Ehdotetun lainsäädännön tarkoituksena on saada sovitettua kansallinen sosiaaliturva- ja vakuutuslainsäädäntö yhteensopivaksi uuden EU:n ja kansallisen tietosuojalainsäädännön kanssa. Tietosuoja-asetus (GDPR (EU) 2016/679) on kaikilta osiltaan velvoittavaa sääntelyä, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa. Tietosuoja-asetuksen kanssa ristiriitaiset tai päällekkäiset säännökset täytyy kumota.  

Hallituksen esitys sisältää pääasiallisesti sosiaali- ja terveysvaliokunnan toimialaan liittyvää sääntelyä, mutta osa ehdotuksista on myös talousvaliokunnan toimialaan kuuluvaa tai sitä sivuavaa. Talousvaliokunta keskittyy tässä lausunnossaan toimialansa mukaisesti erityisesti vakuutusyhtiöitä koskevaan sääntelyyn. 

Esitys on olennaisilta osin saman sisältöinen kuin talousvaliokunnan käsittelyssä aiemmin ollut hallituksen esitys HE 52/2018 vp, josta valiokunta antoi lausuntonsa (TaVL 23/2018 vp) sosiaali- ja terveysvaliokunnalle toukokuussa 2018. Ehdotettu lainsäädäntö ei kuitenkaan tullut eduskunnassa loppuun käsitellyksi, vaan esitys raukesi maaliskuussa 2019. 

Ehdotetun lainsäädännön arvioinnin keskiössä on punninta siitä, millä tavoin ja perustein yksityisyyden suoja määrittyy, kun yhteensovitetaan useiden eri lainsäädännön tavoitteiden mukaisia velvoitteita ja oikeuksia. Uuden tietosuojalainsäädännön läpileikkaava periaate on, että henkilötietojen kerääminen, tallentaminen, käsittely ja luovuttaminen on rajattava vain välttämättömään ja tietojen käyttöä koskevat tilanteet täsmällisesti ja tarkkarajaisesti määriteltävä. Perustuslakivaliokunnan lausunnon (PeVL 14/2018 vp — HE 9/2018 vp) mukaan kansallisen erityislainsäädännön säätämistä tulisi ylipäänsä välttää ja varata sellaisen säätäminen vain tilanteisiin, joissa se on yhtäältä sallittua tietosuoja-asetuksen kannalta ja toisaalta välttämätöntä henkilötietojen suojan toteuttamiseksi. Mitä korkeampi riski tietojen käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely.  

Vakuutusyhtiöitä koskevaan lainsäädäntöön (liitelaki 36. Laki vakuutusyhtiölain muuttamisesta) ehdotetaan lisättäviksi säännökset, jotka mahdollistaisivat rikosepäilyihin ja rikostuomioihin liittyvien henkilötietojen käsittelyn ja luovuttamisen toisille vakuutusyhtiöille väärinkäytösrekistereiden ylläpitoa varten. Lainkohtaan sisällytetyt tietosuoja-asetuksen edellyttämät suojatoimenpiteet vastaavat nykyiselle väärinkäytösrekisterille annetun tietosuojalautakunnan luvan mukaisia ehtoja.   

Voimassa olevaa väärinkäytösrekisteriä koskevaa sääntelyä ehdotetaan täydennettäväksi, koska vakuutusyhtiöiden oikeus pitää yllä väärinkäytösrekistereitä ja käsitellä rekisteritietoja on perustunut tietosuojalautakunnan antamaan lupaan. Tietosuoja-asetuksen voimaantulon seurauksena ja lautakunnan lakkauttamisen johdosta rekisteristä on säädettävä lailla. 

Talousvaliokunnan ehdotuksesta eduskunta muutti keväällä 2019 hallituksen esityksessä HE 100/2018 vp ehdotettua sääntelyä siten, että luottolaitostoiminnasta annetun lain 15 luvun 15 pykälän (Tietojen luovuttamista koskevat poikkeukset salassapitovelvollisuuteen) 1 momentin 3 kohtaan lisättiin ”taikka samaan rahoitus- ja vakuutusryhmittymään kuuluvalle yritykselle tai yhteisölle”. Tällä mahdollistettiin samaan ryhmään kuuluvien toimijoiden keskinäinen tiedonvaihto asiakashäiriöistä.  

