Yleistä
Vuonna 1981 tehty yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (tietosuojayleissopimus) on tullut Suomen osalta voimaan vuonna 1992. Tietosuojayleissopimusta on täydennetty vuonna 2011 tehdyllä valvontaviranomaisia ja maan rajan yli tapahtuvaa tietojen siirtoa koskevalla lisäpöytäkirjalla, jonka eduskunta on hyväksynyt vuonna 2012 (HaVM 4/2012 vp --— HE 149/2011 vp).
Käsiteltävänä olevassa hallituksen esityksessä on kysymys tietosuojayleissopimuksen muuttamista koskevan pöytäkirjan hyväksymisestä ja sen määräysten voimaan saattamista koskevasta lainsäädännöstä. Suomi on allekirjoittanut mainitun pöytäkirjan 10.10.2018. Muutospöytäkirjan liite on erottamaton osa pöytäkirjaa, ja sillä on sama oikeusvaikutus kuin pöytäkirjan määräyksillä.
Tietosuojayleissopimuksen uudistaminen on osa laajempaa kansainvälisten tietosuojasäädösten uudistamisen kokonaisuutta. Muutosta on valmisteltu esimerkiksi samanaikaisesti EU:n tietosuojalainsäädännön uudistamisen kanssa. Pöytäkirjalla muutetaan yleissopimuksen määräyksiä merkittäviltä osin siten, että se vastaa aiempaa paremmin sisällöllisesti EU:n uudistettua tietosuojalainsäädäntöä.
EU:n yleinen tietosuoja-asetus ((EU) 2016/679) ja ns. rikosasioiden tietosuojadirektiivi ((EU) 2016/680) tulivat voimaan 5.5.2016. Tietosuoja-asetusta on alettu soveltaa 25.5.2018. Tietosuoja-asetusta täydentävä tietosuojalaki (1050/2018, HaVM 13/2018 vp — HE 9/2018 vp) ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu laki (1054/2018, rikosasioiden tietosuojalaki, HaVM 14/2018 vp — HE 31/2018 vp), jolla rikosasioiden tietosuojadirektiivi on pantu kansallisesti täytäntöön, ovat tulleet voimaan vuoden 2019 alusta.
Muutospöytäkirjan tavoitteena on vastata aiempaa paremmin yksityisyyden suojan haasteisiin, jotka aiheutuvat uudenlaisesta informaatio- ja viestintäteknologiasta ja sen lisääntyvästä käytöstä, valtioiden rajat ylittävästä henkilötietojen käsittelystä ja yhä laajamittaisemmista henkilötietojen siirroista. Vahvistetun yleissopimuksen arviointi- ja seurantamekanismin avulla pyritään varmistamaan, että osapuolet noudattavat tietosuojayleissopimuksen vaatimuksia. Valiokunta pitää tärkeänä, että muutospöytäkirjan määräykset ovat mahdollisimman yhdenmukaisia EU:n uudistetun tietosuojalainsäädännön kanssa.
EU ei nykyisten sopimusmääräysten mukaan voi olla yleissopimuksen osapuoli. Muutospöytäkirjan määräykset mahdollistavat kuitenkin EU:n ja muiden kansainvälisten järjestöjen liittymisen tietosuojayleissopimukseen sen jälkeen, kun pöytäkirja on tullut voimaan. EU:n on tarkoitus liittyä muutettuun yleissopimukseen sen jälkeen, kun kaikki jäsenvaltiot ovat ratifioineet pöytäkirjan.
Tietosuojayleissopimus ja sen pöytäkirjat kuuluvat EU:n ja jäsenvaltioiden jaettuun toimivaltaan. Toimivalta henkilötietojen käsittelyä koskevan lainsäädännön osalta kuuluu EU:n jäsenvaltioille siltä osin kuin on kyse unionin oikeuden ulkopuolelle jäävään toimintaan liittyvästä henkilötietojen käsittelystä. Tällaista on esimerkiksi kansalliseen turvallisuuteen ja puolustukseen liittyvä henkilötietojen käsittely. Hallituksen esityksen perusteluista ilmenee, että sopimukset, joissa EU ei voi olla osapuolena, mutta joissa sopimuksen osapuolena olevat jäsenvaltiot käyttävät unionin puolesta sen toimivaltaa, rinnastetaan sekasopimuksiin. Neuvosto on valtuuttanut jäsenvaltiot ratifioimaan muutospöytäkirjan unionin edun mukaisesti siltä osin kuin sen määräykset kuuluvat unionin yksinomaiseen toimivaltaan. Eduskunta hyväksyy tällaisen sekasopimuksen vain siltä osin kuin se kuuluu Suomen toimivaltaan.
