Lausunto luonnoksesta hallituksen esitykseksi laiksi tulotietojärjestelmästä ja eräistä siihen liittyviksi laeiksi

4.8.2017

Pyydettynä lausuntona esitän kunnioittavasti seuraavan.

Tietosuojavaltuutetun toimisto antoi 22.7.2016 lausunnon aikaisemmasta tulotietojärjestelmää koskevasta esitysluonnoksesta (VM055:00/2014). Tällöin nostin esille EU:n tietosuoja-asetuksen (2016/679), joka tulee sovellettavaksi 25.5.2018 alkaen. Kansallista liikkumavaraa koskevan kysymyksen jätin tuolloin sen varaan, miten oikeusministeriön ns. Tatti -työryhmä tulisi linjaamaan sitä. Tatti-työryhmä julkaisi 21.6.2017 ehdotuksensa uudesta henkilötietojen suojaa koskevasta yleislaista, jolla täsmennetään ja täydennetään EU:n tietosuoja-asetusta. Ehdotus ei kuitenkaan sisällä linjauksia siitä, miten asetus ja henkilötietojen käsittelyä ja suojaa koskevat erityislait tulisi yhteen sovittaa.

Kyse ei ole pelkästään siitä, mikä on kansallisen lainsäädännön liikkumavara asetuksen aikana vaan kyse on myös kansallisen ja EU:n perusoikeuskirjan henkilötietojen suojaa koskevien perusoikeuksien ja niiden tulkinnan yhteensovittamisesta, johon tulisi saada perustuslakivaliokunnan yksilöidympi näkemys. Tiedossani on näiltä osin perustuslakivaliokunnan lausunto (PeVL 38/2016 vp, s. 4), jossa on kiinnitetty huomiota tietosuoja-asetukseen todeten, ettei estettä olisi sille, että sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voitaisiin joltain osin täyttää myös asianmukaisesti laaditulla yleisellä Euroopan unionin asetuksella tai kansalliseen oikeuteen sisältyvällä yleislailla.

1. EU:n tietosuoja-asetuksen tavoitteista

Asetuksen yhtenä tavoitteena on henkilötietojen suojaan koskevien säännösten ja niiden soveltamisen yhdenmukaistaminen. Keinoina ovat suoraan sovellettavan asetus -instrumentin valinta ja säännösten soveltamisen yhdenmukaistaminen asetuksen ns. yhdenmukaisuusmenettelyssä. Asetuksen johdanto-osan 8 ja 10 kohtien perusteella asetukseen sisältyy kansallista liikkumavaraa, jonka perusteella voidaan säätää jopa rajoituksista tai poikkeuksista, mutta useimmiten kyse on lähinnä kansallisista täsmennyksistä ja henkilötietojen suojaa koskevien säännösten johdonmukaisuuden ja ymmärrettävyyden varmistamiseksi.

Yleisenä erona henkilötietolain ja tietosuoja-asetuksen osalta voidaan pitää sitä, että tietosuoja-asetuksessa ei suojattava oikeushyvä ole yksinomaan yksityiselämän suoja tai muut yksityisyyden suojaa turvaavat perusoikeudet kuten henkilötietolaissa vaan asetuksen 1.2 artiklan mukaan kyse on luonnollisten henkilöiden perusoikeuksien ja -vapauksien suojasta henkilötietojen käsittelyssä. Tämän perusteella esimerkiksi artiklan 24.1 mukaisessa riskiarvioinnissa tulisi arvioida henkilötietojen käsittelyyn liittyviä riskejä suhteessa laajemmin ymmärrettyihin luonnollisten henkilöiden oikeuksiin ja vapauksiin. Henkilötietojen suoja voi liittyä muun muassa omaisuuden suojaan esim. jos verotuksen perusteena olevat henkilötiedot ovat virheellisiä ja se johtaa perusteettomaan verotukseen. Verotusmenettelyn kehittäminen yhä automatisoidumpaan suuntaan korostaa tiedon virheettömyysvaatimuksia.

