Lausunto julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Dnro 3085/05/2017
3.11.2017

1. Yleiset kommentit raportista

Työryhmän tavoitteena on erilaisten informaatio-oikeudellisten säännösten yhteensovittaminen uuteen tiedonhallintaa koskevaan lakiin. Lähtökohtana on ollut erityisesti voimassaolevien julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2011) ja muiden tiedonhallintaa sekä erityisten tietoturvaa koskevien säännösten yhteensovittaminen. Raportissa ehdotetaan yleislakiin koottavaksi myös säännökset, jotka koskevat tiedon keräämistä, hyödyntämistä, luovuttamista, säilyttämistä, arkistointia ja hävittämistä siten, että sääntely kattaisi niin julkisuuslain, arkistolain kuin henkilötietojen suojan vaatimukset.

Henkilötietojen suojaa koskevien yleis- ja erityissäädösten arviointi on mitä ajankohtaisin hanke. Kyse ei ole vain EU:n tietosuoja-asetuksen kansallisen liikkumavaran käyttämisestä vaan ennen kaikkea siitä, että EU:n tietosuojadirektiivi (1995) implementoitiin Suomessa niin henkilötietolailla kuin julkisuuslailla ja näitä sääntelykeinoja yhdistävillä lukuisilla erityissäännöksillä. Nyt tulisi arvioida, miten henkilötietojen suojan sääntelyä tulisi uudistaa julkisuuslaissa, kun OM:n Tatti-työryhmä ei tarkemmin ottanut kantaa miten julkisuuslain henkilötietojen suojaa koskevat säännökset tulisi yhteen sovittaa EU:n tietosuoja-asetuksen kanssa. Kun EU:n tietosuoja-asetus kumoaa tietosuojadirektiivin ja kansallisesti henkilötietolaki tullaan kumoamaan, on perusteita arvioida kokonaisuudessaan henkilötietojen suojan sääntelyn perusratkaisuja tietosuoja-asetuksen pohjalta.

Kun puhutaan henkilötietojen suojan sääntelykeinosta, voidaan puhua perinteisestä salassapitosääntelystä, jossa näkökulma on suhteessa ulkopuolisiin tai sivullisiin ja keskiössä on erilaiset luovutussäännökset. Henkilötietolain ja julkisuuslain suhde on määritelty henkilötietolain 8 §:n 4 momentissa: Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään. Tämän perusteella julkisuuslaki on erityislaki suhteessa henkilötietolakiin siltä osin kuin on kyse henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä. Julkisuuslaissa henkilötietojen suojan keinoja ovat ennen kaikkea 24 §:n 23-32 kohtien salassapitoperusteet, jotka liittyvät välittömimmin yksilön oikeuksiin ja vapauksiin. Toinen suojasäännös on 16 §:n 3 momentin säännös viranomaisen henkilörekisterin tietojen luovuttamisesta, jossa keskeisenä periaatteena on tiedonpyytäjän henkilötietolain mukaisen käsittelyperusteen varmistaminen.

EU-oikeudellinen henkilötietojen suojaa koskeva sääntely ei ole perustunut salassapitosääntelyyn eikä henkilörekisteriperusteiseen luovutussääntelyyn (ml. salassapitopoikkeukset) vaan siinä on keskeistä käyttötarkoitussidonnaisuuden periaate. Käyttötarkoitussidonnaisen sääntelyn etuna voidaan pitää sitä, että se ei koske vain luovutuksia vaan myös rekisterinpitäjän omaa käyttöä. Siten luovutuksia koskee yleisempi oikeudellinen periaate siitä, ettei luovuttaja voi siirtää myöskään henkilötietoihin parempaa oikeutta kuin hänellä itsellään on. Tietosuoja-asetuksen 6.4 artikla osoittaa reunaehdot ns. yhteensopivuusarvioinnille, jollei artiklassa esitetyillä perusteilla ole säädetty erityistä poikkeusta käyttötarkoitussidonnaisuudesta. Käytännössä tämä tarkoittaa sitä, että luovutusta ei voida oikeuttaa yksistään julkisuuslain 16 §:n 3 momentin mukaisella vastaanottajan oikeudella käsitellä henkilötietoja vaan rekisterinpitäjän tulisi ensin arvioida sitä, onko ehdotettu luovutuskäsittely yhteensopiva henkilötietojen käsittelyn alkuperäisen käyttötarkoituksen kanssa.

