Viimeksi julkaistu 9.5.2021 14.03

Valiokunnan lausunto PeVL 26/2016 vp E 33/2016 vp Perustuslakivaliokunta Valtioneuvoston selvitys: Komission tiedonanto henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä

Suurelle valiokunnalle

JOHDANTO

Vireilletulo

Valtioneuvoston selvitys: Komission tiedonanto henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä (E 33/2016 vp): Asia on saapunut perustuslakivaliokuntaan mahdollisia toimenpiteitä varten. 

Asiantuntijat

Valiokunta on kuullut: 

  • EU-erityisasiantuntija Anu Talus 
    oikeusministeriö
  • tietosuojavaltuutettu Reijo Aarnio 
    tietosuojavaltuutetun toimisto
  • professori Juha Lavapuro 
  • professori Tuomas Ojanen 
  • professori Tomi Voutilainen 

VALTIONEUVOSTON SELVITYS

Ehdotus

E-kirjeen tarkoituksena on informoida eduskuntaa Euroopan komission 29.2.2016 antamasta transatlanttisia tietovirtoja koskevasta tiedonannosta, jossa käsitellään henkilötietojen siirtoa EU:n ja Yhdysvaltojen välillä. Tiedonannon taustalla ovat Yhdysvalloissa vuonna 2013 paljastuneet tiedustelutietovuodot. Komissio antoi vastauksena heränneisiin yksityisyyden suojaa koskeviin huoliin tiedonannon vuonna 2013 (E 27/2014 vp), jossa se katsoi keskeisiä toimia luottamuksen saavuttamiseksi olevan seuraavat: 

- EU:n tietosuojalainsäädännön uudistamista koskevan paketin hyväksyminen  

- tietosuojatakeiden lujittaminen lainvalvonta-alan yhteistyötä varten erityisesti saattamalla päätökseen neuvottelut tietosuojaa käsittelevästä EU:n ja Yhdysvaltojen välisestä puitesopimuksesta (EU-US tietosuojasopimus) sekä  

- Safe Harbour -järjestelmän turvallisuuden lisääminen 

Komission uudessa tiedonannossa kerrotaan, miten yllämainittujen toimenpiteiden toteuttamisessa on edistytty. E-kirjeessä käsitellään tästä syystä erityisesti Safe Harbour -järjestelmän korvaavaa Privacy Shield -järjestelyä, jota koskeva komission päätös on tarkoitus tehdä komitologiamenettelyssä. 

Valtioneuvoston kanta

Suomi on pitänyt tärkeänä komission käynnistämiä toimenpiteitä, joiden tarkoituksena on ollut palauttaa luottamus EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin tilanteessa, jossa Yhdysvaltojen NSA:n harjoittamaa laajamittaista urkintaa koskevat paljastukset horjuttivat vakavasti eurooppalaisten luottamusta verkkoviestintään.  

EU:n tietosuojauudistus, EU-US tietosuojasopimus sekä uusi Privacy Shield -järjestely pyrkivät varmistamaan transatlanttisen tiedonsiirron jatkuvuuden. Suomi pitää tärkeänä, että tiedonsiirtojen jatkuvuus EU:n ja Yhdysvaltojen välillä turvataan. Privacy Shield -järjestelyn osalta Suomi on pitänyt perusteltuna Safe Harbour -järjestelmän kehittämistä siten, että rekisteröityjen yksityisyyden suojalle on riittävät takeet siirrettäessä tietoja järjestelmän puitteissa. On tärkeää, että asian jatkovalmistelussa otetaan asianmukaisesti huomioon Euroopan tietosuojaviranomaisten (”WP 29”) esittämä lausunto. 

VALIOKUNNAN PERUSTELUT

Oikeusministeriö on toimittanut eduskunnalle 21.4.2016 päivätyn E-kirjeen Euroopan komission tiedonannosta (COM(2016) 117 final) henkilötietojen siirrosta EU:n ja Yhdysvaltojen välillä. Komission tiedonannossa selvitetään, miten tietosuojapaketti, EU-USA-tietosuojasopimus ja ns. Safe Harbour -järjestelmän uudelleenneuvottelut ovat edistyneet. Tietosuojapaketti hyväksyttiin huhtikuussa 2016, ja ns. yleinen tietosuoja-asetus ja poliisidirektiivi on julkaistu Euroopan unionin virallisessa lehdessä 4.5.2016. Tietosuoja-asetus tuli voimaan 24.5.2016. Asetuksen soveltaminen alkaa tästä kahden vuoden kuluttua. EU-USA-tietosuojasopimuksesta on toimitettu eduskunnalle erikseen U-kirjelmä, ja perustuslakivaliokunta on antanut asiasta lausunnon PeVL 20/2016 vp.  

Valtioneuvoston selvityksen mukaan valtioneuvosto pitää tärkeänä komission käynnistämiä toimenpiteitä, joiden tarkoituksena on ollut palauttaa luottamus EU:n ja Yhdysvaltojen välisiin tiedonsiirtoihin tilanteessa, jossa Yhdysvaltojen NSA:n harjoittamaa laajamittaista urkintaa koskevat paljastukset horjuttivat vakavasti eurooppalaisten luottamusta verkkoviestintään. Valtioneuvosto kiinnittää kuitenkin huomiota eräisiin jatkovalmistelua vaativiin seikkoihin. Perustuslakivaliokunnan mielestä valtioneuvoston kanta on näiltä osin perusteltu. Valiokunta kiinnittää kuitenkin huomiota siihen, että eduskunnalle tämänkaltaisessa asiassa annettavassa kirjelmässä olisi syytä seikkaperäisemmin eritellä ja tuoda esiin vielä yksityiskohtaisemmin niitä näkökohtia, jotka suuntaavat ja määrittävät Suomen kantaa asian jatkovalmistelussa. 

Henkilötietojen siirroille EU:sta Yhdysvaltoihin puitteet luova Safe Harbour -järjestelmä on komission ja Yhdysvaltojen käymien neuvotteluiden aikana nimetty Privacy Shield -järjestelmäksi. Komissio toi vuoden 2013 tiedonannossa (COM (2013) 847 final) esiin Safe Harbour -järjestelmässä ilmenneitä heikkouksia ja aloitti tammikuussa 2014 neuvottelut Safe Harbour -järjestelmän lujittamiseksi. EU:n tuomioistuin mitätöi 6.10.2015 Safe Harbour -järjestelyn tuomiolla asiassa C-362/14 (Maximillian Schrems vastaan Data Protection Commissioner). Tuomiossa kiinnitetään myös huomiota edellytyksiin, jotka tiedonsiirtoa koskevien puitteiden olisi täytettävä. Valiokunta huomauttaa, että sekä EU:n tuomioistuimessa että Euroopan ihmisoikeustuomioistuimessa on vireillä useita asioita, joissa annettavat ratkaisut määrittävät yksityiselämän ja henkilötietojen suojan keskeistä sisältöä. Jatkovalmistelussa on perustuslakivaliokunnan mielestä syytä seurata oikeuskäytännön kehittymistä. 

Valtioneuvoston selvitys liittyy ennen muuta velvollisuuteen turvata EU:n henkilötietolainsäädännön edellyttämä riittävä henkilötietojen suojan taso siirrettäessä henkilötietoja EU:n alueelta Yhdysvaltoihin. Privacy Shield -järjestely on valtiosääntöoikeudellisesti merkityksellinen erityisesti yksityiselämän ja henkilötietojen suojan kannalta. Perustuslakivaliokunta on arvioidessaan tällaista sääntelyä katsonut, että sääntelyä on tarkasteltava perustuslain 10 §:n kannalta. Sen 1 momentin mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslakivaliokunnan vakiintuneen käytännön mukaan lainsäätäjän liikkumavaraa rajoittaa tämän säännöksen lisäksi myös se, että henkilötietojen suoja osittain sisältyy samassa momentissa turvatun yksityiselämän suojan piiriin. Kysymys on kaiken kaikkiaan siitä, että lainsäätäjän tulee turvata tämä oikeus tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa. Valiokunta on käytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin rekisteröinnin tavoitetta, rekisteröitävien henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuus sekä tietojen säilytysaikaa henkilörekisterissä ja rekisteröidyn oikeusturvaa. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista (ks. esim. PeVL 20/2016 vp, s. 3—4). Myös Euroopan unionin perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa henkilötietojen suoja. Samoin Euroopan ihmisoikeussopimuksen yksityiselämän suojaa koskevan 8 artiklan on Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä katsottu kattavan myös henkilötietojen suojan. 

Perustuslakivaliokunnan mielestä riittävän henkilötietojen suojan tason EU:n ja USA:n välillä mahdollistavalle järjestelylle ja sitä koskevalle komission päätökselle on painava yhteiskunnallinen tarve, joka liittyy yksityiselämän ja henkilötietojen suojaan. Valiokunta korostaa, että järjestelyn laadinnassa on syytä ottaa erityisen vakavasti edellä mainitut perus- ja ihmisoikeudet. Perustuslakivaliokunta kiinnittää erityisesti huomiota siihen, että ns. Schrems-tuomion mukaan yleinen ja erittelemätön pääsy viestien sisältöihin loukkaa yksityiselämän suojan keskeistä sisältöä. Myös valiokunnan käytännön mukaan laajamittainen, erittelemätön, pitkäaikainen ja rajoittamaton tietojen säilyttäminen yhdistettynä viranomaisten erittelemättömään ja rajoittamattomaan pääsyyn näihin tietoihin on valtiosääntöisesti ongelmallinen suhteessa edellä mainittuihin perus- ja ihmisoikeuksiin (PeVL 20/2016 vp, s. 5, PeVL 18/2014 vp, s. 6/I—II). 