2. Kansallisen liikkumavaran hahmottaminen EU:n tietosuoja-asetuksessa

Kun asetuksen säännöksiä tarkastellaan kansallisen liikkumavaran näkökulmasta näyttäisi asetukseen sisältyvän kolmentyyppisiä kansallisesti säädettäviä tilanteita. Ensinnäkin voidaan puhua kansallisista säännöksistä, joiden perusteella yhteen sovitetaan henkilötietojen suojan kanssa jännitteisiä muita perusoikeuksia. Nämä ovat lähinnä sananvapaus (art. 85) ja virallisten asiakirjojen julkisuus (art. 86). Tässä esityksessä tällaisia tilanteita edustaa lähinnä säännökset tietojen salassa pidosta julkisuuden poikkeuksena. Näiltä osin pidän ehdotusta henkilötietojen suojan näkökulmasta perusteltuna ja sitä voidaan pitää jopa EIS:n tarkoittamana perusteltuna rajoituksena demokraattisessa yhteiskunnassa (ks. EIT:n tuomio 27.6.2017 ns. Veropörssi -tapauksessa).

Toiseksi kyse voi olla kansallisesti säädettävistä rajoituksista tietosuojaperiaatteisiin tai poikkeuksista asetuksessa säädetyistä oikeuksista/velvollisuuksista.

Esimerkkinä kansallisesti säädettävästä rajoituksesta tietosuojaperiaatteeseen voidaan pitää 6.4. artiklan säännöstä, jossa annetaan kansallisesti mahdollisuus poiketa käyttötarkoitussidonnaisuuden periaatteesta (art. 5.1 b) sillä edellytyksellä, että kansallinen lainsäädäntö muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen 23.1 artiklassa tarkoitettujen tavoitteiden turvaamiseksi.

Rekisteröidyn oikeuksia ja vastaavasti rekisterinpitäjän velvollisuuksia voidaan rajoittaa kansallisella lailla 23 artiklan perusteella. Tällainen rajoitus näyttäisi sisältyvän ehdotetun lain 14 §:n 4 momenttiin, jossa rajoitetaan tietosuoja-asetuksen 18 artiklan 1 kohdan a) alakohdassa säädettyä rekisteröidyn oikeutta rajoittaa henkilötietojen käsittelyä rekisteröidyn kiistäessä henkilötietojen paikkansapitävyyden. Kyseessä on henkilötietolakiin verrattuna uudesta rekisteröidyn oikeudesta, jonka voi katsoa liittyvän asetuksen 5.1 d) artiklassa ilmaistuun henkilötietojen täsmällisyysperiaatteeseen, jonka mukaan rekisterinpitäjän on ryhdyttävä kaikkiin mahdollisiin ja kohtuullisiin toimenpiteisiin, että virheelliset ja epätarkat henkilötiedot viipymättä poistetaan tai oikaistaan. Tätä periaatetta on asetuksessa vahvistettu rekisteröidyn oikeudella 16 artiklan mukaan vaatia tällaisten tietojen oikaisemista. Artiklan 18.1 a) tarkoittama rajoitusperuste liittyy luontevasti tietojen oikaisuvaatimukseen tavallaan "turvaamistoimenpiteen" omaisena lisävaatimuksena kunnes oikaisuvaatimus on ratkaistu.

Asetuksen 18.2. artiklassa on myös säädetty perusteista tai tilanteista, joissa 1 alakohdan rajoituksista voidaan poiketa ja tähän tilanteeseen soveltuva peruste voisi olla tärkeä jäsenvaltion yleinen etu. Yksityiskohtaisissa perusteluissa esitetään tällaisena etuna tulotietorekisterin reaaliaikaisuutta koskevaa tavoitetta. Tällaista yleistä tavoitetta en pidä tärkeänä yleisenä etuna, jos yksittäistapauksessa rekisteröity voi saattaa tietojensa paikkansapitävyyden perustellusti kyseenalaiseksi. Muuten esitetyt perusteet viittaavat asetuksen 21 artiklassa säädettyyn vastustamisoikeuteen, joka voi tulla kyseeseen kun käsittelyn perustuu asetuksen 6.1 e) alakohtaan.

