Näytä liitetiedostona annetut lausunnot
Lausunnonantaja Tallennettu Lausunto
Valtiovarainministeriö 6.9.2017
Valtiovarainministeriö.pdf
Patria Oyj 8.9.2017
Patria Oyj.pdf
Yksityiset keskusarkistot ry 13.9.2017
Yksityiset keskusarkistot ry.pdf
Kauppakamari 11.9.2017
Kauppakamari.pdf
TUKIJA 13.9.2017
TUKIJA.pdf
Lapsiasiavaltuutettu 8.9.2017
Lapsiasiavaltuutettu.pdf
STTK 8.9.2017
STTK.pdf
Sosiaali- ja terveysministeriö 14.9.2017
Sosiaali- ja terveysministeriö.pdf
Opetus- ja kulttuuriministeriö 6.10.2017
Opetus- ja kulttuuriministeriö.pdf
Tietoarkisto 8.9.2017
Tietoarkisto.pdf
Korkein hallinto-oikeus 5.9.2017
Korkein hallinto-oikeus.pdf
Sanoma Media Finland Oy 12.9.2017
Sanoma Media Finland.pdf
Akavan Erityisalat AE ry ja Tiedon-ja arkistonhallinnan ammattiyhdistys ry 31.8.2017
Akavan Erityisalat AE ry.pdf
Sisäministeriö 11.9.2017
Sisäministeriö.pdf
  • Lausunnonantajia: 63
    1 luku. Yleiset säännökset
      • Yleiset kommentit
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Suomen Yrittäjät esittää näkemyksiään tietosuojasääntelyn vaikutuksista pienten ja keskisuurten yritysten toimintaan.
      • Saamelaismuseosäätiö
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on lähettänyt lausuntopyynnön EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä. Saamelaismuseo Siida ei ole saanut lausuntopyyntöä, mutta katsoo tärkeäksi antaa asiasta lausunnon. Saamelaismuseo Siida on valtakunnallinen erikoismuseo ja Suomen saamelaisten kansallismuseo. Saamelaismuseon tehtävä on tallentaa kokoelmiinsa Suomen saamelaisten henkistä ja aineellista kulttuuria ja esitellä sitä näyttelyissään ja julkaisuissaan. Museon kokoelmissa on tuhansia esineitä ja valokuvia, osa niistä on avattu julkisesti kansallisessa Finna-palvelussa. Museon työskentelyssä huomioidaan jo nyt eettiset kysymykset ja tietosuoja. Huolestuneina olemme seuranneet keskustelua ja tulkintoja tulevasta tietosuoja-asetuksesta. Saamelaismuseo odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Saamelaismuseon tallentaa kokoelmiinsa aineistoja saamelaisten historiasta ja nykypäivästä. Kokoelmajärjestelmään on kirjattu esim. kokoelmaesineenä olevan käsityöntekijän nimi ja valokuvissa esiintyvien ihmisten nimet on tallennettu järjestelmään yhdessä muiden kontekstitietojen kanssa. Saamelaismuseon toiminnan jatkuvuuden kannalta on tärkeää määritellä, kuinka henkilötietoja voidaan käsitellä ja kuinka samanaikaisesti toimia myös Opetus- ja kulttuuriministeriön tiedon saatavuuden ja tieteen avoimuuteen liittyvien tavoitteiden mukaisesti.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Electronic Frontier Finland - Effi ry kiittää mahdollisuudesta antaa lausunto yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä. Tietoyhteiskunnan keskeiseksi ongelmaksi on noussut, että sekä julkisten että yksityisten toimijoiden on ollut mahdoton vastustaa kiusausta rikkoa yksityisyyden suojaa, jonka laajamittainen loukkaaminen on tullut yhä helpommaksi. Myös tietoturva-asioiden jättäminen retuperälle on valtioille, kunnille ja yrityksille edelleen liian houkuttelevaa. Massavalvonta, verkkovakoilu, big data -hankkeet, joissa hyödynnetään yksityishenkilöistä kerättyä tietoa, sosiaalisen median palveluiden ja muiden verkkopalveluiden harjoittama tiedonkeruu, "esineiden Internet" ja sen tietoturvaongelmat sekä monet muut vastaavat kysymykset muodostavat laajan kokonaisuuden, joka on ihmisoikeuksien toteutumisen kannalta erittäin tärkeä. Tietosuojan tasoa sekä huolellisuutta ja lainmukaisuutta henkilötietojen käsittelyssä on tarpeen parantaa huomattavasti, ja tässä EU:n uudella tietosuoja-asetuksella ja sen asianmukaisella kansallisella soveltamisella on toivottavasti myönteistä merkitystä. Samalla kun tietoisuus tietosuoja-asioiden ja yksityisyyden suojan merkittävyydestä on kasvanut, ovat toisaalta myös vaatimukset avoimuudesta kasvaneet. Viranomaisilta toivotaan avointa dataa kansalaisten ja yritysten hyödynnettäväksi ja tieteen piirissä puhutaan paljon tieteellisen tiedon avoimuudesta. Tietosuoja- ja avoimuusvaatimusten välillä on joissakin tapauksissa ristiriitaa, mitä EU:n tietosuoja-asetuksessa ja TATTI-työryhmän mietinnössä on pyritty ratkaisemaan korostamalla, etteivät tietosuojasäännökset saa estää sananvapauden toteutumista eivätkä haitata journalismia ja tieteellistä tutkimusta. Työryhmä on pohtinut myös tietoyhteiskunnan palveluissa sovellettavaa ikärajaa, jota nuorempi ei voisi liittyä palveluun ilman vanhempien suostumusta. Ikärajakysymyksen arviointi liittyy sopimusehtojen selkeyteen yleisemminkin. Tietoyhteiskunnan palveluiden sopimusehdot ovat yleisesti olleet niin vaikeaselkoisia, että palvelun käytön vaikutuksia tietosuojaan on ollut vaikea hahmottaa. Kun lisäksi tiedetään, että suurin osa käyttäjistä ei edes perehdy käyttöehtoihin, suostumus henkilötietojen käsittelyyn annetaan heikoin perustein ja ymmärtämättä mihin sitoudutaan. Tämä ongelma koskee kaikenikäisiä, vaikkakin nuoren henkilön edellytykset hahmottaa henkilötietojen käsittelyn vaikutuksia ovat heikommat. Asiakkaan tosiallinen mahdollisuus vaikuttaa tietojen keräämiseen ja tietosuojaa koskevien käyttöehtojen esittäminen ymmärrettävästi korostuvat uuden tietosuoja-asetuksen myötä. Tietosuoja-asetus kiinnittää huomiota siihen, että rekisteröityä on informoitava selkeästi. Siirtymävaiheen käytänteihin jää kuitenkin vielä epäselviä yksityiskohtia, kuten se, täytyykö henkilötietojen käsittelijän saada rekisteröidyltä nimenomainen, informoitu suostumus henkilötietojen käsittelyyn EU/ETA-maiden ulkopuolella, jos rekisteröity ei ole sellaista aiemmin antanut. Tällaisia tapauksia on esimerkiksi sellaisten palveluiden kohdalla, joiden tietojenkäsittelyä on siirretty EU/ETA-maiden ulkopuolelle käyttöehtojen hyväksymisen jälkeen ja/tai käyttöehtosopimuksen muutos, jossa on kerrottu tietojen käsittelystä EU/ETA-alueen ulkopuolella, on tehty yksipuolisella käyttöehtojen muutoksella ilman käyttäjän nimenomaista hyväksyntää. Näiden kysymysten käsittely kuuluu tietosuojaviranomaisten vastuulle ja asiassa tarvitaan myös hyvien käytäntöjen levittämistä. Effin lausunnossa on hyödynnetty Effin eurooppalaisen kattojärjestön EDRin analyysia yleisen tietosuoja-asetuksen kansallisesta liikkumavarasta. Ks. https://edri.org/analysis-flexibilities-gdpr/, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities_summary.pdf, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf
      • Helsingin yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalain yleisiä säännöksiä koskevissa perusteluissa todetaan, että lain tarkoituksena on perusoikeuksien turvaaminen. Kansallisen tietosuojalain tavoitteena mainitaan nimenomaisesti henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua ottaa huomioon perustuslain 16 §:n turvaamat sivistykselliset oikeudet.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus jättää elinkeinoelämänkin kannalta kansalliselle lainsäädännölle liikkumavaraa useassa kohdin. Tämän vuoksi tietosuojaa koskeva kansallinen lainsäädäntö tulee hajautumaan yhtäältä tietosuoja-asetukseen, toisaalta sitä täydentävään kansalliseen yleislakiin sekä lisäksi alakohtaiseen erityslainsäädäntöön. Tetosuojaa koskevan lainsäädännön hallinta tulee väistämättä yrityksissä vaikeutumaan. Kansallisesti sovellettavan yleislain säätäminen on Teknologiateollisuus ry:n mielestä kuitenkin perusteltua, koska tällöin voidaan hyödyntää asetuksen tarjoama liikkumavara, joka suurelle määräälle yrityksiä on tärkeää. Liikkumavaran perusteella yleislaissa voidaan pitää ennallaan työelämän tietosuojaa, henkilötunnuksen käsittelyä ja sananvapauden käyttöä koskevat kansalliset hyväksi havaitut käytännöt. Soveltamisalasäännöksen asiallinen sisältö on mielestämme kunnossa, mutta soveltamisalaa koskevan pykälän 2 hahmottaminen edellyttää erillistä perehtymistä kahteen eri tietosuoja-asetuksen artiklaan sekä asetuksen VII lukuun. Luettavuutta ja ymmärrettävyyttä tulisi parantaa avaamalla asetukseen tehtyjä viittauksia sekä esimerkiksi pilkkomalla pykälän toinen lause osiin. Samalla olisi poistettava ilmaisu "…lisäksi soveltuvin osin ja lukuun ottamatta…", joka on omiaan aiheuttamaan tulkinnanvaraisuutta.
      • Suomen valokuvataiteen museo
        Päivitetty:
        8.9.2017
        • Suomen valokuvataiteen museo on valokuvan valtakunnallinen erikoismuseo, jonka tehtävänä on edistää ja vaalia valokuvataidetta ja -kultturia.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Suomen Tilaajavastuu Oy tuottaa kiinteistö- ja rakennusalan (KIRA-alan) asiakkaille lakisääteisten velvoitteiden hoitamiseen liittyviä digitaalisia palveluita. Lausunnossa painotamme toisaalta KIRA-alan käytännön työssä ilmeneviä erityispiirteitä sekä alan tietojen digitalisoinnin tarpeita. KIRA-alaa koskettavat esimerkiksi tilaajavastuu-, työturvallisuus- ja verotusmenettelylaki, jotka velvoittavat jo yksistään huomattavaan henkilötietojen käsittelyyn ja tarkastamiseen. Tämä on myös johtanut erikoistuneiden palveluntarjoajien syntymiseen alan tarpeisiin. Lisäksi alalla tapahtuu kohtalaisissa määrin alaikäisten henkilöiden työssä oppimista tai esimerkiksi urheiluseurojen talkootyötä rajatuissa yksinkertaisissa siivous- ja järjestelytöissä. Haluamme lausunnossamme huomioida, että esimerkiksi alalle opiskelevien tai siellä jo toimivien alaikäisten henkilötietojen käsittely ei muodostu ylipääsemättömäksi esteeksi. Lisäksi esitämme, että alan digitalisaation kehitys turvataan ja varmistetaan samalla KIRA-alan yritysten velvoitteiden hoitoon liittyvän palveluyritysten toiminta.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Kansallisen yleislain säätäminen on perusteltua, asetus jättää monin paikoin liikkumavaraa ja esim. henkilötunnuksen käsittely on jätetty kansallisen sääntelyn varaan.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kelan näkemyksen mukaan yleisiin säännöksiin tehdyt täsmennykset ovat perusteltuja. Erityisesti 2 §:n tietosuoja-asetuksen soveltamisen laajennus sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan sekä henkilötietojen käsittelyyn, joka tapahtuisi SEU V osaston 2 jaksossa tarkoitettuun yhteiseen ulko- ja turvallisuuspolitiikkaan liittyen, on perusteltu kansallinen ratkaisu. Ratkaisu on omiaan lisäämään henkilötietojen käsittelyn yhdenmukaisuutta ja ennakoitavuutta. Sääntelyn täsmentäminen vähentää epäselvyyttä sovellettavasta lainsäädännöstä ja poistaa asetuksen ja kansallisen lainsäädännön rinnakkaisen soveltamisen mahdollisesti tuomia aukkokohtia.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Pyydettynä lausuntonaan palkansaajakeskusjärjestöt SAK ja Akava lausuvat seuraavaa: Painotamme valmisteilla olevan tiedonhallintalain ja muun viranomaisten arkistotoimintaa koskeva lainsäädännön huomioon ottamista myös tässä valmistelussa. Yleisen tietosuoja-asetuksen 89 artiklan 3 kohdan mukaiset poikkeukset ja suojatoimet tulee määritellä ja avata riittävästi. Viittaamme tässä ehdotuksen sivulle 132, luku 3.10. Yleisen edun mukainen arkistointi.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Suomen Lääkäriliitto edustaa yli 90 % maamme lääkäreistä ja koska tietosuoja-asetus ja siihen liittyvä kansallinen lainsäädäntö laajalti koskettaa lääkärikuntaa, pidämme tärkeänä lausua tästä esityksestä. Yleiskommenttina Lääkäriliitto korostaa, että säädöskokonaisuus (tietosuoja-asetus, tietosuojalaki ja kansallinen erityislainsäädäntö) tulisi olla analysoitu tarkkaan ennen tietosuojalain lopullisesta sisällöstä päättämistä. Tietosuojan yleislaissa on vältettävä ratkaisuja, jotka voisivat tarpeettomasti vaikeuttaa esimerkiksi erityislaeissa säädettyä potilasinformaation käyttöä, lääketieteellistä tutkimusta tai biopankkitoimintaa. Lääkäriliitto toivoo myös, että tietosuojalainsäädännön kokonaisuudesta tehtäisiin aikanaan ns. kansalaisversio, joka auttaisi sekä kaikkia kansalaisia että henkilötietoja käsitteleviä ammattihenkilöitä vaikean kokonaisuuden hallitsemisessa. Suomen Lääkäriliiton näkemyksen mukaan lakiluonnoksen 2 §:n soveltamisalasäännös on vaikeaselkoinen. Viittaukset muihin säädöksiin sekä ”soveltuvin osin ja lukuun ottamatta…, jollei laissa toisin säädetä” kirjaukset eivät avaudu helposti. Soveltamisalasäännöksen tulisi olla selkeä ja lain soveltamisalan selvitä lakitekstistä. Liitto toivoo, että säännöstä avataan nykyisestään ja mahdollisuuksien mukaan siteerataan lakitekstissä tietosuoja-asetuksen 2 artiklaa.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • On välttämätöntä kansallinen lainsäädäntö saatetaan yhteensopivaksi yleisen tietosuoja-asetuksen kanssa viimeistään yleisen tietosuoja-asetuksen soveltamisen alkaessa 25.5.2018. Työryhmän mietintö sisältää kuitenkin esityksiä ainoastaan uuden tietosuojalain säätämiseksi sekä rikoslain 38 luvun ja sakon täytäntöönpanosta annetun lain 1 §:n 1 momentin muuttamiseksi. Lisäksi liitteenä on eräiden työryhmän jäsenten esitys viranomaisten toiminnan julkisuudesta annetun lain muuttamiseksi. Mietinnöstä ei käy ilmi, onko ryhdytty toimenpiteisiin myös niiden muiden kansallisten lakien muuttamiseksi, jotka koskevat henkilötietojen käsittelyä. Koska yleinen tietosuoja-asetus on normihierarkiassa kansallisen lainsäädännön yläpuolella, on välttämätöntä selvittää myös muun lainsäädännön muutostarve.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalakiluonnos on selkeästi keskeneräinen ja ehdotettuja säännöksiä on tarkennettava ja selkeytettävä olennaisesti mm. perusoikeuksien turvaamiseksi noudattaen hyvää lainvalmistelutapaa. Yksittäiset säännökset on laadittu hyvin vaikeaselkoisiksi (2 §, 3.1 §, 22 §) ja käytetty käsitteistö (yleinen etu, vanhempainvastuu) ei vastaa kansallisessa lainsäädännössä käytettyjä käsitteitä. Ehdotetun lain 2 §:ssä on epäselvä ilmaus: ”Tätä lakia sovelletaan lisäksi soveltuvin osin ja lukuun ottamatta tietosuoja-asetuksen 56 artiklaa ja VII lukua…”. Säännöksen muotoilun perusteella soveltuvin osin ja lukuun ottamatta viittaavat tietosuoja-asetuksen mainittuun artiklaan ja lukuun. Epäselväksi jää miten lakia voidaan soveltaa samaan aikaan soveltuvin osin ja samaan aikaan lukuun ottamatta mainittuihin säännöksiin. Säännösluonnos pitänee sisällään kielellisiä heikkouksia. Lain sisäistä rakennetta tulisi kehittää siten, että oikeusturvaa ja seuraamuksia koskevat asiat sijaisisivat laissa vasta tietojenkäsittelyn erityistilanteita koskevan käsittelyn jälkeen.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Asianajajaliitto, Asianajaja Eija Warma, Asianajajaliiton IT-valiokunnan jäsen; lisäksi asianajajat Johanna Lilja ja Sakari Aalto
        Päivitetty:
        8.9.2017
        • Tässä lausunnossa Suomen Asianajajaliitto (jäljempänä ’Asianajajaliitto’) esittää näkemyksiään muuttuvan tietosuojasääntelyn vaikutuksista yhtäältä oikeusturvaan ja toisaalta asianajajan työhön. Asianajajaliitto haluaa kiinnittää tietosuoja-asetuksen täytäntöönpanotyöryhmän huomion asianajajakunnalle keskeisiin asioihin, joihin tulisi ottaa kantaa kansallisessa lainsäädännössä.
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • EU:n yleistä tietosuoja-asetusta aletaan soveltaa toukokuussa 2018. Tietosuoja-asetuksen tavoitteena on ollut parantaa lasten suojaa henkilötietojen käsittelyssä. Tämä asettaa uusia vaatimuksia muun muassa nuorille suunnatuille verkkopalveluille. Yksi tietosuoja-asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajansa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus sopia kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Nyt lausuttavana olevan työryhmän muistion mukaan Suomessa mahdollisena pidetään sekä 13 että 15 vuoden ikärajan asettamista. Suomen Nuorisoyhteistyö – Allianssi ry (Allianssi) haluaa muistuttaa, että digitaalisella medialla on keskeinen rooli lasten ja nuorten arjessa. Sosiaalisen median yhteisöpalvelut tarjoavat nuorille monipuolisia vuorovaikutuksen tapoja, yhteisöllisyyden kokemuksia sekä identiteetin rakentamisen mahdollisuuksia. Verkkoyhteisöt linkittyvät vahvasti muihin elämän yhteisöihin ja rikastuttavat nuorten kasvokkaista vuorovaikutusta. Nuoret voivat hyödyntää mediaa monella tavoin vaikuttamiseen ja oppimiseen. Verkossa nuoret voivat rakentaa maailmankuvaa, hakea tietoa ja osallistua yhteiskunnalliseen keskusteluun. Media tukee nuorten mielenkiinnon kohteita ja harrastustoimintaa. Osallistuminen digitalisoituneessa yhteiskunnassa edellyttää nuorilta hyviä viestintäteknologia- ja medialukutaitoa, joiden opettelu tulisi aloittaa jo varhaisessa iässä. Nuorten, mutta myös heidän vanhempiensa, mediakasvatus vaatii viranomaisten ja kolmannen sektorin moniammatillista yhteistyötä.
      • Helsingin kaupunki, kulttuuri ja vapaa-aika/Kaupunginmuseo, Museonjohtaja Tiina Merisalo, Helsingin kaupunginmuseo - Keski-Uudenmaan maakuntamuseo, Merisalo Tiina-Sisko
        Päivitetty:
        8.9.2017
        • Suomen museoliitto on antanut asiassa lausunnon 5.9.2017, johon Helsingin kaupunginmuseo yhtyy kaikilta osin.
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei ole lausuttavaa 1 luvun yleisistä säännöksistä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Hämeenlinnan hallinto-oikeus pitää po. ehdotusta hallituksen esitykseksi yleisesti ottaen työlle asetettujen tavoitteiden mukaisena. Hallinto-oikeus kuitenkin esittää joitakin kannanottoja ja kommentteja, joita toivotaan jatkokäsittelyssä otettavan huomioon.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Kansallisgallerian kokoelma on kuvataidetta ja se ilmiöitä tallentava kokonaisuus, joka muodostuu taideteoksista, arkistoaineistoista ja esineistä. Kokoelma on Suomen valtion omaisuutta ja sen ylläpidon periaatteita säätelee laki Kansallisgalleriasta (889/2013) ja valtioneuvoston asetus Kansallisgalleriasta. Kansallisgallerian kokoelman lisäksi Kansallisgalleria huolehtii Valtion taideteostoimikunnan kokoelmista. Kansallisgallerian kokoelma on korvaamaton osa kansallista kulttuuriperintöä, ja sen kolmen eri museon eli Sinebrychoffin taidemuseon, Ateneumin taidemuseon ja Nykytaiteen museo Kiasman sekä arkistokokoelmien toiminnan perusta. Laaja arkistokokoelma sisältää esimerkiksi noin 600 000 kuvaa valokuvina ja muilla formaateilla, noin 330 hyllymetriä asiakirja-aineistoja ja noin 2000 audiovisuaalisen arkiston tallennetta. Itse kokoelma-aineisto ja kokoelmia koskeva metadata sisältävät valtavan määrän henkilötietoja, jotka ovat välttämättömiä kokoelmahallinnan ja kuvataidetta koskevan tutkimuksen ja tiedontuottamisen osana. Kulttuuriperintöaineistojen ja niiden saavutettavuuden merkitys on vahvistunut Euroopassa lukuisten EU:n ja jäsenmaiden hankkeissa, joiden lähtökohtana on lisätä kulttuuriaineistojen käytettävyyttä tieteen, tutkimuksen, talouden ja sananvapauden edistämiseksi. Suomessa tällaisia hankkeita ovat esimerkiksi Avoimen tieteen ja tutkimuksen hanke (Opetus- ja kulttuuriministeriö) ja Finna tietokanta, joka yhdistää kirjastojen, arkistojen ja museoiden tuottamia tietosisältöjä. Yleisenä, julkilausuttuna lähtökohtana on tiedon avoimuus ja pyrkimys saattaa Suomi tässä mielessä kansainvälisesti eturintamaan. Tietosisältöjen tehokas käytettävyys edellyttäisi kuitenkin aineistojen ja niiden kuvailu- ja luettelointitietojen saavutettavuutta kulttuuriperintölaitoksissa ja niiden verkkopalveluissa. Tässä mielessä Kansallisgalleria katsoo, että EU-asetuksen sallimissa liikkumavara kansallisessa lainsäädännössä tulisi käyttää täysimääräisesti edellä kuvattujen tavoitteiden saavuttamiseksi. Nyt ehdotettu lakiluonnos valitettavasti johtaisi päinvastaiseen tulokseen vaarantamalla kulttuuriperintöorganisaatioiden julkisesti rahoitetut tietoyhteiskuntaa palvelevat toiminnot.
      • CSC - Tieteen tietotekniikan keskus Oy, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • TUHA-verkosto haluaa omaan asiantuntemukseensa perustuen ottaa kantaa joihinkin tieteellisen tutkimuksen tekemisen edellytyksiin vaikuttaviin yksityiskohtiin koskien TATTI-työryhmän mietintöä ja työryhmän ehdotusta hallituksen esitykseksi uudeksi tietosuojalaiksi. TUHA-VERKOSTO Tutkimuksen tuen ja hallinnon verkosto (TUHA) kokoaa yhteen suomalaisissa yliopistoissa, ammattikorkeakouluissa, tutkimuslaitoksissa ja muissa tutkimusta tekevissä organisaatioissa työskentelevät tutkimushallinnon asiantuntijat. TUHA-verkostoon kuuluu yli kolmensadan henkilöjäsenen lisäksi myös muita valtakunnallisia verkostoja (Suomen yliopistokirjastojen neuvosto SYN, AMK-TKI-johtajat, Finn-ARMA, Tohtorikoulutusverkosto). Se toimii kymmenen eri aiheita käsittelevän alaryhmän kautta. TUHA-verkosto edustaa kattavasti suomalaista tieteellistä tutkimusta tukevia ja palvelevia asiantuntijoita. Roolinsa kautta sille on muodostunut syvällinen käsitys suunnasta, johon tieteellistä tutkimusta tukevat järjestelmät ja palvelut ovat tutkimuksen ohella kansainvälisesti kehittymässä. YLEISESTI Verkoston näkemykset pohjautuvat seuraaviin alkuoletuksiin: A) Tiede on kansainvälistä. Huipputason tieteellinen tutkimus edellyttää aktiivista yhteydenpitoa ja tietojenvaihtoa eri puolilla maailmaa oleviin kollegoihin. B) Digitalisoituminen muuttaa nopeasti ja voimalla tieteen tekemisen tapoja. C) Avoin tiede ja siihen kytkeytyvä tutkimustiedon jakaminen on kansainvälisessä tiedeyhteisössä vahva trendi. D) Tutkimuksen tuen ja palveluiden kaikkia osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Näin toisaalta lisätään tutkijoiden tutkimukseen käytettävissä olevaa aikaa ja toisaalta mahdollistetaan tutkimuspalveluiden asiantuntijoiden työpanoksen käyttäminen vaativampiin tehtäviin. Yleisesti TUHA-verkostoa huolestuttaa suunnittelussa valittu linja, jossa jätetään käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus sääntelyn modernisointiin. Ehdotuksessa on jäänyt vähälle huomiolle se miten ihmiset jo nyt käyttävät teknologiaa ja millaista toiminnallisuutta ja käytettävyyttä he järjestelmiltä edellyttävät. Myös tietosuojalainsäädännön on elettävä ajassaan. Valittu kireä linja antaa tarpeetonta etua kansainvälisille verrokeille. Tietosuoja-asetuksen toimeenpanon ei pidä kaventaa julkisuusperiaatteen tai tieteen vapauden toteutumista.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • Viite: Oikeusministeriön lausuntopyyntö 30.6.2017 yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi Tietosuojavaltuutettu lausuu kunnioittavasti seuraavaa: Tietosuojavaltuutettu pitää hyvänä, että ehdotuksen laatimisen lähtökohtana on pidetty kansallisen liikkumavaran käyttöä ja tietosuoja-asetuksesta tulevia muutostarpeita kansalliselle yleislaille. Ehdotuksessa on pyritty säilyttämään henkilötietolakia vastaava oikeustila tietosuoja-asetuksen mahdollistamin reunaehdoin. Ehdotus sisältää merkittäviä muutoksia kansallisten tietosuojaviranomaisten toiminnalle. Olennainen muutosehdotus on tietosuojalautakunnan lakkaaminen ja kansallisen valvontaviranomaisen tehtävien keskittäminen yhdelle viranomaiselle; tietosuojavirastolle. Kaikessa kansallisessa tietosuoja-asetusta täydentävässä ja täsmentävässä lainsäädännössä tulee ottaa huomioon tietosuoja-asetuksen tavoite; yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien- ja vapauksien suojelua ja varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Työryhmän jatkotyössä tulisi ottaa huomioon pyrkimys vähentää rekisteripohjaista lainsäädäntöä. Jatkotyössä tulisi kiinnittää myös huomioita seuraamusjärjestelmään kokonaisuudessaan ja arvioida erityiset sääntelytarpeet (ml. kameravalvonta ja käytönvalvonta). Tietosuojalainsäädäntö on koettu usein vaikeaselkoiseksi. Sääntelyn ymmärrettävyyden ja johdonmukaisuuden lisäämiseksi, kaikki käsittelyä koskevat säännökset olisi syytä sisällyttää samaan lukuun (kts. tietosuojalain 2 luku, 5 luku ja 6 luvun 34 §). Esityksen vaikutukset Tietosuoja-asetuksen 52 artiklassa säädetään valvontaviranomaisen riippumattomuudesta. Riippumattomuuden edellytyksenä muun muassa se, että jäsenvaltio varmistaa, että valvontaviranomaiselle on osoitettu riittävät resurssit ja henkilöstö. Jatkovalmistelussa on edelleen arvioitava valvontaviranomaisen tehtävien hoitamisen ja toimivaltojen käytön edellyttämät resurssit 52 artiklan edellyttämällä tavalla. Tietosuojavaltuutetun toimiston nykyinen henkilöstö tulee luonnollisesti ottamaan vastaa asetuksen edellyttämiä tehtäviä. Jatkovalmistelussa on kuitenkin arvioitava ne tehtävät, joiden hoitamiseen tarvitaan lisäresursseja. Lähtökohtana arvioinnissa tulee olla se, että tietosuojavaltuutetun toimiston resurssit eivät enää viime vuosien aikana ole olleet oikeassa suhteessa sille nykyisin säädettyjen tehtävien kanssa. Tietosuojaviranomaisen tehtävän organisoituminen edellyttää kokonaisvaltaista arviointia, jossa otetaan huomioon tietosuoja-asetuksen, rikosasioiden tietosuojadirektiivin täytäntöönpanolain sekä muun tietosuojavaltuutetun tehtäviä ja toimivaltaa koskevan lainsäädännön vaikutukset tietosuojaviranomaisen toimintaan.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ehdotus uudesta tietosuojalaista tarvitaan, vaikka se noudattaa pitkälti nykyistä henkilötietola-kia. Ehdotus yhdistettynä sitovaan eu-säädäntöön merkitsee nykyistä tiukempaa tiedonhallinnan regulaatiota ja asettaa haasteita eri organisaatioille yleisesti tiedonhallinnan ja -suojan osalta. Lisäksi tilanne voi asettaa haasteita mm. tekoälyn, big datan ja analytiikan hyödyntämiselle palvelujen kehittämisessä. Oletettavaa on, että erityislainsäädännön valmistelussa joudutaan jatkossakin käymään arviointia tiedon käytön avoimmuuden rajoista. Tieteellinen tutkimus kattaa tietosuoja- asetuksen määritelmän mukaan teknologian kehityksen ja esittelyn, perustutkimuksen, soveltavan tutkimuksen ja yksityisin varoin rahoitetun tutkimuksen. Työ- ja elinkeinoministeriön näkemyksen mukaan tämä selventää henkilötietolain mukaista tieteellisen tutkimuksen määritelmää ja mahdollistaa tietojen käytön akateemisen tutkimuksen lisäksi myös yritysten toteuttamassa soveltavammassa tutkimuksessa. Laajempaa määritelmää ei kuitenkaan ole avattu yksityiskohtaisissa perusteluissa. Työ- ja elinkeinoministeriö ehdottaakin, että 31 ja 32 §:n yksityiskohtaisissa perusteluissa viitattaisiin asetuksen tieteellisen tutkimuksen määritelmään ja todettaisiin, että se kattaa myös edellä mainitut tutkimuksen tyypit mukaan lukien yksityisin varoin rahoitetun tutkimuksen. Tämä selventäisi kansalliseen lakiin otetun poikkeuksen soveltamisalaa. Määritelmää kuvataan kyllä yleisperusteluissa, mutta selkeyden vuoksi olisi tarpeen avata tieteellisen tutkimuksen määritelmä myös pykäläkohtaisissa perusteluissa. Perusteluissa olisi hyödyllistä kuvata myös joitakin esimerkkejä erityyppisistä tutkimuksista, joita voitaisiin pitää tässä tarkoitettuna tieteellisenä tutkimuksena. Työ- ja elinkeinoministeriö pitää tärkeänä, että kansallisen tietosuojaviranomaisen resursseja lisätään esite-tysti uusien ja lisääntyvien tehtävien mukaisesti. Erityisen tärkeää on huolehtia siitä, että tietosuojaviran-omaisella on mahdollisuus etukäteisvalvontaan, ohjaukseen ja neuvontaan. Riittävällä ohjauksella ja neu-vonnalla haastavissa tietosuojakysymyksissä voidaan välttää riskit jälkikäteisvalvonnassa havaittavista me-nettelyvirheistä, jotka voivat aiheuttaa yrityksille merkittäviä kustannuksia hallinnollisina sakkoina.
      • Svenska litteratursällskapet i Finland
        Päivitetty:
        8.9.2017
        • Svenska litteratursällskapet i Finland rf ger tillsammans med Suomalaisen Kirjallisuuden Seura ry följande utlåtande med anledning av betänkandet av arbetsgruppen för genomförande av den allmänna dataskyddsförordningen (TATTI) och arbetsgruppens utkast till regeringsproposition med förslag till ny dataskyddslag: Arbetsgruppens utkast till dataskyddslag äventyrar i sin föreslagna form verksamheten för finländska kulturarvsorganisationer (arkiv, bibliotek, museer, konstmuseer), eftersom lagen inte beaktar de särdrag som är förknippade med insamling, bevarande och tillgängliggörande av kulturhistoriskt material. EU:s dataskyddsförordning möjliggör i sig ett nationellt spelrum. Detta spelrum bör utnyttjas fullt ut, också i fråga om de i förordningen avsedda särskilda kategorierna av personuppgifter, eftersom rädslan för sanktioner kan leda inte bara till alltför långtgående visnings- och åtkomstbegränsningar utan också rentav till nedmontering av sådana gemensamma tjänster som producerats med offentlig finansiering. Av detta följer att det kulturhistoriska material som bevaras minskar. Om det endast är tillåtet att bevara information om offentliga personer, återstår endast ”den officiella historieskrivningen”, och då riskerar det finländska livets mångfald – folkminnen, lokalhistoria, vardagens historia, etniska minoriteter och marginalgrupper – falla i glömska. Samtidigt som utkastet till dataskyddslag äventyrar kulturarvsorganisationernas verksamhet, förtar det även verkan av undervisnings- och kulturministeriets projekt för öppen vetenskap och forskning (Avoin tiede ja tutkimus), vars mål är att Finland ska bli ett ledande land när det gäller öppenhet i vetenskap och forskning och att de möjligheter som den öppna vetenskapen ger ska utnyttjas i stor utsträckning i samhället. Exempelvis har kulturutskottet i sitt färska betänkande (KuUB 13/2016 rd) konstaterat att publiceringen av referensuppgifter om arkivmaterial på nätet märkbart skulle öka möjligheterna att få insyn i och tillgång till det kulturarv som samlats in med hjälp av offentliga medel. För att lösa ovannämnda problem föreslår vi att arbetsgruppens lagutkast kompletteras och ändras enligt följande.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskuksen kolmen museon, Kuopion taidemuseon, Kuopion luonnontieteellisen museon ja Kuopion kulttuurihistoriallisen museon kokoelmissa on yhteensä noin 2 miljoonaa henkilötietoa valokuvina, esineistön dokumentaatiotietoina, näytteiden dokumentaatiotietoina ja arkistomateriaaleina. Tietojen käsittelyoikeuksia ei useimmiten ole materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä ennen 2000-lukua kysytty tai kirjattu. Oletuksena on ollut, että museokokoelmiin liitetyt materiaalit on materiaalin luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Esim. Kuopion kulttuurihistoriallisen museon kuva-arkistossa lahjoittajan nimen käsittelyoikeutta on kysytty lahjoitusasiakirjassa vasta vuodesta 2000 alkaen. Tämän vuoksi EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa on huomioitava suomalaisten kulttuuriperintöorganisaatioiden (arkistot, kirjastot, museot) toiminta. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Yleisenä kommenttina Viestintävirasto toteaa, että lain soveltamisalaa koskeva 2 § on varsin vaikeaselkoinen. Viestintävirasto pitää toivottavana pyrkimystä muotoilla säännös selkeämmin mikäli mahdollista. Samalla huomiota olisi hyvä kiinnittää myös lainkohdan perustelujen selkeyteen.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetus sisällöltään ja vaikutuksiltaan huomattavan monimutkainen kokonaisuus. Sen velvoitteiden täyttäminen tulee aiheuttamaan henkilötietoja käsitteleville yrityksille, tutkimuslaitoksille ja viranomaisille huomattavan hallinnollisen taakan. Asetus antaa mahdollisuuden kansallisella lainsäädännöllä käyttää liikkumavaraa eräiden asetuksen sisältämien säännösten osalta. PRH:n käsityksen mukaan liikkumavara tulisi käyttää niin, että samalla kun varmistetaan asetuksen mukainen henkilöiden suojelu henkilötietojen käsittelyssä, pyritään samalla minimoimaan asetuksen aiheuttama hallinnollinen taakka, poistamaan henkilötietojen liikkumisen esteitä unionissa ja mahdollistamaan viranomaisten välinen tietojenvaihto. Lisäksi kansallisen lainsäädännön tulisi sisältää riittävän selkeät säännökset kansalasille, yrityksille ja viranomaisille asetuksen soveltamisesta. Nyt ehdotettu kansallinen laki ei tätä vaatimusta kaikilta osin täytä. Esimerkiksi lain 2 § viittauksineen ja poikkeuksineen on vaikeasti ymmärrettävä. Selkeyttä voisi lisätä jos Suomessakin käytettäisiin viittausten sijasta hyväksi asetuksen sallimaa mahdollisuutta sisällyttää sen säännöksiä suoraan osaksi kansallista lainsäädäntöä.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) ehdottaa mietinnössään, että säädetään uusi tietosuojalaki tietosuoja-asetuksen rinnalle. Samalla vanha henkilötietolaki kumoutuu. Tietosuoja-asetuksen soveltamissäännössä todetaan, että tietosuojalakia ja asetusta sovelletaan soveltuvin osin myös EU:n toimivallan ulkopuolella Suomessa. Uusi henkilötietojen käsittelyn kokonaissääntely koostuu siten yleisellä tasolla EU:n tietosuoja-asetuksesta ja tietosuojalaista, joita on luettava rinnakkain. Sääntelykokonaisuus on haastava ja vaikeaselkoinen. Tietosuojalaissa on säädetty ainoastaan niistä asioista, joissa kansallisen liikkumavaran käyttö on mahdollista. Esimerkiksi sääntely niin perustuvanlaatuisista asioista kun käsittelyn lainmukaisuus on jaettu asetuksen ja tietosuojalain välillä. Tietosuoja-asetuksen ja tietosuojalain lisäksi sääntelyä esimerkiksi erityisten henkilötietojen käsittelystä löytyy myös erityislaeista. Kuntaliitto pitää tärkeänä, että tietosuojalakiin otetaan mahdollisimman kattavat säännökset henkilötietojen käsittelyn perusteista, kuten myös erityisten henkilötietoryhmien käsittelystä, jotta sääntelykokonaisuus käytännössä olisi mahdollisimman selkeä. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne. Kuntaliitto pitää välttämättömänä, että tietosuojalain valmistelu koordinoidaan tiedonhallintalain valmistelun kanssa. Lisäksi jatkovalmistelussa on otettava huomioon ns. toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojan tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) valmistelutilanne. Mietinnöstä puuttuu kattava kokonaisuudistuksen taloudellisten vaikutusten selvitys. Mietinnössä lähdetään siitä, että tietosuojalain esitys ei itsessään aiheuta taloudellisia vaikutuksia ja että itse tietosuoja-asetuksen vaikutuksia ei selvitetä tai selitetä tarkemmin. Kuntaliiton näkemyksen mukaan edes perustuvanlaatuinen esitys asetuksen ja tietosuojalain yhdistetyistä taloudellisista vaikutuksista olisi perusteltua ottaa mietintöön. Kyse on kuitenkin hyvin integroidusta lainsäädäntökokonaisuudesta. Soveltamisalaan liittyvä pykälä on vaikeaselkoinen. Lisäksi, normihierarkian näkökulmasta asetuksen soveltamisalan poikkeamisesta tulisi tarkemmin avata.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen tullessa voimaan toukokuussa 2018 kansallinen tietosuo-jalainsäädäntö hajautuu nykyiseen oikeustilaan nähden. Yritykset rekisterinpitäjinä ja henkilötietojen käsittelijöinä joutuvat soveltamaan henkilötietojen käsittelyyn yhtäältä asetusta, toisaalta asetusta täydentävää ja täsmentävää kansallista yleislakia (työryhmän mietinnössä ehdotettu tietosuojalaki) sekä kutakin alaa tai elämänaluetta sääntelevää erityslainsäädäntöä. Tämä vaikeuttaa lainsäädännön soveltamista. Elinkeinoelämän keskusliiton EK:n näkemyksen mukaan mietinnössä ehdotetun yleislain säätäminen on kuitenkin perusteltua. Säätämällä uusi tietosuojalaki voidaan hyödyntää asetuksen tarjoamat mahdollisuudet kansalliseen liikkumavaraan ja säilyttää ennallaan nykyinen sääntely esimerkiksi henkilötunnuksen käsittelystä sekä henkilötietojen käsittelystä journalistisia tarkoituksia varten. Suomessa on merkittävä määrä liiketoimintaa, jolle em. kaltainen liikkumavaran käyttö on olennaisen tärkeätä. EK:lla ei ole huomautettavaa mietinnössä ehdotettuun tietosuojalain soveltamisalaa koskevan 2 §:n aineelliseen sisältöön. Pykälän ilmaisutapaa on kuitenkin tarpeen selkeyttää jatkovalmistelun aikana. Mietinnössä ehdotettu pykälä muodostuu kolmesta lauseesta, joista keskimmäinen on erittäin pitkä ja polveileva. Esimerkiksi ilmaisusta "[…] lisäksi soveltuvin osin ja lukuun ottamatta […]" on vaikea ymmärtää lainsäätäjän tarkoitusta. Pykälän hahmottaminen edellyttää lisäksi erillistä perehtymistä kahteen eri tietosuoja-asetuksen artiklaan sekä asetuksen VII lukuun, minkä johdosta kokonaisuudesta muodostuu hankala.
      • Nets Oy
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on pyytänyt lausuntoja 30.6.2017 antamassaan lausuntopyynnössä yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. Nets Oy ("Nets") lausuu näkemyksenään seuraavaa.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on pyytänyt (1/41/2016) eduskunnan oikeusasiamiehen lausuntoa otsikkoasiassa. Lausuntopalvelussa julkaistun lausuntopyynnön rakennetta noudattaen ilmoitan lausuntonani seuraavan. Otan kantaa vain osaan esitetyistä kysymyksistä.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy pitää tärkeänä ehdotusta erityisesti siltä osin, kun sen 3 §:ssä annetaan tarkentavaa sääntelyä Asetuksen 6. artiklaan liittyen. Suomen Asiakastieto Oy pitää erittäin tärkeänä sitä, että Oikeusministeriö tietosuoja-asetuksen vastuuministeriönä pitää huolen siitä, että sektoriministeriöt ryhtyvät välittömästi tarvittavaan lainsäädäntötyöhön tietosuojalautakunnan lupien perusteella suoritettavan käsittelyn edelleen mahdollistamiseksi (mietinnön sivu 39). Kyseiset lainsäädännöt on saatava voimaan samalla hetkellä, kun asetusta ryhdytään soveltamaan ja poikkeusluvat menettävät merkityksensä.
      • Aalto-yliopisto
        Päivitetty:
        8.9.2017
        • 1 § Lain tarkoitus Lakiehdotuksen yksityiskohtaisissa perusteluissa todetaan, että lain tarkoituksena on turvata perusoikeudet. Lakiehdotuksen yleisperusteluissa todetaan, että kansallisen tietosuojalain tavoitteena on kahden perusoikeuden, henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua huomioida perustuslain 16 §:n sivistykselliset oikeudet.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP Ryhmä kiittää mahdollisuudesta lausua asiassa ja pyytää kunnioittaen, että alla olevat OP Ryhmän esiin tuomat asiat otetaan huomioon lain jatkovalmistelussa. Uuden tietosuojalain soveltamisala jää valitettavasti erittäin epäselväksi ja hankalasti tulkittavaksi ilmaisujen ”soveltuvin osin ja lukuun ottamatta” sekä lukuisten pykäläviittausten takia. Ehdotamme, että lauserakennetta selvennettäisiin ja osa pykäläviittauksista kirjoitettaisiin mahdollisuuksien mukaan auki. Tavoitteena tulisi olla, että lukija pystyisi saa-maan yleiskäsityksen lain soveltamisalasta ilman, että hän joutuu perehtymään laajasti muihin säädöksiin.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • NEUVOSTOSTA Suomen yliopistokirjastojen neuvosto (SYN) on yliopistokirjastojen verkoston yhteistyötä koordinoiva ja kehittävä elin, jossa ovat edustettuina kaikki yliopistokirjastot. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen yliopistokirjastojen neuvosto (SYN) haluaa ottaa kantaa joihinkin tieteellisen tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Suomen yliopistokirjastojen kannalta on keskeistä, että sääntely turvaa vastaisuudessakin yliopistokirjastojen toimintaedellytykset. Kansainvälinen digitalisoitumiskehitys muuttaa nopeasti ja merkittävästi tieteen tekemisen tapoja ja tutkimustyön tukipalveluita. Erityisesti avoimen tieteen edistämistä on syytä tukea myös lainsäädännön keinoin. Yliopistokirjastot tuottavat tutkimuksen ja opetuksen tuen palveluita, joissa palveluiden osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Kirjastojärjestelmien sisältämien henkilötietojen lisäksi esimerkiksi yliopiston julkaisutietojen keruussa on välttämätöntä liikuttaa henkilötietoja yliopiston tutkimustietojärjestelmän, kansainvälisten artikkelitietokantojen, tiedonhakuportaalien, ORCID-palvelun (tutkijan tunniste palvelun), altmetriikkapalvelujen (näkyvyyspalveluiden), sosiaalisen median palvelujen, VIRTA-julkaisutietopalvelun, data-arkistojen ja yliopiston henkilötietojärjestelmien välillä. Näin säästetään tutkijoiden työaikaa ja mahdollistetaan tukitehtävissä toimivien työprosessien tehokkuus. Yliopistokirjastoilla tulee olla erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti metatietojen osalta. Yliopistokirjastoilla on myös EU:n rajat ylittävää toimintaa, jossa siirtyy henkilötietoja. Yliopistokirjastoja huolestuttaa työryhmän linja, jossa on nähtävissä halu jättää käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus olemassa olevan sääntelyn modernisointiin digitaalisessa toimintaympäristössä. Tietosuojalainsäädännön tulisi elää ajassaan eikä antaa tarpeetonta kilpailuetua kansainvälisille, erityisesti Euroopan ulkopuolisille toimijoille, esimerkiksi tutkimusdatan avaamiseen ja hyödyntämiseen liittyen. Digitalisaation täysimääräinen hyödyntäminen edellyttää mahdollisuutta siirtää sekä tutkijoiden että tutkimuksen tietoja sekä opiskelijoiden opintopalveluihin liittyviä tietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista (kuten asiasanoittamista ja artikkelien rinnakkaistallentamista) tai kytkemistä muihin palveluihin liittyviin tietoihin (kuten kirjastojärjestelmien asiakastiedot tai bibliometriset analyysit). Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa yliopistokirjastojen toimintaedellytyksiä palveluissa ja niiden kehittämisessä.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Suomalaisen Kirjallisuuden Seura ry yhdessä Svenska litteratursällskapet i Finland rf:n kanssa lausuu yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnön ja työryhmän ehdotuksen hallituksen esitykseksi uudeksi tietosuojalaiksi johdosta seuraavaa: Työryhmän ehdotuksen mukainen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuri-perintöorganisaatioiden (arkistot, kirjastot, museot, taidemuseot) toiminnan, sillä laki ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja tarjolle asettamiseen liittyviä erityispiirteitä. EU:n tietosuoja-asetus itsessään mahdollistaisi kansallisen liikkumavaran. Tämä liikkumavara tulisi hyödyntää täysimääräisesti, ja myös asetuksessa tarkoitettujen erityisten henkilötietoryhmien osalta, sillä sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tällöin tallentuva kulttuurihistoriallinen aineisto köyhtyy. Jos vain julkisuuden henkilöiden tietoja saa tallentaa, jäljelle jää vain ”virallinen historiankirjoitus” ja suomalaisen elämän monimuotoisuus: kansanperinne, paikallishistoria, arjen historia, etniset vähemmistöt sekä marginaaliryhmät jää unohduksiin. Samalla kun tietosuojalakiluonnos vaarantaa kulttuuriperintöorganisaatioiden toiminnan, se myös vesittää Opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Esimerkiksi sivistysvaliokunta on todennut tuoreessa lausunnossaan (SiVM 13/2016 vp), että arkistoaineistojen kuvailutietojen tuominen verkkopalveluihin lisäisi tuntuvasti julkisilla varoilla kootun kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Yllämainittujen ongelmien ratkaisemiseksi ehdotamme seuraavat lisäykset ja muutokset työryhmän lakiluonnokseen.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Asiakirjallinen kansallinen kulttuuriperintö on osa laajempaa kansallista kulttuuriperinnön kokonaisuutta. Asiakirjallinen kulttuuriperintö on sekä viranomaisten tuottamia arkistoja että yksityisten arkistoja. Kansallisarkisto on olemassa edellä mainittujen asiakirjojen (arkistojen) ja niihin sisältyvien tietojen pysyvän säilymisen ja saatavuuden varmistamiseksi sekä käytön edistämiseksi. Kansallisarkistosta annetun lain (1145/2016) 1 §:n mukaan Kansallisarkiston toimialana on kansalliseen kulttuuriperintöön kuuluvien asiakirjojen ja niihin sisältyvien tietojen pysyvän säilymisen ja saatavuuden varmistaminen sekä käytön edistäminen. Saman lain 2 §:ssä on säädetty Kansallisarkiston tehtävistä kansalliseen kulttuuriperintöön kuuluvien viranomaisten asiakirjojen ja niihin kuuluvien tietojen sekä yksityisten asiakirjojen ja niihin kuuluvien tietojen osalta. Edelleen tarkempia säännöksiä Kansallisarkiston määräysvallasta ja oikeuksista sisältyy aineelliseen, viranomaisten arkistointivelvoitteita koskevaan lainsäädäntöön, erityisesti arkistolakiin. Arkistolaissa (831/1994) on säädetty Kansallisarkiston (arkistolaitoksen) määräysvallasta ja oikeuksista viranomaisen arkistotoimessa ja asiakirjallisen tiedon turvaamisessa. Arkistolaissa on myös säännökset siitä miten ja millä edellytyksillä Kansallisarkisto ottaa vastaan yksityisiä arkistoja. Kansallisarkiston käsityksen mukaan uusi tietosuojalainsäädäntö ei oleellisilta osin muuta vallitsevaa tilannetta Kansallisarkiston toiminnassa. Kansallisarkistoon on nimetty tietosuojavastaava hoitamaan rekisterinpitäjänä Kansallisarkistolle kuuluvia tehtäviä. Kansallisarkistoon lisäksi asetettu sisäinen työryhmä, jonka tehtävänä on selvittää uuden tietosuojalainsäädännön vaikutuksia Kansallisarkiston eri toimintoihin. Työryhmän tehtävänä on myös laatia sisäiset ohjeistukset eri toimintoja varten.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto on opetus- ja kulttuuriministeriön hallinnonalaan kuuluva virasto, jonka tehtävänä on mm. huolehtia kulttuurihistoriallisen kansallisomaisuuden kartuttamisesta, hoidosta ja näytteillä pidosta, kulttuuriperinnön tutkimisesta ja kulttuuriperintöä koskevan tiedon tallentamisesta, säilyttämisestä ja käytettäväksi saattamisesta (Laki Museovirastosta, 282/2004). Museovirastolla on Kansallisarkiston myöntämä erillislupa säilyttää pysyvästi säilytettävät arkistoaineistot itsellään. Arkisto- ja kuva-aineistoja on yhteensä yli 16 hyllykilometriä, pelkästään valokuvia kokoelmissa on yli 15 miljoonaa kappaletta. Kansallismuseolla on Suomen suurimmat kulttuurihistorialliset kokoelmat ja ne sisältävät runsaasti henkilötietoja, jotka kuuluvat tietosuoja-asetuksen soveltamisalaan. Edellä mainituista syistä Museovirasto katsoo perustelluksi, että se antaa lausunnon tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä, vaikka organisaatiolta ei ole erikseen pyydetty lausuntoa. Museoviraston katsoo asian kansallisesti merkittäväksi ja sillä on vaikutuksia koko kulttuuriperintöalan toimintaan jatkossa. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä. Julkisilla varoilla toteutetuissa digitalisaatio- ja digitointihankkeissa aineistojen saavutettavuus ja avoin data ovat keskeisiä lähtökohtia ja usein edellytyksiä rahoituksen saamiselle. Tietosuojalakiluonnos vesittää myös opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Avoin tieto edellyttää, että aineistoja voidaan avata mahdollisimman laajasti. EU:n tietosuoja-asetus mahdollistaisi kansallisen liikkumavaran. Museovirasto katsoo, että tämä liikkumavara tulisi hyödyntää täysimääräisesti erityisesti matalariskisillä aloilla, sillä muuten sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Kulttuuriperintöorganisaatioiden tarpeiden huomioiminen sektorikohtaisessa lainsäädännössä ei ratkaise ongelmaa vaan se voisi saattaa kulttuuriperintöorganisaatiot eriarvoiseen asemaan. Huomioitava on myös se aika, joka on yleislainsäädännön voimaan tulon ja sektorikohtaisen lainsäädännön välillä. Väliaikana museoiden, kirjastojen ja arkistojen toiminnan lainsäädännöllinen perusta on epäselvä tai jopa laillisesti mahdoton.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi pitää yleisen tietosuoja-asetuksen 2 artiklan mukaista aineellisen soveltamisalan laajentamista kansallisella tietosuojalailla perusteltuna. Vaihtoehtona aineellisen soveltamisalan laajentamatta jättämiselle olisi TATTI- mietinnön (s. 119) mukaan säilyttää osittain nykyinen henkilötietolaki. Trafi katsoo, että kansallisessa tietosuojalaissa ehdotettu soveltamisala (2 §) tulisi kuitenkin kirjoittaa selkeämmin. Ehdotettu muoto on vaikeaselkoinen eikä täysin yksiselitteisesti kerro, mitä soveltamisalan piiriin kuuluu. Lisäksi Trafi kiinnittää huomiota, että 2 §:n perusteluissa (s. 139) on todettu, että ”soveltamisalan ulkopuolelle tulisi sulkea yleisen tietosuoja-asetuksen VI-VII luku siltä osin kuin….”. Itse pykälässä mainitaan edellä todetusta poiketen kuitenkin vain VII luku.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Lakiehdotuksen perusteluissa todetaan, että kansallisen tietosuojalain tavoitteena on kahden perusoikeuden, henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua huomioida perustuslain 16 §:n sivistykselliset oikeudet. Nämä oikeudet liittyvät keskeisesti korkeakoulutukseen ja tutkimukseen. Ammattikorkeakoulujen tehtävänä on (Amk-laki, 2014/932) on antaa työelämän ja sen kehittämisen vaatimuksiin sekä tutkimukseen, taiteellisiin ja sivistyksellisiin lähtökohtiin perustuvaa korkeakouluopetusta ammatillisiin asiantuntijatehtäviin ja tukea opiskelijan ammatillista kasvua. Ammattikorkeakoulun tehtävänä on lisäksi harjoittaa ammattikorkeakouluopetusta palvelevaa sekä työelämää ja aluekehitystä edistävää ja alueen elinkeinorakennetta uudistavaa soveltavaa tutkimustoimintaa, kehittämis-, ja innovaatiotoimintaa sekä taiteellista toimintaa. Tehtäviään hoitaessaan ammattikorkeakoulun tulee edistää elinikäistä oppimista.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommentteja.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Tietosuojalakia eikä EU:n tietosuoja-asetusta ole kansallisin ratkaisuin kokonaisuudessaan perusteltua ulottaa eduskunnan valtiopäivätoimintaan eikä valtiopäiväasiakirjoihin, joiden julkisuudesta säännellään perustuslaissa ja eduskunnan työjärjestyksessä.
      • Rakli
        Päivitetty:
        1.9.2017
        • Lausunnonantajasta RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset. RAKLIn jäsenet ovat asuntojen, toimitilojen ja infrastruktuurin omistajia, rakennuttajia ja käyttäjiä tai näiden ammattimaisia edustajia. Yhdessä varmistamme, että Suomessa on tilaa hyvälle elämälle.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Suomen evankelis-luterilainen kirkko on julkisoikeudellinen yhteisö, jonka seurakunnissa, seurakuntayhtymissä, hiippakunnissa ja kirkon keskushallinnossa käsitellään henkilötietoja ja pidetään henkilörekistereitä. Kattavin henkilörekisteri on Kirkon yhteinen jäsenrekisteri, mutta tämän lisäksi on lukuisia kirkon ja seurakuntien toimintaan sekä luottamushenkilöhallintoon liittyviä henkilörekistereitä. Tästä syystä kirkkohallitus katsoo perustelluksi, että se antaa yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä lausuntonsa, vaikka sitä ei olekaan nimetty lausunnonantajien joukkoon. Lausunto on käsitelty kirkkohallituksen täysistunnossa 23.8.2017. Kirkollishallinnossa henkilötietojen käsittelyssä sovelletaan voimassa olevaa henkilötietolakia, lakia viranomaisten toiminnan julkisuudesta ja yhteisen jäsenrekisterin osalta lisäksi lakia uskontokuntien jäsenrekistereistä sekä eräiden jäsenrekisterissä olevien tietojen osalta myös lakia väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista. Lisäksi kirkkolainsäädännössä on joitakin henkilötietojen käsittelyyn ja henkilörekisterin pitämiseen liittyviä säännöksiä lähinnä koskien Kirkon yhteistä jäsentietojärjestelmää sekä kirkollisten vaalien toimittamista. Voimassa olevat säännökset on Valtioneuvoston kanslian kesäkuussa 2017 julkaistun tietosuojasäädösten muutostarvetta koskeneen selvityksen mukaan todettu tietosuoja-asetuksen mukaisiksi (Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 41/2017). Kirkollishallinnossa ei tällä hetkellä sovelleta arkistolainsäädäntöä, mutta kirkolliskokouksessa on parhaillaan käsittelyssä kirkkolainsäädännön kokonaisuudistus, jossa ehdotetaan arkistolain soveltamista arkistotoimintaan.
      • Vapaa-ajattelijain liitto ry, Ylikoski Esa
        Päivitetty:
        20.7.2017
        • Seuraavassa tekstikentässä on Vapaa-ajattelijain liitto ry:n lausunto kokonaisuudessaan.
      • Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 2 §:n otsikko on soveltamisala. Pykälässä säädettäisiin tietosuojalain soveltamisalasta ja siltä osin otsikko pitää paikkansa. Pykälään on kuitenkin sisällytetty säännös, jossa säädetään tietosuoja-asetuksen soveltamisesta (kuten oli tarkoituskin). Tarkoituksena nimittäin on, että tietosuoja-asetusta sovelletaan myös sellaisissa asioissa, jotka eivät kuulu tietosuoja-asetuksen 2 artiklassa määriteltyyn soveltamisalaan. MMM katsoo, että asia tulisi käydä otsikosta ilmi esimerkiksi muotoilulla ”Lain soveltamisala ja tietosuoja-asetuksen soveltaminen”. Kyseessä on erittäin keskeinen seikka lain soveltajille. Tietosuojalakiluonnoksen 2 §:n muotoilua ”soveltuvin osin ja lukuun ottamatta” voidaan pitää vaikeaselkoisena. Epäselväksi jää, miksi tähän pykälään on tarpeen sisältää ”soveltuvin osin” -muotoilu, kun otetaan huomioon säädösvalmisteluohjeet, joissa nimenomaisesti todetaan, ettei kyseinen muotoilu ole tarpeen.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Kaikista Suomen yrityksistä pk-yrityksiä on 99,8 % ja mikroyrityksiä 93 %. On erityisen valitettavaa, että esityksessä oleva yritysten vaikutustenarvioinnissa ei riittävästi saatu todellisia vaikutuksia esiin pk-yrityksiltä. Suomen Yrittäjien mielestä tähän asiaan olisi tullut panostaa selvästi enemmän. On selvää, että pk-yrityksille tietosuoja-asetus tuottaa lisätyötä ja vaatii lisäresursseja. Yrittäjä joutuu panostamaan asioiden laittamiseksi tietosuoja-asetuksen mukaiseksi omalla työpanoksellaan tai palkata konsultin hoitamaan asiaa.
      • Suomen tieteellinen kirjastoseura
        Päivitetty:
        8.9.2017
        • SUOMEN TIETEELLINEN KIRJASTOSEURA Suomen tieteellinen kirjastoseura ry. (STKS) on kirjasto- ja tietopalvelualan aatteellinen järjestö, jonka jäsenistö tulee kaikilta kirjastosektoreilta. Seura toimii tieteellisenä yhdistyksenä, jonka tarkoituksena on tehdä tunnetuksi tietohuollon merkitystä tuotantotekijänä sekä tutkimus- ja koulutustoiminnan välttämättömänä perusedellytyksenä. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen tieteellinen kirjastoseura haluaa ottaa kantaa joihinkin tieteellisten kirjastojen erityisesti tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Seura edellyttää, että sääntely turvaa vastaisuudessakin tieteellisten kirjastojen toimintaedellytykset. Digitalisoitumiskehitys ja avoimen tieteen edistäminen muuttaa nopeasti ja merkittävästi erityisesti tutkimustyön tukipalveluita. Tätä kehitystä tulee tukea lainsäädännön keinoin. Tieteellisille kirjastoille tulee turvata erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti kirjastojen käsittelemien henkilönimiä sisältävien metatietojen osalta. Tietosuojalainsäädännön ei saa antaa tarpeetonta kilpailuetua kansainvälisille toimijoille, erityisesti Euroopan ulkopuolella. Digitalisaation täysimääräinen hyödyntäminen kirjastosektorilla edellyttää mahdollisuutta siirtää metatietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista tai kytkemistä muihin palveluihin. Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa tieteellisten kirjastojen toimintaedellytyksiä. YKSITYISKOHTIA OTETTAVAKSI HUOMIOON KANSALLISESSA LAINSÄÄDÄNNÖSSÄ Kirjastojen asema ja tehtävät Kansallista lainsäädännön yhteydessä on huolehdittava siitä, että eri sektoreilla toimivien kirjastojen tehtävät on määritelty joko lainsäädäntötasolla tai selkeästi määritellään mitkä tehtävät kuuluvat yleisen edun piiriin. Kirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti. Tieteen vapaus, avoimuus ja julkisuus Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat kytköksissä toisiinsa ja tutkijoiden rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Tieteellisillä kirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tieteelliset kirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. STKS katsoo, että tieteellinen kirjastotoiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun toimintaan. Tietosuoja-asetuksen sanktiot Suomen tieteellinen kirjastoseura ei pidä tarkoituksenmukaisena yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista viranomaisiin ja julkishallinnon elimiin. Julkishallinnon toimijat toteuttavat toiminnassaan runsaasti myös sellaisia velvoitteita, joita yksityisellä sektorilla ei ole. STKS haluaa kiinnittää huomiota tietosuoja-asetuksessa esitetyn sanktiomahdollisuuden vaikutuksista kirjastopalveluiden kehittämiseen tieteellisissä kirjastoissa. Sanktioiden uhka voi suoraan tai välillisesti kaventaa merkittävästi kirjastojen palvelukehitystä ja –mahdollisuuksia. Mikäli sanktiomahdollisuus ulotetaan koskemaan kirjastopalveluita tarjoaviin yleishyödyllisiin tahoihin, mahdollisen sanktion suuruus pitäisi näille olla kohtuullinen ja sen määrä pitäisi määrittää kansallisessa lainsäädännössä. Muita huomioita Työryhmän ehdottaman lakiluonnoksen 27 §:n mukaan tietosuoja-asetusta sovelletaan vain hyvin rajoitetusti silloin, jos sen soveltaminen loukkaisi oikeutta tiedonvälityksen vapauteen tai estäisi henkilötietojen käsittelyn akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Toimiva kirjastolaitos, arkistot ja museot luovat toiminnallaan edellytyksiä taiteellisen tai kirjallisen ilmaisun harjoittamiselle. Sääntelyä tulisi tältä osin täsmentää. Käynnissä olevan lainsäädäntötyön yhteydessä tulisi myös ratkaista henkilötietojen luovutus teknisellä käyttöyhteydellä, mikä vaatinee nykyisen julkisuuslain muutosta. Digitaalisuus on hälventänyt rajoja eri organisaatioiden ja toimijoiden välillä ja yhteistyön tulisi olla yhä kustannustehokkaampaa ja joustavampaa. Lainsäädännössä on varmistuttava siitä, ettei lakia laadittaessa estetä tai haitata datan louhintaan ja suurten datamassojen käsittelyyn liittyvien palveluiden kehittämistä Suomessa.
      • Suomen valokuvataiteen museo
        Päivitetty:
        8.9.2017
        • Valokuvataiteen museo katsoo, että museoalan toiminnan turvaava tulkinta uudesta tietosuojalaista tarvitaan. Museoiden toimintaa koskevat erityisesti artiklat 85 (sananvapaus ja taiteellinen ilmaisu) ja 89 (arkistointi, tieteellinen tutkimus), joista EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä toteaa mietinnössään, että sananvapauden ja henkilötietojen suojan yhteensovittamista on kansallisen täytäntöönpanon yhteydessä erikseen arvioitava. Ehdotamme, että näiden soveltamiseen nimenomaan museoalalla perustetaan museoalan asiantuntijoista koostuva työryhmä, joka tulkitsee lakia tältä osin yhteistyössä valtiollisen valvontaviranomaisen kanssa. Tämän tavoitteena olisi varmistaa museoiden tarkoituksenmukaisen toiminnan jatkuminen eli museoiden kokoelmiin kuuluvien yksityishenkilöihin liittyvien kuva- ja tekstimuotoisten aineistojen avoin käyttö näyttely-, tutkimus- ja julkaisutoiminnassa
      • Puolustusministeriö
        Päivitetty:
        8.9.2017
        • Yleisen tietosuojalain luonnoksen 2 §:ssä laajennettaisiin tietosuoja-asetuksen sovel-tamisalaa siten, että asetusta ja tietosuojalakia sovellettaisiin soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, jota suoritetaan tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä. Tällaista on mm. kansalli-sen turvallisuuden ylläpitämiseen liittyvä henkilötietojen käsittely. Saman säännöksen mukaan laissa voidaan kuitenkin tältä osin säätää toisin. Puolustusministeriön hallinnonalalla on tarkoituksena esittää, että edellä mainittua mahdollisuutta rajata tietosuoja-asetuksen soveltamista kansalliseen turvallisuuteen liittyvän henkilötietojen käsittelyn osalta, käytettäisiin Puolustusvoimien osalta laajasti. Valmisteilla olevan Puolustusvoimien henkilötietolain mukaan valtaosa Puolustusvoimien suorittamasta henkilötietojen käsittelystä rajattaisiin tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle. Tällaiseen henkilötietojen käsittelyyn sovellet-taisiin sen sijaan jatkossakin kansallista lainsäädäntöä. Soveltamisen rajaus on mahdol-lista toteuttaa ehdotetun säännöksen mukaisesti, mutta puolustusministeriö pyytää silti oikeusministeriötä vielä jatkovalmistelussa harkitsemaan, voisiko kansalliseen turvallisuuteen liittyvän henkilötietojen käsittelyn rajata asetuksen ja tietosuojalain sovelta-misalan ulkopuolelle yksiselitteisesti lain 2 §:ssä. Havainnollisuuden ja selkeyden vuoksi olisi toivottavaa, että lain ja tietosuoja-asetuksen tosiasialliset soveltamisalat kävisivät ilmi suoraan yleisen tietosuojalain soveltamisalasäännöksestä, eivätkä vain erityislainsäädännön kautta.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Soveltamisalaa koskeva pykälä on monimutkainen ja vaikeasti ymmärrettävissä, sitä olisi hyvä hieman selkeyttää. Viittauksien avaaminen mahdollisuuksien mukaan voisi olla paikallaan.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Katsomme, että tietosuojalakia ja hallinnonalakohtaista erityislainsäädäntöä on syytä kehittää selvityksen ehdotuksen suuntaisesti, kuitenkin kiinnittäen huomioita perusoikeuksien välisen tasapainon toteutumiseen. Kansalaisen oikeus ilmaista itseään vapaasti ja valitsemallaan tavalla sekä vaikuttaa yhteiskunnalliseen kehitykseen eivät saa olla alisteisia tietosuojaan liittyville oikeuksille. Kansalaisten toimintaedellytykset yleishyödyllisissä ja luovissa konteksteissa on turvattava demokratian ja yksilöiden itsemääräämisoikeuden toteutumiseksi yhteiskunnassa. Oikeus tulla muistetuksi on tunnistettava osaksi sananvapautta. Kansakunnan tasolla muistamisesta huolehtii historiatieteellinen tutkimus. Tutkimuksen toimintaedellytyksiä ei saa vaarantaa kohtuuttomasti vaikeuttamalla henkilötietoja sisältävän aineiston käsittelyä. Tieteellisen yhteisön sekä muistiorganisaatioiden lausunnot on huomioitava lainvalmistelussa erityisen painavina. Tiedeyhteisö on osoittanut tutkimuksen ihmiskohteiden suojelussa suurta herkkyyttä, vastuullisuutta ja proaktiivisuutta kehittämällä esimerkiksi ihmistieteellisen tutkimuksen eettisen ennakkoarvioinnin prosesseja. Erityisen vahingollista on, jos lainsäädäntö asettaa tieteellisen tutkimuksen eriarvoiseen asemaan suhteessa kaupallisiin, monikansallisiin toimijoihin nähden. Kansallinen tai alueellinen lainsäädäntö suitsii esimerkiksi sosiaalisen median henkilötietomassoja hyödyntäviä suuryrityksiä vain rajallisesti. Paternalistisen rajoittamisen sijaan kansalaisten tietosuojaa on tehokkaampaa ja oikeudenmukaisempaa kehittää parantamalla yksilöiden mahdollisuuksia hallinnoida itseään koskevia tietoaineistoja, esimerkiksi MyData-periaatteiden hengessä. Open Knowledge Finland on sekä Suomen että koko maailman johtavia MyData-asiantuntijoita. Kansallisen lainsäädännön tulee mahdollistaa MyData-kehitys Suomessa ja Suomen toimiminen kansainvälisenä suunnannäyttäjänä henkilötietojen yksilötason hallinnoimisessa. Hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa mm. kansalliset tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteet. Lakia on vaikea lukea suhteessa EU:n tietosuoja-asetukseen, kirjoitusteknisesti voitaisiin ottaa mallia Ruotsista, eli viitata yleisen tietosuoja-asetuksen artikoihin, joita tarkennetaan.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Lausuntoa ei ole pyydetty ainoaltakaan kunnalta, ainoastaan kuntaliitolta. Kunnat käsittelevät erittäin laajassa määrin kuntalaisten, muiden palvelujensa käyttäjien sekä palveluksessaan olevien henkilöiden henkilötietoja. Yleinen tietosuoja-asetus ja tietosuojalaki tulevat olemaan kuntien toiminnan kannalta merkittävä laki ja sen vaikutuksen ulottuvat kaikkien kuntien palveluksessa olevien henkilöiden toimintaan. Helsingin kaupunki katsoo, että mietinnöstä olisi tullut pyytää useamman suomalaisen kunnan lausunto, jotta erilaisten kuntien tarpeet tulisivat lainvalmistelussa huomioiduiksi. Lakiesityksen teksti on epäselvää ja tulkinnanvaraista sekä sisältää erittäin laajalti viittauksia tietosuoja-asetuksen eri artikloihin. Tämä tekee lakiesityksestä erittäin vaikealukuisen. Lakiesityksen sisällön pystyy ymmärtämään vain lukemalla sitä yhdessä tietosuoja-asetuksen ja lakiesityksen perusteluiden kanssa. Lakia tulevat kuitenkin soveltamaan niin pienet kunnat kuin pienet yrityksetkin. Olisi ollut suotavaa, että lain luettavuuteen olisi kiinnitetty enemmän huomiota. Liian vaikeaselkoinen laki jää helposti noudattamatta. Sovelletaan pienissä kunnissa ja pienissä yrityksissäkin ja ei tule noudatetuksi Julkisuuden turvaaminen kunnissa
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Asianajajaliitto, Asianajaja Eija Warma, Asianajajaliiton IT-valiokunnan jäsen; lisäksi asianajajat Johanna Lilja ja Sakari Aalto
        Päivitetty:
        8.9.2017
        • Yleiset kommentit oikeudenhoidon ja oikeusturvan näkökulmista Rekisterinpitäjien ja käsittelijöiden oikeusturvan toteutuminen Asianajajaliitto pitää rekisterinpitäjien ja käsittelijöiden oikeusturvan kannalta erittäin huolestuttavana sitä, että näiden toiminnan arviointi ja seuraamusten määrääminen, mukaan lukien hallinnollinen sakko, rajoitus ja kielto, kuuluisi esityksen mukaan valvovan viranomaisen toimivaltaan eikä tuomioistuimelle. Asianajajaliitto pitää erityisen kestämättömänä esityksenä sitä, että määrältään poikkeuksellisen korkeat hallinnolliset seuraamusmaksut tulisivat ensiasteessa tietosuojaviraston yhteyteen perustettavan seuraamuslautakunnan määrättäviksi, eivätkä tuomioistuimen määrättäviksi, kuten esimerkiksi kilpailuoikeudellisissa asioissa. Toimeenpanovaltaa käyttävälle viranomaiselle ei voida antaa tuomiovallan piiriin kuuluvia oikeuksia. Toimeenpanovallasta ja lainsäädäntövallasta riippumattomat tuomioistuimet, joissa tuomarin vastuulla toimivat tuomarit ratkaisevat asioita esitettyjen todisteiden ja argumenttien pohjalta, ovat ainoa osapuolten oikeusturvan Suomen perustuslain edellyttämällä tavalla turvaava vaihtoehto tietosuoja-asetuksen mukaisten seuraamusten määräämiselle. Tietosuoja-asetuksen mukaiset seuraamukset ovat sanktioluonteisia. Sakon nimeäminen hallinnolliseksi sakoksi ei muuta sen luonnetta yksittäistapauksessa määrättävänä rangaistuksena. Ottaen huomioon myös sen, että tietosuoja-asetuksen säännökset ovat monin osin tulkinnanvaraisia ja käytännön tilanteet moninaisia, asian saattaminen tuomioistuimen ratkaistavaksi vasta valitusasteessa ei ole oikeusturvan kannalta hyväksyttävää. Mietinnössä tehtyä esitystä tuleekin ehdottomasti muuttaa siten, että tietosuoja-asetuksen mukaiset seuraamukset määrää ensimmäisenä asteena tuomioistuin tietosuojaviranomaisen esityksestä. Oikeusministeriön tulisi myös selvittää, olisiko asioiden käsittely tarkoituksenmukaisempaa esimerkiksi Markkinaoikeudessa tai yleisessä tuomioistuimessa hallinto-oikeuksien sijasta. Markkinaoikeudella tai yleisillä tuomioistuimilla saattaa olla hallinto-oikeuksia paremmat valmiudet käsitellä helposti laajan näytön vastaanottamista edellyttäviä asioita. Muut kommentit eräistä asianajotoiminnan kannalta keskeisistä seikoista Asianajajan rooli ja käsittelyperuste Asianajajan toimeksiantotyössä voidaan käsitellä henkilötietoja hyvinkin laajasti ja useimmiten asianajaja tai asianajotoimisto toimii näissä tilanteissa rekisterinpitäjänä. Asianajajille tulisi kansallisella lailla varmistaa mahdollisimman laajat oikeudet kerätä toimeksiannon hoitamisen kannalta tarpeellista tietoa, joka monessa tilanteessa sisältää myös henkilötietoja. Asianajajaliitto haluaa kiinnittää työryhmän huomion siihen, että asianajajakunnalle tulisi kirjata lakiin nimenomainen oikeus kerätä, käsitellä ja säilyttää henkilötietoja toimeksiantotyössä silloin, kun se toimeksiannon hoitamisen kannalta on tarpeellista riippumatta siitä koskevatko tiedot päämiestä, vastapuolta tai sivullista. Tämän tarpeellisuusharkinnan suorittaa kunkin toimeksiannon vastuullinen asianajaja. Rekisteröidyn oikeudet Laki asianajajista 496/1958 (jäljempänä ’Asianajajalaki’) 5c § asettaa asianajajille salassapitovelvollisuuden (jäljempänä ’asianajosalaisuus’): ’Asianajaja tai hänen apulaisensa ei saa luvattomasti ilmaista sellaista yksityisen tai perheen salaisuutta taikka liike- tai ammattisalaisuutta, josta hän tehtävässään on saanut tiedon.’ Tietosuojalainsäädäntö antaa rekisteröidylle tiettyjä oikeuksia tarkastella rekisterinpitäjän rekisterinpitoa ja toisaalta vaikuttaa omien henkilötietojensa käsittelytoimiin. Rekisteröidyn tarkastusoikeus omiin tietoihinsa on hyvin laaja ja pyynnön esittäjällä on oikeus saada kaikki itseään koskevat tiedot, jotka rekisterinpitäjältä hänestä löytyy. Käytännössä niinkään ongelmallista ei ole vastata oman päämiehen esittämään tarkastuspyyntöön, mutta jos toimeksiannon vastapuoli tai sivullinen henkilö esittää tämän kaltaisen pyynnön on asianajajan monessa tilanteessa mahdotonta vastata siihen rikkomatta asianajosalaisuutta. Kansallisessa lainsäädännössä tulisikin varmistaa, että tietosuojalainsäädäntö ja sen asettamat velvollisuudet eivät ole ristiriidassa asianajajia koskevan erityissääntelyn kanssa. Asianajajan toiminnan arviointi Asianajajaliitto haluaa korostaa asianajajakunnan riippumattomuutta ja asiakassalaisuuksien tärkeyttä asianajajan työlle. Asianajajan lainmukaisen toiminnan arvioinnin pitäisi olla ensisijaisesti Asianajajaliitolla ja sen lakisääteisillä toimielimillä tai järjestettynä muulla vastaavalla tavalla, jolloin asianajosalaisuutta ei vaarannettaisi, kuten esimerkiksi rahanpesudirektiivin kansallisessa valmistelussa on toimittu. Lopuksi Asianajajaliitto katsoo, että ennen lopullisten ratkaisujen tekemistä hallituksen esityksen sisällöstä, Asianajajaliitto ja työryhmä sekä keskeisten ministeriöiden edustajat keskustelevat yksityiskohtaisemmin muuttuvan sääntelyn vaikutuksista. Asianajajaliitto myös ehdottaa, että sen edustaja olisi mukana lainvalmistelutyössä, jotta oikeusturvaan liittyvät kysymykset ja asianajokunnan erityisvaatimukset voitaisiin huomioida työryhmätyöskentelyssä.
      • Helsingin kaupunki, kulttuuri ja vapaa-aika/Kaupunginmuseo, Museonjohtaja Tiina Merisalo, Helsingin kaupunginmuseo - Keski-Uudenmaan maakuntamuseo, Merisalo Tiina-Sisko
        Päivitetty:
        8.9.2017
        • Suomen museoliitto on antanut asiassa lausunnon 5.9.2017, johon Helsingin kaupunginmuseo yhtyy kaikilta osin. Helsingin kaupunginmuseo jakaa Suomen museoliiton huolen museoiden ja muiden kulttuuriperintöorganisaatioiden toimintaedellytyksien toteutumisesta jatkossa, mikäli lainsäädännössä ei oteta huomioon kulttuuriperintöorganisaatioiden toiminnan erityispiirteitä. Kulttuuriperintöorganisaatioiden tarpeet tulee ottaa huomioon yleislaissa. Museoliiton lausunnossa eritellään näitä kohtia tarkemmin. Helsingin kaupunginmuseon kokoelmissa on noin miljoona valokuvaa, 450 000 kulttuurihistoriallista esinettä ja 6000 taideteosta, joihin useimpiin liittyy luonnollisesti henkilötietoja. Yhteisen kulttuuriperinnön esille saattaminen on museoiden keskeinen tehtävä. Julkinen valta on viimeisen lähes parin vuosikymmenen aikana linjannut yhdeksi keskeiseksi strategiseksi tavoitteeksi tiedon avaamisen ja digitalisaation. Esimerkiksi Opetus- ja kulttuuriministeriön digitointiin kohdistuneiden avustusten ehtona on myös ollut julkiseen käyttöön avaaminen vaikkapa Kansallisen Digitaalisen Kirjaston puitteiden kautta. Myös kaupunginmuseo on toiminut tämän linjauksen mukaisesti ja avannut kokoelmansa verkkoon kansalaisten vapaaseen käyttöön. Aineistoa verkossa on jo yli 50 000 objektia (kuvaa ym.) ja se kasvaa vuosittain. Avaamiseen on myös taloudellisesti panostettu huomattavia summia. Myös kansalaiset haluavat käyttää palvelua, esim. Helsinkikuvia.fi -palvelussa on puolessa vuodessa käynyt yli 174 000 vierailijaa. Kaupunginmuseon tulkinnan mukaan laki tiukimmillaan voisi estää tämän museon ydintoiminnan, koska kuvista ja niihin liittyvistä tiedoista ilmenee monenlaisia erityisiä henkilötietoja niin elävistä kuin kuolleistakin helsinkiläisistä, joiden jäljet ja muisto on tärkeää jälkipolville ja julkisen, ammatillisesti hoidetun museon toiminnan ydintä. Helsingin kaupunginmuseo edellyttää Museoliiton tapaan, että lakiin tulee selkeä ammatillisia museoita rekisterinpitäjän koskeva maininta, jolla mahdollistetaan henkilötietojen käsittely museoille säädetyn tehtävän täyttämiseksi kulttuuriperintöaineistojen tallentamisessa, tutkimisessa ja esille saattamisessa.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
      • Suomen Kiinteistöliitto ry, apulaispäälakimies Kristel Pynnönen
        Päivitetty:
        8.9.2017
        • Lausunnonantajasta Kiinteistöliitto on kiinteistönomistajien edunvalvoja ja kiinteistöalan asiantuntijaorganisaatio. Kiinteistöliittoon kuuluu 23 alueellista kiinteistöyhdistystä, joiden jäsenkunta muodostuu pääasiallisesti asunto-osakeyhtiöistä. Kiinteistöliiton jäsenistöön kuuluu myös vuokrataloyhtiöitä. Alueellisten kiinteistöyhdistysten jäsenistöön kuuluu yhteensä noin 27 000 asunto- tai kiinteistöosakeyhtiötä. Lisäksi Kiinteistöliittoon kuuluu Suomen Vuokranantajat ry, jossa on jäseninä yli 12 000 yksityishenkilöä tai muuta tahoa, jotka vuokraavat asuin- ja liikehuoneistojaan asunto- ja kiinteistöosakeyhtiöissä. Jäsenkuntamme piiriin kuuluu arviolta noin 2 miljoonaa suomalaista. Kiinteistöliitto lausuu EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmän (TATTI) mietinnöstä kunnioittaen seuraavaa. Kiinteistöliitto katsoo, että jatkovalmistelussa tulee kiinnittää erityistä huomiota käsittelyn oikeusperusteisiin. Taloyhtiöissä on useissa tilanteissa tarve käsitellä henkilötietoja ja oikeus tähän käsittelyyn tulee nimenomaisesti turvata laissa. Taloyhtiöissä on mielestämme pidettävä asukasluetteloa ja tämä pitäminen tulee mielestämme turvata laissa. Asukasluetteloa on pidettävä varmistaakseen, että taloyhtiössä tiedetään, ketkä taloyhtiön huoneistoissa asuvat sekä jotta yhtiö voi esim. vuokrata autopaikkoja ja pesutupa- sekä saunavuoroja asukkaille. Taloyhtiön huoltoyhtiö tarjoaa myös usein ovenavauspalveluja, mikäli asukas on unohtanut avaimensa huoneistoonsa. Voidakseen varmistua siitä, että ovi avataan huoneistoon asukkaalle, edellyttää tämä asukasluettelon pitämistä. Taloyhtiön sekä vuokranantajan kannalta tulisi myös lain tasolla varmistaa, että em. tahoilla on oikeus saada Väestörekisterikeskukselta tieto, ketkä asunnossa asuvat. Tämä edellyttää siis, että rekisterinpitäjä (Väestörekisterikeskus) on oikeutettu luovuttamaan tiedot eteenpäin. Muita rekistereitä, jotka pitävät sisällään henkilötietoja ja jotka usein ovat tarpeellisia taloyhtiössä, ovat tallentava valvontakamera ja iLOQ-lukot. Laissa tulee turvata, että näiden rekisterien pitäminen jatkossa mahdollistetaan. Lisäksi näiden rekistereiden eteenpäin luovuttamiseen esim. vakuutusyhtiölle tulee ottaa kantaa laissa. Vakuutusyhtiöt saattavat nimenomaan kääntyä taloyhtiön puoleen pyytääkseen tiedot valvontakamerasta voidakseen selvittää kameraan tallennettua onnettomuutta tai vahinkotapausta. Taloyhtiössä tulee valita hallitus. Hallituksen jäsenistä on pidettävä luetteloa. Epäselväksi jää, missä määrin tällaisia tietoja saa luovuttaa eteenpäin isännöitsijän toimesta. Tietosuojalaki ei saa estää tietojen luovuttamista, mikäli sitä muussa laissa edellytetään. Tietojen eteenpäin luovuttamiseen tulee mielestämme ottaa erityisesti kantaa tietosuojalaissa. Lisäksi katsomme, että tietosuojalain jatkovalmistelussa tulee huomioida erityslainsäädännössä olevat velvoitteet käsitellä henkilötietoja. Hyvänä esimerkkinä toimii asunto-osakeyhtiölaki, joka velvoittaa taloyhtiötä ylläpitämään osakeluetteloa. Osakeluettelo sisältää tiedot osakkaista ja muodostaa henkilörekisterin.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 2 § Soveltamisala Pykälässä tietosuoja-asetuksen soveltamisalaa laajennettaisiin koskemaan tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitettuun käsittelyyn soveltuvin osin ja lukuun ottamatta tietosuoja-asetuksen 56 artiklaa ja VII lukua, jollei laissa toisin säädetä. Säännöksen perusteella ei saa selkeää käsitystä siitä, mitä tietosuoja-asetuksen säännöksiä kyseisen laajennuksen myötä sovellettaisiin. Jos tietosuoja-asetuksen 56 artikla ja VII luku on ehdotetussa 2 §:ssä suljettu soveltamisalan ulkopuolelle, mitä ”soveltuvin osin” varaumalla tarkoitetaan? Perusteluissa (osin poikkeavasti kuin pykälässä itsessään) on todettu, että soveltamisalan ulkopuolelle tulisi sulkea yleisen tietousoja-asetuksen VI-VII luku siltä osin kuin kyse on niin sanotusta yhdenluukunmekanismista ja yhdenmukaisuusmekanismista. Epäselvää myös on, mitä pykälän lopussa oleva lause ”Sama koskee tämän lain soveltamista” tarkoittaa. Kyseinen säännös on keskeinen niin lainvalvonnan ja valvontaviranomaisen toimivaltuuksien käytön kannalta kuin yleisen oikeusturvan kannalta. Pykälän epätarkassa muotoilussa on riskinä, että tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa säädetyn toiminnan ja siihen liittyvän henkilötietojen käsittelyn osalta ei tunnisteta sovellettavia säännöksiä ja niistä seuraavia velvollisuuksia. Säännöstä voitaisiin selkeyttää esimerkiksi siten, että se jaettaisiin kahteen eri momenttiin. Tällöin 1 momentti koskisi tietosuojalain soveltamista asetuksen soveltamisalan mukaisesti. Tietosuoja-asetuksen soveltamisalan laajentaminen jäisi 2 momenttiin. Niin kutsuttu rikosasioiden tietosuojadirektiivin täytäntöönpanolaki huomioiden, oikeusministeriössä tulisi arvioida, soveltuisiko em. täytäntöönpanolaki tiettyjen Unionin lainsäädännön soveltamisalan ulkopuolelle rajautuvan henkilötietojen käsittelyn osalta yleistä tietosuoja-asetusta paremmin yleislaiksi. Keskeisintä kuitenkin on varmistaa, ettei kansalliseen lainsäädäntöön jää sellaisia alueita, joihin ei sovelleta henkilötietojen suojaa koskevia säännöksiä perustuslaki, EU:n perusoikeuskirja ja ihmisoikeussopimus huomioiden.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • 1 §:n mukaan ehdotettavalla lailla täsmennettäisiin ja täydennettäisiin tietosuoja-asetuksen kansallista soveltamista. Pykälän yksityiskohtaisissa perusteluissa olisi hyvä avata, mihin termit täsmentää ja täydentää viittaavat ja mikä on kahden termin käytön syy. Pykälän yksityiskohtaisissa perusteluissa ei mainita täydentämistä. 2 §:n viimeisen virkkeen viittaus on lakiteknisesti epäselvä.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Ehdotamme lain esitöihin kannanottoa siitä, kuinka asetus ja henkilötietojen käsittelyä ja suojaa koskevat erityislait tulisi sovittaa yhteen eli miten erityislainsäädännön ja yleislainsäädäntönä sovellettavan tietosuojalain soveltamisjärjestys on suhteessa asetukseen. Ovatko esim. kaikki kansalliset säännökset tasavertaisia suhteessa asetukseen? Olisi tärkeää, että asiasta ei jää epäselvyyttä. Yksi kysymys on se, luetaanko kansallisen liikkumavaran puitteissa tehty säännös hallinnollisten sanktioiden kannalta eri kategoriaan kuin itse asetus.
