9.4.2018 klo 15:04
Lausunto

Lausunto koskien hallituksen esityksestä EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi

Eduskunnan lakivaliokunta

Esityksessä ehdotetaan säädettäväksi uusi tietosuojalaki. Lain tarkoitus on täydentää ja täsmentää EU:n yleistä tietosuoja-asetusta. Esityksessä ehdotetaan myös kumottavaksi henkilötietolaki ja laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Esityksessä ehdotetaan myös muutoksia rikoslain 38 luvun 9 §:ään.

Suomen Yrittäjien kanta

SY kannattaa esitystä siltä osin kuin sillä täydennetään ja täsmennetään yleistä tietosuoja-asetusta. Esitetyllä lailla pyritään pitämään oikeustila ennallaan esimerkiksi henkilötunnusta, tieteellistä tutkimusta ja tilastointia sekä sananvapautta koskien. Ja tällä tavalla arvioiden mukaan kevennettäisiin yritysten hallinnollista taakkaa, jota tietosuoja-asetus yrityksissä aiheuttaa.

Yritysvaikutuksia koskevassa selvityksessä on katsottu, että asetuksesta seuraa oikeudellista epävarmuutta. Selvityksen mukaan tietosuojaviranomaisella tulisi olla riittävät resurssit, joilla voitaisiin edesauttaa epäselväksi koetun tilanteen selkiytymistä.

Tietosuojarikos

Hallituksen esityksessä ehdotetaan rikoslain 38 luvun 9 §:n 2 momentissa, että tietosuojarikoksesta tuomitaan se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä säännöksen 1 momentissa 1 – 4 kohdissa tarkoitetussa säädöksessä (mm. yleinen tietosuoja-asetus) säädetään henkilötietojen käsittelyn turvallisuudesta.

SY katsoo, että esitetty rangaistussäännös on ongelmallinen rikosoikeudellisen laillisuusperiaatteen näkökulmasta, jonka mukaan rikossäännöksen on oltava tarkkarajainen. Rangaistussäännöksessä tulisi olla riittävän täsmällinen teonkuvaus. Tietosuoja-asetuksen 83 artikla sanktioi riittävän hyvin rekisterinpitäjän tai henkilötietojen käsittelijän toimesta tapahtuvan asetuksen säännöksen rikkomisen. Tietosuoja-asetuksen 83 artiklaan sisältyy 32 artikla, jonka mukaan henkilötietojen käsittelyssä tulee huomioida riittävät tekniset ja organisatoriset toimenpiteet riittävän turvallisuuden huomioimiseksi.
Siten säännöksen nojalla voitaisiin antaa rangaistus minkä tahansa lain ja minkä tahansa säännöksen rikkomisesta, jonka katsottaisiin koskevan henkilötietojen käsittelyn turvallisuutta.

SY esittää siten, että esityksessä oleva rikoslain 38 luvun 9 §:n 2 momentti tulisi poistaa. Toissijaisesti se tulisi valmistella uudelleen siten, että se esitettäisiin riittävän selkeästi.

Valvontaviranomainen

Esityksen mukaan tietosuoja-asetuksessa tarkoitettuna valvontaviranomaisena olisi tietosuojavaltuutettu ja tietosuoja-asetuksen mukaiset valvontaviranomaisen toimivaltuudet annettaisiin keskitetysti tietosuojavaltuutetulle. Näihin valtuuksiin kuuluisivat tutkintatoimivalta ja päätösvalta henkilötietoja koskevissa kielloissa ja tietosuojavaltuutettu voisi 14 § 1 momentin nojalla antaa hallinnollisen sakon ja 15 §:n nojalla tietosuojavaltuutettu ratkaisisi hänelle kuuluvat asiat esittelystä. Tietosuojavaltuutettu voisi esityksen mukaan yksittäistapauksissa käsitellä ja ratkaista asiat itse ilman esittelyä. Lisäksi tietosuojavaltuutettu osallistuu tietosuojaneuvoston toimintaan, joka antaa suosituksia tietosuoja-asetuksen soveltamisesta.

SY katsoo, että voi olla ongelmallista, että yhdelle virkamiehelle, tietosuojavaltuutetulle keskitetään näin merkittävässä määrin julkista valtaa. EU:n yleisen tietosuoja-asetuksen täytäntööpanotyöryhmän (TATTI) kesällä 2017 julkaistussa mietinnössä ehdotettiinkin, että hallinnollisten sakkojen määräämisestä päättäisi kollegiaalisesti asioista päättävä seuraamuslautakunta. Työryhmän esittämä viranomaisorganisaation malli takasi sen, että päätöksen rangaistusluonteisesta hallinnollisesta seuraamuksesta tekisi eri taho kuin asiasta soveltamissuosituksia valmistellut ja asiaa tutkintatoimivaltuuksiensa nojalla tutkinut virkamies, tietosuojavaltuutettu.

SY esittää, että hallinnollisen sakon määräämisestä päättäisi seuraamuslautakunta.

Hallinnollinen seuraamusmaksu ja julkinen sektori

Hallituksen esityksen 25 §:n 2 momentin mukaan hallinnollisia sakkoja ei olisi mahdollista määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, ml. kunnallisille liikelaitoksille, itsenäisille julkisille laitoksille, eduskunnan virastoille tai tasavallan presidentin kanslialle. Ehdotuksessa tätä perustellaan viranomaisia sitovalla hallinnon lainmukaisuusperiaatteella. Virkavastuu voi toteutua rikosoikeudellisena virkavastuuna ja vahingonkorvausvastuulla.

Ehdotusta voidaan pitää ongelmallisena yksityisen ja julkisen sektorin tasapuolisten kilpailuedellytysten näkökulmasta sote -alan markkinoilla. Lisäksi esitys on tältä osin ongelmallinen myös rekisteröityjen oikeusturvan näkökulmasta. Joissain tapauksissa julkinen sektori kilpailee yksityisen sektorin kanssa ja tällöin molemmilla osapuolilla tulee olla samat vastuut ja velvollisuudet.

Esityksessä virkavastuu kohdistuu rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa työskentelevään luonnolliseen henkilöön, ei rekisterinpitäjänä tai henkilötietojen käsittelijänä toimivaan ja tietosuoja-asetuksen sääntelyn noudattamisesta vastaavaan viranomaiseen.

Ruotsissa, Norjassa ja Tanskassa tietosuoja-asetusta täydentävän kansallisen lainsäädännön valmistelussa on mahdollistettu hallinnollisten sakkojen määrääminen myös julkisen sektorin rekisterinpitäjille ja henkilötietojen käsittelijöille.

SY esittää, että ehdotettu 25 § 2 momentti poistetaan esityksestä.

Suomen Yrittäjät

Petri Holopainen
asiantuntija