Lausunto luonnoksesta hallituksen esitykseksi laiksi julkisista rekrytointi- ja osaamispalveluista, laiksi alueiden kehittämisen ja kasvupalveluiden rahoittamisesta, laiksi yksityisistä rekrytointipalveluista ja laiksi kotoutumisen edistämisestä

Työ- ja elinkeinoministeriön lausuntopyyntö TEM/949/03.01.01/2017
16.6.2017

Työ- ja elinkeinoministeriö on pyytänyt tietosuojavaltuutetulta lausuntoa luonnoksesta hallituksen esitykseksi eduskunnalle laiksi julkisista rekrytointi- ja osaamispalveluista, laiksi alueiden kehittämisen ja kasvupalveluiden rahoittamisesta ja laiksi yksityisistä rekrytointipalveluista sekä eräiden niihin liittyvien lakien muuttamisesta sekä luonnoksesta hallituksen esitykseksi eduskunnalle laiksi kotoutumisen edistämisestä ‒ lisäksi hallituksen esitykseen eduskunnalle laiksi kotoutumisen edistämisestä liittyvät kuntaan ohjaamista koskevat säädösehdotukset sekä niiden yksityiskohtaiset perustelut.

Tietosuojavaltuutetun lausunto

Yleistä lainsäädäntövalmistelussa huomioon otettavaa koskien tietosuojaa

Henkilötietojen käsittelyä koskeva lainsäädäntökehikko on muuttumassa ja tällä hetkellä on menossa siirtymäaika yleisen tietosuoja-asetuksen osalta. Mikäli henkilötietojen käsittelystä säädetään, tulee asiassa ottaa huomioon 25.5.2018 sovellettavaksi tuleva yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) ja arvioida perusteet kansallisen liikkumavaran käyttämiseksi.

Näin ollen kaikessa lainvalmistelussa on jo nyt huomioitava yleisestä tietosuoja-asetuksesta tulevat reunaehdot kansalliselle lainsäädännölle. Kansallinen lainsäädäntö on mahdollista vain niiltä osin, kuin se asetuksessa nimenomaisesti sallitaan ja niiltä osin, kuin esitetyt säännökset ovat välttämättömiä yleisen tietosuoja-asetuksen säännösten täydentämiseksi.

Kansallinen liikkumavara pohjautuu tietosuoja asetuksen 6 artiklan 1 kohdan c- ja e-alakohtiin sekä arkaluonteisten tietojen osalta 9 artiklan 2 kohdan alakohtiin sekä rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen osalta 10 artiklaan. Lisäksi asetuksessa on useita artiklakohtaisia tarkennuksia kansallisesta liikkumavarasta. Lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen asetettuun tavoitteeseen nähden. Lainsäädännön on oltava myös selkeää, täsmällistä ja sen soveltamisen on oltava ennakoitavaa.

Kun henkilötietojen käsittelystä säädetään kansallisessa laissa tietosuoja-asetuksen antaman liikkumavaran puitteissa, käsittelyn oikeusperuste voi sisältää 6 artiklan 2 ja 3 kohdan mukaan erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista, muun muassa:

• yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta;

• käsiteltävien tietojen tyyppiä;

• asianomaisia rekisteröityjä,

• yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa;

• käyttötarkoitussidonnaisuutta;

• säilytysaikoja; sekä

• käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet.

Lainsäädäntö esityksiä on tarkasteltava myös perusoikeusnäkökulmasta. Euroopan unionin perusoikeuskirjan rinnalla on huomioitava kansallinen peruslaki ja perustuslakiavaliokunnan sekä hallintovaliokunnan lausuntokäytäntö. Perustuslain 10 §:n 1 momentti sisältää lainsäädäntötoimeksiannon, jonka mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Sääntelyn on oltava täsmällistä sekä tarkkarajaista. Henkilötietojen suojan kansallisen perusoikeussuojan tulkinnasta suhteessa EU:n tietosuoja-asetukseen perustuslakivaliokunta totesi lausunnossaan PeVL 38/2016 vp seuraavaa: "Valiokunnan käsityksen mukaan estettä ei ole sille, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden sekä täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla".

Komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti. Tietosuoja-asetuksen määritelmiä ei saa määritellä uudelleen ja suoraa toistamista tulee välttää. Viittaukset asetukseen ovat kuitenkin mahdollisia. Kaikessa kansallisessa lainsäädännössä on huomioitava asetusinstrumentin tarkoitus eli se, että asetusta tulee soveltaa yhdenmukaisesti jäsenvaltioissa.

HE-luonnoksien henkilötietojen käsittelyä koskevat säännösehdotukset

Tässä lausunnossa on kiinnitetty huomiota niihin säännösehdotuksiin, jotka edellyttävät jatkovalmistelua.

Asetuksen (EU) 2016/679, jäljempänä tietosuoja-asetus, 4 artiklan 7 kohdassa on määritelty rekisterinpitäjä sekä 4 artiklan 8 kohdassa henkilötietojen käsittelijä. Asiassa on tarkoituksenmukaista ottaa huomioon henkilötietojen käsittelyä koskevat periaatteet, (esimerkiksi tietosuoja-asetuksen 5 artikla) mm. käyttötarkoituksen määrittely, tarpeellisuus ja tietojen minimointi sekä täsmällisyys.

Asetuksen 6 Artiklan 2 kohdan mukaan (säädetään jäsenvaltion lainsäädännössä silloin kun käsittely on tarpeen; rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi) kyseinen käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan tämän asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä.

Asetuksessa ei ole nimenomaisesti säädetty viranomaisten oikeudesta saada ja luovuttaa henkilötietoja, joten tämä jää liikkumavaran puitteissa pääosin kansallisen lainsäädännön varaan. Nykyinen sääntelytekniikka henkilötietojen saamisen ja luovuttamisen osalta näyttää olevan mahdollinen myös asetuksen puitteissa.

Tiedonsaantioikeudet viranomaisten ja muiden toimijoiden välillä on huomioitava. Mikäli lakiehdotuksen tarkoituksena on antaa tiedonsaantioikeuksia henkilötietojen käsittelyyn viranomaisten tai muiden toimijoiden välillä sekä mahdollisuuteen luovuttaa henkilötietoja teknisen käyttöyhteyden avulla, tulisi näistä tiedonsaantioikeuksista säätää tarkkarajaisesti laissa. Lain perusteluissa voidaan antaa tarkentavia määritelmiä ja tulkintaohjeita asiasta.

Edellä mainitut linjaukset tulevat huomioitavaksi erityisesti niissä tilanteissa, joissa tarkoituksena on käsitellä henkilötietolain tarkoittamia arkaluontoisia henkilötietoja, tietosuoja-asetuksen 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä sekä julkisuuslain tai muun erityislain perusteella salassa pidettäviä tietoja. Henkilötietojen luovutukseen, tiedonsaantiin ja muuhun käsittelyyn tulee olla laissa säädetty asiallinen peruste sekä käsiteltävien henkilötietojen tarpeellisuusvaatimus tehtävien ja toiminnan kannalta.

Nyt HE-luonnoksessa laiksi julkisista rekrytointi- ja osaamispalveluista, laiksi alueiden kehittämisen ja kasvupalveluiden rahoittamisesta ja laiksi yksityisistä rekrytointipalveluista sekä eräiden niihin liittyvien lakien muuttamisesta on ehdotettu säädettäväksi seuraavaa:

Laki alueiden kehittämisen ja kasvupalveluiden rahoittamisesta

7 luku Euroopan unionin rakennerahastoja koskevat erityissäännökset

59 § ESR Henkilö -palvelu

ESR Henkilö-palvelu on hallintoviranomaisen kansallisen seurantajärjestelmän EURA 2014:n liitännäisjärjestelmä, joka on henkilörekisteri. Jos ESR-hankkeessa on osallistujana luonnollinen henkilö, hanketoteuttajan on tallennettava hankkeen osallistujan tiedot tämän kirjallisella suostumuksella rekisteriin. Henkilötietojen rekisteröinnin perustasta ja käyttötarkoituksesta hankkeen vaikuttavuuden arvioinnissa on säädetty EU:n yleisasetuksen artikloissa 27 ja 125 ja EU:n ESR-asetuksen artiklassa 5. ESR Henkilö-palvelun rekisterinpitäjänä toimii hallintoviranomainen ja henkilötietojen käsittelijänä hanketoteuttaja.