Muutospöytäkirja sisältää määräyksiä, jotka kuuluvat Ahvenanmaan maakunnan lainsäädännön alaan. Saadun selvityksen mukaan Ahvenanmaan maakuntapäivät on antanut 22.6.2020 hyväksyntänsä sille, että ehdotetut lait tulevat voimaan Ahvenanmaan maakunnassa siltä osin kuin pöytäkirja kuuluu maakunnan toimivaltaan.
Valvontaviranomaisten välinen yhteistyö
Suomen henkilötietojen käsittelyyn sovellettava lainsäädäntö vastaa suurelta osin muutetun yleissopimuksen vaatimuksia. Esitykseen sisältyy tavanomaiseen tapaan lakiehdotus pöytäkirjan lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta. Voimaansaattamislain 2 §:ssä nimetään yleissopimuksen noudattamista valvoviksi viranomaisiksi tietosuojalain mukaisesti tietosuojavaltuutettu ja Ahvenanmaan maakuntalainsäädännön mukaisesti Datainspektionen. Yleissopimuksen mukaisesta valvontatehtävästä ei nimenomaisesti säädetä voimassa olevassa lainsäädännössä.
Yleissopimuksen noudattamista valvovien viranomaisten tehtäviin ja toimivaltuuksiin sovelletaan, mitä niistä erikseen säädetään. Tämä tarkoittaa valvontavaltuuksien osalta nykytilan säilyttämistä. Valiokunta toteaa selvyyden vuoksi, että tietosuojavaltuutetulla ei ole myöskään yleissopimuksen nojalla toimivaltaa kohdistaa valvontaa valtiopäivätoimintaan, tuomioistuimiin, eduskunnan oikeusasiamieheen eikä valtioneuvoston oikeuskansleriin.
Tietosuoja-asetuksessa ja rikosasioiden tietosuojalaissa säädetään nimenomaisesti vain EU:n jäsenvaltioiden valvontaviranomaisten välisestä yhteistyöstä. Tietosuojalakiin ja rikosasioiden tietosuojalakiin ehdotetaan lisättäväksi säännökset, joiden nojalla tietosuojavaltuutettu voi ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi myös tietosuojayleissopimuksen osapuolina olevien kolmansien maiden valvontaviranomaisten kanssa. Yleissopimuksessa tarkoitetuilla valvontaviranomaisilla on oikeus vaihtaa tietoja valvontaan liittyen sekä toteuttaa yhteisiä operaatioita. Tietosuojavaltuutetulla on ehdotettujen säännösten mukaan oikeus luovuttaa salassapitosäännösten estämättä näille valvontaviranomaisille tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen.
Valiokunta toteaa, että tietosuojavaltuutetulla ei ole nykyisin, eikä myöskään ehdotettujen uusien säännösten mukaan, oikeutta luovuttaa tietoja valvontatehtävien suorittamiseksi kansalliseen turvallisuuteen tai puolustukseen liittyvien henkilötietojen osalta. Tällaista oikeutta ei ole nimenomaisesti säädetty myöskään tiedusteluvalvontavaltuutetulle. Tällä voi saadun selvityksen mukaan olla vaikutusta tiedusteluviranomaisten kansainvälisten yhteistyöjärjestelyjen ja operatiivisen tiedonvaihdon valvontaan. Valiokunta pitää tärkeänä, että lainsäädännön vaikutuksia valvovien viranomaisten toimintaedellytyksiin tältä osin seurataan.
Valiokunta tähdentää, että tietosuojavaltuutetun toimistolla tulee olla riittävät resurssit valvontatehtävänsä hoitamiseen.
Henkilötietojen siirto kolmansiin maihin ja kansainvälisille järjestöille
EU:n tietosuojalainsäädäntöä ei sovelleta kansalliseen turvallisuuteen ja puolustukseen liittyvään henkilötietojen käsittelyyn. Tietosuojayleissopimuksen soveltamisala on laajempi ja kattaa myös tällaisen henkilötietojen käsittelyn.
Rikosasioiden tietosuojalakia ehdotetaan muutettavaksi niin, että sen 7 lukua sovelletaan lähtökohtaisesti kaikkiin henkilötietojen siirtoihin kolmansiin maihin ja kansainvälisille järjestöille, jollei muussa laissa toisin säädetä. Henkilötietojen käsittelystä poliisitoimessa (616/2019) ja henkilötietojen käsittelystä Puolustusvoimissa (332/2019) annettujen lakien säännöksiin ei ehdoteta muutoksia. Näissä laeissa tarkoitettuihin suojelupoliisin ja Puolustusvoimien henkilötietojen luovutuksiin sovelletaan jatkossa sellaisenaan muutetun tietosuojayleissopimuksen määräyksiä, lukuun ottamatta riittävää tietosuojan tasoa koskevia poikkeuksia, joista on tarvittaessa säädettävä erikseen. Muutoksella varmistetaan, että kansallinen sääntely vastaa kaikilta osin tietosuojayleissopimuksen vaatimuksia.
Valiokunnan asiantuntijakuulemisessa on kiinnitetty huomiota siihen, että Puolustusvoimien ja poliisin kansallisen turvallisuuden suojaamiseen liittyvään henkilötietojen luovuttamiseen kolmanteen maahan tai kansainväliselle järjestölle sovelletaan jatkossa rinnakkain rikosasioiden tietosuojalain 7 lukua, Puolustusvoimien ja poliisin henkilötietojen käsittelyä koskevien erityislakien säännöksiä sekä tietosuojayleissopimusta. Tämä ei ole omiaan lisäämään sääntelyn selkeyttä säännösten soveltajan näkökulmasta.
Valiokunta toteaa, että eduskunta on voimassa olevan poliisin henkilötietolain hyväksyessään edellyttänyt, että hallitus seuraa ja arvioi uuden poliisin henkilötietolainsäädännön toimeenpanoa (EV 318/2018 vp — HE 242/2018 vp). Esimerkiksi tässä yhteydessä on mahdollista arvioida myös kansainvälisiin tiedonsiirtoihin liittyvän sääntelykokonaisuuden toimivuutta. Säännösten yhdenmukaisuutta nyt hyväksyttävän pöytäkirjan kanssa on määrä arvioida myös erikseen osana Euroopan neuvoston tietosuojayleissopimuksen uutta arviointi- ja seurantamekanismia.
Tulkintaselitys
Tietosuojayleissopimukseen ei ole mahdollista tehdä varaumia. Sen sijaan valtio voi ratifioimiskirjansa tallettaessaan antaa selityksen, jossa täsmennetään alue tai alueet, joihin yleissopimusta sovelletaan. Hallituksen esityksessä ehdotetaan annettavaksi yleissopimuksen 3 artiklan 1 kohtaa koskeva selitys siitä, miten julkisen sektorin käsitettä tulkitaan Suomessa yleissopimusta sovellettaessa. Tietosuojayleissopimusta sovelletaan ehdotetun sääntelyn mukaan eduskunnan virastojen suorittamaan henkilötietojen käsittelyyn vastaavasti kuin tietosuoja-asetusta ja tietosuojalakia. Tulkintaselityksen mukainen julkisen sektorin käsite vastaa tietosuojalain 24 §:n 4 momentin luetteloa viranomaisista ja julkisyhteisöistä, joille ei voida määrätä hallinnollista seuraamusmaksua.
Saadun selvityksen mukaan EU:n tuomioistuin on antanut tuomion ennakkoratkaisupyyntöä koskevassa asiassa C-272/19, jolla voi olla myöhemmin merkitystä arvioitaessa sitä, ovatko tietosuojalaissa säädetyt soveltamisalaa koskevat poikkeukset EU:n yleisen tietosuoja-asetuksen mukaisia. Mainitulla tuomiolla ei kuitenkaan ole välitöntä vaikutusta valiokunnan käsiteltävänä olevaan hallituksen esitykseen, jossa ei ole ehdotettu muutettavaksi lainsäädännön nykytilaa tietosuojalain soveltamisalan osalta.
Yhteenveto
Hallituksen esityksestä ilmenevistä syistä ja saamansa selvityksen perusteella hallintovaliokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa hallituksen esityksessä tarkoitetun yleissopimuksen muuttamisesta tehdyn pöytäkirjan hyväksymistä siltä osin kuin se kuuluu Suomen toimivaltaan sekä hallituksen esityksessä tarkoitetun selityksen antamista. Valiokunta puoltaa 1. ja 2. lakiehdotuksen hyväksymistä muuttamattomina ja 3. lakiehdotuksen hyväksymistä pienin teknisluonteisin muutoksin.