§ 592

Lausunto oikeusministeriölle yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista

HEL 2019-008347 T 03 00 00

Päätös

Kaupunginhallitus antoi seuraavan lausunnon:

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Merkittävin hyöty on yleisen tietoisuuden lisääntyminen oikeista toimintatavoista henkilötietojen käsittelyssä ja suojaamisessa. Tietoisuus tietosuojasta on lisääntynyt sekä kaupungin työntekijöiden että rekisteröityjen keskuudessa. Tietosuojatyö on selkeytynyt ja tietosuoja huomioidaan yhä paremmin ja varhaisemmassa vaiheessa kaikessa toiminnassa ja sen kehittämisessä, kuten IT-hankinnoissa.

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

EU:n yleisen tietosuoja-asetuksen (jäljempänä asetus) johdanto-osan 41 kappaleen mukaan henkilötietojen käsittelyä koskevan lainsäädännön tulee olla selkeää, täsmällistä ja ennakoitavaa. Asetus on kuitenkin monimutkainen ja vaikeaselkoinen. Kansallista henkilötietojen käsittelyä koskevaa sääntelyä sisältyy satoihin eri lakeihin. Tietosuojalainsäädännön pirstaleisuus aiheuttaa suurta epätietoisuutta kulloinkin sovellettavasta lainsäädännöstä ja lakien etusijajärjestyksestä.

Haasteita liittyy sekä julkisen hallinnon yleislakien että erityislainsäädännön sisältämiin henkilötietojen suojaa, viranomaisen toiminnan julkisuutta sekä salassapitoa koskeviin säädöksiin. Julkisuusperiaatteen ja tietosuojalainsäädännön yhteensovittaminen aiheuttaa erittäin vaativia punnintatilanteita. Tietopyyntöjen määrä Helsingissä, erityisesti sosiaali- ja terveystoimialalla on suuri ja pyyntöjen käsittely on jatkuvaa toimintaa. Lisäksi rekisteröityjen ja myös työntekijöiden on hankala hahmottaa erityyppisten tietopyyntöjen eroja.  Erityislainsäädännön osalta haasteita liittyy erityisesti sosiaali- ja terveystointa koskevan erityislainsäädännön ja tietosuoja-asetuksen yhteensovittamiseen. Kyseessä on merkittävä sosiaali- ja terveystoimen viranomaisten toimintaedellytyksiin liittyvä kysymys, jonka ratkaisemiseen tarvittavia lainsäädäntötoimia tulisi priorisoida.

Kaikesta tiedottamisesta ja koulutuksesta huolimatta henkilöstön ymmärrys asetuksen määräysten tärkeydestä ja sitovuudesta on paikoittain ollut hidasta. Tietosuojastrategisiin toimenpiteisiin tarvitaan kasvavassa määrin resursseja. Esimerkiksi sisäänrakennetun ja oletusarvoisen tietosuojatyön vieminen toimintaan ja kehittämistyöhön on haasteellista.

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Suomessa on kattavaa ja tarpeellista tietosuojasääntelyä, mutta kansallisen liikkumavaran käytössä olisi tullut kiinnittää enemmän huomiota lainsäädännön selkeyteen ja yhtenäisyyteen.

Tietosuojalaki (1050/2018)

Lakiteksti on vaikealukuista ja sisältää erittäin laajasti viittauksia tietosuoja-asetuksen eri artikloihin.  Lain sisällön pystyy ymmärtämään vain lukemalla sitä yhdessä tietosuoja-asetuksen ja lain esitöiden kanssa.

Tietosuojalain 4 §:n 1 momentin 1 kohdan mukaan henkilötietoja saa käsitellä, jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisöissä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn peruste on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään asti. Tätä säännöstä on pidettävä perusteltuna, koska nämä tiedot eivät ole samanlaisen suojan tarpeessa kuin henkilön yksityiselämään liittyvät tiedot.

Laki ei perustelujen mukaan kuitenkaan oikeuta käsittelemään näitä tietoja siten, että ne pidettäisiin julkisesti saatavilla. Osittain 1 kohdassa mainittujen henkilötietojen pitäminen julkisesti saatavilla olisi yleisen edun mukaista, koska on yleinen tarve tietää, ketkä henkilöt ovat yhteiskunnallisesti merkittävässä asemassa, sekä saada tietoa heidän toiminnastaan. Käytännössä avoimuuden toteuttaminen tehokkaasti edellyttää usein sitä, että tiedot pidetään julkisesti saatavilla yleisessä tietoverkossa. Säännöstä tulisi täsmentää siten, että tietyin edellytyksin näiden tietojen julkisesti saatavilla pitäminen olisi sallittua.