Kolmas keskeinen kansallisen sääntelyn liikkumavaraan vaikuttava säännös on itse asiassa käsittelyn perustetta koskevat asetuksen 6 ja 9 artiklat. Asetuksen aikana kansallinen erityissääntely on perusteeltaan johdettava näistä säännöksistä. Asetuksen 6 artikla näyttäisi tässä tapauksessa tulevan sovellettavaksi seuraavasti. Ensinnäkin kansallisesti on säädetty tietyille rekisterinpitäjille henkilötietoja koskeva ilmoitusvelvollisuus. Ilmoitusvelvollisten käsittelyperuste olisi näiltä osin asetuksen 6.1 c) kohta. Toiseksi ilmoitusvelvollisuus johtaa viranomaisen henkilötietojen käsittelyyn ts. viranomaista ei pidetä vain vastaanottajana, mikä on ilmaistu vastaanottajan määritelmässä asetuksen 4 artiklan 9 kohdassa ja mitä on perusteltu johdanto-osan 31 kohdassa. Kunkin ilmoitusvelvollisuuden kohteen kannalta kyse on asetuksen 6.1 artiklan eri käsittelyperusteista, joista ilmeisesti tärkein on e) alakohdassa tarkoitettu yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen. Kolmanneksi on kyse tästä ehdotetusta tulotietojärjestelmästä, joka olisi uusi tietojärjestelmä edellä mainittujen käsittelyperusteiden välissä ja poikkeaisi edellä mainituista käsittelyperusteista ja – tarkoituksista siinä, että kyseessä on tiedonvälityksellinen tai tietopalvelullinen tarkoitus ilman, että rekisterinpitäjällä itsellään olisi varsinaisesti käyttöä ylläpitämilleen tiedoille. Tällaisen tietojärjestelmän perusteet tulisi johtaa edellä mainituista käsittelyperusteista ja uutena tietojärjestelmänä sovellettavaksi tulisi lähinnä asetuksen 6.1 e) kohta.

Asetuksen 6.2 artiklan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä asetuksen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 6.1 kohdan c) ja e) alakohtien perusteella. Asetuksen 6.3. artiklan mukaan säännökset voivat koskea tällaisen käsittelyn lainmukaisuuden yleisiä edellytyksiä, käsiteltävien tietojen tyyppejä, keitä henkilöitä käsittely voi koskea, yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa, käyttötarkoitussidonnaisuutta, säilytysaikoja sekä käsittelytoimia ja -menettelyjä mukaan lukien laillisen ja asianmukaisen käsittelyn varmistamiseksi tarkoitetut toimenpiteet. Kansallisen sääntelyn yleisenä edellytyksenä on se, että lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden.

Kun ehdotusta arvioidaan yleisen edun mukaisen tavoitteen täyttymisen kannalta, on ensin yksilöitävä se, mikä on se yleinen etu, jota nimenomaan tällä tietojärjestelmällä tavoitellaan. Näiltä osin tulisi pitää erillään edellä mainitut ensimmäinen ja toinen käsittelyperuste. Yksi lähestymistapa, jossa yhdistyy myös oikeasuhteisuusarviointi, voidaan ilmaista kysymyksellä: miksi tiedonvälitykselliseen tarkoitukseen on perustettava erillinen rekisteri eikä ilmoitusvelvollisuuden yksinkertaistamista toteuteta siten, että perustava Verohallinnon Tulorekisteriyksikkö ylläpitäisi keskitettyä ilmoitusten vastaanottopistettä ja välittäisi tai muuten jakaisi ilmoitusvelvollisuuden perusteella annettuja tietoja niille, joille ne on tarkoitettu. Tällaista "postitoimisto" mallia ei ole ilmeisesti tarkemmin arvioitu, kun toteuttamisvaihtoehtoja on punnittu. Ehdotetusta rekisteristä muodostuu väistämättä keskitetty ja kattava tietojärjestelmä kansalaisten tuloista, johon erityisesti säädettyjen ilmoitusvelvollisuuksien ei tulisi johtaa asetuksen johdanto-osan 31 kohdan perusteella ("rekisterien yhteenliittämiseen"). Se, että ilmoitusvelvollisten hallinnollista taakkaa halutaan keventää, voidaan mielestäni toteuttaa kevyemmin järjestelyin ilman, että välittäjälle jäisi ilmoitusten tiedot erikseen ylläpidettävään ja pitkäaikaisesti säilytettävään tietojärjestelmään.

