Kiitos, arvoisa rouva puhemies! Hallituksen esityksellä ehdotetaan muutettavaksi tietosuojaa koskevia yleislakeja. Keskeisin ehdotus liittyy EU:n tietosuojalainsäädännön välttämättömään täytäntöönpanoon ja koskee niin sanottua passiivisuusvalitusta. Samalla ehdotetaan mahdollistettavaksi se, että tietosuojavaltuutettu voisi siirtää työjärjestyksessä ratkaisuvaltaa esittelijöinä toimiville virkamiehille oikeudellisesti yksinkertaisissa asioissa, joissa lain tulkinta on vakiintunut. 

Esitykseen sisältyy myös tärkeä ehdotus henkilötunnuksen käsittelyä koskevien säännösten täsmentämiseksi siten, että henkilön tunnistamiseen ei riittäisi pelkkä henkilötunnus tai henkilötunnuksen ja nimen yhdistelmä. Tavoitteena on erityisesti ennaltaehkäistä henkilötunnuksen väärinkäytöksiä, kuten mahdollisuuksia käyttää sitä asiattomaan tiedonhankintaan. 

Perustuslain ja hallintolain mukaisesti jokaisella on oikeus saada asiansa käsitellyksi viranomaisessa ilman aiheetonta viivytystä. Rekisteröidyillä olisi jatkossa oikeus tehdä valitus hallinto-oikeuteen, jos tietosuojavaltuutettu ei ole käsitellyt asiaa kolmen kuukauden kuluessa sen vireilletulosta tai ilmoittanut tässä ajassa rekisteröidylle arviota päätöksen antamisajankohdasta. Asiassa olisi toisin sanoen kyse tilanteesta, jossa tietosuojavaltuutettu ei ole ollenkaan vastannut rekisteröidyn yhteydenottoon. Tietosuojavaltuutetun passiivisuutta koskeva asia käsiteltäisiin hallinto-oikeudessa valitusasiana. 

Passiivisuusvalituksessa on kyse Suomen oikeusjärjestelmälle varsin vieraasta asiasta. Vaikka Suomen lainsäädännössä löytyy muutama aiempi EU-oikeuden täytäntöönpanoon liittyvä esimerkki niin sanotusta viivästysvalituksesta, ja näitä on käytettykin tässä mallina, EU:n tietosuojalainsäädännön säännökset poikkeavat niistä kuitenkin oleellisesti. Tietosuojalainsäädäntö ei edellytä, että tietosuojavaltuutetun tulisi ratkaista asiat ehdottomassa määräajassa. Siitä huolimatta pääsyä tuomioistuimeen edellytetään poikkeuksellisesti tilanteessa, jossa tietosuojaviranomaisen käsittelytoimenpiteet puuttuvat kokonaan. Tästä johtuen myös ehdotettu kansallinen sääntelyratkaisu on jouduttu kirjoittamaan tavanomaisesta poikkeavalla tavalla siten, että tietosuojavaltuutetun passiivisuustilanne rinnastetaan asian käsittelyä koskevaan kielteiseen päätökseen. 

Ehdotetussa valitusmenettelyssä noudatettaisiin pitkälti olemassa olevaa lainsäädäntöä. Riippumatta oikeussuojakeinon luonteesta, rekisteröinnin kannalta on kuitenkin oleellisinta, että tietosuojavaltuutetun toiminta on mahdollisimman tehokasta ja viivytyksetöntä. Siitä syystä hallituksen esityksessä myös ehdotetaan tietosuojavaltuutetulle kolmen kuukauden määräaikaa, jonka kuluessa rekisteröidylle tulee vähintään ilmoittaa arvio valtuutetun päätöksen antamisajankohdasta. Ehdotettu säännös on maltillinen tiukennus suhteessa hallintolakiin, joka edellyttää arvion esittämistä pyydettäessä, mutta tärkeä askel sen varmistamiseksi, että rekisteröidyllä on tieto siitä, miten hänen asiansa etenee. Tämä on omiaan edistämään luottamusta tietosuojavaltuutetun toimintaan. 

Suomessa on toimiva ja tehokas laillisuusvalvontajärjestelmä, jonka puitteissa rekisteröidyllä on jo nykyisin mahdollisuus tehdä kantelu eduskunnan oikeusasiamiehelle tai valtioneuvoston oikeuskanslerille myös tietosuojavaltuutetun käsittelyn viivästys- ja passiivisuustilanteessa.  

Laillisuusvalvonnan merkitystä ja tehokkuutta on pyritty perustelemaan EU:n komissiolle. Tietosuojalainsäädännön tarkoittama tietosuojaviranomaisen passiivisuus ei ole myöskään Suomessa näyttäytynyt olevan erityinen ongelma. Komissio on kuitenkin pitänyt vaatimustaan esillä sillä perusteella, että tietosuojalainsäädäntö nimenomaisesti edellyttää, että passiivisuustilanteissakin oikeussuojakeinona on oltava pääsy tuomioistuimiin. 

Sen sijaan niin tietosuojavaltuutetun kuin muidenkin viranomaisten osalta jatkuvana haasteena on resurssien riittävyys ja käsittelyn kokonaiskeston venyminen. Uuden oikeussuojakeinon lisääminen lakiin ei vaikuttaisi laajemmin näihin rakenteellisiin käsittelyn viipymisongelmiin. Tavoitteena kuitenkin on, että lain muutokset edistävät hyvää hallintotapaa. Se, että kolmen ensimmäisen kuukauden aikana edellytetään kohtuullisessa määrin käsittelytoimia, on jo itse asiassa omiaan vaikuttamaan asian viivytyksettömään käsittelyyn. Oleellista on myös tavoite edistää sellaista hallintokulttuuria, jossa käsittelyaikoihin kiinnitetään riittävää huomiota ja joutuisuus mielletään toiminnan keskeiseksi laatu- ja oikeusturvatekijäksi. 

Arvoisa puhemies! Vielä muutama sana. Tarkoituksenmukaista ja toivottavaa on, että passiivisuustilanteita päätyy hallintotuomioistuimen käsiteltäväksi mahdollisimman vähän. Myös hallituksen esityksen lähtökohtana on edelleen, että hallintoasian selvittäminen ja päätöksen tekeminen olisi sujuvaa ilman aiheetonta viivytystä hallintoviranomaisessa. Vaikka kyse on pakottavasta EU-oikeuden täytäntöönpanosta, hallituksen esityksessäkin tuodaan esiin tarve seurata säännösten toimivuutta ja vaikutuksia. Myös sääntelyn resurssivaikutuksia tietosuojavaltuutetulle ja hallinto-oikeuksille on syytä seurata. Tästä on arvioitu olevan noin yhden henkilötyövuoden lisäresurssitarve tässä vaiheessa, ja se on huomioitu ensi vuoden talousarviossa. — Kiitos.  

Arvoisa puhemies! Tosiaan, kuten ministeri totesi, tässähän on kyse tällaisen EU-lainsäädännön toimeenpanosta, joka meidän on Suomessakin lainsäädäntöön vietävä, mutta toki tässä on myös kansallista sääntelyä mukana. Erityisesti itseäni askarruttaa tässä itse asiassa jo viime vaalikaudella rauennut, henkilötunnuksen käyttöön liittyvä sääntely siitä, että pelkkää henkilötunnusta ei saisi käyttää jatkossa henkilön yksilöintiin vaikkapa puhelimessa tapahtuvassa asioinnissa. Mietin sitä, että meillä Suomessa tietysti on valtavan hyvä väestökirjanpito. Meillä on erittäin hyvin teknisesti, tehokkaasti toteutettu henkilötunnus, ja sitä kautta asiointi niin monissa viranomaisyhteyksissä kuin toki sitten myös kaupallisessa tarkoituksessa on ollut meille varsin sujuvaa, kun henkilöt on voitu luotettavasti yksilöidä. Tietysti se tosiasia on täällä hallituksen esityksen esitöissäkin hyvin kuvattu, että nykyaikana identiteettivarkaudet ovat lisääntyneet ja henkilötunnuksia käytetään väärin. Myös erilaisten tietomurtojen yhteydessä henkilötunnuksia voi päätyä massoittain... Suurimpien tietomurtojen yhteydessä puhutaan jopa kymmenistä tuhansista henkilötunnuksista, jotka ovat joutuneet vääriin käsiin, niin että riski henkilötunnuksen väärinkäyttöön on lisääntynyt. 

Arvoisa puhemies! Koen, että tietysti on harmillista, että tämä perinteinen, Suomessa hyvinkin vaivaton asiointi tällä tavoin vaarantuu, mutta kaikkein tärkeintä on varmasti se, että luottamus suomalaisessa yhteiskunnassa aina säilyy. Uskon niin, että luottamus on suomalaisen yhteiskunnan ehkäpä tärkein käyttöpääoma: kun asioimme, niin voimme luottaa siihen, että asiointi tapahtuu luotettavalla tavalla. 

Arvoisa puhemies! Ehkä kuulisin mielelläni ministeriltä vielä tässäkin yhteydessä vähän sitä visiointia, millä tavalla se asiointi sitten tapahtuu, jos vaikkapa kansalaisen puhelimessa tarvitsee esimerkiksi yksityiseltä terveysasemalta pyytää joitakin tietoja siirrettäväksi julkiseen terveydenhuoltoon. Sinänsä tämä on teknisesti helppo toteuttaa, eikä siinä suurta riskiä kenenkään tietoturvan vaarantumisesta välttämättä ole, mutta jos jatkossa näin ei saakaan tehdä, että yksilöinti tapahtuu ilmoittamalla henkilötunnus, niin miten se jatkossa sitten tapahtuu? Varmasti myös valiokunta paneutuu asiaan asiallisesti, mutta nyt lähetekeskustelussa olisi kiinnostavaa kuulla tästä. 

Arvoisa rouva puhemies! Kiitokset ministeri Merelle tämän hallituksen esityksen esittelystä. Tosiaan käsitellään esitystä HE 62/2023, joka koskee siis tietosuojalain ja henkilötietojen käsittelyä rikosasioissa ja kansallisen turvallisuuden yhteydessä. Taustalla, niin kuin äsken kuultiin, ovat Euroopan unionin vaatimukset, jotka edellyttävät muutoksia meidän omaan lainsäädäntöön. Taas on tullut EU:n suunnalta vaatimuksia muuttaa kansallista lainsäädäntöä. 

No, onneksi tämä lakiesitys on kuitenkin aika tekninen, kuten nämä yleensäkin ovat, mutta tiivistetysti voisi sanoa, että tällä lainmuutoksella edistetään ihmisten yhdenvertaisuutta, tasa-arvoa ja tuloksellisuutta ja samalla puretaan, mikä on aina hyvä asia, byrokratiaa ja ehkä tehdään asioita helpommin käsiteltäviksi. Itse näen ihan positiivisena seikkana tuon, mikä tuli esille sekä esittelypuheenvuorossa että mihin vähän edustaja Autto huolestuneenakin viittasi, että tähän henkilötunnusten väärinkäyttöön puuttumiseen nyt panostetaan tämän myötä. 

Toisena positiivisena seikkana voisin mainita sen, että tällaisten hallintopäätöstä edellyttävien asioiden ratkaisu voi tapahtua tulevaisuudessa nopeammin ja vapauttaa samalla tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen resursseja aiempaa enemmän oikeudellista harkintaa edellyttävien asioiden ratkaisuun, jolloin heille tietysti sitten jää enemmän aikaa muuhun. Eli tämmöisiä positiivisia seikkoja. 

Lähtökohtaisesti pidän tätä lakiesitystä siis kohtalaisen hyvänä, ja jäänkin mielenkiinnolla odottamaan, mitä lakivaliokunta lausuu ja hallintovaliokunta miettii. 

Arvoisa rouva puhemies! Olen kovin tyytyväinen siihen, että ministeri erikseen mainitsi oikeusprosessin keston ja sujuvuuden. Se on ehkä näkökulma, joka meillä Suomessa jää usein unholaan. 

Sitten itse aiheeseen eli tietosuojaan: Tämä itse hallituksen esityshän on varsin tekninen ja direktiivin implementointia, mutta nämä kysymykset, joka kerta kun ne eduskuntaan keskusteltavaksi saapuvat, ovat varsin periaatteellisia, koska tässä meidän digitalisoituvassa maailmassa toimintaympäristö kehittyy niin hurjaa tahtia. Datan määrä ja sitä kautta myöskin ihmisten yksityisen datan määrä kasvavat aivan eksponentiaalisella tahdilla. Näitten periaatteellisten keskustelujen käyminen jokaisen hallituksen esityksen lakihankkeen ohessa on kyllä oleellista. Siinä on yhtä oleellista varmistaa, että tässä muuttuvassa maailmassa ihmisten yksityisyys on suojattu ja torjutaan siihen liittyvää kyberrikollisuutta, kuin toisaalta se, ettei liikaa ylikorostu pelkästään tietosuojanäkönäkökulma muiden yhteiskunnallisten intressien kustannuksella. Esimerkiksi rikostorjunta edellyttää sitä, on aina edellyttänyt sitä, että voidaan myöskin tietosuojaa tietyissä tilanteissa avata. Näin se pitää jatkossakin olla, eli meidän pitää pystyä tasapainottamaan yksilön oikeus esimerkiksi turvallisuuteen ja yhteiskunnan kyky tehdä rikostorjuntaa ja sitten toisaalta yksilön oikeus yksityisyyteen. Tässäkin yhteydessä pystytään taas tietyiltä osin tätä tärkeätä, periaatteellista keskustelua käymään. — Kiitos. 

Kiitos hyvästä keskustelusta! Tosiaan turvallisuus ja rikostorjunta ovat tärkeitä asioita. Ne ovatkin hallitusohjelmassa, ja näihin me tietenkin kiinnitämme huomiota. Huomaamme jatkuvasti uutisista, että maailma muuttuu ympärillämme. 

Mutta tästä esityksestä. Ensinnäkin, että mitä tämä vaikuttaa henkilötunnuksen käyttöön. Tämä vaikuttaa erityisesti näihin heikkoihin tunnistamistilanteisiin, joissa asiakkaan henkilöllisyyttä ei yleensä todenneta luotettavana pidettävästä lähteestä, kuten esimerkiksi sähköisesti — tyypillinen esimerkki on puhelinasioinnin yhteydessä — jolloin olisi varmistuttava muullakin tavoin kuin pelkästään henkilötunnuksilla ja nimellä. Ehkä perinteisesti, niin kuin täällä hallituksen esityksessä todetaan, on ajateltu, että henkilötunnus on vain esimerkiksi henkilön itsensä tiedossa, mutta näinhän ei ole ja se helpottaa identiteettivarkauksia. Sen takia tämäntyyppisessä tunnistautumisessa täytyy laajemmin selvittää, että henkilö on oikea henkilö. Mutta tämä muutos ei tietenkään vaikuta muihin tunnistamismenettelyihin, kuten esimerkiksi vahvaan sähköiseen tunnistautumiseen, vaan nimenomaan tämmöisiin puhelintyyppisiin. Ja kyllä tällä on tarkoitus vaikuttaa väärinkäyttömahdollisuuksiin. 

Täällä oli joitakin huomioita viimeksi, kun nämä pykäläthän olivat eduskunnassa jo viime kaudella toisen hallituksen esityksen yhteydessä, ja siellä oli perustuslakivaliokunnalla joitain pieniä täsmennyksiä, ja ne on tässä korjattu. Tämä esitys vain silloin raukesi eduskunnassa, ja tältä osin tämä tuotiin uudestaan. Siinä oli edustaja Autolle vastauksia. 

Edustaja Eerola toi esille tätä resurssipuolta. Täällä on erilaisia lukuja, ja jos muistan oikein, niin noin 11 000 erilaista yhteydenottoa on tietosuojavaltuutetulle, niin totta kai, kun järkeistetään sitä ratkaisuvaltaa ja mahdollistetaan sitä muillekin, niin silloin niitä asioita voidaan käsitellä, koska ideanahan siellä on, että asiakkaita voidaan palvella. Nämä tietosuojakysymykset ovat tärkeitä. Mielestäni tässä olivat ne keskeiset kysymykset. — Kiitos.