Julkisuus- ja salassapitosäännökset

Suomen ja muiden Pohjoismaiden erityispiirteenä on laaja julkisuusperiaate. Kansallisessa lainsäädännössä ei ole riittävästi otettu huomioon perustuslain julkisuusperiaatteen ja tietosuoja-asetuksen yhteensovittamista, vaikka yleisen tietosuoja-asetuksen 86 artikla antaa tähän kansalliselle lainsäätäjälle mahdollisuuden.

Suomessa on laaja joukko salassapitoa koskevia säännöksiä niin viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999, jäljempänä julkisuuslaki) kuin eri hallinnonalojen lainsäädännössä. Henkilötietojen suojassa ei sinänsä ole kysymys tietojen salassapidosta, vaikka salassapidolla suojattava etu saattaakin yksityisyyden suojan osalta olla päällekkäinen henkilötietojen suojan kanssa. Salassapito voi liittyä henkilötietojen suojaan myös siten, että salassapito voi olla säädetty henkilötietojen käsittelyn mahdollistavaksi yhdeksi suojatakeeksi. Käytännössä tietosuojaa on kunnan toiminnassa mahdoton toteuttaa tuntematta julkisuuslain ja erityislakien useita yksityisyyttä suojaavia salassapitosäännöksiä, joten pykälien sijoittuminen merkittävään määrään eri lakeja vaarantaa yksityisyyden suojan toteutumisen käytännössä.

Julkisuus- ja salassapitolainsäädäntö kaipaisi kokonaisuudistusta, jossa säädöksiä nykyaikaistettaisiin. Tällä hetkellä tietosuojaa, salassapitoa, tietojen luovuttamista ja teknisiä käyttöyhteyksiä koskeva lainsäädäntö on niin pirstaleista ja vaikeaselkoista, että sen hallitsemiseen ei monella organisaatiolla ole resursseja. Tämä näkyy erityisesti tietojärjestelmähankkeissa ja paitsi aiheuttaa kustannuksia ja viivästyksiä myös vaarantaa tietosuojan tosiasiallisen toteutumisen. Liian vaikeaselkoinen lainsäädäntö jää helposti noudattamatta. Myös terminologiaa tulisi yhdenmukaistaa. Pirstaleinen tietosuoja- ja salassapitolainsäädäntö koskee erityisesti arkaluonteisia henkilötietoja, vaikka perustuslakivaliokunnan lausuntojen (PeVL 14/2018 vp s.6 ja PeVL 71/2018 vp s.3) mukaan arkaluonteisten henkilötietojen käsittelyä koskevan sääntelyn kohdalla on syytä pyrkiä selkeään ja ymmärrettävään lainsäädäntöön.

Tietojen luovutusta koskevaa lainsäädäntöä tulisi selkiyttää, erityisesti julkisuuslain 16 §:n 3 momentti joka koskee tietojen luovuttamista viranomaisen henkilörekistereistä aiheuttaa käytännön työssä tulkintaongelmia. Saman pykälän 4 momentti, jonka mukaan tietojen antamisesta teknisen rajapinnan ja katseluyhteyden avulla säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa kuvastaa hyvin säädösten hajaantumista. Tietojen luovuttamista koskevia pykäliä tulisi muuttaa siten, että niissä käytetään yleisen tietosuoja-asetuksen ja tietosuojalain käsitteitä.

Julkisuuslain 12 §:n mukainen oikeus saada tieto itseään koskevasta asiakirjasta kaipaisi selkiyttämistä suhteessa tietosuoja-asetuksen 15 artiklan mukaiseen rekisteröidyn oikeuteen saada pääsy omiin tietoihin. Kummankin säännöksen perusteella voidaan luovuttaa henkilöä itseään koskevia salassa pidettäviä tietoja ja asiakirjoja. Viranomaisen on tarvittaessa selostettava tiedon pyytäjälle eri tiedonsaantioikeuksia koskevat säännökset sen selvittämiseksi, minkä säännöksen perusteella tietoja halutaan pyytää. Viranomaisen neuvontavelvollisuuteen kuuluu erojen selostus ja tiedonpyytäjälle edullisemman tiedonsaantioikeuden tarjoaminen. Asia on kuitenkin asiakkaalle vaikeasti ymmärrettävä eikä aina ole selvää kumpi tiedonsaantisäännös on edullisempi, koska asiakirjoista perittäviä maksuja ja muutoksenhakua koskevat määräykset ovat tapauksissa erilaisia.