Keskeisenä haasteena voidaan pitää laillisuusperiaatteen keskeisyyttä henkilötietojen suojan kansallisessa sääntelyssä, kun tietosuoja-asetuksessa laillisuus on yksi periaate, usein tosin ensin ratkaistava periaate, muiden periaatteiden joukossa. Kansallinen lailla säätämisen perinne on johtanut jossain tilanteissa rekisterinpitäjän käsitteellä sääntelyyn, jossa rekisterinpitäjyys ei määräydy enää rekisterinpitäjän välittömistä toiminnallisista tarpeista suhteessa rekisteröityihin, vaan joiden tarkoituksena on enemmänkin purkaa organisaation rajoista johtuvia tiedon käsittelyn (luovuttamisen) esteitä. Hyvänä esimerkkinä tällaisesta säännöksestä voidaan pitää terveydenhuoltolain (1326/2010) 9 §:ssä tarkoitettua yhteistä potilastietorekisteriä. Kun suostumusta ei enää tarvita yhteisen potilasrekisterin sisällä, on tilalle säädetty lievempiä tiedollisen itsemääräämisen ja etukäteisen varmistamisen keinoja, jotka ovat osoittautuneet käytännössä haastaviksi toteuttaa.

Jos henkilötietojen käsittelyyn liittyvä rekisterinpitäjän intressi muuttuu välittömistä rekisteröityihin liittyvistä toiminnallis-hallinnollista tarpeista tiedon jakamiseen, luovuttamiseen ja toissijaiseen käyttöön liittyviin intresseihin voitaneen puhua tietopalvelu -tyyppisistä intresseistä. Raportin keskeiset ehdotukset näyttävät liittyvän tällaisiin tietopalvelullisiin kysymyksiin.

2. Tietosuoja-asetuksen soveltamisesta jatkovalmistelussa

Ehdotan jatkovalmistelussa otettavaksi huomioon henkilötietojen suojaan liittyvän sääntelyn osalta seuraavat tietosuoja-asetuksesta johdettavat henkilötietojen käsittelyn ja käsittelyn vastuuta koskevat perusnäkemykset.

2.1 Rekisterinpitäjän määräytyminen

Rekisterinpitäjän käsite on tehokkaan henkilötietojen suojan kannalta keskeinen käsite, koska sen mukaan määräytyy edelleen päävastuu henkilötietojen käsittelystä. Kyse on siitä, että tietosuojalainsäädännössä säädetään henkilötietojen käsittelyoikeuksista ja se, jolla on tällainen käsittelyperuste, on oikeutettu henkilötietojen käsittelyyn säädetyin rajoituksin ja velvollisuuksin. Tällainen käsittelyoikeus on perusteena, kun rekisterinpitäjä pyritään yksilöimään hyvinkin moniulotteisessa henkilötietojen käsittelyn todellisuudessa, koska käsittelyoikeus tuottaa myös luontevan kannusteen rekisterinpitäjän vastuun kantamiseen.

EU:n tietosuojadirektiivin (1995) 29 artiklan mukainen työryhmä on lausunnossaan wp 169 (2010) käsitellyt rekisterinpitäjän käsitettä ja määräytymistä direktiivin näkökulmasta. Työryhmän näkemyksen mukaan kyse on yhteisöoikeudellisesta käsitteestä, jota on tulkittava yhteisön sääntöjen tehokkaan toteuttamisen näkökulmasta. Vaikka lausunto on vuodelta 2010 voidaan sitä pitää tietosuoja-asetuksen tulkinnan kannalta merkityksellisenä, koska asetuksen rekisterinpitäjää koskeva määritelmä ei ole muuttunut direktiiviin (1995) verrattuna.

