Lausunto tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraportista

30.8.2024 | Lausunnot

Oikeusministeriölle
 
Dnro L2024-43
 
Lausuntopyyntönne: VN/26111/2023, 17.6.2024
TIETOSUOJALAINSÄÄDÄNNÖN KOKONAISUUDISTUKSEN KOORDINAATIORYHMÄN VÄLIRAPORTTI
 
Suomen Asianajajaliitto (jäljempänä ”Asianajajaliitto”) kiittää mahdollisuudesta lausua Tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraportista. 
 
Yhtenä Asianajajaliiton sääntömääräisenä tehtävänä on seurata oikeuskehitystä maassa ja lausuntoja antamalla sekä aloitteita tekemällä tarjota kokemuksensa yhteiskunnan käytettäväksi. Asianajajaliiton oikeuspoliittisen työn lähtökohta on oikeusvaltion turvaaminen. Lausunnoissaan Asianajajaliitto pyrkii painottamaan oikeusvaltioperiaatteen toteutumiseen, oikeusturvaan sekä oikeuden saavutettavuuteen, perus ja ihmisoikeuksien sekä asianajajakunnan itsenäisyyden ja riippumattomuuden turvaamiseen liittyviä näkökulmia. Pyydetysti esitämme alla vastaukset lausuntopyynnössä yksilöityihin kysymyksiin.

TIETOSUOJAN YLEISSÄÄDÖKSET (EU:n yleinen tietosuoja-asetus ja tietosuojalaki)

Onko tietosuojan yleissäädösten yleisen tietosuoja-asetuksen tai tietosuojalain soveltamiseen koettu liittyvän haasteita tai epäselvyyksiä, jotka voisivat vaikeuttaa julkisen palvelun järjestämistä? 

Kyllä.
 

Jos on, minkälaisista haasteista tai epäselvyyksistä on tarkalleen ottaen kyse?

Asianajajaliitto tuo esiin, että käytännön asianajajatyössä esille tulleiden kokemusten perusteella tietosuojalaissa on tulkinnanvaraisuuksia, joilla on negatiivisia vaikutuksia julkisen palvelun järjestämiseen. Erityisesti tulkinnanvaraisuuksia ja epäselvyyksiä on ilmennyt tietosuoja-asetuksen määritelmien, käsittelyn oikeusperusteiden sekä henkilötiedoille asetettujen yleisten käsittelyperusteiden alueilla. 
 
Keskeisenä vaikuttajana haasteiden ja epäselvyyksien ilmenemisessä on ollut tietosuojasääntelyn kansallisen valvontaviranomaisen toimintakäytännöt. Ongelmalliseksi koetaan esimerkiksi se, että etukäteistä tulkintaohjeistusta lainsäädännön epäselviksi koetuista osioista ei ole mahdollista saada, ja toisaalta tietosuojavaltuutetun ratkaisukäytäntöä on saatettu vain hyvin rajallisesti yleisesti saataville. Tässä lausunnossa myös jäljempänä lähemmin kommentoitavalla tavalla kansallisen tietosuojaviranomaisen passiivisuus tulkintaohjeiden tuottamisen ja tulkintakäytännön julkaisematta jättämisen myötä on aiheuttanut epäselvyyksiä ja epävarmuutta esimerkiksi julkisen palvelun järjestämisen yhteydessä tapahtuvan henkilötietojen käsittelyn käsittelyperusteen valinnan suhteen. Osittain ongelma kytkeytyvät ratkaisukäytännössä tehtyihin, yllättäviksi koettuihin linjauksiin. Tällaisesta esimerkkinä voidaan mainita Helsingin hallinto-oikeuden 30.6.2023 tietosuojavaltuutetun päätöstä (30.12.2021 dnro 1509/452/18) koskevan valituksen johdosta antama ratkaisu (3945/2023), jossa oli kyse perusopetuksessa sovellettavasta käsittelyperusteesta ja sen oikeuttamista käsittelyn ulottuvuuksista (ei lainvoimaninen). 
 
Myös muussa kuin alkuperäisessä käyttötarkoituksessa tapahtuvaan käsittelyyn on havaittu liittyvän sellaisia tulkinnanvaraisuuksia, joista aiheutuu käytännössä haasteita ja todennäköisiä hidasteita julkisten palvelujen digitalisaatiolle. Ilmiöstä voidaan mainita muun muassa epäselvä oikeustila palvelujen kehittämistarkoituksen soveltumisesta yleisen edun mukaiseksi muuksi kuin alkuperäiseksi käsittelytarkoitukseksi. Lisäksi Asianajajaliitto nostaa jo tässä yhteydessä esille, lausunnossa jäljempänä tarkemmin käsiteltävän, epäselvyyden koskien kansallisten suostumusvaatimusten suhdetta tietosuoja-asetuksessa säädettyihin suostumuksen kriteereihin sekä suostumuksen soveltuvuuden muun kuin alkuperäisen käsittelytarkoituksen nojalla tapahtuvan käsittelyn perusteeksi. 
 
Asianajajaliitto avaa kantaansa tarkemmin osiossa ‘Muut kommentit’.
 

Onko jonkin yleisen tietosuoja-asetuksen tai tietosuojalain säännöksen havaittu estävän viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen tarkoituksenmukaisella tavalla? Onko tietosuojan yleissäädösten havaittu estävän tai rajoittavan tiedon tai henkilötietojen hyödyntämistä tai käsittelyä tarkoituksenmukaisella tavalla?

Koordinaatioryhmän väliraportissa on nostettu esille mahdollisuus kansallisen liikkumavaran puitteissa rajoittaa rekisteröidyn oikeuksia siltä osin, kun vaarana on shikaaninomainen tarkastusoikeuden käyttö. Käytännön asianajotoiminnassa on tullut esille, joskin enimmäkseen yksityisellä sektorilla, tilanteita, joissa tarkastusoikeutta (ja osin joitain muita tietosuoja-asetukseen perustuvia oikeuksia) on tarkoituksellisesti ja jopa koordinoidusti pyritty käyttämään niiden säädetyn tarkoituksen vastaisesti rekisteripitäjien toiminnan vahingoittamiseksi. Asianajajaliiton käsityksen mukaan ei voida pitää mitenkään poissuljettuna, etteivät tällaiset tarkastusoikeuden shikaaninomaiset käyttötilanteet voisi realisoitua myös julkisella sektorilla tavoilla, jotka vaikuttaisivat negatiivisesti viranomaisen tiedon liikkumiseen tai julkisen palvelun järjestämiseen. Näin ollen Asianajajaliitto ei katso voivansa yhtyä väliraportin johtopäätökseen (kohta 5.3.2) siitä, ettei kyseisellä kysymyksellä olisi yhteyttä hallitusohjelman mukaisiin kokonaisuudistuksen tavoitteisiin. 
 
Muutoin tilanteet, joissa on tunnistettu vaara siitä, että julkisen palvelun järjestäminentarkoituksenmukaisella tavalla saattaisi estyä, liittyvät tyypillisesti tietosuojalainsäädännön tulkintatilanteisiin, jotka voitaisiin kansallisella täsmällisemmällä erityislailla selkeyttää. Tällaisia tilanteita on mahdollisuus tehokkaimmin välttää säätäen erityislaissa mahdollisimman tarkasti ja täsmällisesti tavoitellusta lakimääräisestä henkilötietojen käsittelystä. Vaikka tämä on vastoin tietosuojalain valmistelussa omaksuttua lähtökohtaa, ovat käytännön soveltamistilanteet osoittaneet, että vain tälläisin ratkaisuin pystytään tehokkaasti välttämään se, että tietosuojalainsäädännön valvontakäytännössä nousisi esille yllättäviä ja rajoittavia tulkintoja.
 

Jos on, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät tai rajoittavat tiedon käsittelyä?

Asianajajaliiton kokemuksen mukaan tyypillisimmin tällaiset säännökset liittyvät tilanteisiin, joissa on epävarmaa, kattaako jokin viranomaiselle tai muulle julkista tehtävää hoitavalle taholle laissa säädetty tehtävä myös tietynkaltaista henkilötietojen käsittelyä. Toinen tyypillisin epäselvyys liittyy siihen, milloin tällaisella taholla on oikeus taikka velvollisuus luovuttaa tiettyjä toiminnassaan käsiteltäviä henkilötietoja.
 
Käytännössä tällaisia henkilötietojen käsittelyyn tai luovuttamiseen liittyviä nimenomaisia normeja puuttuu useiden sellaistenkin käsittelytilanteiden osalta, joissa kyseisen toiminnan on vakiintuneesti katsottu kattavan kyseistä käsittelyä. Itsessään tämän ei tietosuoja-asetuksen ja tietosuojalain valmistelussa tehtyjen linjausten perusteella pitäisi olla ongelma, mutta toimijakohtaiset restriktiiviset lainsoveltamiskäytännöt tai – ongelmallisimmillaan yksittäistapauksissa – tietosuojavaltuutetun toimistossa tehdyt valvontaratkaisut – ovat johtaneet siihen, että viranomaisen tiedon liikkuminen tai julkisen palvelun tarkoituksenmukainen järjestäminen on keskeytynyt tai estynyt tulkittaessa näitä tilanteita yksinomaan tietosuojan yleissäädösten tietojenkäsittelyä rajoittavista lähtökohdista käsin. 
 
Erityisen ongelmallisina käytännön tilanteissa ovat näyttäytyneet henkilötietojen luovuttamiskysymykset, joiden perustalta määräytyy viranomaisen tiedon liikkuvuus. Sääntely-ympäristöjen monimutkaisuus ja henkilötietojen käsittelykäytäntöjen kehitys digitalisoitumisen myötä nostavat esille tilanteita, joissa tietojen liikkuvuutta ja luovutettavuutta ei ole lainsäätämisvaiheessa välttämättä osattu arvioida. 
 
Esimerkkinä voi esittää potilasvahinkojen korvaamisjärjestelmään liittyvän henkilötiedon luovutettavuuden muodostumisen ongelmalliseksi käytännön tulkintatilanteissa. Potilasvakuutuslakiin (948/2019) perustuvassa järjestelmässä Potilasvakuutuskeskuksella on keskeinen rooli potilasvahinkojen korvaamisessa. Lainsäädännössä ei olla kuitenkaan huomioitu potilasvahinkojen korvaamiseen osallistuvien vakuutusyhtiöiden itsenäisiä tiedontarpeita, jotka perustuvat niiden omassa toiminnassaan tarvitsemiin Potilasvakuutuskeskuksen tietoon tuleviin ja päättämiin korvauksiin ja itse vahinkotapahtumiin tai vammoihin liittyviin tietoihin. Korvausvastuista huolehtivalla vakuutusyhtiöllä on peruste saada sen toiminnassaan tarvitsemat korvauksiin ja vahinkotapahtumiin liittyvät tiedot ja tilastot Potilasvakuutuskeskuksen korvausjärjestelmästä, jotta tällainen vakuutusyhtiö kykenisi huolehtimaan sille itsenäisesti kuuluvista korvausvastuiden arvioimisesta sekä EU:n solvenssi II -direktiiviin perustuvan sääntelykokonaisuuden asettamista velvollisuuksista finanssisektorin valvottuna toimijana.
 
Suomessa kyseisen solvenssi II -direktiivin vaatimukset on implementoitu osaksi vakuutusyhtiölakia (521/2008). Kuitenkin, vaikka tällaisen vakuutusyhtiön tarve päästä käsittelemään korvattavikseen tulevia vahinkoja koskevia tietoja on johdettavissa sille sääntelyn mukaan kuuluvista riskienhallintavelvoitteista, vastuuvelan arviointia koskevasta velvoitteesta, jälleenvakuutuksen järjestämistä koskevista velvoitteista, vakuutusmaksun laskemistarpeesta sekä velvoitteesta edistää potilasturvallisuutta puuttumalla tyyppivahinkoihin, ei Potilasvakuutuskeskus viranomaisena ole katsonut voivansa luovuttaa halussaan olevia tietoja, koska siltä puuttuu tietojenluovuttamiseen velvoittava nimenomainen oikeusnormi. Vastaavia tilanteita liittyy Asianajajaliiton käsityksen mukaan esimerkiksi myös Kelan toimintoihin ja tietojenluovutustarpeisiin sen ja muiden viranomaisten tai muiden julkisia tehtäviä hoitavien tahojen välisissä suhteissa.
 
Ilman tietosuojalain yleissäädösten tai niiden tulkinnan selkeyttämistä, tulee kuvattu ongelma Asianajajaliiton näkemyksen mukaan aiheuttamaan vastaavia tai vastaavan kaltaisia ongelmia myös jatkossa. On toki mahdollista myös arvioida, missä määrin ongelmat ovat seurausta osaamispuutteista tietosuojanormiston soveltamisessa sekä kyseisen normiston soveltamiseen tyypillisesti liittyvästä erityisestä ja perusteettomasta varovaisuudesta. Paljon tyypillisempää käytännössä on se, että jotain tietoa, jota objektiivisen oikeudellisen arvioinnin perusteella on sallittua luovuttaa, ei kuitenkaan luovuteta, kuin se, että tietoja luovutettaisiin liian varomattomasti ja vailla perusteita. Ilman lainsäädäntötoimenpiteitä tilannetta ei kuitenkaan Asianajajaliiton arvion mukaan pystytä tarkoituksenmukaisella tavalla korjaamaan.
 

VIRANOMAISTEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA KANSALLINEN ERITYISSÄÄNTELY

Onko kansalliseen erityissääntelyyn, jossa on kyse viranomaisten suorittamasta henkilötietojen käsittelystä (mukaan lukien henkilötietojen luovuttamisesta), koettu liittyvän haasteita tai epäselvyyksiä? 

Kyllä.
 

Jos on, minkälaisista haasteista ja epäselvyyksistä on tarkalleen ottaen kyse?

Erityissääntelyyn perustuvat haasteet ja epäselvyydet liittyvät Asianajajaliiton näkemyksen mukaan erityisesti pilvisiirtymään sekä tekoälykehitykseen, jonka kannalta pilvipalveluiden hyödyntämismahdollisuus tulee olemaan kriittinen seikka. Valtioneuvoston Digikompassi -selonteossa (VNS 10/2022 vp) on korostettu digitaalisen infrastruktuurin – johon lukeutuvat myös datan käsittelyyn tarvittavat ei-fyysiset rakenteet, kuten pilvipalvelut, ohjelmistot ja rajapinnat – merkitystä teknologiselle ja digitaaliselle palvelukehitykselle. Tämän valossa Asianajajaliitto alleviivaa muun muassa valtiovarainministeriön digitalisaation ja tiedon liikkuvuuden esteiden purkamisen hankkeen (VN/15093/2024) asettamispäätöksessä (VN/15093/2024-VM-19) viranomaisten esiin nostamaa ilmiötä siitä, kuinka epävarmuudet henkilötietojen käsittelyä ja siirtoa koskevien säännösten tulkinnassa ovat olleet esteenä pilvipalveluratkaisujen hyödyntämiselle laajemmin.
 
Edellä aiemmin todella tavalla Asianajajaliitto myös toteaa kansalliseen erityissääntelyyn sisältyvien suostumusvaatimusten olevan luonteeltaan epäselviä suhteessa tietosuoja-asetuksessa säädettyihin suostumuksen kriteereihin. Esimerkkinä tästä voidaan nostaa laissa sähköisen viestinnän palveluista (917/2014) säädetty suostumusvaatimus sijaintitietojen käsittelyä koskien.
 
Lisäksi Asianajaliitto yhtyy väliraportissa esiin tuotuun ongelmaan vanhentuneen teknisiä käyttöyhteyksiä koskevan erityissääntelyn osalta.
 
Asianajajaliitto avaa kantaansa tarkemmin osiossa ‘Muut kommentit’.
 

Onko kansallisen erityislainsäädännön henkilötietojen käsittelyä koskevien säännösten havaittu estävän tietojenvaihdon sellaisten viranomaisten (tai julkista hallintotehtävää hoitavien) välillä, jotka tarvitsevat tietoja lakisääteisten tehtäviensä hoitamista tai julkisen palvelun tarjoamista varten? 

Asianajajaliitto viittaa tältä osin lausunnossaan edellä todettuun.
 

Jos on, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät viranomaisten välistä tietojenvaihtoa?

Asianajajaliitto viittaa tältä osin lausunnossaan edellä todettuun.
 

Onko kansallisessa erityislainsäädännössä tunnistettu muita esteitä julkisen palvelun tarkoituksenmukaiselle järjestämiselle?

Kyllä.
 

Jos kyllä, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät julkisen palvelun tarkoituksenmukaista järjestämistä?

Yksityisyyden suojasta työelämässä annettu laki (759/2004) rajoittaa rekisteröidyn suostumuksen soveltamisalaa käsittelyperusteena tavalla, jota kuvataan tarkemmin jäljempänä tässä lausunnossa. Kun teknologisten innovaatioiden myötä työntekijöiden henkilötietojen käsittelyn tarvetta liittyy nykyisin myös välittömästi liiketoiminnan harjoittamiseen (esimerkiksi puettavan teknologian tuotekehitykseen), työelämän tietosuojalain säännös muodostaa merkittävän hidasteen, ellei jopa esteen, teknologiakehitykselle. Tämä puolestaan – vähintäänkin välillisesti – hidastaa myös julkisten palvelujen digitalisaatiota erityisesti terveysteknologian innovaatiotoiminnan sekä alalle kohdistuvien investointien ehtymisen myötä. 
 
Asianajajaliitto avaa kantaansa tarkemmin osioissa ‘Yleisen tietosuoja-asetuksen salliman kansallisen sääntelyliikkumavaran käyttö’ ja ‘Muut kommentit’.

YLEISEN TIETOSUOJA-ASETUKSEN SALLIMAN KANSALLISEN SÄÄNTELYLIIKKUMAVARAN KÄYTTÖ

Onko yleisen tietosuoja-asetuksen sallimaa kansallista sääntelyliikkumavaraa käytetty tarkoituksenmukaisella tavalla viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen näkökulmasta? 

Lähtökohtaisesti kyllä. Periaatteena tulisi Asianajajaliiton käsityksen mukaan pitää kansallisen liikkumavaran käytön suhteen linjausta siitä, että kansallisen sääntelyn on ennen kaikkea tarkoituksenmukaista mahdollistaa EU-laajuisella suoraan sovellettavalla asetuksella tavoiteltu harmonisaatio. Kun tämä on toiminut pidäkkeenä kansallisille sääntelylinjauksille, on käytäntö ollut Asianajajaliiton käsityksen mukaan oikea. Kuitenkin, sikäli kun kyse on puhtaasti vain kansallisella tasolla vaikuttavista julkisen sektorin toimintaan kohdistuvista linjauksista, joilla ei ole välitöntä eikä välillistä vaikutusta rajat ylittävään liiketoimintaan, olisi perusteltua pyrkiä tunnistamaan ne kansallisen liikkumavaran käyttömahdollisuudet, joita edistämällä voitaisiin selkeyttää ja tehostaa sääntelyn vaikuttavuutta.
 
Epäonnistuneena tapana käyttää kansallista liikkumavaraa Asianajajaliitto pitää suomalaisena erityispiirteenä vaikuttavaa työelämän tietosuojasääntelyä, jolla on merkittävä suora tai välillinen vaikutus myös julkisen palveluiden järjestämiseen, sekä kansallista sähköisen viestinnän tietosuojasääntelyä, joka osin estää tietosuoja-asetuksessa edellytettävien asianmukaisten, uusimman tekniikan huomioon ottavien tietoturvaratkaisujen käyttömahdollisuuden samalla tavalla kuin muualla EU:ssa. 
 

Jos ei, tulisiko kansallista sääntelyliikkumavaraa käyttää enemmän? Jos kyllä, miltä osin ja miten liikkumavaraa tulisi käyttää nykyistä enemmän julkisen palvelun järjestämisen näkökulmasta?

Asianajajaliitolla ei ole lausuttavaa tältä osin.
 

Puuttuuko kansallisesta erityislainsäädännöstä säännöksiä, jotka mahdollistaisivat viranomaisten välisen tiedon liikkumisen siten, että julkinen palvelu voitaisiin järjestää tarkoituksenmukaisella tavalla. Jos kyllä, mistä puutteesta ja palvelusta on tarkalleen ottaen kyse?

Asianajajaliitto viittaa tältä osin lausunnossaan edellä todettuun.
 

Onko kansallisessa erityislainsäädännössä käytetty sääntelyliikkumavaraa tarpeettomasti? Jos on, miltä osin ja mistä säännöksistä on tarkalleen ottaen kyse?

Kyllä. Kuten Asianajajaliitto on edellä todennut, on suomalainen työelämän tietosuojasääntely – kaikista muista EU-jäsenvaltioista eroavana – esimerkki epätarkoituksenmukaisia kansallisia normeja sisältävästä, kansallisen liikkumavaran käyttömahdollisuuteen perustuvasta sääntelystä. Esimerkiksi työelämän tietosuojalain 5 § sallii työntekijän terveystietojen käsittelyn ainoastaan, kun tiedot on kerätty työntekijältä itseltään tai hänen kirjallisella suostumuksellaan muualta ja tietojen käsittely on tarpeen muun ohella sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi. Asianajajaliitto viittaa yleisen tietosuoja-asetuksen toimivuutta ja sen soveltamiseen liittyviä kysymyksiä koskevaan vuoden 2023 lausuntopyyntöön VN/23585/2023 perustuvassa lausunnossaan esittämäänsä näkemykseen, jonka mukaan työelämän tietosuojalain 5 § rajoittaa rekisteröidyn suostumuksen soveltamisalaa käsittelyperusteena.
 
Käytännön seurauksena tästä on kansallisen normiston terveysteknologisten innovaatioiden kehittämistä Suomessa rajoittava vaikutus. Sääntely estää kokonaisuudessaan työntekijöiden terveydentilaa koskevien tietojen käsittelyn sikäli, kun pyrkimyksenä on työntekijöiden suostumuksella tai omasta aloitteesta tapahtuvan terveydentilaa koskevan teknisen datan kerääminen ja käsittely sellaisissa tilanteissa, joissa tätä dataa on välttämätöntä päästä keräämään terveysteknologian kehittämiseksi. Asianajajaliitto toistaa näin edellä tarkoitetussa lausunnossaan esittämänsä kannan siitä, että kansallinen työelämän tietosuojalainsäädäntömme saattaa olla tältä osin ristiriidassa pakottavan EU-sääntelyn kanssa ja näin ollen sääntelyliikkumavaraa on käytetty tarpeettomasti sekä jopa yli sallittujen rajojen.
 
Mia Eklundin 13.3.2021 julkaistu väitöstutkimus Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt arr övervaka arbetstagare on tuottanut vastaavia havaintoja akateemisen tutkimuksen muodossa.
 
Asianajajaliitto avaa kantaansa tarkemmin osiossa ‘Muut kommentit’.

YLEISET KOMMENTIT

Puuttuuko väliraportin liitteestä 1 lakeja, joita olisi hyvä arvioida kokonaisuudistuksen yhteydessä?

Kyllä. 
 
Asianajajaliitto katsoo edellä lausunnossa sekä tarkemmin alla kohdassa ‘Muut kommentit’ kuvatulla tavalla, että kokonaisuudistuksen yhteydessä olisi tärkeää arvioida työelämän tietosuojalakia (759/2004).

Muut kommentit

Asianajajaliitto katsoo, että väliraportissa on asianmukaisesti, kattavasti ja perusteellisesti tuotu esiin tietosuojalainsäädännön luomia hidasteita ja esteitä julkishallinnon digitalisoitumiselle. Tässä yhteydessä on kuitenkin korostettava muun muassa tietosuoja-asetuksen johdannossa esitettyä lähtökohtaa, jonka mukaan tietosuojasääntely tulisi nähdä digitalisaation mahdollistajana – ei sen esteenä. Kuten tietosuoja-asetuksen johdanto-osan kohdissa 6–7 todetaan, “[teknologia]kehityksen vuoksi unionissa tarvitaan vahva ja johdonmukaisempi tietosuojakehys, jota tuetaan tehokkaalla täytäntöönpanolla, sillä on tärkeää rakentaa luottamusta, jonka pohjalta digitaalitalous voi kehittyä koko sisämarkkinoiden alueella. Luonnollisten henkilöiden olisi voitava valvoa omia henkilötietojaan. Oikeusvarmuutta ja luottamusta käytännön toiminnan sujuvuuteen olisi vahvistettava luonnollisten henkilöiden ja talouden toimijoiden sekä viranomaisten kannalta.”
 
Tietosuojaa tulisi tarkastella digitalisaation yhteydessä elementtinä, joka tukee ja mahdollistaa toimivan digitaalisen julkishallinnon toteutumista turvallisella sekä tehokkaalla tavalla ja joka voidaan sisällyttää digitalisaatiota koskeviin suunnitelmiin.
 
Erityisenä, täydentävänä seikkana Asianajajaliitto viittaa myös seuraamusmekanismien uudelleenarvioinnin tarpeeseen. Petteri Orpon hallituksen ohjelmaan 20.6.2023 on kirjattu nyt käsillä olevan tietosuojalainsäädännön kokonaisuudistuksen osalta maininta, jonka mukaan hallinnolliset seuraamusmaksut tietosuojaloukkauksista säädetään kokonaisuudistuksen yhteydessä koskemaan sekä julkista että yksityistä sektoria yhtäläisesti. Asianajajaliitto on yleisen tietosuoja-asetuksen toimivuutta ja sen soveltamiseen liittyviä kysymyksiä koskevaan vuoden 2023 lausuntopyyntöön VN/23585/2023 antamassaan lausunnossa todennut kannattavansa muutoksen toteuttamista ja näkevänsä muutoksen perustelluksi erinäisten juridis-teknisten seikkojen nojalla. Asianajajaliitto toistaa nyt edellä kuvatun näkemyksensä ja toteaa, että tähän seikkaan olisi kiinnitettävä huomiota viimeistään kokonaisuudistuksen hallituksen esityksissä siitä huolimatta, ettei seuraamusjärjestelmää koskevaa kysymystä ollut arvioitu väliraportissa.
 
Alla Asianajajaliitto kommentoi vielä paikoin tarkemmin väliraportissa esitettyjä tietosuojalainsäädännön epäkohtia suhteessa käytännön asianajajatyössä esiin nousseisiin havaintoihin julkishallinnon digitalisaatiotyöstä ja tuo esiin myös muutamia muita seikkoja, joita Asianajajaliiton näkemyksen mukaan olisi hallituksen esityksiä valmisteltaessa tarkoituksenmukaista tarkastella lähemmin.
 

Tulkinnan haasteet ja epäselvyydet

Asianajajaliitto yhtyy väliraportissa esitettyihin kokemuksiin sekä yleisen sääntelyn että erityissääntelyn paikoittaisesta tulkinnanvaraisuudesta ja käytännössä esiintyneistä tulkintahaasteista. Tulkintaa koskevat epäselvyydet ja haasteet aiheuttavat käytännössä ylimääräisiä kuluja niin rekisterinpitäjälle kuin valvontaviranomaisillekin. Vakavimmissa tapauksissa tulkintaongelmat saattavat muodostaa myös esteen rekisteröidyn perusoikeuksien toteutumiselle tai julkista tehtävää suorittavan viranomaistoimijan varsinaisen tehtävän toteutumiselle.
 
Väliraportissa esitetyn johtopäätöksen mukaisesti tietosuoja-asetuksen soveltamiseen ja tulkintaan liittyy Asianajajaliiton näkemyksen mukaan joitakin haasteita erityisesti tietosuoja-asetuksen määritelmien, käsittelyn oikeusperusteiden sekä yleisten käsittelyperusteiden saralla. Esimerkkeinä eri viranomaisten toiminnassa tulkintavaikeuksia aiheuttaneina seikkoina mainittiin muun muassa sen tulkitseminen, milloin käsittelyperusteena toimii lakisääteinen tehtävä, yleinen etu tai julkisen vallan käyttö ja milloin puolestaan suostumus tai oikeutettu etu.
 
Tietosuojalakia koskevassa hallituksen esityksessä on todettu, että lakisääteisen tehtävän hoitaminen ja yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen tulisi lähtökohtaisesti olla julkisen sektorin henkilöntietojen käsittelyn oikeusperuste (HE 9/2018 vp, s. 29). Ottaen erityisesti huomioon julkisen sektorin henkilötietojen käsittelyn yhteiskunnallinen merkittävyys – josta osoituksena voidaan mainita väliraportissakin esiin nostettu Helsingin hallinto-oikeuden 30.6.2023 tietosuojavaltuutetun päätöstä (30.12.2021 dnro 1509/452/18) koskevan valituksen johdosta antama sähköisen opetusalustan käyttöä perusopetuksessa koskeva ratkaisu (3945/2023, ei lainvoimainen) – Asianajajaliitto pitää kansallisten tulkintaohjeiden selkeää linjaa ja tietosuojavaltuutetun aktiivisempaa ennakollista ohjeistustoiminnan edistämistä kannatettavana.
 
Asianajajaliitto yhtyy väliraportissa esitettyihin näkemyksiin teknisiä käyttöyhteyksiä koskevan vanhentuneen sääntelyn päivitystarpeesta. Markkinakäytännössä on tullut ilmi tapauksia, joissa rekisteröidyn oikeuksien toteutumatta jääminen on ollut johdettavissa vanhentuneesta infrastruktuurista. Ottaen erityisesti huomioon tietosuojalainsääntelyn täsmällisyyden vaatimus, vanhentuneen sääntelyn säilyttämistä kokonaisuudistuksesta huolimatta ei voida pitää tarkoituksenmukaisena. 
 

Muu kuin alkuperäinen käyttötarkoitus ja tekoälykehitys

Väliraportissa mainitun valtiovarainministeriön digitalisaation ja tiedon liikkuvuuden esteiden purkamisen hankkeen (VN/15093/2024) asettamispäätöksessä (VN/15093/2024-VM-19) todetaan viranomaisten tuovan usein esiin, että epävarmuudet henkilötietojen käsittelyä ja siirtoa koskevien säännösten tulkinnassa ovat olleet esteenä esimerkiksi pilvipalveluratkaisujen hyödyntämisessä laajemmin.
 
Pilvipalveluteknologiaa käytetään muun muassa erityisesti monien uusien teknologioiden, kuten teköälyratkaisujen taustalla. Esimerkiksi ottaen huomioon Orpon hallitusohjelmassa asetettu tavoite terveys- ja hyvinvointialan tehokkuuden edistämisestä sekä kyseisen tavoitteen saavuttamiseksi asetettu Terveys- ja hyvinvointialan kasvuohjelma, toimintojen digitalisoinnilla niiden sääntelyllä on välitön yhteys näihin uusiin teknologioihin. Kasvuohjelman toimeenpanosuunnitelma ja sen alustavien tulosten esittelymateriaalissa todetaan haastatteluissa ja työpajoissa tunnistetuksi kehittämiskohteeksi esimerkiksi datan maksimaalisen hyödyntämisen mahdollistavampi lainsäädäntö. 
 
Niin kutsutun digitaalisen pehmeän infrastruktuuri – eli digitaalisiin palveluihin ja järjestelmiin liittyvä infrastruktuuri, kuten instituutiot, palvelut, standardoidut määrittelyt ja sopimukset – on nostettu merkittävänä lisätekijänä esiin valtioneuvoston selonteossa VNS 10/2022 vp (digikompassi). Myös komission tulevaa strategiaa pohjustava valkoinen kirja alleviivaa datan tuottaman lisäarvon merkitystä kestävälle talouskasvulle ja yhteiskunnalliselle hyvinvoinnille sekä tekoälyn tärkeyttä datapainotteisen talouden työkaluna enenevissä määrin myös julkisen sektorin saralla (Komission valkoinen kirja COM(2020) 65 final, Tekoälystä – Eurooppalainen lähestymistapa huippuosaamiseen ja luottamukseen, s. 1-2). Tästä esimerkkinä voidaan mainita muun muassa julkisen sektorin rooli tekoälyvetoisen 6G-teknologian kehittämisessä, jakelussa ja hyödyntämisessä. Digikompassissa ja komission valkoisessa kirjassa todettu asettaa Asianajajaliiton näkemyksen mukaan selkeän päämäärän teknologiakehityksen mahdollistamiseksi myös tietosuojasääntelyn saralla Suomessa. 
 
Esimerkkinä edellä tarkoitetusta teknologiakehityksen mahdollistavasta ja sitä edistävästä sääntelystä voidaan mainita väliraportin tavoin mahdollisuus henkilötietojen käsittelyyn muussa kuin alkuperäisessä tarkoituksessa. Asianajajaliiton näkemyksen mukaan tietosuoja-asetuksen salliman kansallisen sääntelyliikkumavaran hyödyntäminen julkisen sektorin muussa kuin alkuperäisessä tarkoituksessa tapahtuvaan henkilötietojen käsittelyyn on kannatettavaa kokonaisuudistuksen yhteydessä. Ottaen erityisesti huomioon edellä todettu digitalisaatiostrategia, on kansallisen liikkumavaran käyttöedellytysten valossa nähtävä tarkoituksenmukaisena mahdollistaa esimerkiksi palveluiden kehittämis- ja innovaatiotoiminta sallittuna muuhun kuin alkuperäiseen käyttötarkoitukseen tarkoitettuna henkilötietojen käsittelynä. Tässä yhteydessä voidaan viitata oikeusministeriön väliraportin jaksossa 3.2.3.1 esittämään näkemykseen palveluiden kehittämistehtävästä tietosuojalain 4 §:n 2 kohdassa tarkoitettuna yleisen edun mukaisena tehtävänä. Muuhun kuin alkuperäiseen tarkoitukseen tapahtuvaa käsittelyä koskevan sääntelyn tulkintaohjeiden selventäminen on Asianajajaliiton näkemyksen mukaan kannatettava ehdotus. 
 
Väliraportissa todetulla tavalla henkilötietojen käsittely muuhun kuin alkuperäiseen tarkoitukseen voi perustua myös esimerkiksi rekisteröidyn suostumukseen. Tältä osin Asianajajaliitto viittaa yleisen tietosuoja-asetuksen toimivuutta ja sen soveltamiseen liittyviä kysymyksiä koskevaan vuoden 2023 lausuntopyyntöön VN/23585/2023 antamassaan lausunnossa esittämäänsä kantaan tulkintaongelmista, jotka liittyvät kansallisten suostumusvaatimusten ja tietosuoja-asetuksessa säädettyjen suostumuksen kriteerien väliseen suhteeseen. Tässä suhteessa keskeinen ja markkinakäytäntöjen valossa Asianajajaliiton käsityksen mukaan osittain epäselvä kysymys on, tuleeko tietosuoja-asetuksen suostumukselle asetettuja kriteereitä soveltaa myös näihin kansallisiin suostumusvaatimuksiin, joita työelämän tietosuojalain lisäksi on säädetty erityisesti myös potilastietolainsäädännössä. Sama kysymys koskee tilanteita, joissa käsittelyperuste tietosuoja-asetuksen valossa voisi olla muukin kuin suostumus, esimerkiksi oikeutettu etu. Edelleen on epäselvää, onko tällaisessa tilanteessa esimerkiksi sijaintitietoja käsiteltäessä tarpeen kuitenkin saada sähköisen viestinnän palveluista annetun lain (917/2014) edellyttämällä tavalla myös 160 §:n mukainen yksilön suostumus tavalla, joka täyttää tietosuoja-asetuksen suostumukselle asetetut vaatimukset.
 
Viitaten Asianajajaliiton yleisen tietosuoja-asetuksen toimivuutta ja sen soveltamiseen liittyviä kysymyksiä koskevaan vuoden 2023 lausuntopyyntöön VN/23585/2023 antamaan lausuntoon , Asianajajaliitto ehdottaa kansallisten suostumusvaatimusten arvioimista myös sen valossa, että tietosuoja-asetuksen 5 artiklan ankara käyttötarkoitussidonnaisuutta koskeva vaatimus muodostaa jo itsessään merkittävän hidasteen esimerkiksi erilaisen uuden teknologian, kuten tekoälyratkaisujen käyttömahdollisuuksien hyödyntämiselle.
 

Työelämän tietosuojalaki

Asianajajaliitto katsoo, että erityisesti työelämän tietosuojalain ja tietosuoja-asetuksen soveltamiseen liittyy merkittäviä ristiriitoja. Teknologisten innovaatioiden myötä työntekijöiden henkilötietojen käsittelyn tarvetta liittyy nykyisin myös välittömästi liiketoiminnan harjoittamiseen. Tällainen asetelma on käsillä esimerkiksi puettavan teknologian tuotekehitykseen liittyen. Osana kehitystyötä tuotekehityksessä työskentelevien työntekijöiden olisi välttämätöntä kyetä itse testaamaan kehittämiään tuotteita ja teknologiaa. Käsiteltävät henkilötiedot ovat tällaisessa kontekstissa työntekijöiden terveydentilaa kuvaavina pidettäviä tietoja, kuten sydämen sykettä ja kehon rasitusta koskevia tietoja.
 
Kansallinen lainsäädäntömme näyttää tällaisissa yhteyksissä estävän kokonaisuudessaan työntekijöiden terveydentilaa koskevien tietojen käsittelyn, mukaan lukien työntekijöiden suostumuksella tai omasta aloitteesta tapahtuvan terveydentilaa koskevan teknisen datan keräämisen ja käsittelyn tilanteissa. Tämän seurauksena osa terveysteknologian tuotekehityksestä on alkanut rajautua pois Suomesta. Vaihtoehtoisesti esille nousee riski lainsäädännön rikkomisesta merkittävine taloudellisine sanktioineen. Tätä ei voitane pitää Suomen kansallisen innovaatiopolitiikan ja kilpailukykytavoitteiden kannalta tarkoituksenmukaisena ja oikeasuhtaisena. Ongelmallisuutta lisää entisestään se, että lainsäädäntömme poikkeaa rajoittavuudessaan tältä osin kaikkien muiden EU-jäsenvaltioiden tilanteesta. Lisäksi Asianajajaliitto toteaa, että kansallinen työelämän tietosuojalainsäädäntömme saattaa olla tältä osin ristiriidassa pakottavan EU-sääntelyn kanssa.
 
Työelämän tietosuojalain 5 §:n mukaan työnantajalla on oikeus käsitellä työntekijän terveydentilaa koskevia tietoja, jos tiedot on kerätty työntekijältä itseltään tai hänen kirjallisella suostumuksellaan muualta ja tietojen käsittely on tarpeen muun ohella sairausajan palkan tai siihen rinnastettavien terveydentilaan liittyvien etuuksien suorittamiseksi. Näin ollen säännös supistaa työntekijän suostumuksen soveltamisalaa terveystiedon käsittelyperusteena, eikä myöskään mahdollista terveystiedon käsittelyedellytyksistä poikkeamista edes työntekijän suostumuksella. 
 
Mia Eklundin 13.3.2021 julkaistu väitöstutkimus Integritet och övervakning i arbetslivet – juridiska perspektiv på arbetsgivarens rätt arr övervaka arbetstagare on tuottanut vastaavia havaintoja akateemisen tutkimuksen muodossa. Tutkimuksessa todetaan, että ristiriita Suomen työelämän tietosuojasääntelyn ja tietosuoja-asetuksen säännösten välillä syntyy tietyissä tilanteissa, joissa Suomen sääntely edellyttää työntekijän suostumusta joko henkilötietojen käsittelyn perusteena tai käsittelyn lisävaatimuksena, jotta työnantaja voi valvontansa yhteydessä käsitellä työntekijän henkilötietoja. Tällainen työelämän tietosuojasääntely vaikuttaisi Eklundin tutkimuksessaan yksilöimällä tavalla olevan tietosuoja-asetuksen mahdollistaman kansallisen sääntelyvaran ulkopuolella. 
 
Kun myös Euroopan komissio on tuonut lausuntopyynnössä viitatussa vuoden 2020 tiedonannossaan esille aikomuksensa edistää ja tukea tietosuojakehyksen yhdenmukaista soveltamista uusiin teknologioihin innovoinnin ja teknologisen kehityksen edistämiseksi, olisi suositeltavaa, että Suomessa kiinnitettäisiin viipymättä huomiota kansallisesta sääntelystä aiheutuviin tietosuojasääntelyn rajoittaviin vaikutuksiin.
 
Työelämän tietosuojalakia sovelletaan sen 2.2 §:n mukaan myös virkasuhteeseen. Näin ollen muun muassa sellainen rekisteröidyn terveystietojen käsittely, joka toteutettaisiin esimerkiksi rekisteröidyn itsensä toimesta julkisen palvelun kehittämistarkoituksessa, voi estyä työelämän tietosuojalain sääntelyn takia. Tämä puolestaan voi toimia esteenä julkisten palvelujen digitalisaation edistämiselle. Samoin esimerkiksi julkisena hankintana tehtävän sosiaali- ja terveyspalveluihin käytettävän teknologiahankinnan toteutuminen voi viivästyä tai estyä, mikäli teknologiaa kehittävä rekisteröity ei voi hyödyntää omia terveystietojaan palvelun kehittämistarkoituksessa edes suostumuksen nojalla. 
 
Sikäli kun tietosuojalainsäädännön aidosta kokonaisuudistuksesta halutaan puhua, Asianajajaliitto katsoo ettei työelämän tietosuojasääntelyä voida edellä todetuista syistä jättää tarkastelun ulkopuolelle. 
 

Tietosuojavaltuutetun ennakollinen ohjeistus

Edellä kuvatut epäselvyydet ja haasteet huomioon ottaen Asianajajaliitto kiinnittää erityistä huomiota työryhmän väliraportissa esiin nostamaan kantaan, jonka mukaan tietosuojavaltuutetun resurssien vähäisyys on osasyy ennakollisen ohjeistuksen passiivisuudelle. Ottaen huomioon tietosuojaviranomaisten valvontatehtävä, resurssien vähäisyys ei oikeusvaltioperiaatteen valossa voi olla perusteena tehtävän jäämiseksi suorittamatta oikeusvarmuuden turvaavalla tavalla. Tässä yhteydessä on syytä korostaa myös Euroopan unionin tuomioistuimen linjausta muun muassa tapauksessa C-184/20, jonka mukaan viranomaisille annettujen resurssien puuttuminen ei missään tapauksessa voi olla hyväksyttävä syy, joka voi oikeuttaa perusoikeuskirjassa taattujen perusoikeuksien loukkaamisen (Unionin tuomioistuimen tuomio (suuri jaosto) C-184/20 – Vyriausioji tarnybinės etikos komisija, kohta 89).
 
Tietosuojavaltuutetun roolin yhteiskunnallisen merkityksen valossa sen resurssien riittävyyttä on painotettu myös muiden hankkeiden yhteydessä. Näistä esimerkkinä voidaan mainita muun muassa positiivisen luottotietorekisterin valmisteleminen (OM022:00/2020), jonka lausuntotiivistelmässä todetaan usean lausunnonantajan korostaneen tietosuojavaltuutetun resurssien riittävyyden merkitystä (Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 2021:25, Positiivista luottotietorekisteriä koskeva lainsäädäntö – Työryhmän mietintö Lausuntotiivistelmä, s. 19). Yleisesti Asianajajaliitto katsoo, että väliraportissa korostettu tarpeettoman sääntelyn välttämistavoite erityisesti huomioiden  tietosuojaviranomaisen passiivinen ja rajoittunut käytäntö koskien tietosuojalainsäädännön tulkintaohjeita, on ongelmallinen siitäkin huolimatta, että rekisterinpitäjillä on tietosuoja-asetuksen mukaisesti velvollisuus kuulla viranomaista silloin, kun käsittelystä aiheutuu korkea riski.
 
Myös esimerkiksi kyberturvallisuusdirektiivin (NIS 2-direktiivi) kansallinen täytäntöönpano alleviivaa osaltaan kansallisen tietosuojalainsäädännön selkeiden tulkintaohjeiden tarvetta, kun usealle myös väliraportissa kuullulle viranomaiselle osoitetaan kyberturvallisuuteen liittyviä valvontatehtäviä. Lisäksi implementoinnin tuoma sääntelytaakka tarkoittaa hallituksen esityksessä todetulla tavalla sitä, että toimijat joutuvat allokoimaan lisää resursseja kyberturvallisuuteen, mikä puolestaan voi tietoturvaan ja tietosuojaan kohdennettujen lisäresurssien vuoksi olla pois muusta toiminnasta (HE 57/2024 vp, s. 103). Ylimääräisen vahingon välttämiseksi sekä kaikkien toimijoiden resurssien tehokkaaksi allokoimiseksi kansallisen tietosuojaan liittyvän tulkintakäytännön tulisi olla selvää ja yhdenmukaista sekä vaivattomasti saatavilla.
 
Myös EU:n tekoälystrategia on korostuneen keskittynyt ennakollisiin valvontamekanismeihin: ratkaisuehdotus tekoälyjärjestelmien keskeisten ongelmien – joihin lukeutuu muun muassa yksityisyys – ja haittavaikutusten torjumiseksi rakentuu riskiperusteiseen etukäteisarviointiin (ks. esim. Koivisto, Ida; Koulu, Riikka, Miten hyvä hallinto digitalisoidaan? Haaste oikeustieteelliselle tutkimukselle. Lakimies 6/2020 s. 798–821). Tämä kuvattu selkeä linja alleviivaa tarvetta tietosuojalainsääntelyn selkeille tulkintaohjeille kansallisella tasolla ja siten myös tietosuojaviranomaisen proaktiiviselle toiminnalle. Euroopan unionin neuvosto ja Euroopan parlamentti ovat kevään ja kesän 2024 aikana julkaisseet kantansa Euroopan komission ehdottamiin tietosuoja-asetuksen päivityksiin, jotka keskittyvät asetuksen täytäntöönpanoon. Tulevilla päivityksillä tähdätään erityisesti kansallisten tietosuojaviranomaisten syvempään yhteistyöhön tapauksissa, joilla on rajat ylittävä ulottuvuus. Ottaen huomioon päivityksillä tavoiteltava ylikansallinen päämäärä, on syytä arvioida kansallisille tietosuojaviranomaisille kohdennettuja resursseja myös tulevaisuuden, ei vain arviointihetken, tarpeiden valossa.
 
 
Helsingissä 30. päivänä elokuuta 2024
 
SUOMEN ASIANAJAJALIITTO
 
Niko Jakobsson
Pääsihteeri
 
 
LAATI
Asianajaja Jukka Lång, Helsinki
 
Suomen Asianajajaliiton lausunnot valmistellaan oikeudellisissa asiantuntijaryhmissä, joiden toiminnassa on mukana noin 120 asianajajaa. Tämä lausunto on valmisteltu teknologia, viestintä ja tietosuoja -asiantuntijaryhmässä.