Tietosuojalain hallituksen esitystä on odotettu kuin kuuta nousevaa – ja nyt se on saatavilla

TalvisotaHallitus on viimein eilisessä istunnossaan päättänyt antaa eduskunnalle esityksen Euroopan unionin yleistä tietosuoja-asetusta täydentäväksi tietosuojalaiksi (HE 9/2018 vp). Tie tähän tilanteeseen on ollut pitkä ja kivinen, ja kapuloita lainvalmistelukoneiston rattaisiin on heittänyt milloin muutospaineita aiheuttaneita kommentteja antanut yleisö, milloin lakiesitysluonnoksen puutteita kritisoinut lainsäädännön arviointineuvosto.

Tietosuojalailla täsmennettäisiin ja täydennettäisiin tietosuoja-asetusta ja kumottaisiin sekä henkilötietolaki että laki tietosuojalautakunnasta ja tietosuojavaltuutetusta. Edelleen esityksessä ehdotetaan muutoksia rikoslakiin sekä sakon täytäntöönpanosta annettuun lakiin. Laki tulisi sovellettavaksi rinnakkain tietosuoja-asetuksen kanssa, eikä se siten muodostaisi itsenäistä ja kattavaa kokonaisuutta. Esitettyä lakia ei olisikaan mielekästä tutkia itsenäisenä säädöksenä, vaan lain aineellinen sisältö tulee pääasiassa yleisestä tietosuoja-asetuksesta. Kotimaisen tietosuojalain on tarkoitus tulla voimaan 25.5.2018 eli samana päivänä, kun tietosuoja-asetusta aletaan soveltaa.

Vaikka tietosuoja-asetus on lähtökohtaisesti suoraan sovellettavaa oikeutta kaikissa EU-jäsenvaltioissa, jättää se eräissä tapauksissa kansalliselle lainsäätäjälle liikkumavaraa. Toisaalta jäsenvaltioille syntyy asetuksen perusteella velvoitteita esimerkiksi kansallisesta valvontaviranomaisesta säätämiseksi.

Mielenkiintoiseksi tietosuojalain valmistelussa nousi kysymys tietoyhteiskunnan palveluihin liittyvästä lapsen ikärajasta. Vielä viime kesänä Tietosuojauutiset.fi:n toimitustiimissä pettymystä kirvoitti se, ettei tietosuoja-asetuksen täytäntöönpanotyöryhmä TATTI ollut päässyt yhteisymmärrykseen suostumukseen sovellettavan ikärajan osalta, joten odotukset tämän asian suhteen olivat korkealla.

Voimassa oleva henkilötietolaki ei sääntele suostumukseen perustuvan henkilötietojen käsittelyn ikärajasta, eikä lakiin muutenkaan sisälly nimenomaisesti lapsen henkilötietojen käsittelyä koskevia säännöksiä. Ehdotusta valmisteltaessa kuulluissa puheenvuoroissa korostui internetin merkitys nuorille ja sen tarjoamat mahdollisuudet muun muassa itseilmaisun ja ihmissuhdetaitojen kehittämiseen. Hallituksen esitystä valmisteltaessa pidettiin mahdollisina 13 ja 15 vuoden alaikärajan asettamista tietoyhteiskunnan palveluiden tarjoamiseksi, kuten esimerkiksi sosiaalisen median profiilin perustamiseksi. Valmistelevan työryhmän kuulemisissa alemman ikärajan puolestapuhujat perustelivat alempaa ikärajaa mm. sillä, että tietoyhteiskunnan palveluiden käyttämiseen jo tottuneet lapset pyrkisivät yhä herkemmin antamaan palveluille virheellisiä ikätietoja, mikä Tietosuojauutiset.fi:n toimitustiiminkään käsityksen mukaan ei ole täysin mahdotonta. Takavuosinahan hilpeyttä herättivät esimerkiksi julkisuudessa esitetyt laskelmat siitä, että Suomen 13- ja 14-vuotiaiden ikäryhmistä reippaasti yli 100 %:a käytti Facebookia.

Koska EU:n laajuinen yhteisymmärrys ikärajasta näyttää mahdottomalta tavoitteelta, päädyttiin tietosuojalakiesityksessä esittämään muiden pohjoismaiden ratkaisut huomioiden 13 vuoden ikärajaa. Esityksen mukaan siis sellaisessa tietosuoja-asetuksen tarkoittamassa tilanteessa, jossa käsittelyn oikeudellisena perusteena on rekisteröidyn suostumus, henkilötietoja saisi kuvattuja palveluita suoraan tarjottaessa käsitellä ilman huoltajan tai edunvalvojan lupaa vain, mikäli lapsi on täyttänyt 13 vuotta. Nähtäväksi jäävät tämän linjauksen muutosvaikutukset esimerkiksi lain sähköisen viestinnän palveluista (eli hiljattain uudelleen nimetyn tietoyhteiskuntakaaren) suostumuksia koskeviin säännöksiin. Joka tapauksessa esityksessä huomautetaan, ettei lapsen suostumukseen sovellettava ikäraja vaikuta kansalliseen sopimus- tai velvoiteoikeuteen, kuten lapsen kelpoisuuteen ylipäätään tehdä oikeustoimia.

Nykyisessä henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteesta yksityiskohtaisemmin kuin yleisessä tietosuoja-asetuksessa, ja siksi myös tietosuojalakiesitys sisältää odotetusti joitakin yksityiskohtaisia henkilötietojen ja erityisten henkilötietoryhmien käsittelyä, kuten tällaisten tietojen käsittelyperusteita, koskevia kansallisia säännöksiä. Ehdotetut säännökset tarkoittaisivat poikkeuksia henkilötietojen käsittelyä koskeviin säännöksiin ja rekisterinpitäjän velvoitteisiin esimerkiksi journalistisen sananvapauden, tieteellisen ja historiallisen tutkimuksen, tilastoinnin ja arkistoinnin turvaamiseksi. Lisäksi näillä säännöksillä on tarkoitus esimerkiksi varmistaa vakuutusyhtiön oikeus käsitellä myös jatkossa eräitä erityisiin henkilötietoryhmiin kuuluvia tietoja sekä rikostuomioihin ja rikkomuksiin liittyviä tietoja vakuutusyhtiön vastuun selvittämiseksi. Näiden poikkeusten tavoitteena olisi säilyttää nykyisenkaltainen sääntely näillä erityisillä alueilla.

Myös tietosuoja-asioiden valvontaviranomaisen toiminnan järjestäminen on tietosuoja-asetuksessa jätetty suurilta osin kansallisten lainsäädäntötoimenpiteiden varaan. Voimassa olevan kotimaisen lainsäädännön mukaan tietosuojaviranomaisen tehtävät on osoitettu kahdelle toisistaan erilliselle viranomaiselle: tietosuojalautakunnalle ja tietosuojavaltuutetulle. Tietosuojalautakunnan keskeinen tehtävä henkilötietojen käsittelyä koskevana lupaviranomaisena tulee kuitenkin tietosuoja-asetuksen myötä lakkaamaan, sillä asetus velvoittaa rekisterinpitäjät lähtökohtaisesti itse arvioimaan, milloin käsittely on asetuksen perusteella sallittua.

Tietosuojalakiesityksessä ehdotetulla tavalla kansalliset tietosuoja-asetuksen mukaiset viranomaistehtävät keskitettäisiin jatkossa yhdelle viranomaiselle, ja tässä tehtävässä jatkaisi tietosuojavaltuutettu. Tietosuojavaltuutetun toimistoon nimitettäisiin yksi tai useampia apulaistietosuojavaltuutettuja, jotka toimisivat tietosuojavaltuutetun toimivaltuuksin omilla tehtäväalueillaan. Edelleen tietosuojavaltuutetun toimistoon kuuluisi viidestä sivutoimisesta jäsenestä koostuva asiantuntijalautakunta, jonka tehtävänä olisi antaa tietosuojavaltuutetun pyynnöstä lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyen.

Esityksen mukaisesti tietosuojavaltuutettu voisi asettaa uhkasakkoja tiettyjen velvoitteiden toteuttamisen pontimeksi, sekä jakaa (välillä kohtuuttomastikin) pelättyjä hallinnollisia seuraamusmaksuja. Hallinnollisten seuraamusmaksujen osalta esityksessä ehdotetaan, ettei niitä voisi määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille eikä tasavallan presidentin kanslialle. Esityksessä katsotaan, ettei seuraamusmaksuja tässä vaiheessa ole tarpeen ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu. Esityksessä tosin edellytetään, että nyt ehdotetun ratkaisun kilpailullisia vaikutuksia sekä tietosuoja-asetuksen rikkomisesta viranomaiselle aiheutuvien seuraamuksien tehokkuutta ylipäätään on arvioitava uudelleen vastaisuudessa kertyneen seurantatiedon ja oikeuskäytännön sekä unionintasoisten suositusten ja linjausten valossa.

Kuten ennakoitavissa oli, tulee henkilötietoja käsittelevien tahojen toimintakenttä Suomessa kaikkinensa sisältämään jatkossa jotain uutta, jotain vanhaa ja jotain lainattua: Näyttäisi yhä siltä, että kansallisella tietosuojalailla lainsäätäjä pyrkii mahdollisimman pitkälle säilyttämään kotimaassa jo vallitsevan tilanteen. Toki tietosuoja-asetus tuo mukanaan jokseenkin runsaastikin paitsi uusia velvoitteita, myös reunaehtoja ja sanktioita totuttujen, melko liberaalienkin tapojen suitsemiseksi. Useilta osin, kuten lasten tietosuojan nimenomaisen tehostamisen osalta, sääntely heijastelee myös kansainvälisiä parhaita käytäntöjä.

Tietosuojauutiset.fi kiittää vierailevaa kirjoittajaa Eero Rapolaa ensiluokkaisesta avusta tämän tekstin kirjoittamisessa ja editoinnissa.