Pekka Nurmi: EU:n yleisen tietosuoja-asetuksen Suomen malli

 fi | sv

Anu Talus kertoi huhtikuussa 2016 OM:n blogissa EU:n ns. yleisen tietosuoja-asetuksen hyväksymisestä ja asetuksen sisällöstä. Asetus tulee sovellettavaksi 25.5.2018. Tuota ennen jäsenmaiden lainsäädäntö on saatettava asetuksen mukaiseen asentoon.

Vaikka asetus onkin normaaliin tapaan jäsenmaissa suoraan sovellettavaa sääntelyä, sisältää tämä asetus kuitenkin poikkeuksellisen paljon ns. kansallista liikkumavaraa. Kaikkiaan noin 50 asetuksen yksittäistä kohtaa mahdollistaa tai velvoittaa jäsenvaltion käyttämään kansallista, asetusta täsmentävää sääntelyä.

On kuitenkin huomattava, että liikkumavarassa on kysymys kansallisesta hienosäädöstä. Tämä ei muuta asetuksen perusratkaisuja. Valtaosa asetuksesta on jo sellaisenaan olemassa ja tiedossa ja tulee velvoittavaksi edellä mainittuna ajankohtana. Tähän on syytä varautua hyvissä ajoin.

OM:n työryhmä

OM asetti helmikuussa 2016 työryhmän valmistelemaan ehdotuksia kansallisen liikkumavaran käytöstä ja yleensäkin lainsäädäntömme saattamiseksi asetuksen edellyttämään kuntoon.

Työryhmän tehtävänä on

1. Tehdä ehdotus kumoutuvan henkilötietolain tilalle mahdollisesti tarvittavasta yleislaista,

2. Valmistella ehdotus kansallisesta tietosuojan valvontaviranomaisesta,

3. Tehdä linjaukset kansallisen liikkumavaran tarkoituksenmukaisesta käytöstä ja

4. Koordinoida ja avustaa henkilötietojen käsittelyä koskevan erityislainsäädännön tarkistamistyötä.

Kansallinen liikkumavara ja lainsäädännön muutostarve koskee suurelta osin julkista sektoria. Niinpä työryhmässä on kaikkien ministeriöiden edustus. Jäseniä on yhteensä 19.

Työryhmän ehdotus hallituksen lakiesitykseksi on tehtävä toukokuun 2017 loppuun mennessä.

Lainsäädäntöpoliittiset linjaukset

Toimeksiantonsa mukaan työryhmän tavoitteena on pidättäytyä kansallisesta lisäsääntelystä EU-lainsäädännön toimeenpanossa, vahvistaa kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä, varmistaa tietojen sujuva siirtyminen viranomaisten välillä sekä pyrkiä luopumaan tarpeettomasta erityissääntelystä.

Myös liikkumavaran käytössä on pyrittävä mahdollisimman yhtenäiseen eurooppalaiseen lainsäädäntöön. Työryhmä onkin pitänyt säännöllistä yhteyttä täytäntöönpanon valmisteluun muissa EU-maissa ja erityisesti pohjoismaissa.

Uusi yleislaki

Työryhmän päätehtävänä on uuden yleislain (henkilötietolaki 2018) hahmottelu. Edellä todetun politiikkalinjauksen mukaisesti työryhmä on keskittynyt sellaisiin asetuksen kohtiin, joissa kansallisen liikkumavaran käyttöä on pidettävä välttämättömänä. Luontevana vertailukohtana on nykyinen henkilötietolaki ja sen soveltamisesta saadut kokemukset.

Yksi kipukohta on henkilötietojen suojan ja suomalaisen asiakirjajulkisuuden yhteensovittaminen. Työryhmän tavoitteena on sääntely, joka ottaisi tasapainoisella tavalla huomioon molemmat periaatteet, selkiyttäisi oikeudellista tilannetta ja ottaisi huomioon kehittyneen tekniikan mukanaan tuomat haasteet ja mahdollisuudet. Työryhmä ei toisaalta voi lähteä uudistamaan koko julkisuuslakia, joten ehdotusten täytyy sopeutua olemassa olevan lain rakenteisiin ja käsitteisiin. Sinänsä tarve arvioida julkisuuslain uudistamista on käynyt yhä ilmeisemmäksi.

Valvontaviranomainen

Asetus säätää suoraan kansallisen valvontaviranomaisen tehtävistä ja toimivaltuuksista. Nämä lisääntyvät ja vahvistuvat nykyisestä huomattavasti. Samalla viranomaiselle asetetaan uusia vaatimuksia mm. riippumattomuuden suhteen. Viranomaisen hallinnollinen rakenne ja menettelytavat jäävät kuitenkin suurelta osin kansallisessa lainsäädännössä järjestettäviksi.

