Esitys tietosuojalaiksi kaipaa vielä työstämistä
Hallitus antoi 1. maaliskuuta eduskunnalle esityksen EU:n yleistä tietosuoja-asetusta täydentäväksi tietosuojalaiksi. Hallinnollisia sakkoja olisi mahdollista määrätä vain yksityiselle sektorille. Yritysten oikeusturvan kannalta ongelmallista on, että enimmäismäärältään ankarien sakkojen määräämisestä päättäisi tuomioistuimen sijaan tietosuojavaltuutettu.
Tietosuojalailla täydennettäisiin tietosuoja-asetuksen perusteita muun muassa arkaluonteisten, kuten terveyttä koskevien, henkilötietojen käsittelylle. Henkilötunnuksen käsittelystä säädettäisiin samoin kuin nykyisessä henkilötietolaissa. Lisäksi säädettäisiin tietyistä poikkeuksista tietosuoja-asetuksen sääntelyyn tilastollisia ja journalistisia tarkoituksia tai tieteellisiä tutkimustarkoituksia varten tapahtuvan henkilötietojen käsittelyn osalta.
– On hyvä, että siltä osin, kun tietosuoja-asetus sisältää kansallista liikkumavaraa, esityksessä pyritään säilyttämään nykyistä oikeustilaa. Tietosuoja-asetus lisää yritysten oikeudellista epävarmuutta ja sääntelytaakkaa. On hyödynnettävä mahdollisuudet näiden vaikutusten vähentämiseksi, EK:n asiantuntija Niina Harjunheimo toteaa.
– Esitys on tärkeätä kammata läpi vielä eduskunnassa sen varmistamiseksi, ettei yrityksille aseteta kansallisella lailla tarpeettomia vaatimuksia.
Tietosuoja-asetuksen yritysvaikutuksia on selvitetty valtioneuvoston selvitys- ja tutkimustoiminnan rahoittamassa Tampereen yliopiston selvityksessä.
Tietosuojavaltuutetulle liian laajat toimivaltuudet
Tietosuojalaissa säädettäisiin myös, että henkilötietojen suojaa koskevaa lainsäädäntöä valvoisi jatkossa tietosuojavaltuutettu. Nykyisin tärkein päätösvaltaa käyttävä tietosuojaviranomainen, tietosuojalautakunta, lakkautettaisiin.
Tämä tarkoittaisi, että tietosuojavaltuutetulla olisi tietosuoja-asetuksen mukainen tutkintatoimivalta, ja lisäksi hän päättäisi mahdollisista korjaavista toimenpiteistä, kuten käsittelykielloista, ja määräisi mahdollisen hallinnollisen sakon.
Tietosuoja-asetuksen mukaan yrityksille määrättävien sakkojen enimmäismäärä on rikkomuksesta riippuen 10 tai 20 miljoonaa euroa, tai 2 tai 4 prosenttia edeltävän tilikauden vuotuisesta maailmaanlaajuisesta kokonaisliikevaihdosta.
– Suomen oikeudenkäytössä on pääsääntöisesti katsottu, että tietosuoja-asetuksessa säädetyn kaltaisen hyvin ankaran hallinnollisen sakon voi määrätä vain tuomioistuin. Vähintään on pyritty huolehtimaan, että päätöksen voi tehdä vain kollegiaalinen elin, kuten on Finanssivalvonnassa, toteaa johtaja Hannu Rautiainen EK:sta.
Hallinnolliset sakot vain yksityiselle sektorille
Hallinnollisia sakkoja ei olisi tietosuojalain mukaan mahdollista määrätä valtion viranomaisille, kunnallisille viranomaisille tai itsenäisille julkisoikeudellisille laitoksille.
– Tietosuoja-asetusta sovelletaan niin yksityisellä kuin julkisella sektorilla. Esimerkiksi sosiaali- ja terveysalalla julkisen sektorin rekisterinpitäjät käsittelevät merkittävissä määrin arkaluonteisia henkilötietoja. On vaikea ymmärtää, miksi viranomaisiin kohdistuvan seuraamusuhan tulisi olla pienempi kuin yrityksiin ja erityisesti pk-yrityksiin kohdistuvan uhan, Rautiainen sanoo.
– Esityksessä todettu rikosoikeudellinen virkavastuu kohdistuu rekisterinpitäjän alaisuudessa työskentelevään luonnolliseen henkilöön, ei rekisterinpitäjänä toimivaan ja tietosuoja-asetuksen sääntelyn noudattamisesta vastaavaan viranomaiseen.
Tietosuojalain sisältö olisi nykyistä henkilötietolakia merkittävästi suppeampi, koska jatkossa henkilötietojen suojaa koskevan lainsäädännön aineellinen sisältö on pitkälti tietosuoja-asetuksessa. Lakia olisi siten luettava rinnakkain tietosuoja-asetuksen kanssa.
Henkilötietolaki sekä laki tietosuojalautakunnasta ja tietosuojavaltuutetusta kumottaisiin. Tietosuojalaki tulisi voimaan 25.5.2018, jolloin myös tietosuoja-asetusta aletaan soveltaa.
Tietosuoja-asetus edellyttää tarkistuksia myös henkilötietojen käsittelyä koskevaan erityislainsäädäntöön.
– Yritysten näkökulmasta on tärkeätä, että paitsi tietosuojalain myös tarkistetun erityislainsäädännön sisältö on selvillä mahdollisimman pian. On valitettavaa, että yrityksen joutuvat valmistautumaan tietosuoja-asetukseen siten, että asetusta täydentävän kansallisen lainsäädännön sisältö ei ole selvillä, Harjunheimo sanoo.