Hallituksen esitys uudeksi tietosuojalaiksi: Sakot henkilötietojen väärinkäytöksistä eivät koske viranomaisia
Yritykset maksavat vastaavista rikkeistä jatkossa jopa kymmeniä miljoonia euroja. Ruotsissa sakot koskevat myös julkista sektoria.
Hallitus esittää, että viranomaiset ja julkishallinnon toimijat vapautettaisiin EU:n yleisen tietosuoja-asetuksen (GDPR) määräämistä seuraamusmaksuista.
Sen sijaan yrityksille tietosuojalain rikkomuksista voi toukokuusta 2018 lähtien mätkähtää mojovat sakot, korkeimmillaan 20 miljoonaa euroa tai neljä prosenttia yrityksen maailmanlaajuisesta liikevaihdosta.
Hallitus jätti GDPR:ää täydentävän tietosuojalain esityksen eduskuntaan maaliskuussa kiireellisenä. Lakiesitys on parhaillaan käsittelyssä valiokunnissa.
GDPR:ää aletaan soveltaa 25. toukokuuta. Asetus jättää jäsenvaltioille liikkumavaraa sen suhteen, missä määrin hallinnollisia seuraamusmaksuja määrätään viranomaisille ja julkishallinnon toimijoille.
Mikäli kansallisessa lainsäädännössä ei toisin säädetä, hallinnolliset seuraamusmaksut koskevat yhtä lailla yksityistä ja julkista sektoria. Tällöin julkisen sektorin toimijoille voitaisiin enimmillään mätkäistä 20 miljoonan euron sakot.
Ruotsin hallitus päätyi päinvastaiseen lopputulemaan kuin Suomi. Se esittää, että hallinnolliset sakot koskisivat yhtä lailla yksityistä ja julkista sektoria, mutta sakkojen enimmäismäärä olisi julkisella sektorilla matalampi: korkeimmillaan 10 miljoonaa kruunua, eli noin miljoona euroa.
Ruotsissa lakiesityksen perusteluissa muun muassa todetaan, että maan sääntelyviranomaisten viime vuosina tekemistä tarkastuksista on ilmennyt, että viranomaiset ovat olleet vastuussa tietosuojalainsäädännön periaatteiden tärkeimmistä rikkomuksista. Näin ollen heidät on saatava saman seuraamusjärjestelmän piiriin kuin yksityiset toimijat.
Ruotsin hallituksen kanssa samoilla linjoilla oli myös moni Suomessa. Lakiesityksen täytäntöönpanotyöryhmän jäsenistä niukka enemmistö, muun muassa työryhmän puheenjohtaja Pekka Nurmi, oli sitä mieltä, että seuraamusmaksuja tulisi soveltaa yhtä lailla julkiseen sektoriin.
Samaa mieltä oli myös tietosuojavaltuutettu Reijo Aarnio. Hänet on nimitetty tietosuojalain valvontaviranomaiseksi. Aarnion tehtävänä on muun muassa määrätä hallinnollisten sakkojen suuruudet.
Tietosuojavaltuutetun toimisto jätti työryhmän mietintöön lausunnon, jossa se korosti, että hallinnolliset sakot tulisi kohdistaa myös viranomaisiin.
”Ilman tätä seuraamusjärjestelmä olisi puutteellinen”, lausunnossa kirjoitetaan.
Myös muun muassa Suomen Lakimiesliitto vetosi siihen, että hallinnolliset sakot tulisi ulottaa koskemaan myös viranomaisia. Sen mukaan sakon uhka voisi tehostaa tietosuojan toteutumista viranomaisissa ja julkishallinnollisissa elimissä.
GDPR:n seuraamusjärjestelmä perustuu vahvasti hallinnollisiin sakkoihin. Jos tietosuoja-asetuksessa säädetystä seuraamusjärjestelmästä poikettaisiin, edellyttäisi se täytäntöönpanotyöryhmän mukaan väistämättä jotakin vaihtoehtoista, tehokasta seuraamusjärjestelmää.
Se voisi perustua esimerkiksi rikosoikeudellisiin seuraamuksiin. Työryhmällä ei kuitenkaan ole ollut tosiasiallista mahdollisuutta suunnitella vaihtoehtoista järjestelmää, jäsenet sanovat.
Myös tuleva sote-uudistus on peruste sille, että samojen sääntöjen noudattamatta jättämisestä pitäisi rangaista yhtä lailla viranomaista ja yksityistä yritystä. Asiakkaille tarjottavat palvelukokonaisuudet muodostuvat yhä useammin sekä yksityisistä että julkisista palveluista, ja henkilötiedot liikkuvat eri palveluntarjoajien välillä.
Väärinkäytöksistä vastuuseen eivät ole joutuneet rekisterinpitäjät, vaan yksittäiset henkilötietojen käsittelijät.
Hallitus perustelee viranomaisten jättämistä seuraamusmaksujen ulkopuolelle sillä, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus. Lisäksi viranomaisten henkilötietojen käsittelyä koskee rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu.
Rikosoikeudellista virkavastuuta ja vahingonkorvausvastuuta on kuitenkin pidetty epätarkoituksenmukaisina. Ongelma on tähänkin mennessä ollut se, että väärinkäytöksistä vastuuseen eivät ole joutuneet rekisterinpitäjät, vaan yksittäiset henkilötietojen käsittelijät.
Hallituksen kanssa eri linjoilla olleet täytäntöönpanotyöryhmän jäsenet huomauttivatkin, että virkavastuuseen tai rikosoikeudelliseen vastuuseen perustuvaa seuraamusjärjestelmää ei voida pitää mielekkäänä.
Oikeusministeri Antti Häkkäsen (kok) mukaan virkavastuuseen perustuva sääntelyratkaisu on riittävä. Hän huomauttaa, että virkavastuu ulottuu myös viranomaisorganisaation johtoon, jos kyse on johdon laiminlyönnistä tai lain vastaisesta toiminnasta henkilötietojen käsittelyn järjestämiseksi.
Hallitus myös korostaa, että hallinnollisten sakkojen määrääminen valtion budjettitalouteen kuuluville yksiköille olisi ongelmallista siksi, että silloin kyseiselle yksikölle tulisi myöntää lisämääräraha sakon maksamista varten tai tehtävien hoitamiseen sakon maksamisen jälkeen. Vaihtoehtoisesti yksikön olisi sopeutettava toimintaansa sanktion kattamiseksi.
Vaikka seurantajärjestelmä on julkisen ja yksityisen sektorin välillä erilainen, Häkkäsen mukaan yleisen tietosuoja-asetuksen vaatimukset on joka tapauksessa laitettava täytäntöön myös viranomaispuolella.
”Näkisin, että asianmukainen koulutus on tässä työssä on hyvin keskeisessä asemassa.”
Häkkäsen mukaan työryhmässä nostettiin esille myös Ruotsin malli. Siihen ei kuitenkaan päädytty, eikä malli Häkkäsen mukaan myöskään edusta yleiseurooppalaista näkemystä asiasta.
”Esimerkiksi korkean tietosuojan maassa Saksassa on päädytty ratkaisuun, jossa julkishallinto on suljettu seuraamusmaksujen ulkopuolelle.”
Hallinnollisia seuraamusmaksuja saatetaan kuitenkin tarpeen mukaan arvioida uudelleen, Häkkänen sanoo.
”Tarkoituksena on, että tietosuojalain täytäntöönpanoa seurataan.”
EU:n yleisen tietosuoja-asetuksen tarkoituksena on vahvistaa EU-kansalaisten oikeuksia omiin henkilötietoihinsa ja yhtenäistää hajanaiset tietosuojakäytännöt eri EU-maissa.
Uudistusta on pidetty merkittävänä juuri siksi, että se antaa kansallisille tietosuojavaltuutetuille enemmän valtuuksia sekä oikeudet määrätä seuraamusmaksuja tietosuoja-asetusta rikkoville.
Euroopan tietosuojaneuvosto (EDPD) ja tietosuoja-asetusta valvovat tietosuojaviranomaiset ovat sopineet noudattavansa yhteisiä arviointiperusteita sakkojen määräämisestä.
Esimerkiksi Suomessa muutos on merkittävä: kansallisella tietosuojavaltuutetulla ei nykyisen lain puitteissa ole ollut oikeutta määrätä hallinnollisia sakkoja, vaan seuraamusjärjestelmä on perustunut vahingonkorvauksiin.
Seuraamusmaksujen on toivottu motivoivan rekisterinpitäjiä huolellisempaan henkilötietojen käsittelyyn sekä tilkitsevän seuraamusjärjestelmässä aiemmin ammottaneita aukkoja.
Juttua täydennetty 4.5.2018 klo 16.50. Lisätty oikeusministeri Häkkäsen kommentit.