Lausunnon keskeisin johtopäätös on tässä yhteydessä se, että rekisterinpitäjän käsite on toiminnallinen käsite, jolla jaetaan vastuuta sinne, missä näihin asioihin tosiasiallisesti vaikutetaan ja voidaan vaikuttaa. Keskeinen osatekijä rekisterinpitäjän tunnistamisessa on kyky ja mahdollisuudet määritellä henkilötietojen käsittelyn tarkoitukset ja keinot.

Vaikka kyky määritellä voi saada alkunsa laissa säädetystä erityisestä tehtävästä tai valtuutuksesta, tulee arvioinnin perustua yleensä tapauksen tosiasiallisiin seikkoihin ja olosuhteisiin. Tällöin on tarkasteltava erilaisia käsittelytoimia ja ymmärrettävä se, kuka käsittelyn aloitti ja miksi henkilötietoja alun alkaen käsitellään.

Asetuksen riskiperusteinen lähtökohta edellyttää sitä, että rekisterinpitäjä arvioi ja määrää vastuullaan olevan henkilötietojen käsittelyn tarkoitukset ja keinot, mikä on asetuksen hallinnollisten seurausten oikeudenmukaisen kohdentamisen näkökulmasta perusteltua. Jotta lainsäätäjän perusoikeutta turvaava tehtävä ja rekisterinpitäjän vastuu eivät menisi sekaisin, tulisi kansallisessa lainsäädännössä vastaisuudessa rajoittua niihin asetuksen mahdollistamiin kansallisen lainsäädännön alaan kuuluvista asioista päättämiseen kuten 6.1 c) ja e) artikloista ilmenevien käsittelyperusteiden hyväksymiseen siten kuin 6.3 artiklassa edellytetään ja 6.4 artiklassa tarkoitetuista poikkeuksista säätämiseen.

2.2. Käyttötarkoituksen määräytyminen ja määrittely

Toinen henkilötietojen suojan sääntelyn kannalta merkittävä kysymys liittyy käyttötarkoituksen määräytymiseen ja määrittelyyn. Kyse on EU:n perusoikeuskirjan 8.2 artiklassa nimenomaan ilmaistusta henkilötietojen suojan aineellisoikeudellisesta vaatimuksesta. Tietosuoja-asetuksen 5.1 b) artiklan edellyttää, että henkilötietoja saa ryhtyä käsittelemään tiettyä, nimenomaista ja laillista tarkoitusta eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kannalta yhteensopimattomalla tavalla. Mainitun artiklan mukaan henkilötietojen käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia ei pidetä yhteensopimattomina alkuperäisen tarkoituksen kanssa.

Kun määritellään käyttötarkoitusta voidaan lähtökohtana pitää käsittelyperusteesta johdettavissa olevia tarkoituksia. Kun viranomaisen osalta artikla 6.1 f) alakohtaa (oikeutettu etu) ei sovelleta eikä suostumus ja sopimuskaan tule johdanto-osan 43 kohdassa mainituilla perusteilla pääsääntöisesti kyseeseen, tulee viranomaisen käsittelyyn sovellettavaksi lähinnä artiklan 6.1 c) tai e) alakohdan perusteet. Säännöksissä on kolme käsittelyperustetta, joista kahdessa (lakisääteinen velvoite ja julkisen vallan käyttäminen) käyttötarkoitus määräytyy kulloinkin kyseessä olevien aineellisoikeudellisten tehtäväsäännösten perusteella ja tällöin on olennaista hahmottaa kaikki esim. lakisääteiseen velvoitteeseen liittyvät tietojen käyttötilanteet, jotka voivat edellyttää tietojen luovuttamista muille organisaatioille.

