Viimeksi julkaistu 8.5.2021 19.35

Valiokunnan mietintö TaVM 15/2018 vp HE 98/2018 vp Talousvaliokunta Hallituksen esitys eduskunnalle työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevan lainsäädännön muuttamiseksi

JOHDANTO

Vireilletulo

Hallituksen esitys eduskunnalle työ- ja elinkeinoministeriön hallinnonalan henkilötietojen käsittelyä koskevan lainsäädännön muuttamiseksi (HE 98/2018 vp): Asia on saapunut talousvaliokuntaan mietinnön antamista varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • erityisasiantuntija Johanna Ylitepsa 
    työ- ja elinkeinoministeriö
  • erityisasiantuntija Virpi Koivu 
    oikeusministeriö
  • johtava lakimies Johanna Nyländen 
    Kilpailu- ja kuluttajavirasto
  • lakimies Kai Massa 
    Matkailu- ja Ravintolapalvelut MaRa ry

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettaviksi majoitus- ja ravitsemistoiminnasta annettua lakia, matkapalveluyhdistelmien tarjoajista annettua lakia, vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annettua lakia, vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annettua lakia, mittauslaitelakia, tilintarkastuslakia ja yrityspalvelujen asiakastietojärjestelmästä annettua lakia. Mainittuihin lakeihin tehtäisiin Euroopan unionin yleisestä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset. Muutokset ovat pääosin teknisluonteisia ja liittyvät suurelta osin viittauksiin henkilötietojen suojaa koskevaan lainsäädäntöön. 

Lisäksi esityksessä ehdotetaan muutettavaksi Kilpailu- ja kuluttajavirastosta annettua lakia siten, että laissa säädettäisiin poikkeuksesta tietosuoja-asetuksen sääntelyyn siltä osin kuin se koskee rekisteröidyn oikeutta tutustua hänestä kerättyihin tietoihin. 

Lait on tarkoitettu tulemaan voimaan mahdollisimman pian. 

VALIOKUNNAN YLEISPERUSTELUT

Ehdotetun lainsäädännön keskeinen sisältö.

Esityksen tarkoituksena on tehdä Euroopan unionin yleisestä tietosuoja-asetuksesta ja henkilötietojen suojaa koskevan kansallisen lainsäädännön muutoksista johtuvat välttämättömät muutokset eräisiin työ- ja elinkeinoministeriön hallinnonalan lakeihin. Tietosuoja-asetus on kaikilta osiltaan velvoittavaa sääntelyä, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Ehdotetut muutokset ovatkin pääosin teknisluonteisia ja liittyvät valtaosin viittauksiin henkilötietolakiin. 

Talousvaliokunta puoltaa hallituksen esityksen hyväksymistä vähäisin teknisin muutoksin jäljempänä yksityiskohtaisissa perusteluissa selvitetyllä tavalla. 

Liityntä kansalliseen tietosuojalainsäädäntöön.

Ehdotetun lainsäädännön arviointia vaikeuttaa se, ettei vielä ole tiedossa, minkä sisällön kansallinen tietosuojalakimme tulee saamaan. Perustuslakivaliokunnan lausunnon (PeVL 14/2018 vpHE 9/2018 vp) valossa on ilmeistä, ettei hallituksen esityksen mukainen tietosuojalainsäädäntö tule voimaan ehdotetussa muodossaan, vaan osin muutettuna. Perustuslakivaliokunnan lausunnon mukaan kansallisen erityislainsäädännön säätämistä tulisi välttää ja varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Mitä korkeampi riski tietojen käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Teema on tullut esille erityisesti 7. lakiehdotukseen (Tilintarkastuslaki) sisältyvien säännösten arvioinnissa. Perustuslakivaliokunnan lausunnon valossa talousvaliokunta pitää nyt käsillä olevassa hallituksen esityksessä esitettyä sääntelyratkaisua perusteltuna. 

Rekisteröidyn oikeudet.

Rekisteröidyllä ei uuden sääntelyn mukaan olisi oikeutta saada häntä koskevia Kilpailu- ja kuluttajaviraston rekisterissä olevia tietoja, joita virasto käsittelee sen hoitaessa valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi. Säännös on tarpeen Kilpailu- ja kuluttajaviraston valvontatehtävien tehokkuuden turvaamiseksi sekä tietosuoja-asetuksen 15 artiklan mukaisen rekisteröidyn oikeuden ja julkisuuslain nojalla salassapidon välisen suhteen selventämiseksi. Rekisteröidyn 15 artiklan mukainen oikeus vaarantaisi Kilpailu- ja kuluttajaviraston lakisääteisen valvonnan tai sen tarkoituksen toteutumisen, jos oikeus kohdistuisi henkilötietoihin, jotka ovat salassa pidettäviä julkisuuslain edellä mainitun kohdan nojalla. Vastaava säännös tulee tietosuoja-asetuksen johdosta useisiin muihinkin viranomaisten valtuuksia koskeviin säädöksiin. Talousvaliokunta pitää ehdotettua rekisteröidyn oikeuksien rajoitusta perusteltuna ja oikeasuhtaisena. 

Tiedonkulku viranomaisten välillä.

Talousvaliokunta pitää tärkeänä, että lainsäädännössä mahdollistetaan tarkoituksenmukainen yhteisen asiakastiedon hyödyntäminen ja vaihto eri toimijoiden välillä. Tietojärjestelmistä ja niiden käytöstä säädettäessä on huomioitava sääntelykokonaisuuteen liittyvien tahojen roolit ja tarpeet. Tässä yhteydessä tulee varmistaa eri toimijoiden välinen tiedonkulku siten, että asiakasdata on tarkoituksenmukaisella ja turvallisella tavalla kaikkien tietoja tarvitsevien käytössä. Talousvaliokunta katsoo, että ehdotuksen mukainen sääntely mahdollistaa tietosuojaan liittyvän systemaattisen toimintamallin, jolla varmistetaan myös salassa pidettävien tietojen yhdenmukaiset käyttöoikeudet ja valvonta. 

Valiokunta pitää ehdotettua sääntelyä tarpeellisena ja tarkoituksenmukaisena, jotta kansallinen lainsäädäntömme olisi yhteensopiva EU-sääntelyn kanssa, ilmaisten kuitenkin huolensa lähialojen säädösten eritahtisen voimaantulon mahdollisesti aiheuttamista epäjatkuvuuskohdista. 

VALIOKUNNAN YKSITYISKOHTAISET PERUSTELUT

8. Laki yrityspalvelujen asiakastietojärjestelmästä annetun lain muuttamisesta

2 §. Lain soveltamisala.

Lain 6 §:ään tehtävien, jäljempänä selvitettävien muutosten johdosta lain 2 §:n 2 momenttiin, sen 2 virkkeeseen, tulee sisällyttää lyhytnimikkeen määritelmä tietosuoja-asetukselle seuraavasti:  

”Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).” 

6 §. Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät.

Talousvaliokunta katsoo tarpeelliseksi muuttaa pykälää siten, että työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat tahot määriteltäisiin asiakastietojärjestelmän yhteisrekisterinpitäjiksi.  

Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Artikla mahdollistaa yhteisrekisterinpitäjien vastuiden jakamisen lainsäädännössä. 

Talousvaliokunta pitää perusteltuna säilyttää voimassa olevan lain mukainen vastuunjako työ- ja elinkeinoministeriön ja asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen välillä. Voimassa olevan lain mukaan työ- ja elinkeinoministeriö vastaa teknisenä ylläpitäjänä asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Tekninen ylläpitäjä vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Kyseisen säännöksen esitöiden (HE 18/2017 vp) mukaan käytettävyydellä, suojaamisella ja eheydellä olisi sama sisältö kuin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) hyvää tiedonhallintatapaa koskevassa 18 §:ssä. Viranomaisen tulee kyseisen pykälän mukaan hyvän tiedonhallintatavan toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä ja tässä tarkoituksessa erityisesti noudattaa pykälässä tarkemmin säädettyjä velvoitteita. Esitöissä on todettu, että 1 momentin nojalla työ- ja elinkeinoministeriön vastuisiin kuuluisi myös asiakastietojärjestelmän kehittäminen mukaan lukien huolehtiminen tietojärjestelmän tietoturvallisuuden yleisestä kehittämisestä, kuten sellaisten menettelytapojen käyttämisestä tiedonvaihdossa, jotka turvaavat tietojen eheyden eli niiden suojan laitonta muuttamista vastaan. Työ- ja elinkeinoministeriön on myös huolehdittava siitä, että järjestelmä on teknisesti ja toiminnallisesti sellainen, että rekisterinpitäjän velvollisuudet voidaan täyttää.  