Kuntalaki (410/2015)

Kaupungin toiminnassa haasteellisia sovellettavia ovat myös kuntalain 140 §, joka kieltää julkaisemasta pöytäkirjassa muut kuin tiedonsaannin kannalta välttämättömät henkilötiedot ja jonka mukaan pöytäkirjan sisältämät henkilötiedot on poistettava tietoverkosta oikaisuvaatimus- tai valitusajan päättyessä. Välttämättömyyden lisäksi säännös ei ota mitään kantaa henkilötietojen luonteeseen. Pykälää tulisi muuttaa siten, että henkilötietojen suoja kytketään yksityisyyden suojan intressiin. Tällä hetkellä on epäselvyyttä esimerkiksi siitä, saavatko hallintolain edellyttämät lisätiedon antajan ja päätöksentekijän tiedot jäädä yleisessä tietoverkossa julkaistuun pöytäkirjaan kuntalain 140 §:n sanamuodosta huolimatta muutoksenhakuajan jälkeenkin.

Tulkintaepäselvyyksiä on myös tilanteissa, joissa kunnan tiedotusvelvollisuus ja kuntalaisten tiedonsaanti-intressi puoltavat pöytäkirjan pitämistä yleisessä tietoverkossa henkilötietoineen muutoksenhakuaikaa pidempään. Kuntalain sanamuoto ei tunnista tilanteista, joissa kuitenkin avoimuus edellyttää myös henkilötiedon pitämistä saatavilla muutoksenhakuaikaa pidempään. Kuntalain 140 §:ää olisi syytä tarkentaa sen osalta, millaisia kunnan tiedotusvelvollisuuteen liittyviä tilanteita voidaan pitää perusteltuna syynä pitää pöytäkirja ja sen sisältämät henkilötiedot saatavilla yleisessä tietoverkossa myös pöytäkirjamuodossa muutoksenhakuaikaa pidempään. Pykälän nykyinen sanamuoto on omiaan johtamaan julkisuusperiaatetta rajoittaviin tulkintoihin ja vaikeuttamaan kuntalaisten tiedonsaantia.

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset

Tietosuoja-asetuksen yleiset säännökset ovat pääosin selkeitä ja niitä
on avattu asetuksen johdanto-osiossa. Asetuksen kieliasu ja terminologia ovat paikoittain vaikeasti ymmärrettävissä ja hahmotettavissa. Termit rekisteröity, henkilötietojen käsittelijä ja rekisterinpitäjä ovat vaikeasti ymmärrettävissä.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

Periaatteita koskevat artiklat ovat pääosin onnistuneet. Tietosuoja-asetuksen periaatteet ovat selkeitä ja käsittelyn lainmukaisuus ja erityiset henkilötietoryhmät on määritelty riittävän tarkasti. Artikloiden oikea tulkinta edellyttää kuitenkin tarkkaa tutustumista asetuksen johdanto-osaan, jossa tarkennukset ja esimerkit on sijoitettu useaan eri kohtaan. Johdanto-osaa ei ole jaoteltu artiklojen mukaan, jolloin tietojen löydettävyys kärsii. Sisällön ymmärtämiseksi on luettava asetuksen englannin- tai ranskankielistä versiota, koska suomenkielisestä versiosta ei aina saa selvää.

Artiklassa 7 suostumuksen edellytykset on kirjoitettu selkeästi. Johdanto-osan kohdassa 43 on asetettu viranmaistoimintaa koskeva käyttörajoitus ”Jotta voidaan varmistaa, että suostumus on annettu vapaaehtoisesti, suostumuksen ei pitäisi olla pätevä oikeudellinen peruste henkilötietojen käsittelylle sellaisessa erityistilanteessa, jossa rekisteröidyn ja rekisterinpitäjän välillä on selkeä epäsuhta. Tämä koskee erityisesti tilannetta, jossa rekisterinpitäjänä on viranomainen ja jossa on sen vuoksi epätodennäköistä, että suostumus on annettu vapaaehtoisesti kaikissa kyseiseen tilanteeseen liittyvissä olosuhteissa.” Rajoitus on kirjoitettu turhan jyrkästi ja sekoittaa 7 artiklan tulkintatilanteita. Kohta ei sulje pois aidon suostumuksen käyttöä viranomaistoiminnassa, mutta antaa kuvan siitä, ettei se olisi mahdollista. Viranomaistoiminnassa on esimerkiksi salassa pidettävien tietojen osalta kuitenkin varsin tavallista, että niiden luovutus toiselle viranomaiselle ja käsittely muuhun kuin alkuperäiseen käyttötarkoitukseen on mahdollista vain rekisteröidyn suostumuksella.