Tietosuoja-asetuksessa ja sen johdanto-osassa ei tarkemmin yksilöidä sitä, voisiko edellä mainitut käsittelyperusteet kohdistua suoraan henkilötietojen käsittelyyn siten, että henkilötietojen käsittely säädetään viranomaisen lakisääteiseksi velvollisuudeksi tai yleisestä etua koskeva tehtävä koostuisi keskeisesti henkilötietojen käsittelystä. Vaikka johdanto-osan 45 kohdassa todetaan, ettei asetus edellytä, että kaikkia yksittäisiä käsittelytilanteita varten olisi olemassa erityislaki, voidaan kyseisen kohdan jatko ymmärtää siten, että tarpeen vaatiessa voidaan kansallisella lainsäädännöllä täsmentää asetuksessa säädettyjä yleisiä edellytyksiä, jotka koskevat lainmukaisuutta ja tarkempia vaatimuksia muun muassa rekisterinpitäjästä, käsiteltävistä tietotyypeistä, tarkoituksen rajoituksista ja yhteisöistä, joille henkilötietojen voidaan luovuttaa.

2.3. Luovutuskäsittelyn eri muodot ja käytännöt

Kun erityisenä haasteena on henkilötietojen luovuttaminen, on hyvä pyrkiä hahmottamaan tällaisen ilmiön eri muotoja ja käytäntöjä. Riskiperusteisen lähestymistavan mukaisesti luovutuskysymykset ovat keskeisiä niin perinteisen salassapitosääntelyn kuin käyttötarkoitusperusteisen sääntelyn näkökulmasta.

Jaan seuraavassa luovutuskäsittelyä koskevat kysymykset rekisterinpitäjää ja käyttäjää koskeviin näkökohtiin. Lähtökohtana on erilaiset henkilötietojen käsittelyn organisointi- ja järjestämistavat, joita voidaan tyypitellä seuraavasti: toiminnallis-hallinnollisesti rajattu henkilötietojen käsittely, yhteisrekisterinpitoon perustuva käsittely ja tietopalvelutyyppinen käsittely.

Toiminnallis-hallinnollisesti rajatulla käsittelyllä tarkoitan asetuksen 6.1 c) ja e) kohdasta rekisterinpitäjälle kuuluvan julkisen vallan käyttöä. Tällaisessa käsittelyssä käyttötarkoitus määräytyy aineellisoikeudellisten säännösten perusteella ja näiltä osin tulisi arvioida myös sitä, mitä luovutuksia käyttötarkoitukseen voidaan katsoa sisältyvän ja siten arvioida niiden yhteensopivuutta asetuksen 6.4. artiklan mukaisesti. Mikäli kyseessä on sellaisesta käyttötarkoituksesta, joka ei ole yhteensopiva, on mahdollista 23.1 artiklassa mainittujen tavoitteiden turvaamiseksi säätää poikkeuksia tehtävä- ja toimivaltaperusteisesta käsittelytarkoituksesta. Käyttöoikeudet voidaan rajata käyttäjäkohtaisesti viranomaisen sisällä. Mikäli viranomaistehtävät ylittävät organisaatiorajat, on kyse ns. suorakäyttöyhteyksien avaamisesta. Oikeudellisesti suorakäyttöyhteyksiä voidaan pitää rekisterinpitäjän luovutustoimivallan delegointina, jossa yksittäisille käyttäjille jää harkintavalta yksittäisen henkilötiedon hankinnan ja käsittely laillisuudesta ja sitä, täyttääkö kysely mahdolliset tarpeellisuus/välttämättömyyskriteerit, joita hyvin usein tiedonsaantioikeuksiin on lisätty. Näissä tilanteissa rekisterinpitäjällä on ainoastaan etukäteisiä varmistuskeinoja ja jälkikäteisiä valvontakeinoja luovutusten lainmukaisuuden osoittamiseen. Se, että kullekin käyttäjälle voitaisiin räätälöidä vain hänen tarvitsemiaan näkymiä tietojärjestelmiin ei poista sitä, että tällaisia käyttöoikeuksia voidaan käyttää ilman lakisääteistä tehtäväperustetta.

