7.1
Tietosuojalaki
4 §. Käsittelyn lainmukaisuus. Pykälän rakennetta ehdotetaan muutettavaksi siten, että pykälässä olisi jatkossa kaksi momenttia. Nykyisestä pykälästä tulisi uusi 1 momentti ja pykälän 1–4 kohdasta tulisi 1 momentin 1–4 kohta. Pykälään lisättäisiin myös uusi 2 momentti. Esityksessä ehdotetun pykälän 1 momentin 1, 3 ja 4 kohtaan ei ehdoteta sisällöllisiä muutoksia. Tältä osin kyse olisi teknisestä muutoksesta.
Voimassa olevan pykälän 2 kohtaa ehdotetaan täsmennettäväksi siten, että uudesta 1 momentin 2 kohdasta kävisi selkeästi ilmi, minkälaiseen viranomaisen henkilötietojen käsittelyyn kohta luo oikeudellisen perustan. Voimassa olevan lain mukaan kyseinen lainkohta luo viranomaiselle tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan tarkoittaman oikeusperusteen käsitellä henkilötietoja silloin, kun käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Lainkohdan tarkoituksena on ollut varmistaa, että viranomaiset voivat käsitellä henkilötietoja myös muiden tehtävien kuin lakisääteisten velvoitteiden suorittamiseksi. Kyse on siten sellaisesta viranomaistoiminnasta, jossa oikeutta henkilötietojen käsittelyyn ei voida suoraan johtaa viranomaista koskevasta tehtävä- ja toimivaltasäännöksestä eikä mahdollisesta yksityiskohtaisemmasta erityissääntelystä. Lainkohdan soveltamisala on kuitenkin jäänyt tietyiltä osin epäselväksi.
Tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on lainmukaista käsitellä, mikäli se on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Vaikka kyseisessä alakohdassa erotellaan yleistä etua koskevan tehtävän suorittaminen ja julkisen vallan käyttäminen toisistaan, julkisen vallan käyttö ja yleistä etua koskevan tehtävän suorittaminen ei ole viranomaistoiminnassa useinkaan tosiasiallisesti eroteltavissa toisistaan. Julkishallinnon toiminnan yleinen päämäärä on yleisen edun toteuttaminen, mikä ulottuu myös toimintaan, jossa viranomaiset käyttävät julkista valtaa. Julkisen vallan käytössä voidaan siten tosiasiallisesti katsoa olevan kyse myös yleistä etua koskevan tehtävän suorittamisesta. Sen sijaan yleistä etua koskevan tehtävän suorittaminen ei sisällä aina julkisen vallan käyttöä, vaan on sisällöltään laajempi. Vaikka julkisen vallan käyttöä ei voida viranomaistoiminnassa kategorisesti erotella yleistä etua koskevan tehtävän suorittamisesta, nykyisen lainkohdan sanamuodon perusteella ei ole selvää, luoko lainkohta käsittelyn oikeusperusteen viranomaiselle myös silloin, kun kyse on julkisen vallan käytöstä.
Voimassa olevan pykälän 2 kohtaa ehdotetaan tältä osin täsmennettäväksi ja laajennettavaksi siten, että ehdotetussa uudessa 1 momentin 2 kohdassa säädettäisiin viranomaisen oikeudesta käsitellä henkilötietoja sekä yleistä etua koskevan tehtävän suorittamiseksi että julkisen vallan käyttämiseksi, siltä osin kuin se on tarpeen ja oikeasuhteista. Yleistä etua koskevan tehtävän suorittamiseen ja julkisen vallan käyttöön perustuvassa henkilötietojen käsittelyssä on kyse tyypillisesti tilanteista, joissa viranomaiselle on säädetty julkista valtaa tai yleistä etua koskeva tehtävä, mutta viranomaiselle ei ole säädetty nimenomaista lakisääteistä velvoitetta käsitellä henkilötietoja tätä tarkoitusta varten. Yleistä etua koskevassa tehtävässä tai julkisen vallan käytössä voi olla kyse esimerkiksi kunnan tehtävistä huolehtia koulutuksesta tai kirjasto- ja liikuntapalveluiden järjestämisestä (ks. tältä osin oikeuskäytäntöä ja esimerkkejä myös kappaleesta 2.4.2). Kuten tietosuojalain esitöissä (HE 9/2018 vp, s. 80) todetaan, lainkohdan tarkoittama tehtävä voi olla myös viranomaisen suunnittelu- ja selvitystehtävä. Vastaavasti myös viranomaisen palveluiden kehittäminen voi olla yleistä etua koskeva tehtävä.
Voimassa oleva lainkohta edellyttää, että viranomaisen henkilötietojen käsittely on tarpeen ja oikeasuhteista eikä lainkohdan sisältöä ehdoteta tältä osin muutettavaksi. Tarpeellisuuden ja oikeasuhteisuuden arviointi edellyttää aina viranomaisen tapauskohtaista harkintaa. Vaatimus tapauskohtaisesta arvioinnista koskisi sekä yleistä etua koskevan tehtävän suorittamista että julkisen vallan käyttöä koskevaa henkilötietojen käsittelyä. Viranomaisen henkilötietojen käsittelyn tarpeellisuutta ja oikeasuhteisuutta sekä tapauskohtaista arviointia on käsitelty tarkemmin tietosuojalakia koskevissa esitöissä (HE 9/2018 vp, s. 79–80).
Lainkohta ei luo oikeutta käsitellä henkilötietoja niin sanottuun toisiokäyttöön, eli sellaiseen myöhempään käsittelyyn, joka on henkilötietojen alkuperäisten käsittelytarkoituksen kanssa yhteensopimatonta. Tämä tarkoitus ilmenee tietosuojalain esitöistä, ja sitä selostetaan tarkemmin tämän esityksen nykytilan arviointia koskevassa kappaleessa (ks. kappale 2.4.2 ja HE 9/2018 vp, s. 80). Lainkohta ei muodosta myöskään oikeudellista perustaa käsitellä tietosuoja-asetuksen 9 (erityisiin henkilötietoryhmiin kuuluvat tiedot) ja 10 artiklassa (rikostuomioihin ja rikoksiin liittyvät henkilötiedot) tarkoitettuja henkilötietoja. Kyseisten tietojen käsittelystä säädetään erikseen tietosuojalain 6 ja 7 §:ssä sekä muualla kansallisessa erityislainsäädännössä. Lainkohta ei muodosta oikeudellista perustaa käsitellä myöskään muita valtiosääntöisesti arkaluonteisia henkilötietoja, joiden käsittelystä tulee perustuslakivaliokunnan lausuntokäytännön mukaisesti säätää nimenomaisesti ja tarkkarajaisesti ja rajata käsittely välttämättömään (ks. PeVL 14/2018 vp, s. 4–5). Valtiosääntöisesti arkaluonteisilla henkilötiedoilla tarkoitetaan tietosuoja-asetuksen 9 ja 10 artiklassa tarkoitettujen tietojen lisäksi esimerkiksi maksukorttitietoja, tilitietoja sekä sosiaalihuollon asiakastietoja. Esityksessä ei ehdoteta muutoksia edellä mainituin osin.
Lainkohta perustuu tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan sisältämään sääntelyliikkumavaraan (ks. HE 9/2018 vp). Lainkohtaan ehdotettavat täsmennykset ja laajennukset tarkoittaisivat niin ikään asetuksen 6 artiklan 2 ja 3 kohdan sisältämän liikkumavaran käyttöä. Ehdotettujen muutosten arvioidaan selkeyttävän ja täsmentävän lainkohdan soveltamisalaa ja sen suhdetta tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan. Ehdotettujen muutosten arvioidaan täyttävän asetuksen 6 artiklan 3 kohdan edellytykset sääntelyn yleisen edun mukaisuudesta ja oikeasuhteisuudesta, sillä ehdotettu sääntely mahdollistaa käsittelyn viranomaisten yleistä etua koskevan tehtävän suorittamiseksi ja julkisen vallan käyttämiseksi, sitoo henkilötietojen käsittelyn tarpeellisuuteen ja oikeasuhteisuuteen sekä edellyttää tältä osin viranomaisen tapauskohtaista arviointia.
Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jossa säädettäisiin muiden kuin viranomaisten oikeudesta käsitellä henkilötietoja silloin, kun ne hoitavat lailla tai lain nojalla annettua julkista hallintotehtävää. Momentissa olisi kyse tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan tarkoittamasta käsittelystä. Ehdotetun momentin mukaan, mitä ehdotetun uuden 1 momentin 2 kohdassa säädetään, koskisi myös yhteisöjä, säätiöitä ja yksityisiä henkilöitä niiden hoitaessa lailla tai lain nojalla annettua julkista hallintotehtävää, jossa on kyse yleistä etua koskevan tehtävän suorittamisesta tai julkisen vallan käyttämisestä.