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

Asetuksen III luku on pääsääntöisesti hyvä, mutta luku on hyvin raskaslukuinen, erityisesti runsaiden asetuksen sisäisten viittausten vuoksi. Rekisteröidyn informointi on ollut kunnallisessa toiminnassa käytännössä vaikeaa toteuttaa asetuksen vaatimalla tasolla. Asetus vaatii informoinnilta tarkkuutta, mutta monimutkaisen käsittelyn selostaminen sekä tarkasti että ymmärrettävästi on haasteellista. Erityisen haasteellista se on tilanteissa, joissa käsittely on erityisen laajamittaista ja rekisteröidyn kyky annetun tiedon ymmärtämiseen on alentunut, esimerkiksi sosiaali- ja terveystoimialalla. Rekisteröidyn informoimiseksi tarvittavien tietojen saattaminen julkisesti saataville on ollut toteutettavissa, mutta jokaisen henkilökohtainen informointi käsittelystä useissa lakisääteisissä palveluissa olisi käytännössä ollut hyvin vaikeaa.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä

Luku on kokonaisuutena selkeä ja perusteellinen.

26 artiklan yhteisrekisterinpitäjyys tulisi olla määritelty selkeämmin. Sisäänrakennetun ja oletusarvoisen tietosuojan toteuttaminen hakee vielä muotoaan ja parhaiden toimintatapojen ohjeistukset helpottaisivat käytännön toteutusta. Tietosuoja-asetuksen 28 artiklassa on hyvä, sopimista helpottava listaus asioista, joista rekisterinpitäjän on sovittava käsittelijän kanssa. Tietosuoja-asetuksen vaatimukset sopimusten osalta ovat parantaneet sopimusten laatua muiltakin osin. Käytännössä on ilmennyt, että artiklan sisällön ymmärtäminen on ollut vaikeaa ja sopimusten saattaminen vaaditulle tasolle on vaatinut lisäresurssointia ja erityisosaamista.

Tietosuoja-asetuksen 33 artiklan asettaman 72 tunnin aikarajan sisällä on käytännössä usein varsin haastavaa saada täysin totuudenmukaisia tietoja tietoturvaloukkauksista. Tiedot ovat usein vajavaiset ja voivat olla jopa täysin vääriä ensimmäisen 72 tunnin aikana. Tästä aiheutuu ylimääräistä työtä kaikille osapuolille. Velvollisuus ilmoittaa tapahtuneesta tietoturvaloukkauksesta valvontaviranomaiselle ja siihen luotu kaupungin sisäinen prosessi ovat tehneet kaupungin tosiasiallisen tietosuojan tilanteen näkyvämmäksi. Tämä helpottaa tietosuojaa parantavien toimenpiteiden suunnittelua.

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

V luvun säädökset henkilötietojen siirrosta kolmansiin maihin tai kansainvälisille järjestöille ovat tarpeellisia EU-maiden kansalaisten henkilötietojen suojaamiselle. Säädöksiä tulisi tarkentaa, jotta käytännön lainsoveltamisesta tulisi selkeämpää ja johdonmukaisempaa. Esimerkiksi 49 artiklan käyttötilanteiden selventäminen olisi hyödyllistä.

Ottaen huomioon Safe Harbour –järjestelmän kaatumisen Euroopan Unionin tuomioistuimessa (EUT) ja sitä korvaavan Privacy Shield -järjestelmän ja tietosuojaa koskevien mallilausekkeiden laillisuutta koskevan vireillä olevan oikeudenkäynnin, olisi ollut toivottavaa, että asetuksessa olisi otettu syvemmällä tasolla kantaa niihin konkreettisiin tietosuojan tasoa parantaviin toimenpiteisiin, joita laillinen käsittely ETA -alueen ulkopuolella rekisterinpitäjältä edellyttää. Nyt käsittelyn laillisuus on rakennettu ainoastaan suhteellisen teknisten sopimusmekanismien varaan, joten jos nämä järjestelyt todettaisiin EUT:ssa laittomiksi, olisi rekisterinpitäjä todella vaikeassa tilanteessa.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Riippumattomat valvontaviranomaiset

Lausuntopyynnössä ilmeisesti tarkoitetaan lukua VI Riippumattomat valvontaviranomaiset.

EU:n yleisen tietosuoja-asetuksen säädökset asetuksen valvontaviranomaisista ovat hyödyllisiä. On huomattava, että valvontaviranomaisen toiminta on taattava riittävin resurssein, jotta se pystyy hoitamaan asetuksen tuoman tehtäväkentän. Käytännössä on havaittu, että tietosuojavaltuutetun toimistosta on vaikea saada neuvontaa vaikeisiin tulkintakysymyksiin.

Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus

Yhteistyötä ja yhdenmukaisuutta koskevat määräykset ovat käytännössä johtaneet siihen, että ohjauksen ja neuvonnan saaminen tietosuojavaltuutetun toimistosta vaikeissa tulkintatilanteissa on vaikeutunut. Valvontaviranomainen pidättäytyy antamasta ohjeita tilanteissa, joissa se katsoo tarvittavan unionin tasoisia yhtenäisiä linjauksia. Rekisterinpitäjän näkökulmasta tämä on hyvin ongelmallista, sillä valvontaviranomaisen neuvontaa kaivattaisiin nimenomaan niissä tilanteissa, joissa EU tason kannanottojen ja oikeustapausten saaminen on hyvin hidasta. Rekisterinpitäjät joutuvat tekemään tulkintaa ilman riittävää ohjausta, mikä johtaa tietosuojan toteutumisen kannalta huonoon lopputulokseen.

Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset

Rekisteröidyn oikeussuojakeinot ovat tehokkaita.

Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

86 artikla, joka mahdollistaa kansallisen lainsäädännön julkisuuperiaatteen toteuttamiseksi on tärkeä ja erittäin selkeä. Sen sijaan 86 artiklan mahdollistama kansallinen sääntely Suomessa ei ole onnistunut optimaalisesti. Ongelmia on kuvattu kansallisen liikkumavaran käyttöä koskevan kysymyksen kolme kohdalla.

Esittelijä

kansliapäällikkö

Sami Sarvilinna

Lisätiedot

Pilvi Karhula, tietosuojalakimies, puhelin: 09 310 25237

pilvi.karhula(a)hel.fi

Päivi Vilkki, tietosuojavastaava, puhelin: 09 310 36168

paivi.vilkki(a)hel.fi

Liitteet

Muutoksenhaku

Päätösehdotus

Päätös on ehdotuksen mukainen.

Esittelijän perustelut

Oikeusministeriö on 7.8.2019 pyytänyt kaupungin lausuntoa yleisen tietosuoja-asetuksen toimivuudesta ja sen soveltamiseen liittyvistä kokemuksista. Lausunnon määräaika on 17.9.2019.

Lausunto annetaan vastaamalla lausuntopalvelu.fi:ssä. Lausunto on oikeusministeriön pyynnön mukaisesti otsikoitu lausuntopyynnössä ilmoitettujen väliotsikoiden mukaisesti.

Lausuntopyynnön johdosta toimialoilta, virastoilta ja liikelaitoksilta on pyydetty lausunnot asiassa. Lisäksi kaupunginkanslian oikeuspalveluista on pyydetty kommentit lausuntopyyntöön.

Helsingin kaupungin hallintosäännön (kvsto 19.6.2019 § 212) 19 luvun 5 §:n 1 momentin mukaan ellei toisin ole säädetty tai määrätty, kaupungin puhevaltaa käyttää ja kaupungin esitykset ja lausunnot ulkopuoliselle antaa kaupunginhallitus.

Esittelijä

kansliapäällikkö

Sami Sarvilinna

Lisätiedot

Pilvi Karhula, tietosuojalakimies, puhelin: 09 310 25237

pilvi.karhula(a)hel.fi

Päivi Vilkki, tietosuojavastaava, puhelin: 09 310 36168

paivi.vilkki(a)hel.fi

Liitteet

Muutoksenhaku

Päätöshistoria

Keskushallinto Taloushallintopalveluliikelaitos 22.8.2019

HEL 2019-008347 T 03 00 00

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

Tietosuoja-asetus on lisännyt yleistä tietoisuutta tietosuojasta ja nostanut esiin oleellisia kysymyksiä henkilötietojen käsittelystä. Moni aiemmin henkilötietolaissa (523/1999) säädetty asia on nyt saanut aiempaa enemmän julkisuutta ja tullut yleisesti tunnetummaksi.

Organisaatiossamme on koulutettu kaikki työntekijät huomioimaan henkilötietojen tietosuoja aiempaa paremmin. Työprosesseja on muokattu ja uudistettu, jotta henkilötietojen tietosuoja varmistetaan. Verkkolevyllä olevien henkilötietojen näkyvyyttä on rajoitettu. Paperilla olevien henkilötietojen käsittelyprosesseja on muutettu ja tiedon hävittämistä on nopeutettu, jotta tietosuoja tulisi paremmin huomioiduksi.

Joissakin tietojärjestelmissä on havaittu puutteita tietosuojan kannalta, joten tietojärjestelmiä on ryhdytty parantamaan.

Organisaatiossa on otettu käyttöön suojattu sähköposti, jota käytetään erityisiä henkilötietoryhmiä koskevien tietojen ja muiden ei-julkisten tai salassa pidettävien henkilötietojen lähettämisessä.

Organisaation sisällä on laadittu tietosuojaan liittyviä ohjeita ja järjestetty harjoituksia muun muassa tietoturvaloukkausten käsittelyprosessista.

