8. Laki yrityspalvelujen asiakastietojärjestelmästä annetun lain muuttamisesta
2 §. Lain soveltamisala.
Lain 6 §:ään tehtävien, jäljempänä selvitettävien muutosten johdosta lain 2 §:n 2 momenttiin, sen 2 virkkeeseen, tulee sisällyttää lyhytnimikkeen määritelmä tietosuoja-asetukselle seuraavasti:
”Henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja tietosuojalaissa ( / ).”
6 §. Asiakastietojärjestelmän tekninen ylläpitäjä ja rekisterinpitäjät.
Talousvaliokunta katsoo tarpeelliseksi muuttaa pykälää siten, että työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat tahot määriteltäisiin asiakastietojärjestelmän yhteisrekisterinpitäjiksi.
Tietosuoja-asetuksen 26 artiklan mukaan, jos vähintään kaksi rekisterinpitäjää määrittää yhdessä käsittelyn tarkoitukset ja keinot, ne ovat yhteisrekisterinpitäjiä. Ne määrittelevät keskinäisellä järjestelyllä läpinäkyvällä tavalla kunkin vastuualueen tässä asetuksessa vahvistettujen velvoitteiden noudattamiseksi, erityisesti rekisteröityjen oikeuksien käytön ja 13 ja 14 artiklan mukaisten tietojen toimittamista koskevien tehtäviensä osalta, paitsi jos ja siltä osin kuin rekisterinpitäjiin sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä määritellään rekisterinpitäjien vastuualueet. Artikla mahdollistaa yhteisrekisterinpitäjien vastuiden jakamisen lainsäädännössä.
Talousvaliokunta pitää perusteltuna säilyttää voimassa olevan lain mukainen vastuunjako työ- ja elinkeinoministeriön ja asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen välillä. Voimassa olevan lain mukaan työ- ja elinkeinoministeriö vastaa teknisenä ylläpitäjänä asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Tekninen ylläpitäjä vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Kyseisen säännöksen esitöiden (HE 18/2017 vp) mukaan käytettävyydellä, suojaamisella ja eheydellä olisi sama sisältö kuin viranomaisten toiminnan julkisuudesta annetun lain (621/1999) hyvää tiedonhallintatapaa koskevassa 18 §:ssä. Viranomaisen tulee kyseisen pykälän mukaan hyvän tiedonhallintatavan toteuttamiseksi huolehtia asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä ja tässä tarkoituksessa erityisesti noudattaa pykälässä tarkemmin säädettyjä velvoitteita. Esitöissä on todettu, että 1 momentin nojalla työ- ja elinkeinoministeriön vastuisiin kuuluisi myös asiakastietojärjestelmän kehittäminen mukaan lukien huolehtiminen tietojärjestelmän tietoturvallisuuden yleisestä kehittämisestä, kuten sellaisten menettelytapojen käyttämisestä tiedonvaihdossa, jotka turvaavat tietojen eheyden eli niiden suojan laitonta muuttamista vastaan. Työ- ja elinkeinoministeriön on myös huolehdittava siitä, että järjestelmä on teknisesti ja toiminnallisesti sellainen, että rekisterinpitäjän velvollisuudet voidaan täyttää.
Rekisterinpitäjiksi voimassa olevassa laissa määritellyille lain 4 §:n 1 momentissa mainituille tahoille kuuluvat kaikki ne muut tehtävät, jotka johtuvat henkilötietolaissa (523/1999) rekisterinpitäjälle säädetyistä velvoitteista. Näihin kuuluvat niiden omien rekistereiden osalta yleinen huolenpito tietojenkäsittelyn lainmukaisuudesta ja tietojen laadusta ja tähän liittyvä rekisteritoiminnan ohjaus ja neuvonta. Rekisterinpitäjät vastaavat rekisteriensä tietojen luovuttamistehtävistä, tietojen poistamisesta ja tietojenkäsittelyn lainmukaisuuteen liittyvistä tehtävistä. Rekisterinpitäjien vastuulle kuuluu myös henkilötietolain 24 §:ssä säädetty informointivelvollisuus.
Talousvaliokunta ehdottaa, että lain 6 §:n 1 momentissa säädettäisiin asiakastietojärjestelmän yhteisrekisterinpitäjistä, joiden vastuut määriteltäisiin tietosuoja-asetuksen 26 artiklan liikkumavaran puitteissa lain 6 §:n 2 ja 3 momentissa. Asiakastietojärjestelmän yhteisrekisterinpitäjiksi määriteltäisiin työ- ja elinkeinoministeriö ja lain 4 §:n 1 momentissa mainitut tahot, eli yrityspalveluja tarjoavat viranomaiset, valtion erityisrahoitusyhtiö, Business Finland Oy ja alueiden kehittämisen ja rakennerahastohankkeiden rahoittamisesta annetun lain (8/2014) 2 §:n 13 kohdassa tarkoitetut välittävät toimielimet.
Ministeriön vastuut tulee määritellä lain 6 §:n 2 momentissa siten, että ne pääosin vastaavat ministeriölle voimassa olevassa laissa määriteltyjä vastuita. Voimassa olevan lain 6 §:ssä säädetyt teknisen ylläpitäjän tehtävät liittyvät järjestelmän käytettävyyteen ja tietojen eheydestä, suojaamisesta ja säilyttämisestä vastaamiseen. Asiakastietojärjestelmään talletettavat tiedot ovat pääosin yrityksiä koskevia asiakastietoja, eivät henkilötietoja. Asiakastiedot kuitenkin osittain sisältävät myös henkilötietoja.
Asiakastietojärjestelmään tietoja tallettavien lain 4 §:n 1 momentissa mainittujen tahojen vastuista säädettäisiin lain 6 §:n 3 momentissa. Momentissa tulee mainita, että lain 4 §:n 1 momentissa mainitut tahot vastaisivat muista rekisterinpitäjälle kuuluvista tehtävistä. Lain 4 §:n 1 momentissa mainitut tahot vastaisivat siten edelleen myös rekisteröidyn oikeuksien toteuttamisesta. Samoin niille kuuluisi edelleen myös vastuu henkilötietojen käsittelyn turvallisuudesta omassa toiminnassaan.
Edellä mainituilla perusteilla 6 § ja sen otsikko muutettaisiin seuraavasti:
”Asiakastietojärjestelmän rekisterinpitäjät
Työ- ja elinkeinoministeriö ja asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot ovat asiakastietojärjestelmän yhteisrekisterinpitäjiä.
Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmän yleisestä toiminnasta sekä teknisestä käyttöyhteydestä tietojen tallettamista, yhdistämistä, luovuttamista ja muuta käsittelyä varten. Työ- ja elinkeinoministeriö vastaa tietojärjestelmän käytettävyydestä sekä siihen sisältyvien tietojen eheydestä, suojaamisesta ja säilyttämisestä. Työ- ja elinkeinoministeriö vastaa asiakastietojärjestelmässä suoritettavan henkilötietojen käsittelyn osalta tietosuoja-asetuksen 25 artiklassa tarkoitetusta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 32 artiklassa tarkoitetusta käsittelyn turvallisuudesta, 35 artiklassa tarkoitetusta tietosuojaa koskevasta vaikutustenarvioinnista ja 36 artiklassa tarkoitetusta ennakkokuulemisesta sekä muista sellaisista tietosuoja-asetuksessa säädetyistä rekisterinpitäjän velvollisuuksista, jotka koskevat tietojärjestelmän tietoturvallisuutta. Työ- ja elinkeinoministeriöllä ei ole oikeutta määrätä tietojärjestelmään talletetuista tiedoista eikä luovuttaa niitä, ellei laissa toisin säädetä.
Asiakastietojärjestelmään tietoja tallettavat 4 §:n 1 momentissa tarkoitetut tahot toimivat talletetun tiedon rekisterinpitäjinä tallettamiensa tietojen osalta, vastaavat muista kuin 2 momentissa tarkoitetuista rekisterinpitäjän velvollisuuksista sekä päättävät tallettamiensa tietojen luovuttamisesta asiakastietojärjestelmän kautta. Asiakastietojärjestelmään tietoja tallettanut taho vastaa tietojen oikeellisuudesta ja ajantasaisuudesta.”