Henkilötietojen käsittely olisi sidottu vastaaviin edellytyksiin kuin viranomaisia koskeva ehdotetun uuden 1 momentin 2 kohta. Kyseisen lainkohdan mukaan viranomaisen henkilötietojen käsittelyn on oltava tarpeen ja oikeasuhteista ja tämä edellyttää aina tapauskohtaista harkintaa. Uuden 2 momentin mukaan nämä vastaavat edellytykset koskisivat myös muita kuin viranomaisia silloin, kun ne hoitavat julkista hallintotehtävää. Vaatimus tapauskohtaisesta arvioinnista koskisi sekä yleistä etua koskevan tehtävän suorittamista että julkisen vallan käyttöä koskevaa henkilötietojen käsittelyä. Viranomaisen henkilötietojen käsittelyn tarpeellisuutta ja oikeasuhteisuutta sekä tapauskohtaista arviointia on käsitelty tarkemmin tietosuojalakia koskevissa esitöissä (HE 9/2018 vp, s. 79–80).
Voimassa olevan pykälän 2 kohdan tarkoittama käsittelyn oikeusperuste koskee ainoastaan viranomaisten henkilötietojen käsittelyä. Tietosuojalain esitöissä (HE 9/2018 vp, s. 80) todetaan, että yksityisoikeudellisten yhteisöjen hoitaessa julkisia hallintotehtäviä, tulisi sovellettavaksi joko tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta (henkilötietoja voi käsitellä rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi) tai f alakohta (henkilötietoja voi käsitellä rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi). Vastaavasti kuin viranomaisten toiminnassa – ja huomioiden myös julkisen hallintotehtävän käsitteen verraten laaja sisältö – julkisen hallintotehtävän hoitamisessa voi olla kyse myös tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan tarkoittamasta yleistä etua koskevan tehtävän suorittamisesta tai julkisen vallan käyttämisestä. Laissa olisi siten tarpeellista säätää muille kuin viranomaisille oikeudellinen peruste käsitellä henkilötietoja myös sellaisten hallintotehtävien hoitamiseen, joissa on kyse tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan tarkoittamasta käsittelystä.
Julkiselle hallintotehtävälle ei ole olemassa yksiselitteistä vakiintunutta määritelmää, vaan sen sisältö määrittyy niiden lain säännösten perusteella, joissa kyseessä olevasta tehtävästä säädetään. Julkisella hallintotehtävällä tarkoitetaan verraten laajaa hallinnollisten tehtävien kokonaisuutta, joka viittaa toimintaan, johon liittyy yleisen edun toteuttamista tai muutoin julkisten palvelujen järjestämiselle luonteenomaisia piirteitä. Julkisen hallintotehtävän osalta keskeistä on, että tehtävä perustuu lailla tai lain nojalla annettuun julkiseen toimeksiantoon. Julkiseen hallintotehtävään voi sisältyä myös julkisen vallan käyttöä. Joidenkin tehtävien osalta julkinen hallintotehtävä voi myös kokonaisuudessaan olla julkisen vallan käyttöä. (Ks. tarkemmin kappaleesta 2.4 Nykytilan arviointi).
Tietosuoja-asetus ei edellytä, että henkilötietojen käsittelystä yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi säädettäisiin jokaista käsittelytilannetta varten erikseen. Jäsenvaltioiden tulee kuitenkin huolehtia siitä, että käsittelystä säädetään tietosuoja-asetuksen mukaisesti ja sen sisältämän liikkumavaran puitteissa. Tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan liittyvää liikkumavaraa sisältyy asetuksen 6 artiklan 2 ja 3 kohtaan, jotka mahdollistavat tietosuoja-asetusta täsmentävän sääntelyn. Asetuksen 6 artiklan 3 kohta edellyttää nimenomaisesti, että 6 artiklan 1 kohdan e alakohdassa tarkoitetun käsittelyn perustasta on säädettävä rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä, jossa varmistetaan, että käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Asetuksen johdanto-osan 45 kappaleessa täsmennetään, että jäsenvaltion lainsäädännössä olisi määritettävä, olisiko yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi rekisterinpitäjän oltava julkinen viranomainen tai muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö, kun se on perusteltua yleistä etua koskevien syiden vuoksi.
Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee turvata ensisijaisesti tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. (PeVL 14/2018 vp, s. 4–5). Vastaavalla tavalla kuin viranomaistoiminnan osalta, kansallinen yleissääntely arvioidaan riittäväksi myös tilanteissa, joissa yleistä etua koskevaa tehtävää suorittaa tai julkista valtaa käyttää muu kuin viranomainen.
Ehdotetussa uudessa momentissa säädettävää käsittelyn perustaa ei ulotettaisi kyseisten yksityisten tahojen muuhun toimintaan, vaan soveltamisala rajautuisi vain sellaiseen julkiseen hallintotehtävään, joka liittyy yleisen edun mukaisen tehtävän suorittamiseen tai julkisen vallan käyttämiseen. Ehdotetun lainkohdan tarkoituksena ei ole siten muodostaa oikeusperustaa sellaiselle käsittelylle, jossa on kyse yhteisölle, säätiölle tai yksityiselle henkilölle säädetyn lakisääteisen velvollisuuden noudattamisesta (eli asetuksen 6 artiklan 1 kohdan c alakohtaan perustuvasta käsittelystä). Momentissa tarkoitettu henkilötietojen käsittely koskisi muun muassa sellaista käsittelyä, joka liittyy momentissa tarkoitetulle yksityiselle taholle lailla tai lain nojalla annettuihin kehittämis-, suunnittelu- ja selvitystehtäviin.
Koska säännös edellyttäisi, että käsittely on tarpeen yksityisen tahon hoitaessa julkista hallintotehtävää, säännös mahdollistaisi ainoastaan sellaisen henkilötietojen käsittelyn, joka olisi asianmukaisesti perusteltua lailla tai lain nojalla annettujen julkisten hallintotehtävien kannalta. Edellytys vastaisi, mitä myös viranomaiselta edellytetään, silloin, kun kyse on henkilötietojen käsittelystä yleistä etua koskevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi. Lainkohdassa edellytettäisiin lisäksi, että yksityisen tahon suorittaman käsittelyn tulisi olla oikeasuhtaista julkisen hallintotehtävän hoitamiseksi. Tämä selkiyttäisi sitä, että yksityisen tahon olisi aina tapauskohtaisesti arvioitava, voidaanko kyseessä olevaa henkilötietojen käsittelyä pitää oikeasuhtaisena käsittelyn tarkoitukset huomioon ottaen. Kuten kaikessa henkilötietojen käsittelyssä, tässäkin arvioinnissa olisi otettava huomioon tietosuoja-asetuksen 5 artiklan henkilötietojen käsittelyä koskevat periaatteet, kuten tietojen minimoinnin periaate, jonka mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Rekisterinpitäjän olisi myös arvioitava käsittelyn oikeasuhtaisuutta suhteessa rekisteröidyn etuihin ja perusoikeuksiin.
Vastaavasti kuin ehdotetun uuden 1 momentin 2 kohdassa, ehdotettu uusi 2 momentti ei loisi yksityiselle taholle oikeutta käsitellä henkilötietoja toisiokäyttöön. Tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.
Ehdotettu uusi 2 momentti ei loisi myöskään oikeudellista perustaa käsitellä tietosuoja-asetuksen 9 (erityisiin henkilötietoryhmiin kuuluvat tiedot), 10 artiklassa (rikostuomioihin ja rikoksiin liittyvät henkilötiedot) tarkoitettuja henkilötietoja tai muita valtiosääntöisesti arkaluonteisia henkilötietoja, joiden käsittelystä tulee perustuslakivaliokunnan lausuntokäytännön mukaisesti säätää nimenomaisesti ja tarkkarajaisesti ja rajata käsittely välttämättömään (ks. PeVL 14/2018 vp, s. 4–5).
Ehdotettu uusi 2 momentti perustuisi tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan sisältämään sääntelyliikkumavaraan. Huomioiden, että ehdotettu henkilötietojen käsittelyn oikeusperusta julkista hallintotehtävää hoitavalle olisi rajattu nimenomaisesti sellaiseen yleistä etua koskevan tehtävän hoitamiseen ja julkisen vallan käyttöön, joka on tarpeen ja oikeasuhteista, ehdotettu sääntely arvioidaan asetuksen 6 artiklan 3 kohdan edellyttämällä tavalla oikeasuhteiseksi ja yleisen edun mukaisuudeksi. Oikeasuhteisuutta ja yleisen edun mukaisuutta korostaa edelleen myös se, että julkinen hallintotehtävä tulisi antaa yksityiselle taholle lailla tai lain nojalla (ks. tältä osin nykytilan arviointia koskeva kappale 2.4.2).
6 §. Erityisiä henkilötietoryhmiä koskeva käsittely. Pykälässä säädetään tietosuoja-asetuksen 9 artiklan 1 kohdan tarkoittamien erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä. Kyseisten henkilötietojen käsittely on asetuksen mukaan lähtökohtaisesti kiellettyä. Käsittely on kuitenkin sallittua, jos jokin tietosuoja-asetuksen 6 artiklan mukaisista käsittelyn edellytyksistä täyttyy ja jos sen lisäksi myös jokin 9 artiklan 2 kohdassa mainituista erityisistä käsittelyn perusteista täyttyy.
Pykälän 1 momentin1 kohtaa ehdotetaan täsmennettäväksi siten, että kohdasta kävisi selkeästi ilmi, että vakuutuslaitoksella olisi oikeus käsitellä vakuutetun ja korvauksenhakijan ohella myös vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, terveydentilaa koskevia tietoja. Ehdotettavan lainkohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovellettaisi vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun, korvauksenhakijan, vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat välttämättömiä vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Vakuutuksenhakijalla tarkoitettaisiin henkilöä, joka hakee vakuutusta itselleen, mutta henkilöä ei vielä pidetä vakuutettuna ennen vakuutussopimuksen tekemistä. Henkilöä, jolle vakuutussuojaa haetaan, tarkoitettaisiin henkilöä, jonka varalta tai jonka hyväksi vakuutus on tarkoitettu otettavaksi eikä henkilöä vielä pidetä vakuutettuna ennen vakuutussopimuksen tekemistä. Tällaisissa tilanteissa kyseinen henkilö ei itse hae vakuutusta, mutta vakuutusta kuitenkin haetaan kyseisen henkilön sairauden, tapaturman, kuoleman tai muun vahingon varalta. Tällainen tilanne voi olla esimerkiksi, kun vanhemmat hakevat tapaturmavakuutusta lapselleen mahdollisen tapaturmaisen loukkaantumisen tai kuoleman varalta. Esityksellä ei luotaisi laajemmin oikeutta käsitellä muiden henkilöiden terveydentilatietoja, vaan vakuutuslaitoksen oikeus käsitellä terveydentilatietoja rajautuisi ennen vakuutuksen myöntämistä vakuutuksenhakijan tai sen henkilön, jolle vakuutussuojaa haetaan, terveydentilatietoja. Vakuutuslaitoksella ei olisi näin ollen jatkossakaan oikeutta käsitellä muiden henkilöiden, kuten esimerkiksi tapaturmavakuutusta hakevan ja edunsaajana (eli vakuutuskorvauksen saajana) olevan vanhemman, terveydentilatietoja, mikäli kyse on lapsen tapaturman varalta haettavasta vakuutuksesta. Vakuutuslaitoksen tulisi arvioida terveydentilatietojen käsittelyä myös vakuutuslajeittain, huomioiden ettei tiettyjen vakuutusten osalta ole tarve käsitellä lainkaan terveydentilatietoja.
Momentin 1 kohtaa ehdotetaan täsmennettäväksi lisäksi siten, että oikeus käsitellä terveydentilaa koskevia tietoja rajattaisiin välttämättömään vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Tällä hetkellä oikeus käsitellä kohdassa tarkoitettuja tietoja on rajattu tarpeellisuusvaatimukseen. Ehdotettu muutos vastaisi perustuslakivaliokunnan (PeVL 14/2018 vp) lausuntokäytäntöä, jonka mukaan arkaluonteisten henkilötietojen käsittely tulee rajata käyttötarkoituksen kannalta välttämättömään, ja varmistaisi osaltaan myös sen, että rajoitukset henkilötietojen suojaan olisivat perusoikeuskirjan 52 artiklan 1 kohdan edellyttämällä tavalla välttämättömiä ja oikeasuhteisia. Ehdotettu muutos ei lähtökohtaisesti muuttaisi terveydentilaa koskevien tietojen käsittelyä, sillä arkaluonteisina pidettävien terveydentilatietojen käsittely on jo nykyisellään tullut rajata uninoin oikeuden ja valtiosääntöisten reunaehtojen valossa välttämättömään.
Huomioiden tulkintaepäselvyydet siitä, luoko lainkohta oikeudellisen perustan käsitellä terveydentilaa koskevia tietoja myös ennen vakuutuksen myöntämistä ja vakuutuslaitoksen vastuun arviointia varten, ehdotetaan täsmennystä myös lainkohdan käyttötarkoitukseen. Esityksessä ehdotetaan tältä osin, että 1 momentin 1 kohtaatäsmennettäisiin siten, että lainkohdassa mainittaisiin vakuutuslaitoksen vastuun selvittämisen ohella myös vastuun arviointi. Vakuutuslaitoksella on tosiasiallisesti välttämätön tarve käsitellä kohdassa tarkoitettuja terveydentilaa koskevia tietoja vastuunsa arvioimiseksi jo ennen vakuutuksen myöntämistä. Vakuutuslaitoksen olisi välttämätöntä arvioida vastuutaan myös vakuutuksen tekemisen jälkeen korvausasiaa ratkaistaessa. Vakuutuslaitoksen tulisi käsittelyn välttämättömyyttä arvioidessaan huomioida sekä vakuutussopimuslain kokonaisuus että tietosuoja-asetuksen reunaehdot.
Vakuutussopimuslain 22 §:n mukaan vakuutuksenhakijan tiedonantovelvollisuus on rajattu tietoihin, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Vakuutuksenottajan ja vakuutetun tulee lisäksi vakuutuskauden aikana ilman aiheetonta viivytystä oikaista vakuutuksenantajalle antamansa, vääriksi tai puutteellisiksi havaitsemansa tiedot. Vakuutussopimuslain esitöissä on täsmennetty, että vakuutuksenottajan tiedonantovelvollisuus koskee ainoastaan seikkoja, joilla voi olla merkitystä vakuutuksenantajan vastuun arvioimisen kannalta. Oikeuskirjallisuudessa on todettu, että vakuutusyhtiön tiedustelemien seikkojen tulee kokemusperäisesti liittyä kiinteästi vakuutuksenantajan riskinarviointiin. Samassa yhteydessä on todettu, että sellaiset tiedot, jotka eivät erillisinä ole merkityksellisiä, voivat yhdessä muodostaa riskin arvioinnin kannalta merkityksellisen kokonaisuuden. Näin ollen esimerkiksi vähäisistä sairauksista on kysyttäessä kerrottava, vaikka tiedonantovelvollinen pitäisi tietoja vakuutuksenantajan vastuun kannalta merkityksettöminä. Vastaavasti myös korvauksen hakemisen yhteydessä vakuutuksenantajalle on vakuutussopimuslain 69 §:n mukaisesti annettava tiedot, jotka ovat tarpeen vakuutuksenantajan vastuun selvittämiseksi. Korvauksen hakemisen osalta vakuutussopimuslain esitöissä on täsmennetty, että vastuun selvittämiseksi tarpeellisia asiakirjoja ja tietoja ovat esimerkiksi ne, joiden avulla voidaan todeta, onko vakuutustapahtuma sattunut ja kuinka suuri vahinko on syntynyt. Korvauksenhakijan selvitysvelvollisuus koskee myös hänelle epäedullisia seikkoja. Korvauksenhakija ei esimerkiksi henkilövakuutuksessa saa jättää tarpeellista lääkärintodistusta toimittamatta, vaikka siitä ilmenisi tiedonantovelvollisuuden laiminlyönti.
Tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukaan käsiteltävien henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (tietojen minimoinnin periaate). Rekisterinpitäjän tulee näin ollen osoittaa käsiteltävien tietojen olennaisuus sekä tarpeellisuus kunkin henkilötietoryhmän osalta. Edelleen kyseisen kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (lainmukaisuuden, kohtuullisuuden ja läpinäkyvyyden periaate). Asetuksen 5 artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä ja sen on pystyttävä osoittamaan, että 5 artiklan 1 kohdan tarkoittamia yleisiä käsittelyperiaatteita noudatetaan. Rekisterinpitäjän on lisäksi 25 artiklan 2 kohdan mukaan toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Rekisterinpitäjän tulee lisäksi huolehtia kaikista tietosuoja-asetuksessa säädetyistä rekisteröidyn oikeuksista. Tietosuoja-asetuksen 12 artiklan 1 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä varsinkin silloin, kun tiedot on tarkoitettu erityisesti lapselle. Tiedot on toimitettava kirjallisesti tai muulla tavoin ja tapauksen mukaan sähköisessä muodossa. Rekisterinpitäjän tulee toimittaa rekisteröidylle käsittelyä koskevia tietoja muun muassa, kun tietoja henkilötietoja kerätään suoraan rekisteröidyltä (13 artikla) ja kun ne on saatu muualta kuin rekisteröidyltä itseltään (14 artikla).
Ehdotettu 1 momentin 1 kohdan välttämättömyysedellytys olisi samalla myös tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämä suojatoimi. Vakuutuslaitosten tulee nykyisen pykälän 2 momentin mukaan huolehtia 2 momentissa säädetyistä asianmukaisista ja riittävistä toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi. Huomioiden käsittelystä aiheutuvat riskit, esityksessä ehdotetaan myös muita täydentäviä suojatoimia, joista säädettäisiin uudessa 3 momentissa.
Nykyisen pykälän 1 momentin 1 kohdan sääntely (HE 9/2018 vp, s. 85) ja kohtaan nyt ehdotettavat muutokset perustuvat tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan sisältämään sääntelyliikkumavaraan. Esityksessä ehdotettavilla täsmennyksillä varmistettaisiin, että kohdan sääntely täyttää tietosuoja-asetuksen edellytykset sääntelyn yleisen edun mukaisuudesta ja oikeasuhteisuudesta sekä sisältää asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Pykälän 1 momentin 2 kohtaa ehdotetaan muutettavaksi siten, että lainkohdan muotoilu vastaisi tietosuoja-asetuksessa käytettyjä sanamuotoja. Lainkohta perustuu tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jonka mukaan 9 artiklan 1 kohdan kieltoa ei sovelleta, mikäli käsittely on tarpeen tärkeää yleistä etua koskevasta syystä unionin oikeuden tai jäsenvaltion lainsäädännön nojalla. Lainkohta soveltuu niin viranomaisten kuin yksityisten tahojen henkilötietojen käsittelyyn, sikäli kun käsittelystä säädetään laissa tai käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Pykälän 1 momentin 2 kohtaa ehdotetaan täsmennettäväksi siten, että kohdan mukaan tietosuoja-asetuksen 9 artiklan 1 kohdan käsittelykieltoa ei sovelleta, jos erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä on säädetty laissa tai jos kyseisten tietojen käsittely on välttämätöntä välittömästi rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamiseksi.
Voimassa olevassa lainkohdassa säädetään erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä kahdessa tilanteessa. Lainkohdan mukaan erityisiin henkilötietoryhmiin kuuluvia tietoja saa käsitellä ensinnäkin tilanteessa, jossa kyseisestä henkilötietojen käsittelystä on säädetty nimenomaisesti laissa. Sääntelyä ei ehdoteta tältä osin muutettavaksi. Voimassa oleva lainkohta mahdollistaa lisäksi henkilötietojen käsittelyn, joka johtuu rekisterinpitäjälle välittömästi laissa säädetystä tehtävästä. Kyseisissä tilanteissa erityisten henkilötietojen käsittelystä ei ole säädetty nimenomaisesti ja tarkkarajaisesti rekisterinpitäjää velvoittavassa lainsäädännössä, mutta kyseiset lakisääteiset velvollisuudet voivat kuitenkin välttämättä edellyttää erityisten henkilötietojen käsittelyä. Ehdotettujen muutosten tarkoituksena on varmistaa, että rekisterinpitäjä voisi jatkossakin käsitellä erityisiin henkilötietoryhmiin kuuluvia tietoja lainkohdan nojalla silloin, kun käsittely johtuu rekisterinpitäjälle välittömästi säädetyn velvollisuuden noudattamisesta. Huomioiden nykyiseen muotoiluun ja käsitteisiin liittyvät tulkintaepäselvyydet sekä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan sanamuoto, lainkohdassa olisi tarpeen selventää, että rekisterinpitäjälle säädetyn velvollisuuden noudattamisessa olisi kyse rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamisesta. Tietosuojalain 6 §:n 1 momentin 2 kohdassa säädettäisiin näin ollen jatkossa rekisterinpitäjälle laissa säädetystä yleistä etua koskevan tehtävän suorittamisesta. Yleistä etua koskevia tehtäviä on avattu tarkemmin kappaleessa 2.4.2.
Pykälän 1 momentin 2 kohtaa ehdotetaan täsmennettäväksi lisäksi siten, että kohdassa tarkoitettu käsittely rajattaisiin välttämättömään. Voimassa olevaa lainkohtaa ei ole sidottu tarpeellisuuteen eikä välttämättömyyteen. Lainkohta jättää näin ollen rekisterinpitäjälle suhteellisen paljon harkintamarginaalia arvioida sitä, kuinka laajasti ja mitä erityisiin henkilötietoryhmiin kuuluvia tietoja rekisterinpitäjä voi käsitellä. Ehdotuksen tarkoituksena on ei ole lähtökohtaisesti muuttaa nykytilaa, vaan selventää säännöksessä perustuslakivaliokunnan lausuntokäytännöstä ja unionin oikeudesta aiheutuvat reunaehdot, joiden mukaan pykälässä tarkoitettujen tietojen käsittely tulisi rajata välttämättömään.
Tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohta edellyttää, että alakohdassa tarkoitettu käsittely on tarpeen tärkeää etua koskevan tehtävän suorittamiseksi ja että jäsenvaltion lainsäädäntö on oikeasuhteinen tavoitteeseen nähden. Alakohta edellyttää edelleen, että lainsäädännössä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja siinä säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Perustuslakivaliokunnan lausuntokäytännön (PeVL 14/2018 vp) mukaan arkaluonteisten henkilötietojen käsittely on rajattava välttämättömään. Myös unionin tuomioistuin on tarpeellisuutta koskevan velvollisuuden osalta edellyttänyt, että henkilötietojen suojaa koskevat poikkeukset ja rajoitukset on toteutettava täysin välttämättömän rajoissa (ks. asia C-13/16, 30 kohta oikeuskäytäntöviittauksineen ja aiemmin kappaleesta 2.4.2).
Käsittelyn sitominen välttämättömyyteen on perusteltua myös sen vuoksi, että sääntely jättäisi rekisterinpitäjille edelleen harkintamarginaalia arvioida, mitä erityisiä henkilötietoryhmiä ja kuinka laajasti sen olisi välttämätöntä käsitellä yleistä etua koskevan tehtävän suorittamiseksi. Välttämättömyyteen sitominen olisi samalla myös tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan edellyttämä suojatoimi. Koska säännöksen nojalla käsiteltäviä tietoja ei ole mahdollista yksilöidä tyhjentävästi, on ehdotetun sääntelyn oikeasuhteisuuden ja välttämättömyyden varmistamiseksi säädettävä välttämättömyyttä koskevasta vaatimuksesta. Edellytys varmistaa osaltaan myös sen, että ehdotusta voidaan pitää EU:n perusoikeuskirjan 52 artiklan 1 kohdan mukaisena. Rekisterinpitäjän tulisi välttämättömyyttä koskevan suojatoimen ohella noudattaa edelleen myös, mitä pykälän 2 momentissa säädetään asetuksen edellyttämistä asianmukaisista ja erityisistä suojatoimista (HE 9/2018 vp).
Lainkohdan sääntely ja siihen nyt ehdotettavat muutokset perustuvat tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan sisältämään sääntelyliikkumavaraan. Lainkohtaan ehdotettavilla täsmennyksillä varmistettaisiin, että kohdan sääntely täyttää tietosuoja-asetuksen edellytykset sääntelyn yleisen edun mukaisuudesta ja oikeasuhteisuudesta ja sisältää asianmukaiset ja erityiset toimenpiteet rekisteröidyn perusoikeuksien ja etujen suojaamiseksi.
Edellä esiin tuotu vakuutussopimuslain ja tietosuoja-asetuksen sääntely sekä käsiteltävien tietojen arkaluonteisuus huomioiden vakuutuslaitoksen tulisi käsitellä kohdassa tarkoitettuja terveydentilatietoja vain siltä osin ja siinä laajuudessa, kuin se on välttämätöntä vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Pykälään ehdotetaan tältä osin lisättäväksi uusi 3 momentti, jossa säädettäisiin 1 momentin 1 kohdassa tarkoitettuun vakuutuslaitosten terveydentilatietojen käsittelyyn sovellettavista täydentävistä asianmukaisista ja erityisistä suojatoimista. Ehdotettu uusi momentti perustuisi tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jossa edellytetään jäsenvaltioiden säätävän asianmukaisista ja riittävistä suojatoimista. Uudessa 3 momentissa ehdotettavat suojatoimet täydentäisivät, mitä voimassa olevan pykälän 2 momentissa säädetään asianmukaisista ja erityisistä suojatoimenpiteistä, joita rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava käsitellessään henkilötietoja pykälän 1 momentissa tarkoitetuissa tilanteissa. Vakuutuslaitoksen tulisi siten jatkossakin huolehtia myös pykälän 2 momentissa säädetyistä suojatoimista.
Ehdotettavan uuden 3 momentinensimmäisen virkkeen mukaan, vakuutuslaitoksen tulisi kerätä 1 momentin 1 kohdassa tarkoitetut tiedot ensi sijassa kohdassa tarkoitetulta henkilöltä itseltään ja tapauskohtaisesti arvioitava, mikäli tietojen kerääminen muualta kuin kohdassa tarkoitetulta henkilöltä olisi välttämätöntä. Ehdotettu säännös ei siten estäisi vakuutuslaitoksia keräämästä tietoja muualta kuin kohdassa tarkoitetulta henkilöltä itseltään, mutta edellyttäisi tältä osin tapauskohtaista harkintaa ja välttämättömyyttä. Säännöksellä ei olisi vaikutusta muuhun lainsäädäntöön, esimerkiksi mitä säädetään vakuutuslaitosten oikeudesta saada tietoja, vaan kyse on erillisestä suojatoimesta, jolla varmistetaan tietosuoja-asetuksen yleisten käsittelyperiaatteiden toteutumista. Tietojen minimoinnin, läpinäkyvyyden ja kohtuullisuuden periaatteen toteutumiseksi olisi kuitenkin välttämätöntä varmistaa, että vakuutuslaitos arvioi kussakin yksittäistapauksessa erikseen, olisiko terveydentilaa koskevia tietoja välttämätöntä kerätä 1 momentin 1 kohdassa tarkoitetun henkilön lisäksi myös muualta vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Kyseinen välttämättömyysarviointi tulisi tehdä erikseen ennen vakuutuksen myöntämistä ja vakuutuksen myöntämisen jälkeen.
Tietojen kerääminen ensi sijassa henkilöltä itseltään vastaisi vakuutuslaitosten nykyisiä käytäntöjä, sillä vakiintuneena käytäntönä on esimerkiksi vakuutuksen hakemisvaiheessa pyytää terveydentilaa koskevia tietoja suoraan henkilöltä itseltään terveysselvityksellä. Terveysselvityksessä kysytään muun muassa vakuutuksenhakijan tai sen henkilön, jolle vakuutussuojaa haetaan, sairauksista, oireista, lääkityksistä, vammoista ja elintavoista. Selvityksessä määritellään usein myös ajanjakso, jolta tietoja kysytään. Vakuutuslaitos voi terveysselvityksen avulla arvioida, mikäli sillä olisi välttämätön tarve saada terveydentilatietoja laajemmin vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Tältä osin sen tulisi esimerkiksi arvioida, voidaanko tiedot saada suoraan vakuutussuojaa hakevalta laajemmalla terveysselvityksellä tai muulla selvityksellä vai olisiko tietoja välttämätöntä kerätä myös muualta. Vastaava arviointi tulisi tehdä myös vakuutuksen myöntämisen jälkeen, esimerkiksi yksittäisen korvausasian ratkaisemisen yhteydessä. Myös tältä osin käytäntönä on, että vakuutettu tai korvauksenhakija toimittaa ilmoituksen ja selvityksen vakuutustapahtumasta sekä sitä koskevista terveydentilaa koskevista tiedoista. Vakuutuslaitoksen tulisi tämän selvityksen perusteella arvioida, mikäli terveydentilatietojen kerääminen muualta kuin korvauksenhakijalta tai vakuutetulta itseltään on välttämätöntä. Tietojen kerääminen tulisi toteuttaa siten, että niissä yksilöidään ja rajataan pyynnöt koskemaan vain käsillä olevaa asiaa ja vain siltä osin kuin tiedoilla on tosiasiallista merkitystä vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi.
Ehdotettu vastaisi myös tietosuojavaltuutetun sekä hallinto-oikeuden ja korkeimman hallinto-oikeuden ratkaisukäytäntöä. Tietosuojavaltuutettu on ratkaisukäytännössään (TSV 8.6.2022, diaarinumero 7285/183/18) kiinnittänyt huomiota siihen, miten rekisterinpitäjän tulisi yksilöidä ja rajata terveydentietoja koskevia pyyntöjään silloin, kun tietoja kerätään muualta kuin rekisteröidyltä itseltään. Silloin kun terveydentilatietojen kerääminen muualta kuin rekisteröidyltä arvioidaan välttämättömäksi, vakuutuslaitoksen tulisi yksilöidä ja rajata kyseiset tietopyynnöt koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimisessa. Vakuutuslaitoksen tulisi myös arvioida, miltä ajanjaksolta rekisteröidyn terveydentilatietojen pyytäminen terveydenhuollon yksiköstä olisi välttämätöntä rekisterinpitäjän vastuun arvioimiseksi tai selvittämiseksi sekä tämän perusteella rajata, miltä ajanjaksolta rekisteröidyn terveydentilatietoja pyydetään terveydenhuollon yksiköstä. Vakuutuslaitoksen tulee pystyä osoittamaan, että se pyytää terveydenhuollon yksiköstä vain sellaisia rekisteröidyn terveydentilatietoja, jotka ovat välttämättömiä sen vastuun arvioimiseksi tai selvittämiseksi. Käsiteltäessä henkilötietoja ehdotetun lainkohdan nojalla, tulisivat myös rekisteröidyn tietosuoja-asetuksen mukaiset oikeudet sovellettavaksi käsittelyyn. Helsingin hallinto-oikeus (päätös 117/2024, diaarinumero 3457/03.04.04.04.01/2022 sekä päätös 116/2024, diaarinumero 3463/03.04.04.04.01/2022) on katsonut tietosuojavaltuutetun tavoin, että rekisterinpitäjän on vakuutussopimuslain ja tietosuoja-asetuksen säännösten nojalla tehtävä ajanjaksoa koskeva arviointi sen lisäksi, että rekisterinpitäjä yksilöi terveydenhuollon yksikölle esitettävän pyynnön koskemaan tiettyä asiaa, tapausta, sairautta tai oiretta, jolla on tosiasiallista merkitystä rekisterinpitäjän vastuun arvioimisessa.
Myös korkein hallinto-oikeus on arvioinut tietopyyntöjen välttämättömyyttä ja tarvetta kyseisten pyyntöjen yksilöintiin liikennevakuutuksia koskevan korvausasian ratkaisemista varten (KHO:2025:23). Tapauksessa arvioitiin liikennevakuutuslain (460/2016) 82 §:ssä vakuutusyhtiölle säädettyä tiedonsaantioikeutta, huomioiden myös tietosuoja-asetuksen yleisiä käsittelyperiaatteita. Korkeimman hallinto-oikeuden mukaan sekä potilastietoja pyydettäessä että niitä luovutettaessa on noudatettava tietosuoja-asetuksen henkilötietojen käsittelyä koskevia periaatteita ja liikennevakuutuslain tietojen välttämättömyyttä koskevaa vaatimusta. Tämä edellyttää liikennevakuutuslain esitöiden sekä unionin tuomioistuimen oikeuskäytännön ja perustuslakivaliokunnan lausuntokäytännön mukaan sitä, että tietopyyntö on perusteltava ja sen on oltava mahdollisimman yksilöity ja selvä, jotta myös tietoja luovuttava taho voi arvioida, täyttyvätkö tietojen luovuttamisen tietosuoja-asetuksessa ja liikennevakuutuslaissa säädetyt edellytykset.
Ehdotetun uuden 3 momentin toisessa virkkeessä säädettäisiin 1 momentin 1 kohdassa tarkoitettujen tietojen poistamisesta. Kyseiset tiedot tulisi poistaa välittömästi sen jälkeen, kun tietoja ei tarvita vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdassa säädetään säilytyksen rajoittamisen periaatteesta, jonka mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Perustuslakivaliokunnan mielestä arkaluonteisten tietojen käsittelyä koskevaa sääntelyä on edelleen syytä arvioida myös aiemman sääntelyn lakitasoisuutta koskevan käytännön pohjalta (PeVL 14/2018 vp ja PeVL 15/2018 vp). Perustuslakivaliokunta on kiinnittänyt erityistä huomiota siihen, että arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään (PeVL 15/2018 vp). Perustuslakivaliokunta on varhaiskasvatusta koskevien tietovarantojen osalta lausunnossaan PeVL 17/2018 vp edellyttänyt, että terveydentilatietojen ja muiden arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn on oltava tietosuoja-asetuksen mahdollistamisissa puitteissa yksityiskohtaista ja kattavaa. Huomioiden vakuutustoiminnan luonne, ei vakuutuslaitoksen vastuun arvioinnin ja selvittämisen kannalta ole mahdollista säätää nimenomaisesta säilytys- tai poistoajasta. Huomioiden tietosuoja-asetuksen säilytyksen rajoittamisen periaate ja perustuslakivaliokunnan lausuntokäytäntö, tietojen poistamisesta olisi kuitenkin tarpeellista säätää nimenomaisesti ja rajata säilyttäminen välttämättömään.
Ehdotettavanuuden 3 momentinkolmannen virkkeen mukaan 1 momentin 1 kohdassa tarkoitettuja terveydentilatietoja ei saisi käsitellä muuhun kuin kohdassa säädettyyn tarkoitukseen, jollei muualla toisin säädetä. Säännöksen tarkoituksena olisi varmistaa, että 1 momentin 1 kohdassa tarkoitettu käsittely rajataan koskemaan ainoastaan vakuutuslaitoksen vastuun arviointia tai selvittämistä. Näin ollen, mikäli vakuutuslaitos käsittelisi 1 momentin 1 kohdassa tarkoitettuja terveydentilatietoja muihin tarkoituksiin, kyseinen käsittely olisi mahdollista ainoastaan, jos siitä olisi säädetty muualla lainsäädännössä.
Ehdotettu säännös olisi tarpeellinen, jotta varmistetaan, että tietosuojalain vakuutuslaitoksia koskeva sääntely olisi tietosuoja-asetuksen mukaista – huomioiden tietosuoja-asetuksen 9 artiklan reunaehtojen ohella erityisesti asetuksen 5 artiklan 1 kohdan b alakohdan käyttötarkoitussidonnaisuuden periaate. Kyseisen periaatteen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Ehdotettu sääntely ei kuitenkaan estäisi sitä, että vakuutuslaitokset voisivat käsitellä kohdassa tietosuoja-asetuksen 9 artiklan 1 kohdan tarkoittamia terveydentilaa koskevia tietoja myös muihin tarkoituksiin, mikäli tällaisesta käsittelystä on säädetty muualla lainsäädännössä tietosuoja-asetuksessa säädettyjen reunaehtojen mukaisesti.
Ehdotettavan uuden 3 momentin neljännen virkkeen mukaan vakuutuslaitoksen olisi lisäksi ilmoitettava vakuutetulle, korvauksenhakijalle, vakuutuksenhakijalle sekä sille henkilölle, jolle vakuutussuojaa haetaan, tietojen käytöstä, jos vakuutushakemuksen epääminen, vakuutuskorvauksen epääminen taikka muu kielteinen päätös johtuu asetuksen 9 artiklassa tarkoitettujen tietojen käsittelystä. Säännöksen tarkoituksena olisi varmistaa, että rekisteröity on tietoinen siitä, mikäli 1 momentin 1 kohdassa tarkoitetulla käsittelyllä voi olla kielteisiä vaikutuksia vakuutetulle, korvauksenhakijalle, vakuutuksenhakijalle sekä sille henkilölle, jolle vakuutussuojaa haetaan.
Rekisteröidyn informointiin sovelletaan lisäksi, mitä tietosuoja-asetuksen 13 ja 14 artiklassa säädetään. Rekisterinpitäjän on muun muassa ilmoitettava tietosuoja-asetuksen 14 artiklan 2 kohdan f alakohdan mukaisesti rekisteröidylle, mistä rekisteröidyn henkilötiedot on saatu. Esimerkiksi kerätessä tietoja muualta kuin 6 §:n 1 momentin 1 kohdassa tarkoitetulta henkilöltä vakuutuslaitoksen tulee ilmoittaa henkilölle, mistä terveydenhuollon yksiköistä vakuutuslaitos on saanut tiedot kussakin yksittäistapauksessa.
Pykälän 1 momentin 1 kohtaan ehdotetun välttämättömyysedellytyksen, olemassa olevan pykälän 2 momentin sekä uuteen 3 momenttiin ehdotettujen suojatoimien arvioidaan yhdessä muun vakuutuslainsäädännön kanssa muodostavan tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdassa edellyttämät asianmukaiset ja riittävät suojatoimet. Välttämättömyyttä, tietojen keräämistä, tietojen poistamista, henkilön informointia sekä käyttötarkoitusta koskevien erityisten suojatoimien arvioidaan varmistavan myös sen, että puuttuminen henkilötietojen suojaan toteutetaan täysin välttämättömän rajoissa ja että tietosuojalaissa säädetään unionin tuomioistuimen edellyttämällä tavalla riittävän täsmällisesti rajoituksista henkilötietojen suojaan (ks. esimerkiksi C-439/19, 110 kohta oikeuskäytäntöviittauksineen). Ehdotuksen arvioidaan tältä osin täyttävän tietosuoja-asetuksen edellytykset sääntelyn yleisen edun mukaisuudesta sekä oikeasuhteisuudesta sekä EU:n perusoikeuskirjan 52 artiklan 1 kohdan edellytykset rajoitusten oikeasuhteisuudesta ja välttämättömyydestä.
7 §. Rikostuomioihin ja rikoksiin liittyvä käsittely. Pykälässä säädetään rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelystä. Pykälän sääntely perustuu tietosuoja-asetuksen 10 artiklan sisältämään kansalliseen liikkumavaraan. Kyseisen artiklan tarkoittamien tietojen käsittely voidaan sallia unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tällaiselle käsittelylle tulee olla 6 artiklan 1 kohdassa tarkoitettu käsittelyn oikeusperuste.
Voimassa olevassa pykälässä säädetään oikeudesta käsitellä 10 artiklassa tarkoitettuja tietoja, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Pykälässä säädetään niin ikään oikeudesta käsitellä pykälän tarkoittamia tietoja tietosuojalain 6 §:n 1 momentin 1, 2 ja 7 kohdassa säädetyssä tarkoituksessa.
Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että pykälän viittaussäännöksistä lain 6 §:n 1 momentin 1, 2 ja 7 kohtiin luovuttaisiin ja pykälän 1 momenttiin lisättäisiin omat, erilliset kohdat kunkin käsittelytilanteen osalta. Kyse olisi tältä osin teknisestä muutoksesta.
Pykälän 1 momentin 2 kohtaa ehdotetaan muutettavaksi siten, että 2 kohdassa säädettäisiin vakuutuslaitoksen oikeudesta käsitellä asetuksen 10 artiklassa tarkoitettuja tietoja, jos käsittely on välttämätöntä vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetusta, korvauksenhakijasta, vakuutuksenhakijasta sekä siitä henkilöstä, jolle vakuutussuojaa haetaan vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Lainkohtaan ehdotettaisiin näin ollen tehtäväksi vastaavat muutokset kuin lain 6 §:n 1 momentin 1 kohtaan. Esityksessä laajennettaisiin vakuutuslaitoksen oikeutta käsitellä vakuutetun ja korvauksenhakijan ohella myös vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, rikostuomioihin ja rikoksiin liittyviä henkilötietoja.
Vastaavalla tavalla kuin terveydentilatietojen osalta, vakuutuslaitoksilla on tarve käsitellä tietosuoja-asetuksen 10 artiklan tarkoittamia tietoja ennen ja jälkeen vakuutussopimuksen tekemisen vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Tarve koskee sekä lakisääteisiä että vapaaehtoisia vakuutuksia. Lakisääteisten vakuutusten osalta tarve koskee muun muassa liikennevakuutuksia ja työtapaturma- ja ammattivakuutuksia. Esimerkiksi liikennevahinkojen korvauskäsittelyn yhteydessä vakuutusyhtiön on liikennevakuutuslakiin perustuen ratkaistava yhteenajovahingossa, minkä ajoneuvon vakuutuksesta vahingot maksetaan eli kumman kuljettajan tuottamuksesta vahinko on aiheutunut. Liikennevahinkojen korvauskäsittelyn yhteydessä vakuutusyhtiöön kertyy tämän vuoksi tietoja liikennerikoksista. Vastaavasti rikostietoja saadaan korvauskäsittelyn yhteydessä muissakin vakuutuslajeissa. Vapaaehtoisten vakuutusten osalta vakuutuslaitoksilla voi olla tarve käsitellä kyseisiä tietoja muun muassa palo-, koti-, yritys-, kiinteistö-, maatila-, rikos- ja oikeusturvavakuutusten myöntämistä tai niitä koskevien korvausasioiden selvittämistä varten. Vapaaehtoisten vakuutusten osalta tarve käsitellä 10 artiklan tietoja tarve liittyy tyypillisesti korvausten hakemiseen, mutta tarve käsitellä kyseisiä tietoja voi olla tapauskohtaisesti kuitenkin jo vakuutusta/vakuutusturvaa haettaessa. Esimerkiksi rikosvakuutukset on otettu nimenomaan rikoksen varalle. Tällaisissa tapauksissa, mikäli vahinko aiheutuu rikoksesta, jonka varalle vakuutus on otettu, pykälässä tarkoitettua tietoa olisi välttämätön käsitellä vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Vastuuvakuutusvahinkojen osalta, tarve käsitellä asetuksen 10 artiklan tietoja liittyy muun muassa työsuojelumääräysten laiminlyöntitapauksiin. Kaikissa näissä tilanteissa rikostuomioihin ja rikoksiin liittyviä tietoja käsitellään tavanomaisena osana vakuutusyhtiöiden korvaustoimintaa. Rikostiedot kertyvät osaksi kunkin vahinkotapahtuman tausta-aineistoa eli osaksi korvaustoiminnan rekisteriä.
Lainkohdassa täsmennettäisiin, että käsittely tulisi rajata vakuutuslaitoksen vastuun arvioimisen tai selvittämisen kannalta välttämättömään. Välttämättömyyteen sitominen perustuisi perustuslakivaliokunnan lausuntokäytäntöön (PeVL 14/2018 vp) ja unionin tuomioistuimen oikeuskäytäntöön (ks. tarkemmin kappaleesta 4.2.4). Välttämättömyyteen sitominen olisi edelleen myös tietosuoja-asetuksen 10 artiklan edellyttämä suojatoimi. Välttämättömyyteen sitomisella varmistettaisiin lisäksi, että kansallinen sääntely on tietosuoja-asetuksen edellyttämällä tavalla oikeasuhteista tavoitteeseen nähden. Vakuutuslaitosten tulee nykyisen pykälän 2 momentin mukaan huolehtia 2 momentissa säädetyistä asianmukaisista ja riittävistä toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi. Kyseisessä momentissa on viittaussäännös tietosuojalain 6 §:n 2 momenttiin. Huomioiden rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittelystä aiheutuvat riskit, esityksessä ehdotetaan myös muita täydentäviä suojatoimia, joista ehdotetaan säädettävän uudessa 3 momentissa.
Pykälän 1 momenttiin lisättäisiin uusi 3 kohta, jonka mukaan pykälässä tarkoitettuja tietoja voitaisiin käsitellä, jos käsittelystä säädetään laissa tai käsittely on välttämätöntä rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamiseksi. Lainkohta vastaisi pitkälti voimassa olevaa 1 momentin 2 kohtaa, jossa on viittaus lain 6 §:n 1 momentin 2 kohtaan.
Vastaavasti kuin 6 §:n 1 momentin 2 kohta, voimassa oleva 7 §:n 1 momentin 2 kohta sallii rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittelyn silloin, kun rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittelystä säädetään erikseen laissa. Esityksellä ei ehdoteta tältä osin muutoksia. Voimassa oleva lainkohta sallii käsittelyn lisäksi tilanteessa, jossa rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Voimassa olevaa sääntelyä ehdotetaan täsmennettävän vastaavasti kuin edellä 6 §:n 1 momentin 2 kohtaa, huomioiden nykyiseen muotoiluun ja käsitteisiin liittyvät tulkintaepäselvyydet sekä tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohdan sanamuoto. Ehdotetun uuden 3 kohdan mukaan rikostuomioihin ja rikoksiin liittyviä henkilötietoja voitaisiin jatkossa käsitellä, jos kyseisestä käsittelystä olisi säädetty nimenomaisesti laissa tai jos kyseinen käsittely olisi välttämätöntä rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamiseksi. Yleistä etua koskevia tehtäviä on avattu tarkemmin kappaleessa 2.4.2.
Vastaavasti kuin edellä 6 §:n 1 momentin 2 kohta, myös rikostuomioihin ja rikoksiin liittyvien henkilötietojen käsittely ehdotetaan sidottavaksi uudessa 3 kohdassa välttämättömyyteen. Välttämättömyyteen sitominen olisi perusteltua ennen muuta siitä syystä, että nykyinen lainkohdassa tarkoitettu käsittely jättää rekisterinpitäjälle kohtuullisen paljon harkintamarginaalia arvioida sitä, mitä (ja kuinka laajasti) pykälässä tarkoitettuja tietoja voitaisiin käsitellä rekisterinpitäjälle välittömästi laissa säädetyn tehtävän suorittamiseksi. Perustuslakivaliokunnan lausuntokäytännön mukaan pykälässä tarkoitetut tiedot ovat luonteeltaan myös arkaluonteisia. Ehdotettu rajaus välttämättömyyteen perustuisi siten myös edellä viitattuun perustuslakivaliokunnan arkaluonteisten henkilötietojen käsittelyä koskevaan lausuntokäytäntöön (PeVL 14/2018 vp) ja unionin tuomioistuimen oikeuskäytäntöön (ks. tarkemmin kappaleesta 4.2.4). Välttämättömyyden arviointi edellyttäisi rekisterinpitäjältä tapauskohtaista arviointia sen varmistamiseksi, että pykälässä tarkoitettuja tietoja käsiteltäisiin vain siltä osin ja siinä laajuudessa kuin se on välttämätöntä kussakin yksittäisessä käsittelytilanteessa.
Välttämättömyysedellytys olisi samalla myös tietosuoja-asetuksen 10 artiklan edellyttämä suojatoimi ja varmistaisi osaltaan myös sen, että tietosuojalain sääntely on asetuksen edellyttämällä tavalla oikeasuhteista. Rekisterinpitäjän tulisi jatkossa noudattaa lainkohtaan ehdotettavan välttämättömyysedellytyksen lisäksi myös pykälän 2 momentissa säädettyjä suojatoimia. Käsiteltäessä henkilötietoja ehdotetun lainkohdan nojalla tulisivat myös tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet sovellettavaksi käsittelyyn.
Pykälän 1 momenttiinehdotetaan lisättäväksi uusi 4 kohta, jonka mukaan pykälässä tarkoitettuja tietoja saisi käsitellä, jos käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn. Lainkohdan sääntely vastaisi voimassa olevan pykälän 1 momentin 2 kohdan viittausta tietosuojalain 6 §:n 1 momentin 7 kohtaan. Lainkohdassa kuitenkin täsmennettäisiin, että käsittelyn tulee olla tarpeen tieteellistä tai historiallista tutkimusta tai tilastointia varten. Ehdotettu täsmennys olisi tarpeen, jotta varmistetaan, että lainkohdan sääntely on tietosuoja-asetuksen 5 artiklan 1 kohdassa säädettyjä käsittelyn yleisiä periaatteita. Lainkohdan mukaisessa henkilötietojen käsittelyssä tulisi noudattaa pykälän 2 momentissa tarkoitettuja asianmukaisia ja riittäviä suojatoimenpiteitä.
Pykälään ehdotetaan lisäksi uusi 3 momentti, jossa viitattaisiin lain 6 §:n 3 momenttiin. Ehdotetussa uudessa 6 §:n 3 momentissa säädettäisiin vakuutuslaitosten henkilötietojen käsittelyä koskevista täydentävistä suojatoimenpiteistä. Pykälään ehdotettavan uuden 3 momentin mukaan, mitä 6 §:n 3 momentissa ehdotetaan säädettävän toimenpiteistä vakuutetun, korvauksenhakijan, vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, oikeuksien suojaamiseksi, sovellettaisiin myös käsiteltäessä tämän pykälän 1 momentin 2 kohdassa tarkoitettuja henkilötietoja. Vakuutuslaitoksen tulisi siten kerätä tämän pykälän 1 momentin 2 kohdassa tarkoitetut tiedot ensi sijassa kohdassa tarkoitetulta henkilöltä itseltään sekä arvioitava tapauskohtaisesti välttämättömyyttä kerätä tietoja muualta kuin kohdassa tarkoitetulta henkilöltä. Tapauskohtainen välttämättömyysarviointi tulee tehdä erikseen sekä ennen vakuutuksen myöntämistä ja vakuutuksen myöntämisen jälkeen. Tietojen keräämisessä muualta kuin henkilöltä itseltään tulee huomioida ennen muuta edellä esiin tuotu tietosuojavaltuutetun ja hallintotuomioistuinten ratkaisukäytäntö (ks. edeltä tietosuojalain 6 §:n 3 momenttia koskevat yksityiskohtaiset perustelut).
Vakuutuslaitoksen tulisi poistaa tietosuoja-asetuksen 10 artiklan tarkoittamat tiedot välittömästi sen jälkeen, kun tietoja ei tarvita vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi. Vakuutuslaitos ei saisi myöskään käsitellä kohdassa tarkoitettuja tietoja muuhun kuin kohdassa säädettyyn tarkoitukseen, jollei muualla toisin säädetä. Ehdotettu säännös ei estäisi tietosuoja-asetuksen 10 artiklan tietojen käsittelyä muuhun tarkoitukseen, mutta edellyttäisi, että kyseisestä käsittelystä on säädetty muualla lainsäädännössä. Tietosuoja-asetuksen 10 artiklan mukaan artiklan tarkoittamia tietoja voidaan käsitellä asetuksen 6 artiklan 1 kohdan perusteella viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Esimerkiksi vakuutusyhtiölain (521/2008) 30 luvun 3 a §:ssä (257/2020) säädetään vakuutusyhtiön oikeudesta käsitellä tietoja rikoksista ja rikosepäilyistä ja rekisteröidä tiedot sen harjoittamaan vakuutustoimintaan kohdistuneista rikoksista ja niiden epäilystä ylläpitämäänsä väärinkäytösrekisteriin (ks. HE 87/2019 vp). Esityksessä ehdotettavalla sääntelyllä ei olisi vaikutusta edellä mainittuun vakuutusyhtiölain sääntelyyn.
Vakuutuslaitoksen olisi lisäksi ilmoitettava vakuutetulle, korvauksenhakijalle, vakuutuksenhakijalle sekä sille henkilölle, jolle vakuutussuojaa haetaan, tietojen käytöstä, jos vakuutushakemuksen epääminen, vakuutuskorvauksen epääminen taikka muu kielteinen päätös johtuu asetuksen 10 artiklassa tarkoitettujen tietojen käsittelystä. Rekisteröidyn informointiin sovelletaan lisäksi, mitä tietosuoja-asetuksen 13 ja 14 artiklassa säädetään. Tietosuoja-asetus muun muassa edellyttää, että rekisterinpitäjä ilmoittaa rekisteröidylle, mistä rekisteröidyn tiedot on saatu (14 artiklan 2 kohdan f alakohta).
Uudessa 3 momentissa ehdotettavat suojatoimet täydentäisivät, mitä voimassa olevan pykälän 2 momentissa säädetään asianmukaisista ja erityisistä suojatoimenpiteistä, joita rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava. Vakuutuslaitoksen tulisi siten jatkossa huolehtia sekä pykälän 2 momentissa ja 3 momentissa säädetyistä suojatoimista.
