Yksi vai monta lainvalvojaa?

Julkaistu 6.5.2016

Nyt tiedämme, että uutta tietosuoja-asetusta aletaan soveltaa 25 päivästä toukokuuta 2018. Aika tuntuu lentävän!

Oikeusministeriön asettaman, tuttavallisesti TATTI-työryhmäksi kutsutun työryhmän toimeksiannon yhtenä osana on selvittää, onko kansallista tietosuojaviranomaista koskevaa kansallista lainsäädäntöä tarpeen tarkistaa ja valmistella ehdotus tarvittavaksi lainsäädännöksi kansallisesta tietosuojaviranomaisesta, sen organisaatiosta, tehtävistä ja toimivaltuuksista. Mieleeni nousi muisto vuosien takaa; aikanaan asettuessamme valokuvaan yhdessä Anna-Riitta Wallinin kanssa, tuli professori Ahti Saarenpää pyynnöstämme väliimme ja lausui oraakkelimaiseen tapaansa: "Olen tässä ensimmäisen ja viimeisen tietosuojavaltuutetun välissä". Ehkäpä ennustus osuikin oikeaan!

Euroopan unionin perusoikeuskirjan 8 artiklan mukaan riippumaton viranomainen valvoo henkilötietojen suojaa koskevien sääntöjen noudattamista. Huomaattehan muuten, että 7 artiklan mukaan jokaisella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kunnioitetaan. Yksityis- ja perhe-elämän kunnioittaminen (7 artikla) ja henkilötietojen suoja (8 artikla) ovat siis omia oikeushyviään, vähän eri juttuja, eikä seitsemännessä artiklassa puhuta mitään lainvalvonnan järjestämisestä. Siihen suuntaan meitä kuitenkin toistuvasti vedetään.

Tietosuoja-asetuksessa edellytetään, että jokaisessa jäsenvaltiossa on yksi tai useampi riippumaton viranomainen vastaamassa asetuksen valvonnasta (51 artikla). Riippumattomuutta määrittävässä artiklassa (52 artikla) velvoitetaan lisäksi, että jokaiselle valvontaviranomaiselle osoitetaan tekniset, taloudelliset ja henkilöresurssit, tilat ja infrastruktuuri, jotka ovat tarpeen, jotta valvontaviranomainen voi suorittaa tehtävänsä ja käyttää valtuuksiaan tehokkaasti. Tietosuojavaltuutetun toimiston resurssiongelmiin ovat kiinnittäneet huomionsa jo aiemmin mm. valtiontalouden tarkastusvirasto ja eduskunnan hallintovaliokunta. Näin tarkasteltuna meidänkin toimistomme riippumattomuuden yhteyteen on laitettava iso kysymysmerkki.

Eurooppalaisella ja muutoinkin ylikansallisella tasolla asetuksen mukainen viranomaistoiminta kulminoituu uuteen, hienoon ja jo rakenteilla olevaan Euroopan tietosuojaneuvostoon. Tietosuojaneuvosto on statukseltaan oikeushenkilö. Viranomaistoiminnan organisointimalli EU-tasolla muistuttaa pääpiirteissään kovasti kotimaista malliamme. Sen strategisena tavoitteenahan on varmistaa asetuksen edellyttämä henkilötietojen suojan harmonisointi ja rekisterinpitäjien hallinnollisen taakan keventäminen.

Meillä kuitenkin tilanne on edellä kuvattua monimutkaisempi. Viestintävirasto on toimivaltainen valvomaan viestinnän välitystietojen käsittelyä. Ne puolestaan ovat määritelmänsä mukaisesti tietoja, jotka voidaan yhdistää oikeus- tai luonnolliseen henkilöön. Käsittelyn tarkoitus ratkaisee, kumpia tietotyyppejä ne ovat. Sähköisen viestinnän tietosuojadirektiivi 2002/58/EY on ollut yleisen tietosuojadirektiivin 95/46/EY aladirektiivi. Sähköisen viestinnän tietosuojadirektiiviä valvoo osaltaan kansallisista tietosuojaviranomaisista koostuva WP29. Siitä on siis puolestaan tulossa Euroopan tietosuojaneuvosto. Sanotun direktiivin uusiminen alkoi oikeastaan jo ennen kuin asetus saatiin valmiiksi.

Työelämän tietosuojalain mukaan lainvalvontatehtävän suorittavat yhteistyössä työsuojelupiirit ja tietosuojavaltuutettu. Nyt asetukseen on nostettu työelämän tietosuoja omaksi artiklakseen (88 artikla; Käsittely työsuhteen yhteydessä). Meillä on ollut myös ilo tehdä erinomaista yhteistyötä kuluttaja-asiamiehen kanssa. Hän osallistuu mm. markkinointia koskevien asioiden käsittelyyn. Eräissä erityislaeissa on lisäksi lainvalvontatehtävistä säädöksiä, joiden perusteella muutkin viranomaiset osallistuvat lainvalvontaan.

Oman lukunsa tulee muodostamaan tilanteet, joissa kantelija perustelee kantelunsa asetuksen 86 artiklaan. Siinä säädetään henkilötietojen käsittelystä ja virallisten asiakirjojen julkisuudesta. Tällä hetkellähän tietosuojavaltuutettu ei osallistu tietojen luovutuksen perusteena olevan julkisuuslakimme valvontaan. Jos tieto ei liiku viranomaiselta toiselle saati yksityiselle puolelle kulkee valitustie hallinto-oikeuksiin, jos tietoja pyytävä huomaa sitä käyttää. Asetuksen aikakaudella valituksen voi tehdä muullekin kuin suomalaiselle viranomaiselle.

Uskoakseni päätöksenteon avainsanoja tulevat olemaan riippumattomuus, resurssit, tehokkuus, harmonisointi ja yhden luukun palvelun periaate. Olen aina pitänyt hyvänä, että maassamme on tietosuoja-asioissa ylintä päätöksentekovaltaa käyttävä monijäseninen lautakunta. Tämän kaltaista linkkiä ei pitäisi missään olosuhteissa katkaista, mutta sen uudelleen arviointi on kyllä paikallaan. Kenttä on vapaa ja vaihtoehtoja on useampia tehdä maahamme asetuksen edellyttämä vahva ja riippumaton viranomaistoiminto.