Vireilletulo

Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi ( HE 9/2018 vp ): Asia on saapunut hallintovaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan ja lakivaliokuntaan lausunnon antamista varten. 

Lausunnot

Asiasta on annettu seuraavat lausunnot: 

perustuslakivaliokunta PeVL 14/2018 vp

perustuslakivaliokunta PeVL 24/2018 vp

lakivaliokunta LaVL 5/2018 vp

Asiantuntijat

Valiokunta on kuullut: 

• lainsäädäntöjohtaja Tuula Majuri - oikeusministeriö
• lainsäädäntöneuvos Anu Talus - oikeusministeriö
• lainsäädäntöneuvos Ville Hinkkanen - oikeusministeriö
• lainsäädäntöneuvos Tanja Jaatinen - oikeusministeriö
• apulaisoikeusasiamies Pasi Pölönen - Eduskunnan oikeusasiamiehen kanslia
• erityisasiantuntija Tiina Mantere - sisäministeriö
• yksikön päällikkö Sami Kivivasara - valtiovarainministeriö
• hallitusneuvos Immo Aakkula - opetus- ja kulttuuriministeriö
• ylitarkastaja Maija Rönkä - liikenne- ja viestintäministeriö
• hallitussihteeri Helena Raula - sosiaali- ja terveysministeriö
• tietosuojavaltuutettu Reijo Aarnio - tietosuojavaltuutetun toimisto
• ylitarkastaja Anna Hänninen - tietosuojavaltuutetun toimisto
• tilastotuotannon ylijohtaja Timo Koskimäki - Tilastokeskus
• kehittämispäällikkö Johanna Rantanen - Tilastokeskus
• tietosuojavastaava, lakimies Jarkko Reittu - Helsingin yliopisto
• tutkimusjohtaja Olli Pitkänen - IPR University Center
• tutkimusjohtaja Päivi Happonen - Kansallisarkisto
• kirkkoneuvos Pirjo Pihlaja - Kirkkohallitus
• erityisasiantuntija Tuula Seppo - Suomen Kuntaliitto
• asiantuntija Niina Harjunheimo - Elinkeinoelämän keskusliitto EK ry
• johtava lakimies Kirsi Suopelto - Finanssiala ry
• lakimies Timo Niemi - Kuluttajaliitto - Konsumentförbundet ry
• lakimies Tiina Aitlahti - Lääketeollisuus ry
• mediakasvatuksen suunnittelija Rauna Rahja - Mannerheimin Lastensuojeluliitto
• toimialajohtaja Mikko Hoikka - Medialiitto ry
• työehtoasiamies, tietosuojavastaava Hannu Hallamaa - Suomen Journalistiliitto ry
• professori Päivi Korpisaari
• professori Olli Mäenpää
• oikeustieteen tohtori Riku Neuvonen
• TATTI-työryhmän puheenjohtaja Pekka Nurmi

Valiokunta on saanut kirjallisen lausunnon: 

• Eduskunnan kanslia
• Valtiontalouden tarkastusvirasto
• puolustusministeriö
• oikeuskanslerinvirasto
• korkein hallinto-oikeus
• Oikeusrekisterikeskus
• Kansalliskirjasto
• Suomen ortodoksinen kirkollishallitus
• Ahvenanmaan maakunnan hallitus
• Ammattikorkeakoulujen Rehtorineuvosto Arene ry
• KAM-juridiikkaverkosto
• Kaupan liitto ry
• Keskuskauppakamari
• Lastensuojelun Keskusliitto
• Suomen Sukututkimusseura
• Suomen yliopistojen rehtorineuvosto UNIFI ry
• Tietoliikenteen ja tietotekniikan keskusliitto FiCom ry

Esityksessä ehdotetaan säädettäväksi tietosuojalaki. Lailla täydennettäisiin ja täsmennettäisiin Euroopan unionin yleistä tietosuoja-asetusta. Esityksessä ehdotetaan, että samalla kumottaisiin henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. 

Ehdotettu laki olisi henkilötietojen käsittelyyn sovellettava yleislaki. Yleistä tietosuoja-asetusta täydentävänä ja täsmentävänä se ei muodostaisi itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovellettaisiin rinnakkain tietosuoja-asetuksen kanssa. Tietosuojalain sääntelystä voitaisiin erityislainsäädännössä poiketa, jos poikkeaminen olisi mahdollista tietosuoja-asetuksen kansalliselle lainsäätäjälle antaman harkintamarginaalin puitteissa.  

Ehdotetussa laissa säädettäisiin henkilötietojen käsittelyn oikeusperusteesta ja erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä eräissä tilanteissa, tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, valvontaviranomaisesta, oikeusturvasta sekä eräistä tietojenkäsittelyn erityistilanteista.  

Esityksessä ehdotetaan lisäksi muutoksia rikoslakiin sekä sakon täytäntöönpanosta annettuun lakiin. 

Ehdotetut lait on tarkoitettu tulemaan voimaan 25 päivänä toukokuuta 2018. 

Ehdotuksen tausta

Ehdotetulla tietosuojalailla ja siihen liittyvillä lakiehdotuksilla on tarkoitus antaa kansalliset säännökset, joilla täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (jäljempänä tietosuoja-asetus). Tietosuoja-asetus on tullut voimaan 24.5.2016, ja sen soveltaminen on alkanut 25.5.2018. Tietosuoja-asetus on suoraan sovellettavaa lainsäädäntöä. 

Tietosuoja-asetus on osa Euroopan unionin suurta tietosuojalainsäädännön uudistusta. Uudistus on tarpeellinen informaatioteknologian nopean kehityksen ja jäsenvaltioiden hajanaisten henkilötietojen suojaa koskevien säädösten ja niiden epäyhtenäisen soveltamisen vuoksi. Tavoitteena on vahvistaa henkilöiden oikeuksia henkilötietoja käsiteltäessä ja parantaa EU:n digitaalisten sisämarkkinoiden toimintaedellytyksiä yhdenmukaistamalla EU:n jäsenvaltioiden henkilötietojen suojaa koskevat säännökset. 

Toimintaympäristön muutoksesta huolimatta henkilötietodirektiivissä (95/46/EY) säädetyt henkilötietojen käsittelyä koskevat yleiset periaatteet ovat olleet kestäviä, ja vastaavat periaatteet sisältyvät myös tietosuoja-asetukseen. Keskeisiä periaatteita ovat siten edelleen käyttötarkoitussidonnaisuus, käsittelyn lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tietojen minimointi, tietojen täsmällisyys, tietojen säilytyksen rajoittaminen sekä tietojen eheys ja luottamuksellisuus. Tietosuoja-asetuksessa henkilötietodirektiiviin ja henkilötietolakiin ( 523/1999 ) nähden uusi periaate on osoitusvelvollisuus, jonka mukaan rekisterinpitäjän on kyettävä osoittamaan, että henkilötietojen käsittely on tietosuoja-asetuksen mukaista. Henkilötietojen käsittelyn periaatteet koskevat kaikkea henkilötietojen käsittelyä. 

EU:n tietosuojauudistukseen kuuluu myös muun muassa direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisen viranomaisen suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi), jonka kansallista täytäntöönpanoa koskee hallituksen esitys HE 31/2018 vp . EU:n toimielimiä koskeva tietosuoja-asetus on hyväksytty 11.10.2018. Lisäksi valmisteltavana on ehdotus sähköisen viestinnän tietosuojaa koskevaksi asetukseksi. 

Tietosuoja-asetus on asetuksena siinä mielessä poikkeuksellinen, että se jättää eräissä asioissa jäsenvaltioille direktiivinomaista kansallista liikkumavaraa. Kansallisen liikkumavaran käyttäminen on monelta osin jätetty kansallisen lainsäätäjän harkintaan. Ehdotetussa tietosuojalaissa liikkumavaraa ehdotetaan käytettäväksi tilanteissa, joissa henkilötietolain ( 523/1999 ) kumoamisesta seuraisi tarve kansalliseen sääntelyyn, esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa tai tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle nykyisen kaltaisina. Kansallista liikkumavaraa on mahdollista käyttää myös myöhemmin esimerkiksi annettaessa erityislainsäädäntöä. 

Tietosuoja-asetus sisältää myös velvoitteita jäsenvaltioille, kuten velvollisuuden säätää eräistä kansallista valvontaviranomaista koskevista asioista. Lisäksi jäsenvaltioiden on sovitettava yhteen tietosuoja-asetuksen mukainen henkilötietojen suoja eräiden muiden oikeuksien, kuten sananvapauden ja julkisuusperiaatteen, kanssa. Ehdotus tietosuojalaiksi sisältää myös muun muassa näitä koskevat ehdotukset. 

Lisäksi hallituksen esityksessä ehdotetaan, että tietosuojalain nojalla tietosuoja-asetus tulisi eräin rajauksin sovellettavaksi myös silloin, kun henkilötietojen käsittely jäisi tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin soveltamisalan ulkopuolelle. 

Perustuslakivaliokunta on antanut hallituksen esityksestä lausunnon PeVL 14/2018 vp , jonka mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli valiokunnan sen eduskunnan valtiopäivätoimintaan kohdistuvasta soveltamisalasta, valvontaviranomaisen ylimpiin laillisuusvalvojiin kohdistuvasta valvontavallasta, hallinnollisten seuraamusten määräämismenettelystä sekä henkilötietolain kumoamisesta tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 

Hallintovaliokunta pyysi 6.6.2018 eduskunnan työjärjestyksen 38 §:n 2 momentin mukaisesti perustuslakivaliokunnan lausuntoa vielä hallinnollisen seuraamusmaksun määräämiseen liittyvästä sääntelykokonaisuudesta. Perustuslakivaliokunta antoi lausunnon PeVL 24/2018 vp , jonka mukaan hallintovaliokunnan lausuntopyynnön liitteenä olleet pykäläehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Perustuslakivaliokunta kuitenkin edellytti myös muiden, erityisesti oikeusturvaan liittyvien huomautusten huomioimista mietinnössä. 

Hallituksen esityksen ja saamansa selvityksen perusteella hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. Lisäksi ehdotetaan yhden uuden lakiehdotuksen ja yhden lausuman hyväksymistä. 

Tietosuoja-asetusta täydentävä kansallinen yleinen ja erityislainsäädäntö

Tietosuoja-asetusta täydentävänä kansallisena säädöksenä ehdotettu tietosuojalaki ei muodosta itsenäistä ja kattavaa sääntelykokonaisuutta, vaan sitä sovelletaan tietosuoja-asetuksen rinnalla. Perustuslakivaliokunta on esityksen lähtökohtia arvioidessaan viitannut uudempaan lausuntokäytäntöönsä, jonka mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla. Perustuslakivaliokunnan mielestä tietosuoja-asetusta täydentävä hallituksen esitys on perusteiltaan hyväksyttävä. ( PeVL 14/2018 vp ) 

Hallintovaliokunta pitää tarkoituksenmukaisena, että ehdotetun tietosuojalain rakenne seuraa tietosuoja-asetuksen rakennetta. Sääntelykokonaisuus muodostuu siitä huolimatta varsin monimutkaiseksi, mitä korostaa se, että tietosuoja-asetus on itsessäänkin paikoin vaikeaselkoinen. Unionin oikeudesta seuraa, että asetuksen käsitteitä ei voida tulkita kansallisella lailla. Sen vuoksi tietosuojalaissa on pitäydytty tietosuoja-asetuksen terminologiassa. Käsitteiden sisältöä on pyritty avaamaan selostamalla esityksen perusteluissa käsitteisiin liittyvää unionin oikeuskäytäntöä. 

Tietosuojasääntelyä sisältyy lisäksi paljon kansalliseen erityislainsäädäntöön, johon tietosuoja-asetuksesta johtuvia tarkistuksia parhaillaan valmistellaan ministeriöissä. Henkilötietojen käsittelyä sisältäviä erityissäädöksiä on useita satoja. 

Perustuslakivaliokunta on todennut arvioineensa nykyisen sääntelymallin varsin raskaaksi ja monimutkaiseksi ja myös viitannut aikaisempaan lausuntokäytäntöönsä, jonka mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa ( PeVL 31/2017 vp , PeVL 45/2016 vp , PeVL 41/2006 vp ). 

Myös hallintovaliokunta tähdentää selkeän sääntelyn merkitystä ja korostaa, että sääntelyn soveltamista helpottamaan tulee lisäksi olla tarjolla ymmärrettävää ohjeistusta ja neuvontaa. Sääntelyä voidaan selkeyttää myös esimerkiksi tietosuoja-asetuksen mukaisilla käytännesäännöillä. Käytännesäännöt on mahdollista laatia siten, että kulloinkin kyseessä olevan toimialan erityistarpeet tulevat asianmukaisesti huomioiduiksi. Valiokunta lisäksi huomauttaa, että suomenkieliseen asetustekstiin sisältyy virheitä, esimerkkinä 9 artiklan 1 kohta, jossa määre "henkilön yksiselitteistä tunnistamista varten" tulisi liittyä ainoastaan biometristen tietojen käsittelyyn. Kielivirheiden korjaamiseksi tulee ryhtyä viipymättä tarvittaviin toimenpiteisiin. 

Perustuslakivaliokunta katsoo tietosuoja-asetuksen soveltamisen alkamisen johdosta olevan perusteltua tarkistaa aiempaa kantaansa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mielestä tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Valiokunnan käsityksen mukaan tietosuoja-asetuksen sääntely vastaa asianmukaisesti tulkittuna ja sovellettuna myös Euroopan ihmisoikeussopimuksen mukaan määräytyvää henkilötietojen suojan tasoa. Näin ollen erityislainsäädäntöön ei ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. 

Perustuslakivaliokunnan mielestä henkilötietojen suoja tulee jatkossa turvata ensisijaisesti yleisen tietosuoja-asetuksen ja säädettävän kansallisen yleislainsäädännön nojalla. Valiokunnan mielestä lähtökohtaisesti riittävää on, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa tietosuoja-asetuksen kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee jatkossa suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa. 

Perustuslakivaliokunnan mielestä on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn kohdalla ( PeVL 14/2018 vp ). Perustuslakivaliokunnan linjauksen mukaan henkilötietolain mukaisella arkaluonteisten tietojen käsitteellä tulee vastaisuudessakin olemaan merkitystä valtiosääntöoikeudellisessa arvioinnissa. 

Hallintovaliokunta viittaa tässä yhteydessä lisäksi muihin perustuslakivaliokunnan lausunnosta ilmeneviin, kansallista lainvalmistelua ohjaaviin kannanottoihin. 

Tietosuojalain soveltamisala

Ehdotetun tietosuojalain 2 §:n mukaan lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tietosuojalakia sovelletaan tietosuoja-asetusta täydentävänä yleislakina laajasti yhteiskunnan eri sektoreilla. Tietosuoja-asetuksen mukaisesti tietosuojalakia ei kuitenkaan sovelleta sellaiseen henkilötietojen käsittelyyn, jota luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa, eikä rikosasioiden tietosuojadirektiivin soveltamisalaan kuuluvaan henkilötietojen käsittelyyn. 

Lisäksi tietosuojalain 2 §:ssä ehdotetaan, että tietosuoja-asetusta sovelletaan tietosuojalain perusteella ja siinä säädetyin rajauksin myös sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan, sekä henkilötietojen käsittelyyn, joka tapahtuisi Euroopan unionista tehdyn sopimuksen V osaston 2 jaksossa tarkoitettuun yhteiseen ulko- ja turvallisuuspolitiikkaan liittyen. Tämän kansallisesti tehtävän asetuksen soveltamisalan laajennuksen ulkopuolelle jäisivät kuitenkin tietosuoja-asetuksen VI ja VII luku siltä osin kuin kyse on ns. yhdenluukunmekanismista ja yhdenmukaisuusmekanismista, jotka koskevat tilanteita, joissa rekisterinpitäjä käsittelee henkilötietoja useamman jäsenvaltion alueella. 

Perustuslakivaliokunta on tältä osin tarkastellut unionin toimivaltaan liittyviä näkökohtia. Perustuslakivaliokunnan mielestä asetuksen soveltamisalan laajennus kansallisin lainsäädäntötoimin on lähtökohtaisesti kuitenkin perusteltu ratkaisu. Perustuslain 10 §:n lakivaraus edellyttää henkilötietojen suojasta säädettävän lailla. Henkilötietojen suojaa koskevan yleisen lainsäädännön soveltamisalan on tämän johdosta oltava kattava. Koska unionin oikeuden soveltamisalan määrittely ei ole aina mahdollista selkeästi ja yksiselitteisesti, on valittu sääntelymalli asetuksen soveltamisalan laajentamisesta myös valtiosääntöisesti perusteltu. 

Perustuslakivaliokunta on kiinnittänyt lausunnossaan huomiota myös tietosuojalain soveltamiseen eduskunnan toiminnassa. Eduskunnan toiminta voidaan jakaa perustuslaissa ja eduskunnan työjärjestyksessä säänneltyyn valtiopäivätoimintaan ja eduskunnan virastojen suorittamaan hallintotoimintaan. 

Perustuslakivaliokunnan mielestä lähtökohtaista estettä ei ole sille, että hallintoa koskevat yleislait ulotetaan koskemaan eduskunnan virastoja (ks. PeVL 30/1998 vp , s, 6/II). Perustuslakivaliokunnan lausunnossa todetaan, että eduskunnan virastot on muiden viranomaisten tavoin asianmukaisesti rajattu lakiehdotuksessa seuraamusmaksusääntelyn ulkopuolelle. Hallituksen esityksessä ei kuitenkaan muilta osin säännellä tai perusteluissa tarkastella eduskunnan valtiopäivätoiminnan ja siihen osallistuvien eduskunnan elimien, kuten valiokuntien, puhemiesneuvoston, tai kansanedustajien suhdetta ehdotettuun sääntelyyn tai EU:n tietosuoja-asetukseen. Perustuslakivaliokunnan käsityksen mukaan eduskunnan valtiopäivätoiminta ei kuulu unionin oikeuden soveltamisalalle. Tietosuojalakiehdotuksen 2 §:n 1 momentin sääntely johtaisi kuitenkin siihen, että tietosuoja-asetusta olisi noudatettava myös eduskunnan valtiopäivätoiminnassa. Lisäksi eduskunnan valtiopäivätoimintaan osallistuvat elimet olisivat seuraamusmaksun alaisia. 

Valtiopäivätoimintaan liittyvästä tietojen käsittelystä säädetään perustuslain 50 §:ssä ja eduskunnan työjärjestyksessä. Perustuslain 50 §:ssä on eräitä tietojen julkaisemiseen, julkisuuteen ja salassapitoon liittyviä eduskunnan työjärjestykseen kohdistuvia sääntelyvarauksia. Perustuslain - 52 §:n mukaan eduskunnan työjärjestyksessä annetaan tarkempia säännöksiä valtiopäivillä noudatettavasta menettelystä sekä eduskunnan toimielimistä ja eduskuntatyöstä. Perustuslakivaliokunnan mielestä eduskunnan asemasta ylimpänä valtioelimenä ja EU-oikeuden rajatusta sovel-tamisalasta seuraa, että hallituksen esityksen 1. lakiehdotusta on muutettava siten, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa eduskunnan valtiopäivätoiminnan rajaamiseksi lain soveltamisalan ulkopuolelle tietosuojalain 2 §:n muuttamista yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Henkilötietojen suojan ja julkisuusperiaatteen välinen suhde

Julkisuusperiaate on yksi keskeinen hallinnon periaate Suomessa. Perustuslain 12 §:n 2 momentin mukaan viranomaisen hallussa olevat asiakirjat ja muut tallenteet ovat julkisia, jollei niiden julkisuutta ole välttämättömien syiden vuoksi lailla erikseen rajoitettu. Jokaisella on oikeus saada tieto julkisesta asiakirjasta ja tallenteesta. 

Asiakirjajulkisuutta sääntelevä yleislaki on viranomaisten toiminnan julkisuudesta annettu laki ( 621/1999 , jäljempänä julkisuuslaki). Julkisuuslaki ja nykyinen henkilötietolaki muodostavat kokonaisuuden, joka sääntelee viranomaisten ylläpitämien henkilörekistereiden ja muiden asiakirjojen sekä niihin sisältyvien tietojen julkisuutta ja salassapitoa sekä henkilötietojen käsittelyssä noudatettavia vaatimuksia. 

Hallintovaliokunta on useissa tietosuoja-asetusehdotuksesta antamissaan lausunnoissa pitänyt tärkeänä, että tietosuoja-asetukseen sisällytetään säännös asiakirjajulkisuuden huomioonottamisesta tietosuoja-asetusta sovellettaessa (esim. HaVL 11/2012 vp , HaVL 30/2014 vp , HaVL 2/2015 vp , HaVL 25/2015 vp ). Komission asetusehdotus ei sisältänyt säännöstä tietosuojalainsäädännön ja asiakirjojen julkisuusperiaatteen yhteensovittamisesta. Asia oli kuitenkin merkityksellinen, sillä tietosuoja-asetus merkitsee samalla henkilötietolain taustalla olevan henkilötietodirektiivin kumoamista. Hallintovaliokunta pitää tärkeänä, että asetukseen on saatu neuvoteltua artikla, joka mahdollistaa kansallisen julkisuuslain yhteensovittamisen tietosuoja-asetuksen kanssa. 

Myös perustuslakivaliokunta piti tärkeänä ja julkisuuden asianmukaisen turvaamisen vähimmäisvaatimuksena nimenomaista säännöstä asiakirjajulkisuudesta ( PeVL 12/2012 vp , PeVL 60/2017 vp , PeVL 15/2017 vp ). Valiokunnan mielestä olennaista on, että nyt tietosuojalakiehdotuksella täydennettävään tietosuoja-asetuksen 86 artiklaan on sisällytetty nimenomainen virallisten asiakirjojen julkisuutta koskeva artikla. 

Hallituksen esityksessä ehdotetun tietosuojalain 28 §:ssä säädetään julkisuusperiaatteen huomioon ottamisesta. Ehdotuksen mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. Säännös vastaa perustuslakivaliokunnan myötävaikutuksella säädetyn voimassaolevan henkilötietolain 8 §:n 4 momenttia ( PeVL 25/1998 vp ). Henkilötietolain esitöissä katsottiin, että säännöksessä viitatussa laissa on säädetty yksityisyyden suojan kannalta tarpeellisista henkilötietojen luovuttamisen rajoituksista ( HE 96/1998 vp , s. 41/II). Perustuslakivaliokunnan myötävaikutuksella säädettyyn julkisuuslakiin ( PeVL 43/1998 vp ) ei ehdoteta nyt muutoksia. Perustuslakivaliokunnan käsityksen mukaan tietosuoja-asetuksen soveltamisen alkaminen ei aiheuta välitöntä tarvetta julkisuuslain muuttamiseen ( PeVL 14/2018 vp ). 

Perustuslakivaliokunta toteaa pitävänsä ehdotettua sääntelyratkaisua perusteltuna perustuslain 12 §:n 2 momentin näkökulmasta. Valiokunnan mielestä perustuslain 12 §:n 2 momentissa julkisuuden rajoituksiin kohdistettu välttämättömyysvaatimus ei rajoitu yksin salassapitosäännöksiin. Valiokunta on arvioinut esimerkiksi henkilötietojen luovuttamisen laajan sitomisen käyttötarkoitukseen merkitsevän julkisuusperiaatteen rajoitusta, jolle on kuitenkin osoitettavissa perustuslain 10 §:ään nojautuvat hyväksyttävät perusteet ( PeVL 3/2009 vp , s. 2/II, PeVL 2/2008 vp , s. 2/I ja PeVL 40/2005 vp , s. 2/II). 

Julkisuuslain 17 §:n 1 momentin mukaan viranomainen on lain mukaisia päätöksiä tehdessään ja muutoinkin tehtäviään hoitaessaan velvollinen huolehtimaan muun ohella siitä, että tietojen saamista viranomaisen toiminnasta ei julkisuusperiaate ja sen tarkoitus huomioon ottaen rajoiteta enempää kuin suojattavan edun vuoksi on tarpeellista. Säännös on tältä osin muotoiltu hallintovaliokunnan mietinnössä ( HaVM 31/1998 vp , s. 11/I—12/II). Hallintovaliokunta täydensi ehdotettua julkisuuslain 17 §:ää, koska perustuslakivaliokunta oli pitänyt lausunnossaan säätämisjärjestyskysymyksenä sääntelyn täydentämistä siten, että salassapitosääntelystä ilmenee salassapidon poikkeusluonne pääsääntönä olevaan asiakirjajulkisuuteen nähden siten, että jo lakitekstissä korostuu, että salassapitosäännöksiä on tulkittava suppeasti ( PeVL 43/1998 vp , s. 3/II). 

Julkisuuslaista antamassaan lausunnossa perustuslakivaliokunta viittasi myös siihen, että harkintavallan rajoituksina olisi merkitystä yleisillä hallinto-oikeudellisilla periaatteilla, kuten tarkoitussidonnaisuudella, suhteellisuudella, objektiivisuudella ja yhdenvertaisuudella, ja piti asiakirjajulkisuutta koskevan perusoikeussäännöksen kannalta tärkeänä, että tällaisista seikoista johtuvia viranomaisen harkintavallan rajoituksia täsmennetään itse lakitekstissä ( PeVL 43/1998 vp , s. 3/I). Yleisistä hallinto-oikeudellisista periaatteista säädetään nykyisin hallintolain ( 434/2003 ) 6 §:ssä, ja valiokunta on kiinnittänyt yleisemminkin huomiota siihen, että lakia soveltava viranomainen on sidottu erityisesti hallintolain 6 §:ssä säädettyihin tarkoitussidonnaisuuden ja suhteellisuuden vaatimuksiin ( PeVL 17/2004 vp , s. 5/I, PeVL 17/2016 vp , s. 3). Perustuslakivaliokunta korostaa edelleen mainittujen, myös julkisuuslain 17 §:stä ilmenevien seikkojen merkitystä julkisuuslain tulkinnassa ja soveltamisessa myös silloin, kun julkisuuslakia sovelletaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä ( PeVL 14/2018 vp ). 

Sananvapaus

Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tietosuojalain 27 §:ssä ehdotetaan säädettävän vapautuksista ja poikkeuksista tietosuoja-asetukseen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden kanssa. Perustuslakivaliokunnan käsityksen mukaan ehdotetussa sääntelyssä on tältä osin kyse sananvapauden rajoittamisesta henkilötietojen suojan tarkoituksessa ja vastaavasti henkilötietojen suojan rajoittamisesta sananvapauden tarkoituksessa. Valiokunta pitää tällaista tasapainottamista valtiosääntöisesti välttämättömänä ( PeVL 14/2018 vp ). 

Tietosuojalain 27 §:ään ehdotetut säännökset ovat perustuslakivaliokunnan mielestä kuitenkin osin tulkinnanvaraisia. Perusoikeusrajoitusten tulee olla tarkkarajaisia ja riittävän täsmällisesti määritettyjä, minkä lisäksi rajoitusten olennaisen sisällön tulee ilmetä laista ( PeVM 25/1994 vp , s. 5/I). Tietosuojalakiehdotuksen 27 § ei täytä kaikilta osin tätä vaatimusta. Perustuslakivaliokunta kiinnittää huomiota esimerkiksi 2 momentin virkkeeseen, jonka mukaan tietosuoja-asetuksen 44—50 artiklaa ei sovelleta, jos soveltaminen "loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen". Vastaavasti 3 momentissa säädettäisiin, että tietosuoja-asetuksen eräitä säännöksiä sovellettaisiin ainoastaan "soveltuvin osin" henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Perustuslakivaliokunnan lausunnon mukaan hallintovaliokunnan on perustuslain 10 ja 12 §:stä johtuvista syistä täsmennettävä sääntelyä olennaisesti ( PeVL 14/2018 vp ). 

Hallintovaliokunta toteaa, että pykälässä on käytetty ilmaisua "soveltuvin osin", jota säädöskielessä tulisi lähtökohtaisesti välttää. Esimerkiksi Lainkirjoittajan oppaan mukaan viittaus toisen lain soveltamiseen tai noudattamiseen on pyrittävä kirjoittamaan auki muilla keinoin ja täsmällisesti. Ehdotetussa pykälässä on viitattu tietosuoja-asetuksen tiettyjen artiklojen soveltamiseen. Hallituksen esityksen perustelutekstissä selvennetään yksityiskohtaisesti, miltä osin pykälässä mainittuja artikloja on sovellettava. 

Esimerkiksi tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista yleisistä periaatteista. Yleiset periaatteet voivat tulla sovellettaviksi ainoastaan tilanteessa, jossa jokin rekisterinpitäjän varsinainen velvoite tai rekisteröidyn oikeus tulee sovellettavaksi. Yleisiä periaatteita ei voida soveltaa itsenäisesti muista velvoitteista ja oikeuksista irrallisena. Yleisten periaatteiden soveltumista soveltuvin osin on kuvattu ja selvennetty yksityiskohtaisesti hallituksen esityksen perusteluissa. 

Ehdotuksen mukaan myös esimerkiksi rekisterinpitäjän vastuuta koskevaa 24 artiklaa sovellettaisiin vain soveltuvin osin. Rekisterinpitäjän vastuuta koskevassa 24 artiklassa on säädetty yleisellä tasolla rekisterinpitäjän vastuusta. Rekisterinpitäjän vastuuta koskevaa artiklaa on tulkittava yhdessä muiden rekisterinpitäjän velvollisuuksia koskevien säännöksien kanssa. Tietosuoja-asetuksen 24 artiklaa ei voida soveltaa itsenäisesti rekisterinpitäjän muista velvoitteista irrallisena velvoitteena. Asetuksen 24 artikla tulee ehdotuksen mukaan sovellettavaksi niissä tilanteissa, joissa jokin tietosuoja-asetuksen mukainen rekisterinpitäjän velvoite tulee sovellettavaksi. Tämä on todettu hallituksen esityksen perusteluissa. 

Edellä annettujen kahden esimerkin lisäksi vastaava asetelma koskee myös muita 27 §:n 3 momentissa lueteltuja tietosuoja-asetuksen artikloja. Pykälässä mainittuja artikloja ei voida soveltaa itsenäisesti, muista velvoitteista tai oikeuksista irrallisina. Esityksen perusteluissa on kunkin 27 §:ssä viitatun artiklan osalta yksityiskohtaisesti selvennetty, millä tavoin asianomainen artikla tulee sovellettavaksi kyseisessä pykälässä tarkoitettuun henkilötietojen käsittelyyn. 

Hallintovaliokunta toteaa, että vaikka ehdotetussa 27 §:ssä on käytetty ilmaisua "soveltuvin osin", ei lakiehdotus jätä rekisterinpitäjän tai valvontaviranomaisen harkintaan sitä, miltä osin 3 momentissa tarkoitetut artiklat tulevat sovellettaviksi. Tämä käy edellä kuvatuin tavoin ilmi hallituksen esityksen perusteluista. 

Perustuslakivaliokunnan lausunnossa ( PeVL 14/2018 vp ) on myös kiinnitetty huomiota pykälän 2 momentin virkkeeseen. Hallituksen esityksen perusteluissa on selvennetty, että tiedonsiirtoja koskevia 44—50 artiklaa sovelletaan velvoitteiden koskiessa henkilötietojen suojaamista ja tietoturvallisuutta. Ehdotetun momentin ilmaisu "loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen" on puolestaan johdettu tietosuoja-asetuksen 86 artiklasta, jonka mukaan jäsenvaltioiden on säädettävä poikkeuksia eräistä tietosuoja-asetuksen artikloista, jos ne ovat tarpeen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden ja tiedonvälityksen vapauden kanssa. 

Hallintovaliokunnan näkemyksen mukaan keskeistä on, että sääntelyratkaisu on alaltaan mahdollisimman kattava. Ei ole myöskään mahdollista tyhjentävästi yksilöidä sääntelytasolla erilaisia tilanteita, joissa asetuksen sääntelystä tulisi poiketa tässä tarkoitettujen oikeuksien yhteen sovittamiseksi. Tämän vuoksi sääntely on jätettävä yleisten ilmaisujen varaan. Lisäksi valiokunta toteaa, että Euroopan unionin tuomioistuimen oikeuskäytännössä on korostettu, että sananvapautta on tulkittava laajasti (Satamedia, ECLI:EU:C:2008:727). Valiokunta vielä korostaa, että ehdotetun sääntelyn tavoitteena on nykytilan säilyttäminen, joten säännöksen tulkinnassa voidaan nojautua nykykäytäntöön. Säännösehdotuksen yksityiskohtaisissa perusteluissa on myös seikkaperäisesti selvitetty säännösten sisältöä. Valiokunta katsoo, että tässä sääntely-yhteydessä ei ole nähtävissä edellytyksiä sääntelyn edelleen täsmentämiseen. Valiokunnan mielestä merkityksellistä on myös se, että media- ja journalistialan lausuntojen perusteella ehdotuksessa on pykälän moniportaisuudesta ja siitä johtuvasta vaikealukuisuudesta huolimatta kuitenkin kokonaisuutena onnistuttu säilyttämään nykyinen tasapaino oikeuksien välillä varsin hyvin. 

Seuraamussääntely

Seuraamusjärjestelmä ja valvontaviranomaisen toimivaltuudet

Tietosuoja-asetuksessa korostetaan, että henkilötietojen suojaaminen tehokkaasti kaikkialla unionissa edellyttää rekisteröityjen oikeuksien ja rekisterinpitäjien ja henkilötietojen käsittelijöiden velvollisuuksien vahvistamisen lisäksi myös samantasoisia valtuuksia valvoa henkilötietojen suojaa koskevien sääntöjen noudattamista ja samantasoisia seuraamuksia sääntöjen rikkomisesta jäsenvaltioissa. Asetus sisältääkin varsin kattavat ja yksityiskohtaiset säännökset seuraamusjärjestelmästä ja valvontaviranomaisen toimivaltuuksista. 

Seuraamuksista puhuttaessa huomio on pitkälti kiinnittynyt valvontaviranomaisen määräämiin hallinnollisiin sakkoihin. Hallintovaliokunta tässä yhteydessä toteaa, että valvontaviranomaisella on käytössään myös muita keinoja. Valvontaviranomaisen ns. korjaavista toimivaltuuksista säädetään tietosuoja-asetuksen 58 artiklan 2 kohdassa. Näitä ovat muun muassa rekisterinpitäjälle tai henkilötietojen käsittelijälle annettava varoitus tai huomautus siitä, että aiotut käsittelytoimet ovat asetuksen vastaisia (a ja b alakohta), sekä käsittelyn väliaikainen tai pysyvä rajoittaminen, mukaan lukien käsittelykielto (f alakohta). Hallinnollisesta sakosta säädetään 2 kohdan i alakohdassa. Sen mukaan valvontaviranomainen voi määrätä hallinnollisen sakon 2 kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. 

Hallinnollisten sakkojen määräämisen yleisistä edellytyksistä säädetään asetuksen 83 artiklassa. Artiklan 4 kohdassa lueteltujen säännösten rikkomisesta määrättävä hallinnollinen sakko voi olla suuruudeltaan enintään 10 000 000 euroa tai, jos kyseessä on yritys, kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Kyseisessä kohdassa tarkoitettuja rikkomuksia ovat muun muassa toimiminen vastoin 31 artiklassa säädettyä yhteistyövelvoitetta valvontaviranomaisen kanssa sekä toimiminen vastoin 33 ja 34 artiklassa säädettyjä velvollisuuksia ilmoittaa valvontaviranomaiselle ja rekisteröidylle henkilötietojen tietoturvaloukkauksesta. Artiklan 5 kohdassa tarkoitetuissa tapauksissa hallinnollinen sakko on enintään 20 000 000 euroa tai, jos kyseessä on yritys, neljä prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Kyseinen kohta koskee muun muassa rekisteröityjen 12— 22 artiklan mukaisten oikeuksien rikkomista. 

Edellä olevan perusteella voidaan todeta, että kansallisen valvontaviranomaisen toimivaltuudet laajenevat merkittävästi suoraan asetuksen nojalla. Tämä merkitsee huomattavaa muutosta Suomen nykytilaan. Samalla on syytä huomata, että Euroopan tietosuojaneuvosto laatii valvontaviranomaisille suuntaviivoja, jotka koskevat korjaavien toimenpiteiden soveltamista ja hallinnollisten sakkojen määräämistä (tietosuoja-asetuksen 70 artiklan 1 kohdan k alakohta). Näillä pyritään edistämään tietosuoja-asetuksen yhdenmukaista soveltamista jäsenvaltioissa. 

Lakivaliokunta on lausunnossaan kiinnittänyt huomiota muun ohella hallinnollisen sakon määräämiseen liittyviin näkökohtiin. Hallinnollisen sakon määräämisessä ja sen suuruutta arvioitaessa on asetuksen 83 artiklan 2 kohdan mukaan otettava huomioon useita seikkoja, kuten rikkomisen luonne, vakavuus ja kesto, vahingollisuus ja toistuvuus samoin kuin rikkomisen tahallisuus ja tuottamuksellisuus. Sääntely ei näin ollen perustu ankaraan vastuuseen eikä käännettyyn todistustaakkaan, mikä on perusteltua Euroopan ihmisoikeussopimuksessa ja perustuslain 21 §:ssä tarkoitetun oikeudenmukaisen oikeudenkäynnin ja hyvän hallinnon kannalta. Lakivaliokunta toteaa, että näiden takeiden noudattaminen on hallinnollisen sanktion määräämisessä tärkeää, koska hallinnollisessa sakossa on asiallisesti kyse rangaistusluonteisesta taloudellisesta seuraamuksesta, jonka Euroopan ihmisoikeustuomioistuin ja perustuslakivaliokunta ovat katsoneet rinnastuvan rikosoikeudelliseen seuraamukseen. Toisaalta, kuten perustuslakivaliokunta on esityksestä antamassaan lausunnossa PeVL 14/2018 vp todennut, kohdassa mainittujen seikkojen keskinäisen suhteen arvioimiseen jää merkittävästi harkinnanvaraa. Niin ikään harkinnanvaraa jää hallinnollisen sakon suuruuden arvioimiseen, sillä asetuksessa asetetaan vain sakon enimmäistaso. 

Myös hallintovaliokunta korostaa hyvän hallinnon ja oikeusturvan vaatimusten huomioon ottamista hallinnollista sakkoa määrättäessä ja pitää tärkeänä, että asetukseen on sisällytetty nimenomaiset säännökset siitä, että valvontaviranomaisen toimivaltuuksien käyttöön sovelletaan unionin oikeuden ja jäsenvaltion lainsäädännön mukaisesti asianmukaisia menettelytakeita, muun muassa tehokkaita oikeussuojakeinoja ja asianmukaista prosessia (83 artiklan 8 kohta sekä 58 artiklan 4 kohta). 

Vaikka asetuksen seuraamuksia koskeva sääntely on varsin yksityiskohtaista, kansalliseen lainsäädäntöön on tarpeen sisällyttää täydentäviä säännöksiä muun muassa tietosuoja-asetuksen 83 artiklassa tarkoitettujen hallinnollisten sakkojen määräämisestä. Lisäksi on asetuksen 84 artiklaan liittyen annettava kansalliset säännökset sellaisia tilanteita varten, joihin ei sovelleta asetuksessa tarkoitettuja hallinnollisia sakkoja, ja määriteltävä, ovatko ne rikosoikeudellisia tai hallinnollisia seuraamuksia. Lisäksi on arvioitava, onko tällaisia kansallisia säännöksiä tarpeen antaa sellaisia tilanteita varten, joissa asetusta on rikottu vakavasti.  

Hallinnollisen seuraamusmaksun määräämismenettely

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena toimii esityksen mukaan tietosuojalain 8 §:n perusteella tietosuojavaltuutettu. Valvontaviranomaisen tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55—59 artiklassa. Toimivalta hallinnollisen sakon määräämiseen kuuluu asetuksen 58 artiklan 2 kohdan i alakohdan mukaan jäsenvaltion valvontaviranomaiselle. Tämä merkitsee, että lakiehdotuksen mukaan Suomessa tietosuojavaltuutetun toimivaltaan kuuluu määrätä asetuksen tarkoittama hallinnollinen sakko. 

Niissä tapauksissa, kun kyse on rajat ylittävästä henkilötietojen käsittelystä, asian aineellisoikeudellinen kysymys ratkaistaan EU:n tasolla valvontaviranomaisten välisessä yhteistyömenettelyssä, mikä tarkoittaa monijäsenisen kokoonpanon käsittelyä. Tällöin kansallisen valvontaviranomaisen ratkaistavaksi jää seuraamusmaksun suuruudesta päättäminen. 

Hallinnollinen sakko voi tietosuoja-asetuksen mukaan muodostua hyvin ankaraksi rangaistusluonteiseksi seuraamukseksi. Erityisesti oikeusturvaan ja asianmukaisen menettelyn takeisiin liittyvien näkökohtien huomioon ottaminen on sen vuoksi erityisen tärkeää. Hallintovaliokunta kiinnittää huomiota siihen, että hallinnollisen sakon määrääminen on hallituksen esityksessä uskottu yksittäiselle virkamiehelle, joka voisi määrätä sen itsenäisesti. Ehdotetun tietosuojalain 15 §:n mukaan tietosuojavaltuutettu ratkaisisi asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. Säännös mahdollistaisi periaatteessa myös sen, että hallinnollinen sakko määrättäisiin ilman esittelyä. Hallintovaliokunnan asiantuntijakuulemisessa on ehdotetusta sääntelystä esitetty kriittisiä huomioita. 

Suomen lainsäädäntöön sisältyy hallinnollisia seuraamusmaksuja, jotka määrää hallintoviranomainen. Perustuslakivaliokunnan mielestä tietosuoja-asetuksen mahdollistamat hyvin suuret hallinnolliset seuraamusmaksut eivät kuitenkaan rinnastu viranomaisten nykyisin määräämiin hallinnollisiin seuraamuksiin. Toisaalta esimerkiksi finanssimarkkinoiden valvonnassa, jossa on mahdollista määrätä ankaria hallinnollisia seuraamusmaksuja, seuraamusmaksun määrääminen on tietyissä tilanteissa osoitettu monijäseniselle toimielimelle, Finanssivalvonnan johtokunnalle. Lisäksi on hallinnollisia seuraamusmaksuja, joista päättää tuomioistuin. Tällaisia ovat esimerkiksi markkinaoikeuden kilpailulain ( 948/2011 ) nojalla määräämät seuraamusmaksut. 

Tietosuoja-asetuksen 83 artiklan 9 kohdan mukaan, jos jäsenvaltion oikeusjärjestelmässä ei säädetä hallinnollisista sakoista, tätä artiklaa voidaan soveltaa niin, että sakon panee vireille toimivaltainen valvontaviranomainen ja sen määräävät toimivaltaiset kansalliset tuomioistuimet siten, että samalla varmistetaan, että nämä oikeussuojakeinot ovat tehokkaita ja niillä on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. Määrättävien sakkojen on joka tapauksessa oltava tehokkaita, oikeasuhteisia ja varoittavia. Kuten edellä on todettu, Suomen oikeusjärjestyksessä hallinnolliset seuraamusmaksut ovat kuitenkin mahdollisia ja niistä on säännöksiä. Valiokunnan saaman selvityksen mukaan artiklan 9 kohdassa tarkoitettu mahdollisuus koskee ainoastaan Tanskaa ja Viroa, mikä käy ilmi asetuksen johdanto-osan kappaleesta 151. Sen mukaan "Tanskan ja Viron oikeusjärjestelmät eivät mahdollista tämän asetuksen mukaisia hallinnollisia sakkoja. Hallinnollisia sakkoja koskevia sääntöjä voi soveltaa niin, että Tanskassa sakon määräävät toimivaltaiset kansalliset tuomioistuimet rikosoikeudellisena seuraamuksena ja Virossa sakon määrää valvontaviranomainen rikkomusmenettelyn puitteissa, edellyttäen että kyseisten jäsenvaltioiden sääntöjen tällaisella soveltamisella on vastaava vaikutus kuin valvontaviranomaisten määräämillä hallinnollisilla sakoilla. …" Saadun selvityksen mukaan Suomella ei siten ole kansallista harkintamarginaalia säätää menettelystä, jossa hallinnollisen seuraamusmaksun määräisi valvontaviranomaisen sijaan tuomioistuin. 

Perustuslakivaliokunta on pitänyt hallituksen esityksessä ehdotetun kaltaista hallinnollista seuraamusmaksua koskevaa päätöksentekomenettelyä perustuslain 21 §:n vastaisena ja katsonut, että hallinnollisesta seuraamusmaksusta päättäminen tulee säätää monijäsenisen toimielimen tehtäväksi. Seuraamusmaksun määräämistä edeltävä asian selvittäminen ja muu valmistelu sekä esittely voidaan osoittaa tietosuojavaltuutetun tehtäväksi. Määräämismenettelyn asianmukaisuutta, riippumattomuutta ja puolueettomuutta perustuslain 21 §:n edellyttämällä tavalla turvaa se, että seuraamusmaksun määräämisestä päättäminen säädetään monijäsenisen elimen toimivaltaan kuuluvaksi. Tällaisen muutoksen tekeminen on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. ( PeVL 14/2018 vp ) 

Myös lakivaliokunta on katsonut, että asetuksessa tarkoitettujen hallinnollisten sakkojen määrääminen on perusteltua kansallisesti osoittaa monijäseniselle toimielimelle ottaen huomioon, että sanktioluonteiset maksut voivat asetuksen nojalla nousta määriltään hyvinkin korkeiksi. Kyse on siten erittäin merkittävästä toimivaltuudesta. Se, millainen toimielin tästä päättää ja millaisessa menettelyssä, on siten erittäin merkityksellistä maksun kohteen oikeusturvan kannalta. Monijäsenisen toimielimen päätöksentekoa puoltaa myös se, että niissä tapauksissa, joissa asetuksen rikkominen kuuluu hallinnollisen sakon piiriin, rikosoikeudellisten seuraamusten käytöstä pääasiallisesti luovutaan, jolloin edes vakavimmatkaan asetuksen rikkomiset eivät tule tuomioistuimen arvioitaviksi. Lakivaliokunta on esittänyt tietosuojalain 9, 23 ja 25 §:ään muutoksia, jotka sen käsityksen mukaan tulisi lakiehdotukseen ainakin tehdä. 

EU:n perusoikeuskirjan 8 artiklan 3 kohdasta ja tietosuoja-asetuksen 51 ja 52 artiklasta seuraa, että hallinnollisista seuraamusmaksuista päättävän monijäsenisen elimen asiantuntemus, riippumattomuus ja puolueettomuus tulee asianmukaisesti varmistaa. Tietosuoja-asetuksesta tulee myös eräitä reunaehtoja valvontaviranomaisen organisoinnille. Vaikka jäsenvaltiot voivat asetuksen 51 artiklan mukaan organisoida valvontaviranomaisen siten, että jäsenvaltiossa on valvontaviranomaisia useampi kuin yksi, asetus ei jätä kansallista harkintamarginaalia valvontaviranomaisen organisoimiseksi siten, että valvontaviranomaisen toimivaltuuksia jaettaisiin useamman viranomaisen kesken. Tämä johtuu siitä, että asetuksen 58 artiklan mukaan jokaisella valvontaviranomaisella on lähtökohtaisesti kaikki asetuksen mukaiset toimivaltuudet. 

Perustuslakivaliokunnan lausuntojen johdosta hallintovaliokunta ehdottaa yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin, että tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, jonka puheenjohtajana toimii tietosuojavaltuutettu. Ehdotus sisältää säännökset päätöksentekomenettelystä. Päätös tehtäisiin esittelystä. 

Perustuslakivaliokunnan lausunnon PeVL 24/2018 vp mukaan hallintovaliokunnan sääntelyratkaisu seuraamusmaksun määräämistä koskevasta päätöksenteosta täyttää pääosin perustuslain 21 §:stä johtuvat vähimmäisvaatimukset eikä sen säätämiselle ole perustuslaista johtuvaa estettä. Perustuslakivaliokunnan mielestä hallintovaliokunnan on kuitenkin vielä tarkasteltava, onko päätöksenteon sitominen esittelyyn mahdollista ulottaa myös joihinkin muihin tietosuoja-asetuksen 58 artiklassa tarkoitettuihin toimivaltuuksiin. 

Tietosuoja-asetuksen 58 artiklan 2 kohta sisältää kaikkiaan 10 erilaista, ns. korjaavaa toimivaltuutta, joista ehkä merkittävimpiä ovat seuraamusmaksun määrääminen ja väliaikaisen tai pysyvän rajoituksen asettaminen henkilötietojen käsittelylle (f-alakohta). Viimeksi mainitun toimivaltuuden tarve voi ilmetä tilanteessa, jossa on nopealla päätöksenteolla estettävä rekisteröityjen oikeuksiin kohdistuvat, välittömästi uhkaavat loukkaukset. Samankaltainen asetelma voi olla käsillä tiedonsiirron keskeyttämisessä kolmanteen maahan (j-alakohta). Päätöksenteon sitominen valtuutetun toimiston esittelijän esitykseen voisi muodostua käytännössä hankalaksi ja rekisteröityjen oikeusturvaa heikentäväksi. Tämän vuoksi hallintovaliokunta ei pidä perusteltuna laajentaa esittelymenettelyä edellyttävän päätöksentekomenettelyn alaa. 

Perustuslakivaliokunta on kiinnittänyt huomiota siihen, että ehdotukseen ei sisälly säännöksiä seuraamuskollegion päätösvaltaisuudesta. Lisäksi se on katsonut, että apulaistietosuojavaltuutetun sijaistamista seuraamuskollegiossa ei ole valtiosääntöoikeudellisesti asianmukaista jättää tietosuojavaltuutetun toimiston työjärjestyksen varaan, jos tarkoituksena on, että tällaiset apulaistietosuojavaltuutetun sijaiset toimisivat myös jäseninä seuraamuskollegiossa. Seuraamuskollegio käyttäisi ehdotuksen mukaan merkittävää julkista valtaa. Tämän johdosta sen kokoonpanon tulee käydä perustuslain 2 §:n 3 momentin ja 119 §:n 2 momentin johdosta ilmi suoraan laista. Sääntelyä on täsmennettävä myös säännöksillä kollegion päätösvaltaisuudesta. Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa näitä koskevat täsmennykset. 

Valvontaviranomaisen organisaation kehittäminen

Vaikka hallintovaliokunnan ehdottama seuraamuskollegiota koskeva sääntely on säädettävissä tavallisen lain säätämisjärjestyksessä, on perustuslakivaliokunta kiinnittänyt lausunnossaan PeVL 24/2018 vp huomiota siihen, että perustuslain kannalta olisi ongelmattomampaa järjestää kansallinen valvontaviranomainen ehdotettua itsenäisemmäksi, esimerkiksi virastomuodossa. Tietosuoja-asetus mahdollistaa ratkaisun, jossa valvontaviranomaiseen kuuluisi useita jäseniä (ks. 53 ja 54 artikla). Tällöin seuraamusmaksun määrääminen ja mahdollisesti jotkin muut toimivaltuudet voitaisiin aidosti osoittaa viraston sisällä monijäseniselle päätöksentekoelimelle. Perustuslakivaliokunta on pohtinut virastomuotoista organisaatiomallia lausunnossaan laajemminkin. 

Myös lakivaliokunta on pitänyt tärkeänä, että jatkossa selvitetään, onko hallinnollisen seuraamusmaksun määräämismenettelyä ja päätöksenteon kokoonpanoa mahdollista vielä kehittää ja vahventaa. Aiheellista olisi selvittää esimerkiksi esityksen valmistelussakin esillä ollutta vaihtoehtoa, jossa valvontaviranomainen organisoitaisiin tietosuojavirastoksi, jossa toimisi sekä tietosuojavaltuutettu että seuraamuslautakunta. Huomioon tulisi tällöin ottaa myös muiden erityisvaltuutettujen asema ja organisoiminen. ( LaVL 5/2018 vp ) 

Virastomuotoa voitaisiin hallintovaliokunnan mielestä pitää henkilöviranomaisorganisaatiota luontevampana ratkaisuna kansalliselle valvontaviranomaiselle myös ottaen huomioon tietosuojavaltuutetun toimiston henkilöresurssien lisäys. Edellytyksenä virastomallissakin on se, että monijäseninen toimielin muodostuu jäsenistöltään sellaiseksi, että tietosuoja-asetuksen vaatimukset itsenäisyydestä ja riippumattomuudesta täyttyvät. Kysymys siitä, millaiseksi valtuutetun rooli olisi perusteltua tällaisessa organisaatiossa muodostaa, on kuitenkin hyvä jättää erikseen tehtävän selvityksen varaan. 

Hallintovaliokunta edellyttää, että hallitus selvittää, tulisiko tietosuojan valvontaviranomaisen organisaatiota kehittää virastomuotoiseksi, ja tarvittaessa valmistelee asiasta lainsäädännön muutokset. Organisaatiota kehitettäessä tulee muiden seikkojen ohella ottaa huomioon hallinnollisten seuraamusmaksujen määrääminen viraston monijäsenisessä toimielimessä ja EU:n tietosuoja-asetuksen vaatimukset valvontaviranomaisen itsenäisyydestä ja riippumattomuudesta. (Valiokunnan lausumaehdotus) 

Oikeusturvaa parantavien muiden menettelytakeiden selvittäminen

Seuraamusmaksun määräämiseen liittyvät menettelyt

Perustuslakivaliokunta lausunnossaan toteaa, että menettelyyn liittyvien oikeusturvajärjestelyiden merkitystä korostaa osaltaan se, ettei tietosuoja-asetuksessa tarkemmin määritellä, minkä suuruisena seuraamusmaksu kussakin tilanteessa tulee määrätä. Asetuksessa asetetaan ainoastaan maksun hyvin korkeat ylärajat ja luetellaan erilaisia tekijöitä, jotka tulee ottaa huomioon hallinnollisia sanktioita määrättäessä (83 artiklan 2 kohta). Perustuslakivaliokunnan mukaan hallintovaliokunnan on tästä syystä tarkoin selvitettävä myös, millaisia muita oikeusturvaa parantavia menettelyyn liittyviä muutoksia hallinnollisesta seuraamusmaksusta päättävän monijäsenisen elimen perustaminen sääntelyyn edellyttää. ( PeVL 14/2018 vp , PeVL 24/2018 vp ) 

Hallintovaliokunta toteaa, että hallinnollisen sakon määräämisen perusteet sekä sakon määräämisessä huomioon otettavat seikat ja käytettävissä oleva harkintavalta on määritelty varsin yksityiskohtaisesti asetuksen 83 artiklassa. Lisäksi Euroopan tietosuojaneuvosto laatii valvontaviranomaisille hallinnollisten sakkojen määräämistä koskevat suuntaviivat, joiden tarkoituksena on edistää tietosuoja-asetuksen yhdenmukaista soveltamista jäsenmaissa.  

Hallinnollisen sakon määräämisessä noudatettavaa menettelyä ei sen sijaan ole säännelty tietosuoja-asetuksessa, koska jäsenvaltion prosessuaalisen autonomian perusteella toimivaltaisten viranomaisten ja niiden soveltaman menettelyn määrittely lailla kuuluu jäsenvaltiolle. Ehdotettuun tietosuojalakiin sisältyvät säännökset päätöksenteosta seuraamusmaksua määrättäessä mukaan lukien äänestysmenettely. Ehdotukseen ei sisälly erityisiä menettelysäännöksiä. Sovellettaviksi tulevat siten hallintolaki ( 434/2003 ) ja muu yleishallinto-oikeudellinen lainsäädäntö.  

Hallintolakiin sisältyvät yleiset menettelyllisiä oikeusturvatakeita koskevat säännökset ovat varsin kattavia. Hallintolaissa säädetään muun muassa neuvonnasta, oikeudesta käyttää asiamiestä ja avustajaa, viranomaisen selvittämisvelvollisuudesta, selvitysten pyytämisestä ja asiakirjan täydentämisestä, kuulemisesta ja siihen liittyvästä menettelystä, suullisesta selvittämisestä ja todistelusta, katselmuksesta ja tarkastuksesta, tulkitsemisesta ja kääntämisestä samoin kuin päätöksen muodosta, sisällöstä, perustelemisesta ja valitusosoituksesta. Hallintomenettelyssä noudatetaan virallisperiaatetta. 

Seuraamusmaksua koskevasta päätöksestä olisi valitusoikeus. Esityksen mukaan tietosuojavaltuutetun päätökseen saa tietosuojalain 23 §:n perusteella hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Seuraamusmaksupäätös olisi täytäntöönpanokelpoinen vain lainvoimaisena. Hallintovaliokunta pitää sääntelyä lähtökohtaisesti asianmukaisena. Ehdotettu hallinnollisen seuraamusmaksun määräämismenettely tulee kuitenkin ottaa huomioon muutoksenhakusäännöksissä. Lisäksi sääntelyä on tarpeen teknisesti selkeyttää. Valiokunta viittaa yksityiskohtaisissa perusteluissa tarkemmin esitettyyn. 

Ehdotus sisältää säännökset seuraamusmaksun vanhentumisesta. Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Lakivaliokunta on lausunnossaan todennut, että vanhentumisaika on pitkä, mutta sitä voidaan pitää perusteltuna asetuksen tehokkaan täytäntöönpanon varmistamiseksi. Ehdotus myös vastaa finanssimarkkinoiden valvontaa sekä rahanpesun ja terrorismin estämistä koskevia säädöksiä, jotka myös mahdollistavat ankarat hallinnolliset seuraamusmaksut. Lisäksi on otettava huomioon, että asetuksen rikkomiset voivat olla hyvinkin laajoja, vakavia ja oikeudellisesti monimutkaisia ja ne voivat tulla valvontaviranomaisen tietoon pitkänkin ajan kuluttua. Sen vuoksi on tärkeää, että asian selvittämiseen ja seuraamusmaksun määräämiseen on riittävästi aikaa. Tietosuoja-asioissa rikkomukset tai laiminlyönnit voivat kuitenkin olla paitsi kertaluonteisia myös jatkuvia, mitä säännöksessä ei ole otettu huomioon. Hallintovaliokunta ehdottaa säännöstä tältä osin täydennettäväksi yksityiskohtaisissa perusteluissa esitetyllä tavalla. 

Tietosuojalakiin ei sisälly säännöksiä hallinnollisen seuraamusmaksun täytäntöönpanokelpoisuudesta, mistä seuraa, että täytäntöönpanokelpoisuus määräytyy hallintolainkäyttölain ( 586/1996 ) mukaan. Valvontaviranomaisen päätös hallinnollisesta seuraamusmaksusta on siten täytäntöönpanokelpoinen, kun päätös on saanut lainvoiman. Lakivaliokunta on pitänyt ratkaisua kannatettavana ottaen huomioon hallinnollisten seuraamusmaksujen sanktioluonteisuus ja ankaruus. Hallintolainkäyttölain perusteella hallinto-oikeuden päätös on sen sijaan pantavissa täytäntöön ilman lainvoimaa, jollei korkein hallinto-oikeus kiellä sitä. 

Kun valvontaviranomaisen päätös koskee muuta kuin hallinnollista seuraamusmaksua, päätöksessä voidaan tietosuojalain 23 §:n 3 momentin mukaan kuitenkin määrätä, että sitä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. Hallituksen esityksen perustelujen mukaan tällä on tarkoitus varmistaa se, että valvontaviranomaisella on tehokkaat keinot puuttua lainvastaiseen henkilötietojen käsittelyyn. Hallintovaliokunta pitää tätä perusteltuna. 

Hallituksen esityksen mukaan seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa ( 672/2002 ). Lakivaliokunta on arvioinut kyseisessä laissa säädetyn menettelyn soveltuvan lähtökohtaisesti sellaisenaan asetuksen 83 artiklassa tarkoitetun hallinnollisen seuraamusmaksun täytäntöönpanoon. Kyseinen laki koskee myös muiden lakien perusteella määrättyjen vastaavien hallinnollisten seuraamusmaksujen täytäntöönpanoa. Perusteltuna voidaan pitää myös sitä, että sakon täytäntöönpanosta annettuun lakiin lisätään hallituksen esityksessä ehdotetuin tavoin (3. lakiehdotus) säännös, jonka mukaan asetuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu pannaan täytäntöön kyseisessä laissa säädetyssä järjestyksessä. 

Hallituksen esitykseen ei sisälly säännöksiä hallinnollisen seuraamusmaksun täytäntöönpanon vanhentumisesta. Yleissäännöksiä asiasta ei tällä hetkellä ole. Erityislainsäädäntöön tällaisia säännöksiä kuitenkin sisältyy, ja niiden perusteella tavanomainen vanhentumisaika on viisi vuotta. Hallintovaliokunta katsoo lakivaliokunnan tavoin, että vastaavanlaisen erityissäännöksen sisällyttäminen tietosuojalakia koskevaan ehdotukseen on perusteltua, ja viittaa yksityiskohtaisissa perusteluissa esitettyyn. 

Hallinnollisen seuraamusjärjestelmän ja rikosoikeudellisen seuraamusjärjestelmän välisen suhteen arviointia

Tietosuoja-asetuksessa säädetty seuraamusjärjestelmä merkitsee kansallisesti merkittävää muutosta myös siinä suhteessa, että asetuksen seuraamukset perustuvat vahvasti kansallisen valvontaviranomaisen määräämiin hallinnollisiin seuraamuksiin. Nykyinen kansallinen järjestelmämme perustuu sen sijaan tuomioistuimen määräämiin rikosoikeudellisiin seuraamuksiin. 

Koska seuraamusjärjestelmä perustuu vastaisuudessa lähtökohtaisesti suoraan asetuksen 83 artiklan mukaisiin hallinnollisiin sakkoihin ja artikla kattaa laajasti asetuksen vastaisen menettelyn, hallituksen esityksessä katsotaan, ettei nykyisen rikoslain 38 luvun 9 §:n mukainen hyvin laaja kriminalisointi ole enää perusteltu. Hallituksen esityksessä ehdotetaan sen vuoksi, että nykyinen kriminalisointi kumotaan ja korvataan sellaisella rangaistussäännöksellä, jonka mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä. Esityksen mukaan rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. 

Lakivaliokunta on kiinnittänyt huomiota siihen, että hallituksen esityksen perusteluista saa sellaisen kuvan, että rikosoikeudellinen vastuu koskee jatkossa vain tilanteita, joissa lainvastainen menettely ei kuulu asetuksessa säädetyn hallinnollisen sakon soveltamisalaan ja joissa henkilön ei voida katsoa toimineen rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Toisin sanoen niissä tapauksissa, joissa kyse on asetuksen tarkoittamasta rekisterinpitäjästä tai henkilötietojen käsittelijästä, jonka lainvastainen menettely kuuluu asetuksessa tarkoitetun hallinnollisen sakon piiriin, rikosoikeutta ei käytetä lainkaan. Asetuksen tarkoittamia hallinnollisia sakkoja ja rikosoikeudellista järjestelmää ei tällöin miltään osin käytettäisi päällekkäin. Valiokunnan näkemyksen mukaan tämä pitää paikkansa kuitenkin vain osittain. Tämä johtuu siitä, että tietosuoja-asetuksessa tarkoitettu rekisterinpitäjä ja henkilötietojen käsittelijä on rajattu henkilötietojen hankkimista, luovuttamista ja siirtämistä koskevan ehdotetun rikoslain 38 luvun 9 §:n 1 momentin soveltamisalan ulkopuolelle, mutta ei kyseisen tietoturvaloukkauksia koskevan 2 momentin ulkopuolelle. Jälkimmäinen rangaistussäännös on tekijäpiiriä koskevalta soveltamisalaltaan yleinen. 

Saamaansa selvitystä kokonaisuutena arvioituaan lakivaliokunta on kuitenkin päätynyt pitämään perusteltuna sitä, että nyt käsillä olevan EU-asetuksen soveltamisalalla siirrytään mahdollisimman laaja-alaisesti käyttämään pelkästään asetuksen hallinnollisia seuraamuksia, koska hyvin merkittävä osa sääntelystä — myös seuraamusjärjestelmän osalta — tulee suoraan asetuksesta ja asetus edellyttää hallinnollisten sakkojen määräämistä siinä säädetyissä tapauksissa. Ottaen huomioon, että asetus mahdollistaa hyvinkin ankarien hallinnollisten sakkojen määräämisen, vakavienkaan tietosuoja-asetuksen rikkomisten saattaminen rikosoikeudellisen järjestelmän piiriin ei käsillä olevassa sääntelytilanteessa ole välttämätöntä eikä tarpeellista. Lakivaliokunta on korostanut, ettei dekriminalisointi tässä tapauksessa merkitse sitä, että suhtautuminen rangaistaviksi säädettyihin tekoihin olisi lieventynyt, eikä sitä, että teot jäisivät jatkossa ilman seuraamuksia. Lisäksi on otettava huomioon, että sellainen sääntelytapa, jossa hallinnollinen ja rikosoikeudellinen seuraamusjärjestelmä eivät ole päällekkäisiä, on sekä lainsäädännön että käytännön kannalta selkeä ja takaa varmimmin sen, ettei kaksoisrangaistavuuden kieltoa (ne bis in idem) rikota. 

Mainittua lähtökohtaa ei kuitenkaan ole voitu toteuttaa hallituksen esityksessä yhtenäisesti. Lakivaliokunnan näkemyksen mukaan se, että henkilötietojen turvallisuutta loukkaavat teot ovat sekä asetuksen tarkoittamien hallinnollisten sakkojen että rikosoikeudellisten seuraamusten piirissä, monimutkaistaa sääntelyä ja vaikeuttaa säännösten soveltamista. Saamansa selvityksen valossa ja ottaen huomioon päällekkäisyyden kapea-alaisuus ehdotettu sääntelytapa on kuitenkin lakivaliokunnan mielestä hyväksyttävä. 

Itsekriminointisuoja

Siirtyminen rikosoikeuden käytöstä hallinnollisiin seuraamuksiin ei merkitse sitä, että Euroopan ihmisoikeussopimuksen ja perustuslain oikeudenmukaisen oikeudenkäynnin takeet ja syytetyn vähimmäisoikeudet olisivat hallinnollisen seuraamuksen määräämistä koskevassa menettelyssä merkityksettömiä. Itsekriminointisuojan keskeisenä sisältönä on oikeus olla rikosasiassa todistamatta itseään vastaan ja oikeus olla myötävaikuttamatta oman syyllisyyden toteamiseen. Suoja kuuluu perustuslain 21 §:ssä turvatun oikeudenmukaisen oikeudenkäynnin takeisiin (ks. PeVL 39/2014 vp , s. 4/I ja HE 309/1993 vp , s. 74/II). Myös Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä itsekriminointisuojan on katsottu kuuluvan Euroopan ihmisoikeussopimuksen 6 artiklan 1 kohdassa turvatun oikeudenmukaisen oikeudenkäynnin ydinalueelle (esim. Saunders v. Yhdistynyt kuningaskunta, 17.12.1996). Itsekriminointisuojan keskeisimmät soveltamistapaukset ovat oikeuskäytännössä koskeneet rikoksen esitutkintaa ja rikosoikeudenkäyntiä, mutta joissain tilanteissa itsekriminointisuojan on katsottu ulottuvan myös muihin tilanteisiin, joissa kyse ei ole rikosoikeudellisista seuraamuksista. 

Lakivaliokunnan mukaan itsekriminointisuoja ei sinällään estä lainsäätäjää antamasta hallinnollista ilmoitusvelvollisuutta koskevia säännöksiä, mutta itsekriminointisuoja saattaa eräissä tapauksissa olla merkityksellinen arvioitaessa ilmoitusvelvollisuuden noudattamista. Valiokunta on kiinnittänyt huomiota muun muassa tietosuoja-asetuksen 33 artiklaan, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta valvontaviranomaiselle. Ilmoitusvelvollisuuden tekemättä jättämisestä voidaan asetuksen mukaan määrätä hallinnollinen seuraamusmaksu tai sen sijaan antaa esimerkiksi huomautus. Lakivaliokunnan käsityksen mukaan ilmoitusvelvollisuuteen sovellettavia seuraamussäännöksiä on tällöin tulkittava itsekriminointisuojan kanssa yhteensopivasti ottaen huomioon muun muassa Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö. Viime kädessä asian arvioiminen jää tuomioistuimen ratkaistavaksi. 

Lakivaliokunta on lausunnossaan kiinnittänyt huomiota myös tietosuojalain 22 §:ään, joka sisältää säännökset uhkasakosta. Sääntelyyn liittyviä, itsekriminointisuojaa koskevia näkökohtia käsitellään tarkemmin jäljempänä pykälän yksityiskohtaisissa perusteluissa. 

Rekisteröidyn oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja muutoksenhaku

Ehdotetun tietosuojalain 21 §:n mukaan rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Tietosuojavaltuutetun päätökseen saa tietosuojalain 23 §:n mukaan hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. 

Ehdotettujen säännösten tarkoituksena on antaa tietosuoja-asetuksen oikeussuojakeinoja koskevia säännöksiä täydentävät kansalliset säännökset. Asetuksen 77 artiklassa säädetään rekisteröidyn oikeudesta tehdä valitus valvontaviranomaiselle, 78 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin valvontaviranomaisen päätöstä vastaan ja 79 artiklassa rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan. 

Hallituksen esityksessä valvontaviranomaisen päätökseen ei ehdoteta oikaisuvaatimusmahdollisuutta, vaan ensimmäisen oikeussuojakeinon muodostaa varsinainen muutoksenhaku hallinto-oikeuteen. Lakivaliokunta on pitänyt sääntelyä perusteltuna, sillä oikaisuvaatimusmenettelyä ei ole tarkoitettu pakolliseksi vaiheeksi kaikkiin hallintoasioihin eikä se sovellu kaikkiin hallintoasioihin. Tässä tarkoitetut valvontaviranomaisen päätökset ovat luonteeltaan erityisen laillisuusvalvontaviranomaisen yksittäisessä valvonta-asiassa antamia hallintopäätöksiä, jotka kyseinen valvontaviranomainen on asian huolellisen selvittämisen ja erityisasiantuntemukseensa perustuvan oikeudellisen harkinnan perusteella antanut. Tällaiset päätökset eivät tyypillisesti ole yksinkertaisia tai esimerkiksi sillä tavoin massaluonteisia, että niiden alistaminen saman viranomaisen tarkempaan tarkasteluun oikaisuvaatimusmenettelyssä olisi perusteltua tai tarkoituksenmukaista. 

Lakivaliokunnalla ei ole ollut huomauttamista myöskään valitusluvan edellyttämiseen jatkovalituksen yhteydessä. Ehdotettu säännös vastaa yleistä linjausta korkeimman hallinto-oikeuden aseman kehittämisestä. Lisäksi lausunnossa todetaan, että valvontaviranomaisen muutoksenhakuoikeutta puoltaa kyseisen viranomaisen tehtävä valvoa yleisen tietosuoja-asetuksen noudattamista samoin kuin tarve varmistaa oikeuskäytännön yhtenäisyys. Nämä seikat puoltavat lakivaliokunnan mukaan myös sitä, että viranomaisen muutoksenhakuoikeus on avoin, vaikkakin on oletettavaa, että käytännössä valvontaviranomaisen intressi valittaa hallinto-oikeuden päätöksestä koskee sellaisia tilanteita, joissa hallinto-oikeus muuttaa valvontaviranomaisen päätöstä tai kumoaa sen. 

Saamansa selvityksen perusteella hallintovaliokunta pitää ehdotettua muutoksenhakusääntelyä asianmukaisena. Ehdotukset seuraamusmaksun määräävästä monijäsenisestä elimestä aiheuttavat kuitenkin muutostarpeita muutoksenhakusäännöksiin. Lisäksi sääntelyä on tarpeen lakiteknisesti selkeyttää. 

Rekisteröidyn oikeus saattaa asia muun kuin tietosuojavaltuutetun käsiteltäväksi

Tietosuoja-asetuksen 79 artiklassa säädetään rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan tämän oikeuden kuitenkaan rajoittamatta muun muassa 77 artiklaan perustuvaa oikeutta tehdä valitus valvontaviranomaiselle. Artiklan 2 kohdan mukaan kanne rekisterinpitäjää tai henkilötietojen käsittelijää vastaan on nostettava sen jäsenvaltion tuomioistuimissa, jossa rekisterinpitäjällä tai henkilötietojen käsittelijällä on toimipaikka. Esitettyyn tietosuojalakiin ei sisälly erityisiä säännöksiä mainituista seikoista. 

Asetuksen 79 artikla on suoraan sovellettava säännös. Rekisteröity voi näin ollen vedota oikeuksiensa tueksi suoraan kyseiseen säännökseen. Lakivaliokunta lausunnossaan toteaa, että asetuksen säännös ei myöskään vaikuta jättävän mahdollisuutta kansallisesti rajoittaa rekisteröidyn mahdollisuuksia kääntyä myös muiden tahojen kuin tietosuojavaltuutetun puoleen, vaikkakin käytännössä luontevampi tapa on kääntyä tietosuojavaltuutetun puoleen. 

Suomen oikeusjärjestelmä sisältää jo nykyisin keinoja, joiden voidaan katsoa täyttävän 79 artiklan mukaiset rekisteröidyn oikeudet tehokkaisiin oikeussuojakeinoihin. Esimerkiksi silloin, kun rekisterinpitäjä tai henkilötietojen käsittelijä on muu kuin viranomainen, estettä ei ole sille, etteikö rekisteröity voi saattaa henkilötietojen käsittelyä koskevan asian riita-asiana käräjäoikeuden käsiteltäväksi. Kyse voi olla velvoittamiskanteesta tai vahvistuskanteesta. Rekisteröity voi velvoittamiskanteella vaatia rekisterinpitäjää toteuttamaan tietosuoja-asetuksen mukaisia oikeuksia, kuten rekisteröidyn tiedonsaantioikeus. Tuomioistuimen velvoittamiskanteen johdosta antama tuomio voidaan panna täytäntöön ulosottomenettelyssä. Rekisteröity voi nostaa henkilötietojen käsittelyä koskevassa asiassa myös vahvistuskanteen, joka voi koskea esimerkiksi sopimusehdon pätevyyttä. Lisäksi rekisteröity voi saattaa tietosuoja-asetuksen vahingonkorvausta koskevan 82 artiklan mukaisen vaatimuksen vireille käräjäoikeudessa. 

Jos rekisterinpitäjä on viranomainen, rekisteröity voi valittaa viranomaisen rekisterinpitäjänä tekemästä hallintopäätöksestä hallinto-oikeuteen. Lakivaliokunnan käsityksen mukaan viranomaisen tekemä hallintopäätös voi koskea myös henkilötietojen käsittelyä, ja tarvittaessa rekisteröity voi pyytää asiasta hallintopäätöksen, josta valituksen voi tehdä. 

Hallintovaliokunta yhtyy lakivaliokunnan esittämiin näkemyksiin. 

Toisiinsa liittyvät menettelyt

Käytännössä on mahdollista, että tietosuoja-asetuksen rikkominen on samanaikaisesti vireillä valvontaviranomaisella ja tuomioistuimessa. Kyse voi olla esimerkiksi siitä, että rekisteröity vaatii vahingonkorvausta kanteella tuomioistuimessa, koska valvontaviranomaisella ei ole toimivaltuuksia määrätä tällaisia korvauksia. Tällöin kyse olisi samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta tietosuoja-asetuksen tai tietosuojalain väitetystä rikkomisesta. 

Ehdotetun sääntelyn valossa ei lakivaliokunnan mielestä ole selvää, miten tällaisten toisiinsa liittyvien rinnakkaisten menettelyjen suhteen toimitaan. Lakivaliokunnan näkemyksen mukaan tietosuojavaltuutetulle voidaan säätää mahdollisuus keskeyttää sillä vireillä olevan asian käsittely, jos se on vireillä tuomioistuimessa. Asian keskeyttäminen ei merkitse asian käsittelyn lopettamista, vaan tietosuojavaltuutettu voi jatkaa käsittelyä myöhemmin. Vastaavanlainen säännös sisältyy rikosasioiden tietosuojadirektiivin kansallista täytäntöönpanoa koskevaan hallituksen esitykseen ( HE 31/2018 vp , 1. lakiehdotuksen 57 §). 

Saamansa selvityksen perusteella hallintovaliokunta katsoo, että tietosuojalain 21 §:ää on selvyyden vuoksi aiheellista täydentää mainitunlaisella keskeyttämistä koskevalla säännöksellä, ja viittaa yksityiskohtaisissa perusteluissa esitettyyn. 

Viivästysvalitus

Tietosuoja-asetuksen 78 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa 77 artiklan nojalla tehdyn valituksen etenemisestä tai ratkaisusta. Tietosuojalakiehdotukseen ei sisälly nimenomaisia säännöksiä tällaisista oikeussuojakeinoista. 

Lakivaliokunta on lausunnossaan tarkastellut, olisiko tarvetta säätää erityisestä tuomioistuimelle tehtävästä viivästysvalituksesta. Valiokunta katsoo, ettei asemaltaan itsenäisen valvontaviranomaisen toiminnan valvonta asetuksen tarkoittamalla tavalla kuulu luontevasti tuomioistuimille. Tarkoituksenmukaista ei myöskään ole ottaa käyttöön erityistä viivästysvalitusta pelkästään tietosuoja-asetuksen tarkoittamia asioita varten. Valiokunta myös katsoo, että jo nykyinen kantelumahdollisuus ylimmille laillisuusvalvojille on tehokas oikeussuojakeino, sillä niiden tehtävänä on ryhtyä kantelun johdosta tarvittaviin toimenpiteisiin. Ne voivat myös nostaa syytteen taikka määrätä suoritettavaksi esitutkinnan. Ne voivat myös tehdä viranomaiselle esityksen virheen oikaisemiseksi tai epäkohdan korjaamiseksi tai hyvittämiseksi. Edellä esitetyn valossa lakivaliokunta on puoltanut hallituksen esittämää ratkaisua. Hallintovaliokunta arvioi esille tuotuja näkökohtia samoin ja pitää hallituksen esityksessä ehdotettua ratkaisua perusteltuna. 

Yhteenveto

Perustuslakivaliokunta on edellyttänyt lausunnossaan, että hallintovaliokunta selvittää, millaisia muita oikeusturvaa parantavia menettelytakeita seuraamusmaksusta päättävän monijäsenisen elimen perustaminen sääntelyyn edellyttää. Hallintovaliokunnan näkemyksen mukaan käsillä olevassa ehdotuksessa on hallituksen esitys, lakivaliokunnan lausunto ja muu asiassa saatu selvitys huomioiden huolehdittu muiltakin osin oikeusturvaa parantavista menettelyistä. Näistä keskeisimpinä voidaan mainita muun muassa äänestysmenettelyn sääntely, muutoksenhakuoikeus seuraamusmaksupäätöksestä, seuraamusmaksun ja sen täytäntöönpanon vanhentuminen, päätöksen täytäntöönpanokelpoisuus lainvoimaisena, hallinnon yleislakien soveltaminen menettelyyn, viranomaisen selvitysvastuu ja näyttövelvollisuus, tietosuoja-asetukseen perustuva seuraamusmaksun oikeasuhtaisuus sekä syyttömyysolettaman, kaksoisrangaistavuuden kiellon ja itsekriminointisuojan noudattaminen. Lisäksi mietinnössä ehdotetaan sääntelyyn selkeytyksiä ja terminologian täsmentämistä. Oikeusturvanäkökohtien kannalta tärkeitä ovat myös rangaistussäännöksiin tehtävät tarkennukset. 

Ylimmän laillisuusvalvonnan asema suhteessa valvontaviranomaiseen

Perustuslakivaliokunta on kiinnittänyt huomiota tietosuoja-asetuksen soveltamisen valvonnassa ylimmän laillisuusvalvonnan asemaan. Valtioneuvoston oikeuskansleri ja eduskunnan oikeusasiamies ovat perustuslain mukaan tehtäviltään ja toimivallaltaan toisiinsa nähden rinnasteisia laillisuusvalvontaviranomaisia. Perustuslain esitöissä puhutaan oikeuskanslerista ja oikeusasiamiehestä nimenomaan ylimpinä laillisuusvalvontaviranomaisina ( HE 1/1998 vp , s. 165—166). Perustuslain mukaan kummankin laillisuusvalvojan yleisenä laillisuusvalvontatehtävänä on valvoa, että tuomioistuimet ja muut viranomaiset sekä virkamiehet, julkisyhteisöjen työntekijät ja muutkin julkista tehtävää hoitaessaan noudattavat lakia ja täyttävät velvollisuutensa. Tehtäväänsä hoitaessaan laillisuusvalvojat valvovat perustuslain mukaan perusoikeuksien ja ihmisoikeuksien toteutumista. Tietosuoja-asetus ja ehdotettu tietosuojalaki ovat jatkossa osa oikeusjärjestystä, jonka noudattamista ylimmät laillisuusvalvojat valvovat. Laillisuusvalvojien perustuslaillisiin tehtäviin kuuluu myös yksityiselämän ja henkilötietojen suojaa koskevien perus- ja ihmisoikeuksien toteutumisen valvonta. Lausunnossa myös todetaan, että ylimpien laillisuusvalvojien virkatointen lainmukaisuuden tutkiminen ja niiden toiminnan valvonta on suoraan perustuslaissa säädetty eduskunnan ja sen perustuslakivaliokunnan tehtäväksi. 

Perustuslakivaliokunnan mielestä ylimpien laillisuusvalvojien valtiosääntöinen asema ja tehtävät sekä laillisuusvalvonnan valtiosääntöinen kokonaisuus eivät mahdollista asteellisesti alemman tietosuojavaltuutetun ylimpiin laillisuusvalvojiin kohdistuvaa valvontaa. Tällaisen rajauksen on ilmettävä myös tietosuojalain säännöksistä nimenomaisesti. 

Perustuslakivaliokunnan mukaan on kuitenkin sinänsä selvää, että Euroopan unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin lainsäädäntö on ensisijaista suhteessa kansallisiin säännöksiin oikeuskäytännössä määriteltyjen edellytysten mukaisesti (ks. PeVL 20/2017 vp , s. 6 ja PeVL 51/2014 vp , s. 2/II) eikä suomalaisessa lainsäädännössä ole syytä pyrkiä EU-oikeuden kanssa ristiriidassa oleviin ratkaisuihin ( PeVL 26/2017 vp , s. 42). Valiokunnan käsityksen mukaan on myös selvää, että tietosuoja-asetuksen sääntely ei sanamuotonsa puolesta vaikuttaisi mahdollistavan tällaisen rajauksen säätämistä. 

Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan mukaan unioni kunnioittaa jäsenvaltioiden tasa-arvoa perussopimuksia sovellettaessa sekä niiden kansallista identiteettiä, joka on olennainen osa niiden poliittisia ja valtiosäännön rakenteita, myös alueellisen ja paikallisen itsehallinnon osalta. Perustuslakivaliokunnan käsityksen mukaan säännös ilmentää lähtökohtaa siitä, ettei EU:n aineellisen oikeuden voi katsoa kyseenalaistavan jäsenvaltioiden valtiosääntöistä institutionaalista julkisen vallankäytön rakennetta. Perustuslakivaliokunnan käsityksen mukaan on kuitenkin selvää, että kansallista valtiosäännön rakenteisiin kiinnittyvää identiteettiä koskeva sopimusmääräys voi muodostaa vain kapeasti sovellettavissa olevan oikeasuhtaisen perusteen poiketa EU-oikeuden täysimääräisestä soveltamisesta. 

Oikeasuhtaisuusarviossa olennaista perustuslakivaliokunnan käsityksen mukaan on, että nyt käsillä olevassa tilanteessa kyse ei ole aineellisesta ristiriidasta perustuslain sisällön ja EU:n oikeuden välillä. Kysymys on sen sijaan siitä, että unionin oikeus johtaa sellaiseen ristiriitaan Suomen perustuslain institutionaalisten ratkaisujen kanssa, jota tietosuoja-asetuksessa ei ole nimenomaisesti tavoiteltu. Valiokunnan mielestä olennaista on, että ylimpien laillisuusvalvojien osalta tehtävät soveltamisalan rajaukset eivät vaaranna tietosuoja-asetuksen johdannon mukaisia oikeussuojan ja tehokkaan valvonnan tavoitteita eivät unionin tuomioistuimen oikeuskäytännössä todettuja tietosuojaviranomaisten toiminnan perimmäisiä tavoitteita. 

Viimekätinen toimivalta Euroopan unionista tehdyn sopimuksen 4 artiklan 2 kohdan, tietosuoja-asetuksen sekä näiden keskinäisen suhteen tulkintaan on EU-tuomioistuimella. Perustuslakivaliokunta kuitenkin katsoo, että tulkinnan ollessa vielä tältä osin epäselvä ei hallituksen esityksessä ole esitetty riittäviä EU-oikeudellisia perusteita tietosuojavaltuutetun valvontavallan ulottamiseen ylimpiin laillisuusvalvojiin. Tietosuojalakiehdotusta on tämän johdosta muutettava siten, että ylimpien laillisuusvalvojien harjoittamaan laillisuusvalvontaan ei kohdistu tietosuojalaissa tarkoitetun valvontaviranomaisen valvontatoimivaltaa. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta ehdottaa perustuslakivaliokunnan lausuntoon viitaten tietosuojavaltuutetun toimivallan rajaamista tarkemmin yksityiskohtaisista perusteluista ilmenevin tavoin. 

Hallinnollisen seuraamusmaksun määrääminen viranomaiselle

Tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin. Hallituksen esityksessä tätä kansallista liikkumavaraa on käytetty ehdottamalla tietosuojalain 25 §:n 2 momentissa, että 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. 

Hallituksen esityksessä säännöstä perustellaan sillä, että viranomaiselle määrättävä hallinnollinen seuraamusmaksu on yleisen oikeusjärjestyksemme kannalta vieras menettely. Oikeusjärjestys kohdistaa julkishallintoon muita erityisvaatimuksia, jotka osaltaan perustelevat tätä sääntelyratkaisua. Viranomaisia sitoo hallinnon lainmukaisuusperiaate, ja viranomaisten on noudatettava hallinnon yleislakeja. Viranomaisissa tapahtuva lainmukainen henkilötietojen käsittely kuuluu viranomaisissa työskentelevien virkavelvollisuuksiin. Virkamiehen asemaan kuuluu muita laajempi vastuu työssä tehdyistä virheistä. Ensinnäkin virkavastuu voi toteutua rikosoikeudellisena virkavastuuna, kurinpidollisena virkavastuuna sekä vahingonkorvausvastuuna. Viranomaisen toiminnasta voidaan tehdä myös hallintokantelu ylemmälle viranomaiselle. Viranomaisten toiminta on budjettisidonnaista, jolloin rahamääräisen seuraamuksen vaikutus ei ole samanlainen kuin yksityisellä sektorilla. Viranomaisen on kaikissa tilanteissa hoidettava lakisääteiset tehtävänsä. 

Hallintovaliokunta katsoo, että ehdotettuun sääntelyyn on esitettävissä perusteita sekä puolesta että vastaan, kuten lakivaliokunnan lausunnostakin ilmenee. Myös hallintovaliokunnan kuulemisissa on kiinnitetty huomiota muun muassa julkisen ja yksityisen sektorin toimijoiden erilaiseen asemaan sanktioriskin suhteen. Tietosuoja-asetuksen kansallinen täytäntöönpano on vielä osassa EU:n jäsenvaltioita kesken, mutta tämänhetkisen tiedon mukaan vaikuttaa siltä, että jäsenvaltioissa ollaan päätymässä liikkumavaran käytössä erilaisiin lopputuloksiin ja että seuraamusjärjestelmät kokonaisuudessaan tulevat pohjautumaan erilaisiin kansallisiin ratkaisuihin. 

Perustuslakivaliokunnalla ei ole huomauttamista hallituksen esityksessä mainittuihin perusteluihin. Valiokunta huomauttaa kuitenkin, että mainittujen seikkojen lisäksi viranomaisille määrättävä hallinnollinen seuraamusmaksu olisi ongelmallinen myös perusoikeusjärjestelmän kokonaisuudessa. Kuten valiokunta on lausunnossaan painottanut, lainsäätäjän tulee turvata perustuslain 10 §:ssä turvatut oikeudet tavalla, jota voidaan pitää hyväksyttävänä perusoikeusjärjestelmän kokonaisuudessa suhteuttamalla yksityiselämän ja henkilötietojen suoja toisiin perus- ja ihmisoikeuksiin. Valiokunnan käsityksen mukaan on ilmeistä, että vain yhden perusoikeuden turvaamisen laiminlyöntiin kohdistuvan määrältään varsin huomattavan seuraamusmaksun uhka voi vaarantaa perusoikeuksien keskinäisen punninnan tasapainoisuuden viranomaistoiminnassa ja johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa. Valiokunnan mielestä seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei olisi sanotuista syistä valtiosääntöisesti ongelmatonta. 

Lakivaliokunta lausunnossaan katsoo, että esityksessä on esitetty useita hyväksyttäviä perusteita sille, että viranomaiset jätetään hallinnollisen seuraamusmaksun ulkopuolelle, minkä vuoksi valiokunta on päätynyt tukemaan esitettyä ratkaisua. Ratkaisua tulisi jatkossa kuitenkin seurata. 

Saamansa selvityksen perusteella hallintovaliokunta puoltaa hallituksen esityksessä esitettyä rajausta yksityiskohtaisissa perusteluissa ehdotetuin eräin tarkennuksin. Hallintovaliokunta painottaa perustuslakivaliokunnan lausuntoon viitaten, että kyse on viranomaistoiminnan rajaamisesta hallinnollisen seuraamusmaksun ulkopuolelle. Toimintaympäristö julkisella sektorilla kehittyy monin tavoin, ja hallintovaliokunta pitää sen vuoksi tärkeänä, että ehdotettua ratkaisua seurataan kiinnittäen huomiota muun ohella viranomaistoiminnan ja muun toiminnan väliseen rajanvetoon. 

Henkilötietojen käsittelyn oikeusperuste

Käsittelyn lainmukaisuus

Henkilötietojen käsittelyn oikeusperusteeseen sovelletaan 25.5.2018 alkaen tietosuoja-asetusta. Tietosuoja-asetuksen 6 artiklan mukaan käsittely on lainmukaista ainoastaan, jos ja vain siltä osin kuin vähintään yksi artiklan 1 kohdassa mainituista edellytyksistä täyttyy. 

Tietosuoja-asetuksen 6 artiklassa annetaan jäsenvaltioille kuitenkin eräiltä osin kansallista liikkumavaraa. Henkilötietojen käsittelyn oikeusperusteesta voidaan säätää jäsenvaltion lainsäädännössä tarkemmin tilanteissa, joissa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (6 artiklan 1 kohdan c alakohta) tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan e alakohta). 

Muilta osin henkilötietojen käsittelyn oikeusperusteesta ei voida antaa tarkempaa tai muutakaan kansallista sääntelyä, vaan käsiteltäessä henkilötietoja esimerkiksi suostumuksen (6 artiklan 1 kohdan a alakohta) tai rekisterinpitäjän oikeutetun edun perusteella (6 artiklan 1 kohdan f alakohta), seuraa henkilötietojen käsittelyn oikeusperuste suoraan tietosuoja-asetuksesta. 

Koska voimassa olevassa henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteista eräiltä osin yksityiskohtaisemmin kuin tietosuoja-asetuksessa, hallintovaliokunnan mielestä on perusteltua, että oikeusperusteita täsmennetään tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Näitä koskevat säännösehdotukset sisältyvät tietosuojalain 4 §:ään. 

Asetuksen 6 artiklassa tarkoitettua kansallista liikkumavaraa voidaan käyttää myös annettaessa kansallista erityissääntelyä. Artiklan 1 kohdan mukaan "käsittely on lainmukaista, jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:". Saadun selvityksen mukaan edellytyksiä artiklan tulkitsemiselle muulla tavoin kuin sen sanamuodon mukaan ei tällä hetkellä ole. Artiklan sanamuodon perusteella henkilötietojen käsittely voisi siten perustua useampaankin 6 artiklassa tarkoitettuun käsittelyn oikeusperusteeseen. Valiokunta huomauttaa, että 1 kohdan c alakohta ja e alakohta voivat olla osin päällekkäisiäkin. Valiokunta korostaa, että useamman kuin yhden henkilötietojen käsittelyn oikeusperusteen käyttäminen ei kuitenkaan voi johtaa siihen, että jäisi epäselväksi, mitä oikeuksia rekisteröidyllä sanotun lain mukaan olisi. Tämän tulee käydä aina selkeästi ilmi ehdotetusta lainsäädännöstä. 

Kulttuuriperintöaineistot

Ehdotetun tietosuojalain 4 §:n 4 kohdan mukaan henkilötietoja saa käsitellä, jos henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden. Sääntelyn tavoitteena on, että oikeustila ei ehdotuksen myötä muutu. Arkistointitarkoituksen voidaan katsoa kattavan myös muuta aineiston käsittelyä kuin säilyttämistä. Pykälän yksityiskohtaisissa perusteluissa todetaan, että ehdotettu henkilötietojen käsittelyperusta sisältää myös mahdollisuuden käsitellä kulttuuriperintöaineistoja siinä tarkoituksessa, että kyseiset aineistot saatetaan käytettäväksi. Rekisterinpitäjän on kuitenkin myös tässä käsittelytarkoituksessa arvioitava, onko käsittely tarpeellista ja oikeasuhtaista sillä tavoiteltuihin päämääriin nähden. Valiokunta toteaa näin olevan jo nykyisin. Rekisterinpitäjän on käsittelyn oikeasuhtaisuutta arvioidessaan otettava huomioon rekisteröidyn oikeudet, käyttötarkoitussidonnaisuus ja muut henkilötietojen käsittelyn yleiset periaatteet. Jos rekisteröidyn oikeuksista on poikettu ehdotetun lain 33 §:n nojalla, on rekisterinpitäjän kiinnitettävä tähän erityistä huomiota arvioidessaan käsittelyn oikeasuhtaisuutta. 

Asiantuntijakuulemisessa hallintovaliokunnan huomiota on kiinnitetty siihen, että tietosuojalakiin tulisi sisällyttää nimenomainen säännös, jonka nojalla kulttuuriperintöorganisaatioilla olisi oikeus saattaa henkilötietoja sisältäviä kulttuuriperintöaineistoja ja niiden kuvailutietoja yleisön saataville. Valiokunta viittaa edellisessä kappaleessa sanottuun ja toteaa lisäksi, ettei voimassa olevaan henkilötietolakiin eikä valiokunnan käsityksen mukaan muuhunkaan säädökseen nykyisin sisälly mainitunlaista nimenomaista säännöstä. Valiokunnan mielestä olennaista on, että oikeustila ei nyt ehdotetun sääntelyn myötä muutu. Valiokunta kuitenkin korostaa digitalisaation kasvavaa merkitystä ja pitää tärkeänä, että modernin yhteiskunnan haasteisiin vastataan kehittämällä verkkopalveluita ja edistetään maantieteellistä tasa-arvoa, tiedon saavutettavuutta ja hyödynnettävyyttä sekä erilaisten kumppanuusmallien käyttöönottoa ja yhteistyötä. Lainsäädännön toimivuutta tässä suhteessa on sen vuoksi syytä arvioida huomioiden samalla henkilötietojen suojaa koskevat vaatimukset. 

Hallintovaliokunta toteaa, että tietosuojalakiin ehdotetuissa arkistointia ja kulttuuriperintöaineistojen käsittelyä koskevissa säännöksissä on kysymys laajasti muustakin henkilötietoja sisältävästä aineistosta kuin esimerkiksi vanhasta valokuva-aineistosta. Säännökset kattavat myös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn. Nämä voivat olla esimerkiksi yksityishenkilöiden kirjeitä tai vankien kanteluita. Esimerkiksi Kansallisarkisto säilyttää laajasti erilaista henkilötietoja sisältävää materiaalia. Lisäksi Suomessa toimii lukuisia yksityisiä ja julkisia tahoja, jotka käsittelevät henkilötietoja ehdotetun tietosuojalain 4 §:n 4 kohdan mukaisissa tarkoituksissa. 

Kulttuuriperintöaineistojen kirjo on laaja, eikä kulttuuriperintöaineisto käsitteenä ole vielä kovin täsmentynyt. Hallituksen esityksen perusteluissa todetaan kulttuuriperintöaineistojen voivan sisältää ihmisten toiminnassa kertyvien, toiminnan historiasta ja merkityksestä kertovien aineistojen lisäksi muun muassa tietoa luonnonperinnöstä ja taiteesta. Kulttuuriperintöaineisto voi olla esimerkiksi asiakirjoja, esineitä, painotuotteita, taideteoksia, luonnontieteellisiä aineistoja, kuvia ja audiovisuaalisia aineistoja sekä dokumenttiaineistoja ja kyselyaineistoja. 

Ehdotetun tietosuojalain 4 §:n 4 kohdassa ja 6 §:n 8 kohdassa tarkoitettua käsittelyä arkistointitarkoituksessa tapahtuu Suomessa ennen kaikkea kirjastoissa, arkistoissa ja museoissa, ja tämä toimintakenttä on hyvin laaja ja epäyhtenäinen, mikä on tullut asiantuntijakuulemisessa esille. Hallintovaliokunta toteaa lisäksi, että mikäli nimenomaisen, aineistojen saattamista yleisön saataville koskevan säännöksen tarkoituksena olisi, ettei kaikkea kokoelmiin kuuluvaa avattaisi avoimeksi verkkoon, tulisi myös tämä huomioida sääntelyn yhteydessä. Sääntelystä tulisi siten ilmetä, keitä ja mitä materiaalia oikeus tiedon saataville saattamiseen voisi koskea. 

Tietosuojalain 31 §:ssä ehdotetaan säädettävän laajoja poikkeuksia rekisteröidyn oikeuksiin, kun henkilötietoja käsitellään ehdotetun 4 §:n 4 kohdan mukaisiin arkistointitarkoituksiin. Ehdotettuja rajauksia rekisteröidyn oikeuksiin voidaan pitää perusteltuna hallituksen esityksestä ilmenevin perustein. Tiedon saataville saattamista koskevaa nimenomaista säännöstä harkittaessa tulisi selvittää muun ohella, millä tavoin nämä ehdotetut rajaukset rekisteröidyn oikeuksiin otettaisiin säännöksessä huomioon ja millä tavoin varmistettaisiin rekisteröidyn oikeuksien ja vapauksien asianmukainen suojaaminen tietosuoja-asetuksen edellyttämällä tavalla. 

Hallintovaliokunta toteaa, että sen ei ole mahdollista suorittaa sellaista perusteellista selvitystyötä, jota tämänkaltainen teknisesti vaativa asiakokonaisuus vaatii. Valiokunta edellyttää, että kulttuuriperintöaineistoja koskevan sääntelyn arviointi digitalisaation kehittymisen ja henkilötietojen suojan vaatimusten kannalta tulee sen vuoksi tehdä erikseen ja ryhtyä sen pohjalta tarvittaessa lainsäädäntötoimenpiteisiin. 

Tieteellisiin ja historiallisiin tutkimustarkoituksiin sekä tilastollisiin tutkimustarkoituksiin liittyvät poikkeukset ja suojatoimet

Tietosuoja-asetuksen 89 artiklan 2 kohdan mukaan, kun henkilötietoja käsitellään tieteellisessä tai historiallisessa tutkimustarkoituksessa taikka tilastollisessa tarkoituksessa, voidaan kansallisella lainsäädännöllä poiketa 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista, jos sovelletaan 89 artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia. Mainitussa 15 artiklassa säädetään rekisteröidyn oikeudesta saada pääsy tietoihin, 16 artiklassa oikeudesta tietojen oikaisemiseen, 18 artiklassa oikeudesta käsittelyn rajoittamiseen ja 21 artiklassa oikeudesta vastustaa käsittelyä. 

Tietosuoja-asetus sisältää jo itsessään merkittäviä suojatoimia rekisteröidyn oikeuksien turvaamiseksi. Esimerkiksi rekisteröity voi saattaa asian valvontaviranomaisen käsiteltäväksi, jos hän epäilee henkilötietoja käsiteltävän tieteellisessä tutkimustarkoituksessa tietosuoja-asetuksen vastaisesti. Tietosuoja-asetuksen mukaan kansallisessa laissa tulee kuitenkin säätää erityisistä suojatoimista tilanteissa, joissa kansallisesti pidetään tarpeellisena poiketa rekisteröidyn oikeuksista. 

Tietosuojalaissa ehdotettuja poikkeuksia voidaan pitää perusteltuina, jotta ei tarpeettomasti vaaranneta tieteellisten ja historiallisten tutkimustarkoitusten toteutumista. Tämä vastaa pitkälti myös nykytilaa, sillä voimassa olevan henkilötietolain 27 §:n nojalla rekisteröidyllä ei ole tarkastusoikeutta, kun henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten. Hallituksen esityksen perustelujen mukaan poikkeaminen rekisteröidyn oikeuksista on kuitenkin mahdollista ainoastaan siltä osin kuin tällaiset oikeudet todennäköisesti estävät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja tällaiset poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. 

Poikkeuksista rekisteröidyn oikeuksiin sekä niihin liittyvistä suojatoimista tieteellisen ja historiallisen tutkimustarkoituksen osalta ehdotetaan säädettävän tietosuojalain 31 §:n 1 momentissa ja tilastollisen tutkimustarkoituksen osalta 2 momentissa. 

Pykälän 3 momentin mukaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä oikeuksista voitaisiin poiketa myös silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja tieteellistä tai historiallista tutkimusta tai tilastointia varten. Sama koskisi tietosuoja-asetuksen 10 artiklassa mainittuja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Erityisiä henkilötietoryhmiä tietosuoja-asetuksen 9 artiklan mukaan ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisten henkilötietoryhmien käsittelyä on myös geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Erityisissä henkilötietoryhmissä on pitkälti kyse tiedoista, joita henkilötietodirektiivissä kutsuttiin arkaluonteisiksi tiedoiksi. Käsiteltäessä 3 momentissa tarkoitettuja tietoja poikkeaminen rekisteröidyn oikeuksista edellyttäisi esityksen mukaan 1 ja 2 momentissa säädetyn lisäksi tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin laatimista. 

Tietosuojalain 31 §:n 3 momentissa ehdotettua vaikutustenarviointia on hallintovaliokunnan asiantuntijakuulemisessa yhtäältä pidetty hallinnollista taakkaa lisäävänä ja katsottu sen voivan joissain tilanteissa vaikuttaa myös kilpailukykyyn. Toisaalta sen toimivuuteen lisäsuojatoimenpiteenä on myös esitetty epäilyjä. Perustuslakivaliokunta puolestaan on kiinnittänyt huomiota siihen, että esimerkiksi historialliseen tutkimukseen voi liittyä täysin säännönmukaisesti sellaisten henkilötietojen käsittely, joista ilmenee asetuksen 9 artiklan mukaisia henkilötietoja, kuten henkilön poliittisia mielipiteitä tai uskonnollinen vakaumus. Tietosuojavaltuutetulle toimitettavan vaikutustenarvioinnin pakollinen liittäminen esimerkiksi tällaiseen tutkimukseen puuttuu perustuslain 16 §:n 3 momentissa turvattuun tieteen vapauteen tavalla, joka ei perustuslakivaliokunnan mielestä ole kaikilta osiltaan oikeasuhtaisuusvaatimuksen mukainen. Perustuslakivaliokunta lausuu, että hallintovaliokunnan on muutettava sääntelyä tietosuoja-asetuksen mahdollistamissa rajoissa siten, että tieteen vapaus tulee paremmin turvatuksi. 

Hallintovaliokunta toteaa, että vaikutustenarviointi voi tulla tehtäväksi jo suoraan tietosuoja-asetuksen nojalla. Vaikutustenarviointi on tietosuoja-asetuksen mukaan tehtävä aina korkean käsittelyriskin tapauksissa. Hallintovaliokunta katsoo, että pykälän 1 momentin mukaisia suojatoimia ei kuitenkaan voida pitää yksinään riittävinä toimenpiteinä yleisesti kaikkien erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn osalta oikeuttamaan laajamittaista poikkeamista rekisteröidyn oikeuksista. Tietosuoja-asetuksen johdantokappaleen 51 mukaan asetuksen 9 artiklassa tarkoitettuja henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille. Myös perustuslakivaliokunta on toisaalla lausunnossaan painottanut arkaluonteisten tietojen käsittelyn aiheuttamia uhkia. 

Tietosuojalakiin on kuitenkin mahdollista sisällyttää vaikutustenarvioinnin lisäksi muitakin suojatoimenpiteitä, joiden nojalla rekisteröidyn oikeuksista on mahdollista poiketa. Esimerkiksi tietosuoja-asetuksen 40 artiklan mukaiset tietosuojaviranomaisen hyväksymät käytännesäännöt voivat eräin edellytyksin olla tällainen suojatoimenpide. Hallintovaliokunnan näkemyksen mukaan käytännesääntöjen sisällyttämisellä tietosuojalain 31 §:n 3 momenttiin valinnaisena suojatoimenpiteenä voitaisiin joustavoittaa sääntelyä ja antaa rekisterinpitäjälle valinnanvaraa suojatoimien osalta rekisteröidyn aseman turvaavalla tavalla. Käytännesäännöt keventäisivät myös rekisterinpitäjän ja valvontaviranomaisen hallinnollista taakkaa. Käytännesäännöt on myös mahdollista laatia siten, että kulloinkin kyseessä olevan toimialan erityistarpeet tulevat asianmukaisesti huomioiduiksi. 

Käytännesäännöt voivat koskea myös sellaista henkilötietojen käsittelyä, joka tapahtuu useamman jäsenvaltion alueella. Käsittelyn tapahtuessa useamman jäsenvaltion alueella Euroopan tietosuojaneuvosto antaa lausunnon käytännesäännöistä. Selvityksen mukaan eurooppalaisessa keskustelussa on esitetty huolia tieteellistä tutkimusta koskevan sääntelyn pirstoutumisesta ja sen vaikutuksista rajat ylittävälle tieteelliselle tutkimukselle. Valiokunnan käsityksen mukaan käytännesääntöjen avulla olisi mahdollista vastata osaltaan myös tähän huoleen. 

Edellä todetuista syistä hallintovaliokunta katsoo, että tietosuojalain 31 §:n 3 momenttia on perusteltua täydentää käytännesääntöjä koskevalla säännöksellä jäljempänä yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. 

Hallintovaliokunta kiinnittää vielä erityistä huomiota siihen, että säädettäessä poikkeuksia rekisteröidyn oikeuksista on sääntelyratkaisua tarkasteltava kokonaisuutena. Suomessa henkilötunnuksen laaja-alainen käyttö mahdollistaa sellaisen rekisteripohjaisen tutkimuksen, joka ei ole mahdollista useassa muussa unionin jäsenvaltiossa. Esimerkiksi Saksassa ei ole käytössä vastaavaa henkilötunnusta, jonka avulla rekisteröityjen tietojen laajamittainen yhdistely eri rekistereistä olisi mahdollista. Juuri rekisteripohjainen tutkimus on tyypillisesti luonteeltaan sellaista, jossa yhteydessä on tarpeellista poiketa rekisteröidyn oikeuksista. 

Eri jäsenvaltioiden välillä sääntelyratkaisuissa saattaa olla myös muita eroja, jotka eivät ole havaittavissa ainoastaan tarkastelemalla sitä, millä tavoin rekisteröidyn oikeuksista on ehdotettu säädettävän poikkeuksia. On esimerkiksi mahdollista, että tietosuoja-asetuksen 9 artiklan 4 kohdan nojalla kansallisella lailla on säädetty laajempi henkilötietojen käsittelyä koskeva rajoitus, joka koskee geneettisten tietojen, biometristen tietojen tai terveyttä koskevien tietojen käsittelyä. 

Hallintovaliokunta toteaa lopuksi, että tietosuojalain 13 §:ssä edellytetyt suojatoimet eivät luonnollisestikaan ole tarpeellisia, jos henkilötietojen käsittelyssä ei poiketa rekisteröidyn oikeuksista. Lisäksi on syytä huomata, että rekisteröidyn oikeuksia rajoitetaan tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdassa, 17 artiklan 3 kohdan d alakohdassa ja 21 artiklan 6 kohdassa. Näiden asetuksen kohtien mukaisesti rekisteröidyn oikeuksista voidaan poiketa suoraan asetuksen nojalla. Tietosuoja-asetukseen sisältyvät näiltä osin myös tarvittavat suojalausekkeet. 

Sikäli kuin rekisteröidyn oikeuksista ei ole tarpeen poiketa, kuten usein on kerättäessä tiedot suoraan tutkittavilta ja tutkimusaineiston ollessa pieni, voidaan erityisiin henkilötietoryhmiin kuuluvia tietoja käsitellä myös muiden tietosuoja-asetuksen 9 artiklan 2 kohdan alakohtien nojalla, esimerkiksi nimenomaisen suostumuksen perusteella. 

Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja

Tietosuoja-asetuksen yhtenä tärkeänä tavoitteena on parantaa lasten suojaa henkilötietojen käsittelyssä. Lasten oikeudet korostuvat tietosuoja-asetuksen 8 artiklassa, jossa säädetään tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavista ehdoista, sekä lisäksi useassa tietosuoja-asetuksen johdanto-osan kohdassa (esim. 38, 58, 65 ja 71 kohta) sekä muissa artikloissa (esim. 12, 17 ja 40 artikla). Lisäksi tietosuoja-asetus perustuu monelta osin ns. riskiperusteiselle lähestymistavalle, jossa merkitystä muiden seikkojen ohella voi olla sillä, käsitelläänkö lapsia koskevia tietoja. Hallintovaliokunnan mielestä olisi asian merkitys huomioon ottaen ollut toivottavaa, että tietosuoja-asetuksen ja ehdotetun tietosuojalain lapsivaikutuksia olisi tarkasteltu esityksen yhteydessä laajemmin. 

Tietosuoja-asetuksen 8 artiklan 1 kohdan mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat säätää tätä tarkoitusta koskevasta alemmasta iästä, ikäraja saa kuitenkin alimmillaan olla 13 vuotta. Hallituksen esityksessä ehdotetaan ikärajaksi 13 vuotta (tietosuojalain 5 §). Tätä nuoremman lapsen osalta rekisterinpitäjän olisi tarkistettava, että lapsella on vanhempien suostumus esimerkiksi sosiaalisen median palvelujen käyttämiseen. 

Hallituksen esityksen perustelujen ja saamansa selvityksen perusteella hallintovaliokunta puoltaa ehdotettua 13 vuoden ikärajaa. Selvityksen mukaan ehdotettu ikäraja myös vastaisi pitkälti ainakin Pohjoismaissa muodostumassa olevaa linjaa. Valiokunta toteaa, että ikärajojen asettaminen sinänsä on lähtökohtaisesti varsin haastavaa jo lasten ja nuorten yksilöllisen kehittymisen kannalta. Lasten ja nuorten oikeutta hyödyntää tietoyhteiskunnan palveluita ja osallistua digitaaliseen kulttuuriin ei kuitenkaan pidä rajoittaa tarpeettomasti. Samalla valiokunta tähdentää lisäksi muita toimia, joilla vaikutetaan siihen, että lapset ja nuoret voivat toimia turvallisesti verkkomaailmassa. Valiokunta korostaa muun muassa mediataitojen merkitystä ja verkkopalveluiden ehtojen ymmärrettävyyttä. 

Tietosuoja-asetuksen ja lainsäädännön toimeenpano on eräänlaista tasapainoilua lapsen suojaamisen ja osallistumisoikeuden välillä. Hallintovaliokunta viittaa YK:n lapsen oikeuksien sopimukseen ja pitää tärkeänä, että tietosuojalainsäädännön toimeenpanossa kiinnitetään kattavasti huomiota lasten oikeuksiin ja turvataan niiden laaja-alainen toteutuminen. Lasten ja nuorten itsensä lisäksi muun muassa huoltajat ja lasten kanssa työskentelevät ammattilaiset tarvitsevat tuekseen riittävästi tietoa ja selkeää ohjausta tietosuojalainsäädäntöön liittyen. Myös tietosuojavaltuutetun resursoinnissa tulee huomioida lasten ja nuorten tietosuoja-asioiden erityistuntemus. 

Tietosuojasääntelyn täytäntöönpano

Lakien voimaantulo ja yhtymäkohta hallituksen esitykseen HE 31/2018 vp

Hallituksen esityksessä on ehdotettu, että tietosuojalaki ja sen liitelait tulisivat voimaan 25.5.2018, toisin sanoen samaan aikaan, kun tietosuoja-asetuksen soveltaminen alkaa. Koska ehdotettujen lakien ei ole mahdollista tulla voimaan esitettynä ajankohtana, hallintovaliokunta ehdottaa voimaantulosäännösten jättämistä avoimeksi yksityiskohtaisissa perusteluissa esitetyin tavoin. 

Ehdotetun tietosuojalain 37 §:n 2 momentin mukaan lailla kumotaan henkilötietolaki ( 523/1999 ) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki ( 389/1994 ). Henkilötietolaki on yleislaki, jossa säädetään muun muassa käsittelyn lainmukaisuuden edellytyksistä, valvontaviranomaisen tehtävistä ja toimivallasta sekä rekisteröidyn oikeuksista ja oikeusturvasta. 

Perustuslakivaliokunta on lausunnossaan PeVL 14/2018 vp kiinnittänyt huomiota siihen, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. Valiokunnan mielestä henkilötietolakia ei voi kumota ennen mainitun lain voimaantuloa kokonaisuudessaan, sillä perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan mielestä on selvää, että perustuslain 10 §:n 1 momentin sääntelyvarauksella ilmaistaan lailla säätämisen lisäksi se lähtökohta, että henkilötietojen suojaa koskeva perusoikeus selvästi edellyttää tuekseen tavallista lainsäädäntöä (ks. myös PeVM 25/1994 vp , s. 5/II—6/I). 

Perustuslakivaliokunnan mukaan hallintovaliokunnan on siirtymäsäännöksin varmistettava, että henkilötietojen suojaa koskevan yleislainsäädännön soveltamisala on kattavaa myös ennen poliisidirektiivin toimeenpanoon liittyvän lain voimaantuloa, mikäli tietosuojalakiehdotus hyväksytään ennen sitä. Tällainen muutos on edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Perustuslakivaliokunnan tarkoittamassa hallituksen esityksessä rikosasioiden tietosuojadirektiivin kansallisesta täytäntöönpanosta ( HE 31/2018 vp ) ehdotetut lait on alun perin tarkoitettu tulemaan voimaan 6.5.2018. Esitykseen sisältyvät lakiehdotukset on kuitenkin laadittu lakiteknisesti siitä näkökulmasta, että ne tulevat voimaan samanaikaisesti nyt käsillä olevassa hallituksen esityksessä ehdotettujen lakien kanssa. Hallituksen esitys HE 31/2018 vp on hallintovaliokunnassa parhaillaan samanaikaisesti käsiteltävänä. Hallintovaliokunta toteaa, että suunniteltu etenemisjärjestys on käsillä olevassa tilanteessa mahdollinen, jolloin perustuslakivaliokunnan mainitsemaa ongelmaa ei synny. Mietintöön ei sen vuoksi ehdoteta siirtymäsääntelyä. Hallintovaliokunta toteaa, että lait tulee saattaa voimaan samanaikaisesti, jolloin mitään siirtymäsäännöksiä ei tarvita. 

Ohjeistus, neuvonta ja koulutus

Tarve tietosuojalakia ja yleistä tietosuoja-asetusta koskevalle ohjeistukselle, neuvonnalle ja koulutukselle koskee sekä lainvalmistelua että tietosuojalain ja tietosuoja-asetuksen soveltamista yleisemminkin. Tietosuoja-asetuksesta johtuva erityislainsäädännön tarkistaminen on ministeriöissä monelta osin vielä kesken. Asiantuntijakuulemisen perusteella viranomaisilla, hallinnon asiakkailla, yrityksillä ja kuluttajilla ei välttämättä ole täyttä varmuutta siitä, kuinka henkilötietojen käsittelyä koskevia säännöksiä sovelletaan. Myös välivaihe, ennen kuin erityislainsäädäntö on saatettu ajan tasalle, vaatii ohjeistusta lainsäädännön soveltamiseen ja neuvontaa mahdollisesti havaittaviin normiristiriitoihin. Valiokunta kiinnittää lisäksi erityistä huomioita niiden viranomaisten tilanteeseen, joiden toimintaan sovelletaan osaksi tietosuoja-asetusta ja osaksi rikosasioiden tietosuojadirektiiviä. 

Tietosuoja-asetus on tuonut yrityksille uusia velvollisuuksia ja lisännyt monelta osin myös hallinnollista taakkaa. Tietosuoja-asetuksessa säädetään uusista hallinnollisista seuraamuksista, kuten hallinnollisesta seuraamusmaksusta, joka voi joissain tilanteissa nousta erittäinkin suureksi. Neuvonta ja koulutus, joilla voidaan auttaa yrityksiä mukauttamaan toimintaansa vastaamaan tietosuoja-asetuksen ja tietosuojalain vaatimuksia, on tärkeää. Hallintovaliokunta tähdentää erityisesti pk-yritysten, yhdistysten ja muiden pienten toimijoiden kannalta helppokäyttöisten työkalujen ja ohjeiden laatimista. Myös eri toimialojen sektorikohtainen ohjeistus liittyen esimerkiksi työelämään, terveydenhuoltoon ja suoramarkkinointiin on tarpeen. Tietotarvetta on myös esimerkiksi lapsiin liittyvästä tietosuojasääntelystä. 

Valiokunta toteaa, että tietosuoja-asetuksen yhtenä tavoitteena on vahvistaa kuluttajien luottamusta digitaalisiin palveluihin ja tätä kautta pidemmällä aikavälillä edistää erityisesti pienten ja keskisuurten yritysten liiketoimintamahdollisuuksia. Sen vuoksi on tärkeää, että myös yleistä tietoisuutta tietosuojalainsäädännöstä lisätään. 

Resurssit

Euroopan unionin perusoikeuskirjan 8 artiklasta ilmenee, että riippumattomien tietosuojaviranomaisten harjoittama henkilötietojen suojan toteutumisen valvonta on osa tehokasta oikeutta henkilötietojen suojaan. Tietosuojalainsäädännön hyvin laaja soveltamisala digitalisoituneessa yhteiskunnassa ja sääntelyn vaikeaselkoisuus lisäävät tietosuojaviranomaisten antaman ohjauksen ja neuvonnan merkitystä. Tietosuoja-asetuksen myötä tietosuojavaltuutetun tehtävissä korostuu aikaisempaa enemmän myös EU-ulottuvuus. Tietosuoja-asetuksen 52 artiklan 4 kohta velvoittaa jäsenvaltiot varmistamaan, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen tehtävien suorittamiseksi ja valtuuksien käyttämiseksi tehokkaasti. Hallintovaliokunta toteaa, että resurssitarpeita aiheutuu tietosuoja-asetuksen lisäksi muun muassa rikosasioiden tietosuojadirektiivistä. EU:ssa valmistellaan useita muitakin säädöksiä, joista seuraa velvoitteita kansallisille tietosuojaviranomaisille. Tältä osin voidaan mainita esimerkiksi sähköisen viestinnän tietosuoja-asetus sekä oikeus- ja sisäasioiden eri alojen tietojärjestelmiä koskevat säädösehdotukset. 

Hallintovaliokunta on toistuvasti kiinnittänyt huomiota tietosuojavaltuutetun resurssien vahvistamiseen julkisen talouden suunnitelmista ja valtion talousarvioesityksistä antamissaan lausunnoissa sekä EU:n tietojärjestelmiä ja tietosuojasääntelyn uudistamista koskevissa lausunnoissaan. Vuoden 2018 talousarviossa tietosuojavaltuutetun toimistolle on osoitettu lisärahoitusta 525 000 euroa. Hallituksen esityksen perustelujen mukaan sen lisäksi tarvitaan vuodesta 2019 lähtien tietosuoja-asetuksen täytäntöönpanoon vuotuista lisäystä 675 000 euroa. Perusteluissa esitetyn arvion mukaan tietosuoja-asetuksesta aiheutuu valvontaviranomaisen resursseihin vuodesta 2019 lähtien 16 henkilötyövuoden (htv) tarve, jossa on 8 htv:n lisäys vuoteen 2018 verrattuna. Vuoden 2019 talousarvioesityksessä tietosuojavaltuutetun toimiston määrärahoja ehdotetaankin lisättäviksi. Talousarvioesityksen mukaan tietosuojavaltuutetun toimintaan on arvioitu käytettäväksi 3,244 miljoonaa euroa (25.01.03). Hallintovaliokunta katsoo, että resurssien riittävyyttä tietosuoja-asetuksen täytäntöönpanoon tulee seurata aktiivisesti ja tarpeen vaatiessa tarkistaa. Lisäksi kehyssuunnittelussa tulee huomioida se edellä todettu seikka, että tietosuojavaltuutetun tehtävien arvioidaan lisääntyvän edelleen. Henkilötietojen suojan toteutumisen ja valvonnan tehokkuuden kannalta on välttämätöntä, että tietosuojavaltuutetun toimiston resurssien riittävyys turvataan. 