Pykälän sääntely ja siihen nyt ehdotettavat muutokset perustuvat tietosuoja-asetuksen 10 artiklan sisältämään sääntelyliikkumavaraan. Pykälään ehdotettavilla muutoksilla varmistettaisiin, että sen sääntely täyttää tietosuoja-asetuksen edellytykset sääntelyn yleisen edun mukaisuudesta ja oikeasuhteisuudesta ja sisältää asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Vakuutuslaitosten osalta pykälän 1 momentin 2 kohtaan ehdotetun välttämättömyysedellytyksen, olemassa olevan pykälän 2 momentin sekä uuteen 3 momenttiin ehdotettujen suojatoimien arvioidaan yhdessä muun vakuutuslainsäädännön kanssa muodostavan tietosuoja-asetuksen 10 artiklan edellyttämät asianmukaiset ja riittävät suojatoimet. Ehdotuksen arvioidaan muiltakin osin täyttävän tietosuoja-asetuksen edellytykset yleisen edun mukaisuudesta sekä oikeasuhteisuudesta sekä varmistavan, että puuttuminen henkilötietojen suojaan toteutetaan EU:n perusoikeuskirjan 52 artiklan 1 kohdan edellyttämällä tavalla täysin välttämättömän rajoissa.
14 §. Tietosuojavaltuutetun tehtävät ja toimivaltuudet. Pykälässä säädetään tietosuojavaltuutetun tehtävistä ja toimivaltuuksista. Pykälän 4 momentin mukaan tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen. Esityksessä ehdotetaan, että sertifiointielimen akkreditoinnin myöntäisi jatkossa kansallinen akkreditointielin. Näin ollen pykälän 4 momentti ehdotetaan kumottavaksi. Sertifiointielimen akkreditoinnista ehdotetaan säädettäväksi uudessa 36 a §:ssä.
36 a §. Sertifiointielimen akkreditointi. Tietosuojalakiin ehdotetaan uutta pykälää, jossa säädettäisiin kansallisen akkreditointielimen suorittamasta akkreditoinnista. Jäsenvaltiot voivat tietosuoja-asetuksen 43 artiklan 1 kohdan mukaan säätää siitä, että akkreditointiasetuksessa tarkoitettu kansallinen akkreditointielin akkreditoi sertifiointielimen noudattaen EN-ISO/IEC 17065/2012-standardia ja toimivaltaisen valvontaviranomaisen vahvistamia lisävaatimuksia.
Ehdotetun uuden pykälän 1momentin mukaan akkreditoinnin myöntäisi jatkossa kansallinen akkreditointielin. Turvallisuus- ja kemikaalivirastosta annetun lain (1261/2010) 2 a §:n 1 momentin mukaan akkreditointijärjestelmään liittyvistä tehtävistä huolehtii kansallisena akkreditointielimenä Turvallisuus- ja kemikaaliviraston akkreditointiyksikkö (FINAS-akkreditointipalvelu). FINAS-akkreditointipalvelu on akkreditointiasetuksen mukaisesti nimetty kansallinen akkreditointielin, joten momentissa tarkoitettu kansallinen akkreditointielin viittaisi yksiselitteisesti FINAS-akkreditointipalveluun (jäljempänä FINAS). Uuden ehdotetun tietosuojalain 36 a §:n myötä nykyinen 14 §:n 4 momentti kumottaisiin.
Ehdotetun pykälän 2 momentin ensimmäisen virkkeen mukaan akkreditoinnissa teknisenä asiantuntijana toimisi ensisijaisesti tietosuojavaltuutettu ja toissijaisesti kansallisen akkreditointielimen nimeämä asiantuntija. Teknisellä asiantuntijalla tarkoitetaan akkreditointimenettelyyn osallistuvaa arvioijaa, jolla on erityistä asiantuntemusta liittyen arvioinnin kohteena olevaan pätevyysalueeseen, tässä tapauksessa tietosuojaa koskeviin vaatimuksiin. Tietosuojavaltuutetun roolina olisi arvioida tietosuojaa koskevien vaatimusten täyttymistä akkreditointia hakeneen toiminnassa. Ehdotuksen mukainen tehtävänjako tietosuojavaltuutetun ja FINASin välillä olisi tarkoituksenmukainen. Akkreditoinnissa voitaisiin hyödyntää FINASin vakiintuneita menettelytapoja, kokemusta ja asiantuntemusta kansallisena akkreditointielimenä. Tällöin tietosuojavaltuutetun toimistoon ei tarvitsisi perustaa omaa akkreditointiyksikköä eikä ylläpitää kokonaisvaltaista akkreditointimenettelyyn liittyvää erityisosaamista. Tietosuojavaltuutettu voisi keskittyä akkreditoinnissa tietosuojaa koskevan teknisen asiantuntijan rooliin. FINAS ja tietosuojavaltuutettu sopivat kirjallisesti tarkemmin käytännön menettelytavoista ja yhteistyöstä. Yhdessä sovitaan esimerkiksi teknisen asiantuntijan nimeämiselle varattavasta ajasta.
Tietosuojavaltuutettu osallistuisi akkreditointimenettelyyn puolueettomana teknisenä asiantuntijana ja osoittaisi tähän tarvittavat henkilöresurssit. Tietosuojavaltuutetulla olisi edelleen rooli tietosuojan valvontaviranomaisena, eikä ehdotettu uusi 36 a § rajoittaisi tietosuojavaltuutetun tietosuoja-asetuksessa, tietosuojalaissa eikä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (1054/2018) säädettyjä toimivaltuuksia.
Pykälän 2 momentin toisessa virkkeessä ehdotetaan säädettäväksi lausuntomenettelystä, jota noudatettaisiin, jos tietosuojavaltuutetun sijasta akkreditointimenettelyssä toimisi teknisenä asiantuntijana FINASin nimeämä asiantuntija. Tällöin FINASin tulisi ennen akkreditoinnin myöntämistä varata tietosuojavaltuutetulle tilaisuus lausua tietosuoja-asetuksen 43 artiklan 2 ja 3 kohdassa tarkoitettujen, tietosuojaa koskevien edellytysten täyttymisestä. Olisi tarkoituksenmukaista, että tietosuojavaltuutettu lausuisi tällöin tietosuoja-asetuksessa säädettyjen edellytysten täyttymisestä vain tietosuojaa koskevilta osin. FINAS arvioisi puolestaan yleisempien, esimerkiksi johtamisjärjestelmää koskevien vaatimusten täyttymisen. Sääntelyn tarkoituksena olisi varmistaa akkreditointia hakeneiden yhdenvertainen kohtelu myös tilanteissa, joissa tietosuojavaltuutetulla ei olisi resurssisyistä mahdollisuutta toimia akkreditointimenettelyssä teknisenä asiantuntijana. Teknisenä arvioijana toimisi kuitenkin 2 momentin 1 virkkeen mukaisesti ensisijaisesti tietosuojavaltuutetun edustaja.
Akkreditointielimien vaatimusstandardi ISO/IEC 17011:2017 edellyttää akkreditointielimen nimeävän akkreditointimenettelyä varten arviointiryhmän, jossa on pääarvioija ja tarvittava määrä teknisiä arvioijia tai teknisiä asiantuntijoita taikka molempia. FINASilla on standardin edellyttämällä tavalla dokumentoidut menettelyt arviointi- ja akkreditointitoimintaan osallistuvien henkilöiden pätevyysvaatimusten ja suoritusarvioinnin dokumentoimiseksi. FINASin pääarvioijat ovat virkamiehiä ja toimivat virkavastuulla. ISO/IEC 17011:2017-standardi ei kuitenkaan edellytä, että teknisten arvioijien ja teknisten asiantuntijoiden tulisi olla kansallisen akkreditointielimen palveluksessa olevia henkilöitä. FINAS voi siis käyttää tietosuoja-asetuksessa tarkoitetun akkreditoinnin edellytysten arvioinnissa myös ulkopuolisia asiantuntijoita, jotka ovat esteettömiä, ja joilla on tehtävää varten riittävä pätevyys sekä riittävät tiedot ja taidot. FINAS tekee päätöksen asiantuntijoiden soveltuvuudesta, ja asiantuntijat sitoutuvat lisäksi sopimusteitse noudattamaan hallintolain (434/2003) vaatimuksia sekä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädettyä salassapito- ja vaitiolovelvollisuutta sekä hyödyntämiskieltoa.
Muilta osin akkreditointimenettelyssä sovellettaisiin, mitä tietosuoja-asetuksessa, akkreditointiasetuksessa ja -laissa sekä hallintolaissa säädetään hallintomenettelystä, akkreditoinnin edellytyksistä sekä akkreditointiin liittyvästä seurannasta, seuraamuksista ja muutoksenhausta.
Ehdotetun 3 momentin mukaan kansallinen akkreditointielin määräisi ja perisi valtiolle maksun akkreditoinnista aiheutuneista kustannuksista. Kansallisen akkreditointielimen tulee akkreditointiasetuksen ja ISO/IEC 17011 -standardin mukaisesti olla emo-organisaatiostaan itsenäinen ja riippumaton yksikkö, mikä koskee myös maksujen määräämistä. Akkreditointihakemuksen käsittelyn edellyttämän asiantuntijatyön hinta määräytyisi kulloinkin voimassa olevien Turvallisuus- ja kemikaaliviraston ja tietosuojavaltuutetun toimiston maksullisia suoritteita koskevien asetusten perusteella. FINAS tilittäisi tietosuojavaltuutetulle korvauksen akkreditointimenettelyyn osallistuneiden teknisten asiantuntijoiden työn kustannuksista ja mahdollisista matka- tai muista kustannuksista, kuten päivärahoista.