12.5 Tietosuojalainsäädäntö
12.5.1 Henkilötietojen käsittelyyn sovellettava yleislainsäädäntö
Tietosuoja-asetus ja tietosuojalaki
Henkilötietojen suoja kuuluu osana perustuslain 10 §:n 1 momentilla turvattuun yksityiselämän suojaan. Henkilötietojen suojasta on säädettävä lailla. Henkilötietojen suojaa toteutetaan ennen kaikkea EU:n yleisellä tietosuoja-asetuksella 2016/679 sekä sitä täsmentävällä ja täydentävällä tietosuojalailla (1050/2018). Seikoista, joista säädetään yleisessä tietosuoja-asetuksessa tai tietosuojalaissa, ei ole tarpeen eikä asianmukaista ottaa säännöksiä erityislakeihin. Edellä tässä oppaassa tähdennetään yleislaeista poikkeamatta jättämisen tärkeyttä ylipäänsä (jakso 12.1) sekä pidättyväisyyttä yleislakeihin viittaamisessa (jakso 12.2). Yleisen tietosuoja-asetuksen ja tietosuojalain soveltamiseen ei yleensä tulisi viitata informatiivisista syistä.
Yleisen tietosuoja-asetuksen ja sitä täydentävän kansallisen yleislain eli tietosuojalain soveltamisala on laaja. Asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa. Yleistä tietosuoja-asetusta ei kuitenkaan sovelleta esimerkiksi EU-oikeuden ulkopuolelle jäävään henkilötietojen käsittelyyn, kuten kansalliseen turvallisuuteen liittyvään henkilötietojen käsittelyyn, josta säädetään muualla lainsäädännössä (ks. alajakso ”Rikosasioiden tietosuojalaki”). Koska perustuslain 10 §:n lakivaraus edellyttää henkilötietojen suojasta säädettävän lailla, on yleistä tietosuoja-asetusta täydentävässä tietosuojalaissa ulotettu yleinen tietosuoja-asetus soveltumaan eräin rajauksin myös sellaiseen henkilötietojen käsittelyyn, johon ei suoraan yleisen tietosuoja-asetuksen nojalla sitä sovellettaisi.
Yleisessä tietosuoja-asetuksessa säädetään reunaehdot henkilötietojen käsittelylle. Näillä säännöillä pyritään myös turvaamaan henkilötietojen vapaa liikkuvuus EU:ssa. Asetuksessa säädetään niin ikään rekisteröidyn oikeuksista, käsittelyssä noudatettavista periaatteista sekä oletusarvoisesta ja sisäänrakennetusta tietosuojasta. Asetuksessa määritellään esimerkiksi henkilötiedon, suostumuksen ja rekisterinpitäjän käsitteet. Asetuksen sisältämiä määritelmiä ei kansallisessa lainsäädännössä saa määrittää toisin tai toistaa niitä tarpeettomasti. Erityislainsäädännössä tulee kuitenkin käyttää yleislainsäädännössä omaksuttuja termejä.
Yleistä tietosuoja-asetusta täydentävässä tietosuojalaissa säädetään esimerkiksi kansallisesta valvontaviranomaisesta, henkilötietojen käsittelyn oikeusperusteista eräissä tapauksissa, oikeusturvasta ja seuraamuksista sekä tietojen käsittelyn erityistilanteista esimerkiksi tieteellisessä tutkimuksessa.
Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä määräytyy viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaan. Mainittua lakia käsitellään jaksossa 12.4.
Rikosasioiden tietosuojalaki
Toinen henkilötietojen käsittelyyn sovellettava yleislaki on henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu laki (1054/2018, rikosasioiden tietosuojalaki). Lailla on pantu täytäntöön ns. rikosasioiden tietosuojadirektiivi (EU) 2016/680. Lakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden laissa määriteltyjen toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lisäksi lakia sovelletaan myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä.
Rikosasioiden tietosuojalaki on siis soveltamisalaltaan huomattavasti yleistä tietosuoja-asetusta ja tietosuojalakia kapeampi. Sitä sovelletaan ainoastaan siinä määriteltyjen toimivaltaisten viranomaisten suorittamaan henkilötietojen käsittelyyn eräissä käsittelytarkoituksissa. Siltä osin kuin henkilötietojen käsittelytarkoitus ei kuulu rikosasioiden tietosuojalain soveltamisalaan, soveltavat mainitut viranomaiset käsittelyyn yleistä tietosuoja-asetusta ja sitä täydentävää kansallista lainsäädäntöä. Rikosasioiden tietosuojalain ja tietosuojalain soveltamisalat eivät ole miltään osin päällekkäisiä.
Perustuslakivaliokunta on todennut, että toisin kuin suoraan sovellettava yleinen tietosuoja-asetus, rikosasioiden tietosuojadirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta.[1] Arvioidessaan esitystä rikosasioiden tietosuojadirektiivin yleiseksi täytäntöönpanolainsäädännöksi perustuslakivaliokunta piti merkityksellisenä, että säännökseen sisältyi asianmukaiset ja yksityiskohtaiset säännökset henkilötietojen käsittelyn yleisistä edellytyksistä ja periaatteista, rekisteröidyn oikeuksista, valvonnasta ja esimerkiksi tietoturvasta.[2]
Rikosasioiden tietosuojalain lisäksi laissa tarkoitettujen toimivaltaisten viranomaisten suorittamasta henkilötietojen käsittelystä säädetään myös useassa erityislaissa. Perustuslakivaliokunnan mukaan perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa, ja valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan ”poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa”[3]. Tällöin myös sääntelyn täsmällisyydestä ja tarkkarajaisuudesta on erityisesti huolehdittava.
Henkilötietoja koskevan lainsäädännön selvyys kuitenkin edellyttää, että erityislainsäädäntöön ei sisällytetä sellaisia sääntelykokonaisuuksia, joista säädetään riittävällä täsmällisyydellä ja tarkkuudella yleislaissa. Erityislainsäädännön valmistelussa tulee myös ottaa huomioon rikosasioiden tietosuojadirektiivin mahdollistama liikkumavara ja sen rajat. Lisäksi olisi huomioitava, että rajoituksia voi seurata myös kansainvälisistä velvoitteista.
[1] PeVL 14/2018 vp, s. 7.
[2] PeVL 26/2018 vp.
[3] PeVL 15/1994 vp, s. 1/II, PeVL 67/2010 vp, s. 2—3.
Yleislakiin viittaaminen
Kuten muihinkaan yleislakeihin, ei yleiseen tietosuoja-asetukseen, tietosuojalakiin tai rikosasioiden tietosuojalakiin erityislainsäädännössä lähtökohtaisesti tule viitata. Informatiivisiinkin viittaussäännöksiin tulisi lainsäädännön yhtenäisyyden vuoksi suhtautua pidättyvästi. Riittävää olisi yleensä ottaa asiasta korkeintaan maininta hallituksen esityksen perustelutekstiin. Informatiivinen viittaussäännös voisi olla tarpeellinen esimerkiksi tilanteessa, jossa samassa laissa säädetään käsittelystä, joka kuuluu osin yleisen tietosuoja-asetuksen ja osin rikosasioiden tietosuojadirektiiviä täytäntöönpanevan kansallisen lain soveltamisalaan.
12.5.2 Henkilötietojen suojasta säätäminen erityislainsäädännössä
Erityissäännösten tarpeesta
Henkilötietojen suojasta säätäminen erityislainsäädännössä edellyttää ensinnäkin sen tunnistamista, onko säänneltävänä olevassa toiminnassa kyse myös henkilötietojen käsittelystä. Henkilötietojen käsittelyllä tarkoitetaan kaikkia toimintoja, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti. Käsittelyä on siten esimerkiksi tietojen kerääminen, tallentaminen, luovuttaminen, säilyttäminen, muokkaaminen ja poistaminen. Tämän jälkeen on tunnistettava, kumpaa edellä esitellyistä yleislaeista (yleinen tietosuoja-asetus ja tietosuojalaki vai rikosasioiden tietosuojalaki) kyseiseen käsittelyyn sovelletaan. Sovellettava yleislaki vaikuttaa olennaisesti siihen, millä tavalla erityissääntelyn tarvetta ja sen tarkkuutta tulee arvioida.
Käytettävissä oleva kansallinen liikkumavara on rajoitetumpaa, kun kyseessä on asetus eikä direktiivi. EU-tuomioistuimen vakiintuneen oikeuskäytännön mukaan kansallista sääntelyä ei saa antaa asetuksen soveltamisalalla, ellei asetus nimenomaisesti velvoita tai valtuuta täydentävään kansalliseen sääntelyyn tai muuhun päätöksentekoon.
Henkilötietojen suojan toteuttaminen yleisen tietosuoja-asetuksen soveltamisalalla tulee ensisijaisesti taata yleisen tietosuoja-asetuksen ja kansallisen yleislain nojalla. Tähän liittyen tulisi välttää kansallisen erityislainsäädännön säätämistä sekä varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. 1 Näin ollen vaikka tietyssä toiminnassa jouduttaisiinkin käsittelemään henkilötietoja, ei tällaisesta käsittelystä välttämättä ole joko mahdollista tai ylipäätään tarpeellista erityislainsäädännössä säätää. Erityislainsäädännön tarpeellisuutta ja yksityiskohtaisuuden tasoa arvioitaessa tulisi huomioida myös, liittyykö tietojen käsittelyyn erityisiä uhkia tai riskejä esimerkiksi käsittelyn luonne, laajuus ja tarkoitukset huomioon ottaen.
Tietosuojalailla ei ole käytetty yleisen tietosuoja-asetuksen mahdollistamaa liikkumavaraa tyhjentävästi. Erityislainsäädäntöön ei kuitenkaan ole tietosuoja-asetuksen soveltamisalalla enää valtiosääntöisistä syistä välttämätöntä sisällyttää kattavaa ja yksityiskohtaista sääntelyä henkilötietojen käsittelystä. Yksityiskohtaisemman sääntelyn tarpeen ja sisällön osalta on otettava huomioon myös yleisen tietosuoja-asetuksen tavoitteet ja sääntelytapa. Jos erityislainsäädännössä katsotaan olevan välttämätöntä säätää henkilötietojen käsittelystä, tulee liikkumavaran alasta tehdä selkoa sekä perustella sen käyttö esityksessä huomioiden sen vaikutukset perusoikeuksien suojaan.
Käsittelyn oikeusperuste yleisen tietosuoja-asetuksen soveltamisalalla
Kansallisen liikkumavaran perusta on yleisen tietosuoja-asetuksen 6 artiklassa, jolla annetaan jäsenvaltioille mahdollisuus säätää kansallisesti henkilötietojen käsittelyn oikeusperusteesta. Henkilötietojen käsittelyn oikeusperusteesta voidaan säätää lainsäädännössä tilanteissa, joissa henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi tai käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (6 artiklan 1 kohdan c ja e alakohta). Viranomaistoiminnassa henkilötietojen käsittelyn tulisi lähtökohtaisesti perustua näihin henkilötietojen käsittelyn oikeusperusteisiin.
Muilta osin henkilötietojen käsittelyn oikeusperusteesta ei voida antaa tarkempaa tai muutakaan kansallista sääntelyä, vaan käsiteltäessä henkilötietoja esimerkiksi suostumuksen tai rekisterinpitäjän oikeutetun edun perusteella (yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan a ja f alakohta), seuraa henkilötietojen käsittelyn oikeusperuste suoraan yleisestä tietosuoja-asetuksesta. Henkilötietojen käsittelystä ei ole siten mahdollista säätää kansallisesti siltä osin kuin käsittelyn oikeusperusteesta säädetään jo yleisessä tietosuoja-asetuksessa. Lainvalmistelun aikana tulisi huolellisesti arvioida, mikä käsittelyperuste soveltuu kuhunkin käsittelytoimeen, jotta voidaan arvioida myös erityissääntelyn tarve.
Perustuslakivaliokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana. 2 Perustuslain 2 §:n 3 momentin mukaan julkisen vallan käytön tulee perustua lakiin. Lailla säätämiseen taas kohdistuu yleinen vaatimus lain täsmällisyydestä ja tarkkuudesta. Toimivaltasääntely on valiokunnan käsityksen mukaan yleensä merkityksellistä myös perustuslaissa turvattujen perusoikeuksien näkökulmasta. 3 Käsittelyn oikeusperustetta koskevassa arvioinnissa onkin otettava huomioon, että silloin kun viranomainen puuttuu henkilön oikeuspiiriin, tulee toimivallan perustua lakiin.
Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa kuitenkin myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn. Valiokunnan käytännön mukaan sääntelyn selkeyteen on syytä kiinnittää erityistä huomiota perusoikeuskytkentäisessä sääntelyssä, joka koskee luonnollisia henkilöitä heidän tavanomaiseen elämäänsä kuuluvissa toiminnoissa.[4] Myös sääntelyn selkeyden vuoksi kansallisen erityislainsäädännön säätämiseen tulee suhtautua pidättyvästi ja rajata sellaisen säätäminen vain välttämättömään tietosuoja-asetuksen antaman kansallisen liikkumavaran puitteissa.
Yleistä tietosuoja-asetusta täydentävässä tietosuojalaissa säädetään käsittelyn oikeusperusteista eräissä tilanteissa. Muilta osin erityislainsäädännössä voidaan säätää yleistä tietosuoja-asetusta täydentävästi henkilötietojen käsittelystä. Sääntely on tällöin toteutettava yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan ja 2—4 kohdan asettamissa puitteissa. Lisäksi tietosuojalaissa on säädetty rekisteröidyn oikeuksista poikkeamisesta eräissä tilanteissa sekä tietojen käsittelyn erityistilanteista (esim. henkilötunnuksen käsittely sekä henkilötietojen käsittely tieteellisessä tutkimuksessa).
Erityislainsäädännössä voi tapauskohtaisesti olla tarpeen säätää esimerkiksi käsiteltävistä tiedoista, rekisterinpitäjästä, tietojen vastaanottajista ja tietojen luovutustarkoituksista sekä niiden käyttötarkoituksista (ml. yhteensopivat käyttötarkoitukset).
12.5.3 Arkaluonteiset henkilötiedot
Erityisiin henkilötietoryhmiin kuuluvat tiedot
Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiin henkilötietoryhmiin kuuluvista tiedoista. Tällaisia ovet esimerkiksi tiedot, joista ilmenee poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus sekä terveyttä ja seksuaalista suuntautumista koskevat tiedot. Tällaisten henkilötietojen käsittely on sallittua ainoastaan, jos jokin artiklassa luetelluista käsittelyperusteista tulee kyseeseen. Osa artiklan sisältämistä käsittelyperusteista edellyttää sitä koskevaa kansallista lainsäädäntöä. Tällöin sääntelyyn tulee sisällyttää säännökset myös asianmukaisista suojatoimista. Tältä osin on syytä huomata, että tietosuojalaissa on jo säädetty erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn oikeusperusteesta eräissä tilanteissa. Silloinkin kun erityisten henkilötietoryhmiin kuuluvien tietojen käsittelylle on yleisen tietosuoja-asetuksen 9 artiklan mukainen käsittelyperuste, tulee käsittelylle olla myös 6 artiklassa tarkoitettu yleinen käsittelyperuste.
Rikostietojen käsittely
Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja ei pidetä erityisiin henkilötietoryhmiin kuuluvina tietoina. Tällaisten tietojen käsittely on yleisen tietosuoja-asetuksen 10 artiklan nojalla sallittua vain viranomaisen valvonnassa tai silloin, kun se sallitaan EU-oikeudessa tai jäsenvaltion lainsäädännössä. Jos käsittelystä säädetään kansallisessa lainsäädännössä, tulee laissa lisäksi säätää asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tältä osin on syytä huomata, että tietosuojalaissa on jo säädetty rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyn oikeusperusteesta eräissä tilanteissa.
Arkaluonteisten henkilötietojen käsittelystä säätäminen
Erityisiin henkilötietoryhmiin kuuluvien tietojen ohella myös muunlaiset henkilötiedot voivat olla valtiosääntöisesti arkaluonteisia. Esimerkiksi henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia kuvaavia tietoja ei yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa määritellä erityisiksi henkilötietoryhmiksi, mutta niitä voidaan siitä huolimatta pitää arkaluonteisina.
Koska erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin, saattaa arkaluonteisina pidettävien henkilötietojen käsittelystä olla syytä säätää erityislainsäädännössä tarkemmin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpana voidaan yksityiskohtaista sääntelyä pitää. Erityisesti arkaluonteisten tietojen käsittelyn sallimisen koskee yksityiselämään kuuluvan henkilötietojen suojan ydintä 4 , minkä johdosta esimerkiksi tällaisia tietoja sisältävien rekisterien perustamista on arvioitava perusoikeuksien rajoitusedellytysten, erityisesti rajoitusten hyväksyttävyyden ja oikeasuhtaisuuden, kannalta. 5 Arkaluonteisten tietojen käsittely on syytä rajata täsmällisillä ja tarkkarajaisilla säännöksillä vain välttämättömään. 6
Arkaluonteisten tietojen käsittelyä koskevaa sääntelyä olisi yleisen tietosuoja-asetuksen mahdollistamissa puitteissa edelleen arvioitava perustuslakivaliokunnan aiemman käytännön pohjalta eli sääntelyn täsmällisyyden ja kattavuuden näkökulmasta. Yleistä tietosuoja-asetusta yksityiskohtaisemman sääntelyn tarve tulee kuitenkin perustella myös tietosuoja-asetuksen ja sen liikkumavaran puitteissa tapauskohtaisesti. Tällöin on syytä kiinnittää huomiota myös asetuksessa omaksuttuun riskiperusteiseen lähestymistapaan.
12.5.4 Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä
Sallittaessa salassa pidettävien henkilötietojen luovuttaminen tai oikeutettaessa joku saamaan niitä tulee osoittaa, mihin ja ketä koskeviin tietoihin velvollisuus luovuttaa tietoja tai oikeus saada niitä ulottuu sekä miten luovutusvelvollisuus tai tiedonsaantioikeus sidotaan tietojen saamisen välttämättömyyteen. Viranomaisen tietojenluovutusmahdollisuus ja tietojensaantioikeus ovat perustuslakivaliokunnan mukaan voineet liittyä tietyn tarkoituksen kannalta tarpeellisiin tietoihin, jos tietosisällöt on lueteltu laissa tyhjentävästi. Jos taas tietosisältöjä ei ole tällä tavoin lueteltu, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä tietyn tarkoituksen kannalta 7.
Alaviitteet:
- 1 PeVL 2/2018 vp, s. 5
- 2 Ks. PeVL 1/2018 vp, s. 6.
- 3 PeVL 51/2006 vp, s. 2/I
- 4 PeVL 37/2013 vp, s. 2/II
- 5 Ks. PeVL 29/2016 vp, s. 4—5 ja esimerkiksi PeVL 21/2012 vp, PeVL 47/2010 vp sekä PeVL 14/2009 vp.
- 6 Ks. esim. PeVL 3/2017 vp, s. 5.
- 7 PeVL 15/2018 vp sekä PeVL 17/2016 vp s. 2-3 ja siinä viitatut lausunnot. Ks. myös PeVL 38/2016 vp ja jakso 12.4.6.