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskuksen lausunto kansallisesta tietosuojalaista. Kuopion museokeskuksen kolmen museon, Kuopion taidemuseon, Kuopion luonnontieteellisen museon ja Kuopion kulttuurihistoriallisen museon kokoelmissa on yhteensä noin 2 miljoonaa henkilötietoa valokuvina, esineistön dokumentaatiotietoina, näytteiden dokumentaatiotietoina ja arkistomateriaaleina. Tietojen käsittelyoikeuksia ei useimmiten ole materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä ennen 2000-lukua kysytty tai kirjattu. Oletuksena on ollut, että museokokoelmiin liitetyt materiaalit on materiaalin luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Esim. Kuopion kulttuurihistoriallisen museon kuva-arkistossa lahjoittajan nimen käsittelyoikeutta on kysytty lahjoitusasiakirjassa vasta vuodesta 2000 alkaen. EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa on huomioitava suomalaisten kulttuuriperintöorganisaatioiden (arkistot, kirjastot, museot) toiminta. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä. Kansallinen liikkumavara käytettävä Kuopion museokeskus on huolissaan siitä, että mietinnön perusteella kansallisessa lainsäädännössä jätetään käyttämättä se liikkumavara, jonka EU:n tietosuoja-asetus itsessään mahdollistaisi. Lisäksi uudessa laissa jätetään käyttämättä mahdollisuus nykyisen henkilötietolain sisältämien ja digitalisaatiosta aiheutuneiden puutteiden korjaamiseen. Nykyinenkin henkilötietolaki on ristiriitainen esimerkiksi opetus- ja kulttuuriministeriön tiedon saatavuuden ja tieteen avoimuuteen liittyvien tavoitteiden sekä eduskunnan sivistysvaliokunnan (SiWM 13/2016 vp) linjauksen kanssa. Julkisilla varoilla toteutetuissa digitalisaatio- ja digitointihankkeissa aineistojen saavutettavuus ja avoin data ovat keskeisiä lähtökohtia ja usein edellytyksiä rahoituksen saamiselle. Tietosuojalakiluonnos vesittää myös opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Avoin tieto edellyttää, että aineistoja voidaan avata mahdollisimman laajasti. Uusi tietosuojalaki korostaa lain aktiivista toteuttamista. Lisäksi lain noudattamiseen aktivoidaan taloudellisten sanktioiden uhalla. Nämä lainsäädännön kiristykset johtavat muistiorganisaatioissa todennäköisesti huomattaviin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tämä alasajo tarkoittaa esim. Kuopion museokeskuksen osalta kaikkien alle 100 vuotta vanhojen henkilökuvien poistamista, joissa on tunnistettavia ei-julkisuuden henkilöitä, museoidemme verkkopalveluista. Kuopion museokeskus on huolissaan termien epätäsmällisyydestä. Lausunnolla olevaa tietosuojalakia on täsmennettävä ja selkiytettävä historiallisia tutkimus- ja muita tarkoituksia varten myönnettävien poikkeusten osalta. Lausunnolla olevassa lakiluonnoksessa esitetään poikkeuksia ”yleisen edun mukaista arkistotarkoitusta” varten tallennetulle ja käytettävälle tiedolle. Tältä osin tarkennusta kaipaa, mitä tarkoitetaan ”yleisellä edulla” ja millaisten toimijoiden katsotaan toteuttavan yleistä etua. Lisäksi termi arkistointitarkoitus on liian epämääräinen ja kapea. Selkeämpää olisi käyttää kokonaisuutta arkistointi ja kokoelmien hoito ja todeta yksiselitteisesti, että tähän liittyvät poikkeukset koskevat ammattimaisesti hoidettuja museoita arkistojen ja kirjastojen lisäksi. Kuopion museokeskus odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Kuopion museokeskuksen museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. Jos lakia tulkitaan tiukimman mukaan, myös suomalaisuus on etninen eli arkaluonteinen tieto. Lausunnolla oleva lakiluonnos toteaa yksiselitteisesti, että laissa mainitut rajaukset koskevat vain eläviä henkilöitä. Tämä on selkeä ja tärkeä rajaus. Käytännössä museoiden on kuitenkin mahdotonta tietää esimerkiksi sitä, ovatko valokuvissa olevat henkilöt tietojen käsittelyn aikaan eläviä vai kuolleita. Tietojen käsittelyä koskevat poikkeukset mainittava selkeästi Kuopion museokeskus edellyttää, että edellä mainittujen määrittelyjen tarkennusten lisäksi lakiin tulee selkeä ammatillisia museoita rekisterinpitäjänä koskeva maininta, jolla mahdollistetaan henkilötietojen käsittely museoiden lakisääteisen ja sääntömääräisen tehtävän täyttämiseksi kulttuuriperintöaineistojen tallentamisessa, tutkimisessa ja esille saattamisessa. Museot on myös rajattava lakiesitykseen sisältyvien taloudellisten sanktioiden ulkopuolelle. Sektorilainsäädännöllä esimerkiksi museolaissa voidaan määritellä ammatillisen museotoiminnan kriteerit. Lisätietoja: Aija Jaatinen Kuopion museokeskuksen päällikkö p. 017-182 634, 044 718 2634 aija.jaatinen@kuopio.fi
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Liitteessä 3. Ehdotus hallituksen esitykseksi eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi käsitellään esityksen riippuvuutta muista esityksistä. Viestintävirasto huomauttaa, että Euroopan Komissio on antanut ehdotuksen sähköisen viestinnän tietosuojadirektiivin uudelleentarkastelusta 10.1.2017. Ehdotuksen mukaan sähköisen viestinnän tietosuojadirektiivi 2002/58/EY kumotaan ja jatkossa sähköisen viestinnän tietosuojasta säädetään yleistä tietosuoja-asetusta täydentävällä Euroopan parlamentin ja neuvoston asetuksella yksityisyyden ja henkilötietojen suojaamisesta sähköisessä viestinnässä. Valmistellulla sähköisen viestinnän tietosuoja-asetuksella on yhteys yleiseen tietosuoja-asetukseen ja sen kansalliseen lainsäädäntötoimenpiteiden tarpeen arvioimiseen ja toimeenpanemiseen erityisesti päätettäessä yleisen tietosuoja-asetuksen valvontaviranomaisesta. Sähköisen viestinnän tietosuoja-asetuksen osalta Viestintävirasto tukee valtioneuvoston kantaa, että viranomaisvalvontaa koskevat säännökset mahdollistavat valvonnan järjestämisen kussakin jäsenvaltiossa toissijaisuusperiaatteen mukaisesti tarkoituksenmukaisimmalla tavalla ilman kohtuuttomia kustannuksia ja tarpeetonta tehtävien uudelleenjärjestelemistä. Viestintävirasto pitäisi hyvänä, että jo yleisen tietosuoja-asetuksen kansallista täytäntöönpanoa mietittäessä, selvitettäisiin, minkälaisia vaikutuksia Viestintäviraston ja Tietosuojavaltuutetun toimivallan muutoksilla olisi toteutuessaan.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Museo- ja kulttuuriperintöalan ammattiliitto MAL ry
        Päivitetty:
        8.9.2017
        • Muistisairas Suomi ? Museoalan ammattiliiton lausunto EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintöön 8.9.2017 Museoalan ammattiliitto MAL ry pitää erittäin ongelmallisena toimialalleen nyt esitettyjä muutoksia tietosuoja-asetukseen. Museoalan on vaikea suorittaa yhteiskunnallista tehtäväänsä kulttuurin tallentajana ja esittäjänä, jos lakiin ei tule erillislainsäädäntöä, joka ottaa huomioon museokontekstin erityispiirteet. Museoiden tulee edistää kulttuuri- ja luonnonperintöä koskevan tiedon saatavuutta tallentamalla siihen liittyvää tutkimusta, opetusta ja tiedonvälitystä sekä näyttely- ja julkaisutoimintaa. (Museolaki 1. §). Museoissa harjoitettava tiedonkeruu ja esittäminen palvelevat yleistä etua. Historiallista tai tieteellistä tutkimusta varten saa henkilötietoja käsitellä muilla kuin sen 8. §:n 1. momentissa säädetyillä perusteilla, jos tutkimusta ei voi suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi ole mahdollista hankkia. Museotoimessa tietojen ikä on usein sellainen peruste, että rekisteröityjen suostumusta on vaikea hankkia - erityisesti kuva-arkistojen kohdalla. Jos laki toteutuu ehdotuksen mukaisesti, on vuosikymmenten työ vaarassa pyyhkiytyä. Kuva-arkistoissa on miljoonia kuvia ja niissä lukematon määrä kuvia ihmisistä, joiden tietoja eikä näin ollen myöskään suostumusta ole saatavilla. Kuitenkin kuvien julkaiseminen verkkopalveluissa mahdollistaa tietoyhteiskuntatavoitteiden mukaisen historiallisen ja tieteellisen tutkimuksen. Arkistoihin on tallentunut ja tallentunee aineistoa, joissa yksiselitteistä lupaa ei ole ollut mahdollista saada, vaikka museotoimi kouluttaa ja pitää yllä tietosuojalain mukaisia hyviä käytänteitä omassa toiminnassaan. Mietinnössä todetaan arkistolaitoksella tarkoitettavan henkilötietolain 35. §:ssä Kansallisarkistoa, josta säädetään arkistolaissa. Muita siihen verrattavia arkistoja ovat henkilötietolakia koskeneen hallituksen esityksen mukaan mm. ulkoasiainministeriön arkisto, sota-arkisto ja Suomalaisen Kirjallisuuden Seuran arkisto sekä ammattiliittojen arkistot (HE 96/1998 vp). Vähintäänkin arkistolaitokseen verrattaviksi arkistoiksi voidaan lukea myös merkittävien kansallisten museoiden arkistot kuten Museoviraston ja Kansallisgallerian arkistot. Nämä organisaatiot keräävät oman alansa erityistietoa ja niiden arkistot ovat merkittäviä tieteellisen ja historiallisen tutkimuksen lähteitä sekä täysin verrattavia Suomalaisen Kirjallisuuden Seuran arkistoon. Niin ikään ammatillisesti hoidettu museolaitos hoitaa huolellisesti sille annettuja tehtäviä ja kansallisen lainsäädännön ei pidä olla niin vaikea ja ristiriitainen, että perustehtävän hoito käy sille mahdottomaksi. Selvityksessä todetaan, että viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, voi edelleenkin jäsenvaltion lainsäädännön nojalla olla palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita. Suomen hallitusohjelmissa on jo 1990-luvulta lähtien korostettu digitalisaation merkitystä kulttuuriperintöorganisaatioiden kehittämisessä. Kehittämiseen on myös käytetty huomattavasti julkista rahaa. Näitä digitaalisia palveluita ovat mm. Finna, SA-kuva, Elonet ja AHAA. Tietosuojalakiluonnos palauttaisi kulttuuriperintöorganisaatiot vuosikymmeniä ajassa taaksepäin. Muistiorganisaatioiden digitaalisten palveluiden kautta myös kansalaiset voivat esteettömästi tutustua oman maansa historiaan. Erilaisten henkilökuvien säilyttäminen ja tarjoaminen käyttöön asiakkaille verkkopalveluissa ja museoissa koetaan tärkeäksi asiaksi. Esitetyt vahingonkorvausvaatimukset sakkojen muodossa ovat todella mittavat ja museoalalla jo pelkkä uhan olemassaolo halvaannuttaa lakisääteistä toimintaa. Erityislainsäädännöllä tulisi turvata museoiden oikeudet suorittaa perustehtäväänsä aivan kuten rikosoikeudellisin perustein turvataan mm. vakuutusyhtiöiden erityistarpeet. Museoiden toiminta henkilötietojen keräämisen ja tallentamisen osalta on henkilötietolain 8. §:n mukaista. Lisäksi perusteluissa todetaan, että ehdotus vastaa henkilötietodirektiivin 7. artiklan c-alakohtaa, jonka mukaan henkilötietojen käsittely on sallittua, jos se on tarpeen rekisterinpitäjälle lain mukaan kuuluvan velvoitteen täyttämiseksi. Sananvapaus ja tiedonvälityksen vapaus sekä taiteellinen ja kirjallinen ilmaisu tulee olla vastaisuudessakin mahdollista nykyisen kaltaisesti. Museoilla ei ole mieltä kerätä tai säilyttää arkistoja, joita ei voi käyttää nyky-yhteiskunnan haasteiden mukaisesti. Tietosuoja-asetuksen kansallista soveltamista koskevan lain jatkovalmisteluvaiheessa tulee huomioida kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja esittämiseen liittyviä erityispiirteitä. Toteutuessaan suunnitellussa muodossa kansallinen tietosuojalaki vaarantaisi museoiden perustehtävän, kokoelmien ja niihin liittyvän tiedon tallentamisen ja välittämisen kaikkien käyttöön, mikä on vastoin aineistojen hyödyntämisperiaatteita. EU:n yleinen tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä, mutta se jättää jäsenvaltioille eräissä asioissa direktiivinomaista kansallista liikkumavaraa. Museoalan ammattiliitto esittää, että kansallisessa lainsäädännössä säädetään kaikille kulttuuriorganisaatioille mahdollisuus käsitellä ja esittää aineistojaan arkistolaitoksen lailla.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Yleistä tietosuoja-asetusta ei sovelleta unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. En ole havainnut, että yleisen tietosuoja-asetuksen soveltumista kansalliseen parlamenttiin tai sen yhteydessä oleviin virastoihin olisi säännelty tietosuoja-asetuksessa. Työryhmämietinnössä asiaa ei käsitellä. Jatkovalmistelussa olisi tarpeen selvittää ja ottaa kantaa siihen, tulisivatko henkilötietoasetus ja ehdotettu tietosuojalaki soveltumaan Suomen eduskuntaan ja sen virastoihin ja jos kyllä, miltä osin. Tietosuoja-asetuksen soveltamisen on tarkoitettu olevan rajoitettua oikeuslaitoksen riippumattomuuden turvaamiseksi. Asetuksen johdannon (kohta 20) mukaan: ”unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta. Valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisten tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia”. Katson, että vastaavia argumentteja tulisi soveltaa myös ylimpien laillisuusvalvojien riippumattomuuden turvaamiseksi. Ehdotettu tietosuojavirasto olisi oikeusasiamiehen (ja oikeuskanslerin) valvonnan alainen suoraan perustuslain 109 §:n (ja 108 §:n) nojalla. Oikeusasiamiehen riippumattomuuden ja erityisesti oikeusasiamiehen tietosuojavirastoon kohdistaman valvonnan riippumattomuuden kannalta en pidä mahdollisena, että tietosuojavirasto voisi kohdistaa tutkintaa oikeusasiamieheen tai antaa huomautuksia, varoituksia tai määräyksiä oikeusasiamiehelle (tai oikeuskanslerille), saati määrätä hallinnollista sakkoa. Todettakoon, että oikeusasiamies (ja oikeuskansleri) jäävät esimerkiksi yhdenvertaisuuslain nimenomaisen rajauksen mukaan yhdenvertaisuusvaltuutetun, yhdenvertaisuus- ja tasa-arvolautakunnan sekä työsuojeluviranomaisten valvonnan ulkopuolelle (yhdenvertaisuuslain 18 §). Nähtävästi tietosuojavirasto tulisi itse jäämään tietosuoja-asetuksen mukaisen valvonnan ja sanktioiden ulkopuolelle. Näin tulisi olla myös oikeusasiamiehen osalta. Vaikka oikeusasiamies ei olisi tietosuoja-asetuksessa tarkoitettu valvontaviranomainen, oikeusasiamies valvoo suoraan perustuslain nojalla tietosuoja-asetuksen noudattamista kaikissa viranomaisissa ja julkista tehtävää hoitavissa tahoissa, myös tuomioistuimissa ja periaatteessa myös tietosuojavirastossa. Tietosuoja-asetuksen 2 artiklan 2 kohdan a alakohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Lienee tulkinnanvaraista, kuuluuko oikeusasiamiehen laillisuusvalvonta unionin lainsäädännön soveltamisalaan. Selvänä pidän sitä, että perustuslain 110 §:n 1 momentin erityissyyttäjän roolissa ylimmät laillisuusvalvojat jäävät tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle (tietosuoja-asetuksen 2 artiklan 2 kohdan d alakohta). Lakiehdotuksessa tietosuoja-asetuksen soveltamisalaa suunnitellaan kansallisesti laajennettavaksi koskemaan myös ”soveltuvin osin” muun muassa sellaista henkilötietojen käsittelyä, jota suoritetaan tietosuoja-asetuksen 2 artiklan 2 kohdan a alakohdassa tarkoitetun toiminnan yhteydessä. Mietinnön perusteluiden (s. 139) mukaan henkilötietojen käsittely jäisi soveltuvin osin -rajauksen johdosta tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle tilanteissa, joissa lain soveltaminen olisi ”selvästi Suomen oikeusjärjestyksen vastaista.” Oikeusasiamiehen voitaisiin katsoa jäävän soveltamisalan ulkopuolelle jo tällä perusteella, koska oikeusasiamiehen riippumattomuutta loukkaava sääntely olisi selvästi Suomen oikeusjärjestyksen vastaista. Oikeusasiamies tulisi kuitenkin nimenomaisesti jättää tieto-suoja-asetuksen soveltamisalan kansallisen laajennuksen ulkopuolelle. Suhtaudun ylipäätään varauksellisesti lakiehdotuksen 2 §:n mukaiseen tietosuoja-asetuksen soveltamisalan kansalliseen laajentamiseen. Lisäksi pidän ”soveltuvin osin” -rajausta ja mietinnön perusteluissa sille esitettyä merkityssisältöä liian epämääräisenä; soveltamisalan tulee olla yksiselitteisen selvästi laissa säädetty. Jos oikeusasiamiehen laillisuusvalvonnan katsotaan kuuluvan unionin lainsäädännön soveltamisalaan, oikeusasiamiehen riippumattomuus tulisi turvata muulla tavoin, tietosuoja-asetuksen johdannon 20 koh-dasta ilmenevien periaatteiden mukaisesti.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole yksityiskohtaista lausuttavaa lain tarkoituksesta tai soveltamisalasta.
      • Aalto-yliopisto
        Päivitetty:
        8.9.2017
        • Tietojen käsittely tutkimustarkoituksessa edistää sananvapautta ja toisaalta sivistyksellisiä oikeuksia. Perustuslain 12 §:n mukaan sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Perustuslain 16 §:n mukaan taas julkisen vallan on turvattava, sen mukaan kuin lailla tarkemmin säädetään, jokaiselle yhtäläinen mahdollisuus saada kykyjensä ja erityisten tarpeidensa mukaisesti myös muuta kuin perusopetusta sekä kehittää itseään varattomuuden sitä estämättä. Tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. HE 309/1993 vp sivun 35 mukaan sivistyksellisiä oikeuksia koskevat säännökset on kirjoitettu julkisen vallan turvaamis- ja edistämisvelvollisuuksiksi. Säännöksessä julkisen vallan toimet, joilla edistetään yksilön mahdollisuuksia kehittää itseään, liittyvät paitsi opetukseen myös esimerkiksi tiedon hankintaan, tieteelliseen ja taiteelliseen toimintaan, taiteesta nauttimiseen sekä liikunnan ja muun ruumiinkulttuurin harjoittamiseen. Julkinen valta luo edellytyksiä yksilön mahdollisuudelle kehittää itseään muun muassa siten, että se ylläpitää ja tukee kirjastoja sekä kulttuurilaitoksia ja avustaa tieteen ja taiteen harjoittamista. Ihmisiin kohdistuvassa tutkimuksessa tieteen vapautta rajoittavat muut perusoikeudet, kuten PL 7 §:ssä säädetty ihmisarvoa loukkaavan kohtelun kielto ja henkilökohtaisen koskemattomuuden suoja sekä PL 10.1 §:ään perustuva yksityiselämän suoja. Tieteen vapauteen kuuluu myös tutkijan oikeus julkaista tutkimustuloksensa. Tieteen vapaus on läheisessä yhteydessä PL 12 §:ssä taattuun sananvapauteen, johon kuuluu oikeus ilmaista ja julkistaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. (PeVL 28/2004 vp ja 28/2005 vp.) Näin ollen on perusteltua säätää tieteellistä tutkimusta mahdollistavia kansallisia säädöksiä henkilötietojen käsittelylle, sillä perusoikeutta voidaan rajoittaa toisten perusoikeuksien suojaamiseksi, kuitenkin niin, ettei tehdä tyhjäksi toisen perusoikeuden sisältöä. Hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa kansallisen tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteita. Kansallisten tiede- ja tutkimuspoliittisten tavoitteiden mukaan Suomeen muodostuu tutkimuksen huipulla toimivia yliopistoja ja kaikissa yliopistoissa on kansainväliselle tasolle yltäviä tutkimusaloja. Korkeakoulut vahvistavat vaikuttavuuttaan erityisesti lisäämällä osaamisen ja tutkimustulosten laajempaa hyödyntämistä. Korkeakoulut avaavat laajasti tutkimuksen tuloksia ja kehittävät aktiivisesti uusia toimintamalleja osaamisen siirtämiseksi yhteiskuntaan. Tietojen ja käsitteiden yhteismitallisuus sekä valtakunnallinen tietovaranto tukevat korkeakoulujen toimintaa ja ministeriön ohjausta. Korkeakoulut ovat lisänneet kansainvälistä vaikuttavuutta ja näkyvyyttä strategisesti valituilla alueilla hyödyntäen keskinäistä yhteistyötä ja verkottumista. Kansallisten tavoitteiden mukaan korkeakoulujen tulee hyödyntää monipuolisesti eurooppalaisen korkeakoulutus- ja tutkimusalueen mahdollisuuksia (Yliopistojen ja OKM:n välisiin sopimuksiin kirjatut korkeakoululaitoksen yhteiset tavoitteet –osio. Teksti löytyy kaikkien yliopistojen sopimuksista, ks. esim. Aalto: http://minedu.fi/documents/1410845/3990226/Aalto-yliopisto+sopimus+2017-2020.) Valtioneuvosto on 19.5.2016 hyväksynyt Valtioneuvoston periaatepäätöksen datan hyödyntämisestä liiketoiminnassa. Periaatepäätöksen mukaan datan käyttöä mahdollistetaan kannustavalla sääntelyllä jonka avulla varmistetaan, että Suomessa on kaikkia toimijoita ohjaava, datan hyödyntämiseen kannustava lainsäädäntö ja kyvykkyyden kasvua tukeva datapolitiikka. Periaatepäätöksen mukaan datan saatavuus ja jalostaminen data-analytiikan avulla palveluiksi ja tietotuotteiksi on keskeinen edellytys digitalisaation hyötyjen toteutumiseksi. Data-analytiikka tarjoaa monipuolisia mahdollisuuksia digitalisaation hyödyntämiseksi liiketoiminnassa kaikilla toimialoilla
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • NEUVOSTOSTA Suomen yliopistokirjastojen neuvosto (SYN) on yliopistokirjastojen verkoston yhteistyötä koordinoiva ja kehittävä elin, jossa ovat edustettuina kaikki yliopistokirjastot. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen yliopistokirjastojen neuvosto (SYN) haluaa ottaa kantaa joihinkin tieteellisen tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Suomen yliopistokirjastojen kannalta on keskeistä, että sääntely turvaa vastaisuudessakin yliopistokirjastojen toimintaedellytykset. Kansainvälinen digitalisoitumiskehitys muuttaa nopeasti ja merkittävästi tieteen tekemisen tapoja ja tutkimustyön tukipalveluita. Erityisesti avoimen tieteen edistämistä on syytä tukea myös lainsäädännön keinoin. Yliopistokirjastot tuottavat tutkimuksen ja opetuksen tuen palveluita, joissa palveluiden osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Kirjastojärjestelmien sisältämien henkilötietojen lisäksi esimerkiksi yliopiston julkaisutietojen keruussa on välttämätöntä liikuttaa henkilötietoja yliopiston tutkimustietojärjestelmän, kansainvälisten artikkelitietokantojen, tiedonhakuportaalien, ORCID-palvelun (tutkijan tunniste palvelun), altmetriikkapalvelujen (näkyvyyspalveluiden), sosiaalisen median palvelujen, VIRTA-julkaisutietopalvelun, data-arkistojen ja yliopiston henkilötietojärjestelmien välillä. Näin säästetään tutkijoiden työaikaa ja mahdollistetaan tukitehtävissä toimivien työprosessien tehokkuus. Yliopistokirjastoilla tulee olla erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti metatietojen osalta. Yliopistokirjastoilla on myös EU:n rajat ylittävää toimintaa, jossa siirtyy henkilötietoja. Yliopistokirjastoja huolestuttaa työryhmän linja, jossa on nähtävissä halu jättää käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus olemassa olevan sääntelyn modernisointiin digitaalisessa toimintaympäristössä. Tietosuojalainsäädännön tulisi elää ajassaan eikä antaa tarpeetonta kilpailuetua kansainvälisille, erityisesti Euroopan ulkopuolisille toimijoille, esimerkiksi tutkimusdatan avaamiseen ja hyödyntämiseen liittyen. Digitalisaation täysimääräinen hyödyntäminen edellyttää mahdollisuutta siirtää sekä tutkijoiden että tutkimuksen tietoja sekä opiskelijoiden opintopalveluihin liittyviä tietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista (kuten asiasanoittamista ja artikkelien rinnakkaistallentamista) tai kytkemistä muihin palveluihin liittyviin tietoihin (kuten kirjastojärjestelmien asiakastiedot tai bibliometriset analyysit). Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa yliopistokirjastojen toimintaedellytyksiä palveluissa ja niiden kehittämisessä. YKSITYISKOHTIA OTETTAVAKSI HUOMIOON KANSALLISESSA LAINSÄÄDÄNNÖSSÄ Yliopistokirjastojen asema ja tehtävät Nykytilanne on, että yliopistokirjastojen asemasta ja tehtävistä ei ole omaa lainsäädäntöä, toisin kuin yleisten kirjastojen osalta, joiden toiminnasta säädetään laissa yleisistä kirjastoista (L 1492/2016). Yliopistokirjastot toimivat osana yliopistoa yliopistolain (L 558/2009) 2 §:ssä määriteltyjä yliopiston tehtäviä tukien. Esimerkiksi Ruotsissa korkeakoulukirjastoista säädetään lainsäädännössä (Svensk författningssamling 2013:801. Bibliotekslag). SYN katsoo, että yliopistokirjastojen tehtävät tulisi määritellä lainsäädäntötasolla (esim. lisäys yliopistolakiin) siten, että todettaisiin yliopistokirjastojen yleistä etua koskevan tehtävän suorittaminen sekä yliopistokirjastojen erityistehtävien toteuttaminen, esim. tieteellisen tiedon tuottamisen ja tieteeseen pohjautuvan opetuksen tukena toimiminen, sekä tieteen (tulosten) avoimuuden ja julkisuuden edistäminen. Yliopistokirjastojen asemasta ja tehtävistä lain tasolla säätäminen olisi tarpeen yliopistokirjastojen aseman ja tehtävien selkiyttämiseksi sekä EU:n yleisen tietosuoja-asetuksen näkökulmasta tarkasteltuna. Yliopistokirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti. Tieteen vapaus, avoimuus ja julkisuus Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat ristiinkytkettyjä ja tutkijoiden itsensäkin rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Yliopistokirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. Yliopistokirjastot toiminnallaan ja palveluillaan tukevat tieteen vapautta, avoimuutta ja julkisuutta, mitä ei tule rajoittaa estämällä tai rajoittamalla tekijätietojen käyttämistä esimerkiksi avoimissa julkaisutietojärjestelmissä sekä avoimen tutkimusdatan ja opinnäytteiden pitkäaikaissäilytyspalveluissa. Lainsäädännössä on ratkaistava, miten julkaisujen, opinnäytteiden jne. tekijätietojen julkisuus, yliopistokirjastojen toiminta ja tietosuoja-asetuksen mukainen henkilötietojen suoja pystytään sovittamaan yhteen. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Yliopistokirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. SYN katsoo, että yliopistokirjastojen toiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun akateemiseen tutkimukseen ja opetukseen. Tietosuoja-asetuksen sanktiot Suomen yliopistokirjastojen neuvosto ei kannata yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista myös viranomaisiin ja julkishallinnon elimiin. On otettava huomioon, että viranomaiset ja julkishallinnon toimijat toteuttavat toiminnassaan runsaasti myös sellaisia velvoitteita (esim. julkisuuslainsäädännöstä johtuvat), joita yksityisellä sektorilla ei ole. Näille toimijoille voi tulla kohtuuttomia tilanteita, jos eri velvoitteiden suhdetta ja täyttämistä ei pystytä etukäteen yksiselitteisesti määrittämään, ja niihin liittyisi vielä huomattavien sanktioiden uhka. Suomen yliopistokirjastojen neuvosto haluaa erityisesti kiinnittää huomiota siihen, että tietosuoja-asetuksessa esitetty sanktiomahdollisuus voi aiheuttaa merkittävää haittaa kirjastopalveluiden kehittämiseen yliopistokirjastoissa ja tieteellisen tutkimuksen harjoittamiseen. Epäselvä oikeustila sanktioiden osalta tai sanktioiden uhka voi suoraan tai välillisesti kaventaa merkittävästi yliopistokirjastojen palvelukehitystä ja -mahdollisuuksia, ja siten hankaloittaa tutkijoiden työskentelyä. Ne voivat johtaa ylivarovaisuuteen sekä yliopistokirjastojen että tutkijoiden toiminnassa. Tämä rajoittaa tiedon liikkuvuutta ja kaventaa vapaan tutkimuksen mahdollisuuksia. Mikäli sanktiomahdollisuus ulotetaan koskemaan myös yliopistoja, mahdollisen sanktion suuruus pitäisi olla yliopiston toimintaan nähden kohtuullinen. Kansallisessa lainsäädännössä pitäisi määrittää kohtuullisen sanktion enimmäismäärä viranomaisten ja julkisten toimijoiden osalta. Nykyinen järjestelmä tarjoaa riittävän oikeussuojan henkilötietoihin kohdistuvia rikkomuksia vastaan. Muita huomioita Työryhmän ehdottaman lakiluonnoksen 27 §:n mukaan tietosuoja-asetusta sovelletaan vain hyvin rajoitetusti silloin, jos sen soveltaminen loukkaisi oikeutta tiedonvälityksen vapauteen tai estäisi henkilötietojen käsittelyn akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Esitetty muotoilu jättää avoimeksi sen, miltä osin ja miten lainkohtaa sovellettaisiin yliopistokirjastojen ja kulttuuriperintöorganisaatioiden toimintaan. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Toimiva kirjastolaitos, arkistot ja museot luovat toiminnallaan edellytyksiä taiteellisen tai kirjallisen ilmaisun harjoittamiselle. Sääntelyä tulisi tältä osin täsmentää. Käynnissä olevan lainsäädäntötyön yhteydessä tulisi myös ratkaista henkilötietojen luovutus teknisellä käyttöyhteydellä, mikä vaatinee nykyisen julkisuuslain muutosta. Digitaalisuus on hälventänyt rajoja eri organisaatioiden ja toimijoiden välillä ja eri toimijoiden välisen yhteistyön tulisi olla yhä joustavampaa. Esimerkkinä tällaisesta organisaatioiden välisestä yhteistyöstä ja henkilötietojen siirtämisestä teknisellä käyttöyhteydellä on suunniteltu kansallinen tutkimustietovaranto, joka kokoaisi yhteen julkaisuja, tutkimusaineistoja, tutkimusinfrastruktuureita, tutkijoita, hankkeita/projekteja ja tutkimusryhmiä koskevia metatietoja. SYN kiinnittää huomiota myös siihen, että lainsäädännössä on varmistuttava siitä, ettei turhaan estetä tai haitata datan louhintaan ja suurten datamassojen käsittelyyn liittyvien palveluiden kehittämistä Suomessa ja siten haitata tutkimustoimintaa ja Suomen kilpailukykyä tutkimuksessa.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • TATTI-työryhmän ehdotuksen mukainen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuri-perintöorganisaatioiden toiminnan, sillä laki ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja tarjolle asettamiseen liittyviä erityispiirteitä. EU:n tietosuoja-asetus mahdollistaisi kansallisen liikkumavaran. Tämä liikkumavara tulisi hyödyntää täysimääräisesti, sillä sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tietosuojalainsäädäntö suojaa vain eläviä, joten kuolleiden henkilötietoja saa käsitellä vapaasti. Kulttuuriorganisaatioiden on toiminnassaan kuitenkin mahdotonta tietää, ketkä ovat elossa ja ketkä kuolleita. Julkisuuden henkilöistä tämä tiedetään, mutta kokoelmat ovat täynnä tavallisien ihmisten tietoja. Jos vain julkisuuden henkilöiden tietoja saa tallentaa, jäljelle jää vain ”virallinen historiankirjoitus” ja suomalaisen elämän monimuotoisuus kuten kansanperinne, paikallishistoria ja vähemmistöt jäävät unohduksiin. Lakiluonnoksessa käytetty terminologia vaatisi täsmennystä. Erityisen tärkeää olisi määritellä, mitä tarkoitetaan ”yleisellä edulla” ja millaiset toimijat katsotaan toteuttavan yleistä etua. Lisäksi ”arkistointitarkoitus” -termi on liian epämääräinen ja kapea. Selkeämpää olisi käyttää termiä ”arkistointi ja kokoelmien hoito”. Kulttuuriperintöorganisaatioiden kokoelmissa on miljoonia henkilötietoja esimerkiksi valokuvina ja arkistomateriaaleina. Oletuksena on ollut, että nämä materiaalit on luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Tietojen käsittelyoikeuksia ei vanhempien aineistojen osalta ole osattu materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä kysyä. Henkilötiedot ovat olennainen osa pysyvästi säilyttävien aineistojen kontekstia ja anonymisointi ei voi koskea kulttuuriperintöaineistoja, sillä kontekstitietojen kattavuus ja luetettavuus ovat keskeisiä tieteelliselle ja historialliselle tutkimukselle. Henkilötietorekisterien muodostumishistorian vuoksi kulttuuriperintöorganisaatioiden hallinnoimat henkilötiedot ovat henkilötietojen käsittelyn näkökulmasta erittäin matalariskisiä. Tietosuojalakiluonnos vesittää toteutuessaan Opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Esimerkiksi sivistysvaliokunta on todennut tuoreessa lausunnossaan (SiVM 13/2016 vp), että arkistoaineistojen kuvailutietojen tuominen verkkopalveluihin lisäisi tuntuvasti julkisilla varoilla kootun kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Kulttuuriperintöorganisaatioiden tarpeet tulisi huomioida yleislaissa. Niiden huomioiminen sektorikohtaisessa lainsäädännössä aiheuttaisi toteutuessaan epätasa-arvoisuutta, sillä on paljon museoita ja arkistoja, joita varten ei ole omaa lainsäädäntöä. Lisäksi sektorikohtaisen lainsäädännön valmistumiseen kuluu aikaa, joka jättäisi kulttuuriperintöorganisaatiot pitkäksi aikaa epämääräiseen tilaan tietosuojaan liittyvän sääntelyn osalta.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • CSC Tieteen  tietotekniikan  keskus  Oy  kiittää  mahdollisuudesta  saada  lausua yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. CSC  on  suomalainen  tutkimuksen,  koulutuksen  ja  julkishallinnon  ICT osaamiskeskus,  joka ylläpitää  opetus ja  kulttuuriministeriön toimeksiannosta korkeakoulujen valtakunnallista keskitettyä tietotekniikkainfrastruktuuria ja tarjoaa sen avulla kansallisia tietotekniikkapalveluita tutkimuksen, tieto-, opetus- ja tutkimushallinnon sekä kirjastojen, arkistojen, museoiden ja kulttuurin tarpeisiin.  Yleisen tietosuoja-asetuksen toimivuuden kannalta on ensiarvoisen tärkeää, että pyritään mahdollisimman yhtenäiseen eurooppalaiseen ratkaisuun. Tiedon liikkuvuuden mahdollistamisen ja vastuullisuuden tulee näkyä asetuksessa keskeisinä asiakohtina.    Erityistä huomiota tulee kiinnittää siihen, että henkilötietojen riittävän joustava käsittely tieteellisessä tutkimuksessa on mahdollista, ja että henkilötiedot on suojattu asianmukaisesti ja vastuullisesti. Henkilötietojen riittävän joustava käsittely tutkimuksessa on keskeinen menestystekijä suomalaiselle tieteelle ja Suomen kilpailukyvylle. Näin ollen on tärkeää huomioida että lainsäädännöllä ei suojata henkilötietojen käsittelyä siten, että suojauksesta aiheutuu perusteetonta haittaa tieteelliselle tutkimukselle. Kansalaisten oikeuksien kannalta erityistä huomiota tulee kiinnittää arkaluontoisten henkilötietojen asianmukaiseen suojaamiseen. Arkaluontoisia henkilötietoja ovat mm. henkilön terveyteen, mielipiteisiin, kulutustottumuksiin sekä viestintään liittyvät tiedot.    EU:n yleistä tietosuoja-asetusta täydentävän kansallisen tietosuojalain suurimpia käytännön haasteita ovat vastuukysymykset, sekä hallinnollisten ja teknisten suojaamiskeinojen määrittely. Vastuiden määrittelyt ovat sekä tietosuojan että tietoturvallisuuden osalta usein käytännössä epäselviä. Vastuukysymysten selkiyttäminen on ensiarvoisen tärkeää, ja vastuu tulee selkeästi kohdistaa henkilötietojen turvaamisesta tietoja käsittelevän organisaation ylimpään johtoon sekä toiminnasta vastaavaan työnjohtoon. Yksittäisen suorittavaa työtä tekevän työntekijän tai virkamiehen vastuu siitä, että hän noudattaa annettuja ohjeita tietosuojaan liittyen, tulee olla selvästi rajattu ja ilmaistu. Ohjeiden merkittävä tai törkeä laiminlyönti tulee olla rangaistava teko. Kansalaisen ja tietojärjestelmien käyttäjän tulee noudattaa annettuja käyttöehtoja ja – ohjeita, ja tuottamuksellinen tietosuojarikos ja sen yritys tulee olla rangaistava teko.   Tietosuojalaki tulee valmistella rinnakkain ns. toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) kanssa siten, että molemmat lait ovat keskenään toisiaan täydentäviä mutta eivät ristiriitaisia.  
      • Yhteiskuntatieteellinen tietoarkisto, Tampereen yliopisto, Lausunnon on kirjoittanut lakimies Antti Ketola. Sen laatimista ovat koordinoineet johtaja Helena Laaksonen ja kehittämispäällikkö Arja Kuula-Luumi.
        Päivitetty:
        7.9.2017
        • 1. Yleiset kommentit ja lakiehdotus Tietoarkisto kiittää mahdollisuudesta antaa lausuntonsa mietinnöstä ja ehdotuksesta tietosuoja-asetuksen (2016/669) kansallisen liikkumavaran täytäntöönpanoa koskevaksi laiksi. Tietoarkisto on Tampereen yliopiston yhteydessä toimiva erillisyksikkö, jonka perustehtäviin kuuluu muun muassa sähköisten tutkimusaineistojen arkistointi ja välittäminen tutkimukseen, opetukseen ja opiskeluun. Tietoarkiston toiminta ei rajoitu Tampereen yliopistoon, vaan toiminta on valtakunnallista. Tehtäviensä mukaisesti Tietoarkisto osallistuu lisäksi kansalliseen ja kansainväliseen yhteistyöhön. Suomi on mukana Consortium of European Social Sciences Data Archives (CESSDA) -konsortiossa. CESSDAn kansalliseksi palveluntuottajaksi on nimetty Tietoarkisto. Koska lakiehdotuksen arkistoja koskeva 33 § on jäänyt keskeneräiseksi, katsoo Tietoarkisto aiheelliseksi keskittyä lausunnossa erityisesti arkistoja koskeviin näkökohtiin. Mietinnön perusteella (s. 132) sääntely olisi tarkoitus jättää osittain valmisteilla olevan tiedonhallintalain varaan. Tämä kuitenkin koskisi ainoastaan viranomaisten arkistoja. Siksi tarpeettoman lisäsääntelyn estämiseksi ja koko KAM-sektorin toimintaedellytysten kannalta olisi asiallista keskittää tietosuoja-asetuksen liikkumavaran toimeenpanoon perustuvat yleisen edun mukaisen arkistoinnin perussäännöt kansalliseen tietosuojaa koskevaan yleislakiin. Tietosuoja-asetuksen liikkumavaran puitteissa annettavat arkistoja koskevat yleiset säännökset olisi perusteltua ottaa osaksi yleislakia ensinnäkin siksi, että yleisen edun mukaista arkistointitarkoitusta koskevia säännöksiä käsitellään asetuksessa systemaattisessa yhteydessä tieteellistä tutkimusta ja tilastointia koskevien säännösten kanssa. Tieteellisen tutkimuksen ja arkistoinnin suhde on lisäksi käytännön tasolla hyvin läheinen. Näin ollen arkistointia koskevat säännökset olisi asiallista ottaa yleislakiin vastaavasti kuin tieteellistä tutkimusta ja tilastointia koskevien säännösten kohdalla on ratkaistu. Toiseksi arkistointia koskevien yleisten säännösten sijoittaminen yleislakiin olisi perusteltua rekisteröityjen oikeuksien näkökulmasta. Ottaen huomioon asetuksen 1 artiklan mukaiset tavoitteet ja EU:n perusoikeuskirjan (2000/C 364/01) 8 artiklassa turvattu oikeus henkilötietojen suojaan sekä oikeus tutustua itseään koskeviin tietoihin ja saada ne oikaistuksi, olisi asianmukaista saattaa kaikki rekisteröidyn oikeuksia koskevat rajoitukset voimaan mahdollisimman samanaikaisesti ja keskitetysti oikeustilan selventämiseksi rekisteröidyille. Tämä varmistaisi myös tietosuojan korkean tason, koska tarvittavat suojatoimet tulisivat voimaan samanaikaisesti sekä uuden tietosuoja-asetuksen että kansallisen yleislain kanssa. Tältä osin Tietoarkisto esittää tietosuoja-asetuksen antaman liikkumavaran puitteissa seuraavaa säännöskokonaisuutta: 1) Yleisen edun mukaisia arkistointitarkoituksia koskeva käsittelyperuste, joka huomioi asetuksen johdanto-osan 158 mukaisen käsityksen yleisen edun mukaisesta arkistoinnista, ja jossa viitataan 33 §:ään sijoitettaviin suojatoimiin 2) Säännös tietosuoja-asetuksen 9 artiklan 2 kohdan j kohdan mukaisesta erityisten tietoryhmien käsittelykieltoa koskevasta poikkeuksesta yleisen edun mukaisessa arkistoinnissa sekä poikkeus koskien 10 artiklan mukaisia tietoja 3) Kansallisen lain 33 §:ään sijoitettava tietosuoja-asetuksen 89 artiklan 3 mukaisten poikkeusten täytäntöönpano rekisteröityjen oikeuksista sekä artiklan 89 kohdan 1 mukaisten suojatoimien täsmentäminen Esitettävän kokonaisuuden on tarkoitus olla mahdollisimman oikeasuhtainen rekisteröityjen oikeuksien rajoittamisen kannalta ja ottaa huomioon välttämättömyysarviointi siten, kuin sitä asetuksen 89 artiklan kohdassa 3 ja EU:n perusoikeuskirjan 52 artiklan 1 kohdassa edellytetään. Lisäksi ehdotukset huomioivat etenkin artiklan 89 kohdassa 1 korostetussa asemassa olevan minimoinnin periaatteen. Koska lausuntoon sisältyvät arkistointia koskevat ehdotukset liittyvät toisiinsa, lausunnon selkeyden vuoksi kaikki arkistointia koskevat edellä mainitut kohdat on sisällytetty tähän samaan lausuntokohtaan. Jäljempänä esitettyjen perusteluiden mukaisesti ehdotetaan harkittavaksi seuraavia säännöksiä: ----------------------------------------------- Lisäys lakiehdotuksen 3 §:ään, uusi 3-kohta: ”3) jos käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia varten, ja arkistoinnin toteuttaa arkistolain (831/1994) tai muun lain mukainen arkistonmuodostaja, tai muun yleisen edun mukaista arkistointia, kuten kulttuuriperintö- ja tutkimusaineistojen arkistointia ja välittämistä, ammattimaisesti harjoittava arkistonmuodostaja, ja käsittelyssä noudatetaan 33.1 §:n 1-kohdan mukaisia suojatoimia” Ehdotus kansallisen lain arkistointia koskevan 33 §:n sisällöksi: ”33 § Yleisen edun mukaisessa arkistointitarkoituksessa tapahtuvaa käsittelyä koskevat poikkeukset rekisteröityjen oikeuksista, suojatoimet sekä erityisten tietoryhmien käsittely Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten tämän lain 3 §:n 3-kohdan mukaisesti voidaan tietosuoja-asetuksen 15, 16 ja 18–21 artikloissa tarkoitetuista oikeuksista tarvittaessa poiketa niillä edellytyksillä, että 1) käsittely tapahtuu voimassa olevan arkistonmuodostussuunnitelman mukaisesti tai perustuu asianmukaisiin ja kirjallisesti dokumentoituihin seulonta-, käsittely- ja säilytyskriteereihin, joissa on huomioitu etenkin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen tietojen minimointi; ja 2) henkilötietoja ei käytetä ilman rekisteröidyn suostumusta rekisteröityä koskevien toimenpiteiden tekemiseen, ellei se ole tarpeen rekisteröidyn elintärkeiden etujen suojelemiseksi tai viranomaiselle kuuluvan tehtävän suorittamiseksi; ja 3) asiakirjat on suojattu tuhoutumiselta, vahingoittumiselta sekä niin, että niiden sisältö ei paljastu ilman rekisteröidyn suostumusta tai muuta asianmukaista perustetta ulkopuoliselle Ensimmäisen momentin 1-kohdan mukaiset asiakirjat on pyynnöstä toimitettava tietosuojavirastolle. Kansallisarkisto voi antaa täydentäviä määräyksiä koskien 1 momentin mukaisia suojatoimia. Tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja voidaan käsitellä silloin, kun käsittely on tarpeen käsiteltäessä tietoja tämän lain 3 §:n 3-kohdan mukaisesti yleisen edun mukaisen arkistointitarkoituksen toteuttamista varten 1 momentin suojatoimia noudattaen. Mikäli käsittelyssä on tarpeellista poiketa 1 momentissa tarkoitetuista rekisteröidyn oikeuksista, on rekisterinpitäjän laadittava toiminnastaan tietosuoja-asetuksen 35 mukainen tietosuojan vaikutustenarviointi. Vaikutustenarviointiin sovelletaan artiklan 35 kohtia 2, 5, 7, 8 ja 11. Tietosuojaa koskeva vaikutustenarviointi on toimitettava pyynnöstä tietosuojavirastolle." ----------------------------------------------- 2. Perustelut 2.1 Lisäys lakiehdotuksen 3 §:ään, uusi 3-kohta (käsittelyperuste) Henkilötietojen käsittelyyn sovellettavan käsittelyperusteen tulisi olla rekisterinpitäjän mahdollisimman yksiselitteisesti määriteltävissä, sillä käsittelyperuste määrittelee osaltaan rekisteröityjen oikeuksia koskevien sääntöjen soveltumista. Selkeä käsittelyperuste ohjaa samanaikaisesti rekisterinpitäjää noudattamaan asianmukaisesti osoitusvelvollisuuttaan. Tilanteita, joissa rekisterinpitäjä ei pysty arvioimaan henkilötietojen käsittelyyn mahdollisesti soveltuvia käsittelyperusteita ja niiden soveltuvuutta rekisterinpitäjän toimintaan, tulisi välttää. Tämä voi aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille sekä johtaa rekisterinpitäjän ja valvontaviranomaisten resurssien tarpeettomaan käyttämiseen. Yleisellä tasolla esimerkiksi tapa, jolla tietosuojadirektiivin (95/46/EY) 7 artiklan f-kohdan käsittelyperuste otettiin aikanaan osaksi kansallista lainsäädäntöä osittain henkilötietolain 8.1 §:n 5-kohdan yhteysvaatimukseen voi mahdollisesti muodostaa organisaatioille siirtymävaiheessa tulkintaongelmia lain kumoutuessa. Yleisen edun mukainen arkistointitarkoitus on osittain erityisasemassa tietosuoja-asetuksessa. Asetuksen 5 artiklan mukaisten yleisten periaatteiden kannalta yleisen edun mukainen arkistointitarkoitus mahdollistaa poikkeamisen käyttötarkoitussidonnaisuudesta. Toiseksi asetus mahdollistaa poikkeamaan säilytyksen (ajallista) rajoittamista koskevasta periaatteesta. Näiden poikkeuksien osalta on asetuksessa viitattu 89 artiklan 1 kohtaan, jossa mainitaan asianmukaiset suojatoimet. Artiklan 89 mukaan teknisillä ja organisatorisilla toimenpiteillä tulee toteuttaa etenkin minimoinnin periaatteen noudattaminen. Tässä yhteydessä on huomattava, että asetuksen 5 artiklan tietojen minimoinnin periaatteesta ei voida poiketa sillä perusteella, että kyseessä on yleisen edun mukainen arkistointi. Nämä erityispiirteet tukisivat sitä, että yleisen edun mukaiselle arkistoinnille säädettäisiin erillinen käsittelyperuste uuden lain 3 §:ään, jotta asianmukaiset suojatoimet voitaisiin ottaa huomioon. TATTI-ryhmän mietinnön mukaan yleisen edun mukaista arkistointia ei ole tietosuoja-asetuksessa määritelty itsenäiseksi käsittelyperusteeksi (s. 132). Tällä viitattaneen siihen yleiseen periaatteeseen, että henkilötietojen käsittelyn perusteen tulee olla johdettavissa asetuksen 6 artiklasta silloin, kun henkilötietojen käsittely kuuluu asetuksen aineelliseen soveltamisalaan. Tulkinta on oikea, mutta tietosuoja-asetus mahdollistaa yleisen edun mukaisen arkistoinnin osalta silti useita käsittelyperusteita. Ottaen huomioon asetuksen luonteen SEUT 288 mukaisena säännösinstrumenttina, poikkeaminen asetuksen sisällöstä ja rajoitusten asettaminen käsittelyperusteille edellyttäisi jäsenvaltiolle nimenomaista valtuutusta. Asetuksen 23 artikla ei koske artiklan 6 mukaisia käsittelyperusteita. Näin ollen käsittelyperuste yleisen edun mukaista arkistointitarkoitusta varten voi tapahtua tapauskohtaisesti minkä tahansa 6 artiklan mukaisen käsittelyperusteen nojalla, ellei asetuksessa muuta säädetä. Se, että ”yleinen etu” mainitaan erikseen 6 artiklan 1 kohdan f alakohdassa ei tarkoita sitä, että se on yksinomainen peruste käsittelyyn, jonka tavoitteena on yleinen etu. Ei ole esimerkiksi harvinaista, että suostumusta käytetään käsittelyperusteena tieteellisessä tutkimuksessa, jonka tavoitteet liittyvät yleiseen etuun. Koska käsittelyperusteiden käyttämistä ei ilman erillistä perustetta voida rajoittaa, henkilötietojen käsittely arkistointitarkoituksia varten voisi olla mahdollista myös 6 artiklan 1 kohdan f alakohdan (oikeutettu etu) perusteella tilanteissa, joissa rekisterinpitäjä ei ole viranomainen. Lisäksi asetus ei näytä estävän sitä, että käsittelyperusteena voisi olla 6 artiklan 1 kohdan a alakohdan mukainen suostumus, mikäli muut pätevän suostumuksen edellytykset täyttyvät. Tältä osin ainoa kansallinen liikkumavara on annettu erityisiä tietoryhmiä varten, jonka perusteella jäsenvaltio voi kieltää nimenomaisen suostumuksen käyttämisen erityisten tietoryhmien käsittelykiellosta poikkeamisperusteena tiettyjen käsittelyjen osalta. Asetuksen 6 artiklan 1 kohdan alakohtien c (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi) ja e (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi) mukaan tapahtuvan henkilötietojen käsittelyn tulee kuitenkin artiklan 6 kohdan 3 mukaisesti perustua joko unionin tai jäsenvaltion lainsäädäntöön. Mietinnön lakiehdotuksen 3 §:n 2-kohdan mukaan tietoja saisi käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Tämä vastaa sanamuodoltaan asetuksen 6 artiklan 1 kohdan e alakohtaa. Mietinnön mukaan ”[h]enkilötietojen käsittely yleisen edun mukaisia arkistointitarkoituksia varten voisi olla mahdollista ehdotetun 2 kohdan nojalla.” (s. 141). Yleisen edun mukaisen arkistointitarkoituksen käsittelyperuste järjestettäisiin siten mietinnön perusteella tämän kohdan nojalla. Mietinnössä esitetyn ratkaisun sijaan parempi vaihtoehto olisi 3 §:n 2-kohdan käsittelyperusteen käyttämisen sijasta erillisen käsittelyperusteen säätäminen yleisen edun mukaiselle arkistoinnille. Ensinnäkin tämä tuo oikeusvarmuutta arkistotoiminnalle ja mahdollistaa arkistointitoiminnan käsittelyperusteen yksiselitteisen identifioinnin. Toiseksi säännös mahdollistaa asettamaan yleisen edun mukaiselle arkistoinnille selkeämmin artiklan 89 kohdan 1 mukaisia tarpeellisia suojatoimia. Kolmanneksi säännöksessä on mahdollista huomioida arkistotoiminnan monimuotoisuus, kuten se on tietosuoja-asetuksessakin ilmaistu. Tietosuoja-asetuksessa ei määritellä yksiselitteisesti sitä, mitä tarkoitetaan yleisen edun mukaisella arkistointitarkoituksella. Johdanto-osan kappaleessa 158 todetaan, että ”asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin”. Seuraavan virkkeen mukaan ”[v]iranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita” olisi oltava unionin tai jäsenvaltion oikeuden nojalla eräitä kohdassa tarkemmin määriteltyjä tehtäviä. Yleisen edun mukaista arkistointia toteuttavaa tahoa ei ole siten rajoitettu muuten, kuin että se ei voisi olla yksityinen luonnollinen henkilö, koska johdanto-osassa on puhuttu nimenomaan ”elimestä”. Ratkaisevampaa on siten se, onko kyse ”yleistä etua” palvelevasta arkistointitarkoituksesta. Arkistointia koskevia merkittäviä säännöksiä on Suomessa tällä hetkellä lähinnä arkistolaissa (831/1994) ja laissa Kansallisarkistosta (1145/2016). Ottaen huomioon johdanto-osan 158 kappale, käsittelyperuste tulisi ulottaa koskemaan arkistolain mukaisten arkistonmuodostajien lisäksi muuta yleisen edun mukaista arkistointia, kuten kulttuuriperintö- ja tutkimusaineistojen arkistointia ja välittämistä, ammattimaisesti harjoittaviin arkistonmuodostajiin. Ilmaisu ”tai muun lain mukaisen” laajentaa käsittelyperusteen piiriin arkistolain ulkopuoliset arkistonmuodostajat, joista on erikseen säädetty tai tullaan myöhemmin säätämään muissa laeissa. Asetuksen 6 artiklan 3 kohta mahdollistaa antamaan erityisiä säännöksiä artiklan 1 kohdan e mukaisen käsittelyn oikeusperustasta säädettäessä. Tältä osin käsittelyperuste rajattaisiin arkistolain tai muun lain mukaisten arkistonmuodostajien lisäksi arkistotoimintaa nimenomaan ammattimaisesti harjoittaviin arkistonmuodostajiin. Lisäksi edellytettäisiin myöhemmin käsiteltävän 33.1 §:n 1-kohdan mukaisen suojatoimen (arkistonmuodostussuunnitelma tai muut kirjallisesti dokumentoidut seulonta-, käsittely- ja säilytyskriteerit) käyttöä. Tässä lausunnossa esitetty uusi 3 §:n 3-kohta ei estäisi silti yleisen edun mukaisen arkistoinnin tapahtumista myös muulla artiklan 6 mukaisella perusteella, milloin se poikkeuksellisissa tapauksissa olisi tarpeellista. Tällaisessa muodossa se kattaisi käytännössä kuitenkin lähes kaiken yleisen edun mukaisen arkistointitoiminnan ja yhdistäisi sen selkeämmin 89 artiklaan. 2.2 Erityisten tietoryhmien ja artiklan 10 mukaisten tietojen käsittely yleisen edun mukaisessa arkistoinnissa Tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohta sisältää poikkeuksen erityisiä tietoryhmiä koskevasta käsittelykiellosta, joka on yhtenevä yleisen edun mukaiselle arkistointitarkoitukselle, tieteelliselle tutkimukselle ja tilastoinnille. Käsittelyn tulee tapahtua tässä tapauksessa 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla niillä edellytyksillä, että se on oikeasuhtaista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tieteellisen tutkimuksen ja tilastoinnin osalta erityisten tietoryhmien käsittelyn edellytykset ja suojatoimet (viittauksella 31 §:ään) sisältyvät lakiehdotuksen 32 §:ään. Samaan pykälään sisältyy peruste käsitellä asetuksen 10 artiklan mukaisia tietoja. Ehdotus kansalliseksi laiksi ei sisällä tältä osin säännöksiä koskien arkistointia. Myöskään mietinnön liikkumavaraa koskevassa taulukossa (s. 51) ei ole huomioitu yleisen edun mukaista arkistointia. Asetuksen artiklan 9 kohdan 2 j alakohdan perusteella on selvää, että se on tarkoitettu olemaan ensisijainen peruste 9 artiklan 1 mukaisesta käsittelykiellosta poikkeamiselle yleisen edun mukaisessa arkistoinnissa, vaikka eräät muutkin 2 kohdan mukaiset perusteet voivat tapauskohtaisesti soveltua (esim. 2 kohdan a, b ja g alakohdat). Tarpeettoman tapauskohtaisen arvioinnin ja epävarmuuden välttämiseksi olisi asianmukaista, että 9 artiklan 2 kohdan j alakohdan mukainen yleisen edun mukaisen arkistoinnin poikkeusperuste erityisten tietoryhmien käsittelykiellosta sisällytettäisiin kansalliseen lakiin 32 §:ää vastaavalla tavalla. 5 §:n sijasta luonnollisempi paikka tälle olisi kuitenkin kansallisen yleislain 33 §, johon sisällytettäisiin lisäksi tarvittavat suojatoimet, jotka olisivat yhteneviä rekisteröidyn niiden suojatoimien kanssa, joita sovelletaan, kun poiketaan rekisteröidyn oikeuksista tilanteissa, joissa tiedot eivät kuulu erityisiin tietoryhmiin. Tietosuoja-asetuksen 10 artikla mahdollistaa rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelyn 6 artiklan 1 kohdan perusteella vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tältä osin olisi asianmukaista säätää 32 §:ää vastaava käsittelymahdollisuus yleisen edun mukaisessa arkistoinnissa. Tämä välttäisi esimerkiksi tilanteen, jossa asetuksen 10 artiklan mukaisia tietoja käsittelevän tieteellisen tutkimuksen tutkimusaineistoa ei voisi arkistoida asianmukaisia suojatoimia noudattaen. Sovellettavat suojatoimet olisivat samat kuin asetuksen 9 artiklan mukaisia tietoja käsiteltäessä. 2.3 Poikkeukset rekisteröidyn oikeuksista ja suojatoimet (ehdotettava sisältö 33 §:lle) Tietosuoja-asetuksen 89 artiklan 1 kohdan mukaan yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvassa käsittelyssä on sovellettava rekisteröidyn oikeuksia ja vapauksia koskevia suojatoimia asetuksen mukaisesti. Artiklan 1 kohdan toisen virkkeen mukaisesti suojatoimilta edellytetään, että ”on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen”. Asetuksen 5 artiklan 1 kohdan c alakohdan mukaan tietojen minimoinnilla tarkoitetaan sitä, että ”henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään”. Tietosuoja-asetuksen johdanto-osan 39 kappaleen mukaan tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Vaikka tämä lausuma sisältönsä puolesta viittaisi enemmän säilytyksen rajoituksen periaatteeseen, yhdistetään se myös tietojen minimointiin. Asetuksen 89 artiklan 3 kohta antaa mahdollisuuden poiketa 15, 16, 18, 19, 20 ja 21 artikloissa tarkoitetuista oikeuksista noudattaen 1 kohdan mukaisia suojatoimia. Lisäksi kyseisten oikeuksien käyttämisen tulisi todennäköisesti estää erityisten tarkoitusten saavuttaminen tai vaikeuttaa sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. Asetuksen perusteella ei näyttäisi olevan siten mahdollista säätää blankettipoikkeusta oikeuksien käyttämisestä, vaan edellytetään tarpeellisuusharkintaa. Näin ollen 33 §:ssä tulisi omaksua yhteneväisyyden ja asetuksenmukaisuuden varmistamiseksi mietinnön lakiehdotuksen 31 §:ään otettu ratkaisu siitä, että poikkeaminen on mahdollista ainoastaan ”tarvittaessa”. Näin ollen suoritettaisiin samanlainen tapauskohtainen arviointi kuin tieteellisessä tutkimuksessa (mietintö, s. 168). Erillinen tärkeä kysymys on se, tulisiko rekisteröidyn oikeudet asettaa eri asemaan tärkeysasteensa puolesta. Näin ollen olisi mahdollista säätää esimerkiksi tiettyjen rekisteröityjen oikeuksien toteuttamisesta osittain suojatoimista ja tarpeellisuusarvioinnista huolimatta. Vastaavasti voitaisiin edellyttää erillisiä menettelyjä, kuten rekisteröidyn esittämän 16 artiklan mukaisen oikaisemisvaatimuksen kirjaamista erilliseen rekisteriin. Tämä ei kuitenkaan vaikuta välttämättömältä, koska asia voidaan ratkaista rekisterinpitäjän suorittaman tarpeellisuusharkinnan yhteydessä. Näin ollen samoja periaatteita sovellettaisiin kaikkiin artiklan 89 kohdan 3 mukaisiin rekisteröityjen oikeuksiin. 33.1 §:n 1-kohta sisältäisi suojatoimen, jonka mukaan käsittelyn tulisi tapahtua voimassa olevan arkistonmuodostussuunnitelman mukaisesti tai perustuen asianmukaisiin ja kirjallisesti dokumentoituihin seulonta-, käsittely- ja säilytyskriteereihin, joissa on huomioitu etenkin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen tietojen minimointi. Kohdassa otettaisiin huomioon arkistolain mukaisten toimijoiden lisäksi ne, jotka eivät ole velvollisia laatimaan arkistonmuodostussuunnitelmaa. Dokumentoidut seulonta-, käsittely- ja säilytyskriteerit toteuttaisivat ennakolta henkilötietojen minimointia. Erityisesti kulttuuriperintöaineistot on usein tarpeen säilyttää mahdollisimman alkuperäisinä. Sen sijaan yksinomaan tutkimustarkoituksiin tuotettavien (kyselyt, haastattelut ja vastaavat) aineistojen arkistoinnissa voi soveltaa mahdollisuuksien mukaan myös muita tietosuoja-asetuksen sisältämiä suojatoimia. Koska rekisteröidyn mahdollisuutta tarkastaa ja korjata henkilötietojaan rajoitetaan, on olennaista, että mahdollisesti puutteellisia tietoja ei käytetä päätöksenteossa. 33.1 §:n 2-kohdan mukaan henkilötietoja ei saisi käyttää ilman rekisteröidyn suostumusta rekisteröityä koskevien toimenpiteiden tekemiseen, ellei se ole tarpeen rekisteröidyn elintärkeiden etujen suojelemiseksi tai viranomaiselle kuuluvan tehtävän suorittamiseksi. 33.1 §:n 3-kohdan mukaan asiakirjat olisi suojattava tuhoutumiselta, vahingoittumiselta sekä niin, että niiden sisältö ei paljastu ilman rekisteröidyn suostumusta tai muuta asianmukaista perustetta ulkopuoliselle. Muu asianmukainen peruste nojautuisi esimerkiksi arkistojen aineisto- tai kokoelmakohtaisiin käyttöehtoihin. Poikettaessa rekisteröityjen oikeuksista olisi tärkeää, että valvontaviranomainen saa tarvittaessa riittävästi tietoa käsittelytoimista. 33.2 §:ssä vahvistettaisiin valvontaviranomaisen pääsy tarvittaessa 33.1 §:n 1-kohdan mukaisiin asiakirjoihin. Asiakirjat olisi toimitettava ainoastaan pyynnöstä eivätkä ne velvoittaisi valvontaviranomaista jatkotoimenpiteisiin. Samassa momentissa annettaisiin Kansallisarkistolle valtuutus antaa tarvittaessa täydentäviä säännöksiä 1 momentin mukaisista suojatoimista. Tämä ei kuitenkaan velvoittaisi Kansallisarkistoa toimenpiteisiin. 33.3 §:n ensimmäinen virke sisältää käsittelyperusteen asetuksen 9 ja 10 artiklojen mukaisille henkilötiedoille. Käsittelyssä olisi noudatettava 33.1 §:n mukaisia suojatoimia. Mikäli näiden tietoryhmien osalta haluttaisiin poiketa 33.1 §:n mukaisista rekisteröityjen oikeuksista, edellytettäisiin lisäsuojatoimena asetuksen 35 artiklan mukaista tietosuojan vaikutustenarviointia arkiston toiminnasta. Vastaava ratkaisu on omaksuttu kansallisen lakiehdotuksen 32 §:ssä tieteellisen tutkimuksen osalta. Vaikutustenarviointia ei kuitenkaan tulisi toimittaa viranomaiselle kuin ainoastaan pyynnöstä. Epäselvyyksien välttämiseksi lainkohdassa täsmennettäisiin asetuksen 35 artiklasta soveltuvat kohdat. Näitä olisivat kohdat 2 (tietosuojavastaavan konsultointi), 5 (viranomaisten luettelo käsittelyistä, joissa ei vaadita arviointia), 7 (arvioinnin vähimmäissisältö), 8 (käytännesääntöjen huomiointi) ja 11 (uudelleenarviointi muuttuneen riskin vuoksi).
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Arene näkemyksen mukaan ehdotetun uuden lain säännöksien tulee tukea ammattikorkeakoulujen lakisääteisten tehtävien toteuttamista sekä kehittymistä. Ehdotetut säännökset ovat toimivia silloin kun ne myös toteuttavat myös sivistyksellisiä oikeuksia ja tieteellisen tutkimukseen perustuvia käsittelyperusteita. Julkinen valta luo edellytyksiä yksilön mahdollisuudelle kehittää itseään muun muassa siten, että se ylläpitää ja tukee kirjastoja, kansalais- ja työväenopistoja sekä kulttuurilaitoksia ja avustaa tieteen ja taiteen harjoittamista. Tieteen ja tutkimuksen vapauteen kuuluu myös tutkijan oikeus julkaista tutkimustuloksensa. Ammattikorkeakoulujen kannalta on perusteltua säätää tieteellistä tutkimusta ja TKI- toimintaa mahdollistavia kansallisia säädöksiä henkilötietojen käsittelylle perusoikeudet huomioiden. Kansallisten koulutus- ja tiedepolitiikan tavoitteiden mukaan korkeakoulut (=ammattikorkeakoulut ja yliopistot) vahvistavat vaikuttavuuttaan erityisesti lisäämällä osaamisen ja tutkimustulosten laajempaa hyödyntämistä. Avoimen tieteen ja TKI- toiminnan periaatteiden mukaan korkeakoulut avaavat laajasti tutkimuksen tuloksia ja kehittävät aktiivisesti uusia toimintamalleja osaamisen siirtämiseksi ja innovaatioiksi yhteiskunnassa. Korkeakoulut ovat lisänneet kansainvälistä vaikuttavuutta ja näkyvyyttä strategisesti valituilla painoalueilla hyödyntäen keskinäistä yhteistyötä ja verkottumista. Arene korostaa, että hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa kansalliset tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteet. Ne ovat korkeakoulujen kansallisen ja kansainvälisen kilpailukyvyn kannalta oleellisen tärkeät.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus kiittää mahdollisuudesta lausua yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Julkisuuslakia sovelletaan sen soveltamisalasäännösten mukaan viranomaisiin, joihin lukeutuvat lain mukaan muun ohella eduskunnan virastot ja laitokset. Julkisuuslain perusratkaisujen taustalla on perustuslain 12 §:n 2 momentti, jossa säädetään viranomaisen asiakirjoihin ja tallenteisiin kohdistuvasta tiedonsaantioikeudesta jokaisen oikeutena. Eduskunta ei kuitenkaan valtioelimenä ole perustuslain 12 §:n 2 momentissa tarkoitettu viranomainen, eikä julkisuuslakia sovelleta eduskunnan valtiopäivätoimintaan. Eduskunnan valtiopäivätoiminnan julkisuudesta säädetään perustuslain 50 §:ssä, jota osin täsmentää eduskunnan työjärjestyksen 43 a §:n säännös valiokunnan asiakirjojen julkisuudesta. Eduskunnan hallintoa, esimerkiksi kansliatoimikuntaa, on kuitenkin pidettävä perustuslain 12 §:n 2 momentissa tarkoitettuna viranomaisena, ja siinä noudatetaan soveltuvin osin samoja julkisuutta koskevia periaatteita kuin yleensä valtion hallinnossa (ks. myös HE 1/1998 vp, s. 99). Erityisesti asiakirjajulkisuutta ja täten eduskunnan tai sen viranomaisen hallussa olevia henkilötietoja koskeva sääntely on siis tiedonsaanti- ja luovutusoikeuden osalta eriytetty sen mukaan, onko kyseessä eduskunnan valtiopäivätoiminta tai eduskunnan hallintotoiminta. Eduskunnan valtiopäivätoimintaa koskevassa sääntelyssä on otettu huomioon henkilötietojen suojaan liittyviä näkökohtia. Esimerkiksi eduskunnan työjärjestyksessä nimenomaisesti rajoitetaan tietyin vahinkoedellytyksin oikeutta saada tietoa sellaisista valiokunnan asiakirjoista, jotka sisältävät tietoja henkilön terveydentilasta tai hänen taloudellisesta asemastaan. Vaikuttaa ilmeiseltä, että eduskunnan valtiopäivätoiminta ei kuulu ainakaan lähtökohtaisesti tietosuoja-asetuksen soveltamisalaan. Tietosuoja-asetuksen 2 artiklan 2 a kohdan mukaan asetusta ei nimittäin sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Tosin siltä osin, kun eduskunnassa on lainsäädäntötoimin implementoitavana EU-säännös, on soveltamisalakysymys vähintäänkin tulkinnanvarainen. EUT:n oikeuskäytännössä on vastaavalla tavalla muotoillun perusoikeuskirjan soveltamisalasäännöstä tulkittaessa katsottu EU-oikeuden soveltamisalan kattavan jäsenvaltion lainsäädäntötoiminnan, lainkäyttö- ja hallintokäytännöt jäsenvaltion täyttäessä unionin oikeuteen perustuvia velvoitteita. Yllä mainituista valtiopäivätoimintaa koskevista lähtökohdista johtuu, että tietosuojalakia (ja täten EU:n tietosuoja-asetusta) ei ole kansallisin ratkaisuin kokonaisuudessaan perusteltua ulottaa eduskunnan valtiopäivätoimintaan eikä valtiopäiväasiakirjoihin, joiden julkisuudesta säännellään perustuslaissa ja eduskunnan työjärjestyksessä. Sitä vastoin tietosuojalakia on yksityiselämän suojan johdosta perusteltua soveltaa hallinnon yleislakien tavoin eduskunnan virastoissa ja laitoksissa. Eduskunnan kanslian käsityksen mukaan tietosuojalakiin on syytä sisällyttää organisatorista soveltamisalaa koskeva säännös, jossa lakia todetaan sovellettavan julkisuuslain ja eräiden muiden hallinnon yleislakien tavoin eduskunnan virastoissa ja laitoksissa. Lisäksi mietinnössä ehdotettua julkisuusperiaatetta koskevaa 28 §:n säännöstä on syytä täydentää informatiivisella viittaussäännöksellä, jonka mukaan eduskunnan toiminnan julkisuudesta säädetään perustuslain 50 §:ssä. Mikäli jatkovalmistelussa harkitaan tarpeelliseksi säätää henkilötietojen käsittelystä eduskunnan valtiopäivätoiminnassa muilta osin, on sääntely syytä laatia erikseen eduskunnan valtiopäivätoiminnan ja erityisesti kansanedustajien aseman valtiosääntöiset erityispiirteet huomioiden.
      • Suomen museoliitto ry, Levä Kimmo
        Päivitetty:
        5.9.2017
      • Rakli
        Päivitetty:
        1.9.2017
        • Yleistä lain soveltamisalasta RAKLI lausuu EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmän (TATTI) mietinnöstä kunnioittaen seuraavaa. RAKLI katsoo, että jatkovalmistelussa tulee valmistella nyt lausunnolla olevassa esityksessä huomiotta jääneet seikat. Ehdotuksesta puuttuu säännökset henkilötietojen käsittelyn oikeusperusteesta useissa tapauksissa, joihin erityislainsäädäntö velvoittaa. Yritysten on noudatettava muun muassa harmaan talouden torjuntaa ja tilaajavastuuta koskevaa lainsäädäntöä, kansainvälisiä pakotteita koskevia velvoitteita sekä rahanpesun ja terrorismin torjuntaan liittyvää lainsäädäntöä. Ehdotetun tietosuojalain toisessa luvussa säädettäisiin esimerkiksi rikostuomioiden käsittelyn oikeusperusteesta. Lakiehdotuksen 2:6 §:ssä olisi säädetty rikostuomioihin ja rikkomuksiin liittyvästä käsittelystä. Rikostuomioihin liittyviä tietoja saisi käsitellä, jos käsittely on tarpeen oikeusvaateen lattimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Useat RAKLIn jäsenet ovat tuoneet esille huolensa liiketoimintakiellon käsittelyn oikeusperusteesta. Tilaajan selvitysvelvollisyydesta annetun lain (1233/2006) mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on laiminlyönyt selvitysvelvollisuuden tai tehnyt sopimuksen liiketoimintakiellosta annetun lain (1059/1985) mukaiseen liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa olevassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Noudattaakseen tilaajavastuulakia yritykset joutuvat siten käytännössä joko tallentamaan tiedon liiketoimintakiellosta tai hakemaan tiedon jostakin ulkopuolisesta palvelusta. Esimerkiksi Tilaajavastuu.fi on alalla yleisesti käytetty tilaajavastuulain ja veronumerolain noudattamista helpottava palvelu. Oikeus liiketoimintakiellon tallentamiseen ja käsittelyyn tulee varmistaa valmisteilla olevassa tietosuojalaissa sekä tilaajana toimiville yrityksille että palveluntarjoajille. On myös otettava huomioon laki eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitteiden täyttämisestä (659/1967) ja rikoslain 46 luvun säännökset. Kansainvälisten pakotteiden kohteena olevien yritysten ja henkilöiden kanssa ei ole lupa ryhtyä taloudelliseen suhteeseen. Suomen Asiakastieto Oy tarjoaa yrityksille tietokanavan pakotteiden noudattamiseksi, jota ilman noudattaminen kävisi käytännössä mahdottomaksi. Ehdotettuun lakiin täytyy lisätä valtuutussäännös pakotetiedon tallentamiseksi henkilötietoihin yrityksille. Lisäksi on mahdollistettava myös palvelun tuottaminen tietokanavan muodossa. Rahanpesun ja terrorismin rahoittamisen estämisestä (laki 444/2017) ja rikoslaki velvoittavat poliittisesti vaikutusvaltaisen henkilön (PEP) tunnistamiseen ja velvoittavat varmistamaan tämän henkilöllisyys. Tieto tulee voida tallentaa henkilötietoihin mainittujen säädösten noudattamiseksi. Valtuutussäännös tulee lisätä lakiin ja mahdollistaa tietojen tallentaminen yksittäisille yrityksille ja palveluntarjoajille. Asunnossa suoritettu poliisin käynti Vuokranantajalla tulisi olla oikeus saada poliisilta tieto asunnossa suoritetusta käynnistä, jos tieto on tarpeellinen esimerkiksi häiriökäyttäytymisen estämiseen ja siihen puuttumiseen. Tiedot asukkaista Lain tasolla tulee varmistaa, että vuokrantajalla on aina oikeus saada Väestörekisterikeskukselta tieto, keitä asunnossa asuu.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • Lastensuojelun Keskusliitto (LSKL) on kirjannut lausuntonsa kohtiin 2, 3 sekä tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa huomioitavat muut seikat kohtaan "Muut mahdolliset kommentit".
      • Itä-Suomen hallinto-oikeus
        Päivitetty:
        1.9.2017
        • Ehdotetun tietosuojalain muutoksenhakusäännökset vastaisivat pääsääntöisesti nykyisen henkilötietolain mukaisia säännöksiä. Tietosuojaviraston tekemästä päätöksestä voitaisiin valittaa hallinto-oikeuteen hallintovalituksella. Hallinto-oikeuden päätöksestä valittaminen edellyttäisi korkeimman hallinto-oikeuden valituslupaa. Mietinnön mukaan hallintotuomioistuimen asiamääriin uudistus voi vaikuttaa jossain määrin valvontaviranomaisen toimivallan laajenemisen ja näin ollen valituskelpoisten päätösten mahdollisen lisääntymisen vuoksi, mutta vaikutus ei ole todennäköisesti merkittävä. Itä-Suomen hallinto-oikeuden käsitys uudistuksen vaikutuksista on samansuuntainen. Itä-Suomen hallinto-oikeudessa on nykyisen henkilötietolain mukaisia valitusasioita käsitelty viime vuosina joitakin yksittäisiä tapauksia. Tähän nähden voidaan arvioida, että uudistuksen vaikutus Itä-Suomen hallinto-oikeuden toimintaan ja sen tarvitsemiin resursseihin ei ole merkityksellinen. Itä-Suomen hallinto-oikeus pitää mietinnön mukaista ehdotusta kannatettavana.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää tarkoituksenmukaisena, että ehdotetun lain soveltamisala on lähtökohtaisesti sama kuin yleisessä tietosuoja-asetuksessa. Kirkkohallitus on kuitenkin saamansa palautteen perusteella kiinnittänyt huomiota siihen, että lainsäädäntönä suoraan sovellettava yleinen tietosuoja-asetus ei ole perusteluinenkaan helposti omaksuttavissa. Tästä johtuen kirkkohallitus toivoo, että asetuksen ja nyt ehdotetun lain soveltamista ohjaavaa ja helpottavaa materiaalia olisi nykyistä enemmän saatavilla yleisessä tietoverkossa. Yleisen tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Työryhmämietinnön liitteenä olevassa artiklakohtaisessa taulukossa on katsottu, että säännöksiä koskevasta kansallisesta liikkumavarasta ei ole mahdollista säätää yleislaissa, vaan säännösten soveltamista koskevista mahdollisista rajoituksista tulee säätää erityislainsäädännössä. Kirkkohallitus esittää kuitenkin harkittavaksi yleislakiin otettavaksi säännöstä siitä, miten henkilö tunnistetaan rekisteröidyksi henkilöksi ennen tietojen luovuttamista niitä pyytävälle henkilölle. Koska rekisteröidyllä tulee olla oikeus päästä omiin tietoihin, olisi tärkeää, että käytäntö rekisteröidyn tunnistamiseen olisi mahdollisimman yhtenäinen ja riittävän turvallinen väärinkäyttötapausten välttämiseksi.
      • Vapaa-ajattelijain liitto ry, Ylikoski Esa
        Päivitetty:
        20.7.2017
        • Mietinnössä todetaan, että useassa sadassa kansallisessa säädöksessä on säännöksiä henkilötietojen käsittelystä, ja että nämä tulee käsitellä erikseen. Kuitenkin työryhmän mukaan kohta "Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt" ei edellytä toimenpiteitä. Laki uskontokuntien jäsenrekistereistä sisältää määräyksen, joka sallii uskontokunnan tallentaa tietoja paitsi uskontokunnan jäsenestä itsestään, myös hänen puolisostaan ja lapsistaan. Laki edeltävä hallituksen esitys ei perustele tälle tarvetta. Säädöksen tarpeellisuus tulee arvioida uudelleen. Laajemmin on hyvä muistaa, että Suomessa väestötietojärjestelmään on suora pääsy kaikilta valtionkirkkojen seurakunnilta. Tarve tähän johtuu lähinnä avioliiton esteiden tutkinnasta. Kun siviilivihkimisten osuus on ylittänyt 50 prosenttia ja kasvaa nopeasti, lienee syytä siirtää kaikki avioliiton esteiden tutkinta maistraateille, ja tämän jälkeen rajata pääsyä väestötietoihin myös valtionkirkkojen osalta vain niiden omiin jäseniin.
  • Lausunnonantajia: 63
    2 luku. Käsittelyn oikeusperuste eräissä tapauksissa
      • Henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteesta yksityiskohtaisemmin kuin yleisessä tietosuoja-asetuksessa. Tietosuojalailla ehdotetaan täydennettävän käsittelyn oikeusperusteita.
      • Yleiset kommentit käsittelyn lainmukaisuutta koskevasta 3 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 3 §:n 1 kohta koskee henkilötietojen käsittelyä silloin, kun kyse on henkilön asemasta, tehtävistä ja niiden hoidosta julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa. Lainkohdassa edellytetään lisäksi, että käsittelyn tavoitteen tulisi olla yleisen edun mukainen ja käsittelyn oikeasuhtaista sillä tavoitettuun oikeutettuun päämäärään nähden. MMM katsoo, että käsittelyn yleisen edun mukaisuuden ja oikeasuhtaisuuden arviointi jättää säännöksen epäselväksi. Ainakin perusteluissa tulisi esimerkein kertoa milloin henkilötietojen käsittely on kohdan mukaan sallittua. MMM katsoo, että henkilötietojen käsittelyn perusteiden arviointi ainoastaan lakitekstissä annettujen määritteiden avulla täysin vailla esimerkkejä tekee soveltamisesta vaikeaa, ja johtanee kirjavaan soveltamiskäytäntöön. Tietosuojalakiluonnoksen 3 §:n 2 kohdassa toistetaan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Asetuksen yksittäisen kohdan toistaminen on tarpeetonta tässä tapauksessa. Sen sijaan selkeämpää olisi ollut, että viranomaisen suunnittelu- ja selvitystehtävät olisi mainittu uudessa laissa. Henkilötietolaissa on selkeästi säännelty, että suunnittelua ja selvitystä varten viranomainen voi kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin. Henkilötietolain 8 §:n nykyiseen säännökseen verrattuna on hyvä asia, että säännökseen on lisätty myös järjestötoiminta.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • 2 momentti antaa lainmukaiselle käsittelylle julkishallinnossa riittävän laajat rajat.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Esityksen mukaan henkilötietoja saisi käsitellä, jos "käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi". Yleisen edun käsitteestä annetaan esimerkkeinä viranomaisten suunnittelu- ja selvitystehtävät ja tieteelliset tutkimustarkoitukset. Yleisen edun käsitettä tulisi kuitenkin edelleen täsmentää itse lakitekstissä ja myös sen perusteluissa. Mitä on sellainen tietojen käsittely, joka ei olisi tietosuoja-asetuksen nojalla suoraan sallittua, mutta tulisi sallituksi sen myötä, että tietosuoja-asetuksen 6 artiklan 2 kohdan tarkoittaman kansallisen liikkumavaran puitteissa säädetään uusi tietosuojalain 3 §?
      • Helsingin yliopisto
        Päivitetty:
        8.9.2017
        • Ehdotetun tietosuojalain 3 §:n 1 momentin 2 kohdan mukaan henkilötietojen käsittely olisi mahdollista yleistä etua koskevan tehtävän suorittamiseksi. Lain perustelujen mukaan kyseinen kohta voisi toimia oikeusperusteena myös henkilötietojen käsitellylle tieteellisiä tutkimustarkoituksia varten. Tietosuoja-asetuksen 6 artiklan 3 kohdan sekä tietosuoja-asetuksen perusteluosan 45 kohdan mukaan henkilötietojen käsittelyn perustuessa 6 artiklan 1 kohdan e alakohtaan, tulee henkilötietojen käsittelyllä olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Lisäksi käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Ehdotuksen 3 §:n 1 momentin 2 kohdassa toistetaan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan sisältö määrittelemättä sen tarkemmin yleisen edun toteuttamiseksi tarkoitettuja tehtäviä. Tulkintani mukaan tietosuoja-asetus nimenomaan edellyttää tarkentavaa kansallista lainsäädäntöä, jotta yleinen etu voisi toimia henkilötietojen käsittelyn oikeusperustana myös tieteellisen tutkimuksen osalta. Yliopistolain 2 §:ssä säädetään yliopistojen tehtävistä ja yliopistolain 2 § saattaisi riittää sellaisenaan täyttämään tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetyt vaatimukset, mutta tulkintaepäselvyyksien välttämiseksi selkeät tarkentavat kansalliset säädökset ovat tarpeen. Lisäksi yleistä etua koskevaa tieteellistä tutkimusta harjoitetaan myös korkeakoulujen ja tutkimuslaitosten ulkopuolella. Tämän vuoksi tietosuojalain 3 §:n kohdalla lakiehdotusta tulisi täydentää siten, että yleisen edun mukaiselle tieteelliselle tutkimukselle säädetään tietosuoja-asetusta täsmentävät vaatimukset, joiden täyttyessä tieteellinen tutkimus voidaan katsoa olevan 6 artiklan 1 kohdan e alakohdan mukaista yleistä etua koskevan tehtävän suorittamista. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • 3 §:n 1 kohta koskee mm. henkilön asemaa tai toimintaa julkisyhteisössä ja elinkeinoelämässä kuvaavien tietojen käsittelyä. Lakiehdotuksessa edellytetään, että ”… käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Yleisen edun määrittelemättömyys aiheuttaa tulkinnallista epävarmuutta. Esitämme, että lainkohdassa säilytetään nykyisen henkilötietolain 8 §:n 1 momentin 8 kohdan mukainen toteamus, että käsittely olisi mahdollista myös rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Henkilötietolain 8 §:n 1 momentin 6 kohdassa säädetään ns. konsernikäyttöperusteesta. Kun tietosuoja-asetusta ja tietosuojalakia aletaan soveltaa, asiasta todetaan vain asetuksen johdantolauseessa 48. Kyseisessä johdantolausessa sanotaan, että ”rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna”. Suomalaiset yritykset ovat hyötyneet merkittävästi henkilötietolain ns. konsernikäyttöperusteesta, jonka ansiosta konsernin sisäinen henkilötietojen käsittely on onnistunut ilman merkittävää hallinnollista taakkaa. Teknologiateollisuus ry pitää tärkeänä, että ehdotetun tietosuojalain esitöissä tuodaan selkeästi ilmi, että nykyinen kansallinen tulkintakäytäntö jatkuu, vaikka lain säännöksen sijaan asiasta todetaan vain asetuksen johdantolauseessa.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Lakiehdotuksen 3 §:ssä tarkennetaan henkilötietojen käsittelyä erityisesti julkisella sektorilla ja asetuksen hengen mukaisesti kansallinen säännös on tarpeen. Kela näkee tämän tuovan nykyiselle toiminalleen selkeän oikeusperusteen, mutta luo lisäksi erityislainsäädännöllisiä tarpeita. Esimerkiksi rekisteröityjen oikeuksien rajoittaminen ja mahdolliset suojatoimet tultaneen tekemään edelleen hallinnonalan omissa erityslaeissa. Kela käsittelee pääasiassa tietosuoja-asetuksen 9 artiklan mukaisia tietoja. Mietinnön tavoitteena on toisaalta ollut erityissääntelyn purkaminen ja tämä kokonaisuus saattaa asettaa haasteita jatkotyölle Kelan sujuvan ja asiakaslähtöisen toiminnan takaamiseksi.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen 6 artiklan 2 kohta sallii kansallisesti täsmentää lainmukaisuuden edellytyksiä tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan tilanteissa. Nokia pitää ehdotusta tämän liikkumavaran käytöstä hyvänä, mutta katsoo että tämä ei ole johtanut onnistuneeseen muotoiluun toimikunnan lakiehdotustekstissä. Lakiehdotuksen 3 §:n 1-kohta on muotoiltu tavalla, jolla kaikissa henkilötieto-asetuksen 6 artiklan 1 kohdan alakohtien a-f mukaisten käsittelyperusteiden lisäedellytykseksi näyttäisi nyt tulevan, että ”käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Tämä olisi varsin kohtuuton lisävaatimus yritysten käsitellessä esimerkiksi suostumuksen tai lain perusteella henkilön asemaa koskevia tietoja. Yritystoiminnassa henkilötietojen käsittely ei perustu kaikissa tilanteissa ”yleiseen etuun”. Lisäksi tämä muotoilu ylittää tietosuoja-asetuksessa mahdollistetut kansallisen liikkumavaran rajat, jotka on asetettu koskemaan vain 6 artiklan kohdan 1 alakohtia c ja e. Nokia ehdottaakin, että 3 §:n 1-kohta muotoiltaisiin siten että se rajautuu selkeästi 6 artiklan 1 kohdan e alakohdan ”yleisen edun” – tilanteisiin, esimerkiksi seuraavasti: ”Kun kysymys tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesta käsittelystä yleistä etua koskevan tehtävän suorittamiseksi ja jos on kysymys henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin, kun käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden.”
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Tietosuojalain 3 §:n 1 momentin 1 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn peruste on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään asti. Tätä säännöstä on pidettävä perusteltuna, koska nämä tiedot eivät ole samanlaisen suojan tarpeessa kuin yksityiselämään liittyvät tiedot. Lain kohta ei perustelujen mukaan kuitenkaan oikeuta käsittelemään näitä tietoja siten, että ne pidettäisiin julkisesti saatavilla. Osittain 1 kohdassa mainittujen henkilötietojen pitäminen julkisesti saatavilla olisi yleisen edun mukaista, koska on yleinen tarve tietää, ketkä henkilöt ovat yhteiskunnallisesti merkittävässä asemassa, sekä saada tietoa heidän toiminnastaan. Säännöstä tulisi täsmentää siten, että tietyin edellytyksin näiden tietojen julkisesti saatavilla pitäminen olisi sallittua. Ilmeisestikin on kuitenkin tarkoitus, että erityislaeissa olevat määräykset henkilötietojen julkaisemisesta yleisessä tietoverkossa ovat voimassa tietosuoja-asetuksen soveltamisen alkamisen jälkeenkin. Esimerkiksi kuntalaki velvoittaa julkaisemaan tiettyjen kunnan luottamushenkilöiden ja viranhaltijoiden sidonnaisuusilmoitukset yleisessä tietoverkossa. Muutoinkin kuntalaki velvoittaa tiedottamaan kunnan toiminnasta asukkaille, palveluiden käyttäjille, järjestöille ja muille yhteisöille. Tiedotusvelvollisuuden piiriin voitaneen katsoa kuuluvan myös kunnan luottamushenkilöiden, viranhaltijoiden ja työntekijöiden henkilötietoja kuten heidän nimensä ja työyhteystietonsa julkisesti saatavilla pitäminen. Lisäksi voitaneen ajatella, että yhteiskunnallisesti merkittävässä asemassa olevista henkilöistä tiedottamisen voidaan katsoa kuuluvan yleisen tietosuoja-asetuksen 85 artiklan 2 kohdan ja tietosuojalain 27 §:n mukaisen poikkeuksen piiriin (sananvapauteen pohjautuva käsittely journalistisia tai kirjallisen ilmaisun tarkoituksia varten). Tältä osin olisi hyvä, jos lainkohdan yksityiskohtaisissa perusteluissa todettaisiin tarkemmin siitä, että kielto pitää näitä tietoja julkisesti saatavilla ei ole ehdoton. Tietosuojalain 3 § 1 momentin 2 kohta on suora lainaus tietosuoja-asetuksesta. Lain perusteluista ei ilmene, miksi on katsottu tarpeelliseksi sisällyttää lakiin suora lainaus tietosuoja-asetuksen 6 artiklan e)-kohdasta ilman mitään lisämääreitä.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Lakiluonnoksen 3 § 1 kohta on epäselvä. Säännöksessä eikä sen perusteluissa avata lainkaan mitä tarkoitetaan yleisen edun mukaisuudella eikä myöskään oikeasuhtaisuutta. Itä-Suomen yliopiston näkemyksen mukaan hyvään lainvalmistelutapaan kuuluu, että kansalliseen yleislainsäädäntöön sisältyvät säännökset ovat niin selkeitä, että säännöksessä käytetty terminologia ja säännöksen muotoilu kuvaavat sitä, mihin joku on oikeutettu tai velvoitettu. Vastaavantyyppinen säännös henkilötietolaissa on selkeä, vaikka senkin sisältöä on jouduttu tulkitsemaan tuomioistuimessa (KHO 2016:161). KHO:n vuosikirjaratkaisu osoittaa, että henkilötietojen käsittelyä koskevien säännösten tulee olla täsmällisiä ja tarkkarajaisia. Tätä on myös perustuslakivaliokunta edellyttänyt vakiintuneessa lausuntokäytännössään. Ehdotettu säännös ei ole täsmällinen eikä tarkkarajainen.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa käsittelyn lainmukaisuutta koskevasta 3 §:stä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotettua pykälää voidaan pitää tarkoituksenmukaisena ja perusteltuna.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen 6 artiklan e kohdan mukaan henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Kulttuuriperintöorganisaatioiden kannalta on valitettavaa, että ehdotetun tietosuojalain mietintö sivuuttaa vain maininnalla mahdollisuuden soveltaa lakiehdotuksen 3 §:n 2 kohtaa myös yleisen edun mukaisiin arkistointitarkoituksiin jättäen täsmentämisen sektorilainsäädännön varaan. Tämä edellyttäisi valmiutta tarkistaa kulttuuriperintöorganisaatioiden lakisääteisten tehtävien kokonaisuutta sellaisella aikavälillä, joka ei ole mitenkään toteutettavissa. Kaikkien kulttuuriorganisaatioiden tehtävistä ei ole säädetty lailla tai lakisääteisiä tehtäviä ei mahdollisesti ole ilmaistu riittävällä täsmällisyydellä. Lakiluonnos jättää avoimeksi sen, millaisten arkistojen, kirjastojen tai museoiden toiminta palvelee yleistä etua. Nämä syyt saattavat vaarantaa kulttuuriperintölaitosten toimintaa vuosiksi eteenpäin. Asetuksen 6 artiklan e kohdan käsittelyperustetta tulisi täsmentää tietosuojalaissa siten, että henkilötietoja sisältävien kulttuuriperintöaineistojen sekä niihin liittyvien henkilötietoja sisältävien kuvailutietojen käsittelylle arkistointi- ja kokolmanhoitotarkoituksissa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina, kun 1. kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot, tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä; 2. rekisterinpitäjän arkistointi- ja kokoelmienhoito perustuu julkisesti saatavilla olevaan suunnitelmaan; 3. tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsevien käytettävissä ja 4. pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. 1 §:ssä tarkoitetut kirjastot, arkistot ja museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perusteella käsitellä myös 9 artiklan tarkoittamia erityisiä henkilöryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot ja museot, joilla on tässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • CSC - Tieteen tietotekniikan keskus Oy, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • TUHA-verkosto esittää seuraavat tarkennusta vaativat kysymykset henkilötietojen käsittelyperusteesta tutkimuksen näkökulmasta: 1) Mikä on suostumuksen ja yleisen edun käsittelyperusteen suhde? a) Mikä on eurooppalaisen “yleinen etu sääntely henkilötietojen käsittelyperusteena” – tradition suhde Suomen perustuslakiin ja perustuslakivaliokunnan tulkintatraditioon, joka edellyttää tarkempaa säätämistä käsittelyperusteesta? b) Muuttuuko perustuslakivaliokunnan linja koska tietosuoja-asetuksessa käytetään yhdenmukaisuusmenettelyä? 2) Riittääkö asetuksen oikeusperuste yliopistoille? 3) Riittääkö asetuksen oikeusperuste yksittäiselle tutkijalle? 4) Onko säännös perustuslakivaliokunnan kriteerit täyttävä? a) Täyttyvätkö PL 10 §:n (yksityiselämän suoja) sääntelyvaraukselle asetetut edellytykset esimerkiksi suhteellisuudesta, täsmällisyydestä ja tarkkarajaisuudesta?
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 3 §. Käsittelyn lainmukaisuus Kyseisen pykälän 1 momentin 2 kohdan mukaan noudattaen tietosuoja-asetuksen 6 artiklaa henkilötietoja saa käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Pykälän yksityiskohtaisten perustelujen mukaan käsittelyn oikeusperuste mahdollistaisi esimerkiksi henkilötietojen käsittelyn viranomaisten suunnittelu- ja selvitystehtäviä ja tieteellistä tutkimusta varten. Säännöksen perusteluissa esitetty käsittelyn oikeusperusteen määritelmä vaikuttaa huomattavasti tarkkarajaisemmalta kuin itse pykälä kohdan muotoilu. Ehdotuksen 3 §:n 1 momentin 2 kohdassa on toistettu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan säännös sellaisenaan. Jotta tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta voi toimia käsittelyn oikeusperusteena, on tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan: • käsittelyn perustasta säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä; • [käsittelyn tarkoituksen] sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi; • unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden. Vaikuttaa siltä, että ehdotuksen 3 §:n 1 momentin 2 kohdan tarkoituksena on täyttää tietosuoja-asetuksen vaatimus ”säätää henkilötietojen käsittelystä jäsenvaltion lainsäädännössä”. Muilta osin tietosuoja-asetuksen 6 artiklan 3 kohdan edellytysten täyttyminen jää epäselväksi. Käsitykseni mukaan tietosuoja-asetuksen tarkoituksena on mahdollistaa kansallinen asetusta tarkentava ja täsmentävä lainsäädäntö silloin, kun käsittely on tarpeellista yleisen edun mukaisen tehtävän hoitamiseksi taikka julkisen vallan käyttämiseksi. Ehdotuksen 3 §:n 1 momentin 2 kohta ei täsmennä tai avaa tietosuoja-asetuksen 6 artiklan 3 kohdassa vaaditulla tavalla, minkä yleistä etua koskevan tehtävän suorittamiseksi käsittely on tarpeellista. Lisäksi käsittelyn oikeusperusteessa ei ole arvioitu sitä, mikä on se yleisen edun mukainen tavoite, jonka säännös täyttää tai, onko se oikeasuhtainen sillä tavoiteltuun päämäärään nähden. Tämä johtuu keskeisesti siitä, ettei säännöksen vaikutuksia tai sitä, miten se muuttaa voimassa olevaa oikeustilaa, ole arvioitu perusteluissa. Kyseistä käsittelyn oikeusperustetta tulisi tarkastella myös kansallisen liikkumavaran käytön yleisten linjausten kannalta eli, onko tietosuoja-asetusta täsmentävä sääntely välttämätöntä/tarpeellista asetuksen täydentämiseksi. Julkisen vallan käytön on perustuslain 2 §:n 3 momentin mukaan joka tapauksessa perustuttava lakiin. Julkiseen vallan käyttöön liittyvän henkilötietojen käsittelyn tulisi perustua tätä koskevaan toimivaltasäännökseen. Ei voida pitää hyväksyttävänä tilannetta, jossa viranomaiset laajentaisivat toimivaltuuksiaan henkilötietojen käsittelyä koskevien säännösten kautta. Tästä näkökulmasta kyseinen säännös ei ole tarpeellinen yleisen tietosuoja-asetuksen täydentämiseksi. On kiinnitettävä huomiota lisäksi siihen, että ehdotettu käsittelyn oikeusperustetta ei ole rajattu koskemaan ainoastaan julkista sektoria. Toisin kuin esimerkiksi rekisterinpitäjän tai sivullisen oikeutettu etu (6 artiklan 1 kohdan f alakohta) kyseinen käsittelyn oikeusperuste ei edellytä intressipunnintaa rekisterinpitäjän tai sivullisen oikeutettujen etujen ja rekisteröityjen vapauksien ja oikeuksien välillä. Tämä edellyttäisi sitä, että lainsäätäjä olisi näissä tilanteissa arvioinut yleisen edun mukaisen tehtävän käsillä olon tietosuoja-asetuksen 6 artiklan 3 kohdan vaatimalla tavalla. Säännös aiheuttaa nyt ehdotetussa muodossa oikeudellista epävarmuutta siitä, miten käsittelyn oikeusperustetta tulkitaan ja sovelletaan, eivätkä perusteluissa esitetyt täsmennykset vielä sellaisenaan poista tätä epävarmuutta. Kyseistä säännöstä voitaisiin soveltaa laajasti sekä julkisella että yksityisellä sektorilla. Säännöksen tarkoitus ja vaikutukset jäävät edellä selostetun mukaisesti epäselväksi. Yhtenä henkilötietojen käsittelyn lainmukaisuuden edellytyksenä on, että rekisterinpitäjällä on 6 artiklan perusteella oikeus käsitellä henkilötietoja. Näin avoin säännös aiheuttaa ongelmia lainvalvonnan ja rekisterinpitäjien oikeusturvan kannalta. Ehdotetun säännöksen perusteella on myös epäselvää, milloin rekisterinpitäjä voi soveltaa ehdotetun tietosuojalain 3 § 2 momentin 1 kohtaa ja, milloin käsittely olisi luonteeltaan sellaista, että lainsäätäjän tulisi vielä siitä erikseen säätää tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla. Säännöstä voidaan tarkastella myös siten, että muodostaako ehdotettu 3 §:n 1 momentin 2 kohta esteen kansalliselle tarkentavalla erityislainsäädännölle tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla? Voidaanko erityissääntelyä perustella enää välttämättömyyskriteerin kannalta, koska käsittelyn oikeusperusteesta olisi jo kansallisesti säädetty. Tietosuojavaltuutettu katsoo, että näin yleinen käsittelyn oikeusperustetta koskeva säännös ei ole linjassa tietosuoja-asetuksen sääntelyn kanssa ja muodostaa riskin sekä rekisteröityjen oikeuksille ja vapauksille että rekisterinpitäjien oikeusturvalle. Ehdotuksen 3 §:n 1 momentin 2 kohtaa tulee jatkovalmistelussa arvioida edellä esitetyn ja muutoinkin tietosuoja-asetuksen kansallisen liikkumavaran käytön kannalta.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • 3 §n yksityiskohtaisia perusteluita tulisi täydentää. Johtolause on muotoiltu ”noudat-taen”, vaikka kyse on käsittelyperusteiden täydentämisestä. Muotoilua ei ole avattu pykälän perusteluissa. Pykälän suhde erityislainsäädäntöön jää epäselväksi. 3 §:n 2 kohta on lavea ja jää epämääräiseksi. Yksityiskohtaisista perusteluista ei myöskään käy ilmi laajemmin, mihin tilanteisiin säännös mahdollisesti soveltuisi ja mitkä tilanteet edellyttäisivät erityislainsäädäntöä.
      • Svenska litteratursällskapet i Finland
        Päivitetty:
        8.9.2017
        • Vi föreslår att det i lagförslaget tas in en paragraf som gäller behandling av personuppgifter i kulturarvsorganisationer: Behandling för arkivändamål av kulturarvsmaterial som innehåller personuppgifter samt behandling av referensuppgifter om kulturarvsmaterial som innehåller personuppgifter är uppgifter av allmänt intresse och utgör således sådan grund för behandling som avses i artikel 6 e i dataskyddsförordningen alltid när 1) Insamlandet, bevarandet och tillgängliggörandet av kulturarvsmaterial, såsom exempelvis handlingar, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material, dokumentationsmaterial, enkätmaterial samt referensuppgifter för sådant material är en lagstadgad eller stadgeenlig uppgift för det bibliotek, arkiv eller museum som är registeransvarig, 2) den registeransvariges arkivverksamhet grundar sig på en offentligt tillgänglig plan, 3) de lagrade uppgifterna till väsentliga delar är tillgängliga för forskare och andra som behöver dem, och 4) tillgången till personuppgifter begränsas och uppgifterna endast lämnas ut till dem som har rätt att behandla dem. I 1 § avsedda bibliotek, arkiv och museer får med stöd av artikel 9.2 j i dataskyddsförordningen även behandlas sådana särskilda kategorier av personuppgifter som avses i artikel 9 i denna förordningen. Bibliotek, arkiv och museer som är registeransvariga och som har i denna paragraf avsedda grunder för behandling av personuppgifter får även behandla sådana uppgifter inbördes och i gemensamma system.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Toivomme lain esitöissä kannanottoa lakisääteisyyden ja laissa säädetyn yleisen edun käsittelyperusteen laajuuden tulkinnasta ja soveltamisesta. Olisi tärkeää tietää, mikä (täydentävä) rooli yleiselle edulle käsittelyperusteena voisi olla toimialoilla, joita koskee toimialakohtainen sääntely ja siitä seuraava henkilötietojen käsittelyn lakisääteisyys käsittelyperusteena. Mietinnön nykytilaa arvioivassa kappaleessa 2.3, sivulla 103 HeTiL 8 §:n 1 momentin 5 kohtaa käsittelevässä kappaleessa rinnastetaan asiallinen yhteys ja oikeutettu etu liian vahvasti. Ehdotamme kappaleen loppuun seuraavaa lausetta: " Tilanteissa joissa asialliseen yhteyteen on käytännössä vedottu, on yritysmaailmassa useimmiten ollut voimassa rekisteröityjen (asiakkaiden) kanssa tehty sopimus, rekisteröidyn toimeksianto tai suostumus. Asiallisen yhteyden on katsottu muodostuvan näissä tapauksissa ilman vetoamista henkilötietodirektiivin 7 artiklan f alakohdan oikeutettuun etuun."
