Lausunnonantaja Tallennettu Lausunto
Akavan Erityisalat AE ry ja Tiedon-ja arkistonhallinnan ammattiyhdistys ry 31.8.2017
Korkein hallinto-oikeus 5.9.2017
Valtiovarainministeriö 6.9.2017
Tietoarkisto 8.9.2017
Lapsiasiavaltuutettu 8.9.2017
Kauppakamari 11.9.2017
Sisäministeriö 11.9.2017
Sanoma Media Finland Oy 12.9.2017
TUKIJA 13.9.2017
Yksityiset keskusarkistot ry 13.9.2017
Sosiaali- ja terveysministeriö 14.9.2017
Opetus- ja kulttuuriministeriö 6.10.2017
STTK 8.9.2017
Patria Oyj 8.9.2017
      • Yleiset kommentit
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Suomen Yrittäjät esittää näkemyksiään tietosuojasääntelyn vaikutuksista pienten ja keskisuurten yritysten toimintaan.
      • Saamelaismuseosäätiö
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on lähettänyt lausuntopyynnön EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä. Saamelaismuseo Siida ei ole saanut lausuntopyyntöä, mutta katsoo tärkeäksi antaa asiasta lausunnon. Saamelaismuseo Siida on valtakunnallinen erikoismuseo ja Suomen saamelaisten kansallismuseo. Saamelaismuseon tehtävä on tallentaa kokoelmiinsa Suomen saamelaisten henkistä ja aineellista kulttuuria ja esitellä sitä näyttelyissään ja julkaisuissaan. Museon kokoelmissa on tuhansia esineitä ja valokuvia, osa niistä on avattu julkisesti kansallisessa Finna-palvelussa. Museon työskentelyssä huomioidaan jo nyt eettiset kysymykset ja tietosuoja. Huolestuneina olemme seuranneet keskustelua ja tulkintoja tulevasta tietosuoja-asetuksesta. Saamelaismuseo odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Saamelaismuseon tallentaa kokoelmiinsa aineistoja saamelaisten historiasta ja nykypäivästä. Kokoelmajärjestelmään on kirjattu esim. kokoelmaesineenä olevan käsityöntekijän nimi ja valokuvissa esiintyvien ihmisten nimet on tallennettu järjestelmään yhdessä muiden kontekstitietojen kanssa. Saamelaismuseon toiminnan jatkuvuuden kannalta on tärkeää määritellä, kuinka henkilötietoja voidaan käsitellä ja kuinka samanaikaisesti toimia myös Opetus- ja kulttuuriministeriön tiedon saatavuuden ja tieteen avoimuuteen liittyvien tavoitteiden mukaisesti.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Electronic Frontier Finland - Effi ry kiittää mahdollisuudesta antaa lausunto yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä. Tietoyhteiskunnan keskeiseksi ongelmaksi on noussut, että sekä julkisten että yksityisten toimijoiden on ollut mahdoton vastustaa kiusausta rikkoa yksityisyyden suojaa, jonka laajamittainen loukkaaminen on tullut yhä helpommaksi. Myös tietoturva-asioiden jättäminen retuperälle on valtioille, kunnille ja yrityksille edelleen liian houkuttelevaa. Massavalvonta, verkkovakoilu, big data -hankkeet, joissa hyödynnetään yksityishenkilöistä kerättyä tietoa, sosiaalisen median palveluiden ja muiden verkkopalveluiden harjoittama tiedonkeruu, "esineiden Internet" ja sen tietoturvaongelmat sekä monet muut vastaavat kysymykset muodostavat laajan kokonaisuuden, joka on ihmisoikeuksien toteutumisen kannalta erittäin tärkeä. Tietosuojan tasoa sekä huolellisuutta ja lainmukaisuutta henkilötietojen käsittelyssä on tarpeen parantaa huomattavasti, ja tässä EU:n uudella tietosuoja-asetuksella ja sen asianmukaisella kansallisella soveltamisella on toivottavasti myönteistä merkitystä. Samalla kun tietoisuus tietosuoja-asioiden ja yksityisyyden suojan merkittävyydestä on kasvanut, ovat toisaalta myös vaatimukset avoimuudesta kasvaneet. Viranomaisilta toivotaan avointa dataa kansalaisten ja yritysten hyödynnettäväksi ja tieteen piirissä puhutaan paljon tieteellisen tiedon avoimuudesta. Tietosuoja- ja avoimuusvaatimusten välillä on joissakin tapauksissa ristiriitaa, mitä EU:n tietosuoja-asetuksessa ja TATTI-työryhmän mietinnössä on pyritty ratkaisemaan korostamalla, etteivät tietosuojasäännökset saa estää sananvapauden toteutumista eivätkä haitata journalismia ja tieteellistä tutkimusta. Työryhmä on pohtinut myös tietoyhteiskunnan palveluissa sovellettavaa ikärajaa, jota nuorempi ei voisi liittyä palveluun ilman vanhempien suostumusta. Ikärajakysymyksen arviointi liittyy sopimusehtojen selkeyteen yleisemminkin. Tietoyhteiskunnan palveluiden sopimusehdot ovat yleisesti olleet niin vaikeaselkoisia, että palvelun käytön vaikutuksia tietosuojaan on ollut vaikea hahmottaa. Kun lisäksi tiedetään, että suurin osa käyttäjistä ei edes perehdy käyttöehtoihin, suostumus henkilötietojen käsittelyyn annetaan heikoin perustein ja ymmärtämättä mihin sitoudutaan. Tämä ongelma koskee kaikenikäisiä, vaikkakin nuoren henkilön edellytykset hahmottaa henkilötietojen käsittelyn vaikutuksia ovat heikommat. Asiakkaan tosiallinen mahdollisuus vaikuttaa tietojen keräämiseen ja tietosuojaa koskevien käyttöehtojen esittäminen ymmärrettävästi korostuvat uuden tietosuoja-asetuksen myötä. Tietosuoja-asetus kiinnittää huomiota siihen, että rekisteröityä on informoitava selkeästi. Siirtymävaiheen käytänteihin jää kuitenkin vielä epäselviä yksityiskohtia, kuten se, täytyykö henkilötietojen käsittelijän saada rekisteröidyltä nimenomainen, informoitu suostumus henkilötietojen käsittelyyn EU/ETA-maiden ulkopuolella, jos rekisteröity ei ole sellaista aiemmin antanut. Tällaisia tapauksia on esimerkiksi sellaisten palveluiden kohdalla, joiden tietojenkäsittelyä on siirretty EU/ETA-maiden ulkopuolelle käyttöehtojen hyväksymisen jälkeen ja/tai käyttöehtosopimuksen muutos, jossa on kerrottu tietojen käsittelystä EU/ETA-alueen ulkopuolella, on tehty yksipuolisella käyttöehtojen muutoksella ilman käyttäjän nimenomaista hyväksyntää. Näiden kysymysten käsittely kuuluu tietosuojaviranomaisten vastuulle ja asiassa tarvitaan myös hyvien käytäntöjen levittämistä. Effin lausunnossa on hyödynnetty Effin eurooppalaisen kattojärjestön EDRin analyysia yleisen tietosuoja-asetuksen kansallisesta liikkumavarasta. Ks. https://edri.org/analysis-flexibilities-gdpr/, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities_summary.pdf, https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf
      • Helsingin yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalain yleisiä säännöksiä koskevissa perusteluissa todetaan, että lain tarkoituksena on perusoikeuksien turvaaminen. Kansallisen tietosuojalain tavoitteena mainitaan nimenomaisesti henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua ottaa huomioon perustuslain 16 §:n turvaamat sivistykselliset oikeudet.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus jättää elinkeinoelämänkin kannalta kansalliselle lainsäädännölle liikkumavaraa useassa kohdin. Tämän vuoksi tietosuojaa koskeva kansallinen lainsäädäntö tulee hajautumaan yhtäältä tietosuoja-asetukseen, toisaalta sitä täydentävään kansalliseen yleislakiin sekä lisäksi alakohtaiseen erityslainsäädäntöön. Tetosuojaa koskevan lainsäädännön hallinta tulee väistämättä yrityksissä vaikeutumaan. Kansallisesti sovellettavan yleislain säätäminen on Teknologiateollisuus ry:n mielestä kuitenkin perusteltua, koska tällöin voidaan hyödyntää asetuksen tarjoama liikkumavara, joka suurelle määräälle yrityksiä on tärkeää. Liikkumavaran perusteella yleislaissa voidaan pitää ennallaan työelämän tietosuojaa, henkilötunnuksen käsittelyä ja sananvapauden käyttöä koskevat kansalliset hyväksi havaitut käytännöt. Soveltamisalasäännöksen asiallinen sisältö on mielestämme kunnossa, mutta soveltamisalaa koskevan pykälän 2 hahmottaminen edellyttää erillistä perehtymistä kahteen eri tietosuoja-asetuksen artiklaan sekä asetuksen VII lukuun. Luettavuutta ja ymmärrettävyyttä tulisi parantaa avaamalla asetukseen tehtyjä viittauksia sekä esimerkiksi pilkkomalla pykälän toinen lause osiin. Samalla olisi poistettava ilmaisu "…lisäksi soveltuvin osin ja lukuun ottamatta…", joka on omiaan aiheuttamaan tulkinnanvaraisuutta.
      • Suomen valokuvataiteen museo
        Päivitetty:
        8.9.2017
        • Suomen valokuvataiteen museo on valokuvan valtakunnallinen erikoismuseo, jonka tehtävänä on edistää ja vaalia valokuvataidetta ja -kultturia.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Suomen Tilaajavastuu Oy tuottaa kiinteistö- ja rakennusalan (KIRA-alan) asiakkaille lakisääteisten velvoitteiden hoitamiseen liittyviä digitaalisia palveluita. Lausunnossa painotamme toisaalta KIRA-alan käytännön työssä ilmeneviä erityispiirteitä sekä alan tietojen digitalisoinnin tarpeita. KIRA-alaa koskettavat esimerkiksi tilaajavastuu-, työturvallisuus- ja verotusmenettelylaki, jotka velvoittavat jo yksistään huomattavaan henkilötietojen käsittelyyn ja tarkastamiseen. Tämä on myös johtanut erikoistuneiden palveluntarjoajien syntymiseen alan tarpeisiin. Lisäksi alalla tapahtuu kohtalaisissa määrin alaikäisten henkilöiden työssä oppimista tai esimerkiksi urheiluseurojen talkootyötä rajatuissa yksinkertaisissa siivous- ja järjestelytöissä. Haluamme lausunnossamme huomioida, että esimerkiksi alalle opiskelevien tai siellä jo toimivien alaikäisten henkilötietojen käsittely ei muodostu ylipääsemättömäksi esteeksi. Lisäksi esitämme, että alan digitalisaation kehitys turvataan ja varmistetaan samalla KIRA-alan yritysten velvoitteiden hoitoon liittyvän palveluyritysten toiminta.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Kansallisen yleislain säätäminen on perusteltua, asetus jättää monin paikoin liikkumavaraa ja esim. henkilötunnuksen käsittely on jätetty kansallisen sääntelyn varaan.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kelan näkemyksen mukaan yleisiin säännöksiin tehdyt täsmennykset ovat perusteltuja. Erityisesti 2 §:n tietosuoja-asetuksen soveltamisen laajennus sellaiseen henkilötietojen käsittelyyn, joka ei kuulu unionin lainsäädännön soveltamisalaan sekä henkilötietojen käsittelyyn, joka tapahtuisi SEU V osaston 2 jaksossa tarkoitettuun yhteiseen ulko- ja turvallisuuspolitiikkaan liittyen, on perusteltu kansallinen ratkaisu. Ratkaisu on omiaan lisäämään henkilötietojen käsittelyn yhdenmukaisuutta ja ennakoitavuutta. Sääntelyn täsmentäminen vähentää epäselvyyttä sovellettavasta lainsäädännöstä ja poistaa asetuksen ja kansallisen lainsäädännön rinnakkaisen soveltamisen mahdollisesti tuomia aukkokohtia.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Pyydettynä lausuntonaan palkansaajakeskusjärjestöt SAK ja Akava lausuvat seuraavaa: Painotamme valmisteilla olevan tiedonhallintalain ja muun viranomaisten arkistotoimintaa koskeva lainsäädännön huomioon ottamista myös tässä valmistelussa. Yleisen tietosuoja-asetuksen 89 artiklan 3 kohdan mukaiset poikkeukset ja suojatoimet tulee määritellä ja avata riittävästi. Viittaamme tässä ehdotuksen sivulle 132, luku 3.10. Yleisen edun mukainen arkistointi.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Suomen Lääkäriliitto edustaa yli 90 % maamme lääkäreistä ja koska tietosuoja-asetus ja siihen liittyvä kansallinen lainsäädäntö laajalti koskettaa lääkärikuntaa, pidämme tärkeänä lausua tästä esityksestä. Yleiskommenttina Lääkäriliitto korostaa, että säädöskokonaisuus (tietosuoja-asetus, tietosuojalaki ja kansallinen erityislainsäädäntö) tulisi olla analysoitu tarkkaan ennen tietosuojalain lopullisesta sisällöstä päättämistä. Tietosuojan yleislaissa on vältettävä ratkaisuja, jotka voisivat tarpeettomasti vaikeuttaa esimerkiksi erityislaeissa säädettyä potilasinformaation käyttöä, lääketieteellistä tutkimusta tai biopankkitoimintaa. Lääkäriliitto toivoo myös, että tietosuojalainsäädännön kokonaisuudesta tehtäisiin aikanaan ns. kansalaisversio, joka auttaisi sekä kaikkia kansalaisia että henkilötietoja käsitteleviä ammattihenkilöitä vaikean kokonaisuuden hallitsemisessa. Suomen Lääkäriliiton näkemyksen mukaan lakiluonnoksen 2 §:n soveltamisalasäännös on vaikeaselkoinen. Viittaukset muihin säädöksiin sekä ”soveltuvin osin ja lukuun ottamatta…, jollei laissa toisin säädetä” kirjaukset eivät avaudu helposti. Soveltamisalasäännöksen tulisi olla selkeä ja lain soveltamisalan selvitä lakitekstistä. Liitto toivoo, että säännöstä avataan nykyisestään ja mahdollisuuksien mukaan siteerataan lakitekstissä tietosuoja-asetuksen 2 artiklaa.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • On välttämätöntä kansallinen lainsäädäntö saatetaan yhteensopivaksi yleisen tietosuoja-asetuksen kanssa viimeistään yleisen tietosuoja-asetuksen soveltamisen alkaessa 25.5.2018. Työryhmän mietintö sisältää kuitenkin esityksiä ainoastaan uuden tietosuojalain säätämiseksi sekä rikoslain 38 luvun ja sakon täytäntöönpanosta annetun lain 1 §:n 1 momentin muuttamiseksi. Lisäksi liitteenä on eräiden työryhmän jäsenten esitys viranomaisten toiminnan julkisuudesta annetun lain muuttamiseksi. Mietinnöstä ei käy ilmi, onko ryhdytty toimenpiteisiin myös niiden muiden kansallisten lakien muuttamiseksi, jotka koskevat henkilötietojen käsittelyä. Koska yleinen tietosuoja-asetus on normihierarkiassa kansallisen lainsäädännön yläpuolella, on välttämätöntä selvittää myös muun lainsäädännön muutostarve.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalakiluonnos on selkeästi keskeneräinen ja ehdotettuja säännöksiä on tarkennettava ja selkeytettävä olennaisesti mm. perusoikeuksien turvaamiseksi noudattaen hyvää lainvalmistelutapaa. Yksittäiset säännökset on laadittu hyvin vaikeaselkoisiksi (2 §, 3.1 §, 22 §) ja käytetty käsitteistö (yleinen etu, vanhempainvastuu) ei vastaa kansallisessa lainsäädännössä käytettyjä käsitteitä. Ehdotetun lain 2 §:ssä on epäselvä ilmaus: ”Tätä lakia sovelletaan lisäksi soveltuvin osin ja lukuun ottamatta tietosuoja-asetuksen 56 artiklaa ja VII lukua…”. Säännöksen muotoilun perusteella soveltuvin osin ja lukuun ottamatta viittaavat tietosuoja-asetuksen mainittuun artiklaan ja lukuun. Epäselväksi jää miten lakia voidaan soveltaa samaan aikaan soveltuvin osin ja samaan aikaan lukuun ottamatta mainittuihin säännöksiin. Säännösluonnos pitänee sisällään kielellisiä heikkouksia. Lain sisäistä rakennetta tulisi kehittää siten, että oikeusturvaa ja seuraamuksia koskevat asiat sijaisisivat laissa vasta tietojenkäsittelyn erityistilanteita koskevan käsittelyn jälkeen.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Asianajajaliitto, Asianajaja Eija Warma, Asianajajaliiton IT-valiokunnan jäsen; lisäksi asianajajat Johanna Lilja ja Sakari Aalto
        Päivitetty:
        8.9.2017
        • Tässä lausunnossa Suomen Asianajajaliitto (jäljempänä ’Asianajajaliitto’) esittää näkemyksiään muuttuvan tietosuojasääntelyn vaikutuksista yhtäältä oikeusturvaan ja toisaalta asianajajan työhön. Asianajajaliitto haluaa kiinnittää tietosuoja-asetuksen täytäntöönpanotyöryhmän huomion asianajajakunnalle keskeisiin asioihin, joihin tulisi ottaa kantaa kansallisessa lainsäädännössä.
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • EU:n yleistä tietosuoja-asetusta aletaan soveltaa toukokuussa 2018. Tietosuoja-asetuksen tavoitteena on ollut parantaa lasten suojaa henkilötietojen käsittelyssä. Tämä asettaa uusia vaatimuksia muun muassa nuorille suunnatuille verkkopalveluille. Yksi tietosuoja-asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajansa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus sopia kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Nyt lausuttavana olevan työryhmän muistion mukaan Suomessa mahdollisena pidetään sekä 13 että 15 vuoden ikärajan asettamista. Suomen Nuorisoyhteistyö – Allianssi ry (Allianssi) haluaa muistuttaa, että digitaalisella medialla on keskeinen rooli lasten ja nuorten arjessa. Sosiaalisen median yhteisöpalvelut tarjoavat nuorille monipuolisia vuorovaikutuksen tapoja, yhteisöllisyyden kokemuksia sekä identiteetin rakentamisen mahdollisuuksia. Verkkoyhteisöt linkittyvät vahvasti muihin elämän yhteisöihin ja rikastuttavat nuorten kasvokkaista vuorovaikutusta. Nuoret voivat hyödyntää mediaa monella tavoin vaikuttamiseen ja oppimiseen. Verkossa nuoret voivat rakentaa maailmankuvaa, hakea tietoa ja osallistua yhteiskunnalliseen keskusteluun. Media tukee nuorten mielenkiinnon kohteita ja harrastustoimintaa. Osallistuminen digitalisoituneessa yhteiskunnassa edellyttää nuorilta hyviä viestintäteknologia- ja medialukutaitoa, joiden opettelu tulisi aloittaa jo varhaisessa iässä. Nuorten, mutta myös heidän vanhempiensa, mediakasvatus vaatii viranomaisten ja kolmannen sektorin moniammatillista yhteistyötä.
      • Helsingin kaupunki, kulttuuri ja vapaa-aika/Kaupunginmuseo, Museonjohtaja Tiina Merisalo, Helsingin kaupunginmuseo - Keski-Uudenmaan maakuntamuseo, Merisalo Tiina-Sisko
        Päivitetty:
        8.9.2017
        • Suomen museoliitto on antanut asiassa lausunnon 5.9.2017, johon Helsingin kaupunginmuseo yhtyy kaikilta osin.
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei ole lausuttavaa 1 luvun yleisistä säännöksistä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Hämeenlinnan hallinto-oikeus pitää po. ehdotusta hallituksen esitykseksi yleisesti ottaen työlle asetettujen tavoitteiden mukaisena. Hallinto-oikeus kuitenkin esittää joitakin kannanottoja ja kommentteja, joita toivotaan jatkokäsittelyssä otettavan huomioon.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Kansallisgallerian kokoelma on kuvataidetta ja se ilmiöitä tallentava kokonaisuus, joka muodostuu taideteoksista, arkistoaineistoista ja esineistä. Kokoelma on Suomen valtion omaisuutta ja sen ylläpidon periaatteita säätelee laki Kansallisgalleriasta (889/2013) ja valtioneuvoston asetus Kansallisgalleriasta. Kansallisgallerian kokoelman lisäksi Kansallisgalleria huolehtii Valtion taideteostoimikunnan kokoelmista. Kansallisgallerian kokoelma on korvaamaton osa kansallista kulttuuriperintöä, ja sen kolmen eri museon eli Sinebrychoffin taidemuseon, Ateneumin taidemuseon ja Nykytaiteen museo Kiasman sekä arkistokokoelmien toiminnan perusta. Laaja arkistokokoelma sisältää esimerkiksi noin 600 000 kuvaa valokuvina ja muilla formaateilla, noin 330 hyllymetriä asiakirja-aineistoja ja noin 2000 audiovisuaalisen arkiston tallennetta. Itse kokoelma-aineisto ja kokoelmia koskeva metadata sisältävät valtavan määrän henkilötietoja, jotka ovat välttämättömiä kokoelmahallinnan ja kuvataidetta koskevan tutkimuksen ja tiedontuottamisen osana. Kulttuuriperintöaineistojen ja niiden saavutettavuuden merkitys on vahvistunut Euroopassa lukuisten EU:n ja jäsenmaiden hankkeissa, joiden lähtökohtana on lisätä kulttuuriaineistojen käytettävyyttä tieteen, tutkimuksen, talouden ja sananvapauden edistämiseksi. Suomessa tällaisia hankkeita ovat esimerkiksi Avoimen tieteen ja tutkimuksen hanke (Opetus- ja kulttuuriministeriö) ja Finna tietokanta, joka yhdistää kirjastojen, arkistojen ja museoiden tuottamia tietosisältöjä. Yleisenä, julkilausuttuna lähtökohtana on tiedon avoimuus ja pyrkimys saattaa Suomi tässä mielessä kansainvälisesti eturintamaan. Tietosisältöjen tehokas käytettävyys edellyttäisi kuitenkin aineistojen ja niiden kuvailu- ja luettelointitietojen saavutettavuutta kulttuuriperintölaitoksissa ja niiden verkkopalveluissa. Tässä mielessä Kansallisgalleria katsoo, että EU-asetuksen sallimissa liikkumavara kansallisessa lainsäädännössä tulisi käyttää täysimääräisesti edellä kuvattujen tavoitteiden saavuttamiseksi. Nyt ehdotettu lakiluonnos valitettavasti johtaisi päinvastaiseen tulokseen vaarantamalla kulttuuriperintöorganisaatioiden julkisesti rahoitetut tietoyhteiskuntaa palvelevat toiminnot.
      • Tutkimuksen tuen ja hallinnon verkosto - TUHA, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • TUHA-verkosto haluaa omaan asiantuntemukseensa perustuen ottaa kantaa joihinkin tieteellisen tutkimuksen tekemisen edellytyksiin vaikuttaviin yksityiskohtiin koskien TATTI-työryhmän mietintöä ja työryhmän ehdotusta hallituksen esitykseksi uudeksi tietosuojalaiksi. TUHA-VERKOSTO Tutkimuksen tuen ja hallinnon verkosto (TUHA) kokoaa yhteen suomalaisissa yliopistoissa, ammattikorkeakouluissa, tutkimuslaitoksissa ja muissa tutkimusta tekevissä organisaatioissa työskentelevät tutkimushallinnon asiantuntijat. TUHA-verkostoon kuuluu yli kolmensadan henkilöjäsenen lisäksi myös muita valtakunnallisia verkostoja (Suomen yliopistokirjastojen neuvosto SYN, AMK-TKI-johtajat, Finn-ARMA, Tohtorikoulutusverkosto). Se toimii kymmenen eri aiheita käsittelevän alaryhmän kautta. TUHA-verkosto edustaa kattavasti suomalaista tieteellistä tutkimusta tukevia ja palvelevia asiantuntijoita. Roolinsa kautta sille on muodostunut syvällinen käsitys suunnasta, johon tieteellistä tutkimusta tukevat järjestelmät ja palvelut ovat tutkimuksen ohella kansainvälisesti kehittymässä. YLEISESTI Verkoston näkemykset pohjautuvat seuraaviin alkuoletuksiin: A) Tiede on kansainvälistä. Huipputason tieteellinen tutkimus edellyttää aktiivista yhteydenpitoa ja tietojenvaihtoa eri puolilla maailmaa oleviin kollegoihin. B) Digitalisoituminen muuttaa nopeasti ja voimalla tieteen tekemisen tapoja. C) Avoin tiede ja siihen kytkeytyvä tutkimustiedon jakaminen on kansainvälisessä tiedeyhteisössä vahva trendi. D) Tutkimuksen tuen ja palveluiden kaikkia osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Näin toisaalta lisätään tutkijoiden tutkimukseen käytettävissä olevaa aikaa ja toisaalta mahdollistetaan tutkimuspalveluiden asiantuntijoiden työpanoksen käyttäminen vaativampiin tehtäviin. Yleisesti TUHA-verkostoa huolestuttaa suunnittelussa valittu linja, jossa jätetään käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus sääntelyn modernisointiin. Ehdotuksessa on jäänyt vähälle huomiolle se miten ihmiset jo nyt käyttävät teknologiaa ja millaista toiminnallisuutta ja käytettävyyttä he järjestelmiltä edellyttävät. Myös tietosuojalainsäädännön on elettävä ajassaan. Valittu kireä linja antaa tarpeetonta etua kansainvälisille verrokeille. Tietosuoja-asetuksen toimeenpanon ei pidä kaventaa julkisuusperiaatteen tai tieteen vapauden toteutumista.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • Viite: Oikeusministeriön lausuntopyyntö 30.6.2017 yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi Tietosuojavaltuutettu lausuu kunnioittavasti seuraavaa: Tietosuojavaltuutettu pitää hyvänä, että ehdotuksen laatimisen lähtökohtana on pidetty kansallisen liikkumavaran käyttöä ja tietosuoja-asetuksesta tulevia muutostarpeita kansalliselle yleislaille. Ehdotuksessa on pyritty säilyttämään henkilötietolakia vastaava oikeustila tietosuoja-asetuksen mahdollistamin reunaehdoin. Ehdotus sisältää merkittäviä muutoksia kansallisten tietosuojaviranomaisten toiminnalle. Olennainen muutosehdotus on tietosuojalautakunnan lakkaaminen ja kansallisen valvontaviranomaisen tehtävien keskittäminen yhdelle viranomaiselle; tietosuojavirastolle. Kaikessa kansallisessa tietosuoja-asetusta täydentävässä ja täsmentävässä lainsäädännössä tulee ottaa huomioon tietosuoja-asetuksen tavoite; yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä koskevien perusoikeuksien- ja vapauksien suojelua ja varmistaa henkilötietojen vapaa liikkuvuus jäsenvaltioiden välillä. Työryhmän jatkotyössä tulisi ottaa huomioon pyrkimys vähentää rekisteripohjaista lainsäädäntöä. Jatkotyössä tulisi kiinnittää myös huomioita seuraamusjärjestelmään kokonaisuudessaan ja arvioida erityiset sääntelytarpeet (ml. kameravalvonta ja käytönvalvonta). Tietosuojalainsäädäntö on koettu usein vaikeaselkoiseksi. Sääntelyn ymmärrettävyyden ja johdonmukaisuuden lisäämiseksi, kaikki käsittelyä koskevat säännökset olisi syytä sisällyttää samaan lukuun (kts. tietosuojalain 2 luku, 5 luku ja 6 luvun 34 §). Esityksen vaikutukset Tietosuoja-asetuksen 52 artiklassa säädetään valvontaviranomaisen riippumattomuudesta. Riippumattomuuden edellytyksenä muun muassa se, että jäsenvaltio varmistaa, että valvontaviranomaiselle on osoitettu riittävät resurssit ja henkilöstö. Jatkovalmistelussa on edelleen arvioitava valvontaviranomaisen tehtävien hoitamisen ja toimivaltojen käytön edellyttämät resurssit 52 artiklan edellyttämällä tavalla. Tietosuojavaltuutetun toimiston nykyinen henkilöstö tulee luonnollisesti ottamaan vastaa asetuksen edellyttämiä tehtäviä. Jatkovalmistelussa on kuitenkin arvioitava ne tehtävät, joiden hoitamiseen tarvitaan lisäresursseja. Lähtökohtana arvioinnissa tulee olla se, että tietosuojavaltuutetun toimiston resurssit eivät enää viime vuosien aikana ole olleet oikeassa suhteessa sille nykyisin säädettyjen tehtävien kanssa. Tietosuojaviranomaisen tehtävän organisoituminen edellyttää kokonaisvaltaista arviointia, jossa otetaan huomioon tietosuoja-asetuksen, rikosasioiden tietosuojadirektiivin täytäntöönpanolain sekä muun tietosuojavaltuutetun tehtäviä ja toimivaltaa koskevan lainsäädännön vaikutukset tietosuojaviranomaisen toimintaan.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ehdotus uudesta tietosuojalaista tarvitaan, vaikka se noudattaa pitkälti nykyistä henkilötietola-kia. Ehdotus yhdistettynä sitovaan eu-säädäntöön merkitsee nykyistä tiukempaa tiedonhallinnan regulaatiota ja asettaa haasteita eri organisaatioille yleisesti tiedonhallinnan ja -suojan osalta. Lisäksi tilanne voi asettaa haasteita mm. tekoälyn, big datan ja analytiikan hyödyntämiselle palvelujen kehittämisessä. Oletettavaa on, että erityislainsäädännön valmistelussa joudutaan jatkossakin käymään arviointia tiedon käytön avoimmuuden rajoista. Tieteellinen tutkimus kattaa tietosuoja- asetuksen määritelmän mukaan teknologian kehityksen ja esittelyn, perustutkimuksen, soveltavan tutkimuksen ja yksityisin varoin rahoitetun tutkimuksen. Työ- ja elinkeinoministeriön näkemyksen mukaan tämä selventää henkilötietolain mukaista tieteellisen tutkimuksen määritelmää ja mahdollistaa tietojen käytön akateemisen tutkimuksen lisäksi myös yritysten toteuttamassa soveltavammassa tutkimuksessa. Laajempaa määritelmää ei kuitenkaan ole avattu yksityiskohtaisissa perusteluissa. Työ- ja elinkeinoministeriö ehdottaakin, että 31 ja 32 §:n yksityiskohtaisissa perusteluissa viitattaisiin asetuksen tieteellisen tutkimuksen määritelmään ja todettaisiin, että se kattaa myös edellä mainitut tutkimuksen tyypit mukaan lukien yksityisin varoin rahoitetun tutkimuksen. Tämä selventäisi kansalliseen lakiin otetun poikkeuksen soveltamisalaa. Määritelmää kuvataan kyllä yleisperusteluissa, mutta selkeyden vuoksi olisi tarpeen avata tieteellisen tutkimuksen määritelmä myös pykäläkohtaisissa perusteluissa. Perusteluissa olisi hyödyllistä kuvata myös joitakin esimerkkejä erityyppisistä tutkimuksista, joita voitaisiin pitää tässä tarkoitettuna tieteellisenä tutkimuksena. Työ- ja elinkeinoministeriö pitää tärkeänä, että kansallisen tietosuojaviranomaisen resursseja lisätään esite-tysti uusien ja lisääntyvien tehtävien mukaisesti. Erityisen tärkeää on huolehtia siitä, että tietosuojaviran-omaisella on mahdollisuus etukäteisvalvontaan, ohjaukseen ja neuvontaan. Riittävällä ohjauksella ja neu-vonnalla haastavissa tietosuojakysymyksissä voidaan välttää riskit jälkikäteisvalvonnassa havaittavista me-nettelyvirheistä, jotka voivat aiheuttaa yrityksille merkittäviä kustannuksia hallinnollisina sakkoina.
      • Svenska litteratursällskapet i Finland
        Päivitetty:
        8.9.2017
        • Svenska litteratursällskapet i Finland rf ger tillsammans med Suomalaisen Kirjallisuuden Seura ry följande utlåtande med anledning av betänkandet av arbetsgruppen för genomförande av den allmänna dataskyddsförordningen (TATTI) och arbetsgruppens utkast till regeringsproposition med förslag till ny dataskyddslag: Arbetsgruppens utkast till dataskyddslag äventyrar i sin föreslagna form verksamheten för finländska kulturarvsorganisationer (arkiv, bibliotek, museer, konstmuseer), eftersom lagen inte beaktar de särdrag som är förknippade med insamling, bevarande och tillgängliggörande av kulturhistoriskt material. EU:s dataskyddsförordning möjliggör i sig ett nationellt spelrum. Detta spelrum bör utnyttjas fullt ut, också i fråga om de i förordningen avsedda särskilda kategorierna av personuppgifter, eftersom rädslan för sanktioner kan leda inte bara till alltför långtgående visnings- och åtkomstbegränsningar utan också rentav till nedmontering av sådana gemensamma tjänster som producerats med offentlig finansiering. Av detta följer att det kulturhistoriska material som bevaras minskar. Om det endast är tillåtet att bevara information om offentliga personer, återstår endast ”den officiella historieskrivningen”, och då riskerar det finländska livets mångfald – folkminnen, lokalhistoria, vardagens historia, etniska minoriteter och marginalgrupper – falla i glömska. Samtidigt som utkastet till dataskyddslag äventyrar kulturarvsorganisationernas verksamhet, förtar det även verkan av undervisnings- och kulturministeriets projekt för öppen vetenskap och forskning (Avoin tiede ja tutkimus), vars mål är att Finland ska bli ett ledande land när det gäller öppenhet i vetenskap och forskning och att de möjligheter som den öppna vetenskapen ger ska utnyttjas i stor utsträckning i samhället. Exempelvis har kulturutskottet i sitt färska betänkande (KuUB 13/2016 rd) konstaterat att publiceringen av referensuppgifter om arkivmaterial på nätet märkbart skulle öka möjligheterna att få insyn i och tillgång till det kulturarv som samlats in med hjälp av offentliga medel. För att lösa ovannämnda problem föreslår vi att arbetsgruppens lagutkast kompletteras och ändras enligt följande.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskuksen kolmen museon, Kuopion taidemuseon, Kuopion luonnontieteellisen museon ja Kuopion kulttuurihistoriallisen museon kokoelmissa on yhteensä noin 2 miljoonaa henkilötietoa valokuvina, esineistön dokumentaatiotietoina, näytteiden dokumentaatiotietoina ja arkistomateriaaleina. Tietojen käsittelyoikeuksia ei useimmiten ole materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä ennen 2000-lukua kysytty tai kirjattu. Oletuksena on ollut, että museokokoelmiin liitetyt materiaalit on materiaalin luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Esim. Kuopion kulttuurihistoriallisen museon kuva-arkistossa lahjoittajan nimen käsittelyoikeutta on kysytty lahjoitusasiakirjassa vasta vuodesta 2000 alkaen. Tämän vuoksi EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa on huomioitava suomalaisten kulttuuriperintöorganisaatioiden (arkistot, kirjastot, museot) toiminta. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Yleisenä kommenttina Viestintävirasto toteaa, että lain soveltamisalaa koskeva 2 § on varsin vaikeaselkoinen. Viestintävirasto pitää toivottavana pyrkimystä muotoilla säännös selkeämmin mikäli mahdollista. Samalla huomiota olisi hyvä kiinnittää myös lainkohdan perustelujen selkeyteen.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetus sisällöltään ja vaikutuksiltaan huomattavan monimutkainen kokonaisuus. Sen velvoitteiden täyttäminen tulee aiheuttamaan henkilötietoja käsitteleville yrityksille, tutkimuslaitoksille ja viranomaisille huomattavan hallinnollisen taakan. Asetus antaa mahdollisuuden kansallisella lainsäädännöllä käyttää liikkumavaraa eräiden asetuksen sisältämien säännösten osalta. PRH:n käsityksen mukaan liikkumavara tulisi käyttää niin, että samalla kun varmistetaan asetuksen mukainen henkilöiden suojelu henkilötietojen käsittelyssä, pyritään samalla minimoimaan asetuksen aiheuttama hallinnollinen taakka, poistamaan henkilötietojen liikkumisen esteitä unionissa ja mahdollistamaan viranomaisten välinen tietojenvaihto. Lisäksi kansallisen lainsäädännön tulisi sisältää riittävän selkeät säännökset kansalasille, yrityksille ja viranomaisille asetuksen soveltamisesta. Nyt ehdotettu kansallinen laki ei tätä vaatimusta kaikilta osin täytä. Esimerkiksi lain 2 § viittauksineen ja poikkeuksineen on vaikeasti ymmärrettävä. Selkeyttä voisi lisätä jos Suomessakin käytettäisiin viittausten sijasta hyväksi asetuksen sallimaa mahdollisuutta sisällyttää sen säännöksiä suoraan osaksi kansallista lainsäädäntöä.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä (TATTI) ehdottaa mietinnössään, että säädetään uusi tietosuojalaki tietosuoja-asetuksen rinnalle. Samalla vanha henkilötietolaki kumoutuu. Tietosuoja-asetuksen soveltamissäännössä todetaan, että tietosuojalakia ja asetusta sovelletaan soveltuvin osin myös EU:n toimivallan ulkopuolella Suomessa. Uusi henkilötietojen käsittelyn kokonaissääntely koostuu siten yleisellä tasolla EU:n tietosuoja-asetuksesta ja tietosuojalaista, joita on luettava rinnakkain. Sääntelykokonaisuus on haastava ja vaikeaselkoinen. Tietosuojalaissa on säädetty ainoastaan niistä asioista, joissa kansallisen liikkumavaran käyttö on mahdollista. Esimerkiksi sääntely niin perustuvanlaatuisista asioista kun käsittelyn lainmukaisuus on jaettu asetuksen ja tietosuojalain välillä. Tietosuoja-asetuksen ja tietosuojalain lisäksi sääntelyä esimerkiksi erityisten henkilötietojen käsittelystä löytyy myös erityislaeista. Kuntaliitto pitää tärkeänä, että tietosuojalakiin otetaan mahdollisimman kattavat säännökset henkilötietojen käsittelyn perusteista, kuten myös erityisten henkilötietoryhmien käsittelystä, jotta sääntelykokonaisuus käytännössä olisi mahdollisimman selkeä. Kansallisen liikkumavaran käyttö on perusteltua, eteenkin ottaen huomioon Suomen yhteiskunnan erittäin henkilötietotiheä rakenne. Kuntaliitto pitää välttämättömänä, että tietosuojalain valmistelu koordinoidaan tiedonhallintalain valmistelun kanssa. Lisäksi jatkovalmistelussa on otettava huomioon ns. toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojan tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) valmistelutilanne. Mietinnöstä puuttuu kattava kokonaisuudistuksen taloudellisten vaikutusten selvitys. Mietinnössä lähdetään siitä, että tietosuojalain esitys ei itsessään aiheuta taloudellisia vaikutuksia ja että itse tietosuoja-asetuksen vaikutuksia ei selvitetä tai selitetä tarkemmin. Kuntaliiton näkemyksen mukaan edes perustuvanlaatuinen esitys asetuksen ja tietosuojalain yhdistetyistä taloudellisista vaikutuksista olisi perusteltua ottaa mietintöön. Kyse on kuitenkin hyvin integroidusta lainsäädäntökokonaisuudesta. Soveltamisalaan liittyvä pykälä on vaikeaselkoinen. Lisäksi, normihierarkian näkökulmasta asetuksen soveltamisalan poikkeamisesta tulisi tarkemmin avata.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen tullessa voimaan toukokuussa 2018 kansallinen tietosuo-jalainsäädäntö hajautuu nykyiseen oikeustilaan nähden. Yritykset rekisterinpitäjinä ja henkilötietojen käsittelijöinä joutuvat soveltamaan henkilötietojen käsittelyyn yhtäältä asetusta, toisaalta asetusta täydentävää ja täsmentävää kansallista yleislakia (työryhmän mietinnössä ehdotettu tietosuojalaki) sekä kutakin alaa tai elämänaluetta sääntelevää erityslainsäädäntöä. Tämä vaikeuttaa lainsäädännön soveltamista. Elinkeinoelämän keskusliiton EK:n näkemyksen mukaan mietinnössä ehdotetun yleislain säätäminen on kuitenkin perusteltua. Säätämällä uusi tietosuojalaki voidaan hyödyntää asetuksen tarjoamat mahdollisuudet kansalliseen liikkumavaraan ja säilyttää ennallaan nykyinen sääntely esimerkiksi henkilötunnuksen käsittelystä sekä henkilötietojen käsittelystä journalistisia tarkoituksia varten. Suomessa on merkittävä määrä liiketoimintaa, jolle em. kaltainen liikkumavaran käyttö on olennaisen tärkeätä. EK:lla ei ole huomautettavaa mietinnössä ehdotettuun tietosuojalain soveltamisalaa koskevan 2 §:n aineelliseen sisältöön. Pykälän ilmaisutapaa on kuitenkin tarpeen selkeyttää jatkovalmistelun aikana. Mietinnössä ehdotettu pykälä muodostuu kolmesta lauseesta, joista keskimmäinen on erittäin pitkä ja polveileva. Esimerkiksi ilmaisusta "[…] lisäksi soveltuvin osin ja lukuun ottamatta […]" on vaikea ymmärtää lainsäätäjän tarkoitusta. Pykälän hahmottaminen edellyttää lisäksi erillistä perehtymistä kahteen eri tietosuoja-asetuksen artiklaan sekä asetuksen VII lukuun, minkä johdosta kokonaisuudesta muodostuu hankala.
      • Nets Oy
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on pyytänyt lausuntoja 30.6.2017 antamassaan lausuntopyynnössä yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. Nets Oy ("Nets") lausuu näkemyksenään seuraavaa.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Oikeusministeriö on pyytänyt (1/41/2016) eduskunnan oikeusasiamiehen lausuntoa otsikkoasiassa. Lausuntopalvelussa julkaistun lausuntopyynnön rakennetta noudattaen ilmoitan lausuntonani seuraavan. Otan kantaa vain osaan esitetyistä kysymyksistä.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy pitää tärkeänä ehdotusta erityisesti siltä osin, kun sen 3 §:ssä annetaan tarkentavaa sääntelyä Asetuksen 6. artiklaan liittyen. Suomen Asiakastieto Oy pitää erittäin tärkeänä sitä, että Oikeusministeriö tietosuoja-asetuksen vastuuministeriönä pitää huolen siitä, että sektoriministeriöt ryhtyvät välittömästi tarvittavaan lainsäädäntötyöhön tietosuojalautakunnan lupien perusteella suoritettavan käsittelyn edelleen mahdollistamiseksi (mietinnön sivu 39). Kyseiset lainsäädännöt on saatava voimaan samalla hetkellä, kun asetusta ryhdytään soveltamaan ja poikkeusluvat menettävät merkityksensä.
      • Aalto yliopisto
        Päivitetty:
        8.9.2017
        • 1 § Lain tarkoitus Lakiehdotuksen yksityiskohtaisissa perusteluissa todetaan, että lain tarkoituksena on turvata perusoikeudet. Lakiehdotuksen yleisperusteluissa todetaan, että kansallisen tietosuojalain tavoitteena on kahden perusoikeuden, henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua huomioida perustuslain 16 §:n sivistykselliset oikeudet.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP Ryhmä kiittää mahdollisuudesta lausua asiassa ja pyytää kunnioittaen, että alla olevat OP Ryhmän esiin tuomat asiat otetaan huomioon lain jatkovalmistelussa. Uuden tietosuojalain soveltamisala jää valitettavasti erittäin epäselväksi ja hankalasti tulkittavaksi ilmaisujen ”soveltuvin osin ja lukuun ottamatta” sekä lukuisten pykäläviittausten takia. Ehdotamme, että lauserakennetta selvennettäisiin ja osa pykäläviittauksista kirjoitettaisiin mahdollisuuksien mukaan auki. Tavoitteena tulisi olla, että lukija pystyisi saa-maan yleiskäsityksen lain soveltamisalasta ilman, että hän joutuu perehtymään laajasti muihin säädöksiin.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • NEUVOSTOSTA Suomen yliopistokirjastojen neuvosto (SYN) on yliopistokirjastojen verkoston yhteistyötä koordinoiva ja kehittävä elin, jossa ovat edustettuina kaikki yliopistokirjastot. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen yliopistokirjastojen neuvosto (SYN) haluaa ottaa kantaa joihinkin tieteellisen tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Suomen yliopistokirjastojen kannalta on keskeistä, että sääntely turvaa vastaisuudessakin yliopistokirjastojen toimintaedellytykset. Kansainvälinen digitalisoitumiskehitys muuttaa nopeasti ja merkittävästi tieteen tekemisen tapoja ja tutkimustyön tukipalveluita. Erityisesti avoimen tieteen edistämistä on syytä tukea myös lainsäädännön keinoin. Yliopistokirjastot tuottavat tutkimuksen ja opetuksen tuen palveluita, joissa palveluiden osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Kirjastojärjestelmien sisältämien henkilötietojen lisäksi esimerkiksi yliopiston julkaisutietojen keruussa on välttämätöntä liikuttaa henkilötietoja yliopiston tutkimustietojärjestelmän, kansainvälisten artikkelitietokantojen, tiedonhakuportaalien, ORCID-palvelun (tutkijan tunniste palvelun), altmetriikkapalvelujen (näkyvyyspalveluiden), sosiaalisen median palvelujen, VIRTA-julkaisutietopalvelun, data-arkistojen ja yliopiston henkilötietojärjestelmien välillä. Näin säästetään tutkijoiden työaikaa ja mahdollistetaan tukitehtävissä toimivien työprosessien tehokkuus. Yliopistokirjastoilla tulee olla erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti metatietojen osalta. Yliopistokirjastoilla on myös EU:n rajat ylittävää toimintaa, jossa siirtyy henkilötietoja. Yliopistokirjastoja huolestuttaa työryhmän linja, jossa on nähtävissä halu jättää käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus olemassa olevan sääntelyn modernisointiin digitaalisessa toimintaympäristössä. Tietosuojalainsäädännön tulisi elää ajassaan eikä antaa tarpeetonta kilpailuetua kansainvälisille, erityisesti Euroopan ulkopuolisille toimijoille, esimerkiksi tutkimusdatan avaamiseen ja hyödyntämiseen liittyen. Digitalisaation täysimääräinen hyödyntäminen edellyttää mahdollisuutta siirtää sekä tutkijoiden että tutkimuksen tietoja sekä opiskelijoiden opintopalveluihin liittyviä tietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista (kuten asiasanoittamista ja artikkelien rinnakkaistallentamista) tai kytkemistä muihin palveluihin liittyviin tietoihin (kuten kirjastojärjestelmien asiakastiedot tai bibliometriset analyysit). Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa yliopistokirjastojen toimintaedellytyksiä palveluissa ja niiden kehittämisessä.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Suomalaisen Kirjallisuuden Seura ry yhdessä Svenska litteratursällskapet i Finland rf:n kanssa lausuu yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnön ja työryhmän ehdotuksen hallituksen esitykseksi uudeksi tietosuojalaiksi johdosta seuraavaa: Työryhmän ehdotuksen mukainen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuri-perintöorganisaatioiden (arkistot, kirjastot, museot, taidemuseot) toiminnan, sillä laki ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja tarjolle asettamiseen liittyviä erityispiirteitä. EU:n tietosuoja-asetus itsessään mahdollistaisi kansallisen liikkumavaran. Tämä liikkumavara tulisi hyödyntää täysimääräisesti, ja myös asetuksessa tarkoitettujen erityisten henkilötietoryhmien osalta, sillä sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tällöin tallentuva kulttuurihistoriallinen aineisto köyhtyy. Jos vain julkisuuden henkilöiden tietoja saa tallentaa, jäljelle jää vain ”virallinen historiankirjoitus” ja suomalaisen elämän monimuotoisuus: kansanperinne, paikallishistoria, arjen historia, etniset vähemmistöt sekä marginaaliryhmät jää unohduksiin. Samalla kun tietosuojalakiluonnos vaarantaa kulttuuriperintöorganisaatioiden toiminnan, se myös vesittää Opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Esimerkiksi sivistysvaliokunta on todennut tuoreessa lausunnossaan (SiVM 13/2016 vp), että arkistoaineistojen kuvailutietojen tuominen verkkopalveluihin lisäisi tuntuvasti julkisilla varoilla kootun kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Yllämainittujen ongelmien ratkaisemiseksi ehdotamme seuraavat lisäykset ja muutokset työryhmän lakiluonnokseen.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Asiakirjallinen kansallinen kulttuuriperintö on osa laajempaa kansallista kulttuuriperinnön kokonaisuutta. Asiakirjallinen kulttuuriperintö on sekä viranomaisten tuottamia arkistoja että yksityisten arkistoja. Kansallisarkisto on olemassa edellä mainittujen asiakirjojen (arkistojen) ja niihin sisältyvien tietojen pysyvän säilymisen ja saatavuuden varmistamiseksi sekä käytön edistämiseksi. Kansallisarkistosta annetun lain (1145/2016) 1 §:n mukaan Kansallisarkiston toimialana on kansalliseen kulttuuriperintöön kuuluvien asiakirjojen ja niihin sisältyvien tietojen pysyvän säilymisen ja saatavuuden varmistaminen sekä käytön edistäminen. Saman lain 2 §:ssä on säädetty Kansallisarkiston tehtävistä kansalliseen kulttuuriperintöön kuuluvien viranomaisten asiakirjojen ja niihin kuuluvien tietojen sekä yksityisten asiakirjojen ja niihin kuuluvien tietojen osalta. Edelleen tarkempia säännöksiä Kansallisarkiston määräysvallasta ja oikeuksista sisältyy aineelliseen, viranomaisten arkistointivelvoitteita koskevaan lainsäädäntöön, erityisesti arkistolakiin. Arkistolaissa (831/1994) on säädetty Kansallisarkiston (arkistolaitoksen) määräysvallasta ja oikeuksista viranomaisen arkistotoimessa ja asiakirjallisen tiedon turvaamisessa. Arkistolaissa on myös säännökset siitä miten ja millä edellytyksillä Kansallisarkisto ottaa vastaan yksityisiä arkistoja. Kansallisarkiston käsityksen mukaan uusi tietosuojalainsäädäntö ei oleellisilta osin muuta vallitsevaa tilannetta Kansallisarkiston toiminnassa. Kansallisarkistoon on nimetty tietosuojavastaava hoitamaan rekisterinpitäjänä Kansallisarkistolle kuuluvia tehtäviä. Kansallisarkistoon lisäksi asetettu sisäinen työryhmä, jonka tehtävänä on selvittää uuden tietosuojalainsäädännön vaikutuksia Kansallisarkiston eri toimintoihin. Työryhmän tehtävänä on myös laatia sisäiset ohjeistukset eri toimintoja varten.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto on opetus- ja kulttuuriministeriön hallinnonalaan kuuluva virasto, jonka tehtävänä on mm. huolehtia kulttuurihistoriallisen kansallisomaisuuden kartuttamisesta, hoidosta ja näytteillä pidosta, kulttuuriperinnön tutkimisesta ja kulttuuriperintöä koskevan tiedon tallentamisesta, säilyttämisestä ja käytettäväksi saattamisesta (Laki Museovirastosta, 282/2004). Museovirastolla on Kansallisarkiston myöntämä erillislupa säilyttää pysyvästi säilytettävät arkistoaineistot itsellään. Arkisto- ja kuva-aineistoja on yhteensä yli 16 hyllykilometriä, pelkästään valokuvia kokoelmissa on yli 15 miljoonaa kappaletta. Kansallismuseolla on Suomen suurimmat kulttuurihistorialliset kokoelmat ja ne sisältävät runsaasti henkilötietoja, jotka kuuluvat tietosuoja-asetuksen soveltamisalaan. Edellä mainituista syistä Museovirasto katsoo perustelluksi, että se antaa lausunnon tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä, vaikka organisaatiolta ei ole erikseen pyydetty lausuntoa. Museoviraston katsoo asian kansallisesti merkittäväksi ja sillä on vaikutuksia koko kulttuuriperintöalan toimintaan jatkossa. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä. Julkisilla varoilla toteutetuissa digitalisaatio- ja digitointihankkeissa aineistojen saavutettavuus ja avoin data ovat keskeisiä lähtökohtia ja usein edellytyksiä rahoituksen saamiselle. Tietosuojalakiluonnos vesittää myös opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Avoin tieto edellyttää, että aineistoja voidaan avata mahdollisimman laajasti. EU:n tietosuoja-asetus mahdollistaisi kansallisen liikkumavaran. Museovirasto katsoo, että tämä liikkumavara tulisi hyödyntää täysimääräisesti erityisesti matalariskisillä aloilla, sillä muuten sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Kulttuuriperintöorganisaatioiden tarpeiden huomioiminen sektorikohtaisessa lainsäädännössä ei ratkaise ongelmaa vaan se voisi saattaa kulttuuriperintöorganisaatiot eriarvoiseen asemaan. Huomioitava on myös se aika, joka on yleislainsäädännön voimaan tulon ja sektorikohtaisen lainsäädännön välillä. Väliaikana museoiden, kirjastojen ja arkistojen toiminnan lainsäädännöllinen perusta on epäselvä tai jopa laillisesti mahdoton.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi pitää yleisen tietosuoja-asetuksen 2 artiklan mukaista aineellisen soveltamisalan laajentamista kansallisella tietosuojalailla perusteltuna. Vaihtoehtona aineellisen soveltamisalan laajentamatta jättämiselle olisi TATTI- mietinnön (s. 119) mukaan säilyttää osittain nykyinen henkilötietolaki. Trafi katsoo, että kansallisessa tietosuojalaissa ehdotettu soveltamisala (2 §) tulisi kuitenkin kirjoittaa selkeämmin. Ehdotettu muoto on vaikeaselkoinen eikä täysin yksiselitteisesti kerro, mitä soveltamisalan piiriin kuuluu. Lisäksi Trafi kiinnittää huomiota, että 2 §:n perusteluissa (s. 139) on todettu, että ”soveltamisalan ulkopuolelle tulisi sulkea yleisen tietosuoja-asetuksen VI-VII luku siltä osin kuin….”. Itse pykälässä mainitaan edellä todetusta poiketen kuitenkin vain VII luku.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Lakiehdotuksen perusteluissa todetaan, että kansallisen tietosuojalain tavoitteena on kahden perusoikeuden, henkilötietojen suojan ja julkisuusperiaatteen kunnioittaminen. Näiden kahden perusoikeuden lisäksi olisi perusteltua huomioida perustuslain 16 §:n sivistykselliset oikeudet. Nämä oikeudet liittyvät keskeisesti korkeakoulutukseen ja tutkimukseen. Ammattikorkeakoulujen tehtävänä on (Amk-laki, 2014/932) on antaa työelämän ja sen kehittämisen vaatimuksiin sekä tutkimukseen, taiteellisiin ja sivistyksellisiin lähtökohtiin perustuvaa korkeakouluopetusta ammatillisiin asiantuntijatehtäviin ja tukea opiskelijan ammatillista kasvua. Ammattikorkeakoulun tehtävänä on lisäksi harjoittaa ammattikorkeakouluopetusta palvelevaa sekä työelämää ja aluekehitystä edistävää ja alueen elinkeinorakennetta uudistavaa soveltavaa tutkimustoimintaa, kehittämis-, ja innovaatiotoimintaa sekä taiteellista toimintaa. Tehtäviään hoitaessaan ammattikorkeakoulun tulee edistää elinikäistä oppimista.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommentteja.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Tietosuojalakia eikä EU:n tietosuoja-asetusta ole kansallisin ratkaisuin kokonaisuudessaan perusteltua ulottaa eduskunnan valtiopäivätoimintaan eikä valtiopäiväasiakirjoihin, joiden julkisuudesta säännellään perustuslaissa ja eduskunnan työjärjestyksessä.
      • Rakli
        Päivitetty:
        1.9.2017
        • Lausunnonantajasta RAKLI ry kokoaa yhteen kiinteistöalan ja rakennuttamisen vastuulliset ammattilaiset. RAKLIn jäsenet ovat asuntojen, toimitilojen ja infrastruktuurin omistajia, rakennuttajia ja käyttäjiä tai näiden ammattimaisia edustajia. Yhdessä varmistamme, että Suomessa on tilaa hyvälle elämälle.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Suomen evankelis-luterilainen kirkko on julkisoikeudellinen yhteisö, jonka seurakunnissa, seurakuntayhtymissä, hiippakunnissa ja kirkon keskushallinnossa käsitellään henkilötietoja ja pidetään henkilörekistereitä. Kattavin henkilörekisteri on Kirkon yhteinen jäsenrekisteri, mutta tämän lisäksi on lukuisia kirkon ja seurakuntien toimintaan sekä luottamushenkilöhallintoon liittyviä henkilörekistereitä. Tästä syystä kirkkohallitus katsoo perustelluksi, että se antaa yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän mietinnöstä lausuntonsa, vaikka sitä ei olekaan nimetty lausunnonantajien joukkoon. Lausunto on käsitelty kirkkohallituksen täysistunnossa 23.8.2017. Kirkollishallinnossa henkilötietojen käsittelyssä sovelletaan voimassa olevaa henkilötietolakia, lakia viranomaisten toiminnan julkisuudesta ja yhteisen jäsenrekisterin osalta lisäksi lakia uskontokuntien jäsenrekistereistä sekä eräiden jäsenrekisterissä olevien tietojen osalta myös lakia väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista. Lisäksi kirkkolainsäädännössä on joitakin henkilötietojen käsittelyyn ja henkilörekisterin pitämiseen liittyviä säännöksiä lähinnä koskien Kirkon yhteistä jäsentietojärjestelmää sekä kirkollisten vaalien toimittamista. Voimassa olevat säännökset on Valtioneuvoston kanslian kesäkuussa 2017 julkaistun tietosuojasäädösten muutostarvetta koskeneen selvityksen mukaan todettu tietosuoja-asetuksen mukaisiksi (Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 41/2017). Kirkollishallinnossa ei tällä hetkellä sovelleta arkistolainsäädäntöä, mutta kirkolliskokouksessa on parhaillaan käsittelyssä kirkkolainsäädännön kokonaisuudistus, jossa ehdotetaan arkistolain soveltamista arkistotoimintaan.
      • Vapaa-ajattelijain liitto ry, Ylikoski Esa
        Päivitetty:
        20.7.2017
        • Seuraavassa tekstikentässä on Vapaa-ajattelijain liitto ry:n lausunto kokonaisuudessaan.
      • Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 2 §:n otsikko on soveltamisala. Pykälässä säädettäisiin tietosuojalain soveltamisalasta ja siltä osin otsikko pitää paikkansa. Pykälään on kuitenkin sisällytetty säännös, jossa säädetään tietosuoja-asetuksen soveltamisesta (kuten oli tarkoituskin). Tarkoituksena nimittäin on, että tietosuoja-asetusta sovelletaan myös sellaisissa asioissa, jotka eivät kuulu tietosuoja-asetuksen 2 artiklassa määriteltyyn soveltamisalaan. MMM katsoo, että asia tulisi käydä otsikosta ilmi esimerkiksi muotoilulla ”Lain soveltamisala ja tietosuoja-asetuksen soveltaminen”. Kyseessä on erittäin keskeinen seikka lain soveltajille. Tietosuojalakiluonnoksen 2 §:n muotoilua ”soveltuvin osin ja lukuun ottamatta” voidaan pitää vaikeaselkoisena. Epäselväksi jää, miksi tähän pykälään on tarpeen sisältää ”soveltuvin osin” -muotoilu, kun otetaan huomioon säädösvalmisteluohjeet, joissa nimenomaisesti todetaan, ettei kyseinen muotoilu ole tarpeen.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Ei lausuttavaa.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Kaikista Suomen yrityksistä pk-yrityksiä on 99,8 % ja mikroyrityksiä 93 %. On erityisen valitettavaa, että esityksessä oleva yritysten vaikutustenarvioinnissa ei riittävästi saatu todellisia vaikutuksia esiin pk-yrityksiltä. Suomen Yrittäjien mielestä tähän asiaan olisi tullut panostaa selvästi enemmän. On selvää, että pk-yrityksille tietosuoja-asetus tuottaa lisätyötä ja vaatii lisäresursseja. Yrittäjä joutuu panostamaan asioiden laittamiseksi tietosuoja-asetuksen mukaiseksi omalla työpanoksellaan tai palkata konsultin hoitamaan asiaa.
      • Suomen tieteellinen kirjastoseura
        Päivitetty:
        8.9.2017
        • SUOMEN TIETEELLINEN KIRJASTOSEURA Suomen tieteellinen kirjastoseura ry. (STKS) on kirjasto- ja tietopalvelualan aatteellinen järjestö, jonka jäsenistö tulee kaikilta kirjastosektoreilta. Seura toimii tieteellisenä yhdistyksenä, jonka tarkoituksena on tehdä tunnetuksi tietohuollon merkitystä tuotantotekijänä sekä tutkimus- ja koulutustoiminnan välttämättömänä perusedellytyksenä. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen tieteellinen kirjastoseura haluaa ottaa kantaa joihinkin tieteellisten kirjastojen erityisesti tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Seura edellyttää, että sääntely turvaa vastaisuudessakin tieteellisten kirjastojen toimintaedellytykset. Digitalisoitumiskehitys ja avoimen tieteen edistäminen muuttaa nopeasti ja merkittävästi erityisesti tutkimustyön tukipalveluita. Tätä kehitystä tulee tukea lainsäädännön keinoin. Tieteellisille kirjastoille tulee turvata erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti kirjastojen käsittelemien henkilönimiä sisältävien metatietojen osalta. Tietosuojalainsäädännön ei saa antaa tarpeetonta kilpailuetua kansainvälisille toimijoille, erityisesti Euroopan ulkopuolella. Digitalisaation täysimääräinen hyödyntäminen kirjastosektorilla edellyttää mahdollisuutta siirtää metatietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista tai kytkemistä muihin palveluihin. Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa tieteellisten kirjastojen toimintaedellytyksiä. YKSITYISKOHTIA OTETTAVAKSI HUOMIOON KANSALLISESSA LAINSÄÄDÄNNÖSSÄ Kirjastojen asema ja tehtävät Kansallista lainsäädännön yhteydessä on huolehdittava siitä, että eri sektoreilla toimivien kirjastojen tehtävät on määritelty joko lainsäädäntötasolla tai selkeästi määritellään mitkä tehtävät kuuluvat yleisen edun piiriin. Kirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti. Tieteen vapaus, avoimuus ja julkisuus Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat kytköksissä toisiinsa ja tutkijoiden rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Tieteellisillä kirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tieteelliset kirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. STKS katsoo, että tieteellinen kirjastotoiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun toimintaan. Tietosuoja-asetuksen sanktiot Suomen tieteellinen kirjastoseura ei pidä tarkoituksenmukaisena yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista viranomaisiin ja julkishallinnon elimiin. Julkishallinnon toimijat toteuttavat toiminnassaan runsaasti myös sellaisia velvoitteita, joita yksityisellä sektorilla ei ole. STKS haluaa kiinnittää huomiota tietosuoja-asetuksessa esitetyn sanktiomahdollisuuden vaikutuksista kirjastopalveluiden kehittämiseen tieteellisissä kirjastoissa. Sanktioiden uhka voi suoraan tai välillisesti kaventaa merkittävästi kirjastojen palvelukehitystä ja –mahdollisuuksia. Mikäli sanktiomahdollisuus ulotetaan koskemaan kirjastopalveluita tarjoaviin yleishyödyllisiin tahoihin, mahdollisen sanktion suuruus pitäisi näille olla kohtuullinen ja sen määrä pitäisi määrittää kansallisessa lainsäädännössä. Muita huomioita Työryhmän ehdottaman lakiluonnoksen 27 §:n mukaan tietosuoja-asetusta sovelletaan vain hyvin rajoitetusti silloin, jos sen soveltaminen loukkaisi oikeutta tiedonvälityksen vapauteen tai estäisi henkilötietojen käsittelyn akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Toimiva kirjastolaitos, arkistot ja museot luovat toiminnallaan edellytyksiä taiteellisen tai kirjallisen ilmaisun harjoittamiselle. Sääntelyä tulisi tältä osin täsmentää. Käynnissä olevan lainsäädäntötyön yhteydessä tulisi myös ratkaista henkilötietojen luovutus teknisellä käyttöyhteydellä, mikä vaatinee nykyisen julkisuuslain muutosta. Digitaalisuus on hälventänyt rajoja eri organisaatioiden ja toimijoiden välillä ja yhteistyön tulisi olla yhä kustannustehokkaampaa ja joustavampaa. Lainsäädännössä on varmistuttava siitä, ettei lakia laadittaessa estetä tai haitata datan louhintaan ja suurten datamassojen käsittelyyn liittyvien palveluiden kehittämistä Suomessa.
      • Suomen valokuvataiteen museo
        Päivitetty:
        8.9.2017
        • Valokuvataiteen museo katsoo, että museoalan toiminnan turvaava tulkinta uudesta tietosuojalaista tarvitaan. Museoiden toimintaa koskevat erityisesti artiklat 85 (sananvapaus ja taiteellinen ilmaisu) ja 89 (arkistointi, tieteellinen tutkimus), joista EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmä toteaa mietinnössään, että sananvapauden ja henkilötietojen suojan yhteensovittamista on kansallisen täytäntöönpanon yhteydessä erikseen arvioitava. Ehdotamme, että näiden soveltamiseen nimenomaan museoalalla perustetaan museoalan asiantuntijoista koostuva työryhmä, joka tulkitsee lakia tältä osin yhteistyössä valtiollisen valvontaviranomaisen kanssa. Tämän tavoitteena olisi varmistaa museoiden tarkoituksenmukaisen toiminnan jatkuminen eli museoiden kokoelmiin kuuluvien yksityishenkilöihin liittyvien kuva- ja tekstimuotoisten aineistojen avoin käyttö näyttely-, tutkimus- ja julkaisutoiminnassa
      • Puolustusministeriö
        Päivitetty:
        8.9.2017
        • Yleisen tietosuojalain luonnoksen 2 §:ssä laajennettaisiin tietosuoja-asetuksen sovel-tamisalaa siten, että asetusta ja tietosuojalakia sovellettaisiin soveltuvin osin myös sellaiseen henkilötietojen käsittelyyn, jota suoritetaan tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä. Tällaista on mm. kansalli-sen turvallisuuden ylläpitämiseen liittyvä henkilötietojen käsittely. Saman säännöksen mukaan laissa voidaan kuitenkin tältä osin säätää toisin. Puolustusministeriön hallinnonalalla on tarkoituksena esittää, että edellä mainittua mahdollisuutta rajata tietosuoja-asetuksen soveltamista kansalliseen turvallisuuteen liittyvän henkilötietojen käsittelyn osalta, käytettäisiin Puolustusvoimien osalta laajasti. Valmisteilla olevan Puolustusvoimien henkilötietolain mukaan valtaosa Puolustusvoimien suorittamasta henkilötietojen käsittelystä rajattaisiin tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle. Tällaiseen henkilötietojen käsittelyyn sovellet-taisiin sen sijaan jatkossakin kansallista lainsäädäntöä. Soveltamisen rajaus on mahdol-lista toteuttaa ehdotetun säännöksen mukaisesti, mutta puolustusministeriö pyytää silti oikeusministeriötä vielä jatkovalmistelussa harkitsemaan, voisiko kansalliseen turvallisuuteen liittyvän henkilötietojen käsittelyn rajata asetuksen ja tietosuojalain sovelta-misalan ulkopuolelle yksiselitteisesti lain 2 §:ssä. Havainnollisuuden ja selkeyden vuoksi olisi toivottavaa, että lain ja tietosuoja-asetuksen tosiasialliset soveltamisalat kävisivät ilmi suoraan yleisen tietosuojalain soveltamisalasäännöksestä, eivätkä vain erityislainsäädännön kautta.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Soveltamisalaa koskeva pykälä on monimutkainen ja vaikeasti ymmärrettävissä, sitä olisi hyvä hieman selkeyttää. Viittauksien avaaminen mahdollisuuksien mukaan voisi olla paikallaan.
      • Open Knowledge Finland
        Päivitetty:
        8.9.2017
        • Katsomme, että tietosuojalakia ja hallinnonalakohtaista erityislainsäädäntöä on syytä kehittää selvityksen ehdotuksen suuntaisesti, kuitenkin kiinnittäen huomioita perusoikeuksien välisen tasapainon toteutumiseen. Kansalaisen oikeus ilmaista itseään vapaasti ja valitsemallaan tavalla sekä vaikuttaa yhteiskunnalliseen kehitykseen eivät saa olla alisteisia tietosuojaan liittyville oikeuksille. Kansalaisten toimintaedellytykset yleishyödyllisissä ja luovissa konteksteissa on turvattava demokratian ja yksilöiden itsemääräämisoikeuden toteutumiseksi yhteiskunnassa. Oikeus tulla muistetuksi on tunnistettava osaksi sananvapautta. Kansakunnan tasolla muistamisesta huolehtii historiatieteellinen tutkimus. Tutkimuksen toimintaedellytyksiä ei saa vaarantaa kohtuuttomasti vaikeuttamalla henkilötietoja sisältävän aineiston käsittelyä. Tieteellisen yhteisön sekä muistiorganisaatioiden lausunnot on huomioitava lainvalmistelussa erityisen painavina. Tiedeyhteisö on osoittanut tutkimuksen ihmiskohteiden suojelussa suurta herkkyyttä, vastuullisuutta ja proaktiivisuutta kehittämällä esimerkiksi ihmistieteellisen tutkimuksen eettisen ennakkoarvioinnin prosesseja. Erityisen vahingollista on, jos lainsäädäntö asettaa tieteellisen tutkimuksen eriarvoiseen asemaan suhteessa kaupallisiin, monikansallisiin toimijoihin nähden. Kansallinen tai alueellinen lainsäädäntö suitsii esimerkiksi sosiaalisen median henkilötietomassoja hyödyntäviä suuryrityksiä vain rajallisesti. Paternalistisen rajoittamisen sijaan kansalaisten tietosuojaa on tehokkaampaa ja oikeudenmukaisempaa kehittää parantamalla yksilöiden mahdollisuuksia hallinnoida itseään koskevia tietoaineistoja, esimerkiksi MyData-periaatteiden hengessä. Open Knowledge Finland on sekä Suomen että koko maailman johtavia MyData-asiantuntijoita. Kansallisen lainsäädännön tulee mahdollistaa MyData-kehitys Suomessa ja Suomen toimiminen kansainvälisenä suunnannäyttäjänä henkilötietojen yksilötason hallinnoimisessa. Hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa mm. kansalliset tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteet. Lakia on vaikea lukea suhteessa EU:n tietosuoja-asetukseen, kirjoitusteknisesti voitaisiin ottaa mallia Ruotsista, eli viitata yleisen tietosuoja-asetuksen artikoihin, joita tarkennetaan.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Lausuntoa ei ole pyydetty ainoaltakaan kunnalta, ainoastaan kuntaliitolta. Kunnat käsittelevät erittäin laajassa määrin kuntalaisten, muiden palvelujensa käyttäjien sekä palveluksessaan olevien henkilöiden henkilötietoja. Yleinen tietosuoja-asetus ja tietosuojalaki tulevat olemaan kuntien toiminnan kannalta merkittävä laki ja sen vaikutuksen ulottuvat kaikkien kuntien palveluksessa olevien henkilöiden toimintaan. Helsingin kaupunki katsoo, että mietinnöstä olisi tullut pyytää useamman suomalaisen kunnan lausunto, jotta erilaisten kuntien tarpeet tulisivat lainvalmistelussa huomioiduiksi. Lakiesityksen teksti on epäselvää ja tulkinnanvaraista sekä sisältää erittäin laajalti viittauksia tietosuoja-asetuksen eri artikloihin. Tämä tekee lakiesityksestä erittäin vaikealukuisen. Lakiesityksen sisällön pystyy ymmärtämään vain lukemalla sitä yhdessä tietosuoja-asetuksen ja lakiesityksen perusteluiden kanssa. Lakia tulevat kuitenkin soveltamaan niin pienet kunnat kuin pienet yrityksetkin. Olisi ollut suotavaa, että lain luettavuuteen olisi kiinnitetty enemmän huomiota. Liian vaikeaselkoinen laki jää helposti noudattamatta. Sovelletaan pienissä kunnissa ja pienissä yrityksissäkin ja ei tule noudatetuksi Julkisuuden turvaaminen kunnissa
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Asianajajaliitto, Asianajaja Eija Warma, Asianajajaliiton IT-valiokunnan jäsen; lisäksi asianajajat Johanna Lilja ja Sakari Aalto
        Päivitetty:
        8.9.2017
        • Yleiset kommentit oikeudenhoidon ja oikeusturvan näkökulmista Rekisterinpitäjien ja käsittelijöiden oikeusturvan toteutuminen Asianajajaliitto pitää rekisterinpitäjien ja käsittelijöiden oikeusturvan kannalta erittäin huolestuttavana sitä, että näiden toiminnan arviointi ja seuraamusten määrääminen, mukaan lukien hallinnollinen sakko, rajoitus ja kielto, kuuluisi esityksen mukaan valvovan viranomaisen toimivaltaan eikä tuomioistuimelle. Asianajajaliitto pitää erityisen kestämättömänä esityksenä sitä, että määrältään poikkeuksellisen korkeat hallinnolliset seuraamusmaksut tulisivat ensiasteessa tietosuojaviraston yhteyteen perustettavan seuraamuslautakunnan määrättäviksi, eivätkä tuomioistuimen määrättäviksi, kuten esimerkiksi kilpailuoikeudellisissa asioissa. Toimeenpanovaltaa käyttävälle viranomaiselle ei voida antaa tuomiovallan piiriin kuuluvia oikeuksia. Toimeenpanovallasta ja lainsäädäntövallasta riippumattomat tuomioistuimet, joissa tuomarin vastuulla toimivat tuomarit ratkaisevat asioita esitettyjen todisteiden ja argumenttien pohjalta, ovat ainoa osapuolten oikeusturvan Suomen perustuslain edellyttämällä tavalla turvaava vaihtoehto tietosuoja-asetuksen mukaisten seuraamusten määräämiselle. Tietosuoja-asetuksen mukaiset seuraamukset ovat sanktioluonteisia. Sakon nimeäminen hallinnolliseksi sakoksi ei muuta sen luonnetta yksittäistapauksessa määrättävänä rangaistuksena. Ottaen huomioon myös sen, että tietosuoja-asetuksen säännökset ovat monin osin tulkinnanvaraisia ja käytännön tilanteet moninaisia, asian saattaminen tuomioistuimen ratkaistavaksi vasta valitusasteessa ei ole oikeusturvan kannalta hyväksyttävää. Mietinnössä tehtyä esitystä tuleekin ehdottomasti muuttaa siten, että tietosuoja-asetuksen mukaiset seuraamukset määrää ensimmäisenä asteena tuomioistuin tietosuojaviranomaisen esityksestä. Oikeusministeriön tulisi myös selvittää, olisiko asioiden käsittely tarkoituksenmukaisempaa esimerkiksi Markkinaoikeudessa tai yleisessä tuomioistuimessa hallinto-oikeuksien sijasta. Markkinaoikeudella tai yleisillä tuomioistuimilla saattaa olla hallinto-oikeuksia paremmat valmiudet käsitellä helposti laajan näytön vastaanottamista edellyttäviä asioita. Muut kommentit eräistä asianajotoiminnan kannalta keskeisistä seikoista Asianajajan rooli ja käsittelyperuste Asianajajan toimeksiantotyössä voidaan käsitellä henkilötietoja hyvinkin laajasti ja useimmiten asianajaja tai asianajotoimisto toimii näissä tilanteissa rekisterinpitäjänä. Asianajajille tulisi kansallisella lailla varmistaa mahdollisimman laajat oikeudet kerätä toimeksiannon hoitamisen kannalta tarpeellista tietoa, joka monessa tilanteessa sisältää myös henkilötietoja. Asianajajaliitto haluaa kiinnittää työryhmän huomion siihen, että asianajajakunnalle tulisi kirjata lakiin nimenomainen oikeus kerätä, käsitellä ja säilyttää henkilötietoja toimeksiantotyössä silloin, kun se toimeksiannon hoitamisen kannalta on tarpeellista riippumatta siitä koskevatko tiedot päämiestä, vastapuolta tai sivullista. Tämän tarpeellisuusharkinnan suorittaa kunkin toimeksiannon vastuullinen asianajaja. Rekisteröidyn oikeudet Laki asianajajista 496/1958 (jäljempänä ’Asianajajalaki’) 5c § asettaa asianajajille salassapitovelvollisuuden (jäljempänä ’asianajosalaisuus’): ’Asianajaja tai hänen apulaisensa ei saa luvattomasti ilmaista sellaista yksityisen tai perheen salaisuutta taikka liike- tai ammattisalaisuutta, josta hän tehtävässään on saanut tiedon.’ Tietosuojalainsäädäntö antaa rekisteröidylle tiettyjä oikeuksia tarkastella rekisterinpitäjän rekisterinpitoa ja toisaalta vaikuttaa omien henkilötietojensa käsittelytoimiin. Rekisteröidyn tarkastusoikeus omiin tietoihinsa on hyvin laaja ja pyynnön esittäjällä on oikeus saada kaikki itseään koskevat tiedot, jotka rekisterinpitäjältä hänestä löytyy. Käytännössä niinkään ongelmallista ei ole vastata oman päämiehen esittämään tarkastuspyyntöön, mutta jos toimeksiannon vastapuoli tai sivullinen henkilö esittää tämän kaltaisen pyynnön on asianajajan monessa tilanteessa mahdotonta vastata siihen rikkomatta asianajosalaisuutta. Kansallisessa lainsäädännössä tulisikin varmistaa, että tietosuojalainsäädäntö ja sen asettamat velvollisuudet eivät ole ristiriidassa asianajajia koskevan erityissääntelyn kanssa. Asianajajan toiminnan arviointi Asianajajaliitto haluaa korostaa asianajajakunnan riippumattomuutta ja asiakassalaisuuksien tärkeyttä asianajajan työlle. Asianajajan lainmukaisen toiminnan arvioinnin pitäisi olla ensisijaisesti Asianajajaliitolla ja sen lakisääteisillä toimielimillä tai järjestettynä muulla vastaavalla tavalla, jolloin asianajosalaisuutta ei vaarannettaisi, kuten esimerkiksi rahanpesudirektiivin kansallisessa valmistelussa on toimittu. Lopuksi Asianajajaliitto katsoo, että ennen lopullisten ratkaisujen tekemistä hallituksen esityksen sisällöstä, Asianajajaliitto ja työryhmä sekä keskeisten ministeriöiden edustajat keskustelevat yksityiskohtaisemmin muuttuvan sääntelyn vaikutuksista. Asianajajaliitto myös ehdottaa, että sen edustaja olisi mukana lainvalmistelutyössä, jotta oikeusturvaan liittyvät kysymykset ja asianajokunnan erityisvaatimukset voitaisiin huomioida työryhmätyöskentelyssä.
      • Helsingin kaupunki, kulttuuri ja vapaa-aika/Kaupunginmuseo, Museonjohtaja Tiina Merisalo, Helsingin kaupunginmuseo - Keski-Uudenmaan maakuntamuseo, Merisalo Tiina-Sisko
        Päivitetty:
        8.9.2017
        • Suomen museoliitto on antanut asiassa lausunnon 5.9.2017, johon Helsingin kaupunginmuseo yhtyy kaikilta osin. Helsingin kaupunginmuseo jakaa Suomen museoliiton huolen museoiden ja muiden kulttuuriperintöorganisaatioiden toimintaedellytyksien toteutumisesta jatkossa, mikäli lainsäädännössä ei oteta huomioon kulttuuriperintöorganisaatioiden toiminnan erityispiirteitä. Kulttuuriperintöorganisaatioiden tarpeet tulee ottaa huomioon yleislaissa. Museoliiton lausunnossa eritellään näitä kohtia tarkemmin. Helsingin kaupunginmuseon kokoelmissa on noin miljoona valokuvaa, 450 000 kulttuurihistoriallista esinettä ja 6000 taideteosta, joihin useimpiin liittyy luonnollisesti henkilötietoja. Yhteisen kulttuuriperinnön esille saattaminen on museoiden keskeinen tehtävä. Julkinen valta on viimeisen lähes parin vuosikymmenen aikana linjannut yhdeksi keskeiseksi strategiseksi tavoitteeksi tiedon avaamisen ja digitalisaation. Esimerkiksi Opetus- ja kulttuuriministeriön digitointiin kohdistuneiden avustusten ehtona on myös ollut julkiseen käyttöön avaaminen vaikkapa Kansallisen Digitaalisen Kirjaston puitteiden kautta. Myös kaupunginmuseo on toiminut tämän linjauksen mukaisesti ja avannut kokoelmansa verkkoon kansalaisten vapaaseen käyttöön. Aineistoa verkossa on jo yli 50 000 objektia (kuvaa ym.) ja se kasvaa vuosittain. Avaamiseen on myös taloudellisesti panostettu huomattavia summia. Myös kansalaiset haluavat käyttää palvelua, esim. Helsinkikuvia.fi -palvelussa on puolessa vuodessa käynyt yli 174 000 vierailijaa. Kaupunginmuseon tulkinnan mukaan laki tiukimmillaan voisi estää tämän museon ydintoiminnan, koska kuvista ja niihin liittyvistä tiedoista ilmenee monenlaisia erityisiä henkilötietoja niin elävistä kuin kuolleistakin helsinkiläisistä, joiden jäljet ja muisto on tärkeää jälkipolville ja julkisen, ammatillisesti hoidetun museon toiminnan ydintä. Helsingin kaupunginmuseo edellyttää Museoliiton tapaan, että lakiin tulee selkeä ammatillisia museoita rekisterinpitäjän koskeva maininta, jolla mahdollistetaan henkilötietojen käsittely museoille säädetyn tehtävän täyttämiseksi kulttuuriperintöaineistojen tallentamisessa, tutkimisessa ja esille saattamisessa.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
      • Suomen Kiinteistöliitto ry, apulaispäälakimies Kristel Pynnönen
        Päivitetty:
        8.9.2017
        • Lausunnonantajasta Kiinteistöliitto on kiinteistönomistajien edunvalvoja ja kiinteistöalan asiantuntijaorganisaatio. Kiinteistöliittoon kuuluu 23 alueellista kiinteistöyhdistystä, joiden jäsenkunta muodostuu pääasiallisesti asunto-osakeyhtiöistä. Kiinteistöliiton jäsenistöön kuuluu myös vuokrataloyhtiöitä. Alueellisten kiinteistöyhdistysten jäsenistöön kuuluu yhteensä noin 27 000 asunto- tai kiinteistöosakeyhtiötä. Lisäksi Kiinteistöliittoon kuuluu Suomen Vuokranantajat ry, jossa on jäseninä yli 12 000 yksityishenkilöä tai muuta tahoa, jotka vuokraavat asuin- ja liikehuoneistojaan asunto- ja kiinteistöosakeyhtiöissä. Jäsenkuntamme piiriin kuuluu arviolta noin 2 miljoonaa suomalaista. Kiinteistöliitto lausuu EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmän (TATTI) mietinnöstä kunnioittaen seuraavaa. Kiinteistöliitto katsoo, että jatkovalmistelussa tulee kiinnittää erityistä huomiota käsittelyn oikeusperusteisiin. Taloyhtiöissä on useissa tilanteissa tarve käsitellä henkilötietoja ja oikeus tähän käsittelyyn tulee nimenomaisesti turvata laissa. Taloyhtiöissä on mielestämme pidettävä asukasluetteloa ja tämä pitäminen tulee mielestämme turvata laissa. Asukasluetteloa on pidettävä varmistaakseen, että taloyhtiössä tiedetään, ketkä taloyhtiön huoneistoissa asuvat sekä jotta yhtiö voi esim. vuokrata autopaikkoja ja pesutupa- sekä saunavuoroja asukkaille. Taloyhtiön huoltoyhtiö tarjoaa myös usein ovenavauspalveluja, mikäli asukas on unohtanut avaimensa huoneistoonsa. Voidakseen varmistua siitä, että ovi avataan huoneistoon asukkaalle, edellyttää tämä asukasluettelon pitämistä. Taloyhtiön sekä vuokranantajan kannalta tulisi myös lain tasolla varmistaa, että em. tahoilla on oikeus saada Väestörekisterikeskukselta tieto, ketkä asunnossa asuvat. Tämä edellyttää siis, että rekisterinpitäjä (Väestörekisterikeskus) on oikeutettu luovuttamaan tiedot eteenpäin. Muita rekistereitä, jotka pitävät sisällään henkilötietoja ja jotka usein ovat tarpeellisia taloyhtiössä, ovat tallentava valvontakamera ja iLOQ-lukot. Laissa tulee turvata, että näiden rekisterien pitäminen jatkossa mahdollistetaan. Lisäksi näiden rekistereiden eteenpäin luovuttamiseen esim. vakuutusyhtiölle tulee ottaa kantaa laissa. Vakuutusyhtiöt saattavat nimenomaan kääntyä taloyhtiön puoleen pyytääkseen tiedot valvontakamerasta voidakseen selvittää kameraan tallennettua onnettomuutta tai vahinkotapausta. Taloyhtiössä tulee valita hallitus. Hallituksen jäsenistä on pidettävä luetteloa. Epäselväksi jää, missä määrin tällaisia tietoja saa luovuttaa eteenpäin isännöitsijän toimesta. Tietosuojalaki ei saa estää tietojen luovuttamista, mikäli sitä muussa laissa edellytetään. Tietojen eteenpäin luovuttamiseen tulee mielestämme ottaa erityisesti kantaa tietosuojalaissa. Lisäksi katsomme, että tietosuojalain jatkovalmistelussa tulee huomioida erityslainsäädännössä olevat velvoitteet käsitellä henkilötietoja. Hyvänä esimerkkinä toimii asunto-osakeyhtiölaki, joka velvoittaa taloyhtiötä ylläpitämään osakeluetteloa. Osakeluettelo sisältää tiedot osakkaista ja muodostaa henkilörekisterin.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 2 § Soveltamisala Pykälässä tietosuoja-asetuksen soveltamisalaa laajennettaisiin koskemaan tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitettuun käsittelyyn soveltuvin osin ja lukuun ottamatta tietosuoja-asetuksen 56 artiklaa ja VII lukua, jollei laissa toisin säädetä. Säännöksen perusteella ei saa selkeää käsitystä siitä, mitä tietosuoja-asetuksen säännöksiä kyseisen laajennuksen myötä sovellettaisiin. Jos tietosuoja-asetuksen 56 artikla ja VII luku on ehdotetussa 2 §:ssä suljettu soveltamisalan ulkopuolelle, mitä ”soveltuvin osin” varaumalla tarkoitetaan? Perusteluissa (osin poikkeavasti kuin pykälässä itsessään) on todettu, että soveltamisalan ulkopuolelle tulisi sulkea yleisen tietousoja-asetuksen VI-VII luku siltä osin kuin kyse on niin sanotusta yhdenluukunmekanismista ja yhdenmukaisuusmekanismista. Epäselvää myös on, mitä pykälän lopussa oleva lause ”Sama koskee tämän lain soveltamista” tarkoittaa. Kyseinen säännös on keskeinen niin lainvalvonnan ja valvontaviranomaisen toimivaltuuksien käytön kannalta kuin yleisen oikeusturvan kannalta. Pykälän epätarkassa muotoilussa on riskinä, että tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdassa säädetyn toiminnan ja siihen liittyvän henkilötietojen käsittelyn osalta ei tunnisteta sovellettavia säännöksiä ja niistä seuraavia velvollisuuksia. Säännöstä voitaisiin selkeyttää esimerkiksi siten, että se jaettaisiin kahteen eri momenttiin. Tällöin 1 momentti koskisi tietosuojalain soveltamista asetuksen soveltamisalan mukaisesti. Tietosuoja-asetuksen soveltamisalan laajentaminen jäisi 2 momenttiin. Niin kutsuttu rikosasioiden tietosuojadirektiivin täytäntöönpanolaki huomioiden, oikeusministeriössä tulisi arvioida, soveltuisiko em. täytäntöönpanolaki tiettyjen Unionin lainsäädännön soveltamisalan ulkopuolelle rajautuvan henkilötietojen käsittelyn osalta yleistä tietosuoja-asetusta paremmin yleislaiksi. Keskeisintä kuitenkin on varmistaa, ettei kansalliseen lainsäädäntöön jää sellaisia alueita, joihin ei sovelleta henkilötietojen suojaa koskevia säännöksiä perustuslaki, EU:n perusoikeuskirja ja ihmisoikeussopimus huomioiden.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • 1 §:n mukaan ehdotettavalla lailla täsmennettäisiin ja täydennettäisiin tietosuoja-asetuksen kansallista soveltamista. Pykälän yksityiskohtaisissa perusteluissa olisi hyvä avata, mihin termit täsmentää ja täydentää viittaavat ja mikä on kahden termin käytön syy. Pykälän yksityiskohtaisissa perusteluissa ei mainita täydentämistä. 2 §:n viimeisen virkkeen viittaus on lakiteknisesti epäselvä.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Ehdotamme lain esitöihin kannanottoa siitä, kuinka asetus ja henkilötietojen käsittelyä ja suojaa koskevat erityislait tulisi sovittaa yhteen eli miten erityislainsäädännön ja yleislainsäädäntönä sovellettavan tietosuojalain soveltamisjärjestys on suhteessa asetukseen. Ovatko esim. kaikki kansalliset säännökset tasavertaisia suhteessa asetukseen? Olisi tärkeää, että asiasta ei jää epäselvyyttä. Yksi kysymys on se, luetaanko kansallisen liikkumavaran puitteissa tehty säännös hallinnollisten sanktioiden kannalta eri kategoriaan kuin itse asetus.
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskuksen lausunto kansallisesta tietosuojalaista. Kuopion museokeskuksen kolmen museon, Kuopion taidemuseon, Kuopion luonnontieteellisen museon ja Kuopion kulttuurihistoriallisen museon kokoelmissa on yhteensä noin 2 miljoonaa henkilötietoa valokuvina, esineistön dokumentaatiotietoina, näytteiden dokumentaatiotietoina ja arkistomateriaaleina. Tietojen käsittelyoikeuksia ei useimmiten ole materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä ennen 2000-lukua kysytty tai kirjattu. Oletuksena on ollut, että museokokoelmiin liitetyt materiaalit on materiaalin luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Esim. Kuopion kulttuurihistoriallisen museon kuva-arkistossa lahjoittajan nimen käsittelyoikeutta on kysytty lahjoitusasiakirjassa vasta vuodesta 2000 alkaen. EU:n yleistä tietosuoja-asetusta täydentävässä kansallisessa tietosuojalaissa on huomioitava suomalaisten kulttuuriperintöorganisaatioiden (arkistot, kirjastot, museot) toiminta. Valmisteilla oleva kansallinen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuriperintöorganisaatioiden (museot, arkistot ja kirjastot) toiminnan. Oikeusministeriön lausunto ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja käytettäväksi saattamiseen liittyviä erityispiirteitä. Kansallinen liikkumavara käytettävä Kuopion museokeskus on huolissaan siitä, että mietinnön perusteella kansallisessa lainsäädännössä jätetään käyttämättä se liikkumavara, jonka EU:n tietosuoja-asetus itsessään mahdollistaisi. Lisäksi uudessa laissa jätetään käyttämättä mahdollisuus nykyisen henkilötietolain sisältämien ja digitalisaatiosta aiheutuneiden puutteiden korjaamiseen. Nykyinenkin henkilötietolaki on ristiriitainen esimerkiksi opetus- ja kulttuuriministeriön tiedon saatavuuden ja tieteen avoimuuteen liittyvien tavoitteiden sekä eduskunnan sivistysvaliokunnan (SiWM 13/2016 vp) linjauksen kanssa. Julkisilla varoilla toteutetuissa digitalisaatio- ja digitointihankkeissa aineistojen saavutettavuus ja avoin data ovat keskeisiä lähtökohtia ja usein edellytyksiä rahoituksen saamiselle. Tietosuojalakiluonnos vesittää myös opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Avoin tieto edellyttää, että aineistoja voidaan avata mahdollisimman laajasti. Uusi tietosuojalaki korostaa lain aktiivista toteuttamista. Lisäksi lain noudattamiseen aktivoidaan taloudellisten sanktioiden uhalla. Nämä lainsäädännön kiristykset johtavat muistiorganisaatioissa todennäköisesti huomattaviin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tämä alasajo tarkoittaa esim. Kuopion museokeskuksen osalta kaikkien alle 100 vuotta vanhojen henkilökuvien poistamista, joissa on tunnistettavia ei-julkisuuden henkilöitä, museoidemme verkkopalveluista. Kuopion museokeskus on huolissaan termien epätäsmällisyydestä. Lausunnolla olevaa tietosuojalakia on täsmennettävä ja selkiytettävä historiallisia tutkimus- ja muita tarkoituksia varten myönnettävien poikkeusten osalta. Lausunnolla olevassa lakiluonnoksessa esitetään poikkeuksia ”yleisen edun mukaista arkistotarkoitusta” varten tallennetulle ja käytettävälle tiedolle. Tältä osin tarkennusta kaipaa, mitä tarkoitetaan ”yleisellä edulla” ja millaisten toimijoiden katsotaan toteuttavan yleistä etua. Lisäksi termi arkistointitarkoitus on liian epämääräinen ja kapea. Selkeämpää olisi käyttää kokonaisuutta arkistointi ja kokoelmien hoito ja todeta yksiselitteisesti, että tähän liittyvät poikkeukset koskevat ammattimaisesti hoidettuja museoita arkistojen ja kirjastojen lisäksi. Kuopion museokeskus odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Kuopion museokeskuksen museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. Jos lakia tulkitaan tiukimman mukaan, myös suomalaisuus on etninen eli arkaluonteinen tieto. Lausunnolla oleva lakiluonnos toteaa yksiselitteisesti, että laissa mainitut rajaukset koskevat vain eläviä henkilöitä. Tämä on selkeä ja tärkeä rajaus. Käytännössä museoiden on kuitenkin mahdotonta tietää esimerkiksi sitä, ovatko valokuvissa olevat henkilöt tietojen käsittelyn aikaan eläviä vai kuolleita. Tietojen käsittelyä koskevat poikkeukset mainittava selkeästi Kuopion museokeskus edellyttää, että edellä mainittujen määrittelyjen tarkennusten lisäksi lakiin tulee selkeä ammatillisia museoita rekisterinpitäjänä koskeva maininta, jolla mahdollistetaan henkilötietojen käsittely museoiden lakisääteisen ja sääntömääräisen tehtävän täyttämiseksi kulttuuriperintöaineistojen tallentamisessa, tutkimisessa ja esille saattamisessa. Museot on myös rajattava lakiesitykseen sisältyvien taloudellisten sanktioiden ulkopuolelle. Sektorilainsäädännöllä esimerkiksi museolaissa voidaan määritellä ammatillisen museotoiminnan kriteerit. Lisätietoja: Aija Jaatinen Kuopion museokeskuksen päällikkö p. 017-182 634, 044 718 2634 aija.jaatinen@kuopio.fi
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Liitteessä 3. Ehdotus hallituksen esitykseksi eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi yleiseksi lainsäädännöksi käsitellään esityksen riippuvuutta muista esityksistä. Viestintävirasto huomauttaa, että Euroopan Komissio on antanut ehdotuksen sähköisen viestinnän tietosuojadirektiivin uudelleentarkastelusta 10.1.2017. Ehdotuksen mukaan sähköisen viestinnän tietosuojadirektiivi 2002/58/EY kumotaan ja jatkossa sähköisen viestinnän tietosuojasta säädetään yleistä tietosuoja-asetusta täydentävällä Euroopan parlamentin ja neuvoston asetuksella yksityisyyden ja henkilötietojen suojaamisesta sähköisessä viestinnässä. Valmistellulla sähköisen viestinnän tietosuoja-asetuksella on yhteys yleiseen tietosuoja-asetukseen ja sen kansalliseen lainsäädäntötoimenpiteiden tarpeen arvioimiseen ja toimeenpanemiseen erityisesti päätettäessä yleisen tietosuoja-asetuksen valvontaviranomaisesta. Sähköisen viestinnän tietosuoja-asetuksen osalta Viestintävirasto tukee valtioneuvoston kantaa, että viranomaisvalvontaa koskevat säännökset mahdollistavat valvonnan järjestämisen kussakin jäsenvaltiossa toissijaisuusperiaatteen mukaisesti tarkoituksenmukaisimmalla tavalla ilman kohtuuttomia kustannuksia ja tarpeetonta tehtävien uudelleenjärjestelemistä. Viestintävirasto pitäisi hyvänä, että jo yleisen tietosuoja-asetuksen kansallista täytäntöönpanoa mietittäessä, selvitettäisiin, minkälaisia vaikutuksia Viestintäviraston ja Tietosuojavaltuutetun toimivallan muutoksilla olisi toteutuessaan.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Museoalan ammattiliitto MAL ry
        Päivitetty:
        8.9.2017
        • Muistisairas Suomi ? Museoalan ammattiliiton lausunto EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietintöön 8.9.2017 Museoalan ammattiliitto MAL ry pitää erittäin ongelmallisena toimialalleen nyt esitettyjä muutoksia tietosuoja-asetukseen. Museoalan on vaikea suorittaa yhteiskunnallista tehtäväänsä kulttuurin tallentajana ja esittäjänä, jos lakiin ei tule erillislainsäädäntöä, joka ottaa huomioon museokontekstin erityispiirteet. Museoiden tulee edistää kulttuuri- ja luonnonperintöä koskevan tiedon saatavuutta tallentamalla siihen liittyvää tutkimusta, opetusta ja tiedonvälitystä sekä näyttely- ja julkaisutoimintaa. (Museolaki 1. §). Museoissa harjoitettava tiedonkeruu ja esittäminen palvelevat yleistä etua. Historiallista tai tieteellistä tutkimusta varten saa henkilötietoja käsitellä muilla kuin sen 8. §:n 1. momentissa säädetyillä perusteilla, jos tutkimusta ei voi suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi ole mahdollista hankkia. Museotoimessa tietojen ikä on usein sellainen peruste, että rekisteröityjen suostumusta on vaikea hankkia - erityisesti kuva-arkistojen kohdalla. Jos laki toteutuu ehdotuksen mukaisesti, on vuosikymmenten työ vaarassa pyyhkiytyä. Kuva-arkistoissa on miljoonia kuvia ja niissä lukematon määrä kuvia ihmisistä, joiden tietoja eikä näin ollen myöskään suostumusta ole saatavilla. Kuitenkin kuvien julkaiseminen verkkopalveluissa mahdollistaa tietoyhteiskuntatavoitteiden mukaisen historiallisen ja tieteellisen tutkimuksen. Arkistoihin on tallentunut ja tallentunee aineistoa, joissa yksiselitteistä lupaa ei ole ollut mahdollista saada, vaikka museotoimi kouluttaa ja pitää yllä tietosuojalain mukaisia hyviä käytänteitä omassa toiminnassaan. Mietinnössä todetaan arkistolaitoksella tarkoitettavan henkilötietolain 35. §:ssä Kansallisarkistoa, josta säädetään arkistolaissa. Muita siihen verrattavia arkistoja ovat henkilötietolakia koskeneen hallituksen esityksen mukaan mm. ulkoasiainministeriön arkisto, sota-arkisto ja Suomalaisen Kirjallisuuden Seuran arkisto sekä ammattiliittojen arkistot (HE 96/1998 vp). Vähintäänkin arkistolaitokseen verrattaviksi arkistoiksi voidaan lukea myös merkittävien kansallisten museoiden arkistot kuten Museoviraston ja Kansallisgallerian arkistot. Nämä organisaatiot keräävät oman alansa erityistietoa ja niiden arkistot ovat merkittäviä tieteellisen ja historiallisen tutkimuksen lähteitä sekä täysin verrattavia Suomalaisen Kirjallisuuden Seuran arkistoon. Niin ikään ammatillisesti hoidettu museolaitos hoitaa huolellisesti sille annettuja tehtäviä ja kansallisen lainsäädännön ei pidä olla niin vaikea ja ristiriitainen, että perustehtävän hoito käy sille mahdottomaksi. Selvityksessä todetaan, että viranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita, voi edelleenkin jäsenvaltion lainsäädännön nojalla olla palveluita, joilla on lakisääteinen velvoite hankkia, säilyttää, arvioida, järjestää, kuvailla, välittää, edistää ja levittää tietueita. Suomen hallitusohjelmissa on jo 1990-luvulta lähtien korostettu digitalisaation merkitystä kulttuuriperintöorganisaatioiden kehittämisessä. Kehittämiseen on myös käytetty huomattavasti julkista rahaa. Näitä digitaalisia palveluita ovat mm. Finna, SA-kuva, Elonet ja AHAA. Tietosuojalakiluonnos palauttaisi kulttuuriperintöorganisaatiot vuosikymmeniä ajassa taaksepäin. Muistiorganisaatioiden digitaalisten palveluiden kautta myös kansalaiset voivat esteettömästi tutustua oman maansa historiaan. Erilaisten henkilökuvien säilyttäminen ja tarjoaminen käyttöön asiakkaille verkkopalveluissa ja museoissa koetaan tärkeäksi asiaksi. Esitetyt vahingonkorvausvaatimukset sakkojen muodossa ovat todella mittavat ja museoalalla jo pelkkä uhan olemassaolo halvaannuttaa lakisääteistä toimintaa. Erityislainsäädännöllä tulisi turvata museoiden oikeudet suorittaa perustehtäväänsä aivan kuten rikosoikeudellisin perustein turvataan mm. vakuutusyhtiöiden erityistarpeet. Museoiden toiminta henkilötietojen keräämisen ja tallentamisen osalta on henkilötietolain 8. §:n mukaista. Lisäksi perusteluissa todetaan, että ehdotus vastaa henkilötietodirektiivin 7. artiklan c-alakohtaa, jonka mukaan henkilötietojen käsittely on sallittua, jos se on tarpeen rekisterinpitäjälle lain mukaan kuuluvan velvoitteen täyttämiseksi. Sananvapaus ja tiedonvälityksen vapaus sekä taiteellinen ja kirjallinen ilmaisu tulee olla vastaisuudessakin mahdollista nykyisen kaltaisesti. Museoilla ei ole mieltä kerätä tai säilyttää arkistoja, joita ei voi käyttää nyky-yhteiskunnan haasteiden mukaisesti. Tietosuoja-asetuksen kansallista soveltamista koskevan lain jatkovalmisteluvaiheessa tulee huomioida kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja esittämiseen liittyviä erityispiirteitä. Toteutuessaan suunnitellussa muodossa kansallinen tietosuojalaki vaarantaisi museoiden perustehtävän, kokoelmien ja niihin liittyvän tiedon tallentamisen ja välittämisen kaikkien käyttöön, mikä on vastoin aineistojen hyödyntämisperiaatteita. EU:n yleinen tietosuoja-asetus on kansallisesti suoraan sovellettavaa lainsäädäntöä, mutta se jättää jäsenvaltioille eräissä asioissa direktiivinomaista kansallista liikkumavaraa. Museoalan ammattiliitto esittää, että kansallisessa lainsäädännössä säädetään kaikille kulttuuriorganisaatioille mahdollisuus käsitellä ja esittää aineistojaan arkistolaitoksen lailla.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Yleistä tietosuoja-asetusta ei sovelleta unionin toimielinten, elinten ja laitosten suorittamaan henkilötietojen käsittelyyn. En ole havainnut, että yleisen tietosuoja-asetuksen soveltumista kansalliseen parlamenttiin tai sen yhteydessä oleviin virastoihin olisi säännelty tietosuoja-asetuksessa. Työryhmämietinnössä asiaa ei käsitellä. Jatkovalmistelussa olisi tarpeen selvittää ja ottaa kantaa siihen, tulisivatko henkilötietoasetus ja ehdotettu tietosuojalaki soveltumaan Suomen eduskuntaan ja sen virastoihin ja jos kyllä, miltä osin. Tietosuoja-asetuksen soveltamisen on tarkoitettu olevan rajoitettua oikeuslaitoksen riippumattomuuden turvaamiseksi. Asetuksen johdannon (kohta 20) mukaan: ”unionin oikeudessa tai jäsenvaltion lainsäädännössä voitaisiin täsmentää käsittelytoimia ja -menettelyitä tuomioistuinten ja muiden oikeusviranomaisten suorittaman henkilötietojen käsittelyn osalta. Valvontaviranomaisten toimivalta ei saa kattaa tuomioistuinten oikeudellisiin tehtäviin liittyvää henkilötietojen käsittelyä, jotta voidaan turvata oikeuslaitoksen riippumattomuus sen hoitaessa lainkäyttötehtäviään, päätöksenteko mukaan lukien. Tällaisten tiedonkäsittelytoimien valvonta olisi voitava uskoa jäsenvaltion oikeusjärjestelmään kuuluville erityiselimille, joiden olisi erityisesti varmistettava tämän asetuksen sääntöjen noudattaminen, vahvistettava oikeuslaitoksen edustajien tietoisuutta niille tämän asetuksen mukaisesti kuuluvista velvoitteista ja käsiteltävä tällaisiin tiedonkäsittelytoimiin liittyviä valituksia”. Katson, että vastaavia argumentteja tulisi soveltaa myös ylimpien laillisuusvalvojien riippumattomuuden turvaamiseksi. Ehdotettu tietosuojavirasto olisi oikeusasiamiehen (ja oikeuskanslerin) valvonnan alainen suoraan perustuslain 109 §:n (ja 108 §:n) nojalla. Oikeusasiamiehen riippumattomuuden ja erityisesti oikeusasiamiehen tietosuojavirastoon kohdistaman valvonnan riippumattomuuden kannalta en pidä mahdollisena, että tietosuojavirasto voisi kohdistaa tutkintaa oikeusasiamieheen tai antaa huomautuksia, varoituksia tai määräyksiä oikeusasiamiehelle (tai oikeuskanslerille), saati määrätä hallinnollista sakkoa. Todettakoon, että oikeusasiamies (ja oikeuskansleri) jäävät esimerkiksi yhdenvertaisuuslain nimenomaisen rajauksen mukaan yhdenvertaisuusvaltuutetun, yhdenvertaisuus- ja tasa-arvolautakunnan sekä työsuojeluviranomaisten valvonnan ulkopuolelle (yhdenvertaisuuslain 18 §). Nähtävästi tietosuojavirasto tulisi itse jäämään tietosuoja-asetuksen mukaisen valvonnan ja sanktioiden ulkopuolelle. Näin tulisi olla myös oikeusasiamiehen osalta. Vaikka oikeusasiamies ei olisi tietosuoja-asetuksessa tarkoitettu valvontaviranomainen, oikeusasiamies valvoo suoraan perustuslain nojalla tietosuoja-asetuksen noudattamista kaikissa viranomaisissa ja julkista tehtävää hoitavissa tahoissa, myös tuomioistuimissa ja periaatteessa myös tietosuojavirastossa. Tietosuoja-asetuksen 2 artiklan 2 kohdan a alakohdan mukaan asetusta ei sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Lienee tulkinnanvaraista, kuuluuko oikeusasiamiehen laillisuusvalvonta unionin lainsäädännön soveltamisalaan. Selvänä pidän sitä, että perustuslain 110 §:n 1 momentin erityissyyttäjän roolissa ylimmät laillisuusvalvojat jäävät tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle (tietosuoja-asetuksen 2 artiklan 2 kohdan d alakohta). Lakiehdotuksessa tietosuoja-asetuksen soveltamisalaa suunnitellaan kansallisesti laajennettavaksi koskemaan myös ”soveltuvin osin” muun muassa sellaista henkilötietojen käsittelyä, jota suoritetaan tietosuoja-asetuksen 2 artiklan 2 kohdan a alakohdassa tarkoitetun toiminnan yhteydessä. Mietinnön perusteluiden (s. 139) mukaan henkilötietojen käsittely jäisi soveltuvin osin -rajauksen johdosta tietosuoja-asetuksen ja tietosuojalain soveltamisalan ulkopuolelle tilanteissa, joissa lain soveltaminen olisi ”selvästi Suomen oikeusjärjestyksen vastaista.” Oikeusasiamiehen voitaisiin katsoa jäävän soveltamisalan ulkopuolelle jo tällä perusteella, koska oikeusasiamiehen riippumattomuutta loukkaava sääntely olisi selvästi Suomen oikeusjärjestyksen vastaista. Oikeusasiamies tulisi kuitenkin nimenomaisesti jättää tieto-suoja-asetuksen soveltamisalan kansallisen laajennuksen ulkopuolelle. Suhtaudun ylipäätään varauksellisesti lakiehdotuksen 2 §:n mukaiseen tietosuoja-asetuksen soveltamisalan kansalliseen laajentamiseen. Lisäksi pidän ”soveltuvin osin” -rajausta ja mietinnön perusteluissa sille esitettyä merkityssisältöä liian epämääräisenä; soveltamisalan tulee olla yksiselitteisen selvästi laissa säädetty. Jos oikeusasiamiehen laillisuusvalvonnan katsotaan kuuluvan unionin lainsäädännön soveltamisalaan, oikeusasiamiehen riippumattomuus tulisi turvata muulla tavoin, tietosuoja-asetuksen johdannon 20 koh-dasta ilmenevien periaatteiden mukaisesti.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole yksityiskohtaista lausuttavaa lain tarkoituksesta tai soveltamisalasta.
      • Aalto yliopisto
        Päivitetty:
        8.9.2017
        • Tietojen käsittely tutkimustarkoituksessa edistää sananvapautta ja toisaalta sivistyksellisiä oikeuksia. Perustuslain 12 §:n mukaan sananvapauteen sisältyy oikeus ilmaista, julkistaa ja vastaanottaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. Perustuslain 16 §:n mukaan taas julkisen vallan on turvattava, sen mukaan kuin lailla tarkemmin säädetään, jokaiselle yhtäläinen mahdollisuus saada kykyjensä ja erityisten tarpeidensa mukaisesti myös muuta kuin perusopetusta sekä kehittää itseään varattomuuden sitä estämättä. Tieteen, taiteen ja ylimmän opetuksen vapaus on turvattu. HE 309/1993 vp sivun 35 mukaan sivistyksellisiä oikeuksia koskevat säännökset on kirjoitettu julkisen vallan turvaamis- ja edistämisvelvollisuuksiksi. Säännöksessä julkisen vallan toimet, joilla edistetään yksilön mahdollisuuksia kehittää itseään, liittyvät paitsi opetukseen myös esimerkiksi tiedon hankintaan, tieteelliseen ja taiteelliseen toimintaan, taiteesta nauttimiseen sekä liikunnan ja muun ruumiinkulttuurin harjoittamiseen. Julkinen valta luo edellytyksiä yksilön mahdollisuudelle kehittää itseään muun muassa siten, että se ylläpitää ja tukee kirjastoja sekä kulttuurilaitoksia ja avustaa tieteen ja taiteen harjoittamista. Ihmisiin kohdistuvassa tutkimuksessa tieteen vapautta rajoittavat muut perusoikeudet, kuten PL 7 §:ssä säädetty ihmisarvoa loukkaavan kohtelun kielto ja henkilökohtaisen koskemattomuuden suoja sekä PL 10.1 §:ään perustuva yksityiselämän suoja. Tieteen vapauteen kuuluu myös tutkijan oikeus julkaista tutkimustuloksensa. Tieteen vapaus on läheisessä yhteydessä PL 12 §:ssä taattuun sananvapauteen, johon kuuluu oikeus ilmaista ja julkistaa tietoja, mielipiteitä ja muita viestejä kenenkään ennakolta estämättä. (PeVL 28/2004 vp ja 28/2005 vp.) Näin ollen on perusteltua säätää tieteellistä tutkimusta mahdollistavia kansallisia säädöksiä henkilötietojen käsittelylle, sillä perusoikeutta voidaan rajoittaa toisten perusoikeuksien suojaamiseksi, kuitenkin niin, ettei tehdä tyhjäksi toisen perusoikeuden sisältöä. Hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa kansallisen tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteita. Kansallisten tiede- ja tutkimuspoliittisten tavoitteiden mukaan Suomeen muodostuu tutkimuksen huipulla toimivia yliopistoja ja kaikissa yliopistoissa on kansainväliselle tasolle yltäviä tutkimusaloja. Korkeakoulut vahvistavat vaikuttavuuttaan erityisesti lisäämällä osaamisen ja tutkimustulosten laajempaa hyödyntämistä. Korkeakoulut avaavat laajasti tutkimuksen tuloksia ja kehittävät aktiivisesti uusia toimintamalleja osaamisen siirtämiseksi yhteiskuntaan. Tietojen ja käsitteiden yhteismitallisuus sekä valtakunnallinen tietovaranto tukevat korkeakoulujen toimintaa ja ministeriön ohjausta. Korkeakoulut ovat lisänneet kansainvälistä vaikuttavuutta ja näkyvyyttä strategisesti valituilla alueilla hyödyntäen keskinäistä yhteistyötä ja verkottumista. Kansallisten tavoitteiden mukaan korkeakoulujen tulee hyödyntää monipuolisesti eurooppalaisen korkeakoulutus- ja tutkimusalueen mahdollisuuksia (Yliopistojen ja OKM:n välisiin sopimuksiin kirjatut korkeakoululaitoksen yhteiset tavoitteet –osio. Teksti löytyy kaikkien yliopistojen sopimuksista, ks. esim. Aalto: http://minedu.fi/documents/1410845/3990226/Aalto-yliopisto+sopimus+2017-2020.) Valtioneuvosto on 19.5.2016 hyväksynyt Valtioneuvoston periaatepäätöksen datan hyödyntämisestä liiketoiminnassa. Periaatepäätöksen mukaan datan käyttöä mahdollistetaan kannustavalla sääntelyllä jonka avulla varmistetaan, että Suomessa on kaikkia toimijoita ohjaava, datan hyödyntämiseen kannustava lainsäädäntö ja kyvykkyyden kasvua tukeva datapolitiikka. Periaatepäätöksen mukaan datan saatavuus ja jalostaminen data-analytiikan avulla palveluiksi ja tietotuotteiksi on keskeinen edellytys digitalisaation hyötyjen toteutumiseksi. Data-analytiikka tarjoaa monipuolisia mahdollisuuksia digitalisaation hyödyntämiseksi liiketoiminnassa kaikilla toimialoilla
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • NEUVOSTOSTA Suomen yliopistokirjastojen neuvosto (SYN) on yliopistokirjastojen verkoston yhteistyötä koordinoiva ja kehittävä elin, jossa ovat edustettuina kaikki yliopistokirjastot. NÄKEMYKSIÄ EU:N YLEISEN TIETOSUOJA-ASETUKSEN KANSALLISEEN SOVELTAMISEEN YLEISESTI Suomen yliopistokirjastojen neuvosto (SYN) haluaa ottaa kantaa joihinkin tieteellisen tutkimuksen palveluiden järjestämisen edellytyksiin vaikuttaviin yksityiskohtiin EU:n yleisen tietosuoja-asetuksen kansalliseen soveltamiseen liittyen. Suomen yliopistokirjastojen kannalta on keskeistä, että sääntely turvaa vastaisuudessakin yliopistokirjastojen toimintaedellytykset. Kansainvälinen digitalisoitumiskehitys muuttaa nopeasti ja merkittävästi tieteen tekemisen tapoja ja tutkimustyön tukipalveluita. Erityisesti avoimen tieteen edistämistä on syytä tukea myös lainsäädännön keinoin. Yliopistokirjastot tuottavat tutkimuksen ja opetuksen tuen palveluita, joissa palveluiden osa-alueita automatisoidaan hyödyntäen useita lähdejärjestelmiä. Kirjastojärjestelmien sisältämien henkilötietojen lisäksi esimerkiksi yliopiston julkaisutietojen keruussa on välttämätöntä liikuttaa henkilötietoja yliopiston tutkimustietojärjestelmän, kansainvälisten artikkelitietokantojen, tiedonhakuportaalien, ORCID-palvelun (tutkijan tunniste palvelun), altmetriikkapalvelujen (näkyvyyspalveluiden), sosiaalisen median palvelujen, VIRTA-julkaisutietopalvelun, data-arkistojen ja yliopiston henkilötietojärjestelmien välillä. Näin säästetään tutkijoiden työaikaa ja mahdollistetaan tukitehtävissä toimivien työprosessien tehokkuus. Yliopistokirjastoilla tulee olla erityiset oikeudet käsitellä, avata ja luovuttaa henkilötietoa eli säännöksiä on tarkennettava tältä osin erityisesti metatietojen osalta. Yliopistokirjastoilla on myös EU:n rajat ylittävää toimintaa, jossa siirtyy henkilötietoja. Yliopistokirjastoja huolestuttaa työryhmän linja, jossa on nähtävissä halu jättää käyttämättä tietosuoja-asetuksen tarjoama mahdollisuus olemassa olevan sääntelyn modernisointiin digitaalisessa toimintaympäristössä. Tietosuojalainsäädännön tulisi elää ajassaan eikä antaa tarpeetonta kilpailuetua kansainvälisille, erityisesti Euroopan ulkopuolisille toimijoille, esimerkiksi tutkimusdatan avaamiseen ja hyödyntämiseen liittyen. Digitalisaation täysimääräinen hyödyntäminen edellyttää mahdollisuutta siirtää sekä tutkijoiden että tutkimuksen tietoja sekä opiskelijoiden opintopalveluihin liittyviä tietoja automaattisesti rekistereistä ja varannoista toiseen ja näiden tietojen rikastamista (kuten asiasanoittamista ja artikkelien rinnakkaistallentamista) tai kytkemistä muihin palveluihin liittyviin tietoihin (kuten kirjastojärjestelmien asiakastiedot tai bibliometriset analyysit). Tietosuoja-asetuksen kansallinen toimeenpano ei saa kaventaa yliopistokirjastojen toimintaedellytyksiä palveluissa ja niiden kehittämisessä. YKSITYISKOHTIA OTETTAVAKSI HUOMIOON KANSALLISESSA LAINSÄÄDÄNNÖSSÄ Yliopistokirjastojen asema ja tehtävät Nykytilanne on, että yliopistokirjastojen asemasta ja tehtävistä ei ole omaa lainsäädäntöä, toisin kuin yleisten kirjastojen osalta, joiden toiminnasta säädetään laissa yleisistä kirjastoista (L 1492/2016). Yliopistokirjastot toimivat osana yliopistoa yliopistolain (L 558/2009) 2 §:ssä määriteltyjä yliopiston tehtäviä tukien. Esimerkiksi Ruotsissa korkeakoulukirjastoista säädetään lainsäädännössä (Svensk författningssamling 2013:801. Bibliotekslag). SYN katsoo, että yliopistokirjastojen tehtävät tulisi määritellä lainsäädäntötasolla (esim. lisäys yliopistolakiin) siten, että todettaisiin yliopistokirjastojen yleistä etua koskevan tehtävän suorittaminen sekä yliopistokirjastojen erityistehtävien toteuttaminen, esim. tieteellisen tiedon tuottamisen ja tieteeseen pohjautuvan opetuksen tukena toimiminen, sekä tieteen (tulosten) avoimuuden ja julkisuuden edistäminen. Yliopistokirjastojen asemasta ja tehtävistä lain tasolla säätäminen olisi tarpeen yliopistokirjastojen aseman ja tehtävien selkiyttämiseksi sekä EU:n yleisen tietosuoja-asetuksen näkökulmasta tarkasteltuna. Yliopistokirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti. Tieteen vapaus, avoimuus ja julkisuus Tieteelliset tulokset ja niiden tekijätiedot ovat julkisia ja vapaasti jaettavissa. Tietojen sujuva liikkuminen rekisterien välillä tekee mahdolliseksi tieteen avoimuuden ja julkisuuden toteutumisen. Kirjastojen tarjoamat palvelut edellyttävät henkilönimiä sisältävien metatietojen käsittelyä ja yksiselitteistä tutkijan tunnistamista. Tekijä-, julkaisu-, ja muut tutkimusta kuvailevat tiedot ovat ristiinkytkettyjä ja tutkijoiden itsensäkin rutiininomaisesti hyödyntämiä kansainvälisissä ja kotimaisissa palveluissa. Yliopistokirjastoilla tulee olla selkeästi määritetty oikeus tällaisten tietojen käsittelyyn. Yliopistokirjastot toiminnallaan ja palveluillaan tukevat tieteen vapautta, avoimuutta ja julkisuutta, mitä ei tule rajoittaa estämällä tai rajoittamalla tekijätietojen käyttämistä esimerkiksi avoimissa julkaisutietojärjestelmissä sekä avoimen tutkimusdatan ja opinnäytteiden pitkäaikaissäilytyspalveluissa. Lainsäädännössä on ratkaistava, miten julkaisujen, opinnäytteiden jne. tekijätietojen julkisuus, yliopistokirjastojen toiminta ja tietosuoja-asetuksen mukainen henkilötietojen suoja pystytään sovittamaan yhteen. On kiinnitettävä huomiota siihen, miten viranomaiset pystyvät samanaikaisesti täyttämään sekä julkisuuslain (621/1999) että EU:n tietosuoja-asetuksen ja siihen liittyvän kansallisen lainsäädännön vaatimukset. Tietosuoja-asetuksen 85 artiklan mukaan jäsenvaltioiden on lainsäädännöllä sovitettava yhteen asetuksen mukainen oikeus henkilötietojen suojaan sekä oikeus sananvapauteen ja tiedonvälityksen vapauteen, mukaan lukien käsittely journalistisia tarkoituksia ja akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Yliopistokirjastot toteuttavat toiminnassaan useilla tavoin artiklassa mainittuja tehtäviä ja toteuttavat osaltaan tiedonvälityksen vapautta. SYN katsoo, että yliopistokirjastojen toiminta tulisi rinnastaa edellä mainitussa artiklassa tarkoitettuun akateemiseen tutkimukseen ja opetukseen. Tietosuoja-asetuksen sanktiot Suomen yliopistokirjastojen neuvosto ei kannata yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista myös viranomaisiin ja julkishallinnon elimiin. On otettava huomioon, että viranomaiset ja julkishallinnon toimijat toteuttavat toiminnassaan runsaasti myös sellaisia velvoitteita (esim. julkisuuslainsäädännöstä johtuvat), joita yksityisellä sektorilla ei ole. Näille toimijoille voi tulla kohtuuttomia tilanteita, jos eri velvoitteiden suhdetta ja täyttämistä ei pystytä etukäteen yksiselitteisesti määrittämään, ja niihin liittyisi vielä huomattavien sanktioiden uhka. Suomen yliopistokirjastojen neuvosto haluaa erityisesti kiinnittää huomiota siihen, että tietosuoja-asetuksessa esitetty sanktiomahdollisuus voi aiheuttaa merkittävää haittaa kirjastopalveluiden kehittämiseen yliopistokirjastoissa ja tieteellisen tutkimuksen harjoittamiseen. Epäselvä oikeustila sanktioiden osalta tai sanktioiden uhka voi suoraan tai välillisesti kaventaa merkittävästi yliopistokirjastojen palvelukehitystä ja -mahdollisuuksia, ja siten hankaloittaa tutkijoiden työskentelyä. Ne voivat johtaa ylivarovaisuuteen sekä yliopistokirjastojen että tutkijoiden toiminnassa. Tämä rajoittaa tiedon liikkuvuutta ja kaventaa vapaan tutkimuksen mahdollisuuksia. Mikäli sanktiomahdollisuus ulotetaan koskemaan myös yliopistoja, mahdollisen sanktion suuruus pitäisi olla yliopiston toimintaan nähden kohtuullinen. Kansallisessa lainsäädännössä pitäisi määrittää kohtuullisen sanktion enimmäismäärä viranomaisten ja julkisten toimijoiden osalta. Nykyinen järjestelmä tarjoaa riittävän oikeussuojan henkilötietoihin kohdistuvia rikkomuksia vastaan. Muita huomioita Työryhmän ehdottaman lakiluonnoksen 27 §:n mukaan tietosuoja-asetusta sovelletaan vain hyvin rajoitetusti silloin, jos sen soveltaminen loukkaisi oikeutta tiedonvälityksen vapauteen tai estäisi henkilötietojen käsittelyn akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten. Esitetty muotoilu jättää avoimeksi sen, miltä osin ja miten lainkohtaa sovellettaisiin yliopistokirjastojen ja kulttuuriperintöorganisaatioiden toimintaan. Tieteelliset kirjastot ja arkistot käsittelevät henkilötietoja nimenomaan akateemisen ilmaisun tarkoituksia varten. Toimiva kirjastolaitos, arkistot ja museot luovat toiminnallaan edellytyksiä taiteellisen tai kirjallisen ilmaisun harjoittamiselle. Sääntelyä tulisi tältä osin täsmentää. Käynnissä olevan lainsäädäntötyön yhteydessä tulisi myös ratkaista henkilötietojen luovutus teknisellä käyttöyhteydellä, mikä vaatinee nykyisen julkisuuslain muutosta. Digitaalisuus on hälventänyt rajoja eri organisaatioiden ja toimijoiden välillä ja eri toimijoiden välisen yhteistyön tulisi olla yhä joustavampaa. Esimerkkinä tällaisesta organisaatioiden välisestä yhteistyöstä ja henkilötietojen siirtämisestä teknisellä käyttöyhteydellä on suunniteltu kansallinen tutkimustietovaranto, joka kokoaisi yhteen julkaisuja, tutkimusaineistoja, tutkimusinfrastruktuureita, tutkijoita, hankkeita/projekteja ja tutkimusryhmiä koskevia metatietoja. SYN kiinnittää huomiota myös siihen, että lainsäädännössä on varmistuttava siitä, ettei turhaan estetä tai haitata datan louhintaan ja suurten datamassojen käsittelyyn liittyvien palveluiden kehittämistä Suomessa ja siten haitata tutkimustoimintaa ja Suomen kilpailukykyä tutkimuksessa.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto ry (SJL) suhtautuu 1 luvun muotoiluun myönteisesti.
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • TATTI-työryhmän ehdotuksen mukainen tietosuojalaki vaarantaisi toteutuessaan suomalaisten kulttuuri-perintöorganisaatioiden toiminnan, sillä laki ei huomioi kulttuurihistoriallisen aineiston keräämiseen, tallentamiseen ja tarjolle asettamiseen liittyviä erityispiirteitä. EU:n tietosuoja-asetus mahdollistaisi kansallisen liikkumavaran. Tämä liikkumavara tulisi hyödyntää täysimääräisesti, sillä sanktioiden pelko voi johtaa ylimitoitettuihin näyttö- ja käyttörajoituksiin ja jopa kokonaisten julkisella rahoituksella tuotettujen yhteisten palveluiden alasajoon. Tietosuojalainsäädäntö suojaa vain eläviä, joten kuolleiden henkilötietoja saa käsitellä vapaasti. Kulttuuriorganisaatioiden on toiminnassaan kuitenkin mahdotonta tietää, ketkä ovat elossa ja ketkä kuolleita. Julkisuuden henkilöistä tämä tiedetään, mutta kokoelmat ovat täynnä tavallisien ihmisten tietoja. Jos vain julkisuuden henkilöiden tietoja saa tallentaa, jäljelle jää vain ”virallinen historiankirjoitus” ja suomalaisen elämän monimuotoisuus kuten kansanperinne, paikallishistoria ja vähemmistöt jäävät unohduksiin. Lakiluonnoksessa käytetty terminologia vaatisi täsmennystä. Erityisen tärkeää olisi määritellä, mitä tarkoitetaan ”yleisellä edulla” ja millaiset toimijat katsotaan toteuttavan yleistä etua. Lisäksi ”arkistointitarkoitus” -termi on liian epämääräinen ja kapea. Selkeämpää olisi käyttää termiä ”arkistointi ja kokoelmien hoito”. Kulttuuriperintöorganisaatioiden kokoelmissa on miljoonia henkilötietoja esimerkiksi valokuvina ja arkistomateriaaleina. Oletuksena on ollut, että nämä materiaalit on luovuttajan taholta haluttu luovuttaa yleisen edun mukaiseen käyttöön. Tietojen käsittelyoikeuksia ei vanhempien aineistojen osalta ole osattu materiaalien vastaanoton ja kokoelmiin liittämisen yhteydessä kysyä. Henkilötiedot ovat olennainen osa pysyvästi säilyttävien aineistojen kontekstia ja anonymisointi ei voi koskea kulttuuriperintöaineistoja, sillä kontekstitietojen kattavuus ja luetettavuus ovat keskeisiä tieteelliselle ja historialliselle tutkimukselle. Henkilötietorekisterien muodostumishistorian vuoksi kulttuuriperintöorganisaatioiden hallinnoimat henkilötiedot ovat henkilötietojen käsittelyn näkökulmasta erittäin matalariskisiä. Tietosuojalakiluonnos vesittää toteutuessaan Opetus- ja kulttuuriministeriön Avoimen tieteen ja tutkimuksen hankkeen, jonka tavoitteena on, että Suomi nousee johtavaksi maaksi tieteen ja tutkimuksen avoimuudessa ja että avoimen tieteen mahdollisuudet hyödynnetään laajasti yhteiskunnassa. Esimerkiksi sivistysvaliokunta on todennut tuoreessa lausunnossaan (SiVM 13/2016 vp), että arkistoaineistojen kuvailutietojen tuominen verkkopalveluihin lisäisi tuntuvasti julkisilla varoilla kootun kulttuuriperinnön avoimuutta ja hyödynnettävyyttä. Kulttuuriperintöorganisaatioiden tarpeet tulisi huomioida yleislaissa. Niiden huomioiminen sektorikohtaisessa lainsäädännössä aiheuttaisi toteutuessaan epätasa-arvoisuutta, sillä on paljon museoita ja arkistoja, joita varten ei ole omaa lainsäädäntöä. Lisäksi sektorikohtaisen lainsäädännön valmistumiseen kuluu aikaa, joka jättäisi kulttuuriperintöorganisaatiot pitkäksi aikaa epämääräiseen tilaan tietosuojaan liittyvän sääntelyn osalta.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • CSC Tieteen  tietotekniikan  keskus  Oy  kiittää  mahdollisuudesta  saada  lausua yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. CSC  on  suomalainen  tutkimuksen,  koulutuksen  ja  julkishallinnon  ICT osaamiskeskus,  joka ylläpitää  opetus ja  kulttuuriministeriön toimeksiannosta korkeakoulujen valtakunnallista keskitettyä tietotekniikkainfrastruktuuria ja tarjoaa sen avulla kansallisia tietotekniikkapalveluita tutkimuksen, tieto-, opetus- ja tutkimushallinnon sekä kirjastojen, arkistojen, museoiden ja kulttuurin tarpeisiin.  Yleisen tietosuoja-asetuksen toimivuuden kannalta on ensiarvoisen tärkeää, että pyritään mahdollisimman yhtenäiseen eurooppalaiseen ratkaisuun. Tiedon liikkuvuuden mahdollistamisen ja vastuullisuuden tulee näkyä asetuksessa keskeisinä asiakohtina.    Erityistä huomiota tulee kiinnittää siihen, että henkilötietojen riittävän joustava käsittely tieteellisessä tutkimuksessa on mahdollista, ja että henkilötiedot on suojattu asianmukaisesti ja vastuullisesti. Henkilötietojen riittävän joustava käsittely tutkimuksessa on keskeinen menestystekijä suomalaiselle tieteelle ja Suomen kilpailukyvylle. Näin ollen on tärkeää huomioida että lainsäädännöllä ei suojata henkilötietojen käsittelyä siten, että suojauksesta aiheutuu perusteetonta haittaa tieteelliselle tutkimukselle. Kansalaisten oikeuksien kannalta erityistä huomiota tulee kiinnittää arkaluontoisten henkilötietojen asianmukaiseen suojaamiseen. Arkaluontoisia henkilötietoja ovat mm. henkilön terveyteen, mielipiteisiin, kulutustottumuksiin sekä viestintään liittyvät tiedot.    EU:n yleistä tietosuoja-asetusta täydentävän kansallisen tietosuojalain suurimpia käytännön haasteita ovat vastuukysymykset, sekä hallinnollisten ja teknisten suojaamiskeinojen määrittely. Vastuiden määrittelyt ovat sekä tietosuojan että tietoturvallisuuden osalta usein käytännössä epäselviä. Vastuukysymysten selkiyttäminen on ensiarvoisen tärkeää, ja vastuu tulee selkeästi kohdistaa henkilötietojen turvaamisesta tietoja käsittelevän organisaation ylimpään johtoon sekä toiminnasta vastaavaan työnjohtoon. Yksittäisen suorittavaa työtä tekevän työntekijän tai virkamiehen vastuu siitä, että hän noudattaa annettuja ohjeita tietosuojaan liittyen, tulee olla selvästi rajattu ja ilmaistu. Ohjeiden merkittävä tai törkeä laiminlyönti tulee olla rangaistava teko. Kansalaisen ja tietojärjestelmien käyttäjän tulee noudattaa annettuja käyttöehtoja ja – ohjeita, ja tuottamuksellinen tietosuojarikos ja sen yritys tulee olla rangaistava teko.   Tietosuojalaki tulee valmistella rinnakkain ns. toisiolain (Hallituksen esitys laiksi sosiaali- ja terveystietojen tietoturvallisesta hyödyntämisestä sekä eräiksi siihen liittyviksi laeiksi) kanssa siten, että molemmat lait ovat keskenään toisiaan täydentäviä mutta eivät ristiriitaisia.  
      • Yhteiskuntatieteellinen tietoarkisto, Tampereen yliopisto, Lausunnon on kirjoittanut lakimies Antti Ketola. Sen laatimista ovat koordinoineet johtaja Helena Laaksonen ja kehittämispäällikkö Arja Kuula-Luumi.
        Päivitetty:
        7.9.2017
        • 1. Yleiset kommentit ja lakiehdotus Tietoarkisto kiittää mahdollisuudesta antaa lausuntonsa mietinnöstä ja ehdotuksesta tietosuoja-asetuksen (2016/669) kansallisen liikkumavaran täytäntöönpanoa koskevaksi laiksi. Tietoarkisto on Tampereen yliopiston yhteydessä toimiva erillisyksikkö, jonka perustehtäviin kuuluu muun muassa sähköisten tutkimusaineistojen arkistointi ja välittäminen tutkimukseen, opetukseen ja opiskeluun. Tietoarkiston toiminta ei rajoitu Tampereen yliopistoon, vaan toiminta on valtakunnallista. Tehtäviensä mukaisesti Tietoarkisto osallistuu lisäksi kansalliseen ja kansainväliseen yhteistyöhön. Suomi on mukana Consortium of European Social Sciences Data Archives (CESSDA) -konsortiossa. CESSDAn kansalliseksi palveluntuottajaksi on nimetty Tietoarkisto. Koska lakiehdotuksen arkistoja koskeva 33 § on jäänyt keskeneräiseksi, katsoo Tietoarkisto aiheelliseksi keskittyä lausunnossa erityisesti arkistoja koskeviin näkökohtiin. Mietinnön perusteella (s. 132) sääntely olisi tarkoitus jättää osittain valmisteilla olevan tiedonhallintalain varaan. Tämä kuitenkin koskisi ainoastaan viranomaisten arkistoja. Siksi tarpeettoman lisäsääntelyn estämiseksi ja koko KAM-sektorin toimintaedellytysten kannalta olisi asiallista keskittää tietosuoja-asetuksen liikkumavaran toimeenpanoon perustuvat yleisen edun mukaisen arkistoinnin perussäännöt kansalliseen tietosuojaa koskevaan yleislakiin. Tietosuoja-asetuksen liikkumavaran puitteissa annettavat arkistoja koskevat yleiset säännökset olisi perusteltua ottaa osaksi yleislakia ensinnäkin siksi, että yleisen edun mukaista arkistointitarkoitusta koskevia säännöksiä käsitellään asetuksessa systemaattisessa yhteydessä tieteellistä tutkimusta ja tilastointia koskevien säännösten kanssa. Tieteellisen tutkimuksen ja arkistoinnin suhde on lisäksi käytännön tasolla hyvin läheinen. Näin ollen arkistointia koskevat säännökset olisi asiallista ottaa yleislakiin vastaavasti kuin tieteellistä tutkimusta ja tilastointia koskevien säännösten kohdalla on ratkaistu. Toiseksi arkistointia koskevien yleisten säännösten sijoittaminen yleislakiin olisi perusteltua rekisteröityjen oikeuksien näkökulmasta. Ottaen huomioon asetuksen 1 artiklan mukaiset tavoitteet ja EU:n perusoikeuskirjan (2000/C 364/01) 8 artiklassa turvattu oikeus henkilötietojen suojaan sekä oikeus tutustua itseään koskeviin tietoihin ja saada ne oikaistuksi, olisi asianmukaista saattaa kaikki rekisteröidyn oikeuksia koskevat rajoitukset voimaan mahdollisimman samanaikaisesti ja keskitetysti oikeustilan selventämiseksi rekisteröidyille. Tämä varmistaisi myös tietosuojan korkean tason, koska tarvittavat suojatoimet tulisivat voimaan samanaikaisesti sekä uuden tietosuoja-asetuksen että kansallisen yleislain kanssa. Tältä osin Tietoarkisto esittää tietosuoja-asetuksen antaman liikkumavaran puitteissa seuraavaa säännöskokonaisuutta: 1) Yleisen edun mukaisia arkistointitarkoituksia koskeva käsittelyperuste, joka huomioi asetuksen johdanto-osan 158 mukaisen käsityksen yleisen edun mukaisesta arkistoinnista, ja jossa viitataan 33 §:ään sijoitettaviin suojatoimiin 2) Säännös tietosuoja-asetuksen 9 artiklan 2 kohdan j kohdan mukaisesta erityisten tietoryhmien käsittelykieltoa koskevasta poikkeuksesta yleisen edun mukaisessa arkistoinnissa sekä poikkeus koskien 10 artiklan mukaisia tietoja 3) Kansallisen lain 33 §:ään sijoitettava tietosuoja-asetuksen 89 artiklan 3 mukaisten poikkeusten täytäntöönpano rekisteröityjen oikeuksista sekä artiklan 89 kohdan 1 mukaisten suojatoimien täsmentäminen Esitettävän kokonaisuuden on tarkoitus olla mahdollisimman oikeasuhtainen rekisteröityjen oikeuksien rajoittamisen kannalta ja ottaa huomioon välttämättömyysarviointi siten, kuin sitä asetuksen 89 artiklan kohdassa 3 ja EU:n perusoikeuskirjan 52 artiklan 1 kohdassa edellytetään. Lisäksi ehdotukset huomioivat etenkin artiklan 89 kohdassa 1 korostetussa asemassa olevan minimoinnin periaatteen. Koska lausuntoon sisältyvät arkistointia koskevat ehdotukset liittyvät toisiinsa, lausunnon selkeyden vuoksi kaikki arkistointia koskevat edellä mainitut kohdat on sisällytetty tähän samaan lausuntokohtaan. Jäljempänä esitettyjen perusteluiden mukaisesti ehdotetaan harkittavaksi seuraavia säännöksiä: ----------------------------------------------- Lisäys lakiehdotuksen 3 §:ään, uusi 3-kohta: ”3) jos käsittely on tarpeen yleisen edun mukaisia arkistointitarkoituksia varten, ja arkistoinnin toteuttaa arkistolain (831/1994) tai muun lain mukainen arkistonmuodostaja, tai muun yleisen edun mukaista arkistointia, kuten kulttuuriperintö- ja tutkimusaineistojen arkistointia ja välittämistä, ammattimaisesti harjoittava arkistonmuodostaja, ja käsittelyssä noudatetaan 33.1 §:n 1-kohdan mukaisia suojatoimia” Ehdotus kansallisen lain arkistointia koskevan 33 §:n sisällöksi: ”33 § Yleisen edun mukaisessa arkistointitarkoituksessa tapahtuvaa käsittelyä koskevat poikkeukset rekisteröityjen oikeuksista, suojatoimet sekä erityisten tietoryhmien käsittely Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten tämän lain 3 §:n 3-kohdan mukaisesti voidaan tietosuoja-asetuksen 15, 16 ja 18–21 artikloissa tarkoitetuista oikeuksista tarvittaessa poiketa niillä edellytyksillä, että 1) käsittely tapahtuu voimassa olevan arkistonmuodostussuunnitelman mukaisesti tai perustuu asianmukaisiin ja kirjallisesti dokumentoituihin seulonta-, käsittely- ja säilytyskriteereihin, joissa on huomioitu etenkin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen tietojen minimointi; ja 2) henkilötietoja ei käytetä ilman rekisteröidyn suostumusta rekisteröityä koskevien toimenpiteiden tekemiseen, ellei se ole tarpeen rekisteröidyn elintärkeiden etujen suojelemiseksi tai viranomaiselle kuuluvan tehtävän suorittamiseksi; ja 3) asiakirjat on suojattu tuhoutumiselta, vahingoittumiselta sekä niin, että niiden sisältö ei paljastu ilman rekisteröidyn suostumusta tai muuta asianmukaista perustetta ulkopuoliselle Ensimmäisen momentin 1-kohdan mukaiset asiakirjat on pyynnöstä toimitettava tietosuojavirastolle. Kansallisarkisto voi antaa täydentäviä määräyksiä koskien 1 momentin mukaisia suojatoimia. Tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja voidaan käsitellä silloin, kun käsittely on tarpeen käsiteltäessä tietoja tämän lain 3 §:n 3-kohdan mukaisesti yleisen edun mukaisen arkistointitarkoituksen toteuttamista varten 1 momentin suojatoimia noudattaen. Mikäli käsittelyssä on tarpeellista poiketa 1 momentissa tarkoitetuista rekisteröidyn oikeuksista, on rekisterinpitäjän laadittava toiminnastaan tietosuoja-asetuksen 35 mukainen tietosuojan vaikutustenarviointi. Vaikutustenarviointiin sovelletaan artiklan 35 kohtia 2, 5, 7, 8 ja 11. Tietosuojaa koskeva vaikutustenarviointi on toimitettava pyynnöstä tietosuojavirastolle." ----------------------------------------------- 2. Perustelut 2.1 Lisäys lakiehdotuksen 3 §:ään, uusi 3-kohta (käsittelyperuste) Henkilötietojen käsittelyyn sovellettavan käsittelyperusteen tulisi olla rekisterinpitäjän mahdollisimman yksiselitteisesti määriteltävissä, sillä käsittelyperuste määrittelee osaltaan rekisteröityjen oikeuksia koskevien sääntöjen soveltumista. Selkeä käsittelyperuste ohjaa samanaikaisesti rekisterinpitäjää noudattamaan asianmukaisesti osoitusvelvollisuuttaan. Tilanteita, joissa rekisterinpitäjä ei pysty arvioimaan henkilötietojen käsittelyyn mahdollisesti soveltuvia käsittelyperusteita ja niiden soveltuvuutta rekisterinpitäjän toimintaan, tulisi välttää. Tämä voi aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille sekä johtaa rekisterinpitäjän ja valvontaviranomaisten resurssien tarpeettomaan käyttämiseen. Yleisellä tasolla esimerkiksi tapa, jolla tietosuojadirektiivin (95/46/EY) 7 artiklan f-kohdan käsittelyperuste otettiin aikanaan osaksi kansallista lainsäädäntöä osittain henkilötietolain 8.1 §:n 5-kohdan yhteysvaatimukseen voi mahdollisesti muodostaa organisaatioille siirtymävaiheessa tulkintaongelmia lain kumoutuessa. Yleisen edun mukainen arkistointitarkoitus on osittain erityisasemassa tietosuoja-asetuksessa. Asetuksen 5 artiklan mukaisten yleisten periaatteiden kannalta yleisen edun mukainen arkistointitarkoitus mahdollistaa poikkeamisen käyttötarkoitussidonnaisuudesta. Toiseksi asetus mahdollistaa poikkeamaan säilytyksen (ajallista) rajoittamista koskevasta periaatteesta. Näiden poikkeuksien osalta on asetuksessa viitattu 89 artiklan 1 kohtaan, jossa mainitaan asianmukaiset suojatoimet. Artiklan 89 mukaan teknisillä ja organisatorisilla toimenpiteillä tulee toteuttaa etenkin minimoinnin periaatteen noudattaminen. Tässä yhteydessä on huomattava, että asetuksen 5 artiklan tietojen minimoinnin periaatteesta ei voida poiketa sillä perusteella, että kyseessä on yleisen edun mukainen arkistointi. Nämä erityispiirteet tukisivat sitä, että yleisen edun mukaiselle arkistoinnille säädettäisiin erillinen käsittelyperuste uuden lain 3 §:ään, jotta asianmukaiset suojatoimet voitaisiin ottaa huomioon. TATTI-ryhmän mietinnön mukaan yleisen edun mukaista arkistointia ei ole tietosuoja-asetuksessa määritelty itsenäiseksi käsittelyperusteeksi (s. 132). Tällä viitattaneen siihen yleiseen periaatteeseen, että henkilötietojen käsittelyn perusteen tulee olla johdettavissa asetuksen 6 artiklasta silloin, kun henkilötietojen käsittely kuuluu asetuksen aineelliseen soveltamisalaan. Tulkinta on oikea, mutta tietosuoja-asetus mahdollistaa yleisen edun mukaisen arkistoinnin osalta silti useita käsittelyperusteita. Ottaen huomioon asetuksen luonteen SEUT 288 mukaisena säännösinstrumenttina, poikkeaminen asetuksen sisällöstä ja rajoitusten asettaminen käsittelyperusteille edellyttäisi jäsenvaltiolle nimenomaista valtuutusta. Asetuksen 23 artikla ei koske artiklan 6 mukaisia käsittelyperusteita. Näin ollen käsittelyperuste yleisen edun mukaista arkistointitarkoitusta varten voi tapahtua tapauskohtaisesti minkä tahansa 6 artiklan mukaisen käsittelyperusteen nojalla, ellei asetuksessa muuta säädetä. Se, että ”yleinen etu” mainitaan erikseen 6 artiklan 1 kohdan f alakohdassa ei tarkoita sitä, että se on yksinomainen peruste käsittelyyn, jonka tavoitteena on yleinen etu. Ei ole esimerkiksi harvinaista, että suostumusta käytetään käsittelyperusteena tieteellisessä tutkimuksessa, jonka tavoitteet liittyvät yleiseen etuun. Koska käsittelyperusteiden käyttämistä ei ilman erillistä perustetta voida rajoittaa, henkilötietojen käsittely arkistointitarkoituksia varten voisi olla mahdollista myös 6 artiklan 1 kohdan f alakohdan (oikeutettu etu) perusteella tilanteissa, joissa rekisterinpitäjä ei ole viranomainen. Lisäksi asetus ei näytä estävän sitä, että käsittelyperusteena voisi olla 6 artiklan 1 kohdan a alakohdan mukainen suostumus, mikäli muut pätevän suostumuksen edellytykset täyttyvät. Tältä osin ainoa kansallinen liikkumavara on annettu erityisiä tietoryhmiä varten, jonka perusteella jäsenvaltio voi kieltää nimenomaisen suostumuksen käyttämisen erityisten tietoryhmien käsittelykiellosta poikkeamisperusteena tiettyjen käsittelyjen osalta. Asetuksen 6 artiklan 1 kohdan alakohtien c (käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi) ja e (käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi) mukaan tapahtuvan henkilötietojen käsittelyn tulee kuitenkin artiklan 6 kohdan 3 mukaisesti perustua joko unionin tai jäsenvaltion lainsäädäntöön. Mietinnön lakiehdotuksen 3 §:n 2-kohdan mukaan tietoja saisi käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Tämä vastaa sanamuodoltaan asetuksen 6 artiklan 1 kohdan e alakohtaa. Mietinnön mukaan ”[h]enkilötietojen käsittely yleisen edun mukaisia arkistointitarkoituksia varten voisi olla mahdollista ehdotetun 2 kohdan nojalla.” (s. 141). Yleisen edun mukaisen arkistointitarkoituksen käsittelyperuste järjestettäisiin siten mietinnön perusteella tämän kohdan nojalla. Mietinnössä esitetyn ratkaisun sijaan parempi vaihtoehto olisi 3 §:n 2-kohdan käsittelyperusteen käyttämisen sijasta erillisen käsittelyperusteen säätäminen yleisen edun mukaiselle arkistoinnille. Ensinnäkin tämä tuo oikeusvarmuutta arkistotoiminnalle ja mahdollistaa arkistointitoiminnan käsittelyperusteen yksiselitteisen identifioinnin. Toiseksi säännös mahdollistaa asettamaan yleisen edun mukaiselle arkistoinnille selkeämmin artiklan 89 kohdan 1 mukaisia tarpeellisia suojatoimia. Kolmanneksi säännöksessä on mahdollista huomioida arkistotoiminnan monimuotoisuus, kuten se on tietosuoja-asetuksessakin ilmaistu. Tietosuoja-asetuksessa ei määritellä yksiselitteisesti sitä, mitä tarkoitetaan yleisen edun mukaisella arkistointitarkoituksella. Johdanto-osan kappaleessa 158 todetaan, että ”asetusta olisi myös sovellettava, jos henkilötietoja käsitellään arkistointitarkoituksiin”. Seuraavan virkkeen mukaan ”[v]iranomaisilla tai julkishallinnon tai yksityisten elimillä, jotka ylläpitävät yleistä etua koskevia tietueita” olisi oltava unionin tai jäsenvaltion oikeuden nojalla eräitä kohdassa tarkemmin määriteltyjä tehtäviä. Yleisen edun mukaista arkistointia toteuttavaa tahoa ei ole siten rajoitettu muuten, kuin että se ei voisi olla yksityinen luonnollinen henkilö, koska johdanto-osassa on puhuttu nimenomaan ”elimestä”. Ratkaisevampaa on siten se, onko kyse ”yleistä etua” palvelevasta arkistointitarkoituksesta. Arkistointia koskevia merkittäviä säännöksiä on Suomessa tällä hetkellä lähinnä arkistolaissa (831/1994) ja laissa Kansallisarkistosta (1145/2016). Ottaen huomioon johdanto-osan 158 kappale, käsittelyperuste tulisi ulottaa koskemaan arkistolain mukaisten arkistonmuodostajien lisäksi muuta yleisen edun mukaista arkistointia, kuten kulttuuriperintö- ja tutkimusaineistojen arkistointia ja välittämistä, ammattimaisesti harjoittaviin arkistonmuodostajiin. Ilmaisu ”tai muun lain mukaisen” laajentaa käsittelyperusteen piiriin arkistolain ulkopuoliset arkistonmuodostajat, joista on erikseen säädetty tai tullaan myöhemmin säätämään muissa laeissa. Asetuksen 6 artiklan 3 kohta mahdollistaa antamaan erityisiä säännöksiä artiklan 1 kohdan e mukaisen käsittelyn oikeusperustasta säädettäessä. Tältä osin käsittelyperuste rajattaisiin arkistolain tai muun lain mukaisten arkistonmuodostajien lisäksi arkistotoimintaa nimenomaan ammattimaisesti harjoittaviin arkistonmuodostajiin. Lisäksi edellytettäisiin myöhemmin käsiteltävän 33.1 §:n 1-kohdan mukaisen suojatoimen (arkistonmuodostussuunnitelma tai muut kirjallisesti dokumentoidut seulonta-, käsittely- ja säilytyskriteerit) käyttöä. Tässä lausunnossa esitetty uusi 3 §:n 3-kohta ei estäisi silti yleisen edun mukaisen arkistoinnin tapahtumista myös muulla artiklan 6 mukaisella perusteella, milloin se poikkeuksellisissa tapauksissa olisi tarpeellista. Tällaisessa muodossa se kattaisi käytännössä kuitenkin lähes kaiken yleisen edun mukaisen arkistointitoiminnan ja yhdistäisi sen selkeämmin 89 artiklaan. 2.2 Erityisten tietoryhmien ja artiklan 10 mukaisten tietojen käsittely yleisen edun mukaisessa arkistoinnissa Tietosuoja-asetuksen 9 artiklan 2 kohdan j alakohta sisältää poikkeuksen erityisiä tietoryhmiä koskevasta käsittelykiellosta, joka on yhtenevä yleisen edun mukaiselle arkistointitarkoitukselle, tieteelliselle tutkimukselle ja tilastoinnille. Käsittelyn tulee tapahtua tässä tapauksessa 89 artiklan 1 kohdan mukaisesti unionin oikeuden tai jäsenvaltion lainsäädännön nojalla niillä edellytyksillä, että se on oikeasuhtaista tavoitteeseen nähden, siinä noudatetaan keskeisiltä osin oikeutta henkilötietojen suojaan ja säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen suojaamiseksi. Tieteellisen tutkimuksen ja tilastoinnin osalta erityisten tietoryhmien käsittelyn edellytykset ja suojatoimet (viittauksella 31 §:ään) sisältyvät lakiehdotuksen 32 §:ään. Samaan pykälään sisältyy peruste käsitellä asetuksen 10 artiklan mukaisia tietoja. Ehdotus kansalliseksi laiksi ei sisällä tältä osin säännöksiä koskien arkistointia. Myöskään mietinnön liikkumavaraa koskevassa taulukossa (s. 51) ei ole huomioitu yleisen edun mukaista arkistointia. Asetuksen artiklan 9 kohdan 2 j alakohdan perusteella on selvää, että se on tarkoitettu olemaan ensisijainen peruste 9 artiklan 1 mukaisesta käsittelykiellosta poikkeamiselle yleisen edun mukaisessa arkistoinnissa, vaikka eräät muutkin 2 kohdan mukaiset perusteet voivat tapauskohtaisesti soveltua (esim. 2 kohdan a, b ja g alakohdat). Tarpeettoman tapauskohtaisen arvioinnin ja epävarmuuden välttämiseksi olisi asianmukaista, että 9 artiklan 2 kohdan j alakohdan mukainen yleisen edun mukaisen arkistoinnin poikkeusperuste erityisten tietoryhmien käsittelykiellosta sisällytettäisiin kansalliseen lakiin 32 §:ää vastaavalla tavalla. 5 §:n sijasta luonnollisempi paikka tälle olisi kuitenkin kansallisen yleislain 33 §, johon sisällytettäisiin lisäksi tarvittavat suojatoimet, jotka olisivat yhteneviä rekisteröidyn niiden suojatoimien kanssa, joita sovelletaan, kun poiketaan rekisteröidyn oikeuksista tilanteissa, joissa tiedot eivät kuulu erityisiin tietoryhmiin. Tietosuoja-asetuksen 10 artikla mahdollistaa rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelyn 6 artiklan 1 kohdan perusteella vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Tältä osin olisi asianmukaista säätää 32 §:ää vastaava käsittelymahdollisuus yleisen edun mukaisessa arkistoinnissa. Tämä välttäisi esimerkiksi tilanteen, jossa asetuksen 10 artiklan mukaisia tietoja käsittelevän tieteellisen tutkimuksen tutkimusaineistoa ei voisi arkistoida asianmukaisia suojatoimia noudattaen. Sovellettavat suojatoimet olisivat samat kuin asetuksen 9 artiklan mukaisia tietoja käsiteltäessä. 2.3 Poikkeukset rekisteröidyn oikeuksista ja suojatoimet (ehdotettava sisältö 33 §:lle) Tietosuoja-asetuksen 89 artiklan 1 kohdan mukaan yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvassa käsittelyssä on sovellettava rekisteröidyn oikeuksia ja vapauksia koskevia suojatoimia asetuksen mukaisesti. Artiklan 1 kohdan toisen virkkeen mukaisesti suojatoimilta edellytetään, että ”on toteutettu tekniset ja organisatoriset toimenpiteet, joilla taataan etenkin tietojen minimoinnin periaatteen noudattaminen”. Asetuksen 5 artiklan 1 kohdan c alakohdan mukaan tietojen minimoinnilla tarkoitetaan sitä, että ”henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään”. Tietosuoja-asetuksen johdanto-osan 39 kappaleen mukaan tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Vaikka tämä lausuma sisältönsä puolesta viittaisi enemmän säilytyksen rajoituksen periaatteeseen, yhdistetään se myös tietojen minimointiin. Asetuksen 89 artiklan 3 kohta antaa mahdollisuuden poiketa 15, 16, 18, 19, 20 ja 21 artikloissa tarkoitetuista oikeuksista noudattaen 1 kohdan mukaisia suojatoimia. Lisäksi kyseisten oikeuksien käyttämisen tulisi todennäköisesti estää erityisten tarkoitusten saavuttaminen tai vaikeuttaa sitä suuresti ja poikkeukset ovat tarpeen näiden tarkoitusten täyttämiseksi. Asetuksen perusteella ei näyttäisi olevan siten mahdollista säätää blankettipoikkeusta oikeuksien käyttämisestä, vaan edellytetään tarpeellisuusharkintaa. Näin ollen 33 §:ssä tulisi omaksua yhteneväisyyden ja asetuksenmukaisuuden varmistamiseksi mietinnön lakiehdotuksen 31 §:ään otettu ratkaisu siitä, että poikkeaminen on mahdollista ainoastaan ”tarvittaessa”. Näin ollen suoritettaisiin samanlainen tapauskohtainen arviointi kuin tieteellisessä tutkimuksessa (mietintö, s. 168). Erillinen tärkeä kysymys on se, tulisiko rekisteröidyn oikeudet asettaa eri asemaan tärkeysasteensa puolesta. Näin ollen olisi mahdollista säätää esimerkiksi tiettyjen rekisteröityjen oikeuksien toteuttamisesta osittain suojatoimista ja tarpeellisuusarvioinnista huolimatta. Vastaavasti voitaisiin edellyttää erillisiä menettelyjä, kuten rekisteröidyn esittämän 16 artiklan mukaisen oikaisemisvaatimuksen kirjaamista erilliseen rekisteriin. Tämä ei kuitenkaan vaikuta välttämättömältä, koska asia voidaan ratkaista rekisterinpitäjän suorittaman tarpeellisuusharkinnan yhteydessä. Näin ollen samoja periaatteita sovellettaisiin kaikkiin artiklan 89 kohdan 3 mukaisiin rekisteröityjen oikeuksiin. 33.1 §:n 1-kohta sisältäisi suojatoimen, jonka mukaan käsittelyn tulisi tapahtua voimassa olevan arkistonmuodostussuunnitelman mukaisesti tai perustuen asianmukaisiin ja kirjallisesti dokumentoituihin seulonta-, käsittely- ja säilytyskriteereihin, joissa on huomioitu etenkin tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdan mukainen tietojen minimointi. Kohdassa otettaisiin huomioon arkistolain mukaisten toimijoiden lisäksi ne, jotka eivät ole velvollisia laatimaan arkistonmuodostussuunnitelmaa. Dokumentoidut seulonta-, käsittely- ja säilytyskriteerit toteuttaisivat ennakolta henkilötietojen minimointia. Erityisesti kulttuuriperintöaineistot on usein tarpeen säilyttää mahdollisimman alkuperäisinä. Sen sijaan yksinomaan tutkimustarkoituksiin tuotettavien (kyselyt, haastattelut ja vastaavat) aineistojen arkistoinnissa voi soveltaa mahdollisuuksien mukaan myös muita tietosuoja-asetuksen sisältämiä suojatoimia. Koska rekisteröidyn mahdollisuutta tarkastaa ja korjata henkilötietojaan rajoitetaan, on olennaista, että mahdollisesti puutteellisia tietoja ei käytetä päätöksenteossa. 33.1 §:n 2-kohdan mukaan henkilötietoja ei saisi käyttää ilman rekisteröidyn suostumusta rekisteröityä koskevien toimenpiteiden tekemiseen, ellei se ole tarpeen rekisteröidyn elintärkeiden etujen suojelemiseksi tai viranomaiselle kuuluvan tehtävän suorittamiseksi. 33.1 §:n 3-kohdan mukaan asiakirjat olisi suojattava tuhoutumiselta, vahingoittumiselta sekä niin, että niiden sisältö ei paljastu ilman rekisteröidyn suostumusta tai muuta asianmukaista perustetta ulkopuoliselle. Muu asianmukainen peruste nojautuisi esimerkiksi arkistojen aineisto- tai kokoelmakohtaisiin käyttöehtoihin. Poikettaessa rekisteröityjen oikeuksista olisi tärkeää, että valvontaviranomainen saa tarvittaessa riittävästi tietoa käsittelytoimista. 33.2 §:ssä vahvistettaisiin valvontaviranomaisen pääsy tarvittaessa 33.1 §:n 1-kohdan mukaisiin asiakirjoihin. Asiakirjat olisi toimitettava ainoastaan pyynnöstä eivätkä ne velvoittaisi valvontaviranomaista jatkotoimenpiteisiin. Samassa momentissa annettaisiin Kansallisarkistolle valtuutus antaa tarvittaessa täydentäviä säännöksiä 1 momentin mukaisista suojatoimista. Tämä ei kuitenkaan velvoittaisi Kansallisarkistoa toimenpiteisiin. 33.3 §:n ensimmäinen virke sisältää käsittelyperusteen asetuksen 9 ja 10 artiklojen mukaisille henkilötiedoille. Käsittelyssä olisi noudatettava 33.1 §:n mukaisia suojatoimia. Mikäli näiden tietoryhmien osalta haluttaisiin poiketa 33.1 §:n mukaisista rekisteröityjen oikeuksista, edellytettäisiin lisäsuojatoimena asetuksen 35 artiklan mukaista tietosuojan vaikutustenarviointia arkiston toiminnasta. Vastaava ratkaisu on omaksuttu kansallisen lakiehdotuksen 32 §:ssä tieteellisen tutkimuksen osalta. Vaikutustenarviointia ei kuitenkaan tulisi toimittaa viranomaiselle kuin ainoastaan pyynnöstä. Epäselvyyksien välttämiseksi lainkohdassa täsmennettäisiin asetuksen 35 artiklasta soveltuvat kohdat. Näitä olisivat kohdat 2 (tietosuojavastaavan konsultointi), 5 (viranomaisten luettelo käsittelyistä, joissa ei vaadita arviointia), 7 (arvioinnin vähimmäissisältö), 8 (käytännesääntöjen huomiointi) ja 11 (uudelleenarviointi muuttuneen riskin vuoksi).
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Arene näkemyksen mukaan ehdotetun uuden lain säännöksien tulee tukea ammattikorkeakoulujen lakisääteisten tehtävien toteuttamista sekä kehittymistä. Ehdotetut säännökset ovat toimivia silloin kun ne myös toteuttavat myös sivistyksellisiä oikeuksia ja tieteellisen tutkimukseen perustuvia käsittelyperusteita. Julkinen valta luo edellytyksiä yksilön mahdollisuudelle kehittää itseään muun muassa siten, että se ylläpitää ja tukee kirjastoja, kansalais- ja työväenopistoja sekä kulttuurilaitoksia ja avustaa tieteen ja taiteen harjoittamista. Tieteen ja tutkimuksen vapauteen kuuluu myös tutkijan oikeus julkaista tutkimustuloksensa. Ammattikorkeakoulujen kannalta on perusteltua säätää tieteellistä tutkimusta ja TKI- toimintaa mahdollistavia kansallisia säädöksiä henkilötietojen käsittelylle perusoikeudet huomioiden. Kansallisten koulutus- ja tiedepolitiikan tavoitteiden mukaan korkeakoulut (=ammattikorkeakoulut ja yliopistot) vahvistavat vaikuttavuuttaan erityisesti lisäämällä osaamisen ja tutkimustulosten laajempaa hyödyntämistä. Avoimen tieteen ja TKI- toiminnan periaatteiden mukaan korkeakoulut avaavat laajasti tutkimuksen tuloksia ja kehittävät aktiivisesti uusia toimintamalleja osaamisen siirtämiseksi ja innovaatioiksi yhteiskunnassa. Korkeakoulut ovat lisänneet kansainvälistä vaikuttavuutta ja näkyvyyttä strategisesti valituilla painoalueilla hyödyntäen keskinäistä yhteistyötä ja verkottumista. Arene korostaa, että hallituksen esitystä koskevassa jatkotyöskentelyssä tulisi lain tarkoitusta tarkentaa siltä osin, että esityksen tulisi myös toteuttaa kansalliset tiede- ja tutkimuspolitiikan sekä datapolitiikan tavoitteet. Ne ovat korkeakoulujen kansallisen ja kansainvälisen kilpailukyvyn kannalta oleellisen tärkeät.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus kiittää mahdollisuudesta lausua yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä.
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • Julkisuuslakia sovelletaan sen soveltamisalasäännösten mukaan viranomaisiin, joihin lukeutuvat lain mukaan muun ohella eduskunnan virastot ja laitokset. Julkisuuslain perusratkaisujen taustalla on perustuslain 12 §:n 2 momentti, jossa säädetään viranomaisen asiakirjoihin ja tallenteisiin kohdistuvasta tiedonsaantioikeudesta jokaisen oikeutena. Eduskunta ei kuitenkaan valtioelimenä ole perustuslain 12 §:n 2 momentissa tarkoitettu viranomainen, eikä julkisuuslakia sovelleta eduskunnan valtiopäivätoimintaan. Eduskunnan valtiopäivätoiminnan julkisuudesta säädetään perustuslain 50 §:ssä, jota osin täsmentää eduskunnan työjärjestyksen 43 a §:n säännös valiokunnan asiakirjojen julkisuudesta. Eduskunnan hallintoa, esimerkiksi kansliatoimikuntaa, on kuitenkin pidettävä perustuslain 12 §:n 2 momentissa tarkoitettuna viranomaisena, ja siinä noudatetaan soveltuvin osin samoja julkisuutta koskevia periaatteita kuin yleensä valtion hallinnossa (ks. myös HE 1/1998 vp, s. 99). Erityisesti asiakirjajulkisuutta ja täten eduskunnan tai sen viranomaisen hallussa olevia henkilötietoja koskeva sääntely on siis tiedonsaanti- ja luovutusoikeuden osalta eriytetty sen mukaan, onko kyseessä eduskunnan valtiopäivätoiminta tai eduskunnan hallintotoiminta. Eduskunnan valtiopäivätoimintaa koskevassa sääntelyssä on otettu huomioon henkilötietojen suojaan liittyviä näkökohtia. Esimerkiksi eduskunnan työjärjestyksessä nimenomaisesti rajoitetaan tietyin vahinkoedellytyksin oikeutta saada tietoa sellaisista valiokunnan asiakirjoista, jotka sisältävät tietoja henkilön terveydentilasta tai hänen taloudellisesta asemastaan. Vaikuttaa ilmeiseltä, että eduskunnan valtiopäivätoiminta ei kuulu ainakaan lähtökohtaisesti tietosuoja-asetuksen soveltamisalaan. Tietosuoja-asetuksen 2 artiklan 2 a kohdan mukaan asetusta ei nimittäin sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan. Tosin siltä osin, kun eduskunnassa on lainsäädäntötoimin implementoitavana EU-säännös, on soveltamisalakysymys vähintäänkin tulkinnanvarainen. EUT:n oikeuskäytännössä on vastaavalla tavalla muotoillun perusoikeuskirjan soveltamisalasäännöstä tulkittaessa katsottu EU-oikeuden soveltamisalan kattavan jäsenvaltion lainsäädäntötoiminnan, lainkäyttö- ja hallintokäytännöt jäsenvaltion täyttäessä unionin oikeuteen perustuvia velvoitteita. Yllä mainituista valtiopäivätoimintaa koskevista lähtökohdista johtuu, että tietosuojalakia (ja täten EU:n tietosuoja-asetusta) ei ole kansallisin ratkaisuin kokonaisuudessaan perusteltua ulottaa eduskunnan valtiopäivätoimintaan eikä valtiopäiväasiakirjoihin, joiden julkisuudesta säännellään perustuslaissa ja eduskunnan työjärjestyksessä. Sitä vastoin tietosuojalakia on yksityiselämän suojan johdosta perusteltua soveltaa hallinnon yleislakien tavoin eduskunnan virastoissa ja laitoksissa. Eduskunnan kanslian käsityksen mukaan tietosuojalakiin on syytä sisällyttää organisatorista soveltamisalaa koskeva säännös, jossa lakia todetaan sovellettavan julkisuuslain ja eräiden muiden hallinnon yleislakien tavoin eduskunnan virastoissa ja laitoksissa. Lisäksi mietinnössä ehdotettua julkisuusperiaatetta koskevaa 28 §:n säännöstä on syytä täydentää informatiivisella viittaussäännöksellä, jonka mukaan eduskunnan toiminnan julkisuudesta säädetään perustuslain 50 §:ssä. Mikäli jatkovalmistelussa harkitaan tarpeelliseksi säätää henkilötietojen käsittelystä eduskunnan valtiopäivätoiminnassa muilta osin, on sääntely syytä laatia erikseen eduskunnan valtiopäivätoiminnan ja erityisesti kansanedustajien aseman valtiosääntöiset erityispiirteet huomioiden.
      • Suomen museoliitto ry, Levä Kimmo
        Päivitetty:
        5.9.2017
      • Rakli
        Päivitetty:
        1.9.2017
        • Yleistä lain soveltamisalasta RAKLI lausuu EU:n yleisen tietosuoja-asetuksen täytäntöönpanoryhmän (TATTI) mietinnöstä kunnioittaen seuraavaa. RAKLI katsoo, että jatkovalmistelussa tulee valmistella nyt lausunnolla olevassa esityksessä huomiotta jääneet seikat. Ehdotuksesta puuttuu säännökset henkilötietojen käsittelyn oikeusperusteesta useissa tapauksissa, joihin erityislainsäädäntö velvoittaa. Yritysten on noudatettava muun muassa harmaan talouden torjuntaa ja tilaajavastuuta koskevaa lainsäädäntöä, kansainvälisiä pakotteita koskevia velvoitteita sekä rahanpesun ja terrorismin torjuntaan liittyvää lainsäädäntöä. Ehdotetun tietosuojalain toisessa luvussa säädettäisiin esimerkiksi rikostuomioiden käsittelyn oikeusperusteesta. Lakiehdotuksen 2:6 §:ssä olisi säädetty rikostuomioihin ja rikkomuksiin liittyvästä käsittelystä. Rikostuomioihin liittyviä tietoja saisi käsitellä, jos käsittely on tarpeen oikeusvaateen lattimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Useat RAKLIn jäsenet ovat tuoneet esille huolensa liiketoimintakiellon käsittelyn oikeusperusteesta. Tilaajan selvitysvelvollisyydesta annetun lain (1233/2006) mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on laiminlyönyt selvitysvelvollisuuden tai tehnyt sopimuksen liiketoimintakiellosta annetun lain (1059/1985) mukaiseen liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa olevassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Noudattaakseen tilaajavastuulakia yritykset joutuvat siten käytännössä joko tallentamaan tiedon liiketoimintakiellosta tai hakemaan tiedon jostakin ulkopuolisesta palvelusta. Esimerkiksi Tilaajavastuu.fi on alalla yleisesti käytetty tilaajavastuulain ja veronumerolain noudattamista helpottava palvelu. Oikeus liiketoimintakiellon tallentamiseen ja käsittelyyn tulee varmistaa valmisteilla olevassa tietosuojalaissa sekä tilaajana toimiville yrityksille että palveluntarjoajille. On myös otettava huomioon laki eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitteiden täyttämisestä (659/1967) ja rikoslain 46 luvun säännökset. Kansainvälisten pakotteiden kohteena olevien yritysten ja henkilöiden kanssa ei ole lupa ryhtyä taloudelliseen suhteeseen. Suomen Asiakastieto Oy tarjoaa yrityksille tietokanavan pakotteiden noudattamiseksi, jota ilman noudattaminen kävisi käytännössä mahdottomaksi. Ehdotettuun lakiin täytyy lisätä valtuutussäännös pakotetiedon tallentamiseksi henkilötietoihin yrityksille. Lisäksi on mahdollistettava myös palvelun tuottaminen tietokanavan muodossa. Rahanpesun ja terrorismin rahoittamisen estämisestä (laki 444/2017) ja rikoslaki velvoittavat poliittisesti vaikutusvaltaisen henkilön (PEP) tunnistamiseen ja velvoittavat varmistamaan tämän henkilöllisyys. Tieto tulee voida tallentaa henkilötietoihin mainittujen säädösten noudattamiseksi. Valtuutussäännös tulee lisätä lakiin ja mahdollistaa tietojen tallentaminen yksittäisille yrityksille ja palveluntarjoajille. Asunnossa suoritettu poliisin käynti Vuokranantajalla tulisi olla oikeus saada poliisilta tieto asunnossa suoritetusta käynnistä, jos tieto on tarpeellinen esimerkiksi häiriökäyttäytymisen estämiseen ja siihen puuttumiseen. Tiedot asukkaista Lain tasolla tulee varmistaa, että vuokrantajalla on aina oikeus saada Väestörekisterikeskukselta tieto, keitä asunnossa asuu.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • Lastensuojelun Keskusliitto (LSKL) on kirjannut lausuntonsa kohtiin 2, 3 sekä tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa huomioitavat muut seikat kohtaan "Muut mahdolliset kommentit".
      • Itä-Suomen hallinto-oikeus
        Päivitetty:
        1.9.2017
        • Ehdotetun tietosuojalain muutoksenhakusäännökset vastaisivat pääsääntöisesti nykyisen henkilötietolain mukaisia säännöksiä. Tietosuojaviraston tekemästä päätöksestä voitaisiin valittaa hallinto-oikeuteen hallintovalituksella. Hallinto-oikeuden päätöksestä valittaminen edellyttäisi korkeimman hallinto-oikeuden valituslupaa. Mietinnön mukaan hallintotuomioistuimen asiamääriin uudistus voi vaikuttaa jossain määrin valvontaviranomaisen toimivallan laajenemisen ja näin ollen valituskelpoisten päätösten mahdollisen lisääntymisen vuoksi, mutta vaikutus ei ole todennäköisesti merkittävä. Itä-Suomen hallinto-oikeuden käsitys uudistuksen vaikutuksista on samansuuntainen. Itä-Suomen hallinto-oikeudessa on nykyisen henkilötietolain mukaisia valitusasioita käsitelty viime vuosina joitakin yksittäisiä tapauksia. Tähän nähden voidaan arvioida, että uudistuksen vaikutus Itä-Suomen hallinto-oikeuden toimintaan ja sen tarvitsemiin resursseihin ei ole merkityksellinen. Itä-Suomen hallinto-oikeus pitää mietinnön mukaista ehdotusta kannatettavana.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää tarkoituksenmukaisena, että ehdotetun lain soveltamisala on lähtökohtaisesti sama kuin yleisessä tietosuoja-asetuksessa. Kirkkohallitus on kuitenkin saamansa palautteen perusteella kiinnittänyt huomiota siihen, että lainsäädäntönä suoraan sovellettava yleinen tietosuoja-asetus ei ole perusteluinenkaan helposti omaksuttavissa. Tästä johtuen kirkkohallitus toivoo, että asetuksen ja nyt ehdotetun lain soveltamista ohjaavaa ja helpottavaa materiaalia olisi nykyistä enemmän saatavilla yleisessä tietoverkossa. Yleisen tietosuoja-asetuksen III luvussa säädetään rekisteröidyn oikeuksista. Työryhmämietinnön liitteenä olevassa artiklakohtaisessa taulukossa on katsottu, että säännöksiä koskevasta kansallisesta liikkumavarasta ei ole mahdollista säätää yleislaissa, vaan säännösten soveltamista koskevista mahdollisista rajoituksista tulee säätää erityislainsäädännössä. Kirkkohallitus esittää kuitenkin harkittavaksi yleislakiin otettavaksi säännöstä siitä, miten henkilö tunnistetaan rekisteröidyksi henkilöksi ennen tietojen luovuttamista niitä pyytävälle henkilölle. Koska rekisteröidyllä tulee olla oikeus päästä omiin tietoihin, olisi tärkeää, että käytäntö rekisteröidyn tunnistamiseen olisi mahdollisimman yhtenäinen ja riittävän turvallinen väärinkäyttötapausten välttämiseksi.
      • Vapaa-ajattelijain liitto ry, Ylikoski Esa
        Päivitetty:
        20.7.2017
        • Mietinnössä todetaan, että useassa sadassa kansallisessa säädöksessä on säännöksiä henkilötietojen käsittelystä, ja että nämä tulee käsitellä erikseen. Kuitenkin työryhmän mukaan kohta "Kirkkojen ja uskonnollisten yhdistysten voimassa olevat tietosuojasäännöt" ei edellytä toimenpiteitä. Laki uskontokuntien jäsenrekistereistä sisältää määräyksen, joka sallii uskontokunnan tallentaa tietoja paitsi uskontokunnan jäsenestä itsestään, myös hänen puolisostaan ja lapsistaan. Laki edeltävä hallituksen esitys ei perustele tälle tarvetta. Säädöksen tarpeellisuus tulee arvioida uudelleen. Laajemmin on hyvä muistaa, että Suomessa väestötietojärjestelmään on suora pääsy kaikilta valtionkirkkojen seurakunnilta. Tarve tähän johtuu lähinnä avioliiton esteiden tutkinnasta. Kun siviilivihkimisten osuus on ylittänyt 50 prosenttia ja kasvaa nopeasti, lienee syytä siirtää kaikki avioliiton esteiden tutkinta maistraateille, ja tämän jälkeen rajata pääsyä väestötietoihin myös valtionkirkkojen osalta vain niiden omiin jäseniin.
      • Henkilötietolaissa on säädetty henkilötietojen käsittelyn oikeusperusteesta yksityiskohtaisemmin kuin yleisessä tietosuoja-asetuksessa. Tietosuojalailla ehdotetaan täydennettävän käsittelyn oikeusperusteita.
      • Yleiset kommentit käsittelyn lainmukaisuutta koskevasta 3 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 3 §:n 1 kohta koskee henkilötietojen käsittelyä silloin, kun kyse on henkilön asemasta, tehtävistä ja niiden hoidosta julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa. Lainkohdassa edellytetään lisäksi, että käsittelyn tavoitteen tulisi olla yleisen edun mukainen ja käsittelyn oikeasuhtaista sillä tavoitettuun oikeutettuun päämäärään nähden. MMM katsoo, että käsittelyn yleisen edun mukaisuuden ja oikeasuhtaisuuden arviointi jättää säännöksen epäselväksi. Ainakin perusteluissa tulisi esimerkein kertoa milloin henkilötietojen käsittely on kohdan mukaan sallittua. MMM katsoo, että henkilötietojen käsittelyn perusteiden arviointi ainoastaan lakitekstissä annettujen määritteiden avulla täysin vailla esimerkkejä tekee soveltamisesta vaikeaa, ja johtanee kirjavaan soveltamiskäytäntöön. Tietosuojalakiluonnoksen 3 §:n 2 kohdassa toistetaan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Asetuksen yksittäisen kohdan toistaminen on tarpeetonta tässä tapauksessa. Sen sijaan selkeämpää olisi ollut, että viranomaisen suunnittelu- ja selvitystehtävät olisi mainittu uudessa laissa. Henkilötietolaissa on selkeästi säännelty, että suunnittelua ja selvitystä varten viranomainen voi kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin. Henkilötietolain 8 §:n nykyiseen säännökseen verrattuna on hyvä asia, että säännökseen on lisätty myös järjestötoiminta.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • 2 momentti antaa lainmukaiselle käsittelylle julkishallinnossa riittävän laajat rajat.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Esityksen mukaan henkilötietoja saisi käsitellä, jos "käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi". Yleisen edun käsitteestä annetaan esimerkkeinä viranomaisten suunnittelu- ja selvitystehtävät ja tieteelliset tutkimustarkoitukset. Yleisen edun käsitettä tulisi kuitenkin edelleen täsmentää itse lakitekstissä ja myös sen perusteluissa. Mitä on sellainen tietojen käsittely, joka ei olisi tietosuoja-asetuksen nojalla suoraan sallittua, mutta tulisi sallituksi sen myötä, että tietosuoja-asetuksen 6 artiklan 2 kohdan tarkoittaman kansallisen liikkumavaran puitteissa säädetään uusi tietosuojalain 3 §?
      • Helsingin yliopisto
        Päivitetty:
        8.9.2017
        • Ehdotetun tietosuojalain 3 §:n 1 momentin 2 kohdan mukaan henkilötietojen käsittely olisi mahdollista yleistä etua koskevan tehtävän suorittamiseksi. Lain perustelujen mukaan kyseinen kohta voisi toimia oikeusperusteena myös henkilötietojen käsitellylle tieteellisiä tutkimustarkoituksia varten. Tietosuoja-asetuksen 6 artiklan 3 kohdan sekä tietosuoja-asetuksen perusteluosan 45 kohdan mukaan henkilötietojen käsittelyn perustuessa 6 artiklan 1 kohdan e alakohtaan, tulee henkilötietojen käsittelyllä olla perusta unionin oikeudessa tai jäsenvaltion lainsäädännössä. Lisäksi käsittelyn tarkoitus olisi niin ikään määriteltävä unionin oikeudessa tai jäsenvaltion lainsäädännössä. Ehdotuksen 3 §:n 1 momentin 2 kohdassa toistetaan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan sisältö määrittelemättä sen tarkemmin yleisen edun toteuttamiseksi tarkoitettuja tehtäviä. Tulkintani mukaan tietosuoja-asetus nimenomaan edellyttää tarkentavaa kansallista lainsäädäntöä, jotta yleinen etu voisi toimia henkilötietojen käsittelyn oikeusperustana myös tieteellisen tutkimuksen osalta. Yliopistolain 2 §:ssä säädetään yliopistojen tehtävistä ja yliopistolain 2 § saattaisi riittää sellaisenaan täyttämään tietosuoja-asetuksen 6 artiklan 3 kohdassa edellytetyt vaatimukset, mutta tulkintaepäselvyyksien välttämiseksi selkeät tarkentavat kansalliset säädökset ovat tarpeen. Lisäksi yleistä etua koskevaa tieteellistä tutkimusta harjoitetaan myös korkeakoulujen ja tutkimuslaitosten ulkopuolella. Tämän vuoksi tietosuojalain 3 §:n kohdalla lakiehdotusta tulisi täydentää siten, että yleisen edun mukaiselle tieteelliselle tutkimukselle säädetään tietosuoja-asetusta täsmentävät vaatimukset, joiden täyttyessä tieteellinen tutkimus voidaan katsoa olevan 6 artiklan 1 kohdan e alakohdan mukaista yleistä etua koskevan tehtävän suorittamista. Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • 3 §:n 1 kohta koskee mm. henkilön asemaa tai toimintaa julkisyhteisössä ja elinkeinoelämässä kuvaavien tietojen käsittelyä. Lakiehdotuksessa edellytetään, että ”… käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Yleisen edun määrittelemättömyys aiheuttaa tulkinnallista epävarmuutta. Esitämme, että lainkohdassa säilytetään nykyisen henkilötietolain 8 §:n 1 momentin 8 kohdan mukainen toteamus, että käsittely olisi mahdollista myös rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Henkilötietolain 8 §:n 1 momentin 6 kohdassa säädetään ns. konsernikäyttöperusteesta. Kun tietosuoja-asetusta ja tietosuojalakia aletaan soveltaa, asiasta todetaan vain asetuksen johdantolauseessa 48. Kyseisessä johdantolausessa sanotaan, että ”rekisterinpitäjillä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna”. Suomalaiset yritykset ovat hyötyneet merkittävästi henkilötietolain ns. konsernikäyttöperusteesta, jonka ansiosta konsernin sisäinen henkilötietojen käsittely on onnistunut ilman merkittävää hallinnollista taakkaa. Teknologiateollisuus ry pitää tärkeänä, että ehdotetun tietosuojalain esitöissä tuodaan selkeästi ilmi, että nykyinen kansallinen tulkintakäytäntö jatkuu, vaikka lain säännöksen sijaan asiasta todetaan vain asetuksen johdantolauseessa.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Lakiehdotuksen 3 §:ssä tarkennetaan henkilötietojen käsittelyä erityisesti julkisella sektorilla ja asetuksen hengen mukaisesti kansallinen säännös on tarpeen. Kela näkee tämän tuovan nykyiselle toiminalleen selkeän oikeusperusteen, mutta luo lisäksi erityislainsäädännöllisiä tarpeita. Esimerkiksi rekisteröityjen oikeuksien rajoittaminen ja mahdolliset suojatoimet tultaneen tekemään edelleen hallinnonalan omissa erityslaeissa. Kela käsittelee pääasiassa tietosuoja-asetuksen 9 artiklan mukaisia tietoja. Mietinnön tavoitteena on toisaalta ollut erityissääntelyn purkaminen ja tämä kokonaisuus saattaa asettaa haasteita jatkotyölle Kelan sujuvan ja asiakaslähtöisen toiminnan takaamiseksi.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Yleisen tietosuoja-asetuksen 6 artiklan 2 kohta sallii kansallisesti täsmentää lainmukaisuuden edellytyksiä tietosuoja-asetuksen 6 artiklan 1 kohdan c ja e alakohdan tilanteissa. Nokia pitää ehdotusta tämän liikkumavaran käytöstä hyvänä, mutta katsoo että tämä ei ole johtanut onnistuneeseen muotoiluun toimikunnan lakiehdotustekstissä. Lakiehdotuksen 3 §:n 1-kohta on muotoiltu tavalla, jolla kaikissa henkilötieto-asetuksen 6 artiklan 1 kohdan alakohtien a-f mukaisten käsittelyperusteiden lisäedellytykseksi näyttäisi nyt tulevan, että ”käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Tämä olisi varsin kohtuuton lisävaatimus yritysten käsitellessä esimerkiksi suostumuksen tai lain perusteella henkilön asemaa koskevia tietoja. Yritystoiminnassa henkilötietojen käsittely ei perustu kaikissa tilanteissa ”yleiseen etuun”. Lisäksi tämä muotoilu ylittää tietosuoja-asetuksessa mahdollistetut kansallisen liikkumavaran rajat, jotka on asetettu koskemaan vain 6 artiklan kohdan 1 alakohtia c ja e. Nokia ehdottaakin, että 3 §:n 1-kohta muotoiltaisiin siten että se rajautuu selkeästi 6 artiklan 1 kohdan e alakohdan ”yleisen edun” – tilanteisiin, esimerkiksi seuraavasti: ”Kun kysymys tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesta käsittelystä yleistä etua koskevan tehtävän suorittamiseksi ja jos on kysymys henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin, kun käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden.”
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Tietosuojalain 3 §:n 1 momentin 1 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn peruste on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään asti. Tätä säännöstä on pidettävä perusteltuna, koska nämä tiedot eivät ole samanlaisen suojan tarpeessa kuin yksityiselämään liittyvät tiedot. Lain kohta ei perustelujen mukaan kuitenkaan oikeuta käsittelemään näitä tietoja siten, että ne pidettäisiin julkisesti saatavilla. Osittain 1 kohdassa mainittujen henkilötietojen pitäminen julkisesti saatavilla olisi yleisen edun mukaista, koska on yleinen tarve tietää, ketkä henkilöt ovat yhteiskunnallisesti merkittävässä asemassa, sekä saada tietoa heidän toiminnastaan. Säännöstä tulisi täsmentää siten, että tietyin edellytyksin näiden tietojen julkisesti saatavilla pitäminen olisi sallittua. Ilmeisestikin on kuitenkin tarkoitus, että erityislaeissa olevat määräykset henkilötietojen julkaisemisesta yleisessä tietoverkossa ovat voimassa tietosuoja-asetuksen soveltamisen alkamisen jälkeenkin. Esimerkiksi kuntalaki velvoittaa julkaisemaan tiettyjen kunnan luottamushenkilöiden ja viranhaltijoiden sidonnaisuusilmoitukset yleisessä tietoverkossa. Muutoinkin kuntalaki velvoittaa tiedottamaan kunnan toiminnasta asukkaille, palveluiden käyttäjille, järjestöille ja muille yhteisöille. Tiedotusvelvollisuuden piiriin voitaneen katsoa kuuluvan myös kunnan luottamushenkilöiden, viranhaltijoiden ja työntekijöiden henkilötietoja kuten heidän nimensä ja työyhteystietonsa julkisesti saatavilla pitäminen. Lisäksi voitaneen ajatella, että yhteiskunnallisesti merkittävässä asemassa olevista henkilöistä tiedottamisen voidaan katsoa kuuluvan yleisen tietosuoja-asetuksen 85 artiklan 2 kohdan ja tietosuojalain 27 §:n mukaisen poikkeuksen piiriin (sananvapauteen pohjautuva käsittely journalistisia tai kirjallisen ilmaisun tarkoituksia varten). Tältä osin olisi hyvä, jos lainkohdan yksityiskohtaisissa perusteluissa todettaisiin tarkemmin siitä, että kielto pitää näitä tietoja julkisesti saatavilla ei ole ehdoton. Tietosuojalain 3 § 1 momentin 2 kohta on suora lainaus tietosuoja-asetuksesta. Lain perusteluista ei ilmene, miksi on katsottu tarpeelliseksi sisällyttää lakiin suora lainaus tietosuoja-asetuksen 6 artiklan e)-kohdasta ilman mitään lisämääreitä.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Lakiluonnoksen 3 § 1 kohta on epäselvä. Säännöksessä eikä sen perusteluissa avata lainkaan mitä tarkoitetaan yleisen edun mukaisuudella eikä myöskään oikeasuhtaisuutta. Itä-Suomen yliopiston näkemyksen mukaan hyvään lainvalmistelutapaan kuuluu, että kansalliseen yleislainsäädäntöön sisältyvät säännökset ovat niin selkeitä, että säännöksessä käytetty terminologia ja säännöksen muotoilu kuvaavat sitä, mihin joku on oikeutettu tai velvoitettu. Vastaavantyyppinen säännös henkilötietolaissa on selkeä, vaikka senkin sisältöä on jouduttu tulkitsemaan tuomioistuimessa (KHO 2016:161). KHO:n vuosikirjaratkaisu osoittaa, että henkilötietojen käsittelyä koskevien säännösten tulee olla täsmällisiä ja tarkkarajaisia. Tätä on myös perustuslakivaliokunta edellyttänyt vakiintuneessa lausuntokäytännössään. Ehdotettu säännös ei ole täsmällinen eikä tarkkarajainen.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa käsittelyn lainmukaisuutta koskevasta 3 §:stä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotettua pykälää voidaan pitää tarkoituksenmukaisena ja perusteltuna.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen 6 artiklan e kohdan mukaan henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi. Kulttuuriperintöorganisaatioiden kannalta on valitettavaa, että ehdotetun tietosuojalain mietintö sivuuttaa vain maininnalla mahdollisuuden soveltaa lakiehdotuksen 3 §:n 2 kohtaa myös yleisen edun mukaisiin arkistointitarkoituksiin jättäen täsmentämisen sektorilainsäädännön varaan. Tämä edellyttäisi valmiutta tarkistaa kulttuuriperintöorganisaatioiden lakisääteisten tehtävien kokonaisuutta sellaisella aikavälillä, joka ei ole mitenkään toteutettavissa. Kaikkien kulttuuriorganisaatioiden tehtävistä ei ole säädetty lailla tai lakisääteisiä tehtäviä ei mahdollisesti ole ilmaistu riittävällä täsmällisyydellä. Lakiluonnos jättää avoimeksi sen, millaisten arkistojen, kirjastojen tai museoiden toiminta palvelee yleistä etua. Nämä syyt saattavat vaarantaa kulttuuriperintölaitosten toimintaa vuosiksi eteenpäin. Asetuksen 6 artiklan e kohdan käsittelyperustetta tulisi täsmentää tietosuojalaissa siten, että henkilötietoja sisältävien kulttuuriperintöaineistojen sekä niihin liittyvien henkilötietoja sisältävien kuvailutietojen käsittelylle arkistointi- ja kokolmanhoitotarkoituksissa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina, kun 1. kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot, tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä; 2. rekisterinpitäjän arkistointi- ja kokoelmienhoito perustuu julkisesti saatavilla olevaan suunnitelmaan; 3. tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsevien käytettävissä ja 4. pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. 1 §:ssä tarkoitetut kirjastot, arkistot ja museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perusteella käsitellä myös 9 artiklan tarkoittamia erityisiä henkilöryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot ja museot, joilla on tässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • Tutkimuksen tuen ja hallinnon verkosto - TUHA, Verkosto: https://wiki.eduuni.fi/x/Cpz4Ag
        Päivitetty:
        8.9.2017
        • TUHA-verkosto esittää seuraavat tarkennusta vaativat kysymykset henkilötietojen käsittelyperusteesta tutkimuksen näkökulmasta: 1) Mikä on suostumuksen ja yleisen edun käsittelyperusteen suhde? a) Mikä on eurooppalaisen “yleinen etu sääntely henkilötietojen käsittelyperusteena” – tradition suhde Suomen perustuslakiin ja perustuslakivaliokunnan tulkintatraditioon, joka edellyttää tarkempaa säätämistä käsittelyperusteesta? b) Muuttuuko perustuslakivaliokunnan linja koska tietosuoja-asetuksessa käytetään yhdenmukaisuusmenettelyä? 2) Riittääkö asetuksen oikeusperuste yliopistoille? 3) Riittääkö asetuksen oikeusperuste yksittäiselle tutkijalle? 4) Onko säännös perustuslakivaliokunnan kriteerit täyttävä? a) Täyttyvätkö PL 10 §:n (yksityiselämän suoja) sääntelyvaraukselle asetetut edellytykset esimerkiksi suhteellisuudesta, täsmällisyydestä ja tarkkarajaisuudesta?
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 3 §. Käsittelyn lainmukaisuus Kyseisen pykälän 1 momentin 2 kohdan mukaan noudattaen tietosuoja-asetuksen 6 artiklaa henkilötietoja saa käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Pykälän yksityiskohtaisten perustelujen mukaan käsittelyn oikeusperuste mahdollistaisi esimerkiksi henkilötietojen käsittelyn viranomaisten suunnittelu- ja selvitystehtäviä ja tieteellistä tutkimusta varten. Säännöksen perusteluissa esitetty käsittelyn oikeusperusteen määritelmä vaikuttaa huomattavasti tarkkarajaisemmalta kuin itse pykälä kohdan muotoilu. Ehdotuksen 3 §:n 1 momentin 2 kohdassa on toistettu tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan säännös sellaisenaan. Jotta tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta voi toimia käsittelyn oikeusperusteena, on tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan: • käsittelyn perustasta säädettävä joko unionin oikeudessa tai rekisterinpitäjään sovellettavassa jäsenvaltion lainsäädännössä; • [käsittelyn tarkoituksen] sen on oltava tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi; • unionin oikeuden tai jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden. Vaikuttaa siltä, että ehdotuksen 3 §:n 1 momentin 2 kohdan tarkoituksena on täyttää tietosuoja-asetuksen vaatimus ”säätää henkilötietojen käsittelystä jäsenvaltion lainsäädännössä”. Muilta osin tietosuoja-asetuksen 6 artiklan 3 kohdan edellytysten täyttyminen jää epäselväksi. Käsitykseni mukaan tietosuoja-asetuksen tarkoituksena on mahdollistaa kansallinen asetusta tarkentava ja täsmentävä lainsäädäntö silloin, kun käsittely on tarpeellista yleisen edun mukaisen tehtävän hoitamiseksi taikka julkisen vallan käyttämiseksi. Ehdotuksen 3 §:n 1 momentin 2 kohta ei täsmennä tai avaa tietosuoja-asetuksen 6 artiklan 3 kohdassa vaaditulla tavalla, minkä yleistä etua koskevan tehtävän suorittamiseksi käsittely on tarpeellista. Lisäksi käsittelyn oikeusperusteessa ei ole arvioitu sitä, mikä on se yleisen edun mukainen tavoite, jonka säännös täyttää tai, onko se oikeasuhtainen sillä tavoiteltuun päämäärään nähden. Tämä johtuu keskeisesti siitä, ettei säännöksen vaikutuksia tai sitä, miten se muuttaa voimassa olevaa oikeustilaa, ole arvioitu perusteluissa. Kyseistä käsittelyn oikeusperustetta tulisi tarkastella myös kansallisen liikkumavaran käytön yleisten linjausten kannalta eli, onko tietosuoja-asetusta täsmentävä sääntely välttämätöntä/tarpeellista asetuksen täydentämiseksi. Julkisen vallan käytön on perustuslain 2 §:n 3 momentin mukaan joka tapauksessa perustuttava lakiin. Julkiseen vallan käyttöön liittyvän henkilötietojen käsittelyn tulisi perustua tätä koskevaan toimivaltasäännökseen. Ei voida pitää hyväksyttävänä tilannetta, jossa viranomaiset laajentaisivat toimivaltuuksiaan henkilötietojen käsittelyä koskevien säännösten kautta. Tästä näkökulmasta kyseinen säännös ei ole tarpeellinen yleisen tietosuoja-asetuksen täydentämiseksi. On kiinnitettävä huomiota lisäksi siihen, että ehdotettu käsittelyn oikeusperustetta ei ole rajattu koskemaan ainoastaan julkista sektoria. Toisin kuin esimerkiksi rekisterinpitäjän tai sivullisen oikeutettu etu (6 artiklan 1 kohdan f alakohta) kyseinen käsittelyn oikeusperuste ei edellytä intressipunnintaa rekisterinpitäjän tai sivullisen oikeutettujen etujen ja rekisteröityjen vapauksien ja oikeuksien välillä. Tämä edellyttäisi sitä, että lainsäätäjä olisi näissä tilanteissa arvioinut yleisen edun mukaisen tehtävän käsillä olon tietosuoja-asetuksen 6 artiklan 3 kohdan vaatimalla tavalla. Säännös aiheuttaa nyt ehdotetussa muodossa oikeudellista epävarmuutta siitä, miten käsittelyn oikeusperustetta tulkitaan ja sovelletaan, eivätkä perusteluissa esitetyt täsmennykset vielä sellaisenaan poista tätä epävarmuutta. Kyseistä säännöstä voitaisiin soveltaa laajasti sekä julkisella että yksityisellä sektorilla. Säännöksen tarkoitus ja vaikutukset jäävät edellä selostetun mukaisesti epäselväksi. Yhtenä henkilötietojen käsittelyn lainmukaisuuden edellytyksenä on, että rekisterinpitäjällä on 6 artiklan perusteella oikeus käsitellä henkilötietoja. Näin avoin säännös aiheuttaa ongelmia lainvalvonnan ja rekisterinpitäjien oikeusturvan kannalta. Ehdotetun säännöksen perusteella on myös epäselvää, milloin rekisterinpitäjä voi soveltaa ehdotetun tietosuojalain 3 § 2 momentin 1 kohtaa ja, milloin käsittely olisi luonteeltaan sellaista, että lainsäätäjän tulisi vielä siitä erikseen säätää tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla. Säännöstä voidaan tarkastella myös siten, että muodostaako ehdotettu 3 §:n 1 momentin 2 kohta esteen kansalliselle tarkentavalla erityislainsäädännölle tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla? Voidaanko erityissääntelyä perustella enää välttämättömyyskriteerin kannalta, koska käsittelyn oikeusperusteesta olisi jo kansallisesti säädetty. Tietosuojavaltuutettu katsoo, että näin yleinen käsittelyn oikeusperustetta koskeva säännös ei ole linjassa tietosuoja-asetuksen sääntelyn kanssa ja muodostaa riskin sekä rekisteröityjen oikeuksille ja vapauksille että rekisterinpitäjien oikeusturvalle. Ehdotuksen 3 §:n 1 momentin 2 kohtaa tulee jatkovalmistelussa arvioida edellä esitetyn ja muutoinkin tietosuoja-asetuksen kansallisen liikkumavaran käytön kannalta.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • 3 §n yksityiskohtaisia perusteluita tulisi täydentää. Johtolause on muotoiltu ”noudat-taen”, vaikka kyse on käsittelyperusteiden täydentämisestä. Muotoilua ei ole avattu pykälän perusteluissa. Pykälän suhde erityislainsäädäntöön jää epäselväksi. 3 §:n 2 kohta on lavea ja jää epämääräiseksi. Yksityiskohtaisista perusteluista ei myöskään käy ilmi laajemmin, mihin tilanteisiin säännös mahdollisesti soveltuisi ja mitkä tilanteet edellyttäisivät erityislainsäädäntöä.
      • Svenska litteratursällskapet i Finland
        Päivitetty:
        8.9.2017
        • Vi föreslår att det i lagförslaget tas in en paragraf som gäller behandling av personuppgifter i kulturarvsorganisationer: Behandling för arkivändamål av kulturarvsmaterial som innehåller personuppgifter samt behandling av referensuppgifter om kulturarvsmaterial som innehåller personuppgifter är uppgifter av allmänt intresse och utgör således sådan grund för behandling som avses i artikel 6 e i dataskyddsförordningen alltid när 1) Insamlandet, bevarandet och tillgängliggörandet av kulturarvsmaterial, såsom exempelvis handlingar, föremål, trycksaker, konstverk, naturvetenskapligt material, bilder och audiovisuellt material, dokumentationsmaterial, enkätmaterial samt referensuppgifter för sådant material är en lagstadgad eller stadgeenlig uppgift för det bibliotek, arkiv eller museum som är registeransvarig, 2) den registeransvariges arkivverksamhet grundar sig på en offentligt tillgänglig plan, 3) de lagrade uppgifterna till väsentliga delar är tillgängliga för forskare och andra som behöver dem, och 4) tillgången till personuppgifter begränsas och uppgifterna endast lämnas ut till dem som har rätt att behandla dem. I 1 § avsedda bibliotek, arkiv och museer får med stöd av artikel 9.2 j i dataskyddsförordningen även behandlas sådana särskilda kategorier av personuppgifter som avses i artikel 9 i denna förordningen. Bibliotek, arkiv och museer som är registeransvariga och som har i denna paragraf avsedda grunder för behandling av personuppgifter får även behandla sådana uppgifter inbördes och i gemensamma system.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Toivomme lain esitöissä kannanottoa lakisääteisyyden ja laissa säädetyn yleisen edun käsittelyperusteen laajuuden tulkinnasta ja soveltamisesta. Olisi tärkeää tietää, mikä (täydentävä) rooli yleiselle edulle käsittelyperusteena voisi olla toimialoilla, joita koskee toimialakohtainen sääntely ja siitä seuraava henkilötietojen käsittelyn lakisääteisyys käsittelyperusteena. Mietinnön nykytilaa arvioivassa kappaleessa 2.3, sivulla 103 HeTiL 8 §:n 1 momentin 5 kohtaa käsittelevässä kappaleessa rinnastetaan asiallinen yhteys ja oikeutettu etu liian vahvasti. Ehdotamme kappaleen loppuun seuraavaa lausetta: " Tilanteissa joissa asialliseen yhteyteen on käytännössä vedottu, on yritysmaailmassa useimmiten ollut voimassa rekisteröityjen (asiakkaiden) kanssa tehty sopimus, rekisteröidyn toimeksianto tai suostumus. Asiallisen yhteyden on katsottu muodostuvan näissä tapauksissa ilman vetoamista henkilötietodirektiivin 7 artiklan f alakohdan oikeutettuun etuun."
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Viestintävirasto kannattaa jo nykyisessä henkilötietolaissa olevaa ehdotettua 3 §:n 1 kohtaa koskien oikeutta käsitellä henkilötietoja silloin kun kyse on henkilön asemasta, tehtävistä ja niiden hoidosta julkisyhteisössä, elinkeinoelämässä ja järjestötoiminnassa asetuksesta ilmenevin reunaehdoin. Viestintäviraston käsityksen mukaan ehdotettu lisäys käsittelyperusteen laventamisesta koskien "muuta vastaavaa toimintaa" on myös kannatettava sen laajentaessa käsittelyperustetta muihinkin tahoihin. Viestintävirasto pitää tarkoituksenmukaisena myös ehdotettuja käsittelyn oikeusperusteita koskien henkilötietojen käsittelyä yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Näin turvataan vastaisuudessakin esimerkiksi mahdollisuus käsitellä henkilötietoja viranomaisen suunnittelu- ja selvitystehtäviä varten.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML kannattaa säännöstä koskien oikeutta käsitellä tietoja tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä sekä niiden hoitamista julkisyhteisöissä ja elinkeinoelämässä sekä tähän liittyen tehtyä ”muu vastaava toiminta” lisäystä ja ”yleisesti saatavilla” olevan vaatimuksen poistamista. 3 §:ssä tarkoitettujen henkilön asemaa, tehtäviä ja niiden hoitamista koskevien tietojen käsittely on mahdollista myös asetuksen 6 artiklan f kohdan oikeutetun edun perusteella. Jotta 3 § ei synnyttäisi väärää tai liian suppeaa kuvaa käsittelyperusteiden kokonaisuudesta niin ASML katsoo, että säännöksen perusteluihin tulisi ottaa tätä koskeva maininta 6.1.f-artiklasta käsittelyperusteena. Edelleen perusteluista tulisi käydä ilmi, että sellainen julkisen sektorin henkilötietojen käsittely, joka ei johdu lailla säädetystä tehtävästä, yleisestä edusta tai julkisen vallan käyttämisestä on mahdollista 6 artiklan muilla käsittelyperusteilla.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH käsittelee henkilötietoja laissa määrättyjen (mm. kaupparekisterilaki, yhdistyslaki) tehtäviensä hoitamiseksi. PRH katsoo, että ilmoitusten käsittelyn ja rekisteröinnin yhteydessä tapahtuva henkilötietojen käsittely on asetuksen 6 artiklan 1 e kohdan ja ehdotetun lain 3 §:n 1 momentin kohdassa 2 tarkoitettua rekisterinpitäjälle kuuluvaa julkisen vallan käyttöä. PRH pitää mahdollisena, että sen viranomaistehtäviä koskevia erityislakeja saattaa kuitenkin olla tarpeen tarkentaa henkilötietojen käsittelyn perustan osalta. PRH:lla ei toistaiseksi ole ollut käytössään niitä selvityksiä mitä työryhmä on tehnyt kansallisen lainsäädännön muutostarpeista.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Kansalliskirjasto on Suomen suurin ja vanhin tieteellinen kirjasto. Se toimii osana Helsingin yliopistoa, mutta vastaa kulttuuriperintöorganisaationa myös kansallisen kulttuuriperinnön säilyttämisestä ja saattamisesta yleisön saataville. Kansalliskirjastolla hallinnoi myös maamme laajinta yksityisten arkistojen kokoelmaa. Kansalliskirjasto voi ydintoimintansa osalta käsitellä henkilötietoja asetuksen artiklassa 6.1 c kohdan nojalla (lakisääteinen velvoite). Kansalliskirjaston lakisääteiset tehtävät on määritelty yliopistolaissa ja kulttuuriaineistojen tallettamista ja säilyttämistä koskevassa laissa. Tehtävät on määritelty melko yleisellä tasolla. Millä perusteella Kansalliskirjasto esimerkiksi voi jatkossa käsitellä henkilötietoja hallinnoidessaan yksityisten arkistojen kokoelmaansa? Aiemmin olemme muutamaan otteeseen joutuneet hakemaan tulkinta-apua tietosuojalautakunnalta. Nyt kun tämä mahdollisuus poistuu, voi olla syytä pohtia, tulisiko Kansalliskirjaston lakisääteisistä tehtävistä säätää tarkemmin erikseen. Maassamme on lukuisia kirjastoja, arkistoja ja museoita joiden toiminnasta ei ole lainkaan lakitrasoista sääntelyä. Monien kirjastojen ja arkistojen osalta käsittelyperuste jää kokonaan täsmentymättömäksi: millaisten kirjastojen, arkistojen ja museoiden toiminnan katsotaan palvelevan artiklan 6.1 tarkoitettua yleistä etua?
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Mietinnössä ehdotetun tietosuojalain 3 §:n 1 kohta koskee mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavien tietojen käsittelyä. Säännöksen yksityiskohtaisissa perusteluissa todetaan, että nykyisen henkilötietolain 8 §:n 1 momentin 8 kohdassa säädetään pääosin vastaavasta henkilötietojen käsittelyn yleisestä edellytyksestä. Em. henkilötietolain säännöksen mukaan käsittely on mahdollista rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi. Mietinnössä ehdotetussa säännöksessä puolestaan edellytetään, että ”[…] käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden”. Yleistä etua ei avata yksityiskohtaisissa perusteluissa selkeästi, mikä johtaa tulkinnalliseen epävarmuuteen. Joko itse säännöksessä tai sen yksityiskohtaisissa perusteluissa olisikin tarpeen selkeästi todeta, että henkilötietolain 8 §:n 1 momentin 8 kohdan mukainen käsittely rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi on katsottavissa yleisen edun mukaiseksi ja oikeasuhtaiseksi sillä tavoiteltuun oikeutettuun päämäärään nähden. Ehdotetun tietosuojalain 3 §:n 1 kohdan muotoilu herättää myös kysymyksen siitä, pyritäänkö säännöksellä luomaan lisäedellytys (käsittely oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden) kaikelle käsittelylle, jossa on kysymys mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavista tietoista – myös silloin, kun näiden tietojen käsittely perustuu esimerkiksi rekisteröidyn suostumukseen. Jatkovalmistelun aikana on selkeytettävä, että säännöksessä on kyse lisäedellytyksestä vain sille tilanteelle, että mm. henkilön asemaa julkisyhteisössä tai elinkeinoelämässä kuvaavia tietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan ns. yleisen edun käsittelyperusteen nojalla. Henkilötietolain 8 §:n 1 momentin 6 kohdassa säädetään ns. konsernikäyttöperusteesta. Tietosuoja-asetuksen tullessa voimaan asiasta todetaan asetuksen johdantolauseessa (resitaali 48), jossa todetaan, että rekisterinpitäjällä, jotka kuuluvat konserniin tai keskuselimeen kuuluvaan laitokseen, saattaa olla sisäisistä hallinnollisista syistä johtuen oikeutettu etu siirtää konsernin sisällä henkilötietoja, asiakkaiden tai työntekijöiden henkilötietojen käsittely mukaan luettuna. Suomalaiset yritykset ovat hyötyneet merkittävästi henkilötietolain ns. konsernikäyttöperusteesta, jonka ansiosta mm. konsernien sisäinen henkilötietojen käsittely on onnistunut ilman merkittävää hallinnollista taakkaa. EK pitää tärkeänä, että ehdotetussa tietosuojalaissa tai lain esitöissä tuodaan selkeästi ilmi, että tietosuoja-asetuksen tullessa voimaan nykyinen kansallinen tulkintakäytäntö jatkuu.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy puoltaa ehdottomasti ratkaisua, jossa lakiin otetaan erityinen säännös oikeudesta käsitellä tietoja tilanteissa, joissa kysymys on henkilön asemaa, tehtäviä ja niiden hoitamista julkisyhteisöissä, elinkeinoelämässä ym. Suomen Asiakastieto Oy pitää onnistuneena ja tärkeänä siihen tehtyä lisäystä ”muu vastaava toiminta”. Kohdassa ei ole enää vaatimusta siitä, että tietojen tulisi olla ”yleisesti saatavilla”. Suomen Asiakastieto Oy tulkitsee tämän tarkoittavan sitä, että myös esim. tiedot henkilöiden toimimisesta tietyssä asemassa tai työtehtävässä yrityksessä, vaikka eivät nämä ole virallisia vastuuhenkilöasemia (kuten toimitusjohtaja) voidaan katsoa olevan kohdassa tarkoitettuja tietoja. Suomen Asiakastieto Oy toteaa, että vastaavia henkilötietoja voidaan jatkossakin käsitellä myös asetuksen 6. artiklan 1. f. kohdan ”oikeutettu etu” etu perusteella tilanteissa, joissa ”yleisen edun” ei ehkä voida katsoa toteutuvan. Yksi tällainen käsittelytarkoitus on suoramarkkinointi, jonka mainitaan asetuksen resitaaleissa olevan oikeutetun edun mukaista käsittelyä. Suomen Asiakastieto Oy kannattaa 3 §:n 2. kohdan mukaisen ”yleistä etua” koskevan säännöksen sisällyttämistä yleiseen ”tietosuojalakiin”. Suomen Asiakastieto Oy toteaa samalla, että luottotietolain (526/2007) voidaan katsoa olevan Asetuksen 6. artiklan e. kohdan mukaista sääntelyä. Käsityksemme mukaan luottotietolain lainmukaisuutta voitaisiin perustella myös 6. artiklan c. kohdalla, jota voidaan, ottaen huomioon myös resitaalien sisältö, käyttää käsittelyn oikeustusperusteena laajemminkin kuin vain tilanteissa, joissa käsittelijää nimenomaan velvoitetaan käsittelyyn. Mietinnön sivulla 140 lausutaan yleisen edun mukaisen käsittelyn osalta, että ”rekisteröidyllä olisi oikeus esimerkiksi yleisen tietosuoja-asetuksen 17 artiklan mukaiseen oikeuteen tietojen poistamiseen”. Ottaen huomioon Asetuksen 17. Artiklan 3. kohdassa lausutun ”Edellä olevaa 1 ja 2 kohtaa ei sovelleta….b. jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista varten”, voidaan kysyä onko mietinnön lausuma tältä osin asetuksen mukainen. Tässä suhteessa annettava sääntely on epäselvää.
      • Aalto yliopisto
        Päivitetty:
        8.9.2017
        • Käsittelyn oikeusperuste tutkimustarkoituksessa Kansallisen liikkumavaran käytössä Aalto-yliopisto näkee tutkimuksen kannalta elintärkeänä sen, että säädetään kansallisessa laissa tietosuoja-asetuksen edellyttämällä tavalla tarkentavasti yleisen edun mukaisesta käsittelyperusteesta tieteellisen tutkimustarkoituksen osalta. Tarkentava säännös, joka nyt puuttuu toimikunnan ehdotuksesta, on lisättävä varsinaiseen hallituksen esitykseen. Tietosuoja-asetuksen mukaan henkilötietojen käsittely on lainmukaista, mikäli käsittelyn osalta täyttyy jokin tietosuoja-asetuksen 6(1) artiklan edellytys, käsittelyperuste. Mikä tahansa 6(1) artiklan mukaisista käsittelyperusteista voi olla käsittelyperusteena tieteelliselle tutkimukselle. Tietosuoja-asetuksen mukaan käsittelyperusteet ovat samanarvoisia, eikä esim. suostumus ole ensisijainen käsittelyperuste. Tietosuoja-asetuksen 6(1) (e) alakohdan mukaan henkilötietojen käsittely on lainmukaista, “jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi “. Tieteellisen tutkimuksen osalta 6 (1 ) (e) alakohta on keskeinen, koska tieteellinen tutkimus suoritetaan pääsääntöisesti yleisen edun mukaisen tehtävän suorittamiseksi. Nykyisen henkilötietodirektiivin resitaalissa 34 on lueteltu tieteellinen tutkimus osana tärkeitä julkista etua koskevia tehtäviä. Ilmastonmuutos, energian, terveydenhuollon ja ravitsemuksen saatavuus sekä Suomen osalta väestön ikääntyminen ovat ongelmia, joiden ratkaisu edellyttää monialaisten tutkijaryhmien tieteellistä tutkimusta. Suomen valtti tieteellisessä tutkimuksessa on ainutlaatuisten tutkimusaineistojen saatavuus niin julkisista kuin yritysten, yhteisöjen ja kansalaisjärjestöjen tietokannoista. Tätä tietokantojen tutkimuskäyttöä on kuvattu käsitteellä rekisteritutkimus. Tietosuoja-asetuksessa on haluttu mahdollistaa tutkimus, joka toteutetaan jo olemassa olevia henkilörekistereitä hyödyntäen. Tietosuoja-asetuksen kansallisen täytäntöönpanotyöryhmän mietinnön kohdassa esityksen vaikutukset ei ole kuitenkaan nostettu esiin esityksen vaikutuksia rekisteritutkimukseen mikä jättää työryhmän esityksen vaikutukset rekisteritutkimuksen osalta avoimeksi. Esityksellä on vaikutuksia joko Suomen tiede- ja tutkimuspoliittisten ja datapoliittisten tavoitteiden mahdollistajana tai estäjänä. Rekisteritutkimuksen selkeä käsittelyperuste ja mahdollistaminen tulee olla Suomen keskeinen päämäärä tietosuoja-asetuksen salliman kansallisen liikkumavaran käytössä, jos halutaan toteuttaa Suomen tiede- ja tutkimuspoliittiset tavoitteet sekä datapolitiikan tavoitteet. Rekisteritutkimuksen osalta tulee hallituksen esityksessä selkeästi tuoda ilmi se, miten rekisteritutkimus voi jatkua sekä tietosuoja-asetuksen perusteella että ehdotetun tietosuojalain perusteella. Ruotsin lainvalmistelussa on selkeäksi päämääräksi nostettu rekisteritutkimuksen mahdollistaminen: “– De omfattande svenska registren med personuppgifter är en värdefull tillgång och en grund för potentiellt världsledande forskning. Därför ska utredaren föreslå regleringen av forskningsdatabaser. Vi ska dra nytta av de goda förutsättningar Sverige har utifrån våra register.” http://www.regeringen.se/pressmeddelanden/2016/07/reglering-av-personuppgiftsbehandling-for-forskningsandamal/ Käsittelyn perusteesta säädetään 3 §:n 2 kohdassa siten, että toistetaan tietosuoja-asetuksen sanamuoto: “Noudattaen tietosuoja-asetuksen 6 artiklaa henkilötietoja saa käsitellä jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi “. Ehdotuksen mukaan säädöksen sisältöä ei tarkenneta kansallisessa laissa. Tutkimuksen käsittelyperustetta on käsitelty ainoastaan s. 141 seuraavalla lauseella: Yleistä etua koskeva tehtävä voisi olla myös esimerkiksi henkilötietojen käsittely tieteellisiä tutkimustarkoituksia varten. Ruotsin lainvalmistelussa SOU 2017:50 http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/2017/06/sou-201750/ on nimenomaisesti todettu, s. 130, että asetuksen 6.1 e artiklan sanamuodon toistaminen kansallisessa laissa ei ole riittävä säädös täyttämään tietosuoja-asetuksen 6(3)artiklan vaatimuksia käsittelyperusteelle. Tietosuoja-asetuksen 6(3) artiklan kanssa samansuuntaisesti vaikuttavat Suomen perustuslain perusoikeudet. Artiklan 6(3) mukaan kun käsittelyn tarkoitus määritellään 6.1 e alakohdassa tarkoitetussa käsittelyssä, jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhtainen sillä tavoiteltuun oikeutettuun päämäärään nähden. Ruotsin ehdotuksessa säädetään tutkimuksen mahdollistamiseksi Forskningsdatalag, jonka 5 §:ssä tietosuoja-asetuksen 6(1)(e) alakohtaa tarkennetaan käsittelyperusteen osalta seuraavalla kansallisella säännöksellä: Behandling av personuppgifter för forskningsändamål Rättslig grund 5 § Av dataskyddsförordningen framgår att personuppgifter får behandlas endast om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt. 6 § Personuppgifter får med stöd av artikel 6.1 e i dataskyddsförordningen behandlas för forskningsändamål om behandlingen är nödvändig och proportionerlig för att utföra forskning av allmänt intresse. Forskning av allmänt intresse får utföras av statliga myndigheter, kommuner och landsting, andra juridiska personer och enskilda näringsidkare. Ruotsissa omaksuttu kansallisten säädösten kirjoitustapa, jossa kansallisessa tarkentavassa säädöksessä ilmoitetaan selkeästi, mitä kohtaa tietosuoja-asetuksessa kyseinen kansallinen tarkempi säädös tarkentaa. Ehdotetussa tutkimuksen käsittelyperustetta tarkentavassa säädöksessä ilmoitetaan selkeästi että se tarkentaa tietosuoja-asetuksen 6 (1) (e) alakohtaa. Näin kansallista lakia lukeva voi heti ymmärtää sen kokonaisuuden, jonka tarkennuksesta on kyse. Tämä omaksuttu tekniikka helpottaa erittäin suuresti kansallisen lain ymmärtämistä ja tulkintaa. Sama tekniikka on välttämätöntä omaksua johdomukaisesti myös Suomen kansallisessa lainsäädännössä. TATTI-mietinnössä on tutkimuksen osalta pitäydytty tietosuoja-asetuksen resitaalien määritelmissä, mikä on perusteltu ratkaisu. Tietosuoja-asetuksen resitaalissa 159 olevaa tieteellisen tutkimustarkoituksen määritelmää tulee soveltaa myös kansallisessa lainsäädännössä, samoin resitaalin 160 määritelmää historiallisesta tutkimustarkoituksesta ja resitaalin 162 määritelmää tilastotarkoituksesta. Tieteellistä ja historiallista tutkimusta ei ole Ruotsissa katsottu tarvittavan käsitellä eri tavalla. Tältä osin voisi jatkoselvitys olla tarpeen. Jos Suomessa omaksuttaisiin samankaltainen ratkaisu kuin Ruotsissa, mutta tietosuoja-asetuksen määritelmiä käyttäen, voisi tutkimuksen käsittelyperustetta koskeva säännös kuulua seuraavasti: 3 a § Henkilötietojen käsittelyn lain mukaisuus tutkimustarkoituksessa sekä tilastollisia tarkoituksia varten Tietosuoja-asetuksen mukaan henkilötietojen käyttö on lainmukaista, jos vähintään yksi 6 artiklan 1 kohdan edellytyksistä täyttyy. Henkilötietoja voidaan käyttää tieteellisessä tai historiallisessa tutkimustarkoituksessa sekä tilastollisia tarkoituksia varten tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan nojalla, jos käsittely on tarpeen ja oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden yleistä etua koskevan tehtävän suorittamiseksi. Yleistä etua koskevaa tutkimusta voivat harjoittaa valtio, kunnat ja maakunnat, muut oikeushenkilöt ja elinkeinonharjoittajat. Ruotsin toimikunta katsoo, että 6 (1) (e) alakohtaa tarkentavan käsittelyperusteen kansallisessa laissa säätäminen ei olisi tarpeen yliopistojen ja korkeakoulujen osalta, koska yliopistoilla ja korkeakouluilla on jo lailla säädetty tehtävä harjoittaa yleisen edun mukaista tieteellistä tutkimusta. Tätä kannanottoa tulkitessa tulisi huomioida se, että tieteellisen tutkimuksen osalta ei yliopistolaissa ole mainittu oikeasuhtaisuuden vaatimusta, joka kuitenkin on 6 (3) kohdassa edellyetty. Erityisesti yliopistossa ja korkeakoulussa tehtävän tutkimuksen osalta Ruotsin toimikunta toteaa seuraavasti: Universitet och högskolor med statlig huvudman I 2 kap. 18 § andra stycket regeringsformen fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid universitet och högskolor under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten och 1 kap. 6 § reglerar just forskningens frihet, genom att ange allmänna principer för den delen av högskolornas verksamhet. Behandling av personuppgifter för forskningsändamål vid universitet och högskolor med staten som huvudman utförs således inom ramen för en forskningsuppgift som är fastställd i svensk lag. Suomessa tutkimustehtävä on laissa säädetty paitsi julkisoikeudellisten, myös yksityisoikeudellisten säätiöyliopistojen tehtäväksi. Yliopistot, joita laki koskee on lueteltu yliopistolaissa (558/2009). Suomessa yliopistolain 2 § säätää yliopistojen tehtäväksi tutkimuksen seuraavasti: 2 § Tehtävät Yliopistojen tehtävänä on edistää vapaata tutkimusta sekä tieteellistä ja taiteellista sivistystä, antaa tutkimukseen perustuvaa ylintä opetusta sekä kasvattaa opiskelijoita palvelemaan isänmaata ja ihmiskuntaa. Tehtäviään hoitaessaan yliopistojen tulee edistää elinikäistä oppimista, toimia vuorovaikutuksessa muun yhteiskunnan kanssa sekä edistää tutkimustulosten ja taiteellisen toiminnan yhteiskunnallista vaikuttavuutta. Yliopistojen tulee järjestää toimintansa siten, että tutkimuksessa, taiteellisessa toiminnassa, koulutuksessa ja opetuksessa varmistetaan korkea kansainvälinen taso eettisiä periaatteita ja hyvää tieteellistä käytäntöä noudattaen. Jos yliopisto oikeushenkilönä käsittelee henkilötietoja rekisterinpitäjänä, voidaan käsittelyperusteena tutkimukselle soveltaa tietosuoja-asetuksen 6 (1) (e) kohdan mukaista käsittelyperustetta. Artikla 6(3) edellyttämä säädös, jossa yleisen edun mukainen tieteellinen tutkimustehtävä määritellään voisi olla yliopistolain 2 §. Voitaisiin tulkita, että artiklan 6(3) edellyttämä oikeasuhtaisuus täyttyisi, sillä yliopistojen tutkimus on tieteellistä tutkimusta, jossa yliopistolain mukaisesti noudatetaan eettisiä periaatteita ja hyvää tieteellistä käytäntöä. Se mitä eettisillä periaatteilla ja hyvällä tieteellisellä käytännöllä tarkoitetaan täsmentyy Tutkimuseettisen neuvottelukunnan (TENK ) ohjeistuksessa. Tutkimuseettinen neuvottelukunta on perustettu asetuksella tutkimuseettisestä neuvottelukunnasta (1347/1991). TENK ohjeistukseen yliopistot ovat sitoutuneet velvoittavilla sopimuksilla. Jos kuitenkin katsottaisiiin, että yliopistojen ja korkeakoulujen osalta tutkimuksen yhteydessä tapahtuvan henkilötietojen käsittelyyn joltain osalta tarvitaan tietosuojalain tarkentava käsittelyn oikeusperuste, tulee harkita toimisiko Ruotsin ehdotetun kaltainen säädös myös tältä osin, koska säädöksen esimerkkiluettelo oikeushenkilöistä sisältää muut oikeushenkilöt. Muiden rekisterinpitäjien kuin yliopistojen osalta on tarkempi käsittelyperusteen säätäminen tarpeen. Yliopistot suorittavat tutkimustehtäväänsä yhteistyössä mm. ministeriöiden, kuntien, maakuntien ja yritysten sekä erilaisten säätiöiden ja järjestöjen kanssa. Tietosuoja-asetuksen resitaalissa 159 on tieteellinen tutkimus määritelty laajasti, ja kansallisen tietosuojalain olisi Suomen tiede- ja tutkimuspolitiikan ja datapolitiikan mukaisesti tuettava tietosuoja-asetuksen määrittelemää laajaa tieteellisen tutkimuksen käsitettä ja tällaisen tutkimuksen edellytyksenä on myös muiden kuin yliopistojen mahdollisuus tietosuoja-asetuksen suojaaman tutkimusdatan käsittelyyn.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Henkilötietojen käsittelyn sääntelyn tulee olla kattavaa ja yksityiskohtaista. Esitetty 3 § toistaa tietosuoja-asetuksen tekstiä ja on varsin yleisluontoinen. Mikäli tavoitteena on sallia henkilötietojen käsittely suunnittelu- ja selvitystehtävissä, tulisi tämän ilmetä suoraan lakitekstistä.