Yhteisrekisterinpitäjyys on asetuksen 26 artiklan mukaan erikseen sovittu järjestely, jossa vähintään kaksi rekisterinpitäjää määrittävät käsittelyn keinot ja tarkoitukset. Sanamuotonsa mukaan artikla olisi sovellettavissa käsittelyyn, joka perustuu kansalliseen lakiin edellyttäen, että keskinäinen vastuu on jaettu läpinäkyvällä tavalla ottaen erityisesti huomioon rekisteröityjen oikeuksien käytön. Jossain tilanteissa on luontevaa jakaa vastuu käsittelyn elinkaaren mukaan esimerkiksi siten, että henkilötietojen kerääjä vastaa henkilötietojen käsittelyyn ryhtymisen laillisuudesta ja tietojen täsmällisyydestä ja varsinaisen käsittelyn (esim. profiloinnin ja päätöksenteon) osalta on vastuu sillä, jonka toimivaltaan kuuluu tällainen henkilöllinen arviointi ja päätöksenteko. Jossain tilanteissa yhteisrekisterinpidon esteenä voi olla erilaiset käsittelyn läpinäkyvyyttä koskevat säännöt ja toisaalta se voisi olla järjestely, jolla alustatyyppisen käsittelyn vastaista voisi sopia. Esimerkkinä yhteisrekisterinpitäjyydestä voidaan mainita ulkomaalaisrekisteriä koskevat säännökset, joissa on tosin piirteitä rekisterinpitäjyydellä sääntelystä.

Kolmantena luovutuskäsittelyn muotona - tietopalvelullisella käsittelyllä - tarkoitan henkilötietojen käsittely – ei niinkään tietojen käyttämiseksi rekisterinpitäjän omassa toiminnassa – vaan ulkopuolisen toiminnassa ja tarkoituksissa (edelleen luovuttaminen). Esimerkkeinä voidaan pitää väestötietojärjestelmää, ajoneuvoliikennerekisteriä, rikosrekisteriä ja luottotietorekisteriä. Tietosuoja-asetuksen mukaisista käsittelyperusteista kyseeseen tulee lähinnä 6.1 e) artiklassa tarkoitettu yleistä etua koskevan tehtävän suorittaminen. Tällöin yleisen edun tulee liittyä nimenomaan tietopalvelutehtävään, jota ei voida muuten toteuttaa. Rikosrekisterin alkuperäinen tarkoitus on eri tuomioistuimien keskinäinen tiedonsaanti aiemmista rikostuomioita, jotka on lakisääteisesti otettava huomioon myöhemmissä rikosoikeudenkäynneissä. Uusimpana hankkeena voidaan pitää sosiaali- ja terveystietojen ns. toissijaista käyttöä koskeva lakiehdotusta, joka pitkälti perustuu suoraan asetuksen 5.1. b) säädettyyn yhteensopivuuteen, 9 artiklaan ja 89 artiklan täytäntöönpanoon. Kun tietopalveluista puhutaan EU-oikeudessa joudutaan enemmin tai myöhemmin arvioimaan tällaisia järjestelyjä myös tietopalvelumarkkinoiden näkökulmasta ja kilpailuoikeudellisina kysymyksinä.

Teknisen kehityksen myötä on tullut mahdolliseksi henkilötietojen käsittely ilman, että ryhdytään varsinaisesti rekisterinpitäjäksi, kun henkilötietoja voidaan saada/hakea käsittelyperusteesta riippuen muualta enemmän tai vähemmän henkilön itsensä myötävaikutuksella. Tällöin perinteinen tiedollinen oikeusturvatie eli henkilörekisteriin kohdistuva tarkastusoikeus ei olekaan enää riittävä vaan tarvitaan enemmän konkreettiseen käsittelytapahtumaan liittyviä tiedollisia oikeuksia. Julkisuuslain 11 §:n ja 12 §:n tiedonsaantioikeudet on perinteisesti liittyneet konkreettiseen asiankäsittelyyn. Jatkossa myös asetuksen 15 artiklaan voidaan tulkita siten, että yhä enemmän tulee kiinnittää huomiota läpinäkyvyyteen muualta saadusta tiedosta ja että muita tiedollisia oikeuksia voi käyttää käsittelytapahtumakohtaisesti ei vain rekisterikohtaisesti.