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

Tietosuoja-asetus hyväksyttiin 27.4.2016, ja kahden vuoden siirtymäajan jälkeen sitä oli alettava soveltaa 25.5.2018. Kansallinen tietosuojalaki (1050/2018) astui voimaan vasta 1. päivänä tammikuuta 2019.  On ennenaikaista ottaa kantaa tietosuoja-asetuksen toimintaan, kun EU:n tietosuoja-asetusta täydentävä lakikin on ollut voimassa vasta runsaan puoli vuotta.

Tietoturvaloukkausten käsittely on ongelmallista, koska tietosuoja-asetuksen sisältö on paikoitellen epäselvä ja tulkinnanvarainen ja paikoitellen hyvin vaativa.

Esimerkiksi 34 artiklan 3 ja 3b-kohdissa todetaan, että

”ilmoitusta rekisteröidylle ei vaadita, jos rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu.”

Tästä on pääteltävissä, että vaikka luonnollisen henkilön oikeuksille ja vapauksille on aiheutunut korkea riski, rekisterinpitäjän ei tarvitse lainkaan ilmoittaa siitä hänelle. Tämä ei liene tietosuoja-asetuksen hengen mukaista toimintaa, vaikka asetuksesta näin on tulkittavissa.

Korkean riskin määrittelyssä tarvitaan tukea joko organisaation omilta tietosuojalainsäädännön asiantuntijoilta tai kansalliselta valvontaviranomaiselta. Korkea riski on määriteltävä jokaisessa tietoturvaloukkauksessa erikseen, joten tuen tarve on jatkuva.

Artikla 34:n 2 kohdassa viitataan 33 artiklan kohtaan 3c, jonka mukaan rekisteröidylle on kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset. Todennäköisten seurausten arvioiminen ja kuvaaminen on erittäin haastavaa. Samoin, haastavaa on todennäköisten seurausten sanallinen muotoilu rekisteröidylle.

Melko vähäistenkin henkilötietojen paljastumisesta voi olla seurauksena identiteettivarkaus ja/tai henkilöön kohdistuva häirintä.

Organisaatiossamme joudutaan jatkuvasti pohtimaan, onko identiteettivarkaus tai häirintä todennäköinen seuraus. Sanojen identiteettivarkaus tai häirintä kirjoittaminen rekisteröidylle lähtevään ilmoitukseen olisi omiaan aiheuttamaan rekisteröidyssä suurta huolta. Toistaiseksi näitä sanoja ei ole kirjoitettu ilmoituksiin.

Näin ollen artiklan 33 kohta 3c on rekisterinpitäjälle erittäin vaativa.

Organisaatiossamme halutaan kehittää työprosesseja tehokkaammaksi automatisoimalla manuaalista työtä. Ostolaskujen käsittelyjärjestelmässä on satojatuhansia saman tyyppisiä laskuja, joiden käsittelyä halutaan nopeuttaa tekoälyn avulla. Jotta tekoälyä voidaan hyödyntää, se tulee ensin opettaa olemassa olevilla laskuilla käsittelemään niitä. Organisaatiomme ulkopuoliselle yritykselle on annettava ostolaskudataa tekoälyn opettamiseksi. Data sisältää henkilötietoja, joita yritys ei tarvitse, mutta joita ei voi rajata datamassasta pois.

Tietosuoja-asetuksen 14 artiklassa säädetään henkilötietojen käytöstä historiallisiin, tieteellisiin ja tilastollisiin tutkimustarkoituksiin, mutta henkilötietojen suhde tietojärjestelmien kehittämistoimiin on epäselvä.

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

Sääntelyliikkumavaran käytettävyyteen on liian aikaista sanoa mitään tässä vaiheessa. Tällä hetkellä tuntuu siltä, että olemassa olevan lainsäädännön kanssa ollaan tultu toimeen. Ylitsepääsemätöntä ongelmaa ei olla vielä kohdattu.

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset

EU:n tietosuoja-asetus on varsin uusi, eikä se suomalaisesta näkökulmasta tuo niin paljoa uutta, kuin mitä ensivaikutelma antaa ymmärtää.  Sen tarpeellisuus syntyy lähinnä siitä, että se korvaa ja yhdistää eri EU-maiden nykyiset säännöt ja näin ollen helpottaa yritysten ja organisaatioiden toimintaa eri valtioiden välillä ja on omiaan vahvistamaan EU:n integraatiota.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

Henkilötietojen yleiset periaatteet ovat kauniita, yleisiä periaatteita, joihin lopulta voi saada sisällytettyä paljon tulkintaa siitä, mikä on asianmukaista, lainmukaista, käyttötarkoitussidonnaista, täsmällistä, läpinäkyvää tms. ja miten tietojen minimointi on hoidettu.

Tästä tavoitteen vaikeudesta huolimatta, on syytä jatkaa EU:n lainsäädännön harmonisointia, jotta yritysten ja EU kansalaisten mahdollisuudet rajoja ylittävään toimintaan toteutuisivat.

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

On hivenen epäselvää, miten rekisteröidyn oikeudet toteutuvat käytännössä. Rekisteröidyllä on oikeus mm. ”tulla unohdetuksi” ja rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedon ilman aiheetonta viivytystä”. 

Kuitenkaan ei ole tullut selväksi, miten rekisteröity voi varmistaa, että tietoja ei jää esim. varmuuskopioihin tai tulosteisiin tms.

Mikäli lainsäätäjä ei ole luonut järjestelmää, jonka mukaan rekisteröity voi varmistua em. oikeuksien toteutumisesta on olemassa vaara, että luottamus EU:n tietosuojasetuksen luomaan järjestelmään murenee. 

Asetuksen 15 artiklan 3 kohdan mukaan rekisteröidylle on toimitettava jäljennös käsiteltävistä henkilötiedoista.

Tulkintavaikeuksia on aiheuttanut se, mitkä kaikki tiedot rekisteröidylle on toimitettava. Jos tietojärjestelmistä on etsittävä ja poimittava kaikki rekisteröityä koskevat tiedot, on tehtävään kuluva työaika monessa tapauksessa kohtuuton. Osa tietojärjestelmistä on rakenteeltaan sellaisia, että hakuja ei voi kohdentaa yksittäiseen rekisteröityyn, vaan yksittäinen rekisteröity on selaamalla haettava tuhansien tai kymmenien tuhansien muiden joukosta – ja toisinaan useiden saman nimisten joukosta.

Näin ollen rekisteröidylle voidaan joissain tapauksissa toimittaa vain osa häntä koskevista tiedoista.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä

Ilmaus henkilötietojen käsittely on vaatinut totuttelua. Organisaatiossa on opeteltu ero rekisterinpitäjän ja henkilötietojen käsittelijän välillä.

Suomen kielessä käsittely assosioituu siihen, että tietoihin kosketaan ”käsin”. Asetuksen käsittely –ilmaus on kuitenkin tulkittava siten, että pelkkä henkilötietojen katselu on tietojen käsittelyä.

Kommentti yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

EU:n yleistä tietosuoja-asetusta sovelletaan ainoastaan EU:n alueella, jolloin ongelmalliseksi on koettu tilanteet, joissa henkilötietojen käsittelijä haluaa siirtää käsittelyn kolmansiin maihin, joissa kyseistä EU asetusta mahdollisesti ei sovelleta. Sopimusteknisesti henkilötietojen siirrot kolmansiin maihin voidaan sitouttaa EU:n asetuksen vaatimuksiin ja tietojen siirtäminenkin on luvan varaista. Huolemme mukaan asetuksen tarkoittamat oikeusturvakeinot voivat pahimmassa tapauksessa jäädä asetuksen soveltamisalueen ulkopuolelle, kuten myös asetuksen tarkoittaman kansallisen valvontaviranomaisen rooli ja toimintamahdollisuudet. (Tietosuojalaki 18 §).
 
Tietosuoja-asetuksen 79 artiklan mukaan jokainen rekisteröity voi tosin nostaa kanteen rekisterinpitäjää (esim. Helsingin kaupunki) tai henkilötietojen käsittelijää (yritys XYZ, jolta Hgin kaupunki on ostanut palvelun) vastaan, jos katsoo, että hänen henkilötietojensa käsittelyssä ei ole noudatettu asetusta. Saamiemme tietojen mukaan vastaavanlaisia kanteita ei ole nostettu Suomessa eikä muutenkaan ole vielä selvää kuvaa siitä, miten asiassa tullaan toimimaan tai valvontaa suorittamaan. 

Kommentti tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset

Talpalla ei ole kommentoitavaa VI lukuun.

Kommentti tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus

Talpalla ei ole kommentoitavaa VII lukuun.

Kommentti tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset

Talpalla ei ole kommentoitavaa VIII lukuun.

Kommentti tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

Talpalla ei ole kommentoitavaa IX lukuun.

Lisätiedot

Lauri Mattila, tietohallintopäällikkö, puhelin: 310 25151

lauri.mattila(a)hel.fi

Tero Leponiemi, lakimies, puhelin: 310 33571

tero.leponiemi(a)hel.fi

Kasvatuksen ja koulutuksen toimiala 20.8.2019

HEL 2019-008347 T 03 00 00

Kasvatuksen ja koulutuksen toimiala antaa asiassa seuraavan lausunnon.