Tässäkin työryhmä on lähtenyt nykytilasta. Valvontaviranomaisena olisi tietosuojavaltuutettu, jota kuitenkin vahvistettaisiin monijäsenisellä kollegiolla kysymyksen ollessa vaikutuksiltaan merkittävien päätösten teosta (kuten ainakin hallinnollisten sakkojen määrääminen). Asetus aiheuttaa myös tarpeen tarkentaa rekisteröidyn oikeusturvaa koskevia sääntelyjä.

Valvontaviranomaisen riippumattomuuden yksi edellytys on, että viranomaisella on tehtävien suorittamiseksi riittävät resurssit. Tästä on asetuksessa suoraan sovellettava säännös. Jäsenmaiden on huolehdittava, että käytännössä toimitaan tämän mukaisesti.

On täysin selvää, että Suomessa tarvitaan nykyiseen nähden merkittävää lisärahoitusta.

Liikkumavaralinjaukset

Työryhmän linjaukset lähtevät edellä mainituista politiikkatavoitteista ja heijastuvat niin yleislaissa kuin sektorikohtaisessa erityissääntelyssä. Julkisella sektorilla henkilötietojen käsittelyn keskeinen oikeusperusta on lakisääteisen velvoitteen noudattaminen. Tämä tarkoittaa, että viranomaisen tehtävistä on säädettävä riittävän täsmällisesti.

Toisaalta tarpeettoman yksityiskohtaista rekisterikohtaista sääntelyä on vältettävä. Asetus on nykyistä sääntelyä yksityiskohtaisempi ja myös Suomen perustuslain mukaisena hyväksytty. Näin ollen ei ole lähtökohtaisesti perusteltua säätää yksittäisistä rekisterinpidoista nykyisen eduskuntakäytännön mukaisella yksityiskohtaisuuden tasolla. Tarkempi sääntely on säästettävä tilanteisiin, joissa tarvitaan erityisiä henkilötiedon käsittelyn suojatakeita.

Erityissääntelyn perkaaminen

Suomessa on kansainvälisestikin poikkeuksellisen paljon sektorikohtaista erityissääntelyä. Selvityksissä on löytynyt 600-700 säädöstä tai säännöstä, jotka tavalla tai toisella koskevat henkilötietojen käsittelyä.

Nämä säännökset käytiin kesällä 2016 yliopistotutkijoiden avulla läpi. Lopputuloksena oli, että sääntelyt ovat muutamaa poikkeusta lukuun ottamatta sinänsä tietosuoja-asetuksen oikeusperustan mukaisia. Ongelma onkin pikemminkin näiden sääntelyjen määrä, sekavuus, epäyhdenmukaisuus ja tarpeeton yksityiskohtaisuus. Kysymys on paljolti vuosien mittaan eri syistä kehittyneestä ylisääntelystä, josta olisi päästävä eroon sektorikohtaisin säädöshuoltotoimin.

Haaste ja mahdollisuus

Kirjoitin syksyllä 2013 OM:n blogisivulla asiantuntevasta lainvalmistelusta hallituksen tavoitteiden toteuttajana. Kirjoitus tuntuu olevan edelleenkin ajankohtainen. (Aiempi kirjoitus alla liitetiedostona)

EU:n yleinen tietosuoja-asetus tarjoaa nyt haasteita lainlaatijoille. Asetuksen rakenteesta seuraa, että yleisen henkilötietolain lisäksi tarvitaan edelleen tilannekohtaista erityissääntelyä. Samalla tarjoutuu kuitenkin mahdollisuus tarpeettomasta sääntelystä luopumiseen. Tasapainon löytäminen edellyttää valmistelijoilta hyvää osaamista. Sitä on hyvä harjoittaa esimerkiksi meneillään olevissa suurissa hankkeissa, joissa eri alojen lainsäädäntöä muutoinkin uudistetaan.

_____________________________________

Pekka Nurmi työskenteli pitkään oikeusministeriön lainvalmisteluosaston osastopäällikkönä. Hän oli kiinteästi mukana lainvalmistelun kehittämisessä niin kotimaassa kuin kansainvälisillä forumeilla. Pekka Nurmi jäi eläkkeelle 1.11.2013.

Pekka Nurmi: Asiantunteva lainvalmistelu hallituksen tavoitteiden toteuttajana, julkaistu 31.10.2013