3. Kommentit raportin 5 luvusta

3.1. Kommentit osasta 5.1 Tiedonhallintaa koskevan sääntelyn soveltamisaloista

Edellä mainitun perusteella vaikuttaa haasteelliselta, että henkilötietojen käsittelystä julkishallinnossa voitaisiin säätää yhdessä yleislaissa. Sen sijaan yleislaki voisi olla paikallaan kun kyseessä on toiminnallis-hallinnollisesti rajatusta käsittelystä ja halutaan jättää rekisterinpitäjälle harkintavaltaa käsittelyn yksityiskohdista esim. säännökset siitä, miten tietosuojaperiaatteita tulee arvioida ja niistä päättää kuten tarpeelliset tiedot ja säilyttämisajat.

3.2. Kommentit osasta 5.2 Tiedonhallinnan suunnittelu ja kuvaaminen

Henkilötietojen suojasta on Suomessa perinteisesti säädetty lailla. Kun sääntelyssä mennään yksityiskohtiin voidaan lailla sääntelyä pitää yhtenä keskeisenä suunnittelun vaiheena. Yksityiskohtaisen sääntelyn voidaan katsoa ainakin joissakin tapauksissa johtaneen myös lainsäätäjän ja rekisterinpitäjän roolien ja vastuun hämärtymiseen. Tästä syystä olisi tarkemmin arvioitava sitä, mitä lainsäätäjän vastuu henkilötietojen suojan perusoikeuden turvaamisessa oikein edellyttää esimerkiksi missä määrin riittäisi se, että lainsäätäjän panos rajoittuisi tietosuoja-asetuksen 5.1 a) kohdan laillisuusperiaatteen varmistamiseen sekä muihin kansallisen liikkumavaran puitteissa edellytettyihin arviointeihin kuten 6.1 c) ja e) ja erityisesti 6.4 sekä 23 artiklan poikkeusperusteiden säätämiseen. Tämän lisäksi voisi olla alemmanasteisia säännöksiä sekä yleissäännöksiä itseohjautuvuuteen perustuvista käytännön ratkaisuista, joita edellytetään tietosuojaperiaatteiden tehokkaan täytäntöönpanon varmistamiseksi kulloisessakin henkilötietojen käsittelyssä.

3.3. Kommentit osasta 5.3 Tietoturvallisuus

Tietosuoja-asetuksessa tietoturvallisuus ilmenee lähinnä 5.1.f) artiklan (eheys, luottamuksellisuus) periaatteena, jota täsmennetään erityisesti 32 artiklassa (Käsittelyn turvallisuus). Näiltä osin kyse ei ole pelkästään minkä tahansa datan ja sen käsittelyjärjestelmän suojaamisesta vaan ennen kaikkea datan sisältämään informaatioon liittyvien oikeuksien suojaamisesta. Nämä oikeudet ja intressit ovat mitä moninaisempia kuten julkisuuslain 24 §:n 32 kohdasta ilmenee. Kun nämä tunnistetut salassapitoperusteet eivät ole toisiaan poissulkevia, voi säännösten soveltaminen onnistua vain yksittäistapauksellisen arvioinnin perusteella. Perinteisen tietoturva-ajattelun (oman toiminnan turvaaminen erilaisia uhkia vastaan) lisäksi tietosuoja-asetus korostaa rekisteröidyn (siis organisaation ulkopuolisen) oikeuksien ja vapauksien suojaamista.

Vaikka tietoturvatasomalleista ja luokitteluista voi olla myös henkilötietojen suojan kannalta merkitystä, on tietosuoja-asetus näiltä osin hyvinkin pragmaattinen, kun se edellyttää tietoturvaloukkausten havainnointikyvykkyyttä ja tarpeen vaatiessa loukkausten kommunikointia ensisijaisesti valvontaviranomaiselle ja joissakin tilanteissa rekisteröidyille.

Tässä osassa esitetään myös sitä, että lokitietoja koskeva sääntely tulisi olla yleislain tasolla. Tätä ehdotusta kannatan tosin niin, että tällaiset yleissäännöt olisivat kansallisessa tietosuojan yleislaissa (ns. Tatti-laki) eikä vain viranomaisia koskevissa säännöksissä ja niillä on riittävä kytkös henkilötietojen suojan rikosoikeudelliseen vastuuseen.

3.4. Kommentit osasta 5.4 Tietoaineistojen muodostaminen ja vastuut

Tässä osassa käsitellään sääntelyn julkisuuslain mukaista kohdetta – asiakirjaa ja henkilötietolain julkisuuslaissa esiintyvää sääntelyn kohdetta eli henkilörekisteriä. Ymmärrän, että asiakirjajulkisuuden kannalta asiakirjan käsitteellä ja erityisesti sen tuottamisen velvollisuudella on olennainen merkitys, mutta tietotekniikan kehitys esimerkiksi asiakirjahallinnan sähköistymisen tai digitalisaation myötä, on johtanut siihen, ettei tällaisia tallennusvälineitä ja tiedollisia koosteita koskevilla käsitteillä ei ole enää olennaista merkitystä sovelletaanko henkilötietojen suojaa koskevia säännöksiä. Sähköisen asiakirja-aineiston käsittelyä voidaan pitää myös asetuksessa tarkoitettuna käsittelynä, kun aineistoa voidaan käsitellä esimerkiksi kohdistaa siihen henkilöllisiä hakuja – mikä usein onnistuu oletusarvoisesti.

Lisäksi tässä osassa käsitellään rinnakkaisten tietoaineistojen vähentämistä, mikä on liitetty hallitusohjelman tavoitteiseen kysyä samaa tietoa hallinnon asiakkaalta vain kerran. Kun ehdotetaan, että samat tiedot kerätään vain yhden kerran emme ehkä voi puhua muista kuin tietyistä perustiedoista, jotka on jo tietopalvelutyyppisesti saatavissa väestötietojärjestelmästä. Sitä syvemmälle menevä henkilötiedon merkityksen yhteensopivuus ei voi olla mikään itseisarvoinen tavoite, kun eri hallinnon aloilla sovellettavista säännöksistä johdetaan henkilötiedon tasolle ulottuvia konkreettisia merkityksiä (esim. tulokäsite verotuksessa ja toimeentuloturvassa). Henkilötieto on informaatiohyödyke, jonka ominaisuuksiin kuuluu kontekstuaalinen/käyttötarkoituksen mukainen joustavuus. Tavoite ottaa huomioon lähempien sidosviranomaisten tietotarpeet vaikuttavat tietojärjestelmähankkeissa haastavalta ja käytännölle vieraalta.

Tässä osassa ehdotetaan vielä sitä, että teknisen käyttöyhteyden sääntelystä luovutaan sen takia, että se on vanhentunut ja monimerkityksellinen käsite. Tällainen luovutussääntely saattaa kuitenkin kattaa suuren osa henkilötietojen ns. luovutuskäsittelystä, jolloin olennaista näyttäisi olevan se, miten se oikeudellisesti ymmärretään rekisterinpitäjän vastuun kannalta. Kuten edellä totesin, kyse on oikeudellisesti rekisterinpitäjän luovutustoimivallan delegoinnista, jossa yksittäisille käyttäjille eli luovutuksensaajilla on harkintavalta yksittäisen henkilötiedon hankinnan (itsepalvelu) ja sitä seuraavan käsittelyn laillisuudesta ja myös siitä täyttääkö yksityiskohtaisempi tiedonhankinta mahdolliset tarpeellisuus/välttämättömyyskriteerit, joita hyvin usein tiedonsaantioikeuksiin sisältyy. Näissä tilanteissa rekisterinpitäjällä on ainoastaan etukäteisiä varmistuskeinoja ja jälkikäteisiä valvontakeinoja luovutuskäsittelyn lainmukaisuuden osoittamiseen. Jälkikäteiset keinot tulisi liittää ja itse asiassa oikeuttaa tai velvoittaa henkilötiedollisten lokitietojen käsittelyyn.

3.5. Kommentit osasta 5.5. Tietojen ja tietojärjestelmien yhteentoimivuus

Näiltä osin ehdotukset näyttävät liittyvän käytettävien datan siirto- ja käsittelypalvelujen skaalautuvuuteen kuin varsinaiseen sisällölliseen yhteentoimivuuteen. Vaikka raportissa puhutaan semanttisesta yhteentoimivuudesta, on mielestäni tarkoin harkittava henkilötiedon merkityksen yhtenäistämistä erityisesti tietosuoja-asetuksen 5.1 d) alakohdassa tarkoitetun henkilötiedon täsmällisyysvaatimuksen valossa.

3.6. Kommentit osasta 5.6. Tietoaineistojen julkisuus ja salassapito

Kyse on tietosuoja-asetuksen 86 artiklassa tarkoitetusta henkilötietojen suojan ja julkisuusperiaatteen yhteensovittamisesta, johon kuuluu periaatteille tyypillinen enemmän tai vähemmän kuin joko/tai -ratkaisu. Tällöin ei useinkaan puhuta toisesta periaatteesta poikkeamisesta vaan enemmänkin tapauskohtaisesta yhteensovittamisesta, jossa pyritään kunnioittamaan kyseisten oikeuksien ja vapauksien keskeistä sisältöä. Tämä ilmenee EU:n perusoikeuskirjan 52 artiklan 1 kohdasta. Perusoikeuskirjan osalta on tosin todettava, ettei siinä vahvisteta julkisuusperiaatetta perusoikeutena vaan EU-oikeudellinen kiinnekohta julkisuusperiaatteelle ilmenee lähinnä SEUT:n 15 artiklasta, joka koskee EU:n instituutioita ja josta on vaikea johtaa sellaista henkilötietojen suojan vastaperiaatetta kuten sananvapaudesta. Perusoikeudellinen jännite onkin EU:n perusoikeuskirjan 8 artiklan ja kansallisen julkisuusperusoikeuden (Perustuslaki 12 § 2 momentti) välillä ratkaistava asia.

3.7. Kommentit osasta 5.7 Tiedonsaanti asiakirjoista ja tietoaineistosta

Näiltä osin viittaan edellä kohdassa 2.3. Luovutuskäsittelyn eri muodot ja käytännöt esittämiini näkökohtiin henkilötietojen osalta.

3.8. Kommentit osasta 5.8 Tietoaineistojen säilyttäminen ja arkistointi

Nämä kysymykset liittyvät tietosuoja-asetuksen 5.1 e) kohdassa tarkoitetun periaatteen (säilytyksen rajoittaminen) soveltamiseen, jonka mukaan tunnistettavassa muodossa olevia tietoja säilytetään niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamiseksi. Periaatteesta voidaan joustaa, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellistä tai historiallista tai tilastollisia tarkoituksia varten.

Tietosuoja-asetuksen perusteella esimerkiksi käyttötarkoitukseen perustuva säilyttämisaikojen määrittely jää rekisterinpitäjän tehtäväksi. Kun tämän jälkeen tietoja halutaan säilyttää tulisi arkistointisääntelyssä täsmentää asetuksen edellyttämää yleistä etua säilytettävien tietojen minimoimiseksi ja sitä, miten käytännössä tulee toteuttaa alkuperäisen käsittelytarkoituksen ja arkistoinnin rajapinta, jotta se täyttäisi tietosuoja-asetuksen osoitusvelvollisuuden vaatimukset.

3.9. Kommentit osasta 5.9 Tietohallinnon ja tiedonhallinnan ohjaus

Tietosuojavaltuutetun toimiston tehtävänä on henkilötietolain 38 §:n mukaan antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoa henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi. Tässä toiminnassa on monesti havaittu ohjaukselliset tarpeet, jotka eivät niinkään joudu henkilötietolaista vaan ennen kaikkea julkisuuslaista esim. salassapitosäännösten tulkintaan liittyvät kysymykset. Raportissa esitettyjen tietojärjestelmäarkkitehtuuritason ohjaustarpeiden lisäksi kiinnitän huomiota informaatio-oikeudelliseen ohjaustarpeeseen varsinkin niiltä osin kuin se ei kuuluu tietosuoja-asetuksessa tarkoitetun valvontaviranomaisen asetuksessa säädettyihin tehtäviin.

Tietosuojavaltuutetun sijainen, toimistopäällikkö Henrika Räsänen

Ylitarkastaja Heikki Partanen

 
Julkaistu 6.11.2017