Tietosuojalainsäädännön kokonaisuudistuksen koordinaatioryhmän väliraportti

VN/26111/2023

FA tukee tietosuojalain kokonaisuudistuksen tavoitteita ja kannustaa laajentamaan uudistuksen tarkastelemaan myös yksityistä sektoria koskettavia säännöksiä

Finanssiala ry (FA) kiittää mahdollisuudesta lausua tietosuojalainsäädännön kokonaisuudistuksesta vastaavan työryhmän väliraporttiin. FA on antanut lausunnon tietosuoja-asutukseen ja tietosuojalakiin liittyvistä haasteista edellisen kerran syksyllä 2023 (lausuntopyyntö VN/23585/2023). Viittamme tähän aiempaan lausuntoomme, minkä lisäksi FA toteaa lausuntonaan seuraavaa.

1. TIETOSUOJAN YLEISSÄÄDÖKSET (EU:n yleinen tietosuoja-asetus ja tietosuojalaki)

1. Onko tietosuojan yleissäädösten yleisen tietosuoja-asetuksen tai tietosuojalain soveltamiseen koettu liittyvän haasteita tai epäselvyyksiä, jotka voisivat vaikeuttaa julkisen palvelun järjestämistä?

Ei.

2. Onko jonkin yleisen tietosuoja-asetuksen tai tietosuojalain säännöksen havaittu estävän viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen tarkoituksenmukaisella tavalla? Onko tietosuojan yleissäädösten havaittu estävän tai rajoittavan tiedon tai henkilötietojen hyödyntämistä tai käsittelyä tarkoituksenmukaisella tavalla? Jos on, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät tai rajoittavat tiedon käsittelyä?

Kyllä.

Jos on, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät tai rajoittavat tiedon käsittelyä?

Kts. kohta ”muut kommentit”.

2. VIRANOMAISTEN HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA KANSALLINEN ERITYISSÄÄNTELY

1. Onko kansalliseen erityissääntelyyn, jossa on kyse viranomaisten suorittamasta henkilötietojen käsittelystä (mukaan lukien henkilötietojen luovuttamisesta), koettu liittyvän haasteita tai epäselvyyksiä?

Kyllä.

Jos on, minkälaisista haasteista ja epäselvyyksistä on tarkalleen ottaen kyse?

Haasteena on nähty sanamuotojen epäselvyys tietojen luovuttamista koskevissa pykälissä. Näitä olisi hyvä huomioida myös muissa eri ministeriöiden vastuulla olevissa sektorikohtaisissa lakihankkeissa. Yksi käytännön esimerkki vaikeaselkoisesta pykälästä on asiakastietolain 64 § 1 momentti, jonka mukaan voi saada ”…sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavat tiedot ja selvitykset, jotka viranomaiselle laissa säädetyn tehtävän vuoksi ovat välttämättömiä asiakkaan sosiaalihuollon tarpeen selvittämiseksi, sosiaalihuollon järjestämiseksi ja siihen liittyvien toimenpiteiden toteuttamiseksi sekä viranomaiselle annettujen tietojen tarkistamista varten.” Kyseinen kohta jättää epäselväksi, mitä sosiaalihuollon asiakassuhteeseen olennaisesti vaikuttavilla tiedoilla tarkoitetaan.

Lisäksi rekisteröidyltä vaadittavat tiedonsiirron suostumusmenettelyt on voitu määritellä todella tiukoiksi ja tiedonsiirron kieltäminen saattaa aiheuttaa asiakkaalle haittaa.

2. Onko kansallisen erityislainsäädännön henkilötietojen käsittelyä koskevien säännösten havaittu estävän tietojenvaihdon sellaisten viranomaisten (tai julkista hallintotehtävää hoitavien) välillä, jotka tarvitsevat tietoja lakisääteisten tehtäviensä hoitamista tai julkisen palvelun tarjoamista varten?

Kyllä

Jos on, mistä säännöksistä on tarkalleen ottaen kyse ja miten ne estävät viranomaisten välistä tietojenvaihtoa?

Tiedon kulkua mm. sähköisten potilasasiakirjojen ja työntekijöiden tietojen osalta tulisi viranomaisten ja lakisääteistä tehtävää hoitavien sekä yksityisten välillä jouhevoittaa (asiakastietolaki ja työntekijän eläkelaki). Tiedonkulkua heikentää tällä hetkellä epäselvä sääntely ja eriävät tulkintakäytännöt.

3. Onko kansallisessa erityislainsäädännössä tunnistettu muita esteitä julkisen palvelun tarkoituksenmukaiselle järjestämiselle?

Ei.

3. YLEISEN TIETOSUOJA-ASETUKSEN SALLIMAN KANSALLISEN SÄÄNTELYLIIKKUMAVARAN KÄYTTÖ

1. Onko yleisen tietosuoja-asetuksen sallimaa kansallista sääntelyliikkumavaraa käytetty tarkoituksenmukaisella tavalla viranomaisen tiedon liikkumisen tai julkisen palvelun järjestämisen näkökulmasta?

Ei.

Jos ei, tulisiko kansallista sääntelyliikkumavaraa käyttää enemmän?
Jos kyllä, miltä osin ja miten liikkumavaraa tulisi käyttää nykyistä enemmän julkisen palvelun järjestämisen näkökulmasta?

Kansallisen liikkumavaran käytön osalta FA viittaa syksyn 2023 lausuntoonsa (lausuntopyyntö VN/23585/2023). Ennen kaikkea kansallista liikkumavaraa ei tule käyttää siten, että Suomessa säädeltäisiin asiasta kansallisesti tiukemmin kuin muissa unionin jäsenvaltioissa. Tarpeettoman tiukka kansallinen sääntely luo epäsuhtatilanteita sisämarkkinoiden toiminnalle.

2. Puuttuuko kansallisesta erityislainsäädännöstä säännöksiä, jotka mahdollistaisivat viranomaisten välisen tiedon liikkumisen siten, että julkinen palvelu voitaisiin järjestää tarkoituksenmukaisella tavalla. Jos kyllä, mistä puutteesta ja palvelusta on tarkalleen ottaen kyse?

Asiakastietolain pitäisi mahdollistaa mm. potilasasiakirjojen tiedonkulku paremmin. Lisäksi TyEL:n tarvitaan säännöksiä tietojen saamiseen esim. tulorekisteristä tai Kelasta.

3. Onko kansallisessa erityislainsäädännössä käytetty sääntelyliikkumavaraa tarpeettomasti? jos on, miltä osin ja mistä säännöksistä on tarkalleen ottaen kyse?

Ei kommentoitavaa.

4. YLEISET KOMMENTIT

1. Puuttuuko väliraportin liitteestä 1 lakeja, joita olisi hyvä arvioida kokonaisuudistuksen yhteydessä?

Työntekijän eläkelaki

Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä

Vakuutussopimuslaki

2. Muut kommentit

FA:n näkemyksen mukaan nyt lausunnolla oleva väliraportti ei kaikilta osin vastaa hallitusohjelmassa mainitun tietosuojalainsäädännön kokonaisuudistuksen tarpeita, sillä siinä on huomioitu pääsääntöisesti vain julkisen sektorin tiedon liikkuvuutta haittaavat normit. FA yhtyy tältä osin EK:n lausuntoon ja haluaa korostaa, että jatkotyössä tulisi huomioida laajemmin yksityisen sektorin tiedon liikkumista ja käyttöä haittaavat normit. Asiaa tulisi tarkastella aidosti kokonaisuutena eikä siiloutua julkisen ja yksityisen sektorin erottamisen taakse, kun henkilötiedot liikkuvat sektorien välillä jatkuvasti. FA yhtyy lisäksi oikeuskanslerin lausuntoon koskien OKV:n lausunnon väliotsikkoa ”Erityislainsäädännön tarve”. Edelleen FA katsoo, että tietosuojavaltuutetun toimistolta olisi myös tarpeen saada enemmän ennakollista tulkintaa ja ohjausta kuin nykyään on mahdollista.

Tilastointiin ja tutkimukseen liittyvä sääntely sekä toisiokäyttö:

Finanssiala katsoo, että erityisesti tilastointiin ja tutkimukseen liittyvä kansallinen sääntely on ollut vaikeaselkoista, eikä tietojen käsittely näissä tarkoituksissa selkeästi ratkea tietosuojalakia lukemalla. Tarkempaa ohjeistusta tarvittaisiin esimerkiksi tutkimukseen ja tilastointiin liittyvän käyttöperusteen tulkintaan liittyen (tietosuoja-asetuksen resitaali 50). Haasteet liittyvät myös muun muassa tietosuoja-asetuksen määritelmään tutkimuksesta (asetuksen artikla 5.1 b sekä resitaali 159). Tutkimusta on tulkittava laajasti tietosuoja-asetuksen mukaan. Tietosuojalain tutkimusta koskeviin pykälissä (esim. TSL 4.3 TSL 6.1 (7) on määritelmänä tieteellinen tutkimus. Tieteellinen tutkimuksella on kansallisesti yleinen määritelmä. Tietosuoja-asetus ei laajenna tätä. 

Myös toisiokäyttöön liittyviä säännöksiä tulisi tarkentaa. Kun arvioidaan toissijaisen käytön mahdollistavan sääntelyn lisäämistä, perustuslain 124 §:n mukaisia toimijoita tulee kohdella yhdenvertaisesti viranomaisten kanssa. Myös julkista valtaa käyttävien toimijoiden erityislainsäädäntöön tulee lisätä toissijaisen käytön mahdollistavaa sääntelyä.  Siten sosiaaliturvan toimeenpanossa kertyvän henkilötiedon toissijaisesta käytöstä tulisi säätää vastaavasti kuin sosiaali- ja terveystietojen osalta on jo säädetty (laki sosiaali- ja terveystietojen toissijaisesta käytöstä 552/2019).  

Tietosuojalain 4 § 1 momentti 2 kohta:

Oikeuskäytäntö ja tietosuojavaltuutetun ohjeistus mainitun oikeusperustan (”käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi” – eli toistetaan 6 artiklan 1 kohdan e alakohta) käyttöalasta on hyvin vähäistä, ja oikeusperustaa voidaan käyttää viranomaistoiminnassa liian vähän esimerkiksi toiminnan kehittämiseen. Lisäksi on yleistä, että jotkut viranomaiset viittaavat rekisteriselosteissaan vain 6 artiklan 1 kohdan c alakohtaan, vaikka tosiasiallinen henkilötietojen käsittely ei kaikilta osin ole lakisääteistä. Arvioiden mukaan pykälä mahdollistaisi kuitenkin nykyistä laajemmin ja monipuolisesti sellaista henkilötietojen käsittelyä viranomaistoiminnassa, mihin ei suoraan löydy erityislainsäädännöstä oikeuttavaa pykälää (kts. lisää mm. HE 9/2018 vp s. 79).

FA toivoo lainsäädäntöä täsmennettävän sekä tietosuojavaltuutetun toimiston aktiivisempaa ennakollista tapauskohtaista ja yleistä ohjeistusta mainitusta oikeusperustasta. Sääntelyteknisesti vaikuttaa tarpeettomalta toistaa kansallisessa laissa 4 §:n 1 momentin 2 kohdassa sanatarkasti tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohta. Kansallisen lain tulisi tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan tältä osin sisältää yksityiskohtaisempia säännöksiä asetukseen nähden.

Tietosuojalain 6 §

Finanssialan näkökulmasta haasteita tietosuojalain soveltamisessa liittyy sen 6 §:n erityisiä henkilötietoryhmiä koskevan käsittelyn 1-kohtaan, joka koskee vakuutuslaitoksen oikeutta käsitellä vakuutustoiminnassa saatuja tietoja vakuutetusta tai korvauksenhakijasta. Säännöksen sanamuoto tulisi selvyyden vuoksi muuttaa lain tarkoitusta vastaavaksi siten, että se kattaa yksiselitteisesti myös henkilön, jolle haetaan vakuutussuojaa.

Tietosuojalain 6 §:n 1 momentin 1 kohtaa tulisi muuttaa siten, että ensimmäiseen lauseeseen lisätään yksiselitteinen viittaus vakuutuksenhakijaan seuraavasti:

”1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutuksenhakijan, vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;”

Tarve lakitekstin muutokselle perustuu sille, että tällä hetkellä viranomainen on tulkinnut tarpeettoman ahtaasti vakuutetun määritelmää katsoen vakuutetun roolin olevan olemassa vain sopimuksen solmimisen jälkeisenä aikana. Tulkinnassa on sivuutettu asiaa koskeva kokonaisuus muun sääntelyn osalta. Tosiasiallisesti, kun vakuutussopimuslakia (VSL) katsotaan kokonaisuutena, termiä vakuutettu käytetään myös viittaamaan aikaan ennen sopimuksen tekemistä. VSL 22 §:ssä todetaan, että vakuutetun tulee ennen vakuutuksen myöntämistä antaa oikeat tiedot yhtiölle, jotta vakuutussopimuksen tekeminen on mahdollista. Lisäksihän yhtiön vastuu alkaa jo ennen sopimuksen tekemistä. Tarpeettomien tulevien tulkintaepäselvyyksien välttämiseksi, ehdotamme, että kokonaisuudistuksen yhteydessä ja/tai sen jälkeen myös vakuutussopimuslakiin lisätään yksiselitteinen viittaus ”vakuutuksenhakijaan”.

Tietosuojalain 24 § 4 mom.

Kokonaisuudistuksen yhteydessä tulisi Petteri Orpon hallitusohjelman kirjauksen mukaisesti säätää hallinnolliset sakot tietosuojaloukkauksista koskemaan julkista ja yksityistä sektoria yhtäläisesti. Nykytilanteessa, siltä osin kuin yksityiset toimijat käyttävät julkista valtaa lakisääteisten tehtäviensä hoitamiseksi, ovat ne eriarvoisessa asemassa muihin yksityisiin toimijoihin ja viranomaisiin nähden, jotka voivat hoitaa samaa tehtävää ilman riskiä hallinnollisista sakoista. Nykytila mahdollistaa tilanteen, jossa yksityinen toimija noudattaa viranomaisen käytäntöä henkilötietojen käsittelystä, joka sittemmin todetaan lainvastaiseksi. Tällöin sanktiot kohdistuisivat vain yksityiseen toimijaan.  

Oikeuskäytännön mukaan uhkasakko voidaan asettaa kunnalle tai valtiolle tai muille tietosuojalain 24 § 4 mom. mainituille tahoille, ja olisi johdonmukaista, että hallinnollinen seuraamusmaksu voitaisiin asettaa samoille tahoille. Tällä olisi viranomaistoiminnan tietoturvaa ja tietosuojaa edistävä vaikutus.

FINANSSIALA RY 

Hannu Ijäs 

Lausunto yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista