena katsottuna hyväksyttävänä.
Talousvaliokunta on sosiaali- ja terveysvaliokunnalle antamassaan lausunnossa TaVL 9/2019 vp esittänyt, että sosiaali- ja terveysvaliokunta arvioisi mahdollisuutta täydentää sääntelyä siten, että tietoja väärinkäytöksistä voitaisiin luovuttaa samaan rahoitus- ja vakuutusryhmittymään kuuluvalle yritykselle tai yhteisölle. Lisäksi talousvaliokunta kiinnittää lausunnossaan huomiota vakuutusyhtiölain 30 luvun 3 a §:n 4 momenttiin, jonka mukaan tiedot on poistettava rekisteristä viimeistään viiden vuoden kuluttua siitä, kun rikosta koskevat tiedot on ensimmäisen kerran rekisteröity. Talousvaliokunta pitää viiden vuoden määräaikaa lyhyenä muutoksenhakutilanteissa ottaen huomioon oikeudenkäyntien keskimääräiset kestoajat.
Sosiaali- ja terveysvaliokunta toteaa, että hallituksen esityksessä ehdotetun sääntelyn tarkoituksena on ollut mahdollistaa aiemmin tietosuojalautakunnan lupaehtoihin perustuvan väärinkäytösrekisterin käytön jatkaminen. Vakuutusyhtiöillä ja luottolaitoksilla on aiemmin ollut omat erilliset rekisterinsä, joiden tietoja ei ole voitu luovuttaa ristiin. Vakuutusyhtiöiden väärinkäytösrekisteriin merkittyjen tietojen luovuttaminen muille rahoitusalan yrityksille laajentaisi rekisterin käyttöalaa. Sosiaali- ja terveysvaliokunta pitää tarpeellisena, että jatkovalmistelussa selvitetään rekisterin käyttöalaa koskevan sääntelyn muuttamista vastaamaan luottolaitosten asiakashäiriörekisteriä koskevaa sääntelyä ja tietojen säilytysaikaa koskevan sääntelyn täsmentämistä.
Eläkesäätiölain (1774/1995) 70 §
Perustuslakivaliokunta ja talousvaliokunta ovat kiinnittäneet lausunnoissaan huomiota eläkesäätiölakia koskevaan 2. lakiehdotukseen. Eläkesäätiölain 70 §:ssä säädetään eläkesäätiörekisteristä, siihen tehtävistä merkinnöistä sekä siitä luovutettavista tiedoista. Hallituksen esityksen 2. lakiehdotuksessa pykälään ehdotetaan lisättäväksi uusi 4 momentti, jossa täsmennetään henkilötietojen luovuttamista rekisteristä. Perustuslakivaliokunnan ja talousvaliokunnan lausuntojen mukaan säännösehdotuksen perusteluista voi saada käsityksen, jonka mukaan tarkoituksena olisi luovuttaa henkilötietoja myös lainvastaisiin käyttötarkoituksiin. Lisäksi säännöksen perusteluissa viitataan kaupparekisterilain (129/1979) 1 a §:ään, joka mahdollistaa julkisen tietopalvelun ja teknisen käyttöyhteyden avaamisen. Perustuslakivaliokunta onkin lausunnossaan edellyttänyt, että sääntelyä tulee täsmentää, jos tietojen antaminen eläkesäätiörekisteristä on tarkoitus toteuttaa internetiin sijoitettavana julkisena tietopalveluna.
Valiokunnan saaman selvityksen mukaan eläkesäätiölain 70 §:n 4 momenttiin ehdotetun uuden säännöksen tarkoituksena on täsmentää nykyistä sääntelyä henkilötietojen luovuttamisesta. Ehdotetun lainkohdan mukaan Finanssivalvonta rekisterinpitäjänä voi luovuttaa henkilötunnuksen ja ulkomailla asuvan henkilön kotiosoitteen rekisteristä vain sillä edellytyksellä, että luovutuksensaajalla on henkilötietojen suojaa koskevien säännösten mukaan oikeus tallettaa ja käyttää näitä henkilötietoja. Muita henkilötietoja (henkilön nimi, kotikunta ja kansalaisuus) Finanssivalvonta voi lakiehdotuksen mukaan luovuttaa sähköisessä muodossa julkisuuslain 16 §:n 3 momentin estämättä. Vastaavanlainen säännös on jo kaupparekisterilain 1 a §:ssä. Eläkesäätiörekisteri on kaupparekisterin tavoin osittain henkilörekisteri, sillä sinne tallennetaan luonnollisia henkilöitä koskevia henkilötietoja. Eläkesäätiölain mukaan jokaisella on oikeus saada tieto rekisterin merkinnöistä ja niihin kuuluvista asiakirjoista. Muiden tietojen kuin henkilötunnuksen ja kotiosoitteen luovuttaminen sähköisesti ilman julkisuuslain 16 §:n 3 momentin mukaista arviointia tukee tätä tarkoitusta. Sosiaali- ja terveysvaliokunta korostaa, että kaupparekisterilaista poiketen eläkesäätiölaki ei mahdollista rekisteritietojen saattamista yleisesti saataville julkisen tietopalvelun kautta eikä rekisteristä ole myöskään tarkoitus luovuttaa tietoja tällä tavalla.