Uudistuksella on vaikutuksia myös esimerkiksi hallintotuomioistuinten kannalta. Tietosuoja-asetuksen soveltamisen seurauksena hallinto-oikeuksien käsiteltäväksi tulee kokonaan uusia asiaryhmiä, kuten hallinnolliset seuraamusmaksut ja eräät muut valvontaviranomaisen toimivaltuuksien käyttöä koskevat päätökset. Koska kyse on uudesta EU-sääntelystä, josta ei vielä ole oikeuskäytäntöä, asioiden voidaan arvioida olevan keskimääräistä vaikeampia ja niihin liittyvän myös vaikeita tulkintakysymyksiä. Oletettavasti unionin tuomioistuimeen tehdään myös kansallisista tuomioistuimista ennakkoratkaisupyyntöjä tietosuoja-asetukseen liittyvistä kysymyksistä. Taloudellisia vaikutuksia on kuitenkin tässä vaiheessa vaikea ennakoida. On kuitenkin selvää, että kyseessä on hallinto-oikeuksien kannalta muutos, joka vaatii koulutusta, ja työmäärä tulee jonkin verran lisääntymään. Valiokunta pitää tärkeänä, että taloudellisia vaikutuksia tuomioistuinten kannalta seurataan ja niihin reagoidaan ajoissa asianmukaisin resurssein. 

2 §. Soveltamisala.

Pykälän 1 momentin toisessa virkkeessä säädetään tietosuoja-asetuksen soveltamisalan kansallisesta laajennuksesta. Hallintovaliokunta toteaa, että virkkeeseen on tarpeen lisätä maininta myös tämän lain soveltamisesta. Samalla valiokunta ehdottaa kieliasua selkeytettäväksi. 

Perustuslakivaliokunta on edellyttänyt, että eduskunnan valtiopäivätoiminta rajataan pois tietosuojalain soveltamisalalta. Tämän vuoksi hallintovaliokunta ehdottaa, että pykälään lisätään tätä koskeva rajaus uudeksi 2 momentiksi, jonka mukaan tätä lakia ei sovelleta eduskunnan valtiopäivätoimintaan. Hallituksen esitykseen sisältyvästä 2 momentista tulee siten 3 momentti. 

4 §. Käsittelyn lainmukaisuus.

Tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittely on lainmukaista ainoastaan jonkin 6 artiklan 1 kohdan edellytyksen täyttyessä. Tietosuojalain 4 §:ssä ehdotetaan täsmennettävän kansallisen liikkumavaran puitteissa henkilötietojen käsittelyn lainmukaisuutta 6 artiklan 1 kohdan e alakohdan mukaisissa tilanteissa, joissa henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. 

Hallintovaliokunta kiinnittää huomiota pykälän 1 momentin 2 kohtaan, jonka perusteella henkilötietoja saisi käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti muun muassa, jos käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi. Esityksen yksityiskohtaisten perustelujen mukaan säännöksen tarkoituksena on mahdollistaa viranomaisen toimesta tapahtuva henkilötietojen käsittely silloin, kun oikeutta ei voi suoraan johtaa viranomaista koskevasta tehtävä- ja toimivaltasäännöksestä eikä mahdollisesta yksityiskohtaisesta säännöksestä. 

Valiokunta toteaa, että viranomaisen toimivallasta ja tehtävistä säädetään aina erikseen. Viranomaiselle säädetty tehtävä ei luo viranomaiselle toimivaltaa. Vastaavasti henkilötietojen käsittelyn oikeusperusteesta ei voida johtaa viranomaisen toimivaltaa. Esityksen yksityiskohtaisten perustelujen mukaan 2 kohdassa tarkoitettu käsittelyperuste liittyy sellaiseen henkilötietojen käsittelyyn, joka ei johdu viranomaisen lakisääteisestä velvoitteesta, vaan on luonteeltaan viranomaisen velvoitteita ja varsinaisia tehtäviä tukevaa. Tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa säädetään henkilötietojen käsittelyperusteesta, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Saadun selvityksen mukaan c alakohdan oikeusperustaa ei kuitenkaan voida ulottaa koskemaan edellä tarkoitettua henkilötietojen käsittelyä. Tällaiset henkilötietojen käsittelyä sisältävät tukitoimet voivat kuitenkin olla tarpeellisia viranomaisen tehtävän suorittamiseksi. Sen vuoksi tietosuojalaissa on tarpeen säätää käsittelyperusteesta, jonka nojalla henkilötietojen käsittely on mahdollista tällaisia tarkoituksia varten. 

Esimerkkinä voidaan mainita voimassa olevan henkilötietolain 16 §, jonka mukaan viranomainen voi suunnittelua ja selvitystä varten kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin. Säännöstä on pidetty tarpeellisena muun muassa siitä syystä, että viranomaisen suunnittelua ja selvitystä varten tekemä työ voi liittyä sellaiseen yhteiskunnallisen kehityksen myötä syntyneeseen uuteen ilmiöön, johon liittyvien tehtävien hoito ei vielä selvästi kuulu minkään viranomaisen lakisääteisiin tehtäviin. Hallintovaliokunta katsoo, että henkilötietojen käsittelyn näitä tarkoituksia varten tulee olla jatkossakin mahdollista. Lisäksi viranomainen on voinut nykyisin henkilötietolain nojalla käsitellä henkilötietoja muun muassa henkilötietolain 8 §:n 1 momentin 5 kohdassa tarkoitetun yhteysvaatimuksen täyttyessä. Jatkossa tämä ei kuitenkaan ole viranomaiselle mahdollista tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan perusteella. 

Edellä mainituista syistä hallintovaliokunta pitää 1 momentin 2 kohdan mukaisen käsittelyperusteen säätämistä perusteltuna. Sääntely on tärkeä myös rekisteröidyn oikeusturvan kannalta. Mikäli tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdassa tarkoitetun rekisterinpitäjän lakisääteiseen velvoitteeseen nojautuvan käsittelyperusteen katsottaisiin ulottuvan myös viranomaisen tehtäviä koskeviin tukitoimiin, rekisteröidyllä ei olisi oikeutta vastustaa henkilötietojen käsittelyä tietosuoja-asetuksen 21 artiklan mukaisesti. Sen sijaan rekisteröidyllä on kyseinen oikeus, kun käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohtaan. 

6 §. Erityisiä henkilötietoryhmiä koskeva käsittely.

Tietosuoja-asetuksen 9 artiklan 1 kohdassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelykiellosta. Erityisiä henkilötietoryhmiä ovat henkilötiedot, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys. Erityisten henkilötietoryhmien käsittelyä on myös geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely. Artiklan 2 kohdan mukaan kyseisiä tietoja voidaan kuitenkin käsitellä, jos joku 2 kohdan alakohdissa säädetyistä edellytyksistä täyttyy. Osa näistä alakohdista on suoraan sovellettavaa oikeutta, osa edellyttää kansallista lainsäädäntöä. 

Ehdotetussa 6 §:ssä säädettäisiin nykyisen henkilötietolain 12 §:n mukaisista tilanteista, joissa arkaluonteisia henkilötietoja saa käsitellä siltä osin kuin kyseinen henkilötietojen käsittely ei ole mahdollista suoraan tietosuoja-asetuksen 9 artiklan 2 kohdan nojalla. Tässä yhteydessä on kuitenkin tärkeä huomata, että erityisten henkilötietoryhmien käsite ei ole täysin sama kuin nykyisen henkilötietolain 12 §:ssä tarkoitetut henkilötiedot. Tietosuoja-asetus edellyttää lisäksi, että jäsenvaltion lainsäädännössä säädetään tällöin myös asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. 

Hallintovaliokunta toteaa, että säännöksessä on rajattu käsittelytilanteet, rekisterinpitäjä ja käsiteltävät tiedot. Esimerkiksi tietosuoja-asetuksen 4 artiklan 15 kohdan mukaan terveystiedolla tarkoitetaan luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa. Ehdotetun 6 §:n 1 momentin 1 kohdassa määritellään kapeammin tiedot, joita vakuutuslaitoksella on oikeus käsitellä. Vastaavasti ehdotetun 6 §:n 1 momentin 5 kohdassa määritellään asetuksen terveyttä koskevia tietoja kapeammin tiedot, joita sosiaalihuollon palveluntarjoajalla on oikeus käsitellä. Valiokunta toteaa, että erityisiin tietoryhmiin kuuluvien tietojen käsittelyn oikeasuhtaisuus turvataan lainsäädännössä. Käsittelyn oikeasuhtaisuutta varmistaa osaltaan juuri se, että tiedot, joita on oikeus käsitellä, määritellään mahdollisimman tarkkarajaisesti, kuten mainituissa 1 ja 5 kohdassa on esitetty. 

Hallintovaliokunta kiinnittää myös huomiota 1 momentin 2 kohtaan, jonka mukaan tietosuoja-asetuksen 9 artiklan 1 kohdan mukaista erityisiä henkilötietoryhmiä koskevaa käsittelykieltoa ei sovelleta sellaiseen tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. Pykälän yksityiskohtaisissa perusteluissa viitataan tietosuoja-asetuksen 9 artiklan 2 kohdan g alakohtaan, jossa säädetään henkilötietojen käsittelyn edellytykseksi lailla säätämisen ohella myös se, että käsittely on tarpeen tärkeää yleistä etua koskevasta syystä ja oikeasuhtaista tavoitteeseen nähden. Valiokunta korostaa, että säätämisen tarve tärkeää yleistä etua koskevasta syystä ja käsittelyn oikeasuhtaisuus tavoitteeseen nähden tulee arvioida ja perustella kunkin erityislain säätämisen yhteydessä. Tältä osin kyse ei ole tavanomaisesta lainsäätäjän harkinnasta, vaan liittyy tietosuoja-asetuksen oikeudellisesti velvoittavan vaatimuksen toteuttamiseen. 

Tietosuoja-asetuksen edellyttämistä suojatoimista säädettäisiin pykälän 2 momentissa. Ehdotuksen mukaan käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Säännös sisältää lisäksi 11-kohtaisen luettelon tällaisista toimenpiteistä. Pykälän yksityiskohtaisten perustelujen mukaan luettelo ei ole kattava eikä pakottava. Valiokunta katsoo, että luettelo toimii esimerkkiluettelona toimenpiteistä, joita voidaan käyttää suojatoimina. Muutkin suojatoimet ovat mahdollisia. Suojatoimien valintaan vaikuttaa muun muassa se, millaisista henkilötiedoista ja minkälaisesta käsittelystä kulloinkin on kyse. 

Rekisterinpitäjän harkintaan jää ensi vaiheessa sen arvioiminen, millaisia suojatoimenpiteitä henkilötietojen käsittelyyn sisältyvät riskit edellyttävät. Tietosuoja-asetuksen 5 artiklan 2 kohdassa tarkoitetusta osoitusvelvollisuudesta seuraa, että rekisterinpitäjän on kyettävä osoittamaan valittujen suojatoimien asianmukaisuus ja oikeasuhtaisuus. Valiokunnan näkemyksen mukaan rekisterinpitäjällä on paras käsitys juuri kulloinkin kyseessä olevaan henkilötietojen käsittelyyn parhaiten soveltuvista suojatoimista. Lisäksi tietosuoja-asetuksen 37 artiklassa säädetään tietosuojavastaavasta, joka toimii rekisterinpitäjän apuna tietosuojalainsäädännön erityisasiantuntemusta vaativissa kysymyksissä. Valiokunta pitää ehdotettua sääntelyä mahdollisena ja tarkoituksenmukaisena. Selvityksen mukaan vastaava erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä koskeva sääntelyrakenne on omaksuttu myös Saksan henkilötietojen suojaa koskevassa yleislaissa, jonka Saksan parlamentti on hyväksynyt. 

7 §. Rikostuomioihin ja rikkomuksiin liittyvä henkilötietojen käsittely.

Pykälän 1 momentin 1 kohdan mukaan tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Ehdotettu lainkohta vastaa nykyisen henkilötietolain 12 §:n 4 kohtaa. 

Hallintovaliokunta katsoo, että 1 kohdan säännöstä on tarpeen selkeyden vuoksi täydentää siten, että pykälässä tarkoitettuja henkilötietoja on mahdollista käsitellä myös oikeusvaateen selvittämiseksi. Tämä sisältää mahdollisuuden henkilötietojen käsittelyyn, jonka tarkoituksena on selvittää, onko tapahtunut rikkomus, vaikka selvitys ei oikeusvaateen laatimiseen johtaisikaan. 

Lopuksi valiokunta toteaa, että sosiaali- ja terveydenhuoltoalalla henkilöstön ja potilaiden tai asiakkaiden turvallisuuden vuoksi on tietyissä tilanteissa välttämätöntä käsitellä rikostuomioihin ja rikkomuksiin perustuvia henkilötietoja. Myös esimerkiksi lastensuojelutapauksissa sekä lapsen huolto- ja tapaamisriitojen selvittämisessä ja niitä koskevien tuomioiden täytäntöönpanossa on välttämätöntä käsitellä mainittuja tietoja. Voimassa olevaan henkilötietolakiin ei sisälly erityistä tällaisia tilanteita koskevaa käsittelyperustetta. Selvityksen mukaan tällaisista tilanteista ei ole myöskään erityislainsäädäntöä, vaan niiden on katsottu kuuluvan työturvallisuuteen tai sosiaali- ja terveydenhuoltoon liittyviin tehtäviin. Valiokunta toteaa, että ehdotetulla tietosuojalailla ei ole tarkoitus muuttaa nykytilaa. Lisäksi on huomattava, että sosiaali- ja terveydenhuollossa voitaisiin pykälän 1 momentin 2 kohdan nojalla henkilötietoja käsitellä esimerkiksi silloin, kun kyse on tietojen käsittelystä, joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä. 

9 §. Tietosuojavaltuutetun toimisto.

Perustuslakivaliokunnan lausunnon huomioon ottamiseksi ehdotetaan hallinnollisen seuraamusmaksun määräämismenettelyä kehitettäväksi siten, että seuraamusmaksun määräisi tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamuskollegiosta ja hallinnollisen seuraamusmaksun määräämistä koskevasta päätöksenteosta säädettäisiin 24 (25) §:ssä. 

Tämän vuoksi hallintovaliokunta ehdottaa, että nyt käsillä olevan pykälän 1 momenttia täsmennetään niin, että tietosuojavaltuutetun toimistossa olisi vähintään kaksi apulaistietosuojavaltuutettua. Tällä muutoksella voidaan varmistaa se, että apulaistietosuojavaltuutettuja on vähimmäismäärä seuraamuskollegion muodostamiseksi. 

14 §. Tietosuojavaltuutetun tehtävät ja toimivaltuudet.

Yleisperusteluissa todetun mukaisesti hallintovaliokunta ehdottaa pykälään lisättäväksi uuden 2 momentin, jonka mukaan tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eikä eduskunnan oikeusasiamiehen toimintaa. Säännöksen tarkoituksena on, että valvontaviranomaisen valvonta ei kohdistu ylimpiin laillisuusvalvojiin miltään osin. Laillisuusvalvonnan lisäksi myös esimerkiksi henkilöstöhallintoa koskeva henkilötietojen käsittely rajautuisi valvontaviranomaisen valvonnan ulkopuolelle. Hallintovaliokunta tähdentää, että tietosuoja-asetus tulee kuitenkin sovellettavaksi myös ylimpien laillisuusvalvojien suorittamaan henkilötietojen käsittelyyn. Uuden 2 momentin seurauksena hallituksen esityksessä ehdotetun pykälän 2—3 momentista tulee 3—4 momentti. 

21 §. Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi.

Pykälässä säädetään rekisteröidyn oikeudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Yleisperusteluissa todetun perusteella hallintovaliokunta ehdottaa, että pykälään lisätään uusi 2 momentti, jonka mukaan tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa. Ehdotetun säännöksen mukaan asian käsittelyn keskeyttäminen on tietosuojavaltuutetun harkinnassa. Säännös on väljä, joten se jättää tietosuojavaltuutetulle harkintavaltaa arvioida, mikä kussakin tilanteessa on perusteltua ja tarkoituksenmukaista. Momentissa käytettyä ilmaisua "liittyvä asia" arvioitaessa voidaan kiinnittää huomiota siihen, onko kyse samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta tietosuoja-asetuksen tai tietosuojalain väitetystä rikkomisesta. 

22 §. Uhkasakko.

Ehdotuksen mukaan tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen eräiden päätösten sekä tietosuojalain 18 §:ssä säädetyn tiedonsaantioikeuden tehosteeksi uhkasakon. Pykälän 2 momentin mukaan uhkasakkoa ei kuitenkaan saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. Lakivaliokunta toteaa, että 2 momentissa on kyse itsekriminointisuojasta. 

Lakivaliokunta toteaa, että uhkasakon määräämättä jättämisen kynnyksestä ei ole muodostunut vakiintunutta linjaa, vaan lainsäädäntöratkaisut vaihtelevat. Sanamuodon valinnassa merkitystä voidaan antaa sille, minkä viranomaisen tekemästä arviosta asiassa katsotaan olevan kyse, sekä sille, kytketäänkö itsekriminointisuoja ainoastaan niihin tilanteisiin, joissa esitutkintaviranomainen on jo tehnyt päätöksen esitutkinnan käynnistämisestä ("on syytä epäillä"), vai tulisiko itsekriminointisuoja ulottaa myös niihin tilanteisiin, joissa valvontaviranomainen arvioi, että tapaus saattaa myöhemmin johtaa rikosoikeudellisiin seuraamuksiin ("on aihetta epäillä").  

Lakivaliokunnan mielestä ilmaisua "on aihetta epäillä" puoltaa se, että se antaa tietojenantovelvolliselle luonnolliselle henkilölle suojaa laaja-alaisemmin, joten se olisi paremmin sopusoinnussa itsekriminointisuojan kanssa. Itsekriminointisuojan kytkeminen ilmaisuun "on syytä epäillä" voi sitoa itsekriminointisuojan liian tiukasti muodollisen esitutkinnan aloittamiseen. Lakivaliokunta ei kuitenkaan näe estettä sille, etteikö säännöksessä voitaisi käyttää myös ilmaisua "on syytä epäillä". Jos näin tehdään, säännös ei kuitenkaan sääntele tyhjentävästi itsekriminointisuojan merkitystä, vaan suojan ala voi tapauskohtaisesti ulottua säännöstä laajemmalle. 

Lakivaliokunnan lausunnossa esitettyjä eri näkökohtia arvioituaan hallintovaliokunta puoltaa hallituksen esityksessä ehdotettua ratkaisua. 

23 (24) §. Komission päätökset.

Valiokunta ehdottaa sääntelyn selkeyttämiseksi muutoksenhakua koskevan 23 §:n siirtämistä lain 25 §:ksi, jolloin myös käsillä olevan pykälän numero muuttuu. 

Pykälän 1 momentin mukaan, jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi. Tietosuoja-asetuksen 45 artiklassa mahdollistetaan henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. 

Selvityksen mukaan ehdotetun pykälän taustalla on unionin tuomioistuimen ratkaisu asiassa Schrems (C-362/14), jossa tuomioistuin on katsonut, että kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voivat tarvittaessa pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta komission päätöksen pätevyyden tutkimiseksi, jos ne valvontaviranomaisen tavoin epäilevät komission päätöksen asetuksenmukaisuutta. Ehdotetun 1 momentin tavoitteena on siten mahdollistaa se, että kansallinen valvontaviranomainen voi saattaa Helsingin hallinto-oikeuden ratkaistavaksi kysymyksen siitä, onko komission päätöksen asetuksenmukaisuudesta tarpeen pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta. Hakemuksen hyväksyminen tarkoittaa tällöin käytännössä ennakkoratkaisupyynnön tekemistä ja hakemuksen hylkääminen sitä, että ennakkoratkaisua ei pyydetä. 

Lakivaliokunnan mukaan säännöksen sanamuodosta voi kuitenkin saada sellaisen käsityksen, että Helsingin hallinto-oikeuden ratkaistavaksi saatetaan Euroopan komission päätöksen asetuksenmukaisuus. Kansallisilla viranomaisilla tai tuomioistuimilla ei kuitenkaan ole toimivaltaa arvioida komission päätöksen asetuksenmukaisuutta, vaan yksinoikeus tähän on Euroopan unionin tuomioistuimella. Säännöksen tarkoitus on tämän mukaisesti mahdollistaa lähinnä se, että tietosuojavaltuutettu saattaa tuomioistuimen ratkaistavaksi kysymyksen siitä, onko komission päätöksen asetuksenmukaisuutta tarpeen selvittää. Lakivaliokunta on esittänyt, että hallintovaliokunta vielä arvioi, onko ehdotettua momenttia mahdollista selkeyttää niin, että se vastaisi paremmin tarkoitustaan. 

Hallintovaliokunta katsoo, että säännöksen tarkoitus käy ilmi sen sanamuodosta. Valiokunta ehdottaa kuitenkin, että säännöksen loppuosa selkeytetään muotoon "…tietosuojavaltuutettu voi hakemuksella saattaa ennakkoratkaisun pyytämistä koskevan asian Helsingin hallinto-oikeuden ratkaistavaksi". Tällöin viittaus kohdistuu selvästi sen selvittämiseen, onko tarpeen pyytää ennakkoratkaisu, eikä tietosuojavaltuutetulla vireillä olevaan asiaan. 

Lakivaliokunnan lausunnon mukaan tässä tarkoitettuun hakemusasiaan soveltuu hallintolainkäyttölain 72 §, joka koskee "muuta hallintolainkäytössä käsiteltävää asiaa kuin valitusta, ylimäärästä muutoksenhakua tai hallintoriita-asiaa". Tällainen asia pannaan vireille toimittamalla vireillepanoa koskeva asiakirja sille viranomaiselle, jonka toimivaltaan asian ratkaiseminen kuuluu. Lisäksi sovellettavaksi tulee hallintolainkäyttölain 73 §, jonka mukaan menettelystä on muuten soveltuvin osin voimassa, mitä kyseisessä laissa säädetään valituksesta. Valituksen käsittelyä koskevat hallintolainkäyttölain säännökset ovat joustavia, joten hallintovaliokunta katsoo niiden mahdollistavan nyt puheena olevan hakemusasian erityispiirteiden huomioon ottamisen asian käsittelyssä. 

Pykälän 2 momentti sisältää erityissäännöksen muutoksenhausta Helsingin hallinto-oikeuden päätökseen. Hallintovaliokunta katsoo lakivaliokunnan tavoin, että 2 momenttiin on tarpeen lisätä sanat "valittamalla vain". 

Ehdotettu 2 momentti ei sisällä erityisiä säännöksiä siitä, kenellä on valitusoikeus. Valitusoikeuteen soveltuvat tällöin hallintolainkäyttölain yleiset säännökset. Kyseisen lain 6 §:n 1 momentin mukaan päätöksestä saa valittaa se, johon päätös on kohdistettu tai jonka oikeuteen, velvollisuuteen tai etuun päätös välittömästi vaikuttaa. Ottaen huomioon, että nyt puheena olevassa hakemusasiassa hakijana on valvontaviranomainen, päätös kohdistuu lakivaliokunnan lausunnon mukaan edellä tarkoitetun säännöksen tarkoittamalla tavalla valvontaviranomaiseen, jolla on siten valitusoikeus hallinto-oikeuden päätökseen. Käytännössä tarve valittaa hallinto-oikeuden päätöksestä ajankohtaistuu lähinnä, jos hallinto-oikeuden päätös poikkeaa valvontaviranomaisen kannasta. 

Kysymys siitä, onko rekisteröidyllä, jonka asian käsittelyn yhteydessä epäselvyys komission päätöksen asetuksenmukaisuudesta on syntynyt, valitusoikeus Helsingin hallinto-oikeuden päätökseen, edellyttää sen arvioimista, katsotaanko hallinto-oikeuden päätöksen hallintolainkäyttölain 6 §:n 1 momentissa tarkoitetulla tavalla "välittömästi" vaikuttavan rekisteröidyn oikeuteen, velvollisuuteen tai etuun. Lakivaliokunta on lausunnossaan arvioinut tähän liittyviä näkökohtia. Lähtökohtaisesti on mahdollista katsoa, ettei hallinto-oikeuden ennakkoratkaisun pyytämistä koskeva päätös koske rekisteröityä "välittömästi", jolloin valitusoikeutta ei ole. Toisaalta mahdollista on, että joissakin tapauksissa hallinto-oikeus harkitsee päätöksen vaikuttavan rekisteröidyn oikeuteen hallintolainkäyttölaissa tarkoitetulla tavalla "välittömästi", jolloin tällä olisi valitusoikeus. 

24 (25) §. Hallinnollinen seuraamusmaksu.

Pykäläjärjestykseen ehdotetun muutoksen vuoksi hallinnollista seuraamusmaksua koskevasta 25 §:stä tulee lain 24 §. Hallintovaliokunta viittaa yleisperusteluissa esitettyyn ja ehdottaa perustuslakivaliokunnan lausuntojen huomioon ottamiseksi pykälään lisättäväksi säännökset hallinnollisen seuraamusmaksun määräämisestä seuraamuskollegion päätöksellä. 

Hallintovaliokunnan ehdottaman uuden 1 momentin mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Valiokunta on edellä ehdottanut 9 §:n 1 momenttiin lisäystä, jonka mukaan tietosuojavaltuutetun toimistossa on vähintään kaksi apulaistietosuojavaltuutettua. Kollegio olisi siten vähintään kolmijäseninen. 

Tietosuojalain 11 §:n mukaan tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan. Kukin apulaistietosuojavaltuutettu on samalla tavalla toiminnassaan ja asemaltaan itsenäinen ja riippumaton kuin tietosuojavaltuutettu. Apulaistietosuojavaltuutetut eivät siten ole alaissuhteessa tietosuojavaltuutettuun. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen kelpoisuusvaatimuksista säädettäisiin tietosuojalain 10 §:ssä. Tietosuojalain 16 §:n mukaan apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla. Hallintovaliokunta katsoo, että ehdotetulla sääntelyllä voidaan varmistaa EU:n perusoikeuskirjan 8 artiklan 3 kohdan ja tietosuoja-asetuksen 51 ja 52 artiklan mukaisesti hallinnollisia seuraamusmaksuja koskevassa päätöksenteossa edellytetty asiantuntemus, riippumattomuus ja puolueettomuus. Sääntely huomioi myös tietosuoja-asetuksen 58 artiklan, jonka perusteella toimivaltuuksia ei voi jakaa eri viranomaisten kesken. 

Perustuslakivaliokunta lausunnossaan PeVL 24/2018 vp toteaa vähimmäisvaatimukset, jotka koskevat sellaista valtionhallinnon toimielintä, jonka tehtäviin kuuluisi julkisen vallan käyttöä, jota voidaan pitää merkittävänä. Perustuslakivaliokunnan mukaan ehdotetun sääntelyn voidaan katsoa pääosin täyttävän ne vähimmäisvaatimukset, mutta ratkaisua ei voida pitää perustuslain 21 §:n kannalta optimaalisena. Kolmen virkamiehen muodostamaa seuraamuskollegiota voidaan sinänsä pitää monijäsenisenä toimielimenä. Vaikka kollegionimikettä ei voida pitää kovin onnistuneena, perustuslaista ei johdu estettä sen käyttämiselle. 

Perustuslakivaliokunta kiinnittää huomiota siihen, että apulaistietosuojavaltuutetun sijaistamista ei voida jättää tietosuojavaltuutetun toimiston työjärjestyksen varaan, vaan asiasta on säädettävä lailla. Samalla sääntelyä on täydennettävä myös säännöksillä päätösvaltaisuudesta. Tämän vuoksi hallintovaliokunta ehdottaa 1 momenttiin lisättäväksi säännöksen, jonka mukaan apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Lisäksi hallintovaliokunta ehdottaa, että kollegio on päätösvaltainen kolmijäsenisenä. 

Hallintovaliokunta ehdottaa 1 momenttia vielä tarkennettavaksi terminologisesti siten, että hallinnollisella seuraamusmaksulla tarkoitetaan tietosuoja-asetuksen 83 artiklassa säädettyä hallinnollista sakkoa. 

Pykälän uudessa 2 momentissa ehdotetaan säädettävän seuraamusmaksun määräämistä koskevasta päätöksenteosta. Tietosuojalain 15 §:n mukaan tietosuojavaltuutettu voi päättää asian ratkaisemisesta myös ilman esittelyä. Perustuslakivaliokunnan mielestä perustuslain kannalta ongelmallinen olisi säännös siitä, että hallinnollinen seuraamusmaksu voitaisiin määrätä ilman esittelyä ( PeVL 14/2018 vp ). Sen vuoksi hallintovaliokunta ehdottaa, että seuraamusmaksua koskeva asia on aina ratkaistava esittelystä. 

Ehdotettu 2 momentti sisältää myös säännökset äänestyksestä asiaa ratkaistaessa. Ehdotuksen mukaan päätökseksi tulee se kanta, jota enemmistö on kannattanut. Tilanteessa, jossa äänet menevät tasan, tulee kollegion päätökseksi se kanta, joka on lievempi sille, johon seuraamus kohdistuu. 

Sääntelyn tarkoituksena on, että hallinnollista seuraamusmaksua koskevan asian valmistelee ja sen esittelee tietosuojavaltuutetun toimiston esittelijä. Hallintovaliokunnan käsityksen mukaan estettä tälle ei perustuslakivaliokunnan lausuntojen perusteella ole. Tietosuojalain 9 §:n mukaisesti tietosuojavaltuutetun toimistossa tulee olla tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä.  

Hallintovaliokunnan ehdottamien kahden uuden momentin vuoksi hallituksen esityksessä ehdotetun pykälän 1—4 momentista tulee pykälän 3—6 momentti. Samalla 3 momentiksi siirtyvään säännökseen on tarpeen tehdä lakitekninen tarkistus. 

Edellä yleisperusteluissa on käsitelty myös hallinnollisen seuraamusmaksun suhdetta viranomaisiin. Lakiehdotuksen 4 momentiksi siirtyvän säännöksen mukaan seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Tietosuoja-asetuksen 83 artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja ja missä määrin. Hallintovaliokunta toteaa, että tietosuoja-asetus ja ehdotettu tietosuojalaki koskevat myös Suomen evankelis-luterilaista kirkkoa ja Suomen ortodoksista kirkkoa. Mainitut kirkot ovat julkisyhteisöjä. Suomen evankelis-luterilaisen kirkon järjestysmuodosta ja hallinnosta säädetään perustuslakiin perustuen kirkkolaissa ( 1054/1993 ). Suomen ortodoksisen kirkon asema on määritelty ortodoksisesta kirkosta annetussa laissa ( 985/2006 ). Kummankin kirkon seurakunnissa, hiippakunnissa ja keskushallinnossa käsitellään henkilötietoja ja ylläpidetään henkilörekistereitä. Seurakunnat voivat perustaa seurakuntayhtymiä. Ortodoksisella kirkolla on myös luostareita. Hallituksen esityksessä ehdotettuun pykälään tai sen yksityiskohtaisiin perusteluihinkaan ei sisälly viittausta mainittuihin kirkkoihin. Saamansa selvityksen perusteella hallintovaliokunta ehdottaa, että 4 momenttiin lisätään Suomen evankelis-luterilainen kirkko ja Suomen ortodoksinen kirkko sekä niiden seurakunnat, seurakuntayhtymät ja muut elimet. 

Yleisperusteluissa todetun mukaisesti hallintovaliokunta ehdottaa 5 momenttiin lisättäväksi säännöksen, jonka mukaan, jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, seuraamusmaksun vanhentumista koskeva kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt. 

Pykälän 6 momentin mukaan seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa ( 672/2002 ). Yleisperusteluissa todetuista syistä hallintovaliokunta ehdottaa 6 momenttia täydennettäväksi säännöksellä, jonka mukaan seuraamusmaksu vanhenisi viiden vuoden kuluttua sen määräämispäivästä. 

25 (23) §. Muutoksenhaku.

Hallintovaliokunta ehdottaa selkeyssyistä, että muutoksenhakusäännökset siirretään päätöksiä koskevan sääntelyn jälkeen lain 25 §:ksi. 

Hallinnollisen seuraamusmaksun määräämismenettely tulee ottaa huomioon myös muutoksenhakusäännöksissä. Tämän vuoksi hallintovaliokunta ehdottaa 1 momenttia tarkennettavaksi siten, että muutosta voidaan hakea tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksestä tai 24 §:n 1 momentissa säädetyn seuraamuskollegion päätöksestä. 

Lisäksi 3 momenttiin on tarpeen lisätä maininta apulaistietosuojavaltuutetusta. Momentissa on kysymys muista kuin hallinnollista seuraamusmaksua koskevista päätöksistä. Seuraamuskollegion tekemä päätös hallinnollisesta seuraamusmaksusta on pantavissa täytäntöön vasta päätöksen tultua lainvoimaiseksi. 

26 §. Rangaistussäännökset.

Ehdotetun tietosuojalain 26 § sisältää viittaussäännökset sääntelykokonaisuuden kannalta merkityksellisiin rikoslain säännöksiin. Pykälän 1 momentin viimeisessä virkkeessä viitataan rikoslain säännöksiin tietosuojalain 36 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta. Tietosuojalain 36 § koskee kuitenkin ilmoittajan henkilöllisyyden suojaamista ja 35 § vaitiolovelvollisuutta. Hallintovaliokunta katsoo lakivaliokunnan tavoin, että viittauksen tulee koskea molempia säännöksiä, ja ehdottaa, että 1 momentin viimeistä virkettä täydennetään sen mukaisesti. 

27 §. Henkilötietojen käsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.

Pykälässä on kyse henkilötietojen suojan sovittamisesta yhteen sananvapauden kanssa. Pykälän 1 momentissa säädettäisiin niistä tietosuoja-asetuksen artikloista, joita ei sovellettaisi henkilötietojen käsittelyyn journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten.  

Rajauksen ulkopuolelle on jätetty muun muassa tietosuoja-asetuksen 37 ja 38 artikla. Näin ollen ne tulevat sovellettaviksi, kun henkilötietoja käsitellään journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tietosuoja-asetuksen 37 artiklassa säädetään tietosuojavastaavan nimeämisestä. Kyseinen velvollisuus koskee rajatusti yksityisen sektorin toimijoita. Tietosuojavastaava on nimettävä tilanteissa, joissa rekisterinpitäjän tai henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa, laatunsa ja/tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä ja järjestelmällistä seurantaa, sekä tilanteissa, joissa rekisterinpitäjän ja henkilötietojen käsittelijän ydintehtävät muodostuvat laajamittaisesta käsittelystä, joka kohdistuu 9 artiklan mukaisiin erityisiin henkilötietoryhmiin ja 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin. 

Velvollisuus tietosuojavastaavan nimeämiseen koskee näin ollen vain rajatusti henkilötietoja 85 artiklassa tarkoitetuissa tilanteissa käsitteleviä tahoja, eikä tätä velvollisuutta ole katsottu tarpeelliseksi rajata asetuksesta säädetystä. Tietosuojalailla ehdotetaan merkittäviä rajauksia rekisteröidyn oikeuksiin, kun henkilötietoja käsitellään 85 artiklan tarkoittamissa tilanteissa. Tietosuojalailla ehdotetaan poikkeusta muun muassa rekisteröidyn oikeuteen olla joutumatta profiloinnin kohteeksi. Tällöin korostuu tietosuojavastaavan nimittämisen merkitys. Tietosuojavastaavan tehtävänä on antaa rekisterinpitäjälle ja henkilötietojen käsittelijälle tietoa ja neuvoja. Päätökset henkilötietojen käsittelystä tekee rekisterinpitäjä, joka vastaa henkilötietojen käsittelyn lainmukaisuudesta organisaatiossa. Tietosuojavastaavan asemaa koskevan 38 artiklan säännöksillä pyritään varmistamaan, että tietosuojavastaavalla on asianmukaiset toimintaedellytykset tehtäviensä hoitamiselle. Hallintovaliokunta pitää ehdotettua sääntelyä perusteltuna. 

31 §. Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet.

Pykälän 2 momentissa on kysymys henkilötietojen käsittelystä tilastollisia tarkoituksia varten. Säännöksen mukaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista voidaan tarvittaessa poiketa edellyttäen, että 1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä; 2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan; ja 3) tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten. 

Selvyyden vuoksi hallintovaliokunta toteaa, että tietosuoja-asetuksen 11 artiklan mukaan, jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen rekisteröidyn oikeuksien toteuttamiseksi. Valiokunnan saaman selvityksen mukaan tästä seuraa, että sellaisissa tilanteissa, joissa rekisteröidyt eivät ole enää tunnistettavissa, voidaan tietosuoja-asetuksen 11 artiklan nojalla lähtökohtaisesti jättää rekisteröidyn tarkastusoikeus toteuttamatta. 

Pykälän 3 momentissa ehdotetaan säädettävän edellytyksistä, joilla tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä oikeuksista voidaan poiketa silloin, kun käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja tieteellistä tai historiallista tutkimusta tai tilastointia varten tai kun käsitellään tietosuoja-asetuksen 10 artiklassa mainittuja rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja. Rekisteröidyn oikeuksista poikkeaminen edellyttää näissä tapauksissa esityksen mukaan 1 ja 2 momentissa säädetyn lisäksi tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin laatimista. 

Yleisperusteluissa todettuun viitaten hallintovaliokunta ehdottaa, että pykälän 3 momenttiin lisätään vaihtoehtoiseksi suojatoimenpiteeksi sitoutuminen tietosuoja-asetuksen 40 artiklassa tarkoitettuihin tietosuojaviranomaisen hyväksymiin käytännesääntöihin. Jotta käytännesääntöjen voidaan katsoa täyttävän tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohdan edellytykset asianmukaisista ja erityisistä toimenpiteistä, on rekisteröidyn oikeuksista poikkeaminen otettava asianmukaisesti huomioon käytännesääntöjä laadittaessa. Tämän on tarpeen ilmetä myös säännöksen sanamuodosta. Käytännesääntöjä hyväksyessään tietosuojaviranomainen arvioi, ovatko rekisteröidyn perusoikeudet ja edut otettu asianmukaisesti huomioon. 

Hallituksen esityksen mukaan 3 momentissa tarkoitettu vaikutustenarviointi tulisi toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle 30 päivää ennen käsittelyyn ryhtymistä. Hallintovaliokunta katsoo 30 päivän määräajan olevan tarpeettoman pitkä ja pitää riittävänä, että vaikutustenarviointi toimitetaan tietosuojavaltuutetulle ennen käsittelyyn ryhtymistä. 

32 §. Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet.

Pykälässä ehdotetaan säädettävän poikkeuksista rekisteröidyn oikeuksiin arkistoinnin osalta. Säännöksessä mahdollistetaan varsin laajat poikkeukset rekisteröidyn oikeuksiin. Kyse on siten merkittävästä säännöksestä, jota ei ole ollut tarkoitus ulottaa kaikkeen yleisen edun mukaiseen arkistointiin. Toistaiseksi ei ole soveltamiskäytäntöä siitä, mitä kaikkea voidaan pitää yleisen edun mukaisena arkistointina. Sen vuoksi kansallista liikkumavaraa ei tältä osin ole ehdotettu käytettävän täysimääräisesti. 

Ehdotetussa pykälässä viitataan vain tietosuojalain 4 §:n 4 kohdassa tarkoitettuun arkistointiin. Valiokunta toteaa, että kaikki viranomaisten suorittama arkistointi ei ole ehdotetun 4 §:n 4 kohdan mukaista arkistointia, vaan viittauksen tulisi olla kattavampi. Rekisteröidyn oikeuksista poikkeamisen tulisi tarvittaessa olla mahdollista silloin, kun viranomainen käsittelee tietoja arkistointitarkoituksessa. Jotta poikkeamisesta voitaisiin tältä osin säätää yleislaissa, tulisi säännös valiokunnan näkemyksen mukaan rajata koskemaan sellaista yleisen edun mukaista arkistointia, joka perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan, eli kun käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Valiokunta ehdottaa tämän vuoksi pykälään lisättäväksi viittauksen mainittuun tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan. 

33 §. Rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle.

Pykälässä säädettäisiin edellytyksistä, joilla voidaan rajoittaa rekisteröidyn oikeutta saada itseään koskevien henkilötietojen käsittelyyn liittyviä tietoja. Nykyisin rekisterinpitäjän mahdollisuudesta poiketa tiedonantovelvollisuudesta säädetään henkilötietolain 24 §:ssä. Selvyyden vuoksi hallintovaliokunta toteaa, että laillisuusvalvonnassa nykyisin noudatettua käytäntöä, jonka mukaan laillisuusvalvontaa suorittavalle viranomaiselle toimitetuissa kantelukirjoituksissa mainituille henkilöille ei tarvitse ilmoittaa käsittelystä, ei ehdotetulla tietosuojalailla ole tarkoitus muuttaa. 

34 §. Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin.

Pykälän 1 momentissa säädettäisiin tilanteista, joissa rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklan mukaista oikeutta tutustua hänestä kerättyihin tietoihin. Tällaisia ovat esimerkiksi tilanteet, joissa tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä (1 kohta). Tilanteet vastaavat pääpiirteissään henkilötietolain 27 §:n mukaisia tilanteita, ja ehdotetulla sääntelyllä onkin pyritty turvaamaan jatkuvuutta. Valiokunta pitää sääntelyä tärkeänä myös siinä mielessä, että se vähentää merkittävästi toimialakohtaisen erityissääntelyn tarvetta. Tietosuoja-asetus edellyttää, että 23 artiklan 2 kohdan vaatimukset otetaan tällaisessa sääntelyssä asianmukaisesti huomioon. Tätä koskevat säännökset sisältyvät pykälän 2—4 momenttiin. 

Ehdotettu tietosuojalaki ei sisällä säännöksiä niistä edellytyksistä, joilla 18 artiklassa säädetystä rekisteröidyn oikeudesta käsittelyn rajoittamiseen voitaisiin poiketa 23 artiklan mukaisesti. Valiokunnan saaman selvityksen mukaan 18 artiklaa koskevaa poikkeusta ei ole perusteltua ottaa yleislakiin. Mainittu 18 artikla koskee lähtökohtaisesti hyvin rajattuja tilanteita. Käsittelyn rajoittamisella tarkoitetaan tietosuoja-asetuksen 4 artiklan 3 kohdan mukaan tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä. Eräissä tilanteissa 18 artiklassa tarkoitetusta rekisteröidyn oikeudesta huolimatta henkilötietoja voidaan joka tapauksessa käsitellä suoraan 18 artiklan 2 kohdan nojalla. Tämä on mahdollista esimerkiksi tilanteissa, joissa on kyse toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamisesta tai tärkeästä unionin tai jäsenvaltion etua koskevasta syystä. Rajoituksista rekisteröidyn 18 artiklassa tarkoitettuun oikeuteen asetuksen 23 artiklan nojalla on kuitenkin mahdollista säätää tarvittaessa erityislainsäädännössä. Tällainen rajoitus voi joissain yksittäistapauksissa olla hyvinkin perusteltu. Tällöinkin tulee kiinnittää huomiota 23 artiklan 2 kohtaan. Sen mukaan tällaisten lainsäädäntötoimenpiteiden on sisällettävä erityisiä säännöksiä, jotka koskevat muun muassa käsittelytarkoitusta ja käyttöön otettujen rajoitusten soveltamisalaa. 

36 §. Ilmoittajan henkilöllisyyden suojaaminen.

Valiokunta ehdottaa säännöksen sanamuotoon teknisen tarkistuksen, koska henkilö tekee kyseisen ilmoituksen valvontaviranomaiselle eli tietosuojavaltuutetulle, ei tietosuojavaltuutetun toimistolle. 

37 §. Voimaantulo.

Koska ehdotetun lain ei ole mahdollista tulla voimaan esitettynä ajankohtana, hallintovaliokunta ehdottaa, että 1 momentissa voimaantuloajankohta jätetään yleisesti noudatetun käytännön mukaisesti avoimeksi. 

38 luku. Tieto- ja viestintärikoksista

9 §. Tietosuojarikos.

Voimassa olevassa pykälässä säädetään laaja-alaisesta henkilörekisteririkoksesta, johon syyllistynyt voidaan tuomita sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Yleisperusteluissa todetuin tavoin seuraamusjärjestelmä perustuu jatkossa lähtökohtaisesti suoraan tietosuoja-asetuksen 83 artiklassa tarkoitettuihin hallinnollisiin sakkoihin, minkä vuoksi hallituksen esityksessä ehdotetaan, että laaja-alainen rikoslain 38 luvun 9 § kumotaan ja korvataan uuden sisältöisellä kapea-alaisemmalla rangaistussäännöksellä. 

Perustuslakivaliokunta on lausunnossaan kiinnittänyt huomiota siihen, että ehdotetussa rangaistussäännöksessä viitataan olennaisilta osin muualle lainsäädäntöön, jossa tarkemmin määritellään ne teot ja laiminlyönnit, jotka voivat tulla tietosuojarikoksena rangaistaviksi. Perustuslakivaliokunnan mielestä laillisuusperiaatteen asettamat vaatimukset täyttyisivät paremmin, jos 1 momentin 1 kohdassa viitattaisiin niihin tietosuoja-asetuksen määräyksiin ja 2 ja 3 kohdassa niissä mainitun kansallisen lain säännöksiin, joiden rikkominen voi tulla tietosuojarikoksena rangaistavaksi. Erityisen ongelmallinen on säännöksen 1 momentin 4 kohta, jonka mukaan rangaistavaa on henkilötietojen käsittelyä koskevassa "muussa laissa" tarkoitetun henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevan säännöksen rikkominen. Perustuslakivaliokunnan käsityksen mukaan säännöksen 4 kohdassa tarkoitettuja muita säännöksiä on useita satoja, mikä tekee mahdottomaksi niiden luettelemisen säännöksessä. Tästä syystä perustuslakivaliokunta katsoo, että säännöksen täsmentäminen tulisi toteuttaa rikoksen tunnusmerkistötekijöitä tarkentamalla. 

Niin ikään perustuslakivaliokunta kiinnittää huomiota siihen, ettei myöskään ehdotetun säännöksen 2 momentissa viitata tarkemmin henkilötietojen käsittelyn turvallisuutta koskeviin aineellisiin säännöksiin tai määräyksiin. Myös tämän säännöksen täsmentäminen tulisi perustuslakivaliokunnan mukaan toteuttaa viittaussäännöksiä ja rikoksen tunnusmerkistötekijöitä tarkentamalla. 

Lakivaliokunta puolestaan toteaa, että käytetyn viittaustekniikan vuoksi ehdotettu rangaistussäännös saa osan aineellisesta sisällöstään muualta lainsäädännöstä. Tällainen sääntelytapa ei ole lain soveltajan kannalta kaikkein selkein ja yksinkertaisin, mutta sitä käytetään jo voimassa olevassa lainsäädännössä tyypillisesti silloin, kun asiaa säännellään kansallisessa erityislainsäädännössä ja aineellisen oikeuden sisältö määrittyy keskeisesti EU-lainsäädännön tai kansainvälisen sopimuksen perusteella. 

Lakivaliokunta on arvioinut mahdollisuuksia täsmentää ehdotettua sääntelyä siten, että se vastaisi paremmin rikosoikeudellista laillisuusperiaatetta. Se, että 1 momentin 1 kohdassa viitattaisiin tarkasti niihin tietosuoja-asetuksen määräyksiin, joiden rikkominen voi tulla tietosuojarikoksena rangaistavaksi, ei valiokunnan näkemyksen mukaan kuitenkaan selkeytä sääntelyä, koska asetuksesta ei ole kaikilta osin mahdollista poimia sellaisia yksittäisiä säännöksiä, joihin rangaistavuus voidaan perustaa. Esimerkiksi se, hankkiiko henkilö henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, edellyttää useiden asetuksen säännösten huomioon ottamista. Myöskään henkilötietojen luovuttamisen ja siirtämisen osalta ei voida osoittaa asetuksen yksittäisiä aineellisia säännöksiä, vaan kysymyksiä säännellään useissa erityyppisissä säännöksissä. 

Lakivaliokunnan mielestä tarkempia säännösviittauksia ei ole perusteltua lisätä myöskään 1 momentin 2 tai 3 kohtaan. Esimerkiksi 2 kohdan osalta merkitykselliset säännökset sisältyvät ennen kaikkea viitatun tietosuojalain 2 ja 5 lukuun, mutta niitäkin on yleensä tulkittava yhdessä tietosuoja-asetuksen kanssa. 

Erityisen laaja-alainen on 1 momentin 4 kohta, jossa viitataan yleisesti "muuhun lainsäädäntöön". Kohdan täsmentäminen on kuitenkin mahdotonta, sillä tällaisia muita säännöksiä on useita satoja. Toisaalta jo nykyisin lainsäädäntöön sisältyy vastaavia rangaistussäännöksiä, jotka sisältävät laajoja viittauksia muuhun lainsäädäntöön. Tällaisia viittauksia, joissa ei yksilöidä lainsäädäntöä edes säädöstasolla, sisältyy muun muassa rangaistussäännöksiin, jotka koskevat järjestystä ylläpitävän henkilön vastustamista (RL 17:6.1), salassapitorikosta (RL 38:1) ja ympäristön turmelemista (RL 48:1). 

Momentissa rangaistavuuden alaa on täsmennetty myös tekotapaa ja seurausta koskevilla tunnusmerkeillä, minkä vuoksi se ei ole täysin avoin. Esimerkiksi tekotavan osalta edellytyksenä on, että tekijä "hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja". Seurauksen osalta vuorostaan edellytetään, että tekotavan mukaisesti toimimalla tekijä "loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa". 

Edellä esitettyä kokonaisuutena arvioituaan lakivaliokunta on päätynyt tukemaan 1 ja 2 momentissa käytettyä sääntelytapaa, vaikka viittaukset ovat varsin laaja-alaisia. Rikoslain säännökset kuuluvat keskeisesti lakivaliokunnan toimialaan. Hallintovaliokunta ei näe aihetta arvioida tilannetta toisin. 

Selvyyden vuoksi on syytä todeta, että ehdotetun rangaistussäännöksen 1 momentin henkilöllinen soveltamisala ei ole sama kuin 2 momentissa. Säännöksen 1 momentin muotoilu on monimutkainen, mutta esityksen perustelujen mukaan säännös tulee sovellettavaksi ainoastaan tilanteessa, jossa henkilön ei voida katsoa toimineen asetuksessa tarkoitetun rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa. Taustalla on edellä selvitetyin tavoin se, että nyt puheena olevassa momentissa rikosoikeudellinen vastuu tulee kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei ole asetuksen tarkoittamien hallinnollisten sakkojen piirissä. 

Edellä esitetystä seuraa, että 1 momentin henkilöllinen soveltamisala on kapea. Lakivaliokunnan näkemyksen mukaan se tulee sovellettavaksi lähinnä rekisterinpitäjien palveluksessa tai lukuun toimiviin henkilöihin, silloin kun heidän toimintansa täyttää säädetyt tunnusmerkit, mutta ei merkitse itsenäistä rekisterinpitoa. Lakivaliokunnan mukaan onkin huomattava, että henkilöä, joka ryhtyy itsenäisesti käsittelemään henkilötietoja laittomasti, oli tiedot sitten hankittu toisesta rekisteristä tai rekisteröidyiltä itseltään, on yleensä pidettävä rekisterinpitäjänä, jolloin hän kuuluu hallinnollisten seuraamusten piiriin. 

Sen sijaan tietoturvaloukkauksia koskeva 2 momentti on tekijäpiirin osalta yleinen. Koska 2 momentin soveltamisalan ulkopuolelle ei ole jätetty tietosuoja-asetuksen tarkoittamia rekisterinpitäjiä ja henkilötietojen käsittelijöitä, sen mukaisesti rangaistavien tekojen osalta sovellettaviksi tulevat myös asetuksessa tarkoitetut hallinnolliset sakot. Hallinnollisten seuraamusmaksujen ja rangaistussäännösten päällekkäisyys koskee kuitenkin vain niitä rekisterinpitäjiä ja henkilötietojen käsittelijöitä, jotka ovat luonnollisia henkilöitä. Tämä vähentää päällekkäisyyden käytännön merkitystä, koska asetuksessa tarkoitetut rekisterinpitäjät ovat pääsääntöisesti oikeushenkilöitä. 

Pykälän 1 momentin 3 kohdassa viitataan hallituksen esityksessä HE 31/2018 vp ehdotettuun ns. rikosasioiden tietosuojalakiin. Kyseinen hallituksen esitys on parhaillaan samanaikaisesti halintovaliokunnan käsiteltävänä. 

Voimaantulosäännös.

Koska ehdotetun lain ei ole mahdollista tulla voimaan esitettynä ajankohtana, hallintovaliokunta ehdottaa, että voimaantulosäännös jätetään yleisesti noudatetun käytännön mukaisesti avoimeksi. 

Lakivaliokunnan lausunnon mukaan ehdotetun rangaistussäännöksen osalta on tarpeen säätää erityisestä siirtymäsäännöksestä, joka on poikkeus rikoslain 3 luvun 2 §:n 2 momentista ilmenevään lievemmän lain periaatetta koskevaan pääsääntöön. Ajallisesta soveltamisesta on tarpeen säätää erikseen, koska dekriminalisointi ei edellä todetuin tavoin tässä tapauksessa lähtökohtaisesti merkitse sitä, että suhtautuminen rangaistaviksi säädettyihin tekoihin olisi lieventynyt, eikä rangaistussäännöksen osittainen kumoaminen merkitse sitä, että teot jäisivät jatkossa ilman seuraamuksia. 

Ennen tietosuoja-asetuksen soveltamisen alkamista tehdyistä teoista ja laiminlyönneistä tulee määrätä lähtökohtaisesti rikosoikeudellinen rangaistus. Rikossoikeudellisen sääntelyn osittainen korvaaminen asetuksen tarkoittamalla hallinnollisella sakolla ei siten merkitse rangaistusvastuusta vapautumista, vaan lievemmän lain periaate otetaan huomioon rangaistusta määrättäessä (ks. LaVL 3/2017 vp ). Jos yleisen tietosuoja-asetuksen ja tietosuojalain mukainen hallinnollinen sakko tai rikosoikeudellinen seuraamus ehdotetusta uudesta tietosuojarikoksesta on yksittäistapauksessa tosiasiallisesti lievempi kuin rikosoikeudellinen seuraamus aikaisemmassa laissa tarkoitetusta henkilörekisteririkoksesta, siirtymäsäännöstä on tulkittava kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen (SopS 8/1976) 15 artiklan 1 kohdan kanssa yhteensopivasti. Esimerkiksi päiväsakkojen lukumäärää voidaan tällöin tarvittaessa alentaa. 

Hallintovaliokunta ehdottaa, että voimaantulosäännökseen lisätään lakivaliokunnan lausunnon mukaisesti uusi 2 momentti. Saadun selvityksen mukaan säännöksessä tulee kuitenkin viitata niihin tekoihin ja laiminlyönteihin, jotka on tehty ennen 25 päivää toukokuuta 2018, toisin sanoen ennen tietosuoja-asetuksen soveltamisen alkamista. 

Voimaantulosäännös.

Koska ehdotetun lain ei ole mahdollista tulla voimaan esitettynä ajankohtana, hallintovaliokunta ehdottaa, että lain voimaantulosäännös jätetään yleisesti noudatetun käytännön mukaisesti avoimeksi. 

12 §. Henkilötietojen käsittely ja tarkastusoikeus.

Pykälän 1 momenttia on muutettu lailla 404/2018 , joka on tullut voimaan 5.6.2018. Hallituksen esityksessä HE 38/2018 vp ehdotettu 1 momentti sisälsi viittauksen tietosuojalakiin. Lakiviittaus muutettiin eduskunnassa koskemaan henkilötietolakia, koska hallituksen esityksen HE 9/2018 vp käsittely oli tuolloin kesken. Hallintovaliokunta ehdottaa, että lakiviittaus muutetaan nyt tässä yhteydessä alunperin esitettyyn muotoonsa. 

Hallintovaliokunnan päätösehdotus:

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 9/2018 vp sisältyvät 1.—3. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

Eduskunta hyväksyy uuden 4. lakiehdotuksen. (Valiokunnan uusi lakiehdotus) 

Eduskunta hyväksyy yhden lausuman. (Valiokunnan lausumaehdotus) 

Eduskunnan päätöksen mukaisesti säädetään: 

1 luku 

Yleiset säännökset 

1 § 

Lain tarkoitus 

Tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista. 

2 § 

Soveltamisala 

Tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdas--sa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. 

Tätä lakia ei sovelleta eduskunnan valtiopäivätoimintaan. (Uusi 2 mom.) 

Tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötie---to-jen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa lais--sa (/). (HE:n 2 mom.) 

3 § 

Sovellettava laki 

Henkilötietojen käsittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, sovelletaan Suomen lakia, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.  

Jos henkilötietojen käsittelyyn sovelletaan vieraan valtion lakia ja sen nojalla poiketaan tietosuoja-asetuksen 89 artiklan 2 kohdan mukaisesti rekisteröidyn suojaksi säädetyistä oikeuksista, jäljempänä 31§:ssä rekisteröidyn suojaksi säädettyjä suojatoimia on kuitenkin noudatettava lainvalinnasta riippumatta. 

2 luku 

Käsittelyn oikeusperuste eräissä tapauksissa 

4 § 

Käsittelyn lainmukaisuus 

Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos 

1) kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden; 

2) käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi;  

3) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden; tai 

4) henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden. 

5 § 

Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja 

Kun henkilötietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kyseessä on tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias.  

6 § 

Erityisiä henkilötietoryhmiä koskeva käsittely 

Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta: 

1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi; 

2) tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä; 

3) ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla; 

4) kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja; 

5) kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja;  

6) terveyttä koskevien ja geneettisten tietojen käsittelyyn antidopingtyössä ja vammaisurheilun yhteydessä siltä osin kuin näiden tietojen käsittely on välttämätöntä antidopingtyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi; 

7) tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn; 

8) tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta. 

Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat: 

1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty; 

2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista; 

3) tietosuojavastaavan nimittäminen; 

4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin; 

5) henkilötietojen pseudonymisointi; 

6) henkilötietojen salaaminen; 

7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa; 

8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi; 

9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen; 

10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen; 

11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet. 

7 § 

Rikostuomioihin ja rikkomuksiin liittyvä käsittely 

Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos  

1) käsittely on tarpeen oikeusvaateen selvittämiseksi , laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai 

2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa. 

Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä 1 momentissa tarkoitettuja henkilötietoja. 

3 luku 

Valvontaviranomainen 

8 § 

Tietosuojavaltuutettu 

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.  

Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. 

9 § 

Tietosuojavaltuutetun toimisto 

Tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.  

Tietosuojavaltuutettu nimittää toimiston virkamiehet ja ottaa palvelukseen toimiston muun henkilöstön.  

Tietosuojavaltuutettu hyväksyy toimiston työjärjestyksen.  

10 § 

Kelpoisuusvaatimukset ja nimitysperusteet 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kelpoisuusvaatimuksena on muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto, hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin sekä käytännössä osoitettu johtamistaito. Lisäksi edellytetään kykyä hoitaa kansainvälisiä tehtäviä.  

11 § 

Nimittäminen ja toimikausi 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan.  

Tietosuojavaltuutetuksi ja apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa siksi ajaksi, jona hän toimii tietosuojavaltuutettuna tai apulaistietosuojavaltuutettuna. 

12 § 

Asiantuntijalautakunta 

Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Kullakin heistä on henkilökohtainen varajäsen. 

Valtioneuvosto asettaa lautakunnan kolmen vuoden toimikaudeksi. 

Lautakunnan puheenjohtajan ja varapuheenjohtajan on oltava oikeustieteen muun ylemmän korkeakoulututkinnon kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinnon suorittanut henkilö, jolla on hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin ja muu tehtävän hoidon edellyttämä pätevyys. Lautakunnan muulta jäseneltä edellytetään perehtyneisyyttä henkilötietojen suojaa koskeviin asioihin ja tehtävän hoidon edellyttämää muuta pätevyyttä.  

Lautakunnan jäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävästään palkkio. Oikeusministeriö vahvistaa palkkioiden määrät.  

13 § 

Selvitys sidonnaisuuksista 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamieslain (750/1994) 8 a §:ssä tarkoitettu selvitys sidonnaisuuksistaan.  

14 § 

Tietosuojavaltuutetun tehtävät ja toimivaltuudet 

Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55—59 artiklassa. Tietosuojavaltuutetulla on myös muita tässä tai muussa laissa säädettyjä tehtäviä ja toimivaltuuksia. 

Tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eikä eduskunnan oikeusasiamiehen toimintaa. (Uusi 2 mom.) 

Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa. (HE:n 2 mom.) 

Tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen. (HE:n 3 mom.) 

Tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus on pidettävä yleisesti saatavilla. (HE:n 4 mom.) 

15 § 

Tietosuojavaltuutetun päätöksenteko 

Tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä. 

16 § 

Apulaistietosuojavaltuutetun tehtävät ja toimivaltuudet 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun välisestä tehtävien jaosta määrätään tietosuojavaltuutetun toimiston työjärjestyksessä.  

Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla. 

17 § 

Asiantuntijalautakunnan tehtävät ja asioiden käsittely 

Asiantuntijalautakunnan tehtävänä on tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä. 

Lautakunta voi kuulla ulkopuolisia asiantuntijoita. 

Lautakunnan sihteerinä toimii tietosuojavaltuutetun toimiston esittelijä.  

18 § 

Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus 

Sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot. 

Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa (39/1889) säädetty rangaistus.  

19 § 

Asiantuntijoiden käyttö 

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. 

Tietosuojavaltuutettu voi käyttää toimivaltaansa kuuluvan tarkastuksen suorittamisessa apunaan ulkopuolisia asiantuntijoita. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tällaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.  

20 § 

Virka-apu 

Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.  

4 luku 

Oikeusturva ja seuraamukset 

21 § 

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi 

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. 

Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa. (Uusi 2 mom.) 

22 § 

Uhkasakko 

Tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan c—g ja j alakohdassa tarkoitetun päätöksen ja tämän lain 18 §:n 1 momenttiin perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).  

Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. 

23 (24) § 

Komission päätökset 

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa ennakkoratkaisun pyytämistä koskevan asian Helsingin hallinto-oikeuden ratkaistavaksi. 

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.  

24 (25) § 

Hallinnollinen seuraamusmaksu 

Tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä. (Uusi 1 mom.) 

Kollegion päätös tehdään esittelystä. Päätökseksi tulee se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu. (Uusi 2 mom.) 

Seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta noudattaen, mitä tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tässä laissa säädetään. (HE:n 1 mom.) 

Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. (HE:n 2 mom.) 

Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt. (HE:n 3 mom.) 

Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua sen määräämispäivästä. (HE:n 4 mom.) 

25 (23) § 

Muutoksenhaku 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä 24 §:n 1 momentissa säädettyyn päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.  

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. 

Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. 

26 § 

Rangaistussäännökset 

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta ja törkeästä tietomurrosta 38 luvun 8 ja 8 a §:ssä. Rangaistus tämän lain 35 §:ssä säädetyn vaitiolovelvollisuuden ja 36 §:ssä säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. 

Rikoslain 38 luvun 10 §:n 3 momentissa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen 1 momentissa mainittuja rikoksia koskevan syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tällaista asiaa käsitellessään tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 

5 luku 

Tietojenkäsittelyn erityistilanteet 

27 § 

Henkilötietojen käsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten 

Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta tietosuoja-asetuksen 5 artiklan 1 kohdan c—e alakohtaa, 6 ja 7 artiklaa, 9 ja 10 artiklaa, 11 artiklan 2 kohtaa, 12—22 artiklaa, 30 artiklaa, 34 artiklan 1—3 kohtaa, 35 ja 36 artiklaa, 56 artiklaa, 58 artiklan 2 kohdan f alakohtaa, 60—63 artiklaa ja 65—67 artiklaa. 

Tietosuoja-asetuksen 27 artiklaa ei sovelleta sellaiseen henkilötietojen käsittelyyn, joka liittyy sananvapauden käyttämisestä joukkoviestinnässä annetussa laissa (460/2003) säädettyyn toimintaan. Tietosuoja-asetuksen 44—50 artiklaa ei sovelleta, jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen. 

Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten sovelletaan tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohtaa ja 2 kohtaa, 24—26 artiklaa, 31 artiklaa, 39 ja 40 artiklaa, 42 artiklaa, 57 ja 58 artiklaa, 64 artiklaa ja 70 artiklaa ainoastaan soveltuvin osin.  

28 § 

Julkisuusperiaate 

Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään. 

29 § 

Henkilötunnuksen käsittely 

Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: 

1) laissa säädetyn tehtävän suorittamiseksi; 

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai 

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten. 

Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. 

Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä. 

Henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. 

30 § 

Henkilötietojen käsittely työsuhteen yhteydessä 

Työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004). 

31 § 

Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet 

Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:  

1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan;  

2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja 

3) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille. 

Käsiteltäessä henkilötietoja tilastollisia tarkoituksia varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:  

1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä; 

2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan; ja 

3) tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.  

Käsiteltäessä tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja 1 tai 2 momentissa säädetyssä tarkoituksessa poikkeaminen tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista edellyttää sen lisäksi, mitä 1 ja 2 momentissa säädetään, että laaditaan tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi tai noudatetaan tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä, joissa on otettu asianmukaisesti huomioon edellä tarkoitettu rekisteröidyn oikeuksista poikkeaminen. Vaikutustenarviointi tulee toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle 30 päivää ennen käsittelyyn ryhtymistä. 

32 § 

Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet 

Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten 4 §:n 4 kohdan tai tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla voidaan tietosuoja-asetuksen 15, 16 ja 18—21 artiklassa tarkoitetuista rekisteröidyn oikeuksista poiketa tietosuoja-asetuksen 89 artiklan 3 kohdassa säädetyin edellytyksin. 

33 § 

Rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle 

Tietosuoja-asetuksen 13 ja 14 artiklan mukaisesta velvollisuudesta toimittaa tiedot rekisteröidylle voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi. 

Tietosuoja-asetuksen 14 artiklan 1—4 kohdasta voidaan poiketa myös, jos tiedon toimittaminen aiheuttaa olennaista vahinkoa tai haittaa rekisteröidylle eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon.  

Jos rekisteröidylle ei toimiteta 1 tai 2 momentin perusteella tietoa, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näihin toimenpiteisiin kuuluu yleisen tietosuoja-asetuksen 14 artiklan 1 ja 2 kohdassa tarkoitettujen tietojen pitäminen kaikkien saatavilla, ellei tämä vaaranna tietojen toimittamista koskevan rajoituksen tarkoitusta.  

34 § 

Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin 

Rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos: 

1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä; 

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille; tai 

3) henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi. 

Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut häntä koskevat tiedot.  

Rekisteröidylle on ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta. 

Jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.  

6 luku 

Erinäiset säännökset 

35 § 

Vaitiolovelvollisuus 

Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.  

36 § 

Ilmoittajan henkilöllisyyden suojaaminen 

Kun luonnollinen henkilö on tehnyt tietosuojavaltuutetulle ilmoituksen sen valvontaan kuuluvien säännösten epäillystä rikkomisesta, ilmoittajan henkilöllisyys on pidettävä salassa, jos henkilöllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida aiheutuvan haittaa ilmoittajalle.  

37 § 

Voimaantulo 

Tämä laki tulee voimaan päivänä kuuta 2018. 

Tällä lailla kumotaan henkilötietolaki (523/1999) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994). 

38 § 

Siirtymäsäännökset 

Tietosuojalautakunnan myöntämien lupien voimassaolo päättyy tämän lain tullessa voimaan. Tietosuojalautakunnassa ennen tämän lain voimaantuloa vireille tulleet asiat raukeavat lain voimaan tullessa.  

Tämän lain voimaan tullessa vireillä olevaan tietosuojavaltuutetulle tehtävää ilmoitusta koskevaan asiaan sovelletaan henkilötietolain 36 ja 37 §:n säännöksiä ilmoitusvelvollisuudesta ja ilmoituksen tekemisestä.  

Tämän lain voimaan tullessa vireillä olevassa tarkastusoikeuden toteuttamista ja henkilötietojen korjaamista koskevassa asiassa ei sovelleta sellaisia tietosuoja-asetuksen 12 ja 15—18 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tämän lain voimaan tullessa voimassa olleet säännökset edellyttävät jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta.  

Haettaessa muutosta ennen tämän lain voimaantuloa tehtyyn tietosuojalautakunnan ja tietosuojavaltuutetun päätökseen sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä. Ylimääräiseen muutoksenhakuun sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä kuitenkin vain, jos se on pantu vireille ennen tämän lain voimaantuloa. 

Jos vahinkoa aiheuttanut teko on tehty ennen tämän lain voimaantuloa, velvollisuuteen korvata vahinko sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä. 

Eduskunnan päätöksen mukaisesti 

muutetaan rikoslain (39/1889) 38 luvun 9 § ja 10 §:n 3 momentti,  

sellaisina kuin ne ovat, 38 luvun 9 § laeissa 525/1999 ja 480/2001 ja 10 §:n 3 momentti laissa 441/2011, seuraavasti: 

38 luku 

Tieto- ja viestintärikoksista 

9 § 

Tietosuojarikos 

Joka muutoin kuin Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin  

1) yleisen tietosuoja-asetuksen, 

2) tietosuojalain ( / ), 

3) henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain ( / ) tai 

4) henkilötietojen käsittelyä koskevan muun lain 

henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. 

Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1—4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta. 

10 § 

Syyteoikeus 

Syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta, tietomurtoa, törkeää tietomurtoa tai tietosuojarikosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 

Tämä laki tulee voimaan päivänä kuuta 2018. 

Ennen 25 päivää toukokuuta 2018 tehtyihin tekoihin ja laiminlyönteihin sovelletaan tämän lain voimaan tullessa voimassa ollutta 38 luvun 9 §:ää. Jos tämän lain, yleisen tietosuoja-asetuksen ja tietosuojalain soveltaminen johtaisi lievempään lopputulokseen, on tämä otettava huomioon rangaistusta määrättäessä. (Uusi 2 mom.) 

Eduskunnan päätöksen mukaisesti 

muutetaan sakon täytäntöönpanosta annetun lain (672/2002) 1 §:n 1 momentin 11 kohta, sellaisena kuin se on laissa 470/2017, ja 

lisätään 1 §:n 1 momenttiin, sellaisena kuin se on laeissa 224/2008, 462/2011, 348/2013, 257/2014, 671/2015, 451/2016 ja 470/2017, uusi 12 kohta seuraavasti: 

1 § 

Lain soveltamisala 

Tässä laissa säädetyssä järjestyksessä pannaan täytäntöön seuraavat seuraamukset: 

11) rahanpesun ja terrorismin rahoittamisen estämisestä annetun lain (444/2017) 8 luvun 1 §:ssä tarkoitettu rikemaksu ja 8 luvun 3 §:ssä tarkoitettu seuraamusmaksu; 

12) Euroopan parlamentin ja neuvoston luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu. 

Tämä laki tulee voimaan päivänä kuuta 2018. 

Eduskunnan päätöksen mukaisesti 

muutetaan Harmaan talouden selvitysyksiköstä annetun lain (1207/2010) 12 §:n 1 momentti, sellaisena kuin se on laissa 404/2018, seuraavasti: 

12 § 

Henkilötietojen käsittely ja tarkastusoikeus 

Henkilötietojen käsittelystä säädetään tietosuojalaissa ( / ) ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679. 

Tämä laki tulee voimaan päivänä kuuta 2018. 

Eduskunta edellyttää, että hallitus selvittää, tulisiko tietosuojan valvontaviranomaisen organisaatiota kehittää virastomuotoiseksi, ja tarvittaessa valmistelee asiasta lainsäädännön muutokset. Organisaatiota kehitettäessä tulee muiden seikkojen ohella ottaa huomioon hallinnollisten seuraamusmaksujen määrääminen viraston monijäsenisessä toimielimessä ja EU:n tietosuoja-asetuksen vaatimukset valvontaviranomaisen itsenäisyydestä ja riippumattomuudesta. 

Helsingissä 25.10.2018 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja Juho Eerola /ps

varapuheenjohtaja Timo V. Korhonen /kesk

jäsen Anders Adlercreutz /r

jäsen Pertti Hakanen /kesk

jäsen Kari Kulmala /sin

jäsen Antti Kurvinen /kesk

jäsen Sirpa Paatero /sd

jäsen Olli-Poika Parviainen /vihr

jäsen Juha Pylväs /kesk

jäsen Veera Ruoho /kok

jäsen Joona Räsänen /sd

jäsen Matti Semi /vas

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne