Tietosuoja-asetuksen vaatimat muutokset tulotietojärjestelmään ja positiiviseen luottotietorekisteriin

Valtiovarainministeriö | 25.4.2024 | VM011:00/2024

Esityksessä tulotietojärjestelmästä annettua lakia muutettaisiin saattamalla siinä olevat rekisterinpitäjän vastuita koskevat säännökset vastaamaan tarkemmin EU:n yleisestä tietosuoja-asetuksesta seuraavia vaatimuksia. Tulorekisteriyksikön vastuiden kasvun vuoksi Tulorekisteriyksikölle tulisi lisäksi oikeus asettaa uhkasakko suoritusten maksajien ilmoitusvelvollisuuden täyttämiseksi.

Lisäksi positiivisesta luottotietorekisteristä annettua lakia muutettaisiin siten, että tieto rekisteröidyn tietosuoja-asetuksen nojalla tekemästä vaatimuksesta henkilötietojen käsittelyn rajoittamiseksi luovutetaan luotonantajille luottotietoraportilla.

Lakiehdotuksessa käytettäisiin EU:n tietosuoja-asetukseen perustuvaa kansallista sääntelyliikkumavaraa siltä osin kuin se sisältää erityissäännöksiä henkilötietojen käsittelystä. Henkilötietojen käsittelylle on oltava tietosuoja-asetuksessa tarkoitettu käsittelyn yleinen oikeusperuste. Henkilötietojen käsittely ei kuitenkaan voi perustua mihin tahansa tietosuoja-asetuksen kohtiin, vaan asetuksen 6 artiklan 3 kohdan mukaisesti käsittelyn perustasta on säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä. Koska asiaa koskevaa unionin oikeutta ei ole, tulotietojärjestelmän yhteydessä tapahtuvasta henkilötietojen käsittelystä on säädettävä erikseen kansallisessa laissa.[1]

Muutoksilla parannettaisiin tulorekisterin tietojen oikeellisuutta ja ajantasaisuutta, mikä parantaisi tietojen hyödynnettävyyttä niitä käyttävien tahojen toiminnassa samoin kuin näiden tekemien tulonsaajia koskevien päätösten oikeellisuutta. Esityksellä ei arvioida olevan merkittäviä taloudellisia tai muita vaikutuksia tulorekisteriin tietoja ilmoittaville suorituksen maksajille.

EK pitää esitystä perusteltuna.

EK pitää kuitenkin erittäin tärkeänä, että muutokset toteutetaan käytännössä sellaisella tavalla, joka minimoi yrityksille ja työnantajille koituvaa hallinnollista taakkaa.

Lisäksi uhkasakon käyttämisen ei tule olla millään tavalla ensisijainen keino velvoitteiden hoitamisen tehosteena.

[1] Kansallisen sääntelyliikkumavaran käyttö perustuisi tietosuoja-asetuksen 6 artiklan 3 kohtaan, jonka nojalla tietosuoja-asetuksen säännöksiä voidaan mukauttaa antamalla erityisiä säännöksiä esimerkiksi käsiteltävien tietojen tyypistä, rekisteröidyistä, henkilötietojen luovuttamisesta, käsittelyn käyttötarkoitussidonnaisuudesta, säilytysajoista sekä käsittelytoimista ja -menettelyistä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet. Kun käsittely perustuu tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan, tulee jäsenvaltion lainsäädännön täyttää yleisen edun mukainen tavoite ja sen on oltava oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden.