Lausunto oikeusministeriön arviomuistioon viranomaisia koskevista seuraamuksista tietosuojalainsäädännön rikkomisesta

Oikeusministeriö | 28.11.2024 | VN/26120/2023

Elinkeinoelämän keskusliitto (EK) kiittää mahdollisuudesta lausua otsikossa mainitussa asiassa. Pääministeri Orpon hallitusohjelman mukaan hallituksen tulee toteuttaa kansallisen tietosuojalainsäädännön kokonaisuudistus, jonka yhteydessä säädetään hallinnolliset sakot tietosuojaloukkauksista koskemaan julkista ja yksityistä sektoria yhtäläisesti.

Lausunnolla olevassa muistiossa arvioidaan olemassa olevan kansallisen seuraamusjärjestelmän toimivuutta ja tarkastellaan valtiosääntöoikeudellisia näkökohtia, jotka tulee huomioida, jos tietosuojalainsäädännön rikkomisesta tullaan määräämään hallinnollinen seuraamusmaksu myös viranomaisille.

EU:n yleisessä tietosuoja-asetuksessa (GDPR) jätetään jäsenvaltioiden harkintaan hallinnollisten seuraamusmaksujen ulottaminen myös viranomaisiin. Rikosasioiden tietosuojadirektiivi jättää kansalliseen harkintaan puolestaan sen, sovelletaanko viranomaisiin rikosoikeudellista vai hallinnollista seuraamusjärjestelmää.

Kansallisen tietosuojalainsäädäntämme mukaan tietosuojasääntelyn rikkomisesta voidaan määrätä hallinnollisia seuraamusmaksuja vain yksityisen sektorin toimijoille. Tietosuojalain (1050/2018) 24 §:n 4 momentin mukaan viranomaiset on rajattu EU:n yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun soveltamisalan ulkopuolelle.

EU:n yleinen tietosuoja-asetus sisältää suoraan sovellettavat säännökset valvontaviranomaisten käytettävissä olevista korjaavista toimivaltuuksista, kuten tämän oikeudesta määrätä 83 artiklan nojalla hallinnollinen seuraamusmaksu. Muita tietosuoja-asetukseen perustuvia valvontaviranomaisen toimivaltuuksia ovat esimerkiksi varoituksen ja huomautuksen antaminen sekä käsittelykiellon määrääminen. Näitä muita toimivaltuuksia voidaan Suomessakin käyttää myös viranomaisiin.

EK kiinnittää huomiota siihen, että hallinnollisen seuraamusmaksun määrääminen on yksi GDPR:ssä säädetty seuraamus tai toimi, eikä muiden korjaavien toimien tarkoitus ole korvata hallinnollisia seuraamusmaksuja. Esimerkiksi huomautus voidaan antaa hallinnollisen seuraamusmaksun sijasta tai sen lisäksi.

Selvityksessä todetaan, että tietosuojalainsäädännön rikkomisesta voi Suomessa aiheutua seuraamuksia yksittäisille virkamiehille, viranhaltijoille ja muille julkista tehtävää hoitaville rikosoikeudellisen virkavastuusääntelyn nojalla. Virkarikossäännökset perustuvat aina yksittäisen virkamiehen henkilökohtaiseen rikosoikeudelliseen vastuuseen.

EK kiinnittää huomiota siihen, että GDPR:n keskeisimmät velvoitteet koskevat selvästi luontevammin rekisterinpitäjää, joka useimmiten on oikeushenkilö. Kuten selvityksessäkin todetaan, yksittäiset virkamiehet ovat saaneet Suomessa seuraamuksia virkarikoslainsäädännön nojalla lähinnä ns. urkintarikoksista, joissa on ollut kyse perusteettomista hauista tietojärjestelmiin. EK:n mielestä vaikuttaa ilmeiseltä, että seuraamus GDPR:n keskeisimpien velvollisuuksien organisaatiotason laiminlyönneistä olisi luontevin kohdistaa oikeushenkilöön, ja seuraamusmuotona tehokkain on hallinnollinen seuraamusmaksu.

Lisäksi Suomessa on sellaisia yksityisen sektorin työntekijöitä, joita koskee myös rikosoikeudellinen virkavastuu esimerkiksi lakisääteistä työeläke- ja vakuutustoimintaa harjoitettaessa. Tämä siis sen lisäksi, että työeläke- ja vakuutustoimijoihin soveltuvat myös GDPR:n mukaiset hallinnolliset seuraamusmaksut. EK kiinnittää huomiota myös siihen, että valtion toimintojen moninaistuessa on paljon myös julkisen sektorin toimijoita, kuten valtion instituutioiden työsuhteisia työntekijöitä, joihin rikosoikeudellinen virkavastuusääntely ei aina sovellu.

Arviomuistiossa vertailluista valtioista useimmissa on käytössä oikeushenkilön vastuuseen perustuva hallinnollinen seuraamusmaksu tai rikosoikeudellinen sakko, joka voidaan määrätä viranomaiselle tai muulle julkisyhteisölle. Useassa valtiossa, jossa hallinnollisen seuraamusmaksun määrääminen viranomaiselle on mahdollista, on seuraamusmaksua koskevaan sääntelyyn tehty rajauksia viranomaisten osalta. Vertailun perusteella lähimpänä Suomessa tehtyä seuraamusmaksujen soveltamisalaa koskevaa ratkaisua ovat Viro, Saksa ja Itävalta.

Suomen perustuslakivaliokunta on todennut, että EU:n yleiseen tietosuoja-asetukseen perustuvien hallinnollisten seuraamusmaksujen uhka voisi vaikuttaa yleisesti viranomaisen lakisääteisten tehtävien hoitamiseen. Viranomaisille tietosuojasäännösten rikkomisesta määrättävä varsin merkittävä hallinnollinen seuraamusmaksu voisi perustuslakivaliokunnan mukaan vaarantaa perusoikeuksien keskinäisen punninnan tasapainoisuuden viranomaistoiminnassa ja johtaa erityisesti julkisuusperiaatteen toteutumisen kaventumiseen viranomaistoiminnassa.

Tämä tarkoittaisi käytännössä sitä, että henkilötietojen suojalle annettaisiin perustuslakivaliokunnan mukaan viranomaistoiminnassa enemmän painoarvoa kuin julkisuusperiaatteelle, josta säädetään perustuslain 12 §:n 2 momentissa. Tämä voisi puolestaan johtaa siihen, että viranomaiset eivät antaisi tietoa hallussaan olevista asiakirjoista vaan voisivat tietosuojan hallinnollisen seuraamusmaksun pelossa rikkoa julkisuusperiaatetta.

EK oudoksuu edellä mainittua perustelua, koska kaikessa viranomaistoiminnassa on totuttu tasapainottelemaan usean perustuslaillisen oikeuden ja periaatteen välimaastossa. Tämän voisi kuvata olevan jopa viranomaistoiminnan ydin. GDPR:n hallinnollisen seuraamusmaksun soveltuminen myös viranomaisiin tuskin vaarantaa viranomaisten kykyä noudattaa julkisuuslakia.

EK toteaa, että hallitusohjelmakirjausten mukaisesti työtä tulisi selvityksen pohjalta jatkaa selvittäen kansalliset mahdollisuudet säätää GDPR:n hallinnolliset seuraamukset koskemaan myös julkista sektoria muiden Pohjoismaiden tapaan.