Luonnollisella henkilöllä ei oikeutta hänestä ESR Henkilö-palveluun tallennettujen tietojen oikaisemiseen.

Työ- ja elinkeinoministeriön hallintoviranomainen ratkaisee tietojen luovuttamispyynnöt koskien tieteellistä tutkimuskäyttöä hakemuksen perusteella.

Tietosuojavaltuutetun toimisto toteaa, että siltä osin kuin kansallisessa laissa ehdotetaan säädettäväksi rajoituksia tietosuoja-asetuksen 16 artiklassa säädettyyn rekisteröidyn oikeuteen tietojen oikaisemisesta, tulee arvioida, voidaanko kansallisen liikkumavaran puitteissa säätää rajoituksia em. oikeuteen. Rajoitukset rekisteröidyn oikeuteen tietojen oikaisemiseen ovat mahdollisia ainoastaan tietosuoja-asetuksen 23 artiklassa säädetyin edellytyksin (esim. 23 artikla e) kohta) tai jos asiasta on nimenomaisesti säädetty EU-lainsäädännössä. Tältä osin pidämme tarkoituksenmukaisena arvioida yksityiskohtaisesti suhteessa tietosuoja-asetukseen rajoituksen säätämisen tarvetta ja perusteita kansallisessa lainsäädännössä. Myös viittaukset EU-lainsäädäntöön tulee olla täsmälliset. Esitetty säännösteksti ja lain perustelut ovat tältä osin epäselvät.

HE-luonnos laiksi kotoutumisen edistämisestä

Tietosuojavaltuutetun toimisto pitää tarkoituksenmukaisena tämän lainsäädäntötyön yhteydessä arvioida ja mahdollisesti säätää henkilötietojen käsittelystä ottaen huomioon tietosuoja-asetuksen salliman kansallisen liikkumavaran edellä selostetulla tavalla. Tarkoituksenmukaista on tällöin ottaa huomioon erityisesti rekisterinpidolliset ja tietojen käsittelyn vastuut; mm. säätämällä siitä, ketkä toimivat henkilötietojen käsittelyn osalta rekisterinpitäjänä ja ketkä esim. henkilötietojen käsittelijänä.

Lakiehdotuksen 48 §:ssä säädettäisiin kuntaanosoitusrekisteristä, johon on ehdotettu lain 49 §:ssä tallennettavaksi mm. tiedot maahanmuuttajan perhesuhteista. Pidämme tarkoituksenmukaisena, että joko säännöksessä tai lain perusteluissa tarkennetaan käsitettä perhesuhteet ja mitä tietoja tällä ilmaisulla tarkoitetaan.

Lopuksi

Aikaisemmassa lausuntopyynnössänne koskien luonnosta HE:ksi eduskunnalle laiksi alueiden kehittämisestä ja kasvupalveluista, todetaan lakiluonnoksen perusteluissa työ- ja elinkeinoministeriön käynnistävän aluekehittämisjärjestelmän ja kasvupalvelujen tiedonhallinnan ja tietojärjestelmien lainsäädäntötyön. Tässä työssä koottaisiin uudistuksen kannalta tarpeelliset asiakaslähtöistä tiedonhallintaa ja digitalisaation edistämistä koskevat säädökset siten, että laki mahdollistaisi kasvupalvelujen järjestämiseen, ohjaukseen, valvontaan, toiminnan arviointiin, kehittämiseen ja tiedonhallintaan liittyvien tietojen tai asiakirjojen tallentamisen. Laissa säädettäisiin kasvupalvelun asiakastietojen ja asiakkaan itsensä tuottamien tietojen tietoturvallisesta käsittelystä ja tiedon hyödyntämisestä. Pidämme tätä jatkovalmistelua tarkoituksenmukaisena, myös erityisesti siltä osin kuin jatkossa on tarkoitus säätää mm. työ- ja elinkeinotoimiston asiakastietojärjestelmästä (URA-tietojärjestelmästä) ja järjestelmien mahdollisesta siirrosta maakunnille.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Mia Murtomäki

 
Julkaistu 30.6.2017