Toinen keskeinen peruste rekisterille näyttäisi ilmenevän ehdotetun lain 13 §:n luovutussäännöksestä, jossa ilmoitusvelvollisuuden perusteella saatuja tietoja ei luovuteta vain ilmoitusvelvollisuuden yksilöimälle kohteelle vaan käyttäjille tulisi laajempi oikeus koko tietokantaan sen mukaan onko käyttäjille tai käyttäjien yhteisöille muussa laissa säädetty tiedonsaantioikeus suhteessa ilmoitusvelvollisuuden kohdeyhteisöön. Säännöksen yksityiskohtaisissa perusteluissa käydään läpi julmettu määrä ilmoitusvelvollisuus- ja tiedonsaantioikeussäännöksiä. Säännöllisen ja oma-aloitteisen ilmoitusvelvollisuuden ja tiedonsaantioikeussäännösten keskeinen ero on siinä, että tiedonsaantisäännökset on useimmiten kirjoitettu siten, että ne perustuvat yksilöityihin tietopyyntöihin (mihin asetuksen johdanto-osa kohta 31 myös viittaa) ja luovuttajana on yksittäisen tiedonsaantioikeuden kohteena oleva useimmiten rekisterinpitäjä. Kun ehdotuksen 13 §:ssä ehdotetaan siitä, että Tulorekisteriyksikkö luovuttaa näitä tietoja, on itse asiassa kyse rekisterinpitäjän määräysvallan ja -vastuun siirrosta Tulorekisteriyksikölle. Rekisterinpitäjän määräysvaltaa ja – vastuuta on tiedonsaantisäännöksissä usein korostettu lisämääreillä luovuttavien tietojen tarpeellisuudesta tai välttämättömyydestä. Kun tulorekisterin tiedot ovat usein vain osa siitä tiedosta, joka tiedonsaantioikeuksien kohdeyhteisöille on kertynyt, näyttää siltä, ettei Tulorekisteriyksikkö kykene millään arvioimaan näitä moninaisia ilmoitusvelvollisuus- ja tiedonsaantisäännöksiä, jotta se voisi päättää nimenomaan tietosaantioikeussäännösten mukaisista luovutuksista.

3. Muiden tietosuojaperiaatteiden tarkastelu

Edellä on tarkasteltu lähinnä asetuksen 5.1 a) kohdan lainmukaisuus -periaatetta. Seuraavassa pyrin nostamaan esille ne tietosuojaperiaatteet, jotka näyttävät tässä tapauksessa nousevan keskeisesti esille.

Asetuksen 5.1 d) artiklan edellyttää tietojen täsmällisyyttä ja viittaa käsittelyn tarkoituksiin nähden epätarkkoihin ja virheellisiin tietoihin. Selkeät virheet liittyvät usein henkilötietojen yksilöintitunnisteiden virheisiin tai puutteisiin siten, että henkilötiedon sisältö viittaa väärään henkilöön. Näiltä osin ehdotuksen 8 §:ssä onkin kiinnitetty huomiota yksilöintitietoihin. Toinen enemmänkin tietojen epätarkkuuteen liittyvä näkökulma on henkilötietotyyppien käyttötarkoituksen perusteella määräytyvät erilaiset merkitykset, vaikka niistä käytettävät nimitykset olisivatkin samankaltaisia. Tähän henkilötiedon kontekstisidonnaisuuteen viitataan perusteluissakin: Tiedon käyttäjien tietotarpeet vaihtelevat muun muassa siitä syystä, että näiden soveltamassa lainsäädännössä tulokäsitteet monesti poikkeavat toisistaan. Osa tiedon käyttäjistä arvioi esimerkiksi tuloa maksuhetken ja osa ansaintahetken mukaisesti ja osalla tulokäsite on toisen tiedonkäyttäjän tulokäsitettä laajempi.

Jos näistä eroista ei olla selvillä tietoja luovutettaessa tai käytettäessä, on mahdollista, että tietojen jakelu nimenomaan käyttäjien kesken johtaa henkilötietojen epätarkkuuteen (esim. tulokäsitteet ovat erilaisia).

Asetuksen 5.1 b) artiklassa ilmaistaan keskeinen käsittelyä koskeva periaate eli käyttötarkoitussidonnaisuuden periaate. Näiltä osin on kyse ilmoitusvelvollisuuden tarkoituksista ja siitä, milloin muuta käyttöä tulisi arvioida asetuksen 6.4 artiklan perusteella, kun tämä muu käsittely ei kuulu legaalisen presumption alaan (tieteellinen tutkimus ym.) Tietosuoja-asetus ei tunne erityisiä luovutussäännöksiä vaan luovutuksia muuhun tarkoitukseen on arvioitava 6.4 artiklan perusteella. Säännöksen mukaan kansallisesti voidaan säätää henkilötietojen käsittelystä muussakin tarkoituksissa kuin siinä mitä varten tietoja on kerätty, jos käsittely muodostaa demokraattisessa yhteiskunnassa välttämättömän ja oikeasuhteisen toimenpiteen asetuksen 23.1 artiklassa tarkoitettujen tavoitteiden turvaamiseksi. Välttämättömyyttä ja oikeasuhteisuutta on kommentoitu edellä ja 23.1 e) artikla näyttäisi vahvistavan, että turvattavia tavoitteita voivat olla ainakin verotukseen, kansanterveyteen ja sosiaaliturvaan liittyvät asiat. Se, voidaanko kaikki luovutussäännöksen tilanteet katsoa tällaisiksi turvattaviksi tavoitteiksi, jää epäselväksi.

Asetuksen 5.1 e) artiklassa ilmaistaan säilyttämisen rajoittamisen periaate. Ehdotuksen 19 §:n mukaan tulorekisterin tiedot poistetaan 10 vuoden kuluttua tiedon tallentamisvuotta seuraavan vuoden alusta. Poistoaikaa on perusteltu sillä, että se vastaa aikaa, jonka työnantajat ovat velvollisia säilyttämään palkka- ja muuta kirjanpitoaan. Tämä perustelu ei oikein vakuuta siitä syystä, että kyse on eri tietojärjestelmistä ja säilyttämisaikaa tulisi arvioida erilaisten käyttötarkoituksen perusteella. Kun käyttötarkoitus on ehdotuksen 5 §:n mukaan vastaanottaa, tallettaa ja välittää suoritusten maksajien ilmoittamia tulotietoja ja muita tietoja, ei tarkoitusta voida rinnastaa henkilöstöhallinnon tietojärjestelmiin eikä säilytysaikaa voida johtaa henkilöstöhallinnollisten tietojärjestelmien säilytysajoista. Hankkeen yhtenä tavoitteena on reaaliaikaisen tiedon saamista, mikä ei voi myöskään perustella 10 vuoden säilyttämisaikaa. Kun julkisoikeudellinen saatava vanhenee viidessä vuodessa, pidän tällaista säilyttämisaikaa edes jotenkin perusteltuna, vaikka tiedon vastaanottamisen, tallettamisen ja välittämisen varmistamiseksi tai valvomiseksi tulisi riittää olennaisesti lyhyempi säilyttämisaika.

Asetuksen 5.1 f) artiklassa on ilmaistu henkilötietojen suojaamiseen ja tietoturvaan liittyvät eheyden ja luottamuksellisuuden -periaatteet. Näiltä osin keskeinen kysymys liittyy siihen, miten Tulorekisteriyksikkö rekisterinpitäjänä kykenee huolehtimaan erityisesti tietojärjestelmän käytön ja luovutuksen lainmukaisuudesta. Pidän sinänsä henkilötietojen käsittelyä ja suojaamista koskevan vastuun kannalta perusteltuna sitä, että Verohallinnon Tulorekisteriyksikkö olisi rekisterinpitäjänä. Asetuksen mukaan rekisterinpitäjänä on se, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot ja tähän perustuu rekisterinpitäjän vastuu ja mahdolliset seuraamukset kuten hallinnolliset sakot. Tässä tapauksessa pidän ongelmana sitä, ettei tällaista yksikköä vielä ole eikä se voi lainsäätäjän määrittelemien tarkoitusten ja keinojen osalta asetuksen 25 ja 32 artiklan mukaisesti arvioida mitkä olisivat riittäviä teknisiä ja organisatoria suojaus- ja turvauskeinoja käsittelyn lainmukaisuuden varmistamiseksi tai ettei sellaisia ole rekisterinpitäjän käytettävissä.

Ehdotuksen 4 §:ssä on säädetty rekisterinpitäjän vastuusta. Vastuu talletettujen tietojen oikeellisuudesta on ilmoittajilla, mitä voidaan perustella jo sillä, että ilmoitettavat tiedot ovat hyvin usein ilmoitusvelvollisen vastuulla, kun ilmoitusvelvollinen on myös tällaisen lähteenä olevan tietojärjestelmän eli tyypillisesti henkilöstöhallinnollisen tietojärjestelmän rekisterinpitäjä. Se, mikä on jäänyt oikeastaan huomioimatta, mitä edellä kutsuin rekisterinpitäjän luovutusmääräysvallan ja -vastuun siirroksi Tulorekisteriyksikköön, tulisi tarkemmin vielä selvittää kuten miten käyttäjätahorekisterinpitäjien luovutusmääräysvaltaa ja -vastuuta on mahdollista siirtää tai delegoida ja miten Verohallinnon Tulorekisteriyksikkö voisi tällaisen delegoidun määräysvallan osalta käytännössä myös varmistaa, että käyttäjät saavat vain tarpeelliset tai välttämättömät henkilötiedot eikä tietojärjestelmään myönnettäviä käyttöoikeuksia käytetä oikeudettomasti.

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Heikki Partanen

 
Julkaistu 4.8.2017