Mitkä ovat olleet yleisen tietosuoja-asetuksen merkittävimpiä hyötyjä?

- Yleinen tietosuoja-asetus on tuonut henkilötietojen käsittelyn pelisääntöihin yhteiset käsitteet ja yhtenäiset linjaukset eri toimijoille.

- Yksilön oikeudet omiin tietoihinsa ja yksityisyytensä suojaan ovat nousseet selkeästi esiin.

Mitkä ovat olleet yleisen tietosuoja-asetuksen soveltamisessa ja toimivuudessa suurimpia haasteita?

- Kaikesta tiedottamisesta ja koulutuksesta huolimatta ymmärrys asetuksen määräysten tärkeydestä ja sitovuudesta on realisoitunut kovin hitaasti.

- EU:n tietosuoja-asetuksen soveltaminen on haasteellista yhteistyössä  globaalien toimijoiden kanssa. 

Onko yleisen tietosuoja-asetuksen mahdollistamaa sääntelyliikkumavaraa käytetty Suomessa tarkoituksenmukaisella tavalla?

- Kyllä.

Kommentit yleisen tietosuoja-asetuksen I lukuun – Yleiset säännökset

- Kokonaisuus on selkeä ja rajaa hyvin yleisen tietosuoja-asetuksen tarkoituksen.

Kommentit yleisen tietosuoja-asetuksen II lukuun – Periaatteet

- Yleisellä tasolla toinen luku muodostaa harkitun ja yhtenäisen kokonaisuuden, jossa vaatimukset henkilötiedon käsittelylle ja sen lainmukaisuudelle ovat pääpiirteissään selkeästi esillä. 6 artiklan 1. kohdan käsittelyn lainmukaisuuden edellytyksiä olisi syytä avata. Tällä hetkellä edellytyksissä on päällekkäisyyksiä ja käsitteellistä sumeutta. Esimerkiksi 6 artiklan 1. kohdan alakohtien c) lakisääteisen velvollisuuden noudattaminen ja e) yleistä etua koskevan tehtävän suorittaminen (joka perustuu lakiin).

- Miksi erityisiin henkilötietoryhmiin ei kuulu mitään rekisteröidyn sosiaaliseen asemaan tai oloihin liittyvää arkaluonteiseksi luonnehdittavaa tietoa?

Kommentit yleisen tietosuoja-asetuksen III lukuun – Rekisteröidyn oikeudet

- 22 artiklan profilointikiellon rajoittaminen tietojen automaattiseen käsittelyyn ei tunnu perustellulta. Myös ihmisten tekemällä profiloinnilla voi olla rekisteröityjä koskevia vaikutuksia.

Kommentit yleisen tietosuoja-asetuksen IV lukuun – Rekisterinpitäjä ja henkilötietojen käsittelijä

- Luku on kokonaisuutena selkeä ja perusteellinen.

- 26 artiklan yhteisrekisterinpitäjyys voisi  olla määritelty selkeämmin.

- 30 artiklan mukaisen selosteen tarkoitus jää viranomaiskäyttöä lukuun ottamatta epäselväksi. Ei tunnu tarkoituksenmukaiselta laatia vain itseä ja valvontaviranomaista varten tällainen seloste etenkin, kun rekisteröityjen informointi on voitu toteuttaa jo muilla tavoin.

Kommentit yleisen tietosuoja-asetuksen V lukuun – Henkilötietojen siirrot kolmansiin maihin tai kansainvälisille järjestöille

- Nykyisten ja kehittyvien globaalien tietojärjestelmä- ja pilvipalveluiden maailmassa maiden väliset rajat eivät merkitse tietovirtojen ja tiedonkäsittelyn kannalta yhtään mitään. Tuntuu, kuin puhuttaisiin vain fyysisten asiakirjojen siirtelystä, kun pitäisi puhua sisällöstä ja käsittelyn logiikasta.

Kommentit yleisen tietosuoja-asetuksen VI lukuun – Riippumattomat valvontaviranomaiset

- Ei erityistä kommentoitavaa.

Kommentit yleisen tietosuoja-asetuksen VII lukuun – Yhteistyö ja yhdenmukaisuus

- Ei erityistä kommentoitavaa.

Kommentit yleisen tietosuoja-asetuksen VIII lukuun – Oikeussuojakeinot, vastuu ja seuraamukset

- Ei erityistä kommentoitavaa.

Kommentit yleisen tietosuoja-asetuksen IX lukuun – Tietojenkäsittelyyn liittyviä erityistilanteita koskevat säännökset

- Ei erityistä kommentoitavaa.

Lisätiedot

Jussi Matikainen, pääsuunnittelija, puhelin: 310 86839

jussi.matikainen(a)hel.fi