Talousvaliokunta esittää, että sosiaali- ja terveysvaliokunta arvioisi mahdollisuutta tehdä vastaava täydennys myös vakuutusyhtiölakiin, korostaen sitä, että vakuutuspetos on tilastollisesti merkittävän usein esirikos myöhemmissä vakavammissa rikoksissa. 

Talousvaliokunta tähdentää, että ryhmien sisäisellä tiedonvaihdolla ei myöskään ohitettaisi tietosuoja-asetuksen sääntelyä, koska lainkohta (VYL 30 luku 3 §) on jo hallituksen esityksessä ehdotetussa muodossa laadittu siten, että tietojenvaihto on alisteinen ja ehdollinen tietosuoja-asetuksen noudattamiselle. Pykälän 1 momentti alkaa sanoin ”Jollei tietosuoja-asetuksesta muuta johdu, …”  

Talousvaliokunta pitäisi muutosta tarkoituksenmukaisena ottaen huomioon myös, että tämän lainsäädännön soveltamisalaan kuuluvilla tahoilla on asiakkaan tuntemiseen, asiakkaiden toiminnan seuraamiseen ja toimintaympäristön havainnointiin liittyviä velvoitteita säännöksissä, joilla on tarkoitus estää rahoitusjärjestelmän käyttö rahanpesuun ja terrorismin rahoitukseen. Tietojenvaihto-oikeus olisi yhdensuuntainen ja johdonmukainen näiden velvoitteiden kanssa. 

Talousvaliokunta toteaa, että ehdotettu rekisterin pidon oikeuttava pykälä toimii yhtäältä valtuutuksena rekisterinpitäjälle tietojen tallennukseen mutta toisaalta myös rajoituksena sille, mitä tietoja, millä edellytyksillä ja kuinka kauan saadaan tallentaa. 

Pykälän 3 momentti käsittelee ehtoja, joiden täyttyessä rekisterimerkintä on poistettava. Talousvaliokunta katsoo, että säännöksen kirjoitusasu voi johtaa epäselvään välitilaan, jos asiaan liittyvässä tuomioistuinprosessissa haetaan muutosta ensimmäisen oikeusasteen antamaan tuomioon. 

Talousvaliokunta kiinnittää huomiota myös saman pykälän 4 momenttiin, jonka mukaan tiedot olisi poistettava rekisteristä viimeistään viiden vuoden kuluttua siitä, kun rikosta koskevat tiedot on ensimmäisen kerran rekisteröity. Ottaen huomioon oikeudenkäyntien keskimääräisetkin kestoajat on viiden vuoden määräaika lyhyt muutoksenhakutilanteissa.  

Koska viiden vuoden ehdoton takaraja lasketaan ensimmäisestä rekisteriin tehdystä merkinnästä, täytyy tämän määräajan laskemista varten rekisteriin jäädä ainakin metatiedon tasolla jokin merkintä siinäkin tapauksessa, että alioikeus antaisi vapauttavan tuomion, jos siihen haetaan muutosta. 

Säädösehdotuksia arvioitaessa on huomioitava finanssialan toimintaympäristö kokonaisuutena: toimintojen luvanvaraisuus, yksityiskohtainen sääntely ja valvonta suojaavat varsin kattavasti rekisteröidyn oikeuksien toteutumista. Talousvaliokunta toteaa, että hallituksen esityksessä on huomioitu tasapainoisella tavalla yhtäältä velvoittavan EU-oikeuden kansalliselle sääntelylle asettamat rajat ja toisaalta myös teknisten ratkaisujen kehitys, kiinnittäen sosiaali- ja terveysvaliokunnan huomion edelläsanotun lisäksi 2. liitelain (Eläkesäätiölaki) ehdotettuun 70 §:n uuteen 4 momenttiin, joka näyttäisi olevan talousvaliokunnan saaman selvityksen mukaan tietosuoja-asetuksen 6 artiklan vastainen.