Perustuslakivaliokunnan mukaan Privacy Shield -järjestely vaikuttaisi edelleen sallivan Yhdysvaltain tiedusteluviranomaisten yleisen ja erittelemättömän pääsyn viestiliikenteeseen. Privacy Shield -asiakirjojen liitteessä 6 kuvattu Yhdysvaltain harjoittamaa signaalitiedustelua koskeva Presidential Policy Directive 28 vaikuttaisi mahdollistavan sekä kohdennetun (targeted) että massamuotoisen tiedonhankinnan (intelligence collected in bulk). Perustuslakivaliokunnan mielestä järjestelyn jatkovalmistelussa tulisi varmistaa, että viranomaisten pääsy tietoihin ja niiden myöhempi käyttö rajataan siihen, mikä on välttämätöntä tavoiteltavan hyväksyttävän päämäärän, kuten terrorismin torjunnan, saavuttamiseksi (ks. myös PeVL 18/2014 vp, s. 7/I). Erityisesti viestinnän tunnistamistietojen osalta valiokunta muistuttaa myös, että käytännössä sähköisen viestinnän käyttöön liittyvät tunnistamistiedot sekä mahdollisuus niiden kokoamiseen ja yhdistämiseen voivat olla yksityiselämän suojan näkökulmasta siinä määrin ongelmallisia, että erottelu suojan reuna- ja ydinalueeseen ei aina ole perusteltua, vaan huomiota on yleisemmin kiinnitettävä myös rajoitusten merkittävyyteen (PeVL 18/2014 vp, s. 6/II). Jatkovalmistelussa ei siten tule tukeutua kategoriseen erotteluun viestin sisällön ja tunnistamistietojen välillä siten, että jälkimmäiset jäisivät aina luottamuksellisen viestin salaisuutta suojaavan perusoikeuden reuna-alueelle (vrt. PeVL 33/2013 vp, s. 3/I ja siinä viitatut lausunnot). 

Perustuslakivaliokunnan mukaan perustuslain 21 §:ssä säädetyt oikeusturvan takeet ovat merkityksellisiä henkilötietojen käsittelyssä (ks. PeVL 20/2016 vp, s. 4). Valiokunta kiinnittää valtioneuvoston huomiota siihen, että tällaiselle näkökohdalle on annettu perusoikeuskirjan 47 artiklan johdosta keskeinen painoarvo myös Schrems-tuomiossa. Valiokunnan mukaan valtioneuvoston tulee varmistua siitä, että järjestelyssä yksilöille taataan riittävät mahdollisuudet hakea hallinto- tai oikeusteitse tehokasta oikeussuojaa, jotta heillä on muun muassa mahdollisuus tutustua itseään koskeviin tietoihin ja saada ne tarvittaessa oikaistuiksi tai poistetuiksi. 

Perustuslakivaliokunnan käsityksen mukaan asianmukaisesti järjestetty tuomioistuinvalvonta ei kuitenkaan poista tarvetta riittävän itsenäiselle ja riippumattomalle viranomaiselle, jolla on toimivalta valvoa henkilötietojen siirtoa ja tutkia yksityisten väitteitä, joiden mukaan henkilötietojen siirtoa koskevat oikeussäännöt tai käytännöt eivät takaa tietosuojan riittävää tasoa.  

Perustuslakivaliokunnan mielestä tulisi pyrkiä myös siihen, että järjestelyssä taattu tietosuoja on yhdenmukainen EU:n yleisen tietosuoja-asetuksen kanssa siten, että järjestely kattaa jokaiselle samat oikeudet henkilötietojen käsittelyssä silloin, kun EU:n alueelta siirrettyjä tietoja käsitellään Yhdysvalloissa. Tämän johdosta esimerkiksi käyttötarkoituksen rajoittamista koskevia periaatteita tulisi täsmentää ja ottaa kantaa automatisoidun päätöksenteon rajoittamiseen. Valiokunta painottaa myös sitä, että Privacy Shield -järjestelmässä on oltava riittävän selvät ja nimenomaiset takeet, joiden avulla henkilötiedot voidaan tehokkaasti suojata väärinkäytöltä.  

VALIOKUNNAN LAUSUNTO

Perustuslakivaliokunta ilmoittaa,

että se yhtyy asiassa valtioneuvoston kantaan kiinnittäen huomiota edellä esitettyihin valtiosääntöoikeudellisiin seikkoihin. 
Helsingissä 31.5.2016 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja 
Annika Lapintie vas 
 jäsen 
Simon Elo ps 
 jäsen 
Maria Guzenina sd 
 jäsen 
Anna-Maja Henriksson 
 jäsen 
Hannu Hoskonen kesk 
 jäsen 
Antti Häkkänen kok 
 jäsen 
Ilkka Kantola sd 
 jäsen 
Kimmo Kivelä ps 
 jäsen 
Jaana Laitinen-Pesola kok 
 jäsen 
Markus Lohi kesk 
 jäsen 
Leena Meri ps 
 jäsen 
Ville Niinistö vihr 
 jäsen 
Wille Rydman kok 
 jäsen 
Ville Skinnari sd 
 varajäsen 
Mats Löfström 
 

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos 
Mikael Koillinen