Lausunto tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraportista

Oikeusministeriö | 17.6.2024 | VN/26111/2023

TIETOSUOJAN YLEISSÄÄDÖKSET (EU:n yleinen tietosuoja-asetus ja tietosuojalaki)

Onko tietosuojan yleissäädösten yleisen tietosuoja-asetuksen tai tietosuojalain soveltamiseen koettu liittyvän haasteita tai epäselvyyksiä, jotka voisivat vaikeuttaa julkisen palvelun järjestämistä?

Elinkeinoelämän keskusliitto kiittää mahdollisuudesta lausua tietosuojalainsäädännön kokonaisuudistuksesta vastaavan työryhmän väliraporttiin ja toteaa lausuntonaan seuraavaa.

EK on lausunut tietosuoja-asetukseen liittyvistä haasteista edellisen kerran syksyllä 2023 oikeusministeriölle toimittamassaan lausunnossa (lausuntopyynnön diaarinumero VN/23585/2023). Lausuntopyyntö koski tietosuoja-asetuksen toimivuutta, kansallista sääntelyä ja tietosuojasääntelyyn soveltamiseen liittyviä kokemuksia.

EK viittaa oikeusministeriölle aiemmin toimittamaansa lausuntoon tietosuoja-asetuksen ja kansallisen tietosuojasääntelyn haasteista (liite 1, lähetetty kirjaamoon). Nostimme lausunnossamme esiin laajasti myös kansallista erityislainsäädäntöä, jota ei pääosin ole väliraportissa huomioitu.

EK:n näkemyksen mukaan nyt lausunnolla oleva väliraportti ei kaikilta osin vastaa hallitusohjelmassa mainitun tietosuojalainsäädännön kokonaisuudistuksen tarpeita, sillä siinä on huomioitu pääsääntöisesti vain julkisen sektorin tiedon liikkuvuutta haittaavat normit. Pääministeri Orpon hallitusohjelmassa on kuitenkin mm. seuraavat kirjaukset:

”Hallitus toteuttaa kansallisen tietosuojalainsäädännön kokonaisuudistuksen. Kokonaisuudistuksen yhteydessä kumotaan tiedon liikkuvuutta, pilvipalveluiden tarkoituksenmukaista käyttöä tai muuten julkisten palveluiden tarkoituksenmukaista järjestämistä haittaavat säädökset ja hyödynnetään tarvittaessa nykyistä laajemmin GDPR:n kansallista liikkumavaraa. Kokonaisuudistuksen yhteydessä säädetään hallinnolliset sakot tietosuojaloukkauksista koskemaan julkista ja yksityistä sektoria yhtäläisesti.”

”Hallituksen tavoitteena on liian sääntelyn purkaminen ja hallinnollisen taakan keventäminen. Puretaan kansalaisia ja yrityksiä haittaavaa ylikireää sääntelyä ja byrokratiaa. Helpotetaan yritystoimintaa ja yrittämisen edellytyksiä.”

”Vältetään EU-lainsäädännön toimeenpanon yhteydessä kansallista lisäsääntelyä. Toteutetaan voimassa olevan lainsäädännön ”Suomilisä” -kartoitus. Puretaan EU-sääntelyn päälle lisättyä kansallista sääntelytaakkaa, joka haittaa yritysten kilpailukykyä tai ihmisten arkea.”

”Varmistetaan teknologianeutraali ja laajalti automatisaation sekä uusien teknologioiden, kuten tekoälyn, vastuullisen hyödyntämisen mahdollistava lainsäädäntö. Toteutetaan ”TechFit”-kartoitus, jolla tunnistetaan ja korjataan puutteita ja epäkohtia sekä teknologioita ja automatisaatiota estäviä elementtejä lainsäädännössä ja menettelytavoissa.”

EK korostaa, että jatkotyössä tulisi huomioida laajemmin myös yksityisen sektorin tiedon liikkumista ja käyttöä haittaavat normit.

Kansallinen tietosuojalakimme (1050/2018) on yleisesti ottaen toimiva, esimerkiksi siinä säännellyt dokumentointi- ja raportointivaatimukset ovat selkeitä. Tietosuojalakia tulisi kuitenkin muuttaa siten, että hallinnollisten seuraamusmaksujen määrääminen tulisi mahdollistaa yksityisen sektorin toimijoiden lisäksi myös valtion tai kunnan viranomaisille ja muille julkisoikeudellisille toimijoille.

Tietosuojalain sijaan elinkeinoelämä kokee haasteelliseksi enemmänkin muun kansallisen lainsäädännön ja sen soveltaminen yhdessä EU:n tietosuoja-asetuksen ja tietosuojalain kanssa.

Onko jonkin yleisen tietosuoja-asetuksen tai tietosuojalain säännöksen havaittu estävän viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen tarkoituksenmukaisella tavalla? Onko tietosuojan yleissäädösten havaittu estävän tai rajoittavan tiedon tai henkilötietojen hyödyntämistä tai käsittelyä tarkoituksenmukaisella tavalla?

Ei kommentoitavaa

VIRANOMAISTEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA KANSALLINEN ERITYISSÄÄNTELY

Onko kansalliseen erityissääntelyyn, jossa on kyse viranomaisten suorittamasta henkilötietojen käsittelystä (mukaan lukien henkilötietojen luovuttamisesta), koettu liittyvän haasteita tai epäselvyyksiä?

Sähköisten viestintäpalveluiden osalta ePrivacy-direktiivin täytäntöönpanon (laki sähköisen viestinnän palveluista (917/2014)) ja tietosuoja-asetuksen välinen epäselvyys sekä eri viranomaisten toimivaltuuksien rajat ja vaihtelevat tulkintakäytännöt aiheuttavat suuria haasteita alan toimijoille.

Tämä näkyy niin sähköisen suoramarkkinoinnin sääntöjen maakohtaisuutena kuin viestien luottamuksellisuutta koskevien tulkintojen erilaisuutena yhteisötilaajana toimivan työnantajan kannalta. Lisäksi vuosia jatkunut epäselvyys tulevan ePrivacy-asetuksen sisällöstä ja aikataulusta lisää epävarmuutta ja tekee alan toimijoille mahdottomaksi valmistautua etukäteen tuleviin vaatimuksiin.

EK pitää hyvänä, että sähköisen viestinnän palvelulaki on tunnistettu väliraporissa yhdeksi liikenne- ja viestintäministeriön hallinnonalan tarkempaa arviointia edellyttäväksi laiksi. Suomen tulisi vaikuttaa aktiivisesti myös siihen, että edelleen EU- lainsäädäntöprosessissa oleva ePrivacy asetusehdotus arvioitaisiin komission aloitteesta uudelleen suhteessa uuteen EU:n data- ja tekoälysääntelyyn. Suomen tulisi olla aktiivisesti vaikuttamassa myös siihen todennäköiseen vaihtoehtoon, että ePrivacy-asetusehdotusta ei EU:ssa enää työstetä nykymuodossaan eteenpäin.

Sosiaali- ja terveysala edellyttää tietosuojaan ja tietojenkäsittelyyn liittyvää erityislainsäädäntöä jatkossakin, sillä toimialalle on ominaista perusoikeuksien ja muiden yhteiskunnallisten ja taloudellisten näkökohtien väliset haasteet, joita yleislainsäädännöllä on vaikea ratkaista. Erityissääntelyn tulisi kuitenkin olla selkeää, mahdollistavaa ja sellaista, että se ei aseta suomalaisia toimijoita epäedulliseen asemaan kansainvälisessä toiminnassa.

Esimerkiksi laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) eli toisiolaki ei nykyisellään mahdollista sote-sektorin datan laajempaa hyötykäyttöä. Toisiolaki on aiheuttanut ongelmia ennen kaikkea yliopistojen kansainvälisille tutkimushankkeille.

EK pitää hyvänä, että STM on käynnistänyt hallitusohjelmakirjausten mukaisesti kaksi hanketta, joista toinen koskee tutkimuslainsäädännön selkiyttämistä laajemmin ja toinen hanke koskee yksin- omaan toisiolakia (STM111:00/2024 ja STM040:00/2024). Olisi kuitenkin toivottavaa ja kokonaisuuden kannalta selkeämpää, että ”sotedatan” toisiokäytön haasteet kuvattaisiin laajemmin myös tässä raportissa.

Toisena esimerkkinä EK nostaa esiin sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain (703/2023), jonka tarkoituksena on yhdenmukaistaa asiakastietojen käsittelyä sosiaali- ja terveydenhuollossa sekä sosiaali- ja terveyspalveluita järjestettäessä ja toteutettaessa. Laki on vastikään uudistettu, mutta se sisältää edelleen joitain vaikeaselkoisia kohtia kuten viranomaisen tiedonsaantioikeutta koskeva 64 §, joka jättää epäselväksi, mitä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavilla tiedoilla tarkoitetaan.

Onko kansallisen erityislainsäädännön henkilötietojen käsittelyä koskevien säännösten havaittu estävän tietojenvaihdon sellaisten viranomaisten (tai julkista hallintotehtävää hoitavien) välillä, jotka tarvitsevat tietoja lakisääteisten tehtäviensä hoitamista tai julkisen palvelun tarjoamista varten?

Ei kommentoitavaa.

Onko kansallisessa erityislainsäädännössä tunnistettu muita esteitä julkisen palvelun tarkoituksenmukaiselle järjestämiselle?

Tekoäly on nopeasti kehittyvä teknologiakokonaisuus, jonka tarkoituksenmukainen käyttö voi tukea yhteiskunnallisesti suotuisia tuloksia esimerkiksi terveydenhuollon, koulutuksen, energian ja logistiikan alalla.

EU:n tekoälysäädös mahdollistaa tekoälyn hyödyntämisen myös viranomaispäätöksissä, kun päätetään ihmisille tärkeistä etuuksista ja palveluista, mutta EU:n yleinen tietosuoja-asetus taas sisältää automatisoitujen yksittäispäätösten kiellon. GDPR:n 22 artiklan 1 kohdan mukaista kieltoa ei kuitenkaan sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, se on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä. Lisäksi automatisoitu päätös on sallittu, jos se perustuu rekisteröidyn nimenomaiseen suostumukseen.

EK esittääkin, että kansallista automaattisen päätöksenteon mahdollistavaa lainsäädäntöämme tulisi päivittää EU:n tekoälysäädöksen mukaisesti siten, että myös tekoälyllä tehtävät viranomaispäätökset olisivat tulevaisuudessa mahdollisia.

Suomen tulisi toteuttaa pikaisella aikataululla myös EU:n tekoälysäädöksen VI luvun 57 artiklan mukaiset tekoälyn sääntelyn testiympäristöt. Sääntelyn testiympäristöillä (regulatory sandboxes) tarkoitetaan viranomaisen valvonnassa olevia ympäristöjä, joissa yritykset voivat turvallisesti testata uusia innovaatioitaan rajoitetun ajan.

Testiympäristöissä voidaan joustaa myös yrityksiä velvoittavasta sääntelystä, jos se muodostaa merkittävän esteen tuotekehitykselle.

Tekoälyn kehitystä hidastaa usein se, että olemassa olevan datan toisiokäyttö on hyvin rajattua ja edellyttää usein huolellista tietosuojaprotokollaa ja eettisiä harkintoja, erityisesti silloin, kun data sisältää henkilötietoja.

Tämän selvityksen yhteydessä voisikin miettiä innovaatiomyönteisiä lievennyksiä lainsäädäntöön tekoälysääntelyn testiympäristöjen toteutusta varten, jotta Suomi pysyy jatkossakin tekoälykehityksen kärkimaana Euroopassa.

YLEISEN TIETOSUOJA-ASETUKSEN SALLIMAN KANSALLISEN SÄÄNTELYLIIKKUMAVARAN KÄYTTÖ

Onko yleisen tietosuoja-asetuksen sallimaa kansallista sääntelyliikkumavaraa käytetty tarkoituksenmukaisella tavalla viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen näkökulmasta?

Ei kommentoitavaa.

Puuttuuko kansallisesta erityislainsäädännöstä säännöksiä, jotka mahdollistaisivat viranomaisten välisen tiedon liikkumisen siten, että julkinen palvelu voitaisiin järjestää tarkoituksenmukaisella tavalla. Jos kyllä, mistä puutteesta ja palvelusta on tarkalleen ottaen kyse?

Ei kommentoitavaa.

Onko kansallisessa erityislainsäädännössä käytetty sääntelyliikkumavaraa tarpeettomasti? Jos on, miltä osin ja mistä säännöksistä on tarkalleen ottaen kyse?

Ei ole.

YLEISET KOMMENTIT

Puuttuuko väliraportin liitteestä 1 lakeja, joita olisi hyvä arvioida kokonaisuudistuksen yhteydessä?

Yksityisyyden suojasta työelämässä annetussa laissa (759/2004) on tietosuoja-asetusta tiukempaa kansallista sääntelyä liittyen muun muassa työntekijöiden henkilötietojen käsittelyyn.

Työelämää koskeva tietosuojalakimme on rajoittava jopa pohjoismaisessa kontekstissa, mikä aiheuttaa yrityksille haasteita kansainvälisten yhteistyökumppaneiden valinnassa.

Tulkintahaasteita aiheuttavat esimerkiksi kameravalvontaa koskeva lain 16 §, huumausainetestiä koskevat 7 ja 8 § sekä se, että sanaa suostumus on käytetty työelämän tietosuojalaissa tavalla, joka ei näytä täyttävän yleisen tietosuoja-asetuksen ja siihen liittyvien eurooppalaisten viranomaisohjeiden ehtoja suostumukselle.

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019) eli toisiolaki ei nykyisellään mahdollista sote-sektorin datan laajempaa hyötykäyttöä. Toisiolaki on aiheuttanut ongelmia ennen kaikkea yliopistojen kansainvälisille tutkimushankkeille (ks. vastaus aiemmin lausuntopyynnön osiossa kansallinen erityissääntely).

Lisäksi haasteita on ilmennyt mm. maksupalveludirektiivin ja tietosuoja- asetuksen yhteensovittamisessa. Ongelmat liittyvät etenkin viranomaisten ristiriitaisiin tulkintaohjeisiin. Myös rahanpesusääntelyn ja tietosuoja-asetuksen yhteensovittaminen on ollut käytännössä haastavaa.

Lausuntopalvelu