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Viestintävirasto kannattaa jo nykyisessä henkilötietolaissa olevaa ehdotettua 3 §:n 1 kohtaa koskien oikeutta käsitellä henkilötietoja silloin kun kyse on henkilön asemasta, tehtävistä ja niiden hoidosta julkisyhteisössä, elinkeinoelämässä ja järjestötoiminnassa asetuksesta ilmenevin reunaehdoin. Viestintäviraston käsityksen mukaan ehdotettu lisäys käsittelyperusteen laventamisesta koskien "muuta vastaavaa toimintaa" on myös kannatettava sen laajentaessa käsittelyperustetta muihinkin tahoihin. Viestintävirasto pitää tarkoituksenmukaisena myös ehdotettuja käsittelyn oikeusperusteita koskien henkilötietojen käsittelyä yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Näin turvataan vastaisuudessakin esimerkiksi mahdollisuus käsitellä henkilötietoja viranomaisen suunnittelu- ja selvitystehtäviä varten.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML kannattaa säännöstä koskien oikeutta käsitellä tietoja tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä sekä niiden hoitamista julkisyhteisöissä ja elinkeinoelämässä sekä tähän liittyen tehtyä ”muu vastaava toiminta” lisäystä ja ”yleisesti saatavilla” olevan vaatimuksen poistamista. 3 §:ssä tarkoitettujen henkilön asemaa, tehtäviä ja niiden hoitamista koskevien tietojen käsittely on mahdollista myös asetuksen 6 artiklan f kohdan oikeutetun edun perusteella. Jotta 3 § ei synnyttäisi väärää tai liian suppeaa kuvaa käsittelyperusteiden kokonaisuudesta niin ASML katsoo, että säännöksen perusteluihin tulisi ottaa tätä koskeva maininta 6.1.f-artiklasta käsittelyperusteena. Edelleen perusteluista tulisi käydä ilmi, että sellainen julkisen sektorin henkilötietojen käsittely, joka ei johdu lailla säädetystä tehtävästä, yleisestä edusta tai julkisen vallan käyttämisestä on mahdollista 6 artiklan muilla käsittelyperusteilla.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH käsittelee henkilötietoja laissa määrättyjen (mm. kaupparekisterilaki, yhdistyslaki) tehtäviensä hoitamiseksi. PRH katsoo, että ilmoitusten käsittelyn ja rekisteröinnin yhteydessä tapahtuva henkilötietojen käsittely on asetuksen 6 artiklan 1 e kohdan ja ehdotetun lain 3 §:n 1 momentin kohdassa 2 tarkoitettua rekisterinpitäjälle kuuluvaa julkisen vallan käyttöä. PRH pitää mahdollisena, että sen viranomaistehtäviä koskevia erityislakeja saattaa kuitenkin olla tarpeen tarkentaa henkilötietojen käsittelyn perustan osalta. PRH:lla ei toistaiseksi ole ollut käytössään niitä selvityksiä mitä työryhmä on tehnyt kansallisen lainsäädännön muutostarpeista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Kansalliskirjasto on Suomen suurin ja vanhin tieteellinen kirjasto. Se toimii osana Helsingin yliopistoa, mutta vastaa kulttuuriperintöorganisaationa myös kansallisen kulttuuriperinnön säilyttämisestä ja saattamisesta yleisön saataville. Kansalliskirjastolla hallinnoi myös maamme laajinta yksityisten arkistojen kokoelmaa. Kansalliskirjasto voi ydintoimintansa osalta käsitellä henkilötietoja asetuksen artiklassa 6.1 c kohdan nojalla (lakisääteinen velvoite). Kansalliskirjaston lakisääteiset tehtävät on määritelty yliopistolaissa ja kulttuuriaineistojen tallettamista ja säilyttämistä koskevassa laissa. Tehtävät on määritelty melko yleisellä tasolla. Millä perusteella Kansalliskirjasto esimerkiksi voi jatkossa käsitellä henkilötietoja hallinnoidessaan yksityisten arkistojen kokoelmaansa? Aiemmin olemme muutamaan otteeseen joutuneet hakemaan tulkinta-apua tietosuojalautakunnalta. Nyt kun tämä mahdollisuus poistuu, voi olla syytä pohtia, tulisiko Kansalliskirjaston lakisääteisistä tehtävistä säätää tarkemmin erikseen. Maassamme on lukuisia kirjastoja, arkistoja ja museoita joiden toiminnasta ei ole lainkaan lakitrasoista sääntelyä. Monien kirjastojen ja arkistojen osalta käsittelyperuste jää kokonaan täsmentymättömäksi: millaisten kirjastojen, arkistojen ja museoiden toiminnan katsotaan palvelevan artiklan 6.1 tarkoitettua yleistä etua?
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Mietinnössä ehdotetun tietosuojalain 3 §:n 1 kohta koskee mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavien tietojen käsittelyä. Säännöksen yksityiskohtaisissa perusteluissa todetaan, että nykyisen henkilötietolain 8 §:n 1 momentin 8 kohdassa säädetään pääosin vastaavasta henkilötietojen käsittelyn yleisestä edellytyksestä. Em. henkilötietolain säännöksen mukaan käsittely on mahdollista rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Mietinnössä ehdotetussa säännöksessä puolestaan edellytetään, että ”[…] käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Yleistä etua ei avata yksityiskohtaisissa perusteluissa selkeästi, mikä johtaa tulkinnalliseen epävarmuuteen. Joko itse säännöksessä tai sen yksityiskohtaisissa perusteluissa olisikin tarpeen selkeästi todeta, että henkilötietolain 8 §:n 1 momentin 8 kohdan mukainen käsittely rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi on katsottavissa yleisen edun mukaiseksi ja oikeasuhtaiseksi sillä tavoiteltuun oikeutettuun päämäärään nähden. Ehdotetun tietosuojalain 3 §:n 1 kohdan muotoilu herättää myös kysymyksen siitä, pyritäänkö säännöksellä luomaan lisäedellytys (käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden) kaikelle käsittelylle, jossa on kysymys mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavista tietoista – myös silloin, kun näiden tietojen käsittely perustuu esimerkiksi rekisteröidyn suostumukseen. Jatkovalmistelun aikana on selkeytettävä, että säännöksessä on kyse lisäedellytyksestä vain sille tilanteelle, että mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavia tietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan ns. yleisen edun käsittelyperusteen nojalla. Henkilötietolain 8 §:n 1 momentin 6 kohdassa säädetään ns. konsernikäyttöperusteesta. Tietosuoja-asetuksen tullessa voimaan asiasta todetaan asetuksen johdantolauseessa (resitaali 48), jossa todetaan, että rekisterinpitäjällä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Suomalaiset yritykset ovat hyötyneet merkittävästi henkilötietolain ns. konsernikäyttöperusteesta, jonka ansiosta mm. konsernien sisäinen henkilötietojen käsittely on onnistunut ilman merkittävää hallinnollista taakkaa. EK pitää tärkeänä, että ehdotetussa tietosuojalaissa tai lain esitöissä tuodaan selkeästi ilmi, että tietosuoja-asetuksen tullessa voimaan nykyinen kansallinen tulkintakäytäntö jatkuu.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy puoltaa ehdottomasti ratkaisua, jossa lakiin otetaan erityinen säännös oikeudesta käsitellä tietoja tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä ym. Suomen Asiakastieto Oy pitää onnistuneena ja tärkeänä siihen tehtyä lisäystä ”muu vastaava toiminta”. Kohdassa ei ole enää vaatimusta siitä, että tietojen tulisi olla ”yleisesti saatavilla”. Suomen Asiakastieto Oy tulkitsee tämän tarkoittavan sitä, että myös esim. tiedot henkilöiden toimimisesta tietyssä asemassa tai työtehtävässä yrityksessä, vaikka eivät nämä ole virallisia vastuuhenkilöasemia (kuten toimitusjohtaja) voidaan katsoa olevan kohdassa tarkoitettuja tietoja. Suomen Asiakastieto Oy toteaa, että vastaavia henkilötietoja voidaan jatkossakin käsitellä myös asetuksen 6. artiklan 1. f. kohdan ”oikeutettu etu” etu perusteella tilanteissa, joissa ”yleisen edun” ei ehkä voida katsoa toteutuvan. Yksi tällainen käsittelytarkoitus on suoramarkkinointi, jonka mainitaan asetuksen resitaaleissa olevan oikeutetun edun mukaista käsittelyä. Suomen Asiakastieto Oy kannattaa 3 §:n 2. kohdan mukaisen ”yleistä etua” koskevan säännöksen sisällyttämistä yleiseen ”tietosuojalakiin”. Suomen Asiakastieto Oy toteaa samalla, että luottotietolain (526/2007) voidaan katsoa olevan Asetuksen 6. artiklan e. kohdan mukaista sääntelyä. Käsityksemme mukaan luottotietolain lainmukaisuutta voitaisiin perustella myös 6. artiklan c. kohdalla, jota voidaan, ottaen huomioon myös resitaalien sisältö, käyttää käsittelyn oikeustusperusteena laajemminkin kuin vain tilanteissa, joissa käsittelijää nimenomaan velvoitetaan käsittelyyn. Mietinnön sivulla 140 lausutaan yleisen edun mukaisen käsittelyn osalta, että ”rekisteröidyllä olisi oikeus esimerkiksi yleisen tietosuoja-asetuksen 17 artiklan mukaiseen oikeuteen tietojen poistamiseen”. Ottaen huomioon Asetuksen 17. Artiklan 3. kohdassa lausutun ”Edellä olevaa 1 ja 2 kohtaa ei sovelleta….b. jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista varten”, voidaan kysyä onko mietinnön lausuma tältä osin asetuksen mukainen. Tässä suhteessa annettava sääntely on epäselvää.
      • Aalto-yliopisto
        Päivitetty:
        8.9.2017
        • Käsittelyn oikeusperuste tutkimustarkoituksessa Kansallisen liikkumavaran käytössä Aalto-yliopisto näkee tutkimuksen kannalta elintärkeänä sen, että säädetään kansallisessa laissa tietosuoja-asetuksen edellyttämällä tavalla tarkentavasti yleisen edun mukaisesta käsittelyperusteesta tieteellisen tutkimustarkoituksen osalta. Tarkentava säännös, joka nyt puuttuu toimikunnan ehdotuksesta, on lisättävä varsinaiseen hallituksen esitykseen. Tietosuoja-asetuksen mukaan henkilötietojen käsittely on lainmukaista, mikäli käsittelyn osalta täyttyy jokin tietosuoja-asetuksen 6(1) artiklan edellytys, käsittelyperuste. Mikä tahansa 6(1) artiklan mukaisista käsittelyperusteista voi olla käsittelyperusteena tieteelliselle tutkimukselle. Tietosuoja-asetuksen mukaan käsittelyperusteet ovat samanarvoisia, eikä esim. suostumus ole ensisijainen käsittelyperuste. Tietosuoja-asetuksen 6(1) (e) alakohdan mukaan henkilötietojen käsittely on lainmukaista, “jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi “. Tieteellisen tutkimuksen osalta 6 (1 ) (e) alakohta on keskeinen, koska tieteellinen tutkimus suoritetaan pääsääntöisesti yleisen edun mukaisen tehtävän suorittamiseksi. Nykyisen henkilötietodirektiivin resitaalissa 34 on lueteltu tieteellinen tutkimus osana tärkeitä julkista etua koskevia tehtäviä. Ilmastonmuutos, energian, terveydenhuollon ja ravitsemuksen saatavuus sekä Suomen osalta väestön ikääntyminen ovat ongelmia, joiden ratkaisu edellyttää monialaisten tutkijaryhmien tieteellistä tutkimusta. Suomen valtti tieteellisessä tutkimuksessa on ainutlaatuisten tutkimusaineistojen saatavuus niin julkisista kuin yritysten, yhteisöjen ja kansalaisjärjestöjen tietokannoista. Tätä tietokantojen tutkimuskäyttöä on kuvattu käsitteellä rekisteritutkimus. Tietosuoja-asetuksessa on haluttu mahdollistaa tutkimus, joka toteutetaan jo olemassa olevia henkilörekistereitä hyödyntäen. Tietosuoja-asetuksen kansallisen täytäntöönpanotyöryhmän mietinnön kohdassa esityksen vaikutukset ei ole kuitenkaan nostettu esiin esityksen vaikutuksia rekisteritutkimukseen mikä jättää työryhmän esityksen vaikutukset rekisteritutkimuksen osalta avoimeksi. Esityksellä on vaikutuksia joko Suomen tiede- ja tutkimuspoliittisten ja datapoliittisten tavoitteiden mahdollistajana tai estäjänä. Rekisteritutkimuksen selkeä käsittelyperuste ja mahdollistaminen tulee olla Suomen keskeinen päämäärä tietosuoja-asetuksen salliman kansallisen liikkumavaran käytössä, jos halutaan toteuttaa Suomen tiede- ja tutkimuspoliittiset tavoitteet sekä datapolitiikan tavoitteet. Rekisteritutkimuksen osalta tulee hallituksen esityksessä selkeästi tuoda ilmi se, miten rekisteritutkimus voi jatkua sekä tietosuoja-asetuksen perusteella että ehdotetun tietosuojalain perusteella. Ruotsin lainvalmistelussa on selkeäksi päämääräksi nostettu rekisteritutkimuksen mahdollistaminen: “– De omfattande svenska registren med personuppgifter är en värdefull tillgång och en grund för potentiellt världsledande forskning. Därför ska utredaren föreslå regleringen av forskningsdatabaser. Vi ska dra nytta av de goda förutsättningar Sverige har utifrån våra register.” http://www.regeringen.se/pressmeddelanden/2016/07/reglering-av-personuppgiftsbehandling-for-forskningsandamal/ Käsittelyn perusteesta säädetään 3 §:n 2 kohdassa siten, että toistetaan tietosuoja-asetuksen sanamuoto: “Noudattaen tietosuoja-asetuksen 6 artiklaa henkilötietoja saa käsitellä jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi “. Ehdotuksen mukaan säädöksen sisältöä ei tarkenneta kansallisessa laissa. Tutkimuksen käsittelyperustetta on käsitelty ainoastaan s. 141 seuraavalla lauseella: Yleistä etua koskeva tehtävä voisi olla myös esimerkiksi henkilötietojen käsittely tieteellisiä tutkimustarkoituksia varten. Ruotsin lainvalmistelussa SOU 2017:50 http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2017/06/sou-201750/ on nimenomaisesti todettu, s. 130, että asetuksen 6.1 e artiklan sanamuodon toistaminen kansallisessa laissa ei ole riittävä säädös täyttämään tietosuoja-asetuksen 6(3)artiklan vaatimuksia käsittelyperusteelle. Tietosuoja-asetuksen 6(3) artiklan kanssa samansuuntaisesti vaikuttavat Suomen perustuslain perusoikeudet. Artiklan 6(3) mukaan kun käsittelyn tarkoitus määritellään 6.1 e alakohdassa tarkoitetussa käsittelyssä, jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ruotsin ehdotuksessa säädetään tutkimuksen mahdollistamiseksi Forskningsdatalag, jonka 5 §:ssä tietosuoja-asetuksen 6(1)(e) alakohtaa tarkennetaan käsittelyperusteen osalta seuraavalla kansallisella säännöksellä: Behandling av personuppgifter för forskningsändamål Rättslig grund 5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. 6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Ruotsissa omaksuttu kansallisten säädösten kirjoitustapa, jossa kansallisessa tarkentavassa säädöksessä ilmoitetaan selkeästi, mitä kohtaa tietosuoja-asetuksessa kyseinen kansallinen tarkempi säädös tarkentaa. Ehdotetussa tutkimuksen käsittelyperustetta tarkentavassa säädöksessä ilmoitetaan selkeästi että se tarkentaa tietosuoja-asetuksen 6 (1) (e) alakohtaa. Näin kansallista lakia lukeva voi heti ymmärtää sen kokonaisuuden, jonka tarkennuksesta on kyse. Tämä omaksuttu tekniikka helpottaa erittäin suuresti kansallisen lain ymmärtämistä ja tulkintaa. Sama tekniikka on välttämätöntä omaksua johdomukaisesti myös Suomen kansallisessa lainsäädännössä. TATTI-mietinnössä on tutkimuksen osalta pitäydytty tietosuoja-asetuksen resitaalien määritelmissä, mikä on perusteltu ratkaisu. Tietosuoja-asetuksen resitaalissa 159 olevaa tieteellisen tutkimustarkoituksen määritelmää tulee soveltaa myös kansallisessa lainsäädännössä, samoin resitaalin 160 määritelmää historiallisesta tutkimustarkoituksesta ja resitaalin 162 määritelmää tilastotarkoituksesta. Tieteellistä ja historiallista tutkimusta ei ole Ruotsissa katsottu tarvittavan käsitellä eri tavalla. Tältä osin voisi jatkoselvitys olla tarpeen. Jos Suomessa omaksuttaisiin samankaltainen ratkaisu kuin Ruotsissa, mutta tietosuoja-asetuksen määritelmiä käyttäen, voisi tutkimuksen käsittelyperustetta koskeva säännös kuulua seuraavasti: 3 a § Henkilötietojen käsittelyn lain mukaisuus tutkimustarkoituksessa sekä tilastollisia tarkoituksia varten Tietosuoja-asetuksen mukaan henkilötietojen käyttö on lainmukaista, jos vähintään yksi 6 artiklan 1 kohdan edellytyksistä täyttyy. Henkilötietoja voidaan käyttää tieteellisessä tai historiallisessa tutkimustarkoituksessa sekä tilastollisia tarkoituksia varten tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla, jos käsittely on tarpeen ja oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden yleistä etua koskevan tehtävän suorittamiseksi. Yleistä etua koskevaa tutkimusta voivat harjoittaa valtio, kunnat ja maakunnat, muut oikeushenkilöt ja elinkeinonharjoittajat. Ruotsin toimikunta katsoo, että 6 (1) (e) alakohtaa tarkentavan käsittelyperusteen kansallisessa laissa säätäminen ei olisi tarpeen yliopistojen ja korkeakoulujen osalta, koska yliopistoilla ja korkeakouluilla on jo lailla säädetty tehtävä harjoittaa yleisen edun mukaista tieteellistä tutkimusta. Tätä kannanottoa tulkitessa tulisi huomioida se, että tieteellisen tutkimuksen osalta ei yliopistolaissa ole mainittu oikeasuhtaisuuden vaatimusta, joka kuitenkin on 6 (3) kohdassa edellyetty. Erityisesti yliopistossa ja korkeakoulussa tehtävän tutkimuksen osalta Ruotsin toimikunta toteaa seuraavasti: Universitet och högskolor med statlig huvudman I 2 kap. 18 § andra stycket regeringsformen fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskolornas verksamhet. Behandling av personuppgifter för forskningsändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fastställd i svensk lag. Suomessa tutkimustehtävä on laissa säädetty paitsi julkisoikeudellisten, myös yksityisoikeudellisten säätiöyliopistojen tehtäväksi. Yliopistot, joita laki koskee on lueteltu yliopistolaissa (558/2009). Suomessa yliopistolain 2 § säätää yliopistojen tehtäväksi tutkimuksen seuraavasti: 2 § Tehtävät Yliopistojen tehtävänä on edistää vapaata tutkimusta sekä tieteellistä ja taiteellista sivistystä, antaa tutkimukseen perustuvaa ylintä opetusta sekä kasvattaa opiskelijoita palvelemaan isänmaata ja ihmiskuntaa. Tehtäviään hoitaessaan yliopistojen tulee edistää elinikäistä oppimista, toimia vuorovaikutuksessa muun yhteiskunnan kanssa sekä edistää tutkimustulosten ja taiteellisen toiminnan yhteiskunnallista vaikuttavuutta. Yliopistojen tulee järjestää toimintansa siten, että tutkimuksessa, taiteellisessa toiminnassa, koulutuksessa ja opetuksessa varmistetaan korkea kansainvälinen taso eettisiä periaatteita ja hyvää tieteellistä käytäntöä noudattaen. Jos yliopisto oikeushenkilönä käsittelee henkilötietoja rekisterinpitäjänä, voidaan käsittelyperusteena tutkimukselle soveltaa tietosuoja-asetuksen 6 (1) (e) kohdan mukaista käsittelyperustetta. Artikla 6(3) edellyttämä säädös, jossa yleisen edun mukainen tieteellinen tutkimustehtävä määritellään voisi olla yliopistolain 2 §. Voitaisiin tulkita, että artiklan 6(3) edellyttämä oikeasuhtaisuus täyttyisi, sillä yliopistojen tutkimus on tieteellistä tutkimusta, jossa yliopistolain mukaisesti noudatetaan eettisiä periaatteita ja hyvää tieteellistä käytäntöä. Se mitä eettisillä periaatteilla ja hyvällä tieteellisellä käytännöllä tarkoitetaan täsmentyy Tutkimuseettisen neuvottelukunnan (TENK ) ohjeistuksessa. Tutkimuseettinen neuvottelukunta on perustettu asetuksella tutkimuseettisestä neuvottelukunnasta (1347/1991). TENK ohjeistukseen yliopistot ovat sitoutuneet velvoittavilla sopimuksilla. Jos kuitenkin katsottaisiiin, että yliopistojen ja korkeakoulujen osalta tutkimuksen yhteydessä tapahtuvan henkilötietojen käsittelyyn joltain osalta tarvitaan tietosuojalain tarkentava käsittelyn oikeusperuste, tulee harkita toimisiko Ruotsin ehdotetun kaltainen säädös myös tältä osin, koska säädöksen esimerkkiluettelo oikeushenkilöistä sisältää muut oikeushenkilöt. Muiden rekisterinpitäjien kuin yliopistojen osalta on tarkempi käsittelyperusteen säätäminen tarpeen. Yliopistot suorittavat tutkimustehtäväänsä yhteistyössä mm. ministeriöiden, kuntien, maakuntien ja yritysten sekä erilaisten säätiöiden ja järjestöjen kanssa. Tietosuoja-asetuksen resitaalissa 159 on tieteellinen tutkimus määritelty laajasti, ja kansallisen tietosuojalain olisi Suomen tiede- ja tutkimuspolitiikan ja datapolitiikan mukaisesti tuettava tietosuoja-asetuksen määrittelemää laajaa tieteellisen tutkimuksen käsitettä ja tällaisen tutkimuksen edellytyksenä on myös muiden kuin yliopistojen mahdollisuus tietosuoja-asetuksen suojaaman tutkimusdatan käsittelyyn.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Henkilötietojen käsittelyn sääntelyn tulee olla kattavaa ja yksityiskohtaista. Esitetty 3 § toistaa tietosuoja-asetuksen tekstiä ja on varsin yleisluontoinen. Mikäli tavoitteena on sallia henkilötietojen käsittely suunnittelu- ja selvitystehtävissä, tulisi tämän ilmetä suoraan lakitekstistä.
      • Helsingin seudun liikenne -kuntayhtymä
        Päivitetty:
        8.9.2017
        • Helsingin seudun liikenne -kuntayhtymä (HSL) pyytää, että tietosuojalain jatkovalmistelussa kiinnitetään enemmän huomiota henkilötietojen käsittelyperusteisiin (tietosuoja-asetuksen 6 artikla ja ehdotetun tietosuojalain 2 luvun 3 §) erityisesti kuntien ja kuntayhtymien tehtävien kannalta. Kuntalain 2 luvun 7 §:n mukaan ”kunta hoitaa itsehallinnon nojalla itselleen ottamansa tehtävät ja järjestää sille laissa erikseen säädetyt tehtävät. Laissa säädetään myös siitä, kun tehtäviä on järjestettävä yhteistoiminnassa muiden kuntien kanssa (lakisääteinen yhteistoiminta).” Lisäksi ”kunta voi sopimuksen nojalla ottaa hoitaakseen muitakin kuin itsehallintoonsa kuuluvia julkisia tehtäviä. Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 §). Kunnilla ja kuntayhtymillä voi olla siis laissa niille erikseen säädettyjä tehtäviä, kunnan itsehallinnon nojalla itselleen ottamia tehtäviä sekä muita itsehallintoon kuuluvia julkisia tehtäviä. Kuntayhtymillä voi lisäksi olla niille kuntayhtymän perussopimuksella annettuja tehtäviä. Koska kunnat ja kuntayhtymät voivat hoitaa itsehallinnon nojalla itselleen ottamiansa tehtäviä, eivät kuntien ja kuntayhtymien tehtävät rajoitu niille laissa säädettyihin tehtäviin tai viranomaistehtäviin. Kuntien ja kuntayhtymien toimintaan voi sisältyä myös sellaisia tehtäviä, jotka eivät ole vain julkisen sektorin tehtäviä. Tämä käy välillisesti ilmi mm. kuntalain 15 luvusta, joka koskee kunnan toimintaa markkinoilla. Kunnilla ja kuntayhtymillä voi olla myös toimintoja, joita on markkinoilla, toisin sanoen yksityisen sektorin tuottamina. Tällaiset tehtävät voivat olla hyvin moninaisia, eikä niihin liity julkisen vallan käyttöä. Ne eivät ole myöskään lailla kunnalle säädettyjä tehtäviä tai viranomaistehtäviä. Tietosuoja-asetuksensa 6 artiklassa on säädetty henkilötietojen käsittelyperusteiksi mm. ”käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi” (alakohta 1.c) ja ”käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi” (alakohta 1.e). Toisaalta henkilötietojen käsittely rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (alakohta 1.f) ei sovellu tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. TATTI-työryhmän mietinnössä puolestaan todetaan, että julkisen sektorin henkilötietojen käsittelyn tulisi lähtökohtaisesti perustua 6 artiklan 1 kohdan c ja e alakohtaan (mietinnön s. 101). Mietinnössä sanotaan myös, että rekisterinpitäjän oikeutettu etu (6 artiklan 1.f alakohta) ei voi toimia julkisen sektorin suorittaman käsittelyn perusteena (mietinnön s. 50). HSL:n näkemyksen mukaan TATTI-työryhmän mietinnössä on laajennettu tietosuoja-asetuksen 6 artiklan 1.f alakohdan sisältöä. Tietosuoja-asetuksen 6 artiklan 1.f alakohdassa käytetään ilmaisua ”tietojenkäsittely, jota viranomaiset suorittavat tehtäviensä yhteydessä”. Julkinen sektori tekee kuitenkin muitakin tehtäviä kuin viranomaistehtäviä, kuten edellä on todettu. Tietosuoja-asetuksen tarkoituksen lienee se, että lailla esimerkiksi kuntien ja kuntayhtymien tehtäviksi säädettyjen tehtävien suorittamisessa tehtävä henkilötietojen käsittely kuuluisi asetuksen 6 artiklan 1.c alakohtaan. Yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tehty henkilötietojen käsittely puolestaan kuuluisi 6 artiklan 1.e alakohtaan. Näihin tehtäviin liittyvä henkilötietojen käsittelyä ei puolestaan olisi mahdollista tehdä 6 artiklan 1.f alakohdan perusteella. Sellainen henkilötietojen käsittely, joka ei johdu lailla säädetystä tehtävästä, yleisestä edusta tai julkisen vallan käyttämisestä olisi kuitenkin sallittua myös esimerkiksi kunnissa tai kuntayhtymissä 6 artiklan 1.f alakohdan nojalla. Alakohtaa ei tulisi siis ulottaa koskemaan kaikkea julkisen sektorin toimintaa, kuten mietinnössä nyt on tehty. HSL:n näkemyksen mukaan kansalliseen tietosuojalakiin tulisi tehdä tätä koskeva selvennys. Tämä on erityisen tärkeää, koska tietosuoja-asetuksen myötä poistuu nykyisessä henkilötietolaissa oleva asiakas- tai palvelussuhteeseen, jäsenyyteen tai muuhun vastaavaan syyhyn liittyvä, ns. asiallista yhteyttä koskeva, käsittelyperuste (henkilötietolain 8 §:n 1 mom. 5 kohta). Samalla olisi erittäin toivottavaa ottaa kantaa myös 6 artiklan 1.c ja 1.e. alakohtien käsitteiden ”lakisääteinen velvoite”, ”yleistä etua koskeva tehtävä” ja ”julkisen vallan käyttäminen” tulkintaan ja kansalliseen soveltamiseen kuntien ja kuntayhtymien tehtävien osalta. Henkilötietojen käsittelyn perusteiden tulisi olla selkeitä ja ymmärrettäviä, eikä aukkoja tai tarpeettomia päällekkäisyyksiä tulisi jäädä lainsäädäntöön. HSL pitää hyvänä sitä, että tietosuojalakiin ehdotetaan otettavaksi lisäys henkilötietojen käsittelystä henkilön asemaa, tehtäviä ja niiden hoitoa mm. julkisyhteisössä (ehdotetun tietosuojalain 2 luvun 3 § 1 kohta). Samoin on hyvä ratkaisu, että ehdotetun tietosuojalain 2 luvun 3 § 2 kohdan perusteluteksteissä on erikseen tuotu esiin viranomaisen suunnittelu- ja selvitystehtävät. Tältäkin osin on kuitenkin tulkinnanvaraista, mitä ”viranomaisella” tarkoitetaan tässä yhteydessä. Esimerkiksi kunnat ja kuntayhtymät tekevät paljon sellaisiakin suunnittelu- ja selvitystehtäviä, jotka eivät välttämättä ole viranomaistehtäviä. Ehdotetun tietosuojalain 2 luvun 3 § 2 kohdan perusteluteksteissä (mietinnön s. 141) on myös todettu, että yleistä etua koskeva tehtävä voisi olla esimerkiksi henkilötietojen käsittely tieteellistä tutkimustarkoitusta varten. Tältä osin jää kuitenkin epäselväksi, mitä tässä yhteydessä tarkoitetaan ”tieteellisellä tutkimuksella”. Voivatko esimerkiksi kuntayhtymät käsitellä henkilötietoja tutkimusta varten yleistä etua koskevan tehtävän perusteella myös sellaisten tutkimusten osalta, jotka eivät välttämättä kuulu kuntayhtymän viranomaistehtäviin, vaan ovat esimerkiksi kuntayhtymän omistajakuntien teettämiä tutkimuksia? Samassa mietinnön kohdassa myös mainitaan, että henkilötietoja voidaan käsitellä tieteellisiin tutkimustarkoituksiin myös suostumuksen tai oikeutetun edun perusteella. Jos HSL ei voi käsitellä henkilötietoja tutkimustarkoituksiin yleistä etua koskevan tehtävän, eikä oikeutetun edun perusteella, niin silloin jää tieteellisten tutkimusten osalta käsittelyperusteeksi vain suostumus. Tämä taas on koettu käytännössä hankalaksi käsittelyperusteeksi, koska suostumuksen tulee olla ”vapaaehtoinen, yksilöity ja yksiselitteinen tahdonilmaisu”, mikä voi tutkimuksen osalta osoittautua melko haastavaksi toteuttaa. Kohtaan olisi lisäksi hyvä saada tulkinta-apua siitä, mitä muita kuin suunnittelu- ja selvitystehtäviä tämä käsittelyperuste voisi sisältää.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Luvussa täsmennetään käsittelyn oikeusperusteita yleisen tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Kohdassa ”Nykytilan arviointi” (s. 103-104) on kuvattu sitä, miten aiemmin henkilötietolaissa ollut konsernisuhde käsittelyperusteena korvautuu jatkossa rekisterinpitäjän oikeutetun edun perusteella. Työryhmän mukaan tietosuoja-asetus ei mahdollista jatkossa vastaavan käsittelyperusteen kirjoittamista tietosuojalakiin. Vaikka asiaa onkin selvitetty edellä mainitussa kohdassa, asian merkittävyyden vuoksi olisi kuitenkin toivottavaa, että myös hallituksen esitysluonnoksen 2 lukua koskevissa yksityiskohtaisissa perusteluissa tuotaisiin asia esiin esim. viittaamalla aiempaan selvitykseen.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Yliopistokirjastojen asema ja tehtävät Nykytilanne on, että yliopistokirjastojen asemasta ja tehtävistä ei ole omaa lainsäädäntöä, toisin kuin yleisten kirjastojen osalta, joiden toiminnasta säädetään laissa yleisistä kirjastoista (L 1492/2016). Yliopistokirjastot toimivat osana yliopistoa yliopistolain (L 558/2009) 2 §:ssä määriteltyjä yliopiston tehtäviä tukien. Esimerkiksi Ruotsissa korkeakoulukirjastoista säädetään lainsäädännössä (Svensk författningssamling 2013:801. Bibliotekslag). SYN katsoo, että yliopistokirjastojen tehtävät tulisi määritellä lainsäädäntötasolla (esim. lisäys yliopistolakiin) siten, että todettaisiin yliopistokirjastojen yleistä etua koskevan tehtävän suorittaminen sekä yliopistokirjastojen erityistehtävien toteuttaminen, esim. tieteellisen tiedon tuottamisen ja tieteeseen pohjautuvan opetuksen tukena toimiminen, sekä tieteen (tulosten) avoimuuden ja julkisuuden edistäminen. Yliopistokirjastojen asemasta ja tehtävistä lain tasolla säätäminen olisi tarpeen yliopistokirjastojen aseman ja tehtävien selkiyttämiseksi sekä EU:n yleisen tietosuoja-asetuksen näkökulmasta tarkasteltuna. Yliopistokirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Esitämme, että lakiehdotukseen lisätään pykälä, joka kattaa henkilötietojen käsittelyn kulttuuriperintöorganisaatioissa: Henkilötietoja sisältävien kulttuuriperintöaineistojen sekä kulttuuriperintöaineistoihin liittyvien henkilötietoja sisältävien viitetietojen käsittelylle arkistointi- ja kokoelmienhoitotarkoituksessa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina kun 1) Kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointi- ja kokoelmienhoitotoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Momentissa 1 § tarkoitetut kirjastot, arkistot tai museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perusteella myös käsitellä 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot tai museot, joilla on tässä pykälässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Lakiluonnoksen 3 § :n 2 kohdan mukaan henkilötietoja saa käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamisesksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittelyn oikeusperusteen nojalla olisi mahdollista käsitellä henkilötietoja esim. viranomaisen suunnittelu- ja selvitystehtäviä varten ja tieteellisessä tutkimustarkoituksessa. Henkilötietojen käsittely myös esimerkiksi yleisen edunmukaisia arkistointitarkoituksia varten olisi mahdollista ehdotetun 2 kohdan nojalla. Yleisen edun mukaista arkistointia koskevassa jaksossa 3.10 käsitellään viranomaisia koskevan arkistolainsäädännön uudistamistarvetta. Kansallisarkiston toiminta on lakisääteistä, yleisen edun m mukaista toimintaa ja se palvelee erityisesti tieteellistä tutkimusta, mutta myös muuta historiallista tutkimusta ja eri tahojen tiedon tarpeita. Kansallisarkisto huomauttaa, että yleisen edun mukaisia tehtäviä on myös yksityisellä sektorilla. Esimerkiksi orpoteosten käyttämisestä annetun lain ( 764/2013 ) 2 §:n mukaan näitä teoksia saavat käyttää yleisen edun mukaiseen tehtävään liittyvien tavoitteiden saavuttamiseksi yleisölle avoimet kirjastot, museot ja koulutusorganisaatiot, arkistot, elokuva- ja äänitearkistot sekä julkisen palvelun televisio- ja radioyritykset. Näiden toimijoiden yleisen edun mukaisia tehtäviä ovat säilyttäminen, restaurointi sekä kulttuuri- ja opetuskäytön mahdollistaminen (HE73/2013 vp). Vastaavankaltaista sääntelyä tulisi sisältyä myös tietosuojalain yleistä etua sekä yleisen edun mukaisia arkistointitarkoituksia (33 §) koskeviin säännöksiin. Lisäksi tietosuojalakiin tulee säilyttää johdanto-osan kappaleen 45 asettamien velvoitteiden mukaisesti säännökset siitä, että yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi rekisterinpitäjä voi olla julkisen viranomaisen lisäksi muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • Voimassaoleva henkilötietolain 8 § mahdollistaa henkilötietojen käsittelyn tilanteissa, joissa on kysymys ”konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä”. Tähän niin kutsuttuun ”konsernipoikkeukseen” liittyen HE-luonnoksen nykytilan arviossa (s. 103–104) on konsernien ja taloudellisten yhteenliittymien osalta kirjaus, jonka mukaan ”uutta nykytilaan verrattuna on rekisterinpitäjän harkintaan jäävä punninta siitä, milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut”, so. oikeutetun edun henkilötietojen käsittelyyn konserni- tai yhteenliittymätasolla. Finanssialalla on merkittävässä määrin toimijoita, esimerkiksi osuuskuntia, säästöpankkeja ja keskinäisiä vakuutusyhtiöitä, joiden toiminnan kannalta konsernipoikkeuksen soveltaminen suppeasti vain yhtiöoikeudellisiin konserneihin johtaisi käytännön toiminnan vaikeutumiseen ja kustannustehottomuuteen, joka viime kädessä palautuisi asiakkaiden maksettavaksi. Lisäksi tällainen tulkinta asettaisi toisistaan poikkeavat yhtiöoikeudelliset toimintamuodot keskenään erilaiseen kilpailulliseen asemaan. Sanotun perusteella FA pitää HE-luonnoksen kirjausta konsernipoikkeuksesta merkittävänä, ja pitää tärkeänä, että kirjaus sisällytetään myös lopulliseen tietosuojalakia koskevaan HE:en.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Säännös edistää julkisuusperiaatteen toteutumista ja SJL suhtautuu muotoiluun myönteisesti.
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • Esitämme, että lakiehdotukseen lisätään pykälä, joka kattaa henkilötietojen käsittelyn kulttuuriperintöorganisaatioissa: Henkilötietoja sisältävien kulttuuriperintöaineistojen sekä kulttuuriperintöaineistoihin liittyvien henkilötietoja sisältävien viitetietojen käsittelylle arkistointi- ja kokoelmienhoitotarkoituksessa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina kun 1) Kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointi- ja kokoelmienhoitotoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Momentissa 1 § tarkoitetut kirjastot, arkistot tai museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perustella myös käsitellä 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot tai museot, joilla on tässä pykälässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Asetuksen johdanto- osassa todetaan, että "henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tämän asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta.” Ammattikorkeakoulujen kannalta tämä laaja tulkinta on kannatettava, se tukee TKI- toiminnan laajaa tehtäväkenttää korkeakouluissa. Tieteellisen tutkimuksen ja korkeakoulujen osalta 6 artiklan 1 kohdan e) alakohta on keskeinen, koska tieteellinen tutkimus suoritetaan pääsääntöisesti yleisen edun mukaisen tehtävän suorittamiseksi. Nykyisen henkilötietodirektiivin resitaalissa 34 on lueteltu tieteellinen tutkimus osana tärkeitä julkista etua koskevia tehtäviä. Monet globaalit haasteet edellyttävät yhä enemmän monialaisten tutkijaryhmien tieteellistä tutkimusta ja TKI- toimintaa. Suomalaisten korkeakoulujen vahvuus globaalissa tutkimuksessa on ainutlaatuisten tutkimusaineistojen saatavuus niin julkisista kuin yritysten, yhteisöjen ja kansalaisjärjestöjen tietokannoista. Tätä tietokantojen tutkimuskäyttöä on kuvattu käsitteellä rekisteritutkimus. Tietosuoja-asetuksessa on haluttu mahdollistaa tutkimus, joka toteutetaan jo olemassa olevia henkilörekistereitä hyödyntäen. Tietosuoja-asetuksen kansallisen täytäntöönpanotyöryhmän mietinnön kohdassa esityksen rekisteritutkimuksen vaikutuksia ei ole nostettu esiin. Tämä jättää työryhmän esityksen vaikutukset rekisteritutkimuksen osalta avoimeksi. Rekisteritutkimuksen osalta tulee hallituksen esityksessä selkeästi tuoda ilmi se, miten rekisteritutkimus voi jatkua sekä tietosuoja-asetuksen perusteella että ehdotetun tietosuojalain perusteella. Arenen näkemyksen mukaan rekisteritutkimuksen selkeä käsittelyperuste ja mahdollistaminen tulee olla myös Suomen keskeinen päämäärä tietosuoja-asetuksen salliman kansallisen liikkumavaran käytössä. Sillä on suoria vaikutuksia Suomen tiede- ja tutkimuspoliittisten ja avoimen tieteen ja datapoliittisten tavoitteiden mahdollistajana tai estäjänä. Arenen näkemyksen mukaan ehdotetussa tietosuojalaissa ei ole erityistä tutkimuksen käsittelyperustetta ja käsittelyn perusteesta säädetään 3 §:n 2 kohdassa siten, että toistetaan tietosuoja-asetuksen sanamuoto. Ehdotuksen mukaan säädöksen sisältöä ei tarkenneta kansallisessa laissa. Tutkimuksen käsittelyperustetta on käsitelty ainoastaan s. 141 seuraavalla lauseella : Yleistä etua koskeva tehtävä voisi olla myös esimerkiksi henkilötietojen käsittely tieteellisiä tutkimustarkoituksia varten. Arenen näkemyksen mukaan tieteellisen tutkimuksen käsittelyperusteena tulisi voida soveltaa tietosuoja-asetuksen 6.1 e) kohdan mukaista käsittelyperustetta. Näin ollen voitaisiin tulkita, että artiklan 6.3 edellyttämä oikeasuhtaisuus täyttyisi, sillä ammattikorkeakoulujen tutkimus/TKI- toiminta on tieteellistä tutkimusta, jossa ammattikorkeakoulujen tehtävien 4§ (2014/932) mukaisesti noudatetaan eettisiä periaatteita ja hyvää tieteellistä käytäntöä. Se mitä eettisillä periaatteilla ja hyvällä tieteellisellä käytännöllä tarkoitetaan täsmentyy Tutkimuseettisen neuvottelukunnan (TENK ) ohjeistuksessa. Tutkimuseettinen neuvottelukunta on perustettu asetuksella tutkimuseettisestä neuvottelukunnasta (1347/1991). TENK ohjeistukseen kaikki ammattikorkeakoulut ja yliopistot ovat sitoutuneet velvoittavilla sopimuksilla. Jos kuitenkin katsottaisiin, että yliopistojen tai ammattikorkeakoulujen tutkimuksen yhteydessä tapahtuvan henkilötietojen käsittelyyn joltain osalta tarvitaan tietosuojalain tarkentava käsittelyn oikeusperuste, toimisi Ruotsin mm. kaltainen säädös myös tässä, koska säädöksen esimerkkiluettelo oikeushenkilöistä sisältää muut oikeushenkilöt. Arenen näkemyksen mukaan, myös muiden rekisterinpitäjien kuin ammattikorkeakoulujen ja yliopistojen osalta on tarkempi käsittelyperusteen säätäminen perusteltua. Korkeakoulut suorittavat tutkimustehtäväänsä yhteistyössä mm. ministeriöiden, kuntien, maakuntien ja yritysten sekä erilaisten säätiöiden ja järjestöjen kanssa. Tietosuoja-asetuksessa on tieteellinen tutkimus määritelty laajasti, ja kansallisen tietosuojalain olisi Suomen tiede- ja tutkimuspolitiikan ja avoimen datapolitiikan mukaisesti tuettava tietosuoja-asetuksen määrittelemää laajaa tieteellisen tutkimuksen käsitettä. Tälläisen tutkimuksen edellytyksenä on myös muiden kuin korkeakoulujen mahdollisuus tutkimusdatan käsittelyyn.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus pitää 3 §:n 1 momentin 2 kohdan oikeusperustetta varsin laajana. Pykäläehdotuksen yksityiskohtaisissa perusteluissa on tarkennettu, että lainkohtaa voitaisiin soveltaa esimerkiksi viranomaisen suunnittelu- ja selvitystehtäviä varten, tieteelliseen tutkimukseen tai yleisen edun mukaiseen arkistointitarkoitukseen. Näillä perusteilla voi Väestörekisterikeskuksen käsityksen mukaan kuitenkin olla paljon toimijoita, jotka teoriassa voisivat katsoa käsittelevänsä tietoa yleistä etua koskevassa tehtävässä. Ottaen huomioon tietosuoja-asetuksen rekisterinpitäjälle asettaman korostetun huolellisuusvelvoitteen, on rekisterinpitäjällä itsellään viime kädessä vastuu siitä, että se on tulkinnut käsittelyn oikeusperustetta oikein. Kyseinen pykälä tai sen perustelut eivät anna juurikaan suuntaviivoja siitä, minkälaisessa tilanteessa edellytykset täyttyvät. Väestörekisterikeskuksen näkökulmasta tämä johtaa joko siihen, että sen on kyseenalaistamatta luotettava asiakkaansa arvioon tämän käsittelyn oikeusperustasta tai siihen, että sen on itse tehtävä jonkinlainen arvio käsittelyn asiallisuudesta lupamenettelyn yhteydessä. Väestörekisterikeskus katsoo myös, että lainkohdan perusteluista olisi hyvä käydä ilmi, onko kyse tyhjentävästä 6 artiklan 1 kohdan e alakohdan kansallisesta implementoinnista, vai voidaanko eri sektoreilla säätää tarkemmin käsittelyn perustasta, joka pohjautuu yleiseen etuun tai julkisen vallan käyttämiseen. Koska rekisteröidyn oikeuden laajuus riippuu käsittelyn oikeusperusteesta, olisi tärkeää edellä sanotun lisäksi täsmentää sitä, milloin käsittelyperusteessa on kyse julkisen vallan käyttämisestä kansallisen tietosuojalain nojalla ja toisaalta milloin käsittelyn on katsottava olevan lakiperusteista. Tämä saattaa Väestörekisterikeskuksen näkökulmasta aktualisoitua tilanteissa, joissa virastolle on kansallisessa lainsäädännössä annettu valtuutus hoitaa tiettyä tehtävää, mutta tehtävän suorittamista ei ole säädetty pakolliseksi. Täsmennykset voidaan jättää myös erityislainsäädännössä tehtäväksi.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Käsittelyn lainmukaisuutta koskeva 3 § perustuu yleisen tietosuoja-asetuksen 6 artiklaan, jonka 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään. Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallituksen mielestä ehdotettu säännös täydentää ja siten osaltaan selkeyttää asetuksen 6 artiklan 1 kohdan säännöksiä. Kirkkohallitus pitää mahdollisena, että asetuksen käytännön soveltamisen kautta nähdään myös muita tarpeita täydentää 6 artiklaa.
      • Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Henkilötietolain kumoamisen yhteydessä tietosuojalautakunnan myöntämät luvat mm. rikostuomioita tai rikkomuksia koskevan tiedon käsittelemiseksi lakkaavat. Elinkeinoelämän kannalta on erittäin tärkeätä, että tietosuojalautakunnan myöntämiin lupiin perustuva käsittely voi jatkua tietosuoja-asetuksen soveltamisen alkaessa. TATTI-työryhmän mietinnössä on nostettu esiin tarve säätää lupien kattamasta käsittelystä erityislaeissa. Jotta ylimenovaihe ei aiheuta ongelmia yrityksille, on tärkeää että erityislakien vastuuministeriöt ryhtyvät välittömästi toimimaan soveltuvien lakien uudistamiseksi. Toimiva ratkaisu voisi myös olla erityislakien lupia koskevien pykälien ottaminen liitteeksi yleislakiin, jolloin varmistettaisiin saumaton toiminta tietosuojalainsäädännön muuttuessa.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen 10 artikla edellyttää, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely tapahtuu joko viranomaisen valvonnassa tai käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Asianmukaisista suojatoimista on säädetty esimerkiksi laissa liiketoimintakiellosta (1059/1985) 21 §:ssä. Ehdotetun tietosuojalain 2:6 §:n alakohdan 1 muotoilu (käsittely tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi) on epäselvä sen osalta, kattaako se käsittelyn, joka on välttämätöntä lakisääteisen selvitys- tai tarkastusvelvollisuuden täyttämiseksi (kysymys onko siinä tilanteessa käsillä oikeusvaade vai ei). 6 §:n ei tulisi johtaa siihen, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelylle asetetaan tietosuojalaissa tiukempia ehtoja kuin mitä tietosuoja-asetuksen 10 artiklassa ja selvitys- tai tarkastusvelvollisuuden asettavassa erityislaissa edellytetään. Esimerkiksi tilaajavastuulain (1233/2006) 9 §:n mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on tehnyt sopimuksen tilaajavastuulaissa tarkoitetusta työstä liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Tilaaja voi hakea yksittäisen henkilön osalta tiedon suoraan otteella liiketoimintakieltorekisteristä oikeusrekisterikeskuksesta tai hankkia tiedon sellaisesta yritystietopalvelusta, joka on hakenut tiedot suoraan tai toisen yritystietopalvelun kautta liiketoimintakieltorekisteristä. Jos esimerkiksi rakennusalalla toimiva tilaaja tekee vuosittain tilauksia sadoilta tai tuhansilta yrityksiltä, tuhansien – kymmenien tuhansien yksittäisten henkilöiden tietojen kysely suoraan oikeusrekisterikeskukselta tulee kohtuuttoman kalliiksi ja hankalaksi ja ainoa toimiva vaihtoehto on liiketoimintakiellon olemassaolon tarkistus sähköisessä muodossa olevia rekistereitä käyttäen (käytännössä kaupalliset yritystietopalvelut). Yritystietopalvelussa pidetään saatavilla tiedot kaikista voimassaolevista liiketoimintakielloista ja tiedon keräämisen hetkellä ei vielä ole tietoa, onko kenelläkään tulevalla asiakkaalla tarvetta käsitellä tietoa oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Tällöin palveluntarjoaja käsittelee tietoja ennen kuin on olemassa mahdollisia tulevia oikeusvaateita, joita vastaan palveluntarjoajan asiakkaana oleva tilaaja puolustautuu. Palvelu voi olla myös toteutettu siten, että tilaaja ei koskaan saa tietoa yksittäisten henkilöiden liiketoimintakiellon olemassaolosta tai sisällöstä, vaan ainoastaan tarvitsemansa tiedon, onko tilaajan sopimuskumppanin kaupparekisteriin merkityillä vastuuhenkilöillä voimassa liiketoimintakieltoa vai ei. Tilaajalle ei silloin synny omaa rekisteriä liiketoimintakieltotiedoista. Jos lakisääteinen selvitys- tai tarkastusvelvollisuus itsessään ei ole aina ”oikeusvaade”, tällaisen velvollisuuden vuoksi tapahtuva käsittely olisi hyvä huomioida omana kohtanaan samalla tavalla kuin vakuutusyhtiöiden käsittelytarpeet on huomioitu. Lakisääteisten selvitys- ja tarkastusvelvollisuuksien vuoksi tapahtuvan käsittelyn osalta riittävä vaatimus olisi, että käsittely on tarpeen laissa asetetun selvitys- tai tarkastusvelvollisuuden täyttämiseksi ja tapahtuu laissa asetettujen määräysten mukaisesti. Käsittelyä ei pidä rajata rekisterinpitäjää koskevan lakisääteisen selvitysvelvollisuuden täyttämiseksi tarvittavaan käsittelyyn, koska taho, jolla on lakisääteinen selvitysvelvollisuus ja rekisterinpitäjä on usein eri henkilö.
      • Puolustusministeriö
        Päivitetty:
        8.9.2017
        • Uuden tietosuojalain luonnoksen 2 luvun rikostuomioihin ja rikkomuksiin liittyvää käsittelyä koskevassa 6 §:ssä tarkennettaisiin asetuksen 10 artiklan mukaisia käsittelyperusteita. Lain 6 §:n 1 momentin 1 kohdassa säädettäisiin, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Säännöksen tarkoituksena olisi pysyttää oikeustila nykyisen henkilötietolain 11 ja 12 §:ssä säädetyn kaltaisena. Pykälissä säädetään rikollisiin tekoihin liittyvien tietojen käsittelyn arkaluontoisuudesta sekä nimenomaisesta poikkeuksesta kieltoon käsitellä kyseisiä tietoja oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Uuden tietosuojalain 6 §:n 1 momentin 1 kohta on tärkeä säännös. Selvyyden vuoksi olisi kuitenkin hyvä säätää myös siitä, miten kyseisiä tietoja voi käsitellä silloin, kun on kyse henkilöstöalan kannalta tarpeellisesta tietojen käsittelystä, kuten käsittelystä vir-kamiesoikeudellisia toimenpiteitä harkittaessa. Asetus antaa toki jo 10 artiklan perus-teella oikeuden asetuksen 6 artiklan 1 kohdan mukaisiin käsittelyperusteisiin, mikäli kä-sittely suoritetaan viranomaisen valvonnassa. Jos henkilöstöalan kannalta tarpeellinen henkilötietojen käsittely viranomaisen toiminnassa sisältyy edellä mainittuun asetuksen pääsääntöön, asia on ongelmaton. Yleisen tietosuoja-asetuksen ja ehdotetun tie-tosuojalain muotoiluista ei kuitenkaan täysin selviä, millä perusteella rikostuomioihin liittyviä henkilötietoja voi käsitellä. Tämä on etenkin henkilöstöalan kannalta tärkeä ky-symys, koska kyseisten tietojen käsittely on useissa tilanteissa välttämätöntä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Yhdymme tämän osalta Ficomin kantaan.
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • FiCom pitää tärkeänä, että tietosuojalautakunnan teleyrityksille antamat luvat väärinkäytös- ja viivästystietojen rekisteröimisestä otetaan hallituksen esityksen valmistelussa huomioon siinä missä esimerkiksi vakuutusalankin tarpeet. Teleliittymä on välttämättömyyshyödyke, jonka saatavuus kaikille on erikseen turvattu. Näin ollen myös palveluja tarjoavien yritysten selkeä ja kestävä mahdollisuus suojautua väärinkäytöksiltä tulee taata siirryttäessä soveltamaan yleistä tietosuoja-asetusta ilman katkoksia. Tämä tulee tehdä lisäämällä tietosuojalain kanssa samassa yhteydessä käsittelyoikeuden antava säännös joko tietosuojalakiin tai tietoyhteiskuntakaareen (917/2014). Pykäläehdotus: xx § Teleyrityksen oikeus käsitellä henkilötietoja väärinkäytöstapauksissa Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta teleyrityksen käsitellessä viestintäpalvelujen tarjoamisesta tehtävän sopimuksen yhteydessä tietoja, jotka liittyvät viestintäpalveluiden väärinkäyttöön, kun teleyritys on asianomistaja, identiteettivarkauksien ehkäisemiseen sekä maksuviivästyksiin. Teleyritys saa luovuttaa 1 momentissa tarkoitettuja tietoja myös muille teleyrityksille. Perustelu: xx §. Lakiin ehdotetaan lisättäväksi säännös teleyritysten oikeudesta käsitellä arkaluonteisia henkilötietoja tietyissä tapauksissa. Säännös olisi uusi. Säännös on tarpeen lisätä lakiin, kun asiasta teleyrityksille annettu tietosuojalautakunnan lupa kumoutuu yleisen tietosuoja-asetuksen tullessa voimaan. Säännöksen 1 momentin tarkoitus on antaa teleyrityksille selkeä oikeusperuste väärinkäytöstietojen käsittelyyn sellaisissa tilanteissa, joissa sopimusta tehtäessä teleyritykselle pyritään aiheuttamaan vahinkoa maksuvälinepetoksen, petoksen, oikeudettoman käytön kautta tai maksullista palvelunumeroa väärinkäyttämällä. Pykälän 1 momentti antaisi myös operaattoreille oikeuden käsitellä tietoja, jotka liittyvät rikoslain 38 luvun 9 a §:ssä tarkoitettua identiteettivarkautta hyödyntämällä oikeudettomasti saadun identiteetin käyttämisen ehkäisemiseen. Lisäksi pykälä antaisi oikeuden käsitellä tietoja maksuviivästyksistä sellaisten tilanteiden ehkäisemiseksi, joissa viestintäpalvelusopimus pyrittäisiin tekemään sopijapuolen maksukyvyttömyys salaten ja niin että on perusteltu syy epäillä, ettei sopijapuolen tarkoituksena ole maksaa liittymän käytöstä aiheutuneita maksuja. Pykälän 2 momentin mukaan teleyrityksillä olisi oikeus luovuttaa tietoja myös toisille teleyrityksille. Tämä on tarpeen, jotta väärinkäytökset voidaan tehokkaasti estää. Ehdotetussa pykälässä tarkoitettujen tietojen käsittelyyn sovellettaisiin muutoin yleistä tietosuoja-asetusta.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kelan näkemyksen mukaan 5 § ja 6 §:n ottaminen yleislakiin on perusteltua. Vakuutuslaitoksia koskeva erityissääntely tarpeellinen nykyisen henkilötietolain tapaan.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että erityisiä tietoryhmiä ja rikostuomioita ja rikkomuksia koskevia poikkeuksia tullaan tarvitsemaan useammalla sektorilla kuin työryhmä on mietinnössä tunnistanut. Tämän vuoksi Nokia katsoo, että jatkovalmistelussa olisi syytä tarkentaa, säädelläänkö näistä tietoryhmistä tyhjentävästi uudessa tietosuojalaissa vai onko sääntelyä edelleen myös sektorikohtaisessa lainsäädännössä.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Open Knowledge Finland katsoo, että kansalaisilla on oltava oikeus merkitykselliseen tietoon esimerkiksi päättäjien tai luottamistehtäviin hakevien ehdokkaiden rikostaustaa koskien.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Rikostuomioita ja rikkomuksia koskevassa 6 §:ssä säädetään siitä, että niihin liittyviä henkilötietoja saa käsitellä, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi tai vakuutuslaitos edellä 5 §:ssä mainitussa tarkoituksessa. Tietosuoja-asetuksen 10 artiklan mukaan näiden henkilötietojen käsittely on sallittua, kun se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Esitetyssä tietosuojalaissa ei ole säännöstä näistä asianmukaisista suojatoimista. Tietosuojalakiesitystä tulisi täsmentää tältä osin. Lain kohtaa täsmentäisi toteamus siitä, että näitä tietoja saa käsitellä niin rekisterinpitäjän kuin kolmannenkin oikeusvaateen laatimiseksi, esittämiseksi, puolustamiksi tai ratkaisemiseksi, koska julkisyhteisöt joutuvat usein käsittelemään rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja kolmannen edun vuoksi.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Taidemuseoiden toiminnan kannalta on myös olennaista käyttää asetuksen suoma liikkumavara erityisryhmien henkilötietojen käsittelemiseen. Museoissa, siinä luvussa myös taidemuseoissa on paljon dokumentaatiota, jossa esiintyy saamelaisia, maahanmuuttajia, vammaisia, sukupuoli- ja seksuaalisia vähemmistöjä. Taiteen historia on myös heidän historiaansa.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 5 §. Erityisiä henkilötietoryhmiä koskeva käsittely Ehdotetun säännöksen mukaan ”Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.” Kun potilastietoja käsitellään vakuutuslaitoksen korvausvastuun selvittämiseksi, tietojen käyttötarkoitus alkuperäinen muuttuu. Jos henkilötietojen käsittely on yhteensopimatonta alkuperäisen käsittelyn tarkoituksen kanssa, tietosuoja-asetuksen 6 artiklan 4 kohdan perusteella henkilötietojen käsittelyn on tällöin perustuttava joko rekisteröidyn suostumukseen taikka unionin oikeuteen tai jäsenvaltion lainsäädäntöön. Lainsäädännön on muodostettava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Tietosuoja-asetuksen 6 artiklan 4 kohtaan ja 23 artiklaan perustuvaa anylyysiä ei ole tehty nyt ehdotetun sääntelyn osalta, joten näiltä osin esitystä on syytä täydentää. Tietosuoja-asetuksen 9 artiklan 2 kohdan b ja g alakohdassa edellytetään, että säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen turvaamiseksi. Lainsäätäjän on pystyttävä osoittamaan, mitkä nimenomaiset säännökset suojaavat rekisteröityä, eikä pelkkä erityissääntelyn olemassaolo vielä sellaisenaan täytä tietosuoja-asetuksen vaatimuksia. Nyt ehdotetun säännöksen perusteluissa on mainittu lukuisia erityislakeja, mutta ehdotuksessa ei olla osoitettu, mitkä kyseisten lakien säännöksistä ovat sellaisia, joita voidaan tosiasiallisesti pitää tietosuoja-asetuksen mukaisina suojasäännöksinä. Näin ollen pelkästään säännös, jossa oikeutetaan henkilötietojen käsittely, ei vielä ole tietosuoja-asetuksessa tarkoitettu riittävä tai tehokas suojatoimenpide, kun otetaan huomioon kaikki tietosuojaperiaatteet ja tietosuoja-asetuksen sääntely kokonaisuudessaan. Ehdotuksen 5 §:ä koskevien yksityiskohtaisten perustelujen (s. 143) mukaan ”Vakuutuslaitokset saisivat käsitellä pykälässä tarkoitettuja tietoa ainoastaan sen ollessa tarpeellista vakuutuslaitoksen vastuun selvittämisen kannalta. Ehdotettua säännöstä voidaan pitää siten oikeasuhtaisena.” Koska tietosuoja-asetuksen 5 artiklassa jo säädetään tietojen minimoinnin periaatteesta, perustelu ei tosiasiassa tuo oikeasuhtaisuusarvioon mitään sisältöä, vaan oikeasuhtaisuusarvio näyttää jääneen tekemättä. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn oikeusperusteet muilta osin Henkilötietolain kumoamisesta ja tietosuoja-asetuksen 9 artiklan vaatimista täytäntöönpanotoimenpiteistä johtuen, ei kansallisesti ole voimassa yleistä lainsäädäntöä, jonka nojalla erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voitaisiin käsitellä henkilötietolain 12.1 §:n 5 kohtaa (käsittely, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä), 9 kohtaa (ammattiliittoon kuulumista koskevan tiedon käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla) sekä 13 kohtaa (tietosuojalautakunnan lupa) vastaaviin tarkoituksiin. Nyt lausunnon kohteena olevassa esityksessä ei tarkemmin avata, mitä nyt ehdotetusta muutoksesta seuraa sellaisten käsittelyperusteiden osalta, jotka ovat nyt poistumassa. Mietintöön liitetyssä liikkumavarataulukossa on arvioitu, että ”Yleisen tietosuoja-asetuksen 9 artikla sisältää merkittävää kansallista liikkumavaraa 2 (b), (g)), (h), (i) ja (j) alakohdissa, joka mahdollistaa sektorikohtaisen erityislainsäädännön erityisten henkilötietoryhmien (ns. arkaluonteisten tietojen) osalta.” Tietosuoja-asetuksen 9 artiklan 2 kohdan kansallista liikkumavaraa sisältävissä säännöissä kuitenkin säädetään ”unionin oikeudesta tai jäsenvaltion lainsäädännöstä”. Tietosuoja-asetus ei vaikuta rajoittavan käsittelyperusteista säätämistä erityislakiin, vaan se voi tapahtua myös yleislaissa, silloin kun tietosuoja-asetuksen muut reunaehdot huomioidaan asianmukaisesti ja säädetään asianmukaisista suojatoimista. Tätä taustaa vasten jää epäselväksi, mihin perustuu työryhmän näkemys siitä, että erityisiä henkilötietoryhmiä voitaisiin käsitellä näiltä osin vain sektorikohtaiseen lainsäädäntöön perustuen? Toisaalta vakuutustoiminnan osalta käsittelyperusteen sisällyttäminen yleislakiin on nähty mahdollisena. Linja erityisten henkilötietoryhmien käsittelyperusteista säätämisen suhteen ei näytä johdonmukaiselta. Vakuutusyhtiöiden lisäksi erityisiä henkilötietoryhmiä koskevia tietoja käsitellään myös jatkossa muun muassa perimistoiminnassa, pankeissa, ulosotossa, sosiaalihuollossa, opetustoimessa ja terveydenhuollossa. Ehdotuksen jatkovalmistelun ja muun henkilötietojen suojaa koskevan lainsäädännön läpikäynnin yhteydessä on selvitettävä, mihin 9 artiklan alakohtaan edellä mainittujen erityisten henkilötietoryhmien käsittelytilanteet jatkossa perustuvat (käsittelyn oikeusperuste), ja onko suojatoimia lisättävä nyt säädettävään lakiin tai erityislakeihin. 6 §. Rikostuomioihin ja rikkomuksiin liittyvä käsittely Ehdotuksen 6 §:n 1 momentin 1 kohdassa säädettään oikeudesta käsitellä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Kohdassa vaikuttaa olevan kirjoitusvirhe, sillä siitä puuttuu on -sana. Ehdotuksen 6 §:n 1 momentin 2 kohdan perusteella vakuutuslaitos voi käsitellä näitä tietoja ehdotuksen 5 §:ssä mainitussa tarkoituksessa. Säännöksen mukaan käsittely on mahdollista oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Tällaisia 10 artiklan mukaisia tietoja voi kertyä esimerkiksi tavaratalossa olevan kameravalvonnan kautta, tai yleisellä alueella olevan kameravalvonnan kautta, ja henkilötietojen käsittely on tällöin tarpeen jo ennen, kuin edes päätetään oikeusvaateen laatimisesta. Lisäksi sovinto on tällaisissa tilanteissa mahdollinen, eikä käsittely johda missään vaiheessa oikeusvaateeseen, joten säännöstä olisi syytä muotoilla toisin siten, että se kattaisi myös rikkomuksen selvittämiseen liittyvän käsittelyn. Vastaavia käsittelytilanteita myös moneen muuhun toimintaan kuten tekijänoikeusrikkomusten selvittämiseen. Niiltä kuin tässä yhteydessä säädetään oikeudesta käsitellä 10 artiklassa tarkoitettuja henkilötietoja muussa kuin alkuperäisessä käyttötarkoituksessa, tulisi käyttötarkoitussidonnaisuuden muutoksen johdosta tehdä analyysi tietosuoja-asetuksen 6 artiklan 4 kohdan ja 23 artiklan 1 kohdan mukaisesti (vrt. ehdotuksen 5 §:n arviointi). Ehdotettu sääntely ei sisällä tietosuoja-asetuksen 10 artiklassa vaadittuja suojasäännöksiä. Tämä on otettava huomioon ehdotuksen jatkovalmistelussa. Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyn oikeusperusteet muilta osin Tietosuoja-asetuksen 10 artiklan täsmentämisen yhteydessä on huomioitava, että rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja voidaan käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan perusteella vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien tai vapauksien suojelemiseksi. Rikostuomioiden ja rikkomuksiin liittyvien henkilötietojen käsittely voi eräiltä osin tapahtua tietosuoja-asetuksen 10 artiklan perusteella (silloin, kun se tapahtuu viranomaisen valvonnassa 6 artiklan 1 kohdan perusteella), poliisidirektiivin implementoinnista seuraavan kansallisen lain nojalla sekä niiltä osin, kuin siitä erikseen tietosuojalaissa tai kansallisessa erityislaissa säädetään, tulisi pyrkiä selkeämmin hahmottamaan, miltä osin tällaisille tiedoille on jo olemassa käsittelyperusteet ja miltä osin nyt tarpeen säätää erikseen tietosuojalaissa. Ehdotuksessa säädettyjen tilanteiden lisäksi rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja käsitellään myös jatkossa muun muassa perimistoiminnassa, pankeissa, ulosotossa, sosiaalihuollossa, opetustoimessa ja terveydenhuollossa. Nyt ehdotettu käsittelysäännös ei ole tarpeeksi kattava, kun huomioidaan käytännön käsittelytarpeet. Koska tietosuoja-asetuksen 10 artiklan mukaan kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa, voi olla tarpeen tarkistaa nykyistä sääntelyä oikeuspoliittisen tutkimuskeskuksen osalta.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommenttia.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Mietinnössä todetaan, että on tarpeellista täsmentää erityisten henkilöryhmien käsittelyä koskevia käsittelytilanteita vakuutuslaitosten vakuutustoiminnassa saatujen tietojen osalta, jotta nykytila voi säilyä. Henkilötietolain 12 §:n 11-kohdan oikeustilan säilyttäminen on tärkeätä eläkevakuuttajille ja olemme tyytyväisiä tähän kirjaukseen.
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskus odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Kuopion museokeskuksen museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. Jos lakia tulkitaan tiukimman mukaan, myös suomalaisuus on etninen eli arkaluonteinen tieto.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Viestintävirasto pitää tarpeellisena, että henkilötietolain tapaan säädettäisiin jatkossakin oikeudesta käsitellä henkilötietoja, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH rekisteröi liiketoimintakiellosta annetun lain 21 b §:n mukaisesti rikostuomion yhteydessä annetut liiketoimintakiellot kaupparekisteriin ao. henkilön tietoihin. PRH:n näkemyksen mukaan on tulkinnanvaraista, mahdollistaako nyt ehdotettu 6 § jatkossakin liiketoimintakieltojen käsittelyn. Mietinnössä ei näyttäisi olevan lainkaan perusteluja sille, miksi kansallisessa lainsäädännössä ylipäänsä rajoitettaisiin asetuksen 10 artiklan tarkoittamien tietojen käsittely vain "oikeusvaateen toteuttamiseen tai vakuutuslaitokseen". PRH pitää selkeämpänä, että tältä osin noudatettaisiin tietosuoja-asetuksen 10 artiklaan, jossa todetaan näiden tietojen käsittelystä seuraavaa: "Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi."
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Erityisiä henkilötietoryhmiä koskevaa sitovaa sääntelyä on tietosuoja-asetuksessa, esitetyssä tietosuojalaissa sekä erityslaeissa. Esitetyn tietosuojalain erityisiä henkilötietoryhmiä koskeva sääntely on verrattain suppea, mikä johtaa lisääntyvän erityislainsäädännön tarpeeseen. Kuntaliiton näkemyksen mukaan olisi perusteltua laajentaa tietosuojalain erityisiä henkilötietoryhmiä koskevaa sääntelyä ja yleislaissa avata erityisten henkilötietojen käsittelyperusteita laajemmin. Jos erityisien henkilötietojen käsittelyn osalta turvataan laajasti erityislainsäädännössä oleviin käsittelyperusteisiin on ensinnäkin vaarana, että tärkeitä käsittelytoimia jää käsittelyperusteiden ulkopuolelle. Lisäksi on ilmeinen ylisääntelyn vaara.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • On hyvin tärkeää suojata ns. arkaluonteiset tiedot riitävän kattavasti. Samalla tulisi kuitenkin turvata kansallisten kultturiperintöorgansiaatioiden mahdollisuus kerätä, tallentaa ja julkaista myös muiden kuin valtaväestöön kuuluvien yksityisten ihmisten historiaa. Muutoin kultuturihistoriallinen aineisto köyhtyy. Tältä osin yhdymme arkistosektorin lausunnoissaan esittämään.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Kuten mietinnössä todetaan, henkilötietolain 12 §:n 11 kohdan oikeustilan pysyttäminen on tärkeätä vakuutusalan toimijoille. Mietinnössä ehdotetut tietosuojalain 5 ja 6 §:t toteuttavat tämän tavoitteen asianmukaisesti. On kuitenkin huomattava, että myös muut toimijat kuin vakuutuslaitokset toteuttavat rikostuomioihin ja rikkomuksiin liittyvää henkilötietojen käsittelyä taloudellisten etujensa turvaamiseksi. Esimerkiksi teleoperaattorit ja luottolaitokset käsittelevät rikoksia, rikkomuksia ja niiden kaltaisia väärinkäytöstietoja oman toimintansa yhteydessä ehkäistäkseen ja katkaistakseen alan toimijoihin suunnattuja rikoksia sekä lisätäkseen rikosten tekijöiden kiinnijäämisriskiä. Em. käsittely perustuu henkilötietolain nojalla myönnettyihin tietosuojalautakunnan lupiin, jotka lakkaavat, kun henkilötietolaki kumotaan tietosuojalain säätämisen yhteydessä. Jotta käsittely voi jatkua tietosuoja-asetuksen ja tietosuojalain tullessa voimaan, on erittäin tärkeätä, että lupien kattamasta käsittelystä säädetään erityislainsäädännössä (vakuutusyhtiölaki, laki luottolaitostoiminnasta, tietoyhteiskuntakaari) ja nämä muutokset toteutetaan yhtäaikaisesti tietosuojalain säätämisen kanssa. Tämä edellyttää asiaa koskevan valmistelun kiirehtimistä ao. vastuuministeriöissä yhteistyössä oikeusmi-nisteriön kanssa.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole erityistä lausuttavaa kohtaan. Suomen Asiakastieto Oy pitää tärkeänä, että sektoriministeriöt ryhtyvät välittömästi vaadittavaan lainsäädäntötyöhön, jotta Tietosuojalautakunnan lupien varassa suoritettava käsittely esim. pankkien- ja vakuutusyhtiöiden väärinkäytösrekistereiden osalta voisi jatkua sellaisenaan. Tilanne, jossa näiden tietojen käsittely tulisi lopettaa lainsäädännön puuttumisen takia ei ole hyväksyttävissä.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP pitää erittäin kannatettavana työryhmän esitystä siitä, että vakuutusyhtiöiden harjoittamaa voimassa olevaan henkilötietolakiin perustuvaa käytäntöä on mahdollista jatkaa. Vakuutusliiketoiminnan kannalta on ensiarvoisen tärkeää, että arkaluonteisten tietojen kuten terveydentilatietojen ja rikostuomioihin liittyvien tietojen, käsittelyä voidaan jatkaa vakuutustoiminnassa kuten nykyisin. OP:n käsityksen mukaan riittävä vaikutustenarviointi on tehty jo osana kansallista lainsäädäntömenettelyä, eikä erityistä pakollista 35 artiklan mukaista vaikutuksenarviointi-menettelyä ole siten enää tarpeen liittää tämän käsittelyperusteen yhteyteen (vrt. s. 56 taulukon ehdotus ”Voitaisiin harkita myös vakuutusyhtiöiden osalta suojatoimena”). Kuten 5 pykälää koskevissa yksityiskohtaisissa perusteluissa on tuotu hyvin esille, vakuutustoiminta on yksityiskohtaisesti säänneltyä ja luvanvaraista toimintaa, jolloin rekisteröityjen oikeudet tulevat riittävästi suojatuksi.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • Vakuutetun ja korvauksenhakijan terveydentilaa koskevien tietojen sekä rikostuomioita ja rikkomuksia koskevien tietojen käsittely olisi edelleen mahdollista ehdotetun tietosuojalain 5 §:n ja 6 §:n mukaisesti. Kyseisten tietojen käsittely ja arviointi on vakuutustoiminnan keskiössä. FA pitää nykyisen oikeustilan jatkumista erinomaisen tärkeänä.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Säädökset eivät vaikuta SJL:n jäsenten toimintaan, joten ei kommentoitavaa.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ehdotettu 5 ja 6 § sisältävät erityissäännökset tapauksista, joissa on mahdollista käsitellä erityisiä henkilötietoja. Väestörekisterikeskus kiinnittää huomiota siihen, että yleinen tietosuojalaki on yleislaki, joka sisältää ehdotetussa muodossaan kaksi erityisiä henkilötietoryhmiä koskevaa poikkeusta: vakuutuslaitoksille 5 §:ssä ja yleisemmin tieteelliseen tai historialliseen tutkimukseen sekä tilastointiin 32 §:ssä. Väestörekisterikeskus ymmärtää työryhmän tavoitteen säilyttää nykytila mahdollisilta osin ja varmistaa, että henkilötietolain kumoaminen ei jätä sääntelyyn aukkoja. Kun erityisiä henkilötietoryhmiä koskevia poikkeuksia tullaan todennäköisesti tarvitsemaan useammilla sektoreilla, on kuitenkin epäloogista, että vakuutustoimintaa koskeva pykälä on nyt yksinään sijoitettu yleislakiin. Tässä suhteessa työryhmältä toivottaisiin myös sen vahvistamista, että asetuksen 9 artiklan 2 kohdan g alakohdan mukaisista poikkeuksista tai rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä 10 artiklan mukaisesti ei tyhjentävästi säädetä yleislaissa, vaan sektorikohtainen sääntely on mahdollista. Mikäli 5 §:n ei ole tarkoitus koota useampia poikkeuksia, Väestörekisterikeskus ehdottaa lisäksi, että 5 §:n otsikkoa muutettaisiin vastaamaan sen erityisluonnetta, esimerkiksi ”Erityisiä henkilötietoryhmiä koskeva käsittely vakuutuslaitoksessa”. Laajasti suomalaisessa yhteiskunnassa käsiteltävät erityiset henkilötiedot Väestörekisterikeskus tuo lisäksi esiin huolensa siitä, että tietosuoja-asetuksen 9 artikla asettaa tarkemmat vaatimukset kansallisille poikkeuksille erityisten henkilötietojen käsittelykieltoon. Erityisesti Väestörekisterikeskus toivoo, että TATTI-työryhmän koordinointitehtävän yhteydessä voitaisiin tarkistaa tietosuoja-asetuksen vaikutukset sellaisiin tietoryhmiin, joita käsitellään laajalti suomalaisessa yhteiskunnassa ja erityisesti kansallisissa perusrekistereissä, ja tuoda tällaisen tarkastelun lopputulokset yleiseen tietoisuuteen. Esimerkkinä Väestörekisterikeskus pitää edunvalvontaa koskevia tietoja. Väestörekisterikeskus on omassa toiminnassaan katsonut, että edunvalvontatieto, mukaan lukien tieto toimintakelpoisuuden rajoittamisesta toimintakyvyn heikentymisen perusteella, ei ilmennä tietoa henkilön terveydentilasta tavalla, joka edellyttäisi erityistä perustetta tiedon käsittelylle. Väestörekisterikeskus pitää kuitenkin mahdollisena, että eri viranomaiset ja toimijat voivat päätyä tulkinnassaan erilaisiin lopputuloksiin. Mikäli tieto katsottaisiin erityiseksi, Väestörekisterikeskus ei pidä itsestään selvänä, että holhoustoimesta annetun lain (442/1999) 67 § täyttää asetuksen 9 artiklan g kohdan edellytykset ja mahdollistaa edunvalvontatiedon välittämisen esimerkiksi väestötietojärjestelmästä. Edunvalvontatietoa hyödynnetään laajasti suomalaisessa yhteiskunnassa ja esimerkiksi väestötietojärjestelmästä luovutetaan tietoa edunvalvonnasta monille toimijoille. Väestörekisterikeskus pitäisi suotavana, että edunvalvontatiedon, ja mahdollisesti muiden suomalaiselle yhteiskunnalle keskeisten tietoryhmien asemaa tulkittaisiin keskitetysti.
      • Rakli
        Päivitetty:
        1.9.2017
        • RAKLI katsoo, että jatkovalmistelussa tulee valmistella nyt lausunnolla olevassa esityksessä huomiotta jääneet seikat. Ehdotuksesta puuttuu säännökset henkilötietojen käsittelyn oikeusperusteesta useissa tapauksissa, joihin erityislainsäädäntö velvoittaa. Yritysten on noudatettava muun muassa harmaan talouden torjuntaa ja tilaajavastuuta koskevaa lainsäädäntöä, kansainvälisiä pakotteita koskevia velvoitteita sekä rahanpesun ja terrorismin torjuntaan liittyvää lainsäädäntöä. RAKLIn jäsenet ovat tuoneet esille huolensa liiketoimintakiellon käsittelyn oikeusperusteesta. Tilaajan selvitysvelvollisuudesta annetun lain (1233/2006) mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on laiminlyönyt selvitysvelvollisuuden tai tehnyt sopimuksen liiketoimintakiellosta annetun lain (1059/1985) mukaiseen liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa olevassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Noudattaakseen tilaajavastuulakia yritykset joutuvat siten käytännössä joko tallentamaan tiedon liiketoimintakiellosta tai hakemaan tiedon jostakin ulkopuolisesta palvelusta. Esimerkiksi Tilaajavastuu.fi on alalla yleisesti käytetty tilaajavastuulain ja veronumerolain noudattamista helpottava palvelu. Oikeus liiketoimintakiellon tallentamiseen ja käsittelyyn tulee varmistaa valmisteilla olevassa tietosuojalaissa sekä tilaajana toimiville yrityksille että palveluntarjoajille. On myös otettava huomioon laki eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitteiden täyttämisestä (659/1967) ja rikoslain 46 luvun säännökset. Kansainvälisten pakotteiden kohteena olevien yritysten ja henkilöiden kanssa ei ole lupa ryhtyä taloudelliseen suhteeseen. Suomen Asiakastieto Oy tarjoaa yrityksille tietokanavan pakotteiden noudattamiseksi, jota ilman noudattaminen kävisi käytännössä mahdottomaksi. Ehdotettuun lakiin täytyy lisätä valtuutussäännös pakotetiedon tallentamiseksi henkilötietoihin yrityksille. Lisäksi on mahdollistettava myös palvelun tuottaminen tietokanavan muodossa. Rahanpesun ja terrorismin rahoittamisen estämisestä (laki 444/2017) ja rikoslaki velvoittavat poliittisesti vaikutusvaltaisen henkilön (PEP) tunnistamiseen ja velvoittavat varmistamaan tämän henkilöllisyys. Tieto tulee voida tallentaa henkilötietoihin mainittujen säädösten noudattamiseksi. Valtuutussäännös tulee lisätä lakiin ja mahdollistaa tietojen tallentaminen yksittäisille yrityksille ja palveluntarjoajille.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallituksella ei ole huomautettavaa ehdotetuista säännöksistä.
      • Yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat lainsäädännössään kuitenkin säätää alemmasta ikärajasta, joka ei saa olla alle 13 vuotta. Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista.
      • Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla:
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Pelastakaa Lapset ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansallinen audiovisuaalinen instituutti, Apulaisjohtaja, Mediakasvatus- ja kuvaohjelmayksikön tulosaluepäällikkö, Pekkala Leo
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Ehkäisevä päihdetyö EHYT ry, Jokinen Ilmo
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kuluttajaliitto ry, Konsumentförbundet rf
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • 16 vuotta
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • 15 vuotta
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • 13 vuotta
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • 15 vuotta
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • 13 vuotta
      • Ikärajaa koskevat perustelut
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Effi kannattaa mahdollisimman alhaista eli 13 vuoden ikärajaa. On tärkeää, että teini-ikäiset nuoret pääsevät omaehtoisesti pitämään yhteyttä ystäviinsä ja läheisiinsä. Käytännössä paljon nuoremmatkin kuin 13-vuotiaat ovat jo itsenäisesti mukana sosiaalisen median ja pikaviestintäpalveluissa ja ovat jatkossakin. Vanhempien suostumuksen edellyttäminen teini-ikäisten sosiaalisen median käytöltä ei olisi realistista eikä käytännöllistä. Verkossa on aina palveluita, joita ei valvota yhtä tiukasti kuin suosituimpia palveluita. Olisi lastensuojelunäkökulmasta parempi, että lapset ja nuoret olisivat näiden suurten, valvottujen palvelujen asiakkaita eivätkä etsiytyisi vaihtoehtoisten, mahdollisesti epämääräisempien palveluiden käyttäjiksi. Mikäli ikärajaa ei aleta valvoa esimerkiksi vahvalla sähköisellä tunnistamisella, se jää ohjeelliseksi. Lapsi tai nuori voi aina ilmoittaa ikänsä väärin. Korkea ikäraja kannustaisi lapsia ja nuoria valehtelemaan todellisen ikänsä, mikä vaikeuttaisi lastensuojelullisten käytäntöjen toteuttamista palveluissa. Olisi parempi, että lapset ja nuoret toimisivat palveluissa rehellisesti lapsina ja nuorina, jolloin palvelut voivat esimerkisi määritellä erityisiä turvallisuuskäytäntöjä heidän käyttäjätileilleen. Mikäli ikärajoja haluttaisiin valvoa tehokkaasti, se edellyttäisi sitä, että sosiaalisen median palveluihin ei saisi enää kukaan rekisteröityä ilman vahvaan sähköiseen tunnistamiseen perustuvaa iän varmistamista. Tämä olisi valtava muutos verrattuna nykyisiin käytäntöihin, ja on hyvin kyseenalaista, voidaanko sananvapausnäkökulmasta katsoen sosiaalisen median palveluille asettaa tällaisia vaatimuksia asiakkaiden tunnistamisesta. On myös huomattava, ettei 13 vuoden ikäraja tarkoittaisi sitä, että vanhempien olisi pakko sallia 13 vuotta täyttäneen nuoren rekisteröityä johonkin palveluun. Vanhemmat voisivat toki kasvatuksellisin keinoin rajoittaa nuoren netinkäyttöä ikärajan saavuttamisen jälkeenkin. Ikäraja mahdollistaa ainoastaan sen, että sen ylittänyt nuori voi itsenäisesti rekisteröityä tietoyhteiskunnan palveluihin, mikäli perheessä on niin sovittu. Jotkut lausunnonantajat ovat viitanneet esimerkiksi rikosoikeudelliseen vastuuikärajaan puoltaessaan 15 vuoden ikärajaa. Tämä peruste on mielivaltainen. Yhtä hyvin voitaisiin viitata Suomen lainsäädännössä myös yleiseen 12 vuoden ikärajaan. Esimerkiksi lastensuojelulaissa, uskonnonvapauslaissa ja nimilaissa on useita säännöksiä, joissa ikärajaksi on asetettu 12 vuotta. Effi toivoo, että jatkovalmistelussa annetaan erityistä huomiota lasten ja nuorten parissa työtä tekevien tahojen lausunnoille, joita tätä kirjoittaessa ovat erityisesti Lastensuojelun keskusliitto, Mannerheimin lastensuojeluliitto, Suomen Nuorisoyhteistyö – Allianssi, Pelastakaa Lapset ja kirkkohallitus. Kaikki kannattavat 13 vuoden ikärajaa. Useat korkeampaa ikärajaa lausunnoissaan puoltaneet tahot eivät ole tekemisissä lasten ja nuorten kanssa eivätkä ole sanottavasti perustelleet näkemyksiään.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Teknologiateollisuus ry:n näkemyksen mukaan sovellettavan ikärajan tulisi olla 13 vuotta. Hyödyllisiä nuorille suunnattuja palveluita on paljon, ja nuoret käyttävät palveluita usein hyvin itsenäisesti. Sen lisäksi että korkeampi ikäraja olisi todennäköisesti käytännössä toimimaton ratkaisu, on otettava huomioon että tietoyhteiskuntapalvelut ovat hyvin monimuotoisia eikä korkean ikärajan asettaminen kategorisesti kaikille palveluille soveltamisalaltaan yleisessä tietosuojalaissa ole kannatettavaa. Erityislainsäädännössä voidaan säätää korkeammista ikärajoista palveluille, jotka eivät sovellu lapsille ja nuorille. Harmonisoidusta ikärajasta olisi yrityksille jonkin verran hyötyä, mutta siihen ei EU-tasolla varmastikaan päästä. Sen sijaan tärkeistä kauppakumppanimaista ainakin Ruotsi tullee soveltamaan 13 vuoden ikärajaa.
      • Pelastakaa Lapset ry
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen tavoitteena on parantaa myös alaikäisten suojaa henkilötietojen käsittelyssä ja se asettaa uusia vaatimuksia lapsille ja nuorille suunnatuille verkkopalveluille. Yksi asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajiensa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus säätää kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Tietosuoja-asetuksen täytäntöönpanoa valmisteleva työryhmä on pitänyt mahdollisena joko 13 tai 15 vuoden ikärajan asettamista. Asiasta on keskusteltu runsaasti myös muissa jäsenmaissa ja Pohjoismaista ainakin Ruotsi ja Norja ovat päätymässä 13 ikävuoteen. Lastensuojelun Keskusliiton lapsille ja nuorille tekemässä kyselyssä noin 80 % vastaajista piti 15 vuotta alhaisempaa ikärajaa parhaana vaihtoehtona. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta siitä, että mikäli huoltajien lupaa koskeva ikäraja asetetaan korkealle, se vaikuttaa kielteisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Osallisuus digitaalisessa kulttuurissa on lapsille ja nuorille merkittävä osa arkea, ilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Pelastakaa Lapset ry esittää, että kyseinen ikäraja asetetaan 13 vuoteen.
      • Kansallinen audiovisuaalinen instituutti, Apulaisjohtaja, Mediakasvatus- ja kuvaohjelmayksikön tulosaluepäällikkö, Pekkala Leo
        Päivitetty:
        8.9.2017
        • Säädettävän ikärajan perusteista Tietosuoja-asetuksessa ja TATTI -työryhmän raportissa esitetylle ikähaarukalle 13-16 vuotta ei ole tutkimuspohjaista perustetta. Lapsen kehityksen näkökulmasta voidaan vain todeta, että jokainen lapsi kehittyy yksilöllisesti ja biologisen ikärajan määrääminen on aina keinotekoista. Suomi on ratifioinut Lapsen oikeuksia koskevan yleissopimuksen vuonna 1991 ja se on sitova. Lapsen oikeuksia koskevan yleissopimuksen (SS 60/1991) 13 artiklassa turvataan jokaisen lapsen sananvapaus. Artiklan mukaan lapsella on oikeus ilmaista vapaasti mielipiteensä. Tämä oikeus sisältää vapauden hakea, vastaanottaa ja levittää kaikenlaisia tietoja ja ajatuksia yli rajojen suullisessa, kirjallisessa, painetussa, taiteen tai missä tahansa muussa lapsen valitsemassa muodossa. Lapsen sananvapauden käytölle voidaan asettaa rajoituksia, mutta vain sellaisia, jotka ovat välttämättömiä muun muassa väestön terveyden tai moraalin suojelemiseksi. Lisäksi sopimuksen mukaan ”Lapsen näkemykset on otettava huomioon lapsen iän ja kehitystason mukaisesti. (12 artikla)” Erityisesti tästä näkökulmasta katsoen esitetty 16 vuoden ikäraja loukkaa lasten oikeuksia ja aliarvioi heidän kykyään hankkia tietoa ja muodostaa mielipiteitä sekä voi loukata heidän yksityisyydensuojaansa, mikäli heidän on pyydettävä huoltajan suostumus sellaisten palvelujen käyttöön, joiden käytön he haluaisivat pitää yksityistietonaan. Medialukutaitoa edistettävä Tietosuoja-asetus ei ota kantaa muihin toimenpiteisiin, joilla perimmäistä tarkoitusta, tässä tapauksessa lasten henkilötietojen suojaamista, tulisi edistää. 8 artiklan mukaan ”Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen[….]” Palveluntarjoajia tulisikin velvoittaa kehittämään palveluitaan niin, että niiden käyttö on turvallista myös lapsille, ja tarvittaessa kevyempi, lapsille käytettävissä oleva tunnistautuminen olisi mahdollista. Palveluntarjoajien taloudellisen hyödyn tavoittelun henkilötietoja hyväksikäyttämällä ei tulisi olla ylivertainen yksilönsuojaan nähden. Se, että minkä ikäinen on oikeutettu tekemään näitä sopimuksia, ei itseasiassa muuta tätä ongelmaa lainkaan. Palveluntarjoajat tulisi myös voida velvoittaa edistämään kaikkien kansalaisten medialukutaitojen kehittämistä. Medialukutaitoa pyritään edistämään mediakasvatuksen avulla. Mediakasvatus yhdistyy laajemmin yhteiskunnan hyväksymiin kasvatuksen perimmäisiin tavoitteisiin, joina voidaan pitää hyvää elämää, demokratiaa, ihmisoikeuksien kunnioittamista, rauhaa ja toimivaa yhteiskuntajärjestelmää. Tämä voi toteutua vain yhteiskunnassa joka aktiivisesti pyrkii mahdollisuuksien tasa-arvoon ja hyvinvoinnin jakautumisen oikeudenmukaisuuteen. Hyvän elämän saavuttaminen edellyttää kykyä ja mahdollisuutta osallistua oman elämänsä rakentamiseen, mikä nyky-yhteiskunnassa tarkoittaa muun muassa laaja-alaista toimijuutta suhteessa mediaan. Tätä toimijuutta ei tule tarpeettomasti rajoittaa ikärajoilla, joille ei ole olemassa kunnon perusteita. Lapsia ja nuoria ei tule sulkea yhteiskunnan ulkopuolelle aikana, jolloin digitaalinen osallistuminen on yhä useammin ainoa tapa osallistua millekään elämänalueelle. KAVI kannattaa myös monien muiden lausunnonantajien tavoin lapsivaikutusten perusteellista arviointia. 13 vuotta säädettävä kansallisen lainsäädännön ikärajaksi Näyttää siltä, että erityisesti Pohjoismaissa ollaan päätymässä 13 vuoden ikärajaan. Pohjoismaisen osallistavan ja kannustavan yhteiskuntamallin kannalta olisi perusteltua, että Suomessa noudatetaan tätä samaa linjaa. KAVI:n kanta on, että kansallisessa lainsäädännössä tulisi säätää ikärajaksi alin mahdollinen eli 13 vuotta.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Sopiva ikäraja olisi 13 vuotta, mikä vastaisi ikää, jossa nuori voi alkaa tekemään kesätöitä huoltajansa suostumuksella. Työelämässä työntekijät käyttävät jo nyt erilaisia tietoyhteiskuntapalveluita työtehtävien hoitamiseen (esim. pikaviestipalvelut). Nuorten kesätyöntekijöiden ja harjoittelijoiden olisi hyvä päästä tutustumaan samoihin työkaluihin kuin työntekijöidenkin ilman, että ensin olisi pyydettävä erikseen suostumusta vanhempainvastuun kantajilta.
      • Yleisradio Oy
        Päivitetty:
        8.9.2017
        • Lasten ikärajan valinnassa tulee pyrkiä mahdollisimman yhdenmukaiseen ikärajaan muiden Pohjoismaiden kanssa. Lasten sananvapauden ja digiyhteiskuntaan osallistumisen mahdollisuudet tulee tulee huomioida ikärajasta päätettäessä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • FiCom pitää 13 vuotta perusteltuna ratkaisuna, koska 13-vuotiaat käyttävät jo runsaasti tietoyhteiskunnan palveluja. Nuorten oma päätäntävalta tältä osin keventäisi palveluja tarjoavien yritysten hallinnollista taakkaa. Lisäksi pohjoismainen oikeusyhtenäisyys puoltaa asetuksen mahdollistaman jouston hyödyntämistä.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kela ei nykyisessä toiminnassaan tarjoa asetuksessa tarkoitettuja suostumukseen perustuvia tietoyhteiskunta palveluita lapsille, mutta mielestämme yleisesti ikärajan tulisi olla Suomessa sama kuin muissa EU-maissa, vähintään on pyrittävä samaan ikärajaan muiden Pohjoismaiden ja Viron kanssa, jos laajempaa yhteisymmärrystä ei saavuteta. Kelan näkemys on, että 15 vuoden ikäraja olisi kansallisesta näkökulmasta yhdenmukainen muun lainsäädännön kanssa. Esimerkiksi hallintolain 14 §:n mukaan 15 vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Kuten mietinnöstäkin ilmenee, on tärkeä kiinnittää huomiota alaikäisten suojeluun myös tietojenkäsittelyn näkökulmasta. Näitä seikkoja on ansiokkaasti otettu huomioon uudessa tietosuoja-asetuksessa, jossa nostetaan esiin mm. se, että kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä. Lapseen ei myöskään saa kohdistaa profilointia, joka asetuksen mukaan tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi. Lisäksi mietinnössä on otettu huomioon, että alle 18-vuotias voisi jatkossakin tehdä ilman vanhemman tai huoltajan suostumusta vain tavanomaisia ja merkitykseltään vähäisiä ostoksia. Katsomme, että on erittäin keskeistä, että asetuksella määritettävä ikäraja ei kuitenkaan koske etänä toteutettavien ennaltaehkäisevien ja neuvontapalveluiden käyttöä, jota lasten ja nuorten tulisi ehdottomasti saada myös jatkossa ilman vanhempien erillistä suostumusta. Kuten mietinnössä oli joidenkin kannanottojen osalta todettu, internetin käyttö ja sosiaalisen median palvelut ovat kuitenkin nyky-yhteiskunnassa hyvin tärkeäksi koettu osa nuorisokulttuuria ja keskeinen tapa olla vuorovaikutuksessa muiden ikätovereiden kanssa. Asetuksessa lähtökohtana pidetty 16 vuoden ikäraja on korkea ottaen huomioon digitalisaation lisääntyminen ja se, että esimerkiksi valtaosassa nuorten käyttämistä sosiaalisen median palveluista ikäraja on tällä hetkellä 13 vuotta. On tärkeää, että nuoret voivat itsenäisesti hankkia tietoa ja käydä keskustelua internetissä erityisesti aiheista, joista koetaan vaikeaksi keskustella niin vanhempien kuin muiden aikuisten tai ikätovereidenkin kanssa. Myöskään kehityksellisesti ei ole perusteltua, että ikäraja asetettaisiin 16 ikävuoteen. Nuoruusiän kehitystehtäviin kuuluu irtautua vanhemmista ja suunnata aiempaa enemmän ikätovereihin ja ympäröivään maailmaan, ja nuoria tulisi tukea tässä itsenäistymiskehityksessä myös tiedonsaannin ja verkkoympäristöissä toimimisen osalta. Jos ikäraja on liian korkea, riskinä on, että nuoret esimerkiksi luovat profiileita virheellisillä tiedoilla ja käyttävät palveluita nykyistä enemmän salassa ja ilman aikuisten opastusta tai valvontaa. Näin ollen palkansaajakeskusjärjestöt kannattavat mahdollisimman alhaisen ikärajan, eli 13 ikävuoden, soveltamista tulevassa tietosuojalaissa.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelut eivät ensisijaisesti koske terveyspalveluita, mutta niitä ei ole liiton käsityksen mukaan täysin suljettu ko. määritelmän ulkopuolelle, jos terveydenhuollon ammattihenkilön ja potilaan kontakti tapahtuu sähköisesti. Tästä syystä Lääkäriliitto katsoo tarpeelliseksi jatkotyössä peilata ikärajaa myös suhteessa siihen, mitä alaikäisen päätöksenteosta on säädetty terveydenhuollon lainsäädännössä. Potilaan asemasta ja oikeuksista annetussa laissa ei ole säädetty tiettyä ikärajaa siihen, milloin alaikäinen voi tehdä itsenäisesti terveydenhuoltoaan koskevia päätöksiä. Alaikäisen potilaan mielipide hoitotoimenpiteeseen on selvitettävä silloin, kun se on hänen ikäänsä ja kehitystasoonsa nähden mahdollista. Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen kanssaan. Käytännössä jo 10-12 vuotiaan on katsottu voivan esimerkiksi kieltää terveydenhuoltoaan koskevien tietojen antamisen huoltajalle. Toisaalta lääketieteellisestä tutkimuksesta annetun lain mukaan 15 vuotta täyttänyt alaikäinen, joka ikäänsä, kehitystasoonsa sekä sairauden ja tutkimuksen laatuun nähden kykenee ymmärtämään tutkimuksen tai tutkimustoimenpiteen merkityksen, voi itsenäisesti suostua tutkimukseen. Liitto toteaa myös palvelujen käyttämisen haasteena, että kovin nuorella alaikäisellä ei välttämättä ole joidenkin palvelujen käyttämiseen tarvittavia varmennekeinoja käytettävissään.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulee olla 13 vuotta. Tietoyhteiskunnan palvelut ovat monimuotoinen joukko erilaisia palveluja. Tulevaisuudessa yhä useampi perinteinen palvelu muuttuu tietoyhteiskunnan palveluksi. Jo nyt hyvinkin nuoret käyttäjät hyödyntävät tietoyhteiskunnan palveluita usein täysin itsenäisesti. Näin ollen ikäraja on myös tästä syystä tarpeen asettaa kansallisesti mahdollisimman lähelle vallitsevaa nykykäytäntöä. Monet tietoyhteiskunnan palvelut ovat sellaisia, joita 13-vuotias voi käyttää itsenäisesti ilman vanhempien suostumusta. Vaikka tietoyhteiskunnan palveluihin liittyvä ikäraja ei vaikuta kansalliseen velvoite- ja sopimusoikeuteen, niin käytännössä se tulee asettamaan 13 vuoden ikärajan palveluille, jotka ”ei sähköisessä” -muodossa olisivat tavanomaisia ja merkitykseltään vähäisiä. Ikärajan asettaminen korkeammaksi kuin 13 vuotta voi myös olennaisesti vaikuttaa lasten mahdollisuuteen osallistua sosiaalisen kanssakäymiseen sekä haitata lasten itseilmaisua yhä digitalisoituvassa yhteiskunnassa. Ottaen huomioon tietoyhteiskunnan palveluiden monimuotoisuuden, Nokia ei pidä järkevänä, että kansallisesti säädettäisiin kaikkia tietoyhteiskunnan palveluja kategorisesti koskevat ikäraja, joka olisi muu kuin 13 vuoden vähimmäisikäraja. Myös pohjoismaiset harmonisointinäkökohdat puoltavat tätä ikärajaa.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Ei kantaa asiaan.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan tarjoamia palveluista tavallisesti maksetaan rahallinen korvaus. Joskus palveluntarjoajalle riittävä korvaus on nimenomaisesti sen saamat henkilötiedot, joita voidaan käyttää esimerkiksi markkinointitarkoituksessa. Pääsääntöisesti lapsella ei ole oikeustoimikelpoisuutta tehdä kuin vähäisiä oikeustoimia. Ikärajaa tulisi tarkastellakin sen mukaan, milloin voidaan lapsen katsoa olevan riittävän kypsä harkitsemaan henkilötietojensa luovuttamisen merkitystä. Tämä puoltaisi mieluummin 15 vuoden kuin 13 vuoden ikärajaa. Viidentoista vuoden ikää on pidettävä sopivampana ikärajana kuin kolmeatoista vuotta myös, koska viidentoista vuoden ikää on pidetty oikeudellisesti merkityksellisenä rajana laajalti muualla lainsäädännössä. Rikoslain 3 luvun 4 §:n mukaan rangaistusvastuun edellytyksenä on, että tekijä on teon hetkellä täyttänyt viisitoista vuotta ja on syyntakeinen. Viisitoista vuotta täyttänyt saa myös nuorista työntekijöistä annetun lain nojalla tehdä itse työsopimuksen. Oikeudenkäymiskaaren 12 luvun 1 § 2 momentin viimeisen virkkeen mukaan alaikäinen käyttää huoltajan tai muun laillisen edustajan ohella itsenäisesti puhevaltaansa henkilöään koskevassa asiassa, jos hän on täyttänyt 15 vuotta.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelujen käyttöä koskevat säännökset on sijoitettu tietoyhteiskuntakaareen. Työryhmän mietinnössä ei ole esitetty vakuuttavia perusteluita sille, miksi säännöstä ei voisi sijoittaa tietoyhteiskuntakaareen osaksi muuta palvelujen käyttöä koskevaa sääntelyä. Peruste sille, että tietoyhteiskuntakaaren tietoyhteiskunnan palvelua koskeva määritelmä ei vastaisi tietoyhteiskunnan palveluja koskevaa direktiiviä perustuu ilmeiseen väärään tulkintaan. Suomi ei ole voinut määritellä käsitettä toisin kuin direktiivissä ja toisaalta vaikka sanamuoto ei vastaa täysin direktiivin sanamuotoa, vastaa se sisällöllisesti kuitenkin samaa. Tietoyhteiskunnan palvelu on EU-oikeudellinen käsite eikä sitä ole voitu kansallisesti määritellä toisin. Työryhmän näkemys tarkoittaisi sitä, että tietoyhteiskuntakaaressa ei olisi implementoitu kaikilta osin direktiiviä.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • Allianssi vaatii, että tietosuoja-asetus ei rajaa nuorten mahdollisuuksia osallistumiseen, vaikuttamiseen ja oppimiseen. Tämän vuoksi työryhmän jatkovalmistelussa tulee perusteellisesti arvioida ikärajan asettamisen vaikutukset lasten ja nuorten oikeuksiin ja asemaan. Korkeiden ikärajojen asettamisen sijaan nuorten tulee jo varhaisessa vaiheessa saada tutustua mediaan sekä oppia tutkimaan ja kyseenalaistamaan median sisältöjä. Edellä mainituista syistä Allianssi kannattaa 13 vuoden ikärajaa, joka on alin säädettävissä oleva ikäraja.
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Lapsen tietoyhteiskunnan palveluiden käytön oikeuksien takaamiseksi ikäraja suostumuksen vaatimiselle on perusteltua pitää alhaisena.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Taidemuseoiden tai muiden kulttuuriorganisaatioiden tarjoamien palvelujen luonne.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kantaa ikärajaan. Lapset kehittyvät hyvin eritahtisesti. Tämä näkyy erityisesti nuoremmissa ikäryhmissä siinä, että samanikäisten lasten kyky käsitellä ja ymmärtää tarjolla olevaa tietoa on hyvin erilainen. Asettamalla ikäraja riittävän korkealle pystytään turvaamaan lapsia mm. palveluihin liittyviltä taloudellisilta riskeiltä.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Muissakin kansallisissa säännöksissä ikärajana sovelletaan 15 vuotta ja tätä ikärajaa on käytetty jo monissa palvelutoteutuksissa.
      • Ehkäisevä päihdetyö EHYT ry, Jokinen Ilmo
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus rajoittaa lasten henkilötietojen käsittelyä ilman huoltajien suostumusta (tietosuoja-asetus 8 artikla). Ikärajan asettaminen määrittää alaikäisen mahdollisuudet käyttää esimerkiksi sosiaalisen median palveluja ilman huoltajiensa lupaa. Tämä on EHYT ry:n toiminnan näkökulmasta keskeinen kysymys. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen osallistumisoikeuden ja suojelun välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta ikärajan asettamisesta liian korkealle, jolloin se vaikuttaa kielteisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Osallisuus digitaalisessa kulttuurissa on lapsille ja nuorille merkittävä osa arkea, itseilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Ehkäisevä päihdetyö EHYT ry esittää, että kyseinen ikäraja asetetaan 13 vuoteen. Tietosuoja-asetuksen johdannossa määritellään, että ”Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle”. Tätä ei ole kuitenkaan huomioitu asetuksen artikloissa ja se jättää siten tulkintavaraa. Tietosuoja-asetus jättää myös tulkinnanvaraa siihen, mikä on ennalta ehkäisevä palvelu tai neuvontapalvelu. Ministeriön jatkotyöskentelyssä tulee tarkemmin määrittää, mitä näillä palveluilla tarkoitetaan. Ehkäisevä päihdetyö EHYT ry:n lisäksi useat muut Suomessa toimivat tuki- ja neuvontapalvelut käyttävät kaupallista alustaa toimintaympäristönään. Epäselväksi jää, vaaditaanko vanhempainvastuunkantajan suostumus myös tällaisissa tilanteissa. Lapsille ja nuorille tulee jatkossakin varmistaa pääsy laadukkaisiin matalan kynnyksen tuki- ja neuvontapalveluihin verkossa.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Ei kommenttia.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelulla tarkoitetaan tietoyhteiskuntakaaren (917/2014) mukaan sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavaa palvelua. Tavanomainen vastikkeellisuus viittaa lähinnä siihen, että kyseisellä palvelulla yleensä on taloudellista merkitystä ja palvelun toimittaminen liittyy taloudelliseen toimintaan. Palvelun ei sen sijaan tarvitse olla sen vastaanottajalle vastikkeellinen (HE 221/2013 vp ja HE 194/2001 vp). Tietoyhteiskunnan palveluja ovat mm. sovellusten lataaminen internetissä, sosiaalisen median käyttö, videosisältöjen katselu verkossa ja käyttäjän sähköinen tunnistaminen verkkopalveluissa. Tietoyhteiskunnan palvelujen tarjoamista koskevat säännökset on sisällytetty tietoyhteiskuntakaaren 22 lukuun. Säännökset koskevat mm. palveluntarjoajan tiedonantovelvollisuuksia, sopimuksia ja vastuuvapautta tiedonsiirto- ja tallennuspalveluissa sekä tallennettaessa välimuistiin. Tietoyhteiskuntakaari sisältää myös säännökset siitä, milloin ja miten tietoyhteiskunnan palvelun tarjoaja voi käsitellä välitystietoja, kuten IP-osoitetta ja puhelinnumeroa. Tietoyhteiskuntakaareen sisältyy eräitä säännöksiä, joissa on otettu kantaa siihen, milloin alaikäistä edustaa hänen huoltajansa. Tietoyhteiskuntakaaren 134 §:n mukaan teleyrityksen on käyttäjän sitä pyytäessä annettava laskun yhteyskohtainen erittely, jossa on eritelty viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot täydellisesti. Alle 15-vuotiasta käyttäjää edustaa hänen huoltajansa. Tietoyhteiskuntakaaren 162 §:n mukaan sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa ja tiedonsaantioikeutta koskevassa asiassa alle 15-vuotiasta edustaa myös hänen huoltajansa. Lisäksi lapsen edustamisesta säädetään lapsen huollosta ja tapaamisoikeudesta annetussa laissa (361/1983). Viestintäviraston näkemyksen mukaan tietoyhteiskunnan palveluita koskevan alaikäraja voisi olla tietoyhteiskuntakaaren kanssa yhdenmukaisesti 15 vuotta (kuten 134 § ja 162 §). Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista. Koska tietoyhteiskunnan palvelut voivat sisältää toisistaan poikkeavia palveluita (esim. pelit ja terveydenhuolto), Viestintävirasto pitää tarkoituksenmukaisena sitä, että yleisen tietosuoja-asetuksen ikäraja olisi yleinen ikäraja, mutta erityislainsäädännössä voitaisiin tarvittaessa säätää tästä poikkeavista ikärajoista. Viestintävirasto katsoo, että esimerkiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) saattaa olla tarvetta säätää yleistä ikärajaa alemmasta ikärajasta. Tunnistuspalvelujen tarjoajat muodostavat 1.5.2017 alkaen luottamusverkoston (lain 12a §), joka koostuu tunnistusvälineiden tarjoajista ja tunnistusvälityspalveluista. Tämänhetkisiä vahvoja sähköisiä tunnistusvälineitä Suomessa ovat verkkopankkitunnukset (TUPAS), teleyritysten mobiilivarmenteet ja Väestörekisterikeskuksen kansalais-, organisaatio-, sosiaali- ja terveydenhuollon varmenteet. Osa tunnistusvälineiden tarjoajista ei myönnä välineitä Viestintäviraston tiedon mukaan tällä hetkellä alle 15-vuotiaille. Tunnistusvälineiden tarjoajat ovat tiedustelleet Viestintävirastolta yleisesti, minkä ikäisille tunnistusvälineitä voitaisiin myöntää. Viestintävirasto on todennut neuvonnassaan, että välineen myöntäjän on ratkaistava asia yleisen sääntelyn (kuten holhouksen) ja oman riskiarvion perusteella. Vahva sähköinen tunnistaminen on sinällään jo tietoyhteiskunnan palvelu. Sitä hyödynnetään asiointipalveluissa, joita myös pidetään tietoyhteiskunnan palveluina. Näin ollen tietosuoja-asetuksen 8 artikla on myös otettava huomioon, kun arvioidaan tunnistusvälineiden myöntämistä alaikäisille. Tietoyhteiskunnan palveluita, kuten sovellusten lataamista, tarjottaneen jatkossakin alaikäisillä tyypillisesti ilman vahvaa sähköistä tunnistamista. Jos tarvitaan vahvaa sähköistä tunnistamista, on todennäköistä, että sähköiseen asiointiin rakenteilla oleva asiointivaltuuspalvelu (eli ns. ROVA) voisi tulla kysymykseen. Väestörekisterikeskuksen tarjoama ROVA ratkaisee niin alaikäisten kuin muuten vajaavaltaisten sähköiseen tunnistamisen siten, että tunnistetaan edustaja ja edustajan valtuutus tarkistetaan. Käytännössä ROVA toimii siis siten, että huoltajan tulee tehdä tunnistautuminen alaikäisen puolesta. Myös yksityisillä asiointipalveluilla on oikeus käyttää asiointivaltuuspalvelua. ROVA ei sen sijaan sisällä Viestintäviraston tiedon mukaan ainakaan tällä hetkellä toiminnallisuutta, jolla saataisiin tieto siitä, kuka on alaikäisen käyttäjän huoltaja. Näin ollen tällä hetkellä ei ole mahdollista toteuttaa käyttötapausta, jossa alaikäinen käyttäisi tietoyhteiskunnan palvelua hyödyntäen vahvaa sähköistä tunnistamista ja palvelu löytäisi suostumuksen pyytämistä varten suoraan tiedon alaikäisen huoltajasta. Teknisen toiminnallisuuden toteuttaminen edellä mainittua käyttötapausta varten luottamusverkostossa vaatii aikaa ja voi olla teknisesti haastavaa. Haastavaksi muodostuu se, miten saadaan tieto alaikäisen käyttäjän edustajasta, kun alaikäinen henkilö tunnistautuu asiointipalveluun. Tämä problematiikka tulisi huomioida asian jatkovalmistelussa.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • Tietoyhteiskuntakaaressa säädetään sijaintitietojen käsittelyyn liittyvästä 15-vuoden ikärajasta. Lain 162 §:n mukaan sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa ja tiedonsaantioikeutta koskevassa asiassa alle 15-vuotiasta edustaa hänen huoltajansa. Sääntely perustuu yli kymmenen vuotta sitten annettuun sähköisen viestinnän tietosuojalakiin. Teknologisen kehityksen myötä digitaalinen toimintaympäristö on muuttunut merkittävästi kymmenessä vuodessa. Nykyään sähköiset viestintäpalvelut sekä sosiaalisen median palvelut ovat erittäin suosittuja myös nuorien keskuudessa ja osa myös nuorien arkipäivää. Esimerkiksi Viestintäviraston tuottaman viestintäpalvelujen kuluttajatutkimuksen (https://www.viestintavirasto.fi/tilastotjatutkimukset/tutkimukset/viestintapalvelujenkuluttajatutkimus.html) mukaan 93 % 15-24 vuotiaista on käyttää matkapuhelimellaan vähintään kerran kuussa tai useammin sosiaalisen median palveluita, kun 50-64 vuotiaista vastaava osuus on 41 %. Oulun kaupungin sivistys- ja kulttuuripalveluiden julkaiseman SoMe ja nuoret 2016 –kyselytutkimuksen mukaan 13-17 vuotiaista nuorista vain n. 4 % käyttää sosiaalisen median palveluita 0-1 tuntia viikossa, kun taas n. 18 % 6-9 tuntia viikossa ja 14 % 10-14 tuntia (http://www.ebrand.fi/somejanuoret2016/1-nuoret-ja-ajankaytto/). Tietoyhteiskunnan palvelujen tarjoamisen ikärajan arvioinnissa tulisikin ottaa huomioon nuorten viestintätapojen kehittyminen. Tässä valossa liikenne- ja viestintäministeriö katsoo, että tietoyhteiskunnan palvelujen tarjoamisen ikäraja voisi olla 13 vuotta.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML:lla ei ole vahvaa näkemystä lapselle sovellettavasta ikärajasta. Jos jäsenvaltioille tai Pohjoismaille ei muodostu yleistä linjaa niin 15 vuoden ikärajan asettamista tukisi nykykäytäntö ja muussa kotimaisessa lainsäädännössä olevat ikärajat. Toisaalta iso osa alle 13-vuotiaista käyttää internetin palveluita aktiivisesti ja ilman huoltajien suostumusta, jolloin keinotekoisen korkeamman ikärajan asettaminen voi hyvin johtaa ainoastaan rajoitusten kiertämiseen.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitolla ei ole kantaa ikärajaan. Ikärajan määräytymisessä huomioon täytyy ottaa sääntelyvaihtoehtojen todelliset vaikutukset sekä sivistystoiminnassa että sosiaali- ja terveydenhuollossa. Sivistystoiminnan arkipäivään kuuluu eri ohjelmien ja järjestelmien käyttö, joihin osittain voi liittyä tietoyhteiskunnan palvelun tarjoaminen. Sosiaali- ja terveystoiminnassa taas alaikäisen kypsyysikä, jolloin hän itse voi päättää esimerkiksi omien tietojen käytöstä mm. tietojärjestelmissä, määräytyy nykyisin lääkärin kullekin yli 10 vuotiaalle teemän kypsyysarvioinnin pohjalta.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Kirjastopalveluiden ja kirjastojen kokoelmien käyttö tulee mahdollistaa koululaisille ja muille alaikäisille.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Suomessa hyvinkin nuoret käyttäjät hyödyntävät tietoyhteiskunnan palveluita itsenäisesti. Muusta kuin asetuksen sallimasta 13 vuoden ikärajasta säätäminen ehdotetussa soveltamisalaltaan yleisessä tietosuojalaissa olisi siten teennäistä ja johtaisi nuorten käyttäjien itseilmaisun kannalta epätyydyttävään lopputulokseen, kuten työryhmän mietinnössä todetaan. Mietinnössä todetaan, että jatkovalmistelun aikana otetaan huomioon, mihin ikärajaan useimmat EU:n jäsenvaltiot ja erityisesti muut Pohjoismaat päätyvät. EK toteaa, että jos nopeasti skaalautuva yritys haluaa luoda palveluunsa sisämarkkinoita varten yhdenmukaisen käytännön, sen on joka tapauksessa noudatettava korkeinta ikärajaa, jonka joku EU:n jäsenvaltioista valitsee – oli ikärajasta säädetty millä tavalla tahansa kansallisessa lainsäädännössä. Kansallisesti ikärajaa ei siten ole syytä säätää 13 vuotta korkeammaksi siksi, että joissakin muissa EU:n jäsenvaltioissa niin säädettäisiin. Toisaalta – mikäli harmonisointinäkökohdille haluttaisiin antaa erityistä merkitystä, Ruotsissa ikärajaksi ehdotettaneen säädettävän 13 vuotta.
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen tavoitteena on parantaa myös alaikäisten suojaa henkilötietojen käsittelyssä ja se asettaa uusia vaatimuksia lapsille ja nuorille suunnatuille verkkopalveluille. Yksi asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajiensa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus sopia kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Tietosuoja-asetuksen täytäntöönpanoa valmisteleva työryhmä on pitänyt mahdollisena joko 13 tai 15 vuoden ikärajan asettamista. Asiasta on keskusteltu runsaasti myös muissa jäsenmaissa ja Pohjoismaista ainakin Ruotsi ja Norja ovat päätymässä 13 ikävuoteen. Lastensuojelun Keskusliiton lapsille ja nuorille tekemässä kyselyssä noin 80 % vastaajista piti 15 vuotta alhaisempaa ikärajaa parhaana vaihtoehtona. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Lapsen oikeuksien kannalta keskeisiä on turvata lapsen hyvinvointi ja kehitys (lapsen oikeuksien sopimuksen 6 artikla ja koko sopimuksen sisältö), oikeus ilmaista mielipiteensä, joka sisältää vapauden hakea, vastaanottaa ja levittää tietoja ja ajatuksia (13 artikla), oikeus tulla kuulluksi ja vaikuttaa itseään koskeviin asioihin (12 artikla), oikeus saada tietoa median välityksellä (17 artikla), oikeus suojeluun (3 artiklan 2 kappale). On myös varmistettava, ettei tietosuojalainsäädäntö lisää lasten keskinäistä eriarvoisuutta (lapsen oikeuksien sopimuksen 2 artikla, syrjinnän kielto) ja että lainsäädännön vaikutukset lapsiin ja lapsen oikeuksiin arvioidaan ja että arvioinnin perusteella lapsen etu asetetaan päätöksenteossa etusijalle (3 artiklan 1 kappale). Lapsen etu muodostuu lapsen oikeuksien kokonaisuuden parhaasta mahdollisesta toteutumisesta. Osallisuus digitaalisessa kulttuurissa ja monet sosiaalisen median palvelut ovat lapsille merkittävä osa arkea, ilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Jos ikäraja asetetaan korkeaksi, se rajoittaa lasten mahdollisuuksia toimia digitaalisessa kulttuurissa ja lasten vertaissuhteille tärkeissä sosiaalisen median palveluissa, jotka ovat osa lasten arkea. Lapsen oikeus vaikuttaa itseään koskeviin asioihin on turvattu niin lapsen oikeuksien sopimuksessa, perustuslaissa kuin lapsenhuoltolaissakin. Jos ikäraja on kovin korkea, lapsen oikeus vaikuttaa itseään koskeviin asioihin ikänsä ja kehitystasonsa mukaisesti voi vaarantua. MLL esittää, että ikäraja olisi 13 vuotta. Ikärajan asettaminen on kuitenkin vain yksi lasten oikeuksien toteutumiseen verkkomaailmassa vaikuttava toimenpide. Keskeistä on, miten muut lasten kannalta merkittävät tietosuoja-asetuksen velvoitteet toteutuvat käytännössä. Useiden verkkopalveluiden ehdot ovat lapsen näkökulmasta vaikeaselkoisia. Lasten tulee saada verkkopalveluissa tarvitsemaansa tietoa ymmärrettävällä tavalla, jotta he tietävät, mihin ovat sitoutumassa ja mihin heidän henkilötietojaan kerätään. Tätä edellyttää myös tietosuoja-asetus. Tietosuojatyöryhmän mietintö jättää avoimeksi useita lasten oikeuksien kannalta keskeisiä kysymyksiä, joihin tarvitaan vastauksia ennen kuin asetusta aletaan soveltamaan. Esimerkiksi miten huolehditaan siitä, että huoltajan suostumuksen varmentaminen mahdollistaa lapsille verkkopalveluiden käytön yhdenvertaisesti. Riskinä esimerkiksi luottokortilla tapahtuvassa varmentamisessa on, että se syrjii perheitä heidän sosioekonomisen asemansa perusteella. Lisäksi voi eteen tulla tilanteita, jossa lapsen vanhemmat asuvat erillään mutta ovat molemmat lapsensa huoltajia ja erimielisiä lapsensa verkkopalvelun käytön suhteen. Riittääkö yhden huoltajan suostumus tällaisessa tilanteessa ja jos riittää, niin kumpi heistä päättää? Tietosuoja-asetuksen johdannossa määritellään, että ”Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle”. Tätä ei ole kuitenkaan huomioitu asetuksen artikloissa ja jättää siten tulkintavaraa. Tietosuoja-asetus jättää myös tulkinnanvaraa siihen, mikä on ennalta ehkäisevä palvelu tai neuvontapalvelu. Monet Suomessa toimivat tuki- ja neuvontapalvelut käyttävät kaupallista alustaa toimintaympäristönään. Lapsille ja nuorille jatkossakin tulee varmistaa pääsy laadukkaisiin matalan kynnyksen tuki- ja neuvontapalveluihin verkossa. Lasten ja nuorten osallisuus ja oikeus turvallisiin mediaympäristöihin ja digitaaliseen osaamiseen vaativat pitkäjänteistä työtä ja yhteistä vastuunkantamista. Mediakasvatus on entistä keskeisemmässä roolissa, jotta lapset ja nuoret voisivat käyttää verkkopalveluita turvallisesti ja mielekkäällä tavalla. Vahvaa panostusta tarvitaan lasten ja nuorten mediakasvatuksen lisäksi huoltajien ja ammattilaisten taitojen ja tietoisuuden vahvistamiseen. Digitaaliseen osallisuuteen ja mediaympäristöissä tarvittavien taitojen harjoittamiseen kannustavat myös uudet varhaiskasvatuksen ja perusopetuksen opetussuunnitelmien perusteet. Tietosuoja-asetuksen toimeenpanossa on huomioitava myös mediakasvatustyön mahdollistaminen kouluissa. Jos ikäraja asetetaan korkeaksi, se heikentää käytännön mediakasvatustyön mahdollisuuksia kouluissa.
      • Kuluttajaliitto ry, Konsumentförbundet rf
        Päivitetty:
        8.9.2017
        • Kuluttajaliitto katsoo, että 13-vuotiaat ja sitä nuoremmat ovat tottuneet käyttämään internetin palveluita ilman huoltajien suostumusta. Työryhmämuistiossa viitatun vuonna 2011 tehdyn brittiläisen tutkimuksen mukaan 77 % 13–16-vuotiaista lapsista ilmoitti perustaneensa profiilin johonkin sosiaalisen median palveluun. Kuluttajaliitto katsoo myös, että ikärajan asettamisen 15 tai 16 vuoteen voi johtaa siihen, että lapset pyrkivät kiertämään ikärajan antamalla palvelulle virheellistä tietoa iästään. Edellä mainitun tutkimuksen mukaan sosiaalisen median palveluita käyttää 38 % 9–12 -vuotiaista lapsista ikärajoista huolimatta. Kuluttajaliitto on tietoinen lasten verkkoympäristössä kohtaamista ongelmista. Keinotekoisten ikärajojen asettaminen ei välttämättä kuitenkaan ole tehokkain keino ongelmien ehkäisemiseen ja ratkaisemiseen tilanteessa, jossa suuri osa lapsista ei noudata ikärajoja. On esimerkiksi tärkeää saada verkkoon toimijoita, jotka osaavat ja haluavat ottaa lasten edut huomioon – pahimmillaan liian korkeat ikärajat voivat estää lainkuuliaisten ja vastuullisten tahojen toiminnan. Kuluttajaliitosta on tärkeää, että lapsille ja nuorille tarjotaan riittävästi tietoa heille sopivalla tavalla heihin liittyvistä asioista: verkkopalveluun liittyvät tiedot (esim. ohjeet palvelun käytöstä ja tieto siitä, mihin sitoutuu) pitää antaa sellaisella tavalla, että lapsi ja nuori ymmärtää, mihin hän on sitoutumassa ja millaisia riskejä palvelun käyttöön liittyy. Kuluttajaliitto haluaa korostaa myös mediakasvatuksen merkitystä. Mediakasvatus on keskeisessä roolissa, jotta lapset voivat käyttää turvallisesti verkkopalveluita. Opetussuunnitelman mukaan mediakasvatusta annetaan alakoulusta lähtien. On tärkeää, että lapsia opetetaan mahdollisimman varhaisessa vaiheessa verkkopalveluiden käyttöön. Opetuksessa on otettava huomioon säädösten ohella lasten todellinen käyttäytyminen, esimerkiksi ikärajojen kiertäminen.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Laillisuusvalvojana en ota asiaan kantaa.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole vahvaa kantaa lapselle sovellettavan ikärajan suhteen. Suomen Asiakastieto Oy perustelee 15 vuoden ikärajaa sillä, että ko. ikärajaa käytetään luottotietolaissa rajana, minkä ikäisestä henkilöstä voi luottotietorekisteriin rekisteröidä tietoja.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Viidentoista vuoden ikäraja olisi yhteneväinen hallintolain 14.3 §:n mukaisen ikärajan kanssa, jonka mukaan viisitoista vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta. Samoin viidentoista vuoden ikäraja olisi yhteneväinen tietoyhteiskuntakaaren 162.3 §:n kanssa asiassa, joka koskisi sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa tai tiedonsaantioikeutta.
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Ikärajaa pohdittaessa on otettava huomioon lapsen oikeudet, erityisesti oikeus osallistua tietoyhteiskuntaan ja toisaalta lastensuojelulliset näkökulmat. Lakimiesliitto katsoo, että mahdollisimman yhdenmukainen ikäraja Euroopan unionin tasolla olisi kannatettavaa tavaroiden ja palveluiden vapaan liikkuvuuden turvaamiseksi.
      • Helsingin seudun liikenne -kuntayhtymä
        Päivitetty:
        8.9.2017
        • Ehdotetun tietosuojalain 2 luvun 4 §:n eli tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavaan ikärajan osalta HSL esittää toiveenaan, että ikäraja määritettäisiin yhteneväiseksi tietoyhteiskuntakaaressa säädetyn ikärajan kanssa (sijaintitiedon käsittelyä koskeva 162 § 3 mom.). Olettavasti tietosuoja-asetuksen/tietosuojalain ja tietoyhteiskuntakaaren säännökset tulevat usein käytännössä sovellettaviksi samassa yhteydessä, esimerkiksi mobiilipalvelujen tarjoamisessa, ja yhtenäiset ikärajat helpottaisivat tällaisten palvelujen tuottamista.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla näkemyksemme mukaan 15 vuotta. 15-vuotias voi luottolaitoslain mukaan avata itse tilin omille työansioilleen ja päättää kyseisten varojen käytöstä. Tällöin myös tietoyhteiskunnan palvelujen ostaminen omilla varoilla ilman vanhempien lupaa on mahdollista. Sama ikäraja helpottaisi käytännössä säännösten soveltamista. Ikärajan määritteleminen on käytännössä erittäin haastavaa. Lisäksi rekisterinpitäjän saattaa olla käytännössä mahdotonta selvittää luotettavasti lapsen todellinen ikä, ellei käyttäjiä tunnisteta ja todenneta vahvasti. Vahva sähköinen tunnistusväline on kuitenkin yleensä vasta täysi-ikäisillä. Korkea ikäraja voi houkutella alaikäistä käyttäjää antamaan väärän tiedon iästään.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Rajoitettu rikosoikeudellinen vastuu alkaa, joten 15 vuoden ikä lienee sopiva.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • 15 vuoden ikärajaa sovelletaan myös monessa muussa kansallisessa säännöksessä.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi toteaa, ettei se tarjoa tällä hetkellä sellaisia tietoyhteiskunnan palveluita lapselle, joiden käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 a alakohdan mukainen suostumus. Trafi käsittelee henkilötietoja pääasiassa lakisääteisen velvoitteen noudattamiseksi, eikä käsittelyn oikeusperustana ole suostumus. Tulevaisuudessa digitalisaation kehittyessä voi käsittely perustua suostumukseen myös Trafissa. Tulevaisuuden kehitys huomioiden Trafi katsoo asianmukaiseksi ikärajaksi 15 vuotta. Edellä todettua ikärajaa tukee myös muu kansallinen lainsäädäntö, kuten esim. hallintolaki.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskuksella ei ole erityistä mielipidettä tietoyhteiskunnan palvelujen tarjoamisen ikärajaan. Väestörekisterikeskus toteaa kuitenkin, että kansalaisvarmenne, joka sisältää tunnistautumisen asiointipalveluihin ja sähköisen allekirjoituksen, voidaan myöntää jo 12-vuotiaalle.
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • Tietosuoja-asetuksen 8 artiklan tarkoituksena on parantaa lasten henkilötietojen käsittelyn suojaa. Tietoyhteiskunnan palveluilla (direktiivi 2015/1535) tarkoitetaan laajasti erilaisia sähköisesti tarjottavia etäpalveluita, myös sellaisia yhteisö- ja ajanvietepalveluita, joista ei makseta vastikkeena rahaa. Näissä palveluissa vastikkeena toimivat henkilötiedot, jotka kuluttaja luovuttaa palveluntarjoajalle kirjautuessaan palveluun. Sosiaalisen median palveluille ja mobiilipeleille on tyypillistä, että mm. henkilötietojen käsittelyyn liittyvät käyttöehdot ovat hyvin pitkiä ja vaikeaselkoisia ja antavat palveluntarjoajalle usein rajoittamattomat mahdollisuudet käyttää kuluttajan palveluun tuottamaa sisältöä hyväkseen ja toisaalta rajoittavat merkittävästi kuluttajan oikeuksia. Henkilötietojen käsittelyä koskevasta ikärajasta säädettäessä tulisi kiinnittää huomiota siihen, minkälaisia ehtoja palveluissa tosiasiassa käytetään ja minkä ikäisellä lapsella on kyky ymmärtää niiden sisältö ja merkitys oikeuksiinsa ehdot hyväksyessään. Tässä suhteessa merkitystä ei ole sillä, edellyttääkö palvelun käyttäminen rahallista vastiketta vai ei. Holhoustoimilain 24 §:n mukaan vajaavaltainen voi tehdä oikeustoimia, jotka ovat olosuhteisiin nähden tavanomaisia ja merkitykseltään vähäisiä. Huoltajan suostumuksen tarvetta arvioitaessa otetaan huomioon muun muassa ostajan ikä sekä ostoksen hinta ja laatu. Suostumuksen antamista henkilötietojen käsittelemiseen ei ole yleensä pidettävä tavanomaisena tai merkitykseltään vähäisenä oikeustoimena, kun otetaan huomioon se, miten henkilötietoja on mahdollista palveluntarjoajien käyttöehtojen mukaan käyttää. Siksi tietosuoja-asetuksen tarkoittaman ikärajan pitäisi olla vähintään 15 vuotta.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • Tietosuoja-asetus rajoittaa lasten henkilötietojen käsittelyä ilman huoltajien suostumusta (tietosuoja-asetus 8 artikla). Se, mihin asetetaan ikäraja, joka määrittää, milloin alaikäinen voi käyttää esimerkiksi sosiaalisen median palveluja ilman huoltajien lupaa, on ollut työryhmän valmisteluprosessissa keskeinen kysymys. Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista (tietosuojalakiehdotus 4 §). Asetuksen 8 artikla koskee vain sitä toimintaa, jonka henkilötietojen käsittelyn oikeusperustana on suostumus. Tietosuoja-asetuksen mukaan vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle (johdanto 38 kohta). Ministeriön jatkotyöskentelyssä tulee tarkentaa, mitä näillä palveluilla tarkoitetaan. LSKL pitää ongelmallisena sitä, että mietinnöstä puuttuu perusteellinen lapsi- ja perhevaikutusten arviointi: mitä erilaisia vaikutuksia lasten ja huoltajien asemaan on ikärajan asettamisella joko 13 tai 15 vuoteen. Keskusliitto on perinteisesti suhtautunut kriittisesti biologisten ikärajojen asettamiseen ilman kunnollisia perusteluita siitä, miksi juuri kyseistä ikärajaa ehdotetaan tai miksi se on valittu. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta siitä, että mikäli huoltajien lupaa koskeva ikäraja asetetaan liian korkealle, se vaikuttaa negatiivisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Sosiaalinen media on keskeinen (päivittäinen) väline sosiaalisen kanssakäymiseen nuorille ja mahdollistaa osallistumista omassa ystäväpiirissä. Lapsen oikeuksien komitea on korostanut somen ja digitaalisen median merkitystä ja mahdollisuuksia esim. vammaisten lasten osalta. Se on siis tärkeä osa lasten osallistumisen mahdollisuuksia ja tämä tulee ottaa huomioon, kun ikärajakysymystä liittyen tietosuoja-asetukseen arvioidaan. Ikärajan asettaminen liian korkealle voi olennaisesti vaikeuttaa lapsien mahdollisuutta sosiaaliseen kanssakäymiseen ja mahdollisuuksiin ilmaista itseään verkossa. Toisaalta on tuotu esille, että verkkoympäristössä toimimisessa on riskejä, joita nuorten on vaikea hallita. Esimerkiksi Lastensuojelun Keskusliiton kyselyssä lapsille ja nuorille (13-17 -vuotiaille) tuli esille, että nuoret olivat joutuneet sosiaalisessa mediassa tilanteisiin, joissa heidän kuviaan tai sosiaalisen median profiiliaan oli väärinkäytetty. Yleisin sosiaalisen median haittapuoli oli tiedoista tai kuvista aiheutuva kiusaaminen. Lisäksi lapsen oikeuksien komitea on useissa eri yhteyksissä nostanut esille verkkopalveluiden sisältämiin mainoksiin liittyvät ongelmat ja haitat lasten ja nuorten osalta. Yleisesti on myös moitittu epäselviä ja vaikeatajuisia verkkopalveluiden käytön ehtoja: aikuisellekin on haastavaa ymmärtää, mihin niissä sitoutuu. (Kuluttaja-asiamiehen lausunto yleisen tietosuoja-asetuksen tietoyhteiskunnan palveluihin liittyvän lapsen suostumusta koskevasta 8 artiklasta: ”Sosiaalisen median palveluille ja mobiilipeleille on tyypillistä, että mm. henkilötietojen käsittelyyn liittyvät käyttöehdot ovat hyvin pitkiä ja vaikeaselkoisia ja antavat palveluntarjoajalle usein rajoittamattomat mahdollisuudet käyttää kuluttajan palveluun tuottamaa sisältöä hyväkseen ja toisaalta rajoittavat merkittävästi kuluttajan oikeuksia.”) Keskusliitto korostaa, että ikäraja lasta suojaavana ja toisaalta lapsen osallisuutta mahdollistavana tekijänä on riippuvainen siitä, miten jatkovalmisteluissa kyetään turvaamaan jäljempänä (kohdassa ”Muita huomioita työryhmän mietinnöstä ja ehdotuksesta hallituksen esitykseksi”) esille tuotuja lasten oikeuksiin vaikuttavia seikkoja. EU:n tietosuoja-asetuksen 8 artiklan mukaisten ikärajojen asettaminen on koettu haasteelliseksi myös muissa Euroopan maissa. Irlannissa ikäraja on päädytty asettamaan 13 ikävuoteen. Sitä puolsi esim. The Children´s Rights Alliance (Submission to the Department of Justice and Equality on the Age of Consent for Digital Media). Ruotsissa SOU:n (Statens offentliga utredningar) mietinnössä (Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning, Betänkande av Dataskyddsutredningen 2017:39) ehdotetaan kyseiseksi ikärajaksi 13 vuotta. Kolmentoistavuoden ikärajasta on keskusteltu myös Norjassa, Espanjassa sekä Puolassa. Saksa on päätynyt ja Hollanti ja Unkari ilmeisesti päätymässä 16 vuoden ikärajaan. Itävalta on päätynyt 14 vuoden ikään. Lastensuojelun Keskusliiton nuorille suunnatussa kyselyssä keräsi eniten kannatusta 13-vuoden ikäraja, jota kannatti 43 % vastaajista. Toiseksi eniten ääniä sai 14-vuoden ikäraja 20 %:n äänimäärällä. Asetuksen määrittämän lähtökohtaisen 16-vuoden ikärajan kannalla oli ainoastaan 5 % kysymykseen vastanneista. Huomionarvoista oli, että vanhemmat vastaajat asettaisivat palveluille nuorempia korkeampia ikärajoja. Kysyttäessä nuorilta palvelukohtaisia ikärajoja hajaantuivat vastaukset siten, että Facebookille, Instagramille, SnapChatille sekä Twitterille ehdotettiin eniten 13-vuoden ikärajaa, kun taas verkkopelien, Youtuben ja WhatsAppin osalta eniten toivottiin 12-vuoden ikärajaa. (Lastensuojelun Keskusliitto toteutti keväällä 2017 nuorille suunnatun verkkokyselyn, jossa kartoitettiin mm. nuorten näkemyksiä sopivista ikärajoista. Kyselyä levitettiin verkossa Keskusliiton yhteistyökumppaneiden avulla ja siihen saatiin yhteensä 113 vastausta. Vastaajista 60 % oli tyttöjä ja 34 % poikia. Muun sukupuolisia oli 4 % vastaajista. Loput 2 prosenttia eivät ilmoittaneet sukupuoltaan Suurin osa vastaajista oli 17-vuotiaita. Raportti kyselyn tuloksista tullaan julkaisemaan syksyllä Lastensuojelun Keskusliiton verkkosivuilla.) LSKL korostaa, että lainvalmisteluun olennaisesti kuuluva lapsivaikutusten arviointi pitää sisällään myös lasten ja nuorten omien näkemysten ja mielipiteiden selvittämisen päätöksenteon tueksi.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Mietinnössä (s. 75) on asianmukaisesti pidetty lähtökohtana Yhdistyneiden kansakuntien lapsen oikeuksien yleissopimusta ja Euroopan unionin perusoikeuskirjaa, kun käydään rajanvetoa tietoyhteiskunnan palveluihin liittyvän lapsen ikärajan osalta. Yleisen tietosuoja-asetuksen 8 artiklan 1 kohdan mukaan jos 6 artiklan 1 kohdan a alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Jäsenvaltiot voivat lainsäädännössään säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta. Ulkoasiainministeriö katsoo, että yleisen tietosuoja-asetuksen 8 artiklan tarkoituksena on parantaa lasten henkilötietojen suojan tasoa ja korkeammalla ikärajalla voitaisiin lähtökohtaisesti varmistua lasten henkilötietojen käsittelyn lainmukaisuudesta. Mietinnössä (s. 121) on mainittu, että Internet voi tarjota esimerkiksi seksuaalisen identiteetin tai vaikean perhetilanteen kanssa kamppailevalle teini-ikäiselle lapselle mahdollisuuden hakea apua ja vertaistukea. Teknologian on katsottu vahvistavan lasten asemaa, sillä teknologian ansiosta lapset eivät ole riippuvaisia aikuisista hankkiessaan tietoa erityisesti arkaluonteisista aiheista. Toisaalta on huomioitava myös lapsen oikeuksien yleissopimuksen 19 artiklan mukainen lasta koskeva suojelullinen elementti, joka soveltuu myös tietoyhteiskunnan palveluihin. Lisäksi Suomessa rikosoikeudellisen vastuun ikäraja on 15 vuotta. Sitä nuorempana rikokseen syyllistyneitä ei rangaista, koska heitä ei pidetä rikosoikeudellisesti syyntakeisina. Muissakin kansallisissa säännöksissä ikärajana sovelletaan 15 vuotta. Ulkoasiainministeriö pitää edellä mainitut seikat huomioiden perusteltuna, että jos EU:n jäsenvaltioilla tai Pohjoismailla ei ole yleistä ja yhdenmukaista linjaa tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, sovellettavan ikärajan tulisi olla 15 vuotta.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Ehdotuksen perusteluissa on tuotu esille, että lapsella on YK:n lapsen oikeuksien sopimuksen 6 artiklan nojalla oikeus kehittymiseen, ja sosiaalisen median vaikutus siihen on nykyään suuri. Kirkkohallitus sinänsä yhtyy tähän näkemykseen, mutta haluaa tuoda samalla esille, että sosiaalisessa mediassa henkilötietojen väärinkäytön riskit ovat myös suuret. Vaikka esimerkiksi 13 vuotiaalla lapsella on monesti hyvät tietotekniset valmiudet käyttää tietoyhteiskunnan palveluja, välttämättä lapsen kehitystaso ja ymmärrys eivät kuitenkaan ole palvelun kokonaisuuden hahmottamisen edellyttämällä tasolla. Kuitenkin seurakuntatyön, erityisesti rippikoulutyön kannalta 13 vuoden ikäraja on tarkoituksenmukaisin.
  • Lausunnonantajia: 40
    3 luku. Valvontaviranomainen
      • Asian selvittämiseksi seuraamuslautakunnassa voitaisiin toimittaa tarvittaessa suullinen käsittely. Seuraamuslautakunnan olisi toimitettava suullinen käsittely, jos asianosainen pyytää sitä. Suullisessa käsittelyssä voitaisiin kuulla asianosaisia, todistajia ja asiantuntijoita sekä vastaanottaa muuta selvitystä. Tämä olisi yksi oikeusturvatae määrättäessä hallinnollisia sakkoja, jotka voivat nousta huomattavan korkeiksi.
      • Yleiset kommentit suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • MMM katsoo, että suulliseen käsittelyyn seuraamuslautakunnassa tulisi pystyä osallistumaan nykyaikaisia sähköisiä viestintäkeinoja käyttämällä. Tällaisen etäosallistumista koskevat yleiset edellytykset tulisi säännellä hallintokäyttölaissa ja MMM katsoo, että etäosallistumisen mahdollistamat muutokset tulisi tehdä suoraan hallintokäyttölakiin.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Hallinnollisten sakkojen määräämisessä tulisi käyttää kansallista liikkumavaraa vähemmistöön jääneiden työryhmän edustajien perustein. Suullinen käsittely: Hallinto-oikeus toteaa 16 §:n säännöksen asia huomioon ottaen sinänsä perustelluksi. LHH: Ensisijaisesti hallintolainkäyttölaki on kuitenkin tarkoitettu käytettäväksi vai tuomioistuintoiminnassa. Salassapito: Ehdotuksen 20 §:n 3 momentissa on erityissäännössäännös asianosaisen oikeudesta saada tieto ilmoituksen tekijän henkilöllisyydestä. Henkilötietojen luovuttamisesta viranomaisten henkilörekistereistä on kuitenkin voimassa yleislakina ehdotuskohdassakin mainittu laki viranomaisten toiminnan julkisuudesta (julkisuuslaki). Näin ollen on perustellumpaa lausua nimenomaan viranomaisen asiakirjoihin liittyvästä asianosaisen tiedonsaantioikeudesta ja sen rajoittamisperusteista julkisuuslain 11 §:n 2 momentissa ja säätää viittaussäännös nyt valmisteilla olevaan lakiin.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Suomen Yrittäjät kannattavat mahdollisuutta toimittaa tarvittaessa suullinen käsittely oikeusturvan takaamiseksi.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Oikeus tulla kuulluksi on keskeinen oikeusturvan tae. Teknologiateollisuus ry kannattaa 16 §:ssä ehdotettua säännöstä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Kannatamme sinänsä suullisen käsittelyn mahdollisuutta. Huomattavien sanktioiden vuoksi tämä on tärkeä oikeusturvan tae. Toivoisimme kuitenkin, että sääntelyn monimutkaisuuden ja tulkinnanvaraisuuden vuoksi kansallisen tietosuojaviranomaisen rooli olisi jatkossakin ensisijaisesti ohjaava ja neuvova. Resurssit tulisi lähtökohtaisesti käyttää painottuen tähän rooliin. Suurien sanktioiden asettaminen tulisi olla viimesijaista ja tulla kyseeseen ainoastaan tilanteissa joissa rikkomus johtuu selvästä tahallisuudesta tai välinpitämättömyydestä. Se, että ohjaava viranomainen on valtuutettu antamaan merkittäviä sanktioita voi toimia korkeampana kynnyksenä sille, että toimijat rohkenevat pyytämään ohjausta. Suosittelisimme työryhmän miettimään vaihtoehtoa, että sanktioiden määrääminen kuuluisi (viraston esityksestä) riippumattomalle tuomioistuimelle.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Pykälä on yhdenmukainen hallintolainkäyttölain suullista käsittelyä koskevien 37 ja 38 §:n kanssa. Suullinen käsittely toimii myös seuraamuslautakunnassa osaltaan oikeusturvan takeena. Suullisen käsittelyn mahdollisuus on järkevä oikeusturvaa ja kuulluksi tulemisen tunnetta lisäävä linjaus. Hallinto-oikeus on nähdäksemme oikea taho käsittelemään nämä luultavasti lukumäärältään varsin vähäiset asiat.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia pitää suullisesta käsittelystä seuraamuslautakunnassa oikeusturvan kannalta hyvänä ja perusteltuna.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Open Knowledge Finland kannattaa suullisen kuulemisen mahdollisuutta. Käsittelyn tulee olla mahdollisimman avointa ja laaja-alaista, sillä kyseessä ovat tärkeät periaatteelliset kysymykset, joissa perusteita tulee käsitellä asianmukaisessa laajuudessa.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • On perusteltua, että seuraamuslautakunnassa toimitetaan suullisia käsittelyjä. Toivottavaa on, että seuraamuslautakunta ei kovin helpoin perustein katsoisi, että suullinen käsittely on asian laadun vuoksi tai muusta syystä ilmeisen tarpeetonta, koska suullisessa käsittelyssä asian osapuolten näkemyksiä voidaan käsitellä perusteellisemmin ja on myös mahdollisuus kuulla todistajia. Erityisesti tämä on toivottavaa tietosuoja-asetuksen soveltamisen alkuvaiheessa, jolloin hallinnollisten sakkojen tasot eivät ole vielä vakiintuneet.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Lakiluonnoksessa ei ole säädetty selkeästi onko seuraamuslautakunnan toiminta hallintomenettelyä vai lainkäyttöä. Sääntely, jossa hallintomenettely ja hallintolainkäyttö sekoittuvat seuraamuslautakunnan menettelyissä, on omiaan vaarantamaan perustuslain 21 §:ssä turvatun yksilön oikeusturvan sekä hyvän hallinnon toteutumisen. Koska seuraamuslautakunta käyttää merkittävää julkista valtaa ja toiminta vaikuttaisi olevan tietyntyyppistä tuomiovallan käyttöä, tulisi menettelyjen noudattaa hallintolainkäyttölakia. Toisaalta tämän tyyppisissä lautakunnissa sovelletaan hallintolakia, ellei joiltakin osin ole toisin säädetty. Itä-Suomen yliopiston näkemyksen mukaan seuraamuslautakunnan menettelysäännöksiä on tarkennettava. Esimerkkinä voisi käyttää lakia yhdenvertaisuus –ja tasa-arvolautakunnasta.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotuksen 16 §:ssä on säädetty, että suullinen käsittely voitaisiin järjestää seuraamuslautakunnassa vain samoissa tilanteissa kuin hallinto-oikeudessa. Hallinto-oikeuden käsityksen mukaan olisi hyvä vielä tarkentaa, onko rekisteröity asianosainen hallinnollisen sakon määräämistä koskevassa asiassa ja voiko hän valittaa lautakunnan päätöksestä hallinto-oikeuteen. Ilmeisesti rekisteröidyn ei ole tarkoitus olla asianosainen, koska asia tulisi vireille seuraamuslautakunnassa tietosuojavaltuutetun toimesta. Asianosaisuuskysymystä olisi kuitenkin hyvä perusteluissa tarkentaa.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Yhtenä haasteena erilaisten lautakuntien käytännön toiminnassa on ollut niiden ole-maton tai rajoitettu mahdollisuus kuulla todistajia ja vastaanottaa muuta asian ratkai-semisen kannalta tarpeellista selvitystä. On hyvä, että tämä haaste on lakiluonnok-sessa selvästikin tunnistettu ja kyetty ratkaisemaan mahdollistamalla suullinen käsit-tely lautakunnassa.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Kannatamme ehdotettua tietosuojalain 16 §:ää. Se on keskeinen myös hallinnollisten sakkojen kannalta.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML pitää suullisen käsittelyn mahdollisuutta perusteltuna oikeusturvatakeena.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus mahdollistaa hyvinkin korkeat hallinnolliset sanktiot, joilla saattaa olla toimijan kannalta hyvin suuri merkitys. On tärkeää, että oikeusturvasta huolehditaan. Esitetty suullinen käsittely on menettelynä kannatettava.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Oikeus tulla kuulluksi on keskeinen oikeusturvan tae. EK kannattaa ehdotettua tietosuojalain 16 §:ää, joka tuo seuraamuslautakunnan toimintaa prosessuaalisesti hallintolainkäyttölain puitteisiin.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen mukaiset hallinnolliset sakot ovat ankaruustasoltaan täysin eri mittaluokassa kuin mikä on ollut suomalaisen oikeusjärjestelmän perinne. Tästä syystä pidän tärkeänä, että hallinnollisen sakon määräämistä koskevat asiat käsitellään jo seuraamuslautakunnassa mahdollisimman perusteellisesti. Kannatan ehdotusta suullisesta käsittelystä. Asian valmistelussa on seurattava hallintolainkäyttölakiin kaavailtuja muutoksia (työryhmän ehdottama laki oikeudenkäynnistä hallintoasioissa).
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP kannattaa suullista käsittelyä asianosaisen oikeusturvan takaamiseksi mietinnössä esitetyillä perusteluilla.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • SJL suhtautuu myönteisesti esitettyyn suulliseen käsittelyn mahdollisuuteen seuraamuslautakunnassa.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Seuraamuslautakunnan tulisi  käsittelyssään arvioida,  onko  henkilötiedot suojattu noudattaen hyvää tiedonhallintatapaa, riittävää tietoturvallisuuden tasoa hallinnollisten ja teknisten suojaamiskeinojen osalta. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto katsoo, että säännös suullisesta käsittelystä seuraamuslautakunnassa on asianosaisen oikeusturvan kannalta hyvä ja perusteltu ratkaisu.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommenttia.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Ulkoasiainministeriö pitää säännöstä suullisesta käsittelystä seuraamuslautakunnassa asianosaisen oikeusturvan kannalta hyvänä ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää tärkeänä, että asiaan vaikuttavat tosiseikat selvitetään mahdollisimman perusteellisesti. Tästä syystä suullisen käsittelyn järjestäminen pääsääntöisesti olisi perusteltua. Asianosaisen pyytäessä suullista käsittelyä se voitaisiin kirkkohallituksen mielestä jättää järjestämättä vain poikkeuksellisesti.
      • Muut yleiset kommentit valvontaviranomaista koskevasta 3 luvusta.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojaluonnoksen 10 §:n (kelpoisuusvaatimukset ja nimitysperusteet) osalta jää epäselväksi, miksi yhdessä tapauksessa vaaditaan tarvittavien henkilökohtaisten ominaisuuksien omaamista ja toisessa taas tehtävän hoidon edellyttämää muuta pätevyyttä. Olisi hyvä, että perusteluissa jollain tapaa luonnehdittaisiin säännöksiä. Tietosuojalakiluonnoksen 20 §:n 2 momentissa säädetään ilmiantajan henkilön nimen salassapidosta. Pykäläkohtaisten perustelujen mukaan tietosuoja-asetuksen 54 artiklan 2 kohta edellyttää tätä. MMM toteaa, että tietosuoja-asetuksen 54 artiklan 2 kohta on tulkinnanvarainen. Tietosuoja-asetusta koskevassa Ruotsin selvityksessä (SOU 2017:39; s. 261-262) todetaan, että todennäköisesti säännöksessä tarkoitetaan rekisterinpitäjän tai henkilötietojen käsittelijän liike- ja toimintaolosuhteita, jotka tietosuojavastaava voi saada tietoonsa tehtävää hoitaessaan. Ruotsin selvityksen mukaan ei voi sulkea pois sitäkään vaihtoehtoa, että tarkoituksena olisi ollut suojata ilmiantajan nimeä tai muita henkilön henkilökohtaisia olosuhteita. Suomessa on asiaa jo joltain osin tarkasteltukin ilmiantajan suojan tarvetta. Tältä osin MMM viittaa OM:n mietintöön korruptioepäilyistä ilmoittavien henkilöiden suojelusta (OM Selvityksiä ja ohjeita 25/2016) ja Valtion virkamieseettisen toimikunnan raporttiin (VM:n julkaisu 3/2014). VM:n raportin 3.4 luvussa todetaan, että väärinkäytösten paljastajien suojelu (whistleblower protection) on vierasta suomalaiselle työelämälle. MMM katsoo, että sama koskee viranomaistoimintaa. MMM katsoo, että ilmiantajan henkilöllisyyden salassapitoa tulisi kuitenkin tarkastella laajemmassa asiayhteydessä. Muutkin viranomaiset saavat ilmiantoja, joiden osalta voisi ehkä tulla kyseeseen ilmiantajan nimen suojaaminen. MMM ei pidä perusteltuna sitä, että erityissäännöksin jatkossa säädettäisiin ilmiantajan henkilöllisyyden salassapidosta. Perustellumpaa olisi tarkastella asiaa erillisinä lainsäädäntöhankkeena. MMM:n näkemyksen mukaan edellä olevat seikat huomioon ottaen esitysluonnoksessa ei ole riittäviä perusteluja ja taustaselvitystä nyt esitetylle uudelle salassapitosäännökselle. Lisäksi MMM:n näkemyksen mukaan esitysluonnoksen perustuslakiosion maininta (s. 177) siitä, että salassapitosäännöksen sisällyttäminen tietosuojalakiin ”olisi tärkeä lainsäädännön yhdenmukaisuuden vuoksi, sillä ehdotettu tietosuojalaki sisältäisi säännökset tietosuojavirastosta ja oikeusturvatakeista”, ei pidä paikkansa. Lainsäädännön yhtenäisyyden vuoksi ilmiantajan suojaamista koskeva yleissäännös nimenomaan sopisi julkisuuslakiin. Lisäksi eduskunnan julkisuuslainsäädännön kokonaisuudistuksen yhteydessä hyväksymän lausuman mukaan salassapitoa koskevien erityissäännösten ottamista muuhun kuin julkisuuslakiin on vältettävä (EV 303/1998 vp). MMM katsoo, että mahdollinen ilmiantajan henkilöllisyyden salassapitoa koskeva säännös tulisi sisällyttää julkisuuslakiin. Erityislakiin tulisi ottaa ilmiantajan henkilöllisyyden salassapitoa koskeva säännös vain siinä tapauksessa, ettei julkisuuslain salassapitosäännös ole riittävä ja ao. sektorilla on joitain sellaisia erityispiirteitä, jotka puoltavat erityissäännöksen sisällyttämistä jonkin sektorin lainsäädäntöön. Ilmiantajan henkilöllisyyden salassapidon tarpeesta tulisi kuitenkin ensin tehdä esiselvitys. Tietosuojalakiluonnoksen 14 §:n 1 momentista käy ilmi, että pääsääntöisesti tietosuojavaltuutettu ratkaisee asiat esittelystä. Poikkeukset tälle menettelylle on jätetty täysin avoimiksi. MMM esittää, että säännöstä tältä osin tarkistettaisiin. Esimerkiksi valtioneuvoston ohjesäännön 38 §:ssä on yksilöity poikkeukset. Jollain vastaavalla tavalla tulisi täydentää myös tietosuojalakiluonnoksen 14 §:n 1 momenttia.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Tietosuojavaltuutetun, apulaistietosuojavaltuutetun ja seuraamuslautakunnan tulisi olla riippumattomia poliittisista suhdanteista. Riippumattomuuden varmistamiseksi olisi hyvä, että nimittämisessä olisi mukana jokin muukin taho kuin valtioneuvosto. Nimittäminen voisi valtioneuvostossa tapahtua esimerkiksi tuomarinvalintalautakunnan perustellusta esityksestä samaan tapaan kuin tuomarien nimittäminen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittävä taho voisi olla myös eduskunta samaan tapaan kuin eduskunnan oikeusasiamiehen ja apulaisoikeusasiamiehen kohdalla. Effi pitää erinomaisena asiana, että ehdotetussa tietosuojalain 20 §:ssä säädettäisiin niin sanotusta whistleblower-suojasta, eli väärinkäytöksen ilmiantaneen henkilön henkilöllisyyden suojaamisesta. Tällainen säännös on ehdottomasti tarpeen.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu että tietosuoja-asetuksessa säädetyn kaltaisen hallinnollisen sakon voi määrätä vain tuomioistuin. Mikäli tietosuojaviranomianen kuitenkin jatkossa määrää hallinnollisen sakon, pidämme perusteltuna, että asiasta päättää tietosuojalailla perustettavaksi esitetty seuraamuslautakunta. Lautakunnan toimivaltaan pitäisi myös kuuluu tietosuojavaltuutetun sijaan päättää väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle. Oikeustieteellinen koulutus perusvaatimuksena lautakunnan jäsenyydelle on perusteltu, mutta ei riittävä. Näemme tärkeäksi, että lautakunnan kokoonpanossa on sisäänrakennettuna tietosuojaa ja -turvaa koskevaa vahvaa teknistä ja organisatorista osaamista. Lautakuntaa tulisi myös kannustaa asiantuntijoiden kuulemiseen riittävän laaja-alaisesti, jotta varmistetaan seuraamuslautakunnan käsittelyn kohteena olevan rekisterinpitäjän tai tiedonkäsittelijän oikeusturva.
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • Työryhmä esittää, että seuraamuksista päättäisi uuden tietosuojaviranomaisen sisäiseksi päätöksentekoelimeksi perustettava seuraamuslautakunta. FiComin mielestä tietosuoja-asetuksen perusteella määrättävät seuraamukset voivat määrältään olla siinä määrin merkittäviä, että ne soveltuisivat valtiovallan komijako-opin mukaisesti paremmin riippumattoman tuomioistuimen määrättäviksi. Valvovan ja ohjaavan viranomaisen merkittävä rooli seuraamuksista päätettäessä voi johtaa tietosuojaviraston ohjaavan ja neuvovan funktion heikentymiseen sen vuoksi, että virastolle jäisi myöhemmin vapaat kädet seuraamusten osalta. Kestävämpi ratkaisu olisi jättää seuraamukset tuomioistuimen päätettäväksi.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Näkemyksemme on, että luvussa on kattavasti ja asianmukaisesti käyty läpi valvontaviranomaisen tehtäviä, henkilöstöä ja viranomaisen toiminnassa noudatettavaa menettelyä koskevat seikat.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen myötä tietosuojavaltuutettu ja tietosuojalautakunta yhdistyvät uudeksi tietosuojaviranomaiseksi. Tietosuojavaltuutetun rooli muuttuu ohjaavasta ja neuvovasta viranomaisesta vahvat toimivaltuudet omaavaksi jälkivalvojaksi. Nokia katsoo, että seuraamusmaksu, joka on voi olla suuruusluokaltaan 4 % yhtiön globaalista liikevaihdosta on rinnastettavissa rikosoikeudelliseen seuraamukseen. Nokia pitää erityisen ongelmallisena, että seuraamusmaksusta päättää tietosuojaviranomaisen sisäinen seuraamuslautakunta eikä tuomioistuin. Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu, että tietosuoja-asetuksessa säädetyn kaltaisen ankaran hallinnollisen sakon voi määrätä vain tuomioistuin. Tätä edellyttää myös Euroopan ihmisoikeustuomioistuimen vakiintunut oikeuskäytäntö. Siksi tietosuoja-asetuksen mukaiset seuraamukset tulisi saattaa tietosuojaviranomaisen esityksestä joko yleisten tuomioistuinten tai esimerkiksi Markkinaoikeuden ratkaistaviksi. Nokia katsoo, että jatkovalmistelussa tätä kysymystä pitäisi selvittää tarkemmin. Mikäli tietosuojaviranomainen jatkossa määrää hallinnollisen sakon, Nokia pitää oikeusturvan kannalta tärkeänä, että asiasta päättää viranomaisessa kollegiaalisesti asioista päättävä seuraamuslautakunta. Nokia pitää hyvänä, että seuraamuslautakunta päättäisi myös väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle (58 artiklan 2 kohdan f alakohta). Tämänkaltaisilla päätöksillä on hyvin merkittäviä vaikutuksia rekisterinpitäjille ja henkilötietojen käsittelijöille. Vastaavia hyvin merkittäviä vaikutuksia on myös tietosuoja-asetuksen 58 artiklan 2 kohdan d ja j alakohdissa kuvatuilla toimilla (”mahdollisuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa”, ja ”mahdollisuus määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle”). Seuraamuslautakunnan tulisi päättää myös näistä toimista. Lakiehdotuksen 14 §:n antaa tietosuojavaltuutetulle mahdollisuuden väliaikaisesti rajoittaa tai kieltää henkilötietojen käsittelyn. Toimikunnan lakiehdotuksen perusteluissa käy ilmi, että tarve tällaisten rajoitusten tai tietojen käyttöön voi ilmetä esimerkiksi tilanteessa, jossa nopealla toiminnalla voitaisiin estää välittömästi uhkaavat rekisteröityjen oikeuksiin kohdistuvat loukkaukset tai muut henkilötietojen suojaa koskevien säännösten rikkomukset. Nokia katsoo, että tietosuojavaltuutetun toimivallan tulisi koskea vain nopeaa toimintaa edellyttäviä välittömän uhkan tilanteita. Oikeusturvasyistä seuraamuslautakunnan tulisi aina päättää rajoituksista tai kielloista muissa kuin välittömän uhan tilanteissa. Nokia katsoo lisäksi, että asioiden käsittelyn tietosuojavirastossa on tapahduttava tavalla, jossa myös yritysten oikeusturvakysymykset on riittävällä tavalla huomioitu. Yksi tärkeimmistä oikeusturvan takeista on oikeus tulla kuulluksi. Toimikunnan ehdottama tietosuojalaki ei kuitenkaan anna rekisterinpitäjälle tai henkilötietojen käsittelijälle oikeutta tulla aina kuulluksi suullisesti tai kirjallisesti ennen tietosuojaviranomaisen päätöstä seuraamusmaksusta tai 58 artiklan 2 kohdan alakohdan toimista muissa kuin välittömän uhan tilanteissa. Näissä yritysten oikeusturvan kannalta merkittävissä tilanteissa tulisi varmistaa vahva oikeudellinen harkinta ja hyvä oikeusturva sekä oikeus tulla kuulluksi. Suullinen käsittely (16 §) ei yksistään takaa rekisterinpitäjälle tai henkilötietojen käsittelijälle oikeutta tulla kuulluksi. Lakiehdotuksen 10 § käsittelee tietosuojaviranomaisen kelpoisuusvaatimuksia. Nokia katsoo, että pelkkä oikeustieteellinen tausta ja vahva tietosuoja-asioiden osaaminen eivät ole riittäviä. Tietosuoja-asiat eivät ole yksittäisiä ja erillisiä vaan ne liittyvät lähes aina laajempiin liiketaloudellisiin, organisatorisiin ja tietoteknisiin kysymyksiin. Erityisesti seuraamuslautakunnan kokoonpanoon tulisi tämän vuoksi jo lain tasolla olla sisäänrakennettuna myös vahva (tieto)tekninen ja organisatorinen osaaminen. Tämä auttaisi sitä, että seuraamuslautakunta kykenisi kysymään oikeita ja riittäviä kysymyksiä usein teknisesti haastavien asioiden oikeudenmukaiseksi ratkaisemiseksi. Ottaen huomioon seuraamuslautakunnan käsittelyn kohteena olevat rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvanäkökohdat, lautakunnan osaamisen tulee olla juridisesti korkealaatuista mutta myös laaja-alaista.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Kannatamme ajatusta Tietosuojavirastosta ja sen tehtävistä. Tehtävät olisi kuitenkin hyvä kuvata niin, että virastolla saattaisi olla myös tietosuojaa sivuavia tehtäviä, esimerkiksi mahdollisesti tiedon avoimuuteen liittyviä tehtäviä (kuten Yhdistyneiden kansakuntien “Information Commissioner”). Lakiehdotuksen kuvaus on potentiaalisesti poissulkeva. Mietinnöstä jäi epäselväksi kuka tekee linjaukset yleisestä edusta ja miten se määritellään. Käytännöllisenä esimerkkinä voidaan kysyä onko Wikipedia yleinen etu, tai milloin esimerkiksi kansalaisyhteiskunnan toiminnan katsotaan ovat “yleistä etua”?
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Muilta osin ei ole kommentoitavaa 3. luvusta. Toivottavaa on, että tietosuojavirastolle turvataan riittävät resurssit sen tehtävien hoitamiselle.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalakiin ehdotetaan salassapitosäännöksiä. Itä-Suomen yliopiston näkemyksen mukaan ehdotettu 20 § on tarpeeton, koska salassapidosta on jo säädetty julkisuuslaissa tai salassapitosääntely tulisi sijoittaa julkisuuslakiin. Ehdotetun 20.1 § on tarpeeton, koska tietosuojavirasto on julkisuuslain mukainen viranomainen ja viranomaisen henkilöstön salassapitovelvollisuudesta on säädetty julkisuuslaissa. Ehdotetun 20.2 §:ssä ilmoittajan henkilöllisyyteen liittyvä salassapitosäännös tulisi sisällyttää osaksi julkisuuslain 24 §:n salassapitosäännöksiä. Eduskunnan julkisuuslainsäädännön kokonaisuudistuksen yhteydessä hyväksymän lausuman mukaan salassapitoa koskevien erityissäännösten ottamista muuhun kuin julkisuuslakiin on vältettävä (EV 303/1998 vp). Tätä lausumaa ei voida jättää huomiotta tietosuojalain jatkovalmistelussa. Ehdotetun 20.3 §:ssä tarkoitettu asianosaisen tiedonsaantioikeutta koskeva poikkeus on jo säädetty asiallisesti julkisuuslain 11.2 §:n 1 kohdassa. Jos on tarvetta tätä tarkentaa, tulisi asiasta säätää tietosuojalain sijaan julkisuuslaissa. Tietosuojalain 34 §:n ehdotettu säännös vastaa pääosin nykyisin henkilötietolain salassapitosäännöstä. Säännökseen on lisätty liike- ja ammattisalaisuutta koskeva uusi salassapitoperuste. Lisäystä ei ole riittävästi perusteltu säännöksen perustelutekstissä. Liike- ja ammattisalaisuuksien salassapidosta on säädetty erikseen lainsäädännössä julkisuuslaissa sekä sopimattomasta menettelystä elinkeinotoiminnassa annetussa laissa (1061/1978). Itä-Suomen yliopisto kiinnittää huomiota siihen, että liikesalaisuusdirektiivi (EU) 2016/943 on tullut voimaan kesällä 2016 ja sen kansalliset täytäntöönpanotoimet ovat käynnissä. Direktiivin kansallinen implementointi on tehtävä 9.6.2018 mennessä. Direktiivin kansallinen implementointi on työ- ja elinkeinoministeriön vastuulla. TATTI-työryhmän ehdotuksesta ei ilmene, liittykö liike- ja ammattisalaisuutta koskeva lisäys tähän direktiivistä johtuvaan kansalliseen implementointiin taikka yleensäkin, miten ehdotettu lisäys liittyy yleisen tietosuoja-asetuksen kansallisiin täytäntöönpanotoimiin.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa valvontaviranomaisia koskevasta 3 luvusta.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotuksen 15 §:n 2 momentissa oleva äänestyssäännös poikkeaa rangaistuksenluonteisten seuraamusten osalta hallintolainkäyttölain sääntelystä, mutta hallinnossa on luonnollisesti mahdollistakin säätää toisin.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 10 §. Kelpoisuusvaatimukset ja nimitysperusteet Tietosuoja-osaajia ja asiantuntijoita löytyy eri koulutustaustan omaavista ihmisistä. Nykyiset rajaukset saattavat seuraamuslautakunnan osalta johtaa tilanteeseen, jossa tietosuoja-asiantuntemukseltaan paras kandidaatti rajautuu ulos koulutustaustansa vuoksi. Riittävää on, että seuraamuslautakunnan puheenjohtajalla ja varapuheenjohtaja on oikeustieteellinen tutkinto. 13 §. Tietosuojaviraston tehtävät ja toimivaltuudet Ehdotuksen perusteella epäselväksi jää, mistä johdetaan valvontaviranomaisen toimivalta silloin, kun tietosuoja-asetuksen soveltamisalaa on laajennettu tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdan nojalla tapahtuvaan henkilötietojen käsittelyyn. Ehdotettu 13 § on harhaanjohtava siltä osin, että säännöksen perusteella voi saada sellaisen käsityksen, että tehtävistä pitäisi tällöinkin säätää erikseen, koska tässä tilanteessa tehtävien ja toimivallan laajennus ei perustu suoraan tietosuoja-asetukseen, vaan tietosuojalakiin. Näiltä osin esitystä on selkiytettävä. 17 §. Tiedonsaanti ja tarkastusoikeus Otsikkoa tulee muuttaa muotoon ”Tiedonsaanti ja oikeus tehdä tarkastuksia”: Tarkastusoikeudella viitataan perinteisesti tietosuojalainsäädännössä rekisteröidyn tarkastusoikeuteen, ei valvontaviranomaisen oikeuteen tehdä tarkastuksia.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Asetus edellyttää, että rekisterinpitäjänä toimiva viranomainen tai julkishallinnon elin nimittää tietosuojavastaavan. Velvollisuudesta nimittää tietosuojavastaava on säädetty muutoin asetuksen 37 artiklassa. Tietosuojavastaavalta edellytetään tietosuojaa koskevan sääntelyn erityisasiantuntemusta. Oman haasteensa muodostaa tietosuojaa koskevan sääntelyn tulkinnanvaraisuus. Tietosuojasäännösten toimeenpanon ja kaikkien siihen osallistuvien organisaatioiden kannalta olisi tärkeää, että tietosuojavirasto priorisoisi toiminnassaan erityisesti 57 artiklan 1 kohdan b–d alakohdan mukaisia tehtäviä. Ei ole tarkoituksenmukaista, että julkishallinnon organisaatiot hankkivat erityisasiantuntemusta laajamittaisesti yrityksiltä täyttääkseen asetuksen velvollisuudet.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Valvontaviranomaisen tehtäviin kuuluu asetuksen mukaan mm. yhteistyö muiden jäsenvaltioiden valvontaviranomaisten kanssa, valvontatehtävät sekä ennakkokuulemisiin liittyvät tehtävät. On korostettu, että valvonta on vain osa viranomaisen tehtäviä ja että neuvonta ja ohjeistus ovat vähintään yhtä tärkeitä tietosuoja-asetuksen ja tietosuojalain soveltajan näkökulmasta. Suomen yhteiskunnan kannalta on ensiarvoisen tärkeä, että Tietosuojavirastolle taataan riittävät resurssit toimiakseen tehokkaasti myös ennaltaehkäisevässä toiminnassaan.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen tullessa voimaan tietosuojaviranomaisen rooli muuttuu. Nykyisin tietosuojavaltuutetun ensisijainen tehtävä on vaikuttaa henkilötietojen käsittelyn lainmukaisuuteen ennakollisilla toimenpiteillä, ohjein ja neuvoin. Tietosuojalautakunta puolestaan on tärkein päätösvaltaa käyttävä elin. Asetuksen myötä viranomaisen toimivaltuudet vahvistuvat merkittävästi ja toiminnassa painottunee jatkossa nykyistä vahvemmin jälkikäteinen valvonta. EK pitää erityisen ongelmallisena ja rekisterinpitäjien sekä henkilötietojen käsittelijöiden oikeusturvan kannalta huolestuttavana, että tietosuoja-asetuksen ja ehdotetun tietosuojalain tullessa voimaan kansallisen tietosuojaviranomaisen olisi mahdollista määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle hallinnollinen sakko. Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu, että tietosuoja-asetuksessa säädetyn kaltaisen ankaran hallinnollisen sakon voi määrätä vain tuomioistuin. Mikäli tietosuojaviranomainen jatkossa määrää hallinnollisen sakon, EK pitää perusteltuna, että asiasta päättää viranomaisessa ehdotetulla tietosuojalailla perustettavaksi esitetty kollegiaalisesti asioista päättävä seuraamuslautakunta. Perusteltua on, että seuraamuslautakunnan toimivaltaan tietosuojavaltuutetun sijaan kuuluu päättää myös väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle. Em. päätöksillä on merkittäviä vaikutuksia rekisterinpitäjille ja henkilötietojen käsittelijöille. EK toteaa, että vastaavan kaltaisia merkittäviä vaikutuksia on myös tietosuoja-asetuksen 58 artiklan 2 kohdan d ja j alakohdissa kuvatuilla toimilla (mahdollisuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa, ja mahdollisuus määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle). Ehdotetun 14 §:n yksityiskohtaisissa perusteluissa todetaan, että tietosuojavaltuutetulla olisi toimivalta asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan f alankohdan mukainen väliaikainen rajoitus tai kielto ja tarve tällaiseen voi ilmetä esimerkiksi tilanteessa, jossa nopealla toiminnalla voitaisiin estää välittömästi uhkaavat rekisteröityjen oikeuksiin kohdistuvat loukkaukset tai muut henkilötietojen suojaa koskevien säännösten rikkomiset. Kynnys väliaikaisen rajoituksen tai kiellon määräämiseen on näin ollen varsin korkealla. EK katsoo, että jatkovalmistelun aikana 14 §:n säännöstekstiä tulisi tarken-taa, jotta siitä käy selkeästi ilmi tietosuojavaltuutetun toimivallan rajaaminen yksityiskohtaisissa perusteluissa kuvattuihin nopeaa toimintaa edellyttäviin välittömän uhkan tilanteisiin. Ehdotetun tietosuojalain 15 §:ssä todetaan, että seuraamuslautakunta käsittelee sille säädetyt asiat tietosuojavaltuutetun esittelystä ja asian selvittämiseksi seuraamuslautakunnassa toimitetaan tarvittaessa suullinen käsittely. Jatkovalmistelun aikana on tarpeen selkeyttää, että asianosaisia (rekisterinpitäjää tai henkilötietojen käsittelijää, jonka toteuttamaa käsittelyä lautakunnassa käsitellään) on lautakunnan käsittelyn aikana aina kuultava, tarvittaessa myös suullisesti. Tietosuojalain 10 §:ssä ehdotetaan säädettävän seuraamuslautakunnan puheenjohtajan, varapuheenjohtajan ja jäsenten kelpoisuusvaatimuksista ja nimitysperusteista. Lain 18 §:ssä puolestaan ehdotetaan säädettävän lautakunnan oikeudesta käyttää apunaan asiantuntijoita. EK katsoo, että vaikka seuraamuslautakunnalle on mietinnössä ehdotettu oikeutta kuulla ja käyttää asiantuntijoita, myös itse lautakunnan kokoonpanossa on varmistettava riittävän laaja-alainen osaaminen. Lautakunnan kokoonpanon (ts. kelpoisuusvaatimusten ja nimitysperusteiden) tulisi siten varmistaa korkean juridisen osaamisen lisäksi vahva tekninen ja organisatorinen tietosuojaosaaminen lautakunnan työskentelyssä. Tämä edesauttaisi osaltaan sitä, että lautakunta kykenisi esittämään oikeita ja riittäviä kysymyksiä kulloinkin käsiteltävänä olevien, usein teknisesti haastavien asioiden oikeudenmukaiseksi ratkaisemiseksi.
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • Tietosuojavaltuutetun toimisto laajennetaan tietosuojavirastoksi. On välttämätöntä, että tietosuojavirastossa on riittävä asiantuntemus lasten oikeuksista ja lasten ja nuorten tietosuojan kysymyksistä. Tietosuojaviraston on kyettävä neuvovaan ja oheistamaan lapsia, nuoria, heidän vanhempiaan, lasten kanssa työskenteleviä, muita viranomaisia, yrityksiä ja järjestöjä lasten ja nuorten tietosuojaan liittyvissä kysymyksissä. Tämä on otettava huomioon viraston voimavarojen mitoituksessa. Myös lasten ja nuorten tietosuojan toteutumisen valvonta on resursoitava riittävällä tavalla. Tietosuojalainsäädännön toteutumista on seurattava ja arvioitava myös lasten oikeuksien näkökulmasta. On säännöllisesti arvioitava lainsäädännön toteutuneita vaikutuksia lasten ja nuorten oikeuksien toteutumiseen.
      • Nets Oy
        Päivitetty:
        8.9.2017
        • TATTI-työryhmän mietinnössä ("mietintö") on ehdotettu uuden seuraamuslautakunnan perustamista. Se olisi tietosuojavirastoon kuuluva elin, jolla olisi toimivalta tehdä päätöksiä merkittävimmissä tietosuoja-asetuksen mukaisissa seuraamusasioissa. Lautakunta koostuisi viidestä sivutoimisesta jäsenestä ja se käsittelisi hallinnollisen sakon määräämistä sekä pysyviä ja määräaikaisia käsittelykieltoja koskevia asioita tietosuojavaltuutetun esittelystä. Seuraamuslautakunnan tarkoituksena olisi mietinnön mukaan toimia yhtenä oikeussuojakeinona hallinnollisia sakkoja määrättäessä ja se voisi tarvittaessa järjestää suullisia kuulemisia asian käsittelyn yhteydessä oikeusturvan parantamiseksi. Netsin näkemyksen mukaan suunniteltu seuraamuslautakunta sekä seuraamuslautakunnassa noudatettavaa menettelyä koskevat säännökset eivät loisi riittävää oikeusvarmuutta, eikä takeita yritysten oikeusturvan toteutumisesta. Ehdotettu seuraamuslautakunta ja sen toimivalta langettaa miljoonien eurojen suuruisia sakkoja olisivat merkittävä poikkeus Suomessa vakiintuneista sanktiokäytännöistä, joissa keskeisenä elementtinä on erillinen tuomioistuin sanktioista päättävänä elimenä. Tietosuoja-asetuksen mukainen sanktiojärjestelmä asettaa yrityksille merkittäviä uusia taloudellisia riskejä, joita tietosuoja-asioiden osalta ei ole ennen ollut olemassa. Jotta hallinnollisten sakkojen määräämiseen liittyvät käytännöt olisivat mahdollisimman selkeät ja ennustettavat, tulisi Netsin näkemyksen mukaan tuomioistuimen vastata sanktioiden määräämisestä. Oikeusturvaa koskevien vaatimusten perusteena on perustuslain 21 §, jonka mukaisesti hallinnollisen sanktioiden määräämistä koskeva menettely on Suomessa järjestettävä. Kilpailuoikeudellisissa asioissa Suomessa on jo pitkään ollut käytössä seuraamusmaksujärjestelmä. Käytännössä prosessin kulku on se, että markkinaoikeus määrää seuraamusmaksun kilpailuviranomaisen esityksestä. Kilpailuviranomaisella ei siten ole toimivaltaa tehdä yksipuolisia oikeudellisesti sitovia päätöksiä seuraamusmaksujen määräämisestä. Käytäntö on oikeusturvan ja ennustettavuuden kannalta tarkoituksenmukainen, kun riippumaton, puolueeton ja kilpailuviranomaisesta erillinen tuomioistuin määrää sanktiot. Perustettavan tietosuojaviraston alaisuudessa toimivan seuraamuslautakunnan rooli ei Netsin näkemyksen mukaan muodostu kilpailuoikeudellisesta sanktiomenettelystä poiketen riittävän itsenäiseksi ja puolueettomaksi, eikä se siten ole asianmukainen tae yritysten tasavertaisesta kohtelusta tilanteissa, joissa sanktiot voivat muodostua merkittäviksi. Vaikka seuraamuslautakunta olisikin tietosuojavaltuutetusta erillinen elin, ne ovat molemmat osa tietosuojavirastoa ja toimivat siten tiiviissä vuorovaikutuksessa keskenään. Nets katsoo, että edellytykset aidosti riippumattomalle ja puolueettomalle päätöksenteolle vaarantuvat, mikä lisäisi yritysten riskejä ja toimintaympäristön epävakautta. Sikäli, kun seuraamuslautakunnan toiminnasta tehtäisiin oikeusturvanäkökohtien edellyttämällä tavalla selkeästi tuomiovallan käyttämistä, tulisi siitä seuraavat vaatimukset myös huomioida seuraamuslautakunnan asemassa ja jäsenten kelpoisuusvaatimuksissa. Myös korkein hallinto-oikeus on 5.9.2017 oikeusministeriölle antamassaan lausunnossa esittänyt kritiikkiä seuraamuslautakunnasta: "Lakiehdotuksessa esitetään perustettavaksi seuraamuslautakunta, joka tehtäviensä ja menettelyidensä puolesta muistuttaa osin tuomioistuinta. Korkein hallinto-oikeus toteaa, että seuraamuslautakunnassa mahdollisesti toimitettava suullinen käsittely ei voi korvata tuomioistuimessa toimitettavaa suullista käsittelyä. Huomioon on otettava myös, että saman asian yhtäaikainen käsittely seuraamuslautakunnassa ja hallinto-oikeudessa voi osoittautua ongelmalliseksi." Nets yhtyy korkeimman hallinto-oikeuden asiassa esittämiin näkökohtiin. Netsin näkemyksen mukaan mietinnöstä ei käy yksiselitteisesti ilmi, millainen seuraamuslautakunnan suullinen käsittely tosiasiassa olisi ja sen suhde hallintotuomioistuimiin jää epäselväksi. Seuraamuslautakunnassa noudatettavaa menettelyä koskevat ehdotetut tietosuojalain 15 § (Suullinen käsittely seuraamuslautakunnassa) ja 16 § (Tiedonsaanti ja tarkastusoikeus) jättävät myös epäselviksi seuraamuslautakunnassa noudatettavan menettelyn erityisesti siltä osin, sovelletaanko asioiden käsittelyyn seuraamuslautakunnassa hallintolainkäyttölakia vaiko myös hallintolakia, siltä osin kuin kyse on muusta kuin suullisesta käsittelystä. Ehdotetut oikeusturvaa koskevat säännökset ovat myös riittämättömiä ja epäselviä. Tietosuojalain 22 § (Muutoksenhaku) perusteella ei ole selvää, missä tilanteissa yrityksellä olisi valitusoikeus. On aivan keskeistä selventää, että valitusoikeus kohdistuu sekä tietosuojavaltuutetun esitykseen seuraamuslautakunnalle että seuraamuslautakunnan ratkaisuun. Oikeusturvan kannalta seuraamuslautakunnan toimintatavoista ja menettelystä on säädettävä tyhjentävästi ja selkeästi. Mikäli seuraamuslautakunta perustetaan, sääntelyltä edellytetään nykyistä ehdotusta yksityiskohtaisempaa tasoa.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Ehdotetusta lakitekstistä ei ilmene, että seuraamuslautakunnan päätökset ovat tietosuojaviraston päätöksiä, joihin saa hakea muutosta. Ilmiantajan suojaksi ehdotettu tietosuojalain 20 §:n 2 momentin säännös ja asianosaisen tiedonsaantioikeuteen tältä osin 3 momentissa ehdotettu rajoitus ovat periaatteellisesti tärkeitä. Korostan sitä mietinnön perusteluista (s. 154–156) ilmenemätöntä seikkaa, että viranomaisen tulee antaa julkisuuslain 14 §:n mukainen valitusosoitus asiakirja- tai tietopyyntöön myös vain osittain kielteisen päätöksen tilanteissa. Ehdotuksen 17 §:n perusteluissa on teknisiä virheitä säädöstekstiin verrattuna (momenttien lukumäärä, viittaus henkilötietolain 39 §:ään).
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Tietosuojalaissa on paljon valvontaviranomaisia koskevia säännöksiä. Säännösten suuren määrän vuoksi ne saattaisi olla tarkoituksenmukaista siirtää kokonaan omaan lakiinsa. 17 § 3 momentissa ehdotettu tiedonsaanti- ja tarkastusoikeus asumiseen käytetyssä tilassa on aiheellinen esimerkiksi niissä tapauksissa, joissa kotitiloissa sijaitsevaa etätoimisto (työhuone tms.) on työkäytössä ja kuuluu täten rekisterinpitäjän toimintaan. Tarkastuksesta voi kuitenkin aiheutua mittavia haittoja kotitaloudelle ja sivullisille, erityisesti perheenjäsenille. 17 § 4 momentissa tulisikin edellyttää, että tarkastus ei saa aiheuttaa myöskään sivullisille tarpeetonta haittaa tai kustannuksia.
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • Mietinnössä esitetään, että seuraamuksista, kuten hallinnolliset sakot ja käsittelykiellot, päättää uuden tietosuojaviranomaisen eli tietosuojaviraston sisäiseksi päätöksentekoelimeksi perustettava seuraamuslautakunta. Vallan kolmijako-opin mukaan toimeenpanovaltaa käyttävälle viranomaiselle ei voida antaa tuomiovallan piiriin kuuluvia oikeuksia. Koska kyse on määrältään erittäin merkittävistä sanktioluonteisista seuraamuksista, ne tulisi saattaa tietosuojaviranomaisen esityksestä joko yleisten tuomioistuinten tai esimerkiksi markkinaoikeuden ratkaistaviksi. Toimeenpanovallasta ja lainsäädäntövallasta riippumattomat tuomioistuimet, joissa tuomarin vastuulla toimivat tuomarit ratkaisevat asioita esitettyjen todisteiden ja argumenttien pohjalta, ovat ainoa osapuolten oikeusturvan Suomen perustuslain edellyttämällä tavalla turvaava vaihtoehto asetuksen mukaisten seuraamusten määräämiselle.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto ry korostaa tarvetta huomioida journalistisen tietojen käsittelyn erityispiirteet ja rooli sananvapauden toteutumisessa. SJL pitää tärkeänä korostaa, että valvontaviranomaisen valtuuksia määritettäessä varmistetaan, ettei luoda mekanismeja, joilla sananvapauden ydinalueelle kuuluvaa ilmaisunvapautta rajoitetaan. On vältettävä sellaisen tilanteen mahdollistumista, jossa valvontaviranomaisella on mahdollisuus estää journalistista organisaatiota käsittelemästä tietoa journalistiseen tarkoitukseen.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Valvontaviranomaisella tulee olla riittävät resurssit tunnistaa, täsmentää ja viestiä, mikä on hyvä tiedonhallintatapa ja riittävä tietoturvallisuuden taso sekä hallinnollisten että teknisten suojaamiskeinojen osalta. 
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus tuo esiin, että valvontaviranomaisen todettua rekisterinpitäjän toimineen asetuksen tai yleisen tietosuojalain vastaisesti, on mahdollista, että rikkomuksella olisi vaikutusta myös rekisterinpitäjän asemaan Väestörekisterikeskuksen ja muiden perusrekistereistä tietoja välittävien viranomaisten asiakkaana. Tällaisessa tilanteessa on todennäköistä, että rekisterinpitäjä toimii lainvastaisesti myös käsitellessään kansallisista perusrekistereistä saamiaan tietoja. Suomalainen järjestelmä, jossa kattavat perusrekisterit palvelevat viranomaisia sekä yksityisiä yhteisöjä, ja rekisterinpitäjä voi olla usean tällaisen viranomaistoimijan asiakkaana ja valvonnassa, on hyvin erityinen eurooppalaisessa viitekehyksessä. Mikäli yhteistyö näiden viranomaisten välillä ei ole mahdollista tai tehokasta, rekisterinpitäjä voi toisaalta olla valvontaviranomaisen asettamien vakavien seuraamusten kohteena ja saada toisen viranomaisen luvan perusteella tietoja esimerkiksi väestötietojärjestelmästä. Ihanteellisessa tilanteessa valvontaviranomainen ja sellaiset viranomaiset, jotka myöntävät henkilötietoja koskevia tietolupia tai valvovat sellaista luvanvaraista toimintaa, johon liittyy vaatimus henkilötietojen asiallisesta käsittelystä, voisivat vaihtaa tietoa meneillään olevista selvityksistä ja asetetuista seuraamuksista. Tämä ei välttämättä tarkoita yksityiskohtaista tietoa tai rekisterinpitäjän liikesalaisuuksien jakamista. Viranomaisille voisi olla riittävää saada tieto siitä, että toimenpiteisiin on ryhdytty ja siitä, minkä luonteinen seuraamus on asetettu. Viranomainen voisi tällöin oman lainsäädäntönsä ja valvontavaltuuksiensa nojalla pyytää asiakkaalta selvitystä asiasta. Väestörekisterikeskus katsoo erityisen hyödylliseksi, jos valvontaviranomainen voisi antaa toiselle viranomaiselle tietoja tutkimuksen etenemisestä ja lopputuloksesta, kun tämä viranomainen on asetuksen 57 artiklan 1 kohdan h alakohdan mukaisesti antanut tietoja tutkimuksen käynnistämiseksi. Väestörekisterikeskus ei pidä tietosuoja-asetuksen näkökulmasta mahdottomana, että valvontaviranomaisen kansallisiin valtuuksiin voisi kuulua tietojenvaihtoa ja yhteistyötä muiden tietojenkäsittelyä valvovien viranomaisten kanssa.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • LSKL pitää tärkeänä, että tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa kiinnitetään huomiota seuraaviin asioihin: • Mietinnön mukaan tietosuojavaltuutetun toimisto laajennetaan tietosuojavirastoksi. Lasten ja nuorten oikeuksien toteutumisen kannalta olisi välttämätöntä, että tietosuojavirastossa olisi lasten ja nuorten tietosuoja-asioihin erityisesti perehtynyt henkilö, joka voisi neuvoa ja ohjeistaa velvoitteiden tulkinnassa sekä huolehtia lasten ja nuorten tiedonsaannista sekä vanhempien ja ammattilaisten ohjaamisesta. Lasten ja nuorten asioissa on nykyisinkin useita kiperiä tietosuojaan liittyviä erityiskysymyksiä, joiden suhteen sosiaali- ja terveydenhuollon toimijat kaipaisivat selkeyttämistä ja neuvontaa. Tietosuoja-asetuksen johdannon 38 kohdan mukaisesti erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät ole kovin hyvin perillä omista oikeuksistaan henkilötietojen käsittelyyn liittyen. LSKL korostaa lapsen oikeuksien toteutumista ja pitää tärkeänä, että tulevan tietosuojaviraston keskeinen tehtävä on turvata paitsi lasten ja nuorten neuvonta ja ohjaus myös lasten tietosuojan kannalta tehokas ja kattava valvonta. Lasten oikeusturvakysymykset tietosuojaan liittyen tulisi nostaa erityisesti esille viraston toiminnassa. Tietosuojaviranomaisella on mm. Norjassa keskeinen rooli liittyen lasten tietosuojan toteutumiseen lapsen oikeuksien sopimuksen edellyttämällä tavalla. (Ks. esim. NOU 2009:1. Individ og integritet. Personvern i det digitale samfunnet.; Prop. 47 L (2011–2012) Proposisjon til Stortinget (forslag til lovvedtak): Endringer I personopplysningsloven.; Lastensuojelun Keskusliiton julkaisu (2016): Lapsen yksityisyyden suoja digitaalisessa mediassa https://www.lskl.fi/materiaali/lastensuojelun-keskusliitto/Lapsen_yksityisyyden_suoja_digitaalisessa_mediassa.pdf ) • YK:n lapsen oikeuksien komitean mukaan sopimusvaltio on kaikissa olosuhteissa vastuussa yleissopimuksen täysimääräisen täytäntöönpanon takaamisesta kaikilla lainkäyttövaltaansa kuuluvilla alueilla. (Yleiskommentti nro 5, Lapsen oikeuksien yleissopimuksen yleiset täytäntöönpanotoimenpiteet). YK:n lapsen oikeuksien komitean raportissa “Digital media and children’s rights” tuodaan esille ICT yritysten toimintaan liittyviä keskeisiä seikkoja lapsen oikeuksiin liittyen. Myös YK:n lapsen oikeuksien komitean yleiskommentti nro 16 (2013) sopimusvaltioiden velvoitteista, jotka koskevat yritystoiminnan vaikutusta lasten oikeuksiin, on tässä yhteydessä keskeinen.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Voimassa olevan henkilötietolain mukaan tietosuojavaltuutetun tehtävänä on valvontatehtävänsä lisäksi antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa. Siten tietosuojavaltuutettu on antanut ohjeistusta tilanteissa, joissa henkilötietoja koskevat säännökset ovat olleet tulkinnanvaraisia tai aukollisia. Asetuksen 57 artiklan mukaan valvontaviranomaisen tulee jatkossakin muun muassa edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä heille kuuluvista velvollisuuksista. Lisäksi asetuksessa lähdetään siitä, että rekisterinpitäjien nimeämät tietosuojavastaavat ohjaavat ja neuvovat rekisterinpitäjiä henkilötietojen asetuksen mukaisessa käsittelyssä. Asetus edellyttää, että rekisterinpitäjänä toimivan julkishallinnon viranomaisen nimittää tietosuojavastaavan. Kirkkohallitus on huolissaan siitä, onko asetuksen soveltamisen alkuvaiheessa saatavissa riittävä määrä ammattitaitoisia tietosuojavastaavia koko julkishallinnon tarpeisiin. Tästä syystä kirkkohallitus katsoo olevan erittäin tärkeää, että asetuksen soveltamisen alkuvaiheessa tietosuojavirasto painottaa tehtäväkuvassaan 57 artiklan 1 kohdan b–d alakohdan mukaisia tehtäviä. Ehdotetun tietosuojalain 18 §:n mukaan tietosuojavirasto voi tehtäviä hoitaessaan käyttää apunaan asiantuntijoita, joilla on tietosuojaviraston tehtävän hoidon kannalta merkityksellistä asiantuntemusta. Kirkkohallituksen mielestä säännös on sinänsä tarkoituksenmukainen, mutta katsoo, että nimittäessään ulkopuolisia asiantuntijoita viraston tulee huolehtia siitä, ettei synny eturistiriitatilanteita.
  • Lausunnonantajia: 49
    4 luku. Oikeusturva ja seuraamukset
      • Jos tietosuojavirasto ei käsittele sille osoitettua rekisteröidyn valitusta, jonka mukaan rekisteröityä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta, tai tee yleisen tietosuoja-asetuksen 77 artiklan 2 kappaleessa tarkoitettua ilmoitusta asian käsittelemisestä kolmen kuukauden kuluessa, valittaja voi saattaa asian hallinto-oikeuden käsiteltäväksi.
      • Yleiset kommentit käsittelyn viivästymistä koskevasta 23 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 21 ja 23 §:n mukaan tietosuojavirastolle osoitetaan ”valitus”. Tässä taustalla on tietosuoja-asetuksen 77 artikla (oikeus tehdä valitus valvontaviranomaiselle). Valitus-sana on siinä mielessä harhaanjohtava, koska tietosuojavirasto hoitaa nämä ”valitukset” kuten kantelut ja asioiden käsittelyyn sovelletaan hallintolakia. Tietosuoja-asetuksen ruotsinkielisessä versiossa käytetäänkin klagomål-sanaa, joka tarkoittaa kantelua. Tässä yhteydessä voitaisiin käyttää termiä hallintokantelu. Joka tapauksessa tietosuojalakiluonnoksen 21 §:n yksityiskohtaisissa perusteluissa voisi informatiivisuuden vuoksi todeta, että asian käsittelyyn sovelletaan tällöin hallintolakia. MMM esittää harkittavaksi, onko 24 §:n 2 momentissa tarpeen mainita, että hallinto-oikeudessa asian käsittelyyn sovelletaan hallintolainkäyttölakia. Se on itsestään selvää.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Normaalin muutoksenhakusäännöksen sisältämässä ehdotuksen 22 §:ssä tulee olla selkeästi säänneltynä myös se, mikä muutoksenhakutie on ajateltu seuraamuslautakunnan määräämiin hallinnollisiin sakkoihin tai rajoituksiin ja kieltoihin. Ehdotus sisältää 23 §:ssä uudenlaisen oikeussuojakeinon, viivästysvalituksen. Tällaisen sääntelyn tarvetta yleisemmällä tasolla arvioitiin muutama vuosi sitten oikeusministeriön työryhmämietinnön 2008:5 pohjalta. Saatujen lausuntojen perusteella valmisteltiin keväällä 2012 uusi ehdotus käyttöalaltaan rajoitetummasta viivästysvalitusjärjestelmästä, mutta myös sen toimivuuteen ja tarpeellisuuteen suhtauduttiin lausuntokierroksella varsin kriittisesti. Lausuntopalautteen perusteella päätettiin tuolloin luopua viivästysvalitusjärjestelmän käyttöönotosta. Tämä ratkaisu oli erittäin järkevä hallinto-oikeuden näkökulmasta. Nyt kysymyksessä olevassa ehdotuksessa viivästysvalituksen käyttöala on aiempaa rajatumpi. Se koskee vain tietosuojavirastoa ja valitus on mahdollista tehdä vain, jos se ei ole antanut pyydettäessä edes käsittelyaika-arviota. Mikäli tällaista sääntelyä halutaan, 23 §:ssä tulee vielä selvyyden vuoksi todeta, että asian käsittely hallinto-oikeudessa raukeaa, kun tietosuojavirasto antaa sitä pyytäneelle käsittelyaika-arvion tai ratkaisee asian. Ensisijaisesti ehdotetusta 23 §:stä tulee luopua. Vaikka tämän tyyppistä sääntelyä löytyykin Keski-Euroopasta, Suomessa tehokkaiden oikeussuojakeinojen voidaan todellisuudessa katsoa selkeämmin täyttyvän kantelumahdollisuudella laillisuusvalvojille eli oikeuskanslerille ja eduskunnan oikeusasiamiehelle yhdistettynä rikosoikeudelliseen ja vahingonkorvausoikeudelliseen vastuuseen. Tietosuojaviraston mahdollisesta passiivisuudesta johtuvia ongelmia ei pidä siirtää hallinto-oikeuksien ratkaistaviksi. Erillissääntelyä asiasta ei tarvita.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Myös tämä pykälä toimii osaltaan rekisteröidyn oikeusturvan takeena.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Helsingin kaupungilla ei ole kommentoitavaa tältä osin.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Ei kommentotavaa.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa käsittelyn viivästymistä koskevasta 23 §:stä.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Esitetty menettelytapa on kannatettava ja kolmen kuukauden määräaika on kohtuullinen.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • -
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommenttia.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Käsittelyn viivästymistä koskeva 23 § perustuu yleisen tietosuoja-asetuksen johdanto-osan 141 perustelukappaleeseen. Perustelukappaleen mukaan jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Tältä osin asialla on liityntä myös rekisteröidyn oikeuteen tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan yleisen tietosuoja-asetuksen 78 artiklassa säädetyllä tavalla. Mietinnöstä (s. 157) käy ilmi, että asiasta olisi säädettävä tietosuojalaissa, sillä kansallinen yleinen hallinto- ja hallintolainkäyttölainsäädäntö ei tunne yleisen tietosuoja-asetuksen 78 artiklan 2 kohdassa tarkoitettua oikeutta saattaa asia tuomioistuimeen viranomaisen toimimattomuuden vuoksi. Ulkoasiainministeriö pitää käsittelyn viivästymistä koskevaa säännöstä rekisteröidyn oikeusturvan kannalta hyvänä ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää ehdotusta tältä osin perusteluna.
      • Työryhmä ei ollut yksimielinen siitä, tulisiko viranomaisiin ja julkishallinnon elimiin voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta.
      • Tulisiko yleisen tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin?
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • ei
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • kyllä
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • kyllä
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • kyllä
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • kyllä
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • kyllä
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • kyllä
      • Elintarviketurvallisuusvirasto Evira
        Päivitetty:
        8.9.2017
        • ei
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • ei
      • Tekes
        Päivitetty:
        8.9.2017
        • ei
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • ei
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • kyllä
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • kyllä
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • ei
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • ei
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • ei
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • ei
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • ei
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • kyllä
      • Maaseutuvirasto
        Päivitetty:
        8.9.2017
        • ei
      • Kuluttajaliitto ry, Konsumentförbundet rf
        Päivitetty:
        8.9.2017
        • kyllä
      • Nets Oy
        Päivitetty:
        8.9.2017
        • ei
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • kyllä
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • kyllä
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • kyllä
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • ei
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • ei
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • kyllä
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • kyllä
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • ei
      • Museovirasto
        Päivitetty:
        7.9.2017
        • ei
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • ei
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • ei
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • ei
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • ei
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • kyllä
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • ei
      • Perustelut
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Yhdenvertaisuuden näkökulmasta olisi perusteltua, että kaikilla toimijoilla olisi samat säännöt.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Myös julkishallinnollisilla tahoilla on oltava riittävät kannustimet parantaa tietoturvaa ja tietosuojan tasoa, joten hallinnollisia sakkoja tulisi voida kohdistaa myös niihin. Perustelut hallinnollisen sakon määräämiselle eivät julkishallinnollisten tahojen osalta eroa yksityisistä tahoista.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Vaikka ankaran taloudellisen seuraamuksen ulottaminen julkisiin toimijoihin on hallinnollisesti paradoksaalista, asetuksen rikkomisen moitittavuus tulee pitää yhdenmukaisena. Sanktion ei pidä muuttua sen mukaan, millä sektorilla toimitaan tai onko käsittelyssä kyse julkisen vallan käyttämisestä. Käytännön tilanteissa sanktion soveltamisen vaihtelu voisi vaikuttaa kaupallisten riskien hallintaan. Julkisen ja yksityisen sektorin välisessä yhteistyössä ja kaupankäynnissä on ongelmallista, jos kaikkiin osapuoliin ei lain tasolla kohdisteta samoja tietosuojan vaatimuksia ja myös sanktioita.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • EU-asetuksen säännöt koskevat sekä julkkista että yksityistä sektoria ja lähtökohtaisesti kaikkia rekisterinpitäjiä ja henkilötietojen käsittelijöitä. Kela puoltaa näkemystä, että yleisen tietosuoja-asetuksen mukaisten seuraamusten tulisi olla myös yhdenmukaisia. Kela kannattaa mietinnössä esitettyä näkemystä, että julkiselle hallinnolle määrättävien sakkojen määrä tulisi lainsäädännössä määritellä siten, että enimmäismäärät ovat huomattavasti asetuksessa määriteltyjä alhaisemmat. Lisäksi Kela kiinnitti huomioita mietinnössä esitettyyn seikkaan, että hallinnollisten sakkojen yläpäätä tultaisiin soveltamaan vain törkeimpien rikkomusten osalta. Lisäksi valvontaviranomainen voisi käyttää harkintavaltaansa ja antaa rekisterinpitäjälle sakkojen sijaan myös esimerkiksi huomautuksen. Sakkojen määrääminen tulisi olla muiden toimien jälkeen viimesijainen sanktio. Tulevaisuudessa esimekiksi sote-sektorilla tulee olemaan entistä enemmän julkisen ja yksityisen palvelun tietokokonaisuuksien yhdistelmiä, jolloin myös seuraamuksissa tulee olla samuutta. Kun julkisilla viranomaisilla on oma tiukka laillisuusvalvonta, voi viimesijaisen sanktion käyttö olla vähäisempi, mutta kuitenkin mahdollisuutena sen tulee olla olemassa. Samalla voisi tarkemmin käsitellä myös tietosuojaviranomaisen muita sanktioimismahdollisuuksista, kuten mahdollisuudesta antaa huomautus sakon sijaan.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Tietosuojalainsäädännön noudattaminen koskee kaikkia toimijoita. Lääkäriliitto ei näe syytä kohdella viranomaisia ja julkishallintoa eri tavalla kuin muita toimijoita.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että asetuksen rikkomisen seuraamusten tulisi olla yhdenmukaisia riippumatta siitä, onko rekisterinpitäjä julkisen vai yksityisen sektorin toimija. Rekisteröidyllä on oikeus henkilötietojen suojaan riippumatta siitä, käsitelläänkö henkilötietoja yksityisen vai julkisen sektorin piirissä. Vaikka viranomaisten toiminta perustuu lakiin, julkisuuteen tulleet esimerkit osoittavat, että henkilötietojen suojaaminen väärinkäytöksiltä ei aina toteudu julkisen hallinnon toimijoiden piirissä. Julkishallinnon toiminnassa käsitellään usein arkaluonteisia tietoja. Tästä syystä tietosuoja-asetuksen rikkomisesta seuraavat haitat voivat olla yksilölle suuria, kun rikkojana on viranomainen. Etenkin, kun yksilö voi harvoin vaikuttaa siihen, miten julkisen sektorin toimijat henkilötietoja käsittelevät. Julkisen sektorin toimijoiden rajaaminen hallinnollisten sakkojen ulkopuolelle voi merkittävästi vääristää kilpailua. Julkiset ja yksityiset tahot kilpailevat samoilla markkinoilla (esim. terveydenhuolto). Kilpailuasetelma ei olisi tasa-arvoinen, jos erittäin merkittävät hallinnolliset sanktiot koskisivat vain toista osapuolta. Kilpailun vääristämisen lisäksi julkishallintoa palvelevat ohjelmisto- ja palvelutoimittajat, eli henkilötietojen käsittelijät, voivat kokea tietosuojasta sopimisen loppukäyttäjien (julkinen hallinto) kanssa haasteelliseksi, jos molemmilta sopimusosapuolilta ei lain tasolla odoteta samanlaista suhtautumista henkilötiedon käsittelyyn. Yksittäisellä virkamiehellä ei useinkaan ole tosiasiassa mahdollisuutta vaikuttaa siihen, miten henkilötietoja kokonaisuudessa käsitellään viranomaisessa – esimerkiksi miten viranomaisessa on toteutettu sisäänrakennettua tietosuoja (”privacy by design”). Vastuun kohdistaminen rikosoikeudellisella virkavastuulla yksittäiseen virkamieheen ei näin ollen ole oikeasuhtaista ja tehokasta. Nokia katsoo, että vastuun tulee kohdistua velvoitteen rikkoneeseen rekisterinpitäjään eikä pelkästään julkisen sektorin toimijan alaisuudessa työskenteleviin yksittäisiin virkamiehiin.
      • Elintarviketurvallisuusvirasto Evira
        Päivitetty:
        8.9.2017
        • Elintarviketurvallisuusvirasto katsoo ensisijaisesti, että julkisia hallintotehtäviä hoitavien organisaatioiden tulisi välttyä kokonaan hallinnollisilta sakoilta. Jos tämä ei ole mahdollista, sakkojen enimmäismäärää tulisi madaltaa. Peruste Eviran kannalle on se, että ei voida ajatella, että viranomaisten ja yritysten tulisi olla hallinnollisen sanktion kohdalla samassa asemassa, koska myöskään rekisterinpitäjinä ne eivät ole samassa asemassa. - Viranomainen ei itse voi valita mitä henkilörekistereitä se pitää, vaan sen on pidettävä niitä henkilörekistereitä, joita sille on säädetty pidettäväksi. Yritys voi halutessaan palvella vain yrityksiä, ei luonnollisia henkilöitä. - Viranomainen ei itse voi valita asiakkaitaan ja/tai rajoittaa heidän määräänsä. - Viranomainen ei itse voi valita mitä ja kuinka paljon tietoja asiakkaistaan kerää. - Viranomaisen on toiminnassaan huomioitava julkisuusperiaate ja muiden tahojen mahdollinen oikeus viranomaisen keräämän tiedon hyödyntämiseen. - Virastoilla ei ole mitään kaupallisia intressejä hyödyntää henkilötietoja tietosuoja-asetuksen vastaisella tavalla, joten ne eivät tarvitse tätä varten ”pelotetta”. - Jos tällainen sakko maksetaan viranomaisen toimintamenoista, resursseja tietosuojan noudattamiseen on entistäkin vähemmän. - Sakon maksaminen vähentää myös viranomaisen resursseja tehdä varsinaista ydintoimintaansa. Tehtävien hoidon kannalta kriittisimmissä tilanteissa viranomaiselle olisi pakko antaa lisäbudjetissa lisää rahaa tehtävien hoitoa varten. Rahaa siirrettäisiin valtion taskusta toiseen. Edellä mainitut seikat eivät kuitenkaan tarkoita sitä, että tietosuoja-asetuksen vaatimuksia ei olisi syytä ottaa vakavasti. Vaatimusten toteuttamisessa ei saa viivytellä. Rekistereiden täytyy olla teknisesti siinä tilassa, että tietosuoja-asetuksen vaatimusten noudattaminen on mahdollisimman helppoa. Rekistereistä vastaavilla henkilöillä sekö johdolla täytyy olla tietoa asetuksen vaatimuksista. Viraston tietosuojavastaavalle täytyy antaa asianmukaiset resurssit ja mahdollisuudet hoitaa tehtäväänsä. On myös huomattava, että hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti tietosuoja-asetuksen 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Artikla 58 koskee tietosuoja-asetusta valvovan valvontaviranomaisen valtuuksia. Valvontaviranomainen voi mm. antaa rekisterinpitäjälle asetuksen noudattamista koskevia määräyksiä ja kieltoja. Tällaiset määräykset ja kiellot eivät ole suinkaan merkityksettömiä viranomaiseen kohdistuessaan, vaikka niiden lisäksi ei määrättäisikään hallinnollista sakkoa. Jos tietosuoja-asetuksen vastaista toimintaa ilmenisi, tietosuoja-asetuksenvalvontaviranomaisen tekemän ratkaisun asiaan tulisi olla mahdollisimman laajalti tiedotettu. Mahdollisuus saada huono maine tällaisissa asioissa vaikuttaa virastojen valitsemiin toimintamalleihin.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Mikäli julkishallinnon elimille ei kansallisen lainsäädännön nojalla voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta, tulisi olla olemassa vaihtoehtoinen seuraamus, jonka vaikutus on tehokas, oikeasuhtainen ja varoittava. Rikosoikeudellinen järjestelmä ei voi olla tämä vaihtoehtoinen seuraamusjärjestelmä, koska rikosoikeudelliset seuraamukset kohdistuvat yksittäiseen luottamushenkilöön, viranhaltijaan tai virkamieheen. Yksittäisen henkilön saattaminen vastuuseen henkilötietojen lainvastaisesta käsittelystä on kohtuutonta silloin, kun lain rikkominen johtuu rekisterinpitäjän tai henkilötietojen käsittelijän toimintalinjauksista, jotka ovat johtaneet henkilötietojen lainvastaiseen käsittelyyn. Hallinnollisen sakon vaihtoehtona tulisi olla siten joku muu suoraan viranomaiseen tai julkishallinnon elimeen kohdistuva seuraus. Eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja niiden palveluksessa olevien henkilöiden sekä muiden julkista tehtävää hoitavien toiminnan lainmukaisuutta. Tehtäviä toteuttaessaan laillisuusvalvojat valvovat perusoikeuksien ja ihmisoikeuksien toteutumisesta. Laillisuusvalvoja voivat antaa viranomaiselle huomautuksen, saattaa viranomaisen tietoon käsityksensä lainmukaisesta menettelystä sekä tehdä viranomaiselle esityksen virheen tai epäkohdan korjaamiseksi tai hyvittämiseksi. Helsingin kaupunki katsoo, että tietosuojalainsäädännön rikkomusten ensisijaisina seuraamuksina viranomaisille ja julkishallinnon elimille voisivat olla vastaavanlaiset seuraamukset kuin mitä laillisuusvalvojilla on käytettävissään: huomautus, lainmukaisen menettelyn tietoon saattaminen sekä esitys virheen tai epäkohdan korjaamiseksi. Kyseisillä laillisuusvalvojien käyttämillä seuraamuksilla on todettu olevan merkittävä ohjaava vaikutus viranomaisten toimintaa ja tällaiset seuraamukset olisivat useimmissa tapauksissa riittäviä ohjaamaan viranomaisia ja julkishallinnon elimiä myös tietosuoja-asioissa. Mikäli viranomainen tai julkishallinnon elin ei noudata sille annettuja huomautuksia tai kehotuksia tai mikäli kyseessä on erityisen törkeä yleisen tietosuoja-asetuksen velvoitteiden rikkominen, voitaisiin viranomainen tai julkishallinnon elin määrätä maksamaan hallinnollisia sakkoja. Hallinnollisten sakkojen enimmäismäärän tulisi kuitenkin olla huomattavasti alempi kuin 10.000.000 tai 20.000.000 euroa. Miljoonien eurojen suuruiset sakot on tarkoitettu käytettäväksi lähinnä suurten monikansallisten yritysten rikkoessa erityisen tuomittavalla tavalla tietosuoja-asetusta. Sakkojen määrän tulee olla suuri, jotta sillä on tosiasiallista vaikutusta suurien yritysten toimintaan. Julkishallinnon elinten osalta huomattavasti pienemmillä hallinnollisilla sakoilla voidaan saavuttaa sama tosiasiallinen vaikutus.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • TATTI-työryhmän mietinnössä on esitetty hallinnollisen sakon käyttöönotosta viranomaisten toiminnassa kahdenlaisia näkemyksiä. Itä-Suomen yliopisto pitää relevantteina niitä työryhmän jäsenten esittämiä perusteluita sille, että kansallista liikkumavaraa pitäisi käyttää siten, ettei hallinnollisen sakon määräämistä koskevia säännöksiä sovellettaisi tietosuoja-asetuksen 83 (7) sallimissa rajoissa viranomaisiin ja julkisen hallinnon elimiin. Esitetyt perusteet ovat painavia ja kattavia. Itä-Suomen yliopisto pitää liikkumavaran käyttämättä jättämistä koskevia argumentteja puolestaan ongelmallisina. Liikkumavaran käyttämättä jättämistä on argumentoitu lähinnä toissijaisilla perusteilla ottamatta huomioon viranomaistoimintaa koskevaa sääntelyä kokonaisuutena sekä viranomaisten toimintaan kohdistuvaa valvontaa. Ongelmallisiksi argumenteiksi voidaan nostaa muun muassa seuraavat: - Työryhmän mietinnössä liikkumavaran käyttämättä jättämistä on pyritty argumentoimaan vertaamalla yksityisen sektorin ja julkisen sektorin toimintaa ja niille asetettuja vaatimuksia. Raportissa liikkumavaran käyttämättä jättämistä perusteella sillä, että yleistä tietosuoja-asetusta sovelletaan niin yksityisellä kuin julkisella sektorilla ja tästä syystä asetuksen mukaisten seuraamusten tulisi olla yhdenmukaisia. On syytä korostaa, että tietosuoja-asetus ei aseta viranomaistoimintaa samaan asemaan kuin yksityissektoria. Asetuksessa on useita säännöksiä, jotka koskevat julkisen vallan käyttöä ja siten julkista sektoria, kuten asetuksen 6 (3) artikla, 17 (3 b), 20 (3) artikla, 49 (3) artikla sekä rajoitussäännökset 23 artiklassa. Viranomaisia koskee myös yksiselitteisesti velvollisuus nimittää tietosuojavastaava (37 (1 a) artikla). Tässä suhteessa edes lähtökohtaisesti julkista ja yksityistä sektoria ei voida verrata asetuksenkaan näkökulmasta toisiinsa. - Tyypillisesti hallinnollisilla sakoilla on pyritty sääntelemään liiketaloudellista toimintaa. Tässä suhteessa hallinnollisen sakon käyttöönotto ei ole luontevaa, koska julkisen vallan käyttöön ei liity sellaista liiketaloudellista luonnetta, jota olisi tarvetta ryhtyä erityisin sanktiomekanismein ohjaamaan. Yksityiselle sektorille puolestaan on perusteltua asettaa merkittäviä taloudellisia seuraamuksia hallinnollisen sakon muodossa, koska henkilötietojen käsittelyyn voi liittyä merkittäviäkin liiketaloudellisia intressejä. Itä-Suomen yliopisto katsookin, että jos on tarpeen lähteä arvioimaan yksityisen ja julkisen sektorin yhdenmukaista seuraamusjärjestelmää, tulisi sen rajoittua ainoastaan toimintaa, jossa viranomainen tai julkisen hallinnon elin käsittelee henkilötietoja liiketaloudellisiin tarkoituksiin ilman selkeää julkisen vallan käyttöön liittyvää tehtävää. - Hallinnollista sakkoa voidaan pitää myös jossakin määrin ongelmallisena sen suhteen, että myös Suomessa toimiva valvontaviranomainen voi joutua sen arvioitavaksi, onko valvontaviranomaisessa toimittu tietosuoja-asetuksen säännösten mukaisesti. Käyttämällä kansallista liikkumavaraa, ei edes teoreettisesti voisi muodostua tilannetta, että valvontaviranomainen joutuisi itse arvioitavaksi hallinnolliseen sakkomenettelyyn. Valvontaviranomaistakin valvovat ylimmät laillisuusvalvojat, jotka voivat viime kädessä myös saattaa valvontaviranomaisen toiminnat rikosoikeudellisen arvioinnin piiriin. Tällaista mahdollisuutta ei välttämättä olisi, jos hallinnollinen sakko olisi käytössä viranomaistoiminnassa. Tietosuojaviraston tehtävänä on ylläpitää rekisteriä tietosuojavastaavista tietosuoja-asetuksen 37 (7) artiklan perusteella. Itä-Suomen yliopisto kiinnittää myös huomiota siihen, ettei TATTI-työryhmän mietinnössä ole selvitetty, onko tietosuojaviraston tästä tehtävästä tarpeen säätää kansallisesti erikseen ottaen huomioon perustuslakivaliokunnan kannanotto sääntelyvaatimuksista. Niin ikään arvioitavaksi tulee, millä perusteilla tietosuojavirasto voi luovuttaa tai antaa näitä tietoja nähtäväksi rekisteristään. Julkisuuslain sääntely toimii luonnollisena pohjana tälle arvioinnille, jolloin erillissääntely ei ole välttämättä tarpeen. Oikeusministeriön ja tietosuojavaltuutetun toimiston on kuitenkin tehtävä tästäkin arvio julkisuuslain 18.1 §:n 3 kohdan perusteella, kun kysymys on lainsäädännöllisestä uudistuksesta sekä uuden tehtävän johdosta tapahtuvan tietojärjestelmän käyttöönotosta. TATTI-työryhmän mietinnöstä ei ilmene, onko tällaista arviota tehty. - Liikkumavaran käyttämättä jättämisen puolesta työryhmän raportissa on myös argumentoitu sitä, että ”Jos merkittävä osa rekisterinpitäjistä ja henkilötietojen käsittelijöistä jäisi seuraamuslautakunnan toimivallan ulkopuolelle, voidaan kysyä, onko syytä luoda tällainen järjestely vain muiden toimijoiden osalta.” Tällä argumentilla ei ole itse seuraamuslautakunnan tarpeeseen suoraa yhteyttä, koska joka tapauksessa Suomen pitää järjestää hallinnollisen sakon määräämiseen yksityisiä toimijoita varten riittävän oikeusturvan takaava käsittely perustuslain 21 §:n mukaisesti. Mietinnössä esitetty argumentti puolestaan vaikuttaisi siltä, että seuraamuslautakunnan ensisijaisena tehtävänä olisi hallinnollisten sakkojen määrääminen viranomaisille. Kuten argumentaatiossa todetaan, hallinnollisen sakon määräämiseen ei voitane kovinkaan kevyin perustein ryhtyä. Tämäkin argumentti osoittaa, että seuraamuslautakunnan käyttäminen olisi jo lähtökohtaisesti poikkeuksellista. - Itä-Suomen yliopisto myös kiinnittää huomiota hallinnollisen sakon käyttöön ja sen rinnastumiseen rikosoikeudellisiin rangaistussäännöksiin. Arvioitaessa seuraamusjärjestelmää kokonaisuutena vaille huomiota ei voida jättää perustuslakivaliokunnan toistuvaa kantaa siitä, että hallinnollisten sanktioiden ja rikosoikeudellisten seuraamusten tulee olla oikeassa suhteessa tekoon nähden. Lisäksi järjestelmän kokonaisuudessaan tulee täyttää suhteellisuuden vaatimukset (ks. PeVL 61/2014 vp, s. 2, PeVL 56/2014 vp, s. 3). Työryhmän mietinnöstä ei ilmene, miten tätä kokonaisuutta on arvioitu kansallista liikkumavaraa ja rikosoikeudellista seuraamusjärjestelmää arvioitaessa. - Työryhmän muistion liikkumavaran käyttämättä jättämistä koskevassa argumentaatiossa ei ole perusteltu sitä, miksi rikosoikeudelliseen virkavastuuseen perustuva sääntely ei muodosta riittävää ennalta estävää vaikutusta. Mietinnöstä ei ilmene, mihin tällainen käsitys perustuu – onko tästä tutkittua tietoa. Yleisesti ottaen Suomen rikosoikeudellisen virkavastuun ennalta estävään tehottomuuteen ei ole löydettävissä asia-argumentteja ja toisaalta jos rikosoikeudellinen virkavastuu ei toimisi, tulisi koko virkavastuuseen liittyvä järjestelmä uudistaa. - Työryhmän liikkumavaran käyttämistä koskevassa argumentaatiossa todetaan myös se, että työryhmällä ei ole riittävää kompetenssia arvioida rikosoikeudellista järjestelmää. Argumentaatiosta ei ilmene, miksi kompetenssia ei ole hankittu tekemään tällaista arviointia. Toisaalta liikkumavaran käyttämisen puolesta esitetyt argumentin osoittavat, että ainakin jossakin määrin tällaista arviointia on tehty työryhmän työssä. Valtioneuvoston ohjesäännön (262/2003) 14 §:n mukaan oikeusministeriön toimialaan kuuluu lainvalmistelu rikosoikeuden alalla. TATTI-työryhmän on asettanut oikeusministeriö, jonka virkamiehistä työryhmän sihteeristö koostuu. Itä-Suomen yliopisto pitää tärkeänä, että tietosuoja-asetuksen seuraamusjärjestelmä arvioidaan kokonaisuutena samalla huolehtien riittävästä rikosoikeudellisesta osaamisesta jatkovalmistelussa. Edellä esitetyn perusteella on olemassa painavat, työryhmän muistiossakin osittain esitetyt argumentit sille, että kansallista liikkumavaraa tulisi käyttää. Tilanne, jossa valtion viranomainen määräisi huomattavat sakot valtion rahoittamalla organisaatiolle, johtaisi myös epätarkoituksenmukaiseen julkisten varojen käytön hallintaan. Viime kädessä määrätty hallinnollinen sakko voisi edellyttää valtion lisätalousarviossa määrärahaa valtion virastolle tai laitokselle taikka tulevaisuudessa valtion rahoitusvastuulla toimiville maakunnille. Myöskään henkilötietojen käsittelyyn liittyvä rikosoikeudellinen vastuu ei voi väistyä hallinnollisten sakkojen määräämisen vuoksi. Rikosoikeudellinen virkavastuu on virkamieheen ja siihen verrattavaan muuhun henkilöön kohdistuva henkilökohtainen vastuu.
      • Tekes
        Päivitetty:
        8.9.2017
        • Ensisijaisesti puutteiden korjaus ja mahdollinen käsittely seuraamuslautakunnassa. Sisäänrakennettu tietosuoja vaatii kuitenkin riittäviä resursseja ja johdon panostusta, jotta tietosuoja voidaan ottaa huomioon prosessien ja järjestelmien suunnittelussa, hankinnoissa sekä henkilötietojen käsittelyn ja tiedonohjauksen suunnittelussa. Tämä puoltaisi organisaatioille kohdentuvan sanktion käyttöä vakavissa systemaattisissa laiminlyönneissä.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Kaikessa viranomaistoiminnassa ja julkisen vallan käytössä tulee noudattaa lakia. Viranomaistoiminnan lainmukaisuutta valvotaan eri hallinnonaloilla ja viime kädessä ylimpien laillisuusvalvojien toimesta. Viranomaisten toiminta ja julkisen vallan käyttö perustuu viranomaisille säädettyihin tehtäviin ja viranomaistoiminta rahoitetaan pääsääntöisesti verovaroin. Viranomaisten tehtävien hoidon jatkaminen tulisi joka tapauksessa varmistaa myös silloin, kun viranomaiselle olisi määrätty tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen sakko. Käytännössä tämä tarkoittaa että hallinnollisen sakon saaneelle viranomaiselle tulisi osoittaa vastaava rahoitus sen toiminnan jatkumisen turvaamiseksi. Pidän yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista viranomaisiin ja julkishallinnon elimiin tarkoituksettomana.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus edellyttää hallinnollisia sakkoja koskevan järjestelmän käyttöön ottoa. Nykyisenkin lain mukaan tietosuojavaltuutetun määräyksen tehosteeksi voidaan asettaa uhkasakko, joka voidaan kohdistaa myös viranomaiseen. Tilanteet, joissa viranomaisille asetettaisiin hallinnollinen sakko tulisivat todennäköisesti olemaan käytännössä harvinaisia. Mahdollisuus hallinnollisen sanktion määräämiseen on syytä olla olemassa.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Kansallisgalleria vastustaa hallinnollisen sakon määräämistä julkisyhteisöille. Etenkin tilanteessa, jossa henkilötietojen käsittelyn oikeudellinen perusta saattaa olla epäselvä, sakon mahdollisuus voisi johtaa tiedon tuottamisen ja käytön kannalta varovaisiin ja kielteisiin seuraamuksiin. Kulttuuriperintöön liittyvien henkilötietojen käsittely (myös erityisten henkilöryhmien kohdalla) on hyvin matalariskistä.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • Ilman tätä seuraamusjärjestelmä olisi puutteellinen.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Jyväskylän yliopisto kannattaa niiden täytäntöönpanotyöryhmän jäsenten kantaan ja perusteluja, joiden mielestä laissa tulisi käyttää kansallista liikkumavaraa hallinnollisten sakkojen osalta. Julkishallinnolle muussa lainsäädännössä säädetyt vaatimukset hyvän hallinnon edellytysten noudattamisesta, virkavastuusta ja yleisestä laillisuusvalvonnasta sekä mahdollinen vahingonkorvausvastuu ovat jo sinällään tehokkaita ja oikeasuhtaisia keinoja sen varmistamiseksi, että tietosuoja-asetusta noudatetaan julkishallinnossa. Hallinnollisten sakkojen enimmäismäärät, 10 miljoonaa ja 20 miljoonaa euroa, ovat lähtökohtaisesti rekisterinpitäjinä toimivan yliopiston kantokykyyn nähden korkeita.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Näkemyksemme mukaan viranomaisiin ja julkishallinnon elimiin tulee voida kohdistaa hallinnollisia sanktioita, mutta sakkojen enimmäismäärä tulisi madaltaa. Esimerkiksi Ruotsin vastaavassa komiteamietinnössä (SOU 2017:39) on päädytty siihen, että julkisille toimijoille voitaisiin tietosuojarikkomuksesta määrätä hallinnollinen sakko, mutta sen enimmäismäärä voisi olla noin kymmenesosa asetuksen mukaisesta enimmäismäärästä. Jatkotyössä tulisi selvittää, olisiko Suomessa vastaavia perusteita siihen, että julkisten toimijoiden sanktioiden enimmäismäärä olisi asetuksen mukaista enimmäismäärää alhaisempi. Yksityisalojen lakisääteistä työeläkevakuutusta hoitavat työeläkevakuutusyhtiöt, eläkesäätiöt, eläkekassat, Merimieseläkekassa sekä Maatalousyrittäjien eläkelaitos. Nämä eläkevakuuttajat on vakiintuneesti katsottu osaksi välillistä julkishallintoa niiden käyttäessä julkista valtaa. Eläkevakuuttajien toiminnan laillisuutta valvotaan, toimiala on rajattu laissa ja henkilötietojen käyttö on tarkkaan rajattua. Toimintaan sovelletaan mm. hallinto- ja virkavastuuta koskevia säännöksiä silloin, kun toiminnassa käytetään julkista valtaa. Julkisten alojen työeläkevakuutusta hoitaa Keva, joka on itsenäinen julkisoikeudellinen eläkelaitos. Kevan koko toimintaan sovelletaan mm. julkisuuslakia, hallintolakia ja hankintalakia. Kunnallisen eläkelain säätämisen yhteydessä perustuslakivaliokunta on katsonut, että kunnallinen eläkelaitos luetaan varsinaiseen viranomaiskoneistoon perustuslain merkityksessä. Näin ollen voidaan pitää perusteltuna, että asetuksen mahdollistamaa kansallista liikkumavaraa tulisi käyttää siten, että hallinnollisten sakkojen osalta kaikkiin työeläketoimijoihin sovellettaisiin samoja enimmäismääriä kuin muihin julkisen hallinnon toimijoihin. Työeläkevakuutusyhtiöt saatettaisiin kuitenkin tulkita yrityksiksi, joihin sovellettaisiin liikevaihtoon sidottuja prosenttiosuuksia mahdollisia hallinnollisia sakkoja määrättäessä. Finanssivalvonnan määräys- ja ohjekokoelmassa (14/2012) on määritelty se, kuinka työeläkeyhtiön liikevaihto lasketaan. Finanssivalvonnan määräysten mukaan laskettu liikevaihto nousee työeläkeyhtiössä helposti useisiin miljardeihin euroihin, joten liikevaihtoon sidottu sakon enimmäismäärä olisi useimmissa tapauksissa reilusti yli sata miljoonaa euroa. Tätä ei voida pitää oikeasuhtaisena tai tarkoituksenmukaisena sanktiona, kun otetaan huomioon, että työeläkeyhtiöiden ei ole tarkoitus tuottaa voittoa ja että työeläkeyhtiön liikevaihdon mukaiset varat on tarkoitettu eläkkeiden kustantamiseen. Työeläkeyhtiö voi siis harjoittaa ainoastaan lakisääteistä työeläkevakuutusta ja sen ainoa tehtävä on eläkkeiden turvaaminen.
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Uusi tietosuojalaki korostaa lain aktiivista toteuttamista. Lisäksi lain noudattamiseen aktivoidaan taloudellisten sanktioiden uhalla. Nämä lainsäädännön kiristykset johtavat muistiorganisaatioissa todennäköisesti huomattaviin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tämä alasajo tarkoittaa esim. Kuopion museokeskuksen osalta kaikkien alle 100 vuotta vanhojen henkilökuvien poistamista, joissa on tunnistettavia ei-julkisuuden henkilöitä, museoidemme verkkopalveluista.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen 83 artikla sisältää säännökset hallinnollisista sakoista, jotka voidaan määrätä asetuksen velvoitteiden rikkomisesta. Asetus antaa kansallista liikkumavaraa sen suhteen, tulisiko myös viranomaiselle tai julkishallinnon elimelle määrätä hallinnollisia sakkoja. Liikenne- ja viestintäministeriö on jo työryhmässä yhtynyt kantaan, ettei hallinnollisia sakkoja tulisi määrätä viranomaisille. Suomen lainsäädännössä julkisen hallinnon ja julkista hallintotehtävää hoitavien organisaatioiden toiminnan yleistä lainmukaisuutta varmistaa yksityisen sektorin toimijoista poikkeavalla tavalla useat erityisesti julkisen hallinnon toimintaa koskevat säännökset. Kuten mietinnössä on todettu, perustuslain mukaan julkisen vallan käytön tulee perustua lakiin. Viranomaisen on toiminnassaan noudatettava tarkoin lakia. Hyvän hallinnon perusteista säädetään hallintolaissa. Viranomaisen toimintaan kohdistuu useita lakisääteisiä vaatimuksia, joiden tavoitteena on turvata kansalaisten perusoikeuksien toteutuminen. Sen varalta, ettei viranomaisen toiminta täytä laissa säädettyjä vaatimuksia, on säädetty esimerkiksi laillisuusvalvonnasta tai rikosoikeudellisista seuraamuksista. Vaikka henkilötietojen suojan voi katsoa olevan tärkeä perusoikeus, ei liikenne- ja viestintäministeriö näe perusteita sille, miksi juuri henkilötietojen suojaa koskevien vaatimuksien noudattamisen varmistamiseksi tulisi asettaa näin mittavat hallinnolliset sanktiot. Julkisen hallinnon toiminnalle asetut vaatimukset huomioon ottaen oikeasuhtaisempana ja tehokkaampana varoittavana seuraamuksena voitaisiin esimerkiksi pitää muita hallintolain mukaisia hallinnollisia seuraamuksia kuten uhkasakkoa.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH käsityksen mukaan mahdollisuus hallinnollisen sakon määräämiseen viranomaiselle ei mitenkään tehostaisi asetuksen noudattamista ja katsoo, että tälle ratkaisulle on työryhmässä esitetty vakuuttavat perustelut. Viranomaisten toimintaan kohdistuu jo perustuslaista johtuva laillisuusvaatimus ja viranomaisten toimintaan kohdistuu jo nyt laillisuusvalvontaviranomaisten valvonta, mitä täydentää virkamiesten rikosoikeudellinen vastuu sekä julkisyhteisöjen vahingonkorvausvelvollisuus julkista valtaa käytettäessä aiheutuneista vahingoista. Lisäksi on syytä korostaa, että julkisen vallan toiminta itseään korjaavaa eli havaitut lainvastaisuudet korjataan ja mahdolliset seuraamukset määrätään jo ilman ulkopuolisen tahon puuttumista. Hallinnollisen sakon mahdollisuus toimisi tätä periaatetta vastaan, koska tällöin resursseja käytettäisiin viranomaisen ja seuraamuslautakunnan väliseen kiistelyyn tilanteen tulkinnasta ja seuraamuksista. Hallinnollisen sakon mahdollisuus ei myöskään mitenkään edistäisi sitä, että viranomainen omatoimisesti nostaisi esiin omassa toiminnassaan havaitsemia puutteita ja virheitä.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitto viittaa mietinnössä esitettyihin perusteluihin. Viranomaisiin kohdistuu muita yhtä tehokkaita vastuumekanismeja.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Kansalliskirjasto toimii osana Helsingin yliopisoa. Avoimeksi jää, katsottaisiinko HY tältä osin julkishallinnon elimeksi, jolle sakkoja ei voitaisi määrätä. Mielestämme sakkoja ei tulisi määrätä toimijoille, jotka huolehtivat julkisen vallan niille delegoimista tehtävistä ilman taloudellisne hyödyn tavoittelua. Jo Perustuslain lähtökohtana on, että julkiset toimijat noudattavat toiminnassaan lainsäädäntöä. Mikäli epäkohtia ilmenee, kansalaiset voivat kääntyä oikeusasiamiehen tai oikeuskanslerin puoleen. Kuten mietinnössä todetaan, julkisten toimijoiden sakot olisi joka tapauksessa rahoitettava niiden julkiselta vallalta saamista varoista. Tämä ei ole mielekästä.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • EK:n näkemyksen mukaan tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja tulisi voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin. Asiaa on käsitelty laajasti työryhmän mietinnössä. Kuten mietinnössä todetaan, vaikka hallinnollisen sakon kaltaisen ankaran taloudellisen seuraamuksen ulottaminen viranomaisiin ja julkishallinnon elimiin ei ole ihanteellista hallinnollisen epäjohdonmukaisuuden takia, tietosuoja-asetuksen rikkomisesta seuraavan seuraamuksen (esim. hallinnollinen sakko tai rikosoikeudellinen seuraamus) ei ole perusteltua vaihdella sen mukaan onko rekisterinpitäjä yritys vai viranomainen tai onko käsittelyssä kyse julkisen vallan käyttämisestä.
      • Maaseutuvirasto
        Päivitetty:
        8.9.2017
        • Maaseutuvirasto ei kannata hallinnollisten sakkojen kohdistamista viranomaisiin ja julkishallinnon elimiin. Maaseutuviraston toiminnassa, kuten viranomaistoiminnassa ylipäätään, korostuu jo muutenkin laillisuuden ja hallintolain (434/2003) mukaisten hyvän hallinnon periaatteiden vaatimusten noudattaminen. Maaseutuviraston henkilökunta koostuu virkamiehistä, joita koskee perustuslain (731/1999) 118 §:n 1 momentin mukainen virkavastuu suorittamistaan toimista. Rikosoikeudellinen virkavastuu on jo tällä hetkelläkin rekisteröidylle tehokas oikeussuoja. Hallinnollinen sakko maksettaisiin valtiolle tietosuoja-asetuksen velvoitteita laiminlyöneen viranomaisen toimintamäärärahasta. Tämä johtaisi ilmeisesti siihen, että virastolle tai laitokselle, jolle sanktio olisi määrätty, pitäisi myöntää lisämääräraha sakon maksamista varten tai viraston tai laitoksen on muuten tehostettava toimintaansa hallinnollisen sakon kattamiseksi. Viranomaisilla on usein varsin rajoitettu budjetti käytettävissään toimintaansa ja laajoja henkilörekistereitä ja muita viranomaistehtäviä hoidetaan yleensä mahdollisimman pienin henkilöresurssein, joten toiminnan tehostaminen olisi sangen hankalaa ja voisi vaarantaa muita oikeushyviä. Viranomaisnäkökulmasta julkissektorille suunnitellut tietosuoja-asetuksen mukaisten sakkojen maksimimäärät vaikuttavat liian suurilta. Hallinnollisen sakon saaminen saattaisi myös vaarantaa viranomaisen tehtäväksi säädettyjen tehtävien hoitamisen, kun sakon määrääminen vaikuttaa edellä selostetulla tavalla virastotalouteen. Tämä vaarantaisi kansalaisten oikeusturvan, ja jokaisella on oikeus saada asiansa käsitellyksi asianmukaisesti ja ilman aiheetonta viivytystä viranomaisessa. Tämä saattaisi vaarantaa myös EU-lainsäädännön mukaisten maksajavirastotehtävien hoitamisen. Viranomaisiin kohdistuva hallinnollinen sakko olisi poikkeuksellinen seuraamusmenettely Suomen oikeusjärjestelmässä. Viranomaisen tietojen julkisuudesta säädetään laissa viranomaisten toiminnan julkisuudesta (621/1999). Viranomaistoiminnassa julkisuusperiaatetta eli viranomaisen hallinnon julkisuutta on pidetty tärkeänä oikeusperiaatteena, jota suojataan myös perustuslaissa. Viranomaiselle mahdollisesti koituva taloudellinen seuraamus hallinnollisen sakon muodossa tietosuojaan liittyvän yhden oikeushyvän takia voisi johtaa tilanteeseen, että viranomaiset alkaisivat toimia ylikorostetun varovaisesti tietojen julkisuuteen liittyvissä asioissa, josta voisi seurata julkisuuden kaventumista. On myös kyseenalaista ylikorostaa yhtä oikeushyvää eli tietosuojaa muiden oikeushyvien kustannuksella. Näillä perusteilla katsotaan, ettei viranomaisiin ja julkishallinnon elimiin pitäisi kohdistaa hallinnollisia sakkoja. Mikäli päädyttäisiin jostain syystä lopputulokseen, että viranomaisiin ja julkishallinnon elimiin päätettäisiin alkaa soveltaa hallinnollisia sakkoja, niiden maksimimääriä pitäisi merkittävästi alentaa.
      • Kuluttajaliitto ry, Konsumentförbundet rf
        Päivitetty:
        8.9.2017
        • Kuluttajaliitto yhtyy työryhmän mietinnössä sivuilla 24–28 esitettyihin perusteluihin lukuun ottamatta rikoslain muuttamistarvetta koskevia kohtia.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Työryhmä on esittänyt useita perusteita julkishallinnon rajaamiseksi pois hallinnollisten sakkojen soveltamisalalta ja vastaavasti useita päinvastaista lopputulemaa perustelevia argumentteja. Mietinnön mukaan kansallisen liikkumavaran käyttämättä jättämisen eli hallinnollisten sakkojen viranomaisiin ulottamisen puolesta puhuvat erityisesti EU-oikeuden tehokkaan täytäntöönpanon ja virkavastuun toteuttamisen vaatimukset. Henkilötietojen käsittelyn järjestäminen viranomaisessa on rekisterinpitäjänä toimivan viranomaisen vastuulla, ei yksittäisen virkamiehen. Viranomaisen mahdollisesti lainvastaiseen henkilötietojen käsittelyyn ei ole käytännössä mahdollista puuttua virkarikosoikeudellisesti, kun yksittäisen virkamiehen virkavastuulle ei voida (yksittäiset tietojen urkinta- ym. tilanteet pois lukien) sälyttää rekisteripitäjän tai henkilötietojen käsittelijän vastuulle kuuluvia seikkoja, eikä oikeushenkilön rangaistusvastuu ole käytettävissä (ks. s. 173). Viranomaisilta puuttuva voitontavoittelun päämäärä ei myöskään itsessään muuta sitä, että henkilötietojen suojan kohteena olevan oikeushyvät vaativat saman tasoista suojaa kuin yksityissektorilla. Julkisten palveluiden ulkoistamis- ja yksityistämiskehityksen myötä julkishallinnon sulkeminen pois hallinnollisten sakkojen soveltamisalasta voisi myös johtaa eneneviin epäjohdonmukaisuuksiin henkilötietojen suojassa (esimerkiksi sosiaali- ja terveyshuollossa yksinomaan sillä perusteella, mikä palveluja tuottava taho sattuu olemaan kyseessä). Kansallisen liikkumavaran käyttämisen eli hallinnollisten sakkojen käyttöalan rajaamisen puolesta on esitetty hyviä perusteita. Yksi olennainen perustelu on se, että julkisen sektorin lakiperusteisuuden ja hyvän hallinnon vaatimukset toimivat jo itsessään myös henkilötietojen suojan toteutumisen takeena, toisin kuin yksityisellä sektorilla. Julkisen hallinnon ohjausvaikutuksen tarve on siten vähäisempi kuin yksityisellä puolella. Yksityisellä sektorilla ei ole vastaavia valvonta- ja vastuujärjestelmiä kuin julkisella puolella. Rikosoikeudellista sääntelyä kehittämällä olisi mahdollista päästä siihen, että virkarikosoikeudelliseen vastuuseen joutuisi nimenomaan rekisterinpitäjä eikä yksittäiset henkilötietojen käsittelijät, kuten nykyisessä oikeuskäytännössä tosiasiassa tapahtuu. Viranomaisella on myös tuottamuksesta riippumaton vahingonkorvausvastuu henkilötietolain 47 §:n mukaisesti. Yksityissektorista edelleen erottavana tekijänä mietinnössä viitataan myös ylimpien laillisuusvalvojien laillisuusvalvontaan. Mietinnössä pidetään epätarkoituksenmukaisena, että valtion viranomainen maksaisi hallinnollisen sakon valtiolle. Sakon suuruudesta johtuen valtion viranomainen voisi joutua hakemaan lisämäärärahaa sakon maksamista varten, tai jättämään muuten osan lakisääteisistä tehtävistään hoitamatta tai ainakin tuonnemmaksi hoidettavaksi. Vastaavia ongelmia voisi syntyä kunnille ja perustettavaksi ehdotetuille maakunnille, joista jälkimmäisen rahoituksesta vastaisi valtio. Vielä tuodaan esille, että hallinnolliset sakot ovat ylipäätään harvinaisia oikeusjärjestelmässämme, ja että henkilötietojen suojan tehostaminen julkishallintoa koskevilla hallinnollisilla sakoilla nostaisi henkilötietojen suojan perusteetta vahvempaan asemaan kuin muiden perusoikeuksien suojan, koska näiden muiden perusoikeuksien kohdalla ei ole käytettävissä vastaavaa sanktiota. Välittävänä kantana mietinnössä tuodaan esille se, että hallinnollinen sakko voisi koskea viranomaisia, mutta enimmäismääriltään huomattavasti asetuksessa määriteltyjä määriä alhaisempana. Omasta puolestani vastustan hallinnollisten sakkojen määräämistä viranomaisille. Mietinnössä esitettyjen perusteiden lisäksi kiinnitän huomiota siihen, että viranomaiselle määrätyn hallinnollisen sakon vaikutukset kohdistuisivat virheellisesti. Viranomaiset ovat yhteiskuntaa ja sen jäseniä varten. Hallinnollisesta sakosta kärsisivät syyttömät hallinnon asiakkaat tai esimerkiksi kuntalaiset, kun määrältään suuri hallinnollinen sakko heikentäisi viranomaisen edellytyksiä hoitaa niitä julkisia tehtäviä, joita varten viranomainen on olemassa. Tietosuoja ei mitenkään voi olla sellainen oikeushyvä, jonka loukkaaminen oikeuttaisi hallinnollisen sakon kautta tosiasiallisesti loukkaamaan muita oikeushyviä ja muiden perusoikeuksien toteutumista viranomaisten toiminnassa.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Sanktio voisi yhtenä tekijänä olla varmistamassa viranoamaisten toiminnan oikeellisuutta.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Oikeusrekisterikeskus yhtyy työryhmän eräiden jäsenten liikkumavaran käytön puolesta esitettyihin näkemyksiin siitä, että hallinnollisia sakkoja ei määrättäisi viranomaisille. Oikeusrekisterikeskus toteaa, että perustuslain mukaiset hyvän hallinnon takeet, hallinnon laillisuusvaatimus ja tehokas laillisuusvalvonta yhdistettynä rikosoikeudelliseen virkavastuuseen ja vahingonkorvausjärjestelmään ovat riittävät keinot varmistamaan viranomaisessa tapahtuvan rekisterinpidon ja henkilötietojen käsittelyn lainmukaisuuden. Oikeusrekisterikeskus ei myöskään näe tarkoituksenmukaisena hallinnollisen seuraamusmaksun tai sakon määräämistä budjettitaloudessa toimiville valtion virastoille. Viranomaiselle määrättävä seuraamusmaksu tai sakko käytännössä johtaisi valtion varojen kierrättämiseen. Suoriutuakseen määrätystä maksusta niin, ettei säädöksiin perustuva rekisterinpito vaarannu, olisi todennäköistä, että viranomaiset joutuisivat turvautumaan lisämäärärahoihin.
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Lakimiesliitto katsoo, että hallinnollisen sakon uhka voi tehostaa tietosuojan toteutumista viranomaisissa ja julkishallinnon elimissä. Hallinnollinen sakko ei ole itsestään riittävä keino taata tietosuojan toteutuminen, vaan viranomaisille on osoitettava riittävät resurssit, jotta tietosuojasta voidaan huolehtia asianmukaisella tavalla. Terminä hallinnollinen sakko johtaa harhaan eikä sovi suomalaiseen oikeudelliseen viitekehykseen. Lakimiesliitto katsoo, että termiä tulee miettiä uudestaan. Esimerkiksi hallinnollinen seuraamusmaksu tai laiminlyöntimaksu olisivat termeinä kuvaavampia ja järjestelmäämme sopivia.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP kannattaa hallinnollisten sakkojen kohdistamista myös viranomaisiin ja julkishallinnon elimiin ja yhtyy TATTI-työryhmän mietinnöstä ilmeneviin asiaa kannattaneiden jäsenten esittämiin perusteluihin.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Suomen yliopistokirjastojen neuvosto ei kannata yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista myös viranomaisiin ja julkishallinnon elimiin. On otettava huomioon, että viranomaiset ja julkishallinnon toimijat toteuttavat toiminnassaan runsaasti myös sellaisia velvoitteita (esim. julkisuuslainsäädännöstä johtuvat), joita yksityisellä sektorilla ei ole. Näille toimijoille voi tulla kohtuuttomia tilanteita, jos eri velvoitteiden suhdetta ja täyttämistä ei pystytä etukäteen yksiselitteisesti määrittämään, ja niihin liittyisi vielä huomattavien sanktioiden uhka. Suomen yliopistokirjastojen neuvosto haluaa erityisesti kiinnittää huomiota siihen, että tietosuoja-asetuksessa esitetty sanktiomahdollisuus voi aiheuttaa merkittävää haittaa kirjastopalveluiden kehittämiseen yliopistokirjastoissa ja tieteellisen tutkimuksen harjoittamiseen. Epäselvä oikeustila sanktioiden osalta tai sanktioiden uhka voi suoraan tai välillisesti kaventaa merkittävästi yliopistokirjastojen palvelukehitystä ja -mahdollisuuksia, ja siten hankaloittaa tutkijoiden työskentelyä. Ne voivat johtaa ylivarovaisuuteen sekä yliopistokirjastojen että tutkijoiden toiminnassa. Tämä rajoittaa tiedon liikkuvuutta ja kaventaa vapaan tutkimuksen mahdollisuuksia. Mikäli sanktiomahdollisuus ulotetaan koskemaan myös yliopistoja, mahdollisen sanktion suuruus pitäisi olla yliopiston toimintaan nähden kohtuullinen. Kansallisessa lainsäädännössä pitäisi määrittää kohtuullisen sanktion enimmäismäärä viranomaisten ja julkisten toimijoiden osalta.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Vaihtoehtoista seuraamusjärjestelmää ei tarvita. Perustelujen osalta Kansallisarkisto yhtyy niihin näkemyksiin, joita mietinnössä on esitetty kansallisen liikkumavaran puolesta.
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • Viranomaisille ja julkishallinnon elimille voidaan yleisen tietosuoja-asetuksen mukaan määrätä vastaavia hallinnollisia sakkoja kuin yksityisillekin toimijoille, ellei kansallisessa lainsäädännössä toisin säädetä. Alma Media katsoo, että tämä kansallinen liikkumavara hallinnollisten sakkojen suhteen olisi jätettävä käyttämättä. Rekisteröidyllä tulee olla oikeus henkilötietojen suojaan riippumatta siitä, onko rekisterinpitäjänä tai käsittelijänä yksityisen tai julkisen sektorin toimija. Vaikka viranomaisten toiminnan on mietinnössä mainituin tavoin perustuttava lakiin, eikä niiden tulisi toimintansa johdosta ylipäätään päätyä rikkomaan yleistä tietosuoja-asetusta tavalla, joka johtaisi hallinnollisen sakon määräämisen, ovat esimerkiksi julkisuudessa käsitellyt potilastietoihin liittyvät tietoturvaloukkaukset osoittaneet, että henkilötietojen suojaaminen lainvastaiselta käsittelyltä ei aina toteudu lainsäädännön edellyttämin tavoin. On huomattava, että yleisen tietosuoja-asetuksen rikkomisesta seuraavat vaikutukset rekisteröidylle voivat mahdollisesti olla jopa haitallisempia silloin, kun rikkojana on viranomainen, sillä julkisessa toiminnassa käsitellään usein arkaluonteisia terveydentilaan tai sosiaalietuuksiin liittyviä tietoja. Sanktiointia ja lainmukaisuuden varmistamista korostaa se, että rekisteröity voi harvoin itse vaikuttaa julkisen toimijan suorittamaan henkilötietojen käsittelyyn. Edelleen on huomattava, että hallinnollisten sakkojen soveltumattomuudella voi olla merkittävä kilpailua vääristävä vaikutus. Esimerkiksi terveydenhoitoalalla julkiset ja yksityiset tahot kilpailevat samoilla markkinoilla – sote-sektorin kehityksen myötä yhä enenevässä määrin – eikä kilpailuasetelma olisi lainkaan tasa-arvoinen, jos vain toista kilpailuosapuolta koskisi erittäin merkittävät hallinnolliset sanktiot. Kilpailuneutraliteetti edellyttää, että julkisia ja yksityisiä toimijoita kohdellaan sanktioiden osalta samalla tavalla. Sanktioinnin perustuminen vain yksittäisen virkamiehen rikosoikeudelliseen virkavastuuseen ei olisi oikeasuhtaista, sillä yksittäisellä virkamiehellä ei useinkaan ole tosiasiallista mahdollisuutta vaikuttaa esimerkiksi tiedon eheyden ja luottamuksellisuuden taikka oletusarvoisen ja sisäänrakennetun tietosuojan toteuttamiseen viranomaisessa. Vastuun tulee lähtökohtaisesti kohdistua velvoitteen rikkoneeseen rekisterinpitäjään tai käsittelijään. Yksittäisessä urkintatapauksessa tekijän rikosoikeudellinen vastuu on sen sijaan perusteltua. Sanktiointia tulee ennen kaikkea arvioida rekisteröidyn oikeussuojan, kilpailuneutraliteetin sekä seuraamusten oikeasuhtaisuuden näkökulmasta. On mahdollista, että hallinnollisten sakkojen määrääminen viranomaiselle on valtiontaloudellisesti epätarkoituksenmukaista, mutta tämän ei tulisi olla esteenä edellä mainittujen tavoitteiden toteutumiselle. Yllä mainituin perustein Alma Media katsoo, että hallinnollisten sakkojen olisi kohdistuttava myös viranomaisiin, ja kansallinen liikkumavara tältä osin olisi jätettävä käyttämättä.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliiton mukaan ei ole perusteltua asettaa julkisen sektorin toimijoita yksityisiä oikeushenkilöitä parempaan asemaan.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • CSC:n näkemyksen mukaan hallinnollisten sakkojen kohdistaminen  viranomaisiin ja julkishallinnon elimiin ei ole perusteltua.  Valtio joutuu viime kädessä itse kattamaan hallinnollisten sakkojen kustannukset tai perimään vastaavat varat esimerkiksi korotettuina käyttömaksuina kansalaisilta. Tämän lisäksi viranomaiset toimivat jo virkavastuulla tietoja käsitellessään, ja tätä kautta on jo olemassa toimiva käytäntö seuraamuksista virkavelvollisuuden rikkomisesta. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto katsoo, että hallinnollisten sakkojen kohdistuminen myös viranomaisiin ja julkishallinnon elimiin voisi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafin näkemyksen mukaan hallinnollisia sakkoja ei tule kohdistaa viranomaisiin ja julkishallinnon elimiin. Viranomaisille ja julkishallinnon elimille mahdollisesti maksettavaksi lankeava hallinnollinen sakko on valtiontaloudellisesti epätarkoituksenmukainen esimerkiksi valtion virastojen kuuluessa valtion budjettitalouteen. Julkisen hallinnon toiminta on varsin säänneltyä, ja lainsäädännön mm. hyvälle hallinnolle asettamat vaatimukset sekä julkisen hallinnon toimintaa leimaava laillisuusperiaate velvoittavat viranomaisia ja julkishallinnon elimiä toimimaan laillisesti ja vastuullisesti. Lisäksi toimintaa valvotaan laillisuusvalvojien (eduskunnan oikeusasiamies ja oikeuskansleri) toimesta. Virkamies vastaa toiminnastaan myös virkavastuulla. Luottamus viranomaisten ja julkishallinnon elinten toteuttamaan henkilötietojen käsittelyyn on korostuneessa asemassa ja yksi keskeinen maineen hallinnan tekijä. Trafi toteaa, että tämän luottamuksen mahdollinen menettäminen ja sen myötä syntyvä maineriski tulee nähdä tehokkaana suojakeinona ja varoittavana seuraamuksena mahdollisesta viranomaisten ja julkishallinnon elinten toteuttamasta epäasianmukaisesta henkilötietojen käsittelystä.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus on havainnut käytännön tietopalvelutoiminnassa, että myös julkissektorilla on eritasoista tietosuojaosaamista, ja tiedot ja toimintatavat voivat toisinaan olla puutteellisia. Väestörekisterikeskus kuitenkin katsoo, että saadessaan tiedon toiminnassaan olevista puutteista, julkissektorin toimijat ovat hyvin motivoituneita suorittamaan korjaavia toimenpiteitä. Koska velvollisuus käsitellä toiminnassaan henkilötietoja perustuu lainsäädäntöön, ei viranomaisella ole mahdollisuutta valita rekisterinpitäjyyttä. Tämän vuoksi julkisen hallinnon toimijoille on ennemmin kuin sanktiouhka, varattava riittävät resurssit sen varmistamiseksi, että henkilötietoja käsitellään kaikessa toiminnassa asianmukaisesti. Edelleen ottaen huomioon se, että toiminnassa on korostunut tarve noudattaa lainsäädäntöä, ei Väestörekisterikeskus pidä todennäköisenä, että julkissektorilla olisi tarvetta hallinnollisen sakon kaltaiselle seuraamukselle. Väestörekisterikeskus katsoo, että pelkkä valvontaviranomaisen huomautus otettaisiin julkissektorilla hyvin vakavasti ja johtaisi välittömään toimintaan. Ensisijaista julkissektorin tietosuojan edistämisessä onkin tiedon ja osaamisen lisääminen. Väestörekisterikeskus yhtyy muistiossa esitettyyn näkemykseen, jonka mukaan hallinnolliset sanktiot julkissektorin taloudessa johtavat eräänlaiseen varojen kierrättämiseen. Kun toimijoiden on joka tapauksessa suoriuduttava virkatehtävistä, sanktioista aiheutuvat kulut on katettava lisämäärärahalla. Lisäksi, vaikka suurimmat sakot edellyttävät törkeää lainvastaista toimintaa, sakkojen teoreettinen katto voi jo itsessään vaikuttaa kielteisesti julkissektorin talouteen. Suuri osa julkissektorilla tapahtuvasta tietojen käsittelystä suoritetaan ainakin osin alihankintana, ja nimenomaan julkisena hankintana. Viranomainen vastaa tällöin myös käsittelijän toiminnasta ja sopimuksissa onkin varauduttava myös siihen mahdollisuuteen, että käsittelijän toiminta johtaa hallinnolliseen sanktioon. Vaikka tällainen sanktio ja sen maksimimäärä ovat teoreettisia, on todennäköistä, että sanktion määrä nostaa hankinnan hintaa. Tämä puolestaan aiheuttaa kuluja valtiontaloudelle.
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • Virkavastuu, hyvän hallinnon vaatimukset ja laillisuusvalvonta muodostavat yhdessä tehokkaan, oikeasuhtaisen ja varoittavan seuraamusjärjestelmän kokonaisuuden, jolla varmistetaan asetuksen toimeenpano viranomaisessa. Viranomaisia koskeva hallinnollinen sakko johtaisi päällekkäisiin seuraamusjärjestelmiin.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Katsomme, että sakkoja ei tulisi kohdentaa viranomaisiin ja julkishallinnon elimiin. Perusteluina yhdymme työryhmämietinnössä liikkumavaran käytön puolesta esitettyihin näkemyksiin (mietinnön jakso s. 28 alkaen). Eduskunnan kansliaa ja erillisvirastoja tulee kohdella samalla tavoin kuin muitakin virastoja ja laitoksia.
      • Eläketurvakeskus
        Päivitetty:
        4.9.2017
        • Eläketurvakeskus ei kategorisesti ota kantaa siihen, että pitäisikö hallinnollisia sakkoja voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin. Eläketurvakeskus katsoo, että erityinen hallinnollinen sakko julkiselle toimijalle olisi uutta Suomessa ja koskisi oikeushyvistä vain tietosuojaa. Tämän vuoksi asiaa pitäisi vielä perusteellisesti selvittää. Jos kansallisesti päädyttäisiin siihen, että viranomaisille ja julkisille hallintoelimille ei voitaisi määrätä hallinollista sakkoa, täytyisi tietosuoja-asetuksen mukaan varmistaa muu vaihtoehtoinen, tehokas seuraamusjärjestelmä. Työryhmä toteaa mietinnössä yksikantaan, että vaihtoehtoinen seuraamusjärjestelmä voisi olla rikosoikeudellinen järjestelmä, jonka arviointiin ja kehittämiseen työryhmällä ei ole ollut kompetenssia tai tosiasiallista mahdollisuutta. Kuten Eläketurvakeskus toteaa edellä, erityinen hallinnollinen sakko julkiselle toimijalle olisi uutta Suomessa ja koskisi oikeushyvistä vain tietosuojaa. Näin ollen vaihtoehtoisen seuraamusjärjestelmien selvittäminen olisi erityisen tärkeää, jotta eri vaihtoehtojen mahdollisia vaikutuksia voitaisiin aidosti punnita keskenään. Eläketurvakeskuksen näkemyksen mukaan jatkotyössä olisi selvitettävä myös millaisiin ratkaisuihin muissa maissa päädytään. Esimerkiksi Ruotsin vastaavassa komiteamietinnössä (SOU 2017:39) on päädytty siihen, että julkisille toimijoille voitaisiin tietosuojarikkomuksesta määrätä hallinnollinen sakko, mutta sen enimmäismäärä voisi olla noin kymmenesosa asetuksen mukaisesta enimmäismäärästä. Jos Suomessa vaihtoehtoisten sanktioiden tarkastelu johtaa siihen, että julkisille toimijoillekin voitaisiin määrätä asetuksen mukainen hallinnollinen sakko, Eläketurvakeskuksen näkemyksen mukaan jatkotyössä tulisi selvittää, olisiko Suomessa vastaavia perusteita siihen, että julkisille toimijoille määrättävän sakon enimmäismäärä olisi asetuksen mukaista enimmäismäärää alhaisempi. Varsinkin yksityisten alojen työeläkeyhtiöt saatettaisiin kuitenkin tulkita yrityksiksi, joihin sovellettaisiin liikevaihtoon sidottuja prosenttiosuuksia mahdollisia hallinnollisia sakkoja määrättäessä. Finanssivalvonnan määräys- ja ohjekokoelmassa (14/2012) on määritelty se, kuinka työeläkeyhtiön liikevaihto lasketaan. Finanssivalvonnan määräysten mukaan laskettu liikevaihto nousee työeläkeyhtiössä helposti useisiin miljardeihin euroihin, joten liikevaihtoon sidottu sakon enimmäismäärä olisi useimmissa tapauksissa reilusti yli sata miljoonaa euroa. Tätä ei voida pitää oikeasuhtaisena tai tarkoituksenmukaisena sanktiona, kun otetaan huomioon, että julkishallinnon elimille hallinnollisen sakon enimmäisraja olisi 20 miljoonaa euroa, jollei kansallisessa lainsäädännössä toisin säädetä. Yksityiset eläkelaitokset ja Eläketurvakeskus ovat välillisen julkishallinnon elimiä. Lisäksi työeläketoimijoihin sovelletaan mm. hallintolakia sekä virkavastuuta koskevia säännöksiä silloin, kun niissä käytetään julkista valtaa. Näin ollen olisi perusteltua, että asetuksen mahdollistamaa kansallista liikkumavaraa tulisi käyttää siten, että hallinnollisten sakkojen osalta kaikkiin työeläketoimijoihin sovellettaisiin samoja enimmäismääriä kuin muihin julkisen hallinnon toimijoihin.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Yleisen tietosuoja-asetuksen 83 artiklassa säädetään hallinnollisten sakkojen määräämisen yleisistä edellytyksistä. Saman artiklan 1 kohdan mukaan jokaisen valvontaviranomaisen on varmistettava, että 4, 5 ja 6 kohdassa tarkoitettujen tämän asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määrääminen tämän artiklan mukaisesti on kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Saman artiklan 7 kohdan mukaan kukin jäsenvaltio voi asettaa sääntöjä siitä, voidaanko viranomaisille tai julkishallinnon elimille määrätä kyseisessä jäsenvaltiossa hallinnollisia sakkoja ja missä määrin, sanotun kuitenkaan rajoittamatta 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksia. Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet: […] i) määrätä 83 artiklan nojalla hallinnollinen sakko tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen. Tietosuojalain 15 §:ssä säädettäisiin, että seuraamuslautakunta määrää tietosuoja-asetuksen 83 artiklassa tarkoitetun hallinnollisen sakon. Mietinnössä (s. 24-28) on pohdittu hallinnollisten sakkojen määräämistä viranomaisille ja muun ohella todettu, että asiassa ei ole esitetty riittäviä perusteluita, minkä vuoksi julkisen sektorin toimijat tulisi tältä osin asettaa yksityisiä oikeushenkilöitä parempaan asemaan. Esimerkiksi sote-sektorilla tapahtuu alati kehitystä suuntaan, jossa asiakkaille tarjottavat palvelukokonaisuudet voivat muodostua sekä yksityisistä että julkisista palveluista. Tällöin olisi epäjohdonmukaista, että samojen sääntöjen noudattamatta jättämisestä voitaisiin selviytyä seuraamuksitta kun kyseessä on viranomainen. Ulkoasiainministeriö pitää yhdenmukaisena ja perusteltuna sitä, että yleisen tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja voidaan tasapuolisesti kohdistaa myös viranomaisiin ja julkishallinnon elimiin.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus yhtyy niiden täytäntöönpanotyöryhmän jäsenten mietinnössä ottamaan kantaan ja perusteluihin, joiden mielestä laissa tulisi käyttää kansallista liikkumavaraa hallinnollisten sakkojen osalta. Kirkkohallitus katsoo, että julkishallinnolle muussa lainsäädännössä säädetyt vaatimukset hyvän hallinnon edellytysten noudattamisesta, virkavastuusta ja yleisestä laillisuusvalvonnasta sekä mahdollinen vahingonkorvausvastuu ovat jo sinällään tehokkaita ja oikeasuhtaisia keinoja sen varmistamiseksi, että tietosuoja-asetusta noudatetaan julkishallinnossa. Kirkon ja seurakuntien toiminta on tiukan budjettisidonnaista. Mietinnössä on todettu, että viranomaisille aiheutuva taloudellinen seuraamus voisi vahvistaa halua toimia erityisen huolellisesti, koska viranomainen joutuisi sanktion saatuaan perustelemaan lisämäärärahan saamisen omaan toimintaansa tai muutoin sopeuttamaan tai tehostamaan toimintaansa. Kirkkohallituksen mielestä hallinnollinen sakko voisi johtaa myös siihen, ettei rekisterinpitäjä kykene korjaamaan henkilötietojen käsittelyssä huomattua virhettä, koska tilanteen korjaaminen saattaa edellyttää myös taloudellisia resursseja. Lisäksi on katsottava, että asetuksen mukaiset hallinnollisten sakkojen enimmäismäärät, 10 miljoonaa ja 20 miljoonaa euroa, ovat jo lähtökohtaisesti rekisterinpitäjinä toimivien seurakuntien kantokykyyn nähden kohtuuttomia. Seurakuntatalouksien pääasiallinen tulonlähde on kirkollisverotulot. Vuoden 2016 taloustilastojen perusteella on todettavissa, että 94 %:ssa seurakuntatalouksista vuoden kirkollisverokertymä jäi alle 10 milj. euron – 42 %:ssa seurakuntatalouksissa kirkollisveron tuotto jäi alle 1 milj. euron.
      • Mikäli vastaus hallinnollisten sakkojen kohdistamista viranomaisiin koskevaan kysymykseen on ei, pyydetään esittämään näkemys vaihtoehtoisesta seuraamusjärjestelmästä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Viitataan työryhmämuistiossa mainittuihin perusteisiin siitä, miksi hallinnollisia seuraamuksia ei pitäisi määrätä viranomaisille ja julkishallinnon elimille. Lisäksi MMM toteaa, että seuraamusten lisäksi keskeistä on myös se, miten rekisterinpitoa valvotaan. Seuraamukset eivät aktualisoidu, jollei rekisterinpitäjä jää kiinni lainvastaisesta toiminnasta. MMM ei pidä tarkoituksenmukaisena sitä, että seuraamuksia koskevia säännöksiä tarkastellaan ilman, että samalla mietitään rekisterinpitoon kohdistuvaa valvontaa ja siihen kohdistettavia resursseja. Lisäksi tietosuoja-asetuksen ja tulevan tietosuojalain seuraamusten tulee olla oikeasuhtaisia suhteessa toiseen keskeiseen perusoikeuteen eli julkisuusperiaatteeseen. Vrt. julkisten asiakirjojen luovuttamisen laiminlyönti ja siihen liittyvät seuraamukset. MMM:n näkemyksen mukaan lausuntokierros ei ole tarkoituksenmukainen tapa selvittää sitä, onko olemassa jokin vaihtoehtoinen mahdollisesti uusi seuraamusjärjestelmä. Seuraamusjärjestelmää koskeviin ehdotuksiin liittyy sellaisia juridisia erityiskysymyksiä, että asia sopisi parhaiten OM:n itsensä selvitettäväksi tai vaihtoehtoisesti tehtävä voitaisiin antaa jollekin ulkopuoliselle asiantuntijalle. MMM toteaa, ettei asiaa selvitetty riittävästi TATTI-työryhmän puitteissa, jossa sitä olisi voitu tehdä hyödyntäen OM:n sisäistä asiantuntemusta (LAVO). MMM katsoo kuitenkin, että voimassa oleva kansallinen seuraamusjärjestelmämme on toimiva eikä erillistä uutta seuraamusjärjestelmää tarvita.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Itä-Suomen yliopisto katsoo, että nykyinen seuraamusjärjestelmä on riittävä.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Viranomaisen vastuu toimia lain mukaisesti on Suomen lainsäädännössä toteutettu viime kädessä rikoslain virkarikoksia koskevalla lainsäädännöllä. Käsitykseni mukaan voimassa oleva virkarikoksia koskeva sääntely on riittävä seuraamusjärjestelmä ohjaamaan viran-omaisia noudattamaan yleistä tietosuoja-asetusta ja esitettyä tietosuojalakia.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus näyttäisi edellyttävän hallinnollista oikeussuojakeinoa viranomaisen passiivisuuden varalta. Vastaavaa sääntelyä ei ole käytössä muualla lainsäädännössä. Sakon asettamismahdollisuutta on pidettävä parempana vaihtoehtona kuin sääntelymallia, jossa viranomaisen katsottaisiin hylänneen hakemuksen, jos asiaa ei ole ratkaistu määräajassa. Näin asiassa saataisiin ensi asteen ratkaisu.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • Jo olemassa olevat valvonta on täysin riittävää.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitto pitää toissijaisesti mahdollisena myös asetuksenkaltainen seuraamusjärjestelmä, jossa kuitenkin suoraan tietosuojalain nojalla julkissektorin sakkojen enimmäismäärä olisi säädetty huomattavasti alhaisemmaksi kuin elinkeinoelämään kohdistetut sakot.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Ks edellä.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • -
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Käsitykseni mukaan mietinnössä on esitetty riittävä kuvaus vaihtoehtoisesta tehokkaasta, oikeasuhtaisesta ja varoittavasta seuraamusjärjestelmästä. Esimerkiksi rikosoikeudellista sääntelyä olisi helppo kehittää siten, että rikosvastuu kohdentuu rekisterinpitäjään. Esimerkkejä vaihtoehtoisista seuraamusmalleista on varmasti löydettävissä muista EU-maista, jotka käyttävät kansallista liikkumavaraa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Kun seuraamusjärjestelmää tarkastelee kokonaisuutena ja jos hallinnollisista sakoista viranomaisten osalta luovuttaisiin, voisi yhtenä korvaavana vaihtoehtona olla mietinnön mukaisen rikoslain 38:9 §:n tietosuojarikoksen tunnusmerkistön laajentaminen niin, että myös rikoslain 9 luvun mukainen oikeushenkilön rangaistusvastuu voisi tulla sovellettavaksi.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Nykyinen järjestelmä tarjoaa riittävän oikeussuojan henkilötietoihin kohdistuvia rikkomuksia vastaan.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • -
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Laissa tulee selkeästi kohdistaa vastuu henkilötietojen turvaamisesta tietoja käsittelevän organisaation ylimpään johtoon sekä tämän lisäksi myös toiminnasta vastaavaan työnjohtoon. Tietosuojaa ja tietoturvallisuutta koskevien vastuiden selkiyttäminen on tärkeää. Yksittäinen suorittavaa työtä tekevä työntekijä tai virkamies tulee voida asettaa vastuullinen siitä, että hän noudattaa annettuja ohjeita tietosuojaan liittyen. Ohjeiden merkittävä tai törkeä laiminlyönti tulee olla rangaistava teko kuten tietosuojarikoksesta säädetään (katso tarkempi näkemys kohdasta laki rikoslain 38 luvun 9 §:n ja 10 §:n 3 momentin muuttamisesta).  Esimerkiksi työsuojeluun liittyvissä vakavissa laiminlyönneissä on muodostunut selkeä oikeuskäytäntö, jossa usein toimitusjohtaja sekä vastaava työnjohtaja voi joutua oikeudelliseen edesvastuuseen. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Kuten myös Eläketurvakeskus toteaa lausunnossaan, erityinen hallinnollinen sakko julkiselle toimijalle olisi uutta Suomessa ja koskisi oikeushyvistä vain tietosuojaa. Rikoslaki ja virkamiehiin kohdistuva virkavastuu määrittelevät jo nykyisin seuraamukset lakien rikkomisesta, joten lisäsanktiot eivät ole tarpeen varsinkaan matalariskisillä aloilla, kuten museo-, arkisto- ja kirjastotoiminnassa. Nykytilanteessa on olemassa jo erilaisia tutkimuseettisiä ohjeistuksia ja normeja, joita noudatetaan vakiintuneesti.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi katsoo, että nykyinen seuraamusjärjestelmä on riittävä.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Yllä kuvatusti Väestörekisterikeskus katsoo, että pelkkä huomautus valvontaviranomaiselta on julkissektorilla riittävä seuraamus. Hallinnollisista seuraamuksista viranomaiselle voitaneen myös säätää jälkikäteen, mikäli valittu ratkaisu osoittautuu epäonnistuneeksi. Toissijaisesti Väestörekisterikeskus esittää, että tietosuojalainsäädäntöä rikkoneelle viranomaiselle voitaisiin asettaa jonkinlainen korostettu raportointivelvollisuus suhteessa joko valvontaviranomaiseen tai ohjaavaan ministeriöön. Esimerkiksi kyse voisi olla kahden vuoden seurannasta, jonka aikana viranomaisen on toimitettava tietosuojaa koskevaa dokumentaatiota valvovalle elimelle sen osoittamiseksi, että toimintatapoja korjataan. Tällainen järjestely edellyttäisi luonnollisesti resursseja valvovassa elimessä ja aiheuttaisi myös seurannan kohteena olevassa viranomaisessa kustannuksia lisääntyneen hallinnollisen taakan myötä.
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • Virkavastuu, hyvän hallinnon vaatimukset ja laillisuusvalvonta muodostavat yhdessä tehokkaan, oikeasuhtaisen ja varoittavan seuraamusjärjestelmän kokonaisuuden, jolla varmistetaan asetuksen toimeenpano viranomaisessa. Viranomaisia koskeva hallinnollinen sakko johtaisi päällekkäisiin seuraamusjärjestelmiin.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Katsomme työryhmämietinnön kyseessä olevaan jaksoon viitaten (s. 28 alkaen), että voimassa oleva kansallinen viranomaistoimintaa koskeva seuraamusjärjestelmä on ilman tietosuoja-asetuksen mukaista hallinnollista sakkoakin kokonaisuutena oikeasuhtainen, riittävän tehokas ja varoittava. Seuraamusjärjestelmämme on viranomaisen ja julkista hallintotehtävää hoitavan muun organisaation toimintaa riittävän vahvasti ja selkeästi ohjaava myös tietosuoja-asetuksen tavoitteiden ja sääntelyn näkökulmasta.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus katsoo, että voimassa oleva kansallinen julkishallintoon kohdistuva seuraamusjärjestelmä on ilman tietosuoja-asetuksen mukaista hallinnollista sakkoakin oikeasuhteinen, riittävän tehokas ja varoittava.
      • Muut yleiset kommentit oikeusturvaa ja seuraamuksia koskevasta 4 luvusta.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 15 §:n mukaan seuraamuslautakunta määrää hallinnollisen sakon. Ehdotuksen 22 §:ssä ei kuitenkaan ole säännöstä miten seuraamuslautakunnan määräämään hallinnolliseen sakkoon ja sakon määrään haettaisiin muutosta. Tietosuojalakiluonnoksen 26 §:ssä hallinnollisen sakon käyttöä on laajennettu asetuksen 10 artiklan rikkomiseen, vaikka 10 artiklan rikkomiseen ei suoraan 83 artiklan nojalla sovelleta hallinnollisia sakkoja. MMM ei kannata ehdotettua laajennusta. Tietosuojalakiluonnoksen 24 §:n 1 momentissa olisi selkeämpää kirjoittaa auki, että 45 artikla koskee henkilötietojen siirtoa johonkin kolmanteen maahan tai kansainväliselle järjestölle. Valvontaviranomainen voi komission päätöksen estämättä saattaa kolmannen maan tietosuojan tason riittävyyden hallinto-oikeuden ratkaistavaksi sen henkilön vaatimuksesta, jonka tietoja on siirretty, jos suojan riittävyydestä on epäilyä. Tietosuojalakiluonnoksen 22 §:n 1 momentin perustelujen mukaan momentissa säädettäisiin Tietosuojaviraston mahdollisuudesta määrätä päätöksessään, että päätöstä on muutoksenhausta huolimatta noudatettava, jollei valitusviranomainen toisin määrää. Lakiluonnoksessa asia on kuitenkin 22 §:n 4 momentissa.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Teknologiateollisuus ry kannattaa työryhmän lähestymistapaa, jonka mukaan rikosoikeudellisista seuraamuksista säädetään vain siltä osin, kun tietosuoja-asetuksen VIII mukaiset seuraamukset eivät tule sovellettaviksi.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Sivulla 30 kappaleessa Virkavastuu käsitellään rekisterinpitäjien ja virkamiesten vastuukysymyksiä. Kappaleessa 2 todetaan, että ”Oikeuskäytäntö on osoittanut, että nykyinen henkilörekisteririkos ei ole käytännössä kohdistunut rekisterinpitäjiin, vaan käytäntö on osoittanut, että rikosoikeudelliseen vastuuseen joutuu yksittäiset henkilötietojen käsittelijät”. Yksittäisen työntekijän, virkamiehen ja viranhaltijan oikeusturvan toteutumiseen on kiinnitettävä nykyistä enemmän huomioita. Vastuu työvälineiden tietoturvasta, mm. lokitiedot, kuuluu rekisterinpitäjälle. Tietojen käsittelyn vastuukysymykset on määriteltävä selkeästi ja on huolehdittava henkilöstön riittävästä ja jatkuvasta perehdyttämisestä. Kouluttautumiseen tulee varata aikaa esimerkiksi tietojärjestelmien ja niiden uusien toiminnallisuuksien käyttöönoton yhteydessä. Huolehtimalla riittävästä tietoturvasta, voidaan taata yksittäisen työntekijän, virkamiehen ja viranhaltijan oikeusturva. Lisäksi rekisterinpitäjän tulee huolehtia henkilöstön riittävästä osaamisesta ja resursoinnista vaatimusten täyttämiseksi. Asiakirjahallinnon tehtäväkenttään on perinteisesti kuulunut Hyvän tiedonhallintatavan edistäminen, joka kattaa myös osa-alueita tietoturvasta ja tietosuojasta. Näin ollen edellä mainittu osaamis- ja resurssivaatimus koskee rekisteripitäjäorganisaatioiden asiakirjahallintotoimintoja.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Tietosuojavirasto voisi ehdotetun uuden tietosuojalain 22 §:n perusteella määrätä, että sen päätöstä olisi noudatettava muutoksenhausta huolimatta. Nokia katsoo oikeusturvasyistä, että määräys noudattaa viraston päätöstä muutoksenhausta huolimatta tulisi rajata lain tasolla vain nopeaa toimintaa edellyttäviä välittömän uhan tilanteisiin. Tämä ehkäisisi tilanteita, jotka johtaisivat rekisterinpitäjien tai henkilötietojen käsittelijöiden kannalta ankariin ja pysyviin seuraamuksiin sekä oikeusturvan menetyksiin, joita ei voida enää muutoksenhaussa korjata. Nokia katsoo, että erityisesti päätöksissä, joissa käytetään tietosuoja-asetuksen 58 artiklan 2 kohdan mukaista korjaavaa toimivaltaa, tulee näin varmistetuksi vahva oikeudellinen harkinta ja hyvä oikeusturva.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Ehdotettu 22 §:n 3 momentti on muotoilultaan epäselvä. Yhtäältä säännösehdotuksessa viitataan tietosuojavaltuutetun päätöksiin ja seuraamuslautakunnalle tehtyihin esityksiin ja toisaalta tietosuojavaltuutetun päätöksiin, jotka ovat vireillä seuraamuslautakunnassa. Epäselväksi säännösehdotuksessa jää, missä tilanteissa tietosuojavaltuutetun päätöksistä voi valittaa hallinto-oikeuteen ja voiko tietosuojavaltuutetun esityksistäkin valittaa hallinto-oikeuteen, kun ne ovat käsiteltävänä seuraamuslautakunnassa. Niin ikään säännös ei ole selkeä seuraamuslautakunnan päätöksen muutoksenhausta hallinto-oikeuteen. Perustuslain 21 §:n perusteella muutoksenhakua koskevat säännökset pitää olla selkeitä. Niin ikään on syytä huomioida, että perustuslakivaliokunta on pitänyt perustuslain 21 §:n vastaisena tilannetta, jossa hallinnollinen seuraamusmaksu voidaan panna täytäntöön ilman päätöksen lainvoimaa. Perustuslakivaliokunta piti tavallisen lain säätämisjärjestyksen edellytyksenä sitä, että seuraamusmaksun perimisen edellytykseksi säädetään maksun määräämisen lainvoimaisuus (ks PeVL 4/2004 vp, s. 7-8). Itä-Suomen yliopiston näkemyksen mukaan säännösehdotusta pitää selkeyttää.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei yleisiä kommentteja oikeusturvaa ja seuraamuksia koskevasta 4 luvusta.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotettu sääntely johtaa siihen, että sama asia voi olla vireillä yhtä aikaa hallinto-oikeudessa (tietosuojavaltuutetun antaman määräyksen osalta) ja seuraamuslautakunnassa (hallinnollisen sakon määräämisen osalta). Lakiehdotuksen mukaan asian käsittely seuraamuslautakunnassa ei estäisi tietosuojavaltuutetun päätöksestä tehdyn valituksen käsittelyä. Tietosuojavaltuutetun olisi ilmoitettava tuomioistuimelle seuraamuslautakunnalle tekemästään esityksestä. Seuraamuslautakunnan päätöksestä saisi valittaa hallinto-oikeuteen. Saman asian yhtä aikainen käsittely kahdessa menettelyssä voi aiheuttaa ongelmia. Ainakin joissakin tapauksissa saattaa olla tarkoituksenmukaista odottaa hallinto-oikeudessa seuraamuslautakunnan ratkaisua, jotta samaan asiakokonaisuuteen liittyvät valitusasiat voidaan ratkaista samalla kertaa ja ennakkokäsitykseen liittyvät esteellisyysongelmat vältetään. Käsittelyaika saattaa tällöin muodostua pitkäksi etenkin jos hallinnollisen sakon määräämistä koskevassa asiassa toimitetaan suullinen käsittely.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Rikoslain 38 luvun 9 §:n ja 10 §:n 3 momentin mahdollisesta muuttamisesta tietosuojan ulottamiseksi kuolleisiin henkilöihin, Kansallisgalleria toteaa, että valmistelussa tulisi kuulla ja ottaa huomioon taidemuseoiden, taidehistorian kirjoittamisen ja taidepuheen erityispiirteet.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 21 §. Valitus tietosuojavirastolle Tietosuoja-asetuksen käännöksestä riippumatta, ehdotan, että ensimmäisen virkkeen rekisteröidyn valitus korvattaisiin joko kantelulla tai ilmoituksella (kuten 19 §).
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitto pitää tärkeänä lain soveltajan kannalta, että julkissektorin ja yksityissektorin erilaisista sanktioista säädetään tarkkarajaisesti. Käytännön toimija ei saa joutua päällekkäisten sanktioiden kohteeksi sen perusteella, että yksityinen taho hoitaa julkisia tehtäviä. Vastaavasti monia julkisen sektorin palveluita on yhtiöitetty.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Oikeusturvan huomioiminen on sikälikin olennaista, että nykyinen mahdollisuus hakea ennakkolupia tietosuojalautakunnalta poistuu. Yksittäisen rekisterin-pitäjän vastuu tulee näin ollen korostumaan.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • EK katsoo, että on olennaisen tärkeätä välttää kaksoisrangaistavuus. EK pitää perusteltuna mm. mietinnön linjausta, jonka mukaan rikosoikeudellisista seuraamuksista säädetään vain siltä osin, kun tietosuoja-asetuksen VIII mukaiset seuraamukset eivät tule sovellettaviksi.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen 83 artiklan mukainen hallinnollinen sakko esitetään pantavaksi täytäntöön sakon täytäntöönpanosta annetun lain (672/2002) mukaisessa järjestyksessä ja Oikeusrekisterikeskus huolehtisi täytäntöönpanosta. Suomessa ei kansallisessa lainsäädännössä ole aikaisemmin käytetty hallinnollisen sakon käsitettä. Meillä rangaistusluonteisia hallinnollisia seuraamuksia on yleensä kutsuttu seuraamus-, virhe- tai rikemaksuiksi tai maksuille on säännöksissä annettu selkeä erisnimi. Oikeusrekisterikeskus huolehtii laskutavasta riippuen noin 20 edellä tarkoitetun rangaistusluonteisen hallinnollisen seuraamusmaksun täytäntöönpanosta. Oikeusrekisterikeskus huolehtii esimerkiksi kilpailunrikkomusmaksun, ylikuormamaksun ja kuitintarjoamislain mukaisen seuraamusmaksun täytäntöönpanosta. Seuraamusmaksut pannaan täytäntöön sakon täytäntöönpanosta annetun lain tai verojen ja maksujen täytäntöönpanosta annetun lain (706/2007) mukaisessa järjestyksessä tai täytäntöönpanosta säätäminen on jäänyt tätä epämääräisemmäksi. Oikeusministeriö on asettanut työryhmän valmistelemaan hallinnollisia seuraamuksia koskevaa yleistä lainsäädäntöä (OM 7/41/2017, 21.3.2017). Oikeusrekisterikeskus esittää, että ehdotettua hallinnollista sakkoa koskeva sääntely osoitettaisiin edellä mainitun työryhmän arvioitavaksi siinä tarkoituksessa, että hallinnollista sakkoa koskeva sääntely saatettaisiin yhdenmukaiseksi muita rangaistusluonteisia hallinnollisia seuraamuksia koskevan sääntelyn kanssa. Oikeusrekisterikeskuksen puolesta ei ole estettä sille, että täällä huolehdittaisiin myös hallinnollisen sakon täytäntöönpanosta edellyttäen, että tehtävän suorittamiseksi tarvittavat henkilöstö- ja muut resurssit osoitetaan. Sakon täytäntöönpanosta annetun lain 1 § 1 momenttiin on jo lisätty 11 kohta, joten hallinnollista sakkoa koskeva kohta olisi tällä tietoa kohta 12.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • -
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Koska tietosuoja-asetuksen hallinnolliset sakot rinnastuvat rikosoikeudellisiin seuraamuksiin, SJL pitää tärkeänä, että menettelyssä turvataan riittävät oikeusturvatakeet. Esityksessä tämä vaikuttaa toteutuvan, ja SJL suhtautuu 4 lukuun myönteisesti.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Oikeusturvan kannalta on oleellista, että tietosuojaviranomainen määrittelee ja viestii riittävän selkeästi mitkä ovat ajantasaiset vaatimukset turvata henkilötiedot hallinnollisin ja teknisin suojaamistoimenpitein.  Suojaamistoimenpiteiden tulee perustua olemassa oleviin ja tunnettuihin  kansainvälisiin sekä kansallisiin varmennettaviin tietoturvallisuuskäytäntöihin, kuten tunnetut kansainväliset tietoturvallisuus sertifionnit (esim. ISO/IEC 27001) . Ei ole suositeltavaa, että tietosuojaviranomainen määrittelee itse virastokohtaisesti erillisnormeja tähän liittyen. 
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole muilta osin kommentoitavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommentteja.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkolain 24 luvussa on säädetty muutoksenhausta kirkon viranomaisen päätökseen. Esimerkiksi kirkkolain 24 luvun 3 §:n 4 momentin mukaan kirkonkirjoihin sisältyvien väestötietojen oikaisuun sovelletaan, mitä väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa säädetään. Seurakunnan jäsenrekisterissä olevien muiden kuin väestötietojen oikaisuun sovelletaan puolestaan henkilötietolakia. Henkilötietolain kumoutuessa on säännöstä luonnollisesti tarkistettava. Tietosuoja-asetuksen 77 artiklan 1 kohdan mukainen valitus valvontaviranomaiselle on jo artiklan mukaan rinnakkainen muutoksenhakutie muiden oikeussuojakeinojen kanssa. Oikeustilaa ei voida pitää täysin tyydyttävänä, koska se voi aiheuttaa päällekkäistä päätöksentekoa ja siten epäselvyyttä oikeusratkaisujen osalta. Tuleva oikeuskäytäntö osittaneen erityislainsäädännön mahdollisesti laajemman muutostarpeen.
  • Lausunnonantajia: 58
    5 luku. Tietojenkäsittelyn erityistilanteet
      • Yleiset kommentit henkilötietojen käsittelyä journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevasta 27 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Pykälän 1 momentissa viitataan asetuksen noin 40 artiklaan, joita ei sovellettaisi henkilötietojen käsittelyyn kyseisen momentin asioissa. Muissakin momenteissa on suuri määrä artiklaviittauksia. Viittauksista johtuen pykälä on erittäin vaikeaselkoinen. Toivottavaa onkin, että perustettava Tietosuojavirasto laatii selkeän oppaan siitä, mitä henkilötietojen käsittelyyn pykälän tarkoittamissa asioissa sovelletaan.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • On enenevässä määrin haastavaa määriteellä ”journalistiset, akateemiset, taiteelliset ja kirjalliset” toiminnot. Ihmiset julkaisevat, ilmaisevat itseään ja tuovat esiin mielipiteitään verkossa, usein suurelle yleisölle. Jää epäselväksi, missä määrin tämä artikla kattaa bloggaajat, verkkoaktivistit ja digitaalisesti itse julkaisevat kirjoittajat ja taitelijat. Muidenkin kansalaisyhteiskunnan toimijoiden kuin varsinaisten mediatalojen ja tiedeinstituutioiden pitää pystyä harjoittamaan selvitystyötä, "virallisia" tahoja tukevaa tutkimustyötä ja vaikkapa tutkivaa journalismia. Näiden pitäisi olla turvattu samassa määrin kuin "virallisenkin" journalismin ja tieteen. Ehdotetuilla säännöksillä ei saa vaikeuttaa yleisen edun näkökulmasta perusteltuja avoimen tiedon hankkeita.
      • Suomen tieteellinen kirjastoseura
        Päivitetty:
        8.9.2017
        • Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat kytköksissä toisiinsa ja tutkijoiden rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Tieteellisillä kirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tieteelliset kirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. STKS katsoo, että tieteellinen kirjastotoiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun toimintaan.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Työryhmän ehdotus ottaa laajasti huomioon kansallisia journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun intressejä. Pidämme esitettyjä linjauksia hyvinä.
      • Yleisradio Oy
        Päivitetty:
        8.9.2017
        • Pyrkimys nykytilan säilyttämiseen ja kattavien journalismia koskevien poikkeuksien säätäminen on hyvä lähtökohta tietosuoja-asetuksen kansallista liikkumavaraa koskevalle lainsäädännölle. Tietosuojalakiehdotuksen 27 §:n perusteluissa sivulla 126 on todettu, että tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaisista säilytyksen rajoittamisen periaatteista säädetään poikkeus. Poikkeus ei sisälly tietosuojalakiehdotuksen 27 §:ssä mainittuihin poikkeuksiin. Kohta tulee lisätä 27 §:n 1 momentin poikkeusluetteloon. Tietosuoja-asetuksen 30 artiklan velvollisuus laatia seloste journalistisessa tarkoituksessa tapahtuvasta henkilötietojen käsittelystä voi vaarantaa sananvapauden. Säännös velvoittaisi mm. kirjaamaan selosteeseen henkilötietojen vastaanottajien ryhmät, joille henkilötietoja on luovutettu. Selosteesta voi paljastua tietoja lähdesuojan piiriin kuuluvista henkilöistä sekä muita toimituksellisia taustatietoja. Säännöksen soveltaminen lisäisi hallinnollista taakkaa ja aiheuttaisi lisäkustannuksia. Tietosuoja-asetuksen 30 artiklan mukaisen selosteen sisältö on pääosin sama kuin voimassa olevan henkilötietolain mukaisen rekisteriselosteen sisältö. Toimituksellisessa tarkoituksessa tapahtuvasta henkiltietojen käsittelystä ei ole henkilötietolain perusteella velvollisuutta laatia rekisteriselostetta. Nykytason säilyttämiseksi 30 artiklasta tulee säätää poikkeus. Tietosuoja-asetuksen 34 artiklan 4 kohdan velvollisuudesta ilmoittaa tietoturvaloukkauksesta valvontaviranomaisen vaatimuksesta tulisi säätää poikkeus. Säännös ei sovellu journalistisessa tarkoituksessa tapahtuvaan henkilötietojen käsittelyyn, koska rekisterinpitäjän tiedonantovelvollisuus ei muissakaan tapauksissa koske journalistisessa tarkoituksessa tapahtuvaa henkilötietojen käsittelyä.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Nykyisiä toimintaedellytyksiä kansalaistoiminnalle tai kulttuuri- eikä tiedealoilla ei tule missään tapauksessa heikentää nykyisestä. Sen sijaan on pyrittävä selkeyttämään tilannetta ja tukemaan yleishyödyllistä toimintaa ja esimerkiksi vähemmistöjen kulttuureita. Open Knowledge Finland toivoo, että kansallista lainsäädäntöä kehitetään edelleen tähän suuntaan. On tärkeää, ettei tieteellinen tutkimus jää huomattavan epäedulliseen asemaan verrattuna esimerkiksi kaupallisiin toimijoihin. Myös kansalaisten oikeudet sananvapauteen ja taiteelliseen toimintaan ovat yhteiskuntamme kannalta keskeisiä, eikä niitä saa vaarantaa. On pyrittävä välttämään liiallisen pelon ja varovaisuuden haittoja luomalla selkeää lainsäädäntöä näille aloille. On tärkeää, että julkisuuslain ja tietosuojalain väliseen suhteeseen kiinnitetään huomiota jatkotyössä. Julkisuusperiaate ei saa heikentyä.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Kirjallisen ilmaisun käsitettä ei ole määritelty sen paremmin yleisessä tietosuoja-asetuksessa kuin tietosuojalaissakaan. Koska 27 §:ssä säädetyt poikkeukset ovat erittäin laajoja, olisi tarpeen määritellä tarkkaan, mitä kirjallisella ilmaisulla tarkoitetaan. Kyseiset poikkeukset mahdollistavat mm. henkilötietojen julkaisemisen yleisessä tietoverkossa.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen artiklassa 85 säädetään henkilötietojen käsittelystä silloin, kun henkilötietoja käsitellään sananvapauden ja tiedonvälityksen käyttötarkoituksessa. Artikla 85 sisältää velvoittavasti kansallista liikkumavaraa, koska kansallinen sääntely koskien journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten määrätään säädettäväksi kansallisesti jäsenvaltioiden omassa lainsäädännössä. Laissa on selkiytettävä myös erityisesti akateemisen tarkoituksen sisältöä tai akateemisen käsitettä. Sääntely ei voi jäädä tulkinnanvaraiseksi, koska kysymys on perusoikeuden toteuttamiseen liittyvästä sääntelystä. Lakiluonnoksen 27 § on haasteellinen sikäli, että noudatettaessa kyseistä pykälää pitää koko ajan olla selvillä siitä mitä yleisen tietosuoja-asetuksen eri artikloissa säädetään, koska pykälä on lähinnä luettelo niistä artikloista, joita sovelletaan ja joita ei sovelleta journalistisissa, akateemisen, taiteellisen ja kirjallisen ilmaisun käyttötarkoituksissa.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa henkilötietojen käsittelyä journalistisia, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevasta 27 §:stä.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen 85 artikla velvoittaa jäsenmaita lainsäädännöllä sovittamaan yhteen toisaalta henkilötietojen suojan ja toisaalta oikeuden sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien henkilötietojen käsittely journalistisia, akateemisen, taiteellisen ja kirjallisen ilmaisun tarkoituksia varten. Lakiehdotuksessa tulisi ulottaa sen 27 §:n sääntely myös arkistojen, kirjastojen ja museoiden toimintaan kyseisten tavoitteiden saavuttamiseksi niiden aineistojen palvellessa juuri artiklassa tarkoitettuja päämääriä. Kansallisgallerian kuvataiteen keskusarkistossa on maamme keskeisin taiteilijoita, taide-elämää ja kuvataiteen historiaa käsittelevä dokumenttiaineisto, joka sisältää valokuva- ja muita kuvakokoelmia, lehtileikekokoelman ja muuta vastaavaa aineistoa. Kulttuuriperintöorganisaatioiden keskeinen rooli kirjallisen ja akateemisen ilmaisun turvaajana ja tiedon tuottajana tulisi ottaa huomioon rinnastamalla muistiorganisaatioiden henkilötietojen käsittely asetuksen 85 artiklassa tarkoitettuiin tahoihin. Kansallisgalleria pitää myönteisenä sitä, että tietosuoja-asetuksen määräykset henkilötietojen käsittelystä eivät ulotu kuolleisiin henkilöihin. Kansallisgallerian kokoelmissa on kuitenkin suuri määrä taide-elämää kuvaavia valokuvia ja muuta aineistoa, jossa esiintyvien henkilöiden osalta ei tiedetä eikä ole mahdollista selvittää, onko henkilö elossa vai kuollut. Julkisuuden henkilöiden osalta asia on tiedossa tai selvitettävissä, mutta ei taideyleisön ja tavallisten ihmisten osalta, jolloin taide-elämän historia saattaa vinoutua vain taide-elämän julkisuudessa eniten esiintyviin henkilöihin keskittyväksi. Lisäksi jotkut kulttuuriperintöorganisaatiot joutuvat soveltamaan toimintaansa viranomaistoiminnan julkisuudesta annettua lakia (621/1999), jonka yksityiselämän suojaamiseksi säädetty salassapitoaika on 50 vuotta asianomaisen kuolemasta. Julkisuuslain 24 §:n asiaa koskeva kohta on erityisiä henkilöryhmiä koskevaa tietosuoja-asetuksen 9 artiklaa laajempi. Koska julkisuuslain uudistamista on myös esitetty, olisi perusteltua tarkastella asiaa myös siten, että mahdollinen ristiriita poistetaan.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 27 §. Henkilötietojen käsittely journalistisia, akateemisia, taiteellisia tai kirjallisen ilmaisun tarkoituksia varten Otsikko tulisi muuttaa muotoon ”Henkilötietojen käsittely journalistisia tarkoituksia taikka akateemisia, taiteellisia tai kirjallisen ilmaisun tarkoituksia varten”, jotta se vastaa tietosuoja-asetuksen sanamuotoa ja tarkoitusta. Tietosuoja-asetuksen 85 artiklan säännös on kahtiajakoinen siten, että se koskettaa henkilötietojen käsittelyä 1) journalistisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koko elinkaaren ajalta, eli siitä hetkestä, kun tieto ryhdytään keräämään aina siihen hetkeen asti, kun näiden tietojen perusteella laaditaan uutinen tms. ja henkilörekisteri hävitetään tarpeettomana ja 2) akateemisen, taiteellisen ja kirjallisen ilmaisun osalta säännös koskee vain ilmaisua, eli tiedon saattamista laajemman piiriin saataville. Näin ollen akateemisen, taiteellisen ja kirjallisen osalta henkilötietojen käsittely keräämisestä hävittämiseen menee yleisten tietosuoja-asetuksessa (ja kansallisessa tietosuojalaissa) olevien säännösten mukaisesti, mutta tämän käsittelyn seurauksena syntyvien tulosten ja teosten osalta on tehty poikkeus sananvapauden nojalla. Akateemisen ilmaisun osalta tämä voi käytännössä tarkoittaa esimerkiksi sitä, että erittäin harvinaisesta sairaudesta on mahdollista laatia tieteellinen artikkeli. Koska harvinainen sairaus voi kuitenkin olla luonteeltaan henkilötieto juuri harvinaisuutensa vuoksi, poikkeus sananvapauden nojalla akateemisen ilmaisun tarkoituksia varten mahdollistaisi sen, myös harvinaisten sairauksien osalta voitaisiin laatia tieteellisiä artikkeleita, jotka saatettaisiin sitten laajemmin tiedeyhteisön arvioitavaksi. Myös taiteessa, esimerkiksi valokuvataiteessa, voidaan käsitellä sellaisia teoksia, joiden perusteella henkilö on tunnistettavissa. Mikäli henkilötietoja tällaisessa yhteydessä ollaan käsitelty muilta osin lainmukaisesti, esimerkiksi asianmukaisen suostumuksen perusteella, ei teosten saattaminen julkiseksi taiteellisen ilmaisun nimissä johda henkilötietojen suojan rikkoutumiseen.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalakiin esitetään merkittäviä rekisteröityjen oikeuksia koskevia rajoituksia edellä mainittuihin tarkoituksiin. Näihin ei myöskään sovelleta yleisenä lähtökohtana oleva tietojen minimoinnin periaatetta. Olisi tärkeää, että esitöissä kuvattaisiin mitä käytetyt käsitteet ”taiteellinen ja akateeminen” ilmaisu tarkoittavat.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Viestintävirasto pitää hyvänä, että mietinnössä on painotettu tietoturvavelvoitteiden tärkeyttä, eikä niitä koskevista rekisterinpitäjän velvoitteista haluta lähtökohtaisesti säätää poikkeuksia. On erityisen tärkeää, että tietoturvavelvoitteista ei haluta säätää poikkeuksia, koska rekisteröityjen henkilötietojen suojaa koskevista oikeuksista poikettaisiin muutoin laajasti. Viestintävirasto kannattaa, että poikkeamisten vastapainona vaaditaan tietojen tehokasta suojaamista ja tietoturvasta huolehtimista.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Pykälässä säädettäisiin perustellusti vapautuksista ja poikkeuksista tietosuoja-asetukseen mm. journalistisia tarkoituksia varten. ASML kiinnittää huomiota siihen että nykyisen, erityisesti digitaalisen julkaisemisen lukuisten eri muotojen ja toimijatyyppien suhde ”journalistisen tarkoituksen” rajoihin jää ehdotuksessa kokonaan käsittelemättä.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • Ei huomauttamista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Pidämme tervetulleena sitä, että akateeminen ilmaisu on nykyisestä henkilötietolaista poiketen nyt rinnastettu journalistiseen, taiteelliseen ja kirjalliseen ilmaisuun. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Kirjastolaitos luo ylipäätään edellytyksiä taiteellisen ja kirjallisen ilmaisun harjoittamiselle. Kulttuuriperintöorganisaatiot hallinnoivat myös laajoja kuva- ja lehtiarkistoja. Nämä tarjoavat kansalaisille viestinnän markkinoita täydentävän väylän informaatioon ja toteuttavat täysin samoja yhteiskunnallisia tehtäviä kuin journalismi. Olisikin tärkeää, että uudessa kansallisessa tietosuojalaissa tai ainakin sitä koskevassa hallituksen esityksessä tuotaisiin selkeästi ilmi se, että tieteelliset kirjastot käsittelevät henkilötietoja asetuksen artiklassa 85 ja tätä täsmentävän kansallisen tietosuojalain 27 §:ssä lueteltuihin tarkoituksiin.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus edellyttää jäsenmaita sovittamaan lainsäädännöllä yhteen asetuksen mukaisen oikeuden henkilötietojen suojaan sekä oikeuden sananvapauteen ja tiedon-välityksen vapauteen. Työryhmän mietinnössä on tavoitteena säilyttää nykytila, jossa henkilötietojen käsittelyyn journalistisia tarkoituksia ja taiteellisen ja kirjallisen ilmaisun tarkoituksia varten sovelletaan säännöksiä, jotka liittyvät lähinnä henkilötietojen suojaamisvelvoitteeseen ja vastaavasti tietosuojaviranomaisen näitä velvoitteita koskeviin valtuuksiin. EK pitää linjausta hyvänä ja katsoo, että mietinnössä ehdotettu tietosuojalain 27 § turvaa asianmukaisesti sananvapauden ja tiedonvälityksen vapauden.
      • Maaseutuvirasto
        Päivitetty:
        8.9.2017
        • Tietojenluovutusta varten olisi suotavaa, että esimerkiksi Tietosuojavirastolta tulee aikanaan ohjeistus siitä, millaista toimintaa on pidettävä journalistisena ilmaisuna, ja mikä taas ei täytä journalistisen ilmaisun kriteerejä.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Medialiitto ry, Hoikka Mikko
        Päivitetty:
        8.9.2017
        • Medialiitto pitää TATTI-työryhmän ehdotusta sananvapauden ja journalismin kannalta onnistuneena. On erittäin tärkeää turvata tietosuoja-asetuksessa mahdollistetulla tavalla kotimainen oikeustila henkilötietojen journalistisessa käsittelyssä. Työryhmän ehdotus mahdollistaa osaltaan myös sähköisten analysointityökalujen käytön sananvapautta turvaavan laatujournalismin kehittämisessä. Tietosuojasääntelyllä ei saa luoda estettä demokratiaa ylläpitävälle yhteiskunnalliselle keskustelulle.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • -
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Työryhmän ehdottaman lakiluonnoksen 27 §:n mukaan tietosuoja-asetusta sovelletaan vain hyvin rajoitetusti silloin, jos sen soveltaminen loukkaisi oikeutta tiedonvälityksen vapauteen tai estäisi henkilötietojen käsittelyn akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Esitetty muotoilu jättää avoimeksi sen, miltä osin ja miten lainkohtaa sovellettaisiin yliopistokirjastojen ja kulttuuriperintöorganisaatioiden toimintaan. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Toimiva kirjastolaitos, arkistot ja museot luovat toiminnallaan edellytyksiä taiteellisen tai kirjallisen ilmaisun harjoittamiselle. Sääntelyä tulisi tältä osin täsmentää.
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • Työryhmä esittää, että lain 27 pykälässä säädettäisiin vapautuksista ja poikkeuksista yleiseen tietosuoja-asetukseen henkilötietojen suojaa koskevan oikeuden sovittamiseksi yhteen sananvapauden kanssa. Henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen 85 artiklassa tarkoitetuissa tilanteissa tulisi mietinnön mukaan sovellettavaksi 5(1)(f), 8, 23, 28–29, 32–33, 37–38 ja 40–43 artikla. Lisäksi edellä mainittuun henkilötietojen käsittelyyn sovellettaisiin soveltuvin osin yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a–b alakohtaa ja 2 kohtaa, 24–26, 31, 39–40, 42, 57–58, 64 ja 70 artiklaa. Alma Media kannattaa edellä mainittuja poikkeuksia sananvapauden ja riippumattoman median toimintaedellytysten turvaamiseksi. Journalistinen työ tulisi määritellä laajasti kansallisessa lainsäädännössä, jotta säädettävillä poikkeuksilla saavutetaan 85 artiklan tarkoitus eli oikeus sananvapauteen ja tiedonvälityksen vapauteen.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto pitää ehdotuksen 27 §:n säätämiä poikkeuksia kattavina ja suhtautuu pykälään pääosin myönteisesti. SJL kuitenkin katsoo, että myös artikloihin 30, 37 ja 38 tulee säätää kansalliset poikkeukset. 27 § mahdollistaa tehokkaasti henkilötietojen keräämisen ja käsittelyn journalistisiin tarkoituksiin, ja myös tällaisten journalististen rekisterien sekä niihin liittyvien journalististen projektien pitämiseen toimitusten sisäisenä tietona, sillä rekisteröidyllä ei ole oikeutta saada tällaisissa tilanteissa henkilötietojensa tietoa henkilötietojensa käsittelystä tai oikeutta estää käsittelyä. Sääntely vastaa pääosin nykytilaa. Journalistiliitto pitää valvontaviranomaisen toimivaltuuksiin ehdotuksessa esitettyjä rajoituksia perusteltuina. Tietosuoja-asetus antaa valvontaviranomaiselle nykytilaan verrattuna laajat oikeuden valvoa tietosuojan toteutumista. Journalistisia tarkoituksia varten suoritettavaa henkilötietojen käsittelyä voitaisiin ilman ehdotettuja rajoituksia viranomaisten toimesta rajoittaa tavalla, joka ei ole sananvapauden toteutumisen kannalta hyväksyttävää. Nyt ehdotetun mukaisesti journalistisen toimijan ei tarvitse kuulla valvontaviranomaista ennen korkean riskin käsittelyn aloittamista. Valvontaviranomainen ei myöskään ole oikeutta asettaa journalistista toimijaa käsittelykieltoon. Ehdotettu sääntely vastaa pitkälti nykytilaa ja suojaa sananvapauden keskeistä sisältöä.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Tiedon luovuttajan, tiedon käyttäjän, tiedon prosessointialustan ja tiedon haltijan tai lupaviranomaisen roolit on tärkeä selkiyttää. Esimerkiksi CSC arkaluonteisen datan käsittelee genomidataa ja siihen liittyvää metadataa ainoastaan tiedon haltijan toimeksiannosta ja ohjeiden mukaisesti. Tiedon prosessoinnin alustoille ei siis pidä syntyä omistajuutta tai edes käsittelyperustetta vain sillä perusteella, että data sijoitetaan tietylle alustalle. Arkaluontoisen datan prosessoinnin alustoja on yksityisellä ja julkisella sektorilla. Oikeudet arkaluonteisen datan käsittelyyn tulee erikseen pyytää alkuperäiseltä tiedon omistajalta. Tietoteknisten palveluntarjoajien vastuu tietosuojan osalta rajautuu sen mukaan, miten vastuut palvelun käyttöehdoissa on määritelty.  Mikäli vastuu palvelun tietystä osasta, kuten käyttäjähallinta tai sovelluksen ylläpito, ei ole palveluntarjoajan vaan asiakkaan tai kolmannen osapuolen vastuulla, tulee viimeksi mainittu taho myös olla vastuullinen kyseisten toimintojen henkilötietojen suojaamisesta. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Asetus velvoittaa jäsenmaat lainsäädännöllä sovittamaan yhteen toisaalta henkilötietojen suojan sekä toisaalta oikeuden sananvapauteen ja tiedonvälityksen vapauteen. Tiedonvälityksen vapaus kattaa henkilötietojen käsittelyn myös akateemisen ja kirjallisen ilmaisun tarkoituksia varten. Esitetty muotoilu jättää avoimeksi, millä tavoin lain kohtaa sovellettaisiin museoiden, kirjastojen ja arkistojen toimintaan. Museoviraston Kuvakokoelmien Journalistinen kuva-arkisto (JOKA) tallentaa journalistista kuvamateriaalia, ja vastaavaa henkilötietoja sisältävää materiaalia on laajasti muidenkin museoiden, arkistojen ja kirjastojen hallussa. Kulttuuriperintöorganisaatioiden keskeinen rooli journalistisen, akateemisen ja kirjallisen ilmaisun tarpeiden turvaajana tulisi huomioida jo nyt valmisteilla olevassa kansallisessa yleislaissa. Lainsäädäntöön tulisi ottaa nimenomainen maininta kulttuuriperintöorganisaatioiden oikeuksista asiaan liittyen.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi pitää 27 §:ssä yleiseen tietosuoja-asetukseen säädettyjä poikkeuksia ja vapauksia tarkoituksenmukaisena, jotta henkilötietojen suojaa koskevan oikeudet saadaan sovitettua yhteen sananvapauden kanssa. Trafi kiinnittää huomiota, että kohdassa 3.7 sananvapaus (s. 126) todetaan 5 artiklan 1 kohdan e alakohdan osalta (”säilytyksen rajoittaminen”) poikkeamisesta eli sitä ei sovellettaisi kun henkilötietoja käsitellään mm. journalistisiin tarkoituksiin. Lakiehdotusten perustelukohdassa (27 § s. 160) kyseistä alakohtaa ei kuitenkaan mainita ollenkaan kuin ei myöskään lakiehdotuksessa (27§ s.186). Tältä osin herää kysymys, että onko edellä todettua 5 artiklan 1 kohdan e alakohtaa esityksen tavoitteissa ja keskeisissä ehdotuksissa kerrotusta poiketen kuitenkin tarkoitus soveltaa?
      • Yhteiskuntatieteellinen tietoarkisto, Tampereen yliopisto, Lausunnon on kirjoittanut lakimies Antti Ketola. Sen laatimista ovat koordinoineet johtaja Helena Laaksonen ja kehittämispäällikkö Arja Kuula-Luumi.
        Päivitetty:
        7.9.2017
        • Ehdotetun tietosuojalain 27 § perustuu tietosuoja-asetuksen 85 artiklaan. Tietosuojadirektiivin 9 artikla sisälsi säännöksen, jonka mukaan voitiin tehdä kansallisia poikkeuksia journalistisia tarkoituksia tai taiteellisen tai kirjallisen ilmaisun tarkoituksia varten direktiivin III, IV ja VI luvuista. Henkilötietolain 2.5 §:ssä, jossa säädettiin näistä poikkeuksista, omaksuttiin sanamuoto ”toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten”. Aiempaan oikeustilaan verrattuna uusi järjestelmä sisältää eroja kahdessa suhteessa. Ensinnäkin asetuksen 85 artiklan sisältää uutena ”akateemisen” ilmaisun. Tietosuojadirektiivin journalistista tarkoitusta on tulkittu EU:n oikeuskäytännössä laajasti. Koska akateeminen tarkoitus on lisätty asetukseen journalistisen tarkoituksen rinnalle, tarkoitus on ilmeisesti laajentaa 85 artiklan soveltamisalaa verrattuna direktiivin 9 artiklan mukaiseen soveltamisalaan. Lisäksi 85 artiklan mukaista luetteloa ei ole tarkoitettu ehdottoman tyhjentäväksi (ks. sanamuoto ”mukaan lukien”). Näin ollen ei vaikuttaisi mahdottomalta, että jäsenvaltio täsmentää laissa tai sen esitöissä, mitä ”akateemisen” tarkoituksen sisälle voi kuulua. Mitä ilmeisemmin tähän sisältyy ainakin tieteellinen julkaisutoiminta, mahdollisesti myös esitelmät ja opetus. Näin ollen ehdotetaan, että joko akateemisen tarkoituksen sisältöä avataan lainvalmistelun yhteydessä tai pyritään ainakin vaikuttamaan siihen, että artiklan 85 tulkintaa koskevia kysymyksiä saataisiin mahdollisimman aikaisessa vaiheessa tietosuojatyöryhmän tai sen korvaavan tietosuojaneuvoston asialistalle. Toinen ero liittyy mahdollisten poikkeusten asialliseen laajuuteen. Artiklan 85 poikkeusten kohteet eroavat huomattavasti direktiivin 9 mukaisista poikkeusmahdollisuuksista. Näin ollen erot henkilötietolain 2.5 §:n ja uuden tietosuojalain 27 §:n välillä ovat merkittäviä. Lähestymistapa, jolla sovellettavaksi jätettävät säännökset on rajattu tietojen suojaamista koskeviin säännöksiin, vaikuttaa pääsääntöisesti toimivalta. Säännös on kuitenkin erittäin vaikealukuinen. Myöhemmin saattaa myös ilmetä, että säännös sisältää ristiriitaisia tilanteita yksittäistapauksissa. Tältä osin olisi suositeltavaa, että 27 §:n sisältöä tarkistettaisiin työryhmän toimesta uudelleen poikkeusten ja sovellettavaksi jäävien asetuksen artiklojen välisten konfliktien varalta. Toiseksi olisi suotavaa, että kansallinen valvontaviranomainen ottaisi mahdollisemman aikaisessa vaiheessa tehtäväkseen antaa ohjausta, joka selventää 27 §:n monimutkaisten viittausten aiheuttamaa kokonaisuutta ja helpottaa organisaatioiden siirtymistä henkilötietolain poikkeussäännöksen soveltamisesta tietosuojalain soveltamissäännöksen piiriin. 27.2 §:n viimeisen virkkeen mukaan tietosuoja-asetuksen 44-50 artikloja, jotka koskevat henkilötietojen siirtoja kolmansiin maihin tai kansainvälisille järjestöille ei sovelleta, ”jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen”. Yksityiskohtaisissa perusteluissa (s. 163) ei selvennetä kattavasti säännöksen soveltamisalaa. Oikeustilan selventämiseksi ehdotetaan, että perusteluihin lisättäisiin kattavammin tietoa siitä, minkä voidaan katsoa loukkaavan oikeutta sananvapauteen tai tiedonvälityksen vapauteen.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Korkeakoulut ovat sitoutuneet Tutkimuseettisen neuvottelukunnan ohjeisiin. Noudattamiseen velvoittava säännös varmistaa sen, että yleisen edun mukaisessa tieteellisessä tutkimuksessa noudatettaisiin vallitsevaa hyvää tieteellistä tapaa. Korkeakoulujen toimintaan, laadun kehittämiseen ja vaikuttavuuteen kuuluu oleellisena osana opiskelijoiden ohjaaminen ja opintojen edistymisen seuranta, joka on muuttumassa yhä yksilöllisemmäksi. Oppimisanalytiikka on korkeakouluissa uusi nopeasti kehittyvä alue. Se liittyy vahvasti myös henkilötietojen käsittelyyn, ja korkeakouluissa tapahtuvaan ohjaukseen ja tutkimukseen. Tällöin keskeisellä sijalla on opiskelijalähtöisten tietojen analysointi, jolloin on mahdollista tuottaa aivan uudenlaista dataa opiskelijoiden ohjaamisen ja tieteellisen tutkimuksen tueksi. Arenen näkemyksen mukaan tietosuojalaissa tai sen taustaperusteluissa olisi täten tulkintaerojen välttämiseksi syytä tuoda esille oppilaitosten oikeus ja jopa velvollisuus voida analysoida oppimiseen liittyvää dataa ( =oppimisanalytiikka) myös henkilökohtaisella tasolla osana korkeakoulujen ja oppilaitoksen tiedolla johtamista, ja tieteellistä tutkimusta. Luonnollisesti korkeakouluilla on tähän johdetut toimintaprosessit määriteltyinä ja dokumentoituina, myös käyttöoikeuksien osalta.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommentteja.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää ehdotettua säännöstä tarkoituksenmukaisena.
      • Yleiset kommentit tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista ja suojatoimista
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Erityisesti muistiorganisaatiot (arkistot, kirjastot, museot, tieteellisten ja muiden tietokantojen ylläpitäjät) ovat olleet huolestuneita siitä, että niiden enenevässä määrin harjoittama historiallisen sekä kulttuuriperintöön ja tutkimukseen liittyvän tiedon digitointi ja julkaiseminen verkossa kaikkien saataville olisi nyt uhattuna. Effi katsoo, että yleistä etua palvelevaa avointa tiedonjulkaisua ei pidä kohtuuttomasti haitata. Työryhmän mietinnöstä ei selvästi ilmene millaisia käytännön vaikutuksia ehdotetulla lainsäädännöllä olisi tältä osin, joten asiaa on selvennettävä jatkovalmistelussa. Huomiota olisi kiinnitettävä myös tiedeinstituutioiden ja virallisten muistiorganisaatioiden ulkopuolella kansalaisyhteiskunnan piirissä tapahtuvaan tutkimus- ja selvitystoimintaan ja tietokantojen kokoamiseen. Tutkimustarkoituksia on kovin erilaisia. Yhtäältä voi olla kyse vaikkapa Finnan tapaisesta verkkopalvelusta, jossa julkaistaan kulttuuriperintöä, ja jonka julkaisemat kuvat ja niiden metatiedot muodostavat henkilötietorekisterin. Toisaalta voi olla kyse vaikkapa siitä, että kansainvälinen yritys pyrkii hyödyntämään viranomaisten rekistereissä olevia terveystietoja kaupallisessa tutkimus- ja kehitystyössä. Ensinmainitusta toiminnasta tiukat anonymisointivaatimukset ja muut rajoitukset voisivat tehdä käytännössä mahdotonta. Jälkimmäiseltä toiminnalta taas voidaan edellyttää tiukkoja käytänteitä ja ylipäänsä kyseenalaistaa se, missä määrin tietoja voidaan luovuttaa kyseisenlaisiin tarkoituksiin ilman rekisteröidyn selvää suostumusta. Näitä eri tilanteita olisi pohdittava ja selkiytettävä jatkovalmistelussa.
      • Helsingin yliopisto
        Päivitetty:
        8.9.2017
        • Ehdotetun tietosuojalain 32 §:n 1 momentin 3-kohdassa säädetään, että tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettujen arkaluonteisten henkilötietojen tai 10 artiklan tarkoitettujen rikkomuksia tai rikoksia koskevien henkilötietojen käsittelyn edellytyksenä tieteellisessä tutkimuksessa olisi aina pakollinen 35 artiklan mukaisen tietosuojaa koskevan vaikutuksenarvioinnin tekeminen. 35 artiklan 3 kohdan b alakohdan mukaan tietosuojan vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa arkaluonteisia, rikoksia tai rikkomuksia koskevia henkilötietoja käsitellään laajamittaisesti, joten tietosuoja-asetus sisältää jo itsessään vaatimuksen vaikutuksenarvioinnin tekemiseksi. Tämän vuoksi tarvetta kansalliselle sääntelylle uusiksi suojakeinoiksi ei ole. Ehdotettu tietosuojalain 32 §:n 1 momentin 3-kohdan tuoma muutos kiristäisi nykyistä tieteellisessä tutkimuksessa sovellettua käytäntöä sekä lisäisi entisestään tieteelliseen tutkimukseen liittyvää byrokratiaa ja kustannuksia sekä heikentäisi Suomen tieteellistä kilpailukykyä. Erityisesti lääketieteen alalla arkaluonteisten henkilötietojen käsittely tutkimustoiminnassa on rutiininomaista, jolloin aina oletuksena uuden tietosuojan vaikutuksenarvioinnin tekeminen vaatimattomankin tutkimuksen yhteydessä ei vastaisi tietosuoja-asetuksen 35 artiklan tarkoitusta. Lisäksi tietosuoja-asetus lähtee riskiperustaisesta lähestymistavasta, jonka mukaan rekisterinpitäjä itse arvioi henkilötietojen käsittelyyn sisältyvät riskit ja lähtökohtaisesti myös päättää itse 35 artiklan mukaisen tietosuojan vaikutustenarvioinnin tekemisestä. Näiden seikkojen vuoksi vaatimus 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekemisestä tulisi poistaa ehdotetusta tietosuojalain 32 §:stä. Lisäksi 32 §:n 2 momentin mukainen velvollisuus toimittaa tietosuojan vaikutustenarviointi tietosuojaviranomaiselle 30 päivää ennen käsittelyn aloittamista lisäisi turhaa tutkimukseen liittyvää hallinnollista byrokratiaa ja kuormittaisi turhaan tietosuojaviranomaisen resursseja. Tämän vuoksi myös velvollisuus tietosuojan vaikutuksenarvioinnin lähettämisestä tietosuojaviranomaiselle tulisi poistaa ehdotetusta tietosuojalaista.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Teknologiateollisuus ry ehdottaa muutettavaksi 31 §:n 1 momentin 3 kohtaa siten, että sen nojalla on mahdollista ryhtyä toimenpiteisiin ns. sattumalöydösten perusteella. Muutos olisi linjassa asetuksen resitaalin 159 kanssa. Muutos on tarpeellinen jatkotoimien perustelemiseksi, mikäli tutkimuksen yhteydessä tulee ilmi esimerkiksi jotain rekisteröidyn edun kannalta merkityksellistä.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kelan kannattaa esitettyjen poikkeusten ottamista tietosuojalakiin, jotta ei tarpeettomasti vaaranneta tieteellisen ja historiallisen tutkimustarkoituksen toteutumista. Sama koskee tilastointia.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Lääkäriliitto pitää lakiluonnoksen säännöksiä tieteellisestä ja historiallisesta tutkimuksesta oikeansuuntaisina. Terveystiedot ovat arkaluonteisia tietoja, joiden osalta edellytetään tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi. Vaikutustenarviointi näyttäisi koskevan myös laajalti kaikkia toimijoita, jotka käsittelevät terveyteen liittyviä tietoja. Liitto toivoo, että vaikutustenarviointia varten tulisi vielä tarkempaa ohjeistusta ja esimerkiksi mallitekstejä vaikutustenarvioinnista. Nämä auttaisivat käytännön toimijoita lainsäädännön edellytysten täyttämisessä.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia kannattaa työryhmän esitystä tietosuoja-asetuksen mahdollistamien kansallisten poikkeusten hyödyntämisestä, kun henkilötietoja käsitellään tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Ehdotetun uuden tietosuojalain 32 §:ssä on kuitenkin säädetty pakollisesta vaikutustenarvioinnista käsiteltäessä erityisiä tietoryhmiä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Lisäksi vaikutustenarviointi pitää toimittaa kirjallisesti tiedoksi tietosuojavirastolle 30 päivää ennen käsittelyyn ryhtymistä, jos käsittelyssä on tarpeen poiketa 31 § 1 ja 2 momentissa mainituista oikeuksista. Toimikunnan mietinnössä ja ehdotuksessa ei tarkemmin perustella, miksi vaikutusten arvioiti olisi tarpeen kaikissa tilanteissa, joissa käsitellään erityisiä tietoryhmiä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Mietintö ei myöskään perustele, miksi vaikutustenarviointi on tarpeen lähettää tietosuojavirastolle ja mitä tietosuojavirasto tekee saatuaan vaikutustenarvioinnin tiedoksi. Nokia katsoo, että kansallista liikkumavaraa ei tulisi käyttää pakollisen vaikutustenarvion säätämiseen vaan tässä tulisi pitäytyä tietosuoja-asetuksen 35 artiklassa säädetyssä eli kun erityisiä tietoryhmiä käsitellään laajamittaisesti. Lisäksi Nokia katsoo, että 31 § 1 ja 2 momenttien suojatakeet ovat riittäviä ja tehokkaita rekisteröityjen oikeuksien suojaamiseksi, ottaen huomioon henkilötietojen käsittelyn tarkoitukset. Pakollisen vaikutustenarvioinnin vaatiminen tapauksissa, jossa erityisten tietoryhmien käsittely ei ole laajamittaista ei ole tietosuoja-asetuksen riskilähtöisen lähestymistavan mukaista. Yritykset ja muut toimijat, joutuisivat laatimaan vaikutustenarvioinnin myös tapauksissa, jossa tutkimusaineistoon saattaa sisältyä satunnaisesti pieniä määriä erityisiin tietoryhmiin kuuluvia tietoja esimerkiksi sen vuoksi että tutkimukseen osallistuvat ovat niitä pyytämättä antaneet. On myös mahdollista, että tutkimuksen kohteena on vain hyvin pieni joukko rekisteröityjä. Ehdotettu johtaisi tilanteeseen, jossa vaikutustenarviointia vaaditaan myös tilanteissa, jotka ovat tutkimustoiminnan kannalta tavanomaisia ja joihin ei kohdistu erityisiä riskejä yksilöiden oikeuksille ja vapauksille. Nykyisin tieteellinen ja historiallinen tutkimus ei edellytä tietosuojaviranomaisen lupaa eikä ilmoitusta tietosuojaviranomaiselle. Myös tietosuoja-asetuksen lähtökohtana on ollut poistaa tarpeettomaksi katsottu lupa- ja ilmoitusmenettely. Toimikunnan ehdotus johtaisi tilanteisiin, jossa tietosuojavirastoa informoidaan henkilötietojen käsittelystä, jotka ovat tutkimustoiminnassa tavanomaisia eikä niihin kohdistu erityisiä riskejä yksilöiden oikeuksille ja vapauksille. Lisäksi pakollinen vaikutustenarviointi ja tietosuojaviranomaiselle tehtävä ilmoitus aiheuttaisi ylimääräisiä kuluja ja söisi tarpeellisia resursseja yrityksiltä, tutkimuksen tekijöiltä sekä tietosuojaviranomaiselta. Lisäksi Nokia muistuttaa, että käsiteltäessä erityisiä tietoryhmiä lääketieteelliseen tutkimukseen vaaditaan eettisen lautakunnan lupa. Toimikunnan esityksen perusteella on epäselvää miten eettisen lautakunnan luvan ja tietosuojaviranomaiselle ilmoittamisen aiheuttamat päällekkäisyydet ratkaistaisiin.
      • MyData Global ry
        Päivitetty:
        8.9.2017
        • Open Knowledge Finland toivoo, että kansalaistiede ja kansalaisjournalismi huomioidaan esimerkiksi siten, ettei käytetä ainoastaa termiä “akateeminen tutkimus” vaan myös tiedepuolella vakiintunutta “tieteellinen tutkimus” -termiä, joka määritellään tavoitteiden ja menetelmien pohjalta. On tärkeää, että mahdollistetaan myös arkaluontoisen tutkimustiedon arkistointi anonymisoimatta. Täydellinen anonymisointi heikentää tiedon uudelleenkäytön mahdollisuutta huomattavasti, mutta nykyinen lainsäädäntö (esim. arkistolaki) tekee tutkimusaineistojen arkistoinnista vaikeaa. Tutkimuksen laatu ja tutkimusetiikka vaativat ehdottomasti riittävän tietomäärän arkistointimahdollisuutta. Myös tutkimustiedon ja aineistojen pitkäaikaissaatavuus on turvattava.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Helsingin kaupungilla ei ole lausuttavaa tältä osin.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Poikkeukset ja suojatoimet ovat pääsääntöisesti samat kuin nykyisen henkilötietolain 14 §:ssä. Lisäyksenä lakiluonnoksessa on 31.1 §:n 3 kohdassa maininta siitä, että henkilötietoja voidaan käyttää ja luovuttaa historiallisen ja tieteellisen tutkimuksen lisäksi muuta yhteensopivaa käyttötarkoitusta varten. Termi muu yhteensopiva käyttötarkoitus on uusi, jota ei ole henkilötietolaissa. Kyseinen termi jää hieman epämääräiseksi, vaikka perusteluissa viitataankin tutkimusaineiston sekundääriseen käyttöön esim. tilastointitarkoituksissa. Sinänsä tietosuojalakiluonnos ei toisi juurikaan muutoksia nykyiseen käytäntöön tieteellisen tutkimuksen osalta. Tieteellisen tutkimuksen osalta henkilötietojen käsittely voi perustua yleistä etua koskevaan tehtävään tai suostumukseen. Suostumussääntelyn osalta yleinen tietosuoja-asetus ei mahdollista kansallista liikkumavaraa. Suostumus voidaan antaa vain tiettyyn käyttötarkoitukseen eikä avointa suostumusta tieteelliseen tutkimukseen ole mahdollista käyttää, mikä hankaloittaa kerättyjen tutkimusaineistojen jatkokäyttöä. Henkilötietolain säädösten perusteella tutkimustarkoituksiin tapahtuvasta henkilötietojen automaattisesta käsittelystä tulee tehdä henkilötietolain 36 ja 37 §:n mukainen ilmoitus tietosuojavaltuutetulle silloin, kun käsitellään arkaluonteisia tietoja ja tiedot kerätään pelkästään rekisteripohjaisesti, eikä tällaisesta tutkimusrekisteristä ole nimenomaan säädetty laissa. Uudessa lakiluonnoksessa käsiteltäessä erityisiä henkilötietoryhmiä koskevia henkilötietoja tutkimustarkoituksessa tulee rekisterinpitäjän laatia tietosuoja-asetuksen 35 artiklan mukainen vaikutustenarviointi. Vaikutustenarviointi tulee toimittaa tietosuojavirastoon, jos tutkimuksessa on tarpeen poiketa tietosuojalain 31 §:ssä mainituista rekisteröidyn oikeuksista.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • On tärkeää, että EU:n yleisen tietosuoja-asetuksen kansallisessa täytäntöönpanossa otetaan asianmukaisesti huomioon asetuksen johdanto-osan perustelukappale 159, jonka mukaan henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten on tulkittava laajasti. Tällöin tieteellinen tutkimus voi tarkoittaa myös mm. teknologista kehittämistä, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta, mikäli se täyttää tieteellisen tutkimuksen yleisesti hyväksytyt kriteerit. Pidämme tärkeänä myös sitä, että yleistä etua koskevan tehtävän voidaan mietinnön mukaisesti katsoa kattavan myös henkilötietojen käsittelyn tieteellisiä tutkimustarkoituksia varten. Nämä seikat on todettu myös työryhmän ehdotuksessa hallituksen esitykseksi eduskunnalle. Kannatamme sitä, että kansallisesti hyödynnettäisiin tietosuoja-asetuksen mahdollistamat poikkeukset, kun henkilötietoja käsitellään tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Lakiluonnoksen 32 §:n osalta (erityisten henkilötietoryhmien käsittely) katsomme kuitenkin, ettei 1 momentin 3 kohdassa edellytettyä vaikutustenarviointia tulisi vaatia kategorisesti aina, kun erityisiin henkilötietoryhmiin kuuluvia tietoja kuten terveystietoja käsitellään tutkimustarkoituksissa. Vastaavasti 32 §:n 2 momentin mukaisesta vaatimuksesta arvioinnin lähettämisestä etukäteen tietosuojaviranomaisille tulisi luopua. EU:n yleisen tietosuoja-asetuksen sääntely lähtee riskiperustaisesta arviosta, ja vaikutustenarviointi vaaditaan erityisesti silloin, kun käsittely on laajamittaista. Suoraan asetuksen nojalla merkittävä osa lääketeollisuudenkin toteuttamasta tutkimuksesta edellyttää vaikutustenarvioinnin tekemistä. Vaatimusta ei kuitenkaan ole perusteltua ulottaa kategorisesti kaikkeen, pienimuotoiseenkin tieteelliseen tutkimukseen. Henkilötietojen käsittelijän on joka tapauksessa suunniteltava henkilötietojen käsittely huolellisesti etukäteen, ennen henkilötietojen keräämistä. Tämä velvollisuus koskee myös tutkimuksia, jotka eivät asetuksen mukaan vaatisi vaikutustenarvioinnin laatimista. Vaikutustenarvioinnin vaatiminen kategorisesti ei nähdäksemme olisi myöskään yleisen tietosuoja-asetuksen hengen mukaista. Työryhmä on pitänyt itsekin lähtökohtanaan sitä, että kansallista liikkumavaraa pitäisi käyttää hyvin harkiten ja vain, jos se on välttämätöntä asetuksen täydentämiseksi. Huomionarvioista on myös se, että vaikutustenarvioinnin vaatimuksia ja edellytettyä laajuutta ei ole vielä riittävällä tarkkuudella täsmennetty. Näin ollen on epäselvää, millainen vaikutus tuolla ehdotetulla edellytyksellä tulee todellisuudessa olemaan ja mitä tietosuojaviranomainen tulee arvioinnilta edellyttämään. Tämä voi viivästyttää esimerkiksi lääketutkimusten aloittamista Suomessa. Lääketutkimuksen toteuttaminen edellyttää joka tapauksessa sekä lääkevalvonnasta vastaavan viranomaisen myöntämää lupaa että eettisen toimikunnan tekemää arvioita tutkimushankkeesta. Tässä yhteydessä arvioidaan aina myös tutkimukseen osallistuvien henkilötietojen suojan asianmukaisuutta. Henkilötietojen vastuullinen ja suojattu käyttö kuuluvat olennaisena osana lääketutkimuksen toteuttamiseen ja sitä koskevaan sääntelyyn ja henkilötietojen käyttö on suunniteltu kattavasti jo aina ennen tietojen keräämistä. Tällainen pakollinen vaikutustenarvioinnin laatiminen aina lääketutkimuksen yhteydessä ei mielestämme tuo mitään lisäarvoa verrattuna siihen, miten eettiset toimikunnat jo henkilötietojen käsittelyn arvioivat. Pikemminkin vaikutustenarviointi toisi päällekkäisen velvollisuuden, mitä ei voida pitää perusteltuna. Eettisten toimikuntien roolia tutkimuksen arvioinnissa tulisi painottaa, ja niiden jäsenten tulee osata ottaa kantaa myös henkilötietojen käsittelyyn liittyviin kysymyksiin. Kansainvälisen lääketeollisuuden näkökulmasta EU-asetusta tiukempi kansallinen vaatimus voi heikentää Suomen kiinnostavuutta tutkimusmaana ja sitä kautta mahdollisuuksia saada Suomeen uusia, Terveydenhuollon kasvustrategiassakin toivottuja tutkimusinvestointeja. Tutkimuksen käynnistämiseen liittyvien prosessien yhdenmukaisuus on keskeinen tekijä silloin, kun lääkeyritykset harkitsevat esimerkiksi sitä, missä maissa tietty kliininen lääketutkimus tullaan toteuttamaan. Kansallinen hallinnollinen lisätaakka on omiaan vähentämään kiinnostusta toteuttaa tutkimuksia Suomessa. Jatkovalmistelun ja erityisesti vielä valmisteilla olevan sektorilainsäädännön osalta on lisäksi tärkeää huomioida se, että esimerkiksi rekisteri- ja biopankkitutkimuksen yhteydessä lääkeyritys saa haltuunsa vain joko kokonaan aggregaattitasoista tai aina vähintäänkin pseudonymisoitua henkilötietoa. Tällöin on olennaista huolehtia siitä, että rekisteröityjen oikeuksista ja niiden toteuttamiseen liittyvistä rekisterinpitäjän vastuista säännellään tavalla, joka ottaa tämän asianmukaisesti huomioon. Lääkeyrityksellä ei näissä tilanteissa esimerkiksi ole hallussaan koodia, jonka avulla saadut henkilötiedot voitaisiin yhdistää tiettyyn rekisteröityyn ja tätä kautta selvittää, onko tietty henkilö ylipäätään rekisteröity tai tavoittaa hänet. Jatkovalmistelussa tulee lisäksi huolehtia siitä, ettei kansallisella lainsäädännöllä luoda tutkimustoimintaa ja kansainvälistä harmonisointia tarpeettomasti rajoittavaa sääntelyä.
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevista poikkeuksista ja suojatoimista.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Henkilötietolaissa toimituksellisia tarkoituksia varten tapahtuvaa tietojen käsittelyä koskevat poikkeukset koskevat myös henkilötunnuksen käsittelyn edellytyksiä. Lakiehdotuksen 27 §:ssä ehdotetut poikkeukset eivät koske lakiehdotuksen 29 §:ää. Ehdotettu sääntely näyttäisi siten merkitsevän muutosta vallitsevaan oikeustilaan, vaikka lakiehdotuksen perustelujen mukaan tietosuojalain 29 §:llä pyrittäisiin säilyttämään nykytila. Kysymys tiedotusvälineen oikeudesta saada tieto viranomaisen asiakirjasta siten, ettei henkilötunnusta ole poistettu, on ollut esillä asiakirjajulkisuutta koskevissa valitusasioissa ja siitä on ollut kysymys myös KKO:n ratkaisussa 2004:15.
      • CSC - Tieteen tietotekniikan keskus Oy, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • TUHA-verkosto haluaa kiinnittää huomiota siihen, että henkilötietojen käsittely tieteellisessä tutkimuksessa on riittävän joustavaa. Se on keskeinen edellytys toisaalta suomalaisen tieteen menestykselle ja toisaalta tutkimuksen tekemiselle ylipäänsä. Henkilötietojen suojaamisella ei pidä aiheuttaa turhaa haittaa tutkimukselle.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 31 §. Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet sekä 32 §. Erityisiä henkilötietoryhmiä koskeva käsittely tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten Jotta nyt ehdotetulla sääntelyllä säilytettäisiin mahdollisimman lähelle nykyinen oikeustila ja tutkimustoiminta voisi jatkua entisten, toimiviksi havaittujen periaatteiden mukaisesti, tulisi rajoitusperusteiden suojasäännöksiksi ehdotetut toimenpiteet siirtää henkilötietojen käsittelyä koskeviksi suojasäännöksiksi. Jotta sääntely olisi myös muutoin johdonmukaista, tulisi ensin säätää käsittelyperusteista tieteellisen tutkimuksen ja tilastoinnin tarkoituksessa ja vasta sitten poikkeuksista rekisteröityjen oikeuksiin (ml. mahdollinen poikkeus informoinnista). Niiltä osin, tietosuojalaissa säädetään nyt rekisteröidyn oikeuksista poikkeamiseen liittyvistä suojatoimista, vaikuttaisi säännös olevan tarpeeton ja tietosuoja-asetuksen sanamuodon vastainen. Kansallinen sääntely voi näiltä osin vaarantaa harmonisointitarkoituksen ja yhteisen eurooppalaisen tutkimusalueen kehittymisen. Tietosuoja-asetuksen sanamuodon mukaan tässä ei vaikuttaisi olevan kansallista liikkumavaraa, koska asetuksessa viitataan 89 artiklan 1 kohdassa tarkoitettuihin (”jos sovelletaan tämän artiklan 1 kohdassa tarkoitettuja edellytyksiä ja suojatoimia”), asetukseen jo muutoinkin sisältyviin suojatoimiin. Tietosuojalain ehdotetuissa suojasäännöksissä edellytetään, että ”henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.” Sana ”luovutetaan” tulisi poistaa, koska säännös koskee rekisteritutkimuksia, joihin tiedot saadaan yksittäisiä tutkimuksia varten myönnetyillä tutkimusluvilla (vrt. mm. JulkL 28 §). Tutkimusluvat ja niihin liitetyt ehdot sekä salassapitosäännökset rajoittavat tällaisten henkilötietojen edelleen luovutusta, eikä näin ollen tutkimusrekisterin rekisterinpitäjällä ole itsenäistä määräysvaltaa päättää tietojen edelleen luovuttamisesta. Edelleen luovuttaminen ja käsittely toisessa tutkimuksessa on mahdollista vain toimivaltaisen lupaviranomaisen uudella luvalla. Nyt ehdotetussa muodossa termi ”luovutus” korostuu ja se voi antaa virheellisen kuvan tutkimusrekisterin tietojen tosiasiallisista edelleen luovutusmahdollisuuksista ja luoda riskin tutkijan oikeusturvalle sekä tutkittavan oikeussuojalle. Ehdotettua 31 §:n 3 kohtaa tulisi täydentää siten, että sen nojalla on mahdollista ryhtyä toimenpiteisiin niin sanottujen sattumalöydösten osalta (kts. resitaali 159), joilla voi olla merkitys rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamisen kannalta (Ehdotus: ”jollei rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamisesta muuta johdu, henkilötietoja käytetään vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.”) Muutosehdotus on voi olla perusteltu myös lastensuojelullisesta näkökulmasta, mikäli tutkimustoiminnan yhteydessä paljastuu jotain sellaista, jonka johdosta tutkijan on ryhdyttävä jatkotoimenpiteisiin (vrt. lastensuojelulain 25 §:n 2 mom.). Nyt ehdotetussa säännöksessä (tietosuojalaki 32 §) tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettujen tietojen käsittelyn edellytykseksi tieteellisessä tutkimuksessa ja tilastoinnissa, on säädetty tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin tekeminen. Tietosuoja-asetuksen 35 artiklan mukainen velvoite tulisi hyvin todennäköisesti muutoinkin sovellettavaksi laajoissa tutkimushankkeissa, joiden yhteydessä käsitellään arkaluonteisia tietoja 35 artiklan 3 b alakohdan nojalla. Näin ollen kyseistä ehtoa ei välttämättä voida sellaisenaan katsoa sellaiseksi lisäsuojatoimeksi, jota artikla 9 2 j alakohta edellyttää. Lisäksi pienemmissä, laadullisissa tutkimushankkeissa (esim. yhden tutkijan tutkimus ja 10 tutkittavaa ja harvinaiset sairaudet jne.) ehdotettu ratkaisu lisäisi kohtuuttomasti yksittäisen tutkijan hallinnollista taakkaa, kun vaikutustenarviointivelvollisuutta ei välttämättä tietosuoja-asetuksen nojalla muutoin olisi. Voidaan myös kysyä, ovatko tietosuojalain 31 §:n 3 momentissa ehdotetut rajoitukset informoinnin osalta tarpeen, kun huomioidaan se, mitä tietosuoja-asetuksen 14 artiklan 5 d. kohdassa säädetään: ”Edellä olevaa 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin …d) tiedot on pidettävä luottamuksellisina, koska niitä koskee unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuva vaitiolovelvollisuus, kuten lakisääteinen salassapitovelvollisuus.” Myös tietosuojalain perusteluja olisi syytä täsmentää eräiltä osin. Sivulla 167 todetaan, että ”Historiallisessa tai tieteellisessä tutkimuksessa pitäisi lähtökohtaisesti pyrkiä saamaan rekisteröidyn suostumus henkilötietojen käsittelyyn.” Tämä lause tulisi poistaa. Tästä syntyy käsitys, että suostumusta priorisoitaisiin henkilötietojen käsittelyperusteena tieteellisessä tutkimuksessa. Tämä ei kuitenkaan enää vastaa nyt ehdotettua sääntelyä, vaan henkilötietolaissa omaksuttua lähestymistapaa. Suostumuksen priorisointi on myös problemaattinen nyt ehdotetun tietosuojalain käsittelyperusteiden sekä osaltaan 27 §:ssä säädetyn akateemisen ilmaisun tarkoituksia varten tapahtuvan käsittelyn osalta. Sivulla 168 todetaan, että ”Esimerkiksi tilanteessa, jossa tutkimusaineisto on täysin pseudonymisoitu eikä rekisterinpitäjällä ole koodiavainta hallussaan, voisi rekisteröidyn tarkastusoikeuden käyttäminen vaikeuttaa tutkimuksen tekemistä suuresti.” Esimerkki on harhaanjohtava ja voi käytännössä johtaa tietosuoja-asetuksen virheellisiin tulkintoihin, Tietosuoja-asetuksen 89 artikla 2 kohdan mukaan poikkeaminen on mahdollista vain, jos rekisteröidyn oikeudet todennäköisesti estäisivät erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten saavuttamiseksi analyysi. Analyysi on siis kaksiportainen ja edellyttää 1) estämistä tai vaikeutta ja sen lisäksi 2) poikkeuksen tulee olla tarpeen tutkimuksen toteuttamiseksi. Pseudonymisointi ei siis itsessään ole riittävä peruste poikkeamiselle, koska sillä ei sellaisenaan ole merkitystä tutkimuksen toteuttamisen kannalta. Tämän lisäksi on muistettava tietosuoja-asetuksen 11 artiklan mukainen rekisteröidyn mahdollisuus toimittaa lisätietoja. Parempi esimerkki saattaisi olla: ”Esimerkiksi tarkastusoikeuden rajoittaminen voi olla perusteltua silloin, kun tutkimuksen kohteena olisi esimerkiksi ala-ikäisten sukupuolikäyttäytymiseen, abortteihin tai muuhun erittäin arkaluonteiseen aiheeseen liittyvä tutkimus ja alaikäisen huoltaja haluaisi käyttää alaikäisen puolesta tarkastusoikeutta tutkimusrekisteriin. Tarkastusoikeuden rajoittaminen on perusteltua myös esimerkiksi silloin, jos tutkimusrekisteriin on saatu viranomaisrekistereistä sellaisista tietoja, joihin rekisteröidyllä itsellään ei ole tarkastusoikeutta. Tällaisia tietoja voi tutkimusrekisteriin tulla esimerkiksi terveydenhuollon tai rikosseuraamusalan henkilörekistereistä.” Sivulla 170 todetaan, että ”Esimerkiksi tieteellinen tutkimus voi olla tarpeen yleisen järjestyksen ja turvallisuuden vuoksi, jolloin olisi perusteltua poiketa rekisteröidyn oikeudesta saada käsittelyä koskevia tietoja.” Parempi esimerkki olisi ”Tieteellisen tutkimuksen intressi voi suuntautua joskus myös sellaiselle aihealueelle, että informointia rekisteröidylle suoraan tai muutoin, on perusteltua rajata. Tämänkaltaisia tutkimushankkeita voi esiintyä esimerkiksi maanpuolustusta tai rikollisuutta tutkivilla tutkimusaloilla.” Nyt ehdotetussa 31 §:ssä on kirjoitusvirhe: ”tarkoituksista” lienee tarkoitetuista. Lisäksi ehdotetun 32 §:n 1 momentista puuttuu se olennainen tieto, mihin 9 artiklan 2 kohdan alakohtiin on tarkoitus viitata.
      • Svenska litteratursällskapet i Finland
        Päivitetty:
        8.9.2017
        • Vi föreslår att 33 § preciseras enligt följande: När personuppgifter behandlas för arkivändamål av allmänt intresse kan man vid behov göra undantag från de rättigheter som avses i artiklarna 15–21 i dataskyddsförordningen förutsatt att 1) insamlandet, bevarandet och tillgängliggörandet av kulturarvsmaterial är en lagstadgad eller stadgeenlig uppgift för den juridiska person som är registeransvarig, 2) den registeransvariges arkivverksamhet grundar sig på en offentligt tillgänglig plan, 3) de lagrade uppgifterna är till väsentliga delar tillgängliga för forskare och andra som behöver dem, och 4) tillgången till personuppgifter begränsas och uppgifterna endast lämnas ut till dem som har rätt att behandla dem. Vi föreslår att propositionen kompletteras med följande paragraf: Publicering av uppgifter på nätet Bibliotek, arkiv och museer vars lagstadgade eller stadgeenliga uppgifter omfattar bevarande och tillgängliggörande av kulturarvsmaterial har rätt att på nätet lämna ut eller tillhandahålla sådana uppgifter som de har i sin besittning och som är nödvändiga med tanke på materialets tillgängliggörande. Uppgifter som avses i artikel 9 i dataskyddsförordningen får göras tillgängliga, om detta står i proportion till det eftersträvade syftet och rätten till skydd för personuppgifter tillgodoses till väsentliga delar. När ett i 1 mom. avsett bibliotek, arkiv eller museum till följd av personuppgifternas stora antal uppgifter, uppgifternas ålder eller någon annan liknande orsak inte kan förutsättas inhämta samtycke av den registrerade, har den registeransvarige rätt att på nätet lämna ut eller tillhandahålla kulturarvsmaterial till den del offentliggörandet av materialet behövs för arkivändamål av allmänt intresse och förutsatt att de registrerades rättigheter inte kränks oskäligt. Uppgifter som avses i artikel 9 i dataskyddsförordningen får göras tillgängliga, om det står i proportion till det eftersträvade syftet och rätten till skydd för personuppgifter tillgodoses till väsentliga delar. Vi föreslår att man i 31 §, som gäller undantag och skyddsåtgärder som gäller behandling för vetenskaplig och historisk forskning samt statistikföring, slopar den sista delen av satsen i 4 punkten ”och verksamheten även i övrigt bedrivs så att uppgifter om bestämda personer inte röjs för utomstående”. Vi föreslår att propositionen kompletteras med följande paragraf: Arkivering och återanvändning av forskningsmaterial För arkivering och återanvändning av forskningsmaterial som innehåller personuppgifter finns, förutsatt att bestämmelserna i 31 § uppfylls, sådana grunder för behandling som avses i artikel 6 e i dataskyddsförordningen, om 1) personuppgifterna används och lämnas ut enbart för historisk eller vetenskaplig forskning eller för något annat sakenligt ändamål, 2) det finns en ansvarsperson eller en grupp som ansvarar för forskningen, 3) den fortsatta användningen av personuppgifter grundar sig på en tillbörlig forskningsplan, och 4) tillgången till personuppgifter begränsas och uppgifterna endast lämnas ut till dem som har rätt att behandla dem.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Jyväskylän yliopisto kannattaa Aalto yliopiston lausunnossaan ehdottamia tarkennuksia koskien tieteellisen tutkimuksen käsittelyn oikeusperusteita. Jyväskylän yliopisto katsoo myös, että rekisterinpitäjälle tulisi osana sen suunnitteluvelvollisuutta jättää harkintavaltaa vaikutustenarvioinnin teon osalta ilman, että sitä säädetään pakolliseksi.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Ehdotettu vaikutustenarvioinnin pakollisuus ja velvoite toimittaa vaikutusarviointi kirjallisesti valvovalle viranomaiselle ei ASML:n mielestä ole tarpeellista, Tutkimus ja tilastointi on nykymuodossaan ”rullaavaa” ja operatiivisesti niin dynaamista että ei ole perusteltua rasittaa niitä näillä velvoitteilla, muut velvoitteet suojaavat riittävästi rekisteröityjä.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • Ei huomauttamista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Tietosuojalakia tulisi koordinoida myös ns. toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojan tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) kanssa. Kyseisen ehdotuksen tavoitteena on sosiaali- ja terveydenhuollossa tallennettuja asiakastietojen mahdollisimman joustava jälleenkäyttö. Lakiehdotukseen sisältyy esitys uudesta lupaviranomaisesta.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Pidämme tärkeänä sitä, että yksittäisellä rekisteröidylä on tieto siitä, mitä tietoja hänestä käsitellään ja myös oikeus korjata itseään koskevat virheelliset tiedot. Tämä ei kuitenkaan saisi vaarantaa kulttuuriperintöorganisaatioiden perustehtäviä, esim. artiklan 17 oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi"). Arviomme mukaan saman artiklan kohta 3 sulkee kuitenkin pois sen soveltamisen kirjastoihin. Muilta osin pidämme lakiluonnoksen 31 §:ssä lueteltuja poikkeuksia riittävän laajoina.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • EK pitää perusteltuna työryhmän mietinnön linjausta, jonka mukaan kansallisesti hyödynnetään tietosuoja-asetuksen mahdollistamat poikkeukset, kun henkilötietoja käsitellään tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. EK kuitenkin katsoo, että mietinnössä ehdotettuja 31 §:n 1 ja 2 momentin 3 kohtia tulisi tarkentaa siten, että niiden nojalla on selkeästi mahdollista ryhtyä toimenpiteisiin ns. sattumalöydösten osalta (ks. asetuksen johdantolause 159). Tarkennus on tarpeen sen takaamiseksi, että tutkija voi ryhtyä jatkotoimiin, mikäli tutkimuksen yhteydessä paljastuu esimerkiksi rekisteröidyn edun kannalta jotain merkityksellistä. Lisäksi jatkovalmistelun aikana olisi vielä syytä arvioida, ovatko 32 § 1 momentin 3 kohdan edellytys tietosuojaa koskevan vaikutusarvioinnin laatimisesta sekä saman pykälän 2 momentin vaatimus vaikutustenarvioinnin toimittamisesta tietosuojavirastolle tarpeellisia. Kategorisista vaatimuksista luopumista puoltaa pyrkimys vähentää tarpeetonta hallinnollista taakkaa. Tietosuoja-asetuksen 35 artikla edellyttää jo tietosuojaa koskevan vaikutustenarvioinnin laatimista silloin, kun erityisten henkilötietoryhmien käsittely on laajamittaista.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Aalto-yliopisto
        Päivitetty:
        8.9.2017
        • Aalto-yliopisto pitää perusteltuina 31 §:ssä ehdotettuja tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevia poikkeuksia ja suojatoimia. Ehdotettua 31 §:ää tulisi kuitenkin selkeyden vuoksi muuttaa niin, että 1 momentin 3 kohdasta poistettaisiin lauseen lopusta “sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille”. Erityisten suojatoimien osalta tulee huomioida, että yliopistoilla on jo velvoite noudattaa Tutkimuseettisen neuvottelukunnan ohjeistusta: 2012 Hyvä tieteellinen käytäntö ja sen loukkausepäilyjen käsitteleminen Suomessa: http://www.tenk.fi/sites/tenk.fi/files/HTK_ohje_2012.pdf ja Humanistisen, yhteiskuntatieteellisen ja käyttäytymistieteellisen tutkimuksen eettiset periaatteet ja ehdotus eettisen ennakkoarvioinnin järjestämiseksi (pdf): http://www.tenk.fi/sites/tenk.fi/files/eettisetperiaatteet.pdf Tutkimuseettinen neuvottelukunta on perustettu asetuksella tutkimuseettisestä neuvottelukunnasta (1347/1991). Tutkimuseettisen neuvottelukunnan ohjeistuksen noudattamiseen ja eettiseen ennakkoarviointiin TENK ohjeistuksen mukaisesti yliopistot ja korkeakoulut ovat sitoutuneet sopimuksilla. Ruotsin tutkimusdatalakiin ehdotetussa 11 §:ssä eettinen ennakkoarviointi suojatoimi, josta on lakisääteinen velvoite: 11 §: Känsliga personuppgifter får med stöd av artikel 9.2 j i dataskyddsförordningen behandlas om behandlingen är nödvändig för forskningsändamål och om behandlingen har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etik-prövningslagen). Av etikprövningslagen framgår övriga krav på etikprövning av behandling av känsliga personuppgifter för forskningsändamål. Mietinnön 32 §:ssä ehdotetaan, että erityisiä henkilötietoryhmiä voitaisiin käsitellä seuraavin edellytyksin: 32 §. Erityisiä henkilötietoryhmiä koskeva käsittely tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten Tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja voidaan 9 artiklan 2 kohdan ja alakohdan ja 10 artiklan nojalla käsitellä 1) jos käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten, 2) käsittelyssä noudatetaan samoja edellytyksiä, joita rekisteröidyn oikeuksista poikkeamiselle on 31 §:n 1 ja 2 momentin 1–3 kohdassa säädetty, ja 3) kun laaditaan tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi. Jos käsittelyssä on tarpeen poiketa 31 §:n 1 ja 2 momentissa mainituista rekisteröidyn oikeuksista, tulee edellä 1 momentin 3 kohdassa mainittu vaikutustenarviointi toimittaa kirjallisesti tiedoksi tietosuojavirastolle 30 päivää ennen käsittelyyn ryhtymistä. Tietosuoja-asetuksen 35 artiklassa on määritelty se, milloin vaikutustenarviointia edellytetään. Article 29 Working Party on Data Protection asiantuntijaelin on antanut luonnoksen vielä tarkemmasta oheistuksesta sen osalta, millä kriteereillä arvioidaan velvollisuutta suorittaa vaikutustenarviointi. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, wp248 ohjeistusta tullaan vielä tarkentamaan konsultaatiokierroksen jälkeen. Kun vaikutustenarvioinnista annettu toimikunnan ehdotusta tarkempaa EU tason ohjeistusta, ei ole tarkoituksenmukaista säätää aina pakollista vaikutustenarviointia esitetyllä tavalla. Velvollisuus toimittaa vaikutusten arviointi tietosuojavirastolle 30 päivää ennen käsittelyyn ryhtymistä tulee merkittävästi lisäämään hallinnollista työtaakkaa. Suojatoimia arvioidessa tulee huomioida, että yliopistot ja korkeakoulut jo nyt noudattavat Tutkimuseettisen neuvottelukunnan ohjeistusta ja suorittavat eettisen ennakkoarvioinnin TENK ohjeistuksen mukaisesti. Tulee jatkoselvittää vaaditun eettisen ennakkoarvioinnin ja vaaditun vaikutustenarvioinnin suhdetta.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Riittävien ja laadukkaiden tietojen saaminen tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten 31 § mukaisesti on olennainen osa Suomen kansainvälistä menestystä. Yhteiskunta on entistä tietointensiivisempi, ja informaation saata-vuus auttaa kehittämään parempia, turvallisempia ja kustannustehokkaampia palveluita. Esimerkiksi tietoturva on nähty yhtenä mahdollisena toimialana, joka voi auttaa Suomea pärjäämään kiristyvässä kansainvälisessä kilpailussa. Tietosuojalain tulisi helpottaa mahdollisimman laajaa tietojen saatavuutta ilman, että rekisteröityihin kohdistuva riski kasvaa tai että tietojen kerääminen muodostuisi liian hankalaksi tai mahdottomaksi. 31 §:n mukaiset edellytykset palvelevat hyvin edellä mainittua tietojen saatavuutta. OP siten kannattaa 31 §:n mukaista sääntelyä. Erityisiä henkilötietoryhmiä koskevan käsittelyn yhteydessä tutkimustarkoituksia tai tilastointia varten ehdotetaan pakollista 35 artiklan mukaista vaikutusarviointia. 35 artiklassa vaikutusarvioinnin tarpeellisuus lähtee aina riskiperusteisesta arvioinnista. Näkemyksemme mukaan tässäkin tapauksessa vaikutusarvioinnin tarpeellisuus tulisi arvioida käsittelyn sisältämän riskin perusteella, eikä vaikutusarvioinnin suorittamista tulisi säätää pakolliseksi kaikissa tilanteissa, kuten nyt 32 §:ssä ehdotetaan. Esitys poikkeaa 35 artiklan mukaisesta menettelystä ja lisää tarpeettomasti rekisterinpitäjän hallinnollista taakkaa.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Esitämme, että esityksen 31§:n tekstistä, jossa on tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet tulisi poistaa kohdan 4 viimeinen osa ”sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.” Esitämme että esitykseen lisätään seuraava pykälä: Tutkimusaineistojen arkistointi ja jatkokäyttö Henkilötietoja sisältävien tutkimusaineistojen arkistoinnille ja jatkokäytölle on 6 artiklan e kohdan mukainen käsittelyperuste, kun sen lisäksi, mitä 31 §:ssä säädetään 1) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten 2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä 3) henkilötietojen jatkokäyttö perustuu asianmukaiseen tutkimussuunnitelmaan ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Lakiluonnoksen 29 §:ään (henkilötunnuksen käsittely) tulisi lisätä omaksi kohdakseen esim. kohta 4: " arkistointia varten", koska henkilötunnusta ei voida jättää pois arkistoitavista henkilötiedoista. Tämä on erityisen tärkeää rekisteritietojen osalta, koska vain henkilötunnusten avulla samaa henkilöä koskevien arkistoitujen rekisteritietojen yhdistäminen tieteellisessä ja historiallisessa tutkimuksessa on mahdollista. Henkilötunnukset ovat tarpeen myös saman nimisten henkilöiden identifioinnissa historiallisessa tutkimuksessa. Lakiluonnoksen 31.1 §:n poikkeuksissa tieteellistä tai historiallista tutkimustarkoitusta varten edellytetään, että käsittely perustuu asianmukaiseen tutkimussuunnitelmaan, tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä ja että henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskeva tiedot eivät paljastu ulkopuolisille. Ehdotuksessa ei ole huomioitu sitä, että historialliseen tutkimustarkoitukseen sisällytetään tietosuoja-asetuksen johdanto-osan mukaisesti myös sukututkimustarkoituksiin tehty tutkimus. Vain niissä tapauksissa, jos sukututkimus voidaan katsoa tieteelliseksi tutkimukseksi, voitaisiin edellyttää asianmukaista tutkimussuunnitelmaa. Muissa tapauksissa pitäisi olla asianmukainen selvitys tutkimushankkeesta. Sukututkimukselta ei voida edellyttää tutkimuksen vastuuhenkilöä tai siitä vastaavaa ryhmää, vaan sitä, että sukututkija noudattaa Suomen sukututkimusseuran laatimia sukututkimuksen käytännesääntöjä (http://www.genealogia.fi/kaytannesaannot). Selvitys tutkimushankkeesta ja perehtyminen sukututkimuksen käytännesääntöihin ovat tälläkin hetkellä eräitä niitä edellytyksiä, jotka täyttämällä asiakas voi saa Kansallisarkistosta sukututkimusta varten käyttöönsä 100 vuotta nuorempia väestörekisteriasiakirjoja. Henkilömatrikkelitutkimus edellyttäisi, että henkilö itse luovuttaisi itseään koskevat tiedot julkaisijalle, koska henkilöllä on oikeus päättää tietojensa antamisesta muihin kuin viranomaistarkoituksiin. Henkilö ei kuitenkaan voi antaa muita henkilöistä koskevia tietoja. Rajoitus ei koskisi kuolleiden henkilöiden tietojen käyttöä.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • CSC pyytää kiinnittämään huomiota erityisesti siihen, että tutkimustarkoituksiin tapahtuva henkilötietojen tietojenkäsittely on suojattava hyvän tiedonhallintatavan mukaisesti riittävän tietoturvallisuuden varmistamiseksi. Henkilötietojen suojaamisesta sekä hallinnollisten että teknisten suojaamiskeinojen osalta vastaava taho tulee myös olla selkeästi määritelty. Suojaamisesta vastaava tahon tulee viime kädessä olla tutkimustoiminnasta vastaava taho, esimerkiksi tutkimusryhmän johtaja, mutta suojaamiskeinojen toteuttamisen voi osittain tai laajasti ulkoistaa asiantuntijoille tai toimittajille.  CSC pyysi lausunnossaan EU:n yleisen tietosuoja-asetuksen vaikutuksesta tieteellisen tutkimuksen ja tilastoinnin kansalliseen sääntelyyn (OM 1/41/2016) kiinnittämään huomiota siihen, että on tärkeää luoda periaatteet tietojen minimoinnille, pseudonymisoinnille ja anonymisoinnille tavalla, jossa säilytetään tasapaino tieteen vapauden ja avoimuuden toteuttamisessa sekä tutkittavien henkilöiden yksityisyyden suojaamisessa. Tärkeää on myös se, että tiedot minimoidaan mahdollisimman aikaisessa vaiheessa. Tutkimuskäytössä, joka tehdään ilman tutkittavan henkilön suostumusta, tietojen tulee aina olla vähintään pseudonymisoituja siten, että tietoa ei voi yhdistää yksittäiseen henkilöön. Jos suostumus on saatu, pseudonymisointi ei ole välttämätön, mikäli pääsy tietoon on valvottua koko tiedon elinkaaren ajan sekä rajattu ainoastaan valtuutetuille toimijoille. Tämä koskee myös rekisteritutkimusta ja arkaluontoisia henkilötietoja kuten terveystietoja. CSC pitää tärkeänä tämän huomioimista. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Henkilötietojen käsittely museoissa, arkistoissa ja kirjastoissa on osa normaalia perustoimintaa. Henkilötietoja ovat esimerkiksi yksittäiset valokuvat, joista henkilöt ovat tunnistettavissa. Museoiden kokoelmat painottuvat sotien jälkeiseen aikaan, joten eläviin henkilöihin liittyvien tietojen määrä on merkittävä. Pelkästään Museoviraston Kuvakokoelmissa on yli 15 miljoonaa kuvaa, joten suostumuksen pyytäminen takautuvasti yksittäisiltä henkilöiltä on täysin mahdotonta. Kuvien lisäksi Museovirastolla on henkilötietoja mm. arkistoaineistoissa, esineiden metatiedoissa, kulttuuriperintöaineistoihin liittyvissä rekistereissä ja tietojärjestelmissä. Henkilötiedot ovat olennainen osa pysyvästi säilyttävien aineistojen kontekstia ja anonymisointi ei voi koskea näitä kulttuuriperintöaineistoja. Kontekstitietojen kattavuus ja luetettavuus ovat keskeisiä tieteelliselle ja historialliselle tutkimukselle. Henkilötietolainsäädäntö suojaa vain eläviä, joten kuolleiden henkilötietoja saa käsitellä vapaasti. Museoviraston ja muiden kulttuuriorganisaatioiden on toiminnassaan kuitenkin mahdotonta tietää, ketkä ovat elossa ja ketkä kuolleita – julkisuuden henkilöistä tämä tiedetään, mutta kokoelmat ovat täynnä tavallisien ihmisten tietoja. Myös tavallisten ihmisten tietojen tallentaminen ja käytettäväksi saattaminen ovat tärkeitä historialliselle tutkimukselle. Erityiset henkilötiedot, eli nykylainsäädännön tarkoittamat arkaluontoiset tiedot, ovat keskeisessä asemassa kulttuuriperintöorganisaatioissa. Museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. On myös kokonaisia kulttuuriperintöorganisaatioita, jotka keskittyvät vaikkapa saamelaisiin tai poliittisten liikkeiden jäseniin. Lainsäädännöllä pitää turvata kulttuurisen moninaisuuden tallentaminen, säilyttäminen ja myös laajat mahdollisuudet moninaisuuden esilläpitoon. Museovirasto yhtyy Museoliiton huoleen käytettyjen termien epätäsmällisyydestä. Erityisesti täsmennystä vaatii se, mitä tarkoitetaan ”yleisellä edulla” ja millaiset toimijat katsotaan toteuttavan yleistä etua. Lisäksi ”arkistointitarkoitus” -termi on liian epämääräinen ja kapea. Selkeämpää olisi käyttää termiä ”arkistointi ja kokoelmien hoito” ja todettava yksiselitteisesti, että tähän liittyvät poikkeukset koskevat ammattimaisesti hoidettuja museoita arkistojen ja kirjastojen lisäksi. Katsomme myös, että nämä tarkennukset on tehtävä jo yleislakiin eikä niitä voi jättää mahdollisiin erillislakeihin ja muuhun jatkotyöhön.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi pitää kannatettavana 31 §:ssä säädettyä tieteellisessä ja historiallisessa tutkimuksessa käsiteltävien henkilötietojen sekundäärisen käytön laajentamista myös muuhun yhteensopivaan käyttötarkoitukseen. Kansallisen tietosuojalain 32 §:ssä on säädetty vaikutustenarviointi pakolliseksi käsiteltäessä tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten. Lisäksi vaikutustenarviointi tulee toimittaa kirjallisesti tiedoksi tietosuojavirastolle 30 päivää ennen käsittelyyn ryhtymistä, jos käsittelyssä on tarpeen poiketa 31 §:n 1 ja 2 momentissa mainituista rekisteröidyn oikeuksista. Trafi katsoo, että kansallista liikkumavaraa ei tulisi käyttää vaikutustenarvioinnin pakollisuuden osalta. Tältä osin tulisi pidättäytyä yleisen tietosuoja-asetuksen 35 artiklassa säädetyssä. Rekisteröidyn oikeuksien suojaamisen kannalta 32 §:n 1 momentin 1 ja 2 kohdassa todetut suojatakeet voidaan Trafin käsityksen mukaan katsoa riittäviksi ja tehokkaiksi suojatoimiksi kun otetaan huomioon henkilötietojen käsittelyn tarkoitukset.
      • Yhteiskuntatieteellinen tietoarkisto, Tampereen yliopisto, Lausunnon on kirjoittanut lakimies Antti Ketola. Sen laatimista ovat koordinoineet johtaja Helena Laaksonen ja kehittämispäällikkö Arja Kuula-Luumi.
        Päivitetty:
        7.9.2017
        • Tieteelliselle tutkimukselle 31 §:ssä asetetut suojatoimet vastaavat läheisesti HetiL 14.1 §:n 2 ja 3 -kohtien edellytyksiä. Ehdotetun lain 31.1 §:n 3-kohta sisältää suojatoimen, jonka mukaan henkilötietoja voidaan käyttää ja luovuttaa ”vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten”. Lisäksi edellytetään, että ”muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille”. Tämä eroaa HetiL 14.1 §:n 3-kohdan vaatimuksesta siten, että lisäksi on mahdollista henkilötietojen käyttäminen ja luovutus ”muuta yhteensopivaa tarkoitusta” varten. Mietinnön yksityiskohtaisten perustelujen mukaan ”tietojen sekundäärinen käyttö laajenisi käsittämään myös muut yhteensopivat tarkoitukset” (s. 169). Esimerkkinä tällaisesta yhteensopivasta tarkoituksesta annetaan tilastollinen tarkoitus. Tältä osin on huomattava, että tilastollinen tarkoitus ei joka tapauksessa ole asetuksen 5 kohdan 1 alakohdan b nojalla yhteensopimaton alkuperäisen käyttötarkoituksen kanssa. Näin ollen yksityiskohtaisissa perusteluissa olisi tarpeellista antaa enemmän esimerkkejä muista yhteensopivista tarkoituksista. Tällainen yksityiskohtaisiin perusteluihin lisättävä yhteensopiva tarkoitus voisi olla esimerkiksi henkilötietojen käyttö opetuksessa. Kohdan selvennys on tarpeellista myös siksi, että voi syntyä tulkintaongelmia siitä, miten kohtaa ”muuta yhteensopivaa tarkoitusta” ja ilmaisua ”muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille” tulee tulkita yhdessä. Jälkimmäisen ulkopuolisten tahojen määritteleminen edellyttäisi, että yhteensopivista tarkoituksista olisi riittävästi esimerkkejä. Ehdotetun lain 32 §:ssä edellytetään asetuksen 9 ja 10 artiklojen mukaisten tietojen käsittelyssä suojatoimena asetuksen 35 artiklan mukaista tietosuojan vaikutustenarviointia. Lisäksi toisen momentin mukaisesti poikettaessa rekisteröidyn oikeuksista tulee vaikutustenarviointi toimittaa tietosuojavirastolle 30 päivää ennen käsittelyyn ryhtymistä. Yksityiskohtaisten perusteiden mukaan tällä on tarkoitus korostaa rekisterinpitäjän suunnitteluvelvollisuutta (s. 171). Tietosuojan vaikutustenarviointi voi toimia hyvänä instrumenttina tutkittavien henkilötietojen suojan korkean tason varmistamisessa. Tältä osin olisi kuitenkin pyrittävä estämään tulkinnanvaraisuus yleisellä viittauksella asetuksen 35 artiklaan. Tarkoitus on ilmeisesti, että laatiminen on aina välttämätöntä. Kuitenkin asetuksen 35 artikla sisältää kohdassa 1 riskilähtöisen arvioinnin menettelyn toteuttamisesta. Näin ollen kansallinen laki edellyttää vaikutustenarvioinnin tekemistä, mutta se voidaan jättää asetuksen 35 artiklan 1 kohdan nojalla tekemättä, mikäli käsittelyn ei katsota aiheuttavan korkeaa riskiä. Epäselvää on siten, onko rekisterinpitäjän päätös siitä, että asetuksen 35 artiklan mukainen vaikutustenarviointi ei ole tarpeellista, riittävä täyttämään 32 §:n vaatimuksen. Tässä yhteydessä olisi ainakin lain yksityiskohtaisissa perusteluissa selvennettävä näiden säännösten välistä suhdetta. Mikäli 35 artiklan 1 kohdan arviokriteerejä ei sovellettaisi, jää epäselväksi sovelletaanko asetuksen 35 artiklan 1 kohdan viimeistä virkettä, jonka mukaan ”yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin”. Mikäli tutkimus ei laajuuden tai käsiteltävien tietojen luonteen vuoksi ole ongelmallinen rekisteröityjen henkilötietojen suojan kannalta, voi vaikutustenarvioinnin suorittaminen jokaisessa vastaavanlaisessa tutkimuksessa olla tarpeeton hallinnollinen rasitus. Näin ollen olisi hyvä täsmentää, että yhtä vaikutustenarviointia voidaan käyttää useissa vastaavanlaisissa tutkimuksissa. Yksi huolella tehty vaikutustenarviointi toteuttaa todennäköisesti paremmin rekisteröityjen henkilötietojen suojaa kuin usea summaarinen arviointi. Muita epäselvyyksiä ovat esimerkiksi kysymys siitä, mikäli rekisterinpitäjä suorittaa asetuksen 35 artiklan 11 kohdan mukaisen uudelleentarkastelun muuttuneen riskin perusteella, täytyykö rekisterinpitäjän toimittaa uusi vaikutusarviointi kansallisen lain 32.2 §:n mukaisesti tietosuojavirastolle. Kaikkiaan tietosuojan vaikutusarviointi voi olla asiallinen suojatoimi, mutta nykyisessä muodossa kansallisen lain säännös on hyvin tulkinnanvarainen.
      • Työväenmuseo Werstas, Kallio Kalle
        Päivitetty:
        6.9.2017
        • Oikeusministeriö on lähettänyt lausuntopyynnölle EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnön (diaarinumero 1/41/2016). Lausuntopyyntöä ei ole lähetetty Työväenmuseo Werstaalle, joka on opetus- ja kulttuuriministeriön nimeämä sosiaalihistorian ja työelämän valtakunnallinen erikoismuseo. Työväenmuseo Werstas katsoo kuitenkin välttämättömäksi antaa asiasta lausunnon, koska mietinnön toteuttaminen vaarantaisi museon toimintaedellytykset. Olen museonjohtajana antanut aiheesta myös haastattelun Yleisradiolle, joka julkaistiin 24.7.2017 ja löytyy verkosta osoitteesta: https://yle.fi/uutiset/3-9730022 Työväenmuseo Werstaan kokoelmissa on noin 60 000 esinettä ja 350 000 valokuvaa. Näistä on tällä hetkellä (6.9.2017) sähköisesti luetteloituna 54079 valokuvan ja 34460 esineen tiedot ja aineiston digitointi etenee liki päivittäin. Museoaineistojen digitointi on kaikkialla Euroopassa katsottu välttämättömäksi ratkaisuksi saattaa museokokoelmat kansalaisten käyttöön ja aineistojen sähköinen käsittely on myös välttämätöntä kokoelmien hallinnan takia. Suuri osa kokoelmista on myös avattu saataville julkisesti muun muassa Kansalliskirjaston ylläpitämässä Finna-palvelussa. Werstaan aineistosta Finnassa on avattu 62 286 yksikköä (tilanne 6.9.2017). Käytännössä 26 253 objektia ei ole siis julkisessa haussa pääasiassa kolmesta eri syystä: esineestä ei ole otettu valokuvaa, tekijänoikeudet eivät mahdollista kuvan julkaisemista tai aineistoon liittyy arkaluontoisia tietoja. Kolmatta syytä on käytetty näistä vähiten, mutta käsittelyssä oleva mietintö uhkaa tehdä tietojen arkaluontoisuudesta keskeisimmän perusteen aineistojen rajaamiseen. Työryhmän mietinnössä ja sitä seuraavassa lakiehdotuksessa ei mainita museoita lainkaan, eikä siinä käsitellä lainsäädännön mahdollisia vaikutuksia museoiden toimintaan. Tämä on merkittävä puute. Museoiden sähköisten kokoelmatietojen on vähintäänkin alan sisäisissä keskusteluissa arvioitu täyttävän henkilörekisterin määritelmän, vaikka asiasta ei olekaan oikeustapauksia. Työryhmän mietinnössä olisi ehdottomasti pitänyt ottaa museoiden tallennustyöhön kantaa, koska mikäli säädökset koskevat myös museoiden kokoelmajärjestelmiin kirjattavia henkilötietoja, säädösten noudattaminen voi vaarantaa museoiden työn kulttuuriperinnön tallentamiseksi. Kyse on samalla sekä yleisölle avattavista aineistoista että sisäisessä käytössä olevista tiedoista. Käytännössä esimerkiksi Werstaan kokoelmajärjestelmässä on useiden ihmisten nimiä, tunnistettavia kasvokuvia ja runsaasti kiinnostavia tietoja, jotka koskevat kyseisiä ihmisiä. Tämä on luonnollista, koska museothan tallentavat historiaa ja historia kertoo poikkeuksetta ihmisistä. Esineiden ja valokuvien museoiminen on mielekästä vain silloin, jos ne kertovat menneiden ja nykyisten sukupolvien elämästä. Esimerkiksi lähikuva vappupuhetta pitävästä Paavo Lipposesta on tallentamisen kannalta kiinnostava, kun tiedämme kuvasta enemmän eikä se esitä vain tuntematonta vuosituhannen vaihteessa elänyttä miesoletettua mikrofonin kanssa. Kokoelmajärjestelmän käyttäjä löytäisi kuvan hakemalla Lipposta nimellä tai vaikkapa tämän puolueen nimellä, vaikka se paljastaisikin henkilön poliittisen vakaumuksen. Julkisuuden henkilönä Lipponen ei saa museoilta erityiskohtelua – tallennamme tavallisten ihmisten tarinoita samalla tavalla ja se on vähintään yhtä tärkeää. Tietojen kirjaaminen museoiden kokoelmissa olevasta aineistosta käsittelemättä henkilötietoja olisi kerrassaan järjetöntä. Historiaa ei ole ilman tunnistettavia ihmisiä ja heille tärkeitä asioita. Museoiden kokoelmat karttuvat hyvin erilaisista lähteistä. Esimerkiksi Työväenmuseo Werstaan valokuvakokoelmissa on sanomalehtien aineistoja, ammattiosastojen ja työväenyhdistysten valokuva-albumeita, osuusliikkeiden valokuvia, valokuvaajien jäämistöä tai aivan yksittäisten ihmisten henkilökohtaisia kuvia ja tämän päivän digitaalisia kuvatiedostoja. Aineiston lahjoittaja voi olla organisaatio tai yksityishenkilö, mutta tyypillisesti luovuttaja ei edes esiinny kuvissa. Kuvien tiedot ovat vaihtelevia: kuvissa olevia henkilöitä ei usein tunneta, kuvan ajankohtaa ei aina tiedetä, eikä kuvissa esiintyviin henkilöihin ole minkäänlaista mahdollisuutta ottaa yhteyttä. Toisaalta aineistossa ei ole koskaan henkilötunnuksia ja erittäin harvoin yhteystietoja. Kuvien käsittely ei siis voi perustua kuvissa esiintyvien henkilöiden antamaan lupaan vaan sen pohjana on oltava yleinen etu. Museotoiminta ja kulttuuriperintömme vaaliminen ei olisi muuten mahdollista. Myös esineiden taustatietoihin kerätään henkilötietoja: vaikkapa mielenosoitusbanderollin tekijästä tai käyttäjästä. Työväenmuseo Werstaan kannalta aivan erityisen ongelman muodostavat lakikokonaisuuden ns. arkaluonteiset tiedot. Museomme muun muassa hoitaa Kuurojen Liiton kanssa tehdyn museofuusion seurauksena vuonna 1907 perustettua Kuurojen museota, jonka aineisto koostuu lähes yksinomaan viittomakielisen yhteisön aineistosta. Kuurojen Liitto rahoittaa toimintaa. Esimerkiksi museon kuvissa on runsaasti Kuurojen liiton aktiiveja ja yhteisön jäseniä, joiden voi tulkita täyttävän vammaisuuden määritelmän. Kuurojen yhteisö on oman museonsa kautta tuonut esiin omaa kieltään, kulttuuriaan ja historiaansa samalla tavalla kuin mikä hyvänsä museon perustanut yhteisö: kuitenkin esitetty lainsäädäntö rajoittaisi heidän museotoimintaansa aivan eri tavalla kuin monen muun ryhmän. Esitetty lainsäädäntö kohtelisi Kuurojen museota hyvin eri tavalla kuin vaikkapa Jääkiekkomuseota. Samat ongelmat, jotka liittyvät Kuurojen museon aineistoihin, koskevat useimpia muitakin Työväenmuseo Werstaan tallennusvastuulla olevia aihepiirejä. Näitä ovat esimerkiksi ammattiyhdistysliike, ympäristöliike tai poliittiset liikkeet, joiden tallentamisesta Werstas kantaa Museoviraston hyväksymän tallennusvastuujaon mukaisesti valtakunnallisen vastuu. Meidän vastuulla on myös suomalaisten sukupuoli- ja seksuaalivähemmistöjen kulttuuriperintö. Esityksessä pääpiirteissään edellytetään, että näiden teemojen käsittely olisi mahdollista vain henkilöiden omalla suostumuksella tai siinä tapauksessa, että henkilöt ovat kuolleet. Tyypillisesti museoaineistoa käsiteltäessä kummastakaan vaihtoehtoehdosta ei ole apua: esimerkiksi työväenlehden toimittajan ottama valokuva 1980-luvun lakkolaisista pitää sisällään jo olettaman ammattiliiton jäsenyydestä, eikä suostumuksen saaminen kuvan henkilöiltä ole käytännössä mahdollista. Tällöin kuva täytyisi kai jättää digitoimatta ja luetteloimatta vuosikymmeniksi, eikä sitä voi käyttää ennen kuin voidaan olettaa henkilöiden todennäköisesti kuolleen. Tällainen ratkaisu toistuessaan vääristää historiaa: siivoaisimme lähihistoriasta vähemmistöjen, poliittisten aktivistien ja lakkolaisten tarinat liian tiukan henkilösuojan nimissä. Museoiden aineistot, joita ei digitoida eikä luetteloida, eivät tule päätymään esimerkiksi erilaisiin julkaisuihin, tutkimusaineistoksi tai näyttelyihin. Lainsäädäntö ohjaisi näin museoita olemaan muistamatta niitä, jotka kuuluvat erityisryhmiin. Muistamisesta tehdään liian vaivalloista, oikeudelliset riskit kasvavat liian suuriksi ja siksi työ jätetään yksinkertaisesti tekemättä. Ongelma koskee kaikkia museoita: Työväenmuseo Werstaan kohdalla se on vain erityisen vakava museon sosiaalihistoriallisesta tehtäväkentästä johtuen. Esityksessä ei ole sanottu yhtään mitään henkilötietojen käsittelystä museotoiminnasta. Lähimmäksi tätä tematiikkaa päästään Tietosuojalain 31–33 § kohdalla. Lakiluonnokseen on määritelty poikkeuksia historiallista tutkimusta varten, jonka voisi jossain määrin kuvitella koskevan myös museotoimintaa, vaikka näin ei ole missään sanottu. Tietosuojalain 32 § mahdollistaa myös erityisten henkilötietoryhmien käsittelyn, jos käsittely on tarpeen historiallista tutkimusta varten, käsittely perustuu asianmukaiseen tutkimussuunnitelmaan, tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä ja henkilötiedot eivät paljastu ulkopuolisille. Lisäksi arkaluonteisten tietojen käsittely edellyttää erityistä tutkimuksen vaikutustenarviointia. Pykälien 31–32 § muotoilut sopivat kuitenkin erityisen huonosti määrittelemään museoiden toimintaa. Museot eivät tee juurikaan tutkimusta vaan ylläpidämme tietovarantoja pitkäjänteisesti sekä tutkimuksen että muiden yleisöjen tarpeita varten. Emme voi aineistoa tallentaessa tietää, onko jokin tieto tai objekti tarpeellinen minkään tutkimuksen kannalta. Luettelointityössä ei tehdä eikä edes tarvita tutkimussuunnitelmaa. Tallentamisen pääpainopisteet määritellään karkealla aihetasolla museon kokoelmapoliittisessa ohjelmassa, mutta emme voi ennakoida aineiston tutkimuksellista käyttöä. Werstaalla ei edes ole tutkijakoulutuksen suorittanutta, väitellyttä henkilöstöä ja henkilötietoja paljastetaan auliisti ulkopuolisille, koska kulttuuriperinnön avaaminen ja digitoiminen on nähty muun muassa opetus- ja kulttuuriministeriön linjauksissa tärkeäksi tavoitteeksi! Vastaavasti aineistoja ei hävitetä vaan ne pyritään säilyttämään pysyvästi. Työryhmän mietinnössä viitataan yleisen edun mukaiseen arkistotoimintaan, mutta museoita ei perusteluosiossa lueta kuuluviksi arkistoihin eivätkä niiden tehtävät ole rinnasteisia. Museoiden kokoelmajärjestelmät rinnastuvat pikemminkin esimerkiksi sanomalehtien kuvapankkeihin, joissa on myös satunnaisia henkilötietoja. Toki arkistotkin käsittelevät valokuvakokoelmiaan samalla tavalla kuin museot, järjestelmätkin voivat olla yhteisiä. Mikäli museot rinnastuvat lakiesityksessä arkistoihin, tämä pitäisi määritellä selkeästi lakiehdotuksen 33 § kohdalla. Nyt ehdotus jättää täysin auki sen, millaisessa oikeudellisessa kehyksessä museot voivat jatkossa käsitellä kokoelmiaan ja niihin liittyviä henkilötietoja. Tämän oikeudellisen kehyksen määrittelyssä pitäisi ottaa huomioon museoiden toiminnan luonne ja siihen liittyvät erityisvaatimukset. Suomen museoliitto on omassa lausunnossaan korostanut, että museoiden kokoelmajärjestelmissä olevat henkilötiedot ovat erittäin matalariskisiä. Näin on myös Työväenmuseo Werstaalla, vaikka kokoelmissamme on myös arkaluontoista aineistoa. On päivänselvää, että emme julkaise esimerkiksi fetisismistä kertovia kuva-aineistojamme – vaikka niiden säilyttäminen onkin tärkeää aineistojen lahjoittajille, jotka haluavat heidänkin elämäntapaansa tulevaisuudessa muistettavan. Ennen muuta kuvakokoelmissamme on erittäin runsaasti täysin harmittomia kuvia vaikkapa vappumarsseilta, kuurojen kulttuuripäiviltä, Pride-kulkueista, ammattiliittojen urheilutapahtumista tai kehitysmaaliikkeen mielenilmauksista, joissa esiintyvien henkilöiden nimeäminen olisi lausunnolle annetun esityksen valossa vähintäänkin kyseenalaista. Museotoiminnan jatkuvuuden kannalta on oleellista määritellä ne reunaehdot, joilla niin arkistot kuin museotkin voivat käsitellä henkilötietoja ja turvata myös historian monimuotoisuuden. Nyt esitelty sääntely tuntuu täysin ylimitoitetulta, kun tiettävästi ei ole ainuttakaan oikeustapausta, jossa suomalaista museota olisi moitittu henkilötietojen epäasiallisesta käsittelystä. Museoiden toiminta on eettistä ja museoille lakiin myönnettävät poikkeukset tuskin koskaan voisivat johtaa paheksuttaviin ylilyönteihin. Kansalaiset arvostavat huomattavasti enemmän sitä, että heidät ja heidän ainutlaatuisuutensa muistetaan julkisten museoiden toimesta kuin sitä, että heidät unohdetaan. Asiasta kesän 2017 aikana käydyssä julkisessa keskustelussa museoiden ongelmia on vähätelty sekä tietosuojavaltuutetun että oikeusministerin toimesta. Näyttää vahvasti siltä, että museoiden toiminnan luonnetta ja lainkuuliaisuutta ei ole edes ymmärretty. Jos museot ovat kuitenkin ymmärtäneet lain tavoitteet ja sisällöt väärin, eikä esitetty lainsäädäntö muka vaikuttaisikaan museoiden kokoelmajärjestelmissä tehtyyn arkipäiväiseen henkilötietojen käsittelyyn, olisi mietinnössä varmastikin ollut paikallaan mainita museoiden sananvapauksista. Yhteenvetona voi todeta, että lakiuudistus vaatii merkittävää jatkokehittämistä, että se ei vaarantaisi museotoiminnan jatkuvuutta ja suomalaisen kulttuuriperinnön moniarvoisuutta. Tämä ei onneksi ole ollut lainsäätäjän tarkoitus, koska museoita ei ole mainittu työryhmän mietinnössä lainkaan eikä museotoiminnan osalta ole tehty minkäänlaista vaikuttavuusarviointia.
      • Tilastokeskus
        Päivitetty:
        6.9.2017
        • Tilastokeskus pitää ehdotuksessa hallituksen esitykseksi uudeksi tietosuojalaiksi ehdotettuja henkilötietojen käsittelyä tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia koskevia 31 ja 32 §:ä hyvinä. Tilastokeskus pitää tarkoituksenmukaisena ja tärkeänä, että tilastoinnin osalta henkilötietolaissa säädetty tarkastusoikeuden rajaaminen on jatkossakin mahdollista. Lakiehdotuksen 31 §:n 2 momentissa säädettäväksi ehdotetut lisäedellytykset ovat kannatettavia. Poikettaessa rekisteröidyn oikeuksista tai rekisterinpitäjän velvollisuuksista, tulee kansallisessa lainsäädännössä olla riittävät suojatoimet rekisteröityjen oikeuksien suojaamiseksi. Lakiehdotuksen 32 § edellyttäisi erityisiä henkilötietoryhmiä käsiteltäessä yleisen tietosuoja-asetuksen 35 artiklan mukaisen tietosuojaa koskeva vaikutustenarvioinnin tekemistä. Ehdotus on kannatettava.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus pitää hyvänä sitä, että 31 §:n 2 momentin 2 kohdassa on poikettu henkilötietolain 15 §:n sanamuodosta ja korvattu viittaus rekisterinpitäjän toimialaan asiallisella yhteydellä rekisterinpitäjän toimintaan. Ehdotetun 31 §:n mukaan rekisteröidyn oikeuksista voidaan poiketa, kun se on tarpeen. Yksityiskohtaisissa perusteluissa on tarkennettu, että poikkeaminen on täten mahdollista, ainoastaan kun oikeuden todennäköisesti estäisivät näiden erityisten tarkoitusten saavuttamisen tai vaikeuttavat sitä suuresti. Väestörekisterikeskus katsoo, että tämä tulkinta on jossain määrin liian rajoittava. Esimerkiksi Väestörekisterikeskus edellyttää tällä hetkellä, että tutkimuksessa, johon se luovuttaa adoptiotietoja, ei luovuteta näitä tietoja edelleen edes rekisteröidylle itselleen. Adoptiota koskeva tieto voidaan väestötietojärjestelmästä luovuttaa henkilölle itelleen vasta, kun tämä on täyttänyt 15 vuotta. Vaikka henkilö olisi täysi-ikälinen, on hän voi itse valita tarkastaako tiedot adoptiosta ja biologisista vanhemmistaan. Väestörekisterikeskuksen toiminnassa pyritäänkin varmistamaan, että tieto näytetään vain henkilölle, jolla on tosiasiallinen tarkoitus tarkastella nimenomaan adoptiota koskevia tietojaan. Väestörekisterikeskus katsoo tarpeelliseksi, että sen asiakas voisi jatkossakin poiketa rekisteröidyn tarkastusoikeudesta tällaisissa tapauksissa. Tällöin poikkeaminen ei kuitenkaan ole edellytys tutkimuksen tarkoitusten saavuttamiselle, vaan sen tarkoituksena on suojella rekisteröityä itseään. Väestörekisterikeskus katsoo, että 31 §:n yksityiskohtaisissa perusteluissa, tulisi tarpeellisuuden määritelmään lisätä, että oikeuksien toteuttaminen voi vaarantaa rekisteröidyn tai tämän läheisten edut ja oikeudet. Vaihtoehtoisesti tarpeellisuuden määritelmää voitaisiin lieventää muulla tavoin. Väestörekisterikeskus pitää osin harhaanjohtavana 31 §:n 1 momentin 3 kohdan sanamuotoa, jonka mukaan tietojen ei tule paljastua ”ulkopuolisille”. Vaikka muotoilu on sinänsä pätevä, voisi yksityiskohtaisissa perusteluissa selventää, että ulkopuolinen voi joissakin tapauksissa tarkoittaa myös henkilöä itseään tai tämän läheisiä. Näin on yllä mainitussa adoptiotiedon tapauksessa. Näin on myös silloin, kuin muita arkaluonteisia tietoja käsitellään tavalla, joka saattaa vaarantaa henkilöiden yksityiselämän suojaa näiden lähipiirissä.
      • Suomen museoliitto ry, Levä Kimmo
        Päivitetty:
        5.9.2017
        • Museoiden kokoelmissa miljoonia henkilötietoja Ammatillisesti hoidettujen museoiden kokoelmissa on miljoonia henkilötietoja valokuvina, esineistön dokumentaatiotietoina ja arkistomateriaaleina. Tietojen käsittelyoikeuksia ei useimmiten ole materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä kysytty tai kirjattu. Oletusarvo on ollut, että museokokoelmiin liitetyt materiaalit on materiaalin luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Henkilötietorekisterien muodostumishistorian vuoksi museoiden ja muiden kulttuuriperintöorganisaatioiden hallinnoimat henkilötiedot ovat henkilötietojen käsittelyn näkökulmasta erittäin matalariskisiä. EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa on huomioitava suomalaisten kulttuuri-perintöorganisaatioiden (arkistot, kirjastot, museot) toiminta. Oikeusministeriön 21.6.2017 julkistama EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietintö jättää tältä osin huomattavasti toivomisen varaa. Museoiden oikeudet yleislakiin Nykyisellään mietinnön sisältämä ehdotus hallituksen esitykys tietosuojalaiksi vaarantaa monilta osin suomalaisten kulttuuriperintö-organisaatioiden toiminnan. Mietintö ja sen sisältämät ehdotukset, niistä käyty julkinen keskustelu sekä oikeusministeri Häkkäsen kirjalliseen kysymykseen (KKV 289/2017 vp) antama vastaus osoittavat, että kulttuuriperintö-organisaatioiden huolta vähätellään tai niitä ei ymmärretä. Kulttuuriperintöorganisaatioiden tarpeiden mahdollinen huomioiminen sektorikohtaisessa lainsäädännössä ei ole toimiva ratkaisu. Tämä saattaisi aiheuttaa toteutuessaan epätasa-arvoisuutta kulttuuriperintöorganisaatioiden välillä. Tätä suurempi ongelma kuitenkin on se, että yleislainsäädännön voimaan tulon ja sektorikohtaisen lainsäädännön valmistumisen väliaika jättäisi kulttuuriperintöorganisaatiot pahimmillaan vuosien ajaksi epämääräiseen tilaan lainmukaisen toiminnan osalta. Kulttuuriperintöorganisaatioiden tarpeet ovat myös helposti yksilöitävissä ja toteutettavissa osana yleislainsäädäntöä, kuten mietintöön sisältämässä lakiesityksessä on jo osittain tehty. Kansallinen liikkumavara käytettävä ja lain sisältö digiaikaan Mietinnön perusteella kansallisessa lainsäädännössä jätetään käyttämättä se liikkumavara, jonka EU:n tietosuoja-asetus itsessään mahdollistaisi. Lisäksi uudessa laissa jätetään käyttämättä mahdollisuus nykyisen henkilötietolain sisältämien ja digitalisaatiosta aiheutuneiden puutteiden korjaamiseen. Nykyinenkin henkilötietolaki on ristiriitainen esimerkiksi opetus- ja kulttuuriministeriön tiedon saatavuuden ja tieteen avoimuuteen liittyvien tavoitteiden sekä Eduskunnan sivistysvaliokunnan (SiWM 13/2016 vp) linjauksen kanssa. Linjauksessaan sivistysvaliokunta haluaa edistää arkistoaineistojen kuvailutietojen tuomista verkkopalveluihin sekä tältä osin kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Nykyisen henkilötietolain ongelmallisuus sekä sen mukainen uudistamistarve on tullut esiin mm. kansallista hakupalvelua Finnaa –kehitettäessä. Uusi tietosuojalaki korostaa lain aktiivista toteuttamista. Tämä tarkoittaa tietojen käsittelyn käytäntöjen aikaisempaa tarkempaa dokumentointia. Lisäksi lain noudattamiseen aktivoidaan taloudellisten sanktioiden uhalla. Nämä lainsäädännön kiristykset johtavat muistiorganisaatioissa todennäköisesti huomattaviin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Ylilyöntienkin vaara on ilmeinen. Tämä vaara on sitä suurempi, mitä moniselitteisemmiksi tietosuojalaki ja sektorikohtainen lainsäädäntö muotoilultaan jää. Lakiluonnoksessa käytetyt termit täsmennettävä Lausunnolla olevaa tietosuojalakia on täsmennettävä ja selkiytettävä historiallisia tutkimus- ja muita tarkoituksia varten myönnettävien poikkeusten osalta. Lausunnolla olevassa lakiluonnoksessa esitetään poikkeuksia ”yleisen edun mukaista arkistotarkoitusta” varten tallennetulle ja käytettävälle tiedolle. Tältä osin tarkennusta kaipaa, mitä tarkoitetaan ”yleisellä edulla” ja millaiset toimijat katsotaan toteuttavan yleistä etua. Lisäksi ”arkistointitarkoitus” –termi on liian epämääräinen ja kapea. Selkeämpää olisi käyttää termiä ”arkistointi ja kokoelmien hoito” ja todettava yksiselitteisesti, että tähän liittyvät poikkeukset koskevat ammattimaisesti hoidettuja museoita arkistojen ja kirjastojen lisäksi. Nämä tarkennukset on tehtävä jo yleislakiin eikä niitä voi jättää mahdollisen jatkotyön tehtävälistalle. Museot odottavat myös selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajauksia museoilla on lakiehdotuksessa mainittujen ”erityiset henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. On myös kokonaisia organisaatioita, jotka keskittyvät vaikkapa saamelaisiin tai poliittisten liikkeiden jäseniin. Jos lakia tulkitaan tiukimman mukaan, myös suomalaisuus on etninen eli arkaluonteinen tieto. Jo tavanomainen kuva kirkkohäistä paljastaa niin uskonnon kuin sukupuolisen suuntautumisen. Lausunnolla oleva lakiluonnos toteaa yksiselitteisesti, että laissa mainitut rajaukset koskevat vain eläviä henkilöitä. Tämä on selkeä ja tärkeä rajaus. Käytännössä museoiden on kuitenkin mahdotonta tietää esim. onko valokuvissa olevat henkilöt tietojen käsittelyn aikaan eläviä vai kuolleita. Tietojen käsittelyä koskevat poikkeukset mainittava selkeästi Suomen museoliitto edellyttää edellä mainittujen määrittelyjen tarkennuksen lisäksi, lakiin tulee selkeä ammatillisia museoita rekisterinpitäjänä koskeva maininta, jolla mahdollistetaan henkilötietojen käsittely museoiden lakisääteisen ja sääntömääräisen tehtävän täyttämiseksi kulttuuriperintöaineistojen tallentamisessa, tutkimisessa ja esille saattamisessa. Museot ja muut kulttuuriperintöorganisaatiot on myös rajattava lakiesitykseen sisältyvän taloudellisten sanktioiden ulkopuolelle. Sektorilainsäädännöllä esim. museolaissa voidaan määritellä ammatillisen museotoiminnan kriteerit.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Voimassa olevassa henkilötietolaissa on erityinen säännös sukututkimuksesta, jossa on säädetty siitä, millaisia tietoja henkilöstä saa sukututkimukseen kerätä ilman rekisteröidyn suostumusta tai silloin kun rekisteröidyn ja rekisterinpitäjän välillä ei ole asiallista yhteyttä. Sukututkimusta ei siten voimassa olevan lain nojalla rinnasteta historialliseen tutkimukseen. Lisäksi henkilötietolain perusteluissa on todettu, että sukututkimusta varten pidettävään rekisteriin tulisi tiedot hyvän tietojenkäsittelytavan mukaisesti pyrkiä keräämään ensisijaisesti rekisteröidyltä itseltään (HE 96/1998 vp). Ottaen huomioon, ettei yleisen tietosuoja-asetuksen perusteluissa ole avattu historiallisen tutkimuksen käsitettä, kirkkohallitus pitää tärkeänä, että vähintäänkin ehdotetun 31 §:n perusteluissa selkeytettäisiin sukututkimuksen suhdetta historialliseen tutkimukseen. Tällöin olisi myös syytä pohtia sukututkijan oikeutta arkaluontoisten tietojen käsittelyyn. Kirkkohallitus huomauttaa, että lokakuuhun 1999 asti kirkonkirjat olivat osa väestökirjanpitoa. Kirkonkirjat sisältävät jo lähtökohtaisesti arkaluontoista tietoa, koska kirkonkirjoihin on talletettu henkilötietoja kirkon jäsenistä ja siten heidän uskonnollisesta vakaumuksestaan.
      • Muut yleiset kommentit tietojenkäsittelyn erityistilanteita koskevasta 5 luvusta.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Työryhmän mietintö sisältää informatiivisen viittauksen lakiin yksityisyyden suojasta työelämässä (30 §), mikä on selkeyden vuoksi perusteltua. Pidämme myös perusteltuna, että henkilötunnuksen käsittelyä koskeva sääntely pysytetään tietosuoja-asetuksen myötä ennallaan (29 §).
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • 29 § Henkilötunnuksen käsittely Henkilötunnuksen käsittelyn edellytyksiä ei tulisi tiukentaa voimassaolevaan henkilötietolakiin verrattuna.
      • Yleisradio Oy
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen 85 artiklan sallimaa kansallista liikkumavaraa tulisi käyttää ohjelmien tekijä- ja sisältötietoja koskevien arkistojen avaamiseen. Tavoitteena olisi saada tv- ja radiodraaman historia näkyväksi esimerkiksi siten, että Yle Areenan ohjelmat tulisivat haettaviksi esiintyjien ja tekijöiden kautta. Arkistot sisältävät tekijöiden henkilötietoja. Tietosuojalaki ei huomioi kulttuurihistoriallisen aineiston avaamiseen liittyviä erityispiirteitä, vaikka EU:n tietosuoja-asetus itsessään mahdollistaisi kansallisen liikkumavaran käytön. Arkistojen avaamisessa on keskeisesti kysymys sananvapaudesta eli kansalaisten oikeudesta vastaanottaa tietoa. Kansallisella lainsäädännöllä pitää turvata mediasisältöjen kulttuurisen moninaisuuden esille tuominen ja kansalaisten saataville saattaminen. Ohjelmien tekijä- ja sisältötietojen julkaiseminen verkkopalveluissa edistäisi kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Julkisin varoin tuotetun sisällön tulisi olla kaikkien saatavilla. Arkistojen avaaminen tulee tehdä mahdolliseksi säätämällä 85 artiklan mukainen kansallinen sananvapauden ja tiedonvälityksen vapauden turvaava poikkeus.
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • FiCom esittää, että 29 § 2 momenttiin lisätään viestintäpalvelujen tarjoaminen, koska myös teleyrityksillä on velvollisuus kyetä yksilöimään telepalvelujen käyttäjät yksiselitteisesti. Tietoyhteiskuntakaaren 274 § mukaan teleyrityksen on ilmoitettava viipymättä tilaajalle ja käyttäjälle, jos sen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus taikka muu tapahtuma, joka estää viestintäpalvelun toimivuuden tai häiritsee sitä olennaisesti. Lisäksi Euroopan komission asetuksessa 611/2013 ja Viestintäviraston määräyksessä M 66/2014 häiriöilmoitusten toimittamiseksi. Käyttäjälle annettavista häiriötiedotteista on annettu Euroopan komission asetus 611/2013 ja Viestintäviraston määräys M 66/2014, joka osaltaan velvoittaa pitkäkestoisista häiriöistä käyttäjille mahdollisuuksien mukaan suoralla asiakasyhteydenotolla. Viestintäpalvelujen tilaajien osalta laskutussuhteen on vakiituneesti katsottu muodostavan henkilötunnuksen käsittelyperusteen. Viestintäpalvelujen tarjoaminen on perusteltua lisätä momenttiin, jotta on selvää, että myös viestintäpalvelujen käyttäjien henkilötunnusta saa käsitellä palveluita tarjottaessa.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Tämä säädös, kuten koko 5 luku, edellyttää kuitenkin, että myös julkisuuslaki uudistetaan tästä näkökulmasta.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Työnantaja käsittelee ammattiliiton jäsenyyttä koskevia henkilötietoja mm. ammattiliiton jäsenmaksun työnantajaperinnässä ja työtaistelutilanteissa. Näitä henkilötietojen käsittelyn tilanteita ja käsittelyn edellytyksiä ei ole todettu työryhmän mietinnössä eikä myöskään ehdotetun tietosuojalain 2 tai 5 luvun yhteydessä kuten ei muutoinkaan ehdotetussa laissa. Ammattiliiton jäsenyystiedon luovuttaminen työnantajalle ammattiliiton jäsenmaksun perintää ja tilittämistä varten voi toteutua kahdessa eri tilanteessa: 1 aloilla, jolla ei ole työehtosopimusta, jolloin käytäntö perustuu ammattiliiton ja työnantajan sopimukseen, tai 2 työehtosopimusaloilla; käytännön yksityiskohtaisista ehdoista sopimisen laajuus ja yksityiskohtaisuus voi vaihdella. Asia koskee samalla tietosuoja-asetuksen 9 artiklaa, erityisesti sen 2. b)- ja d)- kohtia. Ammattiliiton jäsenyystiedon käsittely työnantajan toiminnassa voi tulla kysymykseen myös työtaistelutilanteissa, kun selvitetään, ketkä ovat työtaistelun piirissä. Työryhmän mietinnön perusteella epäselväksi jää, onko ammattiliiton jäsenmaksujen työnantajaperintä ja maksujen tilittäminen mahdollista tietosuoja-asetuksen voimaan tultua työehtosopimuksettomilla aloilla ja niillä työehtosopimusaloilla, joilla tämän käytännön yksityiskohtaisista ehdoista ei ole sovittu, suoraan tietosuoja-asetuksen 2 d)-kohdan nojalla, eli henkilötietojen luovuttaminen yhteisön ulkopuolelle rekisteröidyn nimenomaisella suostumuksella, vai vaatiiko käytännön toteuttaminen asetuksen 2 b)-kohdan nojalla kansallista lainsäädäntöä. Tällöin työnantajalle säädettäisiin oikeus käsitellä ammattijärjestön jäsenyystietoa, ”sallitaan -- jäsenvaltion lainsäädännössä”. Työryhmän mietinnön perusteella epäselväksi jää tietosuoja-asetuksen voimaan tultua ammattiliiton jäsenyystiedon käsittely työtaistelutoimenpiteiden yhteydessä työnantajan toiminnassa. Myös tämä kysymys ja mahdollisesti tarvittavan sääntelyn tarve on arvioitava jatkovalmistelussa. Edellä todetut kysymykset on käsiteltävä tietosuojalain jatkovalmistelussa. Tarvittava sääntely voitaisiin toteuttaa esimerkiksi 2 tai 5 luvun yhteydessä. Tällöin säädettäisiin työnantajan oikeudesta käsitellä ammattijärjestön jäsenyystietoa jäsenmaksun työnantajaperinnän ja työtaistelutoimenpiteiden yhteydessä.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • 30 § - Käsittely työsuhteen yhteydessä. Työelämän tietosuojan säädöspohja muuttuu radikaalisti, kun nykyinen henkilötietolaki korvautuu tietosuoja-asetuksella ja ehdotetulla uudella tietosuojalailla. Toimikunnan mietinnössä ei ole kuitenkaan tarkemmin selvitetty yritysten kannalta tärkeää työelämän tietosuojalainsäädännön ja tietosuoja-asetuksen välistä suhdetta eikä sitä, mitä vaikutuksia ja mahdollisia uudistamistarpeita tämä säädöspohjan muutos aiheuttaa työelämän tietosuojalainsäädäntöön. Nokia katsoo, että jatkovalmistelussa tai erillisessä työryhmässä tulee selvittää kunnolla työelämän tietosuojaan kohdistuvat muutostarpeet.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Henkilötunnuksen käsittelystä on säädetty 29 §:ssä. Henkilötunnuksen käsittely on sallittua vain tietyissä tilanteissa ja henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin ja laadittuihin asiakirjoihin. Henkilötunnusta voidaan käyttää väärin muun muassa identiteettivarkauksiin. Tämän vuoksi henkilötunnuksen luovuttamisen edellytyksistä tulisi säätää yksityiskohtaisemmin.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Itä-Suomen yliopisto pitää tärkeänä, että tieteellisen tutkimuksen käsitettä käytetään yhdenmukaisella tavalla siten kuin sitä on tulkittu perusoikeutena. Nykyinen ehdotus ei poista sitä ongelmaa, joka on perustuslain 16.3 §:n sekä siihen tukeutuvan julkisuuslain 28.1 §:n mukaisen tieteellisen tutkimuksen vapauden ja tietosuoja-asetuksessa omaksutun tieteellisen tutkimuksen käsitteen välillä. Itä-Suomen yliopiston näkemyksen mukaan julkisuuslaissa tarkoitettu tieteellinen tutkimus ei ole sisällöllisesti yhtä laajaa kuin tietosuoja-asetuksessa. Julkisuuslain säännös on merkityksellinen, koska kysymys on salassapidosta poikkeamisesta sekä perusoikeuden toteuttamisesta. Tältä osin sääntelyä ei voida jättää tulkinnanvaraiseksi tietosuoja-asetuksen, tietosuojalain ja julkisuuslain välille. Avoimen tieteen ja tutkimuksen tavoitteena on, että tutkimuksen tulokset ovat käytettävissä avoimesti kuitenkin tutkimuseettisiä periaatteita ja lainsäädäntöä noudattaen. Tieteellisessä tutkimuksessa tietosuoja tulee huomioida aineistoja kerättäessä, käytettäessä ja arkistoitaessa sekä julkaistaessa tutkimustuloksia. Nykyisin useat rahoittajat vaativat entistä laajemmin, että tutkimusaineistoja avataan, jotta tutkimus olisi toistettavissa ja kerättyjä aineistoja voitaisiin käyttää uusissa tutkimushankkeissa. Avoimen tieteen näkökulmasta on tärkeää, että yleisen tietosuoja-asetuksen mahdollistama kansallinen liikkumavara koskien artikloita 85 ja 89 käytetään mahdollisimman laajasti. Itä-Suomen yliopisto toivoo tarkennuksia säädöksiin yleisen edun mukaisiin arkistointitarkoituksiin tapahtuvasta käsittelystä. Nyt säädös on täysin vajaa ja epämääräinen. Koko käsite yleisen edun mukainen arkistointitarkoitus vaatii tarkempaa määrittelyä. Samoin Itä-Suomen yliopisto toivoo tarkennuksia henkilötietoja sisältävien aineistojen pseudonymisointiin ja anonymisointiin. Täydellinen anonymisointi voi olennaisesti vaikuttaa tutkimusaineistoon siten, että se ei enää anonymisoituna ole käytettävissä jatkotutkimukseen. Näin ollen tarvitaan selkeät periaatteet sille, miten käsiteltävien henkilötietojen minimointi, pseudonymisointi ja anonymisointi toteutetaan siten, että tasapaino tieteen vapauden ja avoimuuden sekä yksityisyydensuojan välillä säilyy. Tietosuojavaltuutetun toimisto on julkaissut tieteellisen tutkimuksen rekisteriselosteen mallilomakkeen ja sen täyttöohjeet. Täyttöohjeissa todetaan, että rekisterinpitäjä ei ole tutkija, joka työ- tai palvelussuhteessa tekee tutkimuslaitoksen tai sairaalan tutkimusta, vaan rekisterinpitäjä on silloin tutkimuslaitos tai sairaala. Itsenäisesti toimiva, omaa yksityistä tutkimustaan suorittava tutkija on sen sijaan rekisterinpitäjä. Itä-Suomen yliopisto toivoo nykyistä selkeämpää sääntelyä tieteellisen tutkimuksen henkilörekisterin rekisterinpitäjästä. Usein on tilanteita, joissa jää epäselväksi onko tutkimusrekisterin rekisterinpitäjä tutkija itse vai tutkimuslaitos (yliopisto, korkeakoulu tai sairaala). Itä-Suomen yliopisto korostaa, että julkisuuslaissa säädetyt tiedonsaantioikeudet muodostavat tutkijalle oikeuden saada tietoja eikä tätä tiedonsaantioikeutta ole yliopistolla organisaationa. Tästä syystä yliopisto ei voi lähtökohtaisesti olla tutkimusaineiston rekisterinpitäjä tällaisissa tilanteissa, ellei asiasta ole erikseen säädetty. Kysymys on myös siitä, missä määrin yliopistolla olisi mahdollisuus rekisterinpitäjänä vaikuttaa yksittäisessä tutkimuksessa tapahtuvaan henkilötietojen käsittelyyn ottaen huomioon perustuslaissa turvattu tieteellisen tutkimuksen vapaus, joka on luonnollisen henkilön oikeus. Pitäisi saada nykyistä selkeämpi sääntely siihen, milloin esim. yliopisto voi asemansa perusteella olla tutkimusrekisterin rekisterinpitäjä. Kansallisarkiston erillispäätöksessä on määrätty, että esim. Itä-Suomen yliopiston tulee säilyttää tutkimuksellisesti tai historiallisesti merkittävien tutkimushankkeiden asiakirjat, dokumentointilomakkeet ja tutkimusaineistot pysyvästi.
      • Tekes
        Päivitetty:
        8.9.2017
        • Yleisen edun mukaiseen (§33) arkistointiin liittyvät asetuksen artiklojen 15, 16, 18, 19, 20 ja 21 oikeuksista poikkeaminen on tärkeä ottaa mukaan tietosuojalakiin. Varsinkin silloin, kun kyseessä ei ole varsinainen henkilörekisteri ja henkilötieto on paperiarkistossa. Arkistointi tapahtuu usein asiankäsittelyjärjestelmissä ennen siirtoa pitkäaikaiseen arkistointiin (SAPA). Näissä järjestelmissä lokitiedot ovat yleensä saatavilla, mutta on vaikea osoittaa mitä tietoa asiakirjasta on katsottu. Myös henkilön identifiointi voi tuottaa haasteita (monta Matti Virtasta).
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei yleistä lausuttavaa tietojenkäsittelyn erityistilanteita koskevasta 5 luvusta.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Lisäksi olisi hyvä kiinnittää huomiota julkisuuslain ja henkilötietojen suojaa koskevan lainsäädännön yhteensovittamisen ongelmaan. Julkisuuslain 16 §:n 3 momenttia sovelletaan luovutettaessa tietoja viranomaisen henkilörekisteristä. Tietosuoja-asetuksen henkilörekisterin määritelmä poikkeaa sanamuodoltaan henkilötietolaissa säädetystä henkilörekisterin määritelmästä. On epäselvää, miten tämä vaikuttaa käytännössä tiedon antamiseen viranomaisten asiakirjoista julkisuuslain 16 §:ssä mainituilla tiedon antamistavoilla. Julkisuusperiaatteen kannalta olisi tärkeää, ettei tietosuoja-asetuksen voimaantulo ainakaan laajenna julkisuuslain 16 §:n 3 momentin ensimmäisessä virkkeessä säädetyn rajoituksen soveltamisalaa käytännössä. Tuomioistuinten arkistoissa olevia taltioita ei nykyisen tulkinnan mukaan ole katsottu henkilörekisteriin kuuluviksi asiakirjoiksi (KKO: 2004:15). Tietosuoja-asetuksen johdanto-osan kohta 26 näyttäisi tukevan käsitystä, jonka mukaan arkistoidut taltioasiakirjat yhdessä diaaritietojen kanssa muodostavat henkilörekisterin. Julkisuuslain 16 §:n 3 momentin tulkinnan sitomisessa tällaiseen rekisterikäsitykseen on se ongelma, että tuomioistuinten ja viranomaisten päätöksistä ei voitaisi antaa henkilötietoja sisältäviä kopioita tiedustelematta tiedon pyytäjältä tietojen käyttötarkoitusta siten kun julkisuuslain 13 §:n 2 momentissa säädetään. Kuitenkin julkisuuslain lähtökohtana on, että julkisista viranomaisen asiakirjoista tietoa pyytävän ei tarvitse perutella pyyntöään. Nyt näyttäisi siltä, että tuo lähtökohta on muodostumassa poikkeukseksi ja yleisön tiedon saantioikeudet jonkinasteisesti kaventuisivat.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Taidemuseoiden toiminnan kannalta on myös olennaista käyttää asetuksen suoma liikkumavara erityisryhmien henkilötietojen käsittelemiseen. Museoissa, siinä luvussa myös taidemuseoissa on paljon dokumentaatiota, jossa esiintyy saamelaisia, maahanmuuttajia, vammaisia, sukupuoli- ja seksuaalisia vähemmistöjä. Taiteen historia on myös heidän historiaansa. Kansallisgalleria katsoo tarpeelliseksi, että tietosuojalainsäädännössä turvataan arkistoaineiston kuvailu- ja viitetietojen julkaiseminen verkossa. Esitämme samoin, kuten muun muassa Suomalaisen Kirjallisuuden seura ry ja Svenska litteratussällskapet i Finland rf, että kirjastolla, arkistolla ja museolla, jonka lakisääteisenä tai sääntömääräisenä tehtävänä on kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen, on oikeus antaa tai asettaa saataville yleisen tietoverkon välityksellä aineistojen saatavuuden kannalta välttämättömät tiedot sen hallussa olevista aineistoista. Tietosuoja-asetuksen 9 artiklan mukainen tieto saadaan asettaa saataville, jos se on oikeasuhteinen tavoitteeseen nähden ja siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan.
      • CSC - Tieteen tietotekniikan keskus Oy, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • Onko tarpeen erikseen kirjata käsittelyperuste esimerkiksi seuraavalla tavalla muotoiltuna: 25 a § Käsittelyperusteet rekisteritutkimusta, tilastollista käyttöä sekä arkistointitarkoituksia varten Henkilötietojen käsittelylle on tietosuoja-asetuksen 6 artiklan e -kohdan mukainen käsittelyperuste, kun 1) käsittely tapahtuu tieteellisessä tutkimustarkoituksessa tai tilastollista tarkoituksia tai arkistointitarkoitusta varten, 2) tutkimusta, tilastointia tai arkistointia ei voi suorittaa ilman henkilötietojen käsittelyä ja 3) rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi voida edellyttää hankittavan. 1 momentin mukaista käsittelyperustetta sovelletaan tutkimukseen, jonka: 1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan; 2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja 3) henkilötietoja käytetään ja luovutetaan vain tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten Arkistoista, jotka ovat oikeutettuja 25 a §:n mukaiseen käsittelyyn, säädetään tarkemmin erikseen.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 28 §. Julkisuusperiaate Tietosuoja-asetuksen 86 artikla mahdollistaa virallisten asiakirjojen julkisuuden ja henkilötietojen suojan yhteensovittamisen. Näkemykseni mukaan oikeusministeriön on, joko tämän lain jatkovalmistelussa tai muussa yhteydessä arvioitava, onko julkisuusperiaatteen ja henkilötietojen suojan yhteensovittamista koskeva julkisuuslain sääntely toteutettu tietosuoja-asetuksen ja perusoikeussääntelyn edellyttämällä tavalla. Johtuen 86 artiklan sanamuodosta jatkotyössä tulisi myös selvittää, mikä on valvontaviranomaisen tosiasiallinen rooli henkilötietojen suojaa ja julkisuusperiaatteetta yhteen sovittamista koskevan sääntelyn valvonnassa. Jatkotyössä olisi otettava huomioon kokonaisuudessaan rekisteröidyn oikeussuoja, eri osapuolten intressit ja vaikutukset valvontaviranomaisen toimintaan. 33 §. Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet Arkistolaki viittaa viranomaistoimintaan. Epäselväksi jää, miten muu yksityinen arkistointitoimi (esim. ELKA Elinkeinoelämän keskusarkisto) on tarkoitus järjestää? Epäselväksi jää myös se, miten tutkimuksellisesti arvokkaat yksittäisten tutkijoiden tutkimusaineistot saadaan arkistoitua? (Vrt. henkilötietolain 35 §). Arkistointitoimen osalta on suoritettava huomattavasti yksityiskohtaisempi ja kokonaisvaltaisempi arviointi tietosuoja-asetusta vasten, muun muassa arkistoinnin yleisten edellytysten osalta (mm. käsittelyn oikeusperuste, määräystoimivalta ja rekisteröidyn oikeudet). Tietosuoja-asetus muuttaa nykytilaa olennaisesti tuoden yleistä etua varten tapahtuvan arkistoinnin kokonaisuudessaan tietosuoja-asetuksen soveltamisalaan. Kun nykyistä arkistointia koskevaa lainsäädäntöä peilataan tietosuoja-asetusta ja siinä olevaa kansallista liikkumavaraa vasten, on varmistettava tietosuojasääntelyn tavoitteiden riittävä toteutuminen, samalla ymmärtäen kansallisen kulttuuriperinnön arvo sekä arkistoidun aineiston jatkokäyttötarpeet.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Käsittelyä työsuhteen yhteydessä koskevat myös muut säädökset kuin laki yksityisyyden suojasta työelämässä. Työ- ja elinkeinoministeriö asettaa työryhmän selvittämään yleisen tietosuoja-asetuksen ja työelämän tietosuojasääntelyn välistä suhdetta.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML kannattaa ehdotetun muotoista sääntelyä henkilötunnuksen käsittelystä
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • Ei huomauttamista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Myös rekisterinpitäjän omassa toiminnassaan tehtävää tietojenkäsittelyä tulisi selkiyttää niiltä osin kuin kyse on tietyn rekisterinpitäjän eri rekistereissä olevien henkilötietojen yhdistelystä ja nykyaikaisista tiedon analyysimahdollisuuksien hyödyntämisestä toiminnan, tuotannon ja talouden ohjauksessa integroituvassa palvelujärjestelmässä sekä laaja-alaisessa hyvinvoinnin edistämisessä. Esimerkiksi henkilön vastustamisoikeus suhteessa käsittelyyn sisäisissä suunnittelutehtävissä tulisi avata mietinnössä.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Lakiluonnoksen kohdat (31-33) jotka koskevat henkilötietojen käsittelyä tieteellisiä tai historiallisia tutkimustarkoituksia varten ovat oikean suuntaisia mutta edellyttävät vielä jatkotyöstämistä. Jatkotyössä tulisi ottaa tarkkaan huomioon yliopistojen ja kulttuuriperintöorganisaatioiden näkemykset.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Työryhmän mietintö sisältää informatiivisen viittauksen lakiin yksityisyyden suojasta työelämässä (30 §). EK pitää viittausta selkeyden vuoksi perusteltuna ja toteaa, että työ- ja elinkeinoministeriö on asettamassa kolmikantaisen työryhmän selvittämään yritysten kannalta tärkeän työelämän tietosuojalainsäädännön ja tietosuoja-asetuksen välistä suhdetta. EK pitää perusteltuna, että henkilötunnuksen käsittelyä koskeva sääntely pysytetään tietosuoja-asetuksen tullessa voimaan ennallaan (29 §).
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy kannattaa ehdotetun muotoista sääntelyä henkilötunnuksen käsittelystä.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksessa käytetään käsitettä yleisen edun mukainen arkistointitarkoitus. Esimerkiksi 89 artiklan 3 kohdan mukaan tätä tarkoitusta varten voidaan säätää poikkeuksia rekisteröidyn oikeuksiin. Käsitettä ei kuitenkaan ole avattu tarkemmin eikä Suomessa viranomaisen asiakirjahallintaa ja arkistointia säätelevät säädökset, kuten Arkistolaki 831/1994 ja Laki viranomaisen toiminnan julkisuudesta 621/1999, sellaisenaan tunne kyseistä käsitettä. Työryhmä toteaakin mietinnössään, että viranomaisia koskeva arkistolainsäädäntö on ollut pitkään muutostarpeiden kohteena ja että viranomaisia koskevaa arkistolainsäädäntöä on tarkoitus yhteen sovittaa osaksi valmisteilla olevaa uutta tiedonhallintalaki. Oikeusrekisterikeskus yhtyy työryhmän näkemykseen ja pitää tarkoituksenmukaisena, että viranomaisia koskeva arkistolainsäädäntö yhteen sovitetaan henkilötietojen käsittelyä koskevan lainsäädännön ja yleisen tietosuoja-asetuksen vaatimusten kanssa niin, että ne ovat käsitteellisesti yhdenmukaisia eivätkä tulevaisuudessa aiheuta tarpeettomia tulkintaristiriitoja henkilötietojen käsittelyssä ja asiakirjatietojen arkistoinnissa.
      • Tulli.fi
        Päivitetty:
        8.9.2017
        • Pankkitiedustelujen sähköistämisprojektin yhteydessä on noussut esille kysymys rekisteröidyn tarkastusoikeuden käyttämisestä (oikeudesta saada pääsy tietoihin). Tullin näkemyksen mukaan henkilötietojen käsittelyä koskevaan kansalliseen yleislakiin eli tietosuojalakiin on tarpeen laatia sitä rajoittava säännös. Henkilötietojen käsittelystä Tullissa annetussa laissa (639/2015) on säädetty poikkeuksista rekisteröidyn tarkastusoikeuteen. Lain 29 § 1 momentin 5 kohdan mukaan tarkastusoikeutta ei ole tietoihin, jotka on saatu rikostorjunnasta Tullissa annetun lain 2 luvun 14 §:n 1 tai 2 momentin perusteella. Tällä perusteella saatavia tietoja ovat esimerkiksi pankkitiedustelut. Tullilta ei ole pyydetty lausuntoa mietinnöstä, mutta Tulli pyytää TATTI-työryhmää harkitsemaan tietojen saantia koskevan säännöksen sisällyttämistä yleislakiin. Jos pankki luovuttaa tiedot mahdollisesta pankkitiedustelusta rekisteröidylle, se voi haitata olennaisesti rikostiedusteluvaiheen tiedonhankintaa. Tullin näkemyksen mukaan pankkeja koskevasta säännöksestä ei voida säätää lainvalvontaviranomaisia koskevassa säädöksessä tietosuojadirektiivin pohjalta, vaan yleislaissa eli tietosuojalaissa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP kannattaa esitettyä 29 §:n mukaista henkilötunnuksen käsittelyä ja pitää tarkoituksenmukaisena sitä, että henkilötunnuksen käsittelyä koskeva pykälä on saman sisältöinen kuin se on voimassa olevassa henkilötietolaissa. Kannatamme myös työryhmän esitystä siitä, että 30 §:n mukaan käsittelystä työsuhteen yhteydessä tapahtuvasta henkilötietojen käsittelystä noudatetaan sitä, mitä voimassa olevassa laissa yksityisyyden suojassa työelämässä säädetään.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Tieteen vapaus, avoimuus ja julkisuus Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat ristiinkytkettyjä ja tutkijoiden itsensäkin rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Yliopistokirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. Yliopistokirjastot toiminnallaan ja palveluillaan tukevat tieteen vapautta, avoimuutta ja julkisuutta, mitä ei tule rajoittaa estämällä tai rajoittamalla tekijätietojen käyttämistä esimerkiksi avoimissa julkaisutietojärjestelmissä sekä avoimen tutkimusdatan ja opinnäytteiden pitkäaikaissäilytyspalveluissa. Lainsäädännössä on ratkaistava, miten julkaisujen, opinnäytteiden jne. tekijätietojen julkisuus, yliopistokirjastojen toiminta ja tietosuoja-asetuksen mukainen henkilötietojen suoja pystytään sovittamaan yhteen. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Yliopistokirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. SYN katsoo, että yliopistokirjastojen toiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun akateemiseen tutkimukseen ja opetukseen.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Esitämme että pykälä 33 tarkennetaan seuraavaan muotoon: Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten, voidaan tietosuoja-asetuksen 15–21 artiklassa tarkoituksista oikeuksista tarvittaessa poiketa sillä edellytyksellä, että 1) kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan oikeushenkilön lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointitoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Esitämme että esitykseen lisätään seuraava pykälä: Tietojen julkaiseminen verkossa Kirjastolla, arkistolla ja museolla, jonka lakisääteisenä tai sääntömääräisenä tehtävänä on kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen, on oikeus antaa tai asettaa saataville yleisen tietoverkon välityksellä aineistojen saatavuuden kannalta välttämättömät tiedot sen hallussa olevista aineistoista. Tietosuoja-asetuksen 9 artiklan mukainen tieto saadaan asettaa saataville jos se on oikeasuhteinen tavoitteeseen nähden ja siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan. Kun 1 momentissa tarkoitettu kirjasto, arkisto tai museo ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi voida edellyttää hankkivan rekisteröidyn suostumusta, on rekisterinpitäjällä oikeus antaa tai asettaa saataville yleisen tietoverkon välityksellä kulttuuriperintöaineistoa siltä osin, kun tämä julkaiseminen on tarpeen yleisen edun mukaisen arkistointitarkoituksen toteuttamiseksi, eikä se loukkaa rekisteröityjen etua suhteettomasti. Tietosuoja-asetuksen 9 artiklan mukainen tieto saadaan asettaa saataville jos se on oikeasuhteinen tavoitteeseen nähden ja siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Tietosuojalain sääntely, joka koskee yleisen edun mukaista arkistointia on keskeneräinen. Arkistointi/arkistointitarkoitus tulee ehdottomasti lisätä 32 §:ään tai vaihtoehtoisesti on säädettävä erillinen pykälä, jolla sallitaan erityisiä henkilöryhmiä ja rikostietoja koskeva käsittely arkistotarkoituksiin. Lisäksi on tärkeää, että arkistointiin liittyvä poikkeussäännös tulee mukaan lakiin. Sen tulee turvata Kansallisarkiston päätösvalta päättää julkishallinnon organisaatioiden pysyvästi arkistoitavista asiakirjatiedoista. Toisekseen lakiesityksen soveltamisala on laajempi kuin pelkkä julkinen hallinto, joten muu kuin julkishallinnon arkistointi tulisi ottaa kansallisessa säätelyssä huomioon. Tietosuojalakiin sisältyvä sääntely koskien yleisen edun mukaisia arkistointitarkoituksia on keskeneräinen. Perusteluna on käytetty sitä, että viranomaisia koskeva arkistolainsäädäntö uudistetaan osana tiedonhallintalakia. Tässä yhteydessä työryhmä ei ole huomannut, että yleisen edun mukainen arkistointi ei koske pelkästään viranomaisia, vaan myös muita tahoja kuten esimerkiksi rekisteröidyn yhdistyksen tai säätiön ylläpitämiä valtionapua saavia yksityisluontoisia arkistoja. Arkistolakia ei sovelleta yksityisluontoisiin arkistoihin. Tiedonhallintalakityöryhmässä on tosin esitetty, että tiedonhallintalain organisatorinen soveltamisala koskisi julkisoikeudellisia laitoksia siten kuin ne on PSI-direktiivissä määritelty. Tämä tarkoittaisi sitä, että osa yksityisluontoisista arkistoista tulisi tiedonhallintalain piiriin, mutta osa jäisi sen ulkopuolelle. Lisäksi tiedonhallintalaki on vielä varsin kesken ( väliraporttiluonnos 6.9.2017). Yleisen edun mukaisia arkistointitarkoituksia toteuttavien tahojen kannalta olisi selvintä, jos tietosuoja-asetusta täydennettäisiin sen johdanto-osan mukaisella kansallisella liikkumavaralla siten, että saataisiin selkeä oikeusperusta sekä julkisille että yksityisille organisaatioille, jotka toteuttavat yleisen edun mukaista arkistointia. Tietosuoja-asetuksen johdanto-osan (158) mukaan viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, olisi unionin oikeuden ja jäsenvaltioiden lainsäädännön nojalla oltava palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita, joilla on pysyvää yleistä etua koskevaa merkitystä, sekä myöntämällä pääsy niihin.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • Henkilötunnuksen käsittely finanssitoimialalla tapahtuu asiakkaiden yksilöimiseksi ja heidän oikeusturvansa toteuttamiseksi. Henkilötunnuksen käsittely on ehdotetun tietosuojalain 29 §:n mukaan nykylainsäädäntöä vastaavassa muodossa, mikä on finanssialan näkökulmasta kannatettavaa. Pykälän yksityiskohtainen perustelu (s. 167, ensimmäinen kappale, kaksi viimeistä virkettä) vaikuttaisi kuitenkin olevan ristiriidassa pykälätekstin kanssa, jonka mukaan käsittelyperusteita ovat 1) suostumus, 2) laissa säädetyn tehtävän suorittaminen, 3) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttaminen tai 4) historiallinen tai tieteellinen tutkimus tai tilastointi. Perustelutekstissä näistä on mainittu ainoastaan kaksi ensimmäistä. Perustelutekstiä voisi selventää esimerkiksi poistamalla kyseisen kappaleen kaksi viimeistä virkettä.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ehdotuksessa on huomioitu Journalistiliiton aiemmat kommentit (Lausunto tietosuojaasetuksen 85 artiklan perusteella säädettävistä poikkeuksista, 9.2.2017) liittyen artikloihin 25 (Sisäänrakennettu ja oletusarvoinen tietosuoja: Sisäänrakennetun tietosuojan periaate edellyttää, että tietosuojaperiaatteet otetaan osaksi henkilötietojen käsittelyä niiden kaikissa vaiheissa. Oletusarvoisen tietosuojan periaate merkitsee, että rekisterinpitäjän tulee käsitellä vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.) ja 39 (Tietosuojavastaavan tehtävät: Tietosuojavastaavan tehtävänä on toimia valvontaviranomaisen sekä rekisteröityjen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. Tietosuojavastaava ei kuitenkaan ole vastuussa henkilötietojen käsittelyn lainmukaisuudesta vaan vastuu kuuluu edelleen organisaation johdolle.), ja niistä esitetään säädettäväksi kansallisia poikkeuksia. Koska artikloja kuitenkin sovelletaan soveltuvin osin, on tärkeää, että journalistisen työn erityispiirteet huomioidaan riittävän hyvin. Ehdotuksen teksti on tältä osin pääosin tyydyttävä, mutta toisin kuin ehdotuksessa esitetään, myös 30, 37 ja 38 artikloista on tehtävä kansalliset poikkeukset: 30 artikla (Seloste käsittelytoiminnasta: Tietosuoja-asetuksen mukaan rekisterinpitäjien ja henkilötietojen käsittelijöiden on pääsääntöisesti ylläpidettävä selostetta sen vastuulla olevista käsittelytoimista, jotta voidaan osoittaa, että ne ovat asetuksen mukaisia. Selosteen on oltava kirjallisessa muodossa ja se on pyydettäessä toimitettava viranomaiselle.) on ongelmallinen journalistisen alan erityispiirteiden takia. Perinteiset tiedotusvälineet eivät yksinomaan tuota journalistista aineistoa. Journalistista työtä voidaan tehdä esimerkiksi blogin tai videopalvelun välityksellä. Aineiston tuottajana voi toimia itsensä työllistäjä tai verokortilla toimiva yksityisyrittäjä, jolla ei välttämättä ole rekisteröityä yritystä, toimipistettä tai verkkosivuja. Journalistiliiton jäsenenä on noin 1700 freelance-journalistia (toimittajia, valokuvaajia, graafikkoja), jotka luovat säännönmukaisesti pienimuotoisia henkilörekistereitä toimituksellisessa työssä, esimerkiksi haastateltavista. Henkilötietolain toimituksellista tarkoitusta koskevaa poikkeusta sovelletaan nykyisin freelance-journalisteihin. Tällä hetkellä heillä ei ole velvollisuutta laatia henkilötietolain 10 § tarkoitettua rekisteriselostetta toimitukselliseen aineistoon. Perinteisellä tiedotusvälineellä saattaa olla asiakasrekistereitä, mutta freelance-journalisteilta ei voi kohtuudella edellyttää rekisteriselosteen laatimista. Rekisteriselosteen laatimisen laiminlyönti on kriminalisoitu henkilötietolaissa. Kysymyksessä olisi freelance-journalisteille hallinnollinen taakka eikä varmuutta ole siitä, missä rekisteriseloste olisi esimerkiksi pidettävä nähtävillä ja miten siitä olisi annettava tieto. Journalistiliitto ehdottaa, että nykytilan säilyttämiseksi artikla 30 tehdään kansallinen poikkeus, joka ottaisi huomioon palkansaaja-asemaan rinnastuvat freelance-journalistit. 37 (Tietosuojavastaavan nimittäminen: Rekisterinpitäjien ja henkilötietojen käsittelijöiden on varmistuttava siitä, onko organisaation nimettävä tietosuojavastaava) ja 38 (Tietosuojavastaavan asema: Tietosuojavastaavan on oltava riippumaton eikä hän saa ottaa vastaan ohjeita tehtäviensä hoitamisen yhteydessä. Tietosuojavastaava on otettava mukaan henkilötietojen suojaa koskevien kysymysten käsittelyyn.) artiklat eivät ehdotuksen mukaan kuulu kansallisen poikkeuksen piiriin. Journalistiliiton kannan mukaan tietosuojavastaavan nimeämisvelvollisuudesta tulisi säätää kansallinen poikkeus. Asetuksen mukaan tietosuojavastaava on nimitettävä, jos henkilötietojen käsittelijän ydintehtävät muodostuvat käsittelytoimista, jotka luonteensa ja/tai tarkoituksensa vuoksi edellyttävät laajamittaista rekisteröityjen säännöllistä tai järjestelmällistä seurantaa. Asetuksen perusteella on mahdotonta arvioida, kuuluvatko tietyt julkisuuden henkilöitä seuraavat tiedotusvälineet tai freelance-journalistit tietosuojavastaavan nimeämisvelvollisuuden piiriin. Asetuksen 38–39 artikloissa tietosuojavastaavalle on turvattu erityisoikeuksia muun muassa: hänelle on turvattava riittävät resurssit ja yksinomainen päätäntävalta tietosuojaan liittyvistä asioista. Monet tiedotusvälineet seuraavat rikostuomioita ja monessa toimituksessa on käytössä esimerkiksi sähköinen tietokanta vallankäyttäjien rikoshistoriatiedoista. Lisäksi tuomioistuimien ja paikallispoliisien asialistoja pyydetään säännönmukaisesti eri tiedotusvälineistä. Lukuisalla tiedotusvälineellä olisi tietosuojavastaavan nimeämisvelvoite asetuksen perusteella. Tämä on ongelmallinen sananvapauden ja lähdesuojan kannalta. Lähtökohtaisesti säännöllisesti julkaistavaan verkkomediaan sovelletaan lakia sananvapauden käyttämisestä joukkoviestinnässä (”sananvapauslaki”). Lain mukaan julkaisulla tulee olla vastaava toimittaja, jolla on vastuu verkkojulkaisun sisällöstä. Sananvapauslaki on tekniikkaneutraali, joten lakia voidaan soveltaa blogeihin ja muihin säännöllisesti julkaistaviin julkaisuihin pois lukien yksityishenkilön verkkosivut. Vastaava toimittaja johtaa toimituksellista työtä ja määrittää lehden linjan. Lisäksi vastaava toimittaja valvoo yleensä lähdesuojan noudattamista. Olisi ongelmallista, jos tietosuojavastaava voisi päättää esimerkiksi journalistisen työn lähdemateriaalin käyttämisestä tai tuhoamisesta sekä ohjeistuksen laatimisesta. Tietosuojavastaavan tulisi valvoa sitä, ettei lähdesuojan alaista materiaalia toimitettaisi tietosuojaviranomaisille tai muille tahoille. Koska sananvapauslaissa on säädetty päätoimittajan vastuusta, on ongelmallista, jos joku kolmas osapuoli voisi puuttua toimituksellisen lähdemateriaalin käyttämiseen tai perinteisesti päätoimittajan vastuulle kuuluvista asioista. Tämä voisi johtaa konflikteihin suurissa mediataloissa hallinnollisen ja journalistisen työn välillä ja rajoittaa sananvapautta. Lopuksi Journalistiliitto painottaa, että journalistinen työ tulee määritellä laajasti kansallisessa lainsäädännössä, jotta säädettävillä poikkeuksilla saavutetaan 85 artiklan tarkoitus eli oikeus sananvapauteen ja tiedonvälityksen vapauteen.
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • Esitämme että pykälä 33 tarkennetaan seuraavaan muotoon: Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten, voidaan tietosuoja-asetuksen 15–21 artiklassa tarkoituksista oikeuksista tarvittaessa poiketa sillä edellytyksellä, että 1) kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan oikeushenkilön lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointitoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Esitämme että esitykseen lisätään seuraava pykälä: Tietojen julkaiseminen verkossa Kirjastolla, arkistolla ja museolla, jonka lakisääteisenä tai sääntömääräisenä tehtävänä on kulttuuriperintöaineistojen tallentaminen ja saataville saattaminen, on oikeus antaa tai asettaa saataville yleisen tietoverkon välityksellä aineistojen saatavuuden kannalta välttämättömät tiedot sen hallussa olevista aineistoista. Tietosuoja-asetuksen 9 artiklan mukainen tieto saadaan asettaa saataville jos se on oikeasuhteinen tavoitteeseen nähden ja siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan. Kun 1 momentissa tarkoitettu kirjasto, arkisto tai museo ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi voida edellyttää hankkivan rekisteröidyn suostumusta, on rekisterinpitäjällä oikeus antaa tai asettaa saataville yleisen tietoverkon välityksellä kulttuuriperintöaineistoa siltä osin, kun tämä julkaiseminen on tarpeen yleisen edun mukaisen arkistointitarkoituksen toteuttamiseksi, eikä se loukkaa rekisteröityjen etua suhteettomasti. Tietosuoja-asetuksen 9 artiklan mukainen tieto saadaan asettaa saataville jos se on oikeasuhteinen tavoitteeseen nähden ja siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan. Esitämme, että esityksen 31§:n tekstistä, jossa on tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa käsittelyä koskevat poikkeukset ja suojatoimet tulisi poistaa kohdan 4 viimeinen osa ”sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.” Esitämme että esitykseen lisätään seuraava pykälä: Tutkimusaineistojen arkistointi ja jatkokäyttö Henkilötietoja sisältävien tutkimusaineistojen arkistoinnille ja jatkokäytölle on 6 artiklan e kohdan mukainen käsittelyperuste, kun sen lisäksi, mitä 31 §:ssä säädetään 1) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten 2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä 3) henkilötietojen jatkokäyttö perustuu asianmukaiseen tutkimussuunnitelmaan ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Lähtökohtana on oltava se, että tieteellinen tutkimus henkilötietojen ja arkaluonteisten tietojen käsittelyperusteena turvataan. EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa tulee mahdollistaa tutkijoiden sekä tutkimuksen tietojen siirtäminen automaattisesti rekisteristä ja varannoista toiseen, sekä tietojen rikastaminen tai kytkeminen muihin tietoihin. Tieteen uusiutumisen kannalta peruslähtökohta on, että tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä mahdollistaa tieteen avoimuuden ja julkisuuden toteutumisen. Tutkijat meritoituvat ja saavat mainetta, kun toiset tutkijat viittaavat heihin ja hyödyntävät heidän tutkimustuloksiaan. Tutkijoiden urakehitys sekä menestyksekäs tutkimusrahoituksen saanti riippuu keskeisesti heidän meriiteistään (Tutkimushallinnon verkoston koordinaatioryhmän (TUHA) lausunto EU:n tietosuoja-asetuksen kansallisesta soveltamisesta).  Pitkäaikaissäilytyksen kannalta on tärkeää, että datan säilyttäjillä ja säilytyspalveluita tuottavilla on oikeus pitää aineisto saatavilla, mikä edellyttää tarvetta muokata ylläpitosyistä aineistoa teknisesti. Tekninen muokkaaminen ei kuitenkaan koske aineiston sisältöä. Tämä on tärkeää, koska uuden tekniikan myötä aineistoa joudutaan siirtämään täysin uuteen formaattiin. Tieteellistä tutkimustarkoitusta varten tietosuoja-asetusta tulee tulkita laajasti, kuten hallituksen esityksessä mainitaankin. On syytä tarkentaa, mitä EU:n yleisen tietosuoja-asetuksen resitaaliin 33 kirjatut  tutkimusalueet ("areas of research" ) tarkoittavat, jotta varmistetaan, että tietoja voidaan käsitellä tutkimustarkoituksissa siinä laajuudessa, kuin niiden luovuttaja on toivonut ja pyrkinyt luvallaan mahdollistamaan. Tämän tutkimusalueiden määrittelyn tulisi olla yhtenäinen Euroopan tasolla, sillä tutkimus on lähtökohtaisesti monikansallista. Suostumusprosessin tulee olla läpinäkyvä ja huomioida se, ettei tieteellisen tutkimuksen lopputulemaa voida määritellä ennakkoon. Suostumuksen muuttamiseen tai laajentamiseen jälkikäteen suostumuksen antajan luvalla pitäisi olla yksinkertainen ja selkeä prosessi, jonka avulla tutkimusaineistojen hyödyntäminen uuteen tutkimusaiheeseen on mahdollista. Tähän liittyen on huomioitavaa myös sosiaali- ja terveystiedon toissijaisen käytön lakimuutos, jonka myötä sosiaali- ja terveydenhuollon asiakastietoja sekä muita terveyteen ja hyvinvointiin liittyviä henkilötietoja voitaisiin käyttää aiempaa laajemmin muussakin kuin siinä ensisijaisessa käyttötarkoituksessa, jonka vuoksi ne on alun perin tallennettu. CSC ehdottaa, että EU:n yleistä tietosuoja-asetusta täydentävään kansalliseen tietosuojalakiin sisällytettäisiin viittaus ns. toisiolakiin (Hallituksen esitys laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi).   
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Suojatoimia arvioidessa tulee huomioida, että korkeakoulut jo nyt noudattavat Tutkimuseettisen neuvottelukunnan ohjeistusta. Harkittava on, voitaisiinko korkeakouluille ja ministeriöiden alaisille valtion tutkimuslaitoksille asettaa laintasoinen velvoite noudattaa Tutkimuseettisen Neuvottelukunnan ohjeistusta.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus kiinnittää huomiota siihen, että henkilötunnuksen käsittelyä koskeva 29 § ei kaikilta osin vastaa henkilötietolain 13 §:ä, vaikka pykälän yksityiskohtaisissa perusteluissa on todettu pyrkimys säilyttää nykyinen sääntely. Nykyisen henkilötietolain mukaan henkilötunnusta saa ilman erityisedellytyksiä käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Ehdotuksen mukaan, henkilötunnusta saisi käsitellä edelleen ilman erityisedellytyksiä yksiselitteisen suostumuksen nojalla. Käsittely olisi sallittua myös asetuksen 6 artiklan c alakohdan nojalla, mutta lisäedellytyksenä tällöin on, että tehtävästä on säädetty laissa. Väestörekisterikeskuksen tulkinnan mukaan uusi muotoilu rajoittaa soveltamisalaa nykyisestä. Lisäedellytys lakisääteisestä tehtävästä ei ole merkityksellinen, ellei se tosiasiassa rajoita käsittelyn mahdollisuutta siitä, mikä 6 artiklan c alakohdasta johtuu. Toisaalta yksityiskohtaisissa perusteluissa ei ole esitetty, minkä takia tällainen rajoitus on tarpeellinen. Väestörekisterikeskus ei omassa toiminnassaan ole havainnut, että nykyisen henkilötietolain 13 §:n laajempi soveltamisala olisi johtanut väärinkäytöksiin tai ongelmiin. Väestörekisterikeskus pitää mahdollisena, että muutos aiheuttaa hämmennystä, kun tahot, jotka henkilötietolain nojalla ovat voineet käsitellä henkilötunnusta lakisääteisesti, arvioivat uudelleen käsittelyperustettaan.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Tietosuojalain 28 §:ssä säädettäisiin julkisuusperiaatteesta. Lakiehdotuksen perustelujen mukaan henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä säädettäisiin vastaisuudessakin laissa viranomaisten asiakirjojen julkisuudesta. Lakiin viranomaisten asiakirjojen julkisuudesta ei ehdotettaisi muutoksia.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää tarkoituksenmukaisena ja selkeyttävänä ehdotetun 29 §:n 4 momentin säännöstä siitä, ettei henkilötunnusta tule tarpeettomasti merkitä henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.
  • Lausunnonantajia: 25
    Laki rikoslain 38 luvun 9 §:n ja 10 §:n 3 momentin muuttamisesta
      • Yleiset kommentit tietosuojarikosta koskevasta 9 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • MMM pitää tärkeänä, että tietojen julkisuuteen ja salassapitoon sekä toisaalta henkilötietojen suojaan liittyviä rangaistussäännöksiä ja muita seuraamuksia tarkastellaan yhtenä kokonaisuutena. Tulisi miettiä, mitkä kriminalisoinnit ovat välttämättömiä henkilötietojen suojan turvaamiseksi ja toisaalta sitä, mitkä tavoitteet ovat saavutettavissa ilman kriminalisointia.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ehdotettu tietosuojarikosta koskeva 9 § on muotoiltu melko sekavasti. Säännös koskee esimerkiksi tilannetta, jossa henkilö rikkoo yleistä tietosuoja-asetusta toimimatta asetuksessa tarkoitettuna rekisterinpitäjänä tai henkilötietojen käsittelijänä. Lisäksi säännöksessä kriminalisoidaan toimintaa viittaamalla hyvin yleisesti useiden eri säädösten useita eri asioita koskeviin säännöksiin. Finlexissä julkaistun Lainkirjoittajan oppaan kohdassa 4.1.15 todetaan, että "kunkin rikoksen tunnusmerkistö on ilmaistava laissa riittävällä täsmällisyydellä siten, että säännöksen sanamuodon perusteella on ennakoitavissa, onko jokin toiminta tai laiminlyönti rangaistavaa". Lisäksi oppaan kohdassa 4.2.3 todetaan ongelmallisiksi "avoimet blankorangaistussäännökset, joiden mukaan rangaistavien tekojen tunnusmerkistöt määräytyvät osittain lain nojalla annettavien alemmanasteisten säännösten ja määräysten taikka Euroopan unionin oikeuden perusteella". Ehdotettu tietosuojarikosta koskeva 9 § olisi juuri tällainen ongelmallinen "blankorangaistussäännös", joka ei myöskään olisi riittävän täsmällinen siten kuin rikoksen tunnusmerkistöltä edellytetään. Rikoslakirikosten tunnusmerkistöjen tulisi olla tavallisen kansalaisen ymmärrettävissä. Nyt ehdotetussa muodossaan lainkohta on sellainen, ettei sitä voi ymmärtää perehtymättä lain esitöihin ja niihin tietosuojasäädöksiin, joihin lainkohdassa viitataan. Tietosuojarikosta koskeva 9 § tulisi lain jatkovalmistelussa muotoilla kokonaan uudestaan sellaiseksi, että siinä konkreettisesti yksilöidään ne teot, jotka tekemällä tai laiminlyömällä voi syyllistyä kyseiseen rikokseen.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Rikoslakiin ehdotetaan uutta tietosuojarikosta koskevaa säännöstä. Säännös on jo lähtökohdiltaan epäselvä. Säännös sisältää ehdotuksen siitä, että muissa kuin rekisterinpitäjän tai henkilötietojen käsittelijän ominaisuudessa toimineen henkilön toimiessa henkilötietojen suojaa koskevien säännösten vastaisesti, tuomittaisiin tietosuojarikoksesta. Edellytyksenä olisi tahallisuus tai törkeä huolimattomuus, säännösehdotuksessa mainittujen säädösten vastainen teko, joka loukkaa rekisteröidyn yksityisyyden suojaa taikka aiheuttaa hänelle muuta vahinkoa tai haittaa. Itä-Suomen yliopistossa tehdyn henkilörekisteririkoksia koskevan tutkimuksen (raportoitu Defensor Legis 4/2016) perusteella yksityisyyden suojan loukkauksen arviointi on muodostunut tuomioistuimissa hankalaksi ja siten myös säännöksen tulkinta vaihtelee tuomioistuimissa. Yksityisyyden suoja on jo käsitteenä epäselvä, jolloin sitä ei tulisi laittaa teon tunnusmerkistöön vaikuttavaksi tekijäksi. Käsite on myös ennakoitavuuden kannalta ongelmallinen. Rikosoikeudellisten säännösten on oltava selkeitä. Itä-Suomen yliopisto kiinnittää huomiota myös siihen epäkohtaan, joka liittyy henkilörekisteririkoksen vanhentumisaikaan. Sama ongelma tulisi olemaan tietosuojarikoksen kanssa. Usein henkilötietojen urkintatapaukset ilmenevät vasta kuukausien tai vuosien päästä teosta. Poikkeuksellista ei ole se, että henkilörekisteririkos vanhentuu ennen kuin syyte saadaan nostettua. Tästä syystä viranomaisissa tehtyjen urkintatapausten rikosnimikkeenä on käytetty syytteissä virkavelvollisuuden rikkomista, koska siinä on pitempi vanhentumisaika. Jos tarkoituksena on saattaa sääntely julkisen sektorin ja yksityisen sektorin osalta yhdenmukaiseksi, tulisi rikosoikeudellinen sääntelykin saattaa kaikilta osin samalle tasolle. Tilanne, jossa samasta teosta ei voida tuomita yksityisellä sektorilla teon vanhentumisen vuoksi tietosuojarikoksesta, mutta julkisella sektorilla teko voidaan edelleen toisella rikosnimikkeellä tuomita, ei voida pitää yhdenmukaisena. Itä-Suomen yliopisto pitää selkeänä puutteena myös sitä, että kuolleen henkilön hänen elinaikanaan kerättyjen tietojen tietojenkäsittelystä ei ole ehdotettu säänneltäväksi mitään. Henkilötietojen urkinta on voinut kohdistua myös kuolleen henkilön hänen elinaikanaan kerättyihin tietoihin. Käsittely on kohdistunut pelkästään vainajan tietoihin, jolloin kysymys ei ole ollut omaisten tietojen käsittelystä. Suomessa on katsottu, että kuolleen henkilön tietoihin ulottuisi henkilötietojen suoja. EU:n yleinen tietosuoja-asetus rajaa tämän yksikäsitteisesti pois, joten käsittely jää kansallisen sääntelyn varaan. Enää jatkossa kuolleen henkilön elinaikana syntyneiden tietojen henkilötietojen suoja ei voi jäädä pelkästään eräänlaiseen tavanomaisen oikeuden piiriin. Rikosoikeudellisesti tällainen olisi hyvin ongelmallinen, jota se on jo tällä hetkelläkin.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa tietosuojarikosta koskevasta rikoslain 38 luvun 9 §:stä.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • Laki rikoslain 38 luvun 9 §:n ja 10 §:n 3 momentin muuttamisesta 38 luku. Tieto- ja viestintärikoksista 9 §. Tietosuojarikos Ehdotetussa rikostunnusmerkistössä tekijä määritellään negaatiolla; ”joka muutoin, kuin asetuksen tarkoittamana rekisterinpitäjänä tai henkilötietojen käsittelijänä”. Kun tunnusmerkistö jatkuu teonkuvauksella ”hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteen sopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin” voimassaolevien säännösten ”henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista ja siirtämistä koskevia säännöksiä, saadaan melko monimutkainen tekotapa, joka ei tekijän osalta kohdistu asetuksen mukaisen vastuun mukaan. Voimassaolevan lainsäädännön ja asetuksen mukaan käyttötarkoitussidonnaisuus sitoo ennen kaikkea rekisterinpitäjää eli se, joka ei ole rekisterinpitäjä, ei ole sidottu käyttötarkoitukseen, eikä tällä tunnusmerkistöllä voida laventaa tätä käyttötarkoitussidonnaisuuden periaatetta koskemaan myös kaikkia muita. Asetuksen systematiikassa käyttötarkoitukseen liittyy myös henkilötietojen luovuttaminen, eikä lainvastaiseen luovuttamiseen voi syyllistyä muuta kuin se, jota käyttötarkoitus sitoo. Kun seuraamusjärjestelmää joudutaan jatkovalmistelussa vielä uudelleen tarkastelemaan, esitän henkilötietorikoksen ja –rikkomuksen korvaaviksi rikostunnusmerkistöiksi seuraavia tunnusmerkistötyyppejä: Nykyisistä tunnusmerkistöistä tulisi selvyyden vuoksi erottaa toisistaan rekisterinpitäjä- ja käyttäjärikokset. Käyttäjärikoksilla tarkoitettaisiin sinänsä laillisen tietojärjestelmän luvallisen käyttäjän oikeudetonta käsittelyä, jolla käyttäjä ylittää rekisterinpitäjän antamaan käyttöoikeuteen. Asetukseen perustuva kiinnekohta on 32 artiklan 4 kohta. Käyttöoikeuksien kautta yksittäinen käyttäjä on myös sidottu tietojärjestelmän käyttötarkoitukseen, eikä rekisterinpitäjä voi antaa käyttäjälle suurempaa käyttöoikeutta, kuin rekisterinpitäjän itsellään on käyttötarkoituksen perusteella. Kyseessä olisivat niin kutsutut. urkintarikokset. Tällaisten rikosten tutkinnan turvaamiseksi tulisi olla myös yleissäännökset henkilötiedollisista käytönvalvontajärjestelmistä sekä lokitietojen käytöstä näyttönä. Tahallisissa, niin sanotuissa rekisterinpitäjärikoksissa, olennaista olisi laittomaan henkilötietojen käsittelyyn ryhtymisen rangaistavuus, jolloin nykyisestä henkilörekisteririkoksen (rikoslain 38 luvun 9 §) tunnusmerkistöstä säilyisi viittaukset laillisiin käsittelyperusteisiin, jotka tulisi korvata asetuksen vastaavilla säännöksillä eli asetuksen 6 artiklan 1 kohdan (ilman) ja 9 artiklan 1 kohdan ja 10 artiklan (vastaisesti) sekä käyttötarkoitussidonnaisuuden oikeudettoman rikkomisen vastoin 6 artiklan 4 kohtaa. Näiltä osin voisi myös tulla kyseeseen kvalifioitu tekotapa, jos esimerkiksi erityisiä tietoryhmiä koskevien tietojen käsittely tapahtuisi henkilöiden vainoamisen tai syrjimisen tarkoituksissa. Huolimattomuusrikostyyppejä, kuten riittävän suojauksen laiminlyöntiä, tulisi arvioida seuraamusjärjestelmän kokonaisuuden kannalta siten, että käytössä olisi kulloinkin toimivimmat ja tehokkaimmat keinot puuttua tämän tyyppisiin asetuksen vastaisiin menettelyihin.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • Ei huomauttamista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Työryhmä esittää, että rikosoikeudellisen vastuun tulisi tulla kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei olisi asetuksen nojalla hallinnollisten sakkojen piirissä. Linjaus on kannatettava.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • -
      • Kuluttajaliitto ry, Konsumentförbundet rf
        Päivitetty:
        8.9.2017
        • Kuluttajaliitto suhtautuu kielteisesti ehdotettuun tietosuojarikosta koskevaan rikosoikeudellisen vastuun supistamiseen ainakin tahallisen tekomuodon osalta. Pykälään pitäisi tehdä vain lainsäädännön edellyttämät tekniset muutokset (esimerkiksi lakiviittausten osalta). Mietinnön eräs keskeinen perustelu muutokselle on kaksoisrangaistavuuden välttäminen. Tältä osin mietinnössä viitataan Euroopan ihmisoikeussopimuksen 7 lisäpöytäkirjan 4 artiklaan ja sitä koskevaan oikeuskäytäntöön, kansalais- ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen 14 artiklan 7 kohtaan sekä Euroopan unionin perusoikeuskirjan 50 artiklaan. Kuluttajaliitto haluaa huomauttaa, että kyseiset säännökset kieltävät yksittäisen henkilön rankaisemisen useaan kertaan samasta teosta. Säännöksillä ei ole tarkoitus kieltää rikokseen osallisten eri henkilöiden rankaisemista samasta teosta. Tietosuojarikosta koskeva sääntely kohdistuu yksittäiseen henkilöön ja EU:n tietosuoja-asetuksen mukainen hallinnollinen henkilörekisterin pitäjään, joka yleensä on oikeushenkilö eli pääsääntöisesti ei ole kysymys ne bis in idem -periaatteen vastaisesta kaksoisrangaistavuudesta. Viranomaisille tuomittavaa hallinnollista sakkoa koskien mietinnön sivuilla 24–25 pohdiskellaan seuraamuksen asianmukaista kohdentumista yksittäisen virkamiehen osalta. Tältä osin on huomattava, että ehdotettu rikoslain muutos ei poista rikoslain 40 luvun 9 §:n mukaista virkavelvollisuuden rikkomiseen perustuvaa vastuuta. Kuluttajaliitto katsoo, että nykyisenkaltainen yksittäiseen henkilöön kohdistuva rikosoikeudellinen vastuu on perusteltua säilyttää tulevan rekisterinpitäjään kohdistuvan hallinnollisen sakon rinnalla ainakin tahallisten rikosten osalta. Henkilörekistereitä koskevia päätökset tekevät viime kädessä yksittäiset henkilöt, joten heihin henkilökohtaisesti kohdistuva rangaistusuhka on omiaan ehkäisemään tahallista lain rikkomista. Rikoslain mukaan myös epävarsinaiset laiminlyöntirikokset ovat rangaistavia tietyin edellytyksin, mikä on omiaan kannustamaan organisaatioiden päättävässä asemassa olevia ihmisiä lopettamaan lain rikkomisen. Lisäksi on huomioitava, se että henkilörekisteririkoksiin voi syyllistyä myös organisaatio, jonka tavoitteet eivät ole taloudellisia. Organisaatioon sidotut taloudelliset voimavarat voivat olla vain satoja euroja. Tällaiseen organisaatioon mahdollisesti kohdistettavilla hallinnollisilla sakoilla ei ole lainkaan rikollista toimintaa ennalta ehkäisevää vaikutusta.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Kun seuraamusjärjestelmää tarkastelee kokonaisuutena ja jos hallinnollisista sakoista viranomaisten osalta luovuttaisiin, voisi yhtenä korvaavana vaihtoehtona olla mietinnön mukaisen rikoslain 38:9 §:n tietosuojarikoksen tunnusmerkistön laajentaminen niin, että myös rikoslain 9 luvun mukainen oikeushenkilön rangaistusvastuu voisi tulla sovellettavaksi.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • CSC ehdottaa, että tietosuojarikos tulisi määritellä samoin tavoin kuin datavahingonteko:  Joka oikeudettomasti jakaa, hävittää, turmelee, kätkee, vahingoittaa, muuttaa, saattaa käyttökelvottomaksi tai salaa tietovälineelle tallennetun tiedon tai muun tallennuksen taikka tietojärjestelmässä olevan henkilötiedon, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi.  Törkeä tietosuojarikos  tulee määritellä seuraavasti: Jos tietosuojarikoksessa   1) aiheutetaan erityisen tuntuvaa haittaa tai taloudellista vahinkoa,  2) rikos tehdään osana 17 luvun 1 a §:n 4 momentissa tarkoitetun järjestäytyneen rikollisryhmän toimintaa,  3) rikos tehdään osana toimintaa, jossa on vaikutettu merkittävään määrään henkilötietoja  4) rikos kohdistuu tietojärjestelmään, jonka vahingoittaminen vaarantaisi energiahuollon, yleisen terveydenhuollon, maanpuolustuksen, oikeudenhoidon taikka muun näihin rinnastettavan yhteiskunnan tärkeän toiminnon  5) kohdistuu erityisen luottamuksellisiin henkilötietohin  Ja tietosuojarikos  on myös kokonaisuutena arvostellen törkeä, rikoksentekijä on tuomittava törkeästä datavahingonteosta vankeuteen vähintään neljäksi kuukaudeksi ja enintään viideksi vuodeksi.  Yritys on rangaistava. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto pitää hyvänä sitä, että tietosuoja-asetus ei koske kuolleita. Mikäli jatkotyöskentelyssä päädytään ehdottamaan rikoslain säädösten ulottamista kuolleiden tietosuojaan, tulee valmistelussa huomioida kulttuuriperintöorganisaatiot.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi kiinnittää huomiota siihen, että mikäli hallinnollisia sakkoja ei sovelleta viranomaisiin ja julkishallinnon elimiin, saattaisi olla syytä tarkastella rikoslain muuttaminen 38 luvun 9 ja 10 §:n 3 momentin osalta uudelleen.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ehdotetussa tietosuojarikosta koskevassa pykäläluonnoksessa on kriminalisoitu teko, jolla hankitaan oikeudettomasti henkilötietoja niiden käyttötarkoitukseen yhteensopimattomalla tavalla. Perusteluissa esimerkkinä tällaisesta teosta on mainittu silkasta uteliaisuudesta tapahtuva oikeudeton henkilötietojen hankkiminen, eli ns. urkintatapaukset. Väestörekisterikeskus haluaa kiinnittää huomiota ehdotetun 9 §:n sanamuotoon siltä osin kuin on kyse tunnusmerkistössä edellytetystä teosta. Hankkiminen terminä viittaa siihen, että joku saa itselleen jotain, mutta perusteluiden mukaan pelkkä katsominen täyttää tunnusmerkistön. "Käsittely" olisi terminä laajempi, mutta toisaalta perusteluissa on nimenomaisesti viitattu siihen, että laajaa kriminalisointia halutaan välttää sanktiomahdollisuuden vuoksi.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Nykyinen henkilörekisteririkosta koskeva säännös ehdotetaan korvattavaksi uudella tietosuojarikosta koskevalla säännöksellä. Mietinnössä (s. 173-174) todetaan, että esimerkki rangaistavasta toiminnasta olisi uteliaisuudesta tapahtuva henkilötietojen käsittely ilman käsittelyn oikeuttavaa perustetta. Tällaiset niin sanotut urkintatilanteet ovatkin käytännössä osoittautuneet verrattain yleisiksi. Esimerkiksi terveydenhuoltohenkilökuntaan kuuluvalla henkilöllä voi käyttöoikeuksiensa perusteella olla oikeus käsitellä sellaisten henkilöiden henkilötietoja, joiden hoitoon he osallistuvat. Sen sijaan silkasta uteliaisuudenhalusta tapahtuva oikeudeton henkilötietojen hankkiminen potilastietojärjestelmästä olisi lainvastaista. Tarkoituksena on, että säännöstä sovellettaisiin urkintatapauksiin samalla tavoin kuin voimassa olevaa henkilörekisteririkosta koskevaa säännöstä henkilörekisteririkoksesta, jonka nojalla on katsottu edellä kuvatuissa tilanteissa henkilötietojen käsittelyn tapahtuneen vastoin käyttötarkoitussidonnaisuutta koskevia säännöksiä. Ulkoasiainministeriö pitää ehdotettua säännöstä tarpeellisena ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallituksella ei ole huomautettavaa ehdotetuista rikoslain säännösten muutosehdotuksista.
  • Lausunnonantajia: 46
    Muut mahdolliset kommentit
      • Muita huomioita työryhmän mietinnöstä ja ehdotuksesta hallituksen esitykseksi
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • OM on asettanut kaksi eri työryhmää valmistelemaan kansallisia yleislakeja. Toisen työryhmän työ koskee tietosuojadirektiiviä (rikosasiat) ja toisen tietosuoja-asetusta. MMM:n kuten muidenkin ministeriöiden tulee ottaa tämä työ huomioon omissa säädöshankkeissaan. MMM pitää tärkeänä, että OM ottaa omien säädöshankkeidensa valmistelussa huomioon sen, että muiden ministeriöiden tulee ehtiä analysoimaan ja ottamaan huomioon oikeusministeriön HE:t omissa säädöshankkeissaan. OM:n valmisteilla olevat yleislait samoin kuin muiden ministeriöiden säädösmuutokset tulee saattaa voimaan toukokuussa 2018. Mietinnön sivulla 38 todetaan seuraavasti: ”Kunkin ministeriön on arvioitava oman hallinnonalan osaltaan henkilötietojen käsittelyä koskevan erityislainsäädännön välttämättömyys. Tässä arvioinnissa tulee ottaa huomioon, että komissio on asetuksen täytäntöönpanoa koskevan työn yhteydessä toistuvasti painottanut, että kansallista liikkumavaraa tulee käyttää hyvin rajatusti, sillä kyse on asetuksesta, ei direktiivistä.” MMM katsoo, että liikkumavaraa on voitava käyttää sen verran kuin mitä asetuksen säännökset sallivat. MMM katsoo, ettei komissio voi omilla tulkinnoillaan rajoittaa liikkumavaraa siitä, mitä tietosuoja-asetus sallii. Mietinnön liitteenä olevassa liikkumavarataulukossa taas todetaan 5 ja 12-23 artiklan osalta seuraavasti: ”Johtuen 23 artiklassa säädetystä vaatimuksesta sääntelyn yksiselitteisyydestä ja tarkkarajaisuudesta, ei ole mahdollista säätää yleisistä rajoituksesta 12 artiklaan yleislaissa.” MMM toteaa tältä osin, että yksiselitteisesti ja tarkkarajaisesti voidaan säätää myös esimerkiksi jollain hallinnon yleislailla. MMM katsoo, että 23 artiklassa halutaan estää se, että säädettäisiin kaikkia rekisterinpitäjiä koskevista poikkeuksista 23 artiklan nojalla. MMM katsoo, että sektorikohtaiset (esimerkiksi julkinen sektori) poikkeukset rekisteröidyn oikeuksiin ovat mahdollisia myös yleislaissa. Yleislaissa voidaan määritellä sektorikohtaiset poikkeukset määritellä yksiselitteisesti ja tarkkarajaisesti. Perustuslaista tulevat hyvän hallinnon ja oikeusturvan vaatimukset tulevat varmimmin ja yhdenmukaisemmin huomioon otetuiksi, kun rekisteröidyn oikeuksien mahdollisista rajoituksista säädettäisiin yleislaissa. MMM pitää todennäköisenä, että viranomaisilla on tarpeita poiketa joiltain vähäiseltä osin rekisteröidyn oikeuksista viranomaistehtävien osalta, mutta tätä asiaa ei selvitetty TATTI-työryhmässä em. ”yleislakikieltoa” koskevan kannanoton vuoksi. MMM pitää toivottavana, että tätä asiaa tarkasteltaisiin joko VM:n Julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittävän työryhmän säädöshankkeessa tai vaihtoehtoisesti tietosuojalain jatkovalmistelussa. Mietinnön liitteenä olevassa liikkumavarataulukossa tarkastellaan tietosuoja-asetuksen 27 johdantolauseen osalta mahdollisuutta tarkastella vainajan henkilötietojen käsittelyn suojaa. Tietosuoja-asetus mahdollistaisi tietosuoja-asetuksen soveltamisen myös vainajien henkilötietojen käsittelyyn. Taulukossa todetaan tässä kohtaa, että työryhmässä on keskusteltu, että vainajan ja hänen läheisensä suojan tarve voitaisiin kattaa muuttamalla rikoslain yksityiselämää loukkaavaa tiedon levittämistä koskevaa sääntelyä. Taulukossa todetaan, että kyseisen sääntelyn muuttaminen edellyttäisi kuitenkin laajempaa ja yksityiskohtaista valmistelua, johon työryhmällä ei ole resursseja. MMM katsoo, että vainajan henkilötietojen käsittelyyn saattaisi olla joiltain osin tarvetta soveltaa tietosuoja-asetuksen joitakin säännöksiä myös muissakin tapauksissa. Joka tapauksessa käytännön tasolla aiheuttaa usein epäselvyyttä, miten vainajan henkilötietoja on mahdollista luovuttaa. HE-luonnoksen yleisperustelujen nykytilan kuvauksen otsikointi ei ole johdonmukainen. Kun esimerkiksi 2.1.1 luvun (otsikko ”Yleistä”) alla käsitellään sekä perustuslakia että henkilötietolakia, on 2.1.2 luvun (otsikko ” Lain soveltamisala) aiheena ilmeisesti sekä henkilötietolain että direktiivin soveltamisala. Luvun 2.1.2 otsikosta pitäisi käydä ilmi, minkä säädöksen soveltamisalasta on kyse. Ilmeisesti 2.1.2 luvun otsikkona pitäisi olla henkilötietolain soveltamisala. HE-luonnoksen nykytilan kuvaus on siinäkin mielessä poikkeuksellinen, ettei siinä esitellä voimassa olevaa henkilötietolain säännöksiä systemaattisesti. Olisi siis loogista esitellä henkilötietolain säännökset siinä järjestyksessä kuin ne ovat ao. laissa. Sen sijaan HE-luonnokseen on poimittu valikoivasti henkilötietolain säännöksiä ja ne esitetään tietosuoja-asetuksen säännösten mukaisessa järjestyksessä. Lisäksi voi todeta, että valvontaviranomaisia koskeva kuvaus on poikkeuksellisen laaja, mutta sen sijaan henkilötietolain säännöksiä esimerkiksi henkilötietojen käsittelyn perusteista kuvataan niukasti, hajanaisesti ja osin puutteellisestikin. Hajanaisuudella tarkoitetaan tässä sitä, että käsittelyn oikeusperusteita kuvataan toisaalta yleisperustelujen 2.1.3 luvussa ja toisaalta myös paljon myöhemmin eli yleisperustelujen 2.1.8 ja 2.1.9 luvuissa. Lisäksi MMM toteaa, että tietosuolakiluonnoksen pykälien järjestys on tavanomaisesta poikkeava. Säädösvalmisteluohjeiden mukaan aineellisoikeudellisia ja menettelytapasäännöksiä ei saa sijoittaa sekaisin toistensa lomaan (ks. lainkirjoittajan opas 14.3.3). HE-luonnoksen jatkovalmistelussa tulisi nykytilan kuvauksen tarkistamisen ohella kiinnittää huomiota myös siihen, että yleisperusteluista kävisi selkeämmin ilmi, miltä osin henkilötietojen suojaa koskevat säännökset vastaavat nykytilaa ja miltä osin säännökset tarkentuvat ja miltä osin on tulossa kokonaan uutta sääntelyä. Esimerkiksi tietosuoja-asetusta koskevassa Ruotsin selvityksessä (SOU 2017:39; s. 75 ja 76) on lyhyesti luonnehdittu muutoksia nykyisiin säännöksiin. MMM kiinnittää huomiota siihen, että Ruotsin selvityksessä todetaan, että julkisuus ja tietosuoja ovat sovitettavissa kansallisella lainsäädännöllä. Samoin MMM tuo esiin sen, että kun tietosuoja-asetusehdotusta on käsitelty eduskunnan valiokunnissa, asiakirjoista ei käy ilmi, että tietosuoja-asetus edellyttäisi nykyisten julkisuussäännösten kaventamista. Sen sijaan esimerkiksi perustuslakivaliokunta (PeVL 12/2012 vp) on todennut seuraavasti: ”Asetusehdotuksen johdanto-osan 18. kohdassa todetaan, että asetuksen säännöksiä sovellettaessa voidaan ottaa huomioon virallisten asiakirjojen julkisuusperiaate. Julkisuusperiaatteen huomioon ottaminen jää valiokunnan mielestä sekä sisältönsä että säädösteknisen sijoittelunsa puolesta varsin heikoksi. Perustuslakivaliokunta pitää tämän vuoksi valtioneuvoston tavoin tärkeänä, että itse asetukseen otetaan säännös asiakirjajulkisuuden huomioon ottamisesta.” Mietinnön yhtenä liitteenä on työryhmän eräiden jäsenten ehdotus julkisuuslain muuttamiseksi (liite 4). MMM pitää luonnosteltua ehdotusta tulkinnanvaraisena. Julkisuuslain ja nykyisen henkilötietolain säännökset koetaan usein vaikeasti hahmottuviksi. Asiaan voidaan vaikuttaa esimerkiksi koulutuksella ja ohjeistuksella. Jos kuitenkin julkisuuslain säännöksiä päädytään tarkistamaan, pitää MMM tärkeänä, että säännöksiä tulee mahdollisuuksien mukaan selkeyttää nykyisestä. Tietojen luovutussäännöksiä tulee tällöin tarkastella laajemmin eikä ainoastaan julkisuuslain näkökulmasta, koska nykyisin on paljon perusrekistereitä ja muita viranomaisten henkilörekistereitä koskevia säännöksiä. Julkisuuslain säännösten tarkistaminen on tarpeen esimerkiksi sen vuoksi, että enenevässä määrin viranomaisen asiakirjat ovat pelkästään sähköisessä muodossa. Julkisia henkilötietoja sisältäviä asiakirjoja tulee olla jatkossa mahdollisuus luovuttaa myös sähköisesti (vrt. nykyiset julkisuuslain 16 §:n 3 momentin rajoitukset henkilötietojen luovuttamiselle sähköisesti). Valmistelussa tulee toisaalta turvata jokaisen oikeus saada tieto julkisesta asiakirjasta, mutta samalla huolehtia tietojen suojaamisen liittyvistä toimista (esimerkiksi muistuttamalla luovutuksen saajaa henkilötietojen käsittelyyn liittyvistä velvoitteista). HE-luonnoksen perustuslakiosiossa on ”perusteltu” julkisuuslakiviittauksen perustuslainmukaisuus. MMM pitää tarpeettomana erikseen perustella viittausta voimassa olevaan lakiin ja vieläpä sellaiseen lakiin, joka on aikanaan ollut perustuslakivaliokunnan arvioitavana. Tietosuojalakiluonnoksen 10 §:ssä säädetään kelpoisuusvaatimuksista ja nimitysperusteita. MMM kiinnittää huomiota siihen, että perustuslakiosiossa ei ole arvioitu sääntelyä työn, ammatin ja elinkeinonharjoittamisen vapauden näkökulmasta. Tietosuojalakiluonnoksen 35 §:n mukaan tarkempia säännöksiä tietosuojaviraston hallinnosta ja henkilöstöstä annetaan valtioneuvoston asetuksella. Pykälässä ei ole otettu huomioon asetuksenantomahdollisuutta maksuista ja palkkioista, vaikka tietosuojalakiluonnoksen 18 §:n perustelujen mukaan asiantuntijan palkkioiden maksamisesta voitaisiin säätään tarkemmin tietosuojalain nojalla annettavalla asetuksella. Asetuksen 28 artikla sisältää muun muassa pakottavia säännöksiä toimeksiantosopimuksista. Henkilötietojen käsittelijää koskeva sääntely tulisi mitä ilmeisemmin sovellettavaksi esimerkiksi tilanteissa, joissa henkilötietojen käsittely ulkoistetaan toiselle organisaatiolle. Valvonnassa ja tietojen rekisteriin tallettamisessa voidaan MMM:n hallinnonalalla käyttää apuna viranomaisorganisaation ulkopuolisia, joille näiltä osin on siirretty julkisia hallintotehtäviä. Näistä tehtävistä valvontaviranomainen sopii asianomaisen tahon kanssa tarkemmin sopimuksin. Jatkossa sopimuksen sisällön on tietosuojan kannalta oltava entistä tarkemmin määritelty artiklan mukaisesti.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Esityksen arvioinnissa uuden tietosuoja-asetuksen vaikuttavuudesta tuomioistuinten asiamääriin on viime vuosien uudistuksille tyypillinen viesti. Nyt todetaan, että yleinen tietosuoja-asetus voi vaikuttaa asiamääriin jossain määrin valvontaviranomaisen toimivallan laajenemisen ja valituskelpoisten päätösten mahdollisen lisääntymisen vuoksi, mutta vaikutus ei todennäköisesti ole merkittävä. Johtopäätös ei perustu mihinkään. Sillä nollataan perusteetta esityksessä ehdotettujen uusien muutoksenhakusäännösten budjettivaikutukset tuomioistuimille. Samaan aikaan tuomioistuinlaitoksen kehysbudjetointi on erittäin tiukka. Hallinto-oikeuksien näkökulmasta perusoikeuksien edellyttämän oikeusturvan takaaminen on jatkuvasti yhä haasteellisempaa. Joku arvio vaikutuksista myös tuomioistuimille pitää tehdä tässäkin ehdotuksessa. Jos ajatellaan nyt kysymyksessä olevia tietosuoja-asioita, vaikuttavuutta hallinto-oikeuksille ei ratkaise ainoastaan muutoksenhakujen määrä, sillä voidaan arvioida, että ne tulevat eu-oikeudellisen sääntelynsä vuoksi varmasti olemaan laadullisesti vaativia lainkäyttöasioita. Lisäksi henkilötietoja sisältäviä asiakirjoja koskevia tietopyyntöjä tulee myös hallinto-oikeuksille yhä enenevässä määrin käsiteltäväksi hallinto-oikeuksien omia asiakirjoja koskevina. Niiden aiheuttamaa työmäärää ei nykyisellään ole lainkaan tilastoitu, vaikka se on yhä merkittävämpi.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Effi kiinnittää huomiota eräisiin kansallisen liikkumavaran tulkintoihin. Ks. Effin eurooppalaisen kattojärjestön EDRin analyysi yleisen tietosuoja-asetuksen kansallisesta liikkumavarasta (Flexibilities in the General Data Protection Regulation): https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf. Tietosuoja-asetuksen 14 artiklan 4 kohdan mukaan rekisterinpitäjän on toimitettava rekisteröidylle 1-3 kohdissa tarkoitetut tiedot, jos "rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, johon henkilötiedot kerättiin". Kuitenkin 5 kohdan mukaan tietoja ei tarvitse toimittaa, jos "tietojen hankinnasta tai luovuttamisesta säädetään nimenomaisesti rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa vahvistetaan asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi". EDRin tulkinnan mukaan tämä jättää jäsenvaltioille mahdollisuuden säätää laajoista tietojen luovutuksista kolmansille tahoille - sekä julkisille että yksityisille - ilman, että asiasta tarvitsisi ilmoittaa rekisteröidylle (Flexibilities in the General Data Protection Regulation, s. 15-16). Tietosuojalaissa voitaisiin yleisesti säätää, millaisia ovat ne "asianmukaiset toimenpiteet rekisteröidyn oikeutettujen etujen suojaamiseksi", joiden perusteella erityislainsäädännössä voitaisiin soveltaa 14 artiklan 5 kohtaa. Näihin toimenpiteisiin voisi sisältyä myös velvoitteita kertoa rekisteröidylle mahdollisuudesta tietojen luovuttamiseen kolmannelle osapuolelle. Tietosuoja-asetuksen 22 artiklan 2 kohdan b alakohta mahdollistaa EDRin tulkinnan mukaan hyvinkin laajan kansallisen liikkumavaran automatisoitujen yksittäispäätösten ja profiloinnin suhteen (s. 19-20). Ainoana rajoituksena on, että laissa "vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi". Jatkovalmistelussa olisi syytä tarkentaa, missä tapauksissa automatisoidut yksittäispäätökset ja profilointi ovat Suomessa sallittuja. Suomessa on puhuttu paljon ainakin verotuksen automatisoinnista. Tietosuoja-asetuksen 26 artiklassa säädetään yhteisrekisterinpitäjistä. EDRin tulkinnan mukaan tämän lainkohdan myötä yhteistyössä tietoja käsittelevät yritykset voivat keskenään järjestellä tietosuoja-asetuksen mukaiset vastuunsa (s. 23-24). Tällöin yhteisrekisterinpitäjät voivat itse valita sellaiset ”järjestelyt”, joiden kautta toimintaa voidaan harjoittaa vähiten vaativan tietosuojajärjestelmän puitteissa. Tällainen mahdollisuus vaarantaa digitaaliset sisämarkkinat luomalla ”race to the bottom” -tyyppisen kilpailun, jonka myötä jäsenvaltiot kilpailevat yrityksistä joustamalla tietosuojasäännöksien tulkinnassa kansallisella tasolla. TATTI-työryhmän tulkinnan mukaan kansallisessa lainsäädännössä "voidaan määritellä rekisterinpitäjän vastuualueet siten, etteivät yhteisrekisterinpitäjät voi tästä keskinäisellä sopimuksella poiketa". Näin tulisi tehdä. Käytännössä tietosuojavirastolle jäisi myös mahdollisuus seurata Suomessa toimivien yhteisrekisterinpitäjien toimintaa tästä näkökulmasta. Tietosuojaviraston roolia yhteisrekisterinpitäjien valvonnassa tulisi korostaa lain esitöissä. Tietosuoja-asetuksen 49 artiklan 1 kohdan d alakohta sallii henkilötietojen siirron kolmansiin maihin tai kansainväliselle järjestölle ilman riittäviä tietosuojatoimia, ilman rekisteröidyn hyväksyntää tai mitään muutakaan artiklassa 46 listattuja tiedonsiirron mahdollistavia perusteita. Riittää, että ”siirto on tarpeen tärkeää yleistä etua koskevien syiden vuoksi” ja tämä ”yleinen etu” on unionin tai jäsenvaltion lainsäädännössä tunnustettu. TATTI-työryhmä on katsonut, että ”49 artiklan 1 kohdan d ja g alakohta sekä 5 kohta sisältävät marginaalista liikkumavaraa, josta voidaan säätää erityislailla”. EDRi huomauttaa (s. 39-40), että tietosuoja-asetuksen johdanto-osan perustelukappaleessa 112 on lueteltu esimerkinomaisesti mitä "yleinen etu" voi tarkoittaa. Yleisen edun käsitteen tulkintaa tästä näkökulmasta tulisi täsmentää lain esitöissä.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Oikeusministeriön työryhmän yritysvaikutuksia koskevassa arviossa todetaan, että yritykset rekisterinpitäjinä kokevat tietosuoja-asetuksen ongelmalliseksi ja se vaatii monilta yrityksiltä merkittäviä taloudellisia ja hallinnollisia ponnistuksia. Lisäksi yritysten kannalta aiemmin neuvovana ja ohjaavana toimineen tietosuojaviranomaisen rooli muuttuu asetuksen myötä vahvojen sanktiointitoimivaltuuksien pohjalta toimivaksi jälkivalvojaksi. Näemme tärkeänä, että asetuksen soveltamisen alkaessa yrityksillä on edelleen mahdollisuus viranomaisen myötävaikutuksella kehittää ennakoivasti omia henkilötiedon suojan mallejaan ja saada lisäarvoa viranomaisen asiantuntemuksesta.
      • TietoEVRY Oyj
        Päivitetty:
        8.9.2017
        • Tieto Oyj kiittää mahdollisuudesta esittää näkemyksensä EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä. Tieto on seurannut EU:n yleisen tietosuoja-asetuksen ja sitä koskevan kansallisen lainsäädännön valmistelua sen eri vaiheissa, tutustunut mietintöön ja aktiivisesti osallistunut Elinkeinoelämän Keskusliiton kautta mietinnön ja sen seuraamusten arviointiin. Tieto yhtyy EK:n lausunnossaan esittämiin yleisiin ja yksityiskohtaisiin näkemyksiin.
      • Yleisradio Oy
        Päivitetty:
        8.9.2017
        • Tulevaisuuden digitaalisessa tiedonvälityksessä käytetään uusia menetelmiä, jotka poikkeavat perinteisestä mediasta, kuten televisiosta, radiosta, ja verkkojulkaisuista. Tietosuojalainsäädännön jatkokehityksessä tulee huomioida mahdollisuudet käyttää uusia journalistisia työvälineitä ja -metodeja, kuten vuorovaikutteisuutta, joukkoistamista ja tiedonlouhintaa. Uudetkin journalismin kuuluvat sananvapauden ja tiedonvälityksen vapauden piiriin ja media kantaa näistä vastuun sananvapauslain edellyttämällä tavalla. Kansallisten journalististen poikkeusten toimivuutta ja kehittämistarpeita tulee myös siirtymäajan päätyttyä seurata ja tarkastella media-alan kehitys huomioiden.
      • Puolustusministeriö
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen 23 artiklassa sallitaan rekisteröidyn oikeuksien rajoittaminen kan-sallisella lailla. Mietinnössä esitetyn kannan mukaan yleisistä rajoituksista 12–22 artik-lojen mukaisiin rekisteröidyn oikeuksiin ei ole kuitenkaan mahdollista säätää yleislaissa johtuen 23 artiklassa säädetystä vaatimuksesta sääntelyn yksiselitteisyydestä ja tark-karajaisuudesta. Puolustusministeriön näkemyksen mukaan voimassa olevan henkilötietolain 27 §:ää vastaava rajoitusäännös olisi kuitenkin erittäin tärkeää sisällyttää myös uuteen yleiseen tietosuojalakiin. Yleisen rekisteröidyn oikeuksien rajoittamista koskevan säännöksen puuttuminen johtaisi tarpeeseen säätää rajoitusperusteista erikseen sektorikohtaisessa lainsäädännössä, mikä voi johtaa suureen määrään uutta ja muuten tarpeetonta eri-tyissääntelyä. TATTI-työryhmän työssä on nimenomaisesti kiinnitetty huomiota tarpeet-toman suureen henkilötietojen käsittelyä koskevan erityislainsäädännön määrään. Vaikka tietosuoja-asetusta todennäköisesti sovelletaan puolustushallinnossa vain suh-teellisen vähäiseen määrään asioita, voi asetuksen soveltamisalalla silti tulla eteen tilanteita, joissa rekisteröidyn oikeuksien rajoittaminen on kansallisen turvallisuuden vuoksi välttämätöntä. Tarve voi koskea Puolustusvoimien lisäksi myös puolustusministeriön, Maanpuolustuskoulutusyhdistyksen ja Puolustusvoimien yksityisen yhteistyökumppanin suorittamaa henkilötietojen käsittelyä. Ei voida pitää tarkoituksenmukaisena, että kaikkia mainittuja varten laadittaisiin yleisen rajoitusperusteen puuttumisen takia uusia henkilötietojen käsittelyä koskevaa erityissäännöksiä. Mikäli yleiseen tietosuojalakiin sisällytetään säännös, joka mahdollistaa rekisteröidyn oikeuksien rajoit-tamisen kansallisen turvallisuuden sitä edellyttäessä, puolustusministeriön hallinnonalalla ei todennäköisesti ole lainkaan tarvetta tietosuoja-asetusta ja yleistä tietosuojalakia täydentävälle erityissääntelylle. Puolustusministeriö kiinnittää lisäksi huomiota siihen, että tarve rajoittaa tietyissä tilan-teissa rekisteröidyn oikeuksia ei rajoitu vain viranomaisiin. Yksityisten toimijoiden osalta ei ole olemassa muuta soveltuvaa paikkaa rajoitussäännökselle kuin yleislaki. Sama koskee julkisella sektorilla mm. ministeriöiden suorittamaa henkilötietojen käsittelyä. Puolustusministeriön käsityksen mukaan tietosuoja-asetuksen 23 artiklan vaatimus ra-joitusten täsmällisyydestä ja tarkkarajaisuudesta asettaa sisällöllisiä vaatimuksia yleiselle rajoitussäännökselle, mutta ei estä sellaisen säätämistä. Puolustusministeriö pyytää siten oikeusministeriötä vielä selvittämään asian jatkovalmistelussa mahdollisuutta sisällyttää rekisteröidyn oikeuksien rajoittamista koskeva säännös yleiseen tietosuojalakiin.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Lain valmistelutyö on tehty asiantuntevasti ja itse asetuksen vaikeaselkoisuudesta huolimatta lakiesitys on selkeä. Lain soveltamisen kannalta on tärkeää, että ehdotus noudattelee nykyisen henkilötietolain sisältöä ja osittain rakennetta. Ehdotettu lainsäädäntö on pääsääntöisesti riittävä, joskin joitakin tarkennustarpeita on. Keskeisintä olisi kuitenkin saada säädettyä yksi yleislaki, jolla korvattaisiin valtaosa erityislaeissa kirjatuista muista kuin käsittelytarpeen ilmaisevista määräyksistä. Tämä yksinkertaistaisi toimintaa ja yhtenäistäisi käytäntöjä, joilla on suora positiivinen vaikutus lainsäädännön toteutettavuuteen tietojärjestelmissä. Etenkin tieteellisen tutkimuksen ja tilastoinnin nykytilaa vastaavat mahdollisuudet on otettava esityksessä esitetyin tavoin huomioon. Arkistointia tai pitkäaikaissäilyttämistä ei ole määritelty itsenäisiksi käsittelyperusteiksi ja täsmentäminen jää arkistolainsäädännön uudistamisen valmisteluun. Yleisen edun mukaiset arkistointitarpeet katsotaan yhdenmukaisiksi asetuksessa mainitun alkuperäisen käsittelyn tarkoitusten kanssa. Arkistoinnin yhteydessä mainittu tietojen minimoinnin periaate voi johtaa tietojen anonymisointiin, jonka jälkeen tietojen yhdistely yksilötasolla eri rekisteristä on mahdotonta. Tietojen minimoinnin periaatetta olisi hyvä selkeyttää arkistointiin liittyvässä valmisteilla olevassa lainsäädännössä. Henkilötunnuksen käyttö arkistoinnissa tulisi sallia, jotta tietojen käyttö asetuksen määritelmän mukaiseen tieteelliseen tutkimukseen olisi mahdollista. Koska ehdotettu tietosuojalaki jättää paljon asioita säädettäväksi sektorikohtaisesti eri hallinnonaloilla, voi tämä johtaa jopa sektorikohtaisen lainsäädännön lisääntymiseen. Työryhmän tavoite oli kuitenkin luopua tarpeettomasta erityissääntelystä.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Kannatamme ehdotusta, jonka mukaan valtioneuvosto nimittää tietosuojavaltuutetun ja apulaistietosuojavaltuutetun. Tietosuojavaltuutetun toimiston virkojen kelpoisuusvaatimusten ja mahdollisten sijaisuusjärjestelyjen tulee olla sellaiset, viraston keskeytyksetön toiminta voidaan turvata.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Tietosuojalain säätämisen yhteydessä on välttämätöntä tehdä muutoksia myös viranomaisten toiminnan julkisuudesta annettuun lakiin. On perusteltua, että julkisuuslain tietojen luovuttamista koskevia pykäliä muutetaan siten, että niissä käytetään yleisen tietosuoja-asetuksen ja tietosuojalain käsitteitä. Samalla voidaan julkisuuslain sisältöä muutoinkin nykyaikaistaa kuten työryhmän eräiden jäsenten ehdotuksessa esitetään. Helsingin kaupunki katsoo kuitenkin, että kyseisen ehdotuksen 9 a § rajoittaa oikeutta saada tieto julkisesta asiakirjasta tavalla, joka merkittävästi supistaa oikeutta saada tieto julkisesta asiakirjasta. Viranomaisten toiminnan avoimuuden ja läpinäkyvyyden edistämiseksi ja viranomaisten toiminnan valvonnan mahdollistamiseksi on tärkeää, että perustuslain 12 § 2 momentin mukaista jokaisen oikeutta saada tieto julkisesta asiakirjasta ei tällä tavoin rajoitettaisi.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksesta johtuvia välittömiä muutosvaatimuksia julkisuuslakiin ei ole esitetty perustellusti. Itä-Suomen yliopiston tutkimusten (VM 30/2016 ja 22/2014 sekä Oikeus 1/2015) perusteella julkisuuslaki tulisi uudistaa kokonaisuudessaan vastaamaan nykyaikaista hallinnon toimintaa. Joka tapauksessa osauudistuksen vaikutukset tulee arvioida huolellisesti ja varmistaa, ettei muutokset aiheuta ongelmia julkisuusperiaatteen toteuttamiselle. Mietinnön liitteenä olevat julkisuuslain säännösten muutosehdotukset ovat epäselviä ja tulevat aiheuttamaan ongelmia yleisön tiedonsaannille viranomaistoiminnasta. Säännökset kaventavat julkisuusperiaatetta merkittävästi, jolloin erityinen perusoikeuksien punninta tulee tehdä huolellisesti. Sääntelyn tulee olla myös täsmällistä, jotta julkisuuslain soveltamisessa ei synny jo olemassa olevien ongelmien lisäksi uusia ongelmia. Itä-Suomen yliopisto viittaa moniin ylimpien laillisuusvalvojien ratkaisuihin, joissa ilmenee jo voimassa olevien julkisuuslain säännösten ongelmallisuus. Julkisuuslakiin ehdotettavat muutokset lisäävät sääntelyn tulkinnanvaraisuutta. Ehdotettu 9 a § sisältää velvollisuuden arvioida asiakirjakohtaisesti, voidaanko asiakirja luovuttaa henkilötiedot sisältäen. Säännösehdotus johtaisi merkittävään lisäresursointiin tietopyyntöjen käsittelyssä asiakirjakohtaisen arvioinnin vuoksi. Tulkinnanvaraisena ja epäyhtenäisiin käytäntöihin johtavina ehdotuksina voidaan pitää myös seuraavia: - ”Ilmoitusvelvollisuutta ei kuitenkaan ole, jos annettavien tietojen määrä ja laatu sekä muut olosuhteet huomioon ottaen on ilmeistä, että tiedon antaminen ei johda henkilötietojen suojan loukkaamiseen.” Ilmoitusvelvollisuus lähtee suoraan tietopyynnön esittäjälle asetetusta velvollisuudesta. Ei liene realistista, että tietopyynnön esittäjä voisi arvioida ilmoitusvelvollisuuden tarvetta. Toisaalta sääntely johtaisi siihen, että viranomainen joutuisi arvioimaan ilmoitusvelvollisuuden tarvetta sekä pyytämään lisäselvityksiä tietopyynnön käsittelyn yhteydessä. Tämä puolestaan viivästyttäisi tietopyyntöjen käsittelyä ja olisi ongelmallista julkisuuslaissa tietopyyntöjen käsittelyyn liittyvän joutuisuusvaatimuksen toteuttamiseksi. Sääntely johtaisi myös lisäresursointiin tietopyyntöjen käsittelyssä. - ” Tieto on annettava pyydetyllä tavalla, jollei pyynnön noudattaminen aiheuta vaaraa henkilötietojen suojalle tai kohtuutonta haittaa virkatoiminnalle.” Säännös edellyttäisi asiakirjakohtaista arviointia siitä, että milloin pyynnön toteuttaminen aiheuttaisi vaaraa henkilötietojen suojalle. Pelkkä ”vaaran aiheuttaminen henkilötietojen suojalle” on tulkinnanvarainen vaatimus, jolle ei voi asettaa selkeää kriteeristöä. Säännösehdotus on omiaan aiheuttamaan epäselvyyksiä siitä, millä tavalla ja milloin tietoja voidaan luovuttaa, joten säännösehdotus johtaisi nykytilannetta entistä epäselvempään tilanteeseen. Itä-Suomen yliopiston näkemyksen mukaan säännösehdotuksen kehittämiseksi tulisi käydä läpi hallinto-oikeuksien ratkaisukäytäntö ja tehdä tältä osin arvio siitä, miten viranomaistoiminnassa julkisuusperiaate voidaan toteuttaa nyky-yhteiskuntaan soveltuvalla tavalla tehokkaasti kuitenkin ottaen huomioon henkilötietojen suojaan liittyvät vaatimukset. - ”Henkilötietojen luovuttamista koskevia säännöksiä sovellettaessa viranomaisen on 1 momentissa mainitusta velvollisuudesta huolehtiessaan otettava tasapainoisella tavalla huomioon sääntelyt, joiden tavoitteena on suojella henkilöiden yksityiselämän suojaa ja muita perusoikeuksia ja -vapauksia henkilötietojen käsittelyssä.” Säännös pitää sisällään tulkinnanvaraisia kohtia. Mitä tarkoitetaan ”tasapainoisella tavalla”. Lisäksi tavallisella lailla ei tarvitse säätää viranomaiselle velvollisuutta huomioida perusoikeuksien toteutumisesta, koska tähän velvoittaa jo perustuslain 22 § suoraan. Säännös ehdotus on varsin teoreettinen eikä se selvennä niitä edellytyksiä, joiden perusteella viranomainen voi luovuttaa henkilötietoja sisältävän asiakirjan tai muun tallenteen. Julkisuuslakiin ehdotetaan muutoksia myös teknisen käyttöyhteyden avaamista koskevaan sääntelyyn. Itä-Suomen yliopistossa on tutkittu teknisen käyttöyhteyden sääntelyä (Oikeus 2/2016). Tutkimuksen mukaan sääntely on sekavaa ja osittain tarpeetonta. Yliopiston näkemyksen mukaan teknisen käyttöyhteyteen liittyvää sääntelyä tulisi kehittää muodollisen ja tarpeettoman sääntelyn vähentämiseksi. Sääntelyn uudistaminen pitäisi tehdä kokonaisuutena, jolloin myös tarpeeton erityislainsäädäntö kumottaisiin. Ehdotettu teknisen käyttöyhteyden avaamista koskeva säännös jää myös tulkinnanvaraiseksi.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Yleinen tietosuoja-asetus poikkeaa kirjoitustavaltaan kansallisesta lainsäädännöstä ja voi käsitykseni mukaan olla melko vaikeaselkoinen henkilöille joilla ei ole kokemusta Euroopan unionin sääntelystä. Sääntelyn voimaantulon yhteydessä on varmistettava riittävä tiedotus uuden lainsäädännön sisällöstä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Hallinto-oikeus kiinnittää vielä huomiota sakon täytäntöönpanosta annetun lain muuttamista koskevan lakiehdotuksen perusteluihin. Esitysluonnoksen yksityiskohtaisissa perusteluissa todetaan, että "Koska tietosuojalakiin ei ehdoteta otettavan sakon täytäntöönpanoa koskevaa erityissäännöstä, olisi hallinnollisen sakon määräämistä koskeva päätös täytäntöönpanokelpoinen hallintolainkäyttölain 31 §:n mukaisesti silloin, kun se on saanut lainvoiman' Perusteluissa viitatun pykälän 3 momentissa kuitenkin säädetään, että jos asiassa tarvitaan valituslupa, valitus ei estä täytäntöönpanoa paitsi silloin, jos valitus käy täytäntöönpanon johdosta hyödyttömäksi tai jos korkein hallinto-oikeus kieltää täytäntöönpanon. Ehdotetun tietosuojalain 22 §:n 2 momentin mukaan hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Hallinto-oikeus jättää harkittavaksi, olisiko sääntelyä tältä osin syytä vielä harkita tarkemmin.
      • CSC - Tieteen tietotekniikan keskus Oy, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • Tutkijoiden omat henkilötiedot tieteellisen tutkimuksen näkökulmasta: - Tieteen uusiutumisen kannalta peruslähtökohta on, että tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Samoin tekijänoikeuslain perusteella tekijätietojen on oltava näkyvissä, kun tekijänoikeuden suojaamaan teokseen viitataan. Tutkijat meritoituvat ja saavat mainetta, kun toiset tutkijat viittaavat heihin ja hyödyntävät heidän tutkimustuloksiaan. Tutkijoiden urakehitys sekä menestyksekäs tutkimusrahoituksen saanti riippuu keskeisesti heidän meriiteistään. Nykyaikana tutkimustulosten esittäminen, niihin viittaaminen sekä tutkimusrahoituksen hakeminen ovat jo suurelta osin siirtyneet sähköiseksi. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat julkisia, ristiinkytkettyjä ja tutkijoiden itsensäkin rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Sekä aiemmin mainittu meritoituminen että osin tieteellisen tutkimuksen edistyminen perustuu näiden tietojen avoimeen jakamiseen ja vapaaseen liikkumiseen sähköisten rekisterien välillä. Suomen kireä linja tietosuoja-asetuksen toimeenpanossa voi vaarantaa tutkijanuran edistymisen. Se myös asettaa suomalaiset tutkijat huonompaan asemaan kansainvälisiin kilpailijoihin nähden. Tietosuoja-asetuksen toimeenpanossa on huolehdittava siitä ettei tieteen julkisuutta rajoiteta tai haitata tutkimusprosessille keskeistä meritoitumista esimerkiksi estämällä, rajoittamalla tai hankaloittamalla tekijätietojen käyttämistä. Epävarmuuden poistamiseksi verkosto toivoo ehdotukseen tältäosin tarkennusta. Tieteellisen tutkimuksen käytännöistä: - Tutkijat noudattavat tieteen itsesääntelyyn liittyviä tunnustettuja ja kansainvälisiä eettisiä standardeja sekä hyvää tieteellistä käytäntöä. Tutkimuseettinen neuvottelukunta (TENK) käsittelee suomalaisen tiedeyhteisön osalta tieteelliseen tutkimukseen liittyviä eettisiä kysymyksiä, tutkimusetiikkaa ja hyvää tieteellistä käytäntöä. Tietosuoja-asetukseen liittyvillä säädöksillä ei ole syytä puuttua tieteen itsesääntelyyn ja sen kautta kaventaa tieteen vapauden toteutumista. - Tieteen peruspilareita ovat tulosten falsifioitavuus sekä muun kansainvälisen tiedeyhteisön tekemä tulosten vertaisarviointi. Tämän keskeisen toiminnon toteutuminen edellyttää pääsyä tutkimustulosten takana olevaan tutkimusdataan. Uudet säädökset eivät saa haitata tai estää tutkimustulosten riippumatonta verifiointia ja toistamista. - Tieteellinen tutkimus on kansainvälistä ja rajat ylittävää. Teknologinen kehitys on tuonut tutkijoiden ulottuville suuria datamassoja. Niitä analysoimalla saadaan tuloksia, jollaisia aiemmin käytetyistä pienemmistä datoista ei pysty saamaan. TUHA-verkoston näkemyksen mukaan on varmistuttava siitä, ettei sääntely turhaan estä tai haittaa datan louhintaan ja suurten datamassojen käsittelyyn perustuvaa tieteellistä tutkimusta. - Tieteellinen tutkimus henkilötietojen ja arkaluonteisten tietojen käsittelyperusteena on turvattava. Tältä osin verkosto ei pidä suotavana mahdollisia kiristyksiä nykyiseen tilanteeseen nähden. - Viitaten Suomen museoliiton lausuntoon myös TUHA-verkosto pitää tärkeänä suomalaisten kulttuuriperintöorganisaatioiden toiminnan huomioon ottamista. Ne hallinnoivat tieteelliselle tutkimukselle tärkeitä lähdeaineistoja, joiden on jatkossakin oltava tutkijoiden saatavilla. Tutkimushallinnosta: - Tutkimushallinnolta ja tutkijoilta vaaditaan nykyään paljon raportointia ja seurantaa esimerkiksi rahoituksen käytön tai erilaisten tutkimukseen liittyvien lupien osalta. Hallinnollinen työ on aikaa vievää ja tutkijoiden tapauksessa aika on pois tutkimukselta. Digitalisoituminen tarjoaa paljon mahdollisuuksia automatisoida, sujuvoittaa ja nopeuttaa hallinnollista työtä sekä parantaa käyttökokemusta. Digitalisaation täysimääräinen hyödyntäminen edellyttää mahdollisuutta siirtää sekä tutkijoihin että tutkimukseen liittyviä tietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista tai kytkemistä muihin tietoihin. Tietojen siirtymisessä ei ole merkitystä sillä onko lähettävä vai vastaanottava järjestelmä aloitteellinen. Pitää huolehtia siitä ettei tietosuojalaki estä digitalisoitumisen mahdollistamaa kehitystä. - Organisaatioiden ja kansallisten tietovarantojen hyödyntäminen, integroiminen ja käyttö on oltava mahdollista tutkimuksen tukemiseksi. Eri varannoissa ja rekistereissä olevia tietoja on voitava uudelleenkäyttää tehokkaasti ja moderneilla keinoilla. Tieteen vapaus: - Ehdotuksessa ei ole käsitelty tietosuojalain suhdetta perustuslain 16 § mainittuun tieteen, taiteen ja ylimmän opetuksen vapauteen. Vaikka asia otetaan luvussa 2.1.9 esille ei mietinnössä käsitellä lakiehdotuksen suhdetta tieteen vapauteen. TUHA-verkosto toivoo käsittelyä myös tästä näkökulmasta lakiehdotuksen sisältäessä asioita, jotka voivat vaikuttaa perustuslaissa turvatun tieteen vapauden toteutumiseen. - TUHA-verkosto haluaa nostaa esille tietosuoja-asetuksessa esitettyjen sanktioiden mahdollisen vaikutuksen tieteen vapauteen. Jo sanktioiden uhka voi ohjata tutkijat tekemään tutkimusta, jossa pelkoa sanktioista ei ole. Niillä voi siten olla välillinen ja tarkoittamaton ohjausvaikutus, joka kaventaa merkittävästi tieteen vapauden toteutumista. Joskus jo tietojen arkaluonteisuus itsessään voi olla tutkimuksen syy. Muuta - Tietosuojalain valmistelu on syytä tehdä rinnakkain toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) kanssa siten, että lait täydentävät toisiaan eivätkä ole ristiriidassa keskenään. - Lopuksi TUHA-verkosto toivoo hallituksen esitykseen perusteluja kuvaamaan tietosuoja-asetuksen kansallisessa soveltamisessa tehtyjä valintoja, jotta asetuksen soveltaminen käytäntöön muodostuu sujuvaksi.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 37 §. Siirtymäsäännökset Ehdotuksen perustella, epäselväksi jää, mitä tapahtuu tietosuojavaltuutetun toimistossa vireillä oleville asioille (esim. rekisteröidyn oikeudet muuttuvat olennaisesti, miten henkilötietolain nojalla tehtyihin valitusasioihin suhtaudutaan näiltä osin? Henkilötietolain 36 §:n nojalla tehdyt ilmoitukset?). Jatkotyössä tulisi selvittää, mitkä asiaryhmät jäävät käsiteltäväksi ja mitkä raukeavat. Rekisteröityjen oikeuksien rajoittaminen Ehdotuksen jatkovalmistelussa tulisi arvioida huolellisesti mahdollisuus säätää henkilötietolain 27 §:ä vastaavista rajoitusperusteista eräisiin rekisteröidyn tietosuoja-asetuksen III luvun oikeuksiin alla ilmenevin perusteluin. Jos yleisiä rekisteröityjen oikeuksien rajoitusperusteita ei ole sisällytetty yleislakiin, merkitsee tämä merkittävää muutosta voimassa olevaan oikeustilaan ja lisää säännösten määrää. Oikeusturvan kannalta tämä merkitsee lisäksi sitä, että voi olla tilanteita, jossa olisi perusteltu tarve rajoittaa rekisteröidyn oikeuksia, mutta tällaista säännöstä ei sisälly erityislakiin tai kyseistä toimintaa ei koske mikään erityislaki. Tietosuoja-asetuksen keskeinen tavoite on suojata laajasti rekisteröidyn oikeuksia, joissain tilanteissa tämä voi tarkoittaa rekisteröityjen oikeuksien rajoittamista. Käytännössä tämä myös tarkoittaa, että toimialoittain erityislaissa jouduttaisiin yksityiskohtaisesti arvioimaan rajoitusperusteiden käsillä olo. Tietosuoja-asetus sisältää myös artiklakohtaisia rajoitusperusteista, joten rajoitusperusteiden tarpeellisuutta pitäisi arvioida myös tätä taustaa vasten. Tietosuojavaltuutettu katsoo, että oikeusministeriön tulisi ottaa ehdotuksen jatkovalmistelussa huomioon seuraavat rekisteröityjen oikeuksien rajoittamista koskevat seikat. 15 artikla rekisteröidyn oikeus saada pääsy tietoihin Artiklan mukaan rekisteröidyllä on muun muassa oikeus saada pääsy henkilötietoihin ja jäljennös henkilötiedoista. Rekisteröidyn oikeutta voidaan 4 kohdan mukaan rajoittaa. Sen mukaan oikeus saada 3 kohdassa tarkoitettu jäljennös ei saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin. Myös resitaaleissa 63-64 on esimerkkeinä vain muiden oikeuksia. 1) Näyttää ensinnäkin siltä, että mikään ei rajoita rekisteröidyn oikeutta saada pääsy tietoihin, koska rajoitus näyttää koskevan vain jäljennöksen saantia tiedoista. Useimmissa tilanteissa mahdolliset haitat ovat samat sekä silloin kun henkilö esim. vain saa tutustua tietoihin tai silloin, kun hän saa niistä jäljennökset. Esimerkiksi henkilötietolain 27 §:n mukaiset epäämisperusteet ovat samat siitä riippumatta, millä tavoin tarkastusoikeus toteutetaan. Myös pääsy tietoihin tulisi laissa rajata samoilla perusteilla kuin jäljennösten saantikin. Yleislakina sovellettavan HeTiL 27 §:n 2 momenttia on tietosuojavaltuutetun ratkaisukäytännössä sovellettu sekä viranomaisen että yksityissektorin toimintaan liittyvässä rekisterinpidossa. 2) Toisena ongelmana on, että pääsyä tietoihin ja jäljennöksen saantia ei voitaisi rajoittaa ollenkaan sen vuoksi, että se olisi vastoin rekisteröidyn etua tai hänelle haitallista (nykyinen HetiL 27 § 2 1 mom. 2 k). Jatkovalmistelussa tulisi arvioida tarve säätää siitä, että pääsyä tietoihin ja jäljennöksen saantia voidaan rajoittaa myös rekisteröidyn itsensä suojelun vuoksi. Pääsy tietoihin tai jäljennösten antaminen tulisi voida evätä siten myös sillä perusteella, että jäljennöksen antaminen tai pääsy tietoihin ei saa vaikuttaa haitallisesti rekisteröidyn oikeuksiin ja vapauksiin. Käytännössä esimerkiksi lastensuojelussa tarkastusoikeus evätään silloin, kun huoltaja pyytää saada tarkastaa lapsen puolesta lasta koskevia lastensuojelun rekisteritietoja ja on olemassa 27 §:n mukainen peruste evätä tarkastusoikeus. Epäämisperuste voi tulla suoraan lastensuojelun asiakasasiakirjojen sisällöstä ja siitä, että niiden antamisen huoltajalle olisi vastoin lapsen etua (eli saattaisi aiheuttaa vakavaa vaaraa lapsen eli rekisteröidyn terveydelle tai hoidolle). Vastaavaa kieltäytymisperustetta tietojen antamisessa huoltajalle on sovellettu myös terveydenhuollossa. Riittävän kehittynyt lapsi voi myös käyttämällä erityslain mukaista kielto-oikeuttaan kieltää tietojensa antamisen huoltajalleen tai muulle lailliselle edustajalleen. Sosiaalihuollon asiakkaan asemaa ja oikeuksia koskevan lain 11 §:n 3 momentin mukaan alaikäinen voi ottaen huomioon hänen ikänsä ja kehitystasonsa sekä asian laatu painavasta syystä kieltää antamasta itseään koskevia tietoja lailliselle edustajalleen, jollei se ole selvästi alaikäisen edun vastaista. Jos alaikäinen tai hänen laillinen edustajansa ovat asianosaisena sosiaalihuoltoa koskevassa asiassa, laillisella edustajalla on kuitenkin oikeus tiedonsaantiin siten kuin viranomaisten toiminnan julkisuudesta annetussa lain 11 §:ssä säädetään. Jos sosiaaliviranomainen on hyväksynyt alaikäisen kiellon ja kieltäytynyt antamasta tietoja, niin myös tietosuojavaltuutettu on hylännyt vanhemman tarkastuspyynnön HetiL:n 27 §:n nojalla ottaen huomioon lapsen ikä, kyseessä olevat asiakastiedot ja lapsen kielto-oikeuden käyttö. Vanhemman tarkastusoikeuden toteuttaminen tällaisessa tilanteessa tekisi tyhjäksi lapsen erityislain mukaisen kielto-oikeuden käytön. Henkilötietolaki on kuitenkin yleislaki. Terveydenhuollon lainsäädännössä on myös olemassa vastaavan kaltainen alaikäisen kieltäytymisoikeussäännös tietojen antamisesta huoltajalle kuin sosiaalihuollossa (laki potilaan asemasta ja oikeuksista 9 § 2 momentti). Sellainen säännös on myös opiskeluhuollon järjestämistä koskevassa oppilas- ja opiskelijahuoltolaissa (18 §). Huoltajan käyttäessä lapsen tarkastusoikeutta lapsen etu on ollut mahdollista turvata yksittäistapauksessa myös HeTiL:n 27 §:n perusteella, vaikka erityislaissa ei ole ollut tällaista säännöstä. 15 artikla ei näytä mahdollistavan ollenkaan tietojen saamisen epäämistä edellä kuvatussa tilanteessa, jossa lapsen vanhempi huoltajana tai tuomioistuimen määräyksen perusteella käyttää tarkastusoikeutta lapsen puolesta lasta koskeviin tietoihin. Tällaiseen tilanteeseen sopivasta epäämisperusteesta tulisi laissa säätää. Edellä kuvatun lisäksi erityisesti terveydenhuollossa on joskus tilanteita, joissa potilasta koskevien tietojen antamisesta potilaalle itselleen saattaisi aiheutua vakavaa vaaraa hänen terveydelleen ja hoidolleen. Tämä peruste voi koskeva myös sosiaalihuoltoa, koska jossain sosiaalihuollon yksiköissä syntyy myös potilastietoja. Esimerkiksi psykiatrisessa hoidossa on tilanteita, jolloin on potilaan edun vuoksi voitava evätä pääsy potilastietoihin erityisesti hoitojakson ollessa kesken. Pääsy tietoihin ja jäljennöksen saanti pitäisi pystyä epäämään myös tietosuoja-asetuksen voimaan tulon jälkeen silloin, kun rekisteröity itse pyytää tietojaan, jos niiden antamisen epääminen on tarpeen rekisteröidyn suojelemiseksi. Tästä pitäisi laissa säätää. 17 artikla oikeus tietojen poistamiseen Tämä artikla ei koskene julkista terveyden- ja sosiaalihuoltoa ja laissa säädettyä sosiaalivakuutusta tai (3 kohdan b kohdan mukaiset poikkeukset, mm. lakisääteinen velvoite). Ilmeisesti se koskee kuitenkin täysin yksityistä sosiaali- ja terveydenhuoltoa (perustuu asiakkaan ja yksityisen palvelunantajan väliseen palvelua koskevaan sopimukseen). Sosiaalihuollon asiakasasiakirjalaissa on kuitenkin samanlaiset määräykset sosiaalihuollon asiakasasiakirjojen säilytysajoista niin julkisen kuin yksityisenkin sosiaalihuollon osalta. Samoin potilastietojen säilytysaikoja koskee samat määräykset sekä julkisessa että yksityisessä terveydenhuollossa. On arvioitava, kattaako 3 kohdan c alakohdan mukainen poikkeusperuste (kansanterveyteen liittyvä yleinen etu) tilanteen, jossa esimerkiksi yksittäisen rekisteröidyn etu vaatisi oikeuden rajoittamista. Jos ei, on myös yksityisen terveydenhuollon osalta poikkeusperusteesta säädettävä erikseen. Olisi tarpeen arvioida mahdollisuutta säätää siitä, että oikeutta tietojen poistamiseen ei ole silloin, jos tietojen säilyttämisestä on laissa säädetty. Se soveltuuko tietosuoja-asetuksen 17 artiklan 3 kohdan b alakohta em. tilanteissa on epäselvää. 18 artikla oikeus käsittelyn rajoittamiseen Artiklassa ei ole mitään poikkeuksia tähän oikeuteen. Tämä oikeus ei voisi koskea viranomaistoimintaa sellaisenaan tai sen lukuun annettavaa palvelua, jonka vuoksi poikkeuksista tähän oikeuteen tulisi erikseen laissa säätää. Poikkeukset saattavat olla tarpeen myös muunlaisessa toiminnassa esimerkiksi silloin, kun tietoja käytetään laissa säädetyn tehtävän hoitamiseksi. Esimerkiksi lastensuojelussa käsitellään paljon arkaluonteisia henkilötietoja. On tavallista, että lapsen toinen vanhempi kiistää niiden tietojen oikeellisuuden, jotka on kirjattu toisen vanhemman kertoman mukaisesti tai sosiaalityöntekijän kirjaaman käsityksen oikeellisuuden. Lastensuojelun asiakaskirjauksissa on tavallista, että samasta asiasta on erilaisia kertomuksia ja että sosiaalityöntekijän käsitys lapsen perheen tilanteesta voi olla erilainen kuin lapsen vanhempien. Henkilötietolain nojalla on katsottu, että tämä ei tee kuitenkaan tiedoista virheellisiä. Sosiaalihuollon asiakasasiakirjoista pitääkin ilmetä eri osapuolten näkemykset, eikä esim. lapsen isän kertomaa asiaa voida poistaa sillä perusteella, että se lapsen äidin mielestä ei pidä paikkaansa. Tietoja voidaan sen sijaan täydentää lapsen äidin kertomuksella samasta asiasta. Lastensuojelun asiakastiedot ovat oleellisen tärkeitä lastensuojelun tarvetta arvioitaessa ja lastensuojelu palveluja annettaessa. Joudutaan mahdottomaan tilanteeseen, jos niitä ei saa käyttää sen vuoksi, että esim. lapsen huoltaja rekisteröidyn laillisena edustajana kiistää tietojen oikeellisuuden. Lastensuojelu saattaisi mennä kyseisen artiklan 2 kohdan mukaisen poikkeusperusteen alaan, jonka mukaan rekisteröidyn kiistämisestä huolimatta tietoja saisi käsitellä tärkeää jäsenvaltion yleistä etua koskevista syistä. Kiistettävien tietojen laadusta riippuen käyttökielto saattaa johtaa siihen, että esim. lakisääteisiä eläkkeitä tai muita etuuksia ei voida myöntää tai maksaa. Tämän vuoksi tästä artiklasta olisi selvintä säätää poikkeusperusteet, koska on hyvin tulkinnanvaraista, mikä toiminta menee ”tärkeän jäsenvaltion yleisen edun” piiriin. Käsittelyn rajoittamista koskevaan oikeuteen on välttämätöntä säätää poikkeus muun muassa kattamaan tilanteen, jossa potilas on kiistänyt potilastietojen paikkansapitävyyden, ja tietoja olisi kuitenkin potilaan (mahdollisesti myös elintärkeän) edun vuoksi voitava käyttää potilaan hoitoa järjestettäessä ja toteutettaessa. 18 artiklan 2 kohdassa mahdollistetaan tietojen käsittely toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi. Ottaen huomioon yleisen tietosuoja-asetuksen tavoite rekisteröidyn oikeuksien vahvistamisesta on tärkeää, että rekisteröidyn etu säädetään perusteeksi rajoittaa tätä oikeutta. Näin ollen 18 artiklan mukaiseen oikeuteen on säädettävä 23 artiklan 1 kohdan i-alakohtaan perustuva rajoitus rekisteröidyn suojaamiseksi. Johtopäätös Nyt ehdotettua sääntelyä tulee tarkastella vielä edellä mainittuja muutosehdotuksia sekä tietosuoja-asetusta vasten yksityiskohtaisemmin, jotta voidaan saavuttaa mahdollisimman selkeä oikeustila ja rekisteröidyn oikeuksien suojelu pystytään turvaamaan parhaalla mahdollisella tavalla.
      • Työ- ja elinkeinoministeriö, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Kansallisten tulkintojen yhtenäisyyden ja erityislainsäädännön asetuksen mukaisuuden varmistamiseksi olisi tärkeää löytää jatkotyössä yhteisiä linjauksia siitä, miten kansallista liikkumavaraa tulee käyttää erilaisissa useilla hallinnonaloilla toistuvissa tilanteissa. Profilointi. Työnvälityksen, rekrytoinnin ja osaamisen kehittämisen palveluissa on aivan keskeistä asiakaslähtöiset, asiakkaiden tarpeiden arviointiin perustuvat palvelut. Käytetty termi on profilointi, kun arvioidaan asiakkaiden palvelutarpeita, riskiä pitkittyvään työttömyyteen jne. Tavoite on, että big dataa ja tekoälyä hyödyntäen profiilit muodostuvat automaattisesti. Asiak-kaille muodostetaan automaattisesti osaamisprofiili. Myös työnvälitystoiminnan ytimessä oleva työnhakijoiden ja työpaikkoja yhteensovittaminen eli kohtaannon aikaansaaminen perustuu profiileja hyödyntävään automatiikkaan, osaamis- ja työpaikkaprofiileja ”mätsätään” automaattisesti. Eu-tietosuoja-asetuksen art.22 perusteella lähtökohtaisesti profilointi on kielletty, mutta mah-dollista tietyin edellytyksin (artiklat 6 ja 9 sekä 23). Kysymys kuuluu, onko työvoimapalvelu-jen/kasvupalvelujen henkilötietojen käsittely EU tietosuoja-asetuksen tarkoittamaa profilointia ja automatisoitua päätöksentekoa, erityisesti kun mm. matching-tulokset yhdistetään työttö-män työnhakijan työnhakuvelvoitteisiin ja/tai työttömyysturvan saannin ehtoihin. Jos palve-lutarpeiden arvioinnissa, työllistyvyyskuilujen ja rekrytointikuilujen automaattisessa tunnista-misessa ja tietojärjestelmän tekemässä automaattisessa mätsäyksessä on kysymys asetuk-sen tarkoittamasta automaattisesta profiloinnista, tulisi tämä mahdollistaa ja kansallinen liik-kumavara ottaa käyttöön. Henkilön tunnistaminen ja yksilöinti. (art 87). Uudessa tietosuojalaissa säilyisi nykyisen henkilö-tietolain 13§:n tilanne. Tämä on tärkeää siksikin, että tietojärjestelmissä ja sähköisessä asioin-nissa henkilötietojen käsittely perustuu hetu/satun käyttöön. Pohdinnat keinoista henkilön yksilöintiin ja tunnistamiseen liittyen toivoisi johtavan siihen, että sekä henkilön yksilöinti että tunnistaminen onnistuvat tietoteknisin keinoin. Tämän hetkisessä tilanteessa tietosuojavaltuutetulla kestää jopa 4-5 kk antaa ohjausta/lausuntoja isoille tieteellisen tutkimuksen hankkeille. Mikä on se tapa järjestää ohjaus/neuvonta ennustettavaksi, jotta toimijat voivat ennakoida suunnitelmissaan ajan, lienee avainkysymys.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Yleisesti ottaen Viestintävirasto toteaa, että TATTI- työryhmän työ on ollut haasteellinen. Viestintävirasto toivoo, että jatkotyössä kiinnitettäisiin huomioita lainsäädännön sisällön ja tekstin selkeyteen sekä lainsäädäntökehyksen ymmärrettävyyteen esimerkiksi kirjoittamalla joitakin pykäläviittauksia mahdollisuuksien mukaan auki. Viestintävirasto myös pitää tärkeänä sektorikohtaista jatkotyötä, jossa kartoitetaan kansallisen erityislainsäädännön tarve varmistaen lainmukainen henkilötietojen käsittelyn oikeusperusta tai tietojen käsittelytapa.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on pyytänyt lausuntoa yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. Liikenne- ja viestintäministeriö kiittää mahdollisuudesta lausua asiassa. Liikenne- ja viestintäministeriö on nimennyt jäsenen nyt mietinnön antaneeseen työryhmään ja esittänyt keskeiset näkemyksensä jo työryhmätyöskentelyn aikana. Liikenne- ja viestintäministeriö pitää henkilötietojen korkeatasoisen suojan ja yksityiselämän suojan turvaamista erittäin tärkeinä tavoitteina ja henkilö-tietojen käsittelyä koskevan lainsäädännön uudistamista välttämättömänä. Yleinen tietosuoja-asetus jättää jäsenvaltioille kuitenkin huomattavaa kansallista liikkumavaraa. Liikenne- ja viestintäministeriö on työryhmässä korostanut aktiivista yleisen tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran käyttöä, varsinkin silloin, kun liikkumavaran käytöllä voitaisiin edistää hallitusohjelman tavoitteita ja parantaa edellytyksiä tiedon monipuoliselle hyödyntämiselle. Tiedon hyödyntäminen Liikenne- ja viestintäministeriö pitää erittäin tärkeänä sitä, että Euroopan unionin yleinen tietosuoja-asetus sekä uusi kansallinen tietosuojasääntely luovat modernin ja vahvan suojan henkilötiedoille. Henkilötietojen asian-mukainen käsittely on olennainen osa luotettavien digitaalisten palveluiden rakentamista ja digitaalista liiketoimintaa. Datatalouden kehittymisen myötä datan hyödyntämisen ja asianmukaisen käsittelyn merkitys vain kasvavat tulevaisuudessa. Selkeän sääntelyn lisäksi on tärkeää, että henkilötiedon hyödyntämien on käytännön tasolla ihmiskeskeistä esimerkiksi omadata-mallin mukaisesti. Yleiseen tietosuoja-asetukseen on jätetty kansallista liikkumavaraa, ja oikeusministeriön työryhmä antanee syksyllä suosituksia sen käytöstä. Suomessa on työryhmän teettämän selvityksen mukaan useita satoja säännöksiä henkilötietojen käsittelystä. On norminpurun ja selkeän sääntelyn mukaista, että turhasta sääntelyn luovutaan. Liikkumavaraa ei kuitenkaan tulisi kansallisesti tulkita supistavasti silloin, kun kansallinen erityissääntely on perusteltua. Silloin kun erityssääntelyllä voitaisiin tukea hallitusohjelman tavoitteiden toteutumista, kansallista liikkumavaraa tulisi käyttää aktiivisesti. Tietoa on esimerkiksi pystyttävä erityislainsäädännön nojalla luovuttamaan viranomaisen rekistereistä asianmukaisten edellytysten täyttyessä yhteiskuntaa hyödyttäviin käyttötarkoituksiin, kuten kehitys- ja innovaatiotoimintaan. Myös asiakirjajulkisuudesta on tietosuoja-asetuksessa kansallista liikkumavaraa. Työryhmä ei kuitenkaan ole yksimielinen julkisuuslain muutos-tarpeista. Liikenne- ja viestintäministeriö pitää kannatettavana, että julkisuuslain muutostarpeita tarkastellaan suurempana kokonaisuutena niin, että voidaan tukea tiedon hyödyntämistä. Digitalisaation myötä myös viranomaistehtävät muuttuvat, ja viranomaiset tarjoavat asiakkaille yhä enemmän erilaisia tietopalveluita. Suomessa on kansainvälisellä tasolla merkittävät rekisteriaineistot, joiden tehokkaampi hyödyntäminen voi olla merkittävä kilpailukykytekijä, kunhan tietosuojasta ja -turvasta huolehditaan. Tietovarantojen paremmalla hyödyntämisellä voidaan luoda hallitus-ohjelman digitaalisen liiketoiminnan kasvuympäristön rakentamisen kärki-hankkeen tavoitteiden mukaisesti edellytyksiä uusille liiketoimintaideoille.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML pitää tärkeänä pikaisesti käynnistettävää mutta huolellisesti tehtävää jatkotyötä jossa mietinnössä esiteltyjen tietosuojalautakunnan lupien mukaiset esimerkiksi petosten estämiseen liittyvät toimintamallit voisivat jatkua uuden kansallisen sektorisääntelyn turvin.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH ei ole ollut mukana valmistelussa eikä virastoa ole valmistelun aikana kuultu. Lausuntopyyntöä työryhmän mietinnöstä ei ole myöskään toimitettu PRH:lle eikä PRH ole edes mukana jakelulistassa. PRH pitää kuitenkin yllä yhteiskunnan keskeisiä perusrekistereitä (mm. kaupparekisteri, yhdistysrekisteri ja säätiörekisteri), joihin on muun ohella rekisteröidään tietosuoja-asetuksessa ja ehdotetussa laissa tarkoitettuja henkilötietoja. Esimerkiksi pelkästään kauppareksiterissä on yli 200 000 elinkeinonharjoittajaa ja 260 000 osakeyhtiöitä, joiden rekisteritiedoissa on huomattava määrä eri vastuuasemissa olevien henkilöiden henkilötietoja ja näihin tietoihin kohdistuva muutosilmoituksia tai tietopyyntöjä tehdään satoja tuhansia vuodessa. Vaikutukset PRH toimintaan seuraavat EU:n tietosuoja-asetuksesta, eivät juurikaan nyt valmistelussa olevasta lainsäädännöstä. PRH pyytää, että sillä olisi jatkossa mahdollisuus osallistua nykyistä paremmin asian valmisteluun.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitto pitää tärkeänä, että julkisuuslain säännökset tarkistetaan tietosuoja-asetuksen johdosta mahdollisimman pian.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Työryhmän mietintö on monin pakoin aukollinen eikä muun muassa lainkaan mainitse kirjastoja. Tietosuojalakia koskevaa esitystä olisi näiltä osin jatkotyön kuluessa täsmennettävä. Tämä on tärkeää jo sen vuoksi, että asetus mahdollistaa ankarat sanktiot joita voidaan mahdollisesti asettaa myös julkisille toimijoille. Epäselvässä oikeustilanteessa jo pelkkä sanktioiden uhka johtaa helposti ylivarovaisuuteen, erityisesti nyt kun nykyisestä tietosuojalautakunnan ennakkolupakäytännöstä tullaan luopumaan.Tämä rajoittaisi tiedon liikkuvuutta ja kaventaisi vapaan tutkimuksen mahdollisuuksia.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • EK yhtyy mietinnön yritysvaikutuksia koskevassa arviossa esitettyyn, että yritykset kokevat tietosuoja-asetuksen ongelmalliseksi. Asetuksesta aiheutuu yrityksille merkittäviä kustannuksia, minkä lisäksi asetuksesta seuraa oikeudellista epävarmuutta. Kokonaisuutena tietosuojalainsäädännön muutos vaikuttaakin näyttäytyvän yrityksissä riskinä. Lainsäädännön yhdenmukaistumisen luomat mahdollisuudet sisämarkkinoilla jäävät mm. ankarien hallinnollisten sakkojen, artikla 29:n mukaisen tietosuojatyöryhmän asetuksen tulkintaa tiukentavien linjausten ja asetuksen tulkinnanvaraisuuden peittoon. Asetuksen myötä myös tietosuojaviranomaisen rooli muuttuu merkittävästi. Kuten edellä on todettu, neuvovan ja ennakkoon ohjaavan viranomaisen toiminta vaikuttaa muuttuvan jälkikäteistä valvontaa painottavaksi, mitä mielikuvaa vahvistavat etenkin vahvat hallinnollisiin sakkoihin liittyvät toimivaltuudet. EK pitää kuitenkin tärkeänä, että yritysten olisi myös jatkossa mahdollista kehittää omia henkilötietojen suojan mallejaan viranomaisen myötävaikutuksella, saaden lisäarvoa yhteistyöstä viranomaisen kanssa.
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • Lapsia koskevissa ja heihin vaikuttavissa asioissa tulisi tehdä lapsivaikutusten arviointi, jotta lapsen etu voidaan ensisijaisena harkintaperusteena ottaa huomioon päätöksenteossa. Lapsivaikutusten arviointiin kuuluu myös lasten ja nuorten näkemysten selvittäminen. Työryhmä ei ole tehnyt lapsivaikutusten arviointia. Mediakasvatuksen merkitys korostuu koko ajan yhteiskunnan digitalisoituessa. Riittävät mediataidot on keskeisimpiä kansalaistaitoja. Mediakasvatuksen kohteena eivät ole vain lapset ja nuoret, vaan myös vanhemmat ja lasten ja nuorten kanssa työskentelevät tarvitsevat mediataitoja lasten ja nuorten ohjaamiseen ja tukemiseen mediankäytössä. YK:n lapsen oikeuksien komitea on suositellut verkkopalvelujen kehittämisessä yhteistyötä kansalaisyhteiskunnan kanssa ja korostanut mediakasvatuksen merkitystä. Mediakasvatus ja sen kehittäminen vaativat viranomaisten ja kolmannen sektorin moniammatillista yhteistyötä. Kansalaisyhteiskunnan toimijoita tulee mediakasvatuksen saralla tukea. Yhteistyötä tulee vahvistaa myös valtion, kansalaisyhteiskunnan ja ICT-yritysten välillä. Useat ICT -toimijat ovatkin jo pohtineet lapsen oikeuksia omassa yritystoiminnassaan. Tietosuoja-asetuksen toimeenpano jättää kuitenkin epäselväksi sen, kuinka yrityksiä tuetaan ja valvotaan tietosuoja-asetuksen noudattamisessa.
      • Maaseutuvirasto
        Päivitetty:
        8.9.2017
        • Julkisuuslaki olisi syytä tässä yhteydessä avata, sillä säännökset ja käsitteet ovat auttamatta vanhentuneet. Liitteen 4 ehdotuksessa (13 §) todetaan, että ”tiedon pyytäjän ei olisi enää vastaisuudessa ilmoitettava henkilötietoja luovuttavalle viranomaiselle, miten tietojen suojaus olisi tarkoitus järjestää. Viranomaisen on käytännössä vaikea soveltaa tätä vaatimusta, joten riittävää olisi, että viranomaiselle ilmoitettaisiin henkilötietojen käyttötarkoitus.” Viranomaisen edellyttämä selvitys henkilötietojen suojaustavasta on käytännössä osoittautunut varsin toimivaksi. Julkisuuslain 13 § on ollut hyvä selkänoja saada tiedon pyytäjä ymmärtämään henkilötietojen käsittelyn vastuut ja vaatimukset. Selvityksen ja keskustelevan ohjeistuksen myötä tiedon pyytäjä tulee tietoiseksi siitä, mitä henkilötietojen käsittelyltä edellytetään. Ilman nimenomaista pykälää olisi vaikeampi perustella, miksi selvitystä vaaditaan. Tietosuoja-asetuksesta ei ole yhtä helppo osoittaa juuri tiettyä artiklaa, jonka nojalla selvitys on oikeutettua pyytää. Tällöin tiedon pyytäjä saattaa kokea, että viranomaisen vaatimus saada selvitys tietojen suojaustavasta on tiedon saannin turhaa hankaloittamista.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Yleinen tietosuoja-asetus mahdollistaa kansallisen asiakirjajulkisuuden yhteensovittamisen henkilötietojen suojan kanssa. Työryhmä on pohtinut asiaa mutta ei ehdota viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki) muuttamista. Osa työryhmästä (puheenjohtaja ja kaksi jäsentä) kuitenkin katsovat julkisuuslain eräiden säännösten muuttamisen perustelluksi. Yhdyn tähän näkemykseen. Kuten mietinnön 4. liitteessä todetaan, tietosuoja-asetuksen myötä henkilötietojen käsittelyn lainmukaisuuden edellytykset väljentyvät nykyisestä, ja tästä syystä myös julkisuuslain 16 §:n 3 momentin suoja henkilötiedoille muuttuu. Ylipäätään julkisuusperiaatteen toteuttamiseksi on välttämätöntä jossain määrin poiketa henkilötietojen käsittelyn edellyttämästä käyttötarkoitussidonnaisuudesta. Tästä julkisuuden ja henkilötietojen suojan väistämättömästä yhteensovittamisen tarpeesta lähtien pidänkin perusteltuna liitteessä (s. 210) esitettyä julkisuuslain kehittämisajatusta siitä, että ”… viranomaisen asiakirjoista voisi antaa henkilötietoja, jos tietojen vastaanottajalla on yleisen tietosuoja-asetuksen mukainen oikeus käsitellä tietoja. Henkilötietojen käyttötarkoitus voisi olla esimerkiksi vastaanottajan henkilökohtainen tarkoitus, jolloin tietojen käsittely kuuluisi kotitalouspoikkeuksen soveltamisalaan.” Liitetekstistä haluan nostaa erityisesti esille myös seuraavat kohdat, joissa todettuun voin omalta osaltani pitkälti yhtyä: ”Nykyisen yhteensovittamisen puutteellisuudet seuraavat osittain siitä, että tietojen luovuttamista ja jakamista koskevat ratkaisut perustuvat 20 vuoden takaiseen tarkasteluun. Yhteensovittaminen pohjautuu siten keskeisiltä osin erilaisten tiedonluovutustapojen erittelemiseen ja nykyisin jo vanhentuneeseen käsitteistöön kuten tuloste ja kopio. Samoin tietojen luovuttamista henkilörekisteristä koskee oma säännöksensä. Henkilötietojen suojaa koskevassa lainsäädännössä henkilörekisterin käsitteellä ei kuitenkaan ole enää vastaavaa merkitystä kuin 20 vuotta sitten. … Muuttuneessa tietojenkäsittely-ympäristössä luovutusrajoitusta, joka koskee rekistereissä ja luetteloissa olevia henkilötietoja, sekä tietojen sähköistä luovuttamista, ei voitane pitää enää riittävänä sen varmistamiseksi, ettei henkilötietoja käsitellä henkilötietojen suojaa koskevien säännösten vastaisesti. Luovutettaessa tietoja viranomaisen rekisteristä, viranomaisen voi olla käytännössä mahdotonta tietää, tallennetaanko esimerkiksi suullisesti annettuja tietoja. Myös siitä varmistuminen, että tietoja ei tallennettaisi esimerkiksi valokuvaamalla, voi olla vaikeaa, ellei jopa mahdotonta.” Jatkovalmistelussa pidän huomionarvoisena myös liitteen johtopäätöstä siitä, että (s. 212): ”henkilötietoja tulisi voida luovuttaa samoin edellytyksin viranomaisen luona, suullisesti tai sähköisesti. Tämä edellyttäisi saantitavasta riippumattomasta nykyisenkaltaisesta ilmoitusvelvollisuudesta säätämistä. Erilaisten tiedonluovutustapojen yhdenmukaistamisen johdosta henkilötietoja voitaisiin luovuttaa sähköisestikin aina, jos on ilmeistä, ettei luovutus johda rekisteröidyn yksityisyyden loukkaamiseen. Tämä edistäisi tietojen sähköistä luovutusta sekä modernisoisi ja selventäisi nykytilaa.” Työryhmä katsoo, että ryhmäkanne voisi olla mahdollinen oikeussuojakeino henkilötietojen suojassa, ja esittää ryhmäkanteen tarpeellisuuden selvittämistä. Kannatan tällaista selvitystä. Mietinnön 5. liitteeseen sisältyvät tietosuojaviraston resursointiin liittyvät tiedot ovat nähdäkseni erittäin huomionarvoisia. Tietosuojaviraston tehtävät ovat perusoikeussidonnaisia ja katson, että perustuslain 22 §:n toimeksiannon kautta julkisella vallalla on velvollisuus huolehtia tämän perusoikeussuojan tehokkaasta toteuttamisesta myös toimivaltaisen viranomaisen riittävän resursoinnin puolesta.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy yhtyy mietinnön liitteessä 4. esitettyyn kantaan, jonka mukaan henkilötietoja tulisi voida luovuttaa samoin edellytyksin viranomaisen luona, suullisesti tai sähköisesti. Luovutustapaa ei voida nykypäivänä pitää ratkaisevana henkilötietojen suojan kannalta. Suomen Asiakastieto Oy pitää tärkeänä, että viranomaiset (oikeusministeriö, tietosuojaviranomaiset) aloittavat välittömästi tietosuoja-asetusta koskevan yleiseen tiedottamisen ja opastavan materiaalin tuottamisen. Asetuksen sisällöstä ja vaikutuksista on liikkeellä runsaasti väärää tietoa. Tietosuojasääntelyn epäselvyys sekä edelleen muuttuvat tulkinnat antavat erittäin huonon kuvan sääntelyn yleisestä tasosta ja koko sääntelyprosessista sekä EU:ssa että Suomessa.
      • Aalto-yliopisto
        Päivitetty:
        8.9.2017
        • Työryhmän mietinnön mukaan työryhmä on selvittänyt kansallisia lakeja ja mahdollista Pohjoismaisia yhteisiä ratkaisuja. Tätä pohjoismaista yhteistyötä on syytä jatkaa, ja pyrkiä hyödyntämään sitä huolellista selvitys - ja lainvalmistelutyötä, jota Ruotsissa on toteutettu sekä mietinnössä SOU 2017:39 että tutkimuksen osalta erityisesti mietinnössä SOU 2017:50. Viranomaisten asiakirjojen julkisuus ja henkilötietojen suoja TATTI-työryhmän mietinnön kappaleessa 3.2.2 todetaan, että “Yleinen tietosuoja-asetus mahdollistaa kansallisen asiakirjajulkisuuden sovittamisen yhteen yleisen tietosuoja-asetuksen mukaisen henkilötietojen suojan kanssa. Kansallinen liikkumavara koskee myös yksityisoikeudellisten yhteisön asiakirjoja näiden toimiessa yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi.” Työryhmältä ei syntynyt yhteistä esitystä yhteensovittamisesta. TATTI-työryhmän mietinnön liitteenä 4 on kuitenkin työryhmän eräiden jäsenten ehdotus luonnokseksi laiksi viranomaisten toiminnan julkisuudesta annetun lain (julkisuuslaki 621/1999) muuttamisesta. Ehdotuksen perusteluissa pohditaan julkisuusperiaatteen ja tietosuojan yhteensovittamista erityisesti henkilötietojen käsittelyn tarkoitussidonnaisuus huomioiden. Ehdotuksen mukaan “Henkilötietojen suoja ja julkisuusperiaate voitaisiin yksityiskohtaisista perusteluista tarkemmin ilmenevin perusteluin sovittaa yhteen siten, että viranomaisen asiakirjoista voisi antaa henkilötietoja, jos tietojen vastaanottajalla on yleisen tietosuoja-asetuksen mukainen oikeus käsitellä tietoja.” Voimassa olevassa julkisuuslaissa tiedon vastaanottajan oikeudella käsitellä pyydettyjä henkilötietoja on vaikutusta henkilötietojen antamistapaan viranomaisen henkilörekisteristä, ei sinänsä oikeuteen saada tieto julkisesta asiakirjasta (julkisuuslaki 9§, 16.1§ ja 16.3 §). Esimerkiksi oppilaitoksissa käsitellään runsaasti hakijoiden ja opiskelijoiden julkisiksi katsottavia henkilötietoja, joista jokaisella on oikeus saada pyydettäessä tieto, mutta niiden luovutukseen kopiona, tulosteena tai sähköisessä muodossa sovelletaan julkisuuslain 16.3 §:n luovutusrajoituksia. TATTI-työryhmän mietinnön liitteen 4 ehdotus olisi siis toteutuessaan selvä muutos nykytilaan. Toivottavaa on, että julkisuuslain säännöksiä selkiytetään tietosuojan ja asiakirjajulkisuuden yhteensovittamisen osalta. TATTI-työryhmän mietinnön liitteen 4 ehdotuksessa on aiheellisesti todettu tarve tarkastella julkisuuslain luovutusrajoitusten sekä henkilörekisterin käsitteen ajantasaisuutta. Ehdotuksessa ei ole kuitenkaan riittävästi pohdittu muutoksen vaikutuksia julkisuusperiaatteen toteutumiselle tai viranomaisten toimintaan. Tietosuojan ja asiakirjajulkisuuden yhteensovittamisen jatkokäsittelyn tulisi perustua kattavampaan selvitykseen. Samalla tulisi selkiyttää sitä, mitä julkisuuslaissa tarkoitetaan teknisen käyttöyhteyden avaamisella viranomaisen henkilörekisteriin sekä mahdollistaa teknisen käyttöyhteyden avaaminen myös muille rekisterinpitäjille kuin viranomaisille tietyin edellytyksin rekisteröidyn suostumuksella.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Oikeusrekisterikeskuksen huomiot työryhmän eräiden jäsenten ehdotuksesta luonnokseksi viranomaisten toiminnan julkisuudesta annetun lain muuttamisesta (liite 4). Oikeusrekisterikeskus toteaa, että ehdotus selkiyttäisi viranomaisten julkisuudesta annetun lain (jäljempänä julkisuuslaki) soveltamista ja muuttaisi tekstin nykyaikaisempaan sekä ymmärrettävämpään muotoon. Ehdotetun muutoksen käytännön vaikutukset jäisivät vähäisiksi, mutta julkisuuslakia olisi muutoksen myötä helpompi tulkita. Lisäksi Oikeusrekisterikeskus kiinnittää huomiota tietojen suojaamisen tarpeeseen useammasta näkökulmasta. Tietosuojan osalta ja sen varmistamiseksi edellytetään useita tietoturvallisuuden kanssa päällekkäisiä menettelytapoja. Näitä olisi julkishallinnon viranomaisille linjattava ja myös ohjeistettava aiempaa tarkemmin, koska muuten viranomaisten menettelytavat vaihtelevat paljon. Rinnakkain meneillään olevassa tiedonhallintalain uudistamisessa, ja sen yhteydessä julkisuuslain ja tietoturvallisuusasetuksen muuttamiseksi, ja näiden luonnoksissa ei tietojen suojaamiseen henkilötietojen taikka arkaluonteisten henkilötietojen näkökulmasta edellytetä yhtenäisiä menettelytapoja eikä toisin päin. Aiemmin tietoturvallisuusasetus ohjasi osaltaan myös mm. arkaluonteisten henkilötietojen käsittelyä ja tietoriskienhallintaa. Jatkossakin yhtenäisemmän hallinnan, erityisesti riskienhallinnan, kautta voisi viranomaisten riskienhallinnalta edellytettävien prosessien ja dokumentaatioiden edellyttää kattavan myös henkilötietojen käsittelyn riskit sekä niiden hallinnasta mahdollisesti jäävät jäännösriskit asianmukaisesti yhtenäisin menettelyin. Lisäksi Oikeusrekisterikeskus kiinnittää huomiota tietojen maksullisuuden ja teknisen käyttöyhteyden sääntelyyn. Julkisuuslain 34 §:n 1 momentin 3-4 kohdissa säädetään sähköisesti talletettujen asiakirjojen luovuttamisen maksuttomuudesta sähköpostitse. Käytännössä tiedon pyytäjä saa asiakirjat nykyisinkin talletustavasta riippumatta sähköpostitse, mutta muutoin kuin sähköisesti talletettujen asiakirjojen skannaamisesta peritään julkisuuslain 34 §:n 3-4 momenteissa säädetty maksu. Edellä mainitun johdosta Oikeusrekisterikeskus katsoo, että sähköisen tiedonantamistavan ollessa lähtökohta, tulisi tietojen maksullisuudesta säätää julkisuuslain 34 §:ssä selkeästi, jotta viranomaisten välillä ei syntyisi tulkintaeroja. Teknisestä käyttöyhteydestä säädetään useissa erityislaessa sekä yleislakeina toimivissa henkilötieto- ja julkisuuslaissa. Oikeusrekisterikeskus katsoo, että teknisen käyttöyhteyden sääntelyä tulisi tarkastella ja uudistaa kokonaisuutena
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Julkisuuslain ja henkilötietolain yhteensovittamista pitäisi kehittää joustavammaksi, siten, että moderneja tietojenkäsittelymuotoja voitaisiin hyödyntää paremmin.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Muut kommentit työryhmän mietinnöstä Yleisinä huomioina toteamme, että vaikka TATTI-työryhmän työmäärä ollut valtava, työryhmän mietintö on hyvin perusteellisesti laadittu ja esitys on myös jäsennelty, mikä helpottaa esityksen lukemista. Avoimeksi jääneet asiat on nostettu selkeästi esille. Työmäärän kokoon nähden mietintö on varsin selkeä ja lakiehdotuksen laatu on hyvä. Esityksessä on kuvattu sääntelyn yritysvaikutuksia sivulla 134 todeten, että ”Tällä esityksellä ei ole merkittäviä yritysvaikutuksia. Yritysvaikutukset seuraavat pääasiassa yleisestä tietosuoja-asetuksesta”. Kyseinen lause antaa väärän mielikuvan siitä, että tietosuoja-asetuksella ja sen saattamisesta osaksi kansallista lainsäädäntöä ei olisi merkittäviä vaiku-tuksia yritykselle. Tietosuoja-asetuksen voimaantulo ja sen mukanaan tuomiin uusiin velvollisuuksin varautuminen, mukaan lukien vanhojen järjestelmien saattaminen lain mukaisiksi ja prosessien päivittäminen, on yrityksille erittäin merkittävä kustannus, joka tulisi tuoda selvemmin esille yritysvaikutuksia koskevassa osiossa. Koska tietosuoja-asetusta sovelletaan laaja-alaisesti kaikkeen henkilötietojen käsittelyyn toimialasta riippumatta, ovat vaikutuksen senkin vuoksi erittäin suuret. Vaitiolovelvollisuutta käsittelevään 34 §:n on lisätty vaitiolovelvollisuuden kohteeksi liike- ja ammattisalaisuudet. Asiaa ei kuitenkaan ole mitenkään avattu tai perusteltu pykäläkohtaisissa perusteluissa. Pyydämme tältä osin täydentämään perusteluita. Tietosuojalautakunnan lupiin perustuvat rekisterit Rikostuomioihin ja rikkomuksiin liittyvä henkilötietojen käsittely on aiemmin perustunut tietosuojalautakunnan myöntämään lupaan. Tietosuojalautakunnan lakkauttaminen merkitsee kyseisten lupien loppumista. Kyseisillä rekistereillä on suuri merkitys pankki- ja vakuutustoiminnassa. Mietinnössä todetaan sivulla 39, että käsittelystä tulisi säätää sektori-kohtaisessa lainsäädännössä ja että työryhmän mielestä olisi perusteltua, että lupien mukainen käsittely voisi jatkua yleisen tietosuoja-asetuksen tullessa sovellettavaksi. OP pitää tärkeänä sitä, että asia huomioidaan pikaisesti sektorikohtaisessa lainsäädännössä, jotta käsittely voisi jatkua käytännössä saumattomasti ilman, että käsittelyä joudutaan välillä keskeyttämään tai joudutaan tilanteeseen, jossa käsittelylle ei ole löydettävissä perustetta lainsäädännöstä. Pyydämme siten kiirehtimään asian valmistelua asianomaisissa ministeriöissä. Muut erityislainsäädännössä huomioitavat asiat Esitetyn tietosuojalain lisäksi henkilötietojen käsittelystä säädetään sektorikohtaisessa erityislainsäädännössä. Kyseisten säädösten päivittäminen on vasta alkamassa. Henkilötietojen käsittelyä tulee pankki- ja vakuutustoiminnassa pystyä jatkamaan tietosuoja-asetuksen voimaantulon jälkeen samassa laajuudessa kuin aikaisemminkin. Tähän liittyviä tärkeitä erityislainsäädännössä huomioitavia asioita ovat mm. seuraavat asiat: • Tietojen vaihto yritysryhmän sisällä Finanssialaa koskevissa erityslaeissa on mahdollistettu pankki- ja vakuutussalaisuuden alaisten tietojen luovuttaminen tietyin edellytyksin. Pankki- ja vakuutussalaisuuden alainen tieto kattaa myös henkilötiedot. Jatkossa on tärkeää turvata finanssialaa koskevassa erityislainsäädännössä tietojen käsittely konsernin, rahoitus- ja vakuutusryhmittymän tai muun taloudellisen yhteenliittymän sisällä samassa laajuudessa kuin miten sitä on voitu toteuttaa tähänkin saakka. Samalla tulee varmistaa, että yritysten yhteenliittymät, kuten samaan rahoitus- ja vakuutusryhmittymään kuuluvat yritykset sekä talletuspankkien yhteenliittymistä annetun lain mukaiset yhteenliittymät, rinnastetaan konsernirakenteisiin tietosuoja-asetuksen soveltamisen osalta. Alla olevat säännökset ovat esimerkkejä finanssialan erityislainsäädännöstä: o Luottolaitoslain 15 luvun 15 §:ssä säädetään tietojen luovuttamisesta samaan konsolidointiryhmään, rahoitus- ja vakuutusryhmittymään tai yhteenliittymään kuuluvalle yritykselle. o Rahoitus- ja vakuutusryhmittymien valvonnasta annetun lain 33 §:n mukaan ryhmittymään kuuluvalla yrityksellä on oikeus antaa salassa pidettäviä tietoja toiselle ryhmittymään kuuluvalle yhteisölle asiakaspalvelua ja muuta asiakassuhteen hoitamista, markkinointia sekä ryhmittymän riskienhallintaa varten. o Vakuutusyhtiölain 30 luku 3 § 10-kohdan mukaan rahoitus- ja vakuutusryhmittymään kuuluvalle yritykselle voidaan luovuttaa salassapitovelvollisuuden alaisia tietoja asiakaspalvelua ja muuta asiakassuhteen hoitamista, markkinointia, ryhmävalvontaa sekä riskienhallintaa varten. Tietojen luovutus on mahdollista myös samaan taloudelliseen yhteen-liittymään kuuluvalle yritykselle markkinointia sekä asiakaspalvelua ja muuta asiakassuhteen hoitamista varten. • Terveystietoihin perustuva automaattinen päätöksenteko ja profilointi Kansallisessa erityislainsäädännössä tulee mahdollistaa automaattinen päätöksenteko ja profilointi tarvittaessa laajuudessa vakuutusyhtiöille myös terveystietojen osalta. Digitalisoituva liiketoiminta siirtää esim. hakemuksiin ja korvauksiin perustuvaa päätöksentekoa yhä useammin automaattiseksi prosessiksi. Vakuutusyhtiöillä päätöksentekoon liittyy hyvin usein terveydentilatietojen käsittely. Automatisoitu päätöksenteko tulisi olla mahdollista vakuutusyhtiöille myös ilman asiakkaan suostumusta esim. lakisääteisissä vakuutuslajeissa, joita koskee oma erityislainsäädäntönsä. • Rekisteröidyn tarkastusoikeuden rajoittaminen Rekisteröidyn tarkastusoikeutta on mahdollista rajoittaa artiklan 23 d-kohdan mukaisesti silloin, kun tietoja käsitellään rikosten ennalta estämiseksi, tutkimiseksi, paljastamiseksi, syyttämisiksi tai seuraamusten täytäntöönpanemiseksi. Tällaisia käsittelyperusteita ja tietoja ovat pankki- ja vakuutustoiminnassa esimerkiksi rahanpesun ja terrorismin rahoittamisen estämiseksi hankitut ja käsitellyt tiedot sekä vakuutuspetosten estämiseksi ja selvittämiseksi hankitut ja käsitellyt tiedot. Tietojen paljastaminen vaikeuttaa huomattavasti näiden rikosten ehkäisemistä ja selvittämistä. Myös profiloinnin osalta tarkastusoikeutta on syytä täsmentää. Profilointi voi ptää sisällään myös yritysten liikesalaisuudeksi luokiteltavaa aineistoa (esim. profiloinnin parametrit). Yksityiskohtaisen tarkastusoikeuden ulottaminen esim. luottokelpoisuuden arviointia kuvaavaan prosessin saattaa johtaa siihen, että samalla paljastetaan yrityksen liikesalaisuuksia. Tarkastusoikeus pitää siten ulottaa vain profiloinnin lopputulokseen eikä siihen sisältyviin yksityiskohtaisiin parametreihin tai prosesseihin.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Käynnissä olevan lainsäädäntötyön yhteydessä tulisi myös ratkaista henkilötietojen luovutus teknisellä käyttöyhteydellä, mikä vaatinee nykyisen julkisuuslain muutosta. Digitaalisuus on hälventänyt rajoja eri organisaatioiden ja toimijoiden välillä ja eri toimijoiden välisen yhteistyön tulisi olla yhä joustavampaa. Esimerkkinä tällaisesta organisaatioiden välisestä yhteistyöstä ja henkilötietojen siirtämisestä teknisellä käyttöyhteydellä on suunniteltu kansallinen tutkimustietovaranto, joka kokoaisi yhteen julkaisuja, tutkimusaineistoja, tutkimusinfrastruktuureita, tutkijoita, hankkeita/projekteja ja tutkimusryhmiä koskevia metatietoja. SYN kiinnittää huomiota myös siihen, että lainsäädännössä on varmistuttava siitä, ettei turhaan estetä tai haitata datan louhintaan ja suurten datamassojen käsittelyyn liittyvien palveluiden kehittämistä Suomessa ja siten haitata tutkimustoimintaa ja Suomen kilpailukykyä tutkimuksessa.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • 28 § Julkisuusperiaate Kansallisarkisto pitää tärkeänä, että 28 §:ssä on viittaus julkisuuslakiin. Kuolleiden henkilöiden tietosuojan poistaminen voi helpottaa Kansallisarkiston palveluja silloin, kun kuolinaika on tiedossa.Toisaalta Kansallisarkistossa on ja tulee olemaan paljon sellaisia henkilötietoja, joiden osalta kuolinaikaa ei ole tiedossa eikä sitä ole mahdollista systemaattisesti selvittää.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • TATTI:n mietinnön mukaan (s. 39–40) olisi perusteltua, että finanssialan väärinkäytösrekisterien mukainen henkilötietojen käsittely voisi jatkua yleisen tietosuoja-asetuksen tullessa sovellettavaksi. Koska sääntelyltä edellytetään tarkkarajaisuutta ja erityisiä suojatoimia, asiasta on TATTI:n mukaan tarvetta säätää yleisen tietosuojalain sijaan sektorilainsäädännössä, kuten luottolaitosten osalta luottolaitostoiminnasta annetussa laissa ja vakuutusyhtiöiden osalta vakuutusyhtiölaissa. Sektorilainsäädännön muutostarve nostettiin esiin aivan TATTI:n työskentelyn viime vaiheessa, joten sektorikohtaisen lainsäädännön valmistelulle jäävä aika on erittäin lyhyt. FA on huolissaan oikeustilan jatkuvuudesta. Asian oikea-aikaiseksi etenemiseksi ja oikeustilan jatkuvuuden turvaamiseksi FA olisi pitänyt parhaana ratkaisuna, että väärinkäytösrekisterejä koskeva sääntely olisi otettu osaksi nyt lausunnolla olevaa tietosuojasääntelyä lisäämällä kyseiset sektorilakien muutokset joulukuussa eduskunnalle annettavaan HE:en liitelaeiksi. Tämä olisi ollut tehokkain ja vähiten turhaa työtä vaativa tapa. Nyt joudutaan tekemään OM:n lisäksi erilliset HE:t sekä VM:ssä että STM:ssä ja myös eduskunnassa käsittelemään ne erillisinä. Vaarana tällöin on, että kaikkia tarvittavia säännöksiä ei saada valmiiksi määräaikaan mennessä. FA toivoo, että OM kuitenkin koordinoisi myös sektorilainsäädännön valmistelua. --- Muilta osin FA yhtyy Elinkeinoelämän Keskusliiton asiassa antamaan lausuntoon.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto ry kiittää mahdollisuudesta lausua yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. Ehdotuksessa on tunnustettu oikein median erityinen rooli yhteiskunnassa ja pääosa ehdotuksen sisällöstä on kannatettavaa. Tietosuoja-asetuksen (vrt. henkilötietolaki) noudattamista on tehostettu sanktioilla ja tietosuojavaltuutetulle on luotu laajemmat tiedonsaantioikeudet. Journalistiliitto korostaa, että tällaisessa tilanteessa valmisteltavassa kansallisessa lainsäädännössä on huomioitava tarkemmin henkilötietojen käyttö journalistiseen tarkoitukseen. Journalistiliitto pitää tärkeänä sitä, että tietosuoja-asetuksen pohjalta valmisteltavassa kansallisessa lainsäädännössä taataan toimitukselliseen käyttöön samat oikeudet ja velvollisuudet kuin nykyisessä henkilötietolaissa.
      • Turun hallinto-oikeus
        Päivitetty:
        7.9.2017
        • Ehdotetuilla säännöksillä ei liene merkittävää vaikutusta Turun hallinto-oikeuden toimintaan.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Perustuslakiin liittyvät kysymykset ovat hallituksen esityksessä epäselviä siltä osin, että tietosuojalain suhdetta perustuslain 16 § mainittuun tieteen, taiteen ja ylimmän opetuksen vapauteen ei ole käsitelty. Lakiehdotuksessa on asioita, jotka voivat vaikuttaa perustuslaissa turvattuun tieteen vapauteen. CSC pitää tärkeänä, että EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa kiinnitetään erityistä huomiota tähän sekä huomioimaan TUHA-verkoston lausunnon asiasisällöstä EU:n tietosuoja-asetuksen kansallisesta soveltamisesta perusoikeuskäsittelyyn liittyen.     Lisäksi CSC pitää tärkeänä, että EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa huomioidaan suomalaisten kulttuuriperintöorganisaatioiden (arkistot, kirjastot, museot) toiminta, kuten Suomen museoliiton lausunnossa tietosuojalakiin liittyen painotetaan (http://www.museoliitto.fi/jasentiedotteet.php?aid=12960). Erityishuomiota tulee kiinnittää lakiluonnoksen määritelmään, joka koskee vain eläviä henkilöitä. Laajempi määritys tässä asiayhteydessä on tarpeen, sillä nykyisellään museoinnissa ja arkistoinnissa syntyy ongelmia elävien ja kuolleiden erittelyn puitteissa. Lausunnolla oleva lakiluonnos toteaa yksiselitteisesti, että laissa mainitut rajaukset koskevat vain eläviä henkilöitä. Tämä on selkeä ja tärkeä rajaus. Käytännössä museoiden on kuitenkin mahdotonta tietää esimerkiksi sitä, ovatko valokuvissa olevat henkilöt tietojen käsittelyn aikaan eläviä vai kuolleita.   
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi pitää ehdotetun kansallisen tietosuojalain säätämistä kannatettavana kun otetaan huomioon Trafin toiminta ja sen luonne. Erityisesti Trafi kiinnittää huomiota siihen, että työryhmän mietinnössä ehdotetaan käytettävän kansallista liikkumavaraa yleisen tietosuoja-asetuksen täydentämiseksi tilanteissa, joissa henkilötietolain kumoamisesta seuraisi tarve kansalliseen sääntelyyn, kuten esimerkiksi henkilötietojen käsittelyn oikeusperusteen säilyttämiseksi eräissä tilanteissa ja tieteellisen tutkimuksen edellytysten säilyttämiseksi mahdollisimman pitkälle nykyisen kaltaisina. Edellä todetun lisäksi myös tietojen käsittelyn erityistilanteista säätäminen on perusteltua. Työryhmä on ollut yksimielinen siitä, että julkisuuslain uudistamistarvetta olisi syytä arvioida yleisen tietosuoja-asetuksen ohella tietoteknisen ja muun yhteiskunnallisen kehityksen valossa. Työryhmässä ei kuitenkaan päästy yksimielisyyteen siitä, millä tavoin yleisen tietosuoja-asetuksen mukainen henkilötietojen suoja ja yleisten asiakirjojen julkisuus tulisi sovittaa yhteen. Sen johdosta työryhmä ei ole ehdottanut muutoksia tehtäväksi julkisuuslakiin tässä yhteydessä. Osa työryhmän jäsenistä on kuitenkin katsonut, että julkisuuslain muuttaminen on tarpeen edellä mainitun yhteensovittamisen asianmukaiseksi toteuttamiseksi, mihin samalla liittyy tarve uudistaa eräitä julkisuuslain säännöksiä tiedon antamisesta asiakirjasta. Tähän liittyviä perusteluita on selostettu tarkemmin liitteessä 4. Trafi kannattaa ajatusta siitä, että julkisuuslain säännöksiä, muun ohella lain 16 §:ä, tulisi TATTI- työryhmän jatkotyössä tarkastella liitteessä 4 ilmenevin perustein. Erityisesti Trafi kiinnittää huomiota siihen, että henkilötietojen käsittelytavat ja käyttötarkoitukset ovat muuttuneet julkisuuslain säätämisen jälkeen. Tästä johtuen sääntelyssä tulisi mahdollisuuksien mukaan kiinnittää huomiota siihen, että yhtäältä julkisuusperiaatteen toteuttaminen mahdollistuu, mutta toisaalta yksityisyyden suojasta voidaan huolehtia asianmukaisesti. Henkilötietojen käsittelystä tulisi säätää tavalla, joka olisi mahdollisuuksien mukaan käsittelytapaneutraali. Liitteessä 4 esitetyt näkemykset yksinkertaistavat, mutta myös antavat rekisteröidyn oikeuksille riittävät suojatakeet, viranomaisen rekisterinpitäjänä toteuttamaa henkilötietojen käsittelyä.
      • Tilastokeskus
        Päivitetty:
        6.9.2017
        • Yleisen tietosuoja-asetuksen johdanto-osassa todetaan, ettei asetusta sovelleta kuolleita henkilöitä koskeviin tietoihin. Jäsenvaltiolle annetaan kuitenkin mahdollisuus säätää kuolleiden henkilöiden henkilötietojen käsittelyä koskevista säännöistä. Työryhmä ehdottaa, ettei kansallisessa tietosuojalaissa säädetä kuolleitten henkilöiden henkilötietojen käsittelystä vaan että vainajan ja hänen läheisensä suojan tarve voitaisiin kattaa muuttamalla rikoslain yksityiselämää loukkaavaa tiedon levittämistä koskevaa sääntelyä. Tilastokeskus on kuolemansyyn selvittämisestä annetun lain (459/1973) mukaan kuolinsyyasiakirjojen arkistoviranomainen. Tilastokeskus pitää tärkeänä, että vainajan ja hänen läheisensä tietojen suojasta säädettäisiin kansallisesti.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Yleisen tietosuoja-asetuksen ollessa paikoin monitulkintainen, Väestörekisterikeskus haluaa painottaa valvontaviranomaisen riittävien resurssien tärkeyttä. Valvontaviranomaisella tulee olla riittävät resurssit rekisterinpitäjien ja käsittelijöiden neuvomiseen, ohjaamiseen ja valvontaan, jotta tulkintakäytäntö olisi mahdollisimman yhtenäinen ja asetuksen soveltajilla olisi mahdollista saada asiantuntevaa tukea. Käsittelyperusteesta silloin kun on kyse viranomaisen ja asiakkaan välisestä suhteesta: Yleisen tietosuoja-asetuksen 6 artikla 1 f-kohdan mukaisesti viranomaisen käsittelyn oikeusperusta ei voi olla oikeutettu etu. Väestörekisterikeskus toteaa yleisenä huomiona, että silloin kun viranomainen käsittelee asiakassuhteesta johtuen henkilötietoja, lienee tästä käsittelystä säädettävä erikseen erityislaeissa. Esimerkkinä tällaisesta käsittelystä voi olla asiakasrekisteri, johon viranomainen tallentaa asiakasorganisaation yhteyshenkilön tietoja esim. lupakäsittelyä varten. Ehdotetun tietosuojalain 37 §: siirtymäsäännökset: 37 § 1 momentissa ehdotetaan säädettäväksi, että tietosuojalautakunnan lupien voimassaolo päättyisi lain tullessa voimaan. Lisäksi samalla raukeaisivat tietosuojalautakunnassa mahdollisesti vireillä olevat asiat sekä asiat, jotka koskevat muutoksenhakua tietosuojalautakunnan päätöksiin. Väestörekisterikeskus toivoo tarkennusta siihen, miten puheena olevan sääntelyn nojalla varmistetaan henkilön oikeuksien toteutuminen, tarvittavien lupien voimassaolo sekä ennen tietosuojalakia vireillä olleiden asioiden saattaminen päätökseen. Mahdollinen poikkeus oikeudesta tietojen rajoittamiseen: Väestörekisterikeskus huomauttaa lisäksi, että joissain tapauksissa voisi olla asiallista säätää poikkeuksista rekisteröidyn oikeuksiin keskitetysti yleislaissa. Väestörekisterikeskus on erityisesti huolissaan asetuksen 18 artiklan vaikutuksista väestötietojärjestelmän kaltaisiin perusrekistereihin. Rajoittamisen vaikutukset voivat olla laajakantoisia ja kansalaisen näkökulmasta arvaamattomia. Lisäksi perusrekisterien juridinen viitekehys ja toisaalta tekniset rajapinnat on rakennettu sille olettamalle, että tieto on aina saatavilla. Henkilön ilmoituksesta tehtävä rajoittaminen sopii huonosti tähän järjestelmään. Väestörekisterikeskuksen tulkinnan mukaan ainoa mahdollisuus poiketa kattavammin rekisteröidyn oikeudesta rajoittaa tiedon käsittelyä on asetuksen 23 artiklan nojalla. Tämä edellyttää lainsäädäntötoimenpiteitä. Väestörekisterikeskus katsoo aiheelliseksi arvioida, voisiko rajoitusoikeuden soveltamista suomalaisen yhteiskunnan keskeisiin perusrekistereihin, mukaan lukien väestötietojärjestelmään, rajoittaa keskitetysti yleislaissa. Poikkeuksista voitaisiin säätää kutakin perusrekisteriä koskevassa lainsäädännössä, mutta tämä tarkoittaisi päällekkäistä työtä eri ministeriöissä ja mahdollisesti ristiriitaisia lopputuloksia. Yleisen tietosuojalain keskeinen rooli henkilötietojen käsittelyssä edesauttaisi myös kansalaisen oikeuksien ja niiden rajoitusten läpinäkyvyyttä. Väestörekisterikeskus antaa mielellään lisätietoja tulkinnastaan ja rajoitusoikeuden vaikutuksista väestötietojärjestelmään. Julkisuuslain uudistaminen: Väestörekisterikeskus pitää julkisuuslain uudistamista tarpeellisena ja mietinnössä esitetyt linjaukset ja muutosehdotukset sääntelyyn tukisivat sähköisen asioinnin edistämistä.
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • Työryhmän eräiden jäsenten ehdotus luonnokseksi laiksi viranomaisten toiminnan julkisuudesta annetun lain muuttamiseksi Kilpailu- ja kuluttajavirasto pitää tärkeänä, että yleisen tietosuoja-asetuksen ja julkisuuslain välinen suhde on riittävän täsmällisesti määritelty ja, että viranomaisilla on riittävän selkeät säädökset siitä, kuinka henkilötietoja sisältäviä julkisuuslakiin perustuvia tietopyyntöjä ja tietosuoja-asetukseen perustuvia tietojen tarkastuspyyntöjä toteutetaan. Tiedon tarkastusoikeuden suhde viranomaisia koskeviin salassapitosäädöksiin tulisi määrittää (esim. julkisuuslain salassapitosäännökset, konkreettisesti tilanteessa jossa henkilö pyytää pääsyä omiin tietoihinsa ja tiedot ovat sillä hetkellä salassa pidettäviä JulkL 24.1 §:n 15) kohdan nojalla). Yleisen tietosuoja-asetuksen käsittelyperusteet ovat tulkinnanvaraisia. Viranomaisen on haasteellista tulkita, minkä käsittelyperusteen alaan tietopyynnön tekijän ilmoittama käyttötarkoitus kuuluu. Tiedon käyttötarkoituksen selvittäminen ja/tai henkilötietojen poistaminen isosta asiakirja-aineistosta lisää tietopyynnön käsittelyaikaa viranomaisessa, jonka vuoksi julkisuuslain tietopyyntöihin vastaamisen määräaikaa tulee pidentää. Tietopyyntöjen toteuttaminen tuhansia asiakirjoja koskevista materiaaleista henkilötiedot poistamalla lisää tietopyyntöön vastaamisen aikaa ja tarvetta pidentää julkisuuslain mukaista käsittelyaikaa viranomaisessa. Tämä voi myös johtaa lisäresurssien tarpeeseen varsinkin niissä virastoissa, joissa tietopyyntöjen kohteena olevat asiakirja-aineistot sisältävät suuren määrän asiakirjoja. Kilpailu- ja kuluttajavirasto pitää tärkeänä, ottaen huomioon ilmeinen tulkinnanvaraisuus yleisen tietosuoja-asetuksen säännöksissä, että asetusta valvovalla viranomaisella on toimivalta ja resurssit antaa ohjeistusta ja konsultaatiota asetuksen käytännön soveltamisesta, jotta tulkintakäytäntö viranomaisissa muodostuisi yhtenäiseksi.
      • Pohjois-Suomen hallinto-oikeus
        Päivitetty:
        6.9.2017
        • Vaikka asia on erittäin tärkeä, Pohjois-Suomen hallinto-oikeudella ei ole nykyisessä työtilanteessa mahdollisuutta lausunnon antamiseen.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • Lastensuojelun Keskusliiton huomiot tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä: Yhtenä tietosuoja-asetuksen tavoitteena on ollut parantaa lasten suojaa henkilötietojen käsittelyssä. Lasten oikeudet korostuvat tietosuoja-asetuksessa paitsi 8 artiklassa (Tietoyhteiskunnan palveluihin liittyvään lapsen suostumukseen sovellettavat ehdot) lisäksi useassa tietosuoja-asetuksen johdanto-osan kohdassa sekä muissa artikloissa. Tietosuoja-asetuksen mukaisesti ”erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista, asianomaisista suojatoimista tai omista oikeuksistaan” (johdanto 38 kohta). Esimerkiksi kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä (johdanto-osan perustelukappale 58; myös 12 artikla ja 40 artikla). Lapsiin kohdistuvaa profilointi on kielletty (johdanto 38 ja 71 kohta; 4(4) artikla). Lisäksi lapset hyötyvät tietosuoja-asetuksen selkeämmästä oikeudesta tulla unohdetuksi (17 artikla ”Oikeus tietojen poistamiseen”; johdannon 65 kohta). LSKL näkee ongelmana, että vaikka tietosuoja-asetus ja tietosuojalaki liittyvät hyvin oleellisesti lasten oikeuksiin, kokonaisvaltaista viitekehystä ja toimintastrategiaa lapsen oikeuksiin liittyen ei ole uudistuksen yhteydessä pohdittu. Näin on tehty esimerkiksi Ruotsin komiteamietinnössä Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). LSKL pitää tärkeänä, että myös muut asiat kuin ikärajan asettamiseen liittyvät kysymykset nousevat keskusteluun ja uudistuksen yhteydessä luodaan lapsen oikeuksiin perustuva toimintasuunnitelma velvoitteiden toteuttamiseksi. Ikärajan asettamiseen vaikuttavat muun muassa, miten selkeää tietoa palveluista ja niiden ehdoista lapsille tarjotaan, millaista neuvontaa lapset saavat, miten valvonta toimii sekä lapsille ja vanhemmille sekä lasten kanssa työskenteleville ammattilaisille tarjottu mediakasvatus. Tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa huomioitavia seikkoja: LSKL pitää tärkeänä, että tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa kiinnitetään huomiota seuraaviin asioihin: • YK:n lapsen oikeuksien komitea painottaa lasten ja nuorten, vanhempien digitaalisen median lukutaitoa ja ymmärrystä verkkopalvelujen käytöstä. Lapsen oikeus osallistua verkkopalveluiden käyttämiseen ei saisi jäädä kiinni esim. pelkästään siitä, että vanhemmilla ei ole käsitystä kyseisestä palvelusta ja sen merkityksestä lapselle sosiaalisen vuorovaikutuksen välineenä. Huoltajien tulee myös ymmärtää, mihin he antavat luvan ja miten he kykenevät parhaalla mahdollisella ja lasta kunnioittavalla tavalla osallistumaan lapsensa verkkopalveluiden käytön ohjaukseen ja valvontaan. Se vaatii huoltajilta hyvää ymmärrystä digitaalisesta mediasta. LSKL korostaa, että lakiin lapsen huollosta ja tapaamisoikeudesta sisältyy huoltajalle velvoite ennen päätöksentekoaan keskustella asiasta lapsen kanssa. Päätöstä tehdessään hänen on kiinnitettävä huomiota lapsen mielipiteeseen ja toivomuksiin (LHL 4 §). Sekä YK:n lapsen oikeuksien yleissopimus että laki lapsen huollosta ja tapaamisoikeudesta vahvistavat ajatusta lapsen tukemisesta ja ohjaamisesta kohti aikuisuutta ja asteittain lisääntyvää itsemääräämisoikeutta ja autonomiaa. • LSKL pitää tärkeänä, että lapsen tai nuoren huoltajien suostumuksen varmentamiseen ei edellytetä keinoja, jotka syrjivät perheitä esim. sosioekonomisen aseman perusteella. Jos esim. huoltajan lupa varmennetaan luottokortin avulla, tulee muistaa, että tämä keino voi jättää aiheettomasti verkkomaailman ulkopuolelle niitä lapsia, joiden vanhemmilla ei ole kyseistä maksuvälinettä. • Lasten oikeuksien toteutumisen kannalta on keskeistä, että lapset ja nuoret saavat riittävästi tietoa heille sopivalla tavalla heihin liittyvistä asioista. YK:n lapsen oikeuksien komitea on painottanut verkkopalveluun liittyvien tietojen (esim. ohjeet palvelun käytöstä ja tieto siitä, mihin sitoutuu) antamista lapsiystävällisellä tavalla: lapsen ja nuoren on tietojen perusteella ymmärrettävä, mihin hän on sitoutumassa ja millaisia riskejä palvelun käyttöön liittyy. • YK:n lapsen oikeuksien komitea on korostanut mediakasvatuksen merkitystä. Mediakasvatus on keskeisessä roolissa, jotta lapset voisivat turvallisesti ja mielekkäällä tavalla käyttää verkkopalveluita. Mediakasvatus on tärkeää paitsi lapsille ja nuorille myös vanhemmille sekä lasten kanssa työskenteleville ammattilaisille. Komitea on suositellut verkkopalvelujen kehittämisessä yhteistyötä kansalaisyhteiskunnan kanssa. Mediakasvatus ja sen kehittäminen vaativat viranomaisten ja kolmannen sektorin yhteistyötä. • Tietosuoja-asetuksessa korostetaan entistä selkeämmin rekisteröidyn oikeutta saada henkilötietonsa poistetuksi. Asetuksen mukaan oikeus tietojen poistamiseen on tärkeää, etenkin silloin, kun kyseessä olevat henkilötiedot on asetettu saataville lapsena ja ne halutaan myöhemmin poistaa. Asetuksessa painotetaan yleisesti, että lapsen henkilötietoja on pyrittävä suojaamaan erityisesti, koska lapset eivät välttämättä ole kovin hyvin perillä henkilötietojen käsittelyyn liittyvistä riskeistä, seurauksista tai omista oikeuksistaan. Oikeus tulla unohdetuksi on merkittävä lapsen oikeusturvan kannalta, mutta siihen liittyy myös haasteita: onko lapsella välttämättä kykyjä ja keinoja hyödyntää tätä mekanismia? Mekanismin tulee olla selkeä ja siitä tulee olla riittävästi tietoa, jotta myös lapset ja nuoret voivat sitä käyttää. • Toistaiseksi missään virallisessa lähteessä ei ole pohdittu, kuka suostumuksen antaa esimerkiksi eroperheissä tai laitoksessa asuvien lasten puolesta. Käytännössä ongelmaksi voi muodostua esimerkiksi se, tuleeko lupa/suostumus saada molemmilta huoltajilta vai riittääkö yhden huoltajan suostumus, kun lapsen vanhemmat asuvat erillään mutta ovat molemmat lapsensa huoltajia ja erimielisiä suostumuksen suhteen. Lapsenhuoltolain 5.1 §:n mukaisesti huoltajat vastaavat yhdessä lapsen huoltoon kuuluvista tehtävistä ja tekevät yhdessä lasta koskevat päätökset, jollei toisin ole säädetty. Huoltajien yhteistoimintavelvoitteen laajuutta arvioitaessa on kiinnitettävä huomiota siihen, minkälaisista asioista kulloinkin on kysymys ja mikä merkitys asialla on lapsen edun toteutumiselle. Lapsen huoltoon kuuluvia tosiasiallisia toimenpiteitä, joista yksikin huoltaja voi ilman toisen huoltajan suostumusta päättää, ovat muun muassa osallistuminen lapsen päivittäiseen hoitoon normaalitilanteessa. Yhteistoimintavelvoitteesta ei pääsääntöisesti voisi poiketa, jos asialla tai ratkaisulla on lapsen tulevaisuuden kannalta huomattava merkitys tai kyse on lapsen elämän ja hyvinvoinnin kannalta ratkaisevan tärkeästä päätöksentekotilanteesta. Tällöin asiasta voivat päättää vain huoltajat yhdessä. (HE 224/1982 vp). • Toinen erityinen kysymys, jonka tulee olla käytännön toimijoille selkeä, on se, kuka luvan antaa ja miten se annetaan tilanteessa, jossa lapsi on huostaanotettu. Vastaava kysymys nousee esille myös niiden vammaispalvelun asiakkaina olevien lasten osalta, jotka eivät asu huoltajiensa kanssa eivätkä välttämättä tapaa huoltajiaan juuri ollenkaan. Nykyisinkin esiintyy lastensuojelun toiminnassa epäselvyyttä esim. siitä, kenellä ja millä perusteilla on oikeus rajoittaa lasten sosiaalisen median käyttöä, jos siihen ilmenee aihetta. Ammattilaisten toiminnan tueksi on oltava selkeät ohjeet siitä, kuka antaa lapselle tai nuorelle luvan/suostumuksen verkkopalveluiden käyttöön. Tämä on tärkeää, jotta lapsilla on yhdenvertaiset mahdollisuudet muun muassa sosiaalisen median käyttöön asuvatpa he vanhempiensa kanssa tai esim. sijaishuoltopaikassa. • LSKL pitää tärkeänä, että tietosuoja-asetuksen ja tietosuojalain voimaantulon jälkeen seurataan velvoitteiden vaikutuksia sekä ikärajan asettamisen (8 artikla) että muiden lasten oikeuksiin verkkomaailmassa liittyvien ratkaisujen suhteen. Lastensuojelun Keskusliitto on saanut rahoituksen OKM:stä hankkeelle ”Lasten ja nuorten oikeudet ja tietosuoja digitaalisessa ympäristössä” (hankkeen toteutus: syksy 2017-2018). Hankekumppaneita ovat Mannerheimin Lastensuojeluliitto, Pelastakaa Lapset ja Suomen UNICEF. Hankkeen puitteissa tullaan tuottamaan julkaisu, jonka yhdessä osiossa tarkastellaan oikeudellisesta näkökulmasta lasten ja nuorten oikeuksia ja tietosuojaa digitaalisessa mediassa. Julkaisun tavoitteena on avata tietosuoja-asetuksen mukanaan tuomia velvoitteita nimenomaan lasten oikeuksien näkökulmasta.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkolain joissakin säännöksissä on viittauksia nykyiseen henkilötietolakiin, jotka lainkohdat on tarkistettava vastaamaan oikeustilaa 25.5.2018. Kirkkolain muutosprosessi huomioon ottaen takeita siitä, että kirkkolain muutos ehtii tulemaan voimaan mainittuna ajankohtana, ei voida antaa. Siten kirkkohallitus esittää harkittavaksi, voidaanko nyt ehdotetun lain siirtymäsäännöksissä ottaa tämä seikka huomioon.