Rekisterinpitäjiksi voimassa olevassa laissa määritellyille lain 4 §:n 1 momentissa mainituille tahoille kuuluvat kaikki ne muut tehtävät, jotka johtuvat henkilötietolaissa (523/1999) rekisterinpitäjälle säädetyistä velvoitteista. Näihin kuuluvat niiden omien rekistereiden osalta yleinen huolenpito tietojenkäsittelyn lainmukaisuudesta ja tietojen laadusta ja tähän liittyvä rekisteritoiminnan ohjaus ja neuvonta. Rekisterinpitäjät vastaavat rekisteriensä tietojen luovuttamistehtävistä, tietojen poistamisesta ja tietojenkäsittelyn lainmukaisuuteen liittyvistä tehtävistä. Rekisterinpitäjien vastuulle kuuluu myös henkilötietolain 24 §:ssä säädetty informointivelvollisuus.  

Talousvaliokunta ehdottaa, että lain 6 §:n 1 momentissa säädettäisiin asiakastietojärjestelmän yhteisrekisterinpitäjistä, joiden vastuut määriteltäisiin tietosuoja-asetuksen 26 artiklan liikkumavaran puitteissa lain 6 §:n 2 ja 3 momentissa. Asiakastietojärjestelmän yhteisrekisterinpitäjiksi määriteltäisiin työ- ja elinkeinoministeriö ja lain 4 §:n 1 momentissa mainitut tahot, eli yrityspalveluja tarjoavat viranomaiset, valtion erityisrahoitusyhtiö, Business Finland Oy ja alueiden kehittämisen ja rakennerahastohankkeiden rahoittamisesta annetun lain (8/2014) 2 §:n 13 kohdassa tarkoitetut välittävät toimielimet.  

Ministeriön vastuut tulee määritellä lain 6 §:n 2 momentissa siten, että ne pääosin vastaavat ministeriölle voimassa olevassa laissa määriteltyjä vastuita. Voimassa olevan lain 6 §:ssä säädetyt teknisen ylläpitäjän tehtävät liittyvät järjestelmän käytettävyyteen ja tietojen eheydestä, suojaamisesta ja säilyttämisestä vastaamiseen. Asiakastietojärjestelmään talletettavat tiedot ovat pääosin yrityksiä koskevia asiakastietoja, eivät henkilötietoja. Asiakastiedot kuitenkin osittain sisältävät myös henkilötietoja.  

Asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen vastuista säädettäisiin lain 6 §:n 3 momentissa. Momentissa tulee mainita, että lain 4 §:n 1 momentissa mainitut tahot vastaisivat muista rekisterinpitäjälle kuuluvista tehtävistä. Lain 4 §:n 1 momentissa mainitut tahot vastaisivat siten edelleen myös rekisteröidyn oikeuksien toteuttamisesta. Samoin niille kuuluisi edelleen myös vastuu henkilötietojen käsittelyn turvallisuudesta omassa toiminnassaan.  

Edellä mainituilla perusteilla 6 § ja sen otsikko muutettaisiin seuraavasti: 

”Asiakastietojärjestelmän rekisterinpitäjät 

Työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot ovat asiakastietojärjestelmän yhteisrekisterinpitäjiä.  

Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Työ- ja elinkeinoministeriö vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmässä suoritettavan henkilötietojen käsittelyn osalta tietosuoja-asetuksen 25 artiklassa tarkoitetusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 32 artiklassa tarkoitetusta käsittelyn turvallisuudesta, 35 artiklassa tarkoitetusta tietosuojaa koskevasta vaikutustenarvioinnista ja 36 artiklassa tarkoitetusta ennakkokuulemisesta sekä muista sellaisista tietosuoja-asetuksessa säädetyistä rekisterinpitäjän velvollisuuksista, jotka koskevat tietojärjestelmän tietoturvallisuutta. Työ- ja elinkeinoministeriöllä ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä.  

Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta, vastaavat muista kuin 2 momentissa tarkoitetuista rekisterinpitäjän velvollisuuksista sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta.” 

VALIOKUNNAN PÄÄTÖSEHDOTUS

Talousvaliokunnan päätösehdotus:

Eduskunta hyväksyy muuttamattomana hallituksen esitykseen HE 98/2018 vp sisältyvät 1.—7. lakiehdotuksen. Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 98/2018 vp sisältyvän 8. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Valiokunnan muutosehdotukset

1. Laki Kilpailu- ja kuluttajavirastosta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
lisätään Kilpailu- ja kuluttajavirastosta annettuun lakiin (661/2012) uusi 7 a § seuraavasti: 
1 luku 
Kilpailu- ja kuluttajavirastoa koskevat säännökset 
7 a §  
Rajoitus rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin 
Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, rekisteröidyllä ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin Kilpailu- ja kuluttajaviraston rekisterissä oleviin tietoihin, joita virasto käsittelee sen hoitaessa kilpailulain, hankintalain tai erityisalojen hankintalain mukaisia valvontatehtäviään, jos tietojen antamatta jättäminen on välttämätöntä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 24 §:n 1 momentin 15 kohdan nojalla valvonnan tai sen tarkoituksen toteutumisen turvaamiseksi. 
Rajoitettaessa rekisteröidyn oikeutta 1 momentin nojalla on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

2. Laki majoitus- ja ravitsemistoiminnasta annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan majoitus- ja ravitsemistoiminnasta annetun lain (308/2006) 1 §:n 5 momentti, 7 §:n 2 momentti, 8 §:n 3 momentti ja 13 §:n 3 momentti, 
sellaisena kuin niistä on 13 §:n 3 momentti laissa 1103/2017, seuraavasti: 
1 §  
Soveltamisala ja määritelmät 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999), jollei tässä laissa toisin säädetä. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).  
 Muuttamaton osa säädöstekstistä on jätetty pois 
7 § 
Matkustajarekisteri 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Majoitustoiminnan harjoittaja voi käyttää matkustajatietoja ja matkustajarekisteriä asiakaspalveluun ja suoramarkkinointiin. Rekisteröidyn oikeudesta vastustaa henkilötietojen käsittelyä säädetään tietosuoja-asetuksessa. 
8 § 
Matkustajatietojen luovuttaminen poliisille sekä matkustajailmoitusten ja -tietojen säilyttäminen ja hävittäminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Majoitustoiminnan harjoittajan on säilytettävä matkustajailmoitukset ja -tiedot yhden vuoden ajan matkustajailmoituksen allekirjoittamispäivästä, minkä jälkeen ne on hävitettävä. Matkustajarekisterissä olevat matkustajatiedot on säilytettävä yhden vuoden ajan niiden merkitsemisestä, minkä jälkeen ne on hävitettävä. Asiakaspalveluun ja suoramarkkinointiin käytettävien tietojen poistamiseen rekisteristä sovelletaan kuitenkin, mitä tietosuoja-asetuksessa säädetään. 
13 § 
Rangaistussäännökset  
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

3. Laki matkapalveluyhdistelmien tarjoajista annetun lain 16 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 
muutetaan matkapalveluyhdistelmien tarjoajista annetun lain (921/2017) 16 § seuraavasti: 
16 § 
Tietojen luovuttaminen rekisteristä 
Sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 16 §:n 3 momentissa säädetään, rekisteristä saa luovuttaa henkilötietoja tulosteena tai saattaa ne yleisesti saataville sähköisen tietoverkon kautta tai luovuttaa ne muutoin sähköisessä muodossa. Tieto henkilötunnuksesta saadaan kuitenkin luovuttaa tämän lain nojalla vain, jos tieto annetaan tulosteena tai teknisenä tallenteena ja jos luovutuksensaajalla on oikeus henkilötunnuksen käsittelyyn tietosuojalain ( / ) 29 §:n tai muun lain nojalla. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

