EU:n tietosuoja-asetuksen soveltaminen käynnistyy ensi viikon perjantaina 25.5.2018, vaikka eduskunta käsittelee parhaillaan hallituksen esitystä uudeksi tietosuojalaiksi. Perustuslakivaliokunta teki viime viikolla tärkeän linjauksen koskien hallinnollisten seuraamusmaksujen määräämistä. Sen mukaan ehdotettu rangaistusluonteisten seuraamusmaksuista päättäminen on perustuslain vastainen, eli päätöksentekoa ei tule keskittää yhdelle viranomaiselle eli tietosuojavaltuutetulle, vaan antaa monijäsenisen toimielimen tehtäväksi.
Uusi tietosuojalaki liittyy EU:n yleisen tietosuoja-asetuksen täytäntöönpanoon ja kotimaiseen tietosuojalainsäädännön uudistamiseen. Tarkoituksena on uuden lain avulla hyödyntää tietosuoja-asetuksen sisältämä kansallinen liikkumavara täydentämällä sekä täsmentämällä tietosuoja-asetusta. Vaikka tietosuoja-asetus on sellaisenaan sovellettavaa oikeutta, on tärkeää saada aikaan jatkuvuutta nyt voimassa olevan henkilötietolain ja tietosuoja-asetuksen välille, esimerkiksi henkilötunnuksen käsittelyn osalta. Tämä helpottaa yritysten valmistautumista.
Hallinnollisista sakoista päättämistä ei tule keskittää yhdelle viranomaiselle
Hallituksen esityksen mukaan tietosuojavaltuutettu sekä valvoisi että päättäisi rangaistusluonteisista seuraamusmaksuista, kun valvontaviranomaisen toimivaltuudet keskitettäisiin tietosuojavaltuutetulle. Tietosuojavaltuutettu voisi harkintansa mukaan ratkaista asiat joko esittelystä tai ilman esittelyä. Halutessaan tietosuojavaltuutettu voisi pyytää erityisen, perustettavaksi ehdotetun asiatuntijalautakunnan lausuntoa.
Ehdotus on hätkähdyttävä, sillä yleinen tietosuoja-asetus ei edellytä tällaista tietosuojan valvontaan ja päätöksentekoon liittyvän toimivallan keskittämistä yhdelle viranomaiselle. Tietosuoja-asetuksen mukaiset hallinnolliset sakot ovat kuitenkin suuruudeltaan huomattavat ja tuovat merkittävän muutoksen suomalaiseen oikeuskulttuuriin. Kansallinen valvontaviranomainen voi määrätä tietosuoja-asetuksen rikkomisesta hallinnollisen sakon, jonka suuruus rikkomisen tyypistä riippuen voi olla maksimissaan 10 tai 20 miljoonaa euroa tai jos kyse on yrityksestä 2 tai 4 %:a yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta.
Ehdotus on myös huolestuttava, sillä siitä aiheutuisi ongelmia rekisterinpitäjien ja henkilötietojen käsittelijöiden oikeusturvaan saman viranomaisen sekä valvoessa että määrätessä seuraamukset. Lisäksi tietosuojavaltuutettu edustaisi Suomea Euroopan tietosuojaneuvostossa, joka tulee jatkossa olemaan keskeinen tietosuoja-asetusta tulkitseva taho. Nyt on jo yleisesti tiedossa, että tietosuoja-asetus on melko tulkinnanvarainen. Jo tästä syystä on perusteltua jakaa päätösvaltaa, kun hallinnollisista sakoista päätetään.
Perustuslakivaliokunnan kannanotto vastaa viime kesänä TATTI-työryhmän antamaa mietintöä, joka sisälsi ehdotuksen toimivallan jaosta liittyen hallinnollisten sakkojen määräämiseen. Mietinnössä on ehdotus uudesta valvontaviranomaisesta eli tietosuojavirastoon perustettavasta seuraamuslautakunnasta. Tarkoituksena on jakaa tietosuoja-asetukseen sisältyvää päätöksentekoon liittyvää toimivaltaa tietosuojavaltuutetun ja seuraamuslautakunnan kesken. Seuraamuslautakunta on ehdotettu muodostuvan viidestä sivutoimisesta jäsenestä ja sen on tarkoitus käsitellä tietosuojavaltuutetun esittelystä hallinnollisen sakon määräämistä ja henkilötietojen käsittelykieltoja. Tarpeen mukaan lautakunta voisi järjestää suullisia kuulemisia käsitellessään asiaa.
Huomattavan ja rangaistusluonteisen hallinnollisen sakon määräämisen osalta Suomesta löytyy esimerkki kilpailuoikeudellisten sakkojen osalta, jolloin kilpailuviranomainen esittää mutta sakon määrää ja sen suuruudesta päättää markkinaoikeus. Finanssivalvonnan osalta hallinnollisista sakoista päättää kollegiaalinen elin. Muuten lainsäädännöstä löytyvät viranomaisen itse määräämät hallinnolliset sakot ovat suuruudeltaan varsin pieniä. Tiedossa on, että tietosuoja-asetuksen ei ole katsottu mahdollistavan sitä, että tietosuoja-asioissa hallinnollisista sakoista päättäisi tuomioistuin, mikä olisi paras vaihtoehto ja vastaisi suomalaista oikeuskulttuuria.
Tällä hetkellä voimassa olevan lainsäädännön mukaan tietosuojavaltuutetun tehtävänä on ollut vaikuttaa henkilötietojen käsittelyyn ohjaamalla sekä neuvomalla ja tietosuojalautakunta on toiminut keskeisenä tietosuojaa koskevia päätöksiä tekevänä elimenä. Täten Suomessa on tietosuoja-asioissa jo 30 vuotta pitkä kokemus lautakuntamuotoisen elimen toiminnasta. Olen itse päässyt seuraamaan lautakunnan toimintaa varajäsenen ominaisuudessa. Tietosuojalautakunnan keskeiseksi tehtäväksi on muodostunut ennakkolupien myöntäminen silloin, kun kyse on ollut tietosuojadirektiivin mukaisesta oikeutetusta edusta. Kun yleisen tietosuoja-asetuksen soveltaminen alkaa, ei tällainen ennakkolupien myöntäminen ole enää mahdollista, vaan rekisterinpitäjän tulee ensi sijassa itse pystyä arvioimaan sitä, milloin kyse on tietosuoja-asetuksen mukaisesta oikeutetusta edusta. Tieto-suojalautakunnan toiminnan päättymisestä huolimatta, antaa lautakunta ja sen toiminta erinomaisen ja käytännössä hyvin toimivan esimerkin siitä, miten toimivalta päätöksenteon osalta on mahdollista jakaa.
Perustuslakivaliokunnan kannanotto on tervetullut ottaen huomioon kuinka suuri ja huomattava uusi seuraamusmaksu voi olla. Aiemmin ehdotetun seuraamuslautakunnan tarkoituksena oli nimenomaan toimia oikeussuojakeinona hallinnollisia sakkoja määrättäessä. Nyt eduskunnalla on mahdollisuus käyttää kansallista liikkumavaraa ja päättää kotimaiseen oikeustraditioon paremmin soveltuvasta ratkaisusta.
Uuden hallinnollisista seuraamuksista päättävän elimen kokoonpanossa tulisi kuitenkin varmistaa riittävän laaja-alainen osaaminen ja tietotaito. Pelkästään mahdollisuus käyttää tarvittaessa asiantuntijoita sen apuna ei ole riittävää, vaan elimen pysyvään kokoonpanoon ja ehdotettuihin kelpoisuusvaatimuksiin tulee kiinnittää huomiota. On tärkeää, että siinä olisi edustettuna oikeudellinen, tekninen ja organisatorinen osaaminen koskien erilaisia tietosuoja-asioita.
Hallinnollisten sakkojen tulisi koskea myös julkista sektoria
Tietosuoja-asetuksen mukaan kukin jäsenvaltio voi päättää, voidaanko viranomaisille määrätä vastaavia hallinnollisia sakkoja kuin yksityisille toimijoille. Viranomaisille määrättävät sakot voisivat olla teosta riippuen enintään 10 tai 20 miljoonaa euroa. Nyt eduskunnan käsiteltävänä olevassa ehdotuksessa ei viranomaistaholle voitaisi niitä määrätä.
Kuitenkin viranomaistoimintaa tulisi koskea samat säännöt kuin yksityistä sektoria ja viranomaisille tulisi voida määrätä vastaavia hallinnollisia seuraamusmaksuja kuin yksityisille toimijoille. Näin siksi, että virkavastuu kohdistuu niihin virkamiehinä toimiviin henkilöihin, jotka työskentelevät julkisella sektorilla toimivan rekisterinpitäjän tai henkilötietojen käsittelijän lukuun. Pääsääntöisesti julkisella sektorilla rekisterinpitäjä ja henkilötietojen käsittelijä ovat oikeushenkilöitä, joita ei koske virkavastuu. Tilanne, joissa viranomainen ei osoita riittäviä resursseja tietosuoja-asioiden hoitamiseen, voi ilmetä lainrikkomuksena. Tästä yksittäisen virkamiehen ei tulisi olla virkavastuussa, vaan seuraamuksen tulisi kohdistua hallinnollisen seuraamuksen muodossa suoraan tietosuoja-asetuksen noudattamisesta vastaavaan viranomaistahoon.