      • Helsingin seudun liikenne -kuntayhtymä
        Päivitetty:
        8.9.2017
        • Helsingin seudun liikenne -kuntayhtymä (HSL) pyytää, että tietosuojalain jatkovalmistelussa kiinnitetään enemmän huomiota henkilötietojen käsittelyperusteisiin (tietosuoja-asetuksen 6 artikla ja ehdotetun tietosuojalain 2 luvun 3 §) erityisesti kuntien ja kuntayhtymien tehtävien kannalta. Kuntalain 2 luvun 7 §:n mukaan ”kunta hoitaa itsehallinnon nojalla itselleen ottamansa tehtävät ja järjestää sille laissa erikseen säädetyt tehtävät. Laissa säädetään myös siitä, kun tehtäviä on järjestettävä yhteistoiminnassa muiden kuntien kanssa (lakisääteinen yhteistoiminta).” Lisäksi ”kunta voi sopimuksen nojalla ottaa hoitaakseen muitakin kuin itsehallintoonsa kuuluvia julkisia tehtäviä. Kuntayhtymien tehtävät puolestaan perustuvat kuntalain lisäksi kuntayhtymän perussopimukseen (kuntalaki 55 ja 56 §). Kunnilla ja kuntayhtymillä voi olla siis laissa niille erikseen säädettyjä tehtäviä, kunnan itsehallinnon nojalla itselleen ottamia tehtäviä sekä muita itsehallintoon kuuluvia julkisia tehtäviä. Kuntayhtymillä voi lisäksi olla niille kuntayhtymän perussopimuksella annettuja tehtäviä. Koska kunnat ja kuntayhtymät voivat hoitaa itsehallinnon nojalla itselleen ottamiansa tehtäviä, eivät kuntien ja kuntayhtymien tehtävät rajoitu niille laissa säädettyihin tehtäviin tai viranomaistehtäviin. Kuntien ja kuntayhtymien toimintaan voi sisältyä myös sellaisia tehtäviä, jotka eivät ole vain julkisen sektorin tehtäviä. Tämä käy välillisesti ilmi mm. kuntalain 15 luvusta, joka koskee kunnan toimintaa markkinoilla. Kunnilla ja kuntayhtymillä voi olla myös toimintoja, joita on markkinoilla, toisin sanoen yksityisen sektorin tuottamina. Tällaiset tehtävät voivat olla hyvin moninaisia, eikä niihin liity julkisen vallan käyttöä. Ne eivät ole myöskään lailla kunnalle säädettyjä tehtäviä tai viranomaistehtäviä. Tietosuoja-asetuksensa 6 artiklassa on säädetty henkilötietojen käsittelyperusteiksi mm. ”käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi” (alakohta 1.c) ja ”käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi” (alakohta 1.e). Toisaalta henkilötietojen käsittely rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (alakohta 1.f) ei sovellu tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä. TATTI-työryhmän mietinnössä puolestaan todetaan, että julkisen sektorin henkilötietojen käsittelyn tulisi lähtökohtaisesti perustua 6 artiklan 1 kohdan c ja e alakohtaan (mietinnön s. 101). Mietinnössä sanotaan myös, että rekisterinpitäjän oikeutettu etu (6 artiklan 1.f alakohta) ei voi toimia julkisen sektorin suorittaman käsittelyn perusteena (mietinnön s. 50). HSL:n näkemyksen mukaan TATTI-työryhmän mietinnössä on laajennettu tietosuoja-asetuksen 6 artiklan 1.f alakohdan sisältöä. Tietosuoja-asetuksen 6 artiklan 1.f alakohdassa käytetään ilmaisua ”tietojenkäsittely, jota viranomaiset suorittavat tehtäviensä yhteydessä”. Julkinen sektori tekee kuitenkin muitakin tehtäviä kuin viranomaistehtäviä, kuten edellä on todettu. Tietosuoja-asetuksen tarkoituksen lienee se, että lailla esimerkiksi kuntien ja kuntayhtymien tehtäviksi säädettyjen tehtävien suorittamisessa tehtävä henkilötietojen käsittely kuuluisi asetuksen 6 artiklan 1.c alakohtaan. Yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tehty henkilötietojen käsittely puolestaan kuuluisi 6 artiklan 1.e alakohtaan. Näihin tehtäviin liittyvä henkilötietojen käsittelyä ei puolestaan olisi mahdollista tehdä 6 artiklan 1.f alakohdan perusteella. Sellainen henkilötietojen käsittely, joka ei johdu lailla säädetystä tehtävästä, yleisestä edusta tai julkisen vallan käyttämisestä olisi kuitenkin sallittua myös esimerkiksi kunnissa tai kuntayhtymissä 6 artiklan 1.f alakohdan nojalla. Alakohtaa ei tulisi siis ulottaa koskemaan kaikkea julkisen sektorin toimintaa, kuten mietinnössä nyt on tehty. HSL:n näkemyksen mukaan kansalliseen tietosuojalakiin tulisi tehdä tätä koskeva selvennys. Tämä on erityisen tärkeää, koska tietosuoja-asetuksen myötä poistuu nykyisessä henkilötietolaissa oleva asiakas- tai palvelussuhteeseen, jäsenyyteen tai muuhun vastaavaan syyhyn liittyvä, ns. asiallista yhteyttä koskeva, käsittelyperuste (henkilötietolain 8 §:n 1 mom. 5 kohta). Samalla olisi erittäin toivottavaa ottaa kantaa myös 6 artiklan 1.c ja 1.e. alakohtien käsitteiden ”lakisääteinen velvoite”, ”yleistä etua koskeva tehtävä” ja ”julkisen vallan käyttäminen” tulkintaan ja kansalliseen soveltamiseen kuntien ja kuntayhtymien tehtävien osalta. Henkilötietojen käsittelyn perusteiden tulisi olla selkeitä ja ymmärrettäviä, eikä aukkoja tai tarpeettomia päällekkäisyyksiä tulisi jäädä lainsäädäntöön. HSL pitää hyvänä sitä, että tietosuojalakiin ehdotetaan otettavaksi lisäys henkilötietojen käsittelystä henkilön asemaa, tehtäviä ja niiden hoitoa mm. julkisyhteisössä (ehdotetun tietosuojalain 2 luvun 3 § 1 kohta). Samoin on hyvä ratkaisu, että ehdotetun tietosuojalain 2 luvun 3 § 2 kohdan perusteluteksteissä on erikseen tuotu esiin viranomaisen suunnittelu- ja selvitystehtävät. Tältäkin osin on kuitenkin tulkinnanvaraista, mitä ”viranomaisella” tarkoitetaan tässä yhteydessä. Esimerkiksi kunnat ja kuntayhtymät tekevät paljon sellaisiakin suunnittelu- ja selvitystehtäviä, jotka eivät välttämättä ole viranomaistehtäviä. Ehdotetun tietosuojalain 2 luvun 3 § 2 kohdan perusteluteksteissä (mietinnön s. 141) on myös todettu, että yleistä etua koskeva tehtävä voisi olla esimerkiksi henkilötietojen käsittely tieteellistä tutkimustarkoitusta varten. Tältä osin jää kuitenkin epäselväksi, mitä tässä yhteydessä tarkoitetaan ”tieteellisellä tutkimuksella”. Voivatko esimerkiksi kuntayhtymät käsitellä henkilötietoja tutkimusta varten yleistä etua koskevan tehtävän perusteella myös sellaisten tutkimusten osalta, jotka eivät välttämättä kuulu kuntayhtymän viranomaistehtäviin, vaan ovat esimerkiksi kuntayhtymän omistajakuntien teettämiä tutkimuksia? Samassa mietinnön kohdassa myös mainitaan, että henkilötietoja voidaan käsitellä tieteellisiin tutkimustarkoituksiin myös suostumuksen tai oikeutetun edun perusteella. Jos HSL ei voi käsitellä henkilötietoja tutkimustarkoituksiin yleistä etua koskevan tehtävän, eikä oikeutetun edun perusteella, niin silloin jää tieteellisten tutkimusten osalta käsittelyperusteeksi vain suostumus. Tämä taas on koettu käytännössä hankalaksi käsittelyperusteeksi, koska suostumuksen tulee olla ”vapaaehtoinen, yksilöity ja yksiselitteinen tahdonilmaisu”, mikä voi tutkimuksen osalta osoittautua melko haastavaksi toteuttaa. Kohtaan olisi lisäksi hyvä saada tulkinta-apua siitä, mitä muita kuin suunnittelu- ja selvitystehtäviä tämä käsittelyperuste voisi sisältää.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Luvussa täsmennetään käsittelyn oikeusperusteita yleisen tietosuoja-asetuksen mahdollistaman kansallisen liikkumavaran puitteissa. Kohdassa ”Nykytilan arviointi” (s. 103-104) on kuvattu sitä, miten aiemmin henkilötietolaissa ollut konsernisuhde käsittelyperusteena korvautuu jatkossa rekisterinpitäjän oikeutetun edun perusteella. Työryhmän mukaan tietosuoja-asetus ei mahdollista jatkossa vastaavan käsittelyperusteen kirjoittamista tietosuojalakiin. Vaikka asiaa onkin selvitetty edellä mainitussa kohdassa, asian merkittävyyden vuoksi olisi kuitenkin toivottavaa, että myös hallituksen esitysluonnoksen 2 lukua koskevissa yksityiskohtaisissa perusteluissa tuotaisiin asia esiin esim. viittaamalla aiempaan selvitykseen.
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • Yliopistokirjastojen asema ja tehtävät Nykytilanne on, että yliopistokirjastojen asemasta ja tehtävistä ei ole omaa lainsäädäntöä, toisin kuin yleisten kirjastojen osalta, joiden toiminnasta säädetään laissa yleisistä kirjastoista (L 1492/2016). Yliopistokirjastot toimivat osana yliopistoa yliopistolain (L 558/2009) 2 §:ssä määriteltyjä yliopiston tehtäviä tukien. Esimerkiksi Ruotsissa korkeakoulukirjastoista säädetään lainsäädännössä (Svensk författningssamling 2013:801. Bibliotekslag). SYN katsoo, että yliopistokirjastojen tehtävät tulisi määritellä lainsäädäntötasolla (esim. lisäys yliopistolakiin) siten, että todettaisiin yliopistokirjastojen yleistä etua koskevan tehtävän suorittaminen sekä yliopistokirjastojen erityistehtävien toteuttaminen, esim. tieteellisen tiedon tuottamisen ja tieteeseen pohjautuvan opetuksen tukena toimiminen, sekä tieteen (tulosten) avoimuuden ja julkisuuden edistäminen. Yliopistokirjastojen asemasta ja tehtävistä lain tasolla säätäminen olisi tarpeen yliopistokirjastojen aseman ja tehtävien selkiyttämiseksi sekä EU:n yleisen tietosuoja-asetuksen näkökulmasta tarkasteltuna. Yliopistokirjastoilla on mm. oltava selkeä peruste sille, että ne voivat käsitellä henkilötietoja EU:n tietosuoja-asetuksen 6 artiklan mukaisesti.
      • Suomalaisen Kirjallisuuden Seura, Hupaniittu Outi
        Päivitetty:
        7.9.2017
        • Esitämme, että lakiehdotukseen lisätään pykälä, joka kattaa henkilötietojen käsittelyn kulttuuriperintöorganisaatioissa: Henkilötietoja sisältävien kulttuuriperintöaineistojen sekä kulttuuriperintöaineistoihin liittyvien henkilötietoja sisältävien viitetietojen käsittelylle arkistointi- ja kokoelmienhoitotarkoituksessa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina kun 1) Kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointi- ja kokoelmienhoitotoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Momentissa 1 § tarkoitetut kirjastot, arkistot tai museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perusteella myös käsitellä 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot tai museot, joilla on tässä pykälässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Lakiluonnoksen 3 § :n 2 kohdan mukaan henkilötietoja saa käsitellä, jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamisesksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Käsittelyn oikeusperusteen nojalla olisi mahdollista käsitellä henkilötietoja esim. viranomaisen suunnittelu- ja selvitystehtäviä varten ja tieteellisessä tutkimustarkoituksessa. Henkilötietojen käsittely myös esimerkiksi yleisen edunmukaisia arkistointitarkoituksia varten olisi mahdollista ehdotetun 2 kohdan nojalla. Yleisen edun mukaista arkistointia koskevassa jaksossa 3.10 käsitellään viranomaisia koskevan arkistolainsäädännön uudistamistarvetta. Kansallisarkiston toiminta on lakisääteistä, yleisen edun m mukaista toimintaa ja se palvelee erityisesti tieteellistä tutkimusta, mutta myös muuta historiallista tutkimusta ja eri tahojen tiedon tarpeita. Kansallisarkisto huomauttaa, että yleisen edun mukaisia tehtäviä on myös yksityisellä sektorilla. Esimerkiksi orpoteosten käyttämisestä annetun lain ( 764/2013 ) 2 §:n mukaan näitä teoksia saavat käyttää yleisen edun mukaiseen tehtävään liittyvien tavoitteiden saavuttamiseksi yleisölle avoimet kirjastot, museot ja koulutusorganisaatiot, arkistot, elokuva- ja äänitearkistot sekä julkisen palvelun televisio- ja radioyritykset. Näiden toimijoiden yleisen edun mukaisia tehtäviä ovat säilyttäminen, restaurointi sekä kulttuuri- ja opetuskäytön mahdollistaminen (HE73/2013 vp). Vastaavankaltaista sääntelyä tulisi sisältyä myös tietosuojalain yleistä etua sekä yleisen edun mukaisia arkistointitarkoituksia (33 §) koskeviin säännöksiin. Lisäksi tietosuojalakiin tulee säilyttää johdanto-osan kappaleen 45 asettamien velvoitteiden mukaisesti säännökset siitä, että yleisen edun vuoksi toteutettavan tehtävän suorittamiseksi rekisterinpitäjä voi olla julkisen viranomaisen lisäksi muu julkis- tai yksityisoikeudellinen luonnollinen henkilö tai oikeushenkilö.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • Voimassaoleva henkilötietolain 8 § mahdollistaa henkilötietojen käsittelyn tilanteissa, joissa on kysymys ”konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä”. Tähän niin kutsuttuun ”konsernipoikkeukseen” liittyen HE-luonnoksen nykytilan arviossa (s. 103–104) on konsernien ja taloudellisten yhteenliittymien osalta kirjaus, jonka mukaan ”uutta nykytilaan verrattuna on rekisterinpitäjän harkintaan jäävä punninta siitä, milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut”, so. oikeutetun edun henkilötietojen käsittelyyn konserni- tai yhteenliittymätasolla. Finanssialalla on merkittävässä määrin toimijoita, esimerkiksi osuuskuntia, säästöpankkeja ja keskinäisiä vakuutusyhtiöitä, joiden toiminnan kannalta konsernipoikkeuksen soveltaminen suppeasti vain yhtiöoikeudellisiin konserneihin johtaisi käytännön toiminnan vaikeutumiseen ja kustannustehottomuuteen, joka viime kädessä palautuisi asiakkaiden maksettavaksi. Lisäksi tällainen tulkinta asettaisi toisistaan poikkeavat yhtiöoikeudelliset toimintamuodot keskenään erilaiseen kilpailulliseen asemaan. Sanotun perusteella FA pitää HE-luonnoksen kirjausta konsernipoikkeuksesta merkittävänä, ja pitää tärkeänä, että kirjaus sisällytetään myös lopulliseen tietosuojalakia koskevaan HE:en.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Säännös edistää julkisuusperiaatteen toteutumista ja SJL suhtautuu muotoiluun myönteisesti.
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • Esitämme, että lakiehdotukseen lisätään pykälä, joka kattaa henkilötietojen käsittelyn kulttuuriperintöorganisaatioissa: Henkilötietoja sisältävien kulttuuriperintöaineistojen sekä kulttuuriperintöaineistoihin liittyvien henkilötietoja sisältävien viitetietojen käsittelylle arkistointi- ja kokoelmienhoitotarkoituksessa on yleistä etua koskeva tehtävä ja siten tietosuoja-asetuksen 6 artiklan e kohdan mukainen käsittelyperuste aina kun 1) Kulttuuriperintöaineistojen, kuten esimerkiksi asiakirjat, esineet, painotuotteet, taideteokset, luonnontieteelliset aineistot, kuvat ja audiovisuaalinen aineisto, dokumentointiaineistot, kyselyaineistot sekä niiden viitetiedot tallentaminen ja saataville saattaminen on rekisterinpitäjänä olevan kirjaston, arkiston tai museon lakisääteinen tai sääntömääräinen tehtävä, 2) rekisterinpitäjän arkistointi- ja kokoelmienhoitotoiminta perustuu julkisesti saatavilla olevaan suunnitelmaan, 3) tallennetut tiedot ovat oleellisilta osin tutkijoiden ja muiden tarvitsijoiden käytettävissä ja 4) pääsy henkilötietoihin on rajoitettu ja niitä luovutetaan vain niille, joilla on oikeus käsitellä niitä. Momentissa 1 § tarkoitetut kirjastot, arkistot tai museot saavat tietosuoja-asetuksen 9 artiklan 2j kohdan perustella myös käsitellä 9 artiklan tarkoittamia erityisiä henkilötietoryhmiä. Rekisterinpitäjinä olevat kirjastot, arkistot tai museot, joilla on tässä pykälässä mainittu käsittelyperuste voivat myös käsitellä henkilötietoja yhteistyössä ja yhteisissä järjestelmissä.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • Asetuksen johdanto- osassa todetaan, että "henkilötietojen käsittelyä tieteellisiä tutkimustarkoituksia varten olisi tämän asetuksen soveltamista varten tulkittava laajasti niin, että se tarkoittaa myös teknologian kehittämistä ja esittelyä, perustutkimusta, soveltavaa tutkimusta ja yksityisin varoin rahoitettua tutkimusta.” Ammattikorkeakoulujen kannalta tämä laaja tulkinta on kannatettava, se tukee TKI- toiminnan laajaa tehtäväkenttää korkeakouluissa. Tieteellisen tutkimuksen ja korkeakoulujen osalta 6 artiklan 1 kohdan e) alakohta on keskeinen, koska tieteellinen tutkimus suoritetaan pääsääntöisesti yleisen edun mukaisen tehtävän suorittamiseksi. Nykyisen henkilötietodirektiivin resitaalissa 34 on lueteltu tieteellinen tutkimus osana tärkeitä julkista etua koskevia tehtäviä. Monet globaalit haasteet edellyttävät yhä enemmän monialaisten tutkijaryhmien tieteellistä tutkimusta ja TKI- toimintaa. Suomalaisten korkeakoulujen vahvuus globaalissa tutkimuksessa on ainutlaatuisten tutkimusaineistojen saatavuus niin julkisista kuin yritysten, yhteisöjen ja kansalaisjärjestöjen tietokannoista. Tätä tietokantojen tutkimuskäyttöä on kuvattu käsitteellä rekisteritutkimus. Tietosuoja-asetuksessa on haluttu mahdollistaa tutkimus, joka toteutetaan jo olemassa olevia henkilörekistereitä hyödyntäen. Tietosuoja-asetuksen kansallisen täytäntöönpanotyöryhmän mietinnön kohdassa esityksen rekisteritutkimuksen vaikutuksia ei ole nostettu esiin. Tämä jättää työryhmän esityksen vaikutukset rekisteritutkimuksen osalta avoimeksi. Rekisteritutkimuksen osalta tulee hallituksen esityksessä selkeästi tuoda ilmi se, miten rekisteritutkimus voi jatkua sekä tietosuoja-asetuksen perusteella että ehdotetun tietosuojalain perusteella. Arenen näkemyksen mukaan rekisteritutkimuksen selkeä käsittelyperuste ja mahdollistaminen tulee olla myös Suomen keskeinen päämäärä tietosuoja-asetuksen salliman kansallisen liikkumavaran käytössä. Sillä on suoria vaikutuksia Suomen tiede- ja tutkimuspoliittisten ja avoimen tieteen ja datapoliittisten tavoitteiden mahdollistajana tai estäjänä. Arenen näkemyksen mukaan ehdotetussa tietosuojalaissa ei ole erityistä tutkimuksen käsittelyperustetta ja käsittelyn perusteesta säädetään 3 §:n 2 kohdassa siten, että toistetaan tietosuoja-asetuksen sanamuoto. Ehdotuksen mukaan säädöksen sisältöä ei tarkenneta kansallisessa laissa. Tutkimuksen käsittelyperustetta on käsitelty ainoastaan s. 141 seuraavalla lauseella : Yleistä etua koskeva tehtävä voisi olla myös esimerkiksi henkilötietojen käsittely tieteellisiä tutkimustarkoituksia varten. Arenen näkemyksen mukaan tieteellisen tutkimuksen käsittelyperusteena tulisi voida soveltaa tietosuoja-asetuksen 6.1 e) kohdan mukaista käsittelyperustetta. Näin ollen voitaisiin tulkita, että artiklan 6.3 edellyttämä oikeasuhtaisuus täyttyisi, sillä ammattikorkeakoulujen tutkimus/TKI- toiminta on tieteellistä tutkimusta, jossa ammattikorkeakoulujen tehtävien 4§ (2014/932) mukaisesti noudatetaan eettisiä periaatteita ja hyvää tieteellistä käytäntöä. Se mitä eettisillä periaatteilla ja hyvällä tieteellisellä käytännöllä tarkoitetaan täsmentyy Tutkimuseettisen neuvottelukunnan (TENK ) ohjeistuksessa. Tutkimuseettinen neuvottelukunta on perustettu asetuksella tutkimuseettisestä neuvottelukunnasta (1347/1991). TENK ohjeistukseen kaikki ammattikorkeakoulut ja yliopistot ovat sitoutuneet velvoittavilla sopimuksilla. Jos kuitenkin katsottaisiin, että yliopistojen tai ammattikorkeakoulujen tutkimuksen yhteydessä tapahtuvan henkilötietojen käsittelyyn joltain osalta tarvitaan tietosuojalain tarkentava käsittelyn oikeusperuste, toimisi Ruotsin mm. kaltainen säädös myös tässä, koska säädöksen esimerkkiluettelo oikeushenkilöistä sisältää muut oikeushenkilöt. Arenen näkemyksen mukaan, myös muiden rekisterinpitäjien kuin ammattikorkeakoulujen ja yliopistojen osalta on tarkempi käsittelyperusteen säätäminen perusteltua. Korkeakoulut suorittavat tutkimustehtäväänsä yhteistyössä mm. ministeriöiden, kuntien, maakuntien ja yritysten sekä erilaisten säätiöiden ja järjestöjen kanssa. Tietosuoja-asetuksessa on tieteellinen tutkimus määritelty laajasti, ja kansallisen tietosuojalain olisi Suomen tiede- ja tutkimuspolitiikan ja avoimen datapolitiikan mukaisesti tuettava tietosuoja-asetuksen määrittelemää laajaa tieteellisen tutkimuksen käsitettä. Tälläisen tutkimuksen edellytyksenä on myös muiden kuin korkeakoulujen mahdollisuus tutkimusdatan käsittelyyn.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus pitää 3 §:n 1 momentin 2 kohdan oikeusperustetta varsin laajana. Pykäläehdotuksen yksityiskohtaisissa perusteluissa on tarkennettu, että lainkohtaa voitaisiin soveltaa esimerkiksi viranomaisen suunnittelu- ja selvitystehtäviä varten, tieteelliseen tutkimukseen tai yleisen edun mukaiseen arkistointitarkoitukseen. Näillä perusteilla voi Väestörekisterikeskuksen käsityksen mukaan kuitenkin olla paljon toimijoita, jotka teoriassa voisivat katsoa käsittelevänsä tietoa yleistä etua koskevassa tehtävässä. Ottaen huomioon tietosuoja-asetuksen rekisterinpitäjälle asettaman korostetun huolellisuusvelvoitteen, on rekisterinpitäjällä itsellään viime kädessä vastuu siitä, että se on tulkinnut käsittelyn oikeusperustetta oikein. Kyseinen pykälä tai sen perustelut eivät anna juurikaan suuntaviivoja siitä, minkälaisessa tilanteessa edellytykset täyttyvät. Väestörekisterikeskuksen näkökulmasta tämä johtaa joko siihen, että sen on kyseenalaistamatta luotettava asiakkaansa arvioon tämän käsittelyn oikeusperustasta tai siihen, että sen on itse tehtävä jonkinlainen arvio käsittelyn asiallisuudesta lupamenettelyn yhteydessä. Väestörekisterikeskus katsoo myös, että lainkohdan perusteluista olisi hyvä käydä ilmi, onko kyse tyhjentävästä 6 artiklan 1 kohdan e alakohdan kansallisesta implementoinnista, vai voidaanko eri sektoreilla säätää tarkemmin käsittelyn perustasta, joka pohjautuu yleiseen etuun tai julkisen vallan käyttämiseen. Koska rekisteröidyn oikeuden laajuus riippuu käsittelyn oikeusperusteesta, olisi tärkeää edellä sanotun lisäksi täsmentää sitä, milloin käsittelyperusteessa on kyse julkisen vallan käyttämisestä kansallisen tietosuojalain nojalla ja toisaalta milloin käsittelyn on katsottava olevan lakiperusteista. Tämä saattaa Väestörekisterikeskuksen näkökulmasta aktualisoitua tilanteissa, joissa virastolle on kansallisessa lainsäädännössä annettu valtuutus hoitaa tiettyä tehtävää, mutta tehtävän suorittamista ei ole säädetty pakolliseksi. Täsmennykset voidaan jättää myös erityislainsäädännössä tehtäväksi.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Käsittelyn lainmukaisuutta koskeva 3 § perustuu yleisen tietosuoja-asetuksen 6 artiklaan, jonka 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä tässä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely muun muassa muissa erityisissä käsittelytilanteissa siten kuin IX luvussa säädetään. Ulkoasiainministeriö pitää ehdotettua säännöstä tarkoituksenmukaisena ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallituksen mielestä ehdotettu säännös täydentää ja siten osaltaan selkeyttää asetuksen 6 artiklan 1 kohdan säännöksiä. Kirkkohallitus pitää mahdollisena, että asetuksen käytännön soveltamisen kautta nähdään myös muita tarpeita täydentää 6 artiklaa.
      • Yleiset kommentit erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Henkilötietolain kumoamisen yhteydessä tietosuojalautakunnan myöntämät luvat mm. rikostuomioita tai rikkomuksia koskevan tiedon käsittelemiseksi lakkaavat. Elinkeinoelämän kannalta on erittäin tärkeätä, että tietosuojalautakunnan myöntämiin lupiin perustuva käsittely voi jatkua tietosuoja-asetuksen soveltamisen alkaessa. TATTI-työryhmän mietinnössä on nostettu esiin tarve säätää lupien kattamasta käsittelystä erityislaeissa. Jotta ylimenovaihe ei aiheuta ongelmia yrityksille, on tärkeää että erityislakien vastuuministeriöt ryhtyvät välittömästi toimimaan soveltuvien lakien uudistamiseksi. Toimiva ratkaisu voisi myös olla erityislakien lupia koskevien pykälien ottaminen liitteeksi yleislakiin, jolloin varmistettaisiin saumaton toiminta tietosuojalainsäädännön muuttuessa.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen 10 artikla edellyttää, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely tapahtuu joko viranomaisen valvonnassa tai käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Asianmukaisista suojatoimista on säädetty esimerkiksi laissa liiketoimintakiellosta (1059/1985) 21 §:ssä. Ehdotetun tietosuojalain 2:6 §:n alakohdan 1 muotoilu (käsittely tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi) on epäselvä sen osalta, kattaako se käsittelyn, joka on välttämätöntä lakisääteisen selvitys- tai tarkastusvelvollisuuden täyttämiseksi (kysymys onko siinä tilanteessa käsillä oikeusvaade vai ei). 6 §:n ei tulisi johtaa siihen, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittelylle asetetaan tietosuojalaissa tiukempia ehtoja kuin mitä tietosuoja-asetuksen 10 artiklassa ja selvitys- tai tarkastusvelvollisuuden asettavassa erityislaissa edellytetään. Esimerkiksi tilaajavastuulain (1233/2006) 9 §:n mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on tehnyt sopimuksen tilaajavastuulaissa tarkoitetusta työstä liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Tilaaja voi hakea yksittäisen henkilön osalta tiedon suoraan otteella liiketoimintakieltorekisteristä oikeusrekisterikeskuksesta tai hankkia tiedon sellaisesta yritystietopalvelusta, joka on hakenut tiedot suoraan tai toisen yritystietopalvelun kautta liiketoimintakieltorekisteristä. Jos esimerkiksi rakennusalalla toimiva tilaaja tekee vuosittain tilauksia sadoilta tai tuhansilta yrityksiltä, tuhansien – kymmenien tuhansien yksittäisten henkilöiden tietojen kysely suoraan oikeusrekisterikeskukselta tulee kohtuuttoman kalliiksi ja hankalaksi ja ainoa toimiva vaihtoehto on liiketoimintakiellon olemassaolon tarkistus sähköisessä muodossa olevia rekistereitä käyttäen (käytännössä kaupalliset yritystietopalvelut). Yritystietopalvelussa pidetään saatavilla tiedot kaikista voimassaolevista liiketoimintakielloista ja tiedon keräämisen hetkellä ei vielä ole tietoa, onko kenelläkään tulevalla asiakkaalla tarvetta käsitellä tietoa oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Tällöin palveluntarjoaja käsittelee tietoja ennen kuin on olemassa mahdollisia tulevia oikeusvaateita, joita vastaan palveluntarjoajan asiakkaana oleva tilaaja puolustautuu. Palvelu voi olla myös toteutettu siten, että tilaaja ei koskaan saa tietoa yksittäisten henkilöiden liiketoimintakiellon olemassaolosta tai sisällöstä, vaan ainoastaan tarvitsemansa tiedon, onko tilaajan sopimuskumppanin kaupparekisteriin merkityillä vastuuhenkilöillä voimassa liiketoimintakieltoa vai ei. Tilaajalle ei silloin synny omaa rekisteriä liiketoimintakieltotiedoista. Jos lakisääteinen selvitys- tai tarkastusvelvollisuus itsessään ei ole aina ”oikeusvaade”, tällaisen velvollisuuden vuoksi tapahtuva käsittely olisi hyvä huomioida omana kohtanaan samalla tavalla kuin vakuutusyhtiöiden käsittelytarpeet on huomioitu. Lakisääteisten selvitys- ja tarkastusvelvollisuuksien vuoksi tapahtuvan käsittelyn osalta riittävä vaatimus olisi, että käsittely on tarpeen laissa asetetun selvitys- tai tarkastusvelvollisuuden täyttämiseksi ja tapahtuu laissa asetettujen määräysten mukaisesti. Käsittelyä ei pidä rajata rekisterinpitäjää koskevan lakisääteisen selvitysvelvollisuuden täyttämiseksi tarvittavaan käsittelyyn, koska taho, jolla on lakisääteinen selvitysvelvollisuus ja rekisterinpitäjä on usein eri henkilö.
      • Puolustusministeriö
        Päivitetty:
        8.9.2017
        • Uuden tietosuojalain luonnoksen 2 luvun rikostuomioihin ja rikkomuksiin liittyvää käsittelyä koskevassa 6 §:ssä tarkennettaisiin asetuksen 10 artiklan mukaisia käsittelyperusteita. Lain 6 §:n 1 momentin 1 kohdassa säädettäisiin, että rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Säännöksen tarkoituksena olisi pysyttää oikeustila nykyisen henkilötietolain 11 ja 12 §:ssä säädetyn kaltaisena. Pykälissä säädetään rikollisiin tekoihin liittyvien tietojen käsittelyn arkaluontoisuudesta sekä nimenomaisesta poikkeuksesta kieltoon käsitellä kyseisiä tietoja oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Uuden tietosuojalain 6 §:n 1 momentin 1 kohta on tärkeä säännös. Selvyyden vuoksi olisi kuitenkin hyvä säätää myös siitä, miten kyseisiä tietoja voi käsitellä silloin, kun on kyse henkilöstöalan kannalta tarpeellisesta tietojen käsittelystä, kuten käsittelystä vir-kamiesoikeudellisia toimenpiteitä harkittaessa. Asetus antaa toki jo 10 artiklan perus-teella oikeuden asetuksen 6 artiklan 1 kohdan mukaisiin käsittelyperusteisiin, mikäli kä-sittely suoritetaan viranomaisen valvonnassa. Jos henkilöstöalan kannalta tarpeellinen henkilötietojen käsittely viranomaisen toiminnassa sisältyy edellä mainittuun asetuksen pääsääntöön, asia on ongelmaton. Yleisen tietosuoja-asetuksen ja ehdotetun tie-tosuojalain muotoiluista ei kuitenkaan täysin selviä, millä perusteella rikostuomioihin liittyviä henkilötietoja voi käsitellä. Tämä on etenkin henkilöstöalan kannalta tärkeä ky-symys, koska kyseisten tietojen käsittely on useissa tilanteissa välttämätöntä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Yhdymme tämän osalta Ficomin kantaan.
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • FiCom pitää tärkeänä, että tietosuojalautakunnan teleyrityksille antamat luvat väärinkäytös- ja viivästystietojen rekisteröimisestä otetaan hallituksen esityksen valmistelussa huomioon siinä missä esimerkiksi vakuutusalankin tarpeet. Teleliittymä on välttämättömyyshyödyke, jonka saatavuus kaikille on erikseen turvattu. Näin ollen myös palveluja tarjoavien yritysten selkeä ja kestävä mahdollisuus suojautua väärinkäytöksiltä tulee taata siirryttäessä soveltamaan yleistä tietosuoja-asetusta ilman katkoksia. Tämä tulee tehdä lisäämällä tietosuojalain kanssa samassa yhteydessä käsittelyoikeuden antava säännös joko tietosuojalakiin tai tietoyhteiskuntakaareen (917/2014). Pykäläehdotus: xx § Teleyrityksen oikeus käsitellä henkilötietoja väärinkäytöstapauksissa Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta teleyrityksen käsitellessä viestintäpalvelujen tarjoamisesta tehtävän sopimuksen yhteydessä tietoja, jotka liittyvät viestintäpalveluiden väärinkäyttöön, kun teleyritys on asianomistaja, identiteettivarkauksien ehkäisemiseen sekä maksuviivästyksiin. Teleyritys saa luovuttaa 1 momentissa tarkoitettuja tietoja myös muille teleyrityksille. Perustelu: xx §. Lakiin ehdotetaan lisättäväksi säännös teleyritysten oikeudesta käsitellä arkaluonteisia henkilötietoja tietyissä tapauksissa. Säännös olisi uusi. Säännös on tarpeen lisätä lakiin, kun asiasta teleyrityksille annettu tietosuojalautakunnan lupa kumoutuu yleisen tietosuoja-asetuksen tullessa voimaan. Säännöksen 1 momentin tarkoitus on antaa teleyrityksille selkeä oikeusperuste väärinkäytöstietojen käsittelyyn sellaisissa tilanteissa, joissa sopimusta tehtäessä teleyritykselle pyritään aiheuttamaan vahinkoa maksuvälinepetoksen, petoksen, oikeudettoman käytön kautta tai maksullista palvelunumeroa väärinkäyttämällä. Pykälän 1 momentti antaisi myös operaattoreille oikeuden käsitellä tietoja, jotka liittyvät rikoslain 38 luvun 9 a §:ssä tarkoitettua identiteettivarkautta hyödyntämällä oikeudettomasti saadun identiteetin käyttämisen ehkäisemiseen. Lisäksi pykälä antaisi oikeuden käsitellä tietoja maksuviivästyksistä sellaisten tilanteiden ehkäisemiseksi, joissa viestintäpalvelusopimus pyrittäisiin tekemään sopijapuolen maksukyvyttömyys salaten ja niin että on perusteltu syy epäillä, ettei sopijapuolen tarkoituksena ole maksaa liittymän käytöstä aiheutuneita maksuja. Pykälän 2 momentin mukaan teleyrityksillä olisi oikeus luovuttaa tietoja myös toisille teleyrityksille. Tämä on tarpeen, jotta väärinkäytökset voidaan tehokkaasti estää. Ehdotetussa pykälässä tarkoitettujen tietojen käsittelyyn sovellettaisiin muutoin yleistä tietosuoja-asetusta.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kelan näkemyksen mukaan 5 § ja 6 §:n ottaminen yleislakiin on perusteltua. Vakuutuslaitoksia koskeva erityissääntely tarpeellinen nykyisen henkilötietolain tapaan.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että erityisiä tietoryhmiä ja rikostuomioita ja rikkomuksia koskevia poikkeuksia tullaan tarvitsemaan useammalla sektorilla kuin työryhmä on mietinnössä tunnistanut. Tämän vuoksi Nokia katsoo, että jatkovalmistelussa olisi syytä tarkentaa, säädelläänkö näistä tietoryhmistä tyhjentävästi uudessa tietosuojalaissa vai onko sääntelyä edelleen myös sektorikohtaisessa lainsäädännössä.
      • Open Knowledge Finland
        Päivitetty:
        8.9.2017
        • Open Knowledge Finland katsoo, että kansalaisilla on oltava oikeus merkitykselliseen tietoon esimerkiksi päättäjien tai luottamistehtäviin hakevien ehdokkaiden rikostaustaa koskien.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Rikostuomioita ja rikkomuksia koskevassa 6 §:ssä säädetään siitä, että niihin liittyviä henkilötietoja saa käsitellä, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi tai vakuutuslaitos edellä 5 §:ssä mainitussa tarkoituksessa. Tietosuoja-asetuksen 10 artiklan mukaan näiden henkilötietojen käsittely on sallittua, kun se sallitaan jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi. Esitetyssä tietosuojalaissa ei ole säännöstä näistä asianmukaisista suojatoimista. Tietosuojalakiesitystä tulisi täsmentää tältä osin. Lain kohtaa täsmentäisi toteamus siitä, että näitä tietoja saa käsitellä niin rekisterinpitäjän kuin kolmannenkin oikeusvaateen laatimiseksi, esittämiseksi, puolustamiksi tai ratkaisemiseksi, koska julkisyhteisöt joutuvat usein käsittelemään rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja kolmannen edun vuoksi.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa erityisiä henkilötietoryhmiä koskevasta 5 §:stä ja rikostuomioita ja rikkomuksia koskevasta 6 §:stä.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Taidemuseoiden toiminnan kannalta on myös olennaista käyttää asetuksen suoma liikkumavara erityisryhmien henkilötietojen käsittelemiseen. Museoissa, siinä luvussa myös taidemuseoissa on paljon dokumentaatiota, jossa esiintyy saamelaisia, maahanmuuttajia, vammaisia, sukupuoli- ja seksuaalisia vähemmistöjä. Taiteen historia on myös heidän historiaansa.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 5 §. Erityisiä henkilötietoryhmiä koskeva käsittely Ehdotetun säännöksen mukaan ”Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi.” Kun potilastietoja käsitellään vakuutuslaitoksen korvausvastuun selvittämiseksi, tietojen käyttötarkoitus alkuperäinen muuttuu. Jos henkilötietojen käsittely on yhteensopimatonta alkuperäisen käsittelyn tarkoituksen kanssa, tietosuoja-asetuksen 6 artiklan 4 kohdan perusteella henkilötietojen käsittelyn on tällöin perustuttava joko rekisteröidyn suostumukseen taikka unionin oikeuteen tai jäsenvaltion lainsäädäntöön. Lainsäädännön on muodostettava demokraattisessa yhteiskunnassa välttämätön ja oikeasuhtainen toimenpide 23 artiklan 1 kohdassa tarkoitettujen tavoitteiden turvaamiseksi. Tietosuoja-asetuksen 6 artiklan 4 kohtaan ja 23 artiklaan perustuvaa anylyysiä ei ole tehty nyt ehdotetun sääntelyn osalta, joten näiltä osin esitystä on syytä täydentää. Tietosuoja-asetuksen 9 artiklan 2 kohdan b ja g alakohdassa edellytetään, että säädetään asianmukaisista ja erityisistä toimenpiteistä rekisteröidyn perusoikeuksien ja etujen turvaamiseksi. Lainsäätäjän on pystyttävä osoittamaan, mitkä nimenomaiset säännökset suojaavat rekisteröityä, eikä pelkkä erityissääntelyn olemassaolo vielä sellaisenaan täytä tietosuoja-asetuksen vaatimuksia. Nyt ehdotetun säännöksen perusteluissa on mainittu lukuisia erityislakeja, mutta ehdotuksessa ei olla osoitettu, mitkä kyseisten lakien säännöksistä ovat sellaisia, joita voidaan tosiasiallisesti pitää tietosuoja-asetuksen mukaisina suojasäännöksinä. Näin ollen pelkästään säännös, jossa oikeutetaan henkilötietojen käsittely, ei vielä ole tietosuoja-asetuksessa tarkoitettu riittävä tai tehokas suojatoimenpide, kun otetaan huomioon kaikki tietosuojaperiaatteet ja tietosuoja-asetuksen sääntely kokonaisuudessaan. Ehdotuksen 5 §:ä koskevien yksityiskohtaisten perustelujen (s. 143) mukaan ”Vakuutuslaitokset saisivat käsitellä pykälässä tarkoitettuja tietoa ainoastaan sen ollessa tarpeellista vakuutuslaitoksen vastuun selvittämisen kannalta. Ehdotettua säännöstä voidaan pitää siten oikeasuhtaisena.” Koska tietosuoja-asetuksen 5 artiklassa jo säädetään tietojen minimoinnin periaatteesta, perustelu ei tosiasiassa tuo oikeasuhtaisuusarvioon mitään sisältöä, vaan oikeasuhtaisuusarvio näyttää jääneen tekemättä. Erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn oikeusperusteet muilta osin Henkilötietolain kumoamisesta ja tietosuoja-asetuksen 9 artiklan vaatimista täytäntöönpanotoimenpiteistä johtuen, ei kansallisesti ole voimassa yleistä lainsäädäntöä, jonka nojalla erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voitaisiin käsitellä henkilötietolain 12.1 §:n 5 kohtaa (käsittely, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä), 9 kohtaa (ammattiliittoon kuulumista koskevan tiedon käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla) sekä 13 kohtaa (tietosuojalautakunnan lupa) vastaaviin tarkoituksiin. Nyt lausunnon kohteena olevassa esityksessä ei tarkemmin avata, mitä nyt ehdotetusta muutoksesta seuraa sellaisten käsittelyperusteiden osalta, jotka ovat nyt poistumassa. Mietintöön liitetyssä liikkumavarataulukossa on arvioitu, että ”Yleisen tietosuoja-asetuksen 9 artikla sisältää merkittävää kansallista liikkumavaraa 2 (b), (g)), (h), (i) ja (j) alakohdissa, joka mahdollistaa sektorikohtaisen erityislainsäädännön erityisten henkilötietoryhmien (ns. arkaluonteisten tietojen) osalta.” Tietosuoja-asetuksen 9 artiklan 2 kohdan kansallista liikkumavaraa sisältävissä säännöissä kuitenkin säädetään ”unionin oikeudesta tai jäsenvaltion lainsäädännöstä”. Tietosuoja-asetus ei vaikuta rajoittavan käsittelyperusteista säätämistä erityislakiin, vaan se voi tapahtua myös yleislaissa, silloin kun tietosuoja-asetuksen muut reunaehdot huomioidaan asianmukaisesti ja säädetään asianmukaisista suojatoimista. Tätä taustaa vasten jää epäselväksi, mihin perustuu työryhmän näkemys siitä, että erityisiä henkilötietoryhmiä voitaisiin käsitellä näiltä osin vain sektorikohtaiseen lainsäädäntöön perustuen? Toisaalta vakuutustoiminnan osalta käsittelyperusteen sisällyttäminen yleislakiin on nähty mahdollisena. Linja erityisten henkilötietoryhmien käsittelyperusteista säätämisen suhteen ei näytä johdonmukaiselta. Vakuutusyhtiöiden lisäksi erityisiä henkilötietoryhmiä koskevia tietoja käsitellään myös jatkossa muun muassa perimistoiminnassa, pankeissa, ulosotossa, sosiaalihuollossa, opetustoimessa ja terveydenhuollossa. Ehdotuksen jatkovalmistelun ja muun henkilötietojen suojaa koskevan lainsäädännön läpikäynnin yhteydessä on selvitettävä, mihin 9 artiklan alakohtaan edellä mainittujen erityisten henkilötietoryhmien käsittelytilanteet jatkossa perustuvat (käsittelyn oikeusperuste), ja onko suojatoimia lisättävä nyt säädettävään lakiin tai erityislakeihin. 6 §. Rikostuomioihin ja rikkomuksiin liittyvä käsittely Ehdotuksen 6 §:n 1 momentin 1 kohdassa säädettään oikeudesta käsitellä rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Kohdassa vaikuttaa olevan kirjoitusvirhe, sillä siitä puuttuu on -sana. Ehdotuksen 6 §:n 1 momentin 2 kohdan perusteella vakuutuslaitos voi käsitellä näitä tietoja ehdotuksen 5 §:ssä mainitussa tarkoituksessa. Säännöksen mukaan käsittely on mahdollista oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi. Tällaisia 10 artiklan mukaisia tietoja voi kertyä esimerkiksi tavaratalossa olevan kameravalvonnan kautta, tai yleisellä alueella olevan kameravalvonnan kautta, ja henkilötietojen käsittely on tällöin tarpeen jo ennen, kuin edes päätetään oikeusvaateen laatimisesta. Lisäksi sovinto on tällaisissa tilanteissa mahdollinen, eikä käsittely johda missään vaiheessa oikeusvaateeseen, joten säännöstä olisi syytä muotoilla toisin siten, että se kattaisi myös rikkomuksen selvittämiseen liittyvän käsittelyn. Vastaavia käsittelytilanteita myös moneen muuhun toimintaan kuten tekijänoikeusrikkomusten selvittämiseen. Niiltä kuin tässä yhteydessä säädetään oikeudesta käsitellä 10 artiklassa tarkoitettuja henkilötietoja muussa kuin alkuperäisessä käyttötarkoituksessa, tulisi käyttötarkoitussidonnaisuuden muutoksen johdosta tehdä analyysi tietosuoja-asetuksen 6 artiklan 4 kohdan ja 23 artiklan 1 kohdan mukaisesti (vrt. ehdotuksen 5 §:n arviointi). Ehdotettu sääntely ei sisällä tietosuoja-asetuksen 10 artiklassa vaadittuja suojasäännöksiä. Tämä on otettava huomioon ehdotuksen jatkovalmistelussa. Rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittelyn oikeusperusteet muilta osin Tietosuoja-asetuksen 10 artiklan täsmentämisen yhteydessä on huomioitava, että rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja voidaan käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan perusteella vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien tai vapauksien suojelemiseksi. Rikostuomioiden ja rikkomuksiin liittyvien henkilötietojen käsittely voi eräiltä osin tapahtua tietosuoja-asetuksen 10 artiklan perusteella (silloin, kun se tapahtuu viranomaisen valvonnassa 6 artiklan 1 kohdan perusteella), poliisidirektiivin implementoinnista seuraavan kansallisen lain nojalla sekä niiltä osin, kuin siitä erikseen tietosuojalaissa tai kansallisessa erityislaissa säädetään, tulisi pyrkiä selkeämmin hahmottamaan, miltä osin tällaisille tiedoille on jo olemassa käsittelyperusteet ja miltä osin nyt tarpeen säätää erikseen tietosuojalaissa. Ehdotuksessa säädettyjen tilanteiden lisäksi rikostuomioihin ja rikkomuksiin liittyviä henkilötietoja käsitellään myös jatkossa muun muassa perimistoiminnassa, pankeissa, ulosotossa, sosiaalihuollossa, opetustoimessa ja terveydenhuollossa. Nyt ehdotettu käsittelysäännös ei ole tarpeeksi kattava, kun huomioidaan käytännön käsittelytarpeet. Koska tietosuoja-asetuksen 10 artiklan mukaan kattavaa rikosrekisteriä pidetään vain julkisen viranomaisen valvonnassa, voi olla tarpeen tarkistaa nykyistä sääntelyä oikeuspoliittisen tutkimuskeskuksen osalta.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommenttia.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Mietinnössä todetaan, että on tarpeellista täsmentää erityisten henkilöryhmien käsittelyä koskevia käsittelytilanteita vakuutuslaitosten vakuutustoiminnassa saatujen tietojen osalta, jotta nykytila voi säilyä. Henkilötietolain 12 §:n 11-kohdan oikeustilan säilyttäminen on tärkeätä eläkevakuuttajille ja olemme tyytyväisiä tähän kirjaukseen.
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • Kuopion museokeskus odottaa selkeää tulkintaa siitä, mitä oikeuksia ja mahdollisia rajoituksia museoilla on lakiehdotuksessa mainittujen ”erityisten henkilötietojen” (nykylainsäädännön tarkoittamien arkaluonteisten tietojen) käsittelyssä. Kuopion museokeskuksen museoiden kokoelmissa on aineistoja esimerkiksi romaneista, maahanmuuttajista ja vammaisista sekä sukupuoli- ja seksuaalivähemmistöistä. Jos lakia tulkitaan tiukimman mukaan, myös suomalaisuus on etninen eli arkaluonteinen tieto.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Viestintävirasto pitää tarpeellisena, että henkilötietolain tapaan säädettäisiin jatkossakin oikeudesta käsitellä henkilötietoja, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • PRH rekisteröi liiketoimintakiellosta annetun lain 21 b §:n mukaisesti rikostuomion yhteydessä annetut liiketoimintakiellot kaupparekisteriin ao. henkilön tietoihin. PRH:n näkemyksen mukaan on tulkinnanvaraista, mahdollistaako nyt ehdotettu 6 § jatkossakin liiketoimintakieltojen käsittelyn. Mietinnössä ei näyttäisi olevan lainkaan perusteluja sille, miksi kansallisessa lainsäädännössä ylipäänsä rajoitettaisiin asetuksen 10 artiklan tarkoittamien tietojen käsittely vain "oikeusvaateen toteuttamiseen tai vakuutuslaitokseen". PRH pitää selkeämpänä, että tältä osin noudatettaisiin tietosuoja-asetuksen 10 artiklaan, jossa todetaan näiden tietojen käsittelystä seuraavaa: "Rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyvien henkilötietojen käsittely 6 artiklan 1 kohdan perusteella suoritetaan vain viranomaisen valvonnassa tai silloin, kun se sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä, jossa säädetään asianmukaisista suojatoimista rekisteröidyn oikeuksien ja vapauksien suojelemiseksi."
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Erityisiä henkilötietoryhmiä koskevaa sitovaa sääntelyä on tietosuoja-asetuksessa, esitetyssä tietosuojalaissa sekä erityslaeissa. Esitetyn tietosuojalain erityisiä henkilötietoryhmiä koskeva sääntely on verrattain suppea, mikä johtaa lisääntyvän erityislainsäädännön tarpeeseen. Kuntaliiton näkemyksen mukaan olisi perusteltua laajentaa tietosuojalain erityisiä henkilötietoryhmiä koskevaa sääntelyä ja yleislaissa avata erityisten henkilötietojen käsittelyperusteita laajemmin. Jos erityisien henkilötietojen käsittelyn osalta turvataan laajasti erityislainsäädännössä oleviin käsittelyperusteisiin on ensinnäkin vaarana, että tärkeitä käsittelytoimia jää käsittelyperusteiden ulkopuolelle. Lisäksi on ilmeinen ylisääntelyn vaara.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • On hyvin tärkeää suojata ns. arkaluonteiset tiedot riitävän kattavasti. Samalla tulisi kuitenkin turvata kansallisten kultturiperintöorgansiaatioiden mahdollisuus kerätä, tallentaa ja julkaista myös muiden kuin valtaväestöön kuuluvien yksityisten ihmisten historiaa. Muutoin kultuturihistoriallinen aineisto köyhtyy. Tältä osin yhdymme arkistosektorin lausunnoissaan esittämään.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Kuten mietinnössä todetaan, henkilötietolain 12 §:n 11 kohdan oikeustilan pysyttäminen on tärkeätä vakuutusalan toimijoille. Mietinnössä ehdotetut tietosuojalain 5 ja 6 §:t toteuttavat tämän tavoitteen asianmukaisesti. On kuitenkin huomattava, että myös muut toimijat kuin vakuutuslaitokset toteuttavat rikostuomioihin ja rikkomuksiin liittyvää henkilötietojen käsittelyä taloudellisten etujensa turvaamiseksi. Esimerkiksi teleoperaattorit ja luottolaitokset käsittelevät rikoksia, rikkomuksia ja niiden kaltaisia väärinkäytöstietoja oman toimintansa yhteydessä ehkäistäkseen ja katkaistakseen alan toimijoihin suunnattuja rikoksia sekä lisätäkseen rikosten tekijöiden kiinnijäämisriskiä. Em. käsittely perustuu henkilötietolain nojalla myönnettyihin tietosuojalautakunnan lupiin, jotka lakkaavat, kun henkilötietolaki kumotaan tietosuojalain säätämisen yhteydessä. Jotta käsittely voi jatkua tietosuoja-asetuksen ja tietosuojalain tullessa voimaan, on erittäin tärkeätä, että lupien kattamasta käsittelystä säädetään erityislainsäädännössä (vakuutusyhtiölaki, laki luottolaitostoiminnasta, tietoyhteiskuntakaari) ja nämä muutokset toteutetaan yhtäaikaisesti tietosuojalain säätämisen kanssa. Tämä edellyttää asiaa koskevan valmistelun kiirehtimistä ao. vastuuministeriöissä yhteistyössä oikeusmi-nisteriön kanssa.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole erityistä lausuttavaa kohtaan. Suomen Asiakastieto Oy pitää tärkeänä, että sektoriministeriöt ryhtyvät välittömästi vaadittavaan lainsäädäntötyöhön, jotta Tietosuojalautakunnan lupien varassa suoritettava käsittely esim. pankkien- ja vakuutusyhtiöiden väärinkäytösrekistereiden osalta voisi jatkua sellaisenaan. Tilanne, jossa näiden tietojen käsittely tulisi lopettaa lainsäädännön puuttumisen takia ei ole hyväksyttävissä.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP pitää erittäin kannatettavana työryhmän esitystä siitä, että vakuutusyhtiöiden harjoittamaa voimassa olevaan henkilötietolakiin perustuvaa käytäntöä on mahdollista jatkaa. Vakuutusliiketoiminnan kannalta on ensiarvoisen tärkeää, että arkaluonteisten tietojen kuten terveydentilatietojen ja rikostuomioihin liittyvien tietojen, käsittelyä voidaan jatkaa vakuutustoiminnassa kuten nykyisin. OP:n käsityksen mukaan riittävä vaikutustenarviointi on tehty jo osana kansallista lainsäädäntömenettelyä, eikä erityistä pakollista 35 artiklan mukaista vaikutuksenarviointi-menettelyä ole siten enää tarpeen liittää tämän käsittelyperusteen yhteyteen (vrt. s. 56 taulukon ehdotus ”Voitaisiin harkita myös vakuutusyhtiöiden osalta suojatoimena”). Kuten 5 pykälää koskevissa yksityiskohtaisissa perusteluissa on tuotu hyvin esille, vakuutustoiminta on yksityiskohtaisesti säänneltyä ja luvanvaraista toimintaa, jolloin rekisteröityjen oikeudet tulevat riittävästi suojatuksi.
      • Finanssiala ry, Suopelto Kirsi
        Päivitetty:
        7.9.2017
        • Vakuutetun ja korvauksenhakijan terveydentilaa koskevien tietojen sekä rikostuomioita ja rikkomuksia koskevien tietojen käsittely olisi edelleen mahdollista ehdotetun tietosuojalain 5 §:n ja 6 §:n mukaisesti. Kyseisten tietojen käsittely ja arviointi on vakuutustoiminnan keskiössä. FA pitää nykyisen oikeustilan jatkumista erinomaisen tärkeänä.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Säädökset eivät vaikuta SJL:n jäsenten toimintaan, joten ei kommentoitavaa.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ehdotettu 5 ja 6 § sisältävät erityissäännökset tapauksista, joissa on mahdollista käsitellä erityisiä henkilötietoja. Väestörekisterikeskus kiinnittää huomiota siihen, että yleinen tietosuojalaki on yleislaki, joka sisältää ehdotetussa muodossaan kaksi erityisiä henkilötietoryhmiä koskevaa poikkeusta: vakuutuslaitoksille 5 §:ssä ja yleisemmin tieteelliseen tai historialliseen tutkimukseen sekä tilastointiin 32 §:ssä. Väestörekisterikeskus ymmärtää työryhmän tavoitteen säilyttää nykytila mahdollisilta osin ja varmistaa, että henkilötietolain kumoaminen ei jätä sääntelyyn aukkoja. Kun erityisiä henkilötietoryhmiä koskevia poikkeuksia tullaan todennäköisesti tarvitsemaan useammilla sektoreilla, on kuitenkin epäloogista, että vakuutustoimintaa koskeva pykälä on nyt yksinään sijoitettu yleislakiin. Tässä suhteessa työryhmältä toivottaisiin myös sen vahvistamista, että asetuksen 9 artiklan 2 kohdan g alakohdan mukaisista poikkeuksista tai rikostuomioihin ja rikkomuksiin liittyvien tietojen käsittelystä 10 artiklan mukaisesti ei tyhjentävästi säädetä yleislaissa, vaan sektorikohtainen sääntely on mahdollista. Mikäli 5 §:n ei ole tarkoitus koota useampia poikkeuksia, Väestörekisterikeskus ehdottaa lisäksi, että 5 §:n otsikkoa muutettaisiin vastaamaan sen erityisluonnetta, esimerkiksi ”Erityisiä henkilötietoryhmiä koskeva käsittely vakuutuslaitoksessa”. Laajasti suomalaisessa yhteiskunnassa käsiteltävät erityiset henkilötiedot Väestörekisterikeskus tuo lisäksi esiin huolensa siitä, että tietosuoja-asetuksen 9 artikla asettaa tarkemmat vaatimukset kansallisille poikkeuksille erityisten henkilötietojen käsittelykieltoon. Erityisesti Väestörekisterikeskus toivoo, että TATTI-työryhmän koordinointitehtävän yhteydessä voitaisiin tarkistaa tietosuoja-asetuksen vaikutukset sellaisiin tietoryhmiin, joita käsitellään laajalti suomalaisessa yhteiskunnassa ja erityisesti kansallisissa perusrekistereissä, ja tuoda tällaisen tarkastelun lopputulokset yleiseen tietoisuuteen. Esimerkkinä Väestörekisterikeskus pitää edunvalvontaa koskevia tietoja. Väestörekisterikeskus on omassa toiminnassaan katsonut, että edunvalvontatieto, mukaan lukien tieto toimintakelpoisuuden rajoittamisesta toimintakyvyn heikentymisen perusteella, ei ilmennä tietoa henkilön terveydentilasta tavalla, joka edellyttäisi erityistä perustetta tiedon käsittelylle. Väestörekisterikeskus pitää kuitenkin mahdollisena, että eri viranomaiset ja toimijat voivat päätyä tulkinnassaan erilaisiin lopputuloksiin. Mikäli tieto katsottaisiin erityiseksi, Väestörekisterikeskus ei pidä itsestään selvänä, että holhoustoimesta annetun lain (442/1999) 67 § täyttää asetuksen 9 artiklan g kohdan edellytykset ja mahdollistaa edunvalvontatiedon välittämisen esimerkiksi väestötietojärjestelmästä. Edunvalvontatietoa hyödynnetään laajasti suomalaisessa yhteiskunnassa ja esimerkiksi väestötietojärjestelmästä luovutetaan tietoa edunvalvonnasta monille toimijoille. Väestörekisterikeskus pitäisi suotavana, että edunvalvontatiedon, ja mahdollisesti muiden suomalaiselle yhteiskunnalle keskeisten tietoryhmien asemaa tulkittaisiin keskitetysti.
      • Rakli
        Päivitetty:
        1.9.2017
        • RAKLI katsoo, että jatkovalmistelussa tulee valmistella nyt lausunnolla olevassa esityksessä huomiotta jääneet seikat. Ehdotuksesta puuttuu säännökset henkilötietojen käsittelyn oikeusperusteesta useissa tapauksissa, joihin erityislainsäädäntö velvoittaa. Yritysten on noudatettava muun muassa harmaan talouden torjuntaa ja tilaajavastuuta koskevaa lainsäädäntöä, kansainvälisiä pakotteita koskevia velvoitteita sekä rahanpesun ja terrorismin torjuntaan liittyvää lainsäädäntöä. RAKLIn jäsenet ovat tuoneet esille huolensa liiketoimintakiellon käsittelyn oikeusperusteesta. Tilaajan selvitysvelvollisuudesta annetun lain (1233/2006) mukaan tilaaja on velvollinen maksamaan laiminlyöntimaksua, jos tilaaja on laiminlyönyt selvitysvelvollisuuden tai tehnyt sopimuksen liiketoimintakiellosta annetun lain (1059/1985) mukaiseen liiketoimintakieltoon määrätyn elinkeinonharjoittajan kanssa tai yrityksen kanssa, jonka yhtiömies taikka hallituksen jäsen tai toimitusjohtaja taikka muussa siihen rinnastettavassa olevassa asemassa oleva henkilö on määrätty liiketoimintakieltoon. Noudattaakseen tilaajavastuulakia yritykset joutuvat siten käytännössä joko tallentamaan tiedon liiketoimintakiellosta tai hakemaan tiedon jostakin ulkopuolisesta palvelusta. Esimerkiksi Tilaajavastuu.fi on alalla yleisesti käytetty tilaajavastuulain ja veronumerolain noudattamista helpottava palvelu. Oikeus liiketoimintakiellon tallentamiseen ja käsittelyyn tulee varmistaa valmisteilla olevassa tietosuojalaissa sekä tilaajana toimiville yrityksille että palveluntarjoajille. On myös otettava huomioon laki eräiden Suomelle Yhdistyneiden Kansakuntien ja Euroopan unionin jäsenenä kuuluvien velvoitteiden täyttämisestä (659/1967) ja rikoslain 46 luvun säännökset. Kansainvälisten pakotteiden kohteena olevien yritysten ja henkilöiden kanssa ei ole lupa ryhtyä taloudelliseen suhteeseen. Suomen Asiakastieto Oy tarjoaa yrityksille tietokanavan pakotteiden noudattamiseksi, jota ilman noudattaminen kävisi käytännössä mahdottomaksi. Ehdotettuun lakiin täytyy lisätä valtuutussäännös pakotetiedon tallentamiseksi henkilötietoihin yrityksille. Lisäksi on mahdollistettava myös palvelun tuottaminen tietokanavan muodossa. Rahanpesun ja terrorismin rahoittamisen estämisestä (laki 444/2017) ja rikoslaki velvoittavat poliittisesti vaikutusvaltaisen henkilön (PEP) tunnistamiseen ja velvoittavat varmistamaan tämän henkilöllisyys. Tieto tulee voida tallentaa henkilötietoihin mainittujen säädösten noudattamiseksi. Valtuutussäännös tulee lisätä lakiin ja mahdollistaa tietojen tallentaminen yksittäisille yrityksille ja palveluntarjoajille.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallituksella ei ole huomautettavaa ehdotetuista säännöksistä.
      • Yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittelyn perustuessa suostumukseen ja kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jäsenvaltiot voivat lainsäädännössään kuitenkin säätää alemmasta ikärajasta, joka ei saa olla alle 13 vuotta. Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista.
      • Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla:
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Pelastakaa Lapset ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansallinen audiovisuaalinen instituutti, Apulaisjohtaja, Mediakasvatus- ja kuvaohjelmayksikön tulosaluepäällikkö, Pekkala Leo
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Ehkäisevä päihdetyö EHYT ry, Jokinen Ilmo
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Kuluttajaliitto – Konsumentförbundet ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • 13 vuotta
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • 15 vuotta
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Musiikkiarkisto
        Päivitetty:
        7.9.2017
        • 16 vuotta
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • 15 vuotta
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • 15 vuotta
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • 13 vuotta
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • 15 vuotta
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • 13 vuotta
      • Ikärajaa koskevat perustelut
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Effi kannattaa mahdollisimman alhaista eli 13 vuoden ikärajaa. On tärkeää, että teini-ikäiset nuoret pääsevät omaehtoisesti pitämään yhteyttä ystäviinsä ja läheisiinsä. Käytännössä paljon nuoremmatkin kuin 13-vuotiaat ovat jo itsenäisesti mukana sosiaalisen median ja pikaviestintäpalveluissa ja ovat jatkossakin. Vanhempien suostumuksen edellyttäminen teini-ikäisten sosiaalisen median käytöltä ei olisi realistista eikä käytännöllistä. Verkossa on aina palveluita, joita ei valvota yhtä tiukasti kuin suosituimpia palveluita. Olisi lastensuojelunäkökulmasta parempi, että lapset ja nuoret olisivat näiden suurten, valvottujen palvelujen asiakkaita eivätkä etsiytyisi vaihtoehtoisten, mahdollisesti epämääräisempien palveluiden käyttäjiksi. Mikäli ikärajaa ei aleta valvoa esimerkiksi vahvalla sähköisellä tunnistamisella, se jää ohjeelliseksi. Lapsi tai nuori voi aina ilmoittaa ikänsä väärin. Korkea ikäraja kannustaisi lapsia ja nuoria valehtelemaan todellisen ikänsä, mikä vaikeuttaisi lastensuojelullisten käytäntöjen toteuttamista palveluissa. Olisi parempi, että lapset ja nuoret toimisivat palveluissa rehellisesti lapsina ja nuorina, jolloin palvelut voivat esimerkisi määritellä erityisiä turvallisuuskäytäntöjä heidän käyttäjätileilleen. Mikäli ikärajoja haluttaisiin valvoa tehokkaasti, se edellyttäisi sitä, että sosiaalisen median palveluihin ei saisi enää kukaan rekisteröityä ilman vahvaan sähköiseen tunnistamiseen perustuvaa iän varmistamista. Tämä olisi valtava muutos verrattuna nykyisiin käytäntöihin, ja on hyvin kyseenalaista, voidaanko sananvapausnäkökulmasta katsoen sosiaalisen median palveluille asettaa tällaisia vaatimuksia asiakkaiden tunnistamisesta. On myös huomattava, ettei 13 vuoden ikäraja tarkoittaisi sitä, että vanhempien olisi pakko sallia 13 vuotta täyttäneen nuoren rekisteröityä johonkin palveluun. Vanhemmat voisivat toki kasvatuksellisin keinoin rajoittaa nuoren netinkäyttöä ikärajan saavuttamisen jälkeenkin. Ikäraja mahdollistaa ainoastaan sen, että sen ylittänyt nuori voi itsenäisesti rekisteröityä tietoyhteiskunnan palveluihin, mikäli perheessä on niin sovittu. Jotkut lausunnonantajat ovat viitanneet esimerkiksi rikosoikeudelliseen vastuuikärajaan puoltaessaan 15 vuoden ikärajaa. Tämä peruste on mielivaltainen. Yhtä hyvin voitaisiin viitata Suomen lainsäädännössä myös yleiseen 12 vuoden ikärajaan. Esimerkiksi lastensuojelulaissa, uskonnonvapauslaissa ja nimilaissa on useita säännöksiä, joissa ikärajaksi on asetettu 12 vuotta. Effi toivoo, että jatkovalmistelussa annetaan erityistä huomiota lasten ja nuorten parissa työtä tekevien tahojen lausunnoille, joita tätä kirjoittaessa ovat erityisesti Lastensuojelun keskusliitto, Mannerheimin lastensuojeluliitto, Suomen Nuorisoyhteistyö – Allianssi, Pelastakaa Lapset ja kirkkohallitus. Kaikki kannattavat 13 vuoden ikärajaa. Useat korkeampaa ikärajaa lausunnoissaan puoltaneet tahot eivät ole tekemisissä lasten ja nuorten kanssa eivätkä ole sanottavasti perustelleet näkemyksiään.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Teknologiateollisuus ry:n näkemyksen mukaan sovellettavan ikärajan tulisi olla 13 vuotta. Hyödyllisiä nuorille suunnattuja palveluita on paljon, ja nuoret käyttävät palveluita usein hyvin itsenäisesti. Sen lisäksi että korkeampi ikäraja olisi todennäköisesti käytännössä toimimaton ratkaisu, on otettava huomioon että tietoyhteiskuntapalvelut ovat hyvin monimuotoisia eikä korkean ikärajan asettaminen kategorisesti kaikille palveluille soveltamisalaltaan yleisessä tietosuojalaissa ole kannatettavaa. Erityislainsäädännössä voidaan säätää korkeammista ikärajoista palveluille, jotka eivät sovellu lapsille ja nuorille. Harmonisoidusta ikärajasta olisi yrityksille jonkin verran hyötyä, mutta siihen ei EU-tasolla varmastikaan päästä. Sen sijaan tärkeistä kauppakumppanimaista ainakin Ruotsi tullee soveltamaan 13 vuoden ikärajaa.
      • Pelastakaa Lapset ry
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen tavoitteena on parantaa myös alaikäisten suojaa henkilötietojen käsittelyssä ja se asettaa uusia vaatimuksia lapsille ja nuorille suunnatuille verkkopalveluille. Yksi asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajiensa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus säätää kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Tietosuoja-asetuksen täytäntöönpanoa valmisteleva työryhmä on pitänyt mahdollisena joko 13 tai 15 vuoden ikärajan asettamista. Asiasta on keskusteltu runsaasti myös muissa jäsenmaissa ja Pohjoismaista ainakin Ruotsi ja Norja ovat päätymässä 13 ikävuoteen. Lastensuojelun Keskusliiton lapsille ja nuorille tekemässä kyselyssä noin 80 % vastaajista piti 15 vuotta alhaisempaa ikärajaa parhaana vaihtoehtona. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta siitä, että mikäli huoltajien lupaa koskeva ikäraja asetetaan korkealle, se vaikuttaa kielteisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Osallisuus digitaalisessa kulttuurissa on lapsille ja nuorille merkittävä osa arkea, ilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Pelastakaa Lapset ry esittää, että kyseinen ikäraja asetetaan 13 vuoteen.
      • Kansallinen audiovisuaalinen instituutti, Apulaisjohtaja, Mediakasvatus- ja kuvaohjelmayksikön tulosaluepäällikkö, Pekkala Leo
        Päivitetty:
        8.9.2017
        • Säädettävän ikärajan perusteista Tietosuoja-asetuksessa ja TATTI -työryhmän raportissa esitetylle ikähaarukalle 13-16 vuotta ei ole tutkimuspohjaista perustetta. Lapsen kehityksen näkökulmasta voidaan vain todeta, että jokainen lapsi kehittyy yksilöllisesti ja biologisen ikärajan määrääminen on aina keinotekoista. Suomi on ratifioinut Lapsen oikeuksia koskevan yleissopimuksen vuonna 1991 ja se on sitova. Lapsen oikeuksia koskevan yleissopimuksen (SS 60/1991) 13 artiklassa turvataan jokaisen lapsen sananvapaus. Artiklan mukaan lapsella on oikeus ilmaista vapaasti mielipiteensä. Tämä oikeus sisältää vapauden hakea, vastaanottaa ja levittää kaikenlaisia tietoja ja ajatuksia yli rajojen suullisessa, kirjallisessa, painetussa, taiteen tai missä tahansa muussa lapsen valitsemassa muodossa. Lapsen sananvapauden käytölle voidaan asettaa rajoituksia, mutta vain sellaisia, jotka ovat välttämättömiä muun muassa väestön terveyden tai moraalin suojelemiseksi. Lisäksi sopimuksen mukaan ”Lapsen näkemykset on otettava huomioon lapsen iän ja kehitystason mukaisesti. (12 artikla)” Erityisesti tästä näkökulmasta katsoen esitetty 16 vuoden ikäraja loukkaa lasten oikeuksia ja aliarvioi heidän kykyään hankkia tietoa ja muodostaa mielipiteitä sekä voi loukata heidän yksityisyydensuojaansa, mikäli heidän on pyydettävä huoltajan suostumus sellaisten palvelujen käyttöön, joiden käytön he haluaisivat pitää yksityistietonaan. Medialukutaitoa edistettävä Tietosuoja-asetus ei ota kantaa muihin toimenpiteisiin, joilla perimmäistä tarkoitusta, tässä tapauksessa lasten henkilötietojen suojaamista, tulisi edistää. 8 artiklan mukaan ”Rekisterinpitäjän on toteutettava kohtuulliset toimenpiteet tarkistaakseen[….]” Palveluntarjoajia tulisikin velvoittaa kehittämään palveluitaan niin, että niiden käyttö on turvallista myös lapsille, ja tarvittaessa kevyempi, lapsille käytettävissä oleva tunnistautuminen olisi mahdollista. Palveluntarjoajien taloudellisen hyödyn tavoittelun henkilötietoja hyväksikäyttämällä ei tulisi olla ylivertainen yksilönsuojaan nähden. Se, että minkä ikäinen on oikeutettu tekemään näitä sopimuksia, ei itseasiassa muuta tätä ongelmaa lainkaan. Palveluntarjoajat tulisi myös voida velvoittaa edistämään kaikkien kansalaisten medialukutaitojen kehittämistä. Medialukutaitoa pyritään edistämään mediakasvatuksen avulla. Mediakasvatus yhdistyy laajemmin yhteiskunnan hyväksymiin kasvatuksen perimmäisiin tavoitteisiin, joina voidaan pitää hyvää elämää, demokratiaa, ihmisoikeuksien kunnioittamista, rauhaa ja toimivaa yhteiskuntajärjestelmää. Tämä voi toteutua vain yhteiskunnassa joka aktiivisesti pyrkii mahdollisuuksien tasa-arvoon ja hyvinvoinnin jakautumisen oikeudenmukaisuuteen. Hyvän elämän saavuttaminen edellyttää kykyä ja mahdollisuutta osallistua oman elämänsä rakentamiseen, mikä nyky-yhteiskunnassa tarkoittaa muun muassa laaja-alaista toimijuutta suhteessa mediaan. Tätä toimijuutta ei tule tarpeettomasti rajoittaa ikärajoilla, joille ei ole olemassa kunnon perusteita. Lapsia ja nuoria ei tule sulkea yhteiskunnan ulkopuolelle aikana, jolloin digitaalinen osallistuminen on yhä useammin ainoa tapa osallistua millekään elämänalueelle. KAVI kannattaa myös monien muiden lausunnonantajien tavoin lapsivaikutusten perusteellista arviointia. 13 vuotta säädettävä kansallisen lainsäädännön ikärajaksi Näyttää siltä, että erityisesti Pohjoismaissa ollaan päätymässä 13 vuoden ikärajaan. Pohjoismaisen osallistavan ja kannustavan yhteiskuntamallin kannalta olisi perusteltua, että Suomessa noudatetaan tätä samaa linjaa. KAVI:n kanta on, että kansallisessa lainsäädännössä tulisi säätää ikärajaksi alin mahdollinen eli 13 vuotta.
      • Suomen Tilaajavastuu Oy, Huhtamäki Mika
        Päivitetty:
        8.9.2017
        • Sopiva ikäraja olisi 13 vuotta, mikä vastaisi ikää, jossa nuori voi alkaa tekemään kesätöitä huoltajansa suostumuksella. Työelämässä työntekijät käyttävät jo nyt erilaisia tietoyhteiskuntapalveluita työtehtävien hoitamiseen (esim. pikaviestipalvelut). Nuorten kesätyöntekijöiden ja harjoittelijoiden olisi hyvä päästä tutustumaan samoihin työkaluihin kuin työntekijöidenkin ilman, että ensin olisi pyydettävä erikseen suostumusta vanhempainvastuun kantajilta.
      • Yleisradio
        Päivitetty:
        8.9.2017
        • Lasten ikärajan valinnassa tulee pyrkiä mahdollisimman yhdenmukaiseen ikärajaan muiden Pohjoismaiden kanssa. Lasten sananvapauden ja digiyhteiskuntaan osallistumisen mahdollisuudet tulee tulee huomioida ikärajasta päätettäessä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • FiCom pitää 13 vuotta perusteltuna ratkaisuna, koska 13-vuotiaat käyttävät jo runsaasti tietoyhteiskunnan palveluja. Nuorten oma päätäntävalta tältä osin keventäisi palveluja tarjoavien yritysten hallinnollista taakkaa. Lisäksi pohjoismainen oikeusyhtenäisyys puoltaa asetuksen mahdollistaman jouston hyödyntämistä.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Kela ei nykyisessä toiminnassaan tarjoa asetuksessa tarkoitettuja suostumukseen perustuvia tietoyhteiskunta palveluita lapsille, mutta mielestämme yleisesti ikärajan tulisi olla Suomessa sama kuin muissa EU-maissa, vähintään on pyrittävä samaan ikärajaan muiden Pohjoismaiden ja Viron kanssa, jos laajempaa yhteisymmärrystä ei saavuteta. Kelan näkemys on, että 15 vuoden ikäraja olisi kansallisesta näkökulmasta yhdenmukainen muun lainsäädännön kanssa. Esimerkiksi hallintolain 14 §:n mukaan 15 vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta.
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • Kuten mietinnöstäkin ilmenee, on tärkeä kiinnittää huomiota alaikäisten suojeluun myös tietojenkäsittelyn näkökulmasta. Näitä seikkoja on ansiokkaasti otettu huomioon uudessa tietosuoja-asetuksessa, jossa nostetaan esiin mm. se, että kaikessa lapsiin kohdistuvaa tietojenkäsittelyä koskevassa tiedotuksessa ja viestinnässä on käytettävä niin selkeää ja yksinkertaista kieltä, että lapsen on helppo ymmärtää sitä. Lapseen ei myöskään saa kohdistaa profilointia, joka asetuksen mukaan tarkoittaa mitä tahansa henkilötietojen automaattista käsittelyä luonnollisen henkilön henkilökohtaisten ominaisuuksien arvioimiseksi. Lisäksi mietinnössä on otettu huomioon, että alle 18-vuotias voisi jatkossakin tehdä ilman vanhemman tai huoltajan suostumusta vain tavanomaisia ja merkitykseltään vähäisiä ostoksia. Katsomme, että on erittäin keskeistä, että asetuksella määritettävä ikäraja ei kuitenkaan koske etänä toteutettavien ennaltaehkäisevien ja neuvontapalveluiden käyttöä, jota lasten ja nuorten tulisi ehdottomasti saada myös jatkossa ilman vanhempien erillistä suostumusta. Kuten mietinnössä oli joidenkin kannanottojen osalta todettu, internetin käyttö ja sosiaalisen median palvelut ovat kuitenkin nyky-yhteiskunnassa hyvin tärkeäksi koettu osa nuorisokulttuuria ja keskeinen tapa olla vuorovaikutuksessa muiden ikätovereiden kanssa. Asetuksessa lähtökohtana pidetty 16 vuoden ikäraja on korkea ottaen huomioon digitalisaation lisääntyminen ja se, että esimerkiksi valtaosassa nuorten käyttämistä sosiaalisen median palveluista ikäraja on tällä hetkellä 13 vuotta. On tärkeää, että nuoret voivat itsenäisesti hankkia tietoa ja käydä keskustelua internetissä erityisesti aiheista, joista koetaan vaikeaksi keskustella niin vanhempien kuin muiden aikuisten tai ikätovereidenkin kanssa. Myöskään kehityksellisesti ei ole perusteltua, että ikäraja asetettaisiin 16 ikävuoteen. Nuoruusiän kehitystehtäviin kuuluu irtautua vanhemmista ja suunnata aiempaa enemmän ikätovereihin ja ympäröivään maailmaan, ja nuoria tulisi tukea tässä itsenäistymiskehityksessä myös tiedonsaannin ja verkkoympäristöissä toimimisen osalta. Jos ikäraja on liian korkea, riskinä on, että nuoret esimerkiksi luovat profiileita virheellisillä tiedoilla ja käyttävät palveluita nykyistä enemmän salassa ja ilman aikuisten opastusta tai valvontaa. Näin ollen palkansaajakeskusjärjestöt kannattavat mahdollisimman alhaisen ikärajan, eli 13 ikävuoden, soveltamista tulevassa tietosuojalaissa.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelut eivät ensisijaisesti koske terveyspalveluita, mutta niitä ei ole liiton käsityksen mukaan täysin suljettu ko. määritelmän ulkopuolelle, jos terveydenhuollon ammattihenkilön ja potilaan kontakti tapahtuu sähköisesti. Tästä syystä Lääkäriliitto katsoo tarpeelliseksi jatkotyössä peilata ikärajaa myös suhteessa siihen, mitä alaikäisen päätöksenteosta on säädetty terveydenhuollon lainsäädännössä. Potilaan asemasta ja oikeuksista annetussa laissa ei ole säädetty tiettyä ikärajaa siihen, milloin alaikäinen voi tehdä itsenäisesti terveydenhuoltoaan koskevia päätöksiä. Alaikäisen potilaan mielipide hoitotoimenpiteeseen on selvitettävä silloin, kun se on hänen ikäänsä ja kehitystasoonsa nähden mahdollista. Jos alaikäinen ikänsä ja kehitystasonsa perusteella kykenee päättämään hoidostaan, häntä on hoidettava yhteisymmärryksessä hänen kanssaan. Käytännössä jo 10-12 vuotiaan on katsottu voivan esimerkiksi kieltää terveydenhuoltoaan koskevien tietojen antamisen huoltajalle. Toisaalta lääketieteellisestä tutkimuksesta annetun lain mukaan 15 vuotta täyttänyt alaikäinen, joka ikäänsä, kehitystasoonsa sekä sairauden ja tutkimuksen laatuun nähden kykenee ymmärtämään tutkimuksen tai tutkimustoimenpiteen merkityksen, voi itsenäisesti suostua tutkimukseen. Liitto toteaa myös palvelujen käyttämisen haasteena, että kovin nuorella alaikäisellä ei välttämättä ole joidenkin palvelujen käyttämiseen tarvittavia varmennekeinoja käytettävissään.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulee olla 13 vuotta. Tietoyhteiskunnan palvelut ovat monimuotoinen joukko erilaisia palveluja. Tulevaisuudessa yhä useampi perinteinen palvelu muuttuu tietoyhteiskunnan palveluksi. Jo nyt hyvinkin nuoret käyttäjät hyödyntävät tietoyhteiskunnan palveluita usein täysin itsenäisesti. Näin ollen ikäraja on myös tästä syystä tarpeen asettaa kansallisesti mahdollisimman lähelle vallitsevaa nykykäytäntöä. Monet tietoyhteiskunnan palvelut ovat sellaisia, joita 13-vuotias voi käyttää itsenäisesti ilman vanhempien suostumusta. Vaikka tietoyhteiskunnan palveluihin liittyvä ikäraja ei vaikuta kansalliseen velvoite- ja sopimusoikeuteen, niin käytännössä se tulee asettamaan 13 vuoden ikärajan palveluille, jotka ”ei sähköisessä” -muodossa olisivat tavanomaisia ja merkitykseltään vähäisiä. Ikärajan asettaminen korkeammaksi kuin 13 vuotta voi myös olennaisesti vaikuttaa lasten mahdollisuuteen osallistua sosiaalisen kanssakäymiseen sekä haitata lasten itseilmaisua yhä digitalisoituvassa yhteiskunnassa. Ottaen huomioon tietoyhteiskunnan palveluiden monimuotoisuuden, Nokia ei pidä järkevänä, että kansallisesti säädettäisiin kaikkia tietoyhteiskunnan palveluja kategorisesti koskevat ikäraja, joka olisi muu kuin 13 vuoden vähimmäisikäraja. Myös pohjoismaiset harmonisointinäkökohdat puoltavat tätä ikärajaa.
      • Open Knowledge Finland
        Päivitetty:
        8.9.2017
        • Ei kantaa asiaan.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan tarjoamia palveluista tavallisesti maksetaan rahallinen korvaus. Joskus palveluntarjoajalle riittävä korvaus on nimenomaisesti sen saamat henkilötiedot, joita voidaan käyttää esimerkiksi markkinointitarkoituksessa. Pääsääntöisesti lapsella ei ole oikeustoimikelpoisuutta tehdä kuin vähäisiä oikeustoimia. Ikärajaa tulisi tarkastellakin sen mukaan, milloin voidaan lapsen katsoa olevan riittävän kypsä harkitsemaan henkilötietojensa luovuttamisen merkitystä. Tämä puoltaisi mieluummin 15 vuoden kuin 13 vuoden ikärajaa. Viidentoista vuoden ikää on pidettävä sopivampana ikärajana kuin kolmeatoista vuotta myös, koska viidentoista vuoden ikää on pidetty oikeudellisesti merkityksellisenä rajana laajalti muualla lainsäädännössä. Rikoslain 3 luvun 4 §:n mukaan rangaistusvastuun edellytyksenä on, että tekijä on teon hetkellä täyttänyt viisitoista vuotta ja on syyntakeinen. Viisitoista vuotta täyttänyt saa myös nuorista työntekijöistä annetun lain nojalla tehdä itse työsopimuksen. Oikeudenkäymiskaaren 12 luvun 1 § 2 momentin viimeisen virkkeen mukaan alaikäinen käyttää huoltajan tai muun laillisen edustajan ohella itsenäisesti puhevaltaansa henkilöään koskevassa asiassa, jos hän on täyttänyt 15 vuotta.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelujen käyttöä koskevat säännökset on sijoitettu tietoyhteiskuntakaareen. Työryhmän mietinnössä ei ole esitetty vakuuttavia perusteluita sille, miksi säännöstä ei voisi sijoittaa tietoyhteiskuntakaareen osaksi muuta palvelujen käyttöä koskevaa sääntelyä. Peruste sille, että tietoyhteiskuntakaaren tietoyhteiskunnan palvelua koskeva määritelmä ei vastaisi tietoyhteiskunnan palveluja koskevaa direktiiviä perustuu ilmeiseen väärään tulkintaan. Suomi ei ole voinut määritellä käsitettä toisin kuin direktiivissä ja toisaalta vaikka sanamuoto ei vastaa täysin direktiivin sanamuotoa, vastaa se sisällöllisesti kuitenkin samaa. Tietoyhteiskunnan palvelu on EU-oikeudellinen käsite eikä sitä ole voitu kansallisesti määritellä toisin. Työryhmän näkemys tarkoittaisi sitä, että tietoyhteiskuntakaaressa ei olisi implementoitu kaikilta osin direktiiviä.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Suomen Nuorisoyhteistyö – Allianssi ry, Markkula Heli
        Päivitetty:
        8.9.2017
        • Allianssi vaatii, että tietosuoja-asetus ei rajaa nuorten mahdollisuuksia osallistumiseen, vaikuttamiseen ja oppimiseen. Tämän vuoksi työryhmän jatkovalmistelussa tulee perusteellisesti arvioida ikärajan asettamisen vaikutukset lasten ja nuorten oikeuksiin ja asemaan. Korkeiden ikärajojen asettamisen sijaan nuorten tulee jo varhaisessa vaiheessa saada tutustua mediaan sekä oppia tutkimaan ja kyseenalaistamaan median sisältöjä. Edellä mainituista syistä Allianssi kannattaa 13 vuoden ikärajaa, joka on alin säädettävissä oleva ikäraja.
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Lapsen tietoyhteiskunnan palveluiden käytön oikeuksien takaamiseksi ikäraja suostumuksen vaatimiselle on perusteltua pitää alhaisena.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Taidemuseoiden tai muiden kulttuuriorganisaatioiden tarjoamien palvelujen luonne.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kantaa ikärajaan. Lapset kehittyvät hyvin eritahtisesti. Tämä näkyy erityisesti nuoremmissa ikäryhmissä siinä, että samanikäisten lasten kyky käsitellä ja ymmärtää tarjolla olevaa tietoa on hyvin erilainen. Asettamalla ikäraja riittävän korkealle pystytään turvaamaan lapsia mm. palveluihin liittyviltä taloudellisilta riskeiltä.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Muissakin kansallisissa säännöksissä ikärajana sovelletaan 15 vuotta ja tätä ikärajaa on käytetty jo monissa palvelutoteutuksissa.
      • Ehkäisevä päihdetyö EHYT ry, Jokinen Ilmo
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus rajoittaa lasten henkilötietojen käsittelyä ilman huoltajien suostumusta (tietosuoja-asetus 8 artikla). Ikärajan asettaminen määrittää alaikäisen mahdollisuudet käyttää esimerkiksi sosiaalisen median palveluja ilman huoltajiensa lupaa. Tämä on EHYT ry:n toiminnan näkökulmasta keskeinen kysymys. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen osallistumisoikeuden ja suojelun välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta ikärajan asettamisesta liian korkealle, jolloin se vaikuttaa kielteisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Osallisuus digitaalisessa kulttuurissa on lapsille ja nuorille merkittävä osa arkea, itseilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Ehkäisevä päihdetyö EHYT ry esittää, että kyseinen ikäraja asetetaan 13 vuoteen. Tietosuoja-asetuksen johdannossa määritellään, että ”Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle”. Tätä ei ole kuitenkaan huomioitu asetuksen artikloissa ja se jättää siten tulkintavaraa. Tietosuoja-asetus jättää myös tulkinnanvaraa siihen, mikä on ennalta ehkäisevä palvelu tai neuvontapalvelu. Ministeriön jatkotyöskentelyssä tulee tarkemmin määrittää, mitä näillä palveluilla tarkoitetaan. Ehkäisevä päihdetyö EHYT ry:n lisäksi useat muut Suomessa toimivat tuki- ja neuvontapalvelut käyttävät kaupallista alustaa toimintaympäristönään. Epäselväksi jää, vaaditaanko vanhempainvastuunkantajan suostumus myös tällaisissa tilanteissa. Lapsille ja nuorille tulee jatkossakin varmistaa pääsy laadukkaisiin matalan kynnyksen tuki- ja neuvontapalveluihin verkossa.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Ei kommenttia.
      • Viestintävirasto, Sunila-Putilin Kirsi
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelulla tarkoitetaan tietoyhteiskuntakaaren (917/2014) mukaan sähköisenä etäpalveluna vastaanottajan henkilökohtaisesta pyynnöstä tavallisesti korvausta vastaan toimitettavaa palvelua. Tavanomainen vastikkeellisuus viittaa lähinnä siihen, että kyseisellä palvelulla yleensä on taloudellista merkitystä ja palvelun toimittaminen liittyy taloudelliseen toimintaan. Palvelun ei sen sijaan tarvitse olla sen vastaanottajalle vastikkeellinen (HE 221/2013 vp ja HE 194/2001 vp). Tietoyhteiskunnan palveluja ovat mm. sovellusten lataaminen internetissä, sosiaalisen median käyttö, videosisältöjen katselu verkossa ja käyttäjän sähköinen tunnistaminen verkkopalveluissa. Tietoyhteiskunnan palvelujen tarjoamista koskevat säännökset on sisällytetty tietoyhteiskuntakaaren 22 lukuun. Säännökset koskevat mm. palveluntarjoajan tiedonantovelvollisuuksia, sopimuksia ja vastuuvapautta tiedonsiirto- ja tallennuspalveluissa sekä tallennettaessa välimuistiin. Tietoyhteiskuntakaari sisältää myös säännökset siitä, milloin ja miten tietoyhteiskunnan palvelun tarjoaja voi käsitellä välitystietoja, kuten IP-osoitetta ja puhelinnumeroa. Tietoyhteiskuntakaareen sisältyy eräitä säännöksiä, joissa on otettu kantaa siihen, milloin alaikäistä edustaa hänen huoltajansa. Tietoyhteiskuntakaaren 134 §:n mukaan teleyrityksen on käyttäjän sitä pyytäessä annettava laskun yhteyskohtainen erittely, jossa on eritelty viestinnän osapuolten liittymien numerot tai viestintäpalvelun muut tunnistamistiedot täydellisesti. Alle 15-vuotiasta käyttäjää edustaa hänen huoltajansa. Tietoyhteiskuntakaaren 162 §:n mukaan sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa ja tiedonsaantioikeutta koskevassa asiassa alle 15-vuotiasta edustaa myös hänen huoltajansa. Lisäksi lapsen edustamisesta säädetään lapsen huollosta ja tapaamisoikeudesta annetussa laissa (361/1983). Viestintäviraston näkemyksen mukaan tietoyhteiskunnan palveluita koskevan alaikäraja voisi olla tietoyhteiskuntakaaren kanssa yhdenmukaisesti 15 vuotta (kuten 134 § ja 162 §). Ehdotettu 15-vuoden ikäraja vastaa rikosoikeudellisen vastuun alaikärajaa ja ikärajaa, jonka jälkeen henkilö itse voi määrätä omalla työllään ansaitsemistaan varoista. Koska tietoyhteiskunnan palvelut voivat sisältää toisistaan poikkeavia palveluita (esim. pelit ja terveydenhuolto), Viestintävirasto pitää tarkoituksenmukaisena sitä, että yleisen tietosuoja-asetuksen ikäraja olisi yleinen ikäraja, mutta erityislainsäädännössä voitaisiin tarvittaessa säätää tästä poikkeavista ikärajoista. Viestintävirasto katsoo, että esimerkiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009) saattaa olla tarvetta säätää yleistä ikärajaa alemmasta ikärajasta. Tunnistuspalvelujen tarjoajat muodostavat 1.5.2017 alkaen luottamusverkoston (lain 12a §), joka koostuu tunnistusvälineiden tarjoajista ja tunnistusvälityspalveluista. Tämänhetkisiä vahvoja sähköisiä tunnistusvälineitä Suomessa ovat verkkopankkitunnukset (TUPAS), teleyritysten mobiilivarmenteet ja Väestörekisterikeskuksen kansalais-, organisaatio-, sosiaali- ja terveydenhuollon varmenteet. Osa tunnistusvälineiden tarjoajista ei myönnä välineitä Viestintäviraston tiedon mukaan tällä hetkellä alle 15-vuotiaille. Tunnistusvälineiden tarjoajat ovat tiedustelleet Viestintävirastolta yleisesti, minkä ikäisille tunnistusvälineitä voitaisiin myöntää. Viestintävirasto on todennut neuvonnassaan, että välineen myöntäjän on ratkaistava asia yleisen sääntelyn (kuten holhouksen) ja oman riskiarvion perusteella. Vahva sähköinen tunnistaminen on sinällään jo tietoyhteiskunnan palvelu. Sitä hyödynnetään asiointipalveluissa, joita myös pidetään tietoyhteiskunnan palveluina. Näin ollen tietosuoja-asetuksen 8 artikla on myös otettava huomioon, kun arvioidaan tunnistusvälineiden myöntämistä alaikäisille. Tietoyhteiskunnan palveluita, kuten sovellusten lataamista, tarjottaneen jatkossakin alaikäisillä tyypillisesti ilman vahvaa sähköistä tunnistamista. Jos tarvitaan vahvaa sähköistä tunnistamista, on todennäköistä, että sähköiseen asiointiin rakenteilla oleva asiointivaltuuspalvelu (eli ns. ROVA) voisi tulla kysymykseen. Väestörekisterikeskuksen tarjoama ROVA ratkaisee niin alaikäisten kuin muuten vajaavaltaisten sähköiseen tunnistamisen siten, että tunnistetaan edustaja ja edustajan valtuutus tarkistetaan. Käytännössä ROVA toimii siis siten, että huoltajan tulee tehdä tunnistautuminen alaikäisen puolesta. Myös yksityisillä asiointipalveluilla on oikeus käyttää asiointivaltuuspalvelua. ROVA ei sen sijaan sisällä Viestintäviraston tiedon mukaan ainakaan tällä hetkellä toiminnallisuutta, jolla saataisiin tieto siitä, kuka on alaikäisen käyttäjän huoltaja. Näin ollen tällä hetkellä ei ole mahdollista toteuttaa käyttötapausta, jossa alaikäinen käyttäisi tietoyhteiskunnan palvelua hyödyntäen vahvaa sähköistä tunnistamista ja palvelu löytäisi suostumuksen pyytämistä varten suoraan tiedon alaikäisen huoltajasta. Teknisen toiminnallisuuden toteuttaminen edellä mainittua käyttötapausta varten luottamusverkostossa vaatii aikaa ja voi olla teknisesti haastavaa. Haastavaksi muodostuu se, miten saadaan tieto alaikäisen käyttäjän edustajasta, kun alaikäinen henkilö tunnistautuu asiointipalveluun. Tämä problematiikka tulisi huomioida asian jatkovalmistelussa.
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • Tietoyhteiskuntakaaressa säädetään sijaintitietojen käsittelyyn liittyvästä 15-vuoden ikärajasta. Lain 162 §:n mukaan sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa ja tiedonsaantioikeutta koskevassa asiassa alle 15-vuotiasta edustaa hänen huoltajansa. Sääntely perustuu yli kymmenen vuotta sitten annettuun sähköisen viestinnän tietosuojalakiin. Teknologisen kehityksen myötä digitaalinen toimintaympäristö on muuttunut merkittävästi kymmenessä vuodessa. Nykyään sähköiset viestintäpalvelut sekä sosiaalisen median palvelut ovat erittäin suosittuja myös nuorien keskuudessa ja osa myös nuorien arkipäivää. Esimerkiksi Viestintäviraston tuottaman viestintäpalvelujen kuluttajatutkimuksen (https://www.viestintavirasto.fi/tilastotjatutkimukset/tutkimukset/viestintapalvelujenkuluttajatutkimus.html) mukaan 93 % 15-24 vuotiaista on käyttää matkapuhelimellaan vähintään kerran kuussa tai useammin sosiaalisen median palveluita, kun 50-64 vuotiaista vastaava osuus on 41 %. Oulun kaupungin sivistys- ja kulttuuripalveluiden julkaiseman SoMe ja nuoret 2016 –kyselytutkimuksen mukaan 13-17 vuotiaista nuorista vain n. 4 % käyttää sosiaalisen median palveluita 0-1 tuntia viikossa, kun taas n. 18 % 6-9 tuntia viikossa ja 14 % 10-14 tuntia (http://www.ebrand.fi/somejanuoret2016/1-nuoret-ja-ajankaytto/). Tietoyhteiskunnan palvelujen tarjoamisen ikärajan arvioinnissa tulisikin ottaa huomioon nuorten viestintätapojen kehittyminen. Tässä valossa liikenne- ja viestintäministeriö katsoo, että tietoyhteiskunnan palvelujen tarjoamisen ikäraja voisi olla 13 vuotta.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML:lla ei ole vahvaa näkemystä lapselle sovellettavasta ikärajasta. Jos jäsenvaltioille tai Pohjoismaille ei muodostu yleistä linjaa niin 15 vuoden ikärajan asettamista tukisi nykykäytäntö ja muussa kotimaisessa lainsäädännössä olevat ikärajat. Toisaalta iso osa alle 13-vuotiaista käyttää internetin palveluita aktiivisesti ja ilman huoltajien suostumusta, jolloin keinotekoisen korkeamman ikärajan asettaminen voi hyvin johtaa ainoastaan rajoitusten kiertämiseen.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Kuntaliitolla ei ole kantaa ikärajaan. Ikärajan määräytymisessä huomioon täytyy ottaa sääntelyvaihtoehtojen todelliset vaikutukset sekä sivistystoiminnassa että sosiaali- ja terveydenhuollossa. Sivistystoiminnan arkipäivään kuuluu eri ohjelmien ja järjestelmien käyttö, joihin osittain voi liittyä tietoyhteiskunnan palvelun tarjoaminen. Sosiaali- ja terveystoiminnassa taas alaikäisen kypsyysikä, jolloin hän itse voi päättää esimerkiksi omien tietojen käytöstä mm. tietojärjestelmissä, määräytyy nykyisin lääkärin kullekin yli 10 vuotiaalle teemän kypsyysarvioinnin pohjalta.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Kirjastopalveluiden ja kirjastojen kokoelmien käyttö tulee mahdollistaa koululaisille ja muille alaikäisille.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Suomessa hyvinkin nuoret käyttäjät hyödyntävät tietoyhteiskunnan palveluita itsenäisesti. Muusta kuin asetuksen sallimasta 13 vuoden ikärajasta säätäminen ehdotetussa soveltamisalaltaan yleisessä tietosuojalaissa olisi siten teennäistä ja johtaisi nuorten käyttäjien itseilmaisun kannalta epätyydyttävään lopputulokseen, kuten työryhmän mietinnössä todetaan. Mietinnössä todetaan, että jatkovalmistelun aikana otetaan huomioon, mihin ikärajaan useimmat EU:n jäsenvaltiot ja erityisesti muut Pohjoismaat päätyvät. EK toteaa, että jos nopeasti skaalautuva yritys haluaa luoda palveluunsa sisämarkkinoita varten yhdenmukaisen käytännön, sen on joka tapauksessa noudatettava korkeinta ikärajaa, jonka joku EU:n jäsenvaltioista valitsee – oli ikärajasta säädetty millä tavalla tahansa kansallisessa lainsäädännössä. Kansallisesti ikärajaa ei siten ole syytä säätää 13 vuotta korkeammaksi siksi, että joissakin muissa EU:n jäsenvaltioissa niin säädettäisiin. Toisaalta – mikäli harmonisointinäkökohdille haluttaisiin antaa erityistä merkitystä, Ruotsissa ikärajaksi ehdotettaneen säädettävän 13 vuotta.
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • EU:n tietosuoja-asetuksen tavoitteena on parantaa myös alaikäisten suojaa henkilötietojen käsittelyssä ja se asettaa uusia vaatimuksia lapsille ja nuorille suunnatuille verkkopalveluille. Yksi asetuksen mukanaan tuomista uusista vaatimuksista on, että alle 16-vuotiaat eivät voi jatkossa käyttää esimerkiksi sosiaalisen median palveluita ilman huoltajiensa lupaa. EU:n jäsenmailla on kuitenkin mahdollisuus sopia kansallisesti alemmasta ikärajasta, joka voi alimmillaan olla 13 vuotta. Tietosuoja-asetuksen täytäntöönpanoa valmisteleva työryhmä on pitänyt mahdollisena joko 13 tai 15 vuoden ikärajan asettamista. Asiasta on keskusteltu runsaasti myös muissa jäsenmaissa ja Pohjoismaista ainakin Ruotsi ja Norja ovat päätymässä 13 ikävuoteen. Lastensuojelun Keskusliiton lapsille ja nuorille tekemässä kyselyssä noin 80 % vastaajista piti 15 vuotta alhaisempaa ikärajaa parhaana vaihtoehtona. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Lapsen oikeuksien kannalta keskeisiä on turvata lapsen hyvinvointi ja kehitys (lapsen oikeuksien sopimuksen 6 artikla ja koko sopimuksen sisältö), oikeus ilmaista mielipiteensä, joka sisältää vapauden hakea, vastaanottaa ja levittää tietoja ja ajatuksia (13 artikla), oikeus tulla kuulluksi ja vaikuttaa itseään koskeviin asioihin (12 artikla), oikeus saada tietoa median välityksellä (17 artikla), oikeus suojeluun (3 artiklan 2 kappale). On myös varmistettava, ettei tietosuojalainsäädäntö lisää lasten keskinäistä eriarvoisuutta (lapsen oikeuksien sopimuksen 2 artikla, syrjinnän kielto) ja että lainsäädännön vaikutukset lapsiin ja lapsen oikeuksiin arvioidaan ja että arvioinnin perusteella lapsen etu asetetaan päätöksenteossa etusijalle (3 artiklan 1 kappale). Lapsen etu muodostuu lapsen oikeuksien kokonaisuuden parhaasta mahdollisesta toteutumisesta. Osallisuus digitaalisessa kulttuurissa ja monet sosiaalisen median palvelut ovat lapsille merkittävä osa arkea, ilmaisua ja oppimista sekä vertaissuhteiden muodostumista. Jos ikäraja asetetaan korkeaksi, se rajoittaa lasten mahdollisuuksia toimia digitaalisessa kulttuurissa ja lasten vertaissuhteille tärkeissä sosiaalisen median palveluissa, jotka ovat osa lasten arkea. Lapsen oikeus vaikuttaa itseään koskeviin asioihin on turvattu niin lapsen oikeuksien sopimuksessa, perustuslaissa kuin lapsenhuoltolaissakin. Jos ikäraja on kovin korkea, lapsen oikeus vaikuttaa itseään koskeviin asioihin ikänsä ja kehitystasonsa mukaisesti voi vaarantua. MLL esittää, että ikäraja olisi 13 vuotta. Ikärajan asettaminen on kuitenkin vain yksi lasten oikeuksien toteutumiseen verkkomaailmassa vaikuttava toimenpide. Keskeistä on, miten muut lasten kannalta merkittävät tietosuoja-asetuksen velvoitteet toteutuvat käytännössä. Useiden verkkopalveluiden ehdot ovat lapsen näkökulmasta vaikeaselkoisia. Lasten tulee saada verkkopalveluissa tarvitsemaansa tietoa ymmärrettävällä tavalla, jotta he tietävät, mihin ovat sitoutumassa ja mihin heidän henkilötietojaan kerätään. Tätä edellyttää myös tietosuoja-asetus. Tietosuojatyöryhmän mietintö jättää avoimeksi useita lasten oikeuksien kannalta keskeisiä kysymyksiä, joihin tarvitaan vastauksia ennen kuin asetusta aletaan soveltamaan. Esimerkiksi miten huolehditaan siitä, että huoltajan suostumuksen varmentaminen mahdollistaa lapsille verkkopalveluiden käytön yhdenvertaisesti. Riskinä esimerkiksi luottokortilla tapahtuvassa varmentamisessa on, että se syrjii perheitä heidän sosioekonomisen asemansa perusteella. Lisäksi voi eteen tulla tilanteita, jossa lapsen vanhemmat asuvat erillään mutta ovat molemmat lapsensa huoltajia ja erimielisiä lapsensa verkkopalvelun käytön suhteen. Riittääkö yhden huoltajan suostumus tällaisessa tilanteessa ja jos riittää, niin kumpi heistä päättää? Tietosuoja-asetuksen johdannossa määritellään, että ”Vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle”. Tätä ei ole kuitenkaan huomioitu asetuksen artikloissa ja jättää siten tulkintavaraa. Tietosuoja-asetus jättää myös tulkinnanvaraa siihen, mikä on ennalta ehkäisevä palvelu tai neuvontapalvelu. Monet Suomessa toimivat tuki- ja neuvontapalvelut käyttävät kaupallista alustaa toimintaympäristönään. Lapsille ja nuorille jatkossakin tulee varmistaa pääsy laadukkaisiin matalan kynnyksen tuki- ja neuvontapalveluihin verkossa. Lasten ja nuorten osallisuus ja oikeus turvallisiin mediaympäristöihin ja digitaaliseen osaamiseen vaativat pitkäjänteistä työtä ja yhteistä vastuunkantamista. Mediakasvatus on entistä keskeisemmässä roolissa, jotta lapset ja nuoret voisivat käyttää verkkopalveluita turvallisesti ja mielekkäällä tavalla. Vahvaa panostusta tarvitaan lasten ja nuorten mediakasvatuksen lisäksi huoltajien ja ammattilaisten taitojen ja tietoisuuden vahvistamiseen. Digitaaliseen osallisuuteen ja mediaympäristöissä tarvittavien taitojen harjoittamiseen kannustavat myös uudet varhaiskasvatuksen ja perusopetuksen opetussuunnitelmien perusteet. Tietosuoja-asetuksen toimeenpanossa on huomioitava myös mediakasvatustyön mahdollistaminen kouluissa. Jos ikäraja asetetaan korkeaksi, se heikentää käytännön mediakasvatustyön mahdollisuuksia kouluissa.
      • Kuluttajaliitto – Konsumentförbundet ry
        Päivitetty:
        8.9.2017
        • Kuluttajaliitto katsoo, että 13-vuotiaat ja sitä nuoremmat ovat tottuneet käyttämään internetin palveluita ilman huoltajien suostumusta. Työryhmämuistiossa viitatun vuonna 2011 tehdyn brittiläisen tutkimuksen mukaan 77 % 13–16-vuotiaista lapsista ilmoitti perustaneensa profiilin johonkin sosiaalisen median palveluun. Kuluttajaliitto katsoo myös, että ikärajan asettamisen 15 tai 16 vuoteen voi johtaa siihen, että lapset pyrkivät kiertämään ikärajan antamalla palvelulle virheellistä tietoa iästään. Edellä mainitun tutkimuksen mukaan sosiaalisen median palveluita käyttää 38 % 9–12 -vuotiaista lapsista ikärajoista huolimatta. Kuluttajaliitto on tietoinen lasten verkkoympäristössä kohtaamista ongelmista. Keinotekoisten ikärajojen asettaminen ei välttämättä kuitenkaan ole tehokkain keino ongelmien ehkäisemiseen ja ratkaisemiseen tilanteessa, jossa suuri osa lapsista ei noudata ikärajoja. On esimerkiksi tärkeää saada verkkoon toimijoita, jotka osaavat ja haluavat ottaa lasten edut huomioon – pahimmillaan liian korkeat ikärajat voivat estää lainkuuliaisten ja vastuullisten tahojen toiminnan. Kuluttajaliitosta on tärkeää, että lapsille ja nuorille tarjotaan riittävästi tietoa heille sopivalla tavalla heihin liittyvistä asioista: verkkopalveluun liittyvät tiedot (esim. ohjeet palvelun käytöstä ja tieto siitä, mihin sitoutuu) pitää antaa sellaisella tavalla, että lapsi ja nuori ymmärtää, mihin hän on sitoutumassa ja millaisia riskejä palvelun käyttöön liittyy. Kuluttajaliitto haluaa korostaa myös mediakasvatuksen merkitystä. Mediakasvatus on keskeisessä roolissa, jotta lapset voivat käyttää turvallisesti verkkopalveluita. Opetussuunnitelman mukaan mediakasvatusta annetaan alakoulusta lähtien. On tärkeää, että lapsia opetetaan mahdollisimman varhaisessa vaiheessa verkkopalveluiden käyttöön. Opetuksessa on otettava huomioon säädösten ohella lasten todellinen käyttäytyminen, esimerkiksi ikärajojen kiertäminen.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Laillisuusvalvojana en ota asiaan kantaa.
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Suomen Asiakastieto Oy:llä ei ole vahvaa kantaa lapselle sovellettavan ikärajan suhteen. Suomen Asiakastieto Oy perustelee 15 vuoden ikärajaa sillä, että ko. ikärajaa käytetään luottotietolaissa rajana, minkä ikäisestä henkilöstä voi luottotietorekisteriin rekisteröidä tietoja.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Viidentoista vuoden ikäraja olisi yhteneväinen hallintolain 14.3 §:n mukaisen ikärajan kanssa, jonka mukaan viisitoista vuotta täyttäneellä alaikäisellä ja hänen huoltajallaan tai muulla laillisella edustajallaan on kummallakin oikeus erikseen käyttää puhevaltaa asiassa, joka koskee alaikäisen henkilöä taikka henkilökohtaista etua tai oikeutta. Samoin viidentoista vuoden ikäraja olisi yhteneväinen tietoyhteiskuntakaaren 162.3 §:n kanssa asiassa, joka koskisi sijaintitietojen käsittelyyn liittyvää suostumusta, kieltoa tai tiedonsaantioikeutta.
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • Ikärajaa pohdittaessa on otettava huomioon lapsen oikeudet, erityisesti oikeus osallistua tietoyhteiskuntaan ja toisaalta lastensuojelulliset näkökulmat. Lakimiesliitto katsoo, että mahdollisimman yhdenmukainen ikäraja Euroopan unionin tasolla olisi kannatettavaa tavaroiden ja palveluiden vapaan liikkuvuuden turvaamiseksi.
      • Helsingin seudun liikenne -kuntayhtymä
        Päivitetty:
        8.9.2017
        • Ehdotetun tietosuojalain 2 luvun 4 §:n eli tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavaan ikärajan osalta HSL esittää toiveenaan, että ikäraja määritettäisiin yhteneväiseksi tietoyhteiskuntakaaressa säädetyn ikärajan kanssa (sijaintitiedon käsittelyä koskeva 162 § 3 mom.). Olettavasti tietosuoja-asetuksen/tietosuojalain ja tietoyhteiskuntakaaren säännökset tulevat usein käytännössä sovellettaviksi samassa yhteydessä, esimerkiksi mobiilipalvelujen tarjoamisessa, ja yhtenäiset ikärajat helpottaisivat tällaisten palvelujen tuottamista.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavan ikärajan tulisi olla näkemyksemme mukaan 15 vuotta. 15-vuotias voi luottolaitoslain mukaan avata itse tilin omille työansioilleen ja päättää kyseisten varojen käytöstä. Tällöin myös tietoyhteiskunnan palvelujen ostaminen omilla varoilla ilman vanhempien lupaa on mahdollista. Sama ikäraja helpottaisi käytännössä säännösten soveltamista. Ikärajan määritteleminen on käytännössä erittäin haastavaa. Lisäksi rekisterinpitäjän saattaa olla käytännössä mahdotonta selvittää luotettavasti lapsen todellinen ikä, ellei käyttäjiä tunnisteta ja todenneta vahvasti. Vahva sähköinen tunnistusväline on kuitenkin yleensä vasta täysi-ikäisillä. Korkea ikäraja voi houkutella alaikäistä käyttäjää antamaan väärän tiedon iästään.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • Rajoitettu rikosoikeudellinen vastuu alkaa, joten 15 vuoden ikä lienee sopiva.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • 15 vuoden ikärajaa sovelletaan myös monessa muussa kansallisessa säännöksessä.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafi toteaa, ettei se tarjoa tällä hetkellä sellaisia tietoyhteiskunnan palveluita lapselle, joiden käsittelyn oikeusperusteena on tietosuoja-asetuksen 6 artiklan 1 a alakohdan mukainen suostumus. Trafi käsittelee henkilötietoja pääasiassa lakisääteisen velvoitteen noudattamiseksi, eikä käsittelyn oikeusperustana ole suostumus. Tulevaisuudessa digitalisaation kehittyessä voi käsittely perustua suostumukseen myös Trafissa. Tulevaisuuden kehitys huomioiden Trafi katsoo asianmukaiseksi ikärajaksi 15 vuotta. Edellä todettua ikärajaa tukee myös muu kansallinen lainsäädäntö, kuten esim. hallintolaki.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskuksella ei ole erityistä mielipidettä tietoyhteiskunnan palvelujen tarjoamisen ikärajaan. Väestörekisterikeskus toteaa kuitenkin, että kansalaisvarmenne, joka sisältää tunnistautumisen asiointipalveluihin ja sähköisen allekirjoituksen, voidaan myöntää jo 12-vuotiaalle.
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • Tietosuoja-asetuksen 8 artiklan tarkoituksena on parantaa lasten henkilötietojen käsittelyn suojaa. Tietoyhteiskunnan palveluilla (direktiivi 2015/1535) tarkoitetaan laajasti erilaisia sähköisesti tarjottavia etäpalveluita, myös sellaisia yhteisö- ja ajanvietepalveluita, joista ei makseta vastikkeena rahaa. Näissä palveluissa vastikkeena toimivat henkilötiedot, jotka kuluttaja luovuttaa palveluntarjoajalle kirjautuessaan palveluun. Sosiaalisen median palveluille ja mobiilipeleille on tyypillistä, että mm. henkilötietojen käsittelyyn liittyvät käyttöehdot ovat hyvin pitkiä ja vaikeaselkoisia ja antavat palveluntarjoajalle usein rajoittamattomat mahdollisuudet käyttää kuluttajan palveluun tuottamaa sisältöä hyväkseen ja toisaalta rajoittavat merkittävästi kuluttajan oikeuksia. Henkilötietojen käsittelyä koskevasta ikärajasta säädettäessä tulisi kiinnittää huomiota siihen, minkälaisia ehtoja palveluissa tosiasiassa käytetään ja minkä ikäisellä lapsella on kyky ymmärtää niiden sisältö ja merkitys oikeuksiinsa ehdot hyväksyessään. Tässä suhteessa merkitystä ei ole sillä, edellyttääkö palvelun käyttäminen rahallista vastiketta vai ei. Holhoustoimilain 24 §:n mukaan vajaavaltainen voi tehdä oikeustoimia, jotka ovat olosuhteisiin nähden tavanomaisia ja merkitykseltään vähäisiä. Huoltajan suostumuksen tarvetta arvioitaessa otetaan huomioon muun muassa ostajan ikä sekä ostoksen hinta ja laatu. Suostumuksen antamista henkilötietojen käsittelemiseen ei ole yleensä pidettävä tavanomaisena tai merkitykseltään vähäisenä oikeustoimena, kun otetaan huomioon se, miten henkilötietoja on mahdollista palveluntarjoajien käyttöehtojen mukaan käyttää. Siksi tietosuoja-asetuksen tarkoittaman ikärajan pitäisi olla vähintään 15 vuotta.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • Tietosuoja-asetus rajoittaa lasten henkilötietojen käsittelyä ilman huoltajien suostumusta (tietosuoja-asetus 8 artikla). Se, mihin asetetaan ikäraja, joka määrittää, milloin alaikäinen voi käyttää esimerkiksi sosiaalisen median palveluja ilman huoltajien lupaa, on ollut työryhmän valmisteluprosessissa keskeinen kysymys. Työryhmä on pitänyt mahdollisena sekä 13 että 15 vuoden ikärajan asettamista (tietosuojalakiehdotus 4 §). Asetuksen 8 artikla koskee vain sitä toimintaa, jonka henkilötietojen käsittelyn oikeusperustana on suostumus. Tietosuoja-asetuksen mukaan vanhempainvastuunkantajan suostumuksen ei olisi oltava tarpeen tarjottaessa ennalta ehkäiseviä palveluja tai neuvontapalveluja suoraan lapselle (johdanto 38 kohta). Ministeriön jatkotyöskentelyssä tulee tarkentaa, mitä näillä palveluilla tarkoitetaan. LSKL pitää ongelmallisena sitä, että mietinnöstä puuttuu perusteellinen lapsi- ja perhevaikutusten arviointi: mitä erilaisia vaikutuksia lasten ja huoltajien asemaan on ikärajan asettamisella joko 13 tai 15 vuoteen. Keskusliitto on perinteisesti suhtautunut kriittisesti biologisten ikärajojen asettamiseen ilman kunnollisia perusteluita siitä, miksi juuri kyseistä ikärajaa ehdotetaan tai miksi se on valittu. Tietosuoja-asetuksen toimeenpano on tasapainoilua lapsen suojelun ja osallistumisoikeuden välillä. Tietosuoja-asetukseen liittyvässä keskustelussa on esitetty huolta siitä, että mikäli huoltajien lupaa koskeva ikäraja asetetaan liian korkealle, se vaikuttaa negatiivisesti lasten ja nuorten yksityisyyteen ja osallistumisen oikeuteen. Sosiaalinen media on keskeinen (päivittäinen) väline sosiaalisen kanssakäymiseen nuorille ja mahdollistaa osallistumista omassa ystäväpiirissä. Lapsen oikeuksien komitea on korostanut somen ja digitaalisen median merkitystä ja mahdollisuuksia esim. vammaisten lasten osalta. Se on siis tärkeä osa lasten osallistumisen mahdollisuuksia ja tämä tulee ottaa huomioon, kun ikärajakysymystä liittyen tietosuoja-asetukseen arvioidaan. Ikärajan asettaminen liian korkealle voi olennaisesti vaikeuttaa lapsien mahdollisuutta sosiaaliseen kanssakäymiseen ja mahdollisuuksiin ilmaista itseään verkossa. Toisaalta on tuotu esille, että verkkoympäristössä toimimisessa on riskejä, joita nuorten on vaikea hallita. Esimerkiksi Lastensuojelun Keskusliiton kyselyssä lapsille ja nuorille (13-17 -vuotiaille) tuli esille, että nuoret olivat joutuneet sosiaalisessa mediassa tilanteisiin, joissa heidän kuviaan tai sosiaalisen median profiiliaan oli väärinkäytetty. Yleisin sosiaalisen median haittapuoli oli tiedoista tai kuvista aiheutuva kiusaaminen. Lisäksi lapsen oikeuksien komitea on useissa eri yhteyksissä nostanut esille verkkopalveluiden sisältämiin mainoksiin liittyvät ongelmat ja haitat lasten ja nuorten osalta. Yleisesti on myös moitittu epäselviä ja vaikeatajuisia verkkopalveluiden käytön ehtoja: aikuisellekin on haastavaa ymmärtää, mihin niissä sitoutuu. (Kuluttaja-asiamiehen lausunto yleisen tietosuoja-asetuksen tietoyhteiskunnan palveluihin liittyvän lapsen suostumusta koskevasta 8 artiklasta: ”Sosiaalisen median palveluille ja mobiilipeleille on tyypillistä, että mm. henkilötietojen käsittelyyn liittyvät käyttöehdot ovat hyvin pitkiä ja vaikeaselkoisia ja antavat palveluntarjoajalle usein rajoittamattomat mahdollisuudet käyttää kuluttajan palveluun tuottamaa sisältöä hyväkseen ja toisaalta rajoittavat merkittävästi kuluttajan oikeuksia.”) Keskusliitto korostaa, että ikäraja lasta suojaavana ja toisaalta lapsen osallisuutta mahdollistavana tekijänä on riippuvainen siitä, miten jatkovalmisteluissa kyetään turvaamaan jäljempänä (kohdassa ”Muita huomioita työryhmän mietinnöstä ja ehdotuksesta hallituksen esitykseksi”) esille tuotuja lasten oikeuksiin vaikuttavia seikkoja. EU:n tietosuoja-asetuksen 8 artiklan mukaisten ikärajojen asettaminen on koettu haasteelliseksi myös muissa Euroopan maissa. Irlannissa ikäraja on päädytty asettamaan 13 ikävuoteen. Sitä puolsi esim. The Children´s Rights Alliance (Submission to the Department of Justice and Equality on the Age of Consent for Digital Media). Ruotsissa SOU:n (Statens offentliga utredningar) mietinnössä (Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning, Betänkande av Dataskyddsutredningen 2017:39) ehdotetaan kyseiseksi ikärajaksi 13 vuotta. Kolmentoistavuoden ikärajasta on keskusteltu myös Norjassa, Espanjassa sekä Puolassa. Saksa on päätynyt ja Hollanti ja Unkari ilmeisesti päätymässä 16 vuoden ikärajaan. Itävalta on päätynyt 14 vuoden ikään. Lastensuojelun Keskusliiton nuorille suunnatussa kyselyssä keräsi eniten kannatusta 13-vuoden ikäraja, jota kannatti 43 % vastaajista. Toiseksi eniten ääniä sai 14-vuoden ikäraja 20 %:n äänimäärällä. Asetuksen määrittämän lähtökohtaisen 16-vuoden ikärajan kannalla oli ainoastaan 5 % kysymykseen vastanneista. Huomionarvoista oli, että vanhemmat vastaajat asettaisivat palveluille nuorempia korkeampia ikärajoja. Kysyttäessä nuorilta palvelukohtaisia ikärajoja hajaantuivat vastaukset siten, että Facebookille, Instagramille, SnapChatille sekä Twitterille ehdotettiin eniten 13-vuoden ikärajaa, kun taas verkkopelien, Youtuben ja WhatsAppin osalta eniten toivottiin 12-vuoden ikärajaa. (Lastensuojelun Keskusliitto toteutti keväällä 2017 nuorille suunnatun verkkokyselyn, jossa kartoitettiin mm. nuorten näkemyksiä sopivista ikärajoista. Kyselyä levitettiin verkossa Keskusliiton yhteistyökumppaneiden avulla ja siihen saatiin yhteensä 113 vastausta. Vastaajista 60 % oli tyttöjä ja 34 % poikia. Muun sukupuolisia oli 4 % vastaajista. Loput 2 prosenttia eivät ilmoittaneet sukupuoltaan Suurin osa vastaajista oli 17-vuotiaita. Raportti kyselyn tuloksista tullaan julkaisemaan syksyllä Lastensuojelun Keskusliiton verkkosivuilla.) LSKL korostaa, että lainvalmisteluun olennaisesti kuuluva lapsivaikutusten arviointi pitää sisällään myös lasten ja nuorten omien näkemysten ja mielipiteiden selvittämisen päätöksenteon tueksi.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Mietinnössä (s. 75) on asianmukaisesti pidetty lähtökohtana Yhdistyneiden kansakuntien lapsen oikeuksien yleissopimusta ja Euroopan unionin perusoikeuskirjaa, kun käydään rajanvetoa tietoyhteiskunnan palveluihin liittyvän lapsen ikärajan osalta. Yleisen tietosuoja-asetuksen 8 artiklan 1 kohdan mukaan jos 6 artiklan 1 kohdan a alakohtaa sovelletaan, katsotaan, että kun kyseessä on tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 16-vuotias. Jos lapsi on alle 16 vuotta, tällainen käsittely on lainmukaista vain siinä tapauksessa ja siltä osin kuin lapsen vanhempainvastuunkantaja on antanut siihen suostumuksen tai valtuutuksen. Jäsenvaltiot voivat lainsäädännössään säätää tätä tarkoitusta koskevasta alemmasta iästä, joka ei saa olla alle 13 vuotta. Ulkoasiainministeriö katsoo, että yleisen tietosuoja-asetuksen 8 artiklan tarkoituksena on parantaa lasten henkilötietojen suojan tasoa ja korkeammalla ikärajalla voitaisiin lähtökohtaisesti varmistua lasten henkilötietojen käsittelyn lainmukaisuudesta. Mietinnössä (s. 121) on mainittu, että Internet voi tarjota esimerkiksi seksuaalisen identiteetin tai vaikean perhetilanteen kanssa kamppailevalle teini-ikäiselle lapselle mahdollisuuden hakea apua ja vertaistukea. Teknologian on katsottu vahvistavan lasten asemaa, sillä teknologian ansiosta lapset eivät ole riippuvaisia aikuisista hankkiessaan tietoa erityisesti arkaluonteisista aiheista. Toisaalta on huomioitava myös lapsen oikeuksien yleissopimuksen 19 artiklan mukainen lasta koskeva suojelullinen elementti, joka soveltuu myös tietoyhteiskunnan palveluihin. Lisäksi Suomessa rikosoikeudellisen vastuun ikäraja on 15 vuotta. Sitä nuorempana rikokseen syyllistyneitä ei rangaista, koska heitä ei pidetä rikosoikeudellisesti syyntakeisina. Muissakin kansallisissa säännöksissä ikärajana sovelletaan 15 vuotta. Ulkoasiainministeriö pitää edellä mainitut seikat huomioiden perusteltuna, että jos EU:n jäsenvaltioilla tai Pohjoismailla ei ole yleistä ja yhdenmukaista linjaa tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta, sovellettavan ikärajan tulisi olla 15 vuotta.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Ehdotuksen perusteluissa on tuotu esille, että lapsella on YK:n lapsen oikeuksien sopimuksen 6 artiklan nojalla oikeus kehittymiseen, ja sosiaalisen median vaikutus siihen on nykyään suuri. Kirkkohallitus sinänsä yhtyy tähän näkemykseen, mutta haluaa tuoda samalla esille, että sosiaalisessa mediassa henkilötietojen väärinkäytön riskit ovat myös suuret. Vaikka esimerkiksi 13 vuotiaalla lapsella on monesti hyvät tietotekniset valmiudet käyttää tietoyhteiskunnan palveluja, välttämättä lapsen kehitystaso ja ymmärrys eivät kuitenkaan ole palvelun kokonaisuuden hahmottamisen edellyttämällä tasolla. Kuitenkin seurakuntatyön, erityisesti rippikoulutyön kannalta 13 vuoden ikäraja on tarkoituksenmukaisin.
      • Asian selvittämiseksi seuraamuslautakunnassa voitaisiin toimittaa tarvittaessa suullinen käsittely. Seuraamuslautakunnan olisi toimitettava suullinen käsittely, jos asianosainen pyytää sitä. Suullisessa käsittelyssä voitaisiin kuulla asianosaisia, todistajia ja asiantuntijoita sekä vastaanottaa muuta selvitystä. Tämä olisi yksi oikeusturvatae määrättäessä hallinnollisia sakkoja, jotka voivat nousta huomattavan korkeiksi.
      • Yleiset kommentit suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • MMM katsoo, että suulliseen käsittelyyn seuraamuslautakunnassa tulisi pystyä osallistumaan nykyaikaisia sähköisiä viestintäkeinoja käyttämällä. Tällaisen etäosallistumista koskevat yleiset edellytykset tulisi säännellä hallintokäyttölaissa ja MMM katsoo, että etäosallistumisen mahdollistamat muutokset tulisi tehdä suoraan hallintokäyttölakiin.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Hallinnollisten sakkojen määräämisessä tulisi käyttää kansallista liikkumavaraa vähemmistöön jääneiden työryhmän edustajien perustein. Suullinen käsittely: Hallinto-oikeus toteaa 16 §:n säännöksen asia huomioon ottaen sinänsä perustelluksi. LHH: Ensisijaisesti hallintolainkäyttölaki on kuitenkin tarkoitettu käytettäväksi vai tuomioistuintoiminnassa. Salassapito: Ehdotuksen 20 §:n 3 momentissa on erityissäännössäännös asianosaisen oikeudesta saada tieto ilmoituksen tekijän henkilöllisyydestä. Henkilötietojen luovuttamisesta viranomaisten henkilörekistereistä on kuitenkin voimassa yleislakina ehdotuskohdassakin mainittu laki viranomaisten toiminnan julkisuudesta (julkisuuslaki). Näin ollen on perustellumpaa lausua nimenomaan viranomaisen asiakirjoihin liittyvästä asianosaisen tiedonsaantioikeudesta ja sen rajoittamisperusteista julkisuuslain 11 §:n 2 momentissa ja säätää viittaussäännös nyt valmisteilla olevaan lakiin.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Suomen Yrittäjät kannattavat mahdollisuutta toimittaa tarvittaessa suullinen käsittely oikeusturvan takaamiseksi.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Oikeus tulla kuulluksi on keskeinen oikeusturvan tae. Teknologiateollisuus ry kannattaa 16 §:ssä ehdotettua säännöstä.
      • Finnet-liitto ry
        Päivitetty:
        8.9.2017
        • Kannatamme sinänsä suullisen käsittelyn mahdollisuutta. Huomattavien sanktioiden vuoksi tämä on tärkeä oikeusturvan tae. Toivoisimme kuitenkin, että sääntelyn monimutkaisuuden ja tulkinnanvaraisuuden vuoksi kansallisen tietosuojaviranomaisen rooli olisi jatkossakin ensisijaisesti ohjaava ja neuvova. Resurssit tulisi lähtökohtaisesti käyttää painottuen tähän rooliin. Suurien sanktioiden asettaminen tulisi olla viimesijaista ja tulla kyseeseen ainoastaan tilanteissa joissa rikkomus johtuu selvästä tahallisuudesta tai välinpitämättömyydestä. Se, että ohjaava viranomainen on valtuutettu antamaan merkittäviä sanktioita voi toimia korkeampana kynnyksenä sille, että toimijat rohkenevat pyytämään ohjausta. Suosittelisimme työryhmän miettimään vaihtoehtoa, että sanktioiden määrääminen kuuluisi (viraston esityksestä) riippumattomalle tuomioistuimelle.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Pykälä on yhdenmukainen hallintolainkäyttölain suullista käsittelyä koskevien 37 ja 38 §:n kanssa. Suullinen käsittely toimii myös seuraamuslautakunnassa osaltaan oikeusturvan takeena. Suullisen käsittelyn mahdollisuus on järkevä oikeusturvaa ja kuulluksi tulemisen tunnetta lisäävä linjaus. Hallinto-oikeus on nähdäksemme oikea taho käsittelemään nämä luultavasti lukumäärältään varsin vähäiset asiat.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia pitää suullisesta käsittelystä seuraamuslautakunnassa oikeusturvan kannalta hyvänä ja perusteltuna.
      • Open Knowledge Finland
        Päivitetty:
        8.9.2017
        • Open Knowledge Finland kannattaa suullisen kuulemisen mahdollisuutta. Käsittelyn tulee olla mahdollisimman avointa ja laaja-alaista, sillä kyseessä ovat tärkeät periaatteelliset kysymykset, joissa perusteita tulee käsitellä asianmukaisessa laajuudessa.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • On perusteltua, että seuraamuslautakunnassa toimitetaan suullisia käsittelyjä. Toivottavaa on, että seuraamuslautakunta ei kovin helpoin perustein katsoisi, että suullinen käsittely on asian laadun vuoksi tai muusta syystä ilmeisen tarpeetonta, koska suullisessa käsittelyssä asian osapuolten näkemyksiä voidaan käsitellä perusteellisemmin ja on myös mahdollisuus kuulla todistajia. Erityisesti tämä on toivottavaa tietosuoja-asetuksen soveltamisen alkuvaiheessa, jolloin hallinnollisten sakkojen tasot eivät ole vielä vakiintuneet.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Lakiluonnoksessa ei ole säädetty selkeästi onko seuraamuslautakunnan toiminta hallintomenettelyä vai lainkäyttöä. Sääntely, jossa hallintomenettely ja hallintolainkäyttö sekoittuvat seuraamuslautakunnan menettelyissä, on omiaan vaarantamaan perustuslain 21 §:ssä turvatun yksilön oikeusturvan sekä hyvän hallinnon toteutumisen. Koska seuraamuslautakunta käyttää merkittävää julkista valtaa ja toiminta vaikuttaisi olevan tietyntyyppistä tuomiovallan käyttöä, tulisi menettelyjen noudattaa hallintolainkäyttölakia. Toisaalta tämän tyyppisissä lautakunnissa sovelletaan hallintolakia, ellei joiltakin osin ole toisin säädetty. Itä-Suomen yliopiston näkemyksen mukaan seuraamuslautakunnan menettelysäännöksiä on tarkennettava. Esimerkkinä voisi käyttää lakia yhdenvertaisuus –ja tasa-arvolautakunnasta.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa suullista käsittelyä seuraamuslautakunnassa koskevasta 16 §:stä.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotuksen 16 §:ssä on säädetty, että suullinen käsittely voitaisiin järjestää seuraamuslautakunnassa vain samoissa tilanteissa kuin hallinto-oikeudessa. Hallinto-oikeuden käsityksen mukaan olisi hyvä vielä tarkentaa, onko rekisteröity asianosainen hallinnollisen sakon määräämistä koskevassa asiassa ja voiko hän valittaa lautakunnan päätöksestä hallinto-oikeuteen. Ilmeisesti rekisteröidyn ei ole tarkoitus olla asianosainen, koska asia tulisi vireille seuraamuslautakunnassa tietosuojavaltuutetun toimesta. Asianosaisuuskysymystä olisi kuitenkin hyvä perusteluissa tarkentaa.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Yhtenä haasteena erilaisten lautakuntien käytännön toiminnassa on ollut niiden ole-maton tai rajoitettu mahdollisuus kuulla todistajia ja vastaanottaa muuta asian ratkai-semisen kannalta tarpeellista selvitystä. On hyvä, että tämä haaste on lakiluonnok-sessa selvästikin tunnistettu ja kyetty ratkaisemaan mahdollistamalla suullinen käsit-tely lautakunnassa.
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • Kannatamme ehdotettua tietosuojalain 16 §:ää. Se on keskeinen myös hallinnollisten sakkojen kannalta.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • ASML pitää suullisen käsittelyn mahdollisuutta perusteltuna oikeusturvatakeena.
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • -
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus mahdollistaa hyvinkin korkeat hallinnolliset sanktiot, joilla saattaa olla toimijan kannalta hyvin suuri merkitys. On tärkeää, että oikeusturvasta huolehditaan. Esitetty suullinen käsittely on menettelynä kannatettava.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Oikeus tulla kuulluksi on keskeinen oikeusturvan tae. EK kannattaa ehdotettua tietosuojalain 16 §:ää, joka tuo seuraamuslautakunnan toimintaa prosessuaalisesti hallintolainkäyttölain puitteisiin.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen mukaiset hallinnolliset sakot ovat ankaruustasoltaan täysin eri mittaluokassa kuin mikä on ollut suomalaisen oikeusjärjestelmän perinne. Tästä syystä pidän tärkeänä, että hallinnollisen sakon määräämistä koskevat asiat käsitellään jo seuraamuslautakunnassa mahdollisimman perusteellisesti. Kannatan ehdotusta suullisesta käsittelystä. Asian valmistelussa on seurattava hallintolainkäyttölakiin kaavailtuja muutoksia (työryhmän ehdottama laki oikeudenkäynnistä hallintoasioissa).
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • OP kannattaa suullista käsittelyä asianosaisen oikeusturvan takaamiseksi mietinnössä esitetyillä perusteluilla.
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • SJL suhtautuu myönteisesti esitettyyn suulliseen käsittelyn mahdollisuuteen seuraamuslautakunnassa.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Seuraamuslautakunnan tulisi  käsittelyssään arvioida,  onko  henkilötiedot suojattu noudattaen hyvää tiedonhallintatapaa, riittävää tietoturvallisuuden tasoa hallinnollisten ja teknisten suojaamiskeinojen osalta. 
      • Museovirasto
        Päivitetty:
        7.9.2017
        • Museovirasto katsoo, että säännös suullisesta käsittelystä seuraamuslautakunnassa on asianosaisen oikeusturvan kannalta hyvä ja perusteltu ratkaisu.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommenttia.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Ulkoasiainministeriö pitää säännöstä suullisesta käsittelystä seuraamuslautakunnassa asianosaisen oikeusturvan kannalta hyvänä ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää tärkeänä, että asiaan vaikuttavat tosiseikat selvitetään mahdollisimman perusteellisesti. Tästä syystä suullisen käsittelyn järjestäminen pääsääntöisesti olisi perusteltua. Asianosaisen pyytäessä suullista käsittelyä se voitaisiin kirkkohallituksen mielestä jättää järjestämättä vain poikkeuksellisesti.
      • Muut yleiset kommentit valvontaviranomaista koskevasta 3 luvusta.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojaluonnoksen 10 §:n (kelpoisuusvaatimukset ja nimitysperusteet) osalta jää epäselväksi, miksi yhdessä tapauksessa vaaditaan tarvittavien henkilökohtaisten ominaisuuksien omaamista ja toisessa taas tehtävän hoidon edellyttämää muuta pätevyyttä. Olisi hyvä, että perusteluissa jollain tapaa luonnehdittaisiin säännöksiä. Tietosuojalakiluonnoksen 20 §:n 2 momentissa säädetään ilmiantajan henkilön nimen salassapidosta. Pykäläkohtaisten perustelujen mukaan tietosuoja-asetuksen 54 artiklan 2 kohta edellyttää tätä. MMM toteaa, että tietosuoja-asetuksen 54 artiklan 2 kohta on tulkinnanvarainen. Tietosuoja-asetusta koskevassa Ruotsin selvityksessä (SOU 2017:39; s. 261-262) todetaan, että todennäköisesti säännöksessä tarkoitetaan rekisterinpitäjän tai henkilötietojen käsittelijän liike- ja toimintaolosuhteita, jotka tietosuojavastaava voi saada tietoonsa tehtävää hoitaessaan. Ruotsin selvityksen mukaan ei voi sulkea pois sitäkään vaihtoehtoa, että tarkoituksena olisi ollut suojata ilmiantajan nimeä tai muita henkilön henkilökohtaisia olosuhteita. Suomessa on asiaa jo joltain osin tarkasteltukin ilmiantajan suojan tarvetta. Tältä osin MMM viittaa OM:n mietintöön korruptioepäilyistä ilmoittavien henkilöiden suojelusta (OM Selvityksiä ja ohjeita 25/2016) ja Valtion virkamieseettisen toimikunnan raporttiin (VM:n julkaisu 3/2014). VM:n raportin 3.4 luvussa todetaan, että väärinkäytösten paljastajien suojelu (whistleblower protection) on vierasta suomalaiselle työelämälle. MMM katsoo, että sama koskee viranomaistoimintaa. MMM katsoo, että ilmiantajan henkilöllisyyden salassapitoa tulisi kuitenkin tarkastella laajemmassa asiayhteydessä. Muutkin viranomaiset saavat ilmiantoja, joiden osalta voisi ehkä tulla kyseeseen ilmiantajan nimen suojaaminen. MMM ei pidä perusteltuna sitä, että erityissäännöksin jatkossa säädettäisiin ilmiantajan henkilöllisyyden salassapidosta. Perustellumpaa olisi tarkastella asiaa erillisinä lainsäädäntöhankkeena. MMM:n näkemyksen mukaan edellä olevat seikat huomioon ottaen esitysluonnoksessa ei ole riittäviä perusteluja ja taustaselvitystä nyt esitetylle uudelle salassapitosäännökselle. Lisäksi MMM:n näkemyksen mukaan esitysluonnoksen perustuslakiosion maininta (s. 177) siitä, että salassapitosäännöksen sisällyttäminen tietosuojalakiin ”olisi tärkeä lainsäädännön yhdenmukaisuuden vuoksi, sillä ehdotettu tietosuojalaki sisältäisi säännökset tietosuojavirastosta ja oikeusturvatakeista”, ei pidä paikkansa. Lainsäädännön yhtenäisyyden vuoksi ilmiantajan suojaamista koskeva yleissäännös nimenomaan sopisi julkisuuslakiin. Lisäksi eduskunnan julkisuuslainsäädännön kokonaisuudistuksen yhteydessä hyväksymän lausuman mukaan salassapitoa koskevien erityissäännösten ottamista muuhun kuin julkisuuslakiin on vältettävä (EV 303/1998 vp). MMM katsoo, että mahdollinen ilmiantajan henkilöllisyyden salassapitoa koskeva säännös tulisi sisällyttää julkisuuslakiin. Erityislakiin tulisi ottaa ilmiantajan henkilöllisyyden salassapitoa koskeva säännös vain siinä tapauksessa, ettei julkisuuslain salassapitosäännös ole riittävä ja ao. sektorilla on joitain sellaisia erityispiirteitä, jotka puoltavat erityissäännöksen sisällyttämistä jonkin sektorin lainsäädäntöön. Ilmiantajan henkilöllisyyden salassapidon tarpeesta tulisi kuitenkin ensin tehdä esiselvitys. Tietosuojalakiluonnoksen 14 §:n 1 momentista käy ilmi, että pääsääntöisesti tietosuojavaltuutettu ratkaisee asiat esittelystä. Poikkeukset tälle menettelylle on jätetty täysin avoimiksi. MMM esittää, että säännöstä tältä osin tarkistettaisiin. Esimerkiksi valtioneuvoston ohjesäännön 38 §:ssä on yksilöity poikkeukset. Jollain vastaavalla tavalla tulisi täydentää myös tietosuojalakiluonnoksen 14 §:n 1 momenttia.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Tietosuojavaltuutetun, apulaistietosuojavaltuutetun ja seuraamuslautakunnan tulisi olla riippumattomia poliittisista suhdanteista. Riippumattomuuden varmistamiseksi olisi hyvä, että nimittämisessä olisi mukana jokin muukin taho kuin valtioneuvosto. Nimittäminen voisi valtioneuvostossa tapahtua esimerkiksi tuomarinvalintalautakunnan perustellusta esityksestä samaan tapaan kuin tuomarien nimittäminen. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittävä taho voisi olla myös eduskunta samaan tapaan kuin eduskunnan oikeusasiamiehen ja apulaisoikeusasiamiehen kohdalla. Effi pitää erinomaisena asiana, että ehdotetussa tietosuojalain 20 §:ssä säädettäisiin niin sanotusta whistleblower-suojasta, eli väärinkäytöksen ilmiantaneen henkilön henkilöllisyyden suojaamisesta. Tällainen säännös on ehdottomasti tarpeen.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu että tietosuoja-asetuksessa säädetyn kaltaisen hallinnollisen sakon voi määrätä vain tuomioistuin. Mikäli tietosuojaviranomianen kuitenkin jatkossa määrää hallinnollisen sakon, pidämme perusteltuna, että asiasta päättää tietosuojalailla perustettavaksi esitetty seuraamuslautakunta. Lautakunnan toimivaltaan pitäisi myös kuuluu tietosuojavaltuutetun sijaan päättää väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle. Oikeustieteellinen koulutus perusvaatimuksena lautakunnan jäsenyydelle on perusteltu, mutta ei riittävä. Näemme tärkeäksi, että lautakunnan kokoonpanossa on sisäänrakennettuna tietosuojaa ja -turvaa koskevaa vahvaa teknistä ja organisatorista osaamista. Lautakuntaa tulisi myös kannustaa asiantuntijoiden kuulemiseen riittävän laaja-alaisesti, jotta varmistetaan seuraamuslautakunnan käsittelyn kohteena olevan rekisterinpitäjän tai tiedonkäsittelijän oikeusturva.
      • Tietoliikenteen ja tietotekniikan keskusliitto, Mäkinen Jussi
        Päivitetty:
        8.9.2017
        • Työryhmä esittää, että seuraamuksista päättäisi uuden tietosuojaviranomaisen sisäiseksi päätöksentekoelimeksi perustettava seuraamuslautakunta. FiComin mielestä tietosuoja-asetuksen perusteella määrättävät seuraamukset voivat määrältään olla siinä määrin merkittäviä, että ne soveltuisivat valtiovallan komijako-opin mukaisesti paremmin riippumattoman tuomioistuimen määrättäviksi. Valvovan ja ohjaavan viranomaisen merkittävä rooli seuraamuksista päätettäessä voi johtaa tietosuojaviraston ohjaavan ja neuvovan funktion heikentymiseen sen vuoksi, että virastolle jäisi myöhemmin vapaat kädet seuraamusten osalta. Kestävämpi ratkaisu olisi jättää seuraamukset tuomioistuimen päätettäväksi.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Näkemyksemme on, että luvussa on kattavasti ja asianmukaisesti käyty läpi valvontaviranomaisen tehtäviä, henkilöstöä ja viranomaisen toiminnassa noudatettavaa menettelyä koskevat seikat.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen myötä tietosuojavaltuutettu ja tietosuojalautakunta yhdistyvät uudeksi tietosuojaviranomaiseksi. Tietosuojavaltuutetun rooli muuttuu ohjaavasta ja neuvovasta viranomaisesta vahvat toimivaltuudet omaavaksi jälkivalvojaksi. Nokia katsoo, että seuraamusmaksu, joka on voi olla suuruusluokaltaan 4 % yhtiön globaalista liikevaihdosta on rinnastettavissa rikosoikeudelliseen seuraamukseen. Nokia pitää erityisen ongelmallisena, että seuraamusmaksusta päättää tietosuojaviranomaisen sisäinen seuraamuslautakunta eikä tuomioistuin. Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu, että tietosuoja-asetuksessa säädetyn kaltaisen ankaran hallinnollisen sakon voi määrätä vain tuomioistuin. Tätä edellyttää myös Euroopan ihmisoikeustuomioistuimen vakiintunut oikeuskäytäntö. Siksi tietosuoja-asetuksen mukaiset seuraamukset tulisi saattaa tietosuojaviranomaisen esityksestä joko yleisten tuomioistuinten tai esimerkiksi Markkinaoikeuden ratkaistaviksi. Nokia katsoo, että jatkovalmistelussa tätä kysymystä pitäisi selvittää tarkemmin. Mikäli tietosuojaviranomainen jatkossa määrää hallinnollisen sakon, Nokia pitää oikeusturvan kannalta tärkeänä, että asiasta päättää viranomaisessa kollegiaalisesti asioista päättävä seuraamuslautakunta. Nokia pitää hyvänä, että seuraamuslautakunta päättäisi myös väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle (58 artiklan 2 kohdan f alakohta). Tämänkaltaisilla päätöksillä on hyvin merkittäviä vaikutuksia rekisterinpitäjille ja henkilötietojen käsittelijöille. Vastaavia hyvin merkittäviä vaikutuksia on myös tietosuoja-asetuksen 58 artiklan 2 kohdan d ja j alakohdissa kuvatuilla toimilla (”mahdollisuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa”, ja ”mahdollisuus määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle”). Seuraamuslautakunnan tulisi päättää myös näistä toimista. Lakiehdotuksen 14 §:n antaa tietosuojavaltuutetulle mahdollisuuden väliaikaisesti rajoittaa tai kieltää henkilötietojen käsittelyn. Toimikunnan lakiehdotuksen perusteluissa käy ilmi, että tarve tällaisten rajoitusten tai tietojen käyttöön voi ilmetä esimerkiksi tilanteessa, jossa nopealla toiminnalla voitaisiin estää välittömästi uhkaavat rekisteröityjen oikeuksiin kohdistuvat loukkaukset tai muut henkilötietojen suojaa koskevien säännösten rikkomukset. Nokia katsoo, että tietosuojavaltuutetun toimivallan tulisi koskea vain nopeaa toimintaa edellyttäviä välittömän uhkan tilanteita. Oikeusturvasyistä seuraamuslautakunnan tulisi aina päättää rajoituksista tai kielloista muissa kuin välittömän uhan tilanteissa. Nokia katsoo lisäksi, että asioiden käsittelyn tietosuojavirastossa on tapahduttava tavalla, jossa myös yritysten oikeusturvakysymykset on riittävällä tavalla huomioitu. Yksi tärkeimmistä oikeusturvan takeista on oikeus tulla kuulluksi. Toimikunnan ehdottama tietosuojalaki ei kuitenkaan anna rekisterinpitäjälle tai henkilötietojen käsittelijälle oikeutta tulla aina kuulluksi suullisesti tai kirjallisesti ennen tietosuojaviranomaisen päätöstä seuraamusmaksusta tai 58 artiklan 2 kohdan alakohdan toimista muissa kuin välittömän uhan tilanteissa. Näissä yritysten oikeusturvan kannalta merkittävissä tilanteissa tulisi varmistaa vahva oikeudellinen harkinta ja hyvä oikeusturva sekä oikeus tulla kuulluksi. Suullinen käsittely (16 §) ei yksistään takaa rekisterinpitäjälle tai henkilötietojen käsittelijälle oikeutta tulla kuulluksi. Lakiehdotuksen 10 § käsittelee tietosuojaviranomaisen kelpoisuusvaatimuksia. Nokia katsoo, että pelkkä oikeustieteellinen tausta ja vahva tietosuoja-asioiden osaaminen eivät ole riittäviä. Tietosuoja-asiat eivät ole yksittäisiä ja erillisiä vaan ne liittyvät lähes aina laajempiin liiketaloudellisiin, organisatorisiin ja tietoteknisiin kysymyksiin. Erityisesti seuraamuslautakunnan kokoonpanoon tulisi tämän vuoksi jo lain tasolla olla sisäänrakennettuna myös vahva (tieto)tekninen ja organisatorinen osaaminen. Tämä auttaisi sitä, että seuraamuslautakunta kykenisi kysymään oikeita ja riittäviä kysymyksiä usein teknisesti haastavien asioiden oikeudenmukaiseksi ratkaisemiseksi. Ottaen huomioon seuraamuslautakunnan käsittelyn kohteena olevat rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvanäkökohdat, lautakunnan osaamisen tulee olla juridisesti korkealaatuista mutta myös laaja-alaista.
      • Open Knowledge Finland
        Päivitetty:
        8.9.2017
        • Kannatamme ajatusta Tietosuojavirastosta ja sen tehtävistä. Tehtävät olisi kuitenkin hyvä kuvata niin, että virastolla saattaisi olla myös tietosuojaa sivuavia tehtäviä, esimerkiksi mahdollisesti tiedon avoimuuteen liittyviä tehtäviä (kuten Yhdistyneiden kansakuntien “Information Commissioner”). Lakiehdotuksen kuvaus on potentiaalisesti poissulkeva. Mietinnöstä jäi epäselväksi kuka tekee linjaukset yleisestä edusta ja miten se määritellään. Käytännöllisenä esimerkkinä voidaan kysyä onko Wikipedia yleinen etu, tai milloin esimerkiksi kansalaisyhteiskunnan toiminnan katsotaan ovat “yleistä etua”?
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Muilta osin ei ole kommentoitavaa 3. luvusta. Toivottavaa on, että tietosuojavirastolle turvataan riittävät resurssit sen tehtävien hoitamiselle.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Tietosuojalakiin ehdotetaan salassapitosäännöksiä. Itä-Suomen yliopiston näkemyksen mukaan ehdotettu 20 § on tarpeeton, koska salassapidosta on jo säädetty julkisuuslaissa tai salassapitosääntely tulisi sijoittaa julkisuuslakiin. Ehdotetun 20.1 § on tarpeeton, koska tietosuojavirasto on julkisuuslain mukainen viranomainen ja viranomaisen henkilöstön salassapitovelvollisuudesta on säädetty julkisuuslaissa. Ehdotetun 20.2 §:ssä ilmoittajan henkilöllisyyteen liittyvä salassapitosäännös tulisi sisällyttää osaksi julkisuuslain 24 §:n salassapitosäännöksiä. Eduskunnan julkisuuslainsäädännön kokonaisuudistuksen yhteydessä hyväksymän lausuman mukaan salassapitoa koskevien erityissäännösten ottamista muuhun kuin julkisuuslakiin on vältettävä (EV 303/1998 vp). Tätä lausumaa ei voida jättää huomiotta tietosuojalain jatkovalmistelussa. Ehdotetun 20.3 §:ssä tarkoitettu asianosaisen tiedonsaantioikeutta koskeva poikkeus on jo säädetty asiallisesti julkisuuslain 11.2 §:n 1 kohdassa. Jos on tarvetta tätä tarkentaa, tulisi asiasta säätää tietosuojalain sijaan julkisuuslaissa. Tietosuojalain 34 §:n ehdotettu säännös vastaa pääosin nykyisin henkilötietolain salassapitosäännöstä. Säännökseen on lisätty liike- ja ammattisalaisuutta koskeva uusi salassapitoperuste. Lisäystä ei ole riittävästi perusteltu säännöksen perustelutekstissä. Liike- ja ammattisalaisuuksien salassapidosta on säädetty erikseen lainsäädännössä julkisuuslaissa sekä sopimattomasta menettelystä elinkeinotoiminnassa annetussa laissa (1061/1978). Itä-Suomen yliopisto kiinnittää huomiota siihen, että liikesalaisuusdirektiivi (EU) 2016/943 on tullut voimaan kesällä 2016 ja sen kansalliset täytäntöönpanotoimet ovat käynnissä. Direktiivin kansallinen implementointi on tehtävä 9.6.2018 mennessä. Direktiivin kansallinen implementointi on työ- ja elinkeinoministeriön vastuulla. TATTI-työryhmän ehdotuksesta ei ilmene, liittykö liike- ja ammattisalaisuutta koskeva lisäys tähän direktiivistä johtuvaan kansalliseen implementointiin taikka yleensäkin, miten ehdotettu lisäys liittyy yleisen tietosuoja-asetuksen kansallisiin täytäntöönpanotoimiin.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa valvontaviranomaisia koskevasta 3 luvusta.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Ehdotuksen 15 §:n 2 momentissa oleva äänestyssäännös poikkeaa rangaistuksenluonteisten seuraamusten osalta hallintolainkäyttölain sääntelystä, mutta hallinnossa on luonnollisesti mahdollistakin säätää toisin.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • 10 §. Kelpoisuusvaatimukset ja nimitysperusteet Tietosuoja-osaajia ja asiantuntijoita löytyy eri koulutustaustan omaavista ihmisistä. Nykyiset rajaukset saattavat seuraamuslautakunnan osalta johtaa tilanteeseen, jossa tietosuoja-asiantuntemukseltaan paras kandidaatti rajautuu ulos koulutustaustansa vuoksi. Riittävää on, että seuraamuslautakunnan puheenjohtajalla ja varapuheenjohtaja on oikeustieteellinen tutkinto. 13 §. Tietosuojaviraston tehtävät ja toimivaltuudet Ehdotuksen perusteella epäselväksi jää, mistä johdetaan valvontaviranomaisen toimivalta silloin, kun tietosuoja-asetuksen soveltamisalaa on laajennettu tietosuoja-asetuksen 2 artiklan 2 kohdan a ja b alakohdan nojalla tapahtuvaan henkilötietojen käsittelyyn. Ehdotettu 13 § on harhaanjohtava siltä osin, että säännöksen perusteella voi saada sellaisen käsityksen, että tehtävistä pitäisi tällöinkin säätää erikseen, koska tässä tilanteessa tehtävien ja toimivallan laajennus ei perustu suoraan tietosuoja-asetukseen, vaan tietosuojalakiin. Näiltä osin esitystä on selkiytettävä. 17 §. Tiedonsaanti ja tarkastusoikeus Otsikkoa tulee muuttaa muotoon ”Tiedonsaanti ja oikeus tehdä tarkastuksia”: Tarkastusoikeudella viitataan perinteisesti tietosuojalainsäädännössä rekisteröidyn tarkastusoikeuteen, ei valvontaviranomaisen oikeuteen tehdä tarkastuksia.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • Asetus edellyttää, että rekisterinpitäjänä toimiva viranomainen tai julkishallinnon elin nimittää tietosuojavastaavan. Velvollisuudesta nimittää tietosuojavastaava on säädetty muutoin asetuksen 37 artiklassa. Tietosuojavastaavalta edellytetään tietosuojaa koskevan sääntelyn erityisasiantuntemusta. Oman haasteensa muodostaa tietosuojaa koskevan sääntelyn tulkinnanvaraisuus. Tietosuojasäännösten toimeenpanon ja kaikkien siihen osallistuvien organisaatioiden kannalta olisi tärkeää, että tietosuojavirasto priorisoisi toiminnassaan erityisesti 57 artiklan 1 kohdan b–d alakohdan mukaisia tehtäviä. Ei ole tarkoituksenmukaista, että julkishallinnon organisaatiot hankkivat erityisasiantuntemusta laajamittaisesti yrityksiltä täyttääkseen asetuksen velvollisuudet.
      • Asiakkuusmarkkinointiliitto ry, Jari Perko, toimitusjohtaja
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • Valvontaviranomaisen tehtäviin kuuluu asetuksen mukaan mm. yhteistyö muiden jäsenvaltioiden valvontaviranomaisten kanssa, valvontatehtävät sekä ennakkokuulemisiin liittyvät tehtävät. On korostettu, että valvonta on vain osa viranomaisen tehtäviä ja että neuvonta ja ohjeistus ovat vähintään yhtä tärkeitä tietosuoja-asetuksen ja tietosuojalain soveltajan näkökulmasta. Suomen yhteiskunnan kannalta on ensiarvoisen tärkeä, että Tietosuojavirastolle taataan riittävät resurssit toimiakseen tehokkaasti myös ennaltaehkäisevässä toiminnassaan.
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Ei kommentteja.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetuksen tullessa voimaan tietosuojaviranomaisen rooli muuttuu. Nykyisin tietosuojavaltuutetun ensisijainen tehtävä on vaikuttaa henkilötietojen käsittelyn lainmukaisuuteen ennakollisilla toimenpiteillä, ohjein ja neuvoin. Tietosuojalautakunta puolestaan on tärkein päätösvaltaa käyttävä elin. Asetuksen myötä viranomaisen toimivaltuudet vahvistuvat merkittävästi ja toiminnassa painottunee jatkossa nykyistä vahvemmin jälkikäteinen valvonta. EK pitää erityisen ongelmallisena ja rekisterinpitäjien sekä henkilötietojen käsittelijöiden oikeusturvan kannalta huolestuttavana, että tietosuoja-asetuksen ja ehdotetun tietosuojalain tullessa voimaan kansallisen tietosuojaviranomaisen olisi mahdollista määrätä rekisterinpitäjälle tai henkilötietojen käsittelijälle hallinnollinen sakko. Oikeusturvasyistä Suomessa on pääsääntöisesti katsottu, että tietosuoja-asetuksessa säädetyn kaltaisen ankaran hallinnollisen sakon voi määrätä vain tuomioistuin. Mikäli tietosuojaviranomainen jatkossa määrää hallinnollisen sakon, EK pitää perusteltuna, että asiasta päättää viranomaisessa ehdotetulla tietosuojalailla perustettavaksi esitetty kollegiaalisesti asioista päättävä seuraamuslautakunta. Perusteltua on, että seuraamuslautakunnan toimivaltaan tietosuojavaltuutetun sijaan kuuluu päättää myös väliaikaisen tai pysyvän rajoituksen määräämisestä henkilötietojen käsittelylle. Em. päätöksillä on merkittäviä vaikutuksia rekisterinpitäjille ja henkilötietojen käsittelijöille. EK toteaa, että vastaavan kaltaisia merkittäviä vaikutuksia on myös tietosuoja-asetuksen 58 artiklan 2 kohdan d ja j alakohdissa kuvatuilla toimilla (mahdollisuus määrätä rekisterinpitäjä tai henkilötietojen käsittelijä saattamaan käsittelytoimet asetuksen säännösten mukaisiksi, tarvittaessa tietyllä tavalla ja tietyn määräajan kuluessa, ja mahdollisuus määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle). Ehdotetun 14 §:n yksityiskohtaisissa perusteluissa todetaan, että tietosuojavaltuutetulla olisi toimivalta asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan f alankohdan mukainen väliaikainen rajoitus tai kielto ja tarve tällaiseen voi ilmetä esimerkiksi tilanteessa, jossa nopealla toiminnalla voitaisiin estää välittömästi uhkaavat rekisteröityjen oikeuksiin kohdistuvat loukkaukset tai muut henkilötietojen suojaa koskevien säännösten rikkomiset. Kynnys väliaikaisen rajoituksen tai kiellon määräämiseen on näin ollen varsin korkealla. EK katsoo, että jatkovalmistelun aikana 14 §:n säännöstekstiä tulisi tarken-taa, jotta siitä käy selkeästi ilmi tietosuojavaltuutetun toimivallan rajaaminen yksityiskohtaisissa perusteluissa kuvattuihin nopeaa toimintaa edellyttäviin välittömän uhkan tilanteisiin. Ehdotetun tietosuojalain 15 §:ssä todetaan, että seuraamuslautakunta käsittelee sille säädetyt asiat tietosuojavaltuutetun esittelystä ja asian selvittämiseksi seuraamuslautakunnassa toimitetaan tarvittaessa suullinen käsittely. Jatkovalmistelun aikana on tarpeen selkeyttää, että asianosaisia (rekisterinpitäjää tai henkilötietojen käsittelijää, jonka toteuttamaa käsittelyä lautakunnassa käsitellään) on lautakunnan käsittelyn aikana aina kuultava, tarvittaessa myös suullisesti. Tietosuojalain 10 §:ssä ehdotetaan säädettävän seuraamuslautakunnan puheenjohtajan, varapuheenjohtajan ja jäsenten kelpoisuusvaatimuksista ja nimitysperusteista. Lain 18 §:ssä puolestaan ehdotetaan säädettävän lautakunnan oikeudesta käyttää apunaan asiantuntijoita. EK katsoo, että vaikka seuraamuslautakunnalle on mietinnössä ehdotettu oikeutta kuulla ja käyttää asiantuntijoita, myös itse lautakunnan kokoonpanossa on varmistettava riittävän laaja-alainen osaaminen. Lautakunnan kokoonpanon (ts. kelpoisuusvaatimusten ja nimitysperusteiden) tulisi siten varmistaa korkean juridisen osaamisen lisäksi vahva tekninen ja organisatorinen tietosuojaosaaminen lautakunnan työskentelyssä. Tämä edesauttaisi osaltaan sitä, että lautakunta kykenisi esittämään oikeita ja riittäviä kysymyksiä kulloinkin käsiteltävänä olevien, usein teknisesti haastavien asioiden oikeudenmukaiseksi ratkaisemiseksi.
      • Mannerheimin Lastensuojeluliitto ry
        Päivitetty:
        8.9.2017
        • Tietosuojavaltuutetun toimisto laajennetaan tietosuojavirastoksi. On välttämätöntä, että tietosuojavirastossa on riittävä asiantuntemus lasten oikeuksista ja lasten ja nuorten tietosuojan kysymyksistä. Tietosuojaviraston on kyettävä neuvovaan ja oheistamaan lapsia, nuoria, heidän vanhempiaan, lasten kanssa työskenteleviä, muita viranomaisia, yrityksiä ja järjestöjä lasten ja nuorten tietosuojaan liittyvissä kysymyksissä. Tämä on otettava huomioon viraston voimavarojen mitoituksessa. Myös lasten ja nuorten tietosuojan toteutumisen valvonta on resursoitava riittävällä tavalla. Tietosuojalainsäädännön toteutumista on seurattava ja arvioitava myös lasten oikeuksien näkökulmasta. On säännöllisesti arvioitava lainsäädännön toteutuneita vaikutuksia lasten ja nuorten oikeuksien toteutumiseen.
      • Nets Oy
        Päivitetty:
        8.9.2017
        • TATTI-työryhmän mietinnössä ("mietintö") on ehdotettu uuden seuraamuslautakunnan perustamista. Se olisi tietosuojavirastoon kuuluva elin, jolla olisi toimivalta tehdä päätöksiä merkittävimmissä tietosuoja-asetuksen mukaisissa seuraamusasioissa. Lautakunta koostuisi viidestä sivutoimisesta jäsenestä ja se käsittelisi hallinnollisen sakon määräämistä sekä pysyviä ja määräaikaisia käsittelykieltoja koskevia asioita tietosuojavaltuutetun esittelystä. Seuraamuslautakunnan tarkoituksena olisi mietinnön mukaan toimia yhtenä oikeussuojakeinona hallinnollisia sakkoja määrättäessä ja se voisi tarvittaessa järjestää suullisia kuulemisia asian käsittelyn yhteydessä oikeusturvan parantamiseksi. Netsin näkemyksen mukaan suunniteltu seuraamuslautakunta sekä seuraamuslautakunnassa noudatettavaa menettelyä koskevat säännökset eivät loisi riittävää oikeusvarmuutta, eikä takeita yritysten oikeusturvan toteutumisesta. Ehdotettu seuraamuslautakunta ja sen toimivalta langettaa miljoonien eurojen suuruisia sakkoja olisivat merkittävä poikkeus Suomessa vakiintuneista sanktiokäytännöistä, joissa keskeisenä elementtinä on erillinen tuomioistuin sanktioista päättävänä elimenä. Tietosuoja-asetuksen mukainen sanktiojärjestelmä asettaa yrityksille merkittäviä uusia taloudellisia riskejä, joita tietosuoja-asioiden osalta ei ole ennen ollut olemassa. Jotta hallinnollisten sakkojen määräämiseen liittyvät käytännöt olisivat mahdollisimman selkeät ja ennustettavat, tulisi Netsin näkemyksen mukaan tuomioistuimen vastata sanktioiden määräämisestä. Oikeusturvaa koskevien vaatimusten perusteena on perustuslain 21 §, jonka mukaisesti hallinnollisen sanktioiden määräämistä koskeva menettely on Suomessa järjestettävä. Kilpailuoikeudellisissa asioissa Suomessa on jo pitkään ollut käytössä seuraamusmaksujärjestelmä. Käytännössä prosessin kulku on se, että markkinaoikeus määrää seuraamusmaksun kilpailuviranomaisen esityksestä. Kilpailuviranomaisella ei siten ole toimivaltaa tehdä yksipuolisia oikeudellisesti sitovia päätöksiä seuraamusmaksujen määräämisestä. Käytäntö on oikeusturvan ja ennustettavuuden kannalta tarkoituksenmukainen, kun riippumaton, puolueeton ja kilpailuviranomaisesta erillinen tuomioistuin määrää sanktiot. Perustettavan tietosuojaviraston alaisuudessa toimivan seuraamuslautakunnan rooli ei Netsin näkemyksen mukaan muodostu kilpailuoikeudellisesta sanktiomenettelystä poiketen riittävän itsenäiseksi ja puolueettomaksi, eikä se siten ole asianmukainen tae yritysten tasavertaisesta kohtelusta tilanteissa, joissa sanktiot voivat muodostua merkittäviksi. Vaikka seuraamuslautakunta olisikin tietosuojavaltuutetusta erillinen elin, ne ovat molemmat osa tietosuojavirastoa ja toimivat siten tiiviissä vuorovaikutuksessa keskenään. Nets katsoo, että edellytykset aidosti riippumattomalle ja puolueettomalle päätöksenteolle vaarantuvat, mikä lisäisi yritysten riskejä ja toimintaympäristön epävakautta. Sikäli, kun seuraamuslautakunnan toiminnasta tehtäisiin oikeusturvanäkökohtien edellyttämällä tavalla selkeästi tuomiovallan käyttämistä, tulisi siitä seuraavat vaatimukset myös huomioida seuraamuslautakunnan asemassa ja jäsenten kelpoisuusvaatimuksissa. Myös korkein hallinto-oikeus on 5.9.2017 oikeusministeriölle antamassaan lausunnossa esittänyt kritiikkiä seuraamuslautakunnasta: "Lakiehdotuksessa esitetään perustettavaksi seuraamuslautakunta, joka tehtäviensä ja menettelyidensä puolesta muistuttaa osin tuomioistuinta. Korkein hallinto-oikeus toteaa, että seuraamuslautakunnassa mahdollisesti toimitettava suullinen käsittely ei voi korvata tuomioistuimessa toimitettavaa suullista käsittelyä. Huomioon on otettava myös, että saman asian yhtäaikainen käsittely seuraamuslautakunnassa ja hallinto-oikeudessa voi osoittautua ongelmalliseksi." Nets yhtyy korkeimman hallinto-oikeuden asiassa esittämiin näkökohtiin. Netsin näkemyksen mukaan mietinnöstä ei käy yksiselitteisesti ilmi, millainen seuraamuslautakunnan suullinen käsittely tosiasiassa olisi ja sen suhde hallintotuomioistuimiin jää epäselväksi. Seuraamuslautakunnassa noudatettavaa menettelyä koskevat ehdotetut tietosuojalain 15 § (Suullinen käsittely seuraamuslautakunnassa) ja 16 § (Tiedonsaanti ja tarkastusoikeus) jättävät myös epäselviksi seuraamuslautakunnassa noudatettavan menettelyn erityisesti siltä osin, sovelletaanko asioiden käsittelyyn seuraamuslautakunnassa hallintolainkäyttölakia vaiko myös hallintolakia, siltä osin kuin kyse on muusta kuin suullisesta käsittelystä. Ehdotetut oikeusturvaa koskevat säännökset ovat myös riittämättömiä ja epäselviä. Tietosuojalain 22 § (Muutoksenhaku) perusteella ei ole selvää, missä tilanteissa yrityksellä olisi valitusoikeus. On aivan keskeistä selventää, että valitusoikeus kohdistuu sekä tietosuojavaltuutetun esitykseen seuraamuslautakunnalle että seuraamuslautakunnan ratkaisuun. Oikeusturvan kannalta seuraamuslautakunnan toimintatavoista ja menettelystä on säädettävä tyhjentävästi ja selkeästi. Mikäli seuraamuslautakunta perustetaan, sääntelyltä edellytetään nykyistä ehdotusta yksityiskohtaisempaa tasoa.
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • Ehdotetusta lakitekstistä ei ilmene, että seuraamuslautakunnan päätökset ovat tietosuojaviraston päätöksiä, joihin saa hakea muutosta. Ilmiantajan suojaksi ehdotettu tietosuojalain 20 §:n 2 momentin säännös ja asianosaisen tiedonsaantioikeuteen tältä osin 3 momentissa ehdotettu rajoitus ovat periaatteellisesti tärkeitä. Korostan sitä mietinnön perusteluista (s. 154–156) ilmenemätöntä seikkaa, että viranomaisen tulee antaa julkisuuslain 14 §:n mukainen valitusosoitus asiakirja- tai tietopyyntöön myös vain osittain kielteisen päätöksen tilanteissa. Ehdotuksen 17 §:n perusteluissa on teknisiä virheitä säädöstekstiin verrattuna (momenttien lukumäärä, viittaus henkilötietolain 39 §:ään).
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • Ei kommentoitavaa.
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • Tietosuojalaissa on paljon valvontaviranomaisia koskevia säännöksiä. Säännösten suuren määrän vuoksi ne saattaisi olla tarkoituksenmukaista siirtää kokonaan omaan lakiinsa. 17 § 3 momentissa ehdotettu tiedonsaanti- ja tarkastusoikeus asumiseen käytetyssä tilassa on aiheellinen esimerkiksi niissä tapauksissa, joissa kotitiloissa sijaitsevaa etätoimisto (työhuone tms.) on työkäytössä ja kuuluu täten rekisterinpitäjän toimintaan. Tarkastuksesta voi kuitenkin aiheutua mittavia haittoja kotitaloudelle ja sivullisille, erityisesti perheenjäsenille. 17 § 4 momentissa tulisikin edellyttää, että tarkastus ei saa aiheuttaa myöskään sivullisille tarpeetonta haittaa tai kustannuksia.
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • Mietinnössä esitetään, että seuraamuksista, kuten hallinnolliset sakot ja käsittelykiellot, päättää uuden tietosuojaviranomaisen eli tietosuojaviraston sisäiseksi päätöksentekoelimeksi perustettava seuraamuslautakunta. Vallan kolmijako-opin mukaan toimeenpanovaltaa käyttävälle viranomaiselle ei voida antaa tuomiovallan piiriin kuuluvia oikeuksia. Koska kyse on määrältään erittäin merkittävistä sanktioluonteisista seuraamuksista, ne tulisi saattaa tietosuojaviranomaisen esityksestä joko yleisten tuomioistuinten tai esimerkiksi markkinaoikeuden ratkaistaviksi. Toimeenpanovallasta ja lainsäädäntövallasta riippumattomat tuomioistuimet, joissa tuomarin vastuulla toimivat tuomarit ratkaisevat asioita esitettyjen todisteiden ja argumenttien pohjalta, ovat ainoa osapuolten oikeusturvan Suomen perustuslain edellyttämällä tavalla turvaava vaihtoehto asetuksen mukaisten seuraamusten määräämiselle.
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Suomen Journalistiliitto ry korostaa tarvetta huomioida journalistisen tietojen käsittelyn erityispiirteet ja rooli sananvapauden toteutumisessa. SJL pitää tärkeänä korostaa, että valvontaviranomaisen valtuuksia määritettäessä varmistetaan, ettei luoda mekanismeja, joilla sananvapauden ydinalueelle kuuluvaa ilmaisunvapautta rajoitetaan. On vältettävä sellaisen tilanteen mahdollistumista, jossa valvontaviranomaisella on mahdollisuus estää journalistista organisaatiota käsittelemästä tietoa journalistiseen tarkoitukseen.
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • Valvontaviranomaisella tulee olla riittävät resurssit tunnistaa, täsmentää ja viestiä, mikä on hyvä tiedonhallintatapa ja riittävä tietoturvallisuuden taso sekä hallinnollisten että teknisten suojaamiskeinojen osalta. 
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Väestörekisterikeskus tuo esiin, että valvontaviranomaisen todettua rekisterinpitäjän toimineen asetuksen tai yleisen tietosuojalain vastaisesti, on mahdollista, että rikkomuksella olisi vaikutusta myös rekisterinpitäjän asemaan Väestörekisterikeskuksen ja muiden perusrekistereistä tietoja välittävien viranomaisten asiakkaana. Tällaisessa tilanteessa on todennäköistä, että rekisterinpitäjä toimii lainvastaisesti myös käsitellessään kansallisista perusrekistereistä saamiaan tietoja. Suomalainen järjestelmä, jossa kattavat perusrekisterit palvelevat viranomaisia sekä yksityisiä yhteisöjä, ja rekisterinpitäjä voi olla usean tällaisen viranomaistoimijan asiakkaana ja valvonnassa, on hyvin erityinen eurooppalaisessa viitekehyksessä. Mikäli yhteistyö näiden viranomaisten välillä ei ole mahdollista tai tehokasta, rekisterinpitäjä voi toisaalta olla valvontaviranomaisen asettamien vakavien seuraamusten kohteena ja saada toisen viranomaisen luvan perusteella tietoja esimerkiksi väestötietojärjestelmästä. Ihanteellisessa tilanteessa valvontaviranomainen ja sellaiset viranomaiset, jotka myöntävät henkilötietoja koskevia tietolupia tai valvovat sellaista luvanvaraista toimintaa, johon liittyy vaatimus henkilötietojen asiallisesta käsittelystä, voisivat vaihtaa tietoa meneillään olevista selvityksistä ja asetetuista seuraamuksista. Tämä ei välttämättä tarkoita yksityiskohtaista tietoa tai rekisterinpitäjän liikesalaisuuksien jakamista. Viranomaisille voisi olla riittävää saada tieto siitä, että toimenpiteisiin on ryhdytty ja siitä, minkä luonteinen seuraamus on asetettu. Viranomainen voisi tällöin oman lainsäädäntönsä ja valvontavaltuuksiensa nojalla pyytää asiakkaalta selvitystä asiasta. Väestörekisterikeskus katsoo erityisen hyödylliseksi, jos valvontaviranomainen voisi antaa toiselle viranomaiselle tietoja tutkimuksen etenemisestä ja lopputuloksesta, kun tämä viranomainen on asetuksen 57 artiklan 1 kohdan h alakohdan mukaisesti antanut tietoja tutkimuksen käynnistämiseksi. Väestörekisterikeskus ei pidä tietosuoja-asetuksen näkökulmasta mahdottomana, että valvontaviranomaisen kansallisiin valtuuksiin voisi kuulua tietojenvaihtoa ja yhteistyötä muiden tietojenkäsittelyä valvovien viranomaisten kanssa.
      • Lastensuojelun Keskusliitto
        Päivitetty:
        1.9.2017
        • LSKL pitää tärkeänä, että tietosuoja-asetuksen täytäntöönpanossa ja tietosuojalain jatkovalmistelussa kiinnitetään huomiota seuraaviin asioihin: • Mietinnön mukaan tietosuojavaltuutetun toimisto laajennetaan tietosuojavirastoksi. Lasten ja nuorten oikeuksien toteutumisen kannalta olisi välttämätöntä, että tietosuojavirastossa olisi lasten ja nuorten tietosuoja-asioihin erityisesti perehtynyt henkilö, joka voisi neuvoa ja ohjeistaa velvoitteiden tulkinnassa sekä huolehtia lasten ja nuorten tiedonsaannista sekä vanhempien ja ammattilaisten ohjaamisesta. Lasten ja nuorten asioissa on nykyisinkin useita kiperiä tietosuojaan liittyviä erityiskysymyksiä, joiden suhteen sosiaali- ja terveydenhuollon toimijat kaipaisivat selkeyttämistä ja neuvontaa. Tietosuoja-asetuksen johdannon 38 kohdan mukaisesti erityisesti lasten henkilötietoja on pyrittävä suojaamaan, koska he eivät ole kovin hyvin perillä omista oikeuksistaan henkilötietojen käsittelyyn liittyen. LSKL korostaa lapsen oikeuksien toteutumista ja pitää tärkeänä, että tulevan tietosuojaviraston keskeinen tehtävä on turvata paitsi lasten ja nuorten neuvonta ja ohjaus myös lasten tietosuojan kannalta tehokas ja kattava valvonta. Lasten oikeusturvakysymykset tietosuojaan liittyen tulisi nostaa erityisesti esille viraston toiminnassa. Tietosuojaviranomaisella on mm. Norjassa keskeinen rooli liittyen lasten tietosuojan toteutumiseen lapsen oikeuksien sopimuksen edellyttämällä tavalla. (Ks. esim. NOU 2009:1. Individ og integritet. Personvern i det digitale samfunnet.; Prop. 47 L (2011–2012) Proposisjon til Stortinget (forslag til lovvedtak): Endringer I personopplysningsloven.; Lastensuojelun Keskusliiton julkaisu (2016): Lapsen yksityisyyden suoja digitaalisessa mediassa https://www.lskl.fi/materiaali/lastensuojelun-keskusliitto/Lapsen_yksityisyyden_suoja_digitaalisessa_mediassa.pdf ) • YK:n lapsen oikeuksien komitean mukaan sopimusvaltio on kaikissa olosuhteissa vastuussa yleissopimuksen täysimääräisen täytäntöönpanon takaamisesta kaikilla lainkäyttövaltaansa kuuluvilla alueilla. (Yleiskommentti nro 5, Lapsen oikeuksien yleissopimuksen yleiset täytäntöönpanotoimenpiteet). YK:n lapsen oikeuksien komitean raportissa “Digital media and children’s rights” tuodaan esille ICT yritysten toimintaan liittyviä keskeisiä seikkoja lapsen oikeuksiin liittyen. Myös YK:n lapsen oikeuksien komitean yleiskommentti nro 16 (2013) sopimusvaltioiden velvoitteista, jotka koskevat yritystoiminnan vaikutusta lasten oikeuksiin, on tässä yhteydessä keskeinen.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • -
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Voimassa olevan henkilötietolain mukaan tietosuojavaltuutetun tehtävänä on valvontatehtävänsä lisäksi antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa. Siten tietosuojavaltuutettu on antanut ohjeistusta tilanteissa, joissa henkilötietoja koskevat säännökset ovat olleet tulkinnanvaraisia tai aukollisia. Asetuksen 57 artiklan mukaan valvontaviranomaisen tulee jatkossakin muun muassa edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietämystä heille kuuluvista velvollisuuksista. Lisäksi asetuksessa lähdetään siitä, että rekisterinpitäjien nimeämät tietosuojavastaavat ohjaavat ja neuvovat rekisterinpitäjiä henkilötietojen asetuksen mukaisessa käsittelyssä. Asetus edellyttää, että rekisterinpitäjänä toimivan julkishallinnon viranomaisen nimittää tietosuojavastaavan. Kirkkohallitus on huolissaan siitä, onko asetuksen soveltamisen alkuvaiheessa saatavissa riittävä määrä ammattitaitoisia tietosuojavastaavia koko julkishallinnon tarpeisiin. Tästä syystä kirkkohallitus katsoo olevan erittäin tärkeää, että asetuksen soveltamisen alkuvaiheessa tietosuojavirasto painottaa tehtäväkuvassaan 57 artiklan 1 kohdan b–d alakohdan mukaisia tehtäviä. Ehdotetun tietosuojalain 18 §:n mukaan tietosuojavirasto voi tehtäviä hoitaessaan käyttää apunaan asiantuntijoita, joilla on tietosuojaviraston tehtävän hoidon kannalta merkityksellistä asiantuntemusta. Kirkkohallituksen mielestä säännös on sinänsä tarkoituksenmukainen, mutta katsoo, että nimittäessään ulkopuolisia asiantuntijoita viraston tulee huolehtia siitä, ettei synny eturistiriitatilanteita.
      • Jos tietosuojavirasto ei käsittele sille osoitettua rekisteröidyn valitusta, jonka mukaan rekisteröityä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta, tai tee yleisen tietosuoja-asetuksen 77 artiklan 2 kappaleessa tarkoitettua ilmoitusta asian käsittelemisestä kolmen kuukauden kuluessa, valittaja voi saattaa asian hallinto-oikeuden käsiteltäväksi.
      • Yleiset kommentit käsittelyn viivästymistä koskevasta 23 §:stä.
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • Tietosuojalakiluonnoksen 21 ja 23 §:n mukaan tietosuojavirastolle osoitetaan ”valitus”. Tässä taustalla on tietosuoja-asetuksen 77 artikla (oikeus tehdä valitus valvontaviranomaiselle). Valitus-sana on siinä mielessä harhaanjohtava, koska tietosuojavirasto hoitaa nämä ”valitukset” kuten kantelut ja asioiden käsittelyyn sovelletaan hallintolakia. Tietosuoja-asetuksen ruotsinkielisessä versiossa käytetäänkin klagomål-sanaa, joka tarkoittaa kantelua. Tässä yhteydessä voitaisiin käyttää termiä hallintokantelu. Joka tapauksessa tietosuojalakiluonnoksen 21 §:n yksityiskohtaisissa perusteluissa voisi informatiivisuuden vuoksi todeta, että asian käsittelyyn sovelletaan tällöin hallintolakia. MMM esittää harkittavaksi, onko 24 §:n 2 momentissa tarpeen mainita, että hallinto-oikeudessa asian käsittelyyn sovelletaan hallintolainkäyttölakia. Se on itsestään selvää.
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • Normaalin muutoksenhakusäännöksen sisältämässä ehdotuksen 22 §:ssä tulee olla selkeästi säänneltynä myös se, mikä muutoksenhakutie on ajateltu seuraamuslautakunnan määräämiin hallinnollisiin sakkoihin tai rajoituksiin ja kieltoihin. Ehdotus sisältää 23 §:ssä uudenlaisen oikeussuojakeinon, viivästysvalituksen. Tällaisen sääntelyn tarvetta yleisemmällä tasolla arvioitiin muutama vuosi sitten oikeusministeriön työryhmämietinnön 2008:5 pohjalta. Saatujen lausuntojen perusteella valmisteltiin keväällä 2012 uusi ehdotus käyttöalaltaan rajoitetummasta viivästysvalitusjärjestelmästä, mutta myös sen toimivuuteen ja tarpeellisuuteen suhtauduttiin lausuntokierroksella varsin kriittisesti. Lausuntopalautteen perusteella päätettiin tuolloin luopua viivästysvalitusjärjestelmän käyttöönotosta. Tämä ratkaisu oli erittäin järkevä hallinto-oikeuden näkökulmasta. Nyt kysymyksessä olevassa ehdotuksessa viivästysvalituksen käyttöala on aiempaa rajatumpi. Se koskee vain tietosuojavirastoa ja valitus on mahdollista tehdä vain, jos se ei ole antanut pyydettäessä edes käsittelyaika-arviota. Mikäli tällaista sääntelyä halutaan, 23 §:ssä tulee vielä selvyyden vuoksi todeta, että asian käsittely hallinto-oikeudessa raukeaa, kun tietosuojavirasto antaa sitä pyytäneelle käsittelyaika-arvion tai ratkaisee asian. Ensisijaisesti ehdotetusta 23 §:stä tulee luopua. Vaikka tämän tyyppistä sääntelyä löytyykin Keski-Euroopasta, Suomessa tehokkaiden oikeussuojakeinojen voidaan todellisuudessa katsoa selkeämmin täyttyvän kantelumahdollisuudella laillisuusvalvojille eli oikeuskanslerille ja eduskunnan oikeusasiamiehelle yhdistettynä rikosoikeudelliseen ja vahingonkorvausoikeudelliseen vastuuseen. Tietosuojaviraston mahdollisesta passiivisuudesta johtuvia ongelmia ei pidä siirtää hallinto-oikeuksien ratkaistaviksi. Erillissääntelyä asiasta ei tarvita.
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Ei lausuttavaa.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • Myös tämä pykälä toimii osaltaan rekisteröidyn oikeusturvan takeena.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Helsingin kaupungilla ei ole kommentoitavaa tältä osin.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • Ei kommentotavaa.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa käsittelyn viivästymistä koskevasta 23 §:stä.
      • TEM, kommentit kerätty eri osastoilta
        Päivitetty:
        8.9.2017
        • Ei kommentteja
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • Esitetty menettelytapa on kannatettava ja kolmen kuukauden määräaika on kohtuullinen.
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • -
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • Ei lausuttavaa.
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • -
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • Ei kommentoitavaa.
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • Trafilla ei ole tältä osin lausuttavaa.
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • Ei kommenttia.
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • Käsittelyn viivästymistä koskeva 23 § perustuu yleisen tietosuoja-asetuksen johdanto-osan 141 perustelukappaleeseen. Perustelukappaleen mukaan jokaisella rekisteröidyllä olisi oltava oikeus tehdä valitus yhdelle valvontaviranomaiselle, erityisesti asuinjäsenvaltiossaan, sekä oikeus soveltaa tehokkaita oikeussuojakeinoja perusoikeuskirjan 47 artiklan mukaisesti, jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu tai jos valvontaviranomainen ei käsittele valitusta, hylkää sen kokonaan tai osittain tai ei ryhdy toimiin, jotka ovat tarpeen rekisteröidyn oikeuksien suojaamiseksi. Tältä osin asialla on liityntä myös rekisteröidyn oikeuteen tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan yleisen tietosuoja-asetuksen 78 artiklassa säädetyllä tavalla. Mietinnöstä (s. 157) käy ilmi, että asiasta olisi säädettävä tietosuojalaissa, sillä kansallinen yleinen hallinto- ja hallintolainkäyttölainsäädäntö ei tunne yleisen tietosuoja-asetuksen 78 artiklan 2 kohdassa tarkoitettua oikeutta saattaa asia tuomioistuimeen viranomaisen toimimattomuuden vuoksi. Ulkoasiainministeriö pitää käsittelyn viivästymistä koskevaa säännöstä rekisteröidyn oikeusturvan kannalta hyvänä ja perusteltuna.
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • Kirkkohallitus pitää ehdotusta tältä osin perusteluna.
      • Työryhmä ei ollut yksimielinen siitä, tulisiko viranomaisiin ja julkishallinnon elimiin voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta.
      • Tulisiko yleisen tietosuoja-asetuksen 83 artiklan mukaisia hallinnollisia sakkoja voida kohdistaa myös viranomaisiin ja julkishallinnon elimiin?
      • Maa- ja metsätalousministeriö, MMM/Tieto- ja tutkimustoimiala/Tietoyksikkö, Alhojärvi Pekka
        Päivitetty:
        22.9.2017
        • ei
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • kyllä
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • kyllä
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • kyllä
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Akava ry, Päälakimies Timo Koskinen/SAK/työehdot ja lakimies Paula Ilveskivi/Akava/työelämäasiat
        Päivitetty:
        8.9.2017
        • kyllä
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • kyllä
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • kyllä
      • Elintarviketurvallisuusvirasto Evira
        Päivitetty:
        8.9.2017
        • ei
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • ei
      • Tekes
        Päivitetty:
        8.9.2017
        • ei
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • ei
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • kyllä
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • kyllä
      • Jyväskylän yliopisto
        Päivitetty:
        8.9.2017
        • ei
      • Työeläkevakuuttajat TELA ry
        Päivitetty:
        8.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Kankkunen Pekka, Kuopion museokeskus
        Päivitetty:
        8.9.2017
        • ei
      • Liikenne- ja viestintäministeriö
        Päivitetty:
        8.9.2017
        • ei
      • Patentti- ja rekisterihallitus, Mantere Eero
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Kuntaliitto, Lakiyksikkö
        Päivitetty:
        8.9.2017
        • ei
      • Kansalliskirjasto, Kirjaston lakimies
        Päivitetty:
        8.9.2017
        • ei
      • Elinkeinoelämän keskusliitto EK
        Päivitetty:
        8.9.2017
        • kyllä
      • Maaseutuvirasto
        Päivitetty:
        8.9.2017
        • ei
      • Kuluttajaliitto – Konsumentförbundet ry
        Päivitetty:
        8.9.2017
        • kyllä
      • Nets Oy
        Päivitetty:
        8.9.2017
        • ei
      • Eduskunnan oikeusasiamiehen kanslia
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Asiakastieto Oy, lakiasiainpäällikkö Juuso Jokela, Jokela Juuso
        Päivitetty:
        8.9.2017
        • kyllä
      • Oikeusrekisterikeskus
        Päivitetty:
        8.9.2017
        • ei
      • Suomen Lakimiesliitto – Finlands Juristförbund ry
        Päivitetty:
        8.9.2017
        • kyllä
      • OP Ryhmä, OP Edunvalvonta
        Päivitetty:
        8.9.2017
        • kyllä
      • Suomen yliopistokirjastojen neuvosto, puheenjohtaja Ulla Nygrén, yhteistyösihteeri Katja Halonen
        Päivitetty:
        8.9.2017
        • ei
      • Kansallisarkisto
        Päivitetty:
        7.9.2017
        • ei
      • Alma Media Oyj
        Päivitetty:
        7.9.2017
        • kyllä
      • Suomen Journalistiliitto ry, Hallamaa Hannu
        Päivitetty:
        7.9.2017
        • kyllä
      • CSC-Tieteen tietotekniikan keskus Oy, Kaila Urpo
        Päivitetty:
        7.9.2017
        • ei
      • Museovirasto
        Päivitetty:
        7.9.2017
        • ei
      • Liikenteen turvallisuusvirasto Trafi, Hanhela-Lappeteläinen Leila
        Päivitetty:
        7.9.2017
        • ei
      • Ammattikorkeakoulujen rehtorineuvosto Arene ry, Rissanen Riitta
        Päivitetty:
        7.9.2017
        • kyllä, mutta sakkojen enimmäismäärää tulisi madaltaa viranomaisten ja julkishallinnon elinten osalta  
      • Väestörekisterikeskus, Hallinto ja yhteiset palvelut, Kallio Noora
        Päivitetty:
        6.9.2017
        • ei
      • Kilpailu- ja kuluttajavirasto
        Päivitetty:
        6.9.2017
        • ei
      • Eduskunnan kanslia, Apilo Ari
        Päivitetty:
        6.9.2017
        • ei
      • Ulkoministeriö, Kansalaispalvelut/KPA-20
        Päivitetty:
        28.8.2017
        • kyllä
      • Kirkkohallitus
        Päivitetty:
        23.8.2017
        • ei
      • Perustelut
      • Helsingin hallinto-oikeus, Ylituomari Liisa Heikkilä
        Päivitetty:
        14.9.2017
        • -
      • Suomen Yrittäjät ry, Holopainen Petri
        Päivitetty:
        11.9.2017
        • Yhdenvertaisuuden näkökulmasta olisi perusteltua, että kaikilla toimijoilla olisi samat säännöt.
      • Effi ry, Valmistelijana myös Riikka Mikkonen, juridiikan asiantuntija, Effi ry ja Elias Aarnio, varapuheenjohtaja, Effi ry., Apajalahti Ahto
        Päivitetty:
        8.9.2017
        • Myös julkishallinnollisilla tahoilla on oltava riittävät kannustimet parantaa tietoturvaa ja tietosuojan tasoa, joten hallinnollisia sakkoja tulisi voida kohdistaa myös niihin. Perustelut hallinnollisen sakon määräämiselle eivät julkishallinnollisten tahojen osalta eroa yksityisistä tahoista.
      • Teknologiateollisuus ry
        Päivitetty:
        8.9.2017
        • Vaikka ankaran taloudellisen seuraamuksen ulottaminen julkisiin toimijoihin on hallinnollisesti paradoksaalista, asetuksen rikkomisen moitittavuus tulee pitää yhdenmukaisena. Sanktion ei pidä muuttua sen mukaan, millä sektorilla toimitaan tai onko käsittelyssä kyse julkisen vallan käyttämisestä. Käytännön tilanteissa sanktion soveltamisen vaihtelu voisi vaikuttaa kaupallisten riskien hallintaan. Julkisen ja yksityisen sektorin välisessä yhteistyössä ja kaupankäynnissä on ongelmallista, jos kaikkiin osapuoliin ei lain tasolla kohdisteta samoja tietosuojan vaatimuksia ja myös sanktioita.
      • Kansaneläkelaitos
        Päivitetty:
        8.9.2017
        • EU-asetuksen säännöt koskevat sekä julkkista että yksityistä sektoria ja lähtökohtaisesti kaikkia rekisterinpitäjiä ja henkilötietojen käsittelijöitä. Kela puoltaa näkemystä, että yleisen tietosuoja-asetuksen mukaisten seuraamusten tulisi olla myös yhdenmukaisia. Kela kannattaa mietinnössä esitettyä näkemystä, että julkiselle hallinnolle määrättävien sakkojen määrä tulisi lainsäädännössä määritellä siten, että enimmäismäärät ovat huomattavasti asetuksessa määriteltyjä alhaisemmat. Lisäksi Kela kiinnitti huomioita mietinnössä esitettyyn seikkaan, että hallinnollisten sakkojen yläpäätä tultaisiin soveltamaan vain törkeimpien rikkomusten osalta. Lisäksi valvontaviranomainen voisi käyttää harkintavaltaansa ja antaa rekisterinpitäjälle sakkojen sijaan myös esimerkiksi huomautuksen. Sakkojen määrääminen tulisi olla muiden toimien jälkeen viimesijainen sanktio. Tulevaisuudessa esimekiksi sote-sektorilla tulee olemaan entistä enemmän julkisen ja yksityisen palvelun tietokokonaisuuksien yhdistelmiä, jolloin myös seuraamuksissa tulee olla samuutta. Kun julkisilla viranomaisilla on oma tiukka laillisuusvalvonta, voi viimesijaisen sanktion käyttö olla vähäisempi, mutta kuitenkin mahdollisuutena sen tulee olla olemassa. Samalla voisi tarkemmin käsitellä myös tietosuojaviranomaisen muita sanktioimismahdollisuuksista, kuten mahdollisuudesta antaa huomautus sakon sijaan.
      • Suomen Lääkäriliitto - Finlands Läkarförbund
        Päivitetty:
        8.9.2017
        • Tietosuojalainsäädännön noudattaminen koskee kaikkia toimijoita. Lääkäriliitto ei näe syytä kohdella viranomaisia ja julkishallintoa eri tavalla kuin muita toimijoita.
      • Nokia Oyj
        Päivitetty:
        8.9.2017
        • Nokia katsoo, että asetuksen rikkomisen seuraamusten tulisi olla yhdenmukaisia riippumatta siitä, onko rekisterinpitäjä julkisen vai yksityisen sektorin toimija. Rekisteröidyllä on oikeus henkilötietojen suojaan riippumatta siitä, käsitelläänkö henkilötietoja yksityisen vai julkisen sektorin piirissä. Vaikka viranomaisten toiminta perustuu lakiin, julkisuuteen tulleet esimerkit osoittavat, että henkilötietojen suojaaminen väärinkäytöksiltä ei aina toteudu julkisen hallinnon toimijoiden piirissä. Julkishallinnon toiminnassa käsitellään usein arkaluonteisia tietoja. Tästä syystä tietosuoja-asetuksen rikkomisesta seuraavat haitat voivat olla yksilölle suuria, kun rikkojana on viranomainen. Etenkin, kun yksilö voi harvoin vaikuttaa siihen, miten julkisen sektorin toimijat henkilötietoja käsittelevät. Julkisen sektorin toimijoiden rajaaminen hallinnollisten sakkojen ulkopuolelle voi merkittävästi vääristää kilpailua. Julkiset ja yksityiset tahot kilpailevat samoilla markkinoilla (esim. terveydenhuolto). Kilpailuasetelma ei olisi tasa-arvoinen, jos erittäin merkittävät hallinnolliset sanktiot koskisivat vain toista osapuolta. Kilpailun vääristämisen lisäksi julkishallintoa palvelevat ohjelmisto- ja palvelutoimittajat, eli henkilötietojen käsittelijät, voivat kokea tietosuojasta sopimisen loppukäyttäjien (julkinen hallinto) kanssa haasteelliseksi, jos molemmilta sopimusosapuolilta ei lain tasolla odoteta samanlaista suhtautumista henkilötiedon käsittelyyn. Yksittäisellä virkamiehellä ei useinkaan ole tosiasiassa mahdollisuutta vaikuttaa siihen, miten henkilötietoja kokonaisuudessa käsitellään viranomaisessa – esimerkiksi miten viranomaisessa on toteutettu sisäänrakennettua tietosuoja (”privacy by design”). Vastuun kohdistaminen rikosoikeudellisella virkavastuulla yksittäiseen virkamieheen ei näin ollen ole oikeasuhtaista ja tehokasta. Nokia katsoo, että vastuun tulee kohdistua velvoitteen rikkoneeseen rekisterinpitäjään eikä pelkästään julkisen sektorin toimijan alaisuudessa työskenteleviin yksittäisiin virkamiehiin.
      • Elintarviketurvallisuusvirasto Evira
        Päivitetty:
        8.9.2017
        • Elintarviketurvallisuusvirasto katsoo ensisijaisesti, että julkisia hallintotehtäviä hoitavien organisaatioiden tulisi välttyä kokonaan hallinnollisilta sakoilta. Jos tämä ei ole mahdollista, sakkojen enimmäismäärää tulisi madaltaa. Peruste Eviran kannalle on se, että ei voida ajatella, että viranomaisten ja yritysten tulisi olla hallinnollisen sanktion kohdalla samassa asemassa, koska myöskään rekisterinpitäjinä ne eivät ole samassa asemassa. - Viranomainen ei itse voi valita mitä henkilörekistereitä se pitää, vaan sen on pidettävä niitä henkilörekistereitä, joita sille on säädetty pidettäväksi. Yritys voi halutessaan palvella vain yrityksiä, ei luonnollisia henkilöitä. - Viranomainen ei itse voi valita asiakkaitaan ja/tai rajoittaa heidän määräänsä. - Viranomainen ei itse voi valita mitä ja kuinka paljon tietoja asiakkaistaan kerää. - Viranomaisen on toiminnassaan huomioitava julkisuusperiaate ja muiden tahojen mahdollinen oikeus viranomaisen keräämän tiedon hyödyntämiseen. - Virastoilla ei ole mitään kaupallisia intressejä hyödyntää henkilötietoja tietosuoja-asetuksen vastaisella tavalla, joten ne eivät tarvitse tätä varten ”pelotetta”. - Jos tällainen sakko maksetaan viranomaisen toimintamenoista, resursseja tietosuojan noudattamiseen on entistäkin vähemmän. - Sakon maksaminen vähentää myös viranomaisen resursseja tehdä varsinaista ydintoimintaansa. Tehtävien hoidon kannalta kriittisimmissä tilanteissa viranomaiselle olisi pakko antaa lisäbudjetissa lisää rahaa tehtävien hoitoa varten. Rahaa siirrettäisiin valtion taskusta toiseen. Edellä mainitut seikat eivät kuitenkaan tarkoita sitä, että tietosuoja-asetuksen vaatimuksia ei olisi syytä ottaa vakavasti. Vaatimusten toteuttamisessa ei saa viivytellä. Rekistereiden täytyy olla teknisesti siinä tilassa, että tietosuoja-asetuksen vaatimusten noudattaminen on mahdollisimman helppoa. Rekistereistä vastaavilla henkilöillä sekö johdolla täytyy olla tietoa asetuksen vaatimuksista. Viraston tietosuojavastaavalle täytyy antaa asianmukaiset resurssit ja mahdollisuudet hoitaa tehtäväänsä. On myös huomattava, että hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti tietosuoja-asetuksen 58 artiklan 2 kohdan a–h ja j alakohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden sijasta. Artikla 58 koskee tietosuoja-asetusta valvovan valvontaviranomaisen valtuuksia. Valvontaviranomainen voi mm. antaa rekisterinpitäjälle asetuksen noudattamista koskevia määräyksiä ja kieltoja. Tällaiset määräykset ja kiellot eivät ole suinkaan merkityksettömiä viranomaiseen kohdistuessaan, vaikka niiden lisäksi ei määrättäisikään hallinnollista sakkoa. Jos tietosuoja-asetuksen vastaista toimintaa ilmenisi, tietosuoja-asetuksenvalvontaviranomaisen tekemän ratkaisun asiaan tulisi olla mahdollisimman laajalti tiedotettu. Mahdollisuus saada huono maine tällaisissa asioissa vaikuttaa virastojen valitsemiin toimintamalleihin.
      • Helsingin kaupunki, Kaupunginkanslia, Pennanen Sari-Anna
        Päivitetty:
        8.9.2017
        • Mikäli julkishallinnon elimille ei kansallisen lainsäädännön nojalla voida kohdistaa hallinnollisia sakkoja niiden rikkoessa yleistä tietosuoja-asetusta, tulisi olla olemassa vaihtoehtoinen seuraamus, jonka vaikutus on tehokas, oikeasuhtainen ja varoittava. Rikosoikeudellinen järjestelmä ei voi olla tämä vaihtoehtoinen seuraamusjärjestelmä, koska rikosoikeudelliset seuraamukset kohdistuvat yksittäiseen luottamushenkilöön, viranhaltijaan tai virkamieheen. Yksittäisen henkilön saattaminen vastuuseen henkilötietojen lainvastaisesta käsittelystä on kohtuutonta silloin, kun lain rikkominen johtuu rekisterinpitäjän tai henkilötietojen käsittelijän toimintalinjauksista, jotka ovat johtaneet henkilötietojen lainvastaiseen käsittelyyn. Hallinnollisen sakon vaihtoehtona tulisi olla siten joku muu suoraan viranomaiseen tai julkishallinnon elimeen kohdistuva seuraus. Eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja niiden palveluksessa olevien henkilöiden sekä muiden julkista tehtävää hoitavien toiminnan lainmukaisuutta. Tehtäviä toteuttaessaan laillisuusvalvojat valvovat perusoikeuksien ja ihmisoikeuksien toteutumisesta. Laillisuusvalvoja voivat antaa viranomaiselle huomautuksen, saattaa viranomaisen tietoon käsityksensä lainmukaisesta menettelystä sekä tehdä viranomaiselle esityksen virheen tai epäkohdan korjaamiseksi tai hyvittämiseksi. Helsingin kaupunki katsoo, että tietosuojalainsäädännön rikkomusten ensisijaisina seuraamuksina viranomaisille ja julkishallinnon elimille voisivat olla vastaavanlaiset seuraamukset kuin mitä laillisuusvalvojilla on käytettävissään: huomautus, lainmukaisen menettelyn tietoon saattaminen sekä esitys virheen tai epäkohdan korjaamiseksi. Kyseisillä laillisuusvalvojien käyttämillä seuraamuksilla on todettu olevan merkittävä ohjaava vaikutus viranomaisten toimintaa ja tällaiset seuraamukset olisivat useimmissa tapauksissa riittäviä ohjaamaan viranomaisia ja julkishallinnon elimiä myös tietosuoja-asioissa. Mikäli viranomainen tai julkishallinnon elin ei noudata sille annettuja huomautuksia tai kehotuksia tai mikäli kyseessä on erityisen törkeä yleisen tietosuoja-asetuksen velvoitteiden rikkominen, voitaisiin viranomainen tai julkishallinnon elin määrätä maksamaan hallinnollisia sakkoja. Hallinnollisten sakkojen enimmäismäärän tulisi kuitenkin olla huomattavasti alempi kuin 10.000.000 tai 20.000.000 euroa. Miljoonien eurojen suuruiset sakot on tarkoitettu käytettäväksi lähinnä suurten monikansallisten yritysten rikkoessa erityisen tuomittavalla tavalla tietosuoja-asetusta. Sakkojen määrän tulee olla suuri, jotta sillä on tosiasiallista vaikutusta suurien yritysten toimintaan. Julkishallinnon elinten osalta huomattavasti pienemmillä hallinnollisilla sakoilla voidaan saavuttaa sama tosiasiallinen vaikutus.
      • Itä-Suomen yliopisto, Jukka Mönkkönen, rehtori, Itä-Suomen yliopisto
        Päivitetty:
        8.9.2017
        • TATTI-työryhmän mietinnössä on esitetty hallinnollisen sakon käyttöönotosta viranomaisten toiminnassa kahdenlaisia näkemyksiä. Itä-Suomen yliopisto pitää relevantteina niitä työryhmän jäsenten esittämiä perusteluita sille, että kansallista liikkumavaraa pitäisi käyttää siten, ettei hallinnollisen sakon määräämistä koskevia säännöksiä sovellettaisi tietosuoja-asetuksen 83 (7) sallimissa rajoissa viranomaisiin ja julkisen hallinnon elimiin. Esitetyt perusteet ovat painavia ja kattavia. Itä-Suomen yliopisto pitää liikkumavaran käyttämättä jättämistä koskevia argumentteja puolestaan ongelmallisina. Liikkumavaran käyttämättä jättämistä on argumentoitu lähinnä toissijaisilla perusteilla ottamatta huomioon viranomaistoimintaa koskevaa sääntelyä kokonaisuutena sekä viranomaisten toimintaan kohdistuvaa valvontaa. Ongelmallisiksi argumenteiksi voidaan nostaa muun muassa seuraavat: - Työryhmän mietinnössä liikkumavaran käyttämättä jättämistä on pyritty argumentoimaan vertaamalla yksityisen sektorin ja julkisen sektorin toimintaa ja niille asetettuja vaatimuksia. Raportissa liikkumavaran käyttämättä jättämistä perusteella sillä, että yleistä tietosuoja-asetusta sovelletaan niin yksityisellä kuin julkisella sektorilla ja tästä syystä asetuksen mukaisten seuraamusten tulisi olla yhdenmukaisia. On syytä korostaa, että tietosuoja-asetus ei aseta viranomaistoimintaa samaan asemaan kuin yksityissektoria. Asetuksessa on useita säännöksiä, jotka koskevat julkisen vallan käyttöä ja siten julkista sektoria, kuten asetuksen 6 (3) artikla, 17 (3 b), 20 (3) artikla, 49 (3) artikla sekä rajoitussäännökset 23 artiklassa. Viranomaisia koskee myös yksiselitteisesti velvollisuus nimittää tietosuojavastaava (37 (1 a) artikla). Tässä suhteessa edes lähtökohtaisesti julkista ja yksityistä sektoria ei voida verrata asetuksenkaan näkökulmasta toisiinsa. - Tyypillisesti hallinnollisilla sakoilla on pyritty sääntelemään liiketaloudellista toimintaa. Tässä suhteessa hallinnollisen sakon käyttöönotto ei ole luontevaa, koska julkisen vallan käyttöön ei liity sellaista liiketaloudellista luonnetta, jota olisi tarvetta ryhtyä erityisin sanktiomekanismein ohjaamaan. Yksityiselle sektorille puolestaan on perusteltua asettaa merkittäviä taloudellisia seuraamuksia hallinnollisen sakon muodossa, koska henkilötietojen käsittelyyn voi liittyä merkittäviäkin liiketaloudellisia intressejä. Itä-Suomen yliopisto katsookin, että jos on tarpeen lähteä arvioimaan yksityisen ja julkisen sektorin yhdenmukaista seuraamusjärjestelmää, tulisi sen rajoittua ainoastaan toimintaa, jossa viranomainen tai julkisen hallinnon elin käsittelee henkilötietoja liiketaloudellisiin tarkoituksiin ilman selkeää julkisen vallan käyttöön liittyvää tehtävää. - Hallinnollista sakkoa voidaan pitää myös jossakin määrin ongelmallisena sen suhteen, että myös Suomessa toimiva valvontaviranomainen voi joutua sen arvioitavaksi, onko valvontaviranomaisessa toimittu tietosuoja-asetuksen säännösten mukaisesti. Käyttämällä kansallista liikkumavaraa, ei edes teoreettisesti voisi muodostua tilannetta, että valvontaviranomainen joutuisi itse arvioitavaksi hallinnolliseen sakkomenettelyyn. Valvontaviranomaistakin valvovat ylimmät laillisuusvalvojat, jotka voivat viime kädessä myös saattaa valvontaviranomaisen toiminnat rikosoikeudellisen arvioinnin piiriin. Tällaista mahdollisuutta ei välttämättä olisi, jos hallinnollinen sakko olisi käytössä viranomaistoiminnassa. Tietosuojaviraston tehtävänä on ylläpitää rekisteriä tietosuojavastaavista tietosuoja-asetuksen 37 (7) artiklan perusteella. Itä-Suomen yliopisto kiinnittää myös huomiota siihen, ettei TATTI-työryhmän mietinnössä ole selvitetty, onko tietosuojaviraston tästä tehtävästä tarpeen säätää kansallisesti erikseen ottaen huomioon perustuslakivaliokunnan kannanotto sääntelyvaatimuksista. Niin ikään arvioitavaksi tulee, millä perusteilla tietosuojavirasto voi luovuttaa tai antaa näitä tietoja nähtäväksi rekisteristään. Julkisuuslain sääntely toimii luonnollisena pohjana tälle arvioinnille, jolloin erillissääntely ei ole välttämättä tarpeen. Oikeusministeriön ja tietosuojavaltuutetun toimiston on kuitenkin tehtävä tästäkin arvio julkisuuslain 18.1 §:n 3 kohdan perusteella, kun kysymys on lainsäädännöllisestä uudistuksesta sekä uuden tehtävän johdosta tapahtuvan tietojärjestelmän käyttöönotosta. TATTI-työryhmän mietinnöstä ei ilmene, onko tällaista arviota tehty. - Liikkumavaran käyttämättä jättämisen puolesta työryhmän raportissa on myös argumentoitu sitä, että ”Jos merkittävä osa rekisterinpitäjistä ja henkilötietojen käsittelijöistä jäisi seuraamuslautakunnan toimivallan ulkopuolelle, voidaan kysyä, onko syytä luoda tällainen järjestely vain muiden toimijoiden osalta.” Tällä argumentilla ei ole itse seuraamuslautakunnan tarpeeseen suoraa yhteyttä, koska joka tapauksessa Suomen pitää järjestää hallinnollisen sakon määräämiseen yksityisiä toimijoita varten riittävän oikeusturvan takaava käsittely perustuslain 21 §:n mukaisesti. Mietinnössä esitetty argumentti puolestaan vaikuttaisi siltä, että seuraamuslautakunnan ensisijaisena tehtävänä olisi hallinnollisten sakkojen määrääminen viranomaisille. Kuten argumentaatiossa todetaan, hallinnollisen sakon määräämiseen ei voitane kovinkaan kevyin perustein ryhtyä. Tämäkin argumentti osoittaa, että seuraamuslautakunnan käyttäminen olisi jo lähtökohtaisesti poikkeuksellista. - Itä-Suomen yliopisto myös kiinnittää huomiota hallinnollisen sakon käyttöön ja sen rinnastumiseen rikosoikeudellisiin rangaistussäännöksiin. Arvioitaessa seuraamusjärjestelmää kokonaisuutena vaille huomiota ei voida jättää perustuslakivaliokunnan toistuvaa kantaa siitä, että hallinnollisten sanktioiden ja rikosoikeudellisten seuraamusten tulee olla oikeassa suhteessa tekoon nähden. Lisäksi järjestelmän kokonaisuudessaan tulee täyttää suhteellisuuden vaatimukset (ks. PeVL 61/2014 vp, s. 2, PeVL 56/2014 vp, s. 3). Työryhmän mietinnöstä ei ilmene, miten tätä kokonaisuutta on arvioitu kansallista liikkumavaraa ja rikosoikeudellista seuraamusjärjestelmää arvioitaessa. - Työryhmän muistion liikkumavaran käyttämättä jättämistä koskevassa argumentaatiossa ei ole perusteltu sitä, miksi rikosoikeudelliseen virkavastuuseen perustuva sääntely ei muodosta riittävää ennalta estävää vaikutusta. Mietinnöstä ei ilmene, mihin tällainen käsitys perustuu – onko tästä tutkittua tietoa. Yleisesti ottaen Suomen rikosoikeudellisen virkavastuun ennalta estävään tehottomuuteen ei ole löydettävissä asia-argumentteja ja toisaalta jos rikosoikeudellinen virkavastuu ei toimisi, tulisi koko virkavastuuseen liittyvä järjestelmä uudistaa. - Työryhmän liikkumavaran käyttämistä koskevassa argumentaatiossa todetaan myös se, että työryhmällä ei ole riittävää kompetenssia arvioida rikosoikeudellista järjestelmää. Argumentaatiosta ei ilmene, miksi kompetenssia ei ole hankittu tekemään tällaista arviointia. Toisaalta liikkumavaran käyttämisen puolesta esitetyt argumentin osoittavat, että ainakin jossakin määrin tällaista arviointia on tehty työryhmän työssä. Valtioneuvoston ohjesäännön (262/2003) 14 §:n mukaan oikeusministeriön toimialaan kuuluu lainvalmistelu rikosoikeuden alalla. TATTI-työryhmän on asettanut oikeusministeriö, jonka virkamiehistä työryhmän sihteeristö koostuu. Itä-Suomen yliopisto pitää tärkeänä, että tietosuoja-asetuksen seuraamusjärjestelmä arvioidaan kokonaisuutena samalla huolehtien riittävästä rikosoikeudellisesta osaamisesta jatkovalmistelussa. Edellä esitetyn perusteella on olemassa painavat, työryhmän muistiossakin osittain esitetyt argumentit sille, että kansallista liikkumavaraa tulisi käyttää. Tilanne, jossa valtion viranomainen määräisi huomattavat sakot valtion rahoittamalla organisaatiolle, johtaisi myös epätarkoituksenmukaiseen julkisten varojen käytön hallintaan. Viime kädessä määrätty hallinnollinen sakko voisi edellyttää valtion lisätalousarviossa määrärahaa valtion virastolle tai laitokselle taikka tulevaisuudessa valtion rahoitusvastuulla toimiville maakunnille. Myöskään henkilötietojen käsittelyyn liittyvä rikosoikeudellinen vastuu ei voi väistyä hallinnollisten sakkojen määräämisen vuoksi. Rikosoikeudellinen virkavastuu on virkamieheen ja siihen verrattavaan muuhun henkilöön kohdistuva henkilökohtainen vastuu.
      • Tekes
        Päivitetty:
        8.9.2017
        • Ensisijaisesti puutteiden korjaus ja mahdollinen käsittely seuraamuslautakunnassa. Sisäänrakennettu tietosuoja vaatii kuitenkin riittäviä resursseja ja johdon panostusta, jotta tietosuoja voidaan ottaa huomioon prosessien ja järjestelmien suunnittelussa, hankinnoissa sekä henkilötietojen käsittelyn ja tiedonohjauksen suunnittelussa. Tämä puoltaisi organisaatioille kohdentuvan sanktion käyttöä vakavissa systemaattisissa laiminlyönneissä.
      • Lääketeollisuus ry
        Päivitetty:
        8.9.2017
        • -
      • Oikeuskanslerinvirasto, Oikeuskanslerin lausunto, Liesivuori Pekka
        Päivitetty:
        8.9.2017
        • Kaikessa viranomaistoiminnassa ja julkisen vallan käytössä tulee noudattaa lakia. Viranomaistoiminnan lainmukaisuutta valvotaan eri hallinnonaloilla ja viime kädessä ylimpien laillisuusvalvojien toimesta. Viranomaisten toiminta ja julkisen vallan käyttö perustuu viranomaisille säädettyihin tehtäviin ja viranomaistoiminta rahoitetaan pääsääntöisesti verovaroin. Viranomaisten tehtävien hoidon jatkaminen tulisi joka tapauksessa varmistaa myös silloin, kun viranomaiselle olisi määrätty tietosuoja-asetuksen 83 artiklassa tarkoitettu hallinnollinen sakko. Käytännössä tämä tarkoittaa että hallinnollisen sakon saaneelle viranomaiselle tulisi osoittaa vastaava rahoitus sen toiminnan jatkumisen turvaamiseksi. Pidän yleisen tietosuoja-asetuksen 83 artiklan mukaisten hallinnollisten sakkojen kohdistamista viranomaisiin ja julkishallinnon elimiin tarkoituksettomana.
      • Hämeenlinnan hallinto-oikeus
        Päivitetty:
        8.9.2017
        • Tietosuoja-asetus edellyttää hallinnollisia sakkoja koskevan järjestelmän käyttöön ottoa. Nykyisenkin lain mukaan tietosuojavaltuutetun määräyksen tehosteeksi voidaan asettaa uhkasakko, joka voidaan kohdistaa myös viranomaiseen. Tilanteet, joissa viranomaisille asetettaisiin hallinnollinen sakko tulisivat todennäköisesti olemaan käytännössä harvinaisia. Mahdollisuus hallinnollisen sanktion määräämiseen on syytä olla olemassa.
      • Kansallisgalleria
        Päivitetty:
        8.9.2017
        • Kansallisgalleria vastustaa hallinnollisen sakon määräämistä julkisyhteisöille. Etenkin tilanteessa, jossa henkilötietojen käsittelyn oikeudellinen perusta saattaa olla epäselvä, sakon mahdollisuus voisi johtaa tiedon tuottamisen ja käytön kannalta varovaisiin ja kielteisiin seuraamuksiin. Kulttuuriperintöön liittyvien henkilötietojen käsittely (myös erityisten henkilöryhmien kohdalla) on hyvin matalariskistä.
      • Tietosuojavaltuutetun toimisto, Tietosuojavaltuutettu Reijo Aarnio, Ylitarkastaja Raisa Leivonen
        Päivitetty:
        8.9.2017
        • Ilman tätä seuraamusjärjestelmä olisi puutteellinen.
      • TEM, kommentit kerätty eri osastoilta
        Päivit