4. Laki vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain 130 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti  
muutetaan vaarallisten kemikaalien ja räjähteiden käsittelyn turvallisuudesta annetun lain (390/2005) 130 §:n 4 momentti, sellaisena kuin se on laissa 358/2015, seuraavasti:  
130 § 
Rekisterit 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietojen luovuttamiseen sovelletaan, mitä siitä muualla laissa säädetään. Rekisterissä olevat muut kuin henkilötiedot on tarkastettava ja tarpeettomat tiedot poistettava tarkastuksen yhteydessä. Rekisterinpitäjän velvollisuuksista henkilötietojen käsittelyssä säädetään erikseen. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

5. Laki vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain 11 §:n 2 momentin kumoamisesta 

Eduskunnan päätöksen mukaisesti säädetään: 
1 § 
Tällä lailla kumotaan vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetun lain (920/2005) 11 §:n 2 momentti. 
2 § 
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

6. Laki mittauslaitelain 53 §:n 2 momentin kumoamisesta 

Eduskunnan päätöksen mukaisesti säädetään: 
1 §  
Tällä lailla kumotaan mittauslaitelain (707/2011) 53 §:n 2 momentti. 
2 §  
Tämä laki tulee voimaan päivänä kuuta 20 . 
 Lakiehdotus päättyy 

7. Laki tilintarkastuslain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
kumotaan tilintarkastuslain (1141/2015) 4 luvun 9 §:n 2 momentti, sellaisena kuin se on laissa 622/2016, sekä 
muutetaan 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti, 8 luvun 6 § ja 9 luvun 1 §:n 2 momentti ja 3 §:n 2 momentin 4 kohta,  
sellaisina kuin niistä ovat 4 luvun 13 §:n 2 ja 4 momentti, 6 luvun 9 §:n 6 momentti ja 9 luvun 3 §:n 2 momentin 4 kohta laissa 622/2016, seuraavasti: 
4 luku  
Tilintarkastajaa koskevat muut säännökset 
13 § 
Epäilyksistä ilmoittaminen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Ilmoitusmenettelyn tulee sisältää toimenpiteet, joilla suojataan ilmoituksen tekijää ja turvataan ilmoituksen tekijän ja ilmoituksen kohteena olevan henkilötietojen suoja. Ilmoitusmenettelyn tulee lisäksi sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja, jollei rikkomuksen selvittämiseksi tai muuten viranomaisen oikeudesta tietojen saamiseen laissa toisin säädetä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Sen lisäksi, mitä tietosuojalain ( / ) 34 §:n 1 momentissa säädetään, 1 momentissa tarkoitetun ilmoituksen kohteena olevalla ei ole luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, 15 artiklassa tarkoitettua rekisteröidyn oikeutta tutustua hänestä kerättyihin 1 ja 2 momentissa tarkoitettuihin tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Rajoitettaessa rekisteröidyn oikeutta on noudatettava, mitä tietosuojalain 34 §:n 2—4 momentissa säädetään. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 luku 
Hyväksyminen ja rekisteröinti 
9 § 
Tilintarkastajarekisteri 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Rekisteri-ilmoituksista ja rekisterimerkinnöistä sekä rekisteriin merkittävistä muista tiedoista kuin henkilötiedoista voidaan antaa tarkempia säännöksiä valtioneuvoston asetuksella.  
8 luku 
Valvontavaltuudet 
6 § 
Tietojen saaminen muilta viranomaisilta 
Tilintarkastusvalvonnalla on oikeus salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä pyynnöstä saada viranomaiselta ja muulta julkista tehtävää hoitavalta tässä laissa säädettyä valvontaa varten välttämättömät tiedot. Tietoja saa hakea teknisen käyttöyhteyden avulla ilman sen suostumusta, jonka etujen suojaamiseksi salassapitovelvollisuudesta on säädetty. Mitä edellä säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja. 
9 luku 
Tietojen luovuttaminen ja viranomaisyhteistyö 
1 §  
Oikeus tietojen luovuttamiseen 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Mitä edellä 1 momentissa säädetään ei kuitenkaan koske tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia henkilötietoja ja rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta sekä henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia koskevia henkilötietoja. 
3 § 
Kansainvälinen valvontayhteistyö 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Mitä 1 momentissa säädetään, koskee myös valvonnan kannalta tarpeellisten asiakirjojen toimittamista muun kuin ETA-valtion valvojalle, joka kotimaassaan lain nojalla hoitaa vastaavia tehtäviä, jos: 
 Muuttamaton osa säädöstekstistä on jätetty pois 
4) tietojen vaihdossa noudatetaan tietosuoja-asetusta. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä kuuta 20 . 
Tilintarkastuksesta annettu valtioneuvoston asetus (1377/2015) jää voimaan myös siltä osin kuin se on annettu tällä lailla muutetun 6 luvun 9 §:n 6 momentin nojalla. 
 Lakiehdotus päättyy 

8. Laki yrityspalvelujen asiakastietojärjestelmästä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  
kumotaan yrityspalvelujen asiakastietojärjestelmästä annetun lain (293/2017) 9 §:n 2 momentti sekä 
muutetaan 2 §:n 2 momentti ja 6 § seuraavasti: 
2 § 
Lain soveltamisala 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Jollei laissa toisin säädetä, yrityspalvelujen asiakastietojärjestelmään sekä siihen talletettujen tietojen julkisuuteen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) ja valtion erityisrahoitusyhtiöstä annetun lain (443/1998) 5 ja 6 §:ää. Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), Valiokunta ehdottaa sisältöä muutettavaksi jäljempänä tietosuoja-asetus Muutosehdotus päättyy, ja tietosuojalaissa ( / ). 
 Muuttamaton osa säädöstekstistä on jätetty pois 
6 § 
Asiakastietojärjestelmän Valiokunta ehdottaa sisältöä poistettavaksi tekninen ylläpitäjä ja Poistoehdotus päättyy rekisterinpitäjät 
Valiokunta ehdottaa sisältöä muutettavaksi Työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot ovat asiakastietojärjestelmän yhteisrekisterinpitäjiä. Muutosehdotus päättyy (Uusi) 
Työ- ja elinkeinoministeriö vastaa Valiokunta ehdottaa sisältöä poistettavaksi teknisenä ylläpitäjänä ja henkilötietojen käsittelijänä Poistoehdotus päättyy asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Valiokunta ehdottaa sisältöä muutettavaksi Työ- ja elinkeinoministeriö  Muutosehdotus päättyyvastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Valiokunta ehdottaa sisältöä muutettavaksi Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmässä suoritettavan henkilötietojen käsittelyn osalta tietosuoja-asetuksen 25 artiklassa tarkoitetusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 32 artiklassa tarkoitetusta käsittelyn turvallisuudesta, 35 artiklassa tarkoitetusta tietosuojaa koskevasta vaikutustenarvioinnista ja 36 artiklassa tarkoitetusta ennakkokuulemisesta sekä muista sellaisista tietosuoja-asetuksessa säädetyistä rekisterinpitäjän velvollisuuksista, jotka koskevat tietojärjestelmän tietoturvallisuutta. Työ- ja elinkeinoministeriöllä Muutosehdotus päättyy ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä. 
Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta, Valiokunta ehdottaa sisältöä muutettavaksi vastaavat muista kuin 2 momentissa tarkoitetuista rekisterinpitäjän velvollisuuksista Muutosehdotus päättyy sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan päivänä 20 . 
 Lakiehdotus päättyy 
Helsingissä 16.10.2018 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Martti Mölsä sin 
 jäsen 
Harry Harkimo liik 
 jäsen 
Petri Honkonen kesk 
 jäsen 
Hannu Hoskonen kesk 
 jäsen 
Laura Huhtasaari ps 
 jäsen 
Lauri Ihalainen sd 
 jäsen 
Katri Kulmuni kesk 
 jäsen 
Eero Lehti kok 
 jäsen 
Lea Mäkipää sin 
 jäsen 
Johanna Ojala-Niemelä sd 
 jäsen 
Arto Pirttilahti kesk 
 jäsen 
Hanna Sarkkinen vas 
 jäsen 
Ville Skinnari sd 
 jäsen 
Joakim Strand 
 jäsen 
Antero